WatchGuard System Manager v11.3 Guide de l’utilisateur Fireware XTM WatchGuard System Manager v11.3 Guide de l’utilisateur WatchGuard XTM Devices Firebox X Peak e-Series Firebox X Core e-Series Firebox X Edge e-Series À propos de ce guide de l’utilisateur Le Guide de l’utilisateur Fireware XTM WatchGuard System Manager est mis à jour avec chaque mise à jour importante du produit. Pour les mises à jour moins importantes, seule l’Aide Fireware XTM WatchGuard System Manager est mise à jour. Le système d’aide comprend également des exemples spécifiques de mise en œuvre basés sur les tâches, qui ne sont pas disponibles dans le Guide de l’utilisateur. Pour accéder à la documentation produit la plus récente, voir l’Aide Fireware XTM WatchGuard System Manager sur le site Web de WatchGuard à l’adresse suivante : http://www.watchguard.com/help/documentation/. Les informations figurant dans ce guide peuvent faire l’objet de modifications sans préavis. Les exemples de sociétés, de noms et de données mentionnés ici sont fictifs, sauf mention contraire. Aucune partie de ce guide ne peut être reproduite ou retransmise sous quelque format ou par quelque moyen que ce soit (électronique ou mécanique), pour tout objet, sans l’autorisation écrite expresse de WatchGuard Technologies, Inc. Révision du guide : 07/15/2010 Informations sur le copyright, les marques déposées et les brevets Copyright © 1998-2010 WatchGuard Technologies, Inc. Tous droits réservés. Toutes les marques déposées ou les noms commerciaux mentionnés ici, le cas échéant, appartiennent à leurs propriétaires respectifs. Des informations complètes sur le copyright, les marques, les brevets et les licences sont disponibles dans le guide disponible en ligne (Copyright et Licensing Guide) http://www.watchguard.com/help/documentation/ Note Ce produit est destiné à une utilisation intérieure uniquement. À propos de WatchGuard WatchGuard propose des solutions de sécurité tout-en-un à prix abordable pour les réseaux et les contenus afin d’offrir une protection en profondeur et de permettre d’être en conformité avec la réglementation. La gamme WatchGuard XTM associe pare-feu, réseau VPN, Gateway AV, IPS, blocage de courrier indésirable et filtrage d’URL pour protéger votre réseau des courriers indésirables, virus, logiciels malveillants et intrusions. La nouvelle gamme XCS propose un système de sécurité pour les messages électroniques et le contenu Web, associé à un système de prévention des données. Les solutions extensibles de WatchGuard sont évolutives pour assurer une sécurité parfaitement adaptée tant aux petites entreprises qu’aux grands groupes de plus de 10 000 employés. WatchGuard fabrique des appareils de sécurité simples, fiables et solides, qui disposent d’outils complets de génération de rapports et de gestion très rapides à mettre en œuvre. Les entreprises à travers le monde comptent sur nos boîtiers rouges pour maximiser la sécurité sans sacrifier à l’efficacité et à la productivité. Pour plus d’informations, appelez le 206.613.6600 ou visitez notre site www.watchguard.com. ii Adresse 505 Fifth Avenue South Suite 500 Seattle, WA 98104 Assistance technique www.watchguard.com/support États-Unis et Canada +877.232.3531 Tous les autres pays +1.206.521.3575 Ventes États-Unis et Canada +1.800.734.9905 Tous les autres pays +1.206.613.0895 WatchGuard System Manager Sommaire Introduction à la sécurité des réseaux À propos des réseaux et de leur sécurité i i À propos d'Internet connexions i À propos des protocoles ii À propos de Adresses IP iii Adresses et passerelles privées iii À propos de masques de sous-réseau iii À propos de la notation de barre oblique iv À propos de la saisie Adresses IP iv Statique et dynamique Adresses IP v À propos de DNS (Domain Name System) vi À propos des pare-feu vi À propos des services et des stratégies vii À propos des ports viii Présentation de Fireware XTM 11 Présentation de Fireware XTM 11 Composants de Fireware XTM 12 WatchGuard System Manager 12 WatchGuard Server Center 13 Fireware XTM Web UI et interface Command Line Interface 14 Fireware XTM avec une mise à niveau Pro Service et support À propos de Assistance WatchGuard 14 17 17 LiveSecurity Service 17 LiveSecurity Service Or 18 Expiration du service 19 Mise en route Avant de commencer 21 21 Vérifier les composants de base 21 Obtenir une clé de fonctionnalité pour périphérique WatchGuard 22 Guide de l’utilisateur iii Collecter les adresses réseau 22 Sélectionnez un pare-feu. mode de configuration 23 Déterminer l’emplacement d’installation du logiciel serveur 24 Installer le logiciel WatchGuard System Manager 25 Sauvegarder votre configuration précédente 25 Télécharger WatchGuard System Manager 25 À propos des niveaux de chiffrement logiciels 26 À propos de l’Assistant Quick Setup Wizard 27 Exécuter l’Assistant Web Setup Wizard 27 Exécution de l’Assistant WSM Quick Setup Wizard 31 Terminer votre installation iv 34 Personnalisez votre stratégie de sécurité 34 À propos de LiveSecurity Service 35 Démarrer WatchGuard System Manager 35 Se connecter à un périphérique WatchGuard 35 Démarrer des applications de sécurité 37 Rubriques d’installation supplémentaires 39 Installer WSM et conserver une version antérieure 39 Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feux de bureau 39 Prise en charge des adresses IP dynamiques sur l’interface externe 39 À propos de la connexion des câbles Firebox 40 Se connecter à Firebox avec Firefox v3 40 Désactiver les proxys HTTP dans le navigateur 42 Trouvez vos propriétés TCP/IP 43 Principes de configuration et de gestion 45 À propos des tâches de base de configuration et de gestion 45 À propos des fichiers de configuration 45 Ouvrir un fichier de configuration 46 Créer un fichier de configuration 48 Enregistrer le fichier de configuration 48 Créer une sauvegarde de l’image Firebox 49 Restaurez un système Firebox. Image de sauvegarde 50 WatchGuard System Manager Utiliser une clé USB pour la sauvegarde et la restauration du système 51 À propos de la clé USB 51 Enregistrer une image de sauvegarde sur une clé USB connectée 51 Restaurer une image de sauvegarde à partir d’une clé USB connectée 52 Restaurer automatiquement une image de sauvegarde à partir d’une clé USB 53 Structure de répertoire de la clé USB 55 Enregistrer une image de sauvegarde sur une clé USB connectée à votre station de gestion. 56 Utiliser une configuration existante pour créer un modèle Firebox 57 Configurer un périphérique Firebox de remplacement 58 Sauvegardez la configuration de votre Firebox original sur fichier. 59 Procurez-vous la clé de fonctionnalité du Firebox de remplacement 59 Configurez Edge à l’aide de l’Assistant Quick Setup Wizard. 59 Mettez à jour la clé de fonctionnalité sur le fichier de configuration de votre Firebox original et enregistrez sur le nouveau. 59 Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle configuration 61 Démarrer un périphérique Firebox ou XTM en mode sans échec 61 Restaurer les paramètres usine par défaut d’un périphérique Firebox X Edge e-Series ou WatchGuard XTM 2 Series 62 Exécuter l’Assistant Quick Setup Wizard 62 À propos des paramètres usine par défaut 62 À propos de les clés de fonctionnalité 63 Lorsque vous achetez une nouvelle fonctionnalité 64 Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active 64 Vérifier la conformité à la clé de fonctionnalité 65 Obtenir une clé de fonctionnalité auprès de LiveSecurity 65 Ajouter une clé de fonctionnalité à Firebox 67 Voir les détails d’une clé de fonctionnalité 69 Télécharger une clé de fonctionnalité 70 Activer le protocole NTP et ajouter des serveurs NTP 71 Définir le fuseau horaire et les propriétés de base du périphérique 72 À propos du protocole SNMP 73 Interrogations et interruptions SNMP Guide de l’utilisateur 73 v Activer l’interrogation SNMP 73 Activer Stations de gestion et interruptions SNMP 75 À propos des bases d’informations MIB (Management Information Base) 77 À propos des mots de passe, clés de chiffrement et clés partagées de WatchGuard Création d’un mot de passe, d’une clé de chiffrement ou d’une clé partagée sécurisés 78 Mots de passe Firebox 78 Mots de passe utilisateur 79 Mots de passe serveur 79 Clés de chiffrement et clés partagées 79 Modifier les mots de passe Firebox 80 À propos des alias 81 Membres de l’alias 81 Créer un alias 82 Définir les paramètres globaux de Firebox 83 Définir les paramètres globaux de gestion des erreurs ICMP 84 Activer le contrôle TCP SYN 85 Définir les paramètres globaux de réglage de la taille maximale de segment TCP 86 Désactiver ou activer la gestion du trafic et QoS 86 Modifier le port Web UI 86 Redémarrage automatique 86 Console externe 87 Gérer Firebox à partir d’un emplacement distant 87 Emplacements des fichiers de WatchGuard System Manager 89 Emplacement des fichiers créés par l’utilisateur et des applications 90 Mettre à niveau vers une nouvelle version de Fireware XTM 91 Installez la mise à niveau sur votre station de gestion 91 Mettre à niveau Firebox 92 Utiliser différentes versions de Policy Manager 93 À propos des options de mise à niveau vi 78 93 Mises à niveau des services d’abonnement 93 Mises à niveau des logiciels et logiciels système 94 Comment appliquer une mise à niveau 94 WatchGuard System Manager Renouveler les services de sécurité par abonnement Renouvellement des abonnements dans Firebox System Manager 94 95 95 Définition et configuration réseau À propos de Configuration d’interface réseau 97 97 Modes réseau 97 Types d’interface 98 À propos des interfaces réseau sur les modèles Edge e-Series 99 Mode de routage mixte 100 Configurer une interface externe 100 Configurer DHCP en mode de routage mixte 104 À propos du Service DNS dynamique 107 Utiliser DNS dynamique 107 À propos de la configuration du réseau en mode d’insertion 108 Utilisez le mode d’insertion pour la configuration de l’interface réseau 109 Configurer les hôtes associés 110 Configurer DHCP en mode d’insertion 111 Mode pont 114 Paramètres d’interface standard 115 Désactiver une interface 117 Configurer le relais DHCP 118 Limiter le trafic réseau par adresse MAC 118 Ajouter Serveurs WINS et Adresses du serveur DNS 119 Configurer un réseau secondaire 120 À propos des paramètres d’interface 121 Paramètres de carte réseau 122 Définir la bande passante de l’interface en sortie 123 Définir Bit DF pour IPSec 124 Paramètre PMTU pour IPSec 125 Utiliser la liaison d’adresse MAC statique 125 Rechercher l’adresse MAC d’un ordinateur 126 À propos des ponts LAN Guide de l’utilisateur 127 vii Créer une configuration de pont réseau 127 Attribuer une interface réseau à un pont 129 À propos des fichiers 131 Ajouter un itinéraire statique 131 À propos des réseaux locaux virtuels (VLAN) 132 Configuration logicielle requise pour les VLAN et restrictions associées 132 À propos de marquage 133 Définir un nouveau 802.1Q 133 Attribuer des interfaces à un 802.1Q 136 Exemples de configuration réseau 137 Utiliser Firebox X Edge avec le pont sans fil 3G Extend 137 Multi-WAN 141 À propos de l’utilisation de plusieurs interfaces externes Configurations logicielles et conditions requises pour le mode multiWAN 141 multiWAN et DNS 142 multiWAN et FireCluster 142 À propos de Options multiWAN 142 Classement du tourniquet 143 Basculement 143 Dépassement de capacité d’interface 144 Table de routage 144 modem série (Firebox X Edge uniquement) 145 Configurer l’option tourniquet multiWAN 145 Avant de commencer 145 Configurer les interfaces 145 Découvrez comment affecter des pondérations aux interfaces 148 Configurer l’option basculement multiWAN 148 Avant de commencer 148 Configurer les interfaces 148 Configurer l’option Dépassement de capacité d’interface multiWAN viii 141 150 Avant de commencer 150 Configurer les interfaces 150 WatchGuard System Manager Configurer l’option Option de table de routage 151 Avant de commencer 151 Option de table de routage et équilibrage de charge 151 Configurer les interfaces 152 À propos de la table de routage de Firebox 153 Quand utiliser les options multiWAN et le routage 153 Basculement de modem série 154 Activer le basculement de modem série 154 Paramètres du compte 155 Paramètres DNS 155 Paramètres d’accès à distance 156 Paramètres avancés 156 Paramètres de contrôle des liaisons 157 À propos des Paramètres multiWAN avancés 158 À propos de connexions persistantes 158 Définissez une durée de connexion persistante globale 159 Définissez l’action de restauration 159 À propos de État de l’interface WAN 160 Temps nécessaire à Firebox pour mettre à jour sa table de routage 161 Définir un hôte de contrôle des liaisons 161 Traduction d’adresses réseau (NAT) À propos de Traduction d’adresses réseau (Network Address Translation) (NAT) Types de NAT À propos de la traduction dynamique traduction d'adresses réseau (NAT) 163 163 163 164 Ajouter des entrées NAT dynamiques de pare-feu 165 Configurer une traduction d’adresses dynamique à base de stratégie Traduction d'adresses réseau (NAT) 167 À propos de 1-to-1 NAT 169 À propos de 1-to-1 NAT et des tunnels VPN 170 Configurer 1-to-1 NAT pour le pare-feu 171 Configurer 1-to-1 NAT pour une stratégie 173 Configurer le bouclage NAT avec la traduction d’adresses réseau statique Guide de l’utilisateur 174 ix Ajouter une stratégie pour le bouclage NAT sur le serveur 175 Bouclage NAT et 1-to-1 NAT 176 À propos de NAT statique 180 Configurer la traduction d’adresses réseau statique 181 Configurer les équilibrage de charge côté serveur 182 Exemples de traduction d’adresses réseau (NAT) 187 Exemple de règle 1-to-1 NAT 187 Configuration sans fil 189 À propos de la configuration sans fil 189 À propos de configuration Point d’accès sans fil 190 Avant de commencer 191 Présentation des paramètres paramètres de configuration 191 Activer/Désactiver Diffusions SSID 192 Modifier SSID 193 Journal événements d’authentification 193 Modifier seuil de fragmentation 193 Modifier Seuil RTS 195 Présentation des paramètres paramètres de sécurité 196 Définissez sans fil méthode d'authentification 196 Définir le niveau de chiffrement 197 Autoriser des connexions sans fil au réseau facultatif ou approuvé 197 Activer un réseau invité sans fil 200 Activer un point d’accès sans fil 203 Configurer les paramètres de délai pour les utilisateurs 204 Personnaliser l’écran de démarrage du point d’accès 204 Se connecter à un point d’accès sans fil 206 Afficher les connexions aux points d’accès sans fil 207 Configurer l’interface externe en tant qu’interface sans fil 208 Configurer l’interface externe principale en tant qu’interface sans fil 208 Configurer un tunnel BOVPN pour plus de sécurité 210 Présentation des paramètres paramètres de radio sans fil sur Firebox X Edge e-Series Réglage de la région d’exploitation et du canal x 211 211 WatchGuard System Manager Définissez mode d’exploitation sans fil Présentation des paramètres radio sans fil du WatchGuard XTM sans fil Série 2 212 213 Le réglage du pays est automatique 214 Sélectionnez la Bande passante et le mode sans fil 215 Sélection du canal 216 Configurer carte sans fil sur votre ordinateur Routage dynamique 216 217 À propos du routage dynamique 217 À propos des fichiers de configuration du démon de routage 217 À propos du protocole RIP (Routing Information Protocol) 218 Commandes du protocole RIP 218 Configurer Firebox pour qu’il utilise RIP v1 220 Configurer Firebox pour qu’il utilise RIP v2 222 Exemple de fichier de configuration de routage RIP 224 À propos du protocole OSPF (Open Shortest Path First) 226 Commandes OSPF 226 Tableau des coûts d’interface OSPF 229 Configurer Firebox pour utiliser OSPF 229 Exemple de fichier de configuration d’un routage OSPF 231 À propos du protocole BGP (Border Gateway Protocol) 234 Commandes BGP 234 Configurer Firebox pour qu’il utilise BGP 237 Exemple de fichier de configuration de routage BGP 239 FireCluster À propos de WatchGuard FireCluster État de FireCluster À propos du basculement FireCluster 241 241 243 243 Les événements qui déclenchent un basculement 243 Que se passe-t-il lorsqu’un basculement se produit ? 245 Basculement de FireCluster et équilibrage de charge côté serveur 245 Contrôler le cluster pendant un basculement 246 Fonctionnalités non prises en charge en cas d’utilisation de FireCluster Guide de l’utilisateur 246 xi Limites de configuration du réseau FireCluster 246 Limites de gestion de FireCluster 246 À propos de l’adresse IP de l’interface de gestion 246 Configurer l’adresse IP de l’interface de gestion 247 Utiliser l’adresse IP de l’interface de gestion pour restaurer une image de sauvegarde 247 Utiliser l’adresse IP de l’interface de gestion pour effectuer une mise à niveau depuis un emplacement externe 247 Configurer FireCluster Conditions et restrictions de FireCluster 248 Synchronisation et analyse de l’état du cluster 249 Rôles des périphériques de FireCluster 249 Étapes de la configuration de FireCluster 249 Avant de commencer 250 Connecter le matériel FireCluster 252 Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif 253 Utiliser l’assistant FireCluster Setup Wizard 259 Configurer FireCluster manuellement 264 Trouver les adresses MAC de multidiffusions d’un cluster actif/actif 270 Contrôler et analyser les membres de FireCluster 271 État du contrôle des membres FireCluster 272 Contrôler et analyser les membres du cluster 273 Découvrir un membre de cluster 273 Forcer le basculement d’un cluster maître 274 Redémarrer un membre du cluster 275 Arrêter un membre du cluster 276 Se connecter à un membre du cluster 276 Faire quitter le cluster à un membre 277 Permettre à un membre de rejoindre un cluster 278 Supprimer ou ajouter un membre du cluster Ajouter un nouveau périphérique au FireCluster xii 247 278 280 Mettre à jour la configuration de FireCluster 280 Configurer la journalisation et la notification de FireCluster 280 WatchGuard System Manager À propos des clés de fonctionnalité et de FireCluster 281 Afficher les clés de fonctionnalité et les fonctionnalités associées à un cluster 282 Afficher ou mettre à jour la clé de fonctionnalité pour un membre du cluster 283 Afficher la clé de fonctionnalité FireCluster dans Firebox System Manager 285 Créer une image de sauvegarde de FireCluster 286 Restaurer une image de sauvegarde de FireCluster 287 Faire quitter le cluster au maître de sauvegarde 287 Restaurer l’image de sauvegarde dans le maître de sauvegarde 287 Restaurer l’image de sauvegarde dans le cluster maître 287 Faire rejoindre le cluster au maître de sauvegarde 288 Mettre à niveau Fireware XTM pour les membres FireCluster 288 Désactiver FireCluster 289 Authentification 291 À propos de l’authentification des utilisateurs 291 Utilisateur étapes de l’authentification 292 Gérer les utilisateurs authentifiés 293 Utiliser l’authentification pour restreindre le trafic entrant 294 Utiliser l’authentification via une passerelle Firebox 295 Définir les valeurs d’authentification globale 295 Définir des délais d’authentification globale 297 Autoriser plusieurs connexions simultanées 297 Limiter les sessions de connexion 298 Rediriger automatiquement les utilisateurs vers le portail de connexion 299 Utiliser une page de démarrage par défaut personnalisée 299 Définir les délais d’une session de gestion 299 Activer Single Sign-On 300 À propos de la stratégie d’authentification WatchGuard (WG) 300 À propos de Single Sign-On (SSO) 300 Avant de commencer 301 Configurer SSO 302 Installer l’agent WatchGuard Single Sign-On (SSO) 302 Installez le client WatchGuard Single Sign-On (SSO) 303 Guide de l’utilisateur xiii Activer Single Sign-On (SSO) 304 Types de serveurs d’authentification 307 À propos de l’utilisation de serveurs d’authentification tierce 307 Utiliser un serveur d’authentification de sauvegarde 307 Configurer Firebox en tant que serveur d’authentification 308 Types d’authentification Firebox 308 Définir un nouvel utilisateur pour l’authentification sur Firebox 310 Définir un nouveau groupe d’authentification sur Firebox 313 Configurer l’authentification sur le serveur RADIUS Clé d’authentification 314 Méthodes d’authentification sur RADIUS 314 Avant de commencer 314 Utiliser le serveur d’authentification RADIUS avec le périphérique WatchGuard 314 Fonctionnement de l’authentification sur le serveur RADIUS 316 Configurer les Authentification sur le serveur VASCO 319 Configurer l’authentification SecurID 321 Configurer l’Active Directory Authentication 323 À propos des paramètres Active Directory facultatifs 325 Trouver votre base de recherche Active Directory 326 Changer le port par défaut de l’Active Directory Server 327 Configurer l’authentification LDAP À propos des paramètres LDAP facultatifs Utilisez les paramètres Active Directory ou LDAP facultatifs 328 330 331 Avant de commencer 331 Spécifier Paramètres Active Directory ou LDAP facultatifs 331 Utiliser un compte d’utilisateur local pour l’authentification 335 Utiliser les utilisateurs et groupes autorisés dans les stratégies 335 Stratégies À propos des stratégies xiv 313 339 339 Stratégies de filtres de paquets et stratégies de proxies 339 À propos de l'ajout de stratégies à votre Firebox 340 À propos de Policy Manager 340 WatchGuard System Manager Ouvrir Policy Manager 341 Modifier l’affichage de Policy Manager 342 Modifier les couleurs utilisées pour le texte de Policy Manager 344 Rechercher une stratégie par adresse, par port ou par protocole 345 Ajouter stratégies à votre configuration 346 Voir la liste des modèles de stratégie 347 Ajouter une stratégie à partir de la liste des modèles 348 Ajouter plusieurs stratégies du même type 349 Afficher les détails d’un modèle et modifier des modèles de stratégie 349 Désactiver ou supprimer une stratégie 351 À propos de l’ordre de priorité des stratégies 351 Ordre de priorité automatique des stratégies 351 Spécificité de stratégie et protocoles 352 Règles de trafic 352 Actions de pare-feu 353 Calendriers 353 Types et noms de stratégie 353 Définir la priorité manuellement 353 Créer des calendriers pour les actions Firebox 354 Définir un calendrier d'application 355 À propos des stratégies personnalisées 356 Créer ou modifier un modèle de stratégie personnalisée 357 Importer et exporter des modèles de stratégie personnalisée 358 À propos des propriétés de stratégie 359 Onglet Stratégie 359 Onglet Propriétés 359 Onglet Avancé 359 Paramètres de proxy 360 Définir des règles d’accès pour une stratégie 360 Configurer le routage basé sur stratégie 363 Définir un délai d'inactivité personnalisé 365 Définir la gestion des erreurs ICMP 366 Guide de l’utilisateur xv Appliquer les règles NAT 366 Définir la durée de connexion persistante pour une stratégie 367 Paramètres proxy 369 À propos de stratégies de proxy et passerelles ALG Configuration de proxy 370 Proxy et antivirus les alarmes 370 À propos de règles et ensembles de règles 371 À propos des actions de proxy 381 Utiliser des types de contenus prédéfinis 384 À propos des configurations de blocage d’applications 384 Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy 388 Ajouter une stratégie de proxy à votre configuration 388 À propos de DNS proxy 391 Proxy DNS : Paramètres généraux 392 DNS proxy : OPcodes 393 Proxy DNS : Types de requêtes 394 DNS proxy : Noms des requêtes 396 À propos des enregistrements MX (Mail eXchange) 396 À propos de la Proxy FTP 398 Onglet Stratégie 399 Onglet Propriétés 399 Onglet Avancé 400 Proxy FTP : Paramètres généraux 400 Proxy FTP : Commandes 402 FTP proxy : Contenu 403 Proxy FTP : Antivirus 404 À propos de la Passerelle ALG H.323 xvi 369 405 Passerelle ALG H.323 : Paramètres généraux 407 Passerelle ALG H.323 : Contrôle d’accès 408 Passerelle ALG H.323 : Codecs refusés 409 À propos du proxy HTTP 411 Onglet Stratégie 411 WatchGuard System Manager Onglet Propriétés 412 Onglet Avancé 412 Requête HTTP : Paramètres généraux 413 Requête HTTP : Méthodes de requête 414 Requête HTTP : Chemins URL 416 Requête HTTP : En-tête champs 417 Requête HTTP : Autorisation 417 Réponse HTTP : Paramètres généraux 418 Réponse HTTP : Champs d’en-tête 419 Réponse HTTP : Types de contenus 419 Réponse HTTP : Cookies 420 Réponse HTTP : Types de contenus d’ensemble 421 Proxy HTTP exceptions 422 Proxy HTTP : WebBlocker 423 Proxy HTTP : bloqueur d’application 423 Proxy HTTP : Antivirus 424 Proxy HTTP : Intrusion Prevention 424 Proxy HTTP : Reputation Enabled Defense 425 Proxy HTTP : Message de refus 425 Autoriser les mises à jour Windows via le proxy HTTP 426 Utiliser un serveur proxy de mise en cache 427 À propos de la Proxy HTTPS 428 Onglet Stratégie 428 Onglet Propriétés 429 Onglet Avancé 429 Proxy HTTPS : Inspection du contenu 430 Proxy HTTPS : Noms de certificats 432 Proxy HTTPS : WebBlocker 433 Proxy HTTPS : Paramètres généraux 433 À propos de la Proxy POP3 434 Onglet Stratégie 435 Onglet Propriétés 435 Guide de l’utilisateur xvii Onglet Avancé 436 Proxy POP3 : Paramètres généraux 436 Proxy POP3 : Authentification 437 Proxy POP3 : Types de contenus 438 Proxy POP3 : Noms de fichiers 440 Proxy POP3 : En-têtes 441 Proxy POP3 : Antivirus 442 Proxy POP3 : Message de refus 443 Proxy POP3 : spamBlocker 444 À propos de la Proxy SIP Passerelle ALG SIP : Paramètres généraux 448 Passerelle ALG SIP : Contrôle d’accès 449 Passerelle ALG SIP : Codecs refusés 451 À propos de la Proxy SMTP 452 Onglet Stratégie 452 Onglet Propriétés 452 Onglet Avancé 453 Proxy SMTP : Paramètres généraux 453 Proxy SMTP : Règles de salutation 456 Proxy SMTP : Paramètres ESMTP 457 Proxy SMTP : Authentification 458 Proxy SMTP : Types de contenus 458 Proxy SMTP : Noms de fichiers 460 Proxy SMTP : E-mail de/Récept à 461 Proxy SMTP : En-têtes 462 Proxy SMTP : Antivirus 462 Proxy SMTP : Refuser message 463 Proxy SMTP : spamBlocker 464 Configurer le proxy SMTP pour placer du courrier en quarantaine 465 Protéger votre serveur SMTP du relais d’e-mails 465 À propos de la Proxy TCP-UDP Onglet Stratégie xviii 445 466 466 WatchGuard System Manager Onglet Propriétés 467 Onglet Avancé 467 Proxy TCP-UDP : Paramètres généraux 467 Proxy TCP-UDP : Blocage de l’application 468 Gestion du trafic et QoS À propos de Gestion du trafic et QoS 471 471 Activer la gestion du trafic et la fonction QoS 471 Garantir la bande passante 472 Restreindre la bande passante 473 Marquage QoS 473 Priorité du trafic 473 Limiter le nombre de connexions 474 À propos de Marquage QoS 474 Avant de commencer 475 Marquage QoS pour interfaces et stratégies 475 Marquage Qos et trafic IPSec 475 Types et valeurs de marquage 476 Activer le marquage QoS pour une interface 477 Activer le marquage QoS ou les paramètres de priorité d’une stratégie 478 Activer le marquage QoS pour un tunnel BOVPN géré 480 Contrôle du trafic et définition de stratégies 482 Définir un Action de gestion de trafic 482 Ajouter une une action de gestion de trafic à une stratégie 483 Ajouter une action de gestion de trafic à une stratégie de pare-feu BOVPN 484 Default Threat Protection 487 À propos de default threat protection 487 À propos de options de gestion des paquets par défaut 488 Définir des options de journalisation et de notification 489 À propos de attaques d’usurpation 489 À propos de Attaques d’Itinéraire source des adresses IP 490 À propos de exploration des espaces de ports et d’adresses 491 À propos de Attaques Flood 493 Guide de l’utilisateur xix À propos de À propos des paquets non gérés 494 À propos des attaques de prévention répartie contre les refus de service 496 À propos de sites bloqués 497 Sites bloqués de façon permanente 497 Liste des sites automatiquement bloqués/sites bloqués de façon temporaire 497 Bloquer un site de façon permanente 497 Créer Exceptions aux sites bloqués 499 Importer une liste des sites bloqués ou des exceptions aux sites bloqués 499 Bloquer temporairement les sites avec des paramètres de stratégie 500 Modifier la durée du blocage automatique des sites 500 À propos de Ports bloqués 501 Ports bloqués par défaut 502 Bloquer un port 503 Configuration de WatchGuard Server xx 505 Présentation des serveurs WatchGuard System Manager 505 Configurer les serveurs WatchGuard System Manager 507 Avant de commencer 507 Démarrage de l’assistant 507 Paramètres généraux 508 Paramètres de Management Server 508 Paramètres Log Server et Report Server 508 Paramètres du Quarantine Server 509 Paramètres WebBlocker Server 509 Vérification et achèvement 509 À propos de la passerelle Firebox 510 Recherche de votre clé de licence de Management Server 511 Surveiller l’état des serveurs WatchGuard 511 Configuration de vos serveurs WatchGuard 512 Ouvrir WatchGuard Server Center 513 Arrêter et démarrer vos serveurs WatchGuard 513 Installer ou configurer les serveurs WatchGuard à partir du WatchGuard Server Center 514 Quitter ou ouvrir l’application WatchGuard Server Center 515 WatchGuard System Manager Configuration et administration de Management Server À propos de WatchGuard Management Server dxvii dxvii Installer Management Server dxvii Installation du Management Server dxviii Configuration du Management Server dxviii Définir les paramètres pour le Management Server dxviii Configurer l’autorité de certification sur Management Server dxix Mettre à jour Management Server avec une nouvelle adresse de passerelle dxxii Changer l’adresse IP d’un Management Server dxxiv Changer le mot de passe Administrateur dxxvii Définir les paramètres Clé de licence, Notification et Journalisation dxxix Activer et configurer Active Directory Authentication. dxxxi Configurer les paramètres de journalisation pour Management Server dxxxiii Sauvegarder ou restaurer Management Server configuration dxxxiv Sauvegarde de votre configuration dxxxv Rétablissement de votre configuration dxxxv Transférer WatchGuard Management Server sur un nouvel ordinateur dxxxv Sauvegarde, transfert et rétablissement de votre Management Server dxxxvi Configuration d’autres serveurs installés WatchGuard Servers dxxxvi Utilisation de WSM pour la connexion au Management Server Déconnexion de Management Server Importer ou exporter Management Server configuration dxxxvii dxxxviii dxxxviii Exporter une configuration dxxxviii Importer une configuration dxxxviii Gérer des périphériques et des VPN À propos de WatchGuard System Manager 539 539 État du périphérique 539 Gestion des périphériques 540 À propos de la page Gestion des périphériques 541 Afficher les informations des périphériques gérés 542 À propos des modes Centralized Management À propos du mode géré complet Guide de l’utilisateur 543 544 xxi Changer le mode Centralized Management de votre Firebox géré Ajouter des périphériques gérés à Management Server 547 Si vous connaissez l’adresse IP actuelle du périphérique 549 Si vous ne connaissez pas l’adresse IP du périphérique 550 Définir les propriétés de gestion des périphériques 550 Paramètres de connexion 550 Préférences du tunnel IPSec 552 Informations de contact 552 Tâches planifiées pour périphériques gérés 553 Planifier la mise à jour SE 554 Planifier la synchronisation des clés de fonctionnalité 556 Redémarrage planifié 557 Consulter, annuler ou supprimer des tâches planifiées 560 Mettre à jour la configuration d’un périphérique en mode géré complet 562 Gérer les licences Manage Server 563 Affichage de l'information courante sur les clés de licence 563 Ajout ou suppression d’une clé de licence 564 Enregistrement ou annulation des modifications 564 Gérer les informations de contact des clients 565 Ajout d'un contact au Management Server 565 Modification d’un contact dans la liste de contacts 565 Afficher et gérer la liste des serveurs Report Server analysés 566 Ajout d’un Report Server dans la liste 567 Modification de l’information d’un Report Server 567 Suppression d’un Report Server de la liste 568 Ajouter et gérer des tunnels et ressources VPN 568 Afficher les tunnels VPN 568 Ajouter un tunnel VPN 568 Modifier un tunnel VPN 569 Supprimer un tunnel VPN 569 Ajouter une ressource VPN 570 Configurer un périphérique Firebox en tant que périphérique géré xxii 545 570 WatchGuard System Manager Modifier la stratégie WatchGuard 570 Configurer le périphérique géré 572 Configurer un périphérique Firebox III ou Firebox X Core exécutant WFS en tant que périphérique géré 573 À propos des périphériques Edge (v10.x et suivantes) et SOHO en tant que clients gérés 575 Préparer un Firebox X Edge (v10.x et suivantes) à ordinateur de gestion 575 Configurer un Firebox SOHO 6 en tant que périphérique géré 579 Démarrer WatchGuard System Manager outils 580 Mettre fin au bail d’un périphérique géré 581 Configurer les paramètres réseau (périphériques Edge version 10.x et suivantes uniquement) À propos de la section Modèle de configuration Mettre à jour ou redémarrer un périphérique, ou supprimer la gestion d’un périphérique 582 583 583 Mettre à jour un périphérique 583 Redémarrer un périphérique 584 Supprimer la gestion d’un périphérique 584 Créer et appliquer des modèles de configuration de périphérique 585 Configuration d’un modèle pour un périphérique géré Edge 586 Configurer un modèle pour les autres périphériques Fireware XTM 587 Ajouter une stratégie prédéfinie sur un modèle de configuration de périphérique Edge 589 Ajouter une stratégie personnalisée sur un modèle de configuration de périphérique Edge 590 Cloner un modèle de configuration de périphériques 593 Changer le nom d’un modèle de configuration de périphérique 593 Affectation de périphériques gérés à des modèles de configuration de périphérique 595 Gestion des alias sur les périphériques Firebox X Edge 597 Renommer un alias 597 Définir un alias sur un périphérique Firebox X Edge 599 Supprimer un périphérique de Centralized Management 600 Administration à base de rôles À propos de l’administration à base de rôles dciii dciii Rôles et stratégies de rôles dciii Suivi d’audit dciv À propos des rôles prédéfinis dciv Guide de l’utilisateur xxiii Utilisation d’une administration à base de rôles avec un Management Server externe dcviii Définir ou supprimer des utilisateurs ou des groupes dcviii Utilisation de WatchGuard System Manager pour configurer les utilisateurs ou groupes dcviii Utilisation de WatchGuard Server Center pour configurer des utilisateurs ou groupes dcx Suppression d’un utilisateur ou d’un groupe dcxi Définir les rôles et les propriétés de rôles Définir des rôles dans WatchGuard Server Center dcxii Définir des rôles dans WatchGuard System Manager dcxii Configuration des rôles et stratégies de rôles dcxiii Suppression d’un rôle dcxiv Attribuer des rôles à un utilisateur ou à un groupe dcxiv Attribution de rôles dans WatchGuard System Manager dcxv Attribution de rôles dans WatchGuard Server Center dcxvi Journalisation et notification À propos de la journalisation et des fichiers journaux xxiv dcxii 619 619 Serveurs Log Server 619 LogViewer 620 Journalisation et notification dans les applications et sur les serveurs 620 À propos de messages de journaux 621 Fichiers journaux 621 Bases de données 621 Performances et espace disque 622 Types de messages de journaux 622 Niveau d’un message du journal 623 À propos de la notification 624 Démarrage rapide — Configurer la journalisation pour votre réseau 625 Configurer un serveur Log Server 627 Installer Log Server 628 Avant de commencer 628 Configurer les paramètres du système 629 Configurer le serveur Log Server 629 Configurer les paramètres de base de données et de clé de chiffrement 630 WatchGuard System Manager Configurer les paramètres de base de données 631 Configurer les paramètres de notification 634 Configurer les paramètres de journalisation 637 Déplacer le répertoire de données de journal 639 Démarrer et arrêter Serveur Log Server 641 Configurer les paramètres de journalisation pour vos serveurs WatchGuard 641 Configurer la connexion à un serveur WatchGuard Log Server 642 Configurer la journalisation vers l’Observateur d’événements Windows 643 Enregistrer les messages du journal dans un fichier journal 643 Définir la destination des messages du journal envoyés par Firebox 644 Ajouter un Serveur Log Server 645 Définir la priorité d’un serveur Log Server 648 Configurer Syslog 649 Définir la journalisation des statistiques de performances 651 Définir le niveau du journal de diagnostic 653 Configurer la journalisation et la notification pour une stratégie 655 Définir les préférences de journalisation et de notification 656 Utiliser des scripts, des utilitaires et des logiciels tiers avec Log Server 658 Sauvegarder et restaurer la base de données Log Server 658 Restaurer un fichier journal de sauvegarde 659 Importer un fichier journal sur un serveur Log Server 660 Utiliser Crystal Reports avec le serveur Log Server 661 Utiliser LogViewer pour afficher les fichiers journaux 662 Ouvrir LogViewer 662 Se connecter à un périphérique 663 Ouvrir les journaux du serveur Log Server principal 665 Définir les préférences utilisateur de LogViewer 666 Détails des messages du journal 669 Utiliser le Gestionnaire de recherche 671 Configurer les paramètres de recherche 673 Filtrer les messages du journal par type et heure, ou exécuter une recherche de chaîne 674 Utilisez l’Extrait du journal (Log Excerpt) pour filtrer les résultats de recherche 676 Guide de l’utilisateur xxv Exécuter des tâches de diagnostic locales 678 Importer et exporter des données dans LogViewer 679 Imprimer, enregistrer ou envoyer les messages des journaux par e-mail 679 Surveiller votre périphérique Firebox 681 À propos de Firebox System Manager (FSM) 681 Démarrer Firebox System Manager 682 Se déconnecter de Firebox et se connecter à nouveau 682 Définir l’intervalle d’actualisation et la mise en pause de l’affichage 683 État de base de Firebox et état du réseau (onglet Panneau avant) 684 Avertissements et notifications 684 Développer et fermer les arborescences 686 686 Affichage visuel du trafic entre les interfaces 686 Volume du trafic, charge du processeur et état de base 688 État de Firebox 688 Messages des journaux Firebox (Moniteur du trafic) 690 Trier et filtrer les messages des journaux du Moniteur du trafic 691 Modifier les paramètres du Moniteur du trafic 692 Copier des messages dans une autre application 694 En savoir plus sur les messages du journal du trafic messages 694 Activer la notification des messages spécifiques 697 Affichage visuel de l’utilisation de la bande passante (onglet Mesure de la bande passante) Modifier les paramètres de mesure de la bande passante 698 Modifier l’échelle 699 Ajouter et supprimer des lignes 699 Changer les couleurs 700 Changer l’apparence des interfaces 700 Affichage visuel de utilisation des stratégies (onglet Suivi du service) xxvi 698 700 Modifier les paramètres de Suivi du service 701 Modifier l’échelle 702 Afficher la bande passante utilisée par une stratégie 702 Ajouter et supprimer des lignes 703 WatchGuard System Manager Changer les couleurs 703 Changer le mode d’affichage des noms de stratégie 703 Statistiques du trafic et des performances (onglet Rapport d’état) 703 Modifier l’intervalle d’actualisation 706 Vérifier les informations de trace de paquet pour le dépannage 706 Utilisateurs authentifiés (Liste d’authentification) 707 Utiliser la liste des accès sortants 709 Connexions aux points d’accès sans fil 710 Afficher ou modifier la liste des sites bloqués (onglet Sites bloqués) 711 Modifier la liste des sites bloqués 712 Sites bloqués et Moniteur du trafic 713 Statistiques des services d’abonnement (onglet Services d’abonnement) 714 Statistiques de Gateway AntiVirus 715 Statistiques du service Intrusion Prevention Service 716 Statistiques de spamBlocker 717 À propos de HostWatch 717 Fenêtre HostWatch 717 Résolution DNS et HostWatch 718 Ouvrir HostWatch 718 Mettre en pause et démarrer l’affichage d’HostWatch 718 Sélectionner les connexions et les interfaces à analyser 719 Filtrer le contenu d’une fenêtre HostWatch 720 Modifier les propriétés visuelles d’HostWatch 721 Visiter ou bloquer un site à partir d’ HostWatch 722 À propos de Performance Console 723 Démarrer Performance Console 723 Créer des graphiques avec Performance Console 724 Types de compteurs 724 Arrêter l’analyse ou fermer la fenêtre 725 Définir les compteurs de performances 725 Ajouter des graphiques ou modifier les intervalles d’interrogation 728 À propos des certificats et de FSM Guide de l’utilisateur 729 xxvii Journal des communications 730 Utiliser Firebox System Manager (FSM) 731 Synchroniser l’heure 731 Redémarrer ou arrêter votre Firebox ; 732 Effacer le cache ARP 733 Afficher et synchroniser les clés de fonctionnalité 733 Calculer la somme de contrôle de Fireware XTM 736 Effacer les alarmes 736 Renouveler la clé des tunnels BOVPN 737 Contrôler FireCluster 738 Mettre à jour la région sans fil d’un périphérique XTM 2 Series 738 Changer mots de passe 738 Rapports WatchGuard À propos de Report Server 741 Installer Report Server 741 Démarrer ou arrêter Report Server 758 À propos de WatchGuard Report Manager 758 Ouvrir Report Manager 759 Définirles options de rapport 760 Liste de rapports prédéfinis 764 Sélectionner les paramètres de rapport 767 Sélectionner les rapports à générer 770 Afficher un rapport 771 Afficher les rapports d’utilisation d’Internet des clients 773 Filtrer les données du rapport 774 Sélectionner le format de rapport 779 Imprimer, enregistrer ou envoyer un rapport par e-mail 780 Certificats et autorité de certification À propos des certificats xxviii 741 781 781 Utiliser plusieurs certificats pour établir la confiance 781 Mode d’utilisation des certificats sur Firebox 782 Durée de vie des certificats et listes de révocation de certificats (CRL) 783 WatchGuard System Manager Autorités de certification et demandes de signatures 783 Autorités de certification approuvées par Firebox 784 Afficher et gérer les certificats Firebox 789 Examiner et gérer les certificats Management Server 794 Créer un certificat à l’aide de FSM ou de Management Server 795 Créer un certificat à l’aide de FSM 796 Créer un certificat autosigné avec CA Manager 799 Créer une demande de signature de certificat à l’aide d’OpenSSL Utiliser OpenSSL pour générer une demande de signature de certificat Signer un certificat avec l’autorité de certification Microsoft 799 799 800 Délivrer le certificat 801 Télécharger le certificat 801 Utiliser des certificats pour authentification 801 Utiliser des certificats pour un tunnel Mobile VPN with IPSec authentification 802 Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN 803 Configurer le certificat de serveur Web pour Firebox authentification 805 Utiliser des certificats pour le proxy HTTPS 807 Protéger un serveur HTTPS privé 807 Examiner le contenu des serveurs HTTPS externes 808 Exporter le certificat d’inspection de contenu de HTTPS 809 Importer les certificats sur les périphériques clients 809 Dépanner les problèmes de l’inspection de contenu HTTPS 809 Importer un certificat sur un périphérique client 809 Importer un certificat au format PEM sous Windows XP 810 Importer un certificat au format PEM sous Windows Vista 810 Importer un certificat au format PEM dans Mozilla Firefox 3.x 810 Importer un certificat au format PEM sous Mac OS X 10.5 811 Réseaux Privés Virtuel (VPN) dcccxiii Introduction aux VPN dcccxiii VPN pour succursale dcccxiii Mobile VPN dcccxiv À propos des VPN IPSec Guide de l’utilisateur dcccxiv xxix À propos des algorithmes IPSec et des protocoles dcccxiv À propos des négociations VPN IPSec dcccxvi Configurer les paramètres de phase 1 et 2 dcccxix À propos de Mobile VPN Sélectionner un Mobile VPN dcccxx Options d’accès Internet pour les utilisateurs Mobile VPN dcccxxii Vue d’ensemble de la configuration Mobile VPN dcccxxiii Tunnels BOVPN gérés À propos des tunnels BOVPN gérés 825 825 Comment créer un tunnel BOVPN géré 825 Options de tunnel 826 Basculement VPN 826 Paramètres VPN globaux 826 État du tunnel BOVPN 827 Renouveler la clé des tunnels BOVPN 827 Ajouter des ressources VPN 827 Récupérer les ressources actuelles d’un périphérique 827 Créer une ressource VPN 828 Ajouter un hôte ou un réseau 829 Ajouter des modèles de stratégie de pare-feu VPN 829 Définir le calendrier d’un modèle de stratégie 831 Utiliser le marquage QoS dans un modèle de stratégie 831 Configurer la gestion du trafic dans un modèle de stratégie 832 Ajouter des modèles de sécurité 832 Créer des tunnels gérés entre les périphériques 835 Modifier une définition de tunnel 836 Supprimer des tunnels et des périphériques 837 Supprimer un tunnel 837 Supprimer un périphérique 837 État du tunnel VPN et des services d’abonnement xxx dcccxx 838 État du Tunnel Mobile VPN 838 État des services d’abonnement 839 WatchGuard System Manager Tunnels BOVPN manuels 839 Comment créer un réseau BOVPN manuel 839 À propos des tunnels BOVPN manuels 840 Comment créer un réseau privé virtuel (VPN) 840 Comment créer un tunnel BOVPN manuel 841 Stratégies de tunnel personnalisées 841 Tunnels unidirectionnels 841 Basculement VPN 841 Paramètres VPN globaux 842 État du tunnel BOVPN 842 Renouveler la clé des tunnels BOVPN 842 Tableau d’exemple d’informations sur l’adresse VPN 842 Configurer les passerelles 844 Définir les points de terminaison de passerelle 846 Configurer les modes et les transformations (Paramètres de phase 1) 848 Modifier et supprimer des passerelles 852 Désactiver le démarrage automatique du tunnel 853 Si votre Firebox se trouve derrière un périphérique NAT 853 Créer des tunnels entre des points de terminaison de passerelle 854 Définir un tunnel 854 Ajouter des itinéraires à un tunnel 857 Configurer les Paramètres de phase 2 858 Ajouter une proposition de phase 2 860 Modifier l’ordre des tunnels 862 À propos des paramètres VPN globaux 862 Activer le transit IPSec 863 Activer le type de service (TOS) pour IPSec 863 Activer le serveur LDAP pour la vérification du certificat 863 Notification BOVPN 864 Définir une stratégie de tunnel personnalisée 864 Choisissez un nom pour les stratégies 864 Sélectionnez le type de stratégie 864 Guide de l’utilisateur xxxi Sélectionnez les tunnels BOVPN 864 Créez un alias pour les tunnels 864 Fin de l’Assistant BOVPN Policy Wizard 865 Configurer la traduction d’adresses réseau (NAT) dynamique pour le trafic sortant via un tunnel BOVPN 865 Configurez le point de terminaison où tout le trafic doit sembler venir de la même adresse (site A). 865 Configurez le point de terminaison qui s’attend à ce que tout le trafic provienne d’une seule adresse IP (Site B). Utiliser 1-to-1 NAT via un tunnel BOVPN 869 1-to-1 NAT et réseaux VPN 870 Autres raisons d’utiliser 1-to-1 NAT via un réseau VPN 870 Alternative à l’utilisation de la traduction d’adresses réseau (NAT) 870 Configuration du réseau VPN 870 Exemple 871 Configurer le tunnel local 872 Configurer le tunnel distant 874 Définir un itinéraire pour tout le trafic Internet 875 Configurer le tunnel BOVPN sur le Firebox distant 876 Configurer le tunnel BOVPN sur le Firebox central 876 Ajouter une entrée de traduction d’adresses réseau (NAT) dynamique au Firebox central 877 Activer le routage de multidiffusion via un tunnel BOVPN 878 Activer un périphérique WatchGuard pour qu’il envoie du trafic de multidiffusions via un tunnel 879 Activer l’autre périphérique WatchGuard pour qu’il reçoive le trafic de multidiffusions via un tunnel 880 Activer le routage de diffusion par un tunnel BOVPN 881 Activez le routage de diffusion pour le Firebox local 881 Configurez le routage de diffusion pour le Firebox de l’autre extrémité du tunnel. 883 Basculement de tunnel sur les réseaux BOVPN 884 Configurer le basculement VPN 885 Définir plusieurs paires de passerelles Forcer le renouvellement d’une clé de tunnel BOVPN xxxii 867 886 888 WatchGuard System Manager Pour renouveler une clé pour un tunnel BOVPN 888 Pour renouveler la clé de tous les tunnels BOVPN, procédez comme suit : 888 Questions liées à la configuration du réseau BOVPN 888 Pourquoi avez-vous besoin d’une adresse externe statique ? 888 Comment obtenir une adresse IP externe statique ? 889 Comment dépanner la connexion ? 889 Pourquoi le test ping ne fonctionne-t-il pas ? 889 Comment définir plus de tunnels VPN que le nombre autorisé sur un périphérique Edge ? 889 Augmenter la disponibilité du tunnel BOVPN Mobile VPN with PPTP 890 895 À propos de Mobile VPN with PPTP 895 Spécifications de Mobile VPN with PPTP 895 Niveaux de chiffrement Configurer Mobile VPN with PPTP 896 897 Authentification 898 Définir le chiffrement pour les tunnels PPTP 898 MTU et MRU 898 Définir les paramètres de délai pour les tunnels PPTP 899 Ajouter au pool d’adresses IP 899 Enregistrer les modifications 900 Configurer des serveurs WINS et DNS 900 Ajouter de nouveaux utilisateurs au groupe d’utilisateurs PPTP 901 Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with PPTP 903 VPN avec route par défaut 904 VPN avec tunneling fractionné 904 Configuration de l’itinéraire VPN par défaut pour Mobile VPN with PPTP 904 Divisez la configuration du tunnel VPN pour Mobile VPN with PPTP 904 Configurer des stratégies pour contrôler l’accès client Mobile VPN with PPTP 905 Autoriser les utilisateurs PPTP à accéder à un réseau approuvé 905 Utilisez d’autres groupes ou utilisateurs dans une stratégie PPTP 908 Préparer les ordinateurs clients pour PPTP Guide de l’utilisateur 909 xxxiii Préparer un ordinateur client Windows NT ou 2000 : installer l’Accès réseau à distance de Microsoft et les Services Packs 909 Créer et connecter un Mobile VPN PPTP pour Windows Vista 910 Créer et connecter un PPTP Mobile VPN pour Windows XP 911 Créer et connecter un PPTP Mobile VPN pour Windows 2000 912 Établir des connexions PPTP sortantes derrière un système Firebox 913 Mobile VPN with IPSec 915 À propos de Mobile VPN with IPSec IPSec 915 Configurer une connexion Mobile VPN with IPSec 915 Configuration système requise 916 Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with IPSec 917 À propos des fichiers de configuration client Mobile VPN 917 Configurer Firebox pour Mobile VPN with IPSec 918 Ajouter des utilisateurs à un groupe Firebox Mobile VPN 923 Modifier un profil de groupe existant Mobile VPN with IPSec 925 Configurer les Serveurs WINS et DNS 936 Verrouiller le profil d’un utilisateur final 937 Enregistrer le profil dans Firebox 938 Fichiers de configuration Mobile VPN with IPSec 938 Configurer les stratégies à filtrer Trafic Mobile VPN 939 Distribuer les logiciels et les profils 940 Rubriques supplémentaires sur Mobile VPN 941 Configurer Mobile VPN with IPSec sur une adresse IP dynamique 942 À propos du Client Mobile VPN with IPSec Spécifications du client 944 Installer le logiciel client Mobile VPN with IPSec 945 Connecter et déconnecter le Client Mobile VPN 947 Afficher les messages de journaux Mobile VPN 949 Sécurisez votre ordinateur avec le pare-feu Mobile VPN 950 Instructions à destination de l’utilisateur final pour l’installation du client WatchGuard Mobile VPN with IPSec 958 Configuration Mobile VPN pour Windows Mobile xxxiv 944 964 WatchGuard System Manager Configurations logicielles requises pour le client Mobile VPN WM Configurator et Windows Mobile IPSec 964 Installer le logiciel Mobile VPN WM Configurator 965 Sélectionner certificat et entrer le PIN 965 Importer un profil de l’utilisateur final 966 Installer le logiciel client Windows Mobile sur le périphérique Windows Mobile 966 Télécharger le profil de l’utilisateur sur le périphérique Windows Mobile 968 Connecter et déconnecter le Mobile VPN pour client Windows Mobile 969 Sécurisez votre périphérique Windows Mobile à l’aide du pare-feu Mobile VPN 972 Arrêter le service WatchGuard Mobile VPN 972 Désinstaller le Configurateur, le Service et le Moniteur 973 Mobile VPN with SSL 975 À propos de Mobile VPN with SSL 975 Configurer le périphérique Firebox ou XTM pour Mobile VPN with SSL 975 Configurer les paramètres d’authentification et de connexion 976 Configurer les paramètres Mise en réseau et Pool d’adresses IP 977 Configurer les paramètres avancés de Mobile VPN with SSL 979 Configurer l’authentification de l’utilisateur pour Mobile VPN with SSL 981 Configurer des stratégies pour contrôler l’accès client Mobile VPN with SSL 981 Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with SSL 983 Résolution de nom pour Mobile VPN with SSL 984 Installer et connecter le client Mobile VPN with SSL 985 Spécifications de l’ordinateur client 986 Télécharger le logiciel client 986 Installer le logiciel client 987 Connectez-vous à votre réseau privé 988 Contrôles du client Mobile VPN with SSL 988 Distribuer et installer manuellement le logiciel client et le fichier de configuration Mobile VPN with SSL 989 Désinstaller le client Mobile VPN with SSL WebBlocker À propos de WebBlocker Guide de l’utilisateur 991 993 993 xxxv Configurer WebBlocker Server 994 Installation du logiciel WebBlocker Server 994 Gestion du WebBlocker Server 994 Télécharger la base de données WebBlocker 995 Garder à jour la base de données de WebBlocker 996 Changer le port WebBlocker Server 998 Copier la base de données WebBlocker d’un WebBlocker Server à un autre 999 Démarrer avec WebBlocker 1001 Avant de commencer 1001 Activation de WebBlocker sur le périphérique WatchGuard 1001 Définir des stratégies pour WebBlocker 1001 Identification des serveurs WebBlocker 1002 Sélectionner les catégories à bloquer 1004 Utiliser des règles d’exception pour limiter l’accès à des sites Web 1004 Configurer WebBlocker xxxvi 1004 Paramétrage de WebBlocker pour une stratégie 1004 Copier des paramètres WebBlocker entre stratégies 1005 Ajouter de nouveaux serveurs WebBlocker ou modifier leur ordre 1006 À propos des catégories WebBlocker 1007 Changer catégories à bloquer 1008 Vérifier si un site appartient à une catégorie 1009 Ajouter, supprimer ou modifier une catégorie 1010 Définir les Options WebBlocker 1011 Paramétrage des alarmes WebBlocker 1014 À propos de les exceptions WebBlocker 1014 Définir l’action à entreprendre pour les sites qui ne correspondent pas exceptions 1014 Composants des règles d’exception 1015 Exceptions avec une partie d’une URL 1015 Ajouter des exceptions de serveurs WebBlocker 1015 Modifier l’ordre des règles d’exception 1018 Importer ou exporter des règles d’exception WebBlocker 1019 Interdire aux utilisateurs un ensemble spécifique de sites Web 1020 WatchGuard System Manager Utiliser des actions WebBlocker dans des définitions de proxy 1024 Définir des actions WebBlocker supplémentaires 1025 Ajouter des actions WebBlocker à une stratégie 1025 Planification des actions WebBlocker 1026 Présentation de l’expiration des services d’abonnements WebBlocker 1027 Exemples 1027 Utilisation de la fonction de contournement local WebBlocker 1027 Utilisation d’un WebBlocker Server protégé par un autre périphérique WatchGuard 1028 Configurer les stratégies WebBlocker pour les groupes avec Active Directory Authentication Configuration des stratégies WebBlocker pour les groupes avec authentification Firebox spamBlocker À propos de spamBlocker 1035 1050 1067 1067 Caractéristiques de spamBlocker 1068 Actions, indicateurs et catégories de spamBlocker 1068 Activation spamBlocker 1070 Appliquer les paramètres spamBlocker à vos stratégies 1071 Créer des stratégies de proxy 1071 Configurer spamBlocker 1072 À propos des exceptions spamBlocker 1074 Configurer les actions de Virus Outbreak Detection pour une stratégie : 1078 Configuration de spamBlocker placer du courrier en quarantaine 1079 À propos de l’utilisation de spamBlocker avec plusieurs proxies 1080 Définir les paramètres globaux spamBlocker 1080 Utilisation d’un serveur proxy HTTP pour spamBlocker 1082 Ajouter des redirecteurs d’e-mails approuvés pour améliorer la précision du score de probabilité de courrier indésirable 1083 Activer VOD (Virus Outbreak Detection) et définir ses paramètres 1084 spamBlocker et les limites d’analyse VOD 1084 Création de règles pour votre lecteur de messagerie Envoyer Courrier indésirable ou messages en masse dans des dossiers Outlook spéciaux Envoi d’un rapport sur les faux positifs ou les faux négatifs Guide de l’utilisateur 1085 1086 1086 xxxvii Utiliser la référence RefID à la place du texte du message 1087 Établir la catégorie attribuée à un e-mail 1088 Reputation Enabled Defense mlxxxix À propos de Reputation Enabled Defense mlxxxix Seuils de réputation mlxxxix Scores de réputation mxc Résultats de Reputation Enabled Defense mxc Configurer Reputation Enabled Defense mxc Avant de commencer mxc Activer Reputation Enabled Defense mxci Configurer les seuils de réputation mxci Configurer la notification d’alarme pour les actions de RED mxcii Envoyer les résultats d’analyse de Gateway AV à WatchGuard mxciii Gateway AntiVirus et Intrusion Prevention 1095 À propos de Gateway AntiVirus et Intrusion Prévention 1095 Installer et mettre à niveau Gateway AV/IPS 1096 Présentation de Gateway AntiVirus/Intrusion Prevention et stratégies de proxies 1096 Activer Gateway AntiVirus 1097 Activez la passerelle antivirus (Gateway AV) avec un assistant dans Policy Manager 1097 Activation Gateway AntiVirus à partir de définitions de proxy 1100 Actions de configuration de Gateway AntiVirus Configuration des actions de Gateway AV pour une action de proxy 1102 Configuration de la notification d’alarme pour les actions antivirus 1104 Déverrouiller un fichier verrouillé par Gateway AntiVirus 1105 Configurer les Gateway AntiVirus : placer du courrier en quarantaine 1105 À propos des limites d’analyse Gateway AntiVirus 1106 Mettez à jour les paramètres Gateway AV/IPS 1106 Si vous utilisez un client antivirus tiers 1106 Configuration les paramètres de décompression de Gateway AV 1107 Configurer le serveur de mise à jour Gateway AV/IPS 1108 Afficher l’état des services d’abonnement et mettre à jour manuellement les signatures 1109 Activation Intrusion Prevention Service xxxviii 1101 1111 WatchGuard System Manager Sélection des stratégies de proxy à activer 1112 Créer des stratégies de proxy 1113 Sélection des paramètres avancés de la fonction Intrusion Prevention. 1114 Configurer les Intrusion Prevention Service 1115 Configurer les actions IPS 1115 Configurer les Exceptions de signatures 1118 Copie des paramètres d’IPS vers d’autres stratégies 1120 Activer et configurer Intrusion Prevention Service pour TCP-UDP Quarantine Server 1120 1121 À propos de Quarantine Server 1121 Configurer Quarantine Server 1122 Installer le logiciel Quarantine Server 1122 Lancez l’assistant Server Center Setup Wizard de WatchGuard 1122 Configurer les paramètres de Quarantine Server 1123 Configurer Firebox pour mettre en quarantaine le courrier 1123 Configurer les paramètres du serveur Quarantine Server 1124 Définir paramètres du serveur 1125 Configurer les paramètres de suppression et les domaines acceptés 1126 Configurer les paramètres de notification d’utilisateur 1128 Configurer les paramètres de journalisation pour Quarantine Server 1130 Configurer les règles de Quarantine Server 1131 Définir l’emplacement de Quarantine Server sur Firebox 1132 À propos de Quarantine Server Client 1133 Gérer les messages mis en quarantaine 1134 Gérer les utilisateurs de Quarantine Server 1137 Obtenir des statistiques sur l’activité de Quarantine Server 1140 Exemples Configuration de la notification d’utilisateur avec Microsoft Exchange 2003 ou 2007 Guide de l’utilisateur 1141 1141 xxxix Guide de l’utilisateur xl 1 Introduction à la sécurité des réseaux À propos des réseaux et de leur sécurité Un réseau est un groupe d’ordinateurs et de périphériques connectés les uns aux autres. Il peut être composé de deux ordinateurs dans la même pièce, de douzaines d'ordinateurs dans une entreprise ou d'une multitude d'ordinateurs dans le monde entier connectés entre eux via Internet. Les ordinateurs faisant partie du même réseau peuvent fonctionner ensemble et partager des données. Les réseaux tels qu'Internet vous donnent accès à un large éventail d'informations et d'opportunités commerciales, mais ils rendent également votre réseau accessible aux personnes malveillantes. De nombreuses personnes pensent que leurs ordinateurs ne contiennent pas d'informations importantes ou que les hackers ne sont pas intéressés par leurs ordinateurs. La réalité en est tout autrement. Un pirate informatique peut utiliser votre ordinateur en tant que plate-forme d'attaque contre d'autres ordinateurs ou réseaux. Les informations concernant votre organisation, y compris les données personnelles des utilisateurs ou clients, sont également très prisées des hackers. Votre périphérique WatchGuard et votre abonnement LiveSecurity peuvent vous aider à prévenir ce type d'attaques. Une bonne stratégie de sécurité réseau ou un jeu de règles d'accès pour les utilisateurs et les ressources peuvent également vous aider à découvrir et à prévenir les attaques dirigées contre votre ordinateur et votre réseau. Nous vous conseillons de configurer votre Firebox de manière à correspondre à votre stratégie de sécurité et de prendre en compte les menaces de l'extérieur aussi bien que de l'intérieur de votre organisation. À propos d'Internet connexions Les fournisseurs de services Internet sont des sociétés qui donnent accès à Internet via des connexions réseau. Le débit avec lequel une connexion réseau peut envoyer des données est appelé bande passante : par exemple, 3 mégabits par seconde (Mbits/s). User Guide i Introduction à la sécurité des réseaux Une connexion Internet à haut débit, telle qu’un modem câble ou DSL (Digital Subscriber Line), est appelée connexion large bande. Les connexions large bande sont beaucoup plus rapides que les connexions d’accès à distance. La bande passante d’une connexion d’accès à distance est inférieure à .1 Mbits, alors qu’avec un modem câble elle peut être de 5 Mbits ou plus. Les débits des modems câbles sont généralement inférieurs aux débits maximaux, car chaque ordinateur d’un voisinage appartient à un LAN. Chaque ordinateur d’un LAN utilise une partie de la bande passante. À cause de ce système média partagé , les connexions modem câble peuvent être ralenties lorsque davantage d’utilisateurs se connectent au réseau. Les connexions DSL offrent une bande passante constante, mais sont généralement plus lentes que les connexions modem câble. De plus, la bande passante est seulement constante entre votre domicile ou votre bureau et le bureau central DSL. Le bureau central DSL ne peut pas garantir une bonne connexion à un site Web ou un réseau. Mode de transmission des informations sur Internet Les données que vous envoyez via Internet sont découpées en unités ou paquets. Chaque paquet inclut l’adresse Internet de la destination. Les paquets d’une connexion peuvent utiliser différents itinéraires via Internet. Lorsqu’ils arrivent à destination, ils sont assemblés dans l’ordre initial. Pour garantir que les paquets arrivent à destination, les informations d’adresse sont ajoutées aux paquets. À propos des protocoles Un protocole est un ensemble de règles qui autorise les ordinateurs à se connecter au sein d’un réseau. Les protocoles sont la « grammaire » du langage que les ordinateurs utilisent lorsqu'ils communiquent entre eux sur un réseau. Le protocole standard de connexion à Internet est le protocole IP (Internet Protocol). Ce protocole est le langage commun des ordinateurs sur Internet. ii WatchGuard System Manager Introduction à la sécurité des réseaux Un protocole indique également le mode d’envoi des données à travers un réseau. Les protocoles les plus fréquemment utilisés sont TCP (Transmission Control Protocol) et UDP (User Datagram Protocol). TCP/IP est le protocole de base utilisé par des ordinateurs qui se connectent à Internet. Vous devez connaître certains des paramètres TCP/IP lorsque vous installez votre périphérique WatchGuard. Pour plus d'information sur le protocole TCP (Transmission Control Protocol)/IP, voir Trouvez vos propriétés TCP/IP à la page 43. À propos de Adresses IP Pour envoyer un courrier normal à quelqu’un, vous devez connaître son adresse postale. Pour qu'un ordinateur puisse envoyer des données à un autre ordinateur via Internet, le premier ordinateur doit connaître l’adresse du deuxième. L’adresse d’un ordinateur est appelée adresse IP (Internet Protocol). Tous les périphériques sur Internet ont une adresse IP unique, qui permet aux autres périphériques également sur Internet de les trouver et d’interagir avec eux. Une adresse IP se compose de quatre octets (séquences binaires de 8 bits) au format décimal et séparés par des points. Chaque chiffre entre les points doit être compris entre 0 et 255. Voici quelques exemples d'adresses IP : n n n 206.253.208.100 4.2.2.2 10.0.4.1 Adresses et passerelles privées De nombreuses sociétés créent des réseaux privés dotés de leur propre espace d’adresses. Les adresses 10.x.x.x et 192.168.x.x sont réservées pour les adresses IP privées. Les ordinateurs sur Internet ne peuvent pas utiliser ces adresses. Si votre ordinateur est sur un réseau privé, vous vous connectez à Internet via un périphérique de passerelle doté d’une adresse IP publique. La passerelle par défaut correspond généralement au routeur situé entre votre réseau et Internet. Après l’installation de Firebox sur votre réseau, il devient la passerelle par défaut de tous les ordinateurs connectés à ses interfaces approuvées ou facultatives. À propos de masques de sous-réseau Dans un souci de sécurité et de performance, les réseaux sont souvent divisés en parties plus petites appelées sous-réseaux. Tous les périphériques d’un sous-réseau ont des adresses IP similaires. Par exemple, tous les périphériques ayant des adresses IP dont les trois premiers octets sont 50.50.50 appartiennent au même sous-réseau. Un masque de sous-réseau d'une adresse IP de réseau, ou masque de sous-réseau, est une série d'octets servant à masquer les sections de l'adresse IP qui identifient quelles parties de l'adresse IP sont consacrées au réseau et quelles parties sont pour l'hôte. Un masque de sous-réseau peut être rédigé de la même façon qu'une adresse IP ou en notation slash ou CIDR. User Guide iii Introduction à la sécurité des réseaux À propos de la notation de barre oblique Votre Firebox utilise les barres obliques à de nombreuses fins, y compris la configuration de stratégies. La notation de barre oblique, appelée également notation CIDR (Classless Inter-Domain Routing) , est un moyen compact d'afficher ou d'écrire un masque de sous-réseau. Lorsque vous utilisez la notation de barre oblique, vous écrivez l'adresse IP, une barre oblique droite (/) et le numéro de masque de sous-réseau. Pour trouver le numéro de masque de sous-réseau : 1. Convertissez la représentation décimale du masque de sous-réseau en une représentation binaire. 2. Comptez chaque « 1 » dans le masque de sous-réseau. Le total est le numéro de masque de sousréseau. Par exemple, vous souhaitez écrire l'adresse IP 192.168.42.23 avec un masque de sous-réseau de 255.255.255.0 en notation de barre oblique. 1. Convertissez le masque de sous-réseau en notation binaire. Dans cet exemple, la représentation binaire de 255.255.255.0 est : 11111111.11111111.11111111.00000000. 2. Comptez chaque « 1 » dans le masque de sous-réseau. Dans cet exemple, il y en a vingt-quatre (24). 3. Écrivez l'adresse IP originale, une barre oblique droite (/), puis le chiffre de l'étape 2. Le résultat est 192.168.42.23/24. Ce tableau affiche les masques de réseau courants et leurs équivalents avec des barres obliques. Masque de réseau Équivalent avec des barres obliques 255.0.0.0 /8 255.255.0.0 /16 255.255.255.0 /24 255.255.255.128 /25 255.255.255.192 /26 255.255.255.224 /27 255.255.255.240 /28 255.255.255.248 /29 255.255.255.252 /30 À propos de la saisie Adresses IP Lorsque vous saisissez des adresses IP dans l'Assistant Quick Setup Wizard ou dans les boîtes de dialogue, saisissez les chiffres et les points dans le bon ordre. N'utilisez pas la touche TABULATION, les touches de direction, la barre d'espacement ou la souris pour placer votre curseur après les points. iv WatchGuard System Manager Introduction à la sécurité des réseaux Si, par exemple, vous entrez l'adresse IP 172.16.1.10, ne saisissez pas d'espace après « 16 ». N'essayez pas de placer votre curseur après le point suivant pour entrer « 1 ». Saisissez un point directement après « 16 », puis saisissez « 1.10 ». Appuyez sur la touche barre oblique (/) pour passer au masque réseau. Statique et dynamique Adresses IP Les fournisseurs de services Internet attribuent une adresse IP à chaque périphérique de leur réseau. Cette adresse IP peut être statique ou dynamique. Adresse IP statique Une adresse IP statique est une adresse IP qui reste toujours la même. Si votre serveur Web, votre serveur FTP ou une autre ressource Internet doit avoir une adresse qui ne peut pas changer, votre fournisseur de services Internet peut vous fournir une adresse IP statique. Une adresse IP statique est généralement plus chère qu’une adresse IP dynamique et certains fournisseurs de services Internet ne fournissent pas d’adresse IP statique. Vous devez configurer une adresse IP statique manuellement. Adresse IP dynamique Une adresse IP dynamique est une adresse IP que le fournisseur de services Internet vous permet d’utiliser de façon temporaire. Si une adresse dynamique n’est pas utilisée, elle peut être attribuée automatiquement à un autre périphérique. Les adresses IP dynamiques sont attribuées à l’aide de DHCP ou de PPPoE. À propos de DHCP DHCP (Dynamic Host Configuration Protocol) est un protocole Internet que les ordinateurs d’un réseau utilisent pour obtenir des adresses IP et d’autres informations telles que la passerelle par défaut. Lorsque vous vous connectez à Internet, un ordinateur configuré comme serveur DHCP chez le fournisseur de services Internet vous attribue automatiquement une adresse IP. Il peut s’agir de l’adresse IP que vous aviez avant ou d’une nouvelle. Lorsque vous fermez une connexion Internet qui utilise une adresse IP dynamique, le fournisseur de services Internet peut attribuer cette adresse IP à un autre client. Vous pouvez configurer votre périphérique WatchGuard en tant que serveur DHCP pour les réseaux derrière le périphérique. Vous attribuez une série d'adresse à l'usage du serveur DHCP. À propos de PPoE Certains fournisseurs attribuent des adresses IP via PPPoE (Point-to-Point Protocol over Ethernet). PPPoE ajoute certaines des fonctionnalités Ethernet et PPP à une connexion d’accès à distance standard. Ce protocole de réseau permet au fournisseur de services Internet d’utiliser les systèmes de sécurité, d’authentification et de facturation de leur infrastructure d’accès à distance avec un modem DSL et des modems câblés. User Guide v Introduction à la sécurité des réseaux À propos de DNS (Domain Name System) Vous pouvez fréquemment trouver l'adresse d'une personne que vous ne connaissez pas dans l'annuaire téléphonique. Sur Internet, l'équivalent d'un annuaire téléphonique est le DNS(Domain Name System) DNS est un réseau de serveurs qui traduit des adresses IP numériques en adresses Internet lisibles et inversement. DNS prend le nom de domaine convivial que vous saisissez lorsque vous souhaitez voir un certain site Web, tel que www.exemple.com, et trouve l'adresse IP correspondante, telle que 50.50.50.1. Les périphériques réseau ont besoin de l'adresse IP réelle pour trouver le site Web, mais les noms de domaine sont plus faciles à saisir et à mémoriser pour les utilisateurs que les adresses IP. Un serveur DNS est un serveur qui effectue cette traduction. De nombreuses organisations ont dans leur réseau des serveurs DNS privés qui répondent aux requêtes DNS. Vous pouvez également utiliser un serveur DNS sur votre réseau externe, tel qu'un serveur DNS fourni par votre fournisseur de services Internet. À propos des pare-feu Un système de sécurité réseau, tel qu'un pare-feu, sépare vos réseaux internes des connexions réseau externes afin de réduire le risque d'attaque externe. La figure ci-dessous montre comment un pare-feu protège les ordinateurs d'un réseau approuvé d’Internet. vi WatchGuard System Manager Introduction à la sécurité des réseaux Les pare-feu utilisent des stratégies d’accès pour identifier et filtrer les différents types d’informations. Ils peuvent également contrôler quelles stratégies ou quels ports les ordinateurs protégés utilisent sur Internet (accès sortants). Par exemple, de nombreux pare-feu ont des stratégies de sécurité sélectives n'admettant que des types spécifiés de trafic. Les utilisateurs peuvent sélectionner la stratégie qui leur convient le mieux. D'autres pare-feu, tels que les périphériques WatchGuard du type Firebox, permettent à l'utilisateur de personnaliser ces stratégies. Pour plus d’informations, voir À propos des services et des stratégies à la page vii et À propos des ports à la page viii Les pare-feu peuvent être matériels ou logiciels. Un pare-feu protège les réseaux privés contre les utilisateurs non autorisés sur Internet. Le trafic entrant dans ou sortant des réseaux protégés est examiné par le pare-feu. Le pare-feu refuse le trafic réseau qui ne répond pas aux critères ou stratégies de sécurité. Dans certains pare-feu fermés, ou refus par défaut , toutes les connexions réseau sont refusées sauf si une règle spécifique autorise la connexion. Pour déployer ce type de pare-feu, vous devez disposer d’informations détaillées sur les applications réseau requises pour répondre aux besoins de votre organisation. D’autres pare-feu autorisent toutes les connexions réseau qui n’ont pas été refusées de façon explicite. Ce type de pare-feu ouvert est plus facile à déployer, mais n’est pas aussi sécurisé. À propos des services et des stratégies Vous utilisez un service pour envoyer différents types de données (notamment des e-mails, des fichiers ou des commandes) d’un ordinateur à l’autre, au sein du réseau ou vers un autre réseau. Ces services utilisent des protocoles. Les services Internet fréquemment utilisés sont les suivants : n n n n n L'accès World Wide Web utilise le protocole Hypertext Transfer Protocol (HTTP) L'e-mail utilise le protocole Simple Mail Transfer Protocol (SMTP) ou le protocole Post Office Protocol (POP3) Le transfert de fichiers utilise File Transfer Protocol (FTP) La conversion d'un nom de domaine en adresse Internet utilise Domain Name Service (DNS) L'accès aux terminaux distants utilise Telnet ou SSH (Secure Shell) User Guide vii Introduction à la sécurité des réseaux Lorsque vous admettez ou refusez un service, vous devez ajouter une stratégie à votre configuration de périphérique WatchGuard. Chaque stratégie ajoutée peut également engendrer un risque de sécurité. Pour envoyer et recevoir des données, vous devez « ouvrir une porte » dans votre ordinateur, ce qui expose votre réseau à des risques. Il est conseillé d’ajouter uniquement des stratégies indispensables à votre société. Voici un exemple d’utilisation d’une stratégie : supposons que l’administrateur réseau d’une société souhaite activer une connexion de services de terminal Windows au serveur Web public de sa société, via l’interface facultatif de la Firebox. Il gère de manière régulière le serveur Web avec une connexion Remote Desktop. Parallèlement, il souhaite s’assurer qu’aucun autre utilisateur du réseau ne pourra accéder aux services de terminal RDP via Firebox. Pour ce faire, l’administrateur réseau ajoute une stratégie qui autorise les connexions RDP uniquement pour l’adresse IP de son propre PC à l’adresse IP du serveur Web public. Lorsque vous configurez votre périphérique WatchGuard avec l'assistant Quick Setup Wizard, l'assistant n'ajoute que de la connectivité sortante limitée. Si vous avez d’autres applications logicielles et davantage de trafic réseau que votre Firebox doit inspecter, vous devez : n n n Configurer les stratégies sur votre Firebox pour faire passer le trafic nécessaire Définir les hôtes approuvés et les propriétés pour chaque stratégie Équilibrer l'exigence de protection de votre réseau et l'exigence de vos utilisateurs d'avoir accès aux ressources externes À propos des ports Bien que les ordinateurs aient des ports matériels utilisables comme points de connexion, les ports sont également des numéros utilisés pour mapper le trafic vers un processus particulier sur un ordinateur. Ces ports, également appelés ports TCP et UDP, sont le lieu de transmission de données des programmes. Si une adresse IP est comparable à une adresse de rue, un numéro de port est comme un numéro d'appartement ou d'immeuble à l'intérieur de cette rue. Lorsqu'un ordinateur envoie du trafic via Internet vers un serveur ou un autre ordinateur, il utilise une adresse IP pour identifier le serveur ou l'ordinateur distant et un numéro de port pour identifier le processus sur le serveur ou ordinateur recevant les données. Par exemple, supposez que vous souhaitez voir une page Web précise. Votre navigateur Web essaie de créer une connexion sur le port 80 (le port utilisé pour le trafic HTTP) pour chaque élément de la page Web. Lorsque votre navigateur reçoit les données qu'il demande du serveur HTTP, par exemple une image, il ferme la connexion. De nombreux ports sont utilisés pour un seul type de trafic, tel que le port 25 pour SMTP (Simple Mail Transfer Protocol). Certains protocoles, tels que SMTP, comportent des ports avec des numéros attribués. D'autres programmes sont des numéros de port attribués dynamiquement pour chaque connexion. L'IANA (Internet Assigned Numbers Authority) conserve une liste des ports connus. Vous pouvez consulter cette liste à l’adresse suivante : http://www.iana.org/assignments/port-numbers La plupart des stratégies que vous ajoutez à votre configuration de Firebox ont un numéro de port entre 0 et 1024, mais les numéros de port possibles vont de 0 à 65535. viii WatchGuard System Manager Introduction à la sécurité des réseaux Les ports sont soit ouverts, soit fermés. Si un port est ouvert, votre ordinateur accepte les informations et utilise le protocole identifié avec ce port pour créer des connexions vers d'autres ordinateurs. Cependant, un port ouvert constitue un risque de sécurité. Pour vous protéger contre les risques créés par les ports ouverts, vous pouvez bloquer les ports utilisés par les hackers pour attaquer votre réseau. Pour plus d’informations, voir À propos de Ports bloqués à la page 501. Vous pouvez également bloquer les explorations d'espaces : il s'agit de trafic TCP ou UDP envoyé par un hôte à une série de ports afin d'obtenir des informations sur des réseaux et leurs hôtes. Pour plus d’informations, voir À propos de exploration des espaces de ports et d’adresses à la page 491. User Guide ix Introduction à la sécurité des réseaux User Guide x 2 Présentation de Fireware XTM Présentation de Fireware XTM Fireware XTM vous offre une manière simple et efficace d'afficher, de gérer et de surveiller chaque Firebox de votre réseau. La solution Fireware XTM comprend quatre applications logicielles : n n n n WatchGuard System Manager (WSM) Fireware XTM Web UI Fireware XTM Command Line Interface (CLI) WatchGuard Server Center Il se peut que vous ayez besoin de plus d'une application Fireware XTM pour configurer le réseau de votre entreprise. Par exemple, si vous ne possédez qu'un produit Firebox X Edge e-Series, vous pouvez effectuer la plupart des tâches de configuration avec Fireware XTM Web UI ou l'interface Command Line Interface. Cependant, pour les fonctionnalités de journalisation et de génération de rapports plus avancées, vous devez utiliser WatchGuard Server Center. Si vous gérez plusieurs périphériques WatchGuard, ou si vous avez acheté Fireware XTM avec une mise à jour Pro, il est conseillé d'utiliser le gestionnaire WatchGuard System Manager (WSM). Si vous choisissez de gérer et de contrôler votre configuration avec l'IU Web de Fireware XTM, vous ne pourrez pas configurer certaines fonctionnalités. Pour plus d'informations concernant ces restrictions, voir l'aide sur l'IU Web de Fireware XTM à l'adresse : http://www.watchguard.com/help/docs/webui/11/fr-FR/index.html. Pour plus d'informations sur la façon de vous connecter à votre Firebox avec Fireware XTM Web UI ou l'interface Fireware XTM Command Line Interface, voir l'aide en ligne ou le guide de l'utilisateur correspondants à ces produits. Vous pouvez consulter et télécharger la documentation la plus récente concernant ces produits sur la page de documentation sur les produits Fireware XTM : http://www.watchguard.com/help/documentation/xtm.asp Note Les termes Firebox et périphérique WatchGuard employés dans cette documentation se réfèrent aux produits WatchGuard utilisant Fireware XTM, tels que le périphérique Firebox X Edge e-Series. User Guide 11 Présentation de Fireware XTM Composants de Fireware XTM Pour démarrer le gestionnaire WatchGuard System Manager ou WatchGuard Server Center depuis votre bureau Windows, sélectionnez le raccourci dans le menu Démarrer. Vous pouvez également démarrer WatchGuard Server Center à partir de l'icône de la barre d'état système. Depuis ces applications, vous pouvez lancer d'autres outils qui vous aident à gérer votre réseau. Par exemple, vous pouvez lancer HostWatch ou Policy Manager depuis le gestionnaire WatchGuard System Manager (WSM). WatchGuard System Manager Le gestionnaire WatchGuard System Manager (WSM) est la principale application pour la gestion de réseau via votre Firebox. Vous pouvez utiliser WSM pour gérer plusieurs périphériques Firebox différents, même ceux qui utilisent des versions logicielles différentes. WSM comprend une suite complète d'outils pour vous aider à surveiller et à contrôler le trafic réseau. Policy Manager Vous pouvez utiliser Policy Manager pour configurer votre pare-feu. Policy Manager comprend un ensemble complet de filtres de paquets, de stratégies proxy et de passerelles ALG préconfigurés. Vous pouvez également créer un filtre de paquets, une stratégie de proxy ou une passerelle ALG personnalisé(e) pour lequel/laquelle vous définissez les ports, les protocoles ainsi que d'autres options. D'autres fonctionnalités de Policy Manager vous permettent d'arrêter les tentatives d'intrusions dans le réseau, telles que les attaques SYN Flood, les attaques par usurpation et les explorations d'espaces d'adresses ou de ports. Pour plus d’informations, voir À propos de Policy Manager à la page 340. Firebox System Manager (FSM) Le gestionnaire Firebox System Manager vous offre une interface afin de surveiller tous les composants de votre périphérique WatchGuard. Depuis FSM, vous pouvez voir l'état en temps réel de votre Firebox et de sa configuration. 12 WatchGuard System Manager Présentation de Fireware XTM Pour plus d’informations, voir À propos de Firebox System Manager (FSM) à la page 681. HostWatch HostWatch est un moniteur de connexion en temps réel qui indique le trafic réseau entre différentes interfaces Firebox. HostWatch donne également des informations sur les utilisateurs, les connexions, les ports et les services. Pour plus d’informations, voir À propos de HostWatch à la page 717. LogViewer LogViewer est l’outil WatchGuard System Manager qui vous permet de consulter les données des fichiers journaux. Vous pouvez afficher les données d’un journal page par page ou rechercher et afficher du contenu en utilisant des mots clés ou en spécifiant des champs du journal. Pour plus d’informations, voir À propos de la journalisation et des fichiers journaux à la page 619. Report Manager Vous pouvez utiliser Report Manager pour générer des rapports sur les données recueillies depuis vos serveurs de journal concernant tous vos périphériques WatchGuard. Dans Report Manager, vous pouvez consulter les rapports WatchGuard disponibles concernant vos périphériques WatchGuard. Pour plus d’informations, voir À propos de WatchGuard Report Manager à la page 758. CA Manager Le gestionnaire Certificate Authority (CA) Manager affiche une liste complète de certificats de sécurité installés sur votre ordinateur de gestion avec Fireware XTM. Vous pouvez utiliser cette application pour importer, configurer et générer des certificats à utiliser avec les tunnels VPN et à d'autres fins d'authentification. WatchGuard Server Center WatchGuard Server Center est l'application qui vous permet de configurer et de surveiller tous vos serveurs WatchGuard. Pour plus d'informations sur WatchGuard Server Center, voir Configurer les serveurs WatchGuard System Manager à la page 507. Management Server Le serveur Management Server fonctionne sous Windows. À l’aide de ce serveur, vous pouvez gérer tous les périphériques de pare-feu et créer des tunnels de réseau privé virtuel (VPN) en utilisant une simple fonction glisser-déplacer. Les fonctions de base de Management Server sont les suivantes : n n n Autorité de certification distribuant des certificats pour les tunnels IPSec (Internet Protocol Security). Gestion de configuration des tunnels VPN Gestion de périphériques Firebox et Firebox X Edge multiples Pour plus d'informations sur Management Server, voir À propos de WatchGuard Management Server à la page dxvii. User Guide 13 Présentation de Fireware XTM Serveur Log Server Le serveur Log Server collecte les messages des journaux de chaque système WatchGuard Firebox. Ces messages des journaux sont chiffrés lorsqu'ils sont envoyés au serveur Log Server. Le format d’un message du journal est XML (texte brut). Les informations collectées à partir des périphériques de pare-feu incluent les messages de types Trafic, Événement, Alarme, Débogage (diagnostic) et Statistiques. Pour plus d’informations, voir Configurer un serveur Log Server à la page 627. WebBlocker Server Le serveur WebBlocker Server utilise le proxy HTTP de Firebox pour refuser l’accès utilisateur à des catégories spécifiques de sites Web. Au cours de la configuration de Firebox, l’administrateur définit les catégories de sites Web à autoriser ou à bloquer. Pour plus d'informations sur WebBlocker et le serveur WebBlocker Server, voir À propos de WebBlocker à la page 993. Quarantine Server Le serveur Quarantine Server collecte et isole les e-mails susceptibles d'être du courrier indésirable ou de contenir un virus à l'aide de spamBlocker. Pour plus d’informations, voir À propos de Quarantine Server à la page 1121. Report Server Le serveur Report Server consolide périodiquement des données collectées par les serveurs Log Server sur vos périphériques WatchGuard et génère régulièrement des rapports. Une fois les données transmises à Report Server, vous pouvez utiliser Report Manager pour afficher les rapports. Pour plus d'informations sur les rapports et Report Server, voir À propos de Report Server à la page 741. Fireware XTM Web UI et interface Command Line Interface Fireware XTM Web UI et l'interface Command Line Interface sont des solutions alternatives de gestion capables d'effectuer la plupart des tâches du gestionnaire WatchGuard System Manager et de Policy Manager. Certaines options et fonctionnalités avancées de configuration, telles que les paramétrages Firecluster ou de stratégie proxy, ne sont pas disponibles sur Fireware XTM Web UI et l'interface Command Line Interface. Fireware XTM avec une mise à niveau Pro La mise à jour Pro pour Fireware XTM propose plusieurs fonctionnalités avancées pour les clients expérimentés, telles que l'équilibrage de charge de serveur et des tunnels VPN SSL supplémentaires. Les fonctionnalités disponibles avec une mise à jour Pro dépendent du type et du modèle de votre Firebox : Fonctionnalité FireCluster 14 Core eSeries Core/Peak e-Series et XTM 1050 (Pro) Edge eSeries Edge e-Series (Pro) Q WatchGuard System Manager Présentation de Fireware XTM Fonctionnalité Core eSeries Core/Peak e-Series et XTM 1050 (Pro) Edge eSeries les réseaux locaux virtuels (VLAN). 75 maxi. 75 maxi. (Core) 200 maxi. (Peak/XTM 1050) 20 maxi. Edge e-Series (Pro) 50 maxi. Routage dynamique (OSPF et BGP) Q Routage basé sur stratégie Q Équilibrage de charge côté serveur Q Nombre maximum de tunnels VPN SSL Q Q Q Q Q Q Basculement multi-WAN Équilibrage de charge multi-WAN Q Q Pour acheter Fireware XTM avec une mise à jour Pro, contactez votre revendeur local. User Guide 15 Présentation de Fireware XTM User Guide 16 3 Service et support À propos de Assistance WatchGuard WatchGuard® saisit toute l’importance d’une assistance technique lorsque votre réseau doit être sécurisé avec des ressources ayant été limitées. Nos clients exigent de notre part des connaissances et une assistance plus étendues dans un univers où la sécurité est vitale. Le Service LiveSecurity® vous fournit l’aide d’urgence qu’il vous faut, par l’entremise d’un abonnement qui vous assiste aussitôt que vous enregistrez votre périphérique WatchGuard. LiveSecurity Service Votre périphérique WatchGuard inclut un abonnement à notre service high-tech LiveSecurity Service, que vous activez en ligne lorsque vous enregistrez votre produit. Dès l’activation, votre abonnement au LiveSecurity Service vous donne accès à un programme d’assistance et de maintenance exceptionnel, sans égal dans l’industrie. Le LiveSecurity Service est accompagné des avantages suivants : Garantie de votre matériel, avec remplacement à l’avance Un abonnement en vigueur LiveSecurity prolonge la garantie du matériel, incluse avec chaque périphérique WatchGuard. En outre, l’abonnement vous fournit un remplacement à l’avance de votre matériel pour minimiser le temps d’indisponibilité en cas de panne matérielle. C’est ainsi qu’en cas de défaillance d’un matériel, vous recevrez de WatchGuard un appareil de rechange avant même d’avoir à retourner le matériel d’origine. Mises à jour logicielles Votre abonnement au LiveSecurity Service vous donne accès aux toutes dernières mises à jour logicielles et à des perfectionnements du fonctionnement de vos produits WatchGuard. Assistance technique Lorsque vous avez besoin d’une assistance, nos équipes d’experts sont fin prêtes : User Guide 17 Service et support n n n Représentants disponibles 12 heures par jour, 5 jours par semaine dans votre fuseau horaire* Délai d’intervention maximum ciblé de 4 heures Accès à des forums en ligne d’utilisateurs, animés par des ingénieurs d’assistance chevronnés. Ressources et alertes d’assistance Votre abonnement au LiveSecurity Service vous donne accès à une panoplie de vidéos éducatifs professionnels, de cours en ligne interactifs et d’outils en ligne, spécialement étudiés pour répondre à vos questions sur la sécurité de réseau en général ou sur les aspects techniques de l’installation, la configuration et la maintenance de vos produits WatchGuard. Notre équipe d’intervention d’urgence, un groupe dévoué d’experts en sécurité réseau, surveille Internet pour identifier les menaces émergentes. Ils diffusent ensuite des communiqués LiveSecurity, vous informant avec précision sur ce que vous pouvez faire pour faire face à chaque nouvelle menace. Vous pouvez personnaliser vos préférences et filtrer les conseils et alertes que vous recevez du LiveSecurity Service. LiveSecurity Service Or Le LiveSecurity Service Or est proposé aux entreprises exigeant une disponibilité 24 heures. Ce service haut de gamme vous donne des heures étendues de couverture et un délai d’intervention encore plus rapide pour une assistance technique à distance de 24 heures. Afin de vous protéger par une couverture totale, chaque appareil de votre entreprise doit bénéficier du LiveSecurity Service Or. Caractéristiques du service LiveSecurity Service LiveSecurity Service Or Heures d’assistance technique 6 h – 18 h, lundivendredi* 24/7 Nombre d’incidents pour assistance (en ligne ou par téléphone) 5 par année Illimité Délai d’intervention initial ciblé 4 heures 1 heure Forum d’assistance interactif Oui Oui Mises à jour logicielles Oui Oui Développement personnel et outils de formation en ligne Oui Oui Diffusions LiveSecurity Oui Oui Assistance d’installation Facultatif Facultatif Forfait d’assistance trois incidents Facultatif N/D Une heure, mise à niveau SIPRU (Single Incident Priority Response Upgrade) Facultatif N/D Mise à niveau SIPRU Facultatif N/D * Dans la région Asie-Pacifique, les heures d’assistance régulières sont 9 h – 21 h, lundi-vendredi (GMT +8). 18 WatchGuard System Manager Service et support Expiration du service Nous vous recommandons de garder votre abonnement en vigueur, afin de garantir la sécurité de votre entreprise. Lorsque votre abonnement LiveSecurity arrive à échéance, vous perdez l’accès aux toutes dernières alertes de sécurité et aux mises à jour logicielles régulières, ce qui risque de rendre votre réseau vulnérable. Des dommages à votre réseau coûteront beaucoup plus chers qu’un simple renouvellement au LiveSecurity Service. Un renouvellement fait dans les 30 jours n’a aucun frais de remise en vigueur. User Guide 19 Service et support User Guide 20 4 Mise en route Avant de commencer Avant de commencer le processus d’installation, assurez-vous d’effectuer les tâches décrites dans les rubriques suivantes. Note Dans ces instructions d’installation, nous supposons que votre périphérique WatchGuard dispose d’une interface approuvée, d’une interface externe et d’une interface configurées. Pour configurer des interfaces supplémentaires sur le périphérique WatchGuard, utilisez les outils et procédures de configuration décrits dans les rubriques Configuration réseauet Configuration. Vérifier les composants de base Assurez-vous de disposer des éléments suivants : n n n Un ordinateur doté d’une carte d’interface réseau Ethernet 10/100BaseT et d’un navigateur Web Un périphérique WatchGuard Firebox ou XTM Un câble série (bleu) Uniquement pour les modèles Firebox X Core, Peak et WatchGuard XTM n un câble inverseur Ethernet (rouge) Uniquement pour les modèles Firebox X Core, Peak et WatchGuard XTM n n Un câble Ethernet droit (vert) Câble d’alimentation ou adaptateur courant alternatif User Guide 21 Mise en route Obtenir une clé de fonctionnalité pour périphérique WatchGuard Pour activer toutes les fonctionnalités sur votre périphérique WatchGuard, vous devez enregistrer le périphérique sur le site Web WatchGuard LiveSecurity et obtenir une clé de fonctionnalité. Tant que vous n’avez pas appliqué votre clé de fonctionnalité, vous ne disposez que d’une seule licence d’utilisateur (licence par siège) pour Firebox. Si vous procédez à l’enregistrement de votre périphérique WatchGuard avant d’utiliser l’assistant Quick Setup Wizard, vous pouvez coller une copie de votre clé de fonctionnalité dans l’assistant. L’assistant l’applique ensuite à votre périphérique. Si vous ne collez pas votre clé de fonctionnalité dans l’assistant, vous pouvez le fermer. Mais tant que vous n’aurez pas ajouté votre clé de fonctionnalité, une seule connexion à Internet sera autorisée. Vous obtenez également une nouvelle clé de fonctionnalité pour tout produit ou service facultatif que vous achetez. Après que vous ayez enregistré votre périphérique WatchGuard ou toute autre nouvelle fonctionnalité, vous pouvez synchroniser la clé de fonctionnalité de votre périphérique WatchGuard avec les clés de fonctionnalité stockées dans votre profil d’enregistrement sur le site WatchGuard LiveSecurity. Vous pouvez utiliser WatchGuard System Manager (WSM) à n’importe quel moment pour vous procurer votre clé de fonction. Pour apprendre comment enregistrer votre périphérique WatchGuard et obtenir une clé de fonctionnalité, cf. Obtenir une clé de fonctionnalité auprès de LiveSecurity à la page 65. Collecter les adresses réseau Nous vous recommandons d’enregistrer vos informations réseau avant et après la configuration de votre périphérique WatchGuard. Utilisez le premier tableau pour vos adresses IP réseau avant la mise en service du périphérique. WatchGuard utilise la notation de barre oblique pour indiquer le masque de sous-réseau. Pour plus d’informations, voir À propos de la notation de barre oblique à la page iv. Pour de plus amples informations sur les adresses IP, cf. À propos de Adresses IP à la page iii. Tableau 1 : Adresses IP réseau sans le périphérique WatchGuard Réseau étendu (WAN) _____._____._____._____ / ____ Passerelle par défaut _____._____._____._____ Réseau local (LAN) _____._____._____._____ / ____ Réseau secondaire (le cas échéant) _____._____._____._____ / ____ Serveur(s) public(s) (le cas échéant) _____._____._____._____ _____._____._____._____ _____._____._____._____ 22 WatchGuard System Manager Mise en route Utilisez le deuxième tableau pour vos adresses IP réseau après la mise en service du périphérique WatchGuard. Interface externe Assure la connexion au réseau externe (en général Internet) non approuvé. Interface approuvée Assure la connexion au réseau local privé ou au réseau interne que vous voulez protéger. Interface(s) facultative(s) Se connecte généralement à une zone de confiance mixte de votre réseau, comme des serveurs dans une DMZ (zone démilitarisée). Vous pouvez utiliser des interfaces facultatives pour créer des zones sur votre réseau disposant de différents niveaux d’accès. Tableau 2 : Adresses IP réseau avec le périphérique WatchGuard Passerelle par défaut _____._____._____._____ Interface externe _____._____._____._____/ ____ Interface approuvée _____._____._____._____ / ____ Interface facultative _____._____._____._____ / ____ Réseau secondaire (le cas échéant) _____._____._____._____ / ____ Sélectionnez un pare-feu. mode de configuration Vous devez décider du mode de connexion du périphérique WatchGuard sur votre réseau avant de démarrer l’assistant Quick Setup Wizard. Le mode d’installation du périphérique détermine la configuration des interfaces. Lorsque vous connectez le périphérique, sélectionnez le mode de configuration (routé ou d’insertion) qui correspond le mieux aux besoins de votre réseau actuel. De nombreux réseaux fonctionnent de manière optimale avec une configuration routée, mais nous recommandons le mode d’insertion dans les cas suivants : n n Vous avez déjà affecté un grand nombre d’adresses IP statiques et vous ne souhaitez pas modifier votre configuration réseau. Vous ne pouvez pas configurer avec des adresses IP privées les ordinateurs sur vos réseaux approuvés et facultatifs qui ont des adresses IP publiques. Ce tableau et les descriptions qui suivent illustrent trois conditions qui peuvent vous aider à sélectionner un mode de configuration de pare-feu. Mode de routage mixte Mode d’insertion Toutes les interfaces du périphérique WatchGuard Toutes les interfaces du périphérique WatchGuard se trouvent sur le même réseau et disposent d’une se trouvent sur des réseaux différents. adresse IP identique. Les interfaces approuvées et facultatives doivent être sur différents réseaux. Chaque interface User Guide Les ordinateurs des interfaces approuvées ou 23 Mise en route Mode de routage mixte Mode d’insertion possède une adresse IP sur son réseau. facultatives peuvent avoir une adresse IP publique. Utilisez la traduction d’adresses réseau (NAT) statique pour mapper les adresses publiques aux adresses privées derrière les interfaces approuvées ou facultatives. Les ordinateurs qui ont un accès public ayant des adresses IP publiques, aucune traduction NAT n’est nécessaire. Pour de plus amples informations sur le mode d’insertion, cf. À propos de la configuration du réseau en mode d’insertion à la page 108. Pour de plus amples informations sur le routage mixte, cf. Mode de routage mixte à la page 100. Le périphérique WatchGuard prend également en charge un troisième mode de configuration appelé mode pont. Il s’agit de l’option la moins couramment utilisée. Pour de plus amples informations sur le mode pont, cf. Mode pont à la page 114. Note Vous pouvez utiliser l’assistant Web Setup Wizard ou l’assistant WSM Quick Setup Wizard pour créer votre configuration de base. Lorsque vous exécutez l’assistant Web Setup Wizard, la configuration du pare-feu est automatiquement configurée en mode routage mixte. Lorsque vous exécutez l’assistant WSM Quick Setup Wizard, vous pouvez configurer le périphérique en mode routage mixte ou en mode d’insertion. Déterminer l’emplacement d’installation du logiciel serveur Lorsque vous exécutez WatchGuard System Manager Installer, vous pouvez installer WatchGuard System Manager et les serveurs WatchGuard sur le même ordinateur. Vous pouvez également utiliser la même procédure d’installation pour installer les serveurs WatchGuard sur différents ordinateurs. Ce système permet de répartir la charge côté serveur et de disposer de redondance. Pour veiller au bon fonctionnement du Management Server, vous devez l’installer sur un ordinateur sur lequel WSM est aussi installé. Pour déterminer l’emplacement d’installation du logiciel serveur, vous devez examiner la capacité de votre station de gestion et sélectionner la méthode d’installation correspondant à votre environnement. Si vous installez un logiciel serveur sur un ordinateur avec un pare-feu de bureau actif autre que le Pare-feu Windows, vous devez ouvrir les ports nécessaires à la connexion des serveurs à travers le pare-feu. Les utilisateurs du Pare-feu Windows n’ont pas besoin de modifier leur configuration de pare-feu de bureau, car le programme d’installation ouvre les ports nécessaires automatiquement. Pour plus d’informations, voir Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feux de bureau à la page 39 . Pour commencer le processus d’installation, Installer le logiciel WatchGuard System Manager. 24 WatchGuard System Manager Mise en route Installer le logiciel WatchGuard System Manager Installez le logiciel WatchGuard System Manager (WSM) sur un ordinateur désigné comme station de gestion. Vous pouvez utiliser des outils sur la station de gestion pour accéder à des informations concernant Firebox, telles que l’état des connexions et des tunnels, des statistiques sur le trafic et des messages du journal. Désignez un ordinateur Windows sur votre réseau comme station de gestion et installez le logiciel de gestion. Pour installer le logiciel WatchGuard System Manager, vous devez disposer des privilèges d’administrateur sur la station de gestion. Après l’installation, vous pouvez opérer avec des privilèges d’utilisateur expérimenté Windows XP ou Windows 2003. Vous pouvez installer plusieurs versions de WatchGuard System Manager sur la même station de gestion. Cependant, vous ne pouvez installer qu’une seule version des logiciels serveur à la fois sur un ordinateur. Par exemple, vous ne pouvez installer deux Serveurs de gestion sur le même ordinateur. Sauvegarder votre configuration précédente Si vous utilisez une version antérieure de WatchGuard System Manager, faites une sauvegarde de votre configuration de stratégie de sécurité avant d’installer une nouvelle version. Pour obtenir des instructions sur la méthode pour effectuer une sauvegarde de votre configuration, cf. Créer une sauvegarde de l’image Firebox à la page 49. Télécharger WatchGuard System Manager Vous pouvez télécharger la version la plus récente du logiciel WatchGuard System Manager à tout moment à partir du site Web à l’adresse https://www.watchguard.com/archive/softwarecenter.asp. Vous devez ouvrir une session à l’aide de vos informations d’identification LiveSecurity. Si vous êtes un nouvel utilisateur, créez un profil utilisateur et activez votre produit à l’adresse http://www.watchguard.com/activate avant d’essayer de télécharger le logiciel WSM. Le logiciel de station de gestion estdisponible endeux niveauxde chiffrement.Veillez àsélectionner le bon niveaude chiffrement.Pour plusd’informations, voir À proposdes niveauxde chiffrementlogiciels àla page 26. Note Si vous installez l’un des serveurs WSM sur un ordinateur doté d’un pare-feu personnel autre que le Pare-feu Microsoft Windows, vous devez ouvrir certains ports pour que les serveurs puissent se connecter à travers le pare-feu. Pour autoriser les connexions à WebBlocker Server, ouvrez le port UDP 5003. Il n’est pas nécessaire de modifier votre configuration si vous utilisez le pare-feu Microsoft Windows. Pour de plus amples informations, cf. Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feux de bureau à la page 39. Pour installer Management Server : 1. Sur l’ordinateur que vous utiliserez comme station de gestion, téléchargez le logiciel WatchGuard System Manager (WSM) le plus récent. 2. Sur le même ordinateur, téléchargez le logiciel système Fireware Appliance Software le plus récent. 3. Ouvrez le programme d’installation et utilisez les instructions d’installation pour la mener à bien. User Guide 25 Mise en route Le programme d’installation contient une page Sélectionner les composants où vous sélectionnez les composants logiciels ou les mises à jour à installer. Veillez à activer uniquement les cases à cocher correspondant aux composants que vous souhaitez installer. Certains composants logiciels nécessitent une licence différente. 4. Exécutez l’assistant Quick Setup Wizard. Cet assistant s’exécute à partir du Web ou en tant qu’application Windows. n n Pour plus d’informations sur la façon d’exécuter l’assistant à partir du Web, cf. Exécuter l’Assistant Web Setup Wizard à la page 27. Pour plus d’informations sur la façon d’exécuter l’assistant en tant qu’application Windows, cf. Exécution de l’Assistant WSM Quick Setup Wizard à la page 31. À propos des niveaux de chiffrement logiciels Le logiciel de station de gestion est disponible en deux niveaux de chiffrement : De base Prend en charge le chiffrement 40 bits pour tunnels Mobile VPN with PPTP. Vous ne pouvez pas créer de tunnel VPN IPSec avec ce niveau de chiffrement. Fort Prend en charge le chiffrement 40 bits et 128 bits pour Mobile VPN with PPTP. Prend également en charge le chiffrement DES 56 bits et 168 bits, ainsi que le chiffrement AES 128 bits, 192 bits et 256 bits. Pour utiliser la mise en réseau privé virtuel avec IPSec, vous devez télécharger le logiciel de chiffrement fort. Des restrictions d’exportation rigoureuses sont applicables au logiciel de chiffrement fort. Il est possible qu’il ne soit pas disponible au téléchargement dans votre région. 26 WatchGuard System Manager Mise en route À propos de l’Assistant Quick Setup Wizard Vous pouvez utiliser la Assistant Quick Setup Wizard pour créer une configuration de base pour le périphérique WatchGuard. Ce dernier utilise ce fichier de configuration de base lors de son premier démarrage. Il peut ainsi fonctionner comme un pare-feu de base. Vous pouvez appliquer cette même procédure chaque fois que vous souhaitez réinitialiser le périphérique WatchGuard avec une nouvelle configuration de base. Ce système est pratique pour la récupération système. Lorsque vous configurez le périphérique WatchGuard avec l’assistant Quick Setup Wizard, vous définissez uniquement les stratégies de base (trafic sortant TCP et UDP, filtre de paquets FTP, ping et WatchGuard) et les adresses IP des interfaces. Si vous avez d’autres applications logicielles et davantage de trafic réseau que le périphérique WatchGuard doit inspecter, vous devez : n n n Configurer les stratégies sur le périphérique WatchGuard pour laisser passer le trafic nécessaire Définir les hôtes approuvés et les propriétés pour chaque stratégie Équilibrer les exigences pour protéger votre réseau contre les exigences de vos utilisateurs pour se connecter aux ressources externes Vous pouvez exécuter l’assistant Quick Setup Wizard à partir d’un navigateur Web ou en tant qu’application Windows. Pour de plus amples informations sur la façon d’exécuter l’assistant à partir du Web, cf. Exécuter l’Assistant Web Setup Wizard à la page 27. Pour plus d’informations sur la façon d’exécuter l’assistant en tant qu’application Windows, cf. Exécution de l’Assistant WSM Quick Setup Wizard à la page 31. Exécuter l’Assistant Web Setup Wizard Note Ces instructions concernent l’assistant Web Setup Wizard sur un Firebox exécutant Fireware XTM v11.0 ou ultérieure. Si votre périphérique WatchGuard utilise une version antérieure du logiciel, vous devez le mettre à jour vers Fireware XTM avant de suivre ces instructions. Reportez-vous aux Notes de version pour obtenir des instructions de mise à niveau pour votre modèle de Firebox. Vous pouvez utiliser l’assistant Web Setup Wizard pour une configuration de base sur n’importe quel périphérique Firebox X e-Series ou WatchGuard XTM. L’assistant Web Setup Wizard configure automatiquement le Firebox pour le mode routage mixte. Pour utiliser l’assistant Web Setup Wizard, vous devez établir une connexion réseau directe avec le périphérique WatchGuard et utiliser un navigateur Web pour démarrer l’assistant. Lorsque vous configurez votre périphérique WatchGuard, ce dernier utilise le protocole DHCP pour envoyer une nouvelle adresse IP à votre ordinateur de gestion ordinateur. Avant de démarrer l’assistant Web Setup Wizard, assurez-vous d’avoir : n n Enregistré votre périphérique WatchGuard auprès de LiveSecurity Service ; Stocké une copie de la clé de fonctionnalité de votre périphérique WatchGuard dans un fichier texte sur votre ordinateur de gestion ordinateur. User Guide 27 Mise en route Démarrer l’assistant Web Setup Wizard 1. Utilisez le câble Ethernet inverseur rouge fourni avec Firebox pour connecter la station de gestion à l’interface approuvée de Firebox. n n L’interface approuvée pour un Firebox X Core, Peak e-Series ou un périphérique XTM est le numéro d’interface 1. Pour un Firebox X Edge e-Series, l’interface approuvée est LAN0 2. Raccordez le câble d’alimentation à l’entrée d’alimentation du périphérique WatchGuard et à une source d’alimentation. 3. Démarrez le système Firebox en mode paramètres par défaut. Sur les modèles Core, Peak et XTM, ce mode est connu sous le nom de mode sans échec. Pour plus d’informations, voir Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle configuration à la page 61. 4. Assurez-vous que votre ordinateur de gestion ordinateur est configuré pour accepter les adresses IP affectées par le biais du protocole DHCP. Si votre ordinateur ordinateur de gestion est sous Windows XP : n n n n Dans le menu Démarrer de Windows, sélectionnez Tous les programmes > Panneau de configuration > Connexions réseau > Connexions au réseau local . Cliquez sur Propriétés. Sélectionnez Protocole Internet (TCP/IP) et cliquez sur Propriétés. Assurez-vous que l’option Obtenir une adresse IP automatiquement est sélectionnée. 5. Si votre navigateur utilise un serveur proxy HTTP, vous devez momentanément désactiver le paramètre de proxy HTTP dans votre navigateur. Pour plus d’informations, voir Désactiver les proxys HTTP dans le navigateur à la page 42. 6. Ouvrez un navigateur Web et entrez l’adresse IP par défaut de l’interface 1. Pour un Firebox X Core ou Peak ou pour un périphérique WatchGuard XTM, l’adresse IP est : https://10.0.1.1:8080 . Pour un Firebox X Edge, l’adresse est : https://192.168.111.1:8080 . Si vous utilisez Internet Explorer, assurez-vous d’entrer https:// au début de l’adresse IP. Une connexion HTTP sécurisée est alors établie entre votre station de gestion et le périphérique WatchGuard. L’assistant Web Setup Wizard démarre automatiquement. 7. Connectez-vous en utilisant les informations d’identification par défaut du compte administrateur : Nom d’utilisateur : admin Mot de passe : lecture/écriture 8. Passez aux écrans suivants et terminez l’assistant. L’assistant Web Setup Wizard inclut les boîtes de dialogue suivantes. Certaines d’entre elles ne s’affichent que si vous sélectionnez certaines méthodes de configuration : Connexion 28 WatchGuard System Manager Mise en route Connectez-vous en utilisant les informations d’identification par défaut du compte administrateur. Pour le Nom d’utilisateur, sélectionnez admin. Pour un Mot de passe, utilisez le mot de passe : lecture/écriture. Bienvenue Le premier écran vous présente l’assistant. Sélectionnez un type de configuration. Choisissez de créer une nouvelle configuration ou de restaurer une configuration à partir d’une image de sauvegarde enregistrée. Contrat de licence Vous devez accepter les termes du contrat de licence pour passer aux étapes suivantes de l’assistant. Récupérer la clé de fonctionnalité, appliquer la clé de fonctionnalité, options de clé de fonctionnalité. Si votre Firebox ne possède pas déjà une clé de fonctionnalité, l’assistant vous propose de télécharger ou d’importer une clé de fonctionnalité. L’assistant ne peut télécharger une clé de fonctionnalité que s’il peut se connecter à Internet. Si vous avez téléchargé une copie locale de la clé de fonctionnalité sur votre ordinateur, vous pouvez la coller dans l’assistant installation. Si le Firebox n’est pas connecté à Internet lorsque vous exécutez l’assistant, et que vous n’avez pas enregistré le périphérique ni téléchargé la clé de fonctionnalité sur votre ordinateur avant de lancer l’assistant, vous pouvez choisir de ne pas appliquer de clé de fonctionnalité. Avertissement Si vous n’appliquez pas de clé de fonctionnalité dans l’assistant Web Setup Wizard, vous devez enregistrer le périphérique et appliquer la clé de fonctionnalité dans Fireware XTM Web UI. La fonctionnalité du périphérique est limitée jusqu’à ce que vous appliquiez une clé de fonctionnalité. Configurez l’interface externe de votre Firebox. Sélectionnez la méthode utilisée par votre fournisseur de services Internet pour affecter votre adresse IP. Vous pouvez choisir entre les protocoles DHCP ou PPPoE, ou bien une adresse IP statique. Configurer l’interface externe pour DHCP Entrez votre identification DHCP, telle que fournie par votre fournisseur de services Internet. Configurer l’interface externe pour PPPoE Entrez vos informations PPPoE, telles que fournies par votre fournisseur de services Internet. Configurer l’interface externe à l’aide d’une adresse IP statique. Entrez vos informations d’adresse IP statique, telles que fournies par votre fournisseur de services Internet. Configurer les serveurs DNS et WINS User Guide 29 Mise en route Entrez les adresses des serveurs des DNS et WINS de domaine que vous souhaitez que Firebox utilise. Configurer l’interface approuvée de Firebox Entrez l’adresse IP de l’interface approuvée. De manière facultative, vous pouvez activer l’option Serveur DHCP de l’interface approuvée. Connexion sans fil (Firebox X Edge e-Series Wireless uniquement) Définissez la région d’utilisation, le canal et le mode sans fil. La liste des régions d’exploitation sans fil que vous pouvez sélectionner peut différer selon l’endroit où vous avez acheté Firebox. Pour plus d’informations, voir Présentation des paramètres paramètres de radio sans fil sur Firebox X Edge e-Series à la page 211. Créez des mots de passe pour votre périphérique. Entrez un mot de passe d’état (lecture seule) et de compte de gestion administrateur (lecture/écriture) sur Firebox. Activer la gestion à distance Activez la gestion à distance si vous voulez gérer ce périphérique à partir de l’interface externe. Ajoutez les informations de contact sur votre périphérique. Vous pouvez entrer un nom de périphérique, un emplacement et des informations de contact pour enregistrer des informations de gestion pour ce périphérique. Par défaut, le nom de périphérique est défini selon le numéro de modèle de Firebox. Nous vous recommandons de choisir un nom unique que vous pouvez utiliser pour identifier facilement ce périphérique, en particulier si vous utilisez la gestion à distance. Définissez le fuseau horaire. Sélectionnez le fuseau horaire correspondant à l’emplacement de Firebox. L’Assistant Quick Setup Wizard est terminé. Une fois l’Assistant terminé, le périphérique WatchGuard redémarre. Si vous laissez l’Assistant Web Setup Wizard en veille pendant plus de 15 minutes, vous devez revenir à l’étape 3 et recommencer. Note Si vous modifiez l’adresse IP de l’interface approuvée, vous devez modifier vos paramètres réseau de sorte que votre adresse IP corresponde au sous-réseau du réseau approuvé avant de vous connecter à Firebox. Si vous utilisez le protocole DHCP, redémarrez votre ordinateur. 30 WatchGuard System Manager Mise en route Après l’exécution de l’assistant Après l’exécution de l’assistant, le périphérique WatchGuard est configuré avec une configuration de base qui inclut quatre stratégies (trafic TCP sortant, filtre de paquets FTP, ping et WatchGuard) et les adresses IP d’interface que vous avez spécifiées. Vous pouvez utiliser Policy Manager pour développer ou modifier la configuration du périphérique WatchGuard. n n Pour obtenir des informations sur la façon de mener à bien l’installation de votre périphérique WatchGuard, une fois l’assistant Web Setup Wizard terminé, cf. Terminer votre installation à la page 34. Pour des informations concernant le lancement de WatchGuard System Manager, cf. Démarrer WatchGuard System Manager à la page 35. Si vous rencontrez des problèmes avec l’assistant Si l’assistant Web Setup Wizard ne parvient pas à installer le logiciel système Fireware sur le périphérique WatchGuard, le délai d’attente de l’assistant expire. Si vous rencontrez des problèmes avec l’assistant, vérifiez les points suivants : n Le fichier d’application Fireware XTM que vous avez téléchargé sur le site Web LiveSecurity pourrait être endommagé. Si l’image logicielle est endommagée, le message suivant s’affiche sur l’interface LCD d’un Firebox X Core, Peak ou XTM : File Truncate Error (Erreur - Fichier tronqué) Si ce message s’affiche, téléchargez de nouveau le logiciel et réessayez d’exécuter l’assistant. n Si vous utilisez Internet Explorer 6, effacez le cache de fichiers dans votre navigateur Web et réessayez. Pour effacer le cache, dans Internet Explorer, sélectionnez Outils > Options Internet > Supprimer les fichiers. Exécution de l’Assistant WSM Quick Setup Wizard Note Ces instructions concernent l’Assistant Quick Setup Wizard sur un périphérique Firebox ou XTM exécutant Fireware XTM v11.0 ou ultérieure. Si votre périphérique utilise une version antérieure du logiciel, vous devez le mettre à niveau vers Fireware XTM avant de suivre ces instructions. Consultez les Notes de version fournies avec votre périphérique pour obtenir des instructions sur la mise à niveau. L’Assistant Quick Setup Wizard s’exécute en tant qu’application Windows afin de vous aider à créer un fichier de configuration de base. Vous pouvez utiliser l’Assistant Quick Setup Wizard avec tous les périphériques Firebox X Core e-Series, Firebox X Peak e-Series ou WatchGuard XTM. Grâce à ce fichier de configuration de base, votre périphérique peut fonctionner comme un pare-feu de base la première fois que vous le démarrez. Après avoir exécuté l’Assistant Quick Setup Wizard, vous pouvez utiliser Policy Manager pour développer ou modifier la configuration. L’Assistant Quick Setup Wizard utilise une procédure de découverte de périphériques pour déterminer le modèle de périphérique Firebox ou XTM à configurer. Cette procédure utilise une multidiffusion UDP. Les pare-feu logiciels (par exemple, le pare-feu Microsoft Windows XP SP2) peuvent provoquer des problèmes lors de la détection de périphérique. User Guide 31 Mise en route Avant de commencer Avant de démarrer l’Assistant Quick Setup Wizard, assurez-vous d’avoir : n n n n n enregistré votre périphérique Firebox ou XTM auprès de LiveSecurity Service ; enregistré une copie de votre clé de fonctionnalité dans un fichier texte sur votre station de gestion ; téléchargé les fichiers d’installation de WSM et Fireware XTM depuis le site Web de LiveSecurity Service vers votre station de gestion ; installé les logiciels WSM et Fireware XTM sur votre station de gestion ; configuré la station de gestion avec une adresse IP statique sur le même réseau que l’interface approuvée de votre périphérique. Sinon, configurez votre station de gestion pour accepter une adresse IP affectée par le biais du protocole DHCP. Démarrer l’Assistant Quick Setup Wizard 1. Utilisez le câble inverseur Ethernet rouge fourni avec votre périphérique Firebox ou XTM pour connecter la station de gestion à l’interface approuvée de votre périphérique. n n Pour un périphérique Firebox X Core e-Series, Firebox X Peak e-Series ou XTM, l’interface approuvée est la numéro 1. Pour un Firebox X Edge e-Series, l’interface approuvée est LAN0. 2. Dans le menu Démarrer de Windows, sélectionnez Tous les programmes > WatchGuard System Manager 11.x > Quick Setup Wizard. Une autre méthode, en partant de WatchGuard System Manager, est de sélectionner Outils> Quick Setup Wizard. L’Assistant Quick Setup Wizard démarre. 3. Terminez l’Assistant pour configurer votre périphérique Firebox ou XTM avec une configuration de base. Les étapes incluent les suivantes : Identifier et détecter votre périphérique Suivez les instructions relatives à la découverte de périphériques. Vous devrez peut-être sélectionner votre modèle de périphérique Firebox ou XTM ou reconnecter le câble inverseur Ethernet. Une fois que l’Assistant a détecté le périphérique Firebox ou XTM, donnez-lui un nom qui l’identifie dans WatchGuard System Manager, ainsi que dans les fichiers journaux et les rapports. Sélectionner une procédure d’installation Indiquez si vous souhaitez installer le système d’exploitation Fireware XTM, puis créer une configuration ou si vous souhaitez seulement créer une configuration pour votre périphérique Firebox ou XTM. Ajouter une clé de fonctionnalité Suivez les instructions relatives au téléchargement de la clé de fonctionnalité à partir du site Web de LiveSecurity Service ou accédez à l’emplacement du fichier de clé de fonctionnalité que vous avez précédemment téléchargé. Configurer l’interface externe 32 WatchGuard System Manager Mise en route Vous pouvez configurer l’interface externe avec une adresse IP statique ou la configurer pour qu’elle utilise une adresse IP affectée par le biais du protocole DHCP ou PPPoE. Vous devez également ajouter une adresse IP pour la passerelle par défaut du périphérique Firebox ou XTM. Il s’agit de l’adresse IP de votre routeur de passerelle. Configurer les interfaces externes Sélectionnez les adresses IP à utiliser pour les interfaces approuvées et facultatives. Si vous souhaitez configurer le périphérique Firebox ou XTM en mode d’insertion, vous pouvez aussi utiliser l’adresse IP d’interface externe de ces interfaces. Pour de plus amples informations sur le mode d’insertion, cf. À propos de la configuration du réseau en mode d’insertion à la page 108. Définir les mots de passe Vous devez créer deux mots de passe pour les connexions au périphérique Firebox ou XTM : un mot de passe d’état pour les connexions en lecture seule et un mot de passe de configuration pour les connexions en lecture/écriture. Les deux mots de passe doivent comporter au moins huit caractères et être différents. 4. Cliquez sur Terminer pour fermer l’Assistant. L’Assistant enregistre la configuration de base sur le périphérique Firebox ou XTM et dans un fichier de configuration local. Après l’exécution de l’Assistant Si vous avez modifié l’adresse IP de votre station de gestion lors de l’exécution de l’Assistant Quick Setup Wizard, il sera peut-être nécessaire de modifier à nouveau cette adresse IP une fois l’Assistant exécuté. De plus, vous devrez peut-être patienter environ une minute avant que votre périphérique Firebox ou XTM soit prêt, en particulier pour les modèles de périphériques Firebox X Peak suivants : X5500e, X6500e, X8500e et X8500e-F. Après l’exécution de l’Assistant, le périphérique Firebox ou XTM utilise une configuration de base qui inclut cinq stratégies (trafics TCP et UDP sortants, filtre de paquets FTP, ping, WatchGuard et WatchGuard Web UI) et les adresses IP d’interface que vous avez indiquées. Vous pouvez utiliser Policy Manager pour modifier cette configuration de base. n n Pour obtenir des informations sur l’installation de votre périphérique Firebox ou XTM une fois l’Assistant Quick Setup Wizard terminé, cf. Terminer votre installation à la page 34. Pour des informations concernant le lancement de WatchGuard System Manager, cf. Démarrer WatchGuard System Manager à la page 35. Terminer votre installation Une fois que vous avez terminé l’assistant Web Setup Wizard ou l’assistant WSM Quick Setup Wizard,vous devez terminer l’installation de votre périphérique WatchGuard sur votre réseau. 1. Placez le périphérique WatchGuard dans son emplacement physique permanent. 2. Assurez-vous que la passerelle de la station de gestion et du reste du réseau approuvé est l’adresse IP de l’interface approuvée de votre périphérique WatchGuard. User Guide 33 Mise en route 3. Ouvrez WatchGuard System Manager et sélectionnez Fichier>Se connecter au périphérique pour connecter la station de gestion au périphérique WatchGuard. Note Vous devez utiliser le mot de passe d’état (lecture seule) pour vous connecter au périphérique WatchGuard. 4. Si vous utilisez une configuration routée, veillez à modifier la passerelle par défaut sur tous les ordinateurs qui se connectent sur votre périphérique WatchGuard afin qu’elle corresponde à l’adresse IP de l’interface approuvée du périphérique WatchGuard. 5. Personnalisez votre configuration conformément aux besoins de sécurité de votre entreprise. Pour de plus amples informations, reportez-vous à la rubrique suivante Personnaliser votre stratégie de sécurité. 6. Si vous avez installé un ou plusieurs serveurs WatchGuard, Configurer les serveurs WatchGuard System Manager. Note Si vous installez le logiciel serveur WatchGuard sur un ordinateur équipé d’un parefeu de bureau actif autre que le Pare-feu Windows, vous devez ouvrir les ports nécessaires à la connexion des serveurs à travers le pare-feu. Les utilisateurs du Pare-feu Windows n’ont pas besoin de modifier la configuration. Pour plus d’informations, voir Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feux de bureau à la page 39. Personnalisez votre stratégie de sécurité Votre stratégie de sécurité contrôle qui peut rentrer et sortir du réseau et détermine les autorisations d’accès des utilisateurs de votre réseau. Le fichier de configuration du périphérique WatchGuard gère les stratégies de sécurité. Lorsque vous avez terminé l’assistant Quick Setup Wizard, le fichier de configuration que vous avez créé ne constituait qu’une configuration de base. Vous pouvez modifier un fichier de configuration pour aligner la stratégie de sécurité aux conditions de sécurité de votre entreprise. Vous pouvez ajouter des stratégies de filtre de paquets et de proxy afin de définir ce qui est autorisé à pénétrer et à sortir de votre réseau. Chaque stratégie peut avoir un effet sur votre réseau. Les stratégies qui augmentent la sécurité du réseau peuvent diminuer les possibilités d’accès au réseau. Les stratégies qui augmentent les possibilités d’accès au réseau peuvent rendre le réseau plus vulnérable. Pour de plus amples informations sur les stratégies, cf. À propos des stratégies à la page 339. Pour une nouvelle installation, nous recommandons d’utiliser uniquement des stratégies de filtre de paquets, jusqu’à ce que tous vos systèmes fonctionnent correctement. Si nécessaire, vous pouvez ajouter des stratégies de proxy. À propos de LiveSecurity Service Vote périphérique WatchGuard inclut un abonnement à LiveSecurity Service Votre abonnement vous permet : 34 WatchGuard System Manager Mise en route n n n n n n De vous assurer que vous bénéficiez de la protection réseau la plus à jour avec les mises à niveau logicielles les plus récentes ; De trouver des solutions à vos problèmes, grâce à un accès complet aux ressources de support technique ; D’éviter les interruptions de service avec des messages et une aide sur la configuration pour les problèmes de sécurité les plus récents ; D’en savoir plus sur la sécurité réseau grâce aux ressources de formation ; D’étendre la sécurité de votre réseau à l’aide de logiciels et autres fonctionnalités ; D’étendre la garantie de votre matériel avec un remplacement avancé. Pour de plus amples informations concernant LiveSecurity Service, cf. À propos de Assistance WatchGuard à la page 17. Démarrer WatchGuard System Manager Sur l’ordinateur où vous avez installé WatchGuard System Manager (WSM) : Sélectionnez Démarrez > Tous les programmes > WatchGuard System Manager 11.x > WatchGuard System Manager 11.x. Remplacez 11.x dans le chemin du programme par la version actuelle de WSM que vous avez installé. WatchGuard System Manager s’affiche. Pour des informations concernant l’utilisation de WatchGuard System Manager (WSM), cf. À propos de WatchGuard System Manager à la page 539. Se connecter à un périphérique WatchGuard 1. Démarrer WatchGuard System Manager. 2. Cliquez sur . Vous pouvez également sélectionner Fichier> Se connecter au périphérique. Ou cliquez n’importe où dans la fenêtre WSM (onglet État du périphérique) et sélectionnez Se connecter au périphérique. La boîte de dialogue Se connecter à Firebox s’affiche. User Guide 35 Mise en route 3. Dans la liste déroulante Nom/Adresse IP, entrez le nom ou l’adresse IP du périphérique WatchGuard. Lors des connexions suivantes, dans la liste déroulante Nom/Adresse IP, vous pouvez sélectionner le nom ou l’adresse IP du périphérique WatchGuard. 4. Dans la zone de texte Mot de passe, entrez le mot de passe d’état (lecture seule) du périphérique WatchGuard. Vous utilisez le mot de passe d’état pour contrôler les conditions du trafic et l’état du périphérique WatchGuard. Vous devez taper le mot de passe de configuration lors de l’enregistrement d’une nouvelle configuration dans le périphérique WatchGuard. 5. Modifiez la valeur du champ Délai d’attente (facultatif). Cette valeur définit la durée (en secondes) pendant laquelle la station de gestion reste à l’écoute des données de Firebox avant d’envoyer un message signalant qu’elle ne parvient pas à recevoir de données du périphérique. Si votre réseau ou votre connexion Internet est lent, vous pouvez augmenter la valeur du délai. La diminution de cette valeur réduit la durée d’attente avant réception d’un message de dépassement de délai si vous essayez de vous connecter à un périphérique Firebox non disponible. 6. Cliquez sur Connexion. Le périphérique WatchGuard apparaît dans la fenêtre WatchGuard System Manager. Déconnexion d’un périphérique WatchGuard 1. Sélectionnez l’onglet État du périphérique. 2. Sélectionnez le périphérique. 3. Cliquez sur . Vous pouvez également sélectionner Fichier> Se déconnecter. Vous pouvez aussi faire un clic droit et sélectionner Se déconnecter. Se déconnecter de tous les périphériques WatchGuard Si vous êtes connecté à plusieurs périphériques WatchGuard, vous pouvez vous déconnecter de tous ceuxci simultanément. 1. Sélectionnez l’onglet État du périphérique. 2. Sélectionnez Fichier > Déconnecter tout. Vous pouvez aussi faire un clic droit et sélectionner Déconnecter tout. Démarrer des applications de sécurité Vous pouvez démarrer ces outils à partir de WatchGuard System Manager. Policy Manager Policy Manager vous permet d’installer, de configurer et de personnaliser des stratégies de sécurité réseau pour un périphérique WatchGuard. Pour de plus amples informations sur Policy Manager, cf. À propos de Policy Manager à la page 340. Pour démarrer Policy Manager : Cliquez sur . Sinon, sélectionnez Outils > Policy Manager. 36 WatchGuard System Manager Mise en route Firebox System Manager Firebox System Manager vous permet de démarrer de nombreux outils de sécurité à partir d’une même interface conviviale. Vous pouvez également utiliser Firebox System Manager pour analyser le trafic du pare-feu en temps réel. Pour plus d’informations sur Firebox System Manager, cf. À propos de Firebox System Manager (FSM) à la page 681. Pour démarrer Firebox System Manager : Cliquez sur . Sinon, sélectionnez Outils > Firebox System Manager. HostWatch HostWatch affiche les connexions par le biais d’un périphérique WatchGuard provenant du réseau approuvé à destination du réseau externe (ou provenant d’autres interfaces ou VLAN de votre choix et y étant destinées). Il indique les connexions actuelles ou peut afficher l’historique des connexions enregistré dans un fichier journal. Pour de plus amples informations sur HostWatch, cf. À propos de HostWatch à la page 717 . Pour démarrer HostWatch : Cliquez sur . Sinon, sélectionnez Outils > HostWatch. LogViewer LogViewer fournit une vue statique d’un fichier journal. Vous pouvez utiliser LogViewer pour : n n n Appliquer un filtre par type de données Rechercher des mots et des champs Imprimer et enregistrer dans un fichier Pour de plus amples informations sur LogViewer, cf. Utiliser LogViewer pour afficher les fichiers journaux à la page 662. Pour démarrer LogViewer : Cliquez sur . Sinon, sélectionnez Outils > Journaux > LogViewer. Report Manager Les rapports WatchGuard sont des résumés des données que vous avez choisi d’extraire à partir des fichiers journaux du périphérique WatchGuard. Vous pouvez utiliser Report Manager pour afficher les informations dans vos rapports WatchGuard. Pour de plus amples informations sur Report Manager, cf. À propos de WatchGuard Report Manager à la page 758. Pour démarrer Report Manager : User Guide 37 Mise en route Cliquez sur . Sinon, sélectionnez Outils > Journaux > LogViewer. Assistant Quick Setup Wizard Vous pouvez utiliser l’assistant Quick Setup Wizard pour créer une configuration de base pour le périphérique WatchGuard. Le périphérique WatchGuard utilise ce fichier de configuration de base lors de son premier démarrage. Le périphérique WatchGuard peut ainsi fonctionner comme un pare-feu de base. Vous pouvez appliquer cette même procédure chaque fois que vous souhaitez réinitialiser le périphérique WatchGuard avec une nouvelle configuration de base à des fins de récupération ou autre. Pour de plus amples informations sur l’assistant Quick Setup Wizard, cf. À propos de l’Assistant Quick Setup Wizard à la page 27. Pour démarrer l’assistant Quick Setup Wizard : Cliquez sur . Sinon, sélectionnez Outils >Assistant Quick Setup Wizard. CA Manager Dans WatchGuard System Manager, la station de travail configurée en tant que serveur Management Server fonctionne également en tant qu’autorité de certification (CA). L’autorité de certification donne des certificats aux clients Firebox gérés lorsqu’ils contactent Management Server pour recevoir des mises à jour de configuration. Avant de pouvoir utiliser Management Server en tant qu’autorité de certification, vous devez Configurer l’autorité de certification sur Management Server. Pour configurer ou modifier les paramètres de l’autorité de certification : Cliquez sur . Sinon, sélectionnez Outils > CA Manager. Rubriques d’installation supplémentaires Installer WSM et conserver une version antérieure Vous pouvez installer la version actuelle de WSM (WatchGuard System Manager) et conserver la version antérieure si vous n’installez pas deux versions du logiciel serveur WatchGuard (Management Server, Log Server, Report Server, Quarantine Server et WebBlocker Server). Étant donné qu’une seule version des serveurs peut être installée, vous devez supprimer la version antérieure du logiciel serveur de WSM ou installer la nouvelle version de WSM sans le logiciel serveur. Nous vous recommandons de supprimer la version antérieure du logiciel serveur avant d’installer la version actuelle de WSM avec le logiciel serveur actuel. 38 WatchGuard System Manager Mise en route Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feux de bureau Les pare-feux de bureau peuvent bloquer les ports nécessaires au fonctionnement des composants du serveur WatchGuard. Avant d’installer Management Server, Log Server, Report Server, Quarantine Server ou WebBlocker Server sur un ordinateur doté d’un pare-feu de bureau actif, vous devrez peut-être ouvrir les ports nécessaires sur le pare-feu de bureau. Les utilisateurs du Pare-feu Windows n’ont pas besoin de modifier leur configuration, car le programme d’installation ouvre les ports nécessaires automatiquement. Le tableau suivant indique les ports que vous devez ouvrir sur un pare-feu de bureau. Type de serveur/Logiciel système Protocole/Port Management Server TCP 4109, TCP 4110, TCP 4112, TCP 4113 Log Server avec logiciel système Fireware Appliance Software TCP 4115 Log Server avec logiciel système WFS TCP 4107 WebBlocker Server TCP 5003, UDP 5003 Quarantine Server TCP 4119, TCP 4120 Report Server TCP 4122 Serveur Log Server TCP 4121 Prise en charge des adresses IP dynamiques sur l’interface externe Si vous utilisez des adresses IP dynamiques, vous devez configurer le périphérique WatchGuard en mode routé lorsque vous utilisez l’assistant Quick Setup Wizard. Si vous sélectionnez le protocole DHCP, le périphérique WatchGuard demande à un serveur DHCP contrôlé par votre fournisseur de services Internet de lui fournir son adresse IP, sa passerelle et son masque réseau. Ce serveur peut également fournir des informations de serveur DNS au périphérique WatchGuard. S’il ne vous procure pas ces informations, vous devez les ajouter manuellement à votre configuration. Si nécessaire, vous pouvez modifier les adresses IP fournies par votre fournisseur de services Internet. Vous pouvez également utiliser le protocole PPPoE. Comme avec le protocole DHCP, le périphérique WatchGuard établit une connexion PPPoE au serveur PPPoE de votre fournisseur de services Internet. Cette connexion configure automatiquement votre adresse IP, votre passerelle et votre masque réseau. Si vous utilisez le protocole PPPoE sur l’interface externe, vous devez posséder le nom d’utilisateur et le mot de passe PPP lors de la configuration de votre réseau. Si votre fournisseur de services Internet vous donne un nom de domaine à utiliser, entrez votre nom d’utilisateur au format « utilisateur@domaine » lors de l’utilisation de l’assistant Quick Setup Wizard. User Guide 39 Mise en route Une adresse IP statique est nécessaire pour que le périphérique WatchGuard puisse utiliser certaines fonctions. Lorsque vous configurez le périphérique WatchGuard de façon à recevoir des adresses IP dynamiques, il ne peut pas utiliser les fonctions suivantes : n n n n FireCluster Mode d’insertion 1-to-1 NAT sur une interface externe Mobile VPN with PPTP Note Si votre fournisseur de services Internet utilise une connexion PPPoE pour affecter une adresse IP statique, le périphérique WatchGuard vous autorise à activer Mobile VPN with PPTP car l’adresse IP est statique. À propos de la connexion des câbles Firebox n n n n Raccordez le câble d’alimentation à l’entrée d’alimentation Firebox et à une source d’alimentation. Utilisez un câble Ethernet droit (vert) pour raccorder la station de gestion à un concentrateur ou un commutateur. Utilisez un câble Ethernet droit différent pour raccorder Firebox aux mêmes concentrateurs ou commutateurs. Utilisez un câble inverseur rouge pour raccorder l’interface approuvée Firebox au port Ethernet de la station de gestion. Se connecter à Firebox avec Firefox v3 Les navigateurs Web s’assurent que le dispositif de l’autre côté d’une connexion HTTPS est bien celui que vous attendez à l’aide de certificats. Lorsqu’un certificat est autosigné, et en cas de conflit entre l’adresse IP ou nom d’hôte demandé et l’adresse IP ou nom d’hôte du certificat, les utilisateurs reçoivent une alerte. Par défaut, votre Firebox emploie un certificat autosigné dont vous pouvez vous servir pour configurer rapidement votre réseau. En revanche, quand les utilisateurs se connectent à Firebox sur navigateur Web, un message d’avertissement Échec de la connexion sécurisée apparaît. Pour éviter de voir ce message s’afficher, nous vous recommandons d’ajouter à votre configuration un certificat valide signé par une autorité de certification. Ce certificat d’autorité de certification peut également servir à renforcer la sécurité de l’authentification VPN. Pour plus d’informations sur l’utilisation de dispositifs Firefox, voir À propos des certificats à la page 781. Si vous continuez avec un certificat autosigné par défaut, vous pouvez ajouter une exception pour le Firebox de chaque ordinateur client. La plupart des navigateurs Web récents comportent un lien sur le message d’alerte permettant à l’utilisateur de cliquer pour permettre la connexion. Si votre établissement utilise Mozilla Firefox v3, les utilisateurs doivent ajouter une exception de certificat permanente avant de se connecter au Firebox. Font partie des actions imposant une exception : n n n 40 À propos de l’authentification des utilisateurs Installer et connecter le client Mobile VPN with SSL Exécuter l’Assistant Web Setup Wizard WatchGuard System Manager Mise en route n n Se connecter à Fireware XTM Web UI À propos des périphériques Edge (v10.x et suivantes) et SOHO en tant que clients gérés Font partie des URL imposant une exception : https:// Adresse IP ou nom d’hôte d’une interface Firebox:8080 https://adresse IP/nom d’hôte d’interface Firebox :4100 https://adresse IP ou nom d’hôte de Firebox:4100/sslvpn.html Ajouter une exception de certificat permanente à Mozilla Firefox v3 Si vous ajoutez une exception à Firefox v3 pour le Firebox Certificate, le message d’alerte ne s’affichera plus lors des connexions suivantes. Vous devez ajouter une exception indépendante pour chaque adresse IP, nom d’hôte et port utilisé pour connexion au Firebox. Par exemple, une exception utilisant un nom d’hôte ne fonctionnera pas correctement en cas de connexion avec une adresse IP. Parallèlement, une exception spécifiant le port 4100 n’est pas applicable à une connexion sans aucun port spécifié. Note Une exception de certificat ne nuit pas à la sécurité de votre ordinateur. Tout le trafic réseau entre votre ordinateur et le dispositif WatchGuard reste chiffré par protocole SSL. Il existe deux méthodes d’ajout d’exception. Vous devez être capable d’envoyer du trafic au Firebox pour ajouter une exception. n n Cliquez sur le lien du message Échec de la connexion sécurisée. Utilisez une exception de certificat permanente à Firefox v3. Dans le message Échec de la connexion sécurisée : 1. Cliquez sur Ou vous pouvez ajouter une exception. 2. Cliquez sur Ajout d’exceptions. La boîte de dialogue Ajouter une exception de sécurité apparaît. 3. Cliquez sur Obtenir un certificat. 4. Sélectionnez la case Enregistrer cette exception définitivement. 5. Cliquez sur Confirmer exception de sécurité. Ajout d’exceptions multiples : 1. Dans Firefox, sélectionnez Outils >Options. La boîte de dialogue Options s’affiche. 2. Sélectionnez Avancé. 3. Cliquez sur l’onglet Chiffrement, puis cliquez sur Afficher les certificats. La boîte de dialogue Gestionnaire de certificats s’ouvre. 4. Cliquez sur l’onglet Serveurs, puis sur Ajouter exception. 5. Dans la zone de texte Emplacement, ressaisissez l’URL pour se connecter au Firebox. Les URL les plus fréquentes sont sur la liste ci-dessus. 6. Lorsque l’information de certificat apparaît dans la zone État de certificat, cliquez sur Confirmer exception de sécurité. 7. Cliquez sur OK. Répétez les étapes 4 à 6 pour ajouter d’autres exceptions. User Guide 41 Mise en route Désactiver les proxys HTTP dans le navigateur De nombreux navigateurs Web sont configurés de façon à utiliser un serveur proxy HTTP afin d’améliorer la vitesse de téléchargement des pages Web. Pour gérer ou configurer Firebox avec l’interface de gestion Web, votre navigateur doit se connecter directement au périphérique. Si vous utilisez un serveur proxy HTTP, vous devez momentanément désactiver le paramètre de proxy HTTP dans votre navigateur. Vous pouvez activer le paramètre de serveur proxy HTTP dans votre navigateur, une fois Firebox configuré. Utilisez les instructions suivantes pour désactiver le proxy HTTP dans Firefox, Safari ou Internet Explorer. Si vous utilisez un autre navigateur, utilisez son système d’aide pour rechercher les informations nécessaires. De nombreux navigateurs désactivent automatiquement la fonctionnalité de proxy HTTP. Désactiver le proxy HTTP dans Internet Explorer 6.x ou 7.x 1. Ouvrez Internet Explorer. 2. Sélectionnez >Outils Options Internet. La boîte de dialogue Options Internet s’affiche. 3. Cliquez sur l’onglet Connexions. 4. Cliquez sur Paramètres réseau. La boîte de dialogue Paramètres de réseau local s’affiche. 5. Désactivez la case à cocher Utiliser un serveur proxy pour votre réseau local. 6. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de réseau local. 7. Cliquez sur OK pour fermer la boîte de dialogue Options Internet. Désactiver le proxy HTTP dans Firefox 2.x 1. Ouvrez Firefox. 2. Sélectionnez Outils>Options. La boîte de dialogue Options s’affiche. 3. Cliquez sur l’icône Avancé. 4. Cliquez sur l’icône Réseau. Cliquez sur Paramètres. 5. Cliquez sur Paramètres de connexion La boîte de dialogue Paramètres de connexion s’affiche. 6. Assurez-vous que l’option Connexion directe à Internet est sélectionnée. 7. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de connexion. 8. Cliquez sur OK pour fermer la boîte de dialogue Options. Désactiver le proxy HTTP dans Safari 2.0 1. Ouvrez Safari. 2. Sélectionnez Préférences La boîte de dialogue Préférences Safari s’affiche. 3. Cliquez sur l’icône Avancé. 4. Cliquez sur le bouton Modifier les paramètres. La boîte de dialogue Préférence système s’affiche. 5. Désactivez la case à cocher Proxy Web (HTTP). 6. Cliquez sur Appliquer. 42 WatchGuard System Manager Mise en route Trouvez vos propriétés TCP/IP Pour en savoir plus sur les propriétés de votre réseau, examinez les propriétés TCP/IP de votre ordinateur ou de tout autre ordinateur du réseau. Vous devez connaître les éléments suivants pour installer votre périphérique WatchGuard : n n n n Adresse IP Masque de sous-réseau Passerelle par défaut Votre ordinateur a une adresse IP statique ou dynamique Note Si votre fournisseur de services Internet affecte à votre ordinateur une adresse IP commençant par 10, 192.168 ou 172.16 à 172.31, cela signifie qu’il utilise la traduction d’adresses réseau (NAT, Network Address Translation) et que votre adresse IP est privée. Nous vous conseillons d'obtenir une adresse IP publique pour votre adresse IP externe de Firebox. Si vous utilisez une adresse IP privée, vous pouvez rencontrer des problèmes avec certaines fonctionnalités, telles que la mise en réseau privé virtuel. Pour rechercher les propriétés TCP/IP du système d'exploitation de votre ordinateur, suivez les instructions figurant dans les sections suivantes. Trouvez vos propriétés TCP/IP sur Microsoft Windows Vista 1. Sélectionnez Démarrer> Programmes > Accessoires > Invite de commande. La boîte de dialogue Invite de boîte de dialogue s’affiche. 2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée. 3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal. Trouvez vos propriétés TCP/IP sur Microsoft Windows 2000, Windows 2003 et Windows XP 1. Sélectionnez Démarrer > Tous les programmes >Accessoires > Invite de commandes. La boîte de dialogue Invite de boîte de dialogue s’affiche. 2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée. 3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal. Trouvez vos propriétés TCP/IP sur Microsoft Windows NT 1. Sélectionnez Démarrer > Programmes > Invite de commandes. La boîte de dialogue Invite de boîte de dialogue s’affiche. 2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée. 3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal. Trouvez vos propriétés TCP/IP sur Macintosh OS 9 1. Sélectionnez le Menu Pomme > Tableaux de bord >TCP/IP. La boîte de dialogue TCP/IP s'affiche. User Guide 43 Mise en route 2. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal. Trouvez vos propriétés TCP/IP sur Macintosh OS X 10.5 1. Sélectionnez le menu Pomme > Préférences système ou cliquez sur l’icône dans le Dock. La boîte de dialogue Préférences système s'affiche. 2. Cliquez sur l’icône Réseau. Le volet de préférences réseau s’affiche. 3. Sélectionnez la carte réseau utilisée pour la connexion à Internet. 4. Notez les valeurs qui s’affichent pour l'adaptateur réseau. Trouvez vos propriétés TCP/IP sur d’autres systèmes d’exploitation (Unix, Linux) 1. Reportez-vous au guide d’utilisation de votre système d’exploitation pour rechercher les propriétés TCP/IP. 2. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal. 44 WatchGuard System Manager 5 Principes de configuration et de gestion À propos des tâches de base de configuration et de gestion Une fois le périphérique WatchGuard installé sur votre réseau et configuré à partir d’un fichier de configuration de base, vous pouvez commencer à ajouter des paramètres personnalisés. Les rubriques de cette section vous permettent d’effectuer ces tâches de base de gestion et de maintenance. À propos des fichiers de configuration Un fichier de configuration inclut toutes les données de configuration, options, adresses IP et autres informations qui constituent votre stratégie de sécurité pour le périphérique WatchGuard. Les fichiers de configuration ont l’extension .xml. Policy Manager est un outil logiciel WatchGuard qui vous permet de créer, modifier et enregistrer des fichiers de configuration. Vous pouvez utiliser Policy Manager pour examiner ou modifier facilement votre fichier de configuration. Avec Policy Manager, vous pouvez : n n n n Ouvrir un fichier de configuration , soit le fichier de configuration actuellement utilisé sur le périphérique WatchGuard, soit un fichier de configuration local (enregistré sur votre disque dur) Créer un fichier de configuration Enregistrer le fichier de configuration Apporter des modifications à des fichiers de configuration existants User Guide 45 Principes de configuration et de gestion Ouvrir un fichier de configuration Les administrateurs réseau ont souvent besoin de modifier les stratégies de sécurité de leur réseau. Votre entreprise a par exemple acheté un nouveau logiciel et vous devez ouvrir un port et un protocole sur un serveur se trouvant chez le fournisseur. Votre entreprise a peut-être également acheté une nouvelle fonctionnalité pour le périphérique WatchGuard ou embauché un nouvel employé qui doit pouvoir accéder aux ressources réseau. Pour toutes ces tâches et pour d’autres encore, vous devez ouvrir le fichier de configuration, le modifier à l’aide de Policy Manager, puis l’enregistrer. Ouvrir le fichier de configuration avec WatchGuard System Manager 1. Sur le bureau Windows, sélectionnez Démarrer > Tous les programmes > WatchGuard System Manager 11.x > WatchGuard System Manager 11.x. WatchGuard System Manager 11.x est le nom par défaut du dossier regroupant les icônes dans le menu Démarrer. Vous ne pouvez pas modifier le nom de ce dossier au cours de l’installation, mais vous pouvez le modifier via l’interface Windows. 2. Cliquez sur . Vous pouvez également sélectionner Fichier > Se connecter au périphérique. La boîte de dialogue Se connecter à Firebox apparaît. 3. Dans la liste déroulante Nom/Adresse IP, entrez ou sélectionnez l’adresse IP de l’interface approuvée de votre périphérique WatchGuard. Entrez le mot de passe d’état (lecture seule). Cliquez sur OK. Le périphérique apparaît dans l’onglet État du périphérique de WatchGuard System Manager. 4. Sélectionnez le périphérique Firebox dans l’onglet État du périphérique. Cliquez sur . Sinon, sélectionnez Outils > Policy Manager. Policy Manager s’ouvre et affiche le fichier de configuration utilisé sur le périphérique sélectionné. Les modifications apportées à la configuration ne prennent effet qu’une fois que vous avez enregistré la configuration sur le périphérique WatchGuard. 46 WatchGuard System Manager Principes de configuration et de gestion Ouvrir un fichier de configuration local Vous pouvez ouvrir les fichiers de configuration enregistrés sur n’importe quelle unité locale ou réseau auxquels votre station de gestion peut se connecter. Si vous souhaitez utiliser un fichier de configuration Firebox d’usine par défaut, nous vous recommandons d’exécuter d’abord l’Assistant Quick Setup Wizard pour créer une configuration de base, puis d’ouvrir le fichier de configuration. 1. Dans WatchGuard System Manager, cliquez sur Sinon, sélectionnez Outils > Policy Manager. . La boîte de dialogue Policy Manager s’ouvre. 2. Sélectionnez Ouvrir un fichier de configuration et cliquez sur Parcourir. 3. Sélectionnez le fichier de configuration. 4. Cliquez sur Ouvrir. Le fichier de configuration s’ouvre dans Policy Manager. Ouvrir le fichier de configuration avec Policy Manager 1. Cliquez sur Fichier > Ouvrir > Firebox. La boîte de dialogue Ouvrir Firebox s’affiche. 2. Dans la liste déroulante Adresse ou nom Firebox, sélectionnez un périphérique. Vous pouvez également taper l’adresse IP ou le nom d’hôte. 3. Dans la zone de texte Mot de passe d’état, entrez le mot de passe d’état (lecture seule) de Firebox. Vous devez utiliser le mot de passe de configuration pour enregistrer une nouvelle configuration sur le périphérique WatchGuard. 4. Cliquez sur OK. Le fichier de configuration s’ouvre dans Policy Manager. Si vous ne parvenez pas à vous connecter à Firebox, procédez comme suit : n n Si la boîte de dialogue Se connecter à Firebox ou Ouvrir Firebox s’affiche immédiatement dès que vous avez entré le mot de passe, vérifiez que le verrouillage des majuscules n’est pas activé et que vous avez entré le mot de passe correctement. Le mot de passe respecte la casse. Si la boîte de dialogue Se connecter à Firebox ou Ouvrir Firebox ne s’affiche plus, vérifiez qu’il existe une liaison sur l’interface approuvée et sur l’ordinateur. Vérifiez que vous avez entré une adresse IP correcte pour l’interface approuvée de Firebox. Vérifiez également que l’adresse IP de votre ordinateur figure dans le même réseau que l’interface approuvée de Firebox. User Guide 47 Principes de configuration et de gestion Créer un fichier de configuration L’Assistant Quick Setup Wizard crée un fichier de configuration de base pour Firebox. Nous vous recommandons d’utiliser ce fichier comme point de départ pour tous vos fichiers de configuration. Vous pouvez également créer un fichier de configuration contenant uniquement les propriétés de configuration par défaut à l’aide de Policy Manager. 1. Dans WatchGuard System Manager, cliquez sur Sinon, sélectionnez Outils > Policy Manager. . Policy Manager apparaît. 2. Sélectionnez Créer un fichier de configuration pour. 3. Dans la liste déroulante Firebox, sélectionnez un type de configuration. 4. Cliquez sur OK. La boîte de dialogue Sélectionner le modèle de Firebox et le nom apparaît. 5. Dans les listes déroulantes Modèle, sélectionnez le modèle de votre Firebox. Certains groupes de fonctionnalités étant uniques à des modèles, sélectionnez le même modèle que celui de votre périphérique matériel. 6. Dans la zone de texte Nom, entrez le nom de votre Firebox et du fichier de configuration. Il permet aussi d’identifier Firebox si celui-ci est géré par un serveur WatchGuard Management Server et il est utilisé pour la journalisation et la génération de rapports. 7. Cliquez sur OK. Policy Manager crée un fichier de configuration portant le nom <name>.xml , où <name> est le nom attribué à Firebox. Enregistrer le fichier de configuration Si vous créez un fichier de configuration ou modifiez le fichier de configuration actuel et si vous souhaitez que vos modifications prennent effet sur le périphérique WatchGuard, vous devez enregistrer le fichier de configuration directement sur le périphérique. Vous pouvez aussi enregistrer le fichier de configuration actuel sur une unité locale ou un réseau auxquels votre station de gestion peut se connecter. Si vous prévoyez d’apporter une ou plusieurs modifications importantes au fichier de configuration, nous vous recommandons de sauvegarder au préalable une copie de l’ancien fichier. En cas de problème avec la nouvelle configuration, vous pourrez restaurer l’ancienne. Enregistrer une configuration directement dans Firebox Vous pouvez utiliser Policy Manager pour enregistrer votre fichier de configuration directement dans Firebox. 48 WatchGuard System Manager Principes de configuration et de gestion 1. Cliquez sur Fichier > Enregistrer > Dans Firebox. La boîte de dialogue Enregistrer dans Firebox apparaît. 2. Dans la liste déroulante Adresse ou nom Firebox, sélectionnez ou entrez un nom ou une adresse IP. Si vous entrez un nom, ce nom doit pouvoir être résolu via DNS. N’oubliez pas d’entrer tous les numéros et les points. N’utilisez ni la touche de tabulation ni la touche de direction. 3. Entrez le mot de passe de configuration de Firebox. Vous devez utiliser le mot de passe de configuration pour enregistrer la configuration dans Firebox. 4. Cliquez sur OK. Enregistrer une configuration sur un disque dur local ou en réseau Vous pouvez utiliser Policy Manager pour enregistrer votre fichier de configuration sur un disque dur local ou en réseau. 1. Cliquez sur Fichier > Enregistrer > En tant que fichier. Vous pouvez également utiliser la combinaison de touches Ctrl + S. Une boîte de dialogue d’enregistrement de fichier Windows standard apparaît. 2. Entrez le nom du fichier. L’emplacement par défaut est le répertoire Mes Documents\Mon WatchGuard\configs . Vous pouvez aussi enregistrer le fichier dans le dossier de votre choix, sous réserve que vous puissiez vous y connecter depuis la station de gestion. Pour une sécurité optimale, nous vous recommandons d’enregistrer les fichiers dans un dossier sûr auquel aucun autre utilisateur ne peut avoir accès. 3. Cliquez sur Enregistrer. Le fichier de configuration est enregistré dans le répertoire indiqué. Créer une sauvegarde de l’image Firebox Une image de sauvegarde Firebox consiste en une copie chiffrée et enregistrée de l’image du disque flash obtenue à partir du disque flash Firebox. Cette image inclut le logiciel système Firebox, le fichier de configuration, les licences et les certificats. Vous pouvez enregistrer une image de sauvegarde sur votre ordinateur de gestion ou sur un répertoire réseau. L’image de sauvegarde de Firebox X Edge n’inclut pas le logiciel système Firebox. Il est conseillé de réaliser des sauvegardes régulières de l’image Firebox. Il est également conseillé de créer une image de sauvegarde de Firebox avant d’apporter des modifications importantes à la configuration ou avant de mettre à jour le périphérique ou son logiciel système. User Guide 49 Principes de configuration et de gestion 1. Sélectionnez Fichier > Sauvegarde. La boîte de dialogue Sauvegarde s’affiche. 2. Entrez le mot de passe de configuration de Firebox. La deuxième partie de la boîte de dialogue Sauvegarde s’affiche. 3. Entrez et confirmez une clé de chiffrement. Cette clé permet de chiffrer le fichier de sauvegarde. En cas de perte ou d’oubli de cette clé de chiffrement, vous ne serez plus en mesure de restaurer le fichier de sauvegarde. 4. Cliquez sur Parcourir pour sélectionner le répertoire dans lequel vous souhaitez enregistrer le fichier de sauvegarde. L’emplacement par défaut des fichiers de sauvegarde dont l’extension est « .fxi » est : C:\Documents and Settings\All Users\Shared WatchGuard\backups\<Firebox IP address>-<date>.<wsm_version>.fxi 5. Cliquez sur OK. Restaurez un système Firebox. Image de sauvegarde 1. Sélectionnez Fichier > Restaurer. La boîte de dialogue Restaurer s’affiche. 50 WatchGuard System Manager Principes de configuration et de gestion 2. Entrez le mot de passe de configuration de votre périphérique Firebox. Cliquez sur OK. 3. Entrez la clé de chiffrement utilisée à la création de l’image de sauvegarde. Le périphérique Firebox restaure l’image de sauvegarde. Il redémarre et utilise l’image de sauvegarde. Veillez à patienter deux minutes avant de vous reconnecter au périphérique Firebox. Par défaut, l’emplacement d’un fichier de sauvegarde portant une extension « .fxi » est C:\Documents and Settings\All Users\Shared WatchGuard\backups\<Firebox IP address>-<date>.<wsm_version>.fxi Si vous ne parvenez pas à restaurer l’image Firebox, vous pouvez réinitialiser le périphérique Firebox. Selon votre modèle Firebox, vous pouvez restaurer les paramètres par défaut d’un périphérique Firebox ou créer une nouvelle configuration à l’aide de l’Assistant Quick Setup Wizard. Pour de plus amples informations, cf. : Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle configuration à la page 61. Utiliser une clé USB pour la sauvegarde et la restauration du système Une image de sauvegarde d’un périphérique WatchGuard XTM consiste en une copie chiffrée et enregistrée de l’image du disque flash obtenue à partir du périphérique XTM. Le fichier de l’image de sauvegarde comprend le système d’exploitation du périphérique XTM, le fichier de configuration, la clé de fonctionnalité et des certificats. Pour les périphériques WatchGuard XTM 2 Series, 5 Series, 8 Series ou XTM 1050, vous pouvez connecter une clé USB ou tout autre dispositif de stockage au port USB du périphérique XTM pour les sauvegardes et restaurations du système. Lorsque vous enregistrez une image de sauvegarde du système sur une clé USB connectée, vous pouvez restaurer votre périphérique XTM vers un état connu plus rapidement. Note Cette fonctionnalité n’est pas disponible sur les périphériques e-Series, car ils ne possèdent pas de port USB. À propos de la clé USB La clé USB doit être formatée à l’aide du système de fichiers FAT ou FAT32. Si la clé USB possède plus d’une partition, Fireware XTM n’utilise que la première. La taille maximale par image de sauvegarde du système est de 30 Mo. Nous vous recommandons d’utiliser une clé USB disposant de suffisamment d’espace pour pouvoir stocker plusieurs images de sauvegarde. Enregistrer une image de sauvegarde sur une clé USB connectée Pour suivre cette procédure, la clé USB doit être connectée à votre périphérique XTM. 1. Démarrer Firebox System Manager. 2. Sélectionnez Outils > Clé USB. La boîte de dialogue Sauvegarder/Restaurer vers clé USB s’affiche. User Guide 51 Principes de configuration et de gestion 3. Dans la rubrique Nouvelle image de sauvegarde, tapez un nom de fichier pour l’image de sauvegarde. Vous pouvez aussi utiliser le nom de fichier par défaut proposé. 4. Entrez et confirmez une clé de chiffrement. Cette clé permet de chiffrer le fichier de sauvegarde. Si vous perdez ou oubliez cette clé de chiffrement, vous ne pourrez pas restaurer le fichier de sauvegarde. 5. Cliquez sur Enregistrer sur clé USB. Une fois l’enregistrement terminé, l’image enregistrée apparaît dans la liste des images de sauvegarde de périphérique disponibles. Restaurer une image de sauvegarde à partir d’une clé USB connectée Pour suivre cette procédure, la clé USB doit être connectée à votre périphérique XTM. 1. Démarrer Firebox System Manager. 2. Sélectionnez Outils > Clé USB. La boîte de dialogue Sauvegarder/Restaurer vers clé USB s’affiche. 3. À partir de la liste Images de sauvegarde disponibles, sélectionnez un fichier d’image de sauvegarde à restaurer. 4. Cliquez sur Restaurer l’image sélectionnée. 5. Entrez la clé de chiffrement que vous avez utilisée lors de la création de l’image de sauvegarde. 52 WatchGuard System Manager Principes de configuration et de gestion 6. Entrez le mot de passe de configuration de votre périphérique XTM. Cliquez sur OK. 7. Cliquez sur Rétablir. Le périphérique XTM restaure l’image de sauvegarde. Il redémarre, puis utilise l’image de sauvegarde. Restaurer automatiquement une image de sauvegarde à partir d’une clé USB Si une clé USB (dispositif de stockage) est connectée à un périphérique WatchGuard XTM en mode récupération, celui-ci peut restaurer automatiquement l’image sauvegardée précédemment sur la clé. Pour utiliser la fonctionnalité d’autorestauration, vous devez d’abord sélectionner l’image de sauvegarde sur la clé USB que vous souhaitez utiliser pour la restauration. Pour sélectionner cette image de sauvegarde, vous devez utiliser l’interface utilisateur Fireware XTM Web UI, Firebox System Manager ou Fireware XTM Command Line Interface. Vous pouvez utiliser la même image de sauvegarde pour plusieurs périphériques, à condition qu’ils fassent tous partie de la famille de modèles WatchGuard XTM. Par exemple, vous pouvez utiliser une image de sauvegarde enregistrée à partir d’un périphérique XTM 530 pour tout autre périphérique XTM 5 Series. Sélectionner l’image de sauvegarde à utiliser pour l’autorestauration 1. Démarrer Firebox System Manager. 2. Sélectionnez Outils > Clé USB. La boîte de dialogue Sauvegarder/Restaurer vers clé USB s’affiche. 3. Dans la liste Images de sauvegarde disponibles, sélectionnez un fichier d’image de sauvegarde. 4. Cliquez sur Utiliser l’image sélectionnée pour l’autorestauration. 5. Entrez la clé de chiffrement utilisée pour créer l’image de sauvegarde. Cliquez sur OK. User Guide 53 Principes de configuration et de gestion 6. Entrez le mot de passe de configuration de votre périphérique XTM. Cliquez sur OK. Le périphérique XTM enregistre une copie de l’image de sauvegarde sélectionnée en tant qu’image d’autorestauration auto-restore.fxi. L’image est enregistrée dans le répertoire d’autorestauration, sur la clé USB, puis chiffrée avec une clé de chiffrement aléatoire qui ne peut être utilisée que par le processus de restauration automatique. Si vous avez déjà enregistré une image d’autorestauration, le fichier auto-restore.fxi est remplacé par la copie de l’image de sauvegarde sélectionnée. Avertissement Si votre périphérique XTM utilise une version du système d’exploitation Fireware XTM antérieure à la version 11.3, vous devez mettre à jour l’image logicielle du mode récupération du périphérique vers la version 11.3 pour activer la fonctionnalité d’autorestauration. Reportez-vous aux Notes de version Fireware XTM 11.3 pour obtenir des instructions de mise à niveau. Restaurer l’image de sauvegarde pour un périphérique XTM 5 Series, 8 Series ou XTM 1050 1. Connectezla clé USBsur laquelle figure l’image d’autorestauration àun port USBdu périphérique XTM. 2. Mettez le périphérique XTM hors tension. 3. Pendant que vous mettez le périphérique sous tension, appuyez sur le bouton Flèche vers le haut situé sur le panneau avant du périphérique. 4. Maintenez le bouton enfoncé jusqu’à ce que le message Démarrage du mode récupération apparaisse sur l’affichage LCD. Le périphérique restaure l’image de sauvegarde à partir de la clé USB ; après redémarrage, il utilise automatiquement l’image restaurée. Si la clé USB contient une image d’autorestauration non valide pour cette famille de modèles de périphériques XTM, le périphérique ne redémarre pas mais se lance en mode récupération. Si vous redémarrez à nouveau le périphérique, il utilisera votre configuration actuelle. Lorsque le périphérique est en mode récupération, vous pouvez utiliser l’Assistant WSM Quick Setup Wizard pour créer une nouvelle configuration de base. Pour obtenir des informations sur l’Assistant WSM Quick Setup Wizard, cf. Exécution de l’Assistant WSM Quick Setup Wizard à la page 31. Restaurer l’image de sauvegarde pour un périphérique XTM 2 Series 1. Connectez la clé USB sur laquelle figure l’image d’autorestauration à un port USB du périphérique XTM 2 Series. 2. Déconnectez l’alimentation. 3. Maintenez enfoncé le bouton Rétablir situé à l’arrière du périphérique. 4. Connectez l’alimentation tout en appuyant sur le bouton Rétablir. 5. Après 10 secondes, relâchez le bouton. Le périphérique restaure l’image de sauvegarde à partir de la clé USB ; après redémarrage, il utilise automatiquement l’image restaurée. 54 WatchGuard System Manager Principes de configuration et de gestion Si la clé USB contient une image d’autorestauration 2 Series non valide, l’autorestauration échoue et le périphérique ne redémarre pas. Si le processus d’autorestauration échoue, vous devez déconnecter puis reconnecter l’alimentation afin de démarrer le périphérique 2 Series avec ses paramètres usine par défaut. Pour plus d’informations, voir À propos des paramètres usine par défaut. Structure de répertoire de la clé USB Lorsque vous enregistrez une image de sauvegarde sur une clé USB, le fichier est enregistré dans un répertoire correspondant au numéro de série de votre périphérique XTM. Autrement dit, vous pouvez stocker des images de sauvegarde pour plusieurs périphériques XTM sur une même clé USB. Lorsque vous restaurez une image de sauvegarde, le logiciel récupère automatiquement la liste des images de sauvegarde stockées dans le répertoire associé à ce périphérique. Pour chaque périphérique, la structure de répertoire sur la clé USB se présente comme suit, sn correspondant au numéro de série du périphérique XTM : \sn\flash-images\ \sn\configs\ \sn\feature-keys\ \sn\certs\ Les images de sauvegarde d’un périphérique sont enregistrées dans le répertoire \sn\flash-images . Le fichier d’image de sauvegarde enregistré dans le répertoire flash-images contient le système d’exploitation Fireware XTM, la configuration du périphérique, les clés de fonctionnalité et des certificats. Les sousrépertoires \configs , \feature-keys et \certs ne sont pas utilisés pour les opérations de sauvegarde et de restauration sur clé USB. Vous pouvez les utiliser pour stocker des clés de fonctionnalité, des fichiers de configuration et des certificats supplémentaires pour chaque périphérique. Un répertoire situé à la racine de la structure de répertoire est également utilisé pour stocker l’image de sauvegarde d’autorestauration désignée. \auto-restore\ Lorsque vous désignez une image de sauvegarde à utiliser pour une restauration automatique, une copie du fichier d’image de sauvegarde sélectionné est chiffrée et enregistrée dans le répertoire \auto-restore , sous le nom de auto-restore.fxi . Vous ne pouvez enregistrer qu’une seule image d’autorestauration par clé USB. Vous pouvez utiliser la même image de sauvegarde d’autorestauration pour plusieurs périphériques à condition que les deux dispositifs appartiennent à la même famille de modèles WatchGuard XTM. Par exemple, vous pouvez utiliser une image d’autorestauration enregistrée à partir d’un périphérique XTM 530 pour tout autre périphérique XTM 5 Series. Vous devez utiliser la commande Firebox System Manager Outils > Clé USB pour créer une image d’autorestauration. Si vous copiez et renommez manuellement une image de sauvegarde et que vous la stockez dans ce répertoire, le processus de restauration automatique ne fonctionne pas correctement. User Guide 55 Principes de configuration et de gestion Enregistrer une image de sauvegarde sur une clé USB connectée à votre station de gestion. Vous pouvez utiliser Policy Manager pour enregistrer une image de sauvegarde sur une clé USB ou un dispositif de stockage connecté(e) à votre station de gestion. Si vous enregistrez les fichiers de configuration correspondant à divers périphériques sur la même clé USB, vous pouvez connecter la clé à chacun de ces périphériques XTM à des fins de récupération. Si vous utilisez la commande Firebox System Manager Outils > Clé USB pour cela, les fichiers sont automatiquement enregistrés dans le répertoire correspondant sur la clé USB. Si vous utilisez la commande Policy Manager Fichier > Sauvegarde ou si vous utilisez Windows ou un autre système d’exploitation pour copier manuellement des fichiers de configuration sur la clé USB, vous devez créer manuellement le numéro de série et les répertoires d’images flash corrects pour chaque périphérique (s’ils n’existent pas déjà). Avant de commencer Avant de commencer, il est important de comprendre la Structure de répertoire de la clé USB utilisée par la fonctionnalité de sauvegarde et de restauration sur clé USB. Si vous n’enregistrez pas l’image de sauvegarde au bon endroit, le périphérique sera incapable de la retrouver lorsque vous y connecterez la clé USB. Enregistrer l’image de sauvegarde Pour enregistrer une image de sauvegarde sur une clé USB connectée à votre station de gestion, suivez les étapes décrites dans Créer une sauvegarde de l’image Firebox. Au moment de choisir l’emplacement où enregistrer le fichier, sélectionnez la lettre du lecteur correspondant à la clé USB connectée sur votre ordinateur. Si vous souhaitez que l’image de sauvegarde soit reconnue par le périphérique XTM lorsque vous y connectez la clé USB, assurez-vous de l’enregistrer dans le répertoire \flash-images se trouvant dans le répertoire nommé avec le numéro de série de votre périphérique XTM. Par exemple, si le numéro de série de votre périphérique XTM est le 70A10003C0A3D , enregistrez le fichier de l’image de sauvegarde à cet emplacement sur la clé USB : \70A10003C0A3D\flash-images\ Désigner une image de sauvegarde pour une autorestauration Pour désigner une image de sauvegarde à utiliser avec la fonctionnalité d’autorestauration, vous devez connecter la clé USB au périphérique puis désigner l’image de sauvegarde à utiliser pour une autorestauration tel que décrit dans Utiliser une clé USB pour la sauvegarde et la restauration du système. Si vous enregistrez manuellement une image de sauvegarde dans le répertoire d’autorestauration, le processus de restauration automatique ne fonctionne pas correctement. 56 WatchGuard System Manager Principes de configuration et de gestion Utiliser une configuration existante pour créer un modèle Firebox Quand vous mettez à niveau votre modèle Firebox, vous pouvez continuer d’utiliser le même fichier de configuration. Lorsque vous importez une nouvelle clé de fonctionnalité, Firebox peut modifier automatiquement le fichier de configuration existant pour qu’il fonctionne correctement sur un nouveau modèle de périphérique. Procédez comme suit si vous voulez utiliser une configuration existante avec un nouveau Firebox : 1. Si ce n’est pas déjà fait, Obtenir une clé de fonctionnalité auprès de LiveSecurity pour votre nouveau Firebox. 2. Sur votre Firebox existant, Ouvrir Policy Manager. 3. Sélectionnez Configurer > Clés de fonctionnalité. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. User Guide 57 Principes de configuration et de gestion 4. Cliquez sur Supprimer pour supprimer la clé de fonctionnalité active. 5. Cliquez sur Importer. La boîte de dialogue Importer la clé de fonctionnalité Firebox apparaît. 6. Quand vous avez obtenu une clé de fonctionnalité pour votre nouveau Firebox, vous avez copié l’intégralité de la clé dans un fichier texte que vous avez enregistré sur votre ordinateur. Ouvrez ce fichier et collez le contenu du fichier de la clé de fonctionnalité du nouveau Firebox dans la boîte de dialogue Importer la clé de fonctionnalité Firebox. 7. Cliquez sur OK. Les informations et fonctionnalités du modèle qui figurent sur la nouvelle clé apparaissent dans la boîte de dialogue Clés de fonctionnalité Firebox. 8. Cliquez sur OK. 9. Si votre nouveau Firebox compte un nombre d’interfaces différent de l’ancien modèle, Policy Manager affiche un message qui vous conseille de vérifier la configuration des interfaces réseau. Pour vérifier la configuration des interfaces réseau, sélectionnez Réseau > Configuration. 10. Sélectionnez Fichier > Enregistrer > Dans Firebox pour enregistrer la configuration dans le nouveau Firebox. Configurer un périphérique Firebox de remplacement Si votre périphérique Firebox tombe en panne durant la période de garantie, WatchGuard peut le remplacer par un périphérique RMA (Return Merchandise Agreement ou contrat de retour de marchandise) du même modèle. Lors d’un échange entre un Firebox et un périphérique RMA de remplacement, le service à la clientèle WatchGuard transfère les licences du numéro de série original vers le numéro de série du nouveau Firebox. Toutes les fonctions sous licence du Firebox original sont transférées vers le Firebox de remplacement. 58 WatchGuard System Manager Principes de configuration et de gestion Suivez les étapes des sections suivantes pour que votre nouveau Firebox se serve de la même configuration que votre Firebox original. Sauvegardez la configuration de votre Firebox original sur fichier. Pour ce faire, vous devez disposer d’un fichier de configuration de votre Firebox original. Par défaut, le fichier de configuration est enregistré dans le répertoire Mes documents\Mon WatchGuard\configs . Pour connaître les instructions de sauvegarde de configuration sur fichier local, voir Enregistrer le fichier de configuration à la page 48. Procurez-vous la clé de fonctionnalité du Firebox de remplacement Le numéro de série du Firebox de remplacement étant différent, il vous faut un nouveau numéro de série clé de fonctionnalité à vous procurer via la section Assistance du site Web WatchGuard. Le Firebox de remplacement est listé dans vos produits activés au même nom de produit que le Firebox original, mais son numéro de série correspond au Firebox de remplacement. Pour savoir comment vous procurer la clé de fonctionnalité, cf. Obtenir une clé de fonctionnalité auprès de LiveSecurity à la page 65. Configurez Edge à l’aide de l’Assistant Quick Setup Wizard. Tout comme sur un nouveau Firebox quelconque, vous pouvez à l’aide de l’Assistant Quick Setup Wizard créer une configuration de base pour le Firebox de remplacement. L’Assistant Quick Setup Wizard s’exécute à partir du Web ou en tant qu’application Windows. n n Pour plus d’informations sur l’exécution de l’Assistant à partir du Web, cf. Exécuter l’Assistant Web Setup Wizard à la page 27. Pour plus d’informations sur l’exécution de l’assistant en tant qu’application Windows, cf. Exécution de l’Assistant WSM Quick Setup Wizard à la page 31. Mettez à jour la clé de fonctionnalité sur le fichier de configuration de votre Firebox original et enregistrez sur le nouveau. 1. Dans le gestionnaire WatchGuard System Manager, sélectionnez Outils > Policy Manager. 2. Sélectionnez Ouvrir le fichier de configuration. 3. Cliquez sur Parcourir et sélectionnez le fichier de configuration sauvegardée de votre Firebox original. 4. Cliquez sur Ouvrir. Cliquez sur OK. 5. Dans Policy Manager, sélectionnez Configurer > Clés de fonctionnalité. 6. Cliquez sur Supprimer pour supprimer la clé de fonctionnalité active. 7. Cliquez sur Importer pour importer la nouvelle clé de fonctionnalité. User Guide 59 Principes de configuration et de gestion 8. Cliquez sur Parcourir pour sélectionner le fichier de clé de fonctionnalité que vous avez téléchargé à partir du site LiveSecurity. Ou cliquez sur Coller pour coller le contenu de la clé de fonctionnalité pour le dispositif de remplacement. 9. Cliquez deux fois sur OK pour refermer les boîtes de dialogue Clés de fonctionnalité Firebox . 10. Pour enregistrer la configuration sur la Firebox, sélectionnez Fichier> Enregistrer> Vers Firebox. La configuration du Firebox de remplacement est maintenant terminée. Le Firebox de remplacement utilise à présent toutes les stratégies et paramètres de configuration de la Firebox originale. 60 WatchGuard System Manager Principes de configuration et de gestion Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle configuration Si votre périphérique Firebox ou XTM présente un grave problème de configuration, vous pouvez restaurer ses paramètres usine par défaut. Par exemple, si vous ignorez le mot de passe de configuration ou si une coupure de courant a endommagé le système d’exploitation Fireware XTM, vous pouvez utiliser l’Assistant Quick Setup Wizard pour définir de nouveau votre configuration ou restaurer une configuration enregistrée. Pour obtenir la description des paramètres usine par défaut, cf. À propos des paramètres usine par défaut à la page 62. Note Si vous possédez un périphérique WatchGuard XTM, vous pouvez également utiliser le mode sans échec pour restaurer automatiquement une image de sauvegarde du système à partir d’un dispositif de stockage USB. Pour plus d’informations, cf. Restaurer automatiquement une image de sauvegarde à partir d’une clé USB. Démarrer un périphérique Firebox ou XTM en mode sans échec Pour restaurer les paramètres usine par défaut d’un périphérique Firebox X Core e-Series, Peak e-Series, WatchGuard XTM 5 Series, 8 Series ou 10 Series, vous devez d’abord démarrer le périphérique Firebox ou XTM en mode sans échec. 1. Mettez le périphérique Firebox ou XTM hors tension. 2. Appuyez sur le bouton Flèche vers le bas situé sur le panneau avant du périphérique pendant que vous mettez le périphérique Firebox ou XTM sous tension. 3. Maintenez le bouton enfoncé jusqu’à ce que le message de démarrage du périphérique apparaisse sur l’affichage LCD : n n Pour un périphérique Firebox X Core e-Series ou Peak e-Series, le message WatchGuard Technologies s’affiche. Pour un périphérique WatchGuard XTM, vous lirez Démarrage en mode sans échec . Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi du mot « sans échec ». Lorsque vous démarrez un périphérique en mode sans échec : n n n Les paramètres de réseau et de sécurité usine par défaut sont utilisés. La clé de fonctionnalité active n’est pas supprimée. Si vous exécutez l’Assistant Quick Setup Wizard pour créer une nouvelle configuration, la clé de fonctionnalité précédemment importée est utilisée. Votre configuration actuelle n’est supprimée qu’une fois une nouvelle configuration enregistrée. Si vous redémarrez le périphérique Firebox ou XTM avant d’avoir enregistré une nouvelle configuration, l’ancienne configuration sera à nouveau utilisée. User Guide 61 Principes de configuration et de gestion Restaurer les paramètres usine par défaut d’un périphérique Firebox X Edge e-Series ou WatchGuard XTM 2 Series Lorsque vous réinitialisez un périphérique Firebox X Edge e-Series ou XTM 2 Series, les paramètres de la configuration d’origine sont remplacés par les paramètres usine par défaut. Pour restaurer les paramètres usine par défaut du périphérique : 1. 2. 3. 4. Déconnectez l’alimentation. Maintenez enfoncé le bouton Rétablir à l’arrière du périphérique. Connectez l’alimentation tout en appuyant sur le bouton Rétablir. Continuez de maintenir enfoncé le bouton Rétablir jusqu’à ce que le témoin jaune Attn devienne fixe. Ceci indique que les paramètres usine par défaut ont bien été restaurés. Pour un périphérique Firebox X Edge e-Series, ce processus peut prendre 45 secondes ou plus. Pour un périphérique 2 Series, il faut compter environ 75 secondes. 5. Relâchez le bouton Rétablir. Note Vous devez redémarrer le périphérique avant de vous y connecter. Si vous essayez d’accéder au périphérique sans l’avoir redémarré, une page Web contenant le message suivant apparaît : Votre périphérique s’exécute à partir d’une copie de sauvegarde du microprogramme. Ce message peut également s’afficher si le bouton Rétablir reste enfoncé. Si ce message continue de s’afficher, vérifiez l’état du bouton Rétablir, puis redémarrez le périphérique. 6. Déconnectez l’alimentation. 7. Connectez de nouveau l’alimentation. Le témoin lumineux d’alimentation s’allume et votre périphérique est réinitialisé. Exécuter l’Assistant Quick Setup Wizard Une fois les paramètres usine par défaut rétablis, vous pouvez utiliser l’Assistant Quick Setup Wizard pour créer une configuration de base ou restaurer une image de sauvegarde enregistrée. Pour plus d’informations, cf. À propos de l’Assistant Quick Setup Wizard à la page 27. À propos des paramètres usine par défaut Le terme paramètres usine par défaut fait référence à la configuration du périphérique WatchGuard lorsque vous recevez le système et avant de le modifier. Vous pouvez également rétablir les paramètres usine par défaut de Firebox selon la procédure décrite dans la section Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle configuration à la page 61. Les paramètres de configuration et de réseau par défaut du périphérique WatchGuard sont les suivants : Réseau approuvé (Firebox X Edge e-Series) L’adresse IP par défaut du réseau approuvé est 192.168.111.1. Le masque de sous-réseau du réseau approuvé est 255.255.255.0. L’adresse IP et le port par défaut de Fireware XTM Web UI est https://192.168.111.1:8080. 62 WatchGuard System Manager Principes de configuration et de gestion Firebox est configuré de sorte à fournir des adresses IP aux ordinateurs du réseau approuvé via DHCP. Ces adresses IP sont par défaut comprises entre 192.168.111.2 et 192.168.111.254. Réseau approuvé (Firebox X Core et Peak e-Series et périphériques WatchGuard XTM) L’adresse IP par défaut du réseau approuvé est 10.0.1.1. Le masque de sous-réseau du réseau approuvé est 255.255.255.0. L’adresse IP et le port par défaut de Fireware XTM Web UI est https://10.0.1.1:8080. Firebox est configuré de sorte à fournir des adresses IP aux ordinateurs du réseau approuvé via DHCP. Ces adresses IP sont par défaut comprises entre 10.0.1.2 et 10.0.1.254. Réseau externe Firebox est configuré de façon à obtenir une adresse IP avec DHCP. Réseau facultatif Le réseau facultatif est désactivé. Paramètres du pare-feu Toutes les stratégies entrantes sont refusées. La stratégie sortante autorise tout le trafic sortant. Les requêtes ping reçues sur le réseau externe sont refusées. Sécurité du système Firebox possède deux comptes d’administrateur intégrés, admin (accès en lecture-écriture) et status (état -- lecture seule). Lors de la première configuration du périphérique avec l’Assistant Quick Setup Wizard, vous définissez les mots de passe d’état et de configuration. Une fois l’Assistant Quick Setup Wizard terminé, vous pouvez vous connecter à Fireware XTM Web UI à partir des comptes d’administrateur admin et status. Pour obtenir un accès intégral d’administrateur, connectez-vous avec le nom d’utilisateur admin et entrez le mot de passe de configuration. Pour un accès en lecture seule, connectez-vous avec le nom d’utilisateur status et entrez le mot de passe de lecture seule. Par défaut, Firebox est configuré pour être géré localement uniquement à partir du réseau approuvé. La configuration doit être modifiée pour autoriser des tâches d’administration à partir du réseau externe. Options de mise à niveau Pour activer des options de mise à niveau telles que WebBlocker, spamBlocker et Gateway AV/IPS, vous devez coller ou importer la clé de fonctionnalité qui active ces fonctionnalités sur la page de configuration ou activer les options de mise à niveau à l’aide de la commande Obtenir une clé de fonctionnalité. Si vous démarrez Firebox en mode sans échec, il n’est pas nécessaire de réimporter la clé de fonctionnalité. À propos de les clés de fonctionnalité Une clé de fonctionnalité est une licence qui vous permet d’utiliser une série de fonctionnalités sur votre périphérique WatchGuard. Lorsque vous achetez une option ou une mise à niveau et que vous recevez une nouvelle clé de fonctionnalité, vous améliorez les fonctionnalités du périphérique. User Guide 63 Principes de configuration et de gestion Lorsque vous achetez une nouvelle fonctionnalité Lorsque vous achetez une nouvelle fonctionnalité pour votre périphérique WatchGuard, il vous faut : n n Obtenir une clé de fonctionnalité auprès de LiveSecurity Ajouter une clé de fonctionnalité à Firebox Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active Une clé de fonctionnalité est toujours active dans les périphériques WatchGuard. Pour afficher les fonctionnalités disponibles avec cette clé de fonctionnalité : 1. Ouvrir Policy Manager. 2. Sélectionnez Configurer > Clés de fonctionnalité. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. La boîte de dialogue Clés de fonctionnalité Firebox comprend : 64 WatchGuard System Manager Principes de configuration et de gestion n n n n n n n La liste des fonctionnalités disponibles L’indication qu’une fonctionnalité est activée ou désactivée La valeur attribuée à la fonctionnalité, par exemple le nombre d’interfaces VLAN autorisées La date d’expiration de la fonctionnalité L’état actuel relatif à l’expiration, par exemple le nombre de jours restants avant expiration Le nombre maximal d’adresses IP dont l’accès sortant sera autorisé (périphériques Firebox X Edge XTM uniquement) La version du logiciel concernée par la clé de fonctionnalité Vérifier la conformité à la clé de fonctionnalité Pour vérifier que toutes les fonctionnalités de Firebox sont activées correctement sur la clé de fonctionnalité, procédez comme suit : 1. Ouvrir Policy Manager. 2. Cliquez sur . La boîte de dialogue Conformité à la clé de fonctionnalité apparaît. Le champ Description comprend une note qui indique si une fonctionnalité est en conformité à la clé, ou si elle a expiré. Pour obtenir une nouvelle clé de fonctionnalité : 1. Dans la boîte de dialogue Conformité à la clé de fonctionnalité, cliquez sur Ajouter une clé de fonctionnalité. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. 2. Il faut soit Ajouter une clé de fonctionnalité à Firebox ou Télécharger une clé de fonctionnalité. Obtenir une clé de fonctionnalité auprès de LiveSecurity Avant de pouvoir activer une nouvelle fonctionnalité, ou renouveler un service d’abonnement, vous devez avoir reçu de WatchGuard un certificat de clé de licence qui ne soit pas déjà enregistré sur le site Web LiveSecurity. En activant la clé de licence, vous obtenez la clé de fonctionnalité qui vous permettra d’activer la fonctionnalité concernée sur le périphérique WatchGuard. Vous pouvez également récupérer une clé de fonctionnalité existante par la suite. Activer la clé de licence d’une fonctionnalité Pour activer une clé de licence et obtenir la clé de fonctionnalité de la fonctionnalité activée : 1. À l’aide de votre navigateur Web, allez sur https://www.watchguard.com/activate. Si vous n’êtes pas déjà connecté à LiveSecurity, la page de connexion à LiveSecurity s’affiche. 2. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity. La page d’activation des produits s’affiche. 3. Entrez le numéro de série ou la clé de licence du produit qui figure sur le certificat imprimé. N’oubliez pas les tirets. Le numéro de série vous permet d’enregistrer le nouveau périphérique WatchGuard, et la clé de licence d’enregistrer les fonctionnalités supplémentaires. User Guide 65 Principes de configuration et de gestion 4. Cliquez sur Continuer. La page Choisir le produit à mettre à niveau apparaît. 5. Dans la liste déroulante, sélectionnez le produit à mettre à nouveau ou à renouveler. Si vous avez ajouté un nom de périphérique au moment de l’enregistrement de votre périphérique, celui-ci apparaît sur la liste. 6. Cliquez sur Activer. La page Récupérer la clé de fonctionnalité apparaît. 7. Copiez l’intégralité de la clé de fonctionnalité dans un fichier texte et enregistrez-la sur votre ordinateur. 8. Cliquez sur Terminer. Obtenir une clé de fonctionnalité active Vous pouvez vous connecter au site Web de LiveSecurity pour obtenir une clé de fonctionnalité. Vous pouvez aussi utiliser Firebox System Manager pour récupérer la clé de fonctionnalité active et l’ajouter directement à votre périphérique WatchGuard. Lorsque vous allez sur le site Web de LiveSecurity pour récupérer votre clé, vous pouvez télécharger une ou plusieurs clés de fonctionnalités dans un fichier compressé. Si vous sélectionnez plusieurs périphériques, le fichier compressé comprend une clé pour chaque périphérique. Pour récupérer une clé de fonctionnalité active sur le site Web de LiveSecurity : 1. À l’aide de votre navigateur Web, allez sur https://www.watchguard.com/archive/manageproducts.asp. Si vous n’êtes pas déjà connecté à LiveSecurity, la page de connexion à LiveSecurity s’affiche. 2. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity. La page Gestion des produits apparaît. 3. Sélectionnez Clés de fonctionnalité. La page Récupérer une clé de fonctionnalité s’affiche avec une liste déroulante permettant de sélectionner un produit. 4. Dans la liste déroulante, sélectionnez votre périphérique WatchGuard. 5. Cliquez sur Obtenir la clé. Une liste de tous les périphériques que vous avez enregistrés apparaît. Une coche apparaît à côté du périphérique sélectionné. 6. Sélectionnez Afficher les clés de fonctionnalité à l’écran. 66 WatchGuard System Manager Principes de configuration et de gestion 7. Cliquez sur Obtenir la clé. La page Récupérer la clé de fonctionnalité apparaît. 8. Copiez la clé de fonctionnalité dans un fichier texte et enregistrez-la sur votre ordinateur. Pour récupérer la clé de fonctionnalité active à l’aide de Firebox System Manager (FSM) : 1. Démarrer Firebox System Manager. 2. Sélectionnez Outils > Synchroniser la clé de fonctionnalité. La boîte de dialogue Synchroniser la clé de fonctionnalité s’affiche. 3. Cliquez sur Oui pour synchroniser votre clé de fonctionnalité. Firebox récupère la clé de fonctionnalité sur le site Web de LiveSecurity et procède à la mise à jour sur le périphérique WatchGuard. Ajouter une clé de fonctionnalité à Firebox Si vous achetez une nouvelle option ou une mise à niveau de votre périphérique WatchGuard, vous pouvez ajouter une clé de fonctionnalité pour activer les nouvelles fonctionnalités. Avant d’installer la nouvelle clé, vous devez entièrement supprimer l’ancienne. 1. Dans Policy Manager, sélectionnez Configurer > Clés de fonctionnalité. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. Les fonctionnalités disponibles pour cette clé apparaissent dans la boîte de dialogue. Ainsi, boîte de dialogue inclue également : n n n n User Guide Si une fonctionnalité est activée ou désactivée La valeur attribuée à la fonctionnalité, par exemple le nombre d’interfaces VLAN autorisées La date d’expiration de la fonctionnalité Le délai restant avant l’expiration de la fonctionnalité 67 Principes de configuration et de gestion 2. Cliquez sur Supprimer pour supprimer la clé de fonctionnalité active. Toutes les informations sur la clé de fonctionnalité sont effacées de la page. 3. Cliquez sur Importer. Importer la clé de fonctionnalité Firebox boîte de dialogue s’affiche. 68 WatchGuard System Manager Principes de configuration et de gestion 4. Cliquez sur Parcourir et sélectionnez la clé de fonctionnalité à importer. Sinon, copiez le texte du fichier de la clé de fonctionnalité et cliquez sur Coller pour l’insérer dans la zone de texte. 5. Cliquez sur OK. La boîte de dialogue Importer une clé de fonctionnalité Firebox se ferme et les informations sur la nouvelle clé s’affichent dans la boîte de dialogue Clé de fonctionnalité Firebox. 6. Cliquez sur OK. Dans certains cas, d’autres boîtes de dialogue et commandes de menu permettant de configurer la fonctionnalité apparaissent dans Policy Manager. 7. Enregistrer le fichier de configuration. La clé de fonctionnalité ne fonctionne pas sur Firebox tant que vous n’aurez pas enregistré le fichier de configuration sur le périphérique. Supprimer une clé de fonctionnalité 1. Dans Policy Manager, sélectionnez Configurer > Clés de fonctionnalité. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. 2. Cliquez sur Supprimer. Toutes les informations sur la clé de fonctionnalité sont effacées de la boîte de dialogue. 3. Cliquez sur OK.. 4. Enregistrer le fichier de configuration. Voir les détails d’une clé de fonctionnalité Dans Policy Manager, vous pouvez consulter les détails de la clé de fonctionnalité active. Les détails disponibles incluent : n n Le numéro de série du périphérique WatchGuard auquel s’applique la clé de fonctionnalité L’ID et le nom du périphérique WatchGuard User Guide 69 Principes de configuration et de gestion n n Le modèle et le numéro de version du périphérique Les fonctionnalités disponibles Pour consulter les détails de votre clé de fonctionnalité : 1. Sélectionnez Configurer > Clés de fonctionnalité. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. 2. Cliquez sur Détails. La boîte de dialogue Détails de la clé de fonctionnalité s’affiche. 3. Servez-vous de la barre de défilement pour consulter les détails de votre clé de fonctionnalité. Télécharger une clé de fonctionnalité Vous pouvez télécharger une copie de votre clé de fonctionnalité active du périphérique WatchGuard vers l’ordinateur de gestion. 1. Sélectionnez Configurer > Clés de fonctionnalité. La boîte de dialogue Clés de fonctionnalité apparaît. 2. Cliquez sur Télécharger. La boîte de dialogue Obtenir les clés de fonctionnalité Firebox apparaît. 3. Entrez le mot de passe d’état du périphérique. 4. Cliquez sur OK. Si vous avez déjà créé un compte d’utilisateur LiveSecurity, vous pouvez aussi télécharger une clé de fonctionnalité active à partir de Firebox System Manager. 1. Démarrer Firebox System Manager. 2. Sélectionnez Outils > Synchroniser la clé de fonctionnalité. Le périphérique WatchGuard contacte le site Web de LiveSecurity et télécharge la clé de fonctionnalité active sur votre périphérique. 70 WatchGuard System Manager Principes de configuration et de gestion Activer le protocole NTP et ajouter des serveurs NTP Le protocole NTP (Network Time Protocol) permet de synchroniser l’heure des horloges des ordinateurs d’un réseau. Firebox peut utiliser ce protocole pour récupérer automatiquement l’heure exacte sur des serveurs NTP qui se trouvent sur Internet. Dans la mesure où Firebox utilise l’heure de son horloge système dans chacun des messages de journal qu’il génère, l’heure définie doit être correcte. Vous pouvez modifier le serveur NTP utilisé par Firebox. Vous pouvez également ajouter ou supprimer des serveurs NTP, de même que définir l’heure manuellement. Pour utiliser NTP, votre configuration Firebox doit autoriser le DNS. Celui-ci est autorisé dans la stratégie Sortant de la configuration par défaut. Vous devez également configurer des serveurs DNS pour l’interface externe avant de configurer le protocole NTP. Pour plus d’informations sur ces adresses, voir Ajouter Serveurs WINS et Adresses du serveur DNS à la page 119. 1. Sélectionner Configuration > NTP. La boîte de dialogue Paramètres NTP s’affiche. 2. Sélectionnez Activer NTP . 3. Pour ajouter un serveur NTP, entrez l’adresse IP ou le nom d’hôte du serveur à utiliser dans la zone de texte et cliquez sur Ajouter. Vous pouvez configurer jusqu’à trois serveurs NTP 4. Pour supprimer un serveur, sélectionnez son entrée dans la liste Noms/Adresses IP du serveur NTPet cliquez sur Supprimer. 5. Cliquez sur OK. User Guide 71 Principes de configuration et de gestion Définir le fuseau horaire et les propriétés de base du périphérique Quand vous exécutez l’Assistant Web Setup Wizard, vous définissez le fuseau horaire et d’autres propriétés de base du périphérique. Pour modifier les propriétés de base du périphérique : 1. Ouvrez Policy Manager. 2. Cliquez sur Configurer > Système. La boîte de dialogue Configuration du périphérique s’affiche. 3. Configurez les options suivantes : Modèle de Firebox Le modèle de Firebox et le numéro de modèle, définis par l’Assistant Quick Setup Wizard. Vous n’avez généralement pas besoin de modifier ces paramètres. Si vous ajoutez une nouvelle clé de fonctionnalité à Firebox lors d’une mise à niveau de modèle, le modèle de Firebox est automatiquement mis à jour dans la configuration du périphérique. Nom Le nom convivial de Firebox. Vous pouvez donner au périphérique Firebox un nom convivial qui sera utilisé dans les fichiers journaux et les rapports. À défaut, ces derniers utilisent l’adresse IP de l’interface externe de Firebox. De nombreux clients utilisent un nom de domaine complet comme nom convivial s’ils enregistrent un tel nom sur le système DNS. Vous devez attribuer un nom convivial au périphérique Firebox si vous utilisez Management Server pour configurer des tunnels VPN et des certificats. Emplacement, Contact Entrez toute information susceptible d’aider à identifier et à assurer la maintenance de Firebox. Ces champs sont renseignés par l’Assistant Quick Setup Wizard si vous avez entré ces informations. Elles apparaissent également sous l’onglet Panneau avant de Firebox System Manager. Fuseau horaire 72 WatchGuard System Manager Principes de configuration et de gestion Sélectionnez le fuseau horaire de l’emplacement matériel de Firebox. Ce paramètre contrôle la date et l’heure qui apparaissent dans le fichier journal et sur les outils tels que LogViewer, Rapports WatchGuard et WebBlocker. 4. Cliquez sur OK. À propos du protocole SNMP Le protocole SNMP (Simple Network Management Protocol) permet de gérer les périphériques de votre réseau. SNMP utilise des bases de données MIB (Management Information Base) pour définir les informations et les événements à surveiller. Vous devez configurer une application logicielle séparée, généralement appelée observateur d’événements ou navigateur MIB, pour collecter et gérer les données SNMP. Il existe deux types de bases de données MIB : standard et entreprise. Les bases de données MIB standards sont des définitions des événements matériel et réseau employées par différents périphériques. Les bases de données MIB d’entreprise permettent de donner des informations sur des événements spécifiques à un seul fabricant. Firebox prend en charge huit bases de données MIB standards : IP-MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB et RFC1155 SMI-MIB. Il prend également en charge deux bases de données MIB d’entreprise : WATCHGUARD-PRODUCTS-MIB et WATCHGUARD-SYSTEMCONFIG-MIB. Interrogations et interruptions SNMP Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP. Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface, le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu la dernière modification de chaque interface réseau de Firebox. Une interruption SNMP est une notification d’événement envoyée par Firebox au système de gestion SNMP. Elle identifie le moment auquel une condition spécifique se produit, comme une valeur dépassant un seuil prédéfini. Firebox peut envoyer une interruption pour chacune des stratégies présentes dans Policy Manager. Une demande d’informations SNMP est similaire à une interruption, à la différence que le destinataire envoie une réponse. Si Firebox n’obtient pas de réponse, il envoie de nouveau la demande d’informations jusqu’à ce que le gestionnaire SNMP envoie une réponse. Une interruption est envoyée une seule fois et le destinataire n’envoie pas d’accusé de réception. Activer l’interrogation SNMP Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP. Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface, le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu la dernière modification de chaque interface réseau. 1. Sélectionnez Configurer > SNMP. User Guide 73 Principes de configuration et de gestion 2. Sélectionnez la version de SNMP que vous souhaitez utiliser : v1/v2c ou v3. Si vous choisissez v1/v2c, tapez la Chaîne de communauté que Watchguard doit utiliser lorsqu’il se connecte au serveur SNMP. Si vous choisissez v3 : n n n n n Nom d’utilisateur : tapez le nom d’utilisateur de l’authentification et de la protection de la confidentialité SNMPv3. Protocole d’identification : sélectionnez MD5 (Message Digest 5) ou SHA (Secure Hash Algorithm). Mot de passe d’authentification : entrez et confirmez le mot de passe d’authentification. Protocole de confidentialité : sélectionnez DES (Data Encryption Standard) pour chiffrer le trafic ou Aucun pour ne pas chiffrer le trafic SNMP. Mot de passe de confidentialité : entrez un mot de passe pour chiffrer les messages sortants et déchiffrer les messages entrants. 3. Cliquez sur OK. Pour que Firebox soit en mesure de recevoir des interrogations SNMP, vous devez ajouter une stratégie SNMP. Policy Manager vous invite à ajouter automatiquement une stratégie SNMP. Dans la boîte de dialogue Propriétés de la nouvelle stratégie : 1. Dans la section De, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 2. Cliquez sur Ajouter autre. La boîte de dialogue Ajouter un membre s’affiche. 74 WatchGuard System Manager Principes de configuration et de gestion 3. Dans la liste déroulante Choisir le type, sélectionnez Adresse IP de l’hôte. 4. Dans le champ Valeur, tapez l’adresse IP de votre ordinateur serveur SNMP. 5. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un membre et Ajouter une adresse. L’onglet Stratégie de la nouvelle stratégie s’affiche. 6. En dessous de la liste À, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 7. Dans le champ Membres disponibles, sélectionnez Firebox. Cliquez sur Ajouter. Firebox s’affiche dans le champ Membres et adresses sélectionnés. 8. Cliquez sur OK pour fermer les boîtes de dialogue Ajouter une adresse et Propriétés de la nouvelle stratégie. 9. Cliquez sur Fermer. Activer Stations de gestion et interruptions SNMP Une interruption SNMP est une notification d’événement que le périphérique WatchGuard envoie à un système de gestion SNMP. Elle identifie le moment auquel une condition spécifique se produit, comme une valeur dépassant un seuil prédéfini. Le périphérique peut envoyer une interruption pour n’importe quelle stratégie. Une demande d’informations SNMP est similaire à une interruption, à la différence que le destinataire envoie une réponse. S’il n’obtient pas de réponse, il envoie de nouveau la demande d’informations jusqu’à ce que le gestionnaire SNMP envoie une réponse. Une interruption est envoyée une seule fois et le destinataire n’envoie pas d’accusé de réception. Une demande d’informations est plus fiable qu’une interruption dans le sens où le périphérique WatchGuard sait si elle a été reçue. Toutefois, les demandes d’informations nécessitent davantage de ressources. Elles sont conservées en mémoire jusqu’à ce que l’expéditeur reçoive une réponse. Si une demande d’informations est envoyée plusieurs fois, les nouvelles tentatives intensifient le trafic. Nous vous recommandons de bien réfléchir au fait de savoir si la réception de chaque notification SNMP fait le poids face à l’utilisation accrue de la mémoire dans le routeur et à l’augmentation du trafic réseau que cela engendre. Pour activer les demandes d’informations SNMP, vous devez utiliser SNMPv2 ou SNMPv3. SNMPv1 prend uniquement en charge les interruptions, pas les demandes d’informations. Configurer les stations de gestion SNMP 1. Sélectionnez Configurer > SNMP. La fenêtre Paramètres SNMP s’ouvre. User Guide 75 Principes de configuration et de gestion 2. Dans la liste déroulante Interruptions SNMP, sélectionnez la version des interruptions ou des demandes d’informations que vous souhaitez utiliser. SNMPv1 prend uniquement en charge les interruptions, pas les demandes d’informations. 3. Dans la zone de texte Stations de gestion SNMP, entrez l’adresse IP de votre station de gestion SNMP. Cliquez sur Ajouter. Répétez les étapes 2 et 3 pour ajouter d’autres stations de gestion. 4. Cliquez sur OK. Ajouter une stratégie SNMP Pour que Firebox soit en mesure de recevoir des interrogations SNMP, vous devez aussi ajouter une stratégie SNMP. 1. Cliquez sur . Sinon, sélectionnez Modifier > Ajouter une stratégie. La boîte de dialogue Ajouter des stratégies s’ouvre. 2. Développez Filtres de paquets, sélectionnez SNMP, puis cliquez sur Ajouter. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 3. Dans la section De, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 4. Cliquez sur Ajouter autre. La boîte de dialogue Ajouter un membre s’affiche. 5. Dans la liste déroulante Choisir le type, sélectionnez IP de l’hôte. 6. Dans le champ Valeur, tapez l’adresse IP de votre ordinateur serveur SNMP. 76 WatchGuard System Manager Principes de configuration et de gestion 7. Cliquez deux fois sur OK pour fermer les boîtes de dialogue Ajouter un membre et Ajouter une adresse. L’onglet Stratégie de la nouvelle stratégie s’affiche. 8. Dans la section Vers, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 9. Dans la section Membres disponibles, sélectionnez Firebox. Cliquez sur Ajouter. 10. Cliquez sur OK dans chaque boîte de dialogue pour la fermer. Cliquez sur Fermer. 11. Enregistrez la configuration. Envoyer une interruption SNMP pour une stratégie Firebox peut envoyer une interruption SNMP lorsque le trafic est filtré par une stratégie. Il faut qu’une station de gestion SNMP au moins soit configurée pour activer les interruptions. 1. Double-cliquez sur la stratégie SNMP. Dans la boîte de dialogue Modifier les propriétés de stratégie : 2. Sélectionnez l’onglet Propriétés. 3. Cliquez sur Journalisation. La boîte de dialogue Journalisation et notification s’ouvre. 4. Activez la case à cocher Envoyer une interruption SNMP. 5. Cliquez sur OK pour fermer la boîte de dialogue Journalisation et notification. 6. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie. À propos des bases d’informations MIB (Management Information Base) Fireware XTM prend en charge deux types de bases de données MIB : Bases de données MIB standards Les bases de données MIB standards sont des définitions des événements matériel et réseau employées par différents périphériques. Votre périphérique WatchGuard prend en charge huit bases de données MIB standards : n n n n n n n n IP-MIB IF-MIB TCP-MIB UDP-MIB SNMPv2-MIB SNMPv2-SMI RFC1213-MIB RFC1155 SMI-MIB Ces bases de données comprennent des informations standards sur les réseaux, comme les adresses IP et les paramètres d’interface réseau. Bases de données MIB d’entreprise Les bases de données MIB d’entreprise permettent de donner des informations sur des événements spécifiques à un seul fabricant. Firebox prend en charge les bases de données MIB d’entreprise suivantes : User Guide 77 Principes de configuration et de gestion n n n WATCHGUARD-PRODUCTS-MIB WATCHGUARD-SYSTEM-CONFIG-MIB UCD-SNMP-MIB Ces bases de données comprennent des informations plus spécifiques sur le matériel du périphérique. Lorsque vous installez le gestionnaire WatchGuard System Manager, les bases de données MIB sont installées dans : \My Documents\My WatchGuard\Shared WatchGuard\SNMP À propos des mots de passe, clés de chiffrement et clés partagées de WatchGuard Votre solution de sécurité du réseau englobe l’utilisation de mots de passe, de clés de chiffrement et de clés partagées. Cette rubrique donne l’information sur la plupart des mots de passe, clés de chiffrement et clés partagées que vous utilisez pour vos produits WatchGuard. Elle ne vous renseigne pas sur les mots de passe de tiers. L’information sur les restrictions au sujet des mots de passe, clés de chiffrement et clés partagées est aussi incluse dans les procédures relatives. Création d’un mot de passe, d’une clé de chiffrement ou d’une clé partagée sécurisés Pour créer un mot de passe, une clé de chiffrement ou une clé partagée sécurisés, il est conseillé ce qui suit : n n n Utilisez une combinaison de caractères en ASCII minuscules et majuscules, de nombres et de caractères spéciaux (par exemple, Im4e@tiN9). N’utilisez pas de mots tirés d’un dictionnaire standard, même si vous l’utilisez dans une séquence ou une langue différente. N’utilisez pas de noms. Une personne malveillante peut très facilement trouver un nom d’entreprise, familier ou encore le nom d’une personnalité. Par mesure de sécurité supplémentaire, il est conseillé de changer fréquemment les mots de passe, clés de chiffrement et clés partagées. Mots de passe Firebox Firebox utilise deux mots de passe : Mot de passe d’état Mot de passe de lecture seule qui permet d’accéder à Firebox. Lorsque vous vous connectez avec ce mot de passe, vous pouvez vérifier votre configuration, mais vous ne pouvez enregistrer des modifications dans le Firebox. Le mot de passe d’état est associé à l’état. 78 WatchGuard System Manager Principes de configuration et de gestion Mot de passe de configuration Mot de passe en lecture/écriture qui donne aux administrateurs un accès complet à Firebox. Vous devez utiliser ce mot de passe pour enregistrer dans Firebox des modifications à la configuration. Ce mot de passe doit aussi être utilisé pour changer vos mots de passe Firebox. Le mot de passe de configuration est associé au nom d’utilisateur admin. Chacun de ces mots de passe Firebox doit comporter au moins 8 caractères. Mots de passe utilisateur Vous pouvez créer des noms et mots de passe utilisateur destinés à l’authentification et l’administration à base de rôles Firebox. Mots de passe utilisateur pour authentification Firebox Une fois ce mot de passe utilisateur défini, les caractères sont masqués et ils n’apparaissent plus en texte simple. Si vous égarez le mot de passe, vous devez en définir un nouveau. La plage autorisée pour ce mot de passe est 8 – 32 caractères. Mots de passe utilisateur pour administration à base de rôles Une fois ce mot de passe utilisateur défini, il n’est plus affiché dans la boîte de dialogue Propriétés de l’utilisateur et du groupe. Si vous égarez le mot de passe, vous devez en définir un nouveau. Ce mot de passe doit comporter au moins huit caractères. Mots de passe serveur Mot de passe administrateur Le mot de passe Administrateur sert à contrôler l’accès au WatchGuard Server Center. Vous utilisez également ce mot de passe lorsque vous vous connectez à votre Management Server à partir de WatchGuard System Manager (WSM). Ce mot de passe doit comporter au moins huit caractères. Le mot de passe Administrateur est associé au nom d’utilisateur admin. Secret partagé du serveur d’authentification Le secret partagé est la clé utilisée par Firebox et le serveur d’authentification pour sécuriser l’information d’authentification qui circule entre eux. Le secret partagé respecte la casse et il doit être identique sur Firebox et sur le serveur d’authentification. Les serveurs d’authentification RADIUS, SecurID et VASCO utilisent tous une clé partagée. Clés de chiffrement et clés partagées Log Server Encryption Key La clé de chiffrement sert à créer une connexion sécurisée entre le Firebox et les Log Servers, et d’empêcher les « attaques de l’intercepteur ». La clé de chiffrement peut comprendre entre 8 et 32 caractères. Vous pouvez utiliser tous les caractères à l’exception des espaces et des barres obliques (/ ou \). User Guide 79 Principes de configuration et de gestion Clé de chiffrement Sauvegarder/Restaurer Il s’agit de la clé de chiffrement que vous créez pour chiffrer un fichier de sauvegarde de votre configuration Firebox. Lorsque vous restaurez un fichier de sauvegarde, vous devez utiliser la clé de chiffrement sélectionnée lors de la création du fichier de sauvegarde de la configuration. En cas de perte ou d’oubli de cette clé de chiffrement, vous ne serez plus en mesure de restaurer le fichier de sauvegarde. La clé de chiffrement doit avoir au moins 8 caractères, et 15 caractères au maximum. Clé partagée VPN La clé partagée est un mot de passe utilisé par deux périphériques pour chiffrer et déchiffrer les données qui traversent le tunnel VPN. Les deux périphériques utilisent le même mot de passe. S’ils n’ont pas le même mot de passe, ils ne peuvent pas chiffrer et déchiffrer correctement les données. Modifier les mots de passe Firebox Firebox utilise deux mots de passe : Mot de passe d’état Mot de passe de lecture seule qui permet d’accéder à Firebox. Mot de passe de configuration Mot de passe en lecture/écriture qui donne aux administrateurs un accès complet à Firebox. Pour plus d’informations sur les mots de passe, voir À propos des mots de passe, clés de chiffrement et clés partagées de WatchGuard à la page 78. Pour modifier les mots de passe : 1. Ouvrez le fichier de configuration Firebox. 2. Cliquez sur Fichier > Modifier les mots de passe. La boîte de dialogue Modifier les mots de passe s’affiche. 80 WatchGuard System Manager Principes de configuration et de gestion 3. Dans la liste déroulante Nom ou adresse de Firebox, sélectionnez un périphérique Firebox ou tapez l’adresse IP ou le nom du périphérique Firebox. 4. Dans la zone de texte Mot de passe de configuration, entrez le mot de passe de configuration (lecture/écriture). 5. Tapez et confirmez le nouveau mot de passe d’état (lecture seule) et le nouveau mot de passe de configuration (lecture/écriture). Le mot de passe d’état et le mot de passe de configuration doivent être différents. 6. Cliquez sur OK. À propos des alias Un alias est un raccourci permettant d’identifier un groupe d’hôtes, de réseaux ou d’interfaces. L’utilisation d’un alias simplifie la création d’une stratégie de sécurité car Firebox vous autorise à utiliser des alias lorsque vous créez des stratégies. Les alias par défaut dans Policy Manager comprennent : n n n n n n Tout — Tout alias de source ou destination correspondant aux interfaces de la Firebox , tels que Approuvé ou Externe. Firebox — Un alias pour toutes les interfaces Firebox. Tout-Approuvé — Un alias pour toutes les interfaces Firebox configurées en tant qu'interfaces approuvées, et tout réseau accessible via ces interfaces. Tout-Externe — Un alias pour toutes les interfaces Firebox configurées en tant qu'interfaces externes, et tout réseau accessible via ces interfaces. Tout-Facultatif — Des alias pour toutes les interfaces Firebox configurées en tant qu'interfaces facultatives, et tout réseau accessible via ces interfaces. Tout-BOVPN – Un alias pour tous les tunnels BOVPN (IPSec). Lorsque vous utilisez l’assistant BOVPN Policy Wizard pour créer une stratégie autorisant le trafic à transiter par un tunnel BOVPN, l’assistant crée automatiquement des alias .in et .out pour les tunnels entrants et sortants. Il faut distinguer les noms d’alias des noms d’utilisateurs ou de groupes utilisés pour l’authentification des utilisateurs. Lorsque vous authentifiez des utilisateurs, vous pouvez contrôler une connexion à l’aide d’un nom et non d’une adresse IP. L’utilisateur est authentifié à l’aide d’un nom d’utilisateur et d’un mot de passe pour accéder aux protocoles Internet. Pour plus d’informations sur l’authentification des utilisateurs, voir À propos de l’authentification des utilisateurs à la page 291. Membres de l’alias Vous pouvez ajouter les objets suivants à un alias : n n n n n n L’adresse IP de l’hôte L’adresse IP du réseau Une plage d'adresses IP d'hôte Nom DNS pour un hôte Adresse de tunnel – définie par un utilisateur ou un groupe, adresse et nom du tunnel Adresse personnalisée – définie par un utilisateur ou un groupe, adresse et interface Firebox User Guide 81 Principes de configuration et de gestion n n Un autre alias Un utilisateur ou groupe autorisé Créer un alias Pour créer un alias à utiliser avec vos stratégies de sécurité : 1. Sélectionnez Installation > Alias. La page boîte de dialogue s’affiche. Les alias prédéfinis s'affichent en bleu et les alias définis par l'utilisateur s'affichent en noir. 2. Cliquez sur Ajouter. Ajouter un alias boîte de dialogue s’affiche. 82 WatchGuard System Manager Principes de configuration et de gestion 3. Dans la zone de texte Nom d'alias, saisissez un nom unique pour identifier l'alias. Ce nom s’affiche dans les listes lorsque vous configurez une stratégie de sécurité. 4. Dans le champ Description, saisissez une description de l’alias. 5. Cliquez sur OK. Ajouter une adresse, une plage d'adresse, un nom DNS, ou un autre alias vers l'alias 1. Dans la boîte de dialogue Ajouter un alias, cliquez sur Ajouter. La boîte de dialogue Ajouter un membre s’affiche. 2. Dans la Choisir le type liste déroulante, sélectionnez le type de membre que vous souhaitez ajouter. 3. Saisissez l’adresse ou le nom dans le champ de texte Valeur zone de texte. 4. Cliquez sur OK. Le nouveau membre apparaît dans la section Membres de l’alias de la boîte de dialogue Ajouter un alias boîte de dialogue. 5. Répétez les étapes 1 à 4 pour ajouter d'autres membres. 6. Cliquez sur OK. Ajouter un utilisateur ou un groupe autorisé à l’alias 1. Dans la boîte de dialogue Ajouter un alias, cliquez sur Utilisateur. La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche. 2. Dans la liste déroulante Type de gauche, indiquez si l’utilisateur ou le groupe que vous souhaitez ajouter est autorisé en tant qu’utilisateur de pare-feu, utilisateur PPTP ou utilisateur VPN SSL. 3. Dans la liste déroulante Type de droite, cliquez sur Utilisateur pour ajouter un utilisateur ou Groupe pour ajouter un groupe. 4. Si l’utilisateur ou le groupe apparaît dans la liste en bas de la boîte de dialogue Ajouter des utilisateurs ou groupes autorisés, sélectionnez-le et cliquez sur Sélectionner. Si l’utilisateur ou le groupe n’apparaît pas dans la liste, il n’a pas encore été défini comme utilisateur ou groupe autorisé. L’utilisateur ou le groupe doit avoir été autorisé pour que vous puissiez l’ajouter à un alias. 5. Répétez les étapes 1 à 4 pour ajouter autant de membres que nécessaire. Pour ajouter une adresse, une plage d’adresses, un nom DNS ou un autre alias à l’alias, vous pouvez également utiliser la procédure précédente. 6. Cliquez sur OK. Pour plus d'informations sur la manière de définir un utilisateur ou groupe autorisé, voir : n n n Définir un nouvel utilisateur pour l’authentification sur Firebox Définir un nouveau groupe d’authentification sur Firebox Utiliser les utilisateurs et groupes autorisés dans les stratégies Pour supprimer une entrée de la liste des membres, sélectionnez l'entrée et cliquez sur Supprimer. Définir les paramètres globaux de Firebox Dans Policy Manager , vous pouvez sélectionner des paramètres qui contrôlent les actions de plusieurs fonctions Firebox et périphérique XTM. Vous pouvez définir des paramètres de base pour : User Guide 83 Principes de configuration et de gestion n n n n n Gestion des erreurs ICMP Contrôle TCP SYN Réglage de la taille maximale du TCP Gestion du trafic et QoS Port IU Web Pour modifier les paramétrages globaux : 1. Sélectionner Installation > Paramètres globaux. La boîte de dialogue Paramètres globaux s’affiche. 2. Configurer les différentes catégories de paramètres globaux tels que décrits dans les sections suivantes. 3. Cliquez sur OK.. 4. Enregistrez votre fichier de configuration sur votre périphérique. Définir les paramètres globaux de gestion des erreurs ICMP Le protocole Internet Control Message Protocol (ICMP) contrôle les erreurs au cours des connexions. Il est utilisé pour deux types d’opérations : n n 84 Informer les hôtes clients des conditions d’erreur. Sonder un réseau pour en découvrir les caractéristiques générales WatchGuard System Manager Principes de configuration et de gestion Le périphérique Firebox envoie un message d’erreur ICMP à chaque fois qu’un événement correspondant à l’un des paramètres que vous avez sélectionnés se produit. Si ces messages vous permettent de résoudre des problèmes, ils peuvent également faire baisser le niveau de sécurité car ils exposent des informations sur votre réseau. Si vous refusez ces messages ICMP, vous pouvez augmenter votre niveau de sécurité en empêchant l'exploration du réseau cette action peut cependant provoquer des retards pour des connexions incomplètes et entraîner des problèmes d'application. Les paramètres de la gestion globale des erreurs ICMP sont : Fragmentation req) (PMTU) Activez cette case à cocher pour autoriser les messages Fragmentation Req (Fragmentation req) ICMP. Le périphérique Firebox utilise ces messages pour repérer le chemin MTU. Délai expiré Activez cette case à cocher pour autoriser les messages Délai expiré ICMP. Un routeur envoie généralement ces messages en cas de boucle de route. Réseau non joignable Activez cette case à cocher pour autoriser les messages Réseau non joignables ICMP. Un routeur envoie généralement ces messages en cas de rupture de liaison réseau. Hôte non joignable Activez cette case à cocher pour autoriser les messages Hôte non joignable ICMP. Le réseau envoie généralement ces messages lorsqu’il ne peut pas utiliser d’hôte ou de service. Port non joignable Activez cette case à cocher pour autoriser les messages Port non joignables ICMP. Un hôte ou un pare-feu envoie généralement ces messages lorsqu’un service réseau n’est pas disponible ou autorisé. Protocole non joignable Activez cette case à cocher pour autoriser les messages Protocole non joignables ICMP. Pour contourner ces paramètres ICMP généraux pour une stratégie spécifique, depuis Policy Manager: 1. Sur l'onglet Pare-feu, sélectionnez la stratégie spécifique. 2. Double-cliquez sur la stratégie pour la modifier. La boîte de dialogue Modifier les propriétés de stratégie s'affiche. 3. Sélectionnez l’onglet Avancé. 4. Dans la liste déroulante Gestion des erreurs ICMP, sélectionnezSpécifier un paramètre. 5. Cliquez sur Paramètre ICMP. La boîte de dialogue Paramètres de gestion des erreurs ICMP s'affiche. 6. Cochez la case pour les seuls paramètres que vous souhaitez activer. 7. Cliquez sur OK. Activer le contrôle TCP SYN Le contrôle TCP SYN permet de s'assurer que la liaison handshake à trois voies TCP est réalisée avant que le périphérique Firebox ou XTM n'autorise une connexion de données. User Guide 85 Principes de configuration et de gestion Définir les paramètres globaux de réglage de la taille maximale de segment TCP Le segment TCP peut être paramétré sur une taille définie pour une connexion d'une liaison TCP/IP supérieure à 3 voies (ex. : PPPoE, ESP ou AH). Certains sites web seront inaccessibles aux utilisateurs si cette taille n’est pas correctement configurée. Les paramètres globaux d’ajustement de taille de segment maximum TCP sont les suivants : Ajustement automatique Le périphérique Firebox ou XTM examine toutes les négociations de taille de segment maximale (MSS) et adopte la valeur MSS applicable. Aucun ajustement Le périphérique Firebox ou XTM ne modifie pas la valeur MSS. Limiter à Vous définissez une limite d’ajustement de taille. Désactiver ou activer la gestion du trafic et QoS Pour des opérations de test de performance ou de débogage de réseau, vous pouvez désactiver les fonctionnalités de gestion du trafic et de QoS. Pour activer ces fonctionnalités : Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de service). Pour désactiver ces fonctionnalités : Décochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de service). Modifier le port Web UI Par défaut, Fireware XTM Web UI utilise le port 8080. Pour changer ce port : 1. Dans la zone de texte Port Web UI , entrez ou sélectionnez un autre numéro de port. 2. Utilisez le nouveau port pour vous connecter à Fireware XTM Web UI et tester la connexion au nouveau port. Redémarrage automatique Vous pouvez programmer votre périphérique Firebox ou XTM pour qu'il effectue un redémarrage automatique au jour et à l'heure de votre choix. Pour programmer un redémarrage automatique de votre périphérique : 86 WatchGuard System Manager Principes de configuration et de gestion 1. Cochez la case Programmer la date et l'heure de redémarrage. 2. Dans la liste déroulante située à côté, sélectionnez Tous les jours pour redémarrer le périphérique tous les jours à la même heure, ou sélectionnez un jour de la semaine pour un redémarrage hebdomadaire. 3. Dans les zones de texte situées à côté, entrez ou sélectionnez l'heure et la minute de la journée (au format 24 h) auxquelles vous souhaitez que le redémarrage ait lieu. Console externe Cette option est disponible uniquement pour les périphériques et configurations Firebox X Edge. Cochez cette case pour utiliser le port série pour les connexions de console, comme l'interface CLI (Command Line Interface) XTM. Vous ne pouvez pas utiliser le port série pour un basculement du modem lorsque cette option est sélectionnée et vous devez redémarrer le périphérique pour modifier ce réglage. Gérer Firebox à partir d’un emplacement distant Lorsque vous configurez Firebox avec l’Assistant Quick Setup Wizard, une stratégie intitulée stratégie WatchGuard se crée automatiquement. Elle vous permet de vous connecter à Firebox et de l’administrer depuis n’importe quel ordinateur d’un réseau approuvé ou facultatif. Si vous souhaitez gérer Firebox à partir d’un emplacement distant (tout emplacement externe à Firebox), vous devez alors modifier votre stratégie WatchGuard de manière à autoriser les connexions administratives à partir de l’adresse IP de votre emplacement distant. Cette stratégie contrôle l’accès à Firebox sur les quatre ports TCP suivants : 4103, 4105, 4117, 4118. Lorsque vous autorisez des connexions dans la stratégie WatchGuard, vous autorisez les connexions à chacun de ces quatre ports. Avant de modifier la stratégie WatchGuard, nous vous recommandons d’envisager de vous connecter à Firebox par VPN. Cela améliore nettement la sécurité de la connexion. Si ce n’est pas possible, il est recommandé d’autoriser l’accès depuis le réseau externe à certains utilisateurs autorisés uniquement, et au plus petit nombre d’ordinateurs possible. Par exemple, votre configuration sera plus sûre si vous autorisez les connexions à partir d’un seul ordinateur plutôt qu’à partir de l’alias « Any-External » (TousExternes). 1. Double-cliquez sur la stratégie WatchGuard. Vous pouvez également cliquer avec le bouton droit sur la stratégie WatchGuard et sélectionner Modifier. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. User Guide 87 Principes de configuration et de gestion 2. Dans la section De, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 3. Ajoutez l’adresse IP de l’ordinateur externe qui se connecte à Firebox : cliquez sur Ajouter autre, vérifiez que le type IP de l’hôte est sélectionné, puis tapez l’adresse IP. 88 WatchGuard System Manager Principes de configuration et de gestion 4. Si vous voulez donner un accès à un utilisateur autorisé, dans la boîte de dialogue Ajouter une adresse, cliquez sur Ajouter un utilisateur. La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche. Pour en savoir sur la création d’un alias, voir Créer un alias à la page 82. Emplacements des fichiers de WatchGuard System Manager Le tableau ci-dessous donne les emplacements où les fichiers de données courants sont rangés par le logiciel WatchGuard System Manager. Comme il est possible de configurer le système d’exploitation Windows pour qu’il place ces répertoires sur différents lecteurs de disque, vous devez connaître l’emplacement précis de ces fichiers d’après la configuration Windows de votre ordinateur. Il est également possible de conserver les fichiers journaux dans un répertoire différent de celui des autres fichiers d’installation. Si vous modifiez l’emplacement par défaut des fichiers journaux, ces emplacements par défaut ne s’appliquent pas. Si la version de votre système d’exploitation n’est pas en anglais, vous devrez parfois traduire les noms de répertoires (tels que « Documents and Settings » ou « Program Files »). Type de fichier Emplacement Données créées par l’utilisateur (partagées) C:\Documents and Settings\All Users\WatchGuard partagé Certificats Mes documents\Mon WatchGuard\certs\<IP Address of Management Server> Applications WatchGuard C:\Program Files\WatchGuard\wsm11.0 Bibliothèques d’applications partagées C:\Program Files\Fichiers communs\WatchGuard\wsm11.0 Données de Management Server C:\Documents and Settings\WatchGuard\wmserver Données de Quarantine Server C:\Documents and Settings\WatchGuard\wqserver Données de l’autorité de certification C:\Documents and Settings\WatchGuard\wgca Données de Report Server C:\Documents and Settings\WatchGuard\wrserver Données de Log Server C:\Documents and Settings\WatchGuard\wlogserver Données de WebBlocker Server C:\Documents and Settings\WatchGuard\wbserver Images des futures mises à niveau des produits C:\Program Files\Fichiers communs\WatchGuard\ressources\FirewareXTM\11.0 Fichiers d’aide (Fireware et WSM) C:\Program Files\WatchGuard\wsm11.0\aide\fireware Fichiers d’aide (WFS) C:\Program Files\WatchGuard\wsm11.0\aide\wfs User Guide 89 Principes de configuration et de gestion Emplacement des fichiers créés par l’utilisateur et des applications Ces tableaux indiquent les emplacements par défaut dans lesquels les serveurs et applications du logiciel WatchGuard recherchent leurs fichiers de données ou les fichiers de données créés par les utilisateurs (tels que les fichiers de configuration Firebox). Dans certains cas, l’emplacement par défaut change en fonction de l’emplacement dans lequel l’application logicielle a ouvert un fichier de type similaire. Dans ces cas-là, l’application logicielle mémorise le dernier emplacement d’écriture/de lecture du fichier et recherche d’abord à cet endroit. Policy Manager pour le logiciel système Fireware Appliance Software Opération Type de fichier Lecture/écriture Sauvegardes Firebox Emplacement par défaut C:\Documents and Settings\All Users\WatchGuard partagé\sauvegardes Lecture Images des mises à niveau des produits C:\Program Files\Fichiers communs\WatchGuard\ressources\FirewareXTM\11.0 Lecture Sites bloqués Mes documents\Mon WatchGuard Lecture Exceptions aux sites bloqués Mes documents\Mon WatchGuard Lecture/écriture Fichiers de configuration Mes documents\Mon WatchGuard/configs Firebox Lecture/écriture Fichiers de licence Firebox Lecture Importation de la licence Mes documents\Mon WatchGuard initiale Écriture Fichiers de configuration C:\Documents and Settings\All Users\WatchGuard du client Mobile partagé\muvpn VPN.wgx et ini Mes documents\Mon WatchGuard/configs Logiciel système WFS 90 Opération Type de fichier Emplacement par défaut Lecture Notification de journalisation Répertoire de travail en cours Lecture Importation de règles de courrier indésirable Répertoire de travail en cours Écriture Sauvegardes enregistrées C:\Documents and Settings\All Users\WatchGuard partagé\sauvegardes Écriture MUVPN SPDs (.wgx) C:\Documents and Settings\All Users\WatchGuard partagé\muvpn WatchGuard System Manager Principes de configuration et de gestion Opération Type de fichier Emplacement par défaut Lecture Importations de sites bloqués Répertoire de travail en cours Lecture/écriture Image de sauvegarde C:\Documents and Settings\All Users\WatchGuard partagé\sauvegardes Report Manager Type de fichier Emplacement par défaut Journal de rapports C:\Documents and Settings\<user name>\Application Data\WatchGuard\wgreports Fichiers de rapport C:\Documents and Settings\<user name>\Application Data\WatchGuard\wgreports LogViewer Type de fichier Emplacement par défaut Fichiers de configuration de LogViewer C:\Documents and Settings\<user name>\Application Data\WatchGuard\logviewer_amélioré Fichiers journaux de débogage de LogViewer C:\Documents and Settings\<user name>\Application Data\WatchGuard\logviewer_amélioré Fichiers exportés de LogViewer C:\Documents and Settings\WatchGuard\journaux Fichiers journaux enregistrés de LogViewer C:\Documents and Settings\WatchGuard\rapports Fichiers de requêtes de recherche de LogViewer C:\Documents and Settings\<user name>\Application Data\WatchGuard\logviewer_amélioré\recherches Mettre à niveau vers une nouvelle version de Fireware XTM À intervalles réguliers, WatchGuard publie de nouvelles versions de WatchGuard System Manager (WSM) et des logiciels système Fireware XTM disponibles pour les utilisateurs Firebox disposant d’un abonnement actif à LiveSecurity. Pour mettre à niveau d’une version de WSM avec Fireware XTM vers une nouvelle version de WSM avec Fireware XTM, utilisez les procédures dans les rubriques suivantes. Installez la mise à niveau sur votre station de gestion 1. Téléchargez le Fireware XTM mis à jour et le logiciel WatchGuard System Manager dans la rubrique Téléchargements de logiciels du site Web WatchGuard à l’adresse http://www.watchguard.com. User Guide 91 Principes de configuration et de gestion 2. Sauvegardez votre fichier de configuration du périphérique WatchGuard et les fichiers Management Server configuration. Pour de plus amples informations sur la façon de créer une image de sauvegarde de votre configuration du périphérique WatchGuard, cf. Créer une sauvegarde de l’image Firebox à la page 49. Pour sauvegarder les paramètres de Management Server, cf. Sauvegarder ou restaurer Management Server configuration à la page dxxxiv. 3. Utilisez l’application Ajouter ou supprimer des programmes de Windows pour désinstaller votre installation existante de WatchGuard System Manager et WatchGuard Fireware XTM. Vous pouvez avoir plusieurs versions du logiciel client WatchGuard System Manager installées sur votre station de gestion, mais une seule version du logiciel serveur WatchGuard. Pour de plus amples informations, cf. Installer WSM et conserver une version antérieure à la page 39. 4. Lancez le fichier ou les fichiers que vous avez téléchargés à partir du site Web LiveSecurity. 5. Utilisez la procédure à l’écran pour installer le fichier de mise à niveau Fireware XTM dans le répertoire d’installation WatchGuard sur votre station de gestion. Mettre à niveau Firebox 1. Pour enregistrer la mise à niveau dans Firebox, utilisez Policy Manager pour ouvrir le fichier de configuration du périphérique WatchGuard. WatchGuard System Manager détecte que le fichier de configuration correspond à une version antérieure et affiche une boîte de dialogue de mise à niveau. 2. Cliquez sur Ouipour enregistrer le fichier de configuration. Utilisez les instructions à l’écran pour convertir le fichier de configuration afin de le rendre compatible avec la version la plus récente. Note L’aspect de la boîte de dialogue de mise à niveau est différent si vous avez plusieurs versions de WatchGuard System Manager installées sur votre ordinateur de gestion. Pour plus d’informations, voir Utiliser différentes versions de Policy Manager à la page 93. Si vous ne voyez pas la boîte de dialogue de mise à niveau lorsque vous ouvrez Policy Manager : 1. Sélectionnez Fichier >Mettre à jour. 2. Tapez le mot de passe de configuration. La mise à niveau — Entrez le chemin vers l’image de mise à niveau. La boîte de dialogue s’affiche. 3. Le chemin par défaut est automatiquement sélectionné. Si votre chemin d’installation est différent, cliquez sur Parcourir pour modifier le chemin vers l’image de mise à niveau. 4. Cliquez sur OK. La procédure de mise à niveau peut nécessiter jusqu’à 15 minutes. Elle redémarre automatiquement le périphérique WatchGuard. Si au moment de la mise à niveau, le périphérique WatchGuard est opérationnel depuis quelque temps, vous devrez peut-être redémarrer le périphérique avant de commencer la mise à niveau afin d’effacer sa mémoire temporaire. 92 WatchGuard System Manager Principes de configuration et de gestion Utiliser différentes versions de Policy Manager Dans WatchGuard System Manager v11, si vous ouvrez un fichier de configuration créé par une version antérieure de Policy Manager, et si la version antérieure de WatchGuard System Manager est également installée sur l’ordinateur de gestion, la boîte de dialogue Mise à niveau disponible s’affiche. Vous pouvez choisir de lancer la version antérieure de Policy Manager ou de mettre à niveau le fichier de configuration vers la version plus récente. Si vous ne souhaitez pas que WatchGuard System Manager affiche cette boîte de dialogue lorsque vous ouvrez un fichier de configuration d’une version antérieure, activez la case à cocher Ne plus afficher ce message . Pour activer la boîte de dialogue Mise à niveau disponible si vous l’avez désactivé : 1. Dans WatchGuard System Manager, sélectionnez Modifier > Options. La boîte de dialogue Options s’affiche. 2. Activez la case à cocher Afficher la boîte de dialogue de mise à niveau au lancement de Policy Manager. 3. Cliquez sur OK. À propos des options de mise à niveau Vous pouvez ajouter des mises à niveau à votre périphérique WatchGuard afin d’activer des services d’abonnement, fonctionnalités et capacités supplémentaires. Pour connaître la liste des options de mise à niveau disponibles, voir www.watchguard.com/products/options.asp. Mises à niveau des services d’abonnement WebBlocker La mise à niveau WebBlocker vous permet de contrôler l’accès au contenu Web. Pour plus d’informations, voir À propos de WebBlocker à la page 993. spamBlocker La mise à niveau spamBlocker vous permet de filtrer le courrier indésirable et les messages en masse. Pour plus d’informations, voir À propos de spamBlocker à la page 1067. Gateway AV/IPS La mise à niveau Gateway AV/IPS vous permet de bloquer les virus et d’empêcher les tentatives d’intrusion par les pirates informatiques. Pour plus d’informations, voir À propos de Gateway AntiVirus et Intrusion Prévention à la page 1095. User Guide 93 Principes de configuration et de gestion Mises à niveau des logiciels et logiciels système Pro La mise à niveau Pro de Fireware XTM confère plusieurs fonctionnalités avancées aux clients expérimentés, notamment l’équilibrage de charge côté serveur et d’autres tunnels VPN SSL. Les fonctionnalités disponibles avec une mise à niveau Pro dépendent du type et du modèle de votre Firebox. Pour plus d’informations, voir Fireware XTM avec une mise à niveau Pro à la page 14. Mises à niveau des modèles Pour certains modèles Firebox, vous pouvez acheter une clé de licence afin de mettre à niveau le périphérique à un modèle de niveau supérieur dans la même famille de produits. Une mise à niveau de modèle confère à Firebox les mêmes fonctions qu’un modèle supérieur. Pour comparer les fonctionnalités et capacités des différents modèles Firebox, allez sur http://www.watchguard.com/products/compare.asp. Comment appliquer une mise à niveau Quand vous achetez une mise à niveau, vous enregistrez celle-ci sur le site Web de WatchGuard LiveSecurity. Ensuite vous téléchargez une clé de fonctionnalité qui active cette mise à niveau sur votre périphérique WatchGuard. Pour plus d’informations sur les clés de fonctionnalité, voir À propos de les clés de fonctionnalité à la page 63. Renouveler les services de sécurité par abonnement Une mise à jour régulière des services par abonnement WatchGuard (Gateway AntiVirus, Intrusion Prevention Service, WebBlocker et spamBlocker) garantit un fonctionnement efficace. Le périphérique WatchGuard donne des rappels de renouvellement pour vos abonnements. Lorsque vous enregistrez des changements vers un fichier de configuration, WatchGuard System Manager vous informe graduellement sur la date d’expiration d’un abonnement : 60 jours avant, 30 jours avant, 15 jours avant et la veille. Une fois un abonnement expiré, vous ne pourrez enregistrer des modifications à votre configuration qu’après avoir renouvelé ou désactivé cet abonnement. 1. Dans Policy Manager, cliquez sur Fichier>Enregistrer>Sur Firebox. Un message vous invite à mettre à jour votre clé de fonctionnalité. 2. Cliquez sur OK. La boîte de dialogue Conformité à la clé de fonctionnalité apparaît. 94 WatchGuard System Manager Principes de configuration et de gestion 3. Sélectionnez l’abonnement expiré. 4. Si vous avez déjà la nouvelle clé de fonctionnalité, cliquez sur Ajouter clé de fonctionnalité. Collez votre nouvelle clé de fonctionnalité. Vous ne pouvez pas faire un clic droit pour coller ; vous devez appuyer sur CTRL-V ou cliquez sur Coller. Si vous n’avez pas déjà votre nouvelle clé de fonctionnalité, vous devez cliquer sur Désactiver, même si vous envisagez de renouveler plus tard. Vous ne perdez pas vos paramètres lorsque vous désactivez l’abonnement. Si vous renouvelez votre abonnement plus tard, vous pourrez réactiver vos paramètres et les enregistrer dans Firebox. 5. Cliquez sur OK. Renouvellement des abonnements dans Firebox System Manager Lorsque la date d’expiration d’un abonnement approche, un avertissement s’affiche sur le panneau avant de Firebox System Manager et le bouton Renouveler est visible dans le coin supérieur droit de la fenêtre. Cliquez sur Renouveler pour aller au site Web LiveSecurity Service et renouveler votre abonnement. User Guide 95 Principes de configuration et de gestion User Guide 96 6 Définition et configuration réseau À propos de Configuration d’interface réseau La configuration des adresses IP d’interface réseau est un élément essentiel de la configuration du périphérique WatchGuard. Lorsque vous exécutez l’Assistant Quick Setup Wizard, les interfaces externes et approuvées sont configurées pour que le trafic soit acheminé des périphériques protégés vers un réseau externe. Vous pouvez suivre les procédures décrites dans cette section pour modifier cette configuration après avoir exécuté l’Assistant Quick Setup Wizard ou pour ajouter d’autres composants du réseau à la configuration. Par exemple, vous pouvez configurer une interface facultative pour des serveurs publics, comme des serveurs Web. Votre périphérique WatchGuard sépare physiquement les réseaux situés sur un réseau local de ceux situés sur un réseau étendu, comme Internet. Votre périphérique utilise le routage pour envoyer des paquets depuis les réseaux qu’il protège jusqu’aux réseaux qui se trouvent en dehors de votre organisation. Pour ce faire, votre périphérique doit savoir quels sont les réseaux connectés sur chaque interface. Il est recommandé de noter les informations de base de votre configuration réseau et VPN dans le cas où vous auriez besoin de contacter le support technique. Ces informations peuvent aider le technicien à résoudre votre problème rapidement. Modes réseau Votre périphérique WatchGuard prend en charge plusieurs modes réseau : Mode de routage mixte En mode de routage mixte, vous pouvez configurer votre périphérique Firebox pour envoyer le trafic réseau entre différents types d’interfaces réseau physiques et virtuelles. C’est le mode de réseau par défaut ; il offre la plus grande souplesse pour les différentes configurations réseau. Vous devez toutefois configurer chaque interface séparément et vous devrez peut-être changer les paramètres réseau de chaque ordinateur ou client protégé par votre périphérique Firebox. Firebox utilise la traduction d’adresses réseau pour envoyer des informations entre des interfaces réseau. User Guide 97 Définition et configuration réseau Pour plus d’informations, voir À propos de Traduction d’adresses réseau (Network Address Translation) (NAT) à la page 163. Les conditions d’un mode de routage mixte sont les suivantes : n n Toutes les interfaces du périphérique WatchGuard doivent être configurées sur différents sousréseaux. La configuration minimale inclut les interfaces approuvées et externes. Vous pouvez également configurer une ou plusieurs interfaces facultatives. Tous les ordinateurs connectés aux interfaces approuvées et facultatives doivent avoir une adresse IP de ce réseau. Mode d’insertion Dans une configuration d’insertion, votre périphérique WatchGuard est configuré avec la même adresse IP sur toutes les interfaces Firebox. Vous pouvez placer votre périphérique WatchGuard entre le routeur et le réseau local sans devoir modifier la configuration sur les ordinateurs locaux. Cette configuration est appelée configuration d’insertion car votre périphérique WatchGuard est inséré dans un réseau existant. Certaines fonctions réseau telles que les ponts et les réseaux locaux virtuels (VLAN) ne sont pas disponibles dans ce mode. Pour la configuration d’insertion, vous devez : n n n Attribuer une adresse IP statique externe au périphérique WatchGuard. Utiliser un réseau logique pour toutes les interfaces. Ne pas configurer la fonctionnalité multi-WAN en mode Tourniquet ou Basculement. Pour plus d’informations, voir À propos de la configuration du réseau en mode d’insertion à la page 108. Mode pont Le mode pont est une fonctionnalité qui vous permet de placer votre périphérique WatchGuard entre un réseau existant et sa passerelle afin de filtrer ou de gérer le trafic réseau. Lorsque vous activez cette fonctionnalité, votre périphérique WatchGuard traite tout le trafic réseau et le transmet vers l’adresse IP que vous indiquez. Lorsque le trafic arrive à la passerelle, il semble provenir du périphérique d’origine. Dans cette configuration, votre périphérique WatchGuard ne peut pas effectuer plusieurs fonctions qui exigent une adresse IP publique et unique. Par exemple, vous ne pouvez pas configurer un périphérique WatchGuard en mode pont afin qu’il agisse comme point de terminaison pour un VPN (réseau privé virtuel). Pour plus d’informations, voir Mode pont à la page 114. Types d’interface Vous utilisez trois types d’interfaces pour configurer votre réseau en mode de routage mixte ou d’insertion : Interfaces externes Une interface externe est utilisée pour connecter votre périphérique WatchGuard à un réseau en dehors de votre organisation. L’interface externe est souvent la méthode qui vous permet de connecter votre périphérique Firebox à Internet. Vous pouvez configurer un maximum de quatre (4) interfaces externes physiques. 98 WatchGuard System Manager Définition et configuration réseau Lorsque vous configurez une interface externe, vous devez choisir la méthode qu’utilise votre fournisseur de services Internet (ISP) afin de donner une adresse IP à votre périphérique Firebox. Si vous ne connaissez pas cette méthode, vous pouvez obtenir ces informations de votre fournisseur de services Internet ou de votre administrateur réseau. Interfaces approuvées Les interfaces approuvées se connectent au réseau local privé (LAN) ou au réseau interne de votre organisation. Une interface approuvée fournit généralement des connexions pour les employés et les ressources internes sécurisées. Interfaces facultatives Les interfaces facultatives sont des environnements de confiance mixte ou DMZ qui sont séparés de votre réseau approuvé. Les serveurs Web publics, les serveurs FTP et les serveurs de messagerie sont des exemples d’ordinateurs souvent installés sur une interface facultative. Pour plus d’informations sur les types d’interfaces, voir Paramètres d’interface standard à la page 115. Si vous avez un périphérique Firebox X Edge, vous pouvez utiliser Fireware XTM Web UI pour configurer le basculement avec un modem externe sur le port série. Pour plus d’informations, voir Basculement de modem série à la page 154. Lorsque vous configurez les interfaces sur votre périphérique WatchGuard, vous devez employer la notation de barre oblique pour désigner le masque de sous-réseau. Par exemple, vous saisissez la plage réseau 192.168.0.0 avec le masque de sous-réseau 255.255.255.0 sous la forme 192.168.0.0/24. Une interface approuvée avec l’adresse IP 10.0.1.1/16 a un masque de sous-réseau de 255.255.0.0. Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre oblique à la page iv. À propos des interfaces réseau sur les modèles Edge e-Series Lorsque vous utilisez Fireware XTM sur un modèle Firebox X Edge e-Series, les numéros d’interface réseau qui apparaissent dans WatchGuard System Manager ne correspondent pas aux étiquettes d’interface réseau figurant sous les interfaces physiques du périphérique. Utilisez le tableau ci-dessous pour voir comment les numéros d’interface dans WatchGuard System Manager sont associés aux interfaces physiques du périphérique. Numéro d’interface dans Fireware XTM Étiquette d’interface sur un matériel Firebox X Edge e-Series 0 WAN 1 1 LAN 0, LAN 1, LAN 2 2 WAN 2 3 Facultatif User Guide 99 Définition et configuration réseau Vous pouvez envisager les interfaces LAN 0, LAN 1 et LAN 2 comme un concentrateur à trois interfaces réseau et qui est connecté à une seule interface Firebox. Dans Fireware XTM, vous configurez ces interfaces ensemble, en tant qu’interface 1. Mode de routage mixte En mode de routage mixte, vous pouvez configurer votre périphérique Firebox pour envoyer le trafic réseau entre différents types d’interfaces réseau physiques et virtuelles. Le mode de routage mixte est le mode de réseau par défaut. La plupart des fonctionnalités réseau et de sécurité sont disponibles dans ce mode, mais vous devez vérifier soigneusement la configuration de chaque périphérique connecté à Firebox pour que votre réseau fonctionne correctement. Une configuration réseau de base en mode de routage mixte utilise au moins deux interfaces. Par exemple, vous pouvez connecter une interface externe à un câble modem ou à une autre connexion Internet, et une interface approuvée à un routeur interne qui relie les membres internes de votre organisation. À partir de cette configuration de base, vous pouvez ajouter un réseau facultatif qui protège les serveurs tout en offrant un accès plus large depuis les réseaux externes, permet de configurer des réseaux VLAN et d’autres fonctions avancées, ou encore de définir des options de sécurité supplémentaires, par exemple des restrictions d’adresse MAC. Vous pouvez également définir le mode d’envoi du trafic réseau d’une interface à l’autre. Pour démarrer une configuration d’interface en mode de routage mixte, voir Paramètres d’interface standard à la page 115. Il est facile d’oublier les adresses IP et les points de connexion de votre réseau en mode de routage mixte, en particulier si vous utilisez des VLAN (réseaux locaux virtuels), des réseaux secondaires et d’autres fonctions avancées. Il est recommandé de noter les informations de base de votre configuration réseau et VPN dans le cas où vous auriez besoin de contacter le support technique. Ces informations peuvent aider le technicien à résoudre votre problème rapidement. Configurer une interface externe Une interface externe est utilisée pour connecter le périphérique Firebox ou XTM à un réseau en dehors de votre organisation. L’interface externe est souvent la méthode qui vous permet de connecter votre périphérique à Internet. Vous pouvez configurer un maximum de quatre (4) interfaces externes physiques. Lorsque vous configurez une interface externe, vous devez choisir la méthode qu’utilise votre fournisseur de services Internet (ISP) afin de donner une adresse IP à votre périphérique. Si vous ne connaissez pas cette méthode, vous pouvez obtenir ces informations de votre fournisseur de services Internet ou de votre administrateur réseau. Pour plus d’informations sur les méthodes utilisées pour définir et distribuer les adresses IP, voir Statique et dynamique Adresses IP à la page v. Utiliser une adresse IP statique 1. Sélectionnez la Configuration > réseau. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez une interface externe. Cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’ouvre. 100 WatchGuard System Manager Définition et configuration réseau 3. Sélectionnez Utiliser l’adresse IP statique. 4. Dans la zone de texte Adresse IP , saisissez ou sélectionnez l’adresse IP de l’interface. 5. Dans la zone de texte Passerelle par défaut , saisissez ou sélectionnez l’adresse IP de la passerelle par défaut. 6. Cliquez sur OK. Utiliser l’authentification PPPoE Si votre fournisseur de services Internet utilise PPPoE, vous devez configurer l’authentification PPPoE pour que votre périphérique puisse acheminer le trafic via l’interface externe. 1. Sélectionnez la Configuration > réseau. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez une interface externe. Cliquez sur Configurer. 3. Dans la boîte de dialogue Paramètres de l’interface, sélectionnez Utiliser PPPoE. 4. Sélectionnez une option : n n Obtenir une adresse IP automatiquement Utiliser l’adresse IP (fournie par votre fournisseur de services Internet) 5. Si vous avez sélectionné Utiliser l’adresse IP, saisissez ou sélectionnez l’adresse IP dans la zone de texte en regard. 6. Saisissez le nom d’utilisateur et le mot de passe. Ressaisissez le mot de passe. Les fournisseurs de services Internet utilisent le format des adresses de messagerie pour les noms d’utilisateur, par exemple [email protected]. 7. Cliquez sur Propriétés avancées pour configurer les options PPPoE. La boîte de dialogue Propriétés PPPoE s’affiche. Votre fournisseur de services Internet peut vous contacter si vous devez modifier le délai d’attente ou les valeurs LCP. User Guide 101 Définition et configuration réseau 8. Si votre fournisseur de services Internet exige l’indicateur Host-Uniq pour les paquets de découverte PPPoE, cochez la case Utiliser l’indicateur Host-Uniq dans les paquets de découverte PPPoE. 9. Sélectionnez le moment où le périphérique se connecte au serveur PPPoE : n Toujours actif — Le périphérique Firebox ou XTM conserve une connexion PPPoE constante. Il n’est pas nécessaire pour le trafic réseau de passer par l’interface externe. Si vous sélectionnez cette option, saisissez ou sélectionnez une valeur dans la zone de texte Intervalle de réinitialisation de PPPoE pour définir le nombre de secondes pendant lesquelles PPPoE s’initialise avant de dépasser le délai. n Connexion à la demande — Le périphérique Firebox ou XTM se connecte au serveur PPPoE uniquement lorsqu’il reçoit une requête d’envoi de trafic à une adresse IP sur l’interface externe. Si votre fournisseur de services Internet réinitialise régulièrement la connexion, sélectionnez cette option. Si vous sélectionnez cette option, définissez dans la zone de texte Délai d’inactivité , la durée pendant laquelle un client peut rester connecté lorsqu’aucun trafic n’est envoyé. Si vous ne sélectionnez pas cette option, vous devez redémarrer le périphérique Firebox manuellement à chaque réinitialisation de la connexion. 10. Dans la zone de texte Échec d’écho LCP après , saisissez ou sélectionnez le nombre de requêtes d’écho LCP échouées autorisées avant que la connexion PPPoE soit considérée comme inactive et 102 WatchGuard System Manager Définition et configuration réseau fermée. 11. Dans la zone de texte Délai d’écho LCP dans , saisissez ou sélectionnez le délai, en secondes, au cours duquel la réponse de chaque délai d’écho doit être reçue. 12. Pour configurer le périphérique Firebox ou XTM pour qu’il redémarre automatiquement la connexion PPPoE tous les jours ou toutes les semaines, cochez la case Heure programmée pour le redémarrage automatique. 13. Dans la liste déroulante Heure programmée pour le redémarrage automatique, sélectionnez Quotidien pour redémarrer la connexion à la même heure tous les jours ou choisissez un jour de la semaine pour que le redémarrage s’effectue de manière hebdomadaire. Sélectionnez l’heure et la minute du jour (au format 24 heures) pour redémarrer automatiquement la connexion PPPoE. 14. Dans la zone de texte Nom de service , saisissez un nom de service PPPoE. Il peut s’agir d’un nom d’ISP ou d’une classe de service configurée sur le serveur PPPoE. Cette option n’est généralement pas utilisée. Sélectionnez cette option uniquement s’il existe plusieurs concentrateurs d’accès ou si vous devez utiliser un nom de service spécifique. 15. Dans la zone de texte Nom du concentrateur d’accès , saisissez le nom d’un concentrateur d’accès PPPoE, appelé également serveur PPPoE. Cette option n’est généralement pas utilisée. Sélectionnez cette option uniquement s’il existe plusieurs concentrateurs d’accès. 16. Dans la zone de texte Nouvelles tentatives d’authentification , saisissez ou sélectionnez le nombre de tentatives de connexion que peut réaliser le périphérique Firebox ou XTM. La valeur par défaut est trois (3) tentatives de connexions. 17. Dans la zone de texte Délai d’authentification , saisissez la valeur de la durée entre les tentatives. La valeur par défaut est de 20 secondes entre chaque tentative de connexion. 18. Cliquez sur OK. 19. Sauvegarder votre configuration. Utiliser le protocole DHCP 1. Dans la boîte de dialogue Paramètres de l’interface, sélectionnez Utiliser le client DHCP. 2. Si votre fournisseur de services Internet ou le serveur DHCP externe exige un identifiant client, une adresse MAC par exemple, saisissez ces informations dans la zone de texte Client . 3. Pour indiquer un nom d’hôte pour l’identification, saisissez-le dans la zone de texte Nom d’hôte . 4. Pour que le protocole DHCP puisse attribuer une adresse IP au périphérique Firebox ou XTM , sélectionnez dans la section IP de l’hôte l’option Obtenir une adresse IP automatiquement. User Guide 103 Définition et configuration réseau Pour attribuer manuellement une adresse IP et utiliser le protocole DHCP pour transmettre cette adresse attribuée au périphérique Firebox ou XTM , sélectionnez Utiliser l’adresse IP et saisissez l’adresse IP dans la zone de texte située en regard. Les adresses IP attribuées par un serveur DHCP sont définies par défaut avec un bail d’un jour qui permet de les utiliser pendant une journée. 5. Pour changer la durée du bail, cochez la case Durée du bail et sélectionnez la valeur dans la liste déroulante située en regard. Configurer DHCP en mode de routage mixte La méthode DHCP (Dynamic Host Configuration Protocol) permet d’attribuer des adresses IP automatiquement aux clients réseau. Vous pouvez configurer votre périphérique WatchGuard en tant que serveur DHCP pour les réseaux qu’il protège. Si vous avez un serveur DHCP, il est recommandé de continuer à utiliser ce serveur pour DHCP. Si votre périphérique WatchGuard est configuré en mode d’insertion, voir Configurer DHCP en mode d’insertion à la page 111. Note Vous ne pouvez pas configurer DHCP sur une interface pour laquelle FireCluster est activé. Configurer DHCP 1. Sélectionnez Réseau > Configuration. 2. Sélectionnez une interface approuvée ou facultative. Cliquez sur Configurer. Pour configurer DHCP pour un réseau invité sans fil, sélectionnez Réseau > Sans fil et cliquez sur Configurer pour le réseau invité sans fil.. 104 WatchGuard System Manager Définition et configuration réseau 3. Sélectionnez Utiliser le serveur DHCPou, pour le réseau invité sans fil, cochez la case Activer le serveur DHCP sur le réseau invité sans fil. User Guide 105 Définition et configuration réseau 4. Pour ajouter un groupe d’adresses IP à des utilisateurs de cette interface, Dans la section IP Address Pool (Pool d’adresses IP), cliquez sur Ajouter. Indiquez les adresses IP de début et de fin du même sous-réseau, puis cliquez sur OK. Le pool d’adresses doit appartenir au sous-réseau IP principal ou secondaire de l’interface. Vous pouvez configurer un maximum de six plages d’adresses. Les groupes d’adresses sont utilisés de la première à la dernière. Les adresses de chaque groupe sont attribuées par numéro, du plus petit au plus grand. 5. Pour changer la durée du bail par défaut, sélectionnez une autre option dans la liste déroulante Durée du bail. C’est l’intervalle temporel pendant lequel un client DHCP peut utiliser une adresse IP qu’il reçoit du serveur DHCP. Lorsque la durée du bail est sur le point d’arriver à expiration, le client envoie les données au serveur DHCP pour obtenir un nouveau bail. 6. Par défaut, lorsqu’il est configuré en tant que serveur DHCP, votre périphérique WatchGuard fournit les informations de serveur DNS et WINS dans l’onglet Configuration du réseau > WINS/DNS. Pour indiquer différentes informations afin que votre périphérique les attribue lorsqu’il fournit des adresses IP, cliquez sur Configurer les serveurs DNS/WINS. n n n n Saisissez un nom de domaine pour changer le domaine DNS par défaut. Pour créer une nouvelle entrée de serveur DNS ou WINS, cliquez sur le bouton Ajouter situé à côté du type de serveur que vous souhaitez, saisissez une adresse IP et cliquez sur OK. Pour changer l’adresse IP du serveur sélectionné, cliquez sur le bouton Modifier. Pour supprimer le serveur sélectionné de la liste située à côté, cliquez sur le bouton Supprimer. Configurer les réservations DHCP Pour réserver une adresse IP spécifique pour un client : 106 WatchGuard System Manager Définition et configuration réseau 1. Dans la zone située à côté du champ Adresses réservées , cliquez sur Ajouter. Pour un réseau invité sans fil, cliquez sur Réservations DHCP, puis sur Ajouter. 2. Entrez le nom de la réservation, de l’adresse IP à réserver et de l’adresse MAC de la carte réseau du client. 3. Cliquez sur OK. À propos du Service DNS dynamique Vous pouvez enregistrer l’adresse IP externe de votre périphérique WatchGuard avec le service DNS dynamique DynDNS.org. Un service DNS dynamique vérifie que l’adresse IP associée à votre nom de domaine change lorsque votre fournisseur de services Internet attribue à votre périphérique une nouvelle adresse IP. Cette fonctionnalité est disponible en mode de configuration réseau routage mixte ou d’insertion. Si vous utilisez cette fonctionnalité, votre périphérique WatchGuard obtient l’adresse IP auprès de members.dyndns.org au démarrage. Il vérifie qu’elle est valide à chaque redémarrage et tous les vingt jours. Si vous modifiez votre configuration DynDNS sur votre périphérique WatchGuard ou si vous changez l’adresse IP de la passerelle par défaut, DynDNS.com est automatiquement mis à jour. Pour plus d’informations sur le service DNS dynamique ou pour créer un compte DynDNS, accédez au site http://www.dyndns.com. Note WatchGuard n’est pas une filiale de DynDNS.com. Utiliser DNS dynamique Vous pouvez enregistrer l’adresse IP externe de votre périphérique WatchGuard avec le service DNS dynamique DynDNS.org (Dynamic Network Services). Ce service est gratuit pour cinq noms d’hôte au maximum. WatchGuard System Manager ne prend pas en charge actuellement d’autres fournisseurs de service DNS dynamique. Un service DNS dynamique vérifie que l’adresse IP associée à votre nom de domaine change lorsque votre fournisseur de services Internet attribue à votre périphérique WatchGuard une nouvelle adresse IP. Au démarrage, votre périphérique obtient l’adresse IP auprès de members.dyndns.org. Il vérifie qu’elle est valide à chaque redémarrage et tous les vingt jours. Si vous modifiez votre configuration DynDNS sur votre périphérique WatchGuard ou si vous changez l’adresse IP de la passerelle par défaut configurée pour votre périphérique, votre configuration sur DynDNS.com est mise à jour immédiatement. Pour plus d’informations sur le DNS dynamique, accédez au site http://www.dyndns.com. Note WatchGuardn’estpasunefilialedeDynDNS.com. 1. 2. 3. 4. Configurer un compte dynDNS. Accédez au site Web de DynDNS et suivez les instructions de ce site. Dans Policy Manager, sélectionnez Réseau > Configuration. Cliquez sur l’onglet WIN/DNS. Au moins un serveur DNS doit être défini. Si ne l’avez pas encore fait, utilisez la procédure de Ajouter Serveurs WINS et Adresses du serveur DNS à la page 119. 5. Cliquez sur l’onglet DNS dynamique. User Guide 107 Définition et configuration réseau 6. Sélectionnez l’interface externe pour laquelle vous souhaitez configurer le DNS dynamique et cliquez sur Configurer. La boîte de dialogue Par DNS dynamique d’interface apparaît. 7. Pour activer le DNS dynamique, cochez la case Activer le DNS dynamique check box. 8. Entrez les nom d’utilisateur, mot de passe et nom de domaine que vous avez utilisés pour créer votre compte DNS dynamique. 9. Dans la liste déroulante Type de service, sélectionnez le système à utiliser pour cette mise à jour : n n dyndns — Envoie des mises à jour pour un nom d’hôte DNS dynamique. Utilisez cette option si votre adresse IP est dynamique ou si elle change régulièrement, par exemple. custom — Envoie des mises à jour pour un nom d’hôte DNS personnalisé. Les entreprises qui paient pour enregistrer leur domaine auprès de dyndns.com font souvent appel à cette option. Pour plus d’informations sur chaque option, consultez le site http://www.dyndns.com/services/. 10. Dans le champ Options, vous pouvez saisir l’une des options suivantes. Vous devez saisir le caractère « & » avant et après chaque option que vous ajoutez. Si vous ajoutez plusieurs options, vous devez les séparer par le caractère « & ». Par exemple, &backmx=NO&wildcard=ON& mx=mailexchanger backmx=YES|NO wildcard=ON|OFF|NOCHG offline=YES|NO Pour plus d’informations sur les options, consultez le site http://www.dyndns.com/developers/specs/syntax.html. 11. Utilisez les boutons fléchés pour définir un intervalle temporel, en jours, afin de forcer la mise à jour de l’adresse IP. À propos de la configuration du réseau en mode d’insertion Dans une configuration d’insertion, la même adresse IP est utilisée sur toutes les interfaces Firebox. Le mode de configuration d’insertion distribue la plage d’adresses logiques du réseau à l’ensemble des interfaces réseau disponibles. Vous pouvez placer votre périphérique Firebox entre le routeur et le réseau local sans devoir modifier la configuration sur les ordinateurs locaux. Cette configuration est appelée mode 108 WatchGuard System Manager Définition et configuration réseau d’insertion, car votre périphérique WatchGuard inséré dans un réseau préalablement configuré. En mode d’insertion : n n n n Vous devez attribuer la même adresse IP principale à toutes les interfaces de Firebox (externes, approuvées et facultatives). Vous pouvez attribuer des réseaux secondaires sur toutes les interfaces. Vous pouvez conserver les mêmes adresses IP et passerelles par défaut pour les hôtes de vos réseaux approuvés et facultatifs, et ajouter une adresse réseau secondaire à l’interface externe principale pour que votre périphérique Firebox achemine correctement le trafic vers les hôtes de ces réseaux. Les serveurs publics derrière votre périphérique Firebox peuvent continuer à utiliser les adresses IP publiques. La traduction d’adresses n’est pas utilisée pour acheminer le trafic depuis l’extérieur de votre réseau vers vos serveurs publics. Les propriétés d’une configuration d’insertion sont les suivantes : n n n Vous devez attribuer une adresse IP statique et l’utiliser pour l’interface externe. Vous devez utiliser un réseau logique pour toutes les interfaces. Vous ne pouvez configurer qu’une seule interface externe lorsque votre périphérique WatchGuard est configuré en mode d’insertion. La fonctionnalité Multi-WAN est automatiquement désactivée. Il est parfois nécessaire de Effacer le cache ARP de chaque ordinateur protégé par Firebox, mais ce n’est pas fréquent. Note Si vous déplacez l’adresse IP d’un ordinateur situé derrière une interface vers un ordinateur situé derrière une autre interface, l’envoi du trafic réseau au nouvel emplacement peut prendre quelques minutes. Votre périphérique Firebox doit mettre à jour sa table de routage interne avant l’acheminement de ce trafic. Les types de trafic concernés sont les connexions de gestion SNMP, Firebox ou journalisation. Vous pouvez configurer vos interfaces réseau avec le mode d’insertion lorsque vous exécutez l’Assistant Quick Setup Wizard. Si vous avez déjà créé une configuration réseau, vous pouvez utiliser Policy Manager pour passer en mode d’insertion. Pour de plus amples informations, cf. Exécuter l’Assistant Web Setup Wizard à la page 27. Utilisezlemoded’insertion pourlaconfiguration del’interface réseau 1. Cliquez sur . Vous pouvez également sélectionner Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Dans la liste déroulante Configurer les interfaces en, sélectionnez mode d’insertion. 3. Dans le champ Adresse IP, saisissez l’adresse IP que vous souhaitez utiliser en tant qu’adresse principale pour toutes les interfaces sur Firebox. 4. Dans le champ Passerelle, saisissez l’adresse IP de la passerelle. Cette adresse IP est automatiquement ajoutée à la liste des hôtes associés. User Guide 109 Définition et configuration réseau 5. Cliquez sur OK. 6. Enregistrer le fichier de configuration. Configurer les hôtes associés Dans une configuration d’insertion ou de pont, la même adresse IP est utilisée sur chaque interface Firebox. Votre périphérique Firebox détecte automatiquement les nouveaux périphériques qui sont connectés à ces interfaces et ajoute chaque nouvelle adresse MAC à sa table de routage interne. Si vous souhaitez configurer des connexions de périphérique manuellement ou si le mappage automatique d’hôte ne fonctionne pas correctement, vous pouvez ajouter une entrée pour les hôtes associés. Une entrée pour les hôtes associés crée un itinéraire statique entre l’adresse IP de l’hôte et une interface réseau. Il est recommandé de désactiver le mappage d’hôte automatique sur les interfaces pour lesquelles vous créez une entrée pour les hôtes associés. 1. Cliquez sur . Vous pouvez également sélectionner Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Configurez les interfaces réseau en mode d’insertion ou en mode pont, puis cliquez sur Propriétés. La boîte de dialogue Propriétés du mode d’insertion s’affiche. 3. Désélectionnez la case des interfaces pour lesquelles vous souhaitez ajouter une entrée pour les hôtes associés. 4. Cliquez sur Ajouter. Entrez l’adresse IP du périphérique pour lequel vous souhaitez définir un itinéraire statique à partir de Firebox. 5. Cliquez dans la colonne Nom d’interface afin de sélectionner l’interface pour l’entrée des hôtes associés. 110 WatchGuard System Manager Définition et configuration réseau 6. Cliquez sur OK. 7. Enregistrer le fichier de configuration. Configurer DHCP en mode d’insertion Lorsque vous utilisez le mode d’insertion pour la configuration du réseau, vous pouvez utiliser Policy Manager pour configurer éventuellement Firebox en tant que serveur DHCP pour les réseaux qu’il protège ou l’utiliser en tant qu’agent de relais DHCP. Si un serveur DHCP est déjà configuré, il est conseillé de le conserver. Utiliser le protocole DHCP 1. Cliquez sur . Vous pouvez également sélectionner Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. User Guide 111 Définition et configuration réseau 2. Sélectionnez Utiliser le serveur DHCP. 3. Pour ajouter un pool d’adresses depuis lequel Firebox peut fournir des adresses IP, cliquez sur Ajouter à côté de la zone Pool d’adresses, puis indiquez les adresses de début et de fin qui se trouvent sur le même sous-réseau que l’adresse IP d’insertion. N’ajoutez pas l’adresse IP d’insertion dans le pool d’adresses. Cliquez sur OK. Vous pouvez configurer un maximum de six plages d’adresses. 4. Afin de réserver une adresse IP spécifique d’un pool d’adresses pour un périphérique ou un client, à côté du champ Adresses réservées, cliquez sur Ajouter. Entrez le nom de la réservation, de l’adresse IP à réserver et de l’adresse MAC du périphérique. Cliquez sur OK. 5. Dans la liste déroulante Durée du bail, sélectionnez la durée maximum d’utilisation d’une adresse IP par un client DHCP. 6. Par défaut, votre périphérique WatchGuard fournit les informations sur le serveur DNS/WINS configurées dans l’onglet Configuration du réseau > WINS/DNS lorsqu’il est configuré en tant que serveur DHCP. Pour envoyer d’autres informations sur le serveur DNS/WINS aux clients DHCP, cliquez sur le bouton Configurer les serveurs DNS/WINS. 7. Cliquez sur OK. 8. Enregistrer le fichier de configuration. Utiliser le relais DHCP 1. Cliquez sur . Vous pouvez également sélectionner Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez Utiliser le relais DHCP. 3. Entrez l’adresse IP du serveur DHCP dans la zone appropriée. Veillez à Ajouter un itinéraire statique sur le serveur DHCP, si nécessaire. 112 WatchGuard System Manager Définition et configuration réseau 4. Cliquez sur OK. 5. Enregistrer le fichier de configuration. Spécifier les paramètres DHCP d’une seule interface Vous pouvez indiquer différents paramètres DHCP pour chaque interface approuvée ou facultative de votre configuration. 1. Cliquez sur . Vous pouvez également sélectionner Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Faites défiler la boîte de dialogue Configuration du réseau et sélectionnez une interface. 3. Cliquez sur Configurer. 4. Mettez à jour les paramètres DHCP : n n n Pour utiliser les mêmes paramètres DHCP que vous avez configurés pour le mode d’insertion, sélectionnez Utiliser le réglage système DHCP. Pour désactiver le protocole DHCP pour les clients de cette interface réseau, sélectionnez Désactiver DHCP. Pour configurer d’autres options DHCP pour les clients d’un réseau secondaire, sélectionnez Utiliser le serveur DHCP pour le réseau secondaire. Suivez les étapes 3–6 de la procédure Utiliser le relais DHCP pour ajouter des pools d’adresses IP, définir la durée du bail par défaut et gérer les serveurs DNS/WINS. 5. Cliquez sur OK. User Guide 113 Définition et configuration réseau Mode pont Le mode pont est une fonctionnalité qui vous permet d’installer votre périphérique Firebox ou XTM entre un réseau existant et sa passerelle, afin de filtrer ou de gérer le trafic réseau. Lorsque vous activez cette fonctionnalité, votre périphérique Firebox ou XTM traite tout le trafic réseau et le transmet vers d’autres passerelles. Lorsque le trafic provenant du périphérique Firebox ou XTM arrive à une passerelle, il semble provenir du périphérique d’origine. Pour utiliser le mode pont, vous devez indiquer une adresse IP utilisée pour gérer votre périphérique Firebox ou XTM. Le périphérique utilise également cette adresse IP pour obtenir les mises à jour de Gateway AV/IPS et acheminer le trafic vers les serveurs internes DNS, NTP ou WebBlocker (le cas échéant). Vous devez donc veiller à attribuer une adresse IP routable sur Internet. Lorsque vous utilisez le mode pont, votre périphérique Firebox ou XTM ne peut pas réaliser certaines fonctions pour lesquelles il doit fonctionner en tant que passerelle. Ces fonctions sont les suivantes : n n n n n n n n n n n n Multi-WAN Réseaux locaux VLAN (Virtual Local Area Networks) Ponts réseau Itinéraires statiques FireCluster Réseaux secondaires Serveur DHCP ou relais DHCP Basculement vers un modem série (Firebox X Edge uniquement) NAT un à un, dynamique ou statique Routage dynamique (OSPF, BGP ou RIP) Tout type de réseau privé VPN pour lequel le périphérique Firebox ou XTM est un point de terminaison ou une passerelle Certaines fonctions proxy, notamment le serveur de mise en cache Web HTTP Si vous avez configuré ces fonctions services, ils sont désactivés lorsque vous passez en mode pont. Pour réutiliser ces fonctions ou services, vous devez utiliser un autre mode réseau. Si vous revenez au mode d’insertion ou de routage mixte, vous devrez peut-être reconfigurer certaines fonctions. Note Lorsque vous activez le mode pont, les interfaces ayant un pont réseau ou un réseau VLAN préconfiguré sont désactivées. Pour utiliser ces interfaces, vous devez d’abord passer en mode d’insertion ou de routage mixte, configurer ensuite l’interface en tant qu’interface externe, facultative ou approuvée, puis revenir en mode pont. Les fonctions sans fil des périphériques Firebox ou XTM sans fil fonctionnent correctement en mode pont. Pour activer le mode pont : 1. Cliquez sur . Vous pouvez également sélectionner Réseau > Configuration. La fenêtre Configuration du réseau apparaît. 2. Dans la liste déroulante Configurer les interfaces en, sélectionnez Mode pont. 114 WatchGuard System Manager Définition et configuration réseau 3. Si le système vous invite à désactiver les interfaces, cliquez sur Oui pour désactiver les interfaces ou sur Non pour revenir à votre configuration antérieure. 4. Saisissez l’adresse IP de votre périphérique Firebox ou XTM en notation de barre oblique. Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre oblique à la page iv. 5. Saisissez l’adresse IP de la passerelle qui reçoit tout le trafic réseau provenant du périphérique. 6. Cliquez sur OK. 7. Enregistrer le fichier de configuration. Paramètres d’interface standard En mode de routage mixte, vous pouvez configurer votre périphérique WatchGuard pour envoyer le trafic réseau entre différents types d’interfaces réseau physiques et virtuelles. C’est le mode de réseau par défaut ; il offre la plus grande souplesse pour les différentes configurations réseau. Vous devez toutefois configurer chaque interface séparément et vous devrez peut-être changer les paramètres réseau de chaque ordinateur ou client protégé par votre périphérique WatchGuard. Pour configurer votre périphérique Firebox avec le mode de routage mixte : 1. Sélectionnez Réseau > Configuration. La boîte de dialogue Réseau Configuration apparaît. 2. Sélectionnez l’interface que vous souhaitez configurer, puis cliquez sur Configurer. Les options disponibles dépendent du type d’interface sélectionné. La boîte de dialogue Interface Settings Configuration (Configuration des paramètres apparaît. User Guide 115 Définition et configuration réseau 3. Dans le champ Nom de l’interface (Alias), vous pouvez conserver le nom par défaut ou le modifier pour qu’il reflète plus précisément votre réseau et ses propres relations d’approbation. Vérifiez que ce nom n’a pas été attribué à une interface, un groupe MVPN ou un tunnel. Vous pouvez utiliser cet alias avec d’autres fonctions, des stratégies de proxy par exemple, pour gérer le trafic réseau de cette interface. 4. (Facultatif) Saisissez la description de l’interface dans le champ Description de l’interface. 5. Dans le champ Type d’interface, vous pouvez modifier le type d’interface à partir de sa valeur par défaut. Certains types d’interface ont des paramètres supplémentaires. 116 WatchGuard System Manager Définition et configuration réseau n n n n n Pour plus d’informations sur l’attribution d’une adresse IP à une interface externe, voir Configurer une interface externe à la page 100. Pour définir l’adresse IP d’une interface approuvée ou facultative, saisissez l’adresse IP en notation de barre oblique. Pour attribuer automatiquement des adresses IP aux clients d’une interface approuvée ou facultative, voir Configurer DHCP en mode de routage mixte à la page 104 ou Configurer le relais DHCP à la page 118. Pour utiliser plusieurs adresses IP sur une même interface réseau physique, voir Configurer un réseau secondaire à la page 120. Pour plus d’informations sur les configurations VLAN, voir À propos des réseaux locaux virtuels (VLAN) à la page 132. Pour supprimer une interface de votre configuration, voir Désactiver une interface à la page 117. 6. Configurez votre interface en suivant les indications de l’une des rubriques ci-dessus. 7. Cliquez sur OK. Désactiver une interface 1. Sélectionnez la Configuration > réseau. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez l’interface à désactiver. Cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’ouvre. User Guide 117 Définition et configuration réseau 3. Dans la liste déroulante Type d’interface, sélectionnez Désactivée. Cliquez sur OK. Dans la boîte de dialogue Configuration du réseau, l’interface apparaît maintenant comme étant Désactivée. Configurer le relais DHCP Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les ordinateurs des réseaux approuvés ou facultatifs. Vous pouvez utiliser le relais DHCP pour obtenir les adresses IP des ordinateurs d’un réseau approuvé ou facultatif. Avec cette fonctionnalité, Firebox envoie des requêtes DHCP à un serveur d’un autre réseau. Si le serveur DHCP que vous souhaitez utiliser n’est pas sur un réseau protégé par votre périphérique WatchGuard, vous devez configurer un tunnel VPN entre votre périphérique WatchGuard et le serveur DHCP pour que cette option fonctionne correctement. Note Vous ne pouvez pas utiliser le relais DHCP sur une interface sur laquelle FireCluster est activé. Pour configurer le relais DHCP : 1. Sélectionnez la Configuration > réseau. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez une interface approuvée ou facultative et cliquez sur Configurer. 3. Sélectionnez Utiliser le relais DHCP. 4. Entrez l’adresse IP du serveur DHCP dans la zone appropriée. Veillez à Ajouter un itinéraire statique sur le serveur DHCP, si nécessaire. 5. Cliquez sur OK. Limiter le trafic réseau par adresse MAC Vous pouvez utiliser la liste des adresses MAC pour gérer les périphériques autorisés à envoyer du trafic sur l’interface réseau que vous indiquez. Lorsque vous activez cette fonction, votre périphérique WatchGuard vérifie l’adresse MAC de chaque ordinateur ou périphérique qui se connecte à l’interface indiquée. Si l’adresse MAC de ce périphérique ne figure pas dans la liste de contrôle d’accès MAC de cette interface, le périphérique ne peut pas envoyer de trafic. Cette fonction est particulièrement utile pour éviter tout accès non autorisé à votre réseau depuis un lieu à l’intérieur de votre bureau. Toutefois, vous devez mettre à jour la liste de contrôle d’accès MAC pour chaque interface lorsqu’un nouvel ordinateur autorisé est ajouté au réseau. 118 WatchGuard System Manager Définition et configuration réseau Note Si vous choisissez de restreindre l’accès par adresse MAC, vous devez inclure l’adresse MAC de l’ordinateur qui sert à gérer votre périphérique WatchGuard. Pour activer le contrôle d’accès MAC pour une interface réseau : 1. Sélectionnez Réseau > Configuration. La fenêtre Configuration du réseau apparaît. 2. Sélectionnez l’interface sur laquelle vous souhaitez activer le contrôle d’accès MAC, puis cliquez sur Configurer. La fenêtre Paramètres d’interface apparaît. 3. Sélectionnez l’onglet MAC Contrôle d’accès. 4. Cochez la case Limiter l’accès par adresse MAC. 5. Cliquez sur Ajouter. La fenêtre Ajouter une adresse MAC apparaît. 6. Saisissez l’adresse MAC de l’ordinateur ou du périphérique de manière à fournir l’accès à l’interface indiquée. 7. (Facultatif) Saisissez le nom de l’ordinateur ou du périphérique pour l’identifier dans la liste. 8. Cliquez sur OK. Répétez les étapes 5–8 pour ajouter d’autres ordinateurs ou périphériques à la liste de contrôle d’accès MAC. Ajouter Serveurs WINS et Adresses du serveur DNS Un certain nombre des fonctions du périphérique Firebox ont des adresses IP de serveur WINS (Windows Internet Name Server) et adresses IP de serveur DNS (nom de domaine System) partagées. Il s’agit de DHCP et de Mobile VPN. L’accès à ces serveurs doit être disponible depuis l’interface approuvée de Firebox. Ces informations sont utilisées pour deux raisons : n n Firebox utilise le serveur DNS présenté ici pour résoudre les noms en adresses IP afin que les VPN IPSec, le spamBlocker, Gateway AV et les fonctionnalités IPS fonctionnent correctement. Les entrées WINS et DNS sont utilisées par les clients DHCP sur le réseau approuvé et le réseau facultatif, ainsi que par les utilisateurs de Mobile VPN, pour résoudre les requêtes DNS. Assurez-vous d’utiliser uniquement un serveur WINS et un serveur DNS internes pour DHCP et Mobile VPN. Ainsi, vous aurez l’assurance de ne pas créer des stratégies dont les propriétés de configuration empêchent les utilisateurs de se connecter au serveur DNS. 1. Sélectionnez la Configuration > réseau. La boîte de dialogue Configuration du réseau s’affiche. User Guide 119 Définition et configuration réseau 2. Sélectionnez l’onglet WINS/DNS. Les informations de l’onglet WINS/DNS apparaissent. 3. Saisissez les adresses principale et secondaire des serveurs WINS et DNS. Vous pouvez entrer un maximum de trois serveurs DNS. Vous pouvez également saisir un suffixe de domaine dans la zone de texte Nom de domaine pour qu’un client DHCP puisse l’utiliser avec des noms non qualifiés tels que « watchguard_mail ». Configurer un réseau secondaire Un réseau secondaire est un réseau qui partage l’un des réseaux physiques utilisés par les interfaces du périphérique Firebox ou XTM. Lorsque vous ajoutez un réseau secondaire, vous ajoutez un alias IP à l’interface. L’alias IP est la passerelle par défaut de tous les ordinateurs du réseau secondaire. Le réseau secondaire indique au périphérique Firebox ou XTM qu’un autre réseau est disponible sur son interface. Par exemple, si vous configurez un périphérique Firebox ou XTM en mode d’insertion, vous donnez à chaque interface Firebox ou XTM la même adresse IP. Toutefois, vous utilisez probablement un ensemble d’adresses IP différent sur votre réseau approuvé. Vous pouvez ajouter ce réseau privé en tant que réseau secondaire à l’interface approuvée de votre périphérique Firebox ou XTM. Lorsque vous ajoutez un réseau secondaire, vous créez un itinéraire depuis une adresse IP du réseau secondaire vers l’adresse IP de l’interface du périphérique Firebox ou XTM. Si le périphérique Firebox ou XTM est configuré avec une adresse IP statique sur une interface externe, vous pouvez également ajouter une adresse IP sur le même sous-réseau que l’interface externe principale en tant que réseau secondaire. Vous pouvez ensuite configurer la traduction d’adresses réseau statique pour plusieurs types de serveurs identiques. Par exemple, vous configurez un réseau secondaire externe avec une deuxième adresse IP publique si vous disposez de deux serveurs SMTP publics et souhaitez configurer une règle de traduction d’adresses réseau statique pour chacun d’eux. Vous pouvez ajouter jusqu’à 2 048 réseaux secondaires par interface Firebox ou XTM. Vous pouvez utiliser des réseaux secondaires avec une configuration réseau d’insertion ou routée. Vous pouvez également ajouter un réseau secondaire à une interface externe d’un périphérique Firebox ou XTM si cette interface externe est configurée pour obtenir son adresse IP via PPPoE ou DHCP. 120 WatchGuard System Manager Définition et configuration réseau Pour définir une adresse IP secondaire, vous devez avoir : n n Une adresse IP inutilisée du réseau secondaire que vous attribuez à l’interface de périphérique Firebox ou XTM à laquelle il se connecte Une adresse IP inutilisée du même réseau que l’interface externe du périphérique Firebox ou XTM Pour définir une adresse IP secondaire : 1. Sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez l’interface du réseau secondaire et cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’ouvre. 3. 4. 5. 6. Sélectionnez l’onglet Secondaire. Cliquez sur Ajouter. Entrez une adresse IP d’hôte non attribuée pour le réseau secondaire. Cliquez sur OK. Cliquez de nouveau sur OK. Note Assurez-vous d’ajouter correctement les adresses du réseau secondaire. Le périphérique Firebox ou XTM ne vous avertit pas en cas d’erreur. Il est déconseillé de créer un sous-réseau comme réseau secondaire sur une interface faisant partie d’un réseau plus étendu situé sur une interface différente. Si vous le faites, le réseau risque d’être attaqué et de ne pas fonctionner correctement. À propos des paramètres d’interface Vous pouvez utiliser plusieurs paramètres d’interface Firebox avancés : Paramètres de carte réseau configure les paramètres de connexion (vitesse et mode duplex) des interfaces Firebox en mode manuel ou automatique. Il est conseillé de conserver la vitesse de connexion configurée pour la négociation automatique. Si vous choisissez l’option de configuration manuelle, assurez-vous que les paramètres de connexion (vitesse et mode duplex) du périphérique auquel Firebox se connecte sont identiques à ceux de Firebox. N’utilisez cette option que si vous devez ignorer les paramètres d’interface automatiques de Firebox pour accéder aux autres périphériques du réseau. User Guide 121 Définition et configuration réseau Définir la bande passante de l’interface en sortie Lorsque vous utilisez les paramètres de gestion du trafic pour garantir la bande passante aux stratégies, ce paramètre garantit que vous ne réservez pas plus de bande passante qu’il n’en existe pour une interface. Ce paramètre vous permet également de vous assurer que la somme des paramètres de bande passante garantie ne sature pas la liaison, ce qui empêcherait la transmission de tout trafic non garanti. Activer le marquage QoS pour une interface crée différentes catégories de services pour différents types de trafic réseau. Vous pouvez définir le comportement de marquage par défaut lorsque le trafic sort d’une interface. Ces paramètres peuvent être remplacés par des paramètres définis pour une stratégie. Définir Bit DF pour IPSec Détermine le paramètre du bit Don’t Fragment (DF) pour IPSec. Paramètre PMTU pour IPSec (interfaces externes uniquement) contrôle la durée pendant laquelle Firebox diminue l’unité maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de fragmentation d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur Internet. Utiliser la liaison d’adresse MAC statique Utilise les adresses matérielles (MAC) pour contrôler l’accès à une interface Firebox. Paramètres de carte réseau 1. Sélectionnez la Configuration > réseau. 2. Cliquez sur l’interface à configurer, puis sur Configurer. 3. Sélectionnez l’onglet Avancé. 4. Dans la liste déroulante Vitesse de la connexion, sélectionnez Négociation automatique si vous souhaitez que le périphérique WatchGuard sélectionne la meilleure vitesse réseau. Vous pouvez également sélectionner l’une des vitesses semi-duplex ou duplex intégral si l’une ou l’autre est compatible avec votre autre équipement réseau. 122 WatchGuard System Manager Définition et configuration réseau Négociation automatique est le paramètre par défaut. Il est fortement recommandé de ne pas changer ce paramètre sauf si le service de support technique vous l’a conseillé. Si vous définissez la vitesse de connexion manuellement et que d’autres périphériques de votre réseau ne prennent pas en charge la vitesse que vous sélectionnez, cela peut entraîner un conflit qui empêche l’interface Firebox de rétablir la connexion après le basculement. 5. Dans la zone de texte Taille maximale de l’unité de transmission (MTU) , sélectionnez la taille maximale des paquets, en octets, qui peuvent être transmis par l’interface. Il est conseillé d’utiliser la valeur par défaut (1 500 octets), sauf si votre matériel de réseau requiert une taille de paquet différente. Vous pouvez définir la valeur MTU de 68 (minimum) à 9000 (maximum). 6. Pour changer l’adresse MAC de l’interface externe, cochez la case Remplacer l’adresse MAC et saisissez la nouvelle adresse MAC. Pour plus d’informations sur les adresses MAC, voir la section suivante. 7. Cliquez sur OK. 8. Enregistrer le fichier de configuration. À propos des adresses MAC Certains fournisseurs de services Internet (ISP) utilisent une adresse MAC pour identifier les ordinateurs sur leur réseau. Chaque adresse MAC obtient une adresse IP statique. Si votre FSI fait appel à cette méthode pour identifier votre ordinateur, vous devez modifier l’adresse MAC de l’interface externe du périphérique WatchGuard. Utilisez l’adresse MAC du modem câble, du modem ADSL ou du routeur qui s’est directement connecté au FSI dans la configuration d’origine. L’adresse MAC doit présenter les caractéristiques suivantes : n n Elle doit comporter 12 caractères hexadécimaux d’une valeur comprise entre 0 et 9 ou entre « a » et « f ». L’adresse MAC doit fonctionner avec : Une ou plusieurs adresses du réseau externe. L’adresse MAC du réseau approuvé pour le périphérique. o L’adresse MAC du réseau facultatif pour le périphérique. o o n L’adresse MAC ne doit pas être définie sur 000000000000 ou ffffffffffff. Si la case à cocher Remplacer l’adresse MAC n’est pas sélectionnée lors du redémarrage du périphérique WatchGuard, le périphérique utilise l’adresse MAC par défaut du réseau externe. Pour éviter les problèmes d’adresses MAC, le périphérique WatchGuard s’assure que l’adresse MAC que vous attribuez à l’interface externe est unique sur le réseau. Si le périphérique WatchGuard détecte un périphérique qui utilise la même adresse MAC, il réutilise l’adresse MAC standard de l’interface externe puis redémarre. Définir la bande passante de l’interface en sortie Certaines fonctionnalités de gestion du trafic exigent une limite de bande passante pour chaque interface réseau. Par exemple, vous devez configurer le paramètre Bande passante de l’interface en sortie pour utiliser le marquage Qos et la définition des priorités. User Guide 123 Définition et configuration réseau Une fois que vous avez défini cette limite, votre Firebox effectue les tâches basiques de définition des priorités sur le trafic réseau afin d’éviter les problèmes de trafic excessif sur l’interface spécifiée. Par ailleurs, un avertissement s’affiche dans Policy Manager si vous allouez une bande passante trop importante lorsque vous créez ou paramétrez des actions de gestion du trafic. Si vous conservez pour toute interface la valeur par défaut 0 du paramètre Bande passante de l’interface en sortie, la bande passante est définie avec la vitesse de connexion négociée automatiquement pour cette interface. 1. Sélectionnez la Configuration > réseau. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez l’interface dont vous souhaitez définir les limites de bande passante et cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’ouvre. 3. Cliquez sur l’onglet Avancé. 4. Dans le champ Bande passante de l’interface en sortie, saisissez la quantité de bande passante fournie par le réseau. Utilisez la vitesse en amont de votre connexion Internet (en Kbits/s plutôt qu’en Ko/s) comme limite pour les interfaces externes. Définissez la bande passante de votre interface LAN en fonction de la vitesse de connexion minimale prise en charge par votre infrastructure LAN. 5. Cliquez sur OK. 6. Cliquez de nouveau sur OK. 7. Enregistrer le fichier de configuration. Définir Bit DF pour IPSec Lorsque vous configurez l’interface externe, sélectionnez l’une des trois options pour déterminer le paramètre de la section Bit DF pour IPSec. 124 WatchGuard System Manager Définition et configuration réseau Copier Sélectionnez Copier pour appliquer le paramètre de bit DF de la structure d’origine du paquet chiffré IPSec. Si une structure n’a pas de bits DF définis, Fireware XTM ne définit pas les bits DF et fragmente le paquet si nécessaire. Si une structure est définie pour ne pas être fragmentée, Fireware XTM encapsule l’intégralité de la structure et définit les bits DF du paquet chiffré pour faire correspondre la structure d’origine. Définir Sélectionnez Définir si vous ne souhaitez pas que le périphérique Firebox fragmente la structure, quel que soit le paramètre de bit d’origine. Si un utilisateur doit établir des connexions IPSec à Firebox derrière un autre périphérique Firebox, vous devez désactiver cette case à cocher pour activer la fonction de transmission IPSec. Par exemple, des employés itinérants travaillant sur un site client équipé d’un périphérique Firebox peuvent se connecter à leur réseau à l’aide d’IPSec. Pour que votre périphérique Firebox local établisse correctement la connexion IPSec sortante, vous devez également ajouter une stratégie IPSec. Effacer Sélectionnez Effacer pour diviser la structure en éléments pouvant tenir dans un paquet IPSec avec en-tête ESP ou AH, quel que soit le paramètre de bit d’origine. Paramètre PMTU pour IPSec Ce paramètre d’interface avancé concerne les interfaces externes uniquement. Le Path Maximum Transmission Unit (PMTU) contrôle la durée pendant laquelle Firebox diminue l’unité maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de fragmentation d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur Internet. Il est conseillé de conserver le paramètre par défaut pour protéger Firebox si un routeur présente un paramètre MTU très faible sur Internet. Utiliser la liaison d’adresse MAC statique Vous pouvez contrôler l’accès à votre périphérique WatchGuard à l’aide d’une adresse matérielle (MAC). Cette fonctionnalité peut protéger votre réseau des attaques ARP des pirates informatiques. Ces derniers essaient de changer l’adresse MAC des ordinateurs pour faire correspondre un périphérique réel de votre réseau. Pour utiliser la liaison d’adresse MAC, vous devez associer une adresse IP sur l’interface indiquée avec une adresse MAC. Si cette fonctionnalité est activée, les ordinateurs avec l’adresse MAC indiquée ne peuvent envoyer et recevoir des informations qu’avec l’adresse IP associée. User Guide 125 Définition et configuration réseau Vous pouvez également utiliser cette fonctionnalité pour limiter tout le trafic réseau aux périphériques qui correspondent aux adresses MAC et IP de cette liste. Ce procédé est semblable à la fonctionnalité de contrôle d’accès MAC. Pour plus d’informations, voir Limiter le trafic réseau par adresse MAC à la page 118. Note Si vous choisissez de restreindre l’accès au réseau par adresse MAC, n’oubliez pas d’inclure l’adresse MAC de l’ordinateur qui sert à gérer votre périphérique WatchGuard. Pour configurer les paramètres de liaison d’adresse MAC statique : 1. Sélectionnez la Configuration > réseau. Sélectionnez une interface, puis cliquez sur Configurer. 2. Sélectionnez l’onglet Avancé. 3. À côté de la table Liaison d’adresse MAC/IP statique, cliquez sur Ajouter. 4. À côté du champ Adresse IP, cliquez sur Ajouter. 5. Entrez une adresse IP et une paire d’adresses MAC. Cliquez sur OK. Répétez cette opération pour ajouter des paires supplémentaires. 6. Si vous souhaitez que cette interface ne transmette que le trafic correspondant à une entrée de la liste Liaison d’adresse MAC/IP statique, cochez la case N’autoriser que le trafic envoyé vers/depuis ces adresses MAC/IP. Si vous ne souhaitez pas bloquer le trafic qui ne correspond à aucune entrée de la liste, désélectionnez la case à cocher. Rechercher l’adresse MAC d’un ordinateur Une adresse MAC est également appelée adresse matérielle ou adresse Ethernet. C’est un identifiant unique et propre à la carte réseau de l’ordinateur. Une adresse MAC a généralement l’aspect suivant : XXXX-XX-XX-XX-XX, chaque X représentant un chiffre ou une lettre de A à F. Pour trouver l’adresse MAC d’un ordinateur de votre réseau : 1. Dans l’interface de ligne de commande de l’ordinateur dont vous recherchez l’adresse MAC, saisissez ipconfig /all (Windows) ou ifconfig (OS X ou Linux). 2. Recherchez l’entrée de l’« adresse physique » de l’ordinateur. 126 WatchGuard System Manager Définition et configuration réseau À propos des ponts LAN Un pont réseau établit la connexion entre plusieurs interfaces physiques réseau de votre périphérique WatchGuard. Un pont peut être utilisé de la même manière qu’une interface réseau physique normale. Par exemple, vous pouvez configurer le protocole DHCP pour attribuer des adresses IP aux clients d’un pont ; vous pouvez également l’utiliser en tant qu’alias dans les stratégies de pare-feu. Pour utiliser un pont, vous devez : 1. Créer une configuration de pont réseau. 2. Attribuer une interface réseau à un pont. Si vous souhaitez créer un pont pour tout le trafic entre deux interfaces, il est recommandé d’utiliser le mode pont pour votre configuration réseau. Créer une configuration de pont réseau Pour utiliser un pont, vous devez créer une configuration de pont et l’attribuer à une ou plusieurs interfaces réseau au pont. 1. Cliquez sur . Vous pouvez également sélectionner Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez l’onglet Pont. 3. Cliquez sur Ajouter. La boîte de dialogue Configuration du nouveau pont apparaît. User Guide 127 Définition et configuration réseau 4. Saisissez le nom ou l’alias du nouveau pont. Ce nom permet d’identifier le pont dans les configurations d’interface réseau. Vous pouvez également saisir une description pour plus d’informations. 5. Dans la liste Zone de sécurité, sélectionnez Approuvée ou Facultative. Le pont est ajouté à l’alias de la zone que vous indiquez. Par exemple, si vous choisissez la zone de sécurité facultative, le pont est ajouté à l’alias réseau AnyOptional (Tout-Facultatif). 6. Saisissez en notation de barre oblique l’adresse IP du pont à utiliser. Pour plus d’informations, voir À propos de la notation de barre oblique à la page iv. 7. Sélectionnez Désactiver DHCP, Utiliser le serveur DHCP ou Utiliser le relais DHCP pour définir la méthode de distribution des adresses IP du pont. Si nécessaire, configurez le serveur DHCP, le relais DHCP et les paramètres de serveur DNS/WINS. Pour plus d’informations sur la configuration DHCP, voir Configurer DHCP en mode de routage mixte à la page 104 et Configurer le relais DHCP à la page 118. 8. Sélectionnezl’ongletSecondairepour créer une ouplusieursadressesIPde réseausecondaire. Pour plusd’informationssur lesréseauxsecondaires,voir Configurer unréseausecondaireàlapage 120. 9. Cliquez sur OK. 128 WatchGuard System Manager Définition et configuration réseau Attribuer une interface réseau à un pont Pour utiliser un pont, vous devez créer une configuration de pont et l’attribuer à une ou plusieurs interfaces réseau. Vous pouvez créer la configuration de pont dans la boîte de dialogue Configuration du réseau ou lorsque vous configurez une interface réseau. 1. Cliquez sur . Vous pouvez également sélectionner Réseau > Configuration. La fenêtre Configuration du réseau apparaît. 2. Sélectionnez l’interface que vous souhaitez ajouter au pont, puis cliquez sur Configurer. La fenêtre Configuration d’interface - N° d’interface apparaît. User Guide 129 Définition et configuration réseau 3. Dans la liste déroulante Type d’interface, sélectionnez Pont. 4. Sélectionnez la case d’option située à côté de la configuration du pont réseau que vous avez créé ou cliquez sur Nouveau pont pour créer une configuration de pont. 5. Cliquez sur OK. 130 WatchGuard System Manager Définition et configuration réseau À propos des fichiers A L’itinéraire est la séquence des périphériques par lesquels passe le trafic réseau envoyé. Chaque périphérique de cette séquence, généralement appelé routeur, stocke les informations concernant les réseaux auxquels il est connecté dans une table de routage. Ces informations sont utilisées pour transmettre le trafic réseau vers le routeur suivant de l’itinéraire. Votre périphérique WatchGuard met à jour automatiquement sa table de routage lorsque vous modifiez les paramètres d’interface réseau, qu’une connexion réseau physique est défaillante ou lorsqu’il redémarre. Pour mettre à jour la table de routage ultérieurement, vous devez utiliser le routage dynamique ou ajouter un itinéraire statique. Les itinéraires statiques peuvent améliorer les performances, mais si la structure réseau fait l’objet d’une modification ou si une connexion est défaillante, le trafic réseau ne peut pas accéder à sa destination. Le routage dynamique garantit que votre trafic réseau peut atteindre sa destination, mais il est plus difficile à configurer. Ajouter un itinéraire statique Un itinéraire est la séquence des périphériques que le trafic réseau doit traverser de sa source jusqu’à sa destination. Un routeur est un périphérique de cet itinéraire qui détecte le point réseau suivant au travers duquel le trafic réseau est acheminé vers sa destination. Chaque routeur est connecté à deux réseaux au minimum. Un paquet peut traverser plusieurs points réseau avec des routeurs avant d’atteindre sa destination. Vous pouvez créer des itinéraires statiques pour envoyer du trafic vers des hôtes ou réseaux spécifiques. Le routeur peut ensuite envoyer le trafic à la destination appropriée en suivant l’itinéraire spécifié. Ajoutez un itinéraire réseau si un réseau se trouve derrière un routeur sur votre réseau local. Si vous n’ajoutez aucun itinéraire à un réseau distant, tout le trafic qui lui est destiné est envoyé à la passerelle par défaut de Firebox. Avant de commencer, vous devez bien saisir la différence entre un itinéraire réseau et un itinéraire hôte. Un itinéraire réseau est un itinéraire vers un réseau complet qui se trouve derrière un routeur, sur votre réseau local. Utilisez un itinéraire hôte si un hôte uniquement se trouve derrière le routeur ou si vous souhaitez acheminer le trafic vers un seul hôte. 1. Sélectionnez Réseau > Itinéraires. La boîte de dialogue Configurer les itinéraires s’affiche. 2. Cliquez sur Ajouter. La boîte de dialogue Ajouter un itinéraire s’ouvre. User Guide 131 Définition et configuration réseau 3. Dans la liste déroulante Choisir le type, sélectionnez IP du réseau si vous avez un réseau complet derrière un routeur sur votre réseau local. Sélectionnez IP de l’hôte si un seul hôte se trouve derrière le routeur ou si vous souhaitez acheminer le trafic par un seul hôte. 4. Dans le champ Envoyer à, saisissez l’adresse réseau ou l’adresse de l’hôte. Si vous entrez une adresse réseau, employez la notation de barre oblique. Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre oblique à la page iv. 5. Dans le champ Passerelle , saisissez l’adresse IP du routeur. Assurez-vous que cette adresse se trouve sur l’un des réseaux identiques de Firebox. 6. Saisissez une métrique pour l’itinéraire. Les itinéraires avec métriques faibles ont la priorité la plus élevée. 7. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un itinéraire. La boîte de dialogue Configurer les itinéraires indique l’itinéraire réseau configuré. 8. Cliquez sur OK pour fermer la boîte de dialogue Configurer les itinéraires. À propos des réseaux locaux virtuels (VLAN) Un réseau VLAN 802.1Q (réseau local virtuel) est un ensemble d’ordinateurs appartenant à un LAN ou à des LAN regroupés dans un seul domaine de diffusion, indépendamment de leur zone géographique. Il permet de regrouper des périphériques selon leurs caractéristiques de trafic et non pas par proximité physique. Les membres d’un VLAN peuvent partager des ressources comme s’ils étaient connectés au même LAN. Les VLAN servent également à diviser un commutateur en plusieurs segments. Supposons, par exemple, que votre entreprise a des employés à plein temps et des intérimaires qui utilisent le même LAN. Il est alors souhaitable de limiter les intérimaires à un sous-réseau de ressources utilisées par les employés à plein temps. Il est tout aussi préférable d’utiliser une stratégie de sécurité plus restrictive pour les intérimaires. Pour ce faire, il convient de diviser l’interface en deux VLAN. Les VLAN vous permettent de diviser votre réseau en groupes sous la forme d’une structure hiérarchique et logique et non pas physique. Cela permet de dégager le personnel informatique des restrictions associées au modèle de réseau et à l’infrastructure de câblage. Les VLAN facilitent la conception, la mise en œuvre et la gestion de votre réseau. Les VLAN étant basés sur des logiciels, vous pouvez facilement et rapidement adapter votre réseau aux ajouts, déplacements et réorganisations de matériel. Puisque les VLAN utilisent des ponts et des commutateurs, les diffusions sont plus efficaces dans la mesure où elles ne sont transmises qu’aux utilisateurs connectés au VLAN, et non à tous ceux qui sont connectés. Par conséquent, le trafic transmis sur vos routeurs s’en trouve réduit, ce qui implique une latence de routage moins importante. Vous pouvez configurer le périphérique Firebox pour qu’il agisse en tant que serveur DHCP pour les périphériques du réseau VLAN ou utiliser le relais DHCP avec un serveur DHCP distinct. Configuration logicielle requise pour les VLAN et restrictions associées n n 132 La mise en œuvre des VLAN WatchGuard ne prend pas en charge le protocole de gestion des liaisons Spanning Tree. Si votre périphérique Firebox est configuré en mode d’insertion, vous ne pouvez pas utiliser les VLAN. WatchGuard System Manager Définition et configuration réseau n n n n n Une seule interface physique peut être un membre VLAN non marqué d’un seul VLAN. Par exemple, si l’interface Externe-1 est un membre non marqué d’un VLAN appelé VLAN-1, elle ne peut pas être en même temps un membre non marqué d’un autre VLAN. Par ailleurs, les interfaces externes peuvent être membres d’un seul VLAN. Les paramètres de configuration multi-WAN sont appliqués au trafic VLAN. Toutefois, il peut être plus facile de gérer une bande passante lorsque vous n’utilisez que des interfaces physiques dans une configuration multi-WAN. Le modèle et la licence de votre périphérique déterminent le nombre de VLAN que vous pouvez créer. Pour afficher le nombre de VLAN que vous pouvez ajouter à votre périphérique WatchGuard, Ouvrir Policy Manager et sélectionnez Configuration > Clés de fonctionnalité. Recherchez la ligne intitulée Nombre total d’interfaces VLAN. Pour optimiser les performances, il est recommandé de ne pas créer plus de 10 VLAN qui fonctionnent sur des interfaces externes. Tous les segments du réseau auxquels vous souhaitez ajouter un VLAN doivent avoir des adresses IP appartenant au réseau VLAN. Note Si vous définissez des VLAN, ignorez les messages indiquant que la version 802.1d est inconnue. Ils sont générés car la mise en œuvre des VLAN WatchGuard ne prend pas en charge le protocole de gestion des liaisons Spanning Tree. À propos de marquage Pour activer des VLAN, vous devez déployer des commutateurs VLAN sur chaque site. Les interfaces des commutateurs insèrent des indicateurs au niveau de la couche 2 de la trame de données qui identifie un paquet réseau en tant que partie d’un VLAN spécifié. Ces indicateurs ajoutent quatre octets à l’en-tête Ethernet pour identifier la trame comme appartenant à un VLAN en particulier. Le balisage est spécifié par la norme IEEE 802.1Q. La définition d’un VLAN prévoit la disposition des trames de données marquées et non marquées. Vous devez indiquer si le VLAN reçoit des données marquées, non marquées ou pas de données depuis chacune des interfaces activées. Votre périphérique WatchGuard peut insérer des indicateurs pour les paquets envoyés à un commutateur prenant en charge les VLAN. Votre périphérique peut également supprimer des indicateurs dans les paquets envoyés à un segment de réseau qui appartient à un VLAN sans commutateur. Définir un nouveau 802.1Q Avant de définir un nouveau VLAN, vous devez comprendre les concepts des VLAN et les restrictions qui leur sont associées, en vous reportant si nécessaire à À propos des réseaux locaux virtuels (VLAN) à la page 132. Lorsque vous définissez un nouveau VLAN, vous ajoutez une entrée dans le tableau des paramètres VLAN. Vous pouvez modifier l’affichage de ce tableau : n n Cliquez sur un en-tête de colonne pour trier le tableau en fonction des valeurs de cette colonne. Le tableau peut être trié dans l’ordre ascendant ou descendant. User Guide 133 Définition et configuration réseau n n Les valeurs de la colonne Interface correspondent aux interfaces physiques membres du VLAN en question. Le numéro d’interface en gras identifie l’interface qui envoie des données non marquées à ce VLAN. Pour créer un réseau VLAN : 1. Sélectionnez la Configuration > réseau. La boîte de dialogue Configuration du réseau s’affiche. 2. Cliquez sur l’onglet VLAN. Vous voyez apparaître un tableau répertoriant les VLAN actuellement définis par les utilisateurs, ainsi que leurs paramètres. 3. Cliquez sur Ajouter. La boîte de dialogue Configuration d’un nouveau VLAN apparaît. 134 WatchGuard System Manager Définition et configuration réseau 4. 5. 6. 7. Dans le champ Nom (Alias), saisissez le nom du VLAN. (Facultatif) Dans le champ Description, saisissez la description du VLAN. Dans le champ ID de VLAN, saisissez ou sélectionnez la valeur du VLAN. Dans le champ Zone de sécurité, sélectionnez Approuvée, Facultative ou Externe. Les zones de sécurité correspondent aux alias des zones de sécurité des interfaces. Par exemple, les VLAN de type approuvé sont gérés par des stratégies qui utilisent l’alias Any-Trusted (ToutApprouvé) comme source ou destination. 8. Dans le champ Adresse IP, saisissez l’adresse de la passerelle VLAN. Utiliser DHCP sur un VLAN Vous pouvez configurer le périphérique Firebox en tant que serveur DHCP pour les ordinateurs de votre réseau VLAN. User Guide 135 Définition et configuration réseau 1. Sélectionnez la case d’option Utiliser le serveur DHCPpour configurer Firebox comme serveur DHCP sur votre réseau VLAN. Si nécessaire, saisissez le nom du domaine pour le fournir aux clients DHCP. 2. Pour ajouter un pool d’adresses IP, cliquez sur Ajouter et saisissez les première et dernière adresses IP attribuées pour la distribution. Cliquez sur OK. Vous pouvez configurer un maximum de six pools d’adresses. 3. Pour réserver une adresse IP spécifique pour un client, cliquez sur l’option Ajouter située à côté de la case Adresses réservées. Saisissez le nom de la réservation, l’adresse IP que vous souhaitez réserver et l’adresse MAC de la carte réseau du client. Cliquez sur OK. 4. Pour changer la durée du bail par défaut, cliquez sur les flèches Durée du bail. Il s’agit de l’intervalle de temps pendant lequel le client DHCP peut utiliser une adresse IP qu’il obtient du serveur DHCP. Lorsque la durée du bail est sur le point d’arriver à expiration, le client envoie une requête au serveur DHCP pour obtenir un nouveau bail. 5. Pour ajouter des serveurs DNS ou WINS à votre configuration DHCP, cliquez sur le bouton Serveurs DNS/WINS. 6. Si nécessaire, saisissez un nom de domaine pour les informations DNS. 7. Cliquez sur le bouton Ajouter situé à côté de chaque liste afin de créer une entrée pour chaque serveur que vous souhaitez ajouter. 8. Sélectionnez un serveur dans la liste et cliquez sur Modifier pour modifier les informations de ce serveur ou cliquez sur Supprimer pour supprimer le serveur sélectionné. Utiliser Relais DHCP sur un VLAN 1. Sélectionnez Utiliser le relais DHCP. 2. Saisissezl’adresse IPduserveur DHCP.Veillez,sinécessaire,àajouter unitinéraire jusqu’auserveur DHCP. Vous pouvez maintenant passer aux étapes suivantes et Attribuer des interfaces à un 802.1Q. Attribuer des interfaces à un 802.1Q Lorsque vous créez un VLAN, vous devez définir le type de données qu’il reçoit depuis les interfaces de Firebox. Toutefois, vous pouvez aussi configurer une interface de sorte qu’elle devienne membre d’un VLAN actuellement défini, ou encore supprimer une interface d’un VLAN. 1. Dans la boîte de dialogue Configuration du réseau, sélectionnez l’onglet Interfaces. 2. Sélectionnez une interface et cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’ouvre. 3. Dans la liste déroulante Type d’interface, sélectionnez VLAN. Une table répertoriant tous les VLAN en cours apparaît. Vous devrez peut-être augmenter la taille de cette boîte de dialogue pour afficher toutes les options. 136 WatchGuard System Manager Définition et configuration réseau 4. Cochez la case Envoyer et recevoir du trafic marqué pour les VLAN sélectionnés pour recevoir les données marquées sur cette interface réseau. 5. Cochez la case Membre pour chaque interface que vous souhaitez inclure dans ce VLAN. Pour supprimer une interface de ce VLAN, désélectionnez la case à cocher située à côté de l’option Membre. Une interface peut être membre d’un VLAN externe, ou encore de plusieurs VLAN approuvés ou facultatifs. 6. Pour configurer l’interface afin qu’elle reçoive des données marquées, cochez la case Envoyer et recevoir du trafic non marqué pour les VLAN sélectionnés au bas de la boîte de dialogue. 7. Sélectionnez une configuration VLAN dans la liste déroulante située en regard ou cliquez sur Nouveau VLAN pour créer une nouvelle configuration de VLAN. 8. Cliquez sur OK. Exemples de configuration réseau Utiliser Firebox X Edge avec le pont sans fil 3G Extend Le pont sans fil WatchGuard 3G Extend ajoute la connectivité cellulaire 3G au périphérique Firebox X Edge ou WatchGuard XTM 2 Series. Lorsque vous connectez l’interface externe de votre périphérique WatchGuard au pont sans fil WatchGuard 3G Extend, les ordinateurs de votre réseau peuvent se connecter sans fil à Internet par l’intermédiaire du réseau cellulaire 3G. Le pont 3G Extend est proposé en deux modèles basés sur la technologie Top Global et Cradlepoint, Utiliser le périphérique 3G Extend/Top Global MB5000K Suivez ces étapes pour utiliser le pont sans fil 3G Extend avec le périphérique Firebox X Edge ou XTM 2 Series. 1. Configurez l’interface externe sur votre périphérique WatchGuard pour obtenir son adresse avec PPPoE. Veillez à définir le nom d’utilisateur/mot de passe PPPoE sur public/public. Pour en savoir plus sur la configuration de votre interface externe pour PPPoE, voir Configurer une interface externe à la page 100. 2. Activer votre carte de données large bande. Voir les instructions fournies avec votre carte de données large bande pour plus d’informations. 3. Préparez votre pont sans fil 3G Extend : n n n Insérezla carte de donnéeslarge bande dans l’emplacementadéquat sur le pontsans fil3G Extend Branchez le pont sans fil 3G Extend Vérifiez que les voyants LED sont actifs 4. Utilisez un câble Ethernet pour connecter le pont sans fil 3G Extend sur l’interface externe de votre périphérique WatchGuard. User Guide 137 Définition et configuration réseau Il n’est pas nécessaire de changer les paramètres du périphérique 3G Extend avant de le connecter à votre périphérique WatchGuard. Il est parfois nécessaire de connecter l’interface de gestion Web du périphérique 3G Extend. Pour établir la connexion à l’interface Web 3G Extend, connectez votre ordinateur directement au MB5000K avec un câble Ethernet et vérifiez que l’ordinateur est configuré pour accéder à son adresse IP avec le protocole DHCP. Ouvrez votre navigateur Web et saisissez http://172.16.0.1 . Établir la connexion avec un nom d’utilisateur/mot de passe défini sur public/public. n n n Pour fonctionner correctement avec votre périphérique WatchGuard, le pont sans fil 3G Extend doit être configuré en mode de connexion automatique. Tous les périphériques 3G Extend/MB5000K sont préconfigurés pour s’exécuter par défaut dans ce mode. Pour vérifier si votre périphérique 3G Extend est configuré en mode de connexion automatique, connectez-le directement au périphérique et sélectionnez Interfaces > Accès Internet. Sélectionnez l’interface WAN#0. Dans la section Networking (Gestion de réseau), vérifiez dans la liste déroulante que le mode de connexion est défini sur Auto. Si votre carte sans fil 3G s’exécute sur le réseau cellulaire GPRS, il est peut-être nécessaire d’ajouter un nom d’ouverture de session réseau et un mot de passe à la configuration de notre périphérique 3G Extend. Pour ajouter un nom d’ouverture de session réseau et un mot de passe, connectez-vous au pont sans fil 3G Extend et sélectionnez Services > Manageable Bridge (Pont gérable). Pour réinitialiser le périphérique MB5000K sur ses paramètres usine par défaut, connectez-vous au pont sans fil 3G Extend et sélectionnez Système > Factory defaults (Paramètres usine par défaut). Cliquez sur Oui. Pour des raisons de sécurité, il est recommandé de changer le nom d’utilisateur/mot de passe PPPoE par défaut public/public une fois le réseau activé et en cours d’exécution. Vous devez changer le nom d’utilisateur et le mot de passe sur votre périphérique WatchGuard et sur votre pont sans fil 3G Extend. n n Pour changer le nom d’utilisateur et le mot de passe PPPoE sur votre périphérique WatchGuard, voir Configurer une interface externe à la page 100. Pour changer le nom d’utilisateur et le mot de passe PPPoE sur le périphérique 3G Extend, connectez-vous au périphérique et choisissez Services > Manageable Bridge (Pont gérable). Le périphérique 3G Extend prend en charge plus de 50 cartes modem et options de plans de fournisseurs de services Internet. Pour plus d’informations sur le produit Top Global, notamment le guide de l’utilisateur du MB5000, accédez au site http://www.topglobaluse.com/support_mb5000.htm. Utilisez le périphérique 3G Extend/Cradlepoint CBA250 Suivez ces étapes pour utiliser l’adaptateur large bande cellulaire 3G Extend Cradlepoint avec votre périphérique WatchGuard Firebox X. 1. Suivez les instructions du Guide de démarrage rapide de Cradlepoint CBA250 pour configurer le périphérique Cradlepoint. 2. Configurez l’interface externe sur votre périphérique WatchGuard pour obtenir son adresse avec DHCP. Pour en savoir plus sur la configuration de votre interface externe pour PPPoE, voir Configurer une interface externe à la page 100. 3. Utilisez un câble Ethernet pour connecter le périphérique Cradlepoint à l’interface externe du périphérique Firebox. 138 WatchGuard System Manager Définition et configuration réseau 4. Démarrez (ou redémarrez) le périphérique WatchGuard. Lorsque le périphérique Firebox démarre, il obtient l’adresse DHCP du périphérique Cradlepoint. Après l’attribution d’une adresse IP, le périphérique Firebox peut se connecter à Internet par l’intermédiaire du réseau large bande. Le périphérique Cradlepoint prend en charge un grand nombre de périphériques sans fil large bande USB ou ExpressCard. Pour obtenir la liste des périphériques pris en charge, voir http://www.cradlepoint.com/support./cba250. User Guide 139 Définition et configuration réseau User Guide 140 7 Multi-WAN À propos de l’utilisation de plusieurs interfaces externes Vous pouvez utiliser votre périphérique WatchGuard Firebox pour bénéficier de la prise en charge de la redondance pour l’interface externe. Il s’agit d’une option bien utile si vous devez être constamment connecté à Internet. Avec le mode multiWAN, vous pouvez configurer un maximum de quatre interfaces externes, chacune sur un sous-réseau différent. Il vous est ainsi possible de connecter Firebox à plus d’un seul Fournisseur de services Internet (FSI). Lorsque vous configurez une seconde interface, le mode multiWAN est automatiquement activé. Configurations logicielles et conditions requises pour le mode multiWAN Vous devez disposer d’une seconde connexion Internet et de plus d’une interface externe pour utiliser la plupart des options de configuration multiWAN. Les configurations logicielles et conditions requises pour le mode multiWAN comprennent : n n n Si l’une de vos stratégies est configurée avec un alias d’interface externe individuelle, vous devez modifier la configuration afin d’utiliser l’alias « Any-External » ou un autre alias que vous avez configuré pour les interfaces externes. À défaut, une partie du trafic pourrait être refusée par vos stratégies de pare-feu. Les paramètres multiWAN ne s’appliquent pas au trafic entrant. Lorsque vous configurez une stratégie pour le trafic entrant, vous pouvez ignorer l’ensemble des paramètres multiWAN. Afin de remplacer la configuration multiWAN de toute stratégie individuelle, activez le routage basé sur stratégie pour cette stratégie. Pour de plus amples informations sur le routage basé sur stratégie, cf. Configurer le routage basé sur stratégie à la page 363. User Guide 141 Multi-WAN n n n Mappez le nom de domaine entièrement qualifié de votre entreprise à la plus petite adresse de la plage des adresses IP d’interface externe. Si vous ajoutez un périphérique multiWAN WatchGuard à votre Management Server configuration, vous devez utilisez la plus petite adresse IP d’interface externe pour l’identifier lorsque vous ajoutez le périphérique. Pour utiliser le multiWAN, vous devez utiliser le routage mixte pour votre configuration du réseau. Cette fonctionnalité est inopérante pour les configurations d’insertion et de réseau de mode pont. Pour utiliser la méthode de dépassement de capacité d’interface, vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM. Vous devez également disposer d’une licence Fireware XTM Pro pour utiliser l’option tourniquet et configurer les différentes pondérations des interfaces externes du périphérique WatchGuard. Vous pouvez utiliser l’une des quatre configurations multiWAN pour gérer votre trafic réseau. Pour les détails de configuration et les procédures de configuration, reportez-vous à la rubrique relative à cette option. multiWAN et DNS Vérifiez que votre serveur DNS est accessible depuis n’importe quel WAN. Sinon, vous devez modifier vos stratégies DNS de la manière suivante : n n La liste De contient Firebox. La case à cocher Utiliser le routage basé sur stratégie est sélectionnée. Si un seul WAN peut accéder au serveur DNS, sélectionnez cette interface dans la liste déroulante adjacente. Si plus d’un WAN peut accéder au serveur DNS, sélectionnez l’un d’entre eux, sélectionnez Basculement, sélectionnez Configurer, puis sélectionnez toutes les interfaces pouvant accéder au serveur DNS. L’ordre importe peu. Note Vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM pour utiliser le routage basé sur stratégie. multiWAN et FireCluster Vous pouvez utiliser le basculement multiWAN avec la fonction FireCluster, mais ils sont configurés séparément. Un basculement multiWAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l’interface physique est inactive ou ne répond pas. Il est prioritaire sur le basculement multiWAN. À propos de Options multiWAN Lorsque vous configurez plusieurs interfaces externes, plusieurs options vous permettent de contrôler l’interface qu’un paquet sortant utilise. Vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM pour utiliser ces fonctionnalités. 142 WatchGuard System Manager Multi-WAN Classement du tourniquet Lorsque vous configurez le mode multiWAN avec l’option tourniquet, le périphérique WatchGuard inspecte sa table de routage interne pour vérifier les informations de routage statique ou dynamique relatives à chaque connexion. Si aucun itinéraire n’est trouvé, le périphérique WatchGuard répartit la charge de trafic entre ses interfaces externes. Le périphérique WatchGuard utilise la moyenne des paquets transmis et reçus pour équilibrer la charge de trafic entre toutes les interfaces externes que vous définissez pour la configuration tourniquet. Si vous utilisez la mise à niveau Pro de Fireware XTM, vous pouvez attribuer une pondération à chaque interface définie pour la configuration tourniquet. Par défaut et pour tous les utilisateurs Fireware XTM, chaque interface a une pondération de 1. La pondération se réfère à la proportion de charge envoyée par le périphérique WatchGuard par l’intermédiaire d’une interface. Si vous utilisez Fireware XTM Pro et que vous affectez une pondération de 2 à une interface, vous doublez la proportion de trafic qui passera par cette interface en comparaison avec une interface dont la pondération est de 1. Par exemple, si vous avez trois interfaces externes avec une bande passante de 6, 1,5 et 0,075 M chacune et souhaitez équilibrer la charge de trafic entre les trois, vous utiliseriez des pondérations de 8, 2 et 1. Fireware essaie de répartir les connexions de sorte que les 8/11e, 2/11e et 1/11e du trafic total soient acheminés vers chacune des trois interfaces. Pour plus d’informations, voir Configurer l’option tourniquet multiWAN à la page 145. Basculement Lorsque vous utilisez l’option de basculement pour acheminer le trafic via les interfaces externes de du périphérique WatchGuard, vous sélectionnez une seule interface externe qui sera l’interface externe principale. Les autres interfaces externes servent d’interfaces de sauvegardes et sont utilisées par le périphérique WatchGuard dans l’ordre que vous indiquez. Le périphérique WatchGuard analyse l’interface externe principale. Si elle devient inactive, le périphérique WatchGuard envoie l’ensemble du trafic à l’interface externe suivante définie dans sa configuration. Alors que le périphérique WatchGuard envoie le trafic vers l’interface de sauvegarde, il continue à analyser l’interface externe principale. Lorsque cette dernière redevient active, le périphérique WatchGuard recommence immédiatement à envoyer toutes les nouvelles connexions vers l’interface externe principale. C’est vous qui définissez ce que le périphérique WatchGuard doit faire des connexions existantes. Elles peuvent être restaurées immédiatement, ou continuer à utiliser l’interface de sauvegarde jusqu’à ce que la connexion soit terminée. Les basculements multiWAN et FireCluster sont configurés séparément. Un basculement multiWAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l’interface physique est inactive ou ne répond pas. Il est prioritaire sur le basculement multiWAN. Pour plus d’informations, voir Configurer l’option basculement multiWAN à la page 148. User Guide 143 Multi-WAN Dépassement de capacité d’interface Lorsque vous recourez à l’option de configuration multiWAN dépassement de capacité d’interface, vous devez définir l’ordre dans lequel le périphérique WatchGuard enverra le trafic via les interfaces externes et configurer chaque interface avec une valeur seuil de bande passante. Le périphérique WatchGuard commence à envoyer le trafic via la première interface externe définie dans sa liste de configuration de dépassement de capacité d’interface. Lorsque le trafic routé via cette interface atteint le seuil de bande passante que vous avez défini pour cette dernière, le périphérique WatchGuard commence à envoyer le trafic à l’interface externe suivante, définie dans la liste de configuration dépassement de capacité d’interface. Cette option de configuration multiWAN permet de limiter, à un certain seuil de bande passante, la quantité de trafic envoyé à chaque interface WAN. Pour déterminer la bande passante, le périphérique WatchGuard inspecte le nombre de paquets transmis et reçus et se base sur le plus grand nombre. Lorsque vous configurez le seuil de bande passante d’interface pour chaque interface, prenez en compte les besoins de votre réseau de chaque interface et définissez la valeur seuil, en fonction de ces besoins. Par exemple, si votre FSI est asymétrique et que vous définissez le seuil de bande passante en fonction d’un taux d’émission (TX) important, le dépassement de capacité d’interface ne sera pas déclenché par un taux de réception (RX) important. Si toutes les interfaces WAN ont atteint leur seuil de bande passante, le périphérique WatchGuard utilise l’algorithme de routage ECMP (Equal Cost MultiPath Protocol) pour rechercher le meilleur itinéraire. Note Vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM pour utiliser cette option de routage multiWAN. Pour plus d’informations,voir Configurer l’option Dépassementde capacitéd’interface multiWAN à lapage 150. Table de routage Lorsque vous sélectionnez l’option de table de routage dans la configuration du mode multiWAN, le périphérique WatchGuard se base sur les itinéraires de sa table de routage interne ou sur les itinéraires qu’il obtient des processus de routage dynamiques pour envoyer les paquets via l’interface externe appropriée. Afin de savoir si un itinéraire spécifique existe pour une destination de paquets, le périphérique WatchGuard examine sa table de routage en parcourant la liste des itinéraires de haut en bas. Vous pouvez voir la liste des itinéraires figurant dans la table de routage de Firebox en accédant à l’onglet État de Firebox System Manager. L’option de table de routage est l’option par défaut utilisée en mode multiWAN. Si le périphérique WatchGuard ne trouve pas un itinéraire spécifique, il sélectionne le meilleur itinéraire en fonction des valeurs de hachage IP de la source et de la destination du paquet, en appliquant l’algorithme ECMP (Equal Cost Multipath Protocol) spécifié dans le document : http://www.ietf.org/rfc/rfc2992.txt Avec le protocole ECMP, le périphérique WatchGuard utilise un algorithme afin de déterminer quel saut (itinéraire) suivant il utilisera pour envoyer chaque paquet. Cet algorithme ne tient pas compte de la charge de trafic actuelle. Pour plus d’informations, voir Quand utiliser les options multiWAN et le routage à la page 153. 144 WatchGuard System Manager Multi-WAN modem série (Firebox X Edge uniquement) Si votre organisation dispose d’un compte d’accès à distance avec un FSI, vous pouvez connecter un modem externe au port série de votre Edge et vous servir de cette connexion pour le basculement quand toutes les autres interfaces externes sont inactives. Pour plus d’informations, voir Basculement de modem série à la page 154. Configurer l’option tourniquet multiWAN Avant de commencer n n Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la page 100. Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page 141 et À propos de Options multiWAN à la page 142. Configurer les interfaces 1. Sélectionnez la Configuration > réseau. 2. Cliquez sur l’ongletmultiWAN. 3. Dans la liste déroulante Configuration multiWAN, sélectionnez Tourniquet. User Guide 145 Multi-WAN 4. Cliquez sur Configurer. 5. Dans la colonne Inclure , activez la case à cocher correspondant à chaque interface que vous souhaitez utiliser pour l’option tourniquet. Il est inutile d’inclure toutes les interfaces externes dans votre configuration tourniquet. 146 WatchGuard System Manager Multi-WAN Par exemple, vous pourriez vouloir utiliser une interface pour le routage basé sur stratégie que vous ne souhaitez pas inclure dans la configuration tourniquet. 6. Si vous utilisez la mise à niveau Pro de Fireware XTM et que vous voulez modifier les pondérations affectées à une ou à plusieurs interfaces, cliquez sur Configurer. 7. Cliquez sur le contrôle de valeur pour définir une pondération d’interface. Cette dernière détermine la charge (en pourcentage) du trafic acheminé par l’intermédiaire du périphérique WatchGuard que cette interface supportera. Note Vous ne pouvez modifier la valeur par défaut de 1 de la pondération que si vous utilisez la mise à niveau Pro de Fireware XTM. Sinon, une erreur s’affichera lorsque vous tenterez de fermer la boîte de dialogue de Configuration du réseau. 8. Cliquez sur OK. Pour des informations relatives à la modification de la pondération, cf. Découvrez comment affecter des pondérations aux interfaces à la page 148. 9. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que décrit dans À propos de État de l’interface WAN à la page 160. Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des Paramètres multiWAN avancés à la page 158. 10. Cliquez sur OK. User Guide 147 Multi-WAN Découvrez comment affecter des pondérations aux interfaces Si vous utilisez la mise à niveau Pro de Fireware XTM, vous pouvez affecter une pondération à chaque interface utilisée dans votre configuration tourniquet multiWAN . Par défaut, chaque interface présente une pondération de 1. La pondération se réfère à la proportion de charge envoyée par Firebox par l’intermédiaire d’une interface. Vous ne pouvez utiliser que des nombres entiers pour les pondérations d’interface ; les fractions ou les décimales ne sont pas autorisées. Pour un équilibrage de charge optimal, il se pourrait que vous deviez faire un calcul pour connaître la pondération en nombre entier à affecter à chaque interface. Utilisez un multiplicateur commun afin que la proportion relative de la bande passante donnée par chaque connexion externe soit résolue en nombres entiers. Par exemple, supposons que vous ayez trois connexions Internet. Un FSI vous fournit 6 Mbits/s, un autre 1,5 Mbits/s et un troisième 768 Kbits/s. Convertissez les proportions en nombres entiers : n n n n Convertissez d’abord les 768 Kbits/s en 0,75 Mbits/s environ afin d’utiliser la même unité de mesure pour les trois lignes. Vos trois lignes ont une pondération de 6, 1,5 et 0,75 Mbits/s. Multipliez chaque valeur par 100 pour supprimer les décimales. Proportionnellement, elles sont équivalentes : [6 : 1,5 : 0,75] a le même ratio que [600 : 150 : 75] Trouvez le plus grand diviseur commun pour ces trois nombres. Dans ce cas, 75 est le nombre le plus élevé qui divise de manière équitable les trois nombres 600, 150 et 75. Divisez chacun des nombres par le plus grand diviseur commun. Les résultats obtenus sont 8, 2 et 1. Vous pourriez utiliser ces nombres comme pondérations dans une configuration tourniquet multiWAN . Configurer l’option basculement multiWAN Avant de commencer n n Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la page 100. Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page 141 et À propos de Options multiWAN à la page 142. Configurer les interfaces 1. Sélectionnez la Configuration > réseau. 2. Cliquez sur l’onglet multiWAN . 3. Dans la liste déroulante de la rubrique Configuration multiWAN, sélectionnez Basculement. 148 WatchGuard System Manager Multi-WAN 4. Cliquez sur Configurez pour spécifier une interface externe principale et sélectionnez les interfaces externes de sauvegarde. Dans la colonne Inclure, activez la case à cocher correspondant à chaque interface que vous souhaitez utiliser dans la configuration du basculement. 5. Cliquez sur Déplacer vers le haut ou Déplacer vers le bas pour définir l’ordre de basculement. La première interface dans la liste est l’interface principale. 6. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que décrit dans À propos de État de l’interface WAN à la page 160. Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des Paramètres multiWAN avancés à la page 158. 7. Cliquez sur OK. User Guide 149 Multi-WAN Configurer l’option Dépassement de capacité d’interface multiWAN Avant de commencer n n Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la page 100. Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page 141 et À propos de Options multiWAN à la page 142. Configurer les interfaces 1. Sélectionnez la Configuration > réseau. 2. Cliquez sur l’ongletmultiWAN. 3. Dans la liste déroulante de la rubrique Configuration multiWAN, sélectionnez Dépassement de capacité d’interface. 150 WatchGuard System Manager Multi-WAN 4. Cliquez sur Configurer. 5. Dans la colonne Inclure , activez la case à cocher pour chaque interface que vous souhaitez inclure dans votre configuration. 6. Pour configurer le seuil de bande passante d’une interface externe, sélectionnez une interface dans la liste et cliquez sur Configurer. La boîte de dialogue de seuil de dépassement de capacité d’interface s’affiche. 7. Dans la liste déroulante, sélectionnez Mbits/s ou Kbits/s en tant qu’unité de mesure de votre paramètre de bande passante et entrez la valeur seuil de l’interface. Firebox calcule la bande passante en fonction de la plus grande valeur des paquets envoyés ou reçus. 8. Cliquez sur OK. 9. Pour terminer la configuration, vous devez ajouter les informations tel que décrit dans À propos de État de l’interface WAN à la page 160. Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des Paramètres multiWAN avancés à la page 158. Configurer l’option Option de table de routage Avant de commencer n n n Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la page 100. Vous devez déterminer si l’option de table de routage est l’option multiWAN qui répond le mieux à vos besoins. Pour plus d’informations, voir Quand utiliser les options multiWAN et le routage à la page 153 Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page 141 et À propos de Options multiWAN à la page 142. Option de table de routage et équilibrage de charge Gardez à l’esprit que l’option de table de routage n’équilibre pas la charge de trafic sur les connexions à Internet. Firebox lit sa table de routage interne de haut en bas. Les itinéraires statiques et dynamiques qui définissent une destination sont visibles en haut de la table de routage et prioritaires sur les itinéraires par User Guide 151 Multi-WAN défaut. (Un itinéraire par défaut a pour destination 0.0.0.0/0.) Si, dans la table de routage, il n’existe pas d’itinéraire dynamique ou statique particulier jusqu’à une destination, le trafic qui aurait dû être acheminé vers cette destination l’est entre les interfaces externes de Firebox à l’aide des algorithmes ECMP. Ceci peut engendrer une répartition à proportion égale des paquets entre les différentes interfaces externes. Configurer les interfaces 1. Sélectionnez la Configuration > réseau. La boîte de dialogue Configuration du réseau s’affiche. 2. Cliquez sur l’ongletmultiWAN. 3. Dans la liste déroulante de la rubrique Configuration multiWAN, sélectionnez Table de routage. Par défaut, les adresses IP de toutes les interfaces externes sont comprises dans la configuration. 4. Pour supprimer les interfaces externes de la configuration multiWAN, cliquez sur Configurer et désactivez la case à cocher située en regard de l’interface externe que vous souhaitez exclure de la configuration multiWAN. Vous pouvez laisser une seule interface externe dans la configuration. C’est utile si vous utilisez un routage basé sur stratégie pour un certain type de trafic et souhaitez conserver un seul WAN pour le trafic par défaut. 152 WatchGuard System Manager Multi-WAN 5. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que décrit dans À propos de État de l’interface WAN à la page 160. Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des Paramètres multiWAN avancés à la page 158. À propos de la table de routage de Firebox Lorsque vous sélectionnez l’option de configuration de table de routage, mieux vaut savoir comment consulter la table de routage de votre Firebox. À partir du gestionnaire WatchGuard System Manager : 1. Démarrer Firebox System Manager. 2. Sélectionnez l’onglet Rapport d’état. 3. Faites défiler le rapport jusqu’à ce que vous voyiez la table de routage IP des noyaux. Elle présente la table de routage interne de Firebox. Les informations du groupe ECMP apparaissent en dessous de la table de routage. Les itinéraires de la table de routage interne de Firebox sont les suivants : n n n Les itinéraires que Firebox obtient à partir des processus de routage dynamiques exécutés sur Firebox (protocoles RIP, OSPF et BGP) si vous activez le routage dynamique. Les itinéraires du réseau permanent ou les itinéraires d’hôte que vous ajoutez. Les itinéraires automatiquement créés par Firebox lors de la lecture des informations de configuration du réseau. Si Firebox détecte qu’une interface externe est inactive, il supprime tous les itinéraires statiques ou dynamiques qui la traversent. Cela est vrai si les hôtes définis dans l’onglet Contrôle des liaisons ne répondent plus et si la liaison Ethernet physique est inactive. Pour de plus amples informations sur l’état de l’interface et sur les mises à jour de la table de routage, cf. À propos de État de l’interface WAN à la page 160. Quand utiliser les options multiWAN et le routage Si vous utilisez le routage dynamique, vous pouvez utiliser la table de routage ou l’option de configuration tourniquet multiWAN. Les itinéraires qui utilisent une passerelle ou un réseau interne (facultatif ou approuvé) ne sont pas affectés par l’option multiWAN que vous sélectionnez. Quand utiliser l’option de Table de routage. L’option de table de routage est appropriée si : n n Vous activez le routage dynamique (protocoles RIP, OSPF ou BGP) et si les routeurs du réseau externe publient des itinéraires vers le périphérique WatchGuard pour que ce dernier puisse apprendre les meilleurs itinéraires vers des emplacements externes. Vous devez obtenir un accès à un site ou à un réseau externe via un itinéraire spécifique sur un réseau externe. Voici quelques exemples : User Guide 153 Multi-WAN n n Vous disposez d’un circuit privé utilisant un routeur à relais de trames sur le réseau externe. Vous souhaitez que tout le trafic à destination d’un emplacement externe traverse toujours une interface externe spécifique du périphérique WatchGuard. L’option de table de routage est le moyen le plus rapide d’équilibrer la charge entre plusieurs itinéraires jusqu’à Internet. Une fois cette option configurée, l’algorithme ECMP gère toutes les décisions de connexion. Aucune configuration supplémentaire n’est nécessaire sur le périphérique WatchGuard. Quand utiliser l’option tourniquet Le trafic d’équilibrage de charge à destination d’Internet à l’aide du protocole ECMP est basé sur les connexions, pas sur la bande passante. Les itinéraires configurés de manière statique ou appris grâce au routage dynamique sont utilisés avant l’algorithme ECMP. Si vous disposez de la mise à niveau Pro de Fireware XTM, l’option tourniquet pondérée vous propose des options permettant d’envoyer davantage de trafic sur une interface externe par rapport à une autre. Simultanément, l’algorithme de tourniquet répartit le trafic sur chaque interface en se basant sur la bande passante et non les connexions. Vous bénéficiez ainsi d’un contrôle accru sur la quantité d’octets de données envoyés par le biais de chaque FSI. Basculement de modem série (Cette rubrique ne concerne que Firebox X Edge et XTM série 2.) Vous pouvez configurer le Firebox X Edge ou XTM 2 Series pour envoyer du trafic par l’intermédiaire d’un modem série lorsque l’envoi de trafic par l’intermédiaire d’une interface externe est impossible. Vous devez disposer d’un compte d’accès à distance avec un FSI (Fournisseur de services Internet) et d’un modem externe connecté au port série (Edge) ou USB port (Série 2) pour utiliser cette option. Edge a été testé avec les modems suivants : n n n n n Modem série fax Hayes 56K V.90 Zoom FaxModem 56K modèle 2949 Modem externe U.S. Robotics 5686 Modem série Creative Modem Blaster V.92 Modem international Données/Fax MultiTech 56K La Série 2 a été testée avec les modems suivants : n n n n Zoom FaxModem 56K modèle 2949 Modem international Données/Fax MultiTech 56K Modem Fax/Données OMRON ME5614D2 Modem série fax Hayes 56K V.90 Pour un modem série, utilisez un adaptateur USB vers série pour connecter le modem au périphérique XTM Série 2. Activer le basculement de modem série 1. Sélectionnez Modem > réseau. La boîte de dialogue Configuration du modem s’affiche. 2. Activez la case à cocher Activer le modem pour le basculement lorsque toutes les interfaces externes sont désactivées. 154 WatchGuard System Manager Multi-WAN 3. Indiquez les paramètres de Compte, DNS, Accès à distanceet Contrôle des liaisonstel que décrit dans les rubriques suivantes. 4. Cliquez sur OK. 5. Sauvegarder votre configuration. Paramètres du compte 1. Sélectionnez l’onglet Compte. 2. Dans la zone de texte Téléphone, entrez le numéro de téléphone de votre fournisseur de services Internet (FSI). 3. Si vous disposez d’un autre numéro pour votre FSI, entrez ce numéro dans la zone de texte Numéro de téléphone alternatif. 4. Dans la zone de texte Nom de compte , entrez le nom du compte d’accès à distance. 5. Si vous vous connectez sur votre compte à l’aide d’un nom de domaine, entrez le nom de domaine dans la zone de texte Domaine de compte. Un exemple de nom de domaine est msn.com. 6. Dans la zone de texte Mot de passe du compte , entrez le mot de passe que vous utilisez pour vous connecter à votre compte d’accès à distance. 7. Si vous rencontrez des problèmes de connexion, activez la case à cocher Activer le modem et la trace de débogage PPP. Lorsque cette option est sélectionnée, Edge envoie des journaux détaillés pour la fonctionnalité de basculement vers un modem série dans le fichier journal des événements. Paramètres DNS Si votre FSI d’accès à distance ne donne pas d’informations sur le serveur DNS ou si vous devez utiliser un autre serveur DNS, vous pouvez entrer vous-même les adresses IP du serveur DNS qui sera utilisé en cas de basculement. User Guide 155 Multi-WAN 1. Sélectionnez l’onglet DNS. La page des paramètres DNS s’affiche. 2. Activez la case à cocher Configurer manuellement les adresses IP du serveur DNS. 3. Dans la zone de texte Serveur DNS principal , entrez l’adresse IP du serveur DNS principal. 4. Si vous disposez d’un serveur DNS secondaire, entrez l’adresse IP du serveur secondaire dans la zone de texte Serveur DNS secondaire . 5. Dans la zone de texte MTU , pour des raisons de compatibilité, vous pouvez définir une valeur différente pour l’Unité maximale de transmission (MTU). La plupart des utilisateurs peuvent conserver le paramètre par défaut. Paramètres d’accès à distance 1. Sélectionnez l’onglet Accès à distance. La page des options d’appel s’affiche. 2. Dans la zone de texte Délai d’attente de l’appel , entrez ou sélectionnez le nombre de secondes avant expiration du délai d’attente si votre modem ne parvient pas à se connecter. La valeur par défaut est de deux (2) minutes. 3. Dans la zone de texte Tentatives de rappel , entrez le nombre de fois que Firebox tente de rappeler le numéro si votre modem ne parvient pas à se connecter. Par défaut, on attendra (3) tentatives de connexion. 4. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez la durée en minutes avant l’expiration du délai si aucun trafic n’accède au modem. La valeur par défaut est aucun délai d’inactivité. 5. Depuis la liste déroulante Volume du haut-parleur , sélectionnez le volume du haut-parleur de votre modem. Paramètres avancés Pour certains FSI, il est nécessaire de spécifier une ou plusieurs options PPP afin d’activer la connexion. En Chine, par exemple, certains FSI requièrent l’utilisation de l’option PPP Tout recevoir. L’option Tout recevoir permet au protocole PPP d’accepter tous les caractères de contrôles en provenance du pair. 156 WatchGuard System Manager Multi-WAN 1. Sélectionnez l’onglet Avancé. 2. Dans la zone de texte options PPP , entrez les options PPP requises. Pour spécifier plus d’une option PPP, séparez chaque option par une virgule. Paramètres de contrôle des liaisons Vous pouvez définir les options pour tester une ou plusieurs interfaces externes pour une connexion active. Lorsqu’une interface externe est réactivée, Firebox n’envoie plus de trafic par le modem série et utilise la ou les interfaces externes à la place. Vous pouvez configurer le contrôleur des liaisons pour envoyer une requête ping à un site ou un périphérique sur l’interface externe, créez une connexion TCP en définissant un site et un numéro de port, ou les deux. Vous pouvez aussi définir l’intervalle temporel entre chaque test de connexion et configurer le nombre de fois qu’un test doit échouer ou réussir avant l’activation ou la désactivation d’une interface. Pour configurer les paramètres de contrôle des liaisons pour une interface : 1. Cliquez sur Contrôle des liaisons. La boîte de dialogue Configuration du contrôle des liaisons s’affiche. User Guide 157 Multi-WAN 2. Pour modifier les paramètres d’une interface externe, sélectionnez-la dans une liste d’interfaces externes. Vous devez configurer chaque interface séparément. Définissez la configuration de contrôle des liaisons pour chaque interface. 3. Pour envoyer une requête ping à un emplacement ou à un périphérique sur le réseau externe, activez la case à cocher Requête ping et entrez l’adresse IP ou le nom d’hôte dans la zone de texte adjacente. 4. Pour créer une connexion TCP sur un emplacement ou un périphérique sur le réseau externe, activez la case à cocher Protocole TCP et entrez l’adresse IP ou le nom d’hôte dans la zone de texte adjacente. Vous pouvez aussi entrer ou sélectionner un numéro de port. Le numéro de port par défaut est 80 (HTTP). 5. Pour demander des connexions réussies par envoi de requête ping et par protocole TCP avant que l’interface ne soit marquée comme active, activez la case à cocher Les requêtes ping et les connexions TCP doivent être réussies. 6. Pour modifier l’intervalle temporel entre les tentatives de connexion, entrez ou sélectionnez un numéro différent dans la zone de texte Intervalle d’exploration . Le paramètre par défaut est de 15 secondes. 7. Pour modifier le nombre d’échecs qui marquent une interface comme inactive, entrez ou sélectionnez un nombre différent dans la zone de texte Désactiver après. La valeur par défaut est trois (3) tentatives de connexions. 8. Pour modifier le nombre de connexions réussies qui marquent une interface comme active, entrez ou sélectionnez un nombre différent dans la zone de texteRéactiver après . La valeur par défaut est trois (3) tentatives de connexions. 9. Cliquez sur OK. À propos des Paramètres multiWAN avancés Dans votre configuration multiWAN, vous pouvez définir des préférences pour des connexions persistantes, la restauration et la notification d’événements multiWAN. Certaines options de configuration ne sont pas disponibles pour toutes les options de configuration multiWAN. Si un paramètre ne s’applique pas à l’option de configuration multiWAN que vous avez sélectionnée, les champs correspondants ne peuvent pas être définis. À propos de connexions persistantes Une connexion persistante est une connexion qui continue à utiliser la même interface WAN pendant un intervalle de temps défini. Vous pouvez définir des paramètres de connexion persistante si vous utilisez les options de tourniquet ou de dépassement de capacité d’interface pour le multiWAN. Les connexions persistantes permettent de s’assurer que si un paquet traverse une interface externe, tous les autres paquets suivants entre la paire d’adresses sources et de destination passeront par cette même interface externe, pendant un intervalle de temps défini. Par défaut, les connexions persistantes utilisent la même interface pendant 3 minutes. Si une définition de stratégie contient un paramètre de connexion persistante, ce dernier peut remplacer toute autre durée de connexion persistante globale. 158 WatchGuard System Manager Multi-WAN Définissez une durée de connexion persistante globale Utilisez l’onglet Avancé pour configurer une durée de connexion persistante dans le cadre de connexions TCP, UDP et d’autres connexions basées sur d’autres protocoles. Si vous définissez une durée de connexion persistante dans une stratégie, vous pouvez remplacer la durée de connexion persistante globale. Pour plus d’informations, voir Définir la durée de connexion persistante pour une stratégie à la page 367. Définissez l’action de restauration Vous pouvez définir l’action à entreprendre par votre périphérique WatchGuard lorsqu’un événement de basculement s’est produit et que l’interface externe principale est à nouveau active. Lorsque c’est le cas, toutes les nouvelles connexions sont immédiatement restaurées sur l’interface externe principale. Cependant, vous pouvez sélectionner la méthode que vous souhaitez appliquer aux connexions actives au moment de la restauration. Le paramètre de basculement s’applique aussi à toute configuration de routage basé sur stratégie que vous définissez pour utiliser les interfaces externes de basculement. User Guide 159 Multi-WAN 1. Dans la boîte de dialogue Configuration du réseau, sélectionnez l’onglet multiWAN. 2. Cliquez sur l’onglet Avancé. 3. Dans la liste déroulante de la rubrique Failback des connexions actives, sélectionnez une option : n n Restauration immédiate — Le périphérique WatchGuard arrête immédiatement toutes les connexions existantes. Restauration progressive — Le périphérique WatchGuard continue à utiliser l’interface de basculement pour les connexions existantes jusqu’à la fin de chaque connexion. 4. Cliquez sur OK. À propos de État de l’interface WAN Vous pouvez modifier la méthode et la fréquence à utiliser par Firebox pour contrôler l’état de chaque interface WAN. Si vous ne configurez pas de méthode, il envoie une requête ping à la passerelle par défaut de l’interface pour vérifier l’état de cette dernière. 160 WatchGuard System Manager Multi-WAN Temps nécessaire à Firebox pour mettre à jour sa table de routage Si l’un des hôtes de contrôle des liaisons ne répond pas, il faut compter entre 40 et 60 secondes pour que le périphérique Firebox mette à jour sa table de routage. Lorsque le même hôte de contrôle des liaisons recommence à répondre, il faut compter entre 1 et 60 secondes pour que Firebox mette à jour sa table de routage. Ce processus de mise à jour est bien plus rapide si Firebox détecte une déconnexion physique du port Ethernet. Lorsque cela se produit, le périphérique WatchGuard met immédiatement à jour sa table de routage. Lorsque Firebox détecte que la connexion Ethernet est de nouveau rétablie, il met à jour sa table de routage dans les 20 secondes qui suivent. Définir un hôte de contrôle des liaisons 1. Dans la boîte de dialogue Configuration du réseau, sélectionnez l’onglet multiWAN et cliquez sur l’ongletContrôle des liaisons. 2. Sélectionnez l’interface dans la colonne Interface externe. Les informations deparamètres sont modifiées de façon dynamique pour afficher les paramètres de cette interface. 3. Activez les cases à cocher de chaque méthode de contrôle des liaisons que vous souhaitez que Firebox utilise pour vérifier l’état de chaque interface externe : n n n Requête ping — Ajoutez une adresse IP ou un nom de domaine auquel Firebox enverra une requête ping pour vérifier l’état de l’interface. TCP — Ajoutez l’adresse IP ou le nom de domaine d’un ordinateur avec lequel Firebox peut négocier un transfert TCP pour vérifier l’état de l’interface WAN. Les requêtes ping et les connexions TCP doivent être réussies pour que l’interface soit définie comme active — L’interface est considérée comme inactive à moins qu’une requête ping et une connexion TCP ne soient exécutées avec succès. Si une interface externe fait partie d’une configuration FireCluster, un basculement multiWAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l’interface physique est inactive ou ne répond pas. Si vous ajoutez un nom de domaine auquel Firebox devra envoyer des requêtes ping et que l’une des interfaces externes a une adresse IP statique, vous devez configurer un serveur DNS, tel que décrit dans Ajouter Serveurs WINS et Adresses du serveur DNS à la page 119. User Guide 161 Multi-WAN 4. Entrez ou sélectionnez un Intervalle d’explorationen activant le paramètrepour configurer la fréquence à laquelle Firebox doit vérifier l’état de l’interface. Le paramètre par défaut est de 15 secondes. 5. Pour modifier le nombre d’échecs d’explorations successifs qui doivent se produire avant le basculement, entrez ou sélectionnez le paramètre Désactiver après. Le paramètre par défaut est trois (3). Après le nombre d’échecs sélectionnés, Firebox envoie le trafic à l’interface suivante définie dans la liste de basculement multiWAN. 6. Pour modifier le nombre de réussites d’exploration consécutives d’une interface avant qu’une interface inactive ne redevienne active, entrez ou sélectionnez le paramètreRéactiver après. 7. Répétez ces étapes pour chaque interface externe. 8. Cliquez sur OK. 9. Enregistrer le fichier de configuration. 162 WatchGuard System Manager 8 Traduction d’adresses réseau (NAT) À propos de Traduction d’adresses réseau (Network Address Translation) (NAT) La traduction d’adresses réseau ou NAT (Network Address Translation) représente l’une des différentes formes de traduction de ports et d’adresses IP. Dans sa forme la plus rudimentaire, NAT remplace la valeur de l’adresse IP d’un paquet par une autre valeur. Le principal objectif de NAT consiste à augmenter le nombre d’ordinateurs pouvant fonctionner à partir d’une seule adresse IP routable et à masquer les adresses IP privées des hôtes sur le réseau local. Lorsque vous utilisez NAT, l’adresse IP source est modifiée sur tous les paquets que vous envoyez. Vous pouvez appliquer NAT en tant que paramètre général de pare-feu ou en tant que paramètre dans une stratégie. Les paramètres NAT de pare-feu ne s’appliquent pas aux stratégies BOVPN. Si vous avec une mise à niveau de Fireware XTM vers la version professionnelle, vous pouvez utiliser la fonctionnalité Équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses réseau statique. La fonctionnalité d’équilibrage de charge côté serveur est conçue pour augmenter l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics protégés par votre périphérique WatchGuard. Grâce à l’équilibrage de charge côté serveur, vous pouvez faire en sorte que le périphérique WatchGuard contrôle le nombre de sessions établies vers un maximum de dix serveurs pour chaque stratégie de pare-feu que vous configurez. Le périphérique WatchGuard contrôle la charge en fonction du nombre de sessions en cours sur chaque serveur. Aucune mesure ou comparaison de la bande passante utilisée par chaque serveur n’est effectuée par le périphérique WatchGuard. Pour plus d’informations sur l’équilibrage de charge côté serveur, voir Configurer les équilibrage de charge côté serveur à la page 182. Types de NAT Le périphérique WatchGuard prend en charge trois types de traduction d’adresses réseau. Votre User Guide 163 Traduction d’adresses réseau (NAT) configuration peut utiliser plusieurs types de traduction d’adresses réseau simultanément. Vous appliquez certains types de NAT à l’ensemble du trafic de pare-feu, et les autres types en tant que paramètre d’une stratégie. NAT dynamique La traduction d’adresses réseau dynamique est également appelée « mascarade IP ». Le périphérique WatchGuard peut appliquer son adresse IP publique aux paquets sortants pour toutes les connexions ou pour des services spécifiés. Ceci permet de masquer au réseau externe l’adresse IP réelle de l’ordinateur qui est la source du paquet. La traduction d’adresses réseau dynamique sert généralement à masquer les adresses IP des hôtes internes lorsqu’ils accèdent aux services publics. Pour plus d’informations, voir À propos de la traduction dynamique traduction d'adresses réseau (NAT) à la page 164. Traduction d’adresses réseau statique La traduction d’adresses réseau statique est également désignée sous le terme de « transfert de port » ; vous la configurez en même temps que les stratégies. Il s’agit d’une traduction d’adresses réseau port à hôte. Un hôte envoie un paquet du réseau externe vers un port d’une interface externe. La traduction d’adresses réseau statique change l’adresse IP en une adresse IP et en un port se trouvant derrière le pare-feu. Pour plus d’informations, voir À propos de NAT statique à la page 180. 1-to-1 NAT 1-to-1 NAT fait correspondre les adresses IP d’un réseau aux adresses IP d’un autre réseau. Ce type de NAT est généralement utilisé pour fournir aux ordinateurs externes un accès à vos serveurs internes, publics. Pour plus d’informations, voir À propos de 1-to-1 NAT à la page 169. À propos de la traduction dynamique traduction d'adresses réseau (NAT) La traduction d’adresses réseau dynamique est le type de règle NAT le plus couramment utilisé. Elle consiste à remplacer l’adresse IP source d’une connexion sortante par l’adresse IP publique de Firebox. À l’extérieur de Firebox, vous ne voyez que l’adresse IP de l’interface externe de Firebox sur les paquets sortants. De nombreux ordinateurs peuvent se connecter à Internet à partir d’une adresse IP publique. La traduction d’adresses réseau dynamique offre davantage de sécurité aux hôtes internes qui utilisent Internet, car elle masque les adresses IP des hôtes sur le réseau. Avec la traduction d’adresses réseau dynamique, toutes les connexions doivent démarrer derrière Firebox. Lorsque Firebox est configuré pour la traduction d’adresses réseau dynamique, les hôtes malveillants ne peuvent pas initier de connexions aux ordinateurs derrière Firebox. 164 WatchGuard System Manager Traduction d’adresses réseau (NAT) Dans la plupart des réseaux, la stratégie de sécurité recommandée consiste à appliquer NAT à tous les paquets sortants. Avec Fireware, la traduction d’adresses réseau dynamique est activée par défaut dans la boîte de dialogue NAT > réseau. Elle est également activée par défaut dans chaque stratégie que vous créez. Vous pouvez remplacer le paramètre de pare-feu de la traduction d’adresses réseau dynamique dans chacune de vos stratégies, comme cela est indiqué dans la rubrique Appliquer les règles NAT à la page 366. Ajouter des entrées NAT dynamiques de pare-feu La configuration par défaut de la traduction d’adresses réseau dynamique active cette dernière à partir de toutes les adresses IP privées vers le réseau externe. Les entrées par défaut sont les suivantes : n n n 192.168.0.0/16 – Any-External (Tout-Externe) 172.16.0.0/12 – Any-External (Tout-Externe) 10.0.0.0/8 – Any-External (Tout-Externe) Ces trois adresses réseau qui correspondent aux réseaux privés réservés par le groupe de travail IETF (Internet Engineering Task Force) sont généralement utilisées pour les adresses IP sur les réseaux locaux. Pour activer la traduction d’adresses réseau dynamique pour des adresses IP privées autres que celles-ci, vous devez leur ajouter une entrée. Le périphérique WatchGuard applique les règles de traduction d’adresses réseau dynamique dans l’ordre dans lequel elles apparaissent dans la liste Entrées de traduction d’adresses réseau dynamique. Nous vous recommandons de placer les règles dans un ordre correspondant au volume de trafic auquel ces règles s’appliquent. 1. Sélectionnez Réseau > NAT. La boîte de dialogue Configuration de NAT apparaît. 2. Dans l’onglet Traduction d’adresses réseau dynamique, cliquez sur Ajouter. La boîte de dialogue Ajouter la traduction d’adresses réseau dynamique s’affiche. User Guide 165 Traduction d’adresses réseau (NAT) 3. Dans la liste déroulante De, sélectionnez la source des paquets sortants. Par exemple, utilisez l’alias de l’hôte approuvé pour activer NAT à partir de l’ensemble du réseau approuvé. Pour plus d’informations sur les alias intégrés du périphérique WatchGuard, voir À propos des alias à la page 81. 4. Dans la liste déroulante À, sélectionnez la destination des paquets sortants. 5. Pour ajouter un hôte ou une adresse IP réseau, cliquez sur . La boîte de dialogue Ajouter une adresse s’affiche. 6. Dans la liste déroulante Choisir le type, sélectionnez le type d’adresse. 7. Dans la zone de texte Valeur , saisissez l’adresse IP ou la plage d’adresses. Vous devez saisir une adresse réseau en notation de barre oblique. N’oubliez pas d’entrer tous les numéros et les points. N’utilisez pas les touches TAB ni les touches de direction. 8. Cliquez sur OK. La nouvelle entrée s’affiche dans la liste Entrées de traduction d’adresses réseau dynamique. Supprimer une entrée de traduction d’adresses réseau dynamique Vous ne pouvez pas modifier une entrée de traduction d’adresses réseau dynamique existante. Si vous souhaitez modifier une entrée existante, vous devez supprimer l’entrée et en ajouter une nouvelle. Pour supprimer une entrée de traduction d’adresses réseau dynamique : 1. Sélectionnez l’entrée à supprimer. 166 WatchGuard System Manager Traduction d’adresses réseau (NAT) 2. Cliquez sur Supprimer. Un message d’avertissement s’affiche. 3. Cliquez sur Oui. Réorganiser les entrées de traduction d’adresses réseau dynamique Pour changer la séquence des entrées de traduction d’adresses réseau dynamique : 1. Sélectionnez l’entrée à modifier. 2. Cliquez sur Haut ou Bas pour déplacer l’élément dans la liste. Configurer une traduction d’adresses dynamique à base de stratégie Traduction d'adresses réseau (NAT) Dans la traduction d’adresses réseau dynamique à base de stratégie, Firebox fait correspondre des adresses IP privées avec des adresses IP publiques. L’activation de la traduction d’adresses réseau dynamique s’effectue dans la configuration par défaut de chaque stratégie. L’activation de la traduction d’adresses réseau dynamique s’effectue dans la configuration par défaut de chaque stratégie. Afin que la traduction d’adresses réseau dynamique pour une stratégie fonctionne correctement, utilisez l’onglet Stratégie de la boîte de dialogue Modifier les propriétés de stratégie pour vous assurer que la stratégie est configurée de sorte à n’autoriser le trafic sortant que par une seule interface Firebox. Les règles 1-to-1 NAT sont prioritaires sur les règles de NAT dynamique. 1. Cliquez avec le bouton droit sur une stratégie et sélectionnez Modifier la stratégie. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 2. Cliquez sur l’onglet Avancé. User Guide 167 Traduction d’adresses réseau (NAT) 3. Si vous souhaitez utiliser les règles de traduction d’adresses réseau dynamique définies pour le périphérique WatchGuard, sélectionnez Utiliser les paramètres NAT du réseau. Si vous souhaitez appliquer la traduction d’adresses à tout le trafic de cette stratégie, sélectionnez Tout le trafic dans cette stratégie. 4. Si vous avez sélectionné Tout le trafic dans cette stratégie, vous pouvez définir une adresse IP source dynamique NAT pour la stratégie qui utilise la traduction d’adresses réseau dynamique. Cochez la case Définir l’adresse IP source. Lorsque vous sélectionnez une adresse IP source, le trafic qui utilise cette stratégie indique une adresse spécifiée provenant de votre plage d’adresses IP publiques ou externes comme étant la source. Ce système est généralement utilisé pour forcer le trafic SMTP sortant et indiquer l’adresse de l’enregistrement MX de votre domaine lorsque l’adresse IP de l’interface externe du périphérique Firebox est différente de celle de l’enregistrement MX. Cette adresse source doit être sur le même sous-réseau que l’interface que vous avez indiquée pour le trafic sortant. Il est recommandé de ne pas utiliser l’option Définir l’adresse IP source si vous avez plusieurs interfaces externes configurées sur votre périphérique WatchGuard. 168 WatchGuard System Manager Traduction d’adresses réseau (NAT) Si vous ne cochez pas la case Définir l’adresse IP source, le périphérique WatchGuard change l’adresse IP source de chaque paquet et utilise l’adresse IP de l’interface d’origine du paquet. 5. Cliquez sur OK. 6. Enregistrer le fichier de configuration. Désactiver la traduction d’adresses réseau dynamique pour la stratégie L’activation de la traduction d’adresses réseau dynamique s’effectue dans la configuration par défaut de chaque stratégie. Pour désactiver la traduction d’adresses réseau dynamique pour une stratégie : 1. Cliquez avec le bouton droit sur une stratégie et sélectionnez Modifier la stratégie. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 2. Cliquez sur l’onglet Avancé. 3. Pour désactiver la règle NAT pour le trafic contrôlé par cette stratégie, désélectionnez la case à cocher Traduction d’adresses réseau dynamique. 4. Cliquez sur OK. 5. Enregistrer le fichier de configuration. À propos de 1-to-1 NAT Lorsque vous activez 1-to-1 NAT, votre périphérique WatchGuard modifie et achemine tous les paquets entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses. Une règle 1-to1 NAT est toujours prioritaire sur une règle de traduction d’adresses réseau dynamique. La règle 1-to-1 NAT est fréquemment utilisée en présence d’un groupe de serveurs internes dont les adresses IP privées doivent être rendues publiques. Vous pouvez utiliser 1-to-1 NAT pour faire correspondre des adresses IP publiques aux serveurs internes. Il est inutile de modifier l’adresse IP de vos serveurs internes. Dans un groupe de serveurs identiques (par exemple, un groupe de serveurs de messagerie), il est plus simple de configurer 1-to-1 NAT que la traduction d’adresses réseau statique. Voici un exemple de configuration de 1-to-1 NAT : La Société ABC possède un groupe de cinq serveurs de messagerie comportant des adresses privées situé derrière l’interface approuvée de son périphérique WatchGuard. Ces adresses sont les suivantes : 10.1.1.1 10.1.1.2 10.1.1.3 10.1.1.4 10.1.1.5 La Société ABC sélectionne cinq adresses IP publiques à partir de la même adresse réseau que l’interface externe de son périphérique WatchGuard, puis crée des enregistrements DNS pour la résolution des adresses IP des serveurs de messagerie du domaine. Ces adresses sont les suivantes : 50.1.1.1 50.1.1.2 User Guide 169 Traduction d’adresses réseau (NAT) 50.1.1.3 50.1.1.4 50.1.1.5 La Société ABC configure une règle 1-to-1 NAT pour ses serveurs de messagerie. La règle 1-to-1 NAT génère une relation statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a l’aspect suivant : 10.1.1.1 <--> 50.1.1.1 10.1.1.2 <--> 50.1.1.2 10.1.1.3 <--> 50.1.1.3 10.1.1.4 <--> 50.1.1.4 10.1.1.5 <--> 50.1.1.5 Une fois la règle 1-to-1 NAT appliquée, votre périphérique WatchGuard crée le routage bidirectionnel et la relation NAT entre le pool d’adresses IP privées et le pool d’adresses publiques. Le 1-to-1 NAT fonctionne également sur le trafic envoyé depuis les réseaux que protège votre périphérique WatchGuard. À propos de 1-to-1 NAT et des tunnels VPN En effet, lorsque vous créez un tunnel VPN, les réseaux à chaque extrémité du tunnel doivent avoir différentes plages d’adresses réseau. Vous pouvez utiliser la règle 1-to-1 NAT lors de la création d’un tunnel VPN entre deux réseaux qui utilisent une même adresse réseau privée. Si la plage d’adresses réseau sur le réseau distant est la même que sur le réseau local, vous pouvez configurer les deux passerelles pour qu’elles utilisent la règle 1-to-1 NAT. Vous configurez une règle 1-to-1 NAT pour un tunnel VPN lorsque vous configurez le tunnel VPN et pas dans la boîte de dialogue NAT > réseau boîte de dialogue. 1. Sélectionnez une plage d’adresses IP que vos ordinateurs indiquent comme étant les adresses IP source lorsque le trafic provient de votre réseau et passe sur le réseau distant par l’intermédiaire du tunnel BOVPN. Demandez à l’administrateur réseau qu’il vous indique l’autre réseau pour sélectionner une plage d’adresses IP qui ne sont pas utilisées. N’utilisez pas les adresses IP des réseaux suivants : n n n n n n Le réseau approuvé, facultatif ou externe connecté à votre périphérique WatchGuard Un réseau secondaire connecté à une interface approuvée, facultative ou externe de votre périphérique WatchGuard Un réseau routé, configuré dans Policy Manager (Itinéraires >réseau) Réseaux auxquels vous êtes déjà reliés par un tunnel BOVPN Pools d’adresses IP virtuelles pour Mobile VPN Réseaux que le périphérique IPSec distant peut atteindre via ses interfaces, itinéraires réseaux ou itinéraires VPN 2. Configurer les passerelles pour les périphériques WatchGuard locaux et distants. 3. Créer des tunnels entre des points de terminaison de passerelle. 170 WatchGuard System Manager Traduction d’adresses réseau (NAT) Dans la boîte de dialogue Paramètres d’itinéraire de tunnel de chaque périphérique WatchGuard, cochez la case NAT 1:1 et saisissez la plage d’adresses IP (usurpation d’adresses IP) pour ce périphérique WatchGuard dans la zone de texte située à côté. Le nombre d’adresses IP notées dans cette zone doit être rigoureusement identique au nombre de d’adresses IP de la zone de texte Local, en haut de la boîte de dialogue. Par exemple, si vous utilisez la notation de barre oblique pour indiquer un sous-réseau, la valeur après la barre oblique doit être identique dans les deux zones de texte. Pour plus d’informations, voir À propos de la notation de barre oblique à la page iv. Pour plus d’informations et pour accéder à un exemple, voir Utiliser 1-to-1 NAT via un tunnel BOVPN à la page 869. Configurer 1-to-1 NAT pour le pare-feu 1. Sélectionnez Réseau > NAT. La boîte de dialogue Configuration de NAT apparaît. 2. Cliquez sur l’onglet 1-to-1 NAT. 3. Cliquez sur Ajouter. La boîte de dialogue Ajouter mappage un à un apparaît. 4. Dans la liste déroulante Type de mappage, sélectionnez IP unique (pour mapper un hôte), Plage IP (pour mapper une plage d’hôtes) ou Sous-réseau IP (pour mapper un sous-réseau). Si vous sélectionnez Plage IP ou Sous-réseau IP, spécifiez un maximum de 256 adresses IP dans la plage ou le sous-réseau. Si vous possédez plus de 256 adresses IP auxquelles vous souhaitez appliquer la règle 1-to-1 NAT, il vous faudra créer plusieurs règles. 5. Remplissez tous les champs de la section Configuration de la boîte de dialogue. Pour plus d’informations sur l’utilisation de ces champs, voir la section suivante Définir une règle NAT un à un. 6. Cliquez sur OK. User Guide 171 Traduction d’adresses réseau (NAT) Après avoir configuré une règle globale 1-to-1 NAT, vous devez ajouter les adresses IP NAT aux stratégies appropriées.. n n Si votre stratégie gère le trafic sortant, ajoutez les adresses IP de base réelles à la section De de la configuration de stratégie. Si votre stratégie gère le trafic entrant, ajoutez les adresses IP de base NAT à la section À de la configuration de stratégie. Dans l’exemple précédent, dans lequel nous avons utilisé une règle 1-to-1 NAT pour donner l’accès à un groupe de serveurs de messagerie décrit dans À propos de 1-to-1 NAT à la page 169, nous devons configurer la stratégie SMTP pour permettre le trafic SMTP. Pour terminer cette configuration, vous devez modifier les paramètres stratégie pour autoriser le trafic depuis le réseau externe vers la plage d’adresses IP 10.1.1.1-10.1.1.5. 1. 2. 3. 4. 5. Créez une stratégie ou modifiez une stratégie existante. À côté de la liste De , cliquez sur Ajouter. Sélectionnez l’alias Any-External (Tout-Externe) et cliquez sur OK. À côté de la liste À, cliquez sur Ajouter. Cliquez sur Ajouter autre. Pour ajouter une adresse IP à la fois, sélectionnez IP de l’hôte dans la liste déroulante et saisissez l’adresse IP dans la zone de texte située à côté, puis cliquez sur OK deux fois. 6. Répétez les étapes 3-4 pour chaque adresse IP de la plage d’adresses NAT. Pour ajouter plusieurs adresses IP à la fois, sélectionnez Plage d’hôtes dans la liste déroulante. Saisissez les première et dernière adresses IP de la plage de base NAT et cliquez sur OK deux fois. Note Pour vous connecter à un ordinateur situé sur une autre interface qui fait appel à la règle 1-to-1 NAT, vous devez utiliser l’adresse IP (base NAT) privée de cet ordinateur. Si cela pose un problème, vous pouvez désactiver la règle 1-to-1 NAT pour utiliser la traduction d’adresses réseau statique. Définir un Règle 1-to-1 NAT Dans chaque règle 1-to-1 NAT, vous pouvez configurer un hôte, une plage d’hôtes ou un sous-réseau. Vous devez également configurer : Interface Nom de l’interface Ethernet sur laquelle la règle 1-to-1 NAT est appliquée. Votre périphérique WatchGuard appliquera la règle 1-to-1 NAT aux paquets envoyés à l’interface et depuis cette dernière. Dans notre exemple ci-dessus, la règle est appliquée à l’interface externe. Base NAT Lorsque vous configurez une règle 1-to-1 NAT, vous utilisez plage d’adresses IP De et À. La base NAT est la première adresse IP disponible de la À. L’adresse IP de base NAT est l’adresse qui devient une adresse IP de base réelle soumise à la règle 1-to-1 NAT. Vous ne pouvez pas utiliser l’adresse IP d’une interface Ethernet existante en tant que base NAT. Dans notre exemple ci-dessus, la base NAT est 50.50.50.1. 172 WatchGuard System Manager Traduction d’adresses réseau (NAT) Base réelle Lorsque vous configurez une règle 1-to-1 NAT, vous utilisez plage d’adresses IP De et À. La base réelle est la première adresse IP disponible de la plage d’adresses De. Il s’agit de l’adresse IP attribuée à l’interface Ethernet physique de l’ordinateur auquel vous appliquez la stratégie 1-to-1 NAT. Lorsque les paquets provenant d’un ordinateur associé à une adresse de base réelle transitent par l’interface spécifiée, l’action un à un s’applique. Dans l’exemple ci-dessus, la base réelle est 10.0.1.50. Nombre d’hôtes soumis à la règle NAT (pour plages IP uniquement) Nombre d’adresses IP d’une plage auquel s’applique la règle 1-to-1 NAT. La première adresse IP de base réelle est traduite en première adresse IP de base NAT lors de l’application de la règle 1-to-1 NAT. La deuxième adresse IP de base réelle de la plage est traduite en deuxième adresse IP de base NAT lors de l’application de la règle 1-to-1 NAT. Cette opération se répète jusqu’à ce que le nombre d’hôtes soumis à la règle NAT soit atteint. Dans l’exemple ci-dessus, le nombre d'hôtes à soumettre à la règle NAT est 5. Vous pouvez également utiliser la règle 1-to-1 NAT lors de la création d’un tunnel VPN entre deux réseaux qui utilisent une même adresse réseau privée. En effet, lorsque vous créez un tunnel VPN, les réseaux à chaque extrémité du tunnel doivent avoir différentes plages d’adresses réseau. Si la plage d’adresses réseau sur le réseau distant est la même que sur le réseau local, vous pouvez configurer les deux passerelles pour qu’elles utilisent la règle 1-to-1 NAT. Ensuite, vous pouvez créer le tunnel VPN sans modifier les adresses IP à une extrémité du tunnel. Vous configurez une règle 1-to-1 NAT pour un tunnel VPN lorsque vous configurez le tunnel VPN et pas dans la boîte de dialogue NAT >réseau. Pour accéder à un exemple d’utilisation d’une règle 1-to-1 NAT, voir Exemple de règle 1-to-1 NAT. Configurer 1-to-1 NAT pour une stratégie Dans la règle 1-to-1 NAT basée sur une stratégie, votre périphérique WatchGuard utilise les plages IP publiques et privées que vous avez définies lorsque vous avez configuré la règle 1-to-1 NAT globale, mais les règles s’appliquent à une stratégie individuelle. L’activation de la règle 1-to-1 NAT s’effectue dans la configuration par défaut de chaque stratégie. Si le trafic correspond à la fois à une stratégie 1-to-1 NAT et à une stratégie de traduction d’adresses réseau dynamique, c’est la stratégie 1-to-1 NAT qui est prioritaire. Activer 1-to-1 NAT pour une stratégie L’activation de la règle 1-to-1 NAT pour une stratégie étant la valeur par défaut, il est inutile de l’activer. Si vous avez désactivé la règle 1-to-1 NAT basée sur une stratégie, cochez la case dans Étape 3 de la procédure suivante pour la réactiver. Désactiver la règle 1-to-1 NAT pour une stratégie 1. Cliquez avec le bouton droit sur une stratégie et sélectionnez Modifier la stratégie. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 2. Cliquez sur l’onglet Avancé. User Guide 173 Traduction d’adresses réseau (NAT) 3. Désélectionnez la case 1-to-1 NAT pour désactiver la règle NAT pour le trafic contrôlé par cette stratégie. 4. Cliquez sur OK. Enregistrer le fichier de configuration. Configurer le bouclage NAT avec la traduction d’adresses réseau statique Fireware XTM prend en charge le bouclage NAT. Le bouclage NAT permet à un utilisateur des réseaux approuvé ou facultatif d’accéder à un serveur public qui se trouve sur la même interface physique Firebox par son adresse IP publique ou son nom de domaine. Pour les connexions de bouclage NAT, Firebox change l’adresse IP source et utilise l’adresse IP de l’interface interne Firebox (l’adresse IP principale de l’interface dans laquelle le client et le serveur se connectent à Firebox). Voici un exemple de configuration de bouclage NAT avec la règle NAT statique : 174 WatchGuard System Manager Traduction d’adresses réseau (NAT) L’entreprise ABC dispose d’un serveur HTTP sur une interface Firebox approuvée. L’entreprise une règle NAT statique pour faire correspondre l’adresse IP publique au serveur interne. L’entreprise souhaite autoriser les utilisateurs du réseau approuvé à utiliser l’adresse IP publique ou le nom de domaine pour accéder à ce serveur public. Pour cet exemple, nous partons des postulats suivants : n n n L’interface approuvée est configurée avec une adresse IP sur le réseau 10.0.1.0/24 L’interface approuvée est également configurée avec une adresse IP secondaire sur le réseau 192.168.2.0/24 Le serveur HTTP est connecté physiquement au réseau 10.0.1.0/24. L’adresse de base réelle du serveur HTTP se trouve sur le réseau approuvé. Ajouter une stratégie pour le bouclage NAT sur le serveur Dans cet exemple, pour autoriser les utilisateurs de vos réseaux approuvé et facultatif à utiliser l’adresse IP publique ou le nom de domaine pour accéder à un serveur public se trouvant sur le réseau approuvé, vous devez ajouter une stratégie HTTP qui pourrait avoir cette apparence : User Guide 175 Traduction d’adresses réseau (NAT) La section À de la stratégie contient un itinéraire NAT statique depuis l’adresse IP publique du serveur HTTP jusqu’à l’adresse IP réelle de ce serveur. Pour plus d’informations sur la traduction d’adresses réseau statique, voir À propos de NAT statique à la page 180. Si vous utilisez 1-to-1 NAT pour acheminer le trafic vers les serveurs à l’intérieur de votre réseau, voir Bouclage NAT et 1-to-1 NAT à la page 176. Bouclage NAT et 1-to-1 NAT Le bouclage NAT permet à un utilisateur des réseaux approuvé ou facultatif de se connecter à un serveur public avec son adresse IP publique ou son nom de domaine si le serveur se trouve sur la même interface Firebox physique. Si vous utilisez la règle 1-to-1 NAT pour acheminer le trafic jusqu’aux serveurs sur le réseau interne, utilisez ces instructions pour configure le bouclage NAT des utilisateurs internes jusqu’à ces serveurs. Si vous n’utilisez pas la règle 1-to-1 NAT, voir Configurer le bouclage NAT avec la traduction d’adresses réseau statique à la page 174. Voici un exemple de configuration de bouclage NAT avec la règle 1-to-1 NAT : L’entreprise ABC dispose d’un serveur HTTP sur une interface Firebox approuvée. Elle utilise une règle 1-to1 NAT pour faire correspondre l’adresse IP publique au serveur interne. L’entreprise souhaite autoriser les utilisateurs de l’interface approuvée à utiliser l’adresse IP publique ou le nom de domaine pour accéder à ce serveur public. Pour cet exemple, nous partons des postulats suivants : n Un serveur dont l’adresse IP publique est 100.100.100.5 est mis en correspondance par une règle 1-to-1 NAT à un hôte du réseau interne. Dans l’onglet 1-to-1 NAT de la boîte de dialogue Configuration NAT, sélectionnez ces options : Interface — Externe, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5 n 176 L’interface approuvée est configurée avec un réseau principal, 10.0.1.0/24 WatchGuard System Manager Traduction d’adresses réseau (NAT) n n Le serveur HTTP est connecté physiquement au réseau sur l’interface approuvée. L’adresse Base réelle de cet hôte se trouve sur l’interface approuvée. L’interface approuvée est également configurée avec un réseau secondaire, 192.168.2.0/24. Dans cet exemple, afin d’activer le bouclage NAT pour tous les utilisateurs connectés à l’interface approuvée, vous devez : 1. Vérifier qu’il existe une entrée 1-to-1 NAT pour chaque interface utilisée par le trafic lorsque les ordinateurs internes accèdent à l’adresse IP publique 100.100.100.5 avec connexion de bouclage NAT. Vous devez ajouter un autre mappage NAT un à un pour l’appliquer au trafic qui part de l’interface approuvée. Le nouveau mappage un à un est identique au précédent, à l’exception du fait que l’option Interface est définie sur Approuvée au lieu d’Externe. Après l’ajout de la deuxième entrée 1-to-1 NAT, l’onglet 1-to-1 NAT de boîte de dialogue Configuration NAT indique deux mappages 1-to-1 NAT : un pour l’interface externe et l’autre pour l’interface approuvée. Dans l’onglet 1-to-1 NAT de la boîte de dialogue Configuration NAT, ajoutez ces deux entrées : Interface — Externe, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5 Interface — Approuvée, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5 User Guide 177 Traduction d’adresses réseau (NAT) 2. Ajoutez pour chaque réseau une entrée de traduction d’adresses réseau dynamique sur l’interface à laquelle le serveur est connecté. Le champ De de l’entrée de traduction d’adresses réseau dynamique est l’adresse IP du réseau à partir duquel les ordinateurs accèdent à l’adresse IP 1-to-1 NAT avec bouclage NAT. Le champ À de l’entrée de traduction d’adresses réseau dynamique est l’adresse de base NAT du mappage 1-to-1 NAT. Dans cet exemple, l’interface approuvée comporte deux réseaux définis et nous souhaitons autoriser les utilisateurs des deux réseaux à accéder au serveur HTTP avec l’adresse IP publique ou le nom d’hôte du serveur. Nous devons ajouter deux entrées de traduction d’adresses réseau dynamique. Dans l’onglet NAT dynamique de la boîte de dialogue Configuration NAT, ajoutez : 10.0.1.0/24 - 100.100.100.5 192.168.2.0/24 - 100.100.100.5 178 WatchGuard System Manager Traduction d’adresses réseau (NAT) 3. Ajoutez une stratégie pour autoriser les utilisateurs de votre réseau approuvé à utiliser l’adresse IP publique ou le nom de domaine pour accéder au serveur public sur le réseau approuvé. Dans cet exemple : De Any-Trusted (Tout-Approuvé) À 100.100.100.5 User Guide 179 Traduction d’adresses réseau (NAT) L’adresse IP publique à laquelle les utilisateurs souhaitent se connecter est 100.100.100.5. Cette adresse IP est configurée comme adresse IP secondaire de l’interface externe. Dans la section À de la stratégie, ajoutez 100.100.100.5. Pour plus d’informations sur la configuration de la traduction d’adresses réseau statique, voir À propos de NAT statique à la page 180. Pour plus d’informations sur la configuration d’une règle 1-to-1 NAT, voir Configurer 1-to-1 NAT pour le pare-feu à la page 171. À propos de NAT statique Le principe de NAT statique, appelé également transfert de port, est une traduction d’adresses réseau port à hôte. Un hôte envoie un paquet du réseau externe vers un port d’une interface externe. La traduction d’adresses réseau statique change l’adresse IP de destination en une adresse IP et en un port se trouvant 180 WatchGuard System Manager Traduction d’adresses réseau (NAT) derrière le pare-feu. Si une application logicielle utilise plusieurs ports et que ces ports sont sélectionnés de façon dynamique, utilisez 1-to-1 NAT ou vérifiez si un proxy sur votre périphérique WatchGuard peut gérer ce type de trafic. La traduction d’adresses réseau statique fonctionne également sur le trafic envoyé depuis les réseaux que protège votre périphérique WatchGuard. Lorsque vous utilisez la traduction d’adresses réseau statique, vous utilisez en fait une adresse IP externe de votre périphérique Firebox et non l’adresse IP d’un serveur public. Ceci est possible, car vous l’avez choisi ou parce que votre serveur public ne possède pas d’adresse IP publique. Par exemple, vous pouvez placer votre serveur de messagerie SMTP derrière votre périphérique WatchGuard avec une adresse IP privée et configurer la traduction d’adresses réseau statique dans votre stratégie SMTP. Votre périphérique WatchGuard reçoit les connexions sur le port 25 et s’assure que tout le trafic SMTP est envoyé au serveur SMTP réel situé derrière le périphérique Firebox. Configurer la traduction d’adresses réseau statique 1. Ouvrez Policy Manager. 2. Double-cliquez sur une stratégie pour la modifier. 3. Dans la liste déroulante Les connexions sont, sélectionnez Autorisées. Pour utiliser la traduction d’adresses réseau statique, la stratégie doit laisser passer le trafic entrant. 4. Sous la liste À, cliquez sur Ajouter. Cliquez sur Ajouter NAT. La boîte de dialogue Ajouter l’équilibrage de charge côté serveur/la traduction d’adresses réseau statique apparaît. Note La traduction d’adresses réseau statique n’est disponible que pour les stratégies utilisant un port spécifique, notamment TCP et UDP. Une stratégie qui utilise un autre protocole ne peut pas utiliser de traduction des adresses réseau entrantes statique. Le bouton NAT de la boîte de dialogue Propriétés de cette stratégie n’est pas disponible. Vous ne pouvez pas non plus utiliser la traduction des adresses réseau statique avec la stratégie Any. 5. Dans la de membre, sélectionnez Traduction d’adresses réseau. 6. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP externe ou l’alias que vous souhaitez utiliser dans cette stratégie. User Guide 181 Traduction d’adresses réseau (NAT) Par exemple, vous pouvez utiliser la traduction d’adresses réseau statique pour cette stratégie pour les paquets reçus uniquement sur une seule adresse IP externe. Vous pouvez également utiliser la traduction d’adresses réseau statique pour les paquets reçus sur une adresse IP externe si vous sélectionnez l’alias Any-External (Tout-Externe). 7. Saisissez l’adresse IP interne. Il s’agit de la destination sur le réseau approuvé ou facultatif. 8. Si nécessaire, sélectionnez Configurer le port interne sur un port autre que celui de cette stratégie . Cette option active la traduction d’adresses de port (PAT, Port Address Translation). Cette fonction vous permet de modifier la destination des paquets non seulement vers un hôte interne spécifié, mais également vers un autre port. Si vous cochez cette case, saisissez le numéro de port ou cliquez sur le bouton fléché Haut ou Bas pour sélectionner le port que vous souhaitez utiliser. Cette option n’est généralement pas utilisée. 9. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un NAT statique. L’itinéraire de la traduction d’adresses réseau statique s’affiche dans la liste Membres et adresses. 10. Cliquez sur OK pour fermer la boîte de dialogue Ajouter une adresse. 11. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de la stratégie. Configurer les équilibrage de charge côté serveur Note Pour utiliser l’équilibrage de charge côté serveur, vous devez avoir un périphérique Firebox X Core, Peak ou WatchGuard XTM et Fireware XTM avec mise à niveau vers la version professionnelle. La fonctionnalité d’équilibrage de charge côté serveur dans Fireware XTM est conçue pour augmenter l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics. Grâce à l’équilibrage de charge côté serveur, vous pouvez faire en sorte que le périphérique WatchGuard contrôle le nombre de sessions établies vers un maximum de 10 serveurs pour chaque stratégie de pare-feu que vous configurez. Le périphérique WatchGuard contrôle la charge en fonction du nombre de sessions en cours sur chaque serveur. Aucune mesure ou comparaison de la bande passante utilisée par chaque serveur n’est effectuée par le périphérique WatchGuard. Vous configurez l’équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses réseau statique. Le périphérique WatchGuard peut équilibrer les connexions parmi vos serveurs à l’aide de deux algorithmes différents. Lorsque vous configurez l’équilibrage de charge côté serveur, vous devez choisir l’algorithme que vous souhaitez que le périphérique WatchGuard applique. Tourniquet Si vous sélectionnez cette option, le périphérique WatchGuard distribue les sessions entrantes parmi les serveurs que vous spécifiez dans la stratégie, à tour de rôle. La première connexion est envoyée au premier serveur spécifié dans la stratégie. La connexion suivante est envoyée au serveur suivant dans la stratégie, et ainsi de suite. Connexion minimale Si vous sélectionnez cette option, le périphérique WatchGuard envoie chaque nouvelle session au serveur de la liste présentant à ce moment-là le moins de connexions ouvertes au périphérique. Le périphérique WatchGuard ne peut pas déterminer le nombre de connexions ouvertes du serveur sur d’autres interfaces. Vous pouvez appliquer des pondérations à vos serveurs dans la configuration 182 WatchGuard System Manager Traduction d’adresses réseau (NAT) de l’équilibrage de charge côté serveur afin de garantir que la charge la plus lourde est attribuée à vos serveurs les plus puissants. Par défaut, chaque interface présente une pondération de 1. La pondération désigne la proportion de charge que le périphérique WatchGuard envoie à un serveur. Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que le périphérique WatchGuard envoie à ce serveur par rapport à un serveur doté d’une pondération de 1. Lors de la configuration de l’équilibrage de charge côté serveur, il est important de savoir que : n n n n n Vous pouvez configurer l’équilibrage de charge côté serveur pour toutes les stratégies auxquelles vous appliquez la traduction d’adresses réseau statique. Si vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous ne pouvez pas définir un routage basé sur stratégie ou d’autres règles NAT dans la même stratégie. Lorsque vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous pouvez ajouter jusqu’à 10 serveurs à la stratégie. Le périphérique WatchGuard ne modifie pas l’adresse IP de l’expéditeurou de la source, du trafic envoyé sur ces périphériques. Le trafic est envoyé directement depuis le périphérique WatchGuard, mais chaque périphérique faisant partie de votre configuration d’équilibrage de charge côté serveur voit l’adresse IP source d’origine du trafic réseau. Si vous utilisez l’équilibrage de charge côté serveur dans une configuration FireCluster actif/passif, la synchronisation en temps réel ne s’effectue pas entre les membres du cluster lorsqu’un basculement se produit. Lorsque le maître du cluster passif devient le maître du cluster actif, il envoie des connexions à tous les serveurs de la liste d’équilibrage de charge côté serveur pour déterminer ceux qui sont disponibles. Il applique ensuite à tous les serveurs disponibles l’algorithme d’équilibrage de charge. Pour configurer l’équilibrage de charge côté serveur : 1. Double-cliquez sur la stratégie à laquelle vous souhaitez appliquer l’équilibrage de charge côté serveur. Vous pouvez également sélectionner la stratégie et choisir Édition > Modifier la stratégie. Pour créer une stratégie et activer l’équilibrage de charge côté serveur de cette stratégie, sélectionnez Édition > Ajouter une stratégie. User Guide 183 Traduction d’adresses réseau (NAT) 2. Sous le champ À, cliquez sur Ajouter. La boîte de dialogue Ajouter Adresse apparaît. 184 WatchGuard System Manager Traduction d’adresses réseau (NAT) 3. Cliquez sur Ajouter NAT. La boîte de dialogue Ajouter l’équilibrage de charge côté serveur/la traduction d’adresses réseau statique apparaît. 4. Dans la liste déroulante membre, sélectionnez Équilibrage de charge côté serveur. User Guide 185 Traduction d’adresses réseau (NAT) 5. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP externe ou l’alias que vous souhaitez utiliser dans cette stratégie. Par exemple, vous pouvez faire en sorte que le périphérique WatchGuard applique l’équilibrage de charge côté serveur à cette stratégie pour les paquets reçus uniquement sur une seule adresse IP externe. Le périphérique WatchGuard peut également appliquer l’équilibrage de charge côté serveur pour les paquets reçus sur toutes les adresses IP externes, si vous sélectionnez l’alias AnyExternal (Tout-Externe). 6. Dans la liste déroulante Méthode, sélectionnez l’algorithme que le périphérique WatchGuard doit utiliser pour l’équilibrage de charge côté serveur : Tourniquet ou Connexion minimale. 7. Cliquez sur Ajouter pour ajouter les adresses IP de vos serveurs internes pour cette stratégie. Vous pouvez ajouter un maximum de 10 serveurs dans une stratégie. Vous pouvez également ajouter une pondération au serveur. Par défaut, chaque serveur présente une pondération de 1. La pondération désigne la proportion de charge que le périphérique WatchGuard envoie à un serveur. Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que le périphérique WatchGuard envoie à ce serveur par rapport à un serveur doté d’une pondération de 1. 8. Pour définir des connexions persistantes pour vos serveurs internes, cochez la case Activer une connexion persistante et définissez la période dans les champs Activer une connexion persistante. 186 WatchGuard System Manager Traduction d’adresses réseau (NAT) Une connexion persistante est une connexion qui continue à utiliser le même serveur pendant un intervalle de temps défini. La persistance garantit que tous les paquets situés entre une paire d’adresses source et de destination sont envoyés à un même serveur pendant la durée que vous spécifiez. 9. Cliquez sur OK. 10. Enregistrer le fichier de configuration. Exemples de traduction d’adresses réseau (NAT) Exemple de règle 1-to-1 NAT Lorsque vous activez une règle 1-to-1 NAT, le périphérique Firebox ou XTM modifie et achemine tous les paquets entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses. Pensez à une situation dans laquelle vous avez un groupe de serveurs internes avec des adresses IP privées ; chacune doit indiquer une adresse IP publique différente vers l’extérieur. Vous pouvez utiliser une règle 1-to-1 NAT pour faire correspondre des adresses IP publiques aux serveurs internes et vous n’avez pas besoin de changer les adresses IP de vos serveurs internes. Pour comprendre comment configurer une règle 1-to-1 NAT, prenez cet exemple : Une entreprise possède un groupe de trois serveurs comportant des adresses privées et situés derrière une interface facultative du périphérique Firebox. Les adresses des serveurs sont les suivantes : 10.0.2.11 10.0.2.12 10.0.2.13 L’administrateur sélectionne trois adresses IP publiques de la même adresse réseau que l’interface externe du Firebox et crée des enregistrements DNS pour la résolution des adresses des serveurs. Ces adresses sont les suivantes : User Guide 187 Traduction d’adresses réseau (NAT) 50.50.50.11 50.50.50.12 50.50.50.13 L’administrateur configure une règle 1-to-1 NAT pour les serveurs. La règle 1-to-1 NAT génère une relation statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a l’aspect suivant : 10.0.2.11 <--> 50.50.50.11 10.0.2.12 <--> 50.50.50.12 10.0.2.13 <--> 50.50.50.13 Une fois la règle 1-to-1 NAT appliquée, Firebox crée le routage bidirectionnel et la relation NAT entre le pool d’adresses IP privées et le pool d’adresses publiques. Pour connaître les étapes de définition d’une règle 1-to-1 NAT, voir Configurer 1-to-1 NAT pour le pare-feu. 188 WatchGuard System Manager 9 Configuration sans fil À propos de la configuration sans fil Lorsque vous activez la fonction sans fil du périphérique WatchGuard, vous avez le choix entre une configuration sans fil de l’interface externe, ou une configuration du périphérique WatchGuard comme point d’accès sans fil pour les utilisateurs de réseaux approuvés, facultatifs ou invités. Avant de configurer l’accès au réseau sans fil, consultez Avant de commencer à la page 191. Note Avant de pouvoir activer la fonction sans fil, vous devez obtenir la clé de fonctionnalité du périphérique. Pour plus d’informations, voir À propos de les clés de fonctionnalité à la page 63 Activation de la fonction sans fil de votre périphérique WatchGuard : 1. Sélectionnez Réseau > Sans fil. La boîte de dialogue Connexions du réseau sans fil s’affiche. 2. Cochez la case Enable wireless (Activer sans fil). 3. Dans la boîte de dialogue Sans fil Configuration, choisissez une option de configuration sans fil : Activer le client sans fil comme interface externe User Guide 189 Configuration sans fil Ce paramètre vous permet de configurer l’interface externe du périphérique sans fil WatchGuard pour vous connecter à un réseau sans fil. Cette configuration est utile pour les endroits avec infrastructure de réseau inexistante ou limitée. Pour plus d’informations sur la configuration sans fil de l’interface externe, cf. Configurer l’interface externe en tant qu’interface sans fil à la page 208. Activer les points d’accès sans fil Ce paramètre sert à configurer votre périphérique sans fil WatchGuard comme point d’accès pour utilisateurs sur les réseaux approuvés, facultatifs ou invités. Pour plus d’informations, voir À propos de configuration Point d’accès sans fil à la page 190. 4. Dans la section Paramètres radio, sélectionnez vos paramètres radio sans fil. Pour plus d’informations, voir Présentation des paramètres paramètres de radio sans fil sur Firebox X Edge e-Series à la page 211 et Présentation des paramètres radio sans fil du WatchGuard XTM sans fil Série 2 à la page 213. 5. Cliquez sur OK. À propos de configuration Point d’accès sans fil Tout périphérique sans fil WatchGuard peut être configuré comme point d’accès sans fil avec trois zones différentes de sécurité : vous pouvez ainsi activer d’autres périphériques sans fil pour qu’ils se connectent au WatchGuard à titre de membres du réseau approuvé ou du réseau facultatif ; vous pouvez également activer un réseau invité de services sans fil pour les utilisateurs du WatchGuard. Les ordinateurs se connectent au réseau invité par le biais du WatchGuard, mais ne peuvent pas accéder aux ordinateurs sur les réseaux approuvé ou facultatif. Avant d’activer le périphérique sans fil WatchGuard comme point d’accès, vous devez étudier avec soin les utilisateurs sans fil qui s’y connecteront et établir le niveau d’accès que vous souhaitez pour chaque type d’utilisateur. Il y a trois types d’accès sans fil que vous pouvez autoriser : Autoriser les connexions sans fil à une interface approuvée Lorsque vous autorisez des connexions sans fil par une interface approuvée, les périphériques sans fil disposent d’un accès total à tous les ordinateurs du réseau facultatif et du réseau approuvé et d’un accès total à Internet, conformément aux règles que vous avez configurées pour l’accès sortant sur votre WatchGuard. Si vous autorisez l’accès sans fil par une interface approuvée, il est vivement conseillé d’activer et d’utiliser la fonctionnalité de restriction MAC (cf. rubrique suivante) pour autoriser l’accès par le périphérique WatchGuard uniquement aux appareils qui ont été ajoutés à la liste Adresses MAC autorisées. Pour plus d’informations sur la restriction d’accès par des adresses MAC, cf. Utiliser la liaison d’adresse MAC statique à la page 125. Autoriser les connexions sans fil à une interface facultative Lorsque vous autorisez des connexions sans fil par une interface facultative, les périphériques sans fil disposent d’un accès total à tous les ordinateurs du réseau facultatif et d’un accès total à Internet, conformément aux règles que vous avez configurées pour l’accès sortant sur votre WatchGuard. 190 WatchGuard System Manager Configuration sans fil Autoriser les connexions invitées sans fil par une interface externe Les ordinateurs qui se connectent au réseau invité sans fil ont accès à Internet par le périphérique WatchGuard, conformément aux règles que vous avez configurées pour l’accès sortant sur votre WatchGuard. Ces périphériques ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou facultatif. Pour un complément d’information sur la façon de configurer un réseau invité sans fil, cf. Activer un réseau invité sans fil à la page 200. Avant de configurer l’accès au réseau sans fil, consultez Avant de commencer à la page 191. Pour autoriser des connexions sans fil à votre réseau approuvé ou à votre réseau facultatif, cf. Autoriser des connexions sans fil au réseau facultatif ou approuvé à la page 197. Avant de commencer Les périphériques sans fil WatchGuard sont conformes aux normes 802.11n, 802.11b et 802.11g définies par l’IEEE (Institute of Electrical and Electronics Engineers). Lorsque vous mettez en place un périphérique WatchGuard sans fil : n n n n Veillez à le placer à 20 centimètres au moins de toute personne. Il s’agit d’une exigence de la FCC (Federal Communications Commission) concernant les émetteurs de faible puissance. Il est préférable de mettre en place un périphérique sans fil loin des autres antennes ou émetteurs, afin de minimiser les interférences. L’algorithme d’authentification sans fil par défaut, configuré pour chaque zone de sécurité sans fil, n’est pas celui qui est le plus sécurisé. Si vos appareils sans fil qui se connectent au périphérique sans fil WatchGuard fonctionnent bien avec WPA2, nous vous conseillons d’augmenter le niveau d’authentification à WPA2. Un client sans fil, se connectant à WatchGuard à partir d’un réseau approuvé ou facultatif, peut faire partie de n’importe quel tunnel VPN de succursale dans lequel le composant de réseau local des paramètres de phase 2 inclut des adresses IP de réseau facultatif ou approuvé. Pour contrôler l’accès au tunnel VPN, vous pouvez forcer les utilisateurs du périphérique WatchGuard à s’authentifier. Présentation des paramètres paramètres de configuration Lorsque vous activez l’accès sans fil au réseau approuvé, facultatif, ou au réseau invité sans fil, certains paramètres de configuration sont définis de façon similaire pour les trois zones de sécurité. Ces paramètres communs peuvent avoir différentes valeurs pour chaque zone. User Guide 191 Configuration sans fil Pour un complément d’information sur le paramètre Diffuser l’identification SSID et répondre aux requêtes SSID, cf. Activer/Désactiver Diffusions SSID à la page 192. Pour un complément d’information sur le paramètre Nom du réseau (SSID), cf. Modifier SSID à la page 193. Pour un complément d’information sur le paramètre Consigner les événements d’authentification, cf. Journal événements d’authentification à la page 193. Pour un complément d’information sur le Seuil de fragmentation, cf. Modifier seuil de fragmentation à la page 193. Pour un complément d’information sur le Seuil RTS, cf. Modifier Seuil RTS à la page 195. Pour un complément d’information sur les paramètres Authentification et Chiffrement, cf. Présentation des paramètres paramètres de sécurité à la page 196. Activer/Désactiver Diffusions SSID Les ordinateurs équipés de cartes réseau sans fil envoient des requêtes pour vérifier s’il existe des points d’accès sans fil auxquels ils peuvent se connecter. 192 WatchGuard System Manager Configuration sans fil Pour configurer une interface sans fil WatchGuard dans le but d’envoyer ces requêtes et d’y répondre, cochez la case Diffuser l’identification SSID et répondre aux requêtes SSID. Pour des raisons de sécurité, cochez cette case uniquement lorsque vous configurez des ordinateurs sur votre réseau en vue de les connecter au périphérique WatchGuard. Décochez cette option après que tous les clients ont été configurés. Si vous utilisez la fonction des services invités sans fil, il peut être nécessaire d’autoriser les diffusions SSID au cours d’une opération standard. Modifier SSID L’identificateur SSID (Service Set Identifier) est le nom unique de votre réseau sans fil. Pour utiliser le réseau sans fil à partir d’un ordinateur client, la carte réseau sans fil de l’ordinateur doit posséder le même identificateur SSID que le réseau WatchGuard sans fil auquel l’ordinateur se connecte. Le Fireware XTM OS attribue automatiquement un identificateur SSID à chaque réseau sans fil. Cet identificateur SSID utilise un format qui contient le nom de l’interface et une partie du numéro de série du WatchGuard (du 5e au 9e chiffre). Pour modifier l’identificateur SSID, tapez un nouveau nom dans le champ SSID pour identifier de manière exclusive votre réseau sans fil. Journal événements d’authentification Un événement d’authentification se produit lorsqu’un ordinateur sans fil tente de se connecter à une interface sans fil d’un périphérique WatchGuard. Pour inclure ces événements dans le fichier journal, cochez la case Consigner les événements d’authentification. Modifier seuil de fragmentation Firebox XTM vous permet de définir la taille maximale de la trame pouvant être envoyée par le périphérique WatchGuard sans être fragmentée. Il s’agit du seuil de fragmentation. Ce paramètre change rarement. Il est défini par défaut sur la taille maximale de trame de 2 346, ce qui signifie qu’aucune trame envoyée à des clients sans fil n’est fragmentée. Il s’agit de la configuration la plus adaptée à la plupart des environnements. Raison de modifier le seuil de fragmentation Il y a collision lorsque deux périphériques utilisant le même support transmettent des paquets exactement au même moment. Les deux paquets peuvent s’endommager mutuellement, ce qui aboutit à des morceaux de données ne pouvant être lues. Lorsqu’un paquet produit une collision, celui-ci est rejeté et doit à nouveau être transmis. Cela augmente le temps système sur le réseau et peut réduire le débit ou la vitesse de ce dernier. La probabilité d’une collision entre trames augmente avec la grosseur ces dernières. Pour avoir des paquets plus petits dans une transmission sans fil, vous baissez le seuil de fragmentation sur le périphérique WatchGuard sans fil. La réduction de la grosseur maximum des trames permet également de diminuer le nombre de transmissions répétées à cause de collisions, donc de réduire le temps système provoqué par ces répétitions. User Guide 193 Configuration sans fil D’un autre côté, les trames plus petites, donc plus nombreuses, augmentent le temps système sur le réseau. Ce principe est d’autant vrai sur un réseau sans fil, parce que chaque trame fragmentée envoyée d’un périphérique sans fil à un autre doit être reconnue par l’appareil destinataire. Lorsque le taux d’erreurs de paquets est élevé (supérieur à 5 ou 10 % de collisions ou d’erreurs), vous pouvez améliorer les performances du réseau sans fil en baissant le seuil de fragmentation. Le temps que vous gagnerez (moins de transmissions répétées) pourra être suffisamment important pour compenser l’augmentation du temps système causée par des paquets plus petits. Un débit plus élevé pourrait en être la conséquence. Si vous baissez le seuil de fragmentation malgré un taux d’erreurs de paquets faible, le réseau sans fil deviendra moins performant. En effet, lorsque vous baissez le seuil, le temps système du protocole est augmenté, ce qui diminue l’efficacité de ce dernier. À titre d’essai, commencez avec le seuil par défaut, soit 2 346, et baissez-le petit à petit. Pour un réglage optimal, vous devez vérifier les erreurs de paquets du réseau à différents moments de la journée. Après une baisse du seuil, comparez les performances du réseau : taux d’erreurs très élevé avec taux d’erreurs moyennement élevé. En règle générale, il est conseillé de laisser ce paramètre à 2 7346. Modifier le seuil de fragmentation 1. Sélectionnez Réseau > Sans fil. 2. Sélectionnez le réseau sans fil à configurer. À côté de Point d’accès 1 ou Point d’accès 2 ou Invité sans fil, cliquez sur Configurer. Les paramètres de configuration pour ce réseau sans fil s’affichent. 194 WatchGuard System Manager Configuration sans fil 3. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez ou choisissez une valeur entre 256 et 2 346. 4. Cliquez sur OK. 5. Enregistrez la configuration. Modifier Seuil RTS RTS/CTS (Request To Send/Clear To Send) aide à éviter les problèmes susceptibles de se produire lorsque des clients sans fil reçoivent des signaux provenant de plusieurs points d’accès sans fil sur le même canal. Ce problème est parfois connu sous le nom de nœud masqué. Il est déconseillé de modifier le seuil RTS par défaut. Lorsque le seuil RTS est sur 2 346 (réglage par défaut), RTS/CTS est désactivé. Si vous devez modifier le seuil RTS, abaissez-le graduellement, une petite valeur à la fois. Après chaque baisse, attendez le temps nécessaire pour constater une amélioration (ou non) des performances réseau, avant de changer le seuil une nouvelle fois. Diminuer cette valeur de manière excessive risque d’accroître la latence du réseau. En effet, si les demandes d’envoi sont trop nombreuses, le support partagé est sollicité plus souvent que nécessaire. User Guide 195 Configuration sans fil Présentation des paramètres paramètres de sécurité Les périphériques sans fil WatchGuard utilisent trois normes de protocole de sécurité pour protéger votre réseau sans fil : Il s’agit de WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) et WPA2. Chaque norme de protocole peut chiffrer les transmissions sur le réseau local (LAN) sans fil entre les ordinateurs et les points d’accès. Elles peuvent également empêcher l’accès non autorisé au point d’accès sans fil. WEP et WPA utilisent chacune des clés prépartagées. L’algorithme des WPA et WPA2 change à intervalles réguliers la clé de chiffrement, ce qui favorise une sécurisation supérieure des données envoyées par connexion sans fil. Pour protéger la confidentialité, vous pouvez associer ces fonctionnalités à d’autres mécanismes de sécurité LAN, tels que la protection par mot de passe, les tunnels VPN et l’authentification utilisateur. Définissez sans fil méthode d'authentification Cinq méthodes d'authentification sont proposées pour les périphériques sans fil WatchGuard. Il est recommandé d’utiliser WPA2 si possible, puisqu'il s’agit de la méthode la plus sécurisée. Voici les cinq méthodes offertes (de la moins sécurisée à la plus sécurisée) : Système ouvert L’authentification à système ouvert permet à tout utilisateur de s’authentifier auprès du point d’accès. Cette méthode peut être appliquée sans chiffrement ou avec un chiffrement WEP. Clé partagée Dans l’authentification à clé partagée, seuls les clients sans fil qui disposent de la clé partagée peuvent se connecter. L’authentification à clé partagée ne peut être utilisée qu’avec le chiffrement WEP. WPA UNIQUEMENT (PSK) Lorsque vous utilisez l’authentification WPA (Wi-Fi Protected Access) avec des clés prépartagées, chaque utilisateur sans fil se voit attribuer le même mot de passe pour s’authentifier auprès du point d’accès sans fil. WPA/WPA2 (PSK) Lorsque vous sélectionnez l’authentification WPA/WPA2 (PSK), Edge accepte les connexions provenant de périphériques sans fil configurés pour utiliser WPA ou WPA2. WPA2 UNIQUEMENT (PSK) La méthode d’authentification WPA2 avec clés prépartagées implémente l’intégralité de la norme 802.11i et offre la meilleure sécurité. Elle ne fonctionne pas avec certaines cartes réseau sans fil plus anciennes. 196 WatchGuard System Manager Configuration sans fil Définir le niveau de chiffrement Dans la liste déroulante Chiffrement, sélectionnez le niveau de chiffrement de vos connexions sans fil. Les options pouvant être sélectionnées varient en fonction des différents mécanismes d’authentification que vous utilisez. Le système Fireware XTM crée automatiquement une clé de chiffrement aléatoire, si besoin est. Vous pouvez vous en servir ou la remplacer par une autre clé. Chaque client sans fil doit utiliser cette même clé lorsqu’il se connecte au périphérique Firebox ou XTM. Authentification à clé partagée et à système ouvert Les options de chiffrement pour l’authentification à système ouvert et à clé partagée sont WEP 64 bits hexadécimal, WEP 40 bits ASCII, WEP 128 bits hexadécimal et WEP 128 bits ASCII. Si vous sélectionnez l’authentification à système ouvert, vous pouvez également sélectionner Aucun chiffrement. 1. Si vous utilisez le chiffrement WEP, tapez des caractères hexadécimaux ou ASCII dans les zones de texte Clé. Certains pilotes de carte réseau sans fil ne prennent pas en charge les caractères ASCII. Vous disposez de quatre clés au maximum. n n n n Une clé hexadécimale WEP 64 bits doit avoir 10 caractères hexadécimaux (0-f). Une clé WEP 40 bits ASCII doit avoir 5 caractères. Une clé hexadécimale WEP 128 bits doit avoir 26 caractères hexadécimaux (0-f). Une clé WEP 128 bits ASCII doit avoir 13 caractères. 2. Si vous avez saisi plusieurs clés, sélectionnez la clé à utiliser en tant que clé par défaut dans la liste déroulante Index de clé. Le périphérique Firebox ou XTM sans fil ne peut utiliser qu’une seule clé de chiffrement sans fil à la fois. Si vous sélectionnez une clé autre que la première de la liste, vous devez également configurer le client sans fil pour qu’il utilise la même clé. Authentification WPA-PSK et WPA2-PSK Les options de chiffrement des méthodes d’authentification Wi-Fi Protected Access (WPA-PSK et WPA2PSK) sont : n n n TKIP : utilisez uniquement TKIP (Temporal Key Integrity Protocol, protocole d’intégrité de clé temporaire) pour le chiffrement. Cette option n’est pas disponible sur les modes sans fil prenant en charge 802.11n. AES : utilisez uniquement AES (Advanced Encryption Standard, norme de chiffrement avancée) pour le chiffrement. TKIP ou AES : utilisez TKIP ou AES. Il est recommandé de sélectionner TKIP ou AES. Le périphérique sans fil Firebox ou XTM peut ainsi accepter les connexions depuis les clients sans fil configurés pour utiliser le chiffrement TKIP ou AES. Il est recommandé de configurer les clients sans fil 802.11n afin qu’ils utilisent le chiffrement AES. Autoriser des connexions sans fil au réseau facultatif ou approuvé Autorisation des connexions sans fil à votre réseau approuvé ou à votre réseau facultatif : User Guide 197 Configuration sans fil 1. Sélectionnez Réseau > Sans fil. La boîte de dialogue Configuration sans fil s’affiche. 2. Cochez la case Activation sans fil. 3. Sélectionnez Activer points d’accès sans fil. 4. À côté de Point d’accès 1 ou Point d’accès 2, cliquez sur Configurer. La boîte de dialogue de configuration Point d’accès sans fil s’affiche. 5. Cochez la case Activer pont sans fil à une interface approuvée ou facultative. 6. Dans la liste déroulante jouxtant Activer pont sans fil à une interface approuvée ou facultative, sélectionnez une interface approuvée ou facultative. Approuvé 198 WatchGuard System Manager Configuration sans fil Tous les clients sans fil sur le réseau approuvé bénéficient de l’accès total aux ordinateurs sur les réseaux approuvé et facultatif et de l’accès à Internet défini dans les règles de pare-feu sortantes sur votre périphérique WatchGuard. Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP sur le réseau facultatif de l’Edge doit être actif et configuré. Facultatif Tous les clients sans fil sur le réseau facultatif bénéficient de l’accès total aux ordinateurs sur les réseaux facultatifs, et de l’accès à Internet défini dans les règles de pare-feu sortantes sur votre périphérique WatchGuard. Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP sur le réseau facultatif de l’Edge doit être actif et configuré. 7. Pour configurer l’interface sans fil dans le but d’envoyer des requêtes SSID et d’y répondre, cochez la case Diffuser l’identification SSID et répondre aux requêtes SSID. Pour uncomplémentd’informationsur ce paramètre,cf.Activer/Désactiver Diffusions SSIDàlapage 192. 8. Cochez la case Consigner les événements d’authentification si vous souhaitez que le périphérique WatchGuard envoie un message au fichier journal chaque fois qu’un ordinateur sans fil tente de se connecter à l’interface. Pour de plus amples informations sur la journalisation, cf. Journal événements d’authentification à la page 193. 9. Pour que les utilisateurs sans fil se servent du client Mobile VPN with IPSec, cochez la case Exiger des connexions Mobile VPN with IPSec chiffrées pour les clients sans fil. Lorsque vous cochez cette case, les seuls paquets autorisés par Firebox sur le réseau sans fil sont DHCP, ICMP, IKE (port UDP 500), ARP et IPSec (protocole IP 50). Si vous exigez l’utilisation du client Mobile VPN with IPSec, la sécurité pour les clients sans fil peut être renforcée lorsque vous ne sélectionnez pas WPA ou WPA2 comme méthode d’authentification sans fil. 10. Dans la zone de texte Nom de réseau (SSID), tapez un nom unique pour votre réseau facultatif sans fil ou utilisez le nom par défaut. Pour un complément d’information sur la modification du SSID, cf. Modifier SSID à la page 193. 11. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez une valeur : 256–2346. La modification de ce paramètre est déconseillée. Pour un complémentd’information sur ce paramètre,cf. Modifier seuil defragmentation àla page 193. 12. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les connexions sans fil à l’interface facultative. Il est conseillé d’utiliser le mode d’authentification WPA2 si les périphériques sans fil du réseau le prennent en charge. Pour un complément d’information sur ce paramètre, cf. Définissez sans fil méthode d'authentification. 13. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous sélectionnez une option de chiffrement avec des clés prépartagées, une clé User Guide 199 Configuration sans fil prépartagée aléatoire est générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé. Pour plus d’informations, voir Définir le niveau de chiffrement à la page 197. 14. Enregistrez la configuration. Note Si vous activez les connexions sans fil à l’interface approuvée, il est recommandé de limiter l’accès par le biais de l’adresse MAC. Ainsi, les utilisateurs ne pourront pas se connecter au périphérique sans fil WatchGuard à partir d’ordinateurs non autorisés et risquant d’avoir des virus ou des logiciels espions. Cliquez sur l’onglet Contrôle de l’accès MAC pour mettre en vigueur ce contrôle. Vous utilisez cet onglet de la même façon pour limiter le trafic réseau sur une interface, tel qu’expliqué dans Limiter le trafic réseau par adresse MAC à la page 118. Pour configurer un réseau invité sans fil, sans accès aux ordinateurs de vos réseaux approuvé ou facultatif, cf. Activer un réseau invité sans fil à la page 200. Activer un réseau invité sans fil Vous pouvez mettre en activité un réseau invité sans fil, afin de donner à un utilisateur invité un accès à Internet, mais non un accès aux ordinateurs de vos réseaux approuvés et facultatifs. Configuration d’un réseau invité sans fil : 1. Sélectionnez Réseau > Sans fil. La boîte de dialogue Connexions du réseau sans fil s’affiche. 2. Cochez la case Enable wireless (Activer sans fil). 3. Sélectionnez Activer points d’accès sans fil. 4. À côté de Invité sans fil, cliquez sur Configurer. La boîte de configuration Invité sans fil s’affiche. 200 WatchGuard System Manager Configuration sans fil 5. Cochez la case Activer réseau invité sans fil. L’autorisation des connexions sans fil de traverser le périphérique WatchGuard vers Internet repose sur les règles que vous avez configurées pour l’accès sortant de votre périphérique. Ces ordinateurs ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou facultatif. 6. Dans la zone de texte Adresse IP , tapez l’adresse IP privée qui sera utilisée pour le réseau invité sans fil. L’adresse IP que vous entrez doit déjà être utilisée sur l’une de vos interfaces réseau. 7. Dans la zone de texte Masque de sous-réseau, tapez la valeur de ce dernier. La valeur correcte est en général 255.255.255.0. 8. Si vous souhaitez configurer le périphérique WatchGuard comme serveur DHCP lorsqu’un périphérique sans fil tente d’établir une connexion, cochez la case Activer le serveur DHCP sur le réseau invité sans fil. Pour un complément d’information sur la façon de définir les paramètres pour le serveur DHCP, cf. Configurer DHCP en mode de routage mixte à la page 104. 9. Cliquez sur l’onglet Sans fil pour voir les paramètres de sécurité du réseau invité sans fil. Les paramètres Sans fil s’affichent. User Guide 201 Configuration sans fil 10. Cochez la case Diffuser l’identification SSID et répondre aux requêtes SSID pour que le nom de votre réseau invité sans fil devienne visible aux utilisateurs invités. Pour uncomplémentd’informationsur ce paramètre,cf.Activer/Désactiver Diffusions SSIDàlapage 192. 11. Pour envoyer un message dans le fichier journal à chaque tentative de connexion au réseau invité sans fil par un ordinateur, cochez la case Consigner les événements d’authentification. Pour de plus amples informations sur la journalisation, cf. Journal événements d’authentification à la page 193. 12. Pour autoriser les utilisateurs invités sans fil à échanger du trafic, décochez la case Interdire le trafic de réseau sans fil d’un client à l’autre. 13. Dans la zone de texte Nom du réseau (SSID), tapez le nom exclusif de votre réseau invité sans fil ou donnez-lui le nom par défaut. Pour un complément d’information sur la modification du SSID, cf. Modifier SSID à la page 193. 14. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez une valeur : 256–2346. La modification de ce paramètre est déconseillée. Pour un complémentd’information sur ce paramètre,cf. Modifier seuil defragmentation àla page 193. 15. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les connexions au réseau invité sans fil. Votre sélection dépend du type d’accès invité que vous 202 WatchGuard System Manager Configuration sans fil souhaitez fournir et des conditions imposées d’utilisation du réseau par vos invités (avec ou sans mot de passe). Pour un complément d’information sur ce paramètre, cf. Définissez sans fil méthode d'authentification à la page 196. 16. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous sélectionnez une option de chiffrement avec des clés prépartagées, une clé prépartagée aléatoire est générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé. Pour plus d’informations, voir Définir le niveau de chiffrement à la page 197. 17. Cliquez sur OK. 18. Enregistrez la configuration. Vous pouvez également limiter l’accès au réseau Invité avec une adresse MAC. Cliquez sur l’onglet Contrôle de l’accès MAC pour activer ce contrôle. Vous utilisez cet onglet de la même façon pour limiter le trafic réseau sur une interface, tel qu’expliqué dans Limiter le trafic réseau par adresse MAC à la page 118. Activer un point d’accès sans fil Vous pouvez configurer votre réseau invité sans fil WatchGuard XTM 2 Series ou Firebox X Edge e-Series en tant que point d’accès sans fil afin d’offrir une connexion Internet sans fil à vos visiteurs et clients. Lorsque vous activez la fonctionnalité point d’accès, vous avez plus de contrôle sur les connexions à votre réseau invité sans fil. Lorsque vous configurez votre périphérique en tant que point d’accès sans fil, vous pouvez personnaliser : n n n un écran de démarrage qui s’affiche lorsque les utilisateurs se connectent ; des conditions d’utilisation que les utilisateurs doivent accepter pour pouvoir accéder à un site Web ; la durée maximale pendant laquelle un utilisateur peut se connecter sans interruption. Lorsque vous activez la fonctionnalité point d’accès sans fil, la stratégie Autoriser les utilisateurs de Hotspot est automatiquement créée. Cette stratégie permet aux utilisateurs de se connecter à vos interfaces externes, à partir de l’interface du réseau invité sans fil. Les utilisateurs de points d’accès sans fil peuvent ainsi accéder sans fil à Internet même s’ils n’ont pas accès aux ordinateurs de vos réseaux approuvés et facultatifs. Avant de configurer un point d’accès sans fil, vous devez configurer les paramètres de votre réseau invité sans fil comme décrit dans la section Activer un réseau invité sans fil. Pour configurer le point d’accès sans fil : 1. 2. 3. 4. Sélectionnez Réseau > Sans fil. En regard de Invité sans fil, cliquez sur Configurer. Dans la boîte de dialogue Configuration des invités sans fil, cliquez sur l’onglet Hotspot. Cochez la case Activer le point d’accès. User Guide 203 Configuration sans fil Configurer les paramètres de délai pour les utilisateurs Vous pouvez configurer les paramètres de délai pour limiter la durée pendant laquelle les utilisateurs peuvent utiliser sans interruption votre point d’accès. Une fois le délai expiré, l’utilisateur est déconnecté. Lorsqu’un utilisateur est déconnecté, l’utilisateur perd toute connectivité Internet, mais reste connecté au réseau. L’écran de démarrage du point d’accès s’affiche de nouveau et l’utilisateur doit de nouveau accepter les conditions d’utilisation pour pouvoir continuer à utiliser le point d’accès sans fil. 1. Dans la zone de texte Délai d’expiration de la session, indiquez la durée maximale pendant laquelle un utilisateur peut se connecter sans interruption à votre point d’accès. Vous pouvez indiquer l’unité de temps en la sélectionnant dans la liste déroulante adjacente. Si le délai d’expiration de la session est défini sur 0 (valeur par défaut), les utilisateurs invités sans fil ne sont pas déconnectés au bout d’un certain intervalle de temps. 2. Dans la zone de texte Délai d’inactivité, indiquez la durée pendant laquelle un utilisateur doit rester inactif pour que la connexion expire. Vous pouvez indiquer l’unité de temps en la sélectionnant dans la liste déroulante adjacente. Si le délai d’inactivité est défini sur 0, les utilisateurs ne sont pas déconnectés s’ils n’envoient pas ou ne reçoivent pas de trafic. Personnaliser l’écran de démarrage du point d’accès Lorsque les utilisateurs se connectent à votre point d’accès, ils voient un écran de démarrage ou un site Web auquel ils doivent se connecter pour pouvoir accéder à d’autres sites Web. Vous pouvez configurer le texte qui s’affiche sur cette page, ainsi que l’apparence de celle-ci. Vous pouvez également rediriger les utilisateurs vers une page Web précise une fois qu’ils ont accepté les conditions d’utilisation. Vous devez au moins indiquer le titre de la page et les Conditions d’utilisation pour activer cette fonctionnalité. 1. Dans la zone de texte Titre de la page, saisissez le texte du titre à afficher dans l’écran de démarrage du point d’accès. 204 WatchGuard System Manager Configuration sans fil 2. Pour inclure un message d’accueil : n n Cochez la case Message d’accueil. Dans la zone de texte Message d’accueil, saisissez le message que les utilisateurs verront lorsqu’ils se connecteront au point d’accès. 3. (Facultatif) Pour inclure un logo personnalisé dans l’écran de démarrage : n n Cochez la case Utiliser un logo personnalisé. Cliquez sur Charger pour charger votre fichier de logo personnalisé. Le fichier doit être au format .jpg, .gif ou .png. La taille maximale d’image recommandée est de 90 x 50 (largeur x hauteur) pixels ou 50 ko. 3. Dans la zone de texte Conditions d’utilisation, saisissez ou collez le texte que vos utilisateurs doivent accepter pour pouvoir utiliser le point d’accès. Le texte ne doit pas contenir plus de 20 000 caractères. 4. Pour rediriger automatiquement les utilisateurs vers un site Web une fois qu’ils ont accepté les conditions d’utilisation, saisissez l’URL du site Web dans la zone de texte URL de redirection. 5. Vous pouvez personnaliser les polices et couleurs de votre page d’accueil : n n n User Guide Police : sélectionnez la police dans la liste déroulante Police. Si vous ne spécifiez aucune police, la page d’accueil utilise la police par défaut du navigateur de chaque utilisateur. Taille : sélectionnez la taille du texte dans la liste déroulante Taille. Par défaut, la taille du texte est Moyenne. Couleur du texte : il s’agit de la couleur du texte affiché sur l’écran de démarrage du point d’accès. La couleur par défaut est #000000 (noir). La couleur configurée figure dans un carré, à côté de la zone de texte Couleur du texte. Cliquez sur le carré coloré pour sélectionner une autre couleur dans une palette de couleurs. Vous pouvez également saisir le code de couleur HTML dans la zone de texte Couleur du texte. 205 Configuration sans fil n Couleur d’arrière-plan : il s’agit de la couleur à utiliser pour l’arrière-plan de l’écran de démarrage du point d’accès. La couleur par défaut est #FFFFFF (blanc). La couleur configurée figure dans un carré, à côté de la zone de texte Couleur d’arrière-plan. Cliquez sur le carré coloré pour sélectionner une autre couleur dans une palette de couleurs. Vous pouvez également saisir le code de couleur HTML dans la zone de texte Couleur d’arrière-plan. 7. Cliquez sur Afficher un aperçu de l’écran de démarrage. La boîte de dialogue Afficher un aperçu de l’écran de démarrage s’affiche. Cette boîte de dialogue affiche le titre de la page, le message d’accueil et les conditions d’utilisation que vous avez configurés. Note Dans Policy Manager, la boîte de dialogue Afficher un aperçu de l’écran de démarrage n’affiche pas les police et taille de texte sélectionnées. Pour voir les polices sélectionnées sur l’écran de démarrage, vous devez enregistrer la configuration et vous connecter au point d’accès ou utiliser Fireware XTM Web UI pour afficher un aperçu de l’écran dans la page de configuration de point d’accès invité sans fil. 7. Cliquez sur OK pour fermer la boîte de dialogue d’aperçu. 8. Cliquez sur OK pour enregistrer les paramètres. Se connecter à un point d’accès sans fil Après avoir configuré votre point d’accès sans fil, vous pouvez vous connecter à ce dernier pour voir son écran de démarrage. 1. Utilisez un client sans fil pour vous connecter à votre réseau invité sans fil. Utilisez le SSID et les autres paramètres que vous avez configurés pour le réseau invité sans fil. 2. Ouvrez un navigateur Web. Accédez à un site Web quelconque. L’écran de démarrage du point d’accès sans fil s’affiche dans le navigateur. 206 WatchGuard System Manager Configuration sans fil 3. Cochez la case J’ai lu et j’accepte les conditions d’utilisation. 4. Cliquez sur Continuer. Le navigateur affiche l’URL que vous avez initialement demandée. Sinon, si le point d’accès est configuré pour rediriger automatiquement le navigateur vers une URL, le navigateur accède au site Web. Vous pouvez configurer le contenu et l’aspect de l’écran de démarrage du point d’accès en définissant les paramètres du point d’accès pour votre réseau invité sans fil. L’URL de l’écran de démarrage du point d’accès sans fil est la suivante : https://<IP address of the wireless guest network>:4100/hotspot . Afficher les connexions aux points d’accès sans fil Lorsque vous activez la fonctionnalité point d’accès sans fil, vous pouvez voir le nombre de clients sans fil connectés. Vous avez également la possibilité de déconnecter les clients sans fil. Pour afficher la liste des clients de point d’accès sans fil connectés : 1. Démarrer Firebox System Manager et connectez-vous à votre périphérique sans fil. 2. Cliquez sur l’onglet Liste d’authentification. 3. Cliquez sur Clients Hotspot. Pour chaque client sans fil connecté, l’adresse IP et l’adresse MAC s’affichent. Pour déconnecter un client de point d’accès sans fil, dans Clients Hotpost: 1. Sélectionnez un ou plusieurs clients de point d’accès sans fil connectés. 2. Cliquez sur Déconnecter. 3. Tapez le mot de passe de configuration. User Guide 207 Configuration sans fil Configurer l’interface externe en tant qu’interface sans fil Si l’infrastructure réseau est limitée ou inexistante, vous pouvez utiliser votre périphérique WatchGuard sans fil pour obtenir un accès réseau sécurisé. Vous devez connecter physiquement les périphériques réseau au périphérique WatchGuard. Vous configurez ensuite l’interface externe pour vous connecter à un point d’accès sans fil relié à un réseau plus étendu. Note Lorsque l’interface externe est configurée avec une connexion sans fil, le périphérique WatchGuard sans fil ne peut plus servir de point d’accès sans fil. Pour permettre un accès sans fil, connectez un périphérique de point d’accès sans fil au périphérique WatchGuard sans fil. Configurer l’interface externe principale en tant qu’interface sans fil 1. Sélectionnez Réseau > Sans fil. La boîte de dialogue Configuration sans fil apparaît. 2. Cochez la case Enable wireless (Activer sans fil). 3. Sélectionnez Activer le client sans fil en tant qu’interface externe. 4. Cliquez sur Configurer. Les paramètres d’interface externe apparaissent. 5. Dans la liste déroulante Mode de configuration, sélectionnez une option : Configuration manuelle Pour utiliser une adresse IP statique , sélectionnez cette option. Saisissez l’adresse IP, le masque de sous-réseau et la passerelle par défaut. 208 WatchGuard System Manager Configuration sans fil Client DHCP Pour configurer l’interface externe en tant que client DHCP, sélectionnez cette option. Saisissez les paramètres de configuration DHCP. User Guide 209 Configuration sans fil Pour plus d’informations sur la configuration de l’interface externe afin qu’elle utilise une adresse IP statique ou DHCP, voir Configurer une interface externe à la page 100. 6. Cliquez sur l’onglet Sans fil. Les paramètres de configuration du client sans fil apparaissent. 7. Dans la zone de texte Nom du réseau (SSID), saisissez le nom unique de votre réseau sans fil externe. 8. Dans la liste déroulante Authentification, sélectionnez le type d’authentification afin de permettre les connexions sans fil. Il est conseillé d’utiliser le mode d’authentification WPA2 si les périphériques sans fil du réseau le prennent en charge. Pour plus d’informations sur les méthodes d’authentification sans fil, voir Présentation des paramètres paramètres de sécurité à la page 196. 9. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous sélectionnez une option de chiffrement avec des clés prépartagées, une clé prépartagée aléatoire est générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé. 10. Cliquez sur OK. Configurer un tunnel BOVPN pour plus de sécurité Pour créer un pont sans fil et accroître la sécurité sur le réseau, ajoutez un tunnel BOVPN entre votre périphérique WatchGuard et la passerelle externe. Sur les deux périphériques, activez le Mode agressif dans les paramètres de phase 1 de votre configuration BOVPN. Pour plus d’informations sur la configuration d’un tunnel BOVPN, voir À propos des tunnels BOVPN manuels à la page 840. 210 WatchGuard System Manager Configuration sans fil Présentation des paramètres paramètres de radio sans fil sur Firebox X Edge e-Series Les périphériques sans fil WatchGuard envoient et reçoivent par radiofréquences le trafic des ordinateurs équipés de cartes Ethernet sans fil. Plusieurs paramètres sont spécifiques à la sélection du canal. Affichage et modification des paramètres radio : 1. Ouvrez Policy Manager. 2. Sélectionnez Réseau > Sans fil. La boîte de dialogue Configuration sans fil apparaît. Les Paramètres radio sont affichés en bas de cette boîte de dialogue. Réglage de la région d’exploitation et du canal L’activation sans fil exige de définir la région d’exploitation. 1. Dans la liste déroulante Région d’exploitation, sélectionnez la région définissant le mieux l’endroit où se trouve votre périphérique. La liste des régions d’exploitation sans fil que vous pouvez sélectionner est susceptible de varier, selon l’endroit où vous avez acheté Firebox. 2. Dans la liste déroulante Canal, sélectionnez un canal ou bien Auto. Si vous réglez le canal sur Auto, le périphérique sans fil WatchGuard sélectionne automatiquement le canal avec le signal le plus puissant disponible dans sa zone géographique. User Guide 211 Configuration sans fil En raison des différentes réglementations à travers le monde, les canaux sans fil ne sont pas tous disponibles dans toutes les zones. Ce tableau inclut les canaux offerts pour chaque région d’exploitation sans fil et pris en charge par Firebox X Edge E-Series sans fil. Fréquence Canal centrale (MHz) Amérique Asie République Australie EMOA France Israël Japon Taïwan Populaire & N.Z. de Chine 1 2 412 Oui Oui Oui Oui -- -- Oui Oui Oui 2 2 417 Oui Oui Oui Oui -- -- Oui Oui Oui 3 2 422 Oui Oui Oui Oui -- Oui Oui Oui Oui 4 2 427 Oui Oui Oui Oui -- Oui Oui Oui Oui 5 2 432 Oui Oui Oui Oui -- Oui Oui Oui Oui 6 2 437 Oui Oui Oui Oui -- Oui Oui Oui Oui 7 2 442 Oui Oui Oui Oui -- Oui Oui Oui Oui 8 2 447 Oui Oui Oui Oui -- Oui Oui Oui Oui 9 2 452 Oui Oui Oui Oui -- Oui Oui Oui Oui 10 2 457 Oui Oui Oui Oui Oui -- Oui Oui Oui 11 2 462 Oui Oui Oui Oui Oui -- Oui Oui Oui 12 2 467 -- -- Oui Oui Oui -- Oui -- Oui 13 2 472 -- -- Oui Oui Oui -- Oui -- Oui 14 2 484 -- -- -- -- -- -- Oui -- -- Définissez mode d’exploitation sans fil La plupart des cartes sans fil fonctionnent uniquement en mode 802.11b (jusqu’à 11 Mo/seconde) ou en mode 802.11g (54 Mo/seconde). Pour définir le mode d’exploitation du périphérique sans fil WatchGuard, choisissez une option dans la liste déroulante Mode sans fil. Il existe trois modes sans fil : 802.11b uniquement Ce mode force le périphérique sans fil WatchGuard à se connecter à des périphériques uniquement en mode 802.11b. 802.11g uniquement Ce mode force le périphérique sans fil WatchGuard à se connecter à des périphériques uniquement en mode 802.11g. 212 WatchGuard System Manager Configuration sans fil 802.11g et 802.11b Ce mode par défaut est le paramètre recommandé. Ce mode permet au périphérique WatchGuard de se connecter à des périphériques qui utilisent 802.11b ou 802.11g. Le périphérique WatchGuard fonctionne en mode 802.11g uniquement lorsque toutes les cartes sans fil connectées à celui-ci utilisent 802.11g. Si un client 802.11b se connecte au périphérique, toutes les connexions passent automatiquement en mode 802.11b. Présentation des paramètres radio sans fil du WatchGuard XTM sans fil Série 2 Les périphériques sans fil WatchGuard envoient et reçoivent par radiofréquences le trafic des ordinateurs équipés de cartes Ethernet sans fil. Les paramètres radio offerts pour le périphérique sans fil WatchGuard XTM Série 2 diffèrent de ceux du périphérique sans fil Firebox X Edge e-Series. Affichage et modification des paramètres radio : 1. Ouvrez Policy Manager. 2. Sélectionnez Réseau > Sans fil. La boîte de dialogue Configuration sans fil apparaît. Les Paramètres radio sont affichés en bas de cette boîte de dialogue. User Guide 213 Configuration sans fil Le réglage du pays est automatique À cause des différentes dispositions réglementaires dans le monde, les paramètres radio autorisés sont spécifiques à chaque pays. En conséquence, chaque fois que vous allumez un périphérique sans fil XTM 2 Series, il contacte un serveur WatchGuard pour déterminer le pays et les paramètres autorisés par celui-ci. Le périphérique doit donc être connecté à Internet. Après que le pays est identifié, vous pouvez définir tous les paramètres radio sans fil pris en charge et autorisés dans ce pays. Lorsque vous paramétrez pour la première fois un périphérique sans fil XTM Série 2, le pays n’est parfois pas affiché dans la page Configuration sans fil de Policy Manager. En effet, après que le périphérique sans fil XTM Série 2 s’est connecté pour la première fois à Internet, Policy Manager doit se connecter à WatchGuard pour obtenir le paramètre du pays, s’il a été détecté. Mise à jour de la configuration Policy Manager avec le paramètre de pays du périphérique XTM Série 2 : 1. Cliquez sur Télécharger. La boîte de dialogue du téléchargement Pays s’affiche. 2. Entrez le mot de passe d’état (lecture seule) de Firebox. Le pays mis à jour est alors affiché sur le périphérique XTM Série 2. Dans la boîte de dialogue Configuration sans fil, le paramètre Pays indique le pays détecté par le périphérique. Le paramètre Pays ne peut être modifié. Les options proposées pour les autres paramètres radio sont conformes aux dispositions réglementaires du pays détecté par le périphérique. Note Lorsque Policy Manager ne s’est pas encore connecté au périphérique XTM Série 2, ou lorsque le périphérique XTM Série 2 ne peut pas se connecter au serveur WatchGuard, le pays demeure inconnu. Dans ce cas-là, vous ne pouvez choisir qu’un ensemble limité de paramètres radio sans fil, ceux qui sont autorisés dans tous les pays. Le périphérique sans fil XTM Série 2 essaiera sur une base régulière de se connecter au serveur WatchGuard pour identifier le pays et les paramètres radio sans fil autorisés. Si le périphérique Série 2 n’a pas encore de région définie, ou si la région n’est pas à jour, vous pouvez forcer le périphérique à mettre à jour la région de radio sans fil. Mise à jour de la région de radio sans fil : 1. Démarrer Firebox System Manager 2. Sélectionnez Outils > Mettre à jour la région de radio sans fil. Le périphérique Série 2 contacte un serveur WatchGuard en vue de déterminer la région d’exploitation. 214 WatchGuard System Manager Configuration sans fil Sélectionnez la Bande passante et le mode sans fil Le périphérique sans fil WatchGuard XTM Série 2 prend en charge deux sortes de bandes sans fil, 2,4 GHz et 5 GHz. La bande passante que vous choisissez et le pays déterminent les modes sans fil pris en charge. Sélectionnez la Bande compatible avec le mode sans fil que vous souhaitez utiliser. Sélectionnez ensuite le mode dans la liste déroulante Mode sans fil. La bande passante 2,4 GHz prend en charge ces modes sans fil 802.11n, 802.11g et 802.11b Ce mode par défaut pour la bande 2,4 GHz est le paramètre recommandé. Ce mode permet au périphérique WatchGuard de se connecter à des appareils qui utilisent 802.11n, 802.11g ou 802.11b. 802.11g et 802.11b Ce mode permet au périphérique sans fil WatchGuard de se connecter à des appareils qui utilisent 802.11n ou 802.11b. 802.11b UNIQUEMENT Ce mode permet au périphérique sans fil WatchGuard de se connecter uniquement à des appareils qui utilisent 802.11b. La bande passante 5 GHz prend en charge ces modes sans fil 802.11a et 802.11n Mode par défaut de la bande passante 5 GHz. Ce mode permet au périphérique sans fil WatchGuard de se connecter à des appareils qui utilisent 802.11a ou 802.11n. 802.11a SEULEMENT Ce mode permet au périphérique sans fil WatchGuard de se connecter uniquement à des appareils qui utilisent 802.11a. Note Une baisse considérable des performances risque de se produire si vous choisissez un mode sans fil prenant en charge plusieurs normes 802.11r. Cette baisse est causée en partie par la prise en charge nécessaire des protocoles de protection pour la compatibilité en aval lorsque des périphériques utilisant des modes plus lents sont connectés. En outre, ces périphériques plus lents prédominent d’ordinaire le débit, puisqu’envoyer ou recevoir la même quantité de données prend beaucoup plus de temps avec ces appareils. La bande 5 GHz fournit un meilleur rendement que la bande 2,4 GHz, mais elle est incompatible avec certains périphériques sans fil. Sélectionnez la bande passante et le mode en fonction des cartes sans fil dans les périphériques qui se connecteront au périphérique sans fil WatchGuard. User Guide 215 Configuration sans fil Sélection du canal Les canaux disponibles varient selon le pays et le mode sans fil que vous choisissez. Par défaut, le Canal est réglé sur Auto. Lorsque le canal est sur Auto, les périphériques sans fil de la Série 2 sélectionnent automatiquement un canal silencieux dans la liste pour la bande sélectionnée. Ou, vous pouvez sélectionner un canal particulier dans la liste déroulante Canal. Configurer carte sans fil sur votre ordinateur Ces instructions visent le système d’exploitation Windows XP avec Service Pack 2. Pour consulter les instructions d’installation des autres systèmes d’exploitation, reportez-vous à la documentation ou aux fichiers d’aide appropriés. 1. Sélectionnez démarrer > Paramètres > Panneau de configuration > Connexions réseau. La boîte de dialogue Connexions du réseau s’affiche. 2. Faites un clic droit sur Connexion réseau sans fil, puis sélectionnez Propriétés. La boîte de dialogue Connexions du réseau sans fil s’affiche. 3. Sélectionnez l’onglet Configuration réseaux sans fil. 4. Sous Réseaux favoris, cliquez sur Ajouter. La boîte de dialogue Propriétés de Connexion réseau sans fil s’affiche. 5. Tapez le SSID dans la zone de texte Nom réseau (SSID). 6. Sélectionnez les méthodes d’authentification réseau et de chiffrement de données dans les listes déroulantes. Au besoin, décochez la case La clé m’est fournie automatiquement et tapez la clé réseau à deux reprises. 7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion réseau sans fil. 8. Cliquez sur Afficher les réseaux sans fil. Toutes les connexions sans fil disponibles s’affichent dans la zone de texte Réseaux disponibles. 9. Sélectionnez le SSID du réseau sans fil et cliquez sur Connecter. Si le réseau utilise le chiffrement, tapez la clé réseau deux fois dans la boîte de dialogue Connexion réseau sans fil, puis cliquez à nouveau sur Connecter. 10. Configurez l’ordinateur sans fil pour qu’il utilise le protocole DHCP. 216 WatchGuard System Manager 10 Routage dynamique À propos du routage dynamique Un protocole de routage est le langage qu’utilisent les routeurs pour communiquer entre eux afin de partager des informations sur l’état de tables de routage réseau. Avec le routage statique, les tables de routage sont définies et inchangeables. En cas d’échec d’un routeur sur le chemin distant, un paquet ne peut pas arriver à sa destination. Le routage dynamique procède à la mise à jour automatique des tables en fonction de l’évolution de la configuration du réseau. Note Certains protocoles de routage dynamique sont uniquement pris en charge par Fireware XTM avec mise à niveau Pro. Le routage dynamique n’est pas pris en charge par les périphériques Firebox X Edge E-Series. Fireware XTM prend en charge les protocoles RIP v1 et RIP v2. Fireware XTM avec mise à niveau Pro prend en charge les protocoles RIP v1, RIP v2, OSPF et BGP v4. À propos des fichiers de configuration du démon de routage Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou taper un fichier de configuration de routage dynamique pour le démon de routage que vous choisissez. Ce fichier de configuration comprend des informations telles qu’un mot de passe et un nom de fichier journal. Pour découvrir des exemples de fichiers de configuration pour chacun des protocoles de routage, voir les rubriques suivantes : n n n Exemple de fichier de configuration de routage RIP Exemple de fichier de configuration d’un routage OSPF Exemple de fichier de configuration de routage BGP Remarques sur les fichiers de configuration : User Guide 217 Routage dynamique n n Les caractères « ! » et « # » sont placés avant les commentaires, qui correspondent à des lignes de texte insérées dans les fichiers de configuration pour expliquer la fonction des commandes suivantes. Si le premier caractère d’une ligne est un caractère de commentaire, le reste de la ligne est alors interprété comme un commentaire. Vous pouvez utiliser le mot « no » au début d’une ligne pour désactiver une commande. Par exemple, « no network 10.0.0.0/24 area 0.0.0.0 » désactive la zone principale sur le réseau spécifié. À propos du protocole RIP (Routing Information Protocol) Le protocole RIP (Routing Information Protocol) est utilisé pour gérer les informations du routeur dans un réseau autonome, par exemple un réseau local d’entreprise (LAN) ou un réseau étendu privé (WAN). Avec le protocole RIP, un hôte passerelle envoie sa table de routage au routeur le plus proche toutes les 30 secondes. Ce routeur, à son tour, envoie le contenu de ses tables de routage aux routeurs voisins. Le protocole RIP convient parfaitement aux petits réseaux. Cela est dû au fait que la transmission de la table de routage complète toutes les 30 secondes peut générer une charge de trafic importante sur le réseau. De plus, les tables RIP sont limitées à 15 sauts. Le protocole OSPF est mieux adapté aux réseaux plus importants. Il existe deux versions du protocole RIP. Le protocole RIP v1 utilise la diffusion UDP sur le port 520 pour envoyer les mises à jour des tables de routage. Le protocole RIP v2 utilise la multidiffusion pour envoyer les mises à jour des tables de routage. Commandes du protocole RIP Le tableau suivant présente la liste des commandes de routage RIP v1 et RIP v2 prises en charge que vous pouvez utiliser pour créer ou modifier un fichier de configuration de routage. Si vous utilisez le protocole RIP v2, vous devez inclure le masque de sous-réseau pour toute commande qui utilise une adresse IP réseau ; sinon, le protocole RIP v2 ne fonctionne pas. Les sections doivent apparaître dans le fichier de configuration dans le même ordre qu’elles apparaissent dans ce tableau. Section Commande Description Définir une authentification par mot de passe simple ou MD5 sur une interface interface eth [N] Commence la section pour définir le type d’authentification pour l’interface. 218 ip rip authentication string [PASSWORD] Définit un mot de passe d’authentification RIP. key chain [KEY-CHAIN] Définit un nom de chaîne de clé MD5. key [INTEGER] Définit un numéro de clé MD5. key-string [AUTH-KEY] Définit une clé d’authentification MD5. ip rip authentication mode md5 Utilise l’authentification MD5. WatchGuard System Manager Routage dynamique Section Commande Description ip rip authentication mode key-chain [KEY-CHAIN] Définit une chaîne de clé d’authentification MD5. Configurer le démon de routage RIP router rip Active le démon RIP. version [1/2] Définit la version 1 ou 2 du protocole RIP (la valeur par défaut est 2). ip rip send version [1/2] Définit la version 1 ou 2 du protocole RIP à envoyer. ip rip receive version [1/2] Définit la version 1 ou 2 du protocole RIP à recevoir. no ip split-horizon Désactive le découpage d’horizon (activé par défaut). Configurer les interfaces et les réseaux no network eth[N] passive-interface eth[N] passive-interface default network [A.B.C.D/M] neighbor [A.B.C.D/M] Distribuer des itinéraires à des pairs RIP et injecter des itinéraires OSPF ou BGP dans la table de routage RIP User Guide default-information originate Partage l’itinéraire de dernier recours (itinéraire par défaut) avec des pairs RIP. redistribute kernel Redistribue les itinéraires statiques de pare-feu vers des pairs RIP. redistribute connected Redistribue les itinéraires de toutes les interfaces vers des pairs RIP. redistribute connected route-map [MAPNAME] Redistribue les itinéraires de toutes les interfaces vers des pairs RIP avec un filtre de mappage d’itinéraire (mapname). redistribute ospf Redistribue les itinéraires du protocole OSPF vers le protocole RIP. redistribute ospf routemap [MAPNAME] Redistribue les itinéraires du protocole OSPF vers le protocole RIP avec un filtre de mappage d’itinéraire (mapname). redistribute bgp Redistribue les itinéraires du protocole BGP vers le protocole RIP. 219 Routage dynamique Section Commande Description Redistribue les itinéraires du protocole BGP vers le redistribute bgp route-map protocole RIP avec un filtre de mappage d’itinéraire [MAPNAME] (mapname). Configurer des filtres de redistribution d’itinéraire avec des mappages d’itinéraires et des listes d’accès access-list [PERMIT|DENY] [LISTNAME] [A,B,C,D/M | ANY] Crée une liste d’accès pour autoriser ou refuser la redistribution d’une seule adresse IP ou de toutes les adresses IP. route-map [MAPNAME] permit [N] Crée un mappage d’itinéraire avec un nom et la priorité N. match ip address [LISTNAME] Configurer Firebox pour qu’il utilise RIP v1 1. Sélectionnez Réseau > Routage dynamique. Configuration du routage dynamique boîte de dialogue s’affiche. 2. Activez la case à cocher Activer le routage dynamique. 3. Cliquez sur l’onglet RIP. 4. Sélectionnez Activer RIP . 5. Pour importer le fichier de configuration d’un démon de routage, cliquez sur Importer et sélectionnez le fichier. Sinon, copiez et collez le texte de votre fichier de configuration dans la zone de texte. 220 WatchGuard System Manager Routage dynamique 6. Cliquez sur OK. Pour de plusamples informations,cf. Àpropos desfichiers deconfiguration dudémon deroutage àla page 217. Autoriser le trafic RIP v1 via Firebox Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de diffusions RIP du routeur à l’adresse IP de diffusion du réseau. Vous devez aussi ajouter l’adresse IP de l’interface Firebox dans le champ À. 1. Cliquez sur sinon, sélectionnez Modifier > Ajouter une stratégie. 2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter. 3. Dans la boîte de dialogue Propriétés de la nouvelle stratégie, configurez la stratégie de manière à autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole RIP vers l’interface Firebox à laquelle il se connecte. Vous devez également ajouter l’adresse IP de diffusion du réseau. 4. Cliquez sur OK.. 5. Configurez le routeur sélectionné à l’étape 3. 6. Une fois le routeur configuré, ouvrez les Statistiques du trafic et des performances (onglet Rapport d’état) et consultez la section relative au routage dynamique pour vérifier que Firebox et le routeur s’envoient mutuellement des mises à jour. Vous pouvez ensuite ajouter une authentification et restreindre la stratégie RIP à une écoute seule sur les interfaces appropriées. Configurer Firebox pour qu’il utilise RIP v2 1. Sélectionnez Réseau > Routage dynamique. Configuration du routage dynamique boîte de dialogue s’affiche. User Guide 221 Routage dynamique 2. Activez la case à cocher Activer le routage dynamique. 3. Cliquez sur l’onglet RIP. 4. Sélectionnez Activer RIP . 5. Pour importer le fichier de configuration d’un démon de routage, cliquez sur Importer et sélectionnez le fichier. Sinon, copiez et collez le texte de votre fichier de configuration dans la zone de texte. 6. Cliquez sur OK. 222 WatchGuard System Manager Routage dynamique Pour de plusamples informations,cf. Àpropos desfichiers deconfiguration dudémon deroutage àla page 217. Autoriser le trafic RIP v2 via Firebox Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de multidiffusions RIP v2 des routeurs sur lesquels le protocole RIP v2 est activé vers les adresses IP de multidiffusions réservées pour le protocole RIP v2. 1. Cliquez sur sinon, sélectionnez Modifier > Ajouter une stratégie. 2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter. 3. Dans la boîte de dialogue Propriétés de la nouvelle stratégie, configurez la stratégie de manière à autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole RIP vers l’adresse de multidiffusions 224.0.0.9. 4. Cliquez sur OK.. 5. Configurez le routeur sélectionné à l’étape 3. 6. Une fois le routeur configuré, ouvrez les Statistiques du trafic et des performances (onglet Rapport d’état) et consultez la section relative au routage dynamique pour vérifier que Firebox et le routeur s’envoient mutuellement des mises à jour. Vous pouvez ensuite ajouter une authentification et restreindre la stratégie RIP à une écoute seule sur les interfaces appropriées. Exemple de fichier de configuration de routage RIP Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou copier et coller un fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un exemple de fichier de configuration pour le démon de routage RIP. Si vous souhaitez utiliser ce fichier de configuration comme base de votre propre fichier de configuration, copiez le texte dans une application telle que Bloc-notes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les paramètres en fonction des exigences de votre organisation. Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez le point d’exclamation et modifiez les variables en fonction de vos besoins. !! SECTION 1 : Configurer les trousseaux de clés d’authentification MD5 ! Définit le nom du trousseau de clés d’authentification MD5 (KEYCHAIN), le numéro de clé (1) ! et la chaîne de la clé d’authentification (AUTHKEY). ! key chain KEYCHAIN ! key 1 ! key-string AUTHKEY !! SECTION 2 : Configurer les propriétés de l’interface ! Définit l’authentification de l’interface (eth1). ! interface eth1 ! ! Définit le mot de passe d’authentification simple du protocole RIP (SHAREDKEY). ! ip rip authentication string SHAREDKEY ! ! Définit l’authentification MD5 du protocole RIP et le trousseau MD5 (KEYCHAIN). ! ip rip authentication mode md5 ! ip rip authentication key-chain KEYCHAIN User Guide 223 Routage dynamique ! !! SECTION 3 : Configurer les propriétés globales du démon RIP ! Active le démon RIP. Doit être activé pour toutes les configurations RIP. router rip ! ! Définit la version 1 du protocole RIP ; la valeur par défaut est 2. ! version 1 ! ! Définit l’envoi et la réception sur la version 1 du protocole RIP ; la valeur par défaut est 2. ! ip rip send version 1 ! ip rip receive version 1 ! ! Désactive le découpage d’horizon pour éviter les boucles de routage. La valeur par défaut est activée. ! no ip split-horizon !! SECTION 4 : Configurer les interfaces et les réseaux ! Désactive l’envoi et la réception par protocole RIP sur l’interface (eth0). ! no network eth0 ! ! Définit le mode réception seule du protocole RIP sur l’interface (eth2). ! passive-interface eth2 ! ! Définit le mode réception seule du protocole RIP sur toutes les interfaces. ! passive-interface default ! ! Active la diffusion (version 1) ou la multidiffusion (version 2) du protocole RIP sur ! le réseau (192.168.253.0/24). !network 192.168.253.0/24 ! ! Définit la monodiffusion des mises à jour de la table de routage vers le voisin (192.168.253.254). ! neighbor 192.168.253.254 !! SECTION 5 : Redistribue des itinéraires RIP à des pairs et injecte des itinéraires OSPF ou BGP !! dans la table de routage RIP. ! Partage l’itinéraire de dernier recours (itinéraire par défaut) de la table de routage des noyaux ! avec des pairs RIP. ! default-information originate ! ! Redistribue les itinéraires statiques de pare-feu vers les pairs RIP. ! redistribute kernel ! ! Définit le mappage d’itinéraires (MAPNAME) de sorte qu’il restreigne la redistribution des itinéraires de la section 6. ! Redistribue les itinéraires de toutes les interfaces vers des pairs RIP ou avec un filtre de mappage ! d’itinéraire (MAPNAME). ! redistribute connected ! redistribute connected route-map MAPNAME ! 224 WatchGuard System Manager Routage dynamique ! Redistribue les itinéraires du protocole OSPF vers le protocole RIP ou avec un filtre de mappage d’itinéraire (MAPNAME). ! redistribute ospf !redistribute ospf route-map MAPNAME ! ! Redistribue les itinéraires du protocole BGP vers le protocole RIP ou avec un filtre de mappage d’itinéraire (MAPNAME). ! redistribute bgp !redistribute bgp route-map MAPNAME !! SECTION 6 : Configurer des filtres de redistribution d’itinéraire avec des mappages d’itinéraires et !! des listes d’accès ! Crée une liste d’accès autorisant uniquement la redistribution de 172.16.30.0/24. ! access-list LISTNAME permit 172.16.30.0/24 ! access-list LISTNAME deny any ! ! Crée un mappage d’itinéraire avec le nom MAPNAME et la priorité 10. ! route-map MAPNAME permit 10 ! match ip address LISTNAME À propos du protocole OSPF (Open Shortest Path First) Note Ceprotocole estuniquement prisen chargepar Fireware XTMavec miseà niveauPro. Le protocole OSPF (Open Shortest Path First) est un protocole de routeur intérieur qui est utilisé dans les réseaux de grande taille. Avec le protocole OSPF, un routeur qui détecte une modification dans sa table de routage ou dans le réseau envoie immédiatement une mise à jour par multidiffusion à tous les autres routeurs du réseau. Les protocoles OSPF et RIP présentent les différences suivantes : n n Le protocole OSPF envoie uniquement la partie de la table de routage ayant été modifiée au cours de sa transmission. Le protocole RIP envoie systématiquement la table de routage dans son intégralité. Le protocole OSPF envoie uniquement une multidiffusion lorsque ses informations ont été modifiées. Le protocole RIP envoie la table de routage toutes les 30 secondes. Notez également la caractéristique suivante à propos du protocole OSPF : n n Si vous possédez plusieurs zones OSPF, l’une d’entre elles doit être la zone 0.0.0.0 (la zone principale). Toutes les zones doivent être adjacentes à la zone principale. Si ce n’est pas le cas, vous devez configurer une liaison virtuelle à la zone principale. Commandes OSPF Pour créer ou modifier un fichier de configuration de routage, vous devez utiliser les commandes de routage appropriées. Le tableau suivant présente la liste des commandes de routage OSPF prises en charge. Les sections doivent apparaître dans le fichier de configuration dans le même ordre qu’elles apparaissent dans ce tableau. Vous pouvez également utiliser le texte donné en exemple dans Exemple de fichier de configuration d’un routage OSPF à la page 231. User Guide 225 Routage dynamique Section Commande Description Configurer l’interface ip ospf authentication-key [PASSWORD] Définit le mot de passe d’authentification OSPF. interface eth[N] Commence la section pour définir les propriétés de l’interface. ip ospf message-digest-key [KEY-ID] md5 [KEY] Définit l’ID de clé et la clé d’authentification MD5. ip ospf cost [1-65535] Définit le coût de liaison pour l’interface (voir le tableau des coûts d’interface OSP ci-dessous). ip ospf hello-interval [165535] Définit l’intervalle d’envoi des paquets hello ; la valeur par défaut est 10 s. ip ospf dead-interval [165535] Définit l’intervalle de temps, après le dernier paquet hello, au terme duquel un voisin est déclaré inactif ; la valeur par défaut est 40 s. ip ospf retransmit-interval [165535] Définit l’intervalle entre les retransmissions d’annonces d’état de liaison (LSA) ; la valeur par défaut est 5 s. ip ospf transmit-delay [13600] Définit le temps nécessaire pour envoyer une mise à jour LSA ; la valeur par défaut est 1 s. ip ospf priority [0-255] Définit la priorité de l’itinéraire ; une valeur élevée augmente les chances du routeur de devenir le routeur désigné (DR). Configurer le démon de routage OSPF router ospf Active le démon OSPF. ospf router-id [A.B.C.D] Définit l’ID du routeur pour OSPF manuellement ; le routeur déterminera son propre ID s’il n’est pas défini. ospf rfc 1583compatibility Active la compatibilité avec le document RFC 1583 (peut entraîner des boucles de routage). ospf abr-type Pour plus d’informations sur cette commande, voir le [cisco|ibm|shortcut|standard] fichier draft-ietf-abr-o5.txt. 226 passive-interface eth[N] Désactive l’annonce OSPF sur l’interface eth[N]. auto-cost reference bandwidth[0-429495] Définit un coût global (voir le tableau des coûts OSPF cidessous) ; ne pas l’utiliser conjointement avec la commande « ip ospf [COST] ». timers spf [0-4294967295][04294967295] Définit le délai de planification et le délai de rétention OSPF WatchGuard System Manager Routage dynamique Section Commande Description Activer OSPF sur un réseau *La variable « area » prend en charge deux formats : [W.X.Y.Z] ou en tant qu’entier [Z]. Annonce OSPF sur le réseau. network [A.B.C.D/M] area [Z] A.B.C.D/M for area 0.0.0.Z Configurer les propriétés de la zone principale ou d’autres zones La variable « area » prend en charge deux formats : [W.X.Y.Z] ou en tant qu’entier [Z]. area [Z] range [A.B.C.D/M] Crée une zone 0.0.0.Z et définit un réseau à classes pour la zone (la plage et le paramètre de réseau et de masque d’interface doivent correspondre). area [Z] virtual-link [W.X.Y.Z] Définit le voisin de liaison virtuelle pour la zone 0.0.0.Z. area [Z] stub Définit la zone 0.0.0.Z en tant que stub. area [Z] stub no-summary area [Z] authentication Active l’authentification par mot de passe simple pour la zone 0.0.0.Z. area [Z] authentication message-digest Active l’authentification MD5 pour la zone 0.0.0.Z. Redistribuer les itinéraires OSPF User Guide default-information originate Partage l’itinéraire de dernier recours (itinéraire par défaut) avec OSPF. default-information originate metric [0-16777214] Partage l’itinéraire de dernier recours (itinéraire par défaut) avec OSPF et ajoute une mesure utilisée pour générer l’itinéraire par défaut. default-information originate always Partage toujours l’itinéraire de dernier recours (itinéraire par défaut). default-information originate always metric [0-16777214] Partage toujours l’itinéraire de dernier recours (itinéraire par défaut) et ajoute une mesure utilisée pour générer l’itinéraire par défaut. redistribute connected Redistribue les itinéraires de toutes les interfaces vers le protocole OSPF. redistribute connected metrics Redistribue les itinéraires de toutes les interfaces vers le protocole OSPF et ajoute une mesure utilisée pour l’action. 227 Routage dynamique Section Commande Description Configurer la redistribution des itinéraires avec des listes d’accès et des mappages d’itinéraires access-list [LISTNAME] permit [A.B.C.D/M] Crée une liste d’accès pour autoriser la distribution de A.B.C.D/M. access-lists [LISTNAME] deny any Interdit la distribution de tout mappage d’itinéraire non spécifié ci-dessus. route-map [MAPNAME] permit [N] Crée un mappage d’itinéraire avec le nom [MAPNAME] et la priorité [N]. match ip address [LISTNAME] Tableau des coûts d’interface OSPF Le protocole OSPF identifie l’itinéraire le plus efficace entre deux points. Pour cela, il prend en compte différents facteurs tels que la vitesse de liaison de l’interface, le nombre de sauts entre les points et d’autres mesures. Par défaut, le protocole OSPF utilise la vitesse de liaison réelle d’un périphérique pour calculer le coût total d’un itinéraire. Vous pouvez définir manuellement le coût d’interface pour maximiser l’efficacité si, par exemple, votre pare-feu basé sur un gigaoctet est connecté à un routeur 100M. Utilisez les chiffres fournis dans le tableau pour attribuer manuellement au coût d’interface une valeur différente du coût réel. Type d’interface Bande passante en bits/s Bande passante en octets/s Coût d’interface OSPF Ethernet 1G 128 M 1 Ethernet 100 M 12,5 M 10 Ethernet 10 M 1,25 M 100 Modem 2M 256 K 500 Modem 1M 128 K 1 000 Modem 500 K 62,5 K 2 000 Modem 250 K 31,25 K 4 000 Modem 125 K 15 625 8 000 Modem 62 500 7 812 16 000 Série 115 200 14 400 10 850 Série 57 600 7 200 21 700 Série 38 400 4 800 32 550 Série 19 200 2 400 61 120 Série 9 600 1 200 65 535 228 WatchGuard System Manager Routage dynamique Configurer Firebox pour utiliser OSPF 1. Sélectionnez Réseau > Routage dynamique. Configuration du routage dynamique boîte de dialogues’affiche. 2. Activez la case à cocher Activer le routage dynamique. 3. Cliquez sur l’onglet OSPF. 4. Sélectionnez Activer OSPF. 5. Cliquez sur Importer pour importer un fichier de configuration de démon de routage ou copiez et collez votre fichier de configuration dans la zone de texte. User Guide 229 Routage dynamique Pour de plus amples informations, cf. À propos des fichiers de configuration du démon de routage à la page 217. Pour commencer, vous n’avez besoin que de deux commandes dans votre fichier de configuration OSPF. Exécutées dans l’ordre suivant, ces deux commandes lancent le processus OSPF : router ospf network <network IP address of the interface you want the process to listen on and distribute through the protocol> area <area ID in x.x.x.x format, such as 0.0.0.0> 6. Cliquez sur OK. Autoriser le trafic OSPF via Firebox Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de multidiffusions OSPF des routeurs sur lesquels le protocole OSPF est activé vers les adresses de multidiffusion réservées pour le protocole OSPF. 1. Cliquez sur sinon, sélectionnez Modifier > Ajouter une stratégie. 2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter. 3. Dans la boîte de dialogue Propriétés de la nouvelle stratégie, configurez la stratégie de manière à autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole OSPF vers les adresses IP 224.0.0.5 et 224.0.0.6. Pour plus d’informations sur la manière de définir les adresses d’origine et de destination d’une stratégie, voir Définir des règles d’accès pour une stratégie à la page 360. 4. Cliquez sur OK.. 5. Configurez le routeur sélectionné à l’étape 3. 230 WatchGuard System Manager Routage dynamique 6. Une fois le routeur configuré, ouvrez les Statistiques du trafic et des performances (onglet Rapport d’état) et consultez la section relative au routage dynamique pour vérifier que Firebox et le routeur s’envoient mutuellement des mises à jour. Vous pouvez ensuite ajouter une authentification et restreindre la stratégie OSPF à une écoute seule sur les interfaces appropriées. Exemple de fichier de configuration d’un routage OSPF Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou copier et coller un fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un exemple de fichier de configuration pour le démon de routage OSPF. Si vous souhaitez utiliser ce fichier de configuration comme base de votre propre fichier de configuration, copiez le texte dans une application telle que Bloc-notes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les paramètres en fonction des exigences de votre organisation. Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez le point d’exclamation et modifiez les variables en fonction de vos besoins. !! SECTION 1 : Configurer les propriétés de l’interface ! Définit les propriétés de l’interface eth1. ! interface eth1 ! ! Définit le mot de passe d’authentification simple (SHAREDKEY). ! ip ospf authentication-key SHAREDKEY ! ! Définit l’ID de la clé d’authentification MD5 (10) et la clé d’authentification MD5 (AUTHKEY). ! ip ospf message-digest-key 10 md5 AUTHKEY ! ! Fixe le coût de liaison à 1 000 (1-65535) sur l’interface eth1 ! pour le tableau des coûts de liaison OSPF. !ip ospf cost 1000 ! ! Définit l’intervalle entre les paquets hello sur 5 s. (1-65535) ; la valeur par défaut est 10 s. ! ip ospf hello-interval 5 ! ! Définit l’intervalle d’inactivité sur 15 s. (1-65535) ; la valeur par défaut est 40 s. ! ip ospf dead-interval 15 ! ! Définit l’intervalle entre les retransmissions d’annonces d’état de liaison (LSA) ! sur 10 s. (1-65535) ; la valeur par défaut est 5 s. ! ip ospf retransmit-interval 10 ! ! Définit l’intervalle de mise à jour des LSA sur 3 s. (1-3600) ; la valeur par défaut est 1 s. ! ip ospf transmit-delay 3 ! ! Définit le niveau de priorité (0-255) pour augmenter les chances du routeur de devenir le ! routeur désigné (DR). User Guide 231 Routage dynamique ! ip ospf priority 255 !! SECTION 2 : Lancer le protocole OSPF et définir les propriétés du démon ! Active le démon OSPF. Doit être activé pour toutes les configurations OSPF. ! router ospf ! ! Définit l’ID du routeur manuellement sur 100.100.100.20. S’il n’est pas défini, le pare-feu ! établira lui-même l’ID en fonction d’une adresse IP d’interface. ! ospf router-id 100.100.100.20 ! ! Active la compatibilité avec le document RFC 1583 (augmente la probabilité des boucles de routage). ! ospf rfc1583compatibility ! ! Définit le type de routeur de frontière de zone (ABR) sur cisco, ibm, shortcut ou standard. ! Pour plus d’informations sur les types d’ABR, voir draft-ietf-ospf-abr-alt05.txt. ! ospf abr-type cisco ! ! Désactive l’annonce OSPF sur l’interface eth0. ! passive interface eth0 ! ! Définit le coût global sur 1 000 (0-429495). ! auto-cost reference bandwidth 1000 ! ! Définit le délai de planification de SPF sur 25 s. (0-4294967295) et le délai de rétention sur ! sur 20 s. (0-4294967295) ; les valeurs par défaut sont 5 et 10 s. !timers spf 25 20 !! SECTION 3 : Définir les propriétés de réseau et de zone Définit les zones à partir de W.X.Y.Z !! ou de la notation Z. ! Annonce le protocole OSPF sur le réseau 192.168.253.0/24 pour la zone 0.0.0.0. ! network 192.168.253.0/24 area 0.0.0.0 ! ! Crée une zone 0.0.0.1 et définit une plage de réseau à classes (172.16.254.0/24) ! pour la zone (la plage et les paramètres de réseau de l’interface doivent correspondre). ! area 0.0.0.1 range 172.16.254.0/24 ! ! Définit le voisin de liaison virtuelle (172.16.254.1) pour la zone 0.0.0.1. ! area 0.0.0.1 virtual-link 172.16.254.1 ! ! Définit la zone 0.0.0.1 en tant que stub pour tous les routeurs de cette zone. ! area 0.0.0.1 stub ! ! area 0.0.0.2 stub no-summary ! ! Active l’authentification par mot de passe simple pour la zone 0.0.0.0. ! area 0.0.0.0 authentication ! ! Active l’authentification MD5 pour la zone 0.0.0.1. 232 WatchGuard System Manager Routage dynamique ! area 0.0.0.1 authentication message-digest !! SECTION 4 : Redistribuer les itinéraires OSPF ! Partage l’itinéraire de dernier recours (itinéraire par défaut) de la table de routage des noyaux ! avec les pairs OSPF. ! default-information originate ! ! Redistribue des itinéraires statiques vers le protocole OSPF. ! redistribute kernel ! ! Redistribue les itinéraires de toutes les interfaces vers le protocole OSPF. ! redistribute connected ! redistribute connected route-map ! ! Redistribue les itinéraires des protocoles RIP et BGP vers OSPF. ! redistribute rip !redistribute bgp !! SECTION 5 : Configurer des filtres de redistribution d’itinéraire avec des listes d’accès !! et des mappages d’itinéraire. ! Crée une liste d’accès autorisant uniquement la redistribution de 10.0.2.0/24. ! access-list LISTNAME permit 10.0.2.0/24 ! access-list LISTNAME deny any ! ! Crée un mappage d’itinéraire avec le nom MAPNAME et la priorité 10 (1-199). ! route-map MAPNAME permit 10 ! match ip address LISTNAME À propos du protocole BGP (Border Gateway Protocol) Note Ce protocole est pris en charge uniquement par Fireware XTM avec mise à niveau Pro sur les périphériques Core e-Series, Peak e-Series et XTM. Le protocole BGP (Border Gateway Protocol) est un protocole évolutif de routage dynamique qui est utilisé par des groupes de routeurs sur Internet pour partager des informations de routage. Il utilise des paramètres d’itinéraire, ou attributs, pour définir des stratégies de routage et créer un environnement de routage stable. Grâce à ce protocole, vous pouvez annoncer plusieurs chemins depuis/vers Internet à votre réseau et vos ressources, ce qui vous permet de bénéficier de chemins redondants et d’une éventuelle augmentation du temps d’activité. Les hôtes qui utilisent le protocole BGP ont recours au protocole TCP pour envoyer des informations sur les tables de routage mises à jour lorsqu’un hôte détecte une modification. L’hôte envoie uniquement la partie de la table de routage contenant la modification. Le protocole BGP utilise le routage CIDR (Classless InterDomain Routing) pour réduire la taille des tables de routage Internet. La taille de la table de routage BGP dans Fireware XTM est définie à 32 K. Compte tenu de la taille d’un réseau étendu (WAN) client WatchGuard type, le routage dynamique OSPF est plus approprié. Un réseau WAN peut également utiliser le protocole EBGP (External Border Gateway Protocol) si plusieurs passerelles Internet sont disponibles. Le protocole EBGP vous permet de tirer pleinement parti de la redondance possible avec un réseau multiconnecté. User Guide 233 Routage dynamique Pour prendre part au protocole BGP avec un fournisseur de services Internet, vous devez posséder un numéro de système autonome (ASN). Vous devez obtenir un numéro ASN auprès de l’un des registres régionaux répertoriés dans le tableau ci-dessous. Lorsque vous recevez votre propre numéro ASN, vous devez contacter chaque fournisseur de services Internet pour obtenir leur numéro ASN et toute autre information nécessaire. Région Nom du registre Site Web Amérique du Nord RIN www.arin.net Europe RIPE NCC www.ripe.net Asie Pacifique APNIC www.apnic.net Amérique latine LACNIC www.lacnic.net Afrique AfriNIC www.afrinic.net Commandes BGP Pour créer ou modifier un fichier de configuration de routage, vous devez utiliser les commandes de routage appropriées. Le tableau suivant présente la liste des commandes de routage BGP prises en charge. Les sections doivent apparaître dans le fichier de configuration dans le même ordre qu’elles apparaissent dans ce tableau. N’utilisez pas de paramètres de configuration BGP qui ne sont pas fournis par votre fournisseur de services Internet. Section Commande Description Configure le démon de routage BGP router bgp [ASN] Active le démon BGP et définit le numéro de système autonome (ASN) ; information fournie par votre fournisseur de services Internet. network [A.B.C.D/M] Annonce le protocole BGP sur le réseau A.B.C.D/M. no network [A.B.C.D/M] Désactive les annonces BGP sur le réseau A.B.C.D/M. Définir les propriétés du voisin neighbor [A.B.C.D] remote-as [ASN] Définit le voisin en tant que membre d’un réseau ASN distant. neighbor [A.B.C.D] ebgpmultihop Définit le voisin sur un autre réseau à l’aide du protocole EBGP à sauts multiples. neighbor [A.B.C.D] version Définit la version du protocole BGP (4, 4+, 4-) pour les 4+ communications avec le voisin ; la valeur par défaut est 4. neighbor [A.B.C.D] update-source [WORD] 234 Définit la session BGP de manière à utiliser une interface spécifique pour les connexions TCP. WatchGuard System Manager Routage dynamique Section Commande Description neighbor [A.B.C.D] default-originate Annonce l’itinéraire par défaut au voisin BGP [A,B,C,D]. neighbor [A.B.C.D] port 189 Définit le port TCP personnalisé pour communiquer avec le voisin BGP [A,B,C,D]. neighbor [A.B.C.D] sendcommunity Définit l’envoi de l’attribut de communauté au pair. neighbor [A.B.C.D] weight 1000 Définit un coefficient par défaut pour les itinéraires [A.B.C.D] du voisin. neighbor [A.B.C.D] maximum-prefix [NUMBER] Définit le nombre maximal de préfixes autorisés à partir de ce voisin. Listes de communautés ip community-list [<199>|<100-199>] permit AA:NN Spécifie que la communauté doit accepter les numéros ASN et de réseau séparés par deux points. Filtrage de pairs neighbor [A.B.C.D] distribute-list [LISTNAME] [IN|OUT] Définit la liste de distribution et la direction pour le pair. neighbor [A.B.C.D] prefixlist [LISTNAME] [IN|OUT] Applique une liste de préfixes à faire correspondre aux annonces entrantes ou sortantes de ce voisin. neighbor [A.B.C.D] filterlist [LISTNAME] [IN|OUT] Fait correspondre une liste d’accès de chemins système autonomes à des itinéraires entrants ou sortants. neighbor [A.B.C.D] routemap [MAPNAME] [IN|OUT] Applique un mappage d’itinéraire à des itinéraires entrants ou sortants. Redistribuer des itinéraires vers le protocole BGP redistribute kernel Redistribue des itinéraires statiques vers le protocole BGP. redistribute rip Redistribue des itinéraires RIP vers le protocole BGP. redistribute ospf Redistribue des itinéraires OSPF vers le protocole BGP. Réflexion d’itinéraire bgp cluster-id A.B.C.D User Guide Configure l’ID de cluster si le cluster BGP possède plusieurs réflecteurs d’itinéraire. 235 Routage dynamique Section Commande neighbor [W.X.Y.Z] routereflector-client Description Configure le routeur en tant que réflecteur d’itinéraire BGP et configure le voisin spécifié comme son client. Listes d’accès et listes de préfixes IP ip prefix-lists PRELIST permit A.B.C.D/E Définit la liste de préfixes. access-list NAME [deny|allow] A.B.C.D/E Définit la liste d’accès. route-map [MAPNAME] permit [N] Définit, conjointement avec les commandes « match » et « set », les conditions et les actions relatives à la redistribution d’itinéraires. match ip address prefixlist [LISTNAME] Trouve la liste d’accès spécifiée correspondante. set community [A:B] Définit l’attribut de communauté BGP. match community [N] Trouve la liste de communautés spécifiée correspondante. set local-preference [N] Définit la valeur de préférence pour le chemin système autonome. Configurer Firebox pour qu’il utilise BGP Pour prendre part au protocole BGP avec un fournisseur de services Internet, vous devez posséder un numéro de système autonome (ASN). Pour de plus amples informations, cf. À propos du protocole BGP (Border Gateway Protocol) à la page 234. 1. Sélectionnez Réseau > Routage dynamique. Configuration du routage dynamique boîte de dialogue s’affiche. 2. Activez la case à cocher Activer le routage dynamique. 3. Cliquez sur l’onglet BGP. 236 WatchGuard System Manager Routage dynamique 4. Sélectionnez Activer BGP case à cocher. 5. Cliquez sur Importer pour importer un fichier de configuration de démon de routage ou copiez et collez votre fichier de configuration dans la zone de texte. Pour de plus amples informations, cf. À propos des fichiers de configuration du démon de routage à la page 217. User Guide 237 Routage dynamique Pour commencer, vous n’avez besoin que de trois commandes dans votre fichier de configuration BGP. Ces trois commandes initient le processu BGP, définissent une relation de pair avec le fournisseur de services Internet et établissent l’itinéraire d’un réseau vers Internet. Vous devez exécuter ces commandes dans l’ordre indiqué. router BGP : numéro du système autonome de BGP fourni par le réseau de votre fournisseur de services Internet : adresse IP du réseau vers lequel vous souhaitez publier un itinéraire depuis Internet neighbor : <IP address of neighboring BGP router> remote-as <BGP autonomous number> 6. Cliquez sur OK. Autoriser le trafic BGP via Firebox Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement du trafic BGP vers Firebox à partir des réseaux approuvés. Ces réseaux doivent être les mêmes que ceux que vous avez définis dans votre fichier de configuration BGP. 1. Cliquez sur ou sélectionnez Modifier > Ajouter une stratégie. 2. Dans la liste des filtres de paquets, sélectionnez BGP. Cliquez sur Ajouter. 3. Dans la boîte de dialogue Propriétés de la nouvelle stratégie, configurez la stratégie de manière à autoriser le trafic provenant de l’adresse IP ou réseau du routeur qui utilise le protocole BGP vers l’interface Firebox à laquelle il se connecte. Vous devez également ajouter l’adresse IP de diffusion du réseau. 4. Cliquez sur OK.. 5. Configurez le routeur sélectionné à l’étape 3. 6. Une fois le routeur configuré, ouvrez-les Statistiques du trafic et des performances (onglet Rapport d’état) et consultez la section relative au routage dynamique pour vérifier que Firebox et le routeur s’envoient mutuellement des mises à jour. Vous pouvez ensuite ajouter une authentification et restreindre la stratégie BGP à une écoute seule sur les interfaces appropriées. Exemple de fichier de configuration de routage BGP Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou taper un fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un exemple de fichier de configuration pour le démon de routage BGP. Si vous souhaitez utiliser ce fichier de configuration comme base de votre propre fichier de configuration, copiez le texte dans une application telle que Blocnotes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les paramètres en fonction des besoins de votre propre entreprise. Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez le point d’exclamation et modifiez les variables en fonction de vos besoins. !! SECTION 1 : Démarre le démon BGP et annonce les blocs de réseau aux voisins BGP ! Active le protocole BGP et définit le numéro ASN sur 100 router bgp 100 ! Annonce le réseau local 64.74.30.0/24 à tous les voisins définis dans la section 2 ! network 64.74.30.0/24 !! SECTION 2 : Propriétés du voisin 238 WatchGuard System Manager Routage dynamique ! Définit le voisin (64.74.30.1) en tant que membre d’un réseau ASN distant (200) ! neighbor 64.74.30.1 remote-as 200 ! Définit le voisin (208.146.43.1) sur un autre réseau à l’aide du protocole EBGP à sauts multiples ! neighbor 208.146.43.1 remote-as 300 ! neighbor 208.146.43.1 ebgp-multihop ! Définit la version du protocole BGP (4, 4+, 4-) pour les communications avec le voisin ; la valeur par défaut est 4. ! neighbor 64.74.30.1 version 4+ ! Annonce l’itinéraire par défaut au voisin BGP (64.74.30.1) ! neighbor 64.74.30.1 default-originate ! Définit le port TCP personnalisé 189 pour communiquer avec le voisin BGP (64.74.30.1) Le port TCP par défaut est 179. ! neighbor 64.74.30.1 port 189 ! Définit l’envoi de l’attribut de communauté au pair. ! neighbor 64.74.30.1 send-community ! Définit un coefficient par défaut pour les itinéraires (64.74.30.1) du voisin. ! neighbor 64.74.30.1 weight 1000 ! Définit le nombre maximal de préfixes autorisés à partir de ce voisin. ! neighbor 64.74.30.1 maximum-prefix NUMBER !! SECTION 3 : Définit les listes de communautés ! ip community-list 70 permit 7000:80 !! SECTION 4 : Filtrage des annonces ! Définit la liste de distribution et la direction pour le pair. ! neighbor 64.74.30.1 distribute-list LISTNAME [in|out] ! Applique une liste de préfixes à faire correspondre aux annonces entrantes ou sortantes de ce voisin. ! neighbor 64.74.30.1 prefix-list LISTNAME [in|out] ! Fait correspondre une liste d’accès de chemins système autonomes à des itinéraires entrants ou sortants. ! neighbor 64.74.30.1 filter-list LISTNAME [in|out] ! Applique un mappage d’itinéraire à des itinéraires entrants ou sortants. ! neighbor 64.74.30.1 route-map MAPNAME [in|out] !! SECTION 5 : Redistribuer les itinéraires au protocole BGP ! Redistribue des itinéraires statiques vers le protocole BGP. ! redistribute kernel ! Redistribue des itinéraires RIP vers le protocole BGP. ! redistribute rip ! Redistribue des itinéraires OSPF vers le protocole BGP ! redistribute ospf !! SECTION 6 : Router la réflexion ! Définit l’ID de cluster et le pare-feu en tant que client du serveur réflecteur d’itinéraire 51.210.0.254 ! bgp cluster-id A.B.C.D ! neighbor 51.210.0.254 route-reflector-client User Guide 239 Routage dynamique !! SECTION 7 : Listes d’accès et listes de préfixes IP ! Définit la liste de préfixes. ! ip prefix-list PRELIST permit 10.0.0.0/8 ! Définit la liste d’accès !access-list NAME deny 64.74.30.128/25 ! access-list NAME permit 64.74.30.0/25 ! Crée un mappage d’itinéraire avec le nom MAPNAME et autorise la priorité 10. ! route-map MAPNAME permit 10 ! match ip address prefix-list LISTNAME ! set community 7000:80 240 WatchGuard System Manager 11 FireCluster À propos de WatchGuard FireCluster WatchGuard FireCluster vous permet de configurer deux périphériques WatchGuard en cluster afin d’améliorer les performances et l’évolutivité du réseau. Deux options de configuration sont possibles lors de la configuration de FireCluster : actif/passif et actif/actif. Pour ajouter une redondance, choisissez un cluster actif/passif. Pour ajouter redondance et répartition de charge à votre réseau, sélectionnez un cluster actif/actif. Lorsque vous activez FireCluster, vous gérez et contrôlez les deux périphériques du cluster en tant que périphérique virtuel simple. User Guide 241 FireCluster Pour utiliser FireCluster, les interfaces de votre réseau doivent être configurées en mode de routage mixte. FireCluster ne prend pas en charge les modes d’insertion et pont. Pour de plus amples informations sur les modes réseau, cf. À propos de Configuration d’interface réseau. Lorsque FireCluster est activé, vos périphériques WatchGuard continuent de prendre en charge les éléments suivants : n n n les réseaux secondaires sur des interfaces externes, approuvées ou facultatives ; les connexions multi-WAN (avec la restriction suivante : un basculement multi-WAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l’interface physique est inactive ou ne répond pas.) Les réseaux locaux virtuels (VLAN). En cas d’échec d’un membre du cluster, le cluster bascule naturellement et préserve les fonctionnalités suivantes : n n n Connexions via un filtre de paquet Tunnels BOVPN Sessions d’utilisateur Ces connexions peuvent être déconnectées en cas d’événement de basculement : n n n n 242 Connexions en proxy Mobile VPN with PPTP Mobile VPN with IPSec Mobile VPN with SSL WatchGuard System Manager FireCluster Les utilisateurs de Mobile VPN devront peut-être redémarrer manuellement la connexion VPN après un basculement. Pour plus d’informations sur le basculement de FireCluster, voir À propos du basculement FireCluster à la page 243. État de FireCluster Pour afficher l’état de FireCluster dans Firebox System Manager : 1. Démarrer Firebox System Manager. 2. Recherchez les informations sur FireCluster, comme indiqué dans la rubrique État de Firebox. Note Il n’est pas possible d’utiliser l’interface Fireware XTM Web UI pour gérer ou analyser un périphérique configuré en tant que membre d’un FireCluster. À propos du basculement FireCluster Le processus de basculement de FireCluster est le même pour les clusters actif/actif et les clusters actif/passif. Quel que soit le type de cluster, chaque membre du cluster conserve à tout moment les informations sur l’état et les sessions. En cas de basculement, les connexions via un filtre de paquets, les tunnels BOVPN et les sessions d’utilisateur gérés par le périphérique en échec basculent automatiquement vers l’autre périphérique du cluster. Dans un FireCluster, un des périphériques est maître de cluster et l’autre, maître de sauvegarde. Le maître de sauvegarde utilise l’interface cluster principale pour synchroniser les informations sur les connexions et les sessions à partir du maître de cluster. Si l’interface cluster principale échoue ou est déconnectée, le maître de sauvegarde utilise l’interface cluster de sauvegarde pour communiquer avec le maître de cluster. Nous vous recommandons de toujours configurer une interface cluster principale et une interface cluster de sauvegarde. Ainsi vous êtes assurés, en cas de déclenchement du basculement du maître de cluster, que le maître de sauvegarde dispose de toutes les informations nécessaires pour devenir le nouveau maître de cluster et transmettre les connexions et les sessions de façon appropriée. Les événements qui déclenchent un basculement Il existe trois types d’événements qui peuvent provoquer un basculement. Lien d’interface contrôlée inactive sur le maître de cluster Un basculement se produit si une interface contrôlée sur le maître de cluster ne peut pas envoyer ou recevoir de trafic. Vous pouvez consulter la liste des interfaces contrôlées dans la configuration FireCluster dans Policy Manager. Périphérique de maître de cluster pas entièrement fonctionnel Un basculement se produit si un dysfonctionnement logiciel ou un échec matériel est détecté sur le maître de cluster ou qu’un processus critique échoue sur le maître de cluster. User Guide 243 FireCluster Le cluster reçoit la commande de basculement de maître de Firebox System Manager Dans Firebox System Manager, lorsque vous sélectionnez Outils> Cluster > Basculement de maître, vous forcez un basculement du maître de cluster vers le maître de sauvegarde. Pour de plus amples informations sur cette commande, cf. Forcer le basculement d’un cluster maître à la page 274. 244 WatchGuard System Manager FireCluster Que se passe-t-il lorsqu’un basculement se produit ? Lorsqu’un basculement du maître de cluster se produit, le maître de sauvegarde devient le maître de cluster. Ensuite, le maître de cluster original redémarre et rejoint le cluster en tant que maître de sauvegarde. Le cluster bascule et conserve toutes les connexions de filtre de paquets, les tunnels BOVPN et les sessions d’utilisateur. Ce comportement est identique pour un FireCluster actif/actif ou actif/passif. Dans un cluster actif/actif, si le maître de sauvegarde échoue, le cluster bascule et conserve toutes les connexions de filtre de paquets, les tunnels BOVPN, et les sessions d’utilisateur. Les connexions proxy et Mobile VPN peuvent être interrompues, tel que décrit dans le tableau suivant. Dans un cluster actif/passif, si le maître de sauvegarde échoue, il n’y aucune interruption des connexions ou des sessions car rien n’est affecté au maître de sauvegarde. Type de connexion/de Impact d’un événement de basculement session Connexions via un filtre de paquets Les connexions basculent sur l’autre membre du cluster. Tunnels BOVPN Les tunnels basculent sur l’autre membre du cluster. Sessions d’utilisateur Les sessions basculent sur l’autre membre du cluster. Connexions proxy Les connexions affectées au périphérique en échec (maître ou maître de sauvegarde) doivent être redémarrées. Les connexions affectées à l’autre périphérique ne sont pas interrompues. Mobile VPN with IPSec Si le maître de cluster bascule, toutes les sessions doivent être redémarrées. Si le maître de sauvegarde échoue, seules les sessions affectées au maître de sauvegarde doivent être redémarrées. Les sessions affectées au maître de cluster ne sont pas interrompues. Mobile VPN with SSL Si l’un des deux périphériques bascule, toutes les sessions doivent être redémarrées. Mobile VPN with PPTP Toutes les sessions PPTP sont affectées au maître de cluster, même pour un cluster actif/actif. Si le maître de cluster bascule, toutes les sessions doivent être redémarrées. Les sessions PPTP ne sont pas interrompues en cas d’échec du maître de sauvegarde. Basculement de FireCluster et équilibrage de charge côté serveur Si vous utilisez l’équilibrage de charge côté serveur pour équilibrer les connexions entre vos serveurs internes, lorsqu'un événement de basculement de FireCluster se produit, il n’y a pas de synchronisation en temps réel. Après un basculement, le nouveau maître de cluster envoie des connexions à tous les serveurs de la liste d’équilibrage de charge côté serveur pour identifier ceux qui sont disponibles. Il applique ensuite User Guide 245 FireCluster à tous les serveurs disponibles l’algorithme d’équilibrage de charge. Pour obtenir des informations sur l’équilibrage de charge côté serveur, cf. Configurer les équilibrage de charge côté serveur à la page 182. Contrôler le cluster pendant un basculement Le rôle de chaque périphérique du cluster s’affiche après le nom de membre sur l’onglet Panneau avant de Firebox System Manager. Si vous regardez l’onglet Panneau avant pendant un basculement du maître de cluster, vous pouvez voir le rôle du maître de cluster se déplacer d’un périphérique à l’autre. Pendant un basculement, vous voyez les modifications suivantes : n n n Le rôle de l’ancien maître de sauvegarde passe de « maître de sauvegarde » à « maître ». Le rôle de l’ancien maître de cluster passe à « inactif », puis à « veille » lors du redémarrage du périphérique. Le rôle de l’ancien maître de cluster passe à « maître de sauvegarde » après le redémarrage du périphérique. Pour plus d’informations, cf. Contrôler et analyser les membres de FireCluster à la page 271 Fonctionnalités non prises en charge en cas d’utilisation de FireCluster Certaines fonctionnalités de configuration et de gestion Fireware XTM sont inutilisables avec FireCluster. Limites de configuration du réseau FireCluster n n n Vous ne pouvez pas configurer les interfaces réseau en mode pont, ni en mode d’insertion. Vous ne pouvez pas configurer l’interface externe pour utiliser les protocoles PPPoE ou DHCP. Vous ne pouvez pas utiliser les protocoles de routage dynamique (RIP, OSPF et BGP). Limites de gestion de FireCluster n n Vous ne pouvez pas utiliser le Web UI pour gérer un périphérique membre de FireCluster. Vous ne pouvez pas utiliser WSM avec Management Server pour planifier une mise à jour du système d’exploitation pour un périphérique membre de FireCluster. À propos de l’adresse IP de l’interface de gestion Dans une configuration FireCluster, tous les périphériques du cluster partagent les mêmes adresses IP pour chaque interface activée. Lorsque vous vous connectez au cluster dans WatchGuard System Manager, vous êtes automatiquement connecté au cluster maître, et vous voyez s’afficher l’état de tous les membres du cluster. Vous pouvez utiliser Firebox System Manager pour contrôler le cluster et les membres du cluster individuels tel que décrit dans Contrôler et analyser les membres de FireCluster à la page 271. Vous pouvez également utiliser Policy Manager pour mettre à jour la configuration du cluster, tel que décrit dans Mettre à jour la configuration de FireCluster à la page 280. 246 WatchGuard System Manager FireCluster Configurer l’adresse IP de l’interface de gestion En plus des adresses IP partagées pour chaque interface, chaque membre du cluster dispose également de son adresse IP de gestion unique. Vous pouvez utiliser cette adresse IP pour vous connecter directement à un membre du cluster individuel et le contrôler ou le gérer. Cette adresse IP unique est appelée adresse IP de l’interface de gestion. Lorsque vous configurez un FireCluster, vous sélectionnez l’adresse IP de l’interface de gestion à utiliser par tous les membres du cluster. Cette interface n’est pas dédiée à la gestion. Vous pouvez utiliser toute interface disponible. Pour chaque membre, vous spécifiez ensuite l’adresse IP de l’interface de gestion à utiliser dans cette interface. Pour la plupart des tâches de gestion FireCluster quotidiennes, vous n’utilisez pas l’adresse IP de l’interface de gestion. Note Si vous utilisez l’adresse IP de l’interface de gestion FireCluster pour vous connecter au maître de sauvegarde, vous ne pouvez pas enregistrer les modifications de configuration dans Policy Manager. Utiliser l’adresse IP de l’interface de gestion pour restaurer une image de sauvegarde Lorsque vous restaurez une image de sauvegarde FireCluster, vous devez utiliser l’adresse IP de l’interface de gestion pour vous connecter directement à un membre du cluster. Si vous utilisez l’adresse IP de gestion pour vous connecter au membre du cluster, il existe deux commandes supplémentaires disponibles dans Firebox System Manager dans le menu Outils : > Quitter le cluster et Rejoindre >le Cluster. Vous utilisez ces commandes lorsque vous restaurez une image de sauvegarde dans le cluster. Pour plus d’informations, voir Restaurer une image de sauvegarde de FireCluster à la page 287. Utiliser l’adresse IP de l’interface de gestion pour effectuer une mise à niveau depuis un emplacement externe Le logiciel WatchGuard System Manager utilise l’adresse IP de l’interface de gestion lors de la mise à niveau du système d’exploitation pour les membres d’un cluster. Si vous souhaitez mettre à jour le système d’exploitation depuis un emplacement distant, vérifiez les éléments suivants : n n L’adresse IP de l’interface de gestionest définie sur une interface externe L’adresse IP de l’interface de gestion pour chaque membre du cluster est une adresse IP publique et routable Pour plus d’informations, voir Mettre à niveau Fireware XTM pour les membres FireCluster à la page 288. Configurer FireCluster FireCluster prend en charge deux types de configurations de cluster. User Guide 247 FireCluster Cluster actif/passif Dans un cluster actif/passif, un des périphériques est actif, l’autre est passif. Le périphérique actif gère l’ensemble du trafic réseau à moins qu’un évènement de basculement ne se produise. Le périphérique passif analyse activement l’état du périphérique actif. Si le périphérique actif échoue, le périphérique passif reprend les connexions qui lui étaient attribuées. Après un basculement, tout le trafic des connexions existantes est automatiquement acheminé vers le périphérique actif. Cluster actif/actif Dans un cluster actif/actif, les membres du cluster se répartissent le trafic qui circule dans le cluster. Pour répartir les connexions entre les périphériques actifs du cluster, configurez FireCluster pour qu’il utilise un algorithme de tourniquet ou de connexion minimale. Si un périphérique du cluster échoue, l’autre membre reprend les connexions qui lui étaient attribuées. Après un basculement, tout le trafic des connexions existantes est automatiquement acheminé vers le périphérique restant actif. Conditions et restrictions de FireCluster Avant de commencer, veillez à bien noter les conditions et restrictions ci-après : n Les périphériques WatchGuard d’un cluster doivent tous être du même modèle. Sont pris en charge les périphériques Firebox X Core e-Series, Firebox Peak e-Series et WatchGuard XTM. n Chaque périphérique d’uncluster doitutiliser lamême versionde lamise àniveau Prode Fireware XTM. Chaque périphérique d’un cluster doit avoir un abonnement actif au service LiveSecurity Service. Les interfaces de votre réseau doivent être configurées en mode de routage mixte. FireCluster ne prend pas en charge les modes d’insertion et pont. Dans un cluster actif/actif, il est recommandé que tous les périphériques aient des licences actives pour les mêmes services d’abonnement facultatifs, tels que WebBlocker ou Gateway AntiVirus. n n n Pour plus d’informations, voir À propos des clés de fonctionnalité et de FireCluster à la page 281. n n n L’interface externe doit être configurée avec une adresse IP statique. Vous ne pouvez pas activer FireCluster si l’interface externe est configurée pour utiliser les protocoles DHCP ou PPPoE. Il doit y avoir un commutateur réseau pour chaque interface active du trafic. Dans un cluster actif/actif, tous les commutateurs et routeurs du domaine de diffusion doivent être configurés de manière à prendre en charge le trafic de multidiffusions. Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif à la page 253. n Dans un cluster actif/actif, vous devez connaître l’adresse IP et l’adresse MAC de tous les routeurs et commutateurs de couche 3 connectés au cluster. Vous pouvez ensuite ajouter des entrées ARP statiques pour ces périphériques réseau à la configuration de FireCluster. Pour plus d’informations, voir Ajouter des entrées ARP statiques pour un FireCluster actif/actif à la page 255. n 248 FireCluster ne prend pas en charge l’utilisation de protocoles de routage dynamique. WatchGuard System Manager FireCluster Synchronisation et analyse de l’état du cluster Lorsque vous activez FireCluster, vous devez dédier au moins une interface à la communication des membres du cluster. C’est ce que l’on appelle une interface cluster. Lorsque vous configurez le matériel du cluster, vous connectez entre elles les interfaces cluster principales de chaque périphérique. Pour la redondance, nous vous recommandons de configurer une interface cluster de sauvegarde. Les interfaces cluster permettent aux membres du cluster de synchroniser en permanence l’ensemble des informations nécessaires à la répartition de charge et à un basculement transparent. Rôles des périphériques de FireCluster Lorsque vous configurez des périphériques dans un cluster, il est important de comprendre les rôles que chaque périphérique peut jouer dans le cluster. Cluster maître Ce membre du cluster attribue les flux du trafic réseau aux membres du cluster et répond à toutes les demandes provenant de systèmes externes, tels que WatchGuard System Manager, SNMP, DHCP, ARP, les protocoles de routages et IKE. Lorsque vous configurez ou modifiez la configuration du cluster, vous enregistrez la configuration du cluster dans le cluster maître. Le cluster maître peut être l’un ou l’autre des périphériques. Le premier périphérique à s’allumer devient le cluster maître. Cluster maître de sauvegarde Ce membre du cluster synchronise toutes les informations nécessaires à partir du cluster maître, afin de le remplacer au cas où il échouerait. Le cluster maître de sauvegarde peut être actif ou passif. Membre actif Il peut s’agir de l’un ou l’autre des membres du cluster gérant activement le flux du trafic. Dans un cluster actif/actif, les deux périphériques sont actifs. Dans un cluster actif/passif, le cluster maître est le seul périphérique actif. Membre passif Périphérique d’un cluster actif/passif qui ne gère pas les flux du trafic réseau, à moins d’un basculement du périphérique actif. Dans un cluster actif/passif, le membre passif constitue le cluster maître de sauvegarde. Étapes de la configuration de FireCluster Pour configurer les périphériques WatchGuard en tant que FireCluster, il faut : 1. planifier votre configuration FireCluster, comme indiqué dans la rubrique Avant de commencer. 2. connecter les périphériques FireCluster au réseau, comme indiqué dans la rubrique Connecter le matériel FireCluster à la page 252. 3. configurer FireCluster dans Policy Manager. Vous pouvez utiliser l’une des méthodes suivantes : n n User Guide Utiliser l’assistant FireCluster Setup Wizard Configurer FireCluster manuellement 249 FireCluster Avec un cluster actif/actif, vous devez ajouter les étapes suivantes : 1. effectuer les changements de configuration nécessaires sur les routeurs réseau et commutateurs de couche 3 pour prendre en charge les adresses MAC de multidiffusions utilisées par FireCluster ; Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif à la page 253. 2. ajouter des entrées ARP statiques pour chaque commutateur et routeur réseau de couche 3 qui se connecte à FireCluster. Pour plus d’informations, voir Ajouter des entrées ARP statiques pour un FireCluster actif/actif à la page 255 Avant de commencer Avant de configurer FireCluster, vous devez terminer les tâches décrites dans les rubriques suivantes. Vérifier les composants de base Assurez-vous de disposer des éléments suivants : n n n n n n n Deux périphériques Firebox X Core, Peak ou WatchGuard XTM du même modèle La même version de la mise à niveau Pro de Fireware XTM installée sur chaque périphérique Un câble inverseur (rouge) pour chaque interface cluster (si vous configurez une interface cluster de sauvegarde, vous devez utiliser deux câbles inverseurs). Un commutateur réseau pour chaque interface de trafic active Des câbles Ethernet pour connecter les périphériques aux commutateurs réseau Les numéros de série de chaque périphérique. Les clés de fonctionnalité de chaque périphérique. Pour obtenir des informations sur les exigences relatives aux clés de fonctionnalité de FireCluster, cf. À propos des clés de fonctionnalité et de FireCluster à la page 281 Configurer l’interface externe à l’aide d’une adresse IP statique. Pour utiliser FireCluster, vous devez configurer chaque interface externe à l’aide d’une adresse IP statique. Vous ne pouvez pas activer FireCluster si l’interface externe est configurée pour utiliser le DHCP ou PPPoE. Configurer les routeurs et les commutateurs réseau Dans une configuration de FireCluster actif/actif, les interfaces réseau du cluster utilisent des adresses MAC de multidiffusions. Avant d’activer un FireCluster actif/actif, assurez-vous que les routeurs réseau et les autres périphériques sont configurés pour un routage correct du trafic provenant des adresses MAC multidiffusions ou y étant destiné. Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif à la page 253. Cette étape n’est pas nécessaire dans le cas d’un cluster actif/passif, car ce type de cluster n’utilise pas d’adresses MAC multidiffusions. 250 WatchGuard System Manager FireCluster Sélectionnez les adresses IP pour les interfaces cluster Nous vous recommandons de faire un tableau des adresses réseau que vous comptez utiliser pour les interfaces réseau et pour l’adresse IP de l’interface de gestion. L’assistant FireCluster Setup Wizard vous demande de les configurer individuellement pour chaque membre du cluster. Si vous planifiez les interfaces et les adresses IP à l’avance, il est plus facile de configurer ces interfaces à l’aide de l’assistant. Les numéros d’interface et les adresses IP pour les interfaces cluster Nº d’interface Adresse IP pour le membre 1 Adresse IP pour le membre 2 Interface cluster principale _____ _____._____._____._____ / ____ _____._____._____._____ / ____ Interface cluster de sauvegarde _____ _____._____._____._____ / ____ _____._____._____._____ / ____ Adresse IP de l’interface de gestion _____ _____._____._____._____ / ____ _____._____._____._____ / ____ Interface cluster principale Il s’agit de l’interface du périphérique WatchGuard que vous dédiez à la communication entre les membres du cluster. Cette interface n’est pas utilisée pour le trafic réseau régulier. Si vous disposez d’une interface configurée en tant qu’interface VLAN dédiée, vous ne pouvez pas la choisir comme interface cluster dédiée. Les adresses IP d’interface principale doivent être sur le même sous-réseau pour les deux membres du cluster. Interface cluster de sauvegarde (facultative, mais recommandée) Il s’agit d’une seconde interface du périphérique WatchGuard que vous dédiez à la communication entre les membres du cluster. Les membres du cluster utilisent l’interface cluster de sauvegarde pour communiquer si l’interface cluster principale n’est pas disponible. Pour la redondance, nous vous recommandons d’utiliser deux interfaces cluster. Les adresses IP d’interface de sauvegarde doivent être sur le même sous-réseau pour les deux membres du cluster. Adresse IP de l’interface de gestion Il s’agit d’une interface réseau Firebox que vous utilisez pour établir une connexion directe à un périphérique du cluster depuis n’importe quelle application de gestion WatchGuard. Les adresses IP de gestion pour chaque membre du cluster peuvent se trouver sur des sous-réseaux différents. Pour plus d’informations, voir À propos de l’adresse IP de l’interface de gestion à la page 246. User Guide 251 FireCluster Connecter le matériel FireCluster Note Chaque périphérique d’un cluster doit être du même modèle et utiliser la même version de la mise à niveau Pro de Fireware XTM. Pour connecter deux périphériques Firebox ou XTM dans une configuration FireCluster : 1. Utilisez un câble inverseur Ethernet (rouge) pour connecter l’interface cluster principale d’un périphérique Firebox ou XTM à l’interface cluster principale de l’autre périphérique. 2. Si vous souhaitez activer une interface cluster de sauvegarde, utilisez un second câble inverseur Ethernet pour vous connecter aux interfaces cluster de sauvegarde. Si une interface réseau est disponible, nous vous recommandons de connecter et de configurer une interface cluster de sauvegarde pour la redondance. 3. Connectez l’interface externe de chaque périphérique à un commutateur réseau. Si vous utilisez le multi-WAN, connectez la seconde interface externe de chaque périphérique à un autre commutateur réseau. 4. Connectez l’interface approuvée de chaque périphérique à un commutateur réseau interne. 5. Pour chaque périphérique, connectez les autres interfaces réseau approuvées ou facultatives au commutateur réseau interne de ce périphérique. Pour obtenir des informations sur les exigences relatives au commutateur réseau, cf. Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif à la page 253. Note Vous devez connecter chaque paire d’interfaces réseau à son propre commutateur ou concentrateur dédié. Ne connectez pas plus d’une paire d’interfaces au même commutateur. Le diagramme ci-dessous montre les connexions pour une configuration FireCluster simple. 252 WatchGuard System Manager FireCluster Dans cet exemple, le FireCluster dispose d’une interface approuvée et d’une interface externe connectées à des commutateurs réseau. Les interfaces cluster principales sont connectées par un câble inverseur. Une fois les périphériques FireCluster connectés, vous êtes prêt à configurer le FireCluster dans Policy Manager. Vous pouvez le faire de deux façons : n n Utiliser l’assistant FireCluster Setup Wizard Configurer FireCluster manuellement Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif Avertissement Lorsque vous configurez FireCluster en configuration actif/actif, le cluster utilise des adresses MAC de multidiffusions pour toutes les interfaces qui envoient du trafic réseau. Avant d’activer FireCluster, assurez-vous que les commutateurs, routeurs et autres périphériques de votre réseau sont configurés de manière à acheminer le trafic réseau via des adresses MAC de multidiffusions. Un domaine de diffusion de couche 2 est un élément logique d’un réseau informatique sur lequel tous les nœuds de réseau peuvent communiquer entre eux sans recourir à un périphérique de routage de couche 3 (routeur ou commutateur géré, par exemple). User Guide 253 FireCluster Un FireCluster actif/actif utilise une seule adresse MAC de multidiffusions. Par défaut, la plupart des routeurs réseau et commutateurs gérés ignorent le trafic provenant d’adresses MAC de multidiffusions. Avant d’activer un FireCluster actif/actif, assurez-vous que tous les commutateurs et routeurs réseau installés sur le domaine de diffusion de couche 2 remplissent les conditions requises. Configuration requise des commutateurs et routeurs Tous les commutateurs et routeurs du domaine de diffusion d’un FireCluster actif/actif doivent remplir les conditions suivantes. 1. Aucun des commutateurs et routeurs du domaine de diffusion ne doit bloquer les requêtes ARP lorsque la réponse contient une adresse MAC de multidiffusions. n n n n Cette condition s’applique à l’ensemble des commutateurs et routeurs du domaine de diffusion, même s’ils ne sont pas connectés directement aux périphériques FireCluster. C’est le comportement par défaut des commutateurs de couche 2 non gérés ; il n’est donc pas nécessaire de modifier leur configuration. Pour les routeurs et la plupart des commutateurs gérés, le comportement par défaut consiste à bloquer les réponses ARP qui contiennent une adresse MAC de multidiffusions. Consultez la documentation de votre routeur ou commutateur géré pour vous renseigner sur les éventuelles options de configuration autorisant les réponses ARP contenant une adresse MAC de multidiffusions. Sur certains routeurs réseau, il est possible d’ajouter l’adresse MAC de multidiffusions en tant qu’entrée ARP statique. Si votre routeur le permet, ajoutez une entrée ARP statique pour faire correspondre l’adresse IP du cluster à son adresse MAC de multidiffusions. Le routeur ne doit pas être configuré de manière à prendre en charge la condition ARP de multidiffusions du document RFC 1812, section 3.2.2. 2. Les commutateurs que vous raccordez directement aux interfaces externes et internes du cluster doivent être configurés pour acheminer le trafic vers tous les ports lorsque l’adresse MAC de destination est une adresse MAC de multidiffusions. n n C’est le comportement par défaut des commutateurs de couche 2 non gérés ; il n’est donc pas nécessaire de modifier leur configuration. Pour les routeurs et la plupart des commutateurs gérés, vous devez modifier la configuration pour appliquer cette condition. Il sera peut-être nécessaire d’ajouter une entrée statique à la table d’adresses MAC pour spécifier les ports de destination du trafic destiné à l’adresse MAC de multidiffusions du cluster. Une adresse MAC de multidiffusions est partagée par les pairs. L’adresse MAC commence par 01:00:5E . Vous pouvez trouver les adresses MAC de multidiffusions d’un cluster sur l’onglet Rapport d’état de Firebox System Manager ou dans la boîte de dialogue de configuration de FireCluster dans Policy Manager. Pour de plus amples informations, cf. Trouver les adresses MAC de multidiffusions d’un cluster actif/actif à la page 270. Pour les FireCluster actif/actif, vous devez également ajouter des entrées ARP statiques pour vos routeurs de couche 3 à la configuration de FireCluster, dans Policy Manager. Pour de plus amples informations, cf. Ajouter des entrées ARP statiques pour un FireCluster actif/actif à la page 255. 254 WatchGuard System Manager FireCluster Pour obtenir un exemple de configuration de deux commutateurs sur un FireCluster actif/actif, voir Exemple de configuration de commutateur et d’entrée ARP statique pour un FireCluster actif/actif à la page 255. Ajouter des entrées ARP statiques pour un FireCluster actif/actif Un FireCluster actif/actif utilise une adresse MAC de multidiffusion pour chaque interface active connectée à votre réseau. Le FireCluster actif/actif envoie cette adresse MAC de multidiffusion sur le réseau. Avec certains commutateurs, il vous faudra peut-être ajouter des entrées ARP statiques pour chaque commutateur réseau de couche 3 connecté à une interface du trafic de FireCluster. Faute de quoi, la communication ne fonctionnera pas correctement sur le réseau. Policy Manager vous permet d’ajouter des entrées ARP statiques à FireCluster. Pour ajouter des entrées ARP statiques à votre configuration Firebox : 1. Dans le gestionnaire WatchGuard System Manager, utilisez l’adresse IP configurée pour l’interface cluster afin de vous connecter à FireCluster. N’utilisez pas l’adresse IP de gestion. 2. Cliquez sur . Sinon, sélectionnez Outils > Policy Manager. Policy Manager apparaît. 3. Sélectionnez Réseau > Entrées ARP. La boîte de dialogue Entrées ARP statiques s’ouvre. 4. Cliquez sur Ajouter. La boîte de dialogue Ajouter une entrée ARP s’affiche. 5. Dans la liste déroulante Interface, sélectionnez l’interface du commutateur de couche 3. 6. Dans la zone de texte Adresse IP , entrez l’adresse IP du commutateur réseau. 7. Dans la zone de texte Adresse MAC , entrez l’adresse MAC du commutateur. Cliquez sur OK. L’entrée ARP statique s’ajoute à la liste. 8. Répétez les étapes 4 à 7 afin d’ajouter des entrées ARP statiques pour chaque commutateur directement connecté aux différentes interfaces de FireCluster. 9. Cliquez sur OK. 10. Sélectionnez Fichier > Enregistrer > dans Firebox pour enregistrer les entrées ARP statiques dans FireCluster. Vous devez également configurer les commutateurs réseau pour qu’ils fonctionnent avec un FireCluster actif/actif. Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif à la page 253. Pour obtenir un exemple de configuration de deux commutateurs sur un FireCluster actif/actif, voir Exemple de configuration de commutateur et d’entrée ARP statique pour un FireCluster actif/actif à la page 255. Exemple de configuration de commutateur et d’entrée ARP statique pour un FireCluster actif/actif Les commutateurs de couche 3 qui fonctionnent en mode par défaut sont compatibles avec le trafic de multidiffusions ; FireCluster fonctionne donc sans modification de configuration. Un commutateur de User Guide 255 FireCluster couche 3 dont tous les ports sont configurés sur un seul réseau VLAN fonctionne également sans problème. Si le commutateur de couche 3 comprend des ports configurés pour d’autres réseaux VLAN, vous devez modifier la configuration pour permettre au commutateur de fonctionner correctement avec un FireCluster. Les commutateurs de couche 3 qui utilisent un routage VLAN et/ou par adresse IP rejettent le trafic de multidiffusions en provenance des membres du FireCluster. Le commutateur rejette le trafic destiné au routeur ou transitant par lui à moins que vous ne configuriez des entrées MAC et ARP statiques pour l’adresse MAC de multidiffusions du FireCluster sur le commutateur recevant le trafic de multidiffusions. Lorsque vous configurez un FireCluster actif/actif, il peut s’avérer nécessaire de modifier en partie la configuration sur FireCluster et sur les commutateurs réseau afin que les adresses MAC de multidiffusions de FireCluster fonctionnent correctement. Pour obtenir des informations plus générales, voir : n n Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif Ajouter des entrées ARP statiques pour un FireCluster actif/actif Cette rubrique comprend un exemple de configuration des commutateurs et des paramètres ARP statiques de FireCluster pour un FireCluster actif/actif. Cet exemple n’inclut aucune des autres étapes de configuration d’un FireCluster. Pour obtenir des instructions sur la configuration d’un FireCluster, voir Configurer FireCluster à la page 247. Avant de commencer, assurez-vous de disposer des informations suivantes : n n l’adresse IP et l’adresse MAC de multidiffusions de l’interface FireCluster à laquelle le commutateur est connecté. Pour de plus amples informations, cf. Trouver les adresses MAC de multidiffusions d’un cluster actif/actif à la page 270. L’adresse IP et l’adresse MAC de tous les commutateurs et routeurs connectés aux interfaces FireCluster. Note WatchGuard fournit des instructions d’interopérabilité pour aider nos clients à configurer les produits WatchGuard afin qu’ils fonctionnent avec des produits créés par d’autres organisations. Si vous avez besoin de plus d’informations ou de support technique concernant la configuration d’un produit autre que WatchGuard, consultez la documentation et les ressources de support de ce produit. Exemple de configuration Dans cet exemple, la configuration FireCluster comprend une interface approuvée et une interface externe. L’interface externe de chaque membre du cluster est connectée à un commutateur Cisco 3750. L’interface interne de chaque membre du cluster est connectée à un commutateur Extreme Summit 15040. Pour des commandes équivalentes permettant d’effectuer ces modifications de configuration sur votre commutateur, consultez la documentation de votre commutateur. Les commandes pour deux commutateurs différents sont incluses dans cet exemple. Adresses IP de cet exemple : n Interface FireCluster 0 Interface (externe) Adresse IP : 50.50.50.50/24 256 WatchGuard System Manager FireCluster Adresse multidiffusion MAC : 01:00:5e:32:32:32 n Interface FireCluster 1 Interface (approuvée) Adresse IP : 10.0.1.1/24 Adresse multidiffusion MAC : 01:00:5e:00:01:01 n Commutateur Cisco 3750 connecté à l’interface externe de FireCluster Adresse IP : 50.50.50.100 Adresse MAC de l’interface VLAN : 00:10:20:3f:48:10 ID de VLAN : 1 Interface : gi1/0/11 n Commutateur Extreme Summit 48i connecté à l’interface interne de FireCluster Adresse IP : 10.0.1.100 Adresse MAC : 00:01:30:f3:f1:40 ID de VLAN : Border-100 Interface : 9 Configurer le commutateur Cisco Dans cet exemple, le commutateur Cisco est connecté à l’interface 0 (externe) de FireCluster. Vous devez utiliser la ligne de commande de Cisco pour ajouter des entrées ARP et MAC statiques pour l’adresse MAC de multidiffusions de l’interface FireCluster externe. 1. Démarrez le Command Line Interface du Cisco 3750. 2. Ajoutez une entrée ARP statique pour l’adresse MAC de multidiffusions de l’interface FireCluster. Entrez la commande : arp <FireCluster interface IP address> <FireCluster MAC address> arpa Pour cet exemple, tapez arp 50.50.50.50 0100.5e32.3232 arpa 3. Ajoutez une entrée à la table d’adresses MAC. Entrez la commande : mac-address-table static <FireCluster interface MAC address> vlan <ID> interface <#> Dans cet exemple, cela donne : mac-address-table static 0100.5e32.3232 vlan 1 interface gi1/0/11 Configurer le commutateur Extreme Dans cet exemple, le commutateur Extreme Summit est connecté à l’interface 1 (approuvée) de FireCluster. Vous devez utiliser la ligne de commande d’Extreme Summit pour ajouter des entrées ARP et MAC statiques pour l’adresse MAC de multidiffusions de l’interface FireCluster approuvée. User Guide 257 FireCluster 1. Démarrez la ligne de commande de l’Extreme Summit 48i. 2. Ajoutez une entrée ARP statique pour l’adresse MAC de multidiffusions de l’interface FireCluster. Entrez la commande : configured iparp add <ip address> <MAC Address> Dans cet exemple, cela donne : configured iparp add 10.0.1.1/24 01:00:5e:00:01:01 3. Ajoutez une entrée à la table d’adresses MAC. Entrez la commande : create fdbentry <MAC> VLAN <ID> port <#> Dans cet exemple, cela donne : create fdbentry 01:00:5e:00:01:01 VLAN Border-100 port 9 Ajouter des entrées ARP statiques à la configuration FireCluster pour chaque commutateur Pour obtenir des explications sur leur nécessité, voir Ajouter des entrées ARP statiques pour un FireCluster actif/actif à la page 255. 1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface approuvée du cluster pour vous connecter à FireCluster. N’utilisez pas l’adresse IP de gestion. 2. Cliquez sur . ou sélectionnez Outils > Policy Manager. Policy Manager apparaît. 3. Sélectionnez Réseau > Entrées ARP. La boîte de dialogue Entrées ARP statiques s’ouvre. 4. Cliquez sur Ajouter. La boîte de dialogue Ajouter une entrée ARP s’affiche. 5. Dans la liste déroulante Interface, sélectionnez Externe. 6. Dans la zone de texte Adresse IP, entrez l’adresse IP de l’interface du commutateur reliée à l’interface externe. Dans cet exemple, cela donne : 50.50.50.100 7. Dans la zone de texte Adresse MAC, entrez l’adresse MAC de l’interface VLAN du commutateur Cisco reliée à l’interface externe. Dans cet exemple, cela donne : 00:10:20:3f:48:10 8. Cliquez sur OK. L’entrée ARP statique s’ajoute à la liste. 9. Cliquez sur Ajouter. La boîte de dialogue Ajouter une entrée ARP s’affiche. 10. Dans la liste déroulante Interface, sélectionnez Approuvée. 11. Dans la zone de texte Adresse IP, entrez l’adresse IP de l’interface du commutateur reliée à l’interface approuvée. Dans cet exemple, cela donne : 10.0.1.100 12. Dans la zone de texte Adresse MAC, entrez l’adresse MAC de l’interface du commutateur reliée à l’interface approuvée. Dans cet exemple, cela donne : 00:01:30:f3:f1:40 13. Cliquez sur OK. L’entrée ARP statique s’ajoute à la liste. 14. Cliquez sur OK pour fermer la boîte de dialogue Entrées ARP statiques. 258 WatchGuard System Manager FireCluster 15. Sélectionnez Fichier > Enregistrer > dans Firebox pour enregistrer les entrées ARP statiques dans FireCluster. Utiliser l’assistant FireCluster Setup Wizard Pour configurer FireCluster, vous pouvez soit exécuter l’Assistant FireCluster Setup Wizard, soit configurer manuellement FireCluster. Pour plus d’informations sur la configuration manuelle de FireCluster, voir Configurer FireCluster manuellement à la page 264 . Avant d’activer FireCluster : n n Assurez-vous de disposer de tous les éléments nécessaires à la configuration de FireCluster et d’avoir préparé vos paramètres de configuration. Pour plus d’informations, voir Avant de commencer à la page 250. Connectez les périphériques FireCluster entre eux et au réseau, comme indiqué dans la rubrique Connecter le matériel FireCluster à la page 252. Avertissement Dans une configuration de FireCluster actif/actif, les interfaces réseau du cluster utilisent des adresses MAC de multidiffusions. Avant d’activer un FireCluster actif/actif, assurez-vous que les routeurs réseau et les autres périphériques sont configurés pour prendre en charge le trafic réseau de multidiffusions. Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif à la page 253. Configurer FireCluster 1. Dans le gestionnaire WatchGuard System Manager, connectez-vous au périphérique WatchGuard possédant la configuration à utiliser pour le cluster. Une fois FireCluster activé, ce périphérique devient le cluster maître à partir du premier enregistrement de la configuration. 2. Cliquez sur . ou sélectionnez Outils > Policy Manager. Policy Manager ouvre le fichier de configuration du périphérique sélectionné. 3. Sélectionnez FireCluster > Configurer. L’Assistant FireCluster Setup Wizard démarre. User Guide 259 FireCluster 4. Cliquez sur Suivant. 5. Sélectionnez le type de cluster à activer : Cluster actif/actif Active le cluster pour la haute disponibilité et la répartition de charge. Si vous sélectionnez cette option, le cluster équilibre les demandes de connexion entrantes entre les deux périphériques du cluster. Il n’est pas possible de le configurer en actif/actif si l’interface externe de votre périphérique WatchGuard est configurée pour les protocoles DHCP ou PPPoE. Cluster actif/passif Active le cluster pour la haute disponibilité, sans répartition de charge. Si vous sélectionnez cette option, le cluster comprend un périphérique actif qui gère l’ensemble des connexions et un périphérique passif qui gère les connexions uniquement en cas de basculement du premier périphérique. 6. Sélectionnez l’ID du cluster. Celui-ci identifie de façon unique le cluster lorsque vous configurez plusieurs clusters sur le même domaine de diffusion de couche 2. Si vous n’avez qu’un seul cluster, vous pouvez conserver la valeur par défaut, 1. 7. Si vous avez opté pour un cluster actif/actif, sélectionnez la Méthode d’équilibrage de charge. C’est la méthode utilisée pour équilibrer les connexions entre les membres actifs du cluster. Deux options sont possibles : Connexion minimale Si vous sélectionnez cette option, chaque nouvelle connexion est affectée au membre du cluster actif dont le nombre de connexions ouvertes est le plus bas. C’est le paramètre par défaut. Tourniquet 260 WatchGuard System Manager FireCluster Si vous sélectionnez cette option, les nouvelles connexions sont réparties entre les membres du cluster actif selon un algorithme tourniquet. La première connexion est envoyée à un membre du cluster, la seconde à l’autre membre, et ainsi de suite. 8. Sélectionnez les interfaces cluster principale et de sauvegarde. Les interfaces cluster sont dédiées à la communication entre les membres du cluster ; elles ne servent pas à d’autres trafics réseau. Vous devez configurer l’interface principale. Pour la redondance, nous vous recommandons de configurer également une interface de sauvegarde. Principal(e) Il s’agit de l’interface du périphérique WatchGuard dédiée à la communication principale entre les membres du cluster. Sélectionnez le numéro d’interface que vous avez utilisé pour connecter les périphériques FireCluster entre eux. Sauvegarder Il s’agit de l’interface du périphérique WatchGuard que vous dédiez à la communication entre les membres du cluster en cas d’échec de l’interface principale. Sélectionnez le deuxième numéro d’interface que vous avez utilisé pour connecter les périphériques FireCluster entre eux, le cas échéant. Note Si vous disposez d’une interface configurée en tant qu’interface VLAN dédiée, vous ne pouvez pas la choisir comme interface cluster dédiée. 9. Sélectionnez l’adresse IP de l’interface de gestion. Cette interface vous permet de vous connecter directement aux périphériques membres de FireCluster pour les opérations de maintenance. Ce n’est pas une interface dédiée. Elle est également utilisée pour d’autres trafics réseau. Pour de plus amples informations, cf. À propos de l’adresse IP de l’interface de gestion à la page 246. 10. À l’invite de l’Assistant de configuration, ajoutez ces propriétés des membres de FireCluster à chaque périphérique : Clé de fonctionnalité Pour chaque périphérique, importez ou téléchargez la clé de fonctionnalité permettant d’activer toutes les fonctionnalités du périphérique. Si vous avez précédemment importé la clé de fonctionnalité dans Policy Manager, l’assistant utilise automatiquement cette clé de fonctionnalité pour le premier périphérique du cluster. Nom du membre Il s’agit du nom qui identifie chaque périphérique dans la configuration de FireCluster. Numéro de série Numéro de série du périphérique. Le numéro de série sert d’ID de membre dans la boîte de dialogue Configuration FireCluster. L’assistant le détermine automatiquement lorsque vous importez ou téléchargez la clé de fonctionnalité du périphérique. Adresse IP de l’interface cluster principale User Guide 261 FireCluster Adresse IP utilisée par les membres du cluster pour communiquer entre eux sur l’interface cluster principale. L’adresse IP FireCluster principale de chaque membre doit figurer sur le même sous-réseau. Si les deux périphériques démarrent en même temps, le membre du cluster ayant l’adresse IP la plus élevée attribuée à l’interface cluster principale devient le cluster maître. Adresse IP de l’interface cluster de sauvegarde Adresse IP utilisée par les membres du cluster pour communiquer entre eux sur l’interface cluster de sauvegarde. L’adresse IP FireCluster de sauvegarde de chaque membre doit figurer sur le même sous-réseau. Adresse IP de gestion Adresse IP unique qui vous permet de vous connecter à un Firebox spécifique configuré en tant que membre d’un cluster. Vous devez spécifier une adresse IP de gestion différente pour chaque membre du cluster. 11. Relisez le résumé de la configuration sur l’écran final de l’Assistant FireCluster Setup Wizard. Le résumé de la configuration comprend les options que vous avez sélectionnées et les interfaces que vous analysez pour connaître l’état des liaisons. 12. Cliquez sur Terminer. La boîte de dialogue Configuration FireCluster s’affiche. 262 WatchGuard System Manager FireCluster 13. Dans la section Paramètres d’interface, vérifiez la liste des interfaces analysées. La liste des interfaces analysées ne comprend pas les interfaces que vous avez configurées en tant qu’interfaces cluster principales et de sauvegarde. FireCluster analyse l’état des liaisons de toutes les interfaces activées. Si le cluster maître détecte une perte de liaison sur une interface analysée, il déclenche le basculement de ce périphérique. Vous devez désactiver les interfaces qui ne sont pas connectées au réseau avant d’enregistrer la configuration FireCluster dans Firebox. Pour désactiver une interface : n n Dans Policy Manager, sélectionnez Réseau > Configuration. Double-cliquez sur l’interface à désactiver, puis réglez Type d’interface sur Désactivé. Note N’enregistrez pas le fichier de configuration tant que vous n’avez pas démarré le deuxième périphérique en mode sans échec. 14. Démarrez le deuxième périphérique WatchGuard en mode sans échec. Pour démarrer en mode sans échec, maintenez enfoncé le bouton Flèche bas situé sur le panneau avant du périphérique pendant que vous mettez le périphérique sous tension. Maintenez le bouton enfoncé jusqu’à ce que WatchGuard Technologies apparaisse sur l’affichage LCD. Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi du mot safe (sans échec). 15. Enregistrez la configuration dans le cluster maître. Le cluster est activé, et le cluster maître découvre automatiquement l’autre membre configuré du cluster. User Guide 263 FireCluster Une fois le cluster actif, vous pouvez analyser l’état des membres du cluster sous l’onglet Panneau avant de Firebox System Manager. Pour de plus amples informations, cf. Contrôler et analyser les membres de FireCluster à la page 271. Si le deuxième périphérique n’est pas découvert automatiquement, vous pouvez déclencher manuellement la découverte de périphériques, comme indiqué dans Découvrir un membre de cluster à la page 273. Configurer FireCluster manuellement Vous pouvez activer FireCluster manuellement ou utiliser l’Assistant FireCluster Setup Wizard. Pour de plus amples informations, cf. Utiliser l’assistant FireCluster Setup Wizard à la page 259 . Avant d’activer FireCluster : n n Assurez-vous de disposer de tous les éléments nécessaires à la configuration de FireCluster et d’avoir préparé vos paramètres de configuration. Pour de plus amples informations, cf. Avant de commencer à la page 250. Connectez les périphériques FireCluster entre eux et au réseau, comme indiqué dans la rubrique Connecter le matériel FireCluster à la page 252. Avertissement Dans une configuration de FireCluster actif/actif, les interfaces réseau du cluster utilisent des adresses MAC de multidiffusions. Avant d’activer un FireCluster actif/actif, assurez-vous que les routeurs réseau et les autres périphériques sont configurés pour prendre en charge le trafic réseau de multidiffusions. Pour de plus amples informations, cf. Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif à la page 253. Activer FireCluster 1. Dans le gestionnaire WatchGuard System Manager, connectez-vous au périphérique WatchGuard possédant la configuration à utiliser pour le cluster. Ce périphérique devient le cluster maître à partir du premier enregistrement de la configuration, une fois FireCluster activé. 2. Cliquez sur . ou sélectionnez Outils > Policy Manager. Policy Manager apparaît. 3. Sélectionnez FireCluster > Configurer. La boîte de dialogue Configuration du cluster FireCluster s’affiche. 264 WatchGuard System Manager FireCluster 4. Activez la case à cocher Activer FireCluster. 5. Sélectionnez le type de cluster à activer : Activer un cluster actif/actif Active le cluster pour la haute disponibilité et la répartition de charge. Si vous sélectionnez cette option, le cluster équilibre la charge de trafic entre les deux périphériques du cluster. Cette option n’est pas disponible si l’interface externe de votre périphérique WatchGuard est configurée pour les protocoles DHCP ou PPPoE. Activer un cluster actif/passif Active le cluster pour la haute disponibilité, sans répartition de charge. Si vous sélectionnez cette option, le cluster comprend un périphérique actif qui gère l’ensemble du trafic réseau et un périphérique passif qui gère le trafic uniquement en cas de basculement du premier périphérique. 6. Si vous avez sélectionné Activer un cluster actif/actif, dans la liste déroulante Méthode d’équilibrage de charge, sélectionnez la méthode à utiliser pour équilibrer la charge du trafic entre les membres actifs du cluster. Connexion minimale Si vous sélectionnez cette option, chaque nouvelle connexion est affectée au membre du cluster actif dont le nombre de connexions ouvertes est le plus bas. User Guide 265 FireCluster Tourniquet Si vous sélectionnez cette option, les nouvelles connexions sont réparties entre les membres du cluster actif selon un algorithme tourniquet. La première connexion est envoyée à un membre du cluster, la seconde à l’autre membre, et ainsi de suite. 7. Dans la liste déroulante ID du cluster, sélectionnez un nombre pour identifier ce FireCluster. L’ID du cluster identifie ce cluster de manière unique s’il existe plus d’un FireCluster actif sur le même segment de réseau. Si vous n’avez qu’un seul cluster, vous pouvez conserver la valeur par défaut, 1. Configurer les paramètres d’interface L’interface FireCluster est l’interface dédiée qu’utilisent les membres du cluster pour communiquer entre eux au sujet de l’état du système. Vous pouvez configurer une ou deux interfaces FireCluster. Pour la redondance, si les interfaces sont disponibles, nous vous recommandons de configurer deux interfaces FireCluster. Si vous disposez d’une interface configurée en tant qu’interface VLAN dédiée, vous ne pouvez pas la choisir comme interface FireCluster dédiée. Vous devez désactiver les interfaces qui ne sont pas connectées au réseau avant d’enregistrer la configuration FireCluster dans Firebox. 1. Dans la liste déroulante Interface cluster principale, sélectionnez l’interface qui doit servir d’interface principale. 2. Pour utiliser une seconde interface cluster, dans la liste déroulante Interface cluster de sauvegarde, sélectionnez l’interface qui doit servir d’interface de sauvegarde. 3. Sélectionnez l’adresse IP de l’interface de gestion. Il s’agit de l’interface réseau d’un périphérique WatchGuard que vous utilisez pour établir une connexion directe à un périphérique du cluster depuis n’importe quelle application de gestion WatchGuard. Pour de plus amples informations, cf. À propos de l’adresse IP de l’interface de gestion à la page 246. 4. Vérifiez la liste des interfaces analysées. La liste des interfaces analysées ne comprend pas les interfaces que vous avez configurées en tant qu’interfaces FireCluster principales et de sauvegarde. FireCluster analyse l’état des liaisons de toutes les interfaces activées. Si le cluster maître détecte une perte de liaison sur une interface analysée, il déclenche le basculement de ce périphérique. 5. Pour désactiver une interface, dans Policy Manager, sélectionnez Réseau > Configuration. 6. Double-cliquez sur l’interface à désactiver. 7. Réglez Type d’interface sur Désactivé. Avertissement FireCluster analyse l’état de toutes les interfaces réseau actives. Vérifiez que toutes les interfaces figurant sur la liste des interfaces analysées sont connectées à un commutateur réseau. Définir les membres FireCluster 1. Cliquez sur l’onglet Membres . Les paramètres de configuration des membres FireCluster apparaissent. 266 WatchGuard System Manager FireCluster Si vous avez précédemment importé une clé de fonctionnalité dans ce fichier de configuration, le périphérique concerné est automatiquement configuré en tant que Membre nº 1. Si le fichier de configuration ne contient pas de clé de fonctionnalité, aucun membre FireCluster ne figure sur la liste. Dans ce cas, vous devez ajouter chaque périphérique en tant que membre et importer le fichier de configuration de chaque périphérique selon la procédure indiquée aux étapes suivantes. 2. Pour ajouter un membre, cliquez sur Ajouter. La boîte de dialogue Ajouter un membre s’affiche. User Guide 267 FireCluster 3. Dans la zone de texte Nom du membre , entrez un nom. Ce nom identifie le périphérique dans la liste des membres. 4. Cliquez sur l’onglet Clé de fonctionnalité. 5. Cliquez sur Importer. La boîte de dialogue Importer la clé de fonctionnalité Firebox apparaît. 6. Cliquez sur Parcourir pour chercher le fichier de clé de fonctionnalité. Sinon, copiez le texte du fichier de clé de fonctionnalité et cliquez sur Coller pour l’insérer dans la boîte de dialogue. 7. Cliquez sur OK. 8. Cliquez sur l’onglet Configuration. Le champ Numéro de série est automatiquement renseigné avec le numéro de série de la clé de fonctionnalité. 268 WatchGuard System Manager FireCluster 9. Dans la zone de texte Adresse IP d’interface, entrez les adresses à utiliser pour chaque interface cluster, ainsi que l’adresse IP de l’interface de gestion. n Dans la zone de texte Cluster principale, entrez l’adresse IP à utiliser pour l’interface cluster principale. Celle-ci doit figurer sur le même sous-réseau pour tous les membres du cluster. Note Lemembreducluster ayantl’adresse IPlaplusélevéeattribuéeàl’interfacecluster principaledevientlecluster maîtresilesdeux périphériquesdémarrentenmêmetemps. n Dans la zone de texte Cluster de sauvegarde, entrez l’adresse IP à utiliser pour l’interface cluster de sauvegarde. Cette option n’apparaît que si vous avez configuré une interface cluster de sauvegarde. L’adresse IP de celle-ci doit figurer sur le même sous-réseau pour tous les membres du cluster. n Dansla zone de texte Adresse IP del’interface degestion, entrezl’adresse IP àutiliser pour se connecter à unmembre ducluster enparticulier pour des opérationsde maintenance.L’interface de gestion n’estpas une interface dédiée.Elle estégalement utilisée pour d’autrestrafics réseau.Il peuts’agir de n’importe quelle adresse, maiselle doitêtre différente pour chaque membre du cluster. Pour de plusamples informations,cf. Àpropos del’adresse IP del’interface degestion àla page 246. 10. Cliquez sur OK. Le périphérique ajouté apparaît dans la liste Membres en tant que membre du cluster. 11. Répétez les étapes précédentes pour ajouter le second périphérique WatchGuard à la configuration du cluster. Note N’enregistrez pas la configuration dans Firebox tant que vous n’avez pas démarré le second périphérique en mode sans échec. 12. Démarrez le deuxième périphérique WatchGuard en mode sans échec. Pour démarrer en mode sans échec, maintenez enfoncé le bouton Flèche bas situé sur le panneau avant du périphérique pendant que vous mettez le périphérique sous tension. Sur un périphérique Firebox X Core ou Peak, maintenez enfoncé le bouton Flèche bas jusqu’à ce WatchGuard Technologies apparaisse sur l’affichage LCD. Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi du mot safe (sans échec). Sur un périphérique WatchGuard XTM, maintenez enfoncé le bouton Flèche bas jusqu’à ce que Safe Mode Starting... (Démarrage en mode sans échec) apparaisse sur l’affichage LCD. Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi du mot safe (sans échec). 13. Enregistrez la configuration dans Firebox. Le cluster est activé. Le cluster maître découvre automatiquement l’autre membre configuré du cluster et synchronise la configuration. Une fois le cluster actif, vous pouvez analyser l’état des membres du cluster sous l’onglet Panneau avant de Firebox System Manager. Pour de plus amples informations, cf. Contrôler et analyser les membres de FireCluster à la page 271. User Guide 269 FireCluster Si le deuxième périphérique n’est pas découvert automatiquement, vous pouvez déclencher manuellement la découverte de périphériques, comme indiqué dans Découvrir un membre de cluster à la page 273. Trouver les adresses MAC de multidiffusions d’un cluster actif/actif Pour configurer votre commutateur pour la prise en charge des adresses MAC multidiffusions FireCluster, vous devrez peut-être connaître les adresses MAC multidiffusions utilisées par le cluster pour chaque interface. Il existe deux façons de trouver les adresses MAC affectées aux interfaces. Trouver les adresses MAC dans Policy Manager 1. Ouvrez Policy Manager pour le FireCluster actif/actif. 2. Sélectionnez FireCluster > Configurer. La boîte de dialogue Configuration FireCluster s’affiche. 3. Dans la rubrique Paramètres d’interface, trouvez l’adresse MAC multidiffusion pour chaque interface. Pour copier une adresse MAC multidiffusion depuis une configuration FireCluster dans une configuration de commutateur ou de routeur : 1. Dans la colonneMAC multidiffusion, double-cliquez sur l’adresse MAC. L’adresse MAC s’affiche en surbrillance. 2. Cliquez et faites glisser pour mettre l’adresse MAC en surbrillance. 270 WatchGuard System Manager FireCluster 3. Appuyez sur Ctrl+C pour la copier dans le presse-papiers 4. Copiez l’adresse MAC dans une configuration de commutateur ou de routeur. Pour plus d’informations, voir Configuration requise des commutateurs et des routeurs pour un FireCluster actif/actif à la page 253 Trouvez l’adresse MAC dans Firebox System Manager Vous pouvez également trouver les adresses MAC multidiffusions dans Firebox System Manager. 1. Ouvrez Firebox System Manager. 2. Cliquez sur l’onglet Panneau avant. 3. Développez Interfaces. L’adresse MAC multidiffusion est intégrée dans chaque interface du cluster. Contrôler et analyser les membres de FireCluster Utilisez l’adresse IP de l’interface approuvée pour contrôler et gérer le cluster. Lorsque vous contrôlez le cluster dans Firebox System Manager, vous voyez s’afficher une vue agrégée des périphériques du cluster. Dans FSM, vous visualisez l’état des membres du cluster comme si le cluster ne constituait qu’un seul périphérique. Pour contrôler un cluster : User Guide 271 FireCluster 1. Dans Policy Manager, connectez-vous à l’adresse IP approuvée du cluster. 2. Cliquez sur . Firebox System Manager s’affiche. Lorsque vous vous connectez à l’adresse IP approuvée du cluster dans Firebox System Manager, vous voyez s’afficher les périphériques du cluster dans l’onglet Panneau avant. Les autres onglets contiennent des informations combinées pour tous les périphériques du cluster. État du contrôle des membres FireCluster Lorsque vous contrôlez un FireCluster, les onglets Firebox System Manager contiennent des informations relatives à tous les périphériques du cluster. Dans l’onglet Panneau avant, vous pouvez développer le cluster pour consulter l’état de chaque membre. Cet état indique quel périphérique est maître ainsi que l’état de chaque périphérique du cluster. Les autres onglets contiennent des informations combinées pour tous les périphériques du cluster. 272 WatchGuard System Manager FireCluster Note Vous pouvez également utiliser l’adresse IP de l’interface de gestion pour vous connecter à un membre du cluster individuel et le contrôler. Lorsque vous ne contrôlez qu’un membre du cluster, vous ne voyez pas toutes les informations relatives aux clusters. Pour plus d’informations, voir À propos de l’adresse IP de l’interface de gestion à la page 246. Contrôler et analyser les membres du cluster Vous pouvez également utiliser Firebox System Manager pour contrôler et analyser des membres du cluster individuels. Si les opérations FireCluster sont en principe effectuées automatiquement, vous pouvez terminer manuellement certaines fonctions dans Firebox System Manager. Pour contrôler les membres du cluster : 1. Sélectionnez Outils > Cluster. 2. Sélectionnez une option : n n n n n n n Découvrir un membre de cluster Forcer le basculement d’un cluster maître Redémarrer un membre du cluster Arrêter un membre du cluster Se connecter à un membre du cluster Faire quitter le cluster à un membre Permettre à un membre de rejoindre un cluster Découvrir un membre de cluster Lorsque vous ajoutez un périphérique à un FireCluster, le cluster maître découvre automatiquement le périphérique. Vous pouvez aussi utiliser la commande Découvrir un membre pour déclencher la découverte du périphérique par le cluster maître. Il peut s’agir d’un nouveau périphérique ou d’un membre existant du cluster. Avant de commencer, assurez-vous que le périphérique est : n n correctement connecté au réseau, comme indiqué dans la rubrique Connecter le matériel FireCluster à la page 252 configuré en tant que membre du cluster dans la configuration du cluster. Utilisez l’une des méthodes suivantes : n n Utiliser l’assistant FireCluster Setup Wizard Configurer FireCluster manuellement Pour déclencher la découverte d’un périphérique par le cluster maître : 1. S’il s’agit d’un nouveau périphérique sur le cluster, démarrez le nouveau périphérique en mode sans échec. Pour plus d’informations, voir la section suivante. 2. Dans WatchGuard System Manager, connectez-vous au cluster maître. 3. Démarrer Firebox System Manager. User Guide 273 FireCluster 4. Sélectionnez Outils > Cluster > Découvrir un membre. La boîte de dialogue Découvrir un membre s’affiche. 5. Entrez le mot de passe de configuration du cluster. Un message apparaît pour vous informer que le processus de découverte a commencé. 6. Cliquez sur OK. Le cluster maître essaie de découvrir les nouveaux périphériques connectés au cluster. Lorsqu’il découvre un périphérique connecté, il vérifie son numéro de série. Si le numéro de série correspond au numéro de série d’un membre du cluster dans la configuration FireCluster, le cluster maître charge la configuration du cluster sur le second périphérique. Le périphérique devient alors actif dans le cluster. Le second périphérique synchronise tous les états du cluster à partir du cluster maître. À la fin de la découverte et de la synchronisation initiale, le périphérique apparaît sur l’onglet Panneau avant de Firebox System Manager en tant que membre du cluster. Démarrer un périphérique en mode sans échec 1. Maintenez enfoncé le bouton Flèche bas situé sur le panneau avant du périphérique pendant que vous mettez le périphérique sous tension. 2. Sur un périphérique Firebox X Core ou Peak, maintenez enfoncé le bouton Flèche bas jusqu’à ce WatchGuard Technologies apparaisse sur l’affichage LCD. Sur un périphérique WatchGuard XTM, maintenez enfoncé le bouton Flèche bas jusqu’à ce que Safe Mode Starting... (Démarrage en mode sans échec) apparaisse sur l’affichage LCD. 3. Relâchez le bouton Flèche bas. Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi du mot safe (sans échec). Forcer le basculement d’un cluster maître La commande Basculement de maître de Firebox System Manager vous permet de forcer le basculement du cluster maître. Le maître de sauvegarde devient alors le cluster maître, et le périphérique maître initial devient le maître de sauvegarde. 1. Sélectionnez Outils> Cluster > Basculement de maître. La boîte de dialogue Basculement de maître s’ouvre. 274 WatchGuard System Manager FireCluster 2. Tapez le mot de passe de configuration. 3. Cliquez sur OK. Le cluster maître bascule sur le maître de sauvegarde, et ce dernier devient maître. Redémarrer un membre du cluster Vous pouvez utiliser la commande Redémarrer membre dans Firebox System Manager pour redémarrer un membre du cluster. Cette commande équivaut à la commande Redémarrer > Fichier que vous utiliseriez pour redémarrer un périphérique non mis en cluster. 1. Sélectionnez Outils > Cluster > Redémarrer membre. La boîte de dialogue Redémarrer membre s’affiche. 2. Sélectionnez le membre du cluster que vous souhaitez redémarrer. 3. Tapez le mot de passe de configuration. 4. Cliquez sur OK. Ensuite, le membre du cluster redémarre et rejoint le cluster. Si vous redémarrez le cluster maître, cette action déclenche un basculement. Le maître de sauvegarde devient le maître. Lorsque le redémarrage est terminé, le cluster maître original rejoint le cluster en tant que maître de sauvegarde. User Guide 275 FireCluster Arrêter un membre du cluster Vous pouvez utiliser la commande Arrêter membre dans Firebox System Manager pour arrêter un membre du cluster. Cette commande équivaut à la commande Arrêter > Fichier que vous utiliseriez pour redémarrer un périphérique non mis en cluster. 1. Sélectionnez Outils >Cluster >Arrêter membre. La boîte de dialogue Arrêter membre s’affiche. 2. Sélectionnez le membre du cluster que vous souhaitez arrêter. 3. Tapez le mot de passe de configuration. 4. Cliquez sur OK. Le membre du cluster s’arrête. Tout le trafic géré par ce cluster est transféré à l’autre membre du cluster. Lorsque vous arrêtez un membre du cluster, le LCD, le port série et toutes les interfaces du périphérique sont arrêtées. Le témoin lumineux passe à l’orange et les ventilateurs continuent à tourner, mais vous ne pouvez pas communiquer avec le périphérique. Pour redémarrer le périphérique après un arrêt, vous devez appuyer sur le bouton de mise sous tension pour éteindre le périphérique. Appuyez ensuite à nouveau sur le bouton de mise sous tension pour le redémarrer. Se connecter à un membre du cluster Lorsque vous vous connectez à un FireCluster à partir du gestionnaire WatchGuard System Manager, les informations disponibles sont combinées pour tous les membres du cluster. Pour analyser un membre du cluster en particulier, vous pouvez vous connecter à lui dans Firebox System Manager (FSM). FSM propose deux méthodes pour se connecter à un membre du cluster : le menu principal de FSM et le menu contextuel (clic droit). Pour utiliser le menu principal : 1. Sélectionnez Outils > Cluster > Se connecter à un membre. La boîte de dialogue Se connecter à un membre apparaît. 276 WatchGuard System Manager FireCluster 2. Sélectionnez le membre du cluster auquel vous souhaitez vous connecter. 3. Cliquez sur OK. Une autre fenêtre de Firebox System Manager s’ouvre pour le membre du cluster sélectionné. Pour utiliser le menu contextuel : 1. Sur l’onglet Panneau avant, sélectionnez un membre du cluster. 2. Cliquez avec le bouton droit de la souris et sélectionnez Se connecter à un membre. Faire quitter le cluster à un membre Si vous utilisez l’adresse IP de gestion FireCluster pour vous connecter au membre du cluster, la commande Quitter est disponible dans Firebox System Manager. La commande Quitter fait partie de la procédure de restauration d’une image de sauvegarde FireCluster. Lorsqu’un membre quitte le cluster, il faut toujours partie de la configuration du cluster sans y participer. L’autre membre du cluster se charge de l’ensemble du trafic du cluster après que le second membre l’ait quitté. Pour faire quitter le cluster à un membre : 1. Dans WatchGuard System Manager, utilisez l’interface de l’adresse IP de gestion pour vous connecter au maître de sauvegarde. 2. Démarrez Firebox System Manager pour le maître de sauvegarde. 3. Sélectionnez Outils > Cluster > Quitter . Le maître de sauvegarde quitte le cluster et redémarre. Pour obtenir des informations relatives à l’adresse IP de l’interface de gestion, cf. À propos de l’adresse IP de l’interface de gestion à la page 246. Pour obtenir des informations relatives à la restauration d’une image de sauvegarde pour les membres d’un cluster, cf. Restaurer une image de sauvegarde de FireCluster à la page 287. User Guide 277 FireCluster Permettre à un membre de rejoindre un cluster La commande Rejoindren’est disponible que dans Firebox System Manager si vous connectez un membre du cluster avec l’adresse IP de l’interface de gestion, et si vous avez précédemment utilisé la commande Quitter pour faire quitter le cluster au membre. Les commandes Quitter et Rejoindre font partie de la procédure de restauration d’une image de sauvegarde FireCluster. 1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface de gestion pour vous connecter au maître de sauvegarde. Si l’image de sauvegarde que vous avez restaurée dispose d’une adresse IP de l’interface de gestion différente pour ce membre du cluster ou d’un mot de passe différent, utilisez l’adresse IP de l’interface de gestion et le mot de passe issu de l’image de sauvegarde pour vous reconnecter au périphérique dans WSM. 2. Démarrez Firebox System Manager pour le maître de sauvegarde. 3. Sélectionnez Outils > Cluster > Rejoindre. Ensuite, le maître de sauvegarde redémarre et rejoint le cluster. Pour obtenir des informations relatives à l’adresse IP de l’interface de gestion, cf. À propos de l’adresse IP de l’interface de gestion à la page 246. Pour obtenir des informations relatives à la restauration d’une image de sauvegarde pour les membres d’un cluster, cf. Restaurer une image de sauvegarde de FireCluster à la page 287. Supprimer ou ajouter un membre du cluster Vous pouvez utiliser Policy Manager pour supprimer ou ajouter des périphériques au FireCluster. Supprimer un périphérique du FireCluster Pour supprimer un périphérique du FireCluster : 1. Dans le gestionnaire WatchGuard System Manager, ouvrez la configuration du cluster maître. 2. Cliquez sur . Sinon, sélectionnez Outils > Policy Manager. Policy Manager apparaît. 3. Sélectionnez FireCluster > Configurer. La boîte de dialogue Configuration du cluster FireCluster s’affiche. 4. Cliquez sur l’onglet Membres. Une liste des membres du cluster s’affiche sur le côté gauche. 278 WatchGuard System Manager FireCluster 5. Cliquez sur le nom du membre du cluster que vous souhaitez supprimer. 6. Cliquez sur Supprimer. Le périphérique est supprimé de la liste des membres. 7. Cliquez sur OK. 8. Enregistrez le fichier de configuration dans le cluster. Le périphérique est supprimé du cluster. Note Lorsque vous enregistrez le fichier de configuration dans le cluster, Policy Manager vérifie que le cluster maître actuel se trouve dans la configuration du cluster. Si le périphérique que vous avez supprimé de la configuration est le cluster maître actuel, Policy Manager tente de forcer un basculement. Le maître de sauvegarde devient dès lors le nouveau cluster maître. Si le basculement réussit, les modifications de configuration sont enregistrées. Si le basculement ne réussit pas, Policy Manager ne vous permet pas d’enregistrer la configuration dans le cluster. Après avoir supprimé un périphérique WatchGuard d’un cluster, lorsque vous enregistrez la configuration dans le cluster, le périphérique supprimé redémarre et tous les paramètres du périphérique sont réinitialisés. L’autre membre devient le cluster maître. Pour obtenir des informations sur la manière de vérifier quel périphérique est le cluster maître ou pour forcer manuellement le basculement depuis le cluster maître vers un autre membre, cf. Contrôler et analyser les membres de FireCluster à la page 271. User Guide 279 FireCluster Ajouter un nouveau périphérique au FireCluster Vous pouvez ajouter un nouveau membre du cluster dans l’onglet Configuration FireCluster boîte de dialogue Membres. Pour ajouter un nouveau périphérique au cluster : 1. Cliquez sur Ajouter. 2. Configurez les paramètres pour le nouveau membre du cluster, tel que décrit dans Configurer FireCluster manuellement à la page 264. Lorsque FireCluster est activé, vous devez disposer d’au moins un périphérique dans le cluster. 3. Pour supprimer les deux périphériques du cluster, vous devez Désactiver FireCluster. Mettre à jour la configuration de FireCluster La configuration d’un FireCluster se met à jour de la même manière que les autres périphériques WatchGuard. Vous ne pouvez enregistrer qu’une configuration mise à jour dans le cluster maître. 1. Dans WatchGuard System Manager, cliquez sur . Vous pouvez également sélectionner Fichier > Se connecter au périphérique. La boîte de dialogue Se connecter à Firebox apparaît. 2. Sélectionnez ou entrez l’adresse IP approuvée du cluster. Entrez le mot de passe d’état (lecture seule). Cliquez sur OK. Le cluster apparaît parmi les périphériques dans l’onglet État du périphérique de WatchGuard System Manager. 3. Sur l’onglet État du périphérique, sélectionnez le périphérique du cluster. 4. Cliquez sur . Sinon, sélectionnez Outils > Policy Manager. Policy Manager apparaît avec le fichier de configuration actif du cluster. 5. Modifiez la configuration du cluster. 6. Enregistrez le fichier de configuration sur l’adresse IP approuvée du cluster. Lorsque vous enregistrez la configuration dans un cluster, le cluster maître envoie automatiquement la configuration mise à jour à l’autre membre du cluster. Configurer la journalisation et la notification de FireCluster L’onglet Avancé de la boîte de dialogue Configuration FireCluster comprend des paramètres de journalisation et de notification. Des messages de journaux sont systématiquement créés pour les événements FireCluster. Pour configurer les paramètres de notification des événements de basculement et de restauration de FireCluster : 1. Cliquez sur Notification. 2. Sélectionnez une méthode de notification : interruption SNMP, e-mail ou fenêtre contextuelle. 280 WatchGuard System Manager FireCluster Pour plus d’informations sur les paramètres de notification, voir Définir les préférences de journalisation et de notification à la page 656. Pour définir le niveau du journal de diagnostic des événements FireCluster dans Policy Manager : 1. Sélectionnez Configurer > Journalisation. 2. Cliquez sur Niveau du journal de diagnostic. Pour de plus amples informations sur la journalisation de diagnostic, voir Définir le niveau du journal de diagnostic à la page 653. À propos des clés de fonctionnalité et de FireCluster Chaque périphérique d’un cluster dispose de sa propre clé de fonctionnalité. Lorsque vous configurez un FireCluster, vous importez des clés de fonctionnalité pour chaque membre du cluster. Le FireCluster dispose d’un ensemble de fonctionnalités de cluster qui s’appliquent à l’ensemble du cluster. Les fonctionnalités de cluster sont basées sur les clés de fonctionnalités de tous les périphériques du cluster. Pour plus d’informations sur l’obtention d’une clé de fonctionnalité pour un périphérique, cf. Obtenir une clé de fonctionnalité auprès de LiveSecurity à la page 65. Lorsque vous activez un FireCluster, les services d’abonnement et les mises à niveau activées pour les membres du cluster fonctionnent de la manière suivante : Abonnement à LiveSecurity Service Un abonnement à LiveSecurity Service s’applique à un périphérique individuel, même si celui-ci est configuré en tant que membre d’un cluster. Vous devez disposer d’un abonnement LiveSecurity Service actif pour chaque périphérique du cluster. Si l’abonnement LiveSecurity expire pour un membre du cluster, vous ne pouvez pas mettre à niveau le système d’exploitation Fireware XTM sur ce périphérique. Mises à niveau BOVPN et Mobile VPN Les services d’abonnement comme WebBlocker, spamBlocker et Gateway AntiVirus fonctionnent différemment selon qu'il s'agit d'un cluster actif/actif ou d'un cluster actif/passif. Actif/actif — Les licences des VPN pour succursale et des Mobile VPN sont agrégées pour les périphériques configurés en tant que FireCluster. Si vous achetez des licences BOVPN ou Mobile VPN supplémentaires pour chaque périphérique d’un cluster, cette capacité supplémentaire est partagée entre les périphériques du cluster. Par exemple, si vous disposez de deux périphériques dans un cluster et que chaque clé de fonctionnalité de périphérique détient une capacité de 2 000 utilisateurs Mobile VPN, la licence effective du FireCluster est valable pour 4 000 utilisateurs Mobile VPN. Actif/passif — Les licences des VPN pour succursale et des Mobile VPN ne sont pas agrégées pour les périphériques configurés en tant que FireCluster. Le périphérique actif utilise le VPN pour succursale et le Mobile VPN activé de la capacité la plus élevée pour l’un ou l’autre périphérique. Si vous achetez des licences BOVPN ou Mobile VPN supplémentaires pour un périphérique de cluster, cette capacité supplémentaire est utilisée par le périphérique actif. User Guide 281 FireCluster Services d'abonnement Les services d’abonnement comme WebBlocker, spamBlocker et Gateway AV fonctionnent différemment selon qu'il s'agit d'un cluster actif/actif ou d'un cluster actif/passif. n n Actif/actif — Les mêmes services d’abonnement doivent être activés sur les clés de fonctionnalité associées aux deux périphériques. Chaque membre d’un cluster applique les services à partir de sa propre clé de fonctionnalité. Actif/passif — Vous devez activer les mêmes services d’abonnement sur la clé de fonctionnalité pour un seul membre du cluster. Le membre du cluster actif utilise les services d’abonnement actifs sur la clé de fonctionnalité de l’un des deux membres du cluster. Note Dans un cluster actif/actif, il est très important de renouveler les services d’abonnement pour les deux membres du cluster. Si un service d’abonnement expire pour un membre d’un cluster actif/actif, le service ne fonctionne pas pour ce membre. Le membre dont la licence a expiré continue à faire transiter le trafic sans y appliquer le service. Afficher les clés de fonctionnalité et les fonctionnalités associées à un cluster 1. Ouvrez Policy Manager pour le maître de cluster. 2. Sélectionnez FireCluster > Configurer. 3. Cliquez sur l’onglet Membres. 282 WatchGuard System Manager FireCluster 4. Sélectionnez le répertoire FireCluster. Des onglets relatifs aux fonctionnalités de cluster et aux fonctionnalités de chaque membre du cluster s’affichent en bas de la boîte de dialogue. 5. Pour consulter les fonctionnalités sous licence du cluster, cliquez sur l’onglet Fonctionnalités des clusters. n n Les colonnes Expiration et État affichent la date d’expiration la plus récente et les jours restants pour ce service parmi les membres du cluster. La colonne Valeur affiche l’état ou la capacité de la fonctionnalité pour l’ensemble du cluster. 6. Cliquez sur les onglets Membre pour consulter la licence de chaque membre du cluster. Assurez-vous de vérifier la date d’expiration pour tous les services de chaque membre du cluster. Afficher ou mettre à jour la clé de fonctionnalité pour un membre du cluster Vous pouvez utiliser Policy Manager pour afficher ou mettre à jour la clé de fonctionnalité pour chaque membre du cluster. 1. Sélectionnez FireCluster > Configurer. 2. Cliquez sur l’onglet Membres. 3. Dans l’arborescence FireCluster, sélectionnez le nom du membre. Cliquez sur Modifier. La boîte de dialogue Configuration du membre FireCluster s’affiche. User Guide 283 FireCluster 4. Cliquez sur l’onglet Clé de fonctionnalité. Les fonctionnalités disponibles pour cette clé de fonctionnalité s’affichent. Cet onglet inclut également : n n n n Une mention indiquant si la fonctionnalité est activée ou désactivée Une valeur affectée à la fonctionnalité, comme le nombre d’interfaces VLAN autorisées La date d’expiration de la fonctionnalité Le temps restant avant l’expiration de la fonctionnalité 5. Cliquez sur Importer. La boîte de dialogue Importer une clé de fonctionnalité Firebox s’affiche. 6. Cliquez sur Parcourir pour chercher le fichier de clé de fonctionnalité. Sinon, copiez le texte du fichier de clé de fonctionnalité et cliquez sur Coller pour l’insérer dans la 284 WatchGuard System Manager FireCluster boîte de dialogue. Cliquez sur OK. 7. Enregistrer le fichier de configuration. La clé de fonctionnalité n’est pas copiée vers le périphérique tant que vous n’avez pas enregistré le fichier de configuration dans le maître de cluster. Dans Policy Manager, vous pouvez aussi sélectionner des Clés de fonctionnalité > de configuration pour afficher les informations de clé de fonctionnalité pour le cluster. Afficher la clé de fonctionnalité FireCluster dans Firebox System Manager Vous pouvez également visualiser la clé de fonctionnalité dans Firebox System Manager : 1. Sélectionnez Afficher > Clés de fonctionnalité. La boîte de dialogue Clé de fonctionnalité Firebox s’affiche. Elle répertorie tous les périphériques du cluster. La rubrique Fonctionnalités sous licence comprend les fonctionnalités sous licence pour le cluster dans son ensemble. 2. Cliquez sur Détails pour afficher les détails concernant la clé de fonctionnalité pour chaque périphérique du cluster. User Guide 285 FireCluster 3. Faites défiler vers le bas pour voir la clé de fonctionnalité du second périphérique. Créer une image de sauvegarde de FireCluster Étant donné que le cluster maître synchronise la configuration à partir des membres du cluster, il vous suffit de sauvegarder l’image du cluster maître. Pour créer une sauvegarde de l’image flash (.fxi) du cluster maître : 1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface approuvée du cluster pour vous connecter au cluster maître. 2. Ouvrez Policy Manager pour le cluster maître. 3. Créer une sauvegarde de l’image Firebox. Pour créer une image de sauvegarde d’un membre spécifique du cluster : 1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface approuvée du cluster pour vous connecter au cluster maître. 2. Ouvrez Policy Manager pour le membre du cluster. 3. Créer une sauvegarde de l’image Firebox. Note Veillez à bien noter les adresses IP de gestion et des mots de passe dans l’image de sauvegarde. Si vous restaurez un FireCluster à partir de cette image, vous aurez besoin de ces informations pour vous connecter aux membres du cluster. 286 WatchGuard System Manager FireCluster Restaurer une image de sauvegarde de FireCluster Pour restaurer une image de sauvegarde FireCluster dans un cluster, vous devez restaurer l’image dans chaque membre du cluster individuellement. Le maître de sauvegarde doit quitter le cluster avant que vous ne restauriez l’image de sauvegarde dans chaque membre du cluster. Après avoir restauré la configuration dans les deux membres du cluster, le maître de sauvegarde doit rejoindre le cluster. Lorsque vous restaurez une image de sauvegarde, vous devez utiliser l’adresse IP de l’interface de gestion du cluster pour vous connecter directement au périphérique. Toutes les autres interfaces sur le périphérique sont inactives jusqu’à l’étape finale lorsque le maître de sauvegarde rejoint le cluster. Faire quitter le cluster au maître de sauvegarde 1. Dans WatchGuard System Manager, utilisez l’interface de l’adresse IP de gestion pour vous connecter au maître de sauvegarde. 2. Démarrez Firebox System Manager pour le maître de sauvegarde. 3. Sélectionnez Outils > Cluster > Quitter. Le maître de sauvegarde quitte le cluster et redémarre. Avertissement Ne faites pas de modifications de configuration au cluster maître après que le maître de sauvegarde a quitté le cluster. Restaurer l’image de sauvegarde dans le maître de sauvegarde 1. Dans WatchGuard System Manager, utilisez l’interface de l’adresse IP de gestion pour vous connecter au maître de sauvegarde. 2. Démarrez Policy Manager pour le maître de sauvegarde. 3. Sélectionnez Fichier > Restaurer pour restaurer l’image de sauvegarde. Ce périphérique redémarre avec la configuration restaurée. Pour de plus amples informations sur la commande Restaurer, cf. Restaurez un système Firebox. Image de sauvegarde à la page 50. Note Après avoir restauré l’image de sauvegarde dans un membre du cluster, le périphérique s’affiche comme un membre du cluster dans WatchGuard System Manager et Firebox System Manager. Le cluster ne fonctionne qu’après l’étape finale, lorsque le maître de sauvegarde rejoint le cluster. Restaurer l’image de sauvegarde dans le cluster maître 1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface de gestion pour vous connecter au cluster maître. 2. Démarrez Policy Manager pour le cluster maître. 3. Sélectionnez Fichier > Restaurer pour restaurer l’image de sauvegarde. Ce périphérique redémarre avec la configuration restaurée. Pour de plus amples informations sur la commande Restaurer, cf. Restaurez un système Firebox. Image de sauvegarde à la page 50. User Guide 287 FireCluster 4. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface de gestion pour vous connecter au cluster maître. Si l’image de sauvegarde que vous avez restaurée dispose d’une adresse IP de l’interface de gestion différente pour ce membre du cluster ou d’un mot de passe différent, utilisez l’adresse IP de l’interface de gestion et le mot de passe issu de l’image de sauvegarde pour vous reconnecter au périphérique. Faire rejoindre le cluster au maître de sauvegarde 1. Dans WatchGuard System Manager, utilisez l’adresse IP de l’interface de gestion pour vous connecter au maître de sauvegarde. Si l’image de sauvegarde que vous avez restaurée dispose d’une adresse IP de l’interface de gestion différente pour ce membre du cluster ou d’un mot de passe différent, utilisez l’adresse IP de l’interface de gestion et le mot de passe issu de l’image de sauvegarde pour vous reconnecter au périphérique. 2. Démarrez Fireware System Manager pour le maître de sauvegarde. 3. Sélectionnez Outils > Cluster > Rejoindre. Ensuite, le maître de sauvegarde redémarre et rejoint le cluster. Mettre à niveau Fireware XTM pour les membres FireCluster Pour mettre à jour le logiciel Fireware XTM pour les périphériques de la configuration FireCluster, utilisez Policy Manager. Lorsque vous mettez à jour le logiciel sur un périphérique, le périphérique redémarre. Lorsque la mise à niveau est en cours, le trafic réseau est géré par l’autre périphérique du cluster. Lorsque le redémarrage est terminé, le périphérique que vous avez automatiquement mis à niveau rejoint le cluster. Comme le cluster ne peut pas effectuer d’équilibrage de charge au moment du redémarrage, si vous disposez d’un cluster actif/actif, nous vous recommandons de planifier la mise à niveau lorsque le trafic réseau est au plus bas. Pour mettre à niveau Fireware XTM pour le périphérique d’un cluster : 1. 2. 3. 4. 5. Ouvrez le fichier de configuration du cluster dans Policy Manager Sélectionnez Fichier > Mettre à niveau. Tapez le mot de passe de configuration. Entrez ou sélectionnez l’emplacement du fichier de mise à niveau. Pour créer une image de sauvegarde, sélectionnez Oui. Une liste des membres du cluster s’affiche. 6. Activez la case à cocher correspondant à chaque périphérique que vous souhaitez mettre à niveau. Un message s’affiche une fois la mise à niveau terminée pour chaque périphérique. Une fois la mise à niveau terminée, chaque membre du cluster redémarre et rejoint le cluster. Si vous mettez à jour les deux périphériques du cluster au même moment, les périphériques sont mis à niveau individuellement. Ce système permet d’éviter les interruptions d’accès au réseau au cours de la mise à niveau. 288 WatchGuard System Manager FireCluster Policy Manager met d’abord à niveau le maître de sauvegarde. Lorsque la mise à niveau du premier membre est terminée, ce périphérique devient le nouveau cluster maître. Policy Manager met ensuite à niveau le second périphérique. Note Nous vous recommandons d’utiliser la même version du logiciel sur les deux périphériques. Un cluster fonctionne de manière optimale si tous les périphériques du cluster exécutent la même version du logiciel. Si vous souhaitez mettre à niveau le microprogramme à partir d’un emplacement distant, assurez-vous que l’adresse IP de l’interface de gestion soit configurée sur l’interface externe, et que l’adresse IP est publique et routable. Pour plus d’informations, voir À propos de l’adresse IP de l’interface de gestion à la page 246. Désactiver FireCluster Avertissement Lorsque vous désactivez FireCluster, les deux membres du cluster redémarrent en même temps. Nous vous recommandons de prévoir cette opération à un moment permettant une brève interruption du réseau. Pour désactiver FireCluster : 1. Dans le gestionnaire WatchGuard System Manager, ouvrez la configuration du cluster maître. 2. Cliquez sur . Sinon, sélectionnez Outils > Policy Manager. 3. Sélectionnez FireCluster > Configurer. La boîte de dialogue Configuration du cluster FireCluster s’affiche. 4. Désactivez la case à cocher Activer FireCluster. 5. Cliquez sur OK. 6. Enregistrez la configuration dans Firebox. La configuration est enregistrée et les deux périphériques du cluster redémarrent. n n Le cluster maître démarre avec les adresses IP affectées au cluster. Le cluster maître de sauvegarde démarre avec les adresses IP et la configuration par défaut. Vous pouvez supprimer un membre du cluster sans désactiver la fonctionnalité FireCluster. Vous vous retrouvez alors avec un cluster à un seul membre, mais cela ne désactive pas FireCluster et ne provoque aucune interruption du réseau. Pour plus d’informations, voir Supprimer ou ajouter un membre du cluster à la page 278. User Guide 289 FireCluster User Guide 290 12 Authentification À propos de l’authentification des utilisateurs L’authentification des utilisateurs est un processus qui vérifie si l’utilisateur est bien celui qu’il prétend être, ainsi que les privilèges attribués à cet utilisateur. Sur Firebox, le compte d’utilisateur comporte deux parties : un nom d’utilisateur et un mot de passe. Chaque compte d’utilisateur est associé à une adresse IP. L’association du nom d’utilisateur, du mot de passe et de l’adresse IP aide l’administrateur du périphérique à surveiller les connexions qui passent par le périphérique. L’authentification permet aux utilisateurs de se connecter au réseau à partir de n’importe quel ordinateur en n’ayant accès qu’aux seuls protocoles et ports pour lesquels ils détiennent une autorisation. Firebox peut ainsi faire correspondre les connexions établies à partir d’une adresse IP et transmettre aussi le nom de la session lors de l’authentification de l’utilisateur. Vous pouvez établir des stratégies de pare-feu pour donner à des utilisateurs ou à des groupes un accès à des ressources réseau spécifiques. Ceci peut être utile dans les environnements de réseau où différents utilisateurs partagent un même ordinateur ou une même adresse IP. Vous pouvez configurer Firebox en tant que serveur d’authentification local, utiliser votre serveur d’authentification Active Directory ou LDAP existant ou un serveur d’authentification RADIUS existant. Lorsque vous utilisez l’authentification à Firebox via le port 4100, les privilèges de compte peuvent se fonder sur un nom d’utilisateur. En présence d’une authentification tierce, les privilèges liés aux comptes des utilisateurs qui s’authentifient auprès du serveur d’authentification tierce sont basés sur l’appartenance à un groupe. La fonctionnalité d’authentification des utilisateurs de WatchGuard associe un nom d’utilisateur à une adresse IP spécifique, ce qui vous permet d’authentifier les connexions d’un utilisateur via le périphérique et d’en assurer le suivi. Avec un périphérique, la question fondamentale qui se pose à chaque connexion est « Dois-je autoriser le trafic de la source X vers la destination Y? ». Pour que la fonctionnalité d’authentification de WatchGuard fonctionne correctement, l’adresse IP de l’ordinateur d’un utilisateur ne doit pas changer tant que cet utilisateur est authentifié sur le périphérique. User Guide 291 Authentification Dans la plupart des environnements, la relation entre une adresse IP et l’ordinateur de l’utilisateur n’est pas assez stable pour être utilisée pour une authentification. Les environnements dans lesquels l’association d’un utilisateur et d’une adresse IP n’est pas constante, tels que les bornes ou les réseaux sur lesquels les applications sont lancées depuis un serveur terminal, ne sont généralement pas adaptés à la fonctionnalité d’authentification des utilisateurs, qui risque de ne pas être opérationnelle. WatchGuard prend en charge l’authentification, la gestion des comptes et le contrôle des accès dans les pare-feux en supposant une association stable entre adresses IP et utilisateurs. La fonctionnalité d’authentification des utilisateurs WatchGuard prend également en charge l’authentification sur un domaine d’Active Directory avec Single Sign-On (SSO), ainsi que d’autres serveurs d’authentification courants. De plus, elle prend en charge les paramètres d’inactivité et les limites de temps imposées aux sessions. Ces contrôles restreignent la durée pendant laquelle une adresse IP est autorisée à passer des données via Firebox avant que l’utilisateur ne doive entrer de nouveau son mot de passe (s’authentifier à nouveau). Si vous utilisez une liste blanche pour contrôler l’accès SSO et si vous gérez les délais d’inactivité, les délais d’expiration de sessions et les utilisateurs autorisés à s’authentifier, vous améliorerez le contrôle de l’authentification, de la gestion des comptes et du contrôle des accès. Pour empêcher un utilisateur de s’authentifier, vous devez désactiver le compte de cet utilisateur sur le serveur d’authentification. Utilisateur étapes de l’authentification Un serveur HTTPS est opérationnel sur le périphérique WatchGuard pour accepter les requêtes d’authentification. Pour s’authentifier, l’utilisateur doit se connecter à la page Web du portail d’authentification du périphérique. 1. Allez dans : https://[adresse IP de l’interface du périphérique]:4100/ ou https://[nom d’hôte du périphérique]:4100 Une page Web d’authentification s’affiche. 2. Entrez un nom d’utilisateur et un mot de passe. 3. Sélectionnez le serveur d’authentification dans la liste déroulante si plusieurs types d’authentification sont configurés. Le périphérique WatchGuard envoie le nom et le mot de passe au serveur d’authentification à l’aide du protocole PAP (Password Authentication Protocol). Une fois l’utilisateur authentifié, il est autorisé à utiliser les ressources du réseau approuvé. 292 WatchGuard System Manager Authentification Note Étant donné que Fireware XTM utilise un certificat autosigné par défaut pour HTTPS, un avertissement de sécurité s’affiche dans votre navigateur Web lors de l’authentification. Vous pouvez l’ignorer. Pour supprimer cet avertissement, vous pouvez utiliser un certificat tiers ou créer un certificat personnalisé qui correspond à l’adresse IP ou au nom de domaine utilisés pour l’authentification. Pour plus d’informations, voir Configurer le certificat de serveur Web pour Firebox authentification à la page 805. Fermer manuellement une session authentifiée Il n’est pas nécessaire d’attendre le délai d’inactivité de la session pour fermer une session authentifiée. On peut fermer manuellement sa session avant l’expiration du délai. La page Web d’authentification doit être ouverte pour que l’utilisateur puisse fermer une session. Si elle est fermée, l’utilisateur doit de nouveau s’authentifier pour se déconnecter. Pour fermer une session authentifiée : 1. Allez sur la page Web du portail d’authentification : https://[adresse IP de l’interface du périphérique]:4100/ ou https://[nom d’hôte du périphérique]:4100 2. Cliquez sur Déconnexion. Note Si la page Web du portail d’authentification est configurée pour rediriger automatiquement vers une autre page Web, le portail est redirigé quelques secondes seulement après avoir été ouvert. Assurez-vous de vous déconnecter avant la redirection. Gérer les utilisateurs authentifiés Vous pouvez utiliser Firebox System Manager pour afficher la liste de tous les utilisateurs authentifiés sur votre périphérique WatchGuard et fermer leurs sessions. Voir les utilisateurs authentifiés Pour voir les utilisateurs authentifiés sur votre périphérique WatchGuard : 1. Démarrer Firebox System Manager. 2. Sélectionnez l’onglet Liste d’authentification. La liste de tous les utilisateurs authentifiés sur Firebox s’affiche. Fermer la session d’un utilisateur Dans Firebox System Manager : 1. Sélectionnez l’onglet Liste d’authentification. La liste de tous les utilisateurs authentifiés sur Firebox s’affiche. User Guide 293 Authentification 2. Sélectionnez un ou plusieurs noms d’utilisateurs dans la liste. 3. Faites un clic droit sur le ou les noms d’utilisateur et sélectionnez Déconnecter l’utilisateur. Pour plus d’informations, voir Utilisateurs authentifiés (Liste d’authentification) à la page 707. Utiliser l’authentification pour restreindre le trafic entrant L’une des fonctions de l’outil d’authentification est de restreindre le trafic sortant. Vous pouvez également l’utiliser pour limiter le trafic réseau entrant. Lorsque vous avez un compte sur le périphérique WatchGuard et que celui-ci a une adresse IP externe publique, vous pouvez vous authentifier sur le périphérique depuis un ordinateur externe. Par exemple, vous pouvez entrer l’adresse suivante dans votre navigateur : https://<IP address of WatchGuard device external interface>:4100/ . Après vous être authentifié, utilisez les stratégies configurées pour vous sur le périphérique. Pour permettre à un utilisateur distant de s’authentifier depuis le réseau externe : 1. Dans le gestionnaire WatchGuard System Manager, connectez-vous à un périphérique et ouvrez Policy Manager. 2. Double-cliquez sur la stratégie Authentification WatchGuard. Cette stratégie s’affiche lorsque vous avez ajouté un utilisateur ou un groupe à la configuration d’une stratégie. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 3. Dans la liste déroulante Les connexions d’authentification WG sont, assurez-vous que l’option Autorisées est activée. 4. Sous la fenêtre De, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 5. Sélectionnez Tout dans la liste et cliquez sur Ajouter. 6. Cliquez sur OK. Tout s’affiche dans la fenêtre De. 7. En dessous de la liste À, cliquez sur Ajouter. 8. Sélectionnez Firebox dans la liste et cliquez sur Ajouter. 9. Cliquez sur OK. Firebox s’affiche dans la fenêtre À. 294 WatchGuard System Manager Authentification 10. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie. Utiliser l’authentification via une passerelle Firebox La passerelle Firebox est le périphérique que vous installez sur votre réseau pour protéger votre Management Server d’Internet. Pour plus d’informations, voir À propos de la passerelle Firebox à la page 510. Pour envoyer une requête d’authentification via une passerelle Firebox à un autre périphérique, vous devez avoir une stratégie autorisant le trafic d’authentification sur le périphérique de passerelle. Si le trafic d’authentification est interdit sur la passerelle, utilisez Policy Manager pour ajouter une stratégie d’authentification WG. Cette stratégie contrôle le trafic sur le port TCP 4100. Vous devez configurer la stratégie pour qu’elle autorise le trafic jusqu’à l’adresse IP du périphérique de destination. Définir les valeurs d’authentification globale Vous pouvez définir les valeurs d’authentification globale (comme les valeurs de délai et la redirection de la page d’authentification) et activer Single Sign-On (SSO). User Guide 295 Authentification Pour configurer les paramètres d’authentification : 1. Ouvrir Policy Manager. 2. Sélectionnez Configurer > Authentification > Paramètres d’authentification. La boîte de dialogue Paramètres d’authentification s’affiche. 3. Configurez les paramètres d’authentification selon la procédure décrite dans les sections ultérieures. 4. Cliquez sur OK. 296 WatchGuard System Manager Authentification Définir des délais d’authentification globale Vous pouvez définir la durée pendant laquelle les utilisateurs restent authentifiés après avoir fermé leur dernière connexion authentifiée. Ce délai se définit soit dans la boîte de dialogue Paramètres d’authentification, soit dans la Configuration d’utilisateur Firebox boîte de dialogue. Pour plus d’informations sur les paramètres d’authentification des utilisateurs et la Configuration d’utilisateur Firebox boîte de dialogue, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 310. Pour les utilisateurs authentifiés par des serveurs tiers, les délais définis par ces serveurs remplacent les délais d’authentification globale. Les valeurs de délais d’authentification ne s’appliquent pas aux utilisateurs de Mobile VPN with PPTP. Délai d’expiration de la session Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi longtemps qu’il le souhaite. Délai d’inactivité Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (sans passer de trafic au réseau externe). Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’inactivité de la session n’est utilisé et l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite. Autoriser plusieurs connexions simultanées Vous pouvez autoriser plusieurs utilisateurs à s’authentifier en même temps et avec les mêmes informations d’identification sur le même serveur d’authentification. Cette option est utile pour les comptes invités ou les environnements de laboratoire. Lorsque le deuxième utilisateur se connecte à l’aide des mêmes informations d’identification, le premier utilisateur authentifié est automatiquement déconnecté. Si vous n’autorisez pas cette fonctionnalité, les utilisateurs ne peuvent s’authentifier qu’un par un sur le serveur d’authentification. 1. Allez dans les Paramètres d’authentification boîte de dialogue. 2. Sélectionnez la case à cocher Autoriser plusieurs connexions simultanées d’authentification au pare-feu à partir d’un même compte. Pour les utilisateurs de Mobile VPN with IPSec et Mobile VPN with SSL, les connexions simultanées à partir du même compte sont toujours prises en charge que cette case à cocher soit ou non activée. Ces utilisateurs doivent se connecter avec des adresses IP différentes s’ils veulent établir des connexions simultanées, ce qui signifie qu’ils ne peuvent pas utiliser le même compte pour se connecter s’ils se trouvent derrière un périphérique Firebox utilisant la traduction d’adresses réseau (NAT). Les utilisateurs Mobile VPN with PPTP ne sont pas concernés par cette restriction. User Guide 297 Authentification Limiter les sessions de connexion Dans les Paramètres d’authentification boîte de dialogue, vous pouvez limiter les utilisateurs à une seule session authentifiée. Si vous sélectionnez cette option, les utilisateurs ne pourront pas se connecter à un serveur d’authentification à partir d’adresses IP différentes en utilisant les mêmes informations d’identification. Lorsqu’un utilisateur authentifié essaie de s’authentifier à nouveau, vous pouvez opter soit pour la fermeture de la session du premier utilisateur avec authentification de la seconde session, soit pour le rejet de la seconde session. 1. Sélectionnez Limiter les utilisateurs à une seule session de connexion. 2. Dans la liste déroulante, sélectionnez Rejeter les tentatives de connexion suivantes lorsque l’utilisateur est déjà connecté ou Fermer la première session lorsque l’utilisateur se connecte une seconde fois. 298 WatchGuard System Manager Authentification Rediriger automatiquement les utilisateurs vers le portail de connexion Si vous exigez que les utilisateurs s’authentifient avant de pouvoir accéder à Internet, vous pouvez choisir d’envoyer automatiquement les utilisateurs qui ne sont pas encore authentifiés sur le portail d’authentification, ou les faire naviguer manuellement jusqu’au portail. Cela concerne uniquement les connexions HTTP et HTTPS. Rediriger automatiquement les utilisateurs vers la page d’authentification pour qu’ils s’authentifient En activant cette case à cocher, tous les utilisateurs qui ne se sont pas encore authentifiés sont automatiquement redirigés vers le portail d’authentification lorsqu’ils essaient d’accéder à Internet. Si cette case n’est pas activée, les utilisateurs non authentifiés doivent naviguer manuellement jusqu’au portail d’authentification. Pour plus d’informations sur l’authentification des utilisateurs, voir Utilisateur étapes de l’authentification à la page 292. Utiliser une page de démarrage par défaut personnalisée Quand vous activez la case à cocher Rediriger automatiquement les utilisateurs vers la page d’authentification pour qu’ils s’authentifient pour obliger les utilisateurs à s’authentifier avant d’accéder à Internet, le portail d’authentification Web de Firebox s’affiche dès qu’un utilisateur ouvre un navigateur. Si vous voulez que le navigateur accède à une page différente une fois vos utilisateurs connectés, définissez une redirection. Dans les Paramètres d’authentification boîte de dialogue: 1. Activez la case à cocher Envoyer une redirection au navigateur après l’authentification. 2. Dans la zone de texte, entrez l’URL du site Web vers lequel les utilisateurs seront redirigés. Définir les délais d’une session de gestion Ces champs permettent de définir la durée pendant laquelle un utilisateur connecté avec des privilèges de lecture/écriture reste authentifié avant que le périphérique WatchGuard ne ferme la session. Délai d’expiration de la session Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi longtemps qu’il le souhaite. Délai d’inactivité Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (sans passer de trafic au réseau externe). Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’inactivité de la session n’est utilisé et l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite. User Guide 299 Authentification Activer Single Sign-On Quand vous activez Single Sign-On (SSO), les utilisateurs des réseaux approuvés ou facultatifs sont automatiquement authentifiés lorsqu’ils se connectent à leur ordinateur. Pour plus d’informations, voir À propos de Single Sign-On (SSO) à la page 300. À propos de la stratégie d’authentification WatchGuard (WG) La stratégie d’authentification WatchGuard (WG) s’ajoute automatiquement à la configuration de votre périphérique WatchGuard. La première stratégie ajoutée à la configuration de votre périphérique qui donne un nom d’utilisateur ou de groupe au champ De de l’onglet Stratégie dans la définition de stratégie établit une stratégie d’authentification WG. Cette stratégie contrôle l’accès au port 4100 du périphérique. Les utilisateurs envoient des demandes d’authentification au périphérique via ce port. Par exemple, pour s’authentifier sur un périphérique WatchGuard associé à l’adresse IP 10.10.10.10, entrez https://10.10.10.10:4100 dans la barre d’adresses du navigateur. Si vous souhaitez envoyer une demande d’authentification via une passerelle vers un autre périphérique, il vous faudra peut-être ajouter la stratégie d’authentification WG manuellement. Si le trafic d’authentification est refusé sur la passerelle, utilisez Policy Manager pour ajouter la stratégie d’authentification WG. Modifiez cette stratégie pour qu’elle autorise le trafic jusqu’à l’adresse IP du périphérique de destination. Pour en savoir plus sur les circonstances dans lesquelles il convient de modifier la stratégie d’authentification WatchGuard, voir Utiliser l’authentification pour restreindre le trafic entrant à la page 294. À propos de Single Sign-On (SSO) Lorsque les utilisateurs se connectent à des ordinateurs du réseau, ils doivent donner un nom d’utilisateur et un mot de pas. Si vous utilisez l’Active Directory Authentication sur Firebox pour restreindre le trafic réseau sortant aux utilisateurs ou aux groupes spécifiés, les utilisateurs doivent se connecter de nouveau lorsqu’ils s’authentifient manuellement pour accéder aux ressources réseau telles qu’Internet. Vous pouvez utiliser Single Sign-On (SSO) pour que les utilisateurs des réseaux approuvés et facultatifs soient automatiquement authentifiés auprès de Firebox lorsqu’ils se connectent à leur ordinateur. WatchGuard SSO est une solution en deux volets qui comprend l’agent SSO et les services de client SSO. Pour que SSO fonctionne, il faut installer le logiciel de l’agent SSO sur un ordinateur de votre domaine. Le logiciel client est facultatif ; il s’installe sur l’ordinateur client de chaque utilisateur. L’agent SSO appelle l’ordinateur client sur le port 4116 pour vérifier les utilisateurs actuellement connectés. En l’absence de réponse, l’agent SSO bascule sur le protocole précédent des versions antérieures à WSM 10.2.4 et utilise NetWkstaUserEnum pour appeler l’ordinateur client. Il utilise ensuite les informations obtenues pour authentifier l’utilisateur sur Single Sign-On. 300 WatchGuard System Manager Authentification Si le client SSO n’est pas installé, l’agent SSO peut obtenir plusieurs réponses de l’ordinateur qu’il interroge. Cela se produit lorsque plusieurs utilisateurs sont connectés au même ordinateur, ou en cas de connexions par service ou par batch à l’ordinateur. L’agent SSO utilise uniquement la première réponse qu’il reçoit de l’ordinateur et signale cet utilisateur à Firebox comme utilisateur s’étant connecté. Le périphérique compare les informations relatives aux utilisateurs aux stratégies définies pour cet utilisateur ou ce groupe d’utilisateurs en une fois. L’agent SSO met ces données en cache pour une durée d’environ 10 minutes par défaut, pour ne pas avoir à générer de requête pour chaque connexion. Lorsque le logiciel client SSO est installé, il reçoit l’appel de l’agent SSO et renvoie des informations précises sur l’utilisateur actuellement connecté à la station de travail. L’agent SSO ne contacte pas l’Active Directory Server pour connaître les informations d’identification de l’utilisateur, car il reçoit du client SSO les bonnes informations sur la personne actuellement connectée à l’ordinateur et sur les groupes Active Directory dont elle fait partie. Si vous travaillez dans un environnement où plusieurs personnes utilisent un même ordinateur, il est conseillé d’installer le logiciel client SSO. Si vous n’utilisez pas le client SSO, il existe des limitations du contrôle d’accès que vous devez connaître. Par exemple, pour les services installés sur un ordinateur client (tel qu’un client antivirus administré au niveau central) qui ont été déployés de sorte à se connecter avec des informations d’identification de compte de domaine, Firebox donne à tous les utilisateurs des droits d’accès qui sont définis en fonction du premier utilisateur à se connecter (et des groupes dont il est membre), et non en fonction des informations d’identification des différents utilisateurs qui se connectent de façon interactive. De même, tous les messages de journal générés à partir de l’activité de l’utilisateur indiquent le nom d’utilisateur du compte de service, et non celui de l’utilisateur concerné. Note Si vous n’installez pas le client SSO, nous vous recommandons de ne pas utiliser SSO dans des environnements où les utilisateurs se connectent aux ordinateurs via des connexions par service ou par batch. Lorsque plusieurs utilisateurs sont associés à une adresse IP, les autorisations réseau risquent de ne pas fonctionner correctement. Ceci peut constituer un risque pour la sécurité. Avant de commencer n n n n n n n n n Un Active Directory Server doit être configuré sur votre réseau approuvé ou facultatif. Firebox doit être configuré de façon à utiliser l’Active Directory Authentication. Un compte doit être défini pour chaque utilisateur sur l’Active Directory Server. Pour être opérationnel, chaque utilisateur doit se connecter à un compte de domaine Single SignOn (SSO). Si les utilisateurs se connectent à un compte qui n’existe que sur leur ordinateur local, les informations d’identification ne sont pas vérifiées et Firebox ne reconnaît pas ces utilisateurs. Si vous utilisez un pare-feu tiers sur les ordinateurs de votre réseau, vérifiez que le port TCP 445 (réseau Samba/Windows) est ouvert sur chaque client. Vérifiez que l’impression et le partage de fichiers sont activés sur tous les ordinateurs à partir desquels les utilisateurs s’identifient à l’aide de SSO. Vérifiez que les ports NetBIOS et SMB ne sont bloqués sur aucun des ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO. NetBIOS utilise les ports TCP/UDP 137, 138 et 139. SMB utilise le port TCP 445. Vérifiez que le port 4116 est ouvert sur les ordinateurs clients. Vérifiez que tous les ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO sont membres du domaine auquel sont associées les relations d’approbation ininterrompues. User Guide 301 Authentification Configurer SSO Pour utiliser SSO, vous devez installer le logiciel agent SSO. Il est recommandé d’installer également le client SSO sur les ordinateurs des utilisateurs. Bien que vous puissiez utiliser SSO uniquement avec l’agent, vous augmentez votre niveau de sécurité et vos contrôles d’accès en utilisant également le client SSO. Pour configurer SSO, procédez comme suit : 1. Installer l’agent WatchGuard Single Sign-On (SSO). 2. Installez le client WatchGuard Single Sign-On (SSO) (facultatif, mais recommandé). 3. Activer Single Sign-On (SSO). Installer l’agent WatchGuard Single Sign-On (SSO) Pour utiliser Single Sign-On (SSO), vous devez installer l’agent WatchGuard SSO. L’agent SSO est un service qui reçoit des demandes d’authentification Firebox et vérifie l’état de l’utilisateur auprès de l’Active Directory Server. Ce service s’exécute sous le nom WatchGuard Authentication Gateway sur l’ordinateur sur lequel vous installez le logiciel agent SSO. Microsoft .NET Framework 2.0 ou une version ultérieure doit être installé(e) sur cet ordinateur. Note Pour utiliser Single Sign-On avec Firebox, vous devez installer l’agent SSO sur un ordinateur du domaine ayant une adresse IP statique. Nous vous conseillons d’installer l’agent SSO sur votre contrôleur de domaine. Télécharger le logiciel agent SSO 1. 2. 3. 4. 5. À l’aide de votre navigateur Web, allez sur http://www.watchguard.com/. Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity Service. Cliquez sur le lien Software Downloads. Sélectionnez le type de périphérique et le numéro de modèle. Téléchargez le logiciel WatchGuard Authentication Gateway et enregistrez le fichier à l’emplacement de votre choix. Avant l’installation Le service agent SSO doit fonctionner en tant que compte d’utilisateur et non en tant que compte d’administrateur. Nous vous recommandons de créer un compte d’utilisateur à cet effet. Pour que le service agent SSO fonctionne correctement, configurez le compte d’utilisateur avec les propriétés suivantes : n n n n Ajoutez le compte au groupe Admins du domaine. Activez le groupe Admins du domaine comme groupe principal. Autorisez le compte à ouvrir une session en tant que service. Configurez le mot de passe pour qu’il n’expire jamais. Installer le service agent SSO 1. Double-cliquez sur WG-Authentication-Gateway.exe pour démarrer l’Assistant Authentication Gateway Setup Wizard. Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme 302 WatchGuard System Manager Authentification d’installation sur certains systèmes d’exploitation. 2. Pour installer le logiciel, suivez les instructions données à chaque page et allez jusqu’au bout de l’Assistant. Pour le nom d’utilisateur du domaine, vous devez entrer le nom d’utilisateur sous la forme : domaine\nomutilisateur . Vous ne devez pas spécifier la partie .com ou .net du nom de domaine. Par exemple, si votre domaine est mywatchguard.com et que vous utilisez le compte de domaine ssoagent, entrez mywatchguard\ssoagent . Vous pouvez utiliser le nom d’utilisateur sous sa forme de nom principal d’utilisateur : [email protected] . Si vous utilisez le nom principal d’utilisateur, vous devez alors spécifier la partie .com ou .net du nom de domaine. 3. Cliquez sur Terminer pour fermer l’Assistant. Une fois l’Assistant fermé, le service WatchGuard Authentication Gateway démarre automatiquement. À chaque redémarrage de l’ordinateur, le service démarre automatiquement. Installez le client WatchGuard Single Sign-On (SSO) Vous pouvez installer le client WatchGuard SSO dans le cadre de la solution WatchGuard Single Sign-On (SSO). Le client SSO installe un service Windows qui s’exécute à partir du compte de système local d’une station de travail afin de vérifier les informations d’identification de l’utilisateur actuellement connecté à cet ordinateur. Lorsqu’un utilisateur essaie de s’authentifier, l’agent SSO envoie au client SSO une demande des informations d’identification de l’utilisateur. Le client SSO renvoie les informations concernant l’utilisateur connecté à la station de travail. Il écoute le port 4116. Le programme d’installation du client SSO étant un fichier MSI, vous pouvez décider de l’installer automatiquement sur les ordinateurs des utilisateurs lorsqu’ils se connectent à votre domaine. Utilisez une stratégie de groupe Active Directory pour installer automatiquement le logiciel lorsque les utilisateurs se connectent à votre domaine. Pour en savoir plus sur le déploiement des installations de logiciel pour les objets de stratégie de groupe Active Directory, voir la documentation de votre système d’exploitation. Télécharger le logiciel client SSO 1. 2. 3. 4. 5. À l’aide de votre navigateur, allez sur http://www.watchguard.com/. Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity Service. Cliquez sur le lien Software Downloads. Sélectionnez le type de périphérique et le numéro de modèle. Téléchargez le logiciel WatchGuard Authentication Client et enregistrez le fichier à l’emplacement de votre choix. Installer le service client SSO 1. Double-cliquez sur WG-Authentication-Client.msi pour lancer l’Assistant Authentication Client Setup Wizard. Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme d’installation sur certains systèmes d’exploitation. User Guide 303 Authentification 2. Pour installer le logiciel, suivez les instructions données à chaque page et allez jusqu’au bout de l’Assistant. Pour voir quels sont les lecteurs disponibles pour l’installation du client et la quantité d’espace disponible sur chacun d’eux, cliquez sur Espace requis. 3. Cliquez sur Fermer pour quitter l’Assistant. Le service WatchGuard Authentication Client démarre automatiquement une fois l’Assistant terminé et démarre chaque fois que l’ordinateur redémarre. Activer Single Sign-On (SSO) Avant de pouvoir configurer SSO, il faut : n n n Configurer l’Active Directory Server Installer l’agent WatchGuard Single Sign-On (SSO) Installez le client WatchGuard Single Sign-On (SSO) (facultatif) Activer et configurer SSO Pour activer et configurer SSO depuis Policy Manager: 1. Sélectionnez Configurer > Authentification > Paramètres d’authentification. La boîte de dialogue Paramètres d’authentification s’affiche. 304 WatchGuard System Manager Authentification 2. Activez la case à cocher Activer Single Sign-On (SSO) avec Active Directory. 3. Dans la zone de texte Adresse IP de l’agent SSO , entrez l’adresse IP de votre agent SSO. 4. Dans la zone de texte Mettre les données en cache pendant , entrez ou sélectionnez la durée pendant laquelle l’agent SSO met en cache les données. 5. Dans la liste Exceptions SSO , ajoutez ou retirez les adresses IP d’hôtes pour lesquelles le périphérique ne doit pas envoyer de requêtes SSO. Pour en savoir plus sur les exceptions SSO, voir la section suivante. 6. Cliquez sur OK pour enregistrer vos modifications. User Guide 305 Authentification Définir les exceptions SSO Si votre réseau comporte des périphériques dont il n'est pas nécessaire d'authentifier les adresses IP, tels que des serveurs de réseau, des serveurs d’impression ou des ordinateurs qui ne font pas partie du domaine, il est recommandé d’ajouter leur adresse IP à la liste des exceptions SSO. Chaque fois qu’une connexion est établie à partir de l’un de ces périphériques et que l’adresse IP du périphérique ne figure pas dans la liste des exceptions, Firebox contacte l’agent SSO pour tenter d’associer l’adresse IP à un nom d’utilisateur. Cette opération prend environ 10 secondes. La liste des exceptions permet d’éviter ce délai à chaque connexion et de réduire le trafic réseau inutile. 306 WatchGuard System Manager Authentification Types de serveurs d’authentification Le système d’exploitation Fireware XTM reconnaît six méthodes d’authentification : n n n n n n Configurer Firebox en tant que serveur d’authentification Configurer l’authentification sur le serveur RADIUS Configurer les Authentification sur le serveur VASCO Configurer l’authentification SecurID Configurer l’authentification LDAP Configurer l’Active Directory Authentication Vous pouvez configurer un ou plusieurs types de serveurs d’authentification pour un périphérique WatchGuard. Si vous utilisez plusieurs types de serveurs d’authentification, les utilisateurs doivent sélectionner un type de serveur d’authentification dans la liste déroulante lorsqu’ils s’authentifient. À propos de l’utilisation de serveurs d’authentification tierce Si vous utilisez un serveur d’authentification tierce, il n’est pas nécessaire de conserver une base de données d’utilisateurs séparée sur le périphérique WatchGuard. Vous pouvez configurer un serveur tiers, installer le serveur d’authentification ayant accès au périphérique et placer le serveur derrière le périphérique par sécurité. Ensuite, configurez le périphérique pour transférer les demandes d’authentification des utilisateurs à ce serveur. Si vous créez sur le périphérique un groupe d’utilisateurs qui s’authentifie auprès d’un serveur tiers, assurez-vous de créer sur le serveur un groupe qui a le même nom que le groupe d’utilisateurs sur le périphérique. Pour configurer un périphérique WatchGuard pour des serveurs d’authentification tiers, voir : n n n n n Configurer l’authentification sur le serveur RADIUS Configurer les Authentification sur le serveur VASCO Configurer l’authentification SecurID Configurer l’authentification LDAP Configurer l’Active Directory Authentication Utiliser un serveur d’authentification de sauvegarde Vous pouvez configurer un serveur d’authentification principal et un serveur d’authentification de sauvegarde quel que soit le type d’authentification tierce. Si le périphérique WatchGuard ne parvient pas à se connecter au serveur d’authentification principal après trois tentatives, le serveur principal est marqué comme inactif et un message d’alarme est généré. Le périphérique se connecte alors au serveur d’authentification de sauvegarde. Si le périphérique ne parvient pas à se connecter au serveur d’authentification de sauvegarde, il essaie à nouveau de se connecter au serveur d’authentification principal après dix minutes. Une fois le délai d’inactivité écoulé, le serveur inactif est marqué comme actif. User Guide 307 Authentification Configurer Firebox en tant que serveur d’authentification Si vous n’utilisez pas de serveur d’authentification tierce, vous pouvez utiliser Firebox en tant que serveur d’authentification. Cette procédure divise votre société en groupes et utilisateurs pour l’authentification. Lorsque vous attribuez des utilisateurs à des groupes, assurez-vous de les associer par leurs tâches et par les informations qu’ils utilisent. Par exemple, vous pouvez disposer d’un groupe de comptabilité, de marketing, ainsi que d’un groupe de recherche et développement. Vous pouvez également avoir un groupe de nouveaux employés doté d’un accès contrôlé à Internet. Quand vous créez un groupe, vous définissez la procédure d’authentification des utilisateurs, le type de système et les informations auxquelles ils ont accès. Un utilisateur peut être un réseau ou un ordinateur. Si votre société change, vous pouvez ajouter ou supprimer des utilisateurs de vos groupes. Le serveur d’authentification Firebox est activé par défaut. Aucune action n’est requise pour l’activer avant d’ajouter des utilisateurs et des groupes. Types d’authentification Firebox Vous pouvez configurer Firebox afin d’authentifier des utilisateurs pour quatre types différents d’authentification : n n n n Pare-feu authentification Connexions Mobile VPN with PPTP Configurer Firebox pour Mobile VPN with IPSec Connexions Mobile VPN with SSL Lorsque l’authentification aboutit, Firebox relie les éléments suivants : n n n n Nom d’utilisateur Groupe(s) d’utilisateurs Firebox dont fait partie l’utilisateur Adresse IP de l’ordinateur utilisé pour s’authentifier Adresse IP virtuelle de l’ordinateur utilisé pour se connecter à Mobile VPN Pare-feu authentification Vous créez des comptes d’utilisateur et des groupes pour permettre à vos utilisateurs de s’authentifier. Lorsqu’un utilisateur s’authentifie sur Firebox, les informations d’identification de l’utilisateur et l’adresse IP de son ordinateur sont utilisées pour vérifier si une stratégie s’applique au trafic en provenance ou à destination de cet ordinateur. Pour créer un compte d’utilisateur sur Firebox : 1. Définir un nouvel utilisateur pour l’authentification sur Firebox. 2. Définir un nouveau groupe d’authentification sur Firebox et mettez le nouvel utilisateur dans ce groupe. 308 WatchGuard System Manager Authentification 3. Créez une stratégie qui autorise le trafic uniquement à destination ou en provenance d’une liste de noms d’utilisateurs ou de groupes de Firebox. Cette stratégie s’applique uniquement si un paquet provient de ou est destiné à l’adresse IP de l’utilisateur authentifié. Pour s’authentifier à partir d’une connexion HTTPS à Firebox via le port 4100 : 1. À l’aide de votre navigateur, accédez à : https://<IP address of a Firebox interface>:4100/ 2. Entrez les Nom d’utilisateur et Mot de passe. 3. Sélectionnez le Domaine dans la liste déroulante. Ce champ apparaît uniquement si vous avez le choix entre plusieurs domaines. 4. Cliquez sur Connexion. Si les informations d’identification sont valides, l’utilisateur est authentifié. Connexions Mobile VPN with PPTP Lorsque Firebox est activé avec une connexion Mobile VPN with PPTP, les utilisateurs inclus dans le groupe Mobile VPN with PPTP peuvent utiliser la fonctionnalité PPTP intégrée à leur système d’exploitation pour établir une connexion PPTP au périphérique. Étant donné que Firebox autorise la connexion PPTP de n’importe quel utilisateur de Firebox qui fournit des informations d’identification correctes, il est important que vous élaboriez une stratégie pour les sessions PPTP qui inclut uniquement les utilisateurs que vous voulez autoriser à envoyer du trafic via PPTP. Vous pouvez aussi ajouter un groupe ou un utilisateur à une stratégie qui limite l’accès aux ressources derrière Firebox. Firebox crée un groupe prédéfini appelé Utilisateurs PPTP à cette fin. Pour configurer une connexion Mobile VPN with PPTP : 1. Dans Policy Manager, sélectionnez VPN > Mobile VPN > PPTP. 2. Activez la case à cocher Activer Mobile VPN with PPTP. 3. Assurez-vous que la case à cocher Utiliser l’authentification RADIUS pour authentifier les utilisateurs Mobile VPN with PPTP est désactivée. Si cette case est activée, le serveur d’authentification RADIUS authentifie la session PPTP. Quand vous désactivez cette case, c’est Firebox qui authentifie la session PPTP. Firebox vérifie que le nom d’utilisateur et le mot de passe entrés par l’utilisateur dans la boîte de User Guide 309 Authentification dialogue de la connexion VPN correspondent dans la base de données des utilisateurs de Firebox aux informations d’identification d’un membre du groupe des utilisateurs PPTP. Si les informations d’identification fournies correspondent à un compte de la base de données des utilisateurs de Firebox, l’utilisateur est authentifié pour une session PPTP. 4. Créez une stratégie qui autorise le trafic uniquement à destination ou en provenance d’une liste de noms d’utilisateurs ou de groupes de Firebox. Firebox ne consulte pas cette stratégie, sauf si le trafic provient ou est à destination de l’adresse IP de l’utilisateur authentifié. Connexions Mobile VPN with IPSec Quand vous configurez votre périphérique WatchGuard pour héberger des sessions Mobile VPN with IPSec, commencez par créer des stratégies sur le périphérique, puis utilisez le client Mobile VPN with IPSec pour autoriser les utilisateurs à accéder au réseau. Une fois le périphérique WatchGuard configuré, chaque ordinateur client doit être configuré avec un logiciel client Mobile VPN with IPSec. Lorsque l’ordinateur de l’utilisateur est correctement configuré, celui-ci établit la connexion Mobile VPN. Si les informations d’identification utilisées pour l’authentification correspondent à une entrée de la base de données des utilisateurs de Firebox et si l’utilisateur fait partie d’un groupe Mobile VPN que vous avez créé, la session Mobile VPN est authentifiée. Pour configurer l’authentification à Mobile VPN with IPSec : 1. Configurer une connexion Mobile VPN with IPSec. 2. Installer le logiciel client Mobile VPN with IPSec. Connexions Mobile VPN with SSL Vous pouvez configurer Firebox pour héberger des sessions Mobile VPN with SSL. Lorsque Firebox est configuré avec une connexion Mobile VPN with SSL, les utilisateurs inclus dans le groupe Mobile VPN with SSL peuvent installer et utiliser le client Mobile VPN with SSL pour établir une connexion SSL. Étant donné que Firebox autorise la connexion SSL de n’importe quel utilisateur de Firebox qui fournit des informations d’identification correctes, il est important que vous élaboriez une stratégie pour les sessions SSL VPN qui inclut uniquement les utilisateurs que vous voulez autoriser à envoyer du trafic via VPN SSL. Vous pouvez également ajouter ces utilisateurs à un groupe d’utilisateurs de Firebox et élaborer une stratégie qui autorise le trafic provenant uniquement de ce groupe. Firebox crée un groupe prédéfini appelé Utilisateurs SSLVPN à cette fin. Pour configurer une connexion Mobile VPN with SSL : 1. Dans Policy Manager, sélectionnez VPN > Mobile VPN > SSL. La boîte de dialogue Configuration Mobile VPN with SSL apparaît. 2. Configurer le périphérique Firebox ou XTM pour Mobile VPN with SSL. Définir un nouvel utilisateur pour l’authentification sur Firebox 1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification. La boîte de dialogue Serveurs d’authentification s’affiche. 310 WatchGuard System Manager Authentification 2. Dans l’onglet Firebox des Serveurs d’authentification boîte de dialogue, cliquez sur Ajouter sous la liste Utilisateurs. La boîte de dialogue Configuration d’utilisateur Firebox s’affiche. User Guide 311 Authentification 3. Entrez le nom et (facultatif) une description du nouvel utilisateur. 4. Entrez et confirmez le mot de passe que la personne devra utiliser pour s’authentifier. Note Quand vous tapez ce mot de passe, les caractères sont masqués et ils n’apparaissent plus en texte simple. Si vous oubliez le mot de passe, vous devez en définir un nouveau. 5. Dans le champ Délai d’expiration de la session, définissez la durée maximale durant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Le paramètre minimal pour ce champ est une (1) seconde, minute, heure ou jour. La valeur maximale est 365 jours. 6. Dans le champ Délai d’inactivité, définissez la durée durant laquelle l’utilisateur peut rester authentifié tout en étant inactif (pas d’envoi de trafic au réseau externe). Le paramètre minimal pour ce champ est une (1) seconde, minute, heure ou jour. La valeur maximale est 365 jours. 7. Pour ajouter un utilisateur à un groupe d’authentification Firebox, sélectionnez le nom de l’utilisateur dans la liste Disponible. 8. Cliquez sur pour déplacer le nom dans la liste Membre. Vous pouvez également double-cliquer sur le nom d’utilisateur dans la liste Disponible. L’utilisateur est ajouté à la liste des utilisateurs. Vous pouvez alors ajouter d’autres utilisateurs. 9. Pour fermer la boîte de dialogue Configuration d’utilisateur Firebox, cliquez sur OK. L’onglet Utilisateurs de Firebox s’affiche avec une liste des nouveaux utilisateurs. 312 WatchGuard System Manager Authentification Définir un nouveau groupe d’authentification sur Firebox 1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification. La boîte de dialogue Serveurs d’authentification s’affiche. 2. Sélectionnez l’onglet Firebox. 3. Cliquez sur Ajouter en dessous de la liste Groupes d’utilisateurs. La boîte de dialogue Configuration de groupe Firebox s’affiche. 4. Tapez le nom du groupe. 5. (Facultatif) Entrez une description du groupe. 6. Pour ajouter un utilisateur au groupe, sélectionnez le nom de l’utilisateur dans la liste Disponible. Cliquez sur pour déplacer le nom dans la liste Membre. Vous pouvez aussi double-cliquer sur le nom d’utilisateur dans la liste Disponible. 7. Après avoir ajouté tous les utilisateurs nécessaires au groupe, cliquez sur OK. Vous pouvez à présent configurer les stratégies et l’authentification de ces utilisateurs et groupes, selon la procédure décrite à la section Utiliser les utilisateurs et groupes autorisés dans les stratégies à la page 335. Configurer l’authentification sur le serveur RADIUS Le service RADIUS (Remote Authentication Dial-In User Service) permet d’authentifier les utilisateurs locaux et distants sur un réseau d’entreprise. Il s’agit d’un système client/serveur qui regroupe dans une base de données centrale les informations relatives à l’authentification des utilisateurs, des serveurs d’accès distants, des passerelles VPN et autres ressources. Pour plus d'informations sur l'authentification sur RADIUS , voir Fonctionnement de l’authentification sur le serveur RADIUS à la page 316. User Guide 313 Authentification Clé d’authentification Les messages d’authentification en provenance et à destination du serveur RADIUS utilisent toujours une clé d’authentification, et non un mot de passe. Ainsi, cette clé d’authentification, ou secret partagé doit être identique sur le client et sur le serveur RADIUS. Sans cette clé, il n’y a aucune communication entre le client et le serveur. Méthodes d’authentification sur RADIUS Pour les authentifications sur le Web et les authentifications Mobile VPN with IPSec ou Mobile VPN with SSL, RADIUS prend en charge uniquement l’authentification PAP. Pour les authentifications sur PPTP, RADIUS prend en charge uniquement MSCHAPv2 (Microsoft ChallengeHandshake Authentication Protocol version 2). Avant de commencer Avant de configurer le périphérique WatchGuard pour utiliser votre serveur d’authentification RADIUS, vous devez disposer des informations suivantes : n n n n Serveur RADIUS principal – adresse IP et port RADIUS Serveur RADIUS secondaire (facultatif) – adresse IP et port RADIUS Secret partagé – Mot de passe qui respecte la casse, identique sur le périphérique WatchGuard et le serveur RADIUS Méthodes d’authentification – Configurez votre serveur RADIUS pour qu’il autorise la méthode d’authentification utilisée par le périphérique WatchGuard : PAP ou MSCHAP v2 Utiliser le serveur d’authentification RADIUS avec le périphérique WatchGuard Pour utiliser le serveur d’authentification RADIUS avec le périphérique WatchGuard, il faut : n n n Ajouter l’adresse IP du périphérique WatchGuard sur le serveur RADIUS selon la procédure décrite dans la documentation remise par votre fournisseur RADIUS. Activer et spécifier le serveur RADIUS dans la configuration du périphérique WatchGuard. Ajouter les noms d’utilisateurs ou les noms de groupes RADIUS à vos stratégies. Pour activer et spécifier le ou les serveurs RADIUS dans la configuration : Dans Policy Manager : 1. Cliquez sur . Ou sélectionnez Configurer > Authentification > Serveurs d’authentification. La boîte de dialogue Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet Serveur RADIUS. 314 WatchGuard System Manager Authentification 3. Pour activer le serveur RADIUS et les champs de cette boîte de dialogue, sélectionnez la case à cocher Activer le serveur RADIUS. 4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur RADIUS. 5. Dans le champ Port, vérifiez que le numéro de port utilisé par RADIUS pour l’authentification apparaît. La valeur par défaut est 1812. Les serveurs RADIUS plus anciens peuvent utiliser le port 1645. 6. Dans la zone de texte secret , entrez le secret partagé entre le périphérique WatchGuard et le serveur RADIUS. Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur. 7. Dans la zone de texte Confirmation du zone de texte, entrez à nouveau le secret partagé. 8. Entrez ou sélectionnez la valeur de délai d’attente. La valeur du délai d’attente correspond à la durée pendant laquelle le périphérique WatchGuard attend une réponse du serveur d’authentification avant de réessayer de se connecter. 9. Dans la zone de texte Tentatives de connexion, entrez ou sélectionnez le nombre de tentatives de connexion du périphérique WatchGuard auprès du serveur d’authentification (en fonction du délai spécifié ci-dessus) avant qu’il ne signale un échec de tentative d’authentification. 10. Dans la zone de texte Attribut de groupe, entrez ou sélectionnez la valeur d’un attribut. L’attribut de groupe par défaut est FilterID, qui est l’attribut RADIUS numéro 11. User Guide 315 Authentification La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d’utilisateurs. Vous devez configurer le serveur RADIUS pour qu’il intègre la chaîne FilterID dans le message d’authentification des utilisateurs qu’il envoie au périphérique WatchGuard. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors utilisées pour le contrôle d’accès. Le périphérique WatchGuard fait correspondre la chaîne FilterID au nom de groupe configuré dans ses stratégies. 11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante pour modifier la durée. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 12. Pour ajouter un serveur RADIUS de sauvegarde, sélectionnez l’onglet Paramètres du serveur secondaire et sélectionnez Activer un serveur RADIUS secondaire. . 13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le secret partagé est le même sur le serveur RADIUS de sauvegarde et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 307. 14. Cliquez sur OK. 15. Enregistrer le fichier de configuration. Fonctionnement de l’authentification sur le serveur RADIUS RADIUS est un protocole initialement conçu pour authentifier les utilisateurs distants d’un serveur avec accès par modem. Il sert aujourd’hui dans un large éventail de scénarios d’authentification. RADIUS est un protocole client-serveur dont Firebox est le client et le serveur RADIUS le serveur. (On appelle parfois Serveur d’accès au réseau ou NAS le client RADIUS.) Lorsqu’un utilisateur essaie de s’authentifier, Firebox envoie un message au serveur RADIUS. Si celui-ci est correctement configuré avec Firebox pour client, RADIUS renvoie un message d’autorisation ou de refus à Firebox (le serveur d’accès au réseau). Quand Firebox utilise RADIUS pour une tentative d’authentification : 1. L’utilisateur essaie de s’authentifier, soit par une connexion HTTPS du navigateur à Firebox via le port 4100, soit par le biais d’une connexion utilisant Mobile VPN with PPTP ou Mobile VPN with IPSec. Firebox lit le nom d’utilisateur et le mot de passe. 2. Firebox crée un message appelé message de demande d’accès et l’envoie au serveur RADIUS. Firebox utilise le secret partagé de RADIUS dans le message. Le mot de passe est toujours chiffré dans le message de demande d’accès. 3. Le serveur RADIUS s’assure que la demande d’accès provient d’un client reconnu (Firebox). Si le serveur RADIUS n’est pas configuré pour accepter Firebox comme client, il ignore le message de demande d’accès et ne répond pas. 4. Si Firebox est un client reconnu par le serveur RADIUS et que le secret partagé est correct, le serveur étudie la méthode d’authentification demandée dans le message. 316 WatchGuard System Manager Authentification 5. Sila demande d’accès utilise une méthode d’authentification autorisée,le serveur RADIUS trouve les informationsd’identification dansle message et recherche une correspondance dans labase de donnéesdes utilisateurs.Si le nom d’utilisateur et le mot de passe correspondentà une entrée de la base de données, le serveur peutobtenir desinformations supplémentairessur l’utilisateur dans labase de données(autorisation d’accèsdistant, appartenance à desgroupes, heuresde connexion,etc.). 6. Le serveur RADIUS vérifie si sa configuration comporte une stratégie d’accès ou un profil correspondant à toutes les informations dont il dispose sur l’utilisateur. Si cette stratégie existe, le serveur envoie une réponse. 7. S’il manque une seule condition, ou si le serveur ne trouve pas de stratégie correspondante, il envoie un message de refus d’accès indiquant l’échec de l’authentification. La transaction avec RADIUS s’achève et l’accès est refusé à l’utilisateur. 8. Si le message de demande d’accès répond à toutes les conditions précitées, RADIUS envoie un message d’autorisation d’accès à Firebox. 9. Le serveur RADIUS utilise le secret partagé à chaque réponse qu’il envoie. Si le secret partagé ne correspond pas, Firebox rejette la réponse de RADIUS. Pour voir les messages de diagnostic en cas d’authentification, Définir le niveau du journal de diagnostic et modifier le niveau du journal dans la catégorie Authentification. 10. Firebox lit la valeur de l’attribut FilterID du message. Il connecte le nom d’utilisateur ayant cet attribut FilterID pour mettre l’utilisateur dans un groupe RADIUS. 11. Le serveur RADIUS peut inclure une grande quantité d’informations supplémentaires dans le message d’autorisation d’accès. Firebox ignore la plupart de ces informations, comme les protocoles que l’utilisateur est autorisé à utiliser (PPP ou SLIP, par exemple), les ports auxquels il peut accéder, les délais d’inactivité et d’autres attributs. 12. Le seul attribut qui intéresse Firebox dans l’autorisation d’accès, c’est l’attribut FilterID (attribut RADIUS numéro 11). FilterID est une chaîne de texte que vous configurez pour que le serveur RADIUS l’intègre dans le message d’autorisation d’accès. Firebox a besoin de cet attribut pour associer l’utilisateur à un groupe RADIUS. Pour plus d’informations sur les groupes RADIUS, voir la section suivante. À propos des groupes RADIUS Lorsque vous configurez l’authentification sur RADIUS, vous pouvez définir le numéro d’attribut de groupe. Fireware XTM lit ce numéro dans Policy Manager pour déterminer l’attribut RADIUS qui contient les informations de groupe. Fireware XTM reconnaît uniquement l’attribut RADIUS numéro 11, FilterID, en tant qu’attribut de groupe. Lorsque vous configurez le serveur RADIUS, ne modifiez pas la valeur par défaut du numéro d’attribut de groupe, 11. Lorsque Firebox reçoit de RADIUS le message d’autorisation d’accès, il lit la valeur de l’attribut FilterID et utilise cette valeur pour associer l’utilisateur à un groupe RADIUS. (Vous devez configurer manuellement FilterID dans votre configuration RADIUS.) Ainsi, la valeur de l’attribut FilterID est le nom du groupe RADIUS dans lequel Firebox place l’utilisateur. Les groupes RADIUS que vous utilisez dans Policy Manager sont différents des groupes Windows définis dans votre contrôleur de domaine, ou de tous les groupes pouvant exister dans votre base de données des utilisateurs du domaine. Un groupe RADIUS est uniquement un groupe d’utilisateurs logique que Firebox User Guide 317 Authentification utilise. Assurez-vous de bien sélectionner la chaîne de texte FilterID. Vous pouvez faire en sorte que la valeur de FilterID corresponde au nom d’un groupe local ou d’un groupe de domaine de votre organisation, mais ce n’est pas indispensable. Nous vous recommandons d’utiliser un nom représentatif qui vous permette de vous rappeler comment vous avez défini les groupes d’utilisateurs. Utilisation pratique des groupes RADIUS Si votre organisation comporte beaucoup d’utilisateurs à authentifier, vous pouvez simplifier la gestion de vos stratégies Firebox en configurant RADIUS pour qu’il envoie la même valeur FilterID pour un grand nombre d’utilisateurs. Firebox rassemble ces utilisateurs dans un même groupe logique afin que vous puissiez administrer facilement l’accès des utilisateurs. Lorsque vous établissez une stratégie dans Policy Manager qui autorise uniquement les utilisateurs authentifiés à accéder à une ressource du réseau, utilisez le nom de groupe RADIUS au lieu d’ajouter une liste de plusieurs utilisateurs. Par exemple, quand Marie s’authentifie, la chaîne FilterID qu’envoie RADIUS est Ventes. Firebox met donc Marie dans le groupe RADIUS Ventesaussi longtemps qu’elle reste authentifiée. Si Jean et Alice s’authentifient par la suite, et que RADIUS donne la même valeur Ventes à FilterID dans les messages d’autorisation d’accès de Jean et d’Alice, alors Marie, Jean et Alice font tous partie du groupe Ventes. Vous pouvez établir une stratégie dans Policy Manager qui permet au groupe Ventes d’accéder à une ressource. Vous pouvez configurer RADIUS pour qu’il renvoie une autre valeur de FilterID, par exemple Support informatique, pour les membres de votre organisation de support interne. Vous pouvez ensuite établir une autre stratégie qui permet aux utilisateurs du Support informatique d’accéder à des ressources. Par exemple, vous pouvez autoriser le groupe Ventes à accéder à Internet via une stratégie HTTP filtrée. Ensuite, vous pouvez filtrer leur accès au Web avec WebBlocker. Une autre stratégie de Policy Manager peut autoriser les utilisateurs du Support informatique à accéder à Internet via une stratégie HTTP non filtrée, afin qu’ils puissent accéder au Web sans le filtrage de WebBlocker. Utilisez le nom de groupe RADIUS (ou les noms des utilisateurs) dans le champ De d’une stratégie pour indiquer le groupe (ou les utilisateurs) qui peut (peuvent) utiliser cette stratégie. Valeurs des délais d’attente et des tentatives de connexion Il y a échec de l’authentification quand aucune réponse n’arrive du serveur RADIUS principal. Au bout de trois échecs d’authentification, Fireware XTM utilise le serveur RADIUS secondaire. Ce processus s’appelle le basculement. Note Le nombre de tentatives d’authentification est différent du nombre de tentatives de connexion. Vous ne pouvez pas modifier le nombre de tentatives d’authentification avant le basculement. Firebox envoie un message de demande d’accès au premier serveur RADIUS de la liste. En l’absence de réponse, Firebox attend le nombre de secondes défini dans la zone Délai d’attente, puis envoie une nouvelle demande d’accès. Cela se répète autant de fois qu’indiqué dans la zone Tentative de connexion (ou jusqu’à ce qu’il y ait une réponse valide). Si aucune réponse valide n’arrive du serveur RADIUS, ou si le secret partagé de RADIUS ne correspond pas, Fireware XTM compte cela comme un échec de tentative d’authentification. 318 WatchGuard System Manager Authentification Au bout de trois échecs d’authentification, Fireware XTM utilise le serveur RADIUS secondaire pour une nouvelle tentative d’authentification. Si les tentatives sur le serveur secondaire aboutissent à trois échecs d’authentification, Fireware XTM attend dix minutes, le temps qu’un administrateur corrige le problème. Au bout de dix minutes, Fireware XTM essaie de nouveau d’utiliser le premier serveur RADIUS. Configurer les Authentification sur le serveur VASCO L’authentification sur le serveur VASCO fait appel au logiciel middleware VACMAN pour authentifier les utilisateurs distants d’un réseau d’entreprise via un environnement de serveur RADIUS ou de serveur Web. VASCO prend également en charge les environnements comprenant plusieurs serveurs d’authentification. Le système de jetons à mot de passe à usage unique de VASCO vous permet d’éliminer le maillon faible de votre infrastructure de sécurité : les mots de passe statiques. Pour utiliser le serveur d’authentification VASCO avec le périphérique WatchGuard, il faut : n n n Ajouter l’adresse IP du périphérique WatchGuard au VACMAN Middleware Server selon la procédure décrite dans la documentation remise par votre fournisseur VASCO. Activer et spécifier le VACMAN Middleware Server dans la configuration du périphérique WatchGuard. Ajouter des noms d’utilisateurs ou des noms de groupes dans les stratégies de Policy Manager. Les paramètres du serveur RADIUS permettent de configurer l’authentification sur un serveur VASCO. La boîte de dialogue Serveurs d’authentification ne contient pas d’onglet distinct pour les VACMAN Middleware Servers. Dans Policy Manager : 1. Cliquez sur . Ou sélectionnez Configurer > Authentification > Serveurs d’authentification. La boîte de dialogue Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet RADIUS. User Guide 319 Authentification 3. Pour activer le VACMAN Middleware Server et les champs de cette boîte de dialogue, sélectionnez la case à cocher Activer le serveurRADIUS. 4. Dans la zone de texte Adresse IP, entrez l’adresse IP du VACMAN Middleware Server. 5. Dans la zone de texte Port, vérifiez que le numéro de port utilisé par VASCO pour l’authentification apparaît. La valeur par défaut est 1812. 6. Dans la zone de textezone de texte , entrez le secret partagé entre le périphérique WatchGuard et le VACMAN Middleware Server. Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur. 7. Dans la zone de texte Confirmation du zone de texte, confirmez le secret partagé. 8. Dans la zone de texte Délai d’attente, entrez ou sélectionnez la durée pendant laquelle le périphérique WatchGuard attend une réponse du serveur d’authentification avant de réessayer de se connecter. 9. Dans la zone de texte Tentatives de connexion , entrez ou sélectionnez le nombre de tentatives de connexion du périphérique WatchGuard auprès du serveur d’authentification avant qu’il ne signale un échec de tentative d’authentification. 10. Entrez ou sélectionnez la valeur de l’Attribut de groupe. L’attribut de groupe par défaut est FilterID, qui est l’attribut VASCO numéro 11. 320 WatchGuard System Manager Authentification La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d’utilisateurs. Vous devez configurer le serveur VASCO pour qu’il intègre la chaîne FilterID dans le message d’authentification des utilisateurs qu’il envoie au périphérique WatchGuard. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors utilisées pour le contrôle d’accès. Le périphérique WatchGuard fait correspondre la chaîne FilterID au nom de groupe configuré dans ses stratégies. 11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante pour modifier la durée. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 12. Pour ajouter un VACMAN Middleware Server de sauvegarde, sélectionnez l’onglet Paramètres du serveur secondaire et activez la case à cocher Activer un serveur RADIUS secondaire . 13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le secret partagé est le même sur le VACMAN Middleware Server secondaire et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 307. 14. Cliquez sur OK. 15. Enregistrer le fichier de configuration. Configurer l’authentification SecurID Pour utiliser l’authentification SecurID, vous devez configurer correctement les serveurs RADIUS, VASCO et ACE/Server. Les utilisateurs doivent également disposer d’un jeton SecurID approuvé et d’un code confidentiel. Pour plus d’informations, reportez-vous à la documentation relative à RSA SecurID. Dans Policy Manager : 1. Cliquez sur . Ou sélectionnez Configurer > Authentification > Serveurs d’authentification. La boîte de dialogue Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet SecurID. User Guide 321 Authentification 3. Cochez Activer SecurID serveur pour activer le serveur SecurID et les champs de cette boîte de dialogue. 4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur SecurID. 5. Cliquez sur les flèches haut et bas du champ Port pour définir le numéro de port à utiliser pour l’authentification sur SecurID. La valeur par défaut est 1812. 6. Dans la zone de texte , entrez le secret partagé entre le périphérique WatchGuard et le serveur SecurID. Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur. 7. Dans la zone de texte Confirmer , confirmez le secret partagé. 8. Dans la zone de texte Délai d’attente, entrez ou sélectionnez la durée pendant laquelle le périphérique WatchGuard attend une réponse du serveur d’authentification avant de réessayer de se connecter. 9. Dans la Nouvelle tentative , entrez ou sélectionnez le nombre de tentatives de connexion du périphérique WatchGuard auprès du serveur d’authentification avant qu’il ne signale un échec de tentative d’authentification. 10. Dans la zone de texte Attribut de groupe , entrez ou sélectionnez la valeur d’un attribut. Nous vous recommandons de ne pas modifier cette valeur. 322 WatchGuard System Manager Authentification La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d’utilisateurs. Lorsque le serveur SecurID envoie au périphérique WatchGuard le message qu’un utilisateur est authentifié, il envoie également une chaîne de groupe d’utilisateurs. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors utilisées pour le contrôle d’accès. 11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante contiguë pour modifier la durée. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas marqué comme de nouveau actif une fois le délai d’inactivité écoulé. 12. Pour ajouter un serveur SecurID de sauvegarde, sélectionnez l’onglet Paramètres du serveur de sauvegarde et sélectionnez Activer un serveur SecurID secondaire. serveur . 13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le secret partagé est le même sur le serveur SecurID de sauvegarde et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 307. 14. Cliquez sur OK.. 15. Enregistrer le fichier de configuration. Configurer l’Active Directory Authentication Active Directory est l’application Microsoft Windows d’une structure d’annuaire LDAP. Il vous permet d’adapter le concept de hiérarchie de domaine utilisé pour le DNS au niveau de l’organisation. Il conserve les informations et les paramètres des organisations dans une base de données centrale et facile d’accès. Le serveur Active Directory Authentication permet aux utilisateurs de s’authentifier sur un périphérique WatchGuard à l’aide de leurs informations d’identification réseau actuelles. Vous devez configurer le périphérique et l’Active Directory Server. Avant de commencer, vérifiez que les utilisateurs peuvent effectivement s’authentifier sur l’Active Directory Server. Dans Policy Manager : 1. Cliquez sur . Ou sélectionnez Configurer > Authentification > Serveurs d’authentification. La boîte de dialogue Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet Active Directory. User Guide 323 Authentification 3. Sélectionnez l’option Activer Active Directory serveur . 4. Dans le champ Adresse IP, entrez l’adresse IP de l’Active Directory Server principal. L’Active Directory Server peut être placé dans n’importe quelle interface du périphérique WatchGuard. Vous pouvez également configurer le périphérique pour qu’il utilise un Active Directory Server disponible via un tunnel VPN. 5. Dans la zone de texte Port , entrez ou sélectionnez le numéro de port TCP du périphérique à utiliser pour la connexion à l’Active Directory Server. Le numéro de port par défaut est 389. Si votre Active Directory Server est un serveur de catalogue global, il est conseillé de modifier le port par défaut. Pour plus d’informations, voir Changer le port par défaut de l’Active Directory Server à la page 327. 6. Dans la zone de texte Base de recherche, entrez le point de départ de la recherche dans le répertoire. Le format standard du paramètre de base de recherche est le suivant : ou=<name of organizational unit>, dc=<first part of the distinguished server name>, dc=<any part of the distinguished server name that appears after the dot>. Définissez une base de recherche pour appliquer des limites aux répertoires du serveur d’authentification que le périphérique WatchGuard explore pour établir une correspondance d’authentification. Il est recommandé de définir la racine du domaine comme base de recherche. Cela vous permet de trouver tous les utilisateurs et tous les groupes auxquels ceux-ci appartiennent. Pour plus d’informations, voir Trouver votre base de recherche Active Directory à la page 326. 324 WatchGuard System Manager Authentification 7. Dans la zone de texte Chaîne de groupe, entrez la chaîne d’attributs utilisée pour conserver des informations de groupe d’utilisateurs sur l’Active Directory Server. Si vous ne modifiez pas le schéma Active Directory, la chaîne de groupe est toujours « memberOf » (« MembreDe »). 8. Dans la zone de texte Nom unique de l’utilisateur qui effectue la recherche , entrez le nom unique d’une opération de recherche. Il n’est pas nécessaire d’entrer une valeur dans cette zone de texte si vous conservez l’attribut de connexion sAMAccountName . Si vous modifiez l’attribut de connexion, vous devez ajouter un champ Nom unique de l’utilisateur qui effectue la recherche à votre configuration. Vous pouvez entrer un nom unique, comme Administrateur, doté du privilège de recherche dans LDAP/Active Directory. Cependant, un nom unique d’utilisateur plus faible doté uniquement du privilège de recherche est généralement suffisant. 9. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche , entrez le mot de passe associé au nom unique d’une opération de recherche. 10. Dans Attribut de connexion zone de texte, entrez un attribut de connexion Active Directory à utiliser pour l’authentification. Cet attribut est le nom utilisé pour la liaison avec la base de données Active Directory. L’attribut de connexion par défaut est sAMAccountName. Si vous utilisez sAMAccountName, les champs Nom unique de l’utilisateur qui effectue la recherche et Mot de passe de l’utilisateur qui effectue la recherche peuvent être vides. 11. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante contiguë pour définir la durée. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 12. Pour ajouter un Active Directory Server de sauvegarde, sélectionnez l’onglet Paramètres du serveur de sauvegarde et activez la case à cocher Activer un serveur Active Directory secondaire. 13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le secret partagé est le même sur le serveur de sauvegarde Active Directory que sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 307. 14. Cliquez sur OK.. 15. Enregistrer le fichier de configuration. À propos des paramètres Active Directory facultatifs Fireware XTM peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires aux sessions de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN with IPSec. Étant donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous n’êtes pas limité aux paramètres globaux de Policy Manager. Vous pouvez définir ces paramètres pour chaque utilisateur individuel. Pour plus d’informations, voir Utilisez les paramètres Active Directory ou LDAP facultatifs à la page 331. User Guide 325 Authentification Trouver votre base de recherche Active Directory Lorsque vous configurez votre périphérique WatchGuard pour authentifier les utilisateurs sur votre Active Directory Server, vous ajoutez une base de recherche. La base de recherche est le point de départ des recherches d’entrées de comptes d’utilisateur dans la structure hiérarchique d’Active Directory. Cela peut contribuer à accélérer la procédure d’authentification. Avant de commencer, il faut qu’un Active Directory Server opérationnel contienne les informations sur les comptes de tous les utilisateurs dont vous voulez configurer l’authentification sur le périphérique WatchGuard. Sur l’Active Directory Server : 1. Sélectionnez Démarrer > Outils d’administration > Utilisateurs et ordinateurs Active Directory. 2. Dans l’arborescence Utilisateurs et ordinateurs Active Directory, cherchez et sélectionnez votre nom de domaine. 3. Déroulez l’arborescence pour trouver le chemin de votre hiérarchie Active Directory. Les composants du nom de domaine sont au format dc=composant du nom de domaine. Ils sont ajoutés à la fin de la chaîne de la base de recherche et sont également délimités par des virgules. Pour chaque niveau de votre nom de domaine, vous devez inclure un composant de nom de domaine séparé dans votre base de recherche Active Directory. Par exemple, si votre nom de domaine est préfixe.exemple.com, le composant de nom de domaine de votre base de recherche est DC=préfixe,DC=exemple,DC=com . Ainsi, si votre nom de domaine apparaît sous cette forme dans l’arborescence après que vous l’ayez développé : La chaîne de base de recherche à ajouter à la configuration Firebox est : DC=kunstlerandsons,DC=com Les chaînes de recherche ne respectent pas la casse. Lorsque vous entrez la chaîne de recherche, vous pouvez utiliser des lettres majuscules ou minuscules. 326 WatchGuard System Manager Authentification Champs Nom unique de l’utilisateur effectuant la recherche et le Mot de passe de l’utilisateur effectuant la recherche Vous ne devez renseigner ces champs que si vous sélectionnez une option d’Attribut de connexion différente de la valeur par défaut (sAMAccountName). La plupart des organisations utilisant Active Directory ne changent pas ce paramètre. Lorsque vous laissez la valeur sAMAccountName par défaut de ce champ, les utilisateurs donnent leur nom de connexion Active Directory habituel pour nom d’utilisateur quand ils s’authentifient. C’est le nom qui apparaît dans la zone de texte Nom de connexion de l’utilisateur de l’onglet Compte quand vous modifiez un compte d’utilisateur dans Utilisateurs et ordinateurs Active Directory. Si vous utilisez une valeur différente pour l’Attribut de connexion, les utilisateurs qui essaient de s’authentifier donnent une forme différente de leur nom d’utilisateur. Dans ce cas, vous devez ajouter les Informations d’identification de l’utilisateur effectuant la recherche à votre configuration Firebox. Changer le port par défaut de l’Active Directory Server Si votre périphérique WatchGuard est configuré pour authentifier les utilisateurs à partir d’un serveur d’authentification Active Directory, il se connecte à l’Active Directory Server via le port LDAP standard par défaut, à savoir le port TCP 389. Si les serveurs Active Directory Server que vous ajoutez à la configuration de votre périphérique WatchGuard sont définis comme des serveurs de catalogue global Active Directory, vous pouvez paramétrer le périphérique pour qu’il utilise le port de catalogue global – le port TCP 3268 – pour se connecter au serveur Active Directory. Un serveur de catalogue global est un contrôleur de domaine qui stocke des informations sur tous les objets figurant dans la forêt. Cela permet aux applications d’effectuer des recherches dans Active Directory sans avoir à se référer aux différents contrôleurs de domaine qui stockent les données demandées. Si vous n’avez qu’un seul domaine, Microsoft recommande de configurer tous les contrôleurs de domaine en tant que serveurs de catalogue global. Si l’Active Directory Server principal ou secondaire que vous utilisez dans la configuration de votre périphérique WatchGuard est également configuré comme serveur de catalogue global, vous pouvez modifier le port utilisé par le périphérique pour se connecter au serveur Active Directory afin d’accélérer les demandes d’authentification. Toutefois, il n’est pas conseillé de créer des serveurs de catalogue global Active Directory supplémentaires uniquement pour accélérer les demandes d’authentification. Les répétitions entre les différents serveurs de catalogue peuvent occuper une grande partie de la bande passante de votre réseau. Configurer Firebox pour l’utilisation du port de catalogue global 1. Dans Policy Manager, cliquez sur . Ou sélectionnez Configurer > Authentification > Serveurs d’authentification. La boîte de dialogue Serveurs d’authentification s’affiche. 2. 3. 4. 5. Sélectionnez l’onglet Active Directory. Dans la zone de texte Port, effacez le texte et entrez 3268. Cliquez sur OK. Enregistrer le fichier de configuration. User Guide 327 Authentification Savoir si l’Active Directory Server est configuré en tant que serveur de catalogue global 1. Sélectionnez Démarrer > Outils d’administration > Sites et services Active Directory. 2. Déroulez l’arborescence Sites et repérez le nom de votre Active Directory Server. 3. Cliquez avec le bouton droit sur les Paramètres NTDS de votre Active Directory Server et sélectionnez Propriétés. Si la case à cocher Catalogue global est activée, l’Active Directory Server est configuré pour être un catalogue global. Configurer l’authentification LDAP Vous pouvez utiliser un serveur d’authentification LDAP (Lightweight Directory Access Protocol) pour authentifier vos utilisateurs sur le périphérique WatchGuard. LDAP est un protocole standard ouvert pour utiliser les services d’annuaire en ligne. Il fonctionne avec des protocoles de transport Internet, tels que TCP. Avant de configurer le périphérique WatchGuard pour une authentification LDAP, assurez-vous de consulter la documentation de votre fournisseur de protocole LDAP pour vérifier que votre installation prend en charge l’attribut memberOf (« membre de »), ou équivalent. Dans Policy Manager : 1. Cliquez sur . Ou sélectionnez Configurer > Authentification > Serveurs d’authentification. La boîte de dialogue Serveurs d’authentification s’affiche. 2. Cliquez sur l’onglet LDAP . 328 WatchGuard System Manager Authentification 3. Cochez la case Activer LDAP serveur pour activer le serveur LDAP et les champs de cette boîte de dialogue. 4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur LDAP principal que le périphérique WatchGuard doit contacter avec des requêtes d’authentification. Le serveur LDAP peut être placé dans n’importe quelle interface de périphérique WatchGuard. Vous pouvez aussi configurer votre périphérique pour qu’il utilise un serveur LDAP sur réseau distant via un tunnel VPN. 5. Dans la zone de texte Port, sélectionnez le numéro de port TCP que le périphérique WatchGuard doit utiliser pour se connecter au serveur LDAP. Le numéro de port par défaut est 389. LDAP n’est pas pris en charge sur TLS. 6. Dans la zone de texte Base de recherche , entrez les paramètres de la base de recherche. Le format standard est le suivant : ou=unité d’organisation,dc=première partie du nom unique du serveur,dc=une partie du nom unique du serveur qui apparaît après le point. Définissez une base de recherche pour appliquer des limites aux répertoires du serveur d’authentification que le périphérique WatchGuard explore pour établir une correspondance d’authentification. Si, par exemple, vos comptes d’utilisateur sont dans une unité d’organisation que vous nommez comptes et si votre nom de domaine est exemple.com, votre base de recherche est : ou=comptes,dc=exemple,dc=com 7. Dans la zone de texte Chaîne de groupe , entrez l’attribut de la chaîne de groupe. Cette chaîne d’attributs conserve des informations sur le groupe d’utilisateurs sur le serveur LDAP. Sur beaucoup de serveurs LDAP, la chaîne de groupe par défaut est uniqueMember (Membreunique), tandis que sur les autres serveurs, c’est member (membre). User Guide 329 Authentification 8. Dans la zone de texte Nom unique de l’utilisateur qui effectue la recherche , entrez le nom unique d’une opération de recherche. Vous pouvez ajouter un nom unique, comme Administrateur, doté du privilège de recherche dans LDAP/Active Directory. Certains administrateurs créent un nouvel utilisateur doté uniquement de privilèges de recherche afin de l’utiliser dans ce champ. 9. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche , entrez le mot de passe associé au nom unique d’une opération de recherche. 10. Dans la zone de texte Attribut de connexion, entrez l’attribut de connexion LDAP à utiliser pour l’authentification. Cet attribut est le nom utilisé pour la liaison avec la base de données LDAP. L’attribut de connexion par défaut est uid. Si vous utilisez uid, les champs Nom unique de l’utilisateur qui effectue la recherche et Mot de passe de l’utilisateur qui effectue la recherche peuvent être vides. 11. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai au bout duquel un serveur inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante contiguë pour définir la durée. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 12. Pour ajouter un serveur LDAP de sauvegarde, sélectionnez l’onglet Paramètres du serveur de sauvegarde et activez la case à cocher Activer un serveur LDAP secondaire . 13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le secret partagé est le même sur le serveur LDAP de sauvegarde que sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 307. 14. Cliquez sur OK.. 15. Enregistrer le fichier de configuration. À propos des paramètres LDAP facultatifs Fireware XTM peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires aux sessions de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN with IPSec. Étant donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous n’êtes pas limité aux paramètres globaux de Policy Manager. Vous pouvez définir ces paramètres pour chaque utilisateur individuel. Pour plus d’informations, voir Utilisez les paramètres Active Directory ou LDAP facultatifs à la page 331. 330 WatchGuard System Manager Authentification Utilisez les paramètres Active Directory ou LDAP facultatifs Lorsque Fireware XTM contacte le serveur d’annuaire (Active Directory ou LDAP) pour rechercher des informations, il peut obtenir des informations supplémentaires dans les listes d’attributs de la réponse à la recherche envoyée par le serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires à la session de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN. Étant donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous pouvez définir ces paramètres pour chaque utilisateur individuel au lieu de vous limiter aux paramètres globaux de Policy Manager. Avant de commencer Pour utiliser ces paramètres facultatifs, vous devez : n n n développer le schéma d’annuaire pour ajouter de nouveaux attributs à ces éléments ; rendre les nouveaux attributs disponibles pour la classe d’objets à laquelle les comptes d’utilisateurs appartiennent ; donner des valeurs aux attributs pour les objets utilisateur qui doivent les utiliser. veiller à planifier et tester soigneusement votre schéma d’annuaire avant de l’étendre à vos annuaires. Les ajouts au schéma d’Active Directory, par exemple, sont en général irrémédiables. Utilisez le site Web Microsoft afin d’obtenir des ressources pour planifier, tester et implémenter des modifications dans un schéma d’Active Directory. Consultez la documentation de votre fournisseur LDAP avant d’étendre le schéma pour d’autres annuaires. Spécifier Paramètres Active Directory ou LDAP facultatifs Pour spécifier les attributs supplémentaires que Fireware XTM recherche dans la réponse du serveur d’annuaire : 1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification. La boîte de dialogue Serveurs d’authentification s’affiche. User Guide 331 Authentification 2. Cliquez sur l’onglet LDAP ou Active Directory et vérifiez que le serveur est activé. 332 WatchGuard System Manager Authentification 3. Cliquez sur Paramètres facultatifs. Les Paramètres facultatifs du serveur boîte de dialogue s’affichent. 4. Entrez les attributs à inclure dans la recherche dans les champs de chaîne. Chaîne d’attributs IP Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer une adresse IP virtuelle au client Mobile VPN. Cet attribut doit comporter une seule valeur et une adresse IP au format décimal. L’adresse IP doit faire partie du pool d’adresses IP virtuelles que vous spécifiez lorsque vous créez le groupe Mobile VPN. User Guide 333 Authentification Si Firebox ne voit pas l’attribut IP dans la réponse à la recherche, ou si vous n’en spécifiez aucun dans Policy Manager, il attribue au client Mobile VPN une adresse IP virtuelle à partir du pool d’adresses IP virtuelles créé lors de la formation du groupe Mobile VPN. Chaîne d’attributs de masque réseau Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer un masque de sousréseau à l’adresse IP virtuelle du client Mobile VPN. Cet attribut doit comporter une seule valeur et un masque de sous-réseau au format décimal. Le logiciel Mobile VPN attribue automatiquement un masque réseau si Firebox ne trouve pas l’attribut de masque réseau dans la réponse à la recherche ou si vous n’en spécifiez aucun dans Policy Manager. Chaîne d’attributs DNS Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut qu’utilise Fireware XTM pour attribuer une ou plusieurs adresses DNS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut comporter plusieurs valeurs, mais doit avoir une adresse IP au format décimal avec points standard. Si Firebox ne voit pas l’attribut DNS dans la réponse à la recherche, ou si vous n’en spécifiez aucun dans Policy Manager, il utilise les adresses WINS entrées au moment de Configurer les Serveurs WINS et DNS. Chaîne d’attributs WINS Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer une ou plusieurs adresses WINS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut comporter plusieurs valeurs, mais doit avoir une adresse IP au format décimal avec points standard. Si Firebox ne voit pas l’attribut WINS dans la réponse à la recherche, ou si vous n’en spécifiez aucun dans Policy Manager, il utilise les adresses WINS entrées au moment de Configurer les Serveurs WINS et DNS. Chaîne d’attributs de la durée du bail Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu. Entrez le nom de l’attribut que Fireware XTM doit utiliser pour contrôler la durée maximale pendant laquelle un utilisateur peut rester authentifié (délai d’expiration de la session). Une fois cette durée expirée, l’utilisateur est supprimé de la liste d’utilisateurs authentifiés. Cet attribut doit comporter une seule valeur. Fireware XTM interprète la valeur de l’attribut comme un nombre décimal de secondes. Il interprète zéro comme jamais inactif. Chaîne d’attributs de délai d’inactivité Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu. 334 WatchGuard System Manager Authentification Entrez le nom de l’attribut que Fireware XTM utilise pour contrôler la durée pendant laquelle un utilisateur peut rester authentifié sans qu’aucun trafic à destination de Firebox ne provienne de l’utilisateur (délai d’inactivité). En l’absence de trafic vers le périphérique pendant cette durée, l’utilisateur est retiré de la liste d’utilisateurs authentifiés. Cet attribut doit comporter une seule valeur. Fireware XTM interprète la valeur de l’attribut comme un nombre décimal de secondes. Il interprète zéro comme jamais inactif. 5. Cliquez sur OK. Les paramètres de l’attribut sont enregistrés. Utiliser un compte d’utilisateur local pour l’authentification Tous les utilisateurs peuvent s’authentifier en tant qu’ utilisateur du pare-feu, utilisateur PPTP ou utilisateur Mobile VPN et ouvrir un tunnel PPTP ou un tunnel Mobile VPN si PPTP ou Mobile VPN est activé sur Firebox. Cependant, une fois l’authentification ou le tunnel établi, les utilisateurs peuvent envoyer le trafic via le tunnel VPN uniquement si une stratégie de Firebox autorise le trafic. Par exemple, un utilisateur autorisé à utiliser uniquement Mobile VPN peut envoyer des données via un tunnel Mobile VPN. Même si le Mobile VPN peut s’authentifier et ouvrir un tunnel PPTP, il ne pourra pas envoyer de trafic via ce tunnel PPTP. Si vous utilisez l’Active Directory Authentication et que l’appartenance d’un utilisateur à un groupe ne correspond pas à votre stratégie Mobile VPN, un message d’erreur signalant que le trafic déchiffré ne correspond à aucune stratégie s’affiche. Si ce message s’affiche, vérifiez que l’utilisateur fait partie d’un groupe dont le nom est identique à celui de votre groupe Mobile VPN. Utiliser les utilisateurs et groupes autorisés dans les stratégies Vous pouvez utiliser des noms de groupe et d’utilisateur précis quand vous créez des stratégies dans Policy Manager. Vous pouvez, par exemple, définir toutes les stratégies de sorte que seules les connexions d’utilisateurs authentifiés soient autorisées. Vous pouvez également limiter les connexions à une stratégie à des utilisateurs particuliers. Le terme utilisateurs et groupes autorisés fait référence aux utilisateurs et aux groupes qui sont autorisés à accéder aux ressources réseau. Définir des utilisateurs et des groupes pour l’authentification Firebox Si vous utilisez Firebox comme serveur d’authentification et souhaitez définir les utilisateurs et groupes qui s’authentifient à Firebox, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 310 et Définir un nouveau groupe d’authentification sur Firebox à la page 313. Définir des utilisateurs et des groupes pour l’authentification tierce 1. Créez un groupe sur votre serveur d’authentification tierce qui contienne tous les comptes d’utilisateurs de votre système. User Guide 335 Authentification 2. Dans Policy Manager, sélectionnez Configurer > Authentification > Utilisateurs/groupes autorisés. La boîte de dialogue Utilisateurs et groupes autorisés s’affiche. 3. Cliquez sur Ajouter. La boîte de dialogue Définir un nouvel utilisateur ou un nouveau groupe autorisé s’affiche. 4. 5. 6. 7. Entrez un nom d’utilisateur ou de groupe que vous avez créé sur le serveur d’authentification. (Facultatif) Entrez une description de l’utilisateur ou du groupe. Sélectionnez la case d’option Groupe ou Utilisateur. Dans la liste déroulante Serveur d’authentification, sélectionnez le type de serveur d’authentification utilisé. Sélectionnez RADIUS pour une authentification via un VACMAN Middleware Server ou RADIUS, ou Tout en cas d’authentification via tout autre type de serveur. 8. Cliquez sur OK. 336 WatchGuard System Manager Authentification Ajouter des utilisateurs et des groupes aux définitions des stratégies Tout utilisateur ou groupe que vous voulez utiliser dans vos définitions de stratégie doit être ajouté en tant qu’utilisateur autorisé. Tous les utilisateurs et groupes que vous créez pour l’authentification Firebox, et tous les utilisateurs Mobile VPN sont automatiquement ajoutés à la liste des utilisateurs et groupes autorisés dans la boîte de dialogue Utilisateurs et groupes autorisés. Vous pouvez ajouter n’importe quel utilisateur ou groupe provenant de serveurs d’authentification tierce à la liste des utilisateurs et des groupes autorisés à l’aide de la procédure ci-dessus. Vous êtes alors prêt à ajouter des utilisateurs et des groupes à la configuration de votre stratégie. 1. Dans Policy Manager, sélectionnez l’onglet Pare-feu. 2. Double-cliquez sur une stratégie. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 3. Sur l’onglet Stratégie, en dessous de la case De, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 4. Cliquez sur Ajouter un utilisateur. La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche. 5. Dans la liste déroulante Type à gauche, indiquez si l’utilisateur ou le groupe est autorisé en tant qu’utilisateur derrière un pare-feu, utilisateur PPTP ou utilisateur VPN SSL. Pour plus d’informations sur ces types d’authentification, voir Types d’authentification Firebox à la page 308. 6. Dans la liste déroulante Type à droite, sélectionnez Utilisateur ou Groupe. 7. Si votre utilisateur ou groupe s’affiche dans la liste Groupes, sélectionnez-le et cliquez sur Sélectionner. La boîte de dialogue Ajouter une adresse s’affiche de nouveau avec l’utilisateur ou le groupe dans la zone Membres ou adresses sélectionnées. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie. 8. Si votre utilisateur ou groupe ne s’affiche pas dans la liste de la boîte de dialogue Ajouter des utilisateurs ou groupes autorisés, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 310, Définir un nouveau groupe d’authentification sur Firebox à la page 313, ou la procédure Définir des utilisateurs et des groupes pour l’authentification tierce précédente. Après avoir ajouté un utilisateur ou un groupe à la configuration d’une stratégie, WatchGuard System Manager ajoute automatiquement une stratégie d’authentification WatchGuard à la configuration Firebox. Utilisez cette stratégie pour contrôler l’accès à la page Web du portail d’authentification. User Guide 337 Authentification Pour obtenir des instructions sur la manière de modifier cette stratégie, voir Utiliser l’authentification pour restreindre le trafic entrant à la page 294. 338 WatchGuard System Manager 13 Stratégies À propos des stratégies La stratégie de sécurité de votre entreprise correspond à un ensemble de règles qui définissent la façon dont vous protégez votre réseau informatique et les informations qui le traversent. Firebox refuse tous les paquets qui ne sont pas spécifiquement autorisés. Lorsque vous ajoutez une stratégie à votre fichier de configuration Firebox, vous ajoutez un jeu de règles qui ordonnent à la Firebox d'autoriser ou de refuser le trafic en fonction de certains facteurs, tels que la source et la destination du paquet ou encore le port ou le protocole TCP/IP utilisé pour le paquet. Un exemple de la façon dont une stratégie peut s'utiliser : l'administrateur réseau d'une entreprise souhaite se connecter à distance à un serveur Web protégé par la Firebox. L'administrateur réseau gère le serveur Web avec une connexion Remote Desktop. En même temps, l'administrateur réseau souhaite assurer qu'aucun autre utilisateur du réseau ne puisse utiliser Remote Desktop. Pour ce faire, l’administrateur réseau ajoute une stratégie qui autorise les connexions RDP uniquement en provenance de l’adresse IP de son propre PC et à destination de l’adresse IP du serveur Web. Une stratégie peut également donner à la Firebox davantage d'instructions sur la façon de gérer les paquets. Par exemple, vous pouvez définir les paramètres de connexion et de notification qui s'appliquent au trafic, ou utiliser la translation d'adresse réseau (NAT) pour modifier l'adresse IP source et le port du trafic réseau. Stratégies de filtres de paquets et stratégies de proxies Firebox utilise deux catégories de stratégies pour filtrer le trafic réseau : les filtres de paquets et les proxies. Un filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet. Si les informations d’en-tête du paquet sont légitimes, Firebox autorise le paquet. Dans le cas contraire, il l’abandonne. Un proxy examine aussi bien l'information d'en-tête que le contenu de chaque paquet afin d'assurer la sécurité des connexions. Cette opération est également appelée Inspection de paquet en profondeur. Si les informations d'en-tête de paquet sont légitimes et que le contenu du paquet n'est pas considéré comme une menace, alors Firebox autorise le paquet. Dans le cas contraire, il l’abandonne. User Guide 339 Stratégies À propos de l'ajout de stratégies à votre Firebox Firebox comprend de nombreux filtres de paquets et proxies prédéfinis que vous pouvez ajouter à votre configuration. Par exemple, si vous souhaitez appliquer un filtre de paquets à l’ensemble du trafic Telnet, ajoutez une stratégie Telnet prédéfinie que vous pourrez ensuite modifier en fonction de la configuration de votre réseau. Vous pouvez également personnaliser une stratégie en définissant ses ports, ses protocoles et d’autres paramètres. Lorsque vous configurez la Firebox avec l'assistant Quick Setup Wizard, l'assistant ajoute plusieurs paquets de filtres : Sortant (TCP-UDP), FTP, ping et jusqu'à deux stratégies de gestion WatchGuard. Si vous avez d’autres applications logicielles et davantage de trafic réseau que Firebox doit inspecter, vous devez : n n n Configurer les stratégies sur votre Firebox pour laisser passer le trafic nécessaire Définir les hôtes approuvés et les propriétés pour chaque stratégie Équilibrer l'exigence de protection de votre réseau et l'exigence de vos utilisateurs d'avoir accès aux ressources externes Il est conseillé de définir des limites pour le trafic sortant lorsque vous configurez Firebox. Note Sur tous les documents, les filtres de paquets et les proxies sont considérés comme des stratégies. Les informations sur les stratégies se rapportent à la fois aux filtres de paquets et aux proxies, sauf spécification contraire. À propos de Policy Manager Fireware XTM Policy Manager est un logiciel WatchGuard qui vous permet de créer, de modifier et d'enregistrer des fichiers de configuration. Lorsque vous utilisez Policy Manager, une version facile à examiner et à modifier de votre fichier de configuration est affichée. Pour obtenir plus d'informations sur l'ouverture de Policy Manager, voir Ouvrir Policy Manager à la page 341. Fenêtre Policy Manager Policy Manager a deux onglets : L'onglet Pare-feu et l'onglet Mobile VPN with IPSec. n n L’onglet Pare-feu contient des stratégies utilisées pour le trafic de pare-feu général sur le périphérique Firebox. Cet onglet indique également les stratégies BOVPN afin que vous puissiez voir l’ordre dans lequel la Firebox examine le trafic réseau et applique une règle de stratégie. (Pour modifier l'ordre, voir À propos de l’ordre de priorité des stratégies à la page 351.) L'onglet Mobile VPN with IPSec contient des stratégies utilisées avec Mobile VPN avec tunnels IPSec. L'interface utilisateur Policy Manager affiche la liste des stratégies que vous avez configurées et leurs paramètres de base par défaut. Vous pouvez également voir les stratégies sous forme de groupe de grandes icônes pour vous aider à identifier une stratégie d'un coup d'œil. Pour basculer entre ces deux vues, voir Modifier l’affichage de Policy Manager à la page 342. 340 WatchGuard System Manager Stratégies Icônes de stratégie La La fenêtre Policy Manager contient des icônes pour les stratégies définies sur la Firebox. Vous pouvez double-cliquer sur l'icône ou son entrée associée pour modifier les propriétés de cette stratégie. L’apparence des icônes indique leur statut et leur type : n n n n Les stratégies activées autorisant le trafic s'affichent avec une coche verte, ou avec une barre verte et une coche verte dans la vue Grandes icônes. Les stratégies activées refusant le trafic s'affichent avec une croix (X) rouge ou une barre rouge et une croix (X), dans la vue Grandes icônes. Les stratégies désactivées ont un cercle noir avec une ligne, ou une barre grise dans la vue Grandes icônes. Une icône contenant un symbole de bouclier sur le côté gauche est une stratégie de proxy. Le nom des stratégies apparaît en couleur en fonction du type de stratégie : n n n n Les stratégies gérées sont affichées en gris sur fond blanc. Les stratégies BOVPN (comme BOVPN-allow.out) sont affichées en vert sur fond blanc. LesstratégiesmixtesBOVPN etpare-feu(comme pingouAny-PPTP)sontaffichéesenbleusur fondblanc. Toutes les autres stratégies sont affichées en noir sur fond blanc. Pour modifier ces couleurs par défaut, voir Modifier les couleurs utilisées pour le texte de Policy Manager à la page 344. Pour rechercher une stratégie spécifique dans Policy Manager, voir Rechercher une stratégie par adresse, par port ou par protocole à la page 345. Ouvrir Policy Manager Pour ouvrir Policy Manager dans la fenêtre du gestionnaire WatchGuard System Manager : n n Sélectionnezune Fireboxàlaquellevousêtesconnecté etcliquezsur . Ou Sélectionnez Outils > Policy Manager. Si le périphérique Firebox sélectionné est un périphérique géré, Policy Manager place un verrou sur celuici dans le gestionnaire WatchGuard System Manager pour éviter qu'un autre utilisateur effectue des modifications en même temps. Le verrou se désactive lorsque vous fermez Policy Manager ou si vous l’ouvrez pour un autre périphérique. User Guide 341 Stratégies Modifier l’affichage de Policy Manager Policy Manager possède deux modes d’affichage : Grandes icônes et Détails. Le mode Grandes icônes par défaut affiche chaque stratégie sous la forme d’une icône. En mode Détails, chaque stratégie est représentée par une ligne d’informations divisée en plusieurs colonnes. Vous pouvez voir les informations de configuration, notamment la source et la destination, de même que les paramètres de journalisation et de notification. Pour passer en mode Détails : Sélectionnez Afficher > Détails. Mode Grandes icônes Mode Détails Les informations suivantes sont affichées pour chaque stratégie : 342 WatchGuard System Manager Stratégies Ordre L’ordre dans lequel les stratégies sont triées et la façon dont le trafic s’écoule au travers des stratégies. Policy Manager trie automatiquement les stratégies de la plus spécifique à la plus générale. Si vous souhaitez basculer en mode de classement manuel, sélectionnez Afficher > Mode de classement automatique pour supprimer la coche. Sélectionnez ensuite la stratégie dont vous voulez modifier l’ordre et faites-la glisser à son nouvel emplacement. Pour plus d’informations sur l'ordre des stratégies, voir À propos de l’ordre de priorité des stratégies. Action L’action entreprise par la stratégie pour le trafic correspondant à la définition de la stratégie. Le symbole affiché dans cette colonne indique également si la stratégie est une stratégie de filtrage de paquets ou une stratégie de proxy. n n n n n n Coche verte = stratégie de filtrage de paquets ; trafic autorisé X rouge = stratégie de filtrage de paquets ; trafic refusé Cercle avec ligne = stratégie de filtrage de paquets ; action du trafic non configurée Bouclier vert avec coche = stratégie de proxy ; trafic autorisé Bouclier rouge avec X = stratégie de proxy ; trafic refusé Bouclier gris = stratégie de proxy ; action du trafic non configurée Nom de la stratégie Nom de la stratégie, comme défini dans le champ Nom de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie. Pour plus d’informations, cf. Ajouter une stratégie à partir de la liste des modèles à la page 348. Type de stratégie Le protocole géré par la stratégie. Les proxies comprennent le protocole et « -proxy ». Type de trafic Type de trafic examiné par la stratégie : pare-feu ou réseau privé VPN. Journal Indique si la journalisation est activée pour la stratégie. Alarme Indique si des alarmes sont configurées pour la stratégie. De Adresses à partir desquelles le trafic de cette stratégie s’applique (adresses sources). À Adresses vers lesquelles le trafic de cette stratégie s’applique (adresses de destination). User Guide 343 Stratégies Routage basé sur la stratégie (PBR) Indique si la stratégie utilise le routage basé sur la stratégie. Si c’est le cas et que le basculement n’est pas activé, le numéro de l’interface s’affiche. Si le routage basé sur la stratégie et le basculement sont activés, une liste de numéros d’interface s’affiche. L’interface principale est indiquée en premier. Pour de plus amples informations sur le routage basé sur stratégie, cf. Configurer le routage basé sur stratégie à la page 363. Port Protocoles et ports utilisés par la stratégie. Modifier les couleurs utilisées pour le texte de Policy Manager La configuration par défaut de Policy Manager fait apparaître les noms des stratégies (ou la ligne entière en mode d’affichage Détails) en surbrillance et dans une certaine couleur selon le type de trafic : n n n n Les stratégies gérées sont affichées en gris sur fond blanc. Les stratégies BOVPN (comme BOVPN-allow.out) sont affichées en vert sur fond blanc. LesstratégiesmixtesBOVPN etpare-feu(comme pingouAny-PPTP)sontaffichéesenbleusur fondblanc. Toutes les autres stratégies (normales) ne sont pas mises en surbrillance. Elles apparaissent en noir. Vous pouvez utiliser les couleurs par défaut ou en sélectionner d’autres. Vous pouvez aussi désactiver la mise en surbrillance des stratégies. 1. Sélectionnez Afficher >Mise en surbrillance des stratégies. La boîte de dialogue Mise en surbrillance des stratégies s'affiche. 2. Pour activer la mise en surbrillance des stratégies, cochez la case Mettre en surbrillance les stratégies de pare-feu selon le type de trafic. Décochez cette case pour désactiver la mise en surbrillance des stratégies. 344 WatchGuard System Manager Stratégies 3. Pour sélectionner différentes couleurs pour le texte ou l'arrière-plan des noms pour les stratégies normales, gérées, BOVPN ou mixtes, sélectionnez le bloc Couleur du texte ou Couleur de l'arrièreplan. La boîte de dialogue Sélectionner la couleur du texte ou Sélectionner la couleur de l'arrière-plan s'affiche. 4. Cliquez sur l'un des trois onglets, Échantillons, HSB ou RGB pour spécifier la couleur désirée : n n n Échantillons : cliquez sur l’un des petits échantillons de couleurs disponibles. HSB : sélectionnez la case d’option T (teinte), S (saturation) ou L (luminosité), puis utilisez le curseur ou entrez des valeurs dans les champs situés à côté. RGB : utilisez le curseur Rouge, Vert ou Bleu ou entrez des valeurs dans les champs situés à côté. Lorsque vous définissez une couleur, un aperçu s'affiche dans la zone Aperçu situé en bas de la boîte de dialogue. 5. Lorsque la couleur vous convient, cliquez sur OK. 6. Cliquez sur OK dans la boîte de dialogue Mise en surbrillance des stratégies pour que les modifications soient appliquées. Rechercher une stratégie par adresse, par port ou par protocole Vous pouvez rechercher une stratégie dans Policy Manager en fonction de son adresse, de son port ou de son protocole. 1. Sélectionnez Modifier >Rechercher. La boîte de dialogue Rechercher des stratégies s’ouvre. User Guide 345 Stratégies 2. Sélectionnez la case d'option Adresse, Numéro de port ou Protocole pour définir un composant de stratégie. 3. En regard de la zone Rechercher toutes les stratégies configurées pour, entrez la chaîne à rechercher. Pour des recherches par adresse et protocole, Policy Manager réalise une recherche sur une partie de la chaîne. Vous pouvez saisir une chaîne partielle. Policy Manager affiche toutes les stratégies contenant cette chaîne. 4. Cliquez sur Rechercher. Les stratégies correspondant aux critères de recherche s'affichent dans la boîte Stratégies trouvées. 5. Pour modifier une stratégie renvoyée par la recherche, double-cliquez sur son nom. Ajouter stratégies à votre configuration Pour ajouter une stratégie, choisissez-en une dans la liste des modèles de stratégie de Policy Manager. Un modèle de stratégie contient le nom et une brève description de la stratégie, ainsi que le protocole/port qu’elle utilise. n n n n Pour afficher la liste de modèles à choisir, voir Voir la liste des modèles de stratégie à la page 347. Pour ajouter une des stratégies de la liste à votre configuration, voir Ajouter une stratégie à partir de la liste des modèles à la page 348. Pour afficher ou modifier la définition d'un modèle de stratégie, voir Afficher les détails d’un modèle et modifier des modèles de stratégie à la page 349. Pour utiliser la fonction importation/exportation de stratégie afin de copier des stratégies d'une Firebox à une autre, voir Importer et exporter des modèles de stratégie personnalisée à la page 358. Ceci est utile si vous gérez plusieurs Firebox avec des stratégies personnalisées. Le périphérique Firebox comprend une définition par défaut pour chaque stratégie incluse dans la configuration Firebox. La définition par défaut regroupe des paramètres qui peuvent s’appliquer à la plupart des installations. Toutefois, vous pouvez les modifier en fonction des besoins spécifiques de votre entreprise ou si vous préférez inclure des propriétés de stratégie spéciales, telles que des actions de gestion du trafic et des calendriers d'application. Après avoir ajouté une stratégie à votre configuration, il convient de définir des règles pour : 346 WatchGuard System Manager Stratégies n n n n Définir les sources et destinations de trafic autorisées Créer des règles de filtre Activer ou désactiver la stratégie Configurer des propriétés telles que gestion du trafic, NAT ou journalisation Pour plus d'informationssur laconfiguration de stratégie, voir À proposdes propriétésde stratégieà lapage 359. Voir la liste des modèles de stratégie 1. Cliquez sur le . Ou sélectionnez Modifier>Ajouter des stratégies. La boîte de dialogue Ajouter des stratégies s’ouvre. 2. Cliquezsur lesigne plus(+)situéàgauchedudossierpour développerlesdossiersFiltresdepaquetsou Proxies. Uneliste demodèles pourles filtresde paquetsoulesproxies s'affiche. 3. Pour voir les informations de base sur un modèle de stratégie, sélectionnez-le. L'icône de la stratégie s'affiche sur le côté droit de la boîte de dialogue et les informations de base sur la stratégie s'affichent dans la section Détails. User Guide 347 Stratégies Ajouter une stratégie à partir de la liste des modèles Le périphérique Firebox comprend une définition par défaut pour chaque stratégie incluse dans la configuration Firebox. Les paramètres de définition par défaut sont adaptés à la plupart des installations ; vous pouvez néanmoins les modifier de façon à y inclure des propriétés de stratégie spéciales, comme des actions QoS et des calendriers d'application. 1. Dans la boîte de dialogue Ajouter des stratégies, développez les dossiers Filtres de paquets, Proxies ou Personnalisé. Une liste de modèles pour les stratégies de filtres de paquets ou de proxies s'affiche. 2. Sélectionnez le type de stratégie que vous souhaitez créer. Cliquez sur Ajouter. La boîte de dialogue Propriétés de la nouvelle stratégie de la s'affiche. 3. Pour modifier le nom de la stratégie, saisissez un nouveau nom dans le champ Nom. 4. Définissez les règles d'accès et les autres paramètres de la stratégie. 5. Cliquez sur OK pour fermer la boîte de dialogue Propriétés. Vous pouvez ajouter d’autres stratégies tant que la boîte de dialogue Stratégies est ouverte. 348 WatchGuard System Manager Stratégies 6. Cliquez sur Fermer. La nouvelle stratégie s'affiche dans Policy Manager. Pour obtenir plus d’informations sur les propriétés de stratégie, voir À propos des propriétés de stratégie à la page 359. Ajouter plusieurs stratégies du même type Si la politique de sécurité de votre entreprise l’exige, vous pouvez ajouter la même stratégie plusieurs fois. Par exemple, vous pouvez limiter l’accès Web pour la majorité des utilisateurs et accorder un accès Web total aux membres de la direction. Pour ce faire, créez deux stratégies différentes avec des propriétés différentes : 1. Ajoutez la première stratégie. 2. Remplacez le nom de la stratégie par un nom représentatif de votre stratégie de sécurité, puis ajoutez les informations qui y sont associées. Si nous reprenons notre exemple, nommons la première stratégie accès_web_limité. 3. Cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’ouvre. 4. Ajoutez la seconde stratégie. 5. Cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’ouvre. Pour obtenir plus d’informations sur les propriétés de stratégie, voir À propos des propriétés de stratégie à la page 359. Afficher les détails d’un modèle et modifier des modèles de stratégie L'essentiel du modèle de stratégie s'affiche dans la section Détails de la boîte de dialogue Ajouter des stratégies. Pour afficher davantage de détails, ouvrez le modèle pour le modifier. Il existe deux types de modèles de stratégie : prédéfini et personnalisé. Concernant les stratégies prédéfinies (celles figurant dans les listes Filtres de paquets et Proxies de la boîte de dialogue Ajouter des stratégies), vous ne pouvez modifier que le champ Description du modèle de stratégie. Vous ne pouvez pas modifier les stratégies prédéfinies. Vous pouvez uniquement modifier ou supprimer un modèle de stratégie personnalisée. Pour plus d'informations sur les stratégies personnalisées, voir À propos des stratégies personnalisées à la page 356. User Guide 349 Stratégies Pour afficher un modèle de stratégie : 1. Dans la boîte de dialogue Ajouter des stratégies, sélectionnez un modèle de stratégie. 2. Cliquez sur Modifier. 350 WatchGuard System Manager Stratégies Désactiver ou supprimer une stratégie Deux options dans Policy Manager vous permettent de désactiver une stratégie : les onglets principaux Pare-feu ou Mobile VPN avec IPSec ou la boîte de dialogue Modifier les propriétés d'une stratégie. Pour désactiver une stratégie depuis l'onglet Pare-feu ou Mobile VPN avec IPSec : 1. Sélectionnez l'onglet Pare-feu ou Mobile VPN avec IPSec. 2. Effectuez un clic droit sur une stratégie et sélectionnez Désactiver une stratégie. L'option est remplacée par Activer une stratégie. Pour désactiver une stratégie dans la boîte de dialogue Modifier les propriétés d'une stratégie : 1. Double-cliquez sur une stratégie. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 2. Décochez la case Activer. 3. Cliquez sur OK. Supprimer une stratégie Suite aux modifications de votre stratégie de sécurité, vous devrez parfois supprimer une ou plusieurs stratégies. Pour supprimer une stratégie, vous devez commencer par la supprimer de Policy Manager. Vous pourrez ensuite enregistrer la nouvelle configuration sur le périphérique Firebox. 1. Sélectionnez une stratégie. 2. Cliquez sur l'icône Supprimer. Ou sélectionnez Modifier> Supprimer une stratégie. Une boîte de dialogue de confirmation apparaît. 3. 4. 5. 6. 7. Cliquez sur Oui. Pour enregistrer la configuration sur la Firebox, sélectionnez Fichier> Enregistrer > Vers Firebox. Saisissez le mot de passe de configuration et cochez la case Enregistrer vers Firebox. Cliquez sur Enregistrer. Redémarrez la Firebox. À propos de l’ordre de priorité des stratégies La priorité correspond à la séquence dans laquelle le périphérique Firebox ou XTM examine le trafic réseau et applique une règle de stratégie. Le périphérique Firebox ou XTM trie automatiquement les stratégies de la plus spécifique à la plus générale. Il compare les informations du paquet à la liste de règles de la première stratégie. La première règle de la liste qui correspond aux conditions du paquet est appliquée à ce paquet. Si le niveau de détails de deux stratégies est identique, une stratégie de proxy a toujours priorité sur une stratégie de filtre de paquets. Ordre de priorité automatique des stratégies Le périphérique Firebox ou XTM accorde automatiquement la priorité aux stratégies les plus spécifiques ; les stratégies les moins spécifiques passent en dernier. Le pare-feu Firebox ou XTM examine la spécificité des critères suivants dans cet ordre. S’il ne peut pas déterminer la priorité à partir du premier critère, il passe au deuxième et ainsi de suite. User Guide 351 Stratégies 1. 2. 3. 4. 5. 6. 7. 8. Spécificité de stratégie Protocoles définis pour le type de stratégie Règles de trafic du champ À Règles de trafic du champ De Action de pare-feu (Autorisé, Refusé, ou Refus (envoi réinitialisation)) appliquée aux stratégies Calendriers appliqués aux stratégies Séquence alphanumérique basée sur le type de stratégie Séquence alphanumérique basée sur un nom de stratégie Les rubriques ci-après fournissent des détails supplémentaires concernant le fonctionnement du périphérique Firebox ou XTM au cours de ces huit étapes. Spécificité de stratégie et protocoles Le périphérique Firebox ou XTM utilise ces critères dans l’ordre pour comparer deux stratégies jusqu’à ce qu’il détermine que les deux stratégies sont égales ou que l’une est plus détaillée que l’autre. 1. Une stratégie Tout a toujours la plus faible priorité. 2. Vérifiez le nombre de protocoles TCP 0 (tout) ou UDP 0 (tout). La stratégie avec le plus petit nombre a la priorité la plus élevée. 3. Vérifiez le nombre de ports uniques des protocoles TCP et UDP. La stratégie avec le plus petit nombre a la priorité la plus élevée. 4. Additionnez les numéros de port uniques TCP et UDP. La stratégie avec le plus petit nombre a la priorité la plus élevée. 5. Notez les protocoles en fonction de leur valeur de protocole IP. La stratégie avec le plus petit score a la priorité la plus élevée. Si le périphérique Firebox ou XTM ne peut établir la priorité lorsqu’il compare la spécificité de la stratégie et les protocoles, il examine les règles de trafic. Règles de trafic Le pare-feu Firebox ou XTM utilise ces critères dans l’ordre afin de comparer la règle de trafic la plus générale d’une stratégie avec la règle de trafic la plus générale d’une deuxième stratégie. Il attribue une priorité plus élevée à la stratégie ayant la règle de trafic la plus détaillée. 1. 2. 3. 4. 5. 6. 7. 8. 9. Adresse de l'hôte Plage d'adresses IP (plus petite que le sous-réseau auquel elle est comparée) Sous-réseau Plage d'adresses IP (plus grande que le sous-réseau auquel elle est comparée) Nom d'utilisateur d'authentification Groupe d'authentification Interface, périphérique Firebox ou XTM Tout-Externe, Tout-Approuvé, Tout-Facultatif Tout Par exemple, comparez ces deux stratégies : (HTTP-1) De : Approuvé, utilisateur1 (HTTP-2) De : 10.0.0.1, Tout-Approuvé 352 WatchGuard System Manager Stratégies Approuvé est l'entrée la plus générale pour HTTP-1. Tout-Approuvé est l'entrée la plus générale pour HTTP2. Approuvé étant inclus dans l’alias Tout-Approuvé, HTTP-1 est la règle de trafic la plus détaillée. Cela est correct malgré le fait que HTTP-2 comprenne une adresse IP, car le périphérique Firebox ou XTM compare la règle de trafic la plus générale d’une stratégie à la règle de trafic la plus générale de la deuxième stratégie selon l’ordre de priorité. Si le périphérique Firebox ou XTM ne peut pas établir la priorité lorsqu’il compare les règles de trafic, il examine les actions de pare-feu. Actions de pare-feu Le périphérique Firebox ou XTM compare les actions de pare-feu de deux stratégies afin d’établir la priorité. La priorité des actions de pare-feu, de la plus élevée à la plus faible est la suivante : 1. Refusé ou Refusé (envoi réinitialisation) 2. Stratégie de proxy autorisée 3. Stratégie filtrée par paquets approuvée Si le périphérique Firebox ou XTM une peut établir la priorité lorsqu’il compare les actions de pare-feu, il examine les calendriers. Calendriers Le pare-feu Firebox ou XTM compare les calendriers de deux stratégies pour définir la priorité. La priorité des calendriers de la plus élevée à la plus faible est la suivante : 1. Toujours inactif 2. Parfois actif 3. Toujours actif Si le périphérique Firebox ou XTM ne peut établir de priorité lorsqu’il compare les calendriers, il examine les types et les noms de stratégie. Types et noms de stratégie Si les deux stratégies ne correspondent à aucun autre critère de priorité, le périphérique Firebox ou XTM classe les stratégies par ordre alphanumérique. D'abord, elle utilise le type de stratégie. Puis, elle utilise le nom de stratégie. Comme il ne peut pas y avoir deux stratégies de même type et de même nom, ce critère représente le dernier critère de priorité. Définir la priorité manuellement Pour basculer en mode de classement manuel et modifier la priorité des stratégies : 1. Sélectionnez Afficher > Mode de classement automatique. La coche disparaît et un message de confirmation s'affiche. 2. Cliquez sur Oui pour confirmer que vous souhaitez basculer en mode de classement manuel. Lorsque vous basculez en mode de classement manuel, la fenêtre Policy Manager passe en mode Détails. Vous ne pouvez pas modifier l’ordre des stratégies si vous êtes en mode Grandes icônes. User Guide 353 Stratégies 3. Pour modifier l’ordre d’une stratégie, sélectionnez-la et faites-la glisser vers son nouvel emplacement. Créer des calendriers pour les actions Firebox Un calendrier est une série d'heures auxquelles une fonctionnalité est active ou désactivée. Vous devez utiliser un calendrier si vous voulez qu'une stratégie ou qu'une action WebBlocker devienne automatiquement active ou inactive aux moments que vous spécifiez. Vous pouvez appliquer un calendrier que vous créez à plus d'une stratégie ou action WebBlocker si vous souhaitez que ces stratégies ou actions soient actives aux mêmes moments. Par exemple, une entreprise souhaite restreindre certains types de trafic réseau durant les heures normales de bureau. L'administrateur réseau peut créer un calendrier actif les jours ouvrables et paramétrer chaque stratégie de la configuration de manière à utiliser le même calendrier. Pour créer un calendrier : 1. Sélectionnez Installation > Actions > Calendriers. La boîte de dialogue Calendriers s'affiche. 2. Pour modifier un calendrier, sélectionnez son nom dans la boîte de dialogue Calendrier et cliquez sur Modifier. Pour créer un calendrier à partir d’un calendrier existant, sélectionnez le nom du calendrier de votre choix et cliquez sur Cloner. Pour créer un nouveau calendrier, cliquez sur Ajouter. La boîte de dialogue Nouveau calendrier s'affiche. 354 WatchGuard System Manager Stratégies 3. Saisissez un nom et une description pour le calendrier. Utilisez un nom facile à retenir. Le nom du calendrier s'affiche dans la boîte de dialogue Calendriers. 4. Dans la liste déroulante Mode, sélectionnez l'intervalle de temps pour le calendrier : une heure, 30 minutes ou 15 minutes. Le graphique à gauche de la boîte de dialogue Nouveau calendrier affiche votre entrée dans la liste déroulante. 5. L'axe x (horizontal) du graphique de la boîte de dialogue correspond aux jours de la semaine et l'axe y (vertical) aux incréments de la journée. Cliquez sur les zones du graphique pour les transformer en heures opérationnelles (au cours desquelles la stratégie est active) ou en heures non opérationnelles (au cours desquelles la stratégie est inactive). 6. Cliquez sur OK pour fermer la boîte de dialogue Nouveau calendrier. 7. Cliquez sur Fermer pour fermer la boîte de dialogue Calendriers. Définir un calendrier d'application Vous pouvez définir un calendrier d'application pour une stratégie de façon à ce que celle-ci s'exécute aux moments que vous spécifiez. Plusieurs stratégies peuvent partager un même calendrier. Pour modifier un calendrier de stratégie : 1. Sélectionnez une stratégie et double-cliquez dessus. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 2. Cliquez sur l’onglet Avancé. 3. Dans la liste déroulante Calendrier, sélectionnez un calendrier prédéfini. Vous pouvez également cliquer sur l'une des icônes situées à côté pour créer un calendrier personnalisé. User Guide 355 Stratégies 4. Cliquez sur OK. À propos des stratégies personnalisées Si vous souhaitez mettre en œuvre un protocole qui n’est pas prévu par défaut en tant qu’option de configuration de Firebox, vous devez définir une stratégie personnalisée pour le trafic. Vous pouvez ajouter une stratégie personnalisée qui utilise : n n n Ports TCP Ports UDP Un protocole IP qui n'est ni TCP ni UDP, tel que GRE, AH, ESP, ICMP, IGMP ou OSPF. Vous déterminez si un protocole IP n’est ni TCP ni UDP grâce à son numéro de protocole IP. Pour créer une stratégie personnalisée, vous devez d'abord créer ou modifier un modèle de stratégie personnalisée qui spécifie les ports et protocoles utilisés par les stratégies de ce type. Puis vous devez créer une ou plusieurs stratégies à partir de ce modèle afin de paramétrer les règles d'accès, la journalisation, la QoS (qualité de service) et d'autres réglages. 356 WatchGuard System Manager Stratégies Créer ou modifier un modèle de stratégie personnalisée 1. Cliquez sur . Ou sélectionnez Modifier> Ajouter des stratégies. La boîte de dialogue Ajouter des stratégies s’ouvre. 2. Cliquez sur Nouveau ou sélectionnez un modèle de stratégie personnalisée et cliquez sur Modifier. La boîte de dialogue Nouveau modèle de stratégie s'affiche. 3. Dans la zone de texte Nom, tapez le nom de la stratégie personnalisée. Le nom figure à présent dans Policy Manager comme type de stratégie. Un nom unique permet de facilement retrouver une stratégie si vous souhaitez la modifier ou la supprimer. Ce nom doit être différent de ceux figurant dans la liste de la boîte de dialogue Ajouter une stratégie. 4. Dans la zone de texte Description, entrez la description de la stratégie. Elle est visible dans le volet de détails lorsque vous cliquez sur le nom de la stratégie dans la liste des filtres utilisateur. 5. Sélectionnez le type de stratégie : Filtre de paquetsou Proxy. 6. Si vous sélectionnez Proxy, choisissez le protocole de proxy dans la liste déroulante située à côté. 7. Pour associer des protocoles à cette stratégie, cliquez sur Ajouter. La boîte de dialogue Ajouter un protocole s’affiche. User Guide 357 Stratégies 8. Dans la liste déroulante Type, sélectionnez Port unique ou Plage de ports. 9. Dans la liste déroulante Protocole, sélectionnez le protocole à associer à cette nouvelle stratégie. Si vous sélectionnez Port unique, vous avez le choix entre les types suivants :TCP,UDP, GRE, AH, ESP, ICMP, IGMP, OSP, IP ou Tout. Si vous sélectionnez Plage de ports, vous avez le choix entre les types de port TCP ou UDP. Les options situées sous la liste déroulante changent pour chaque protocole. Note Fireware XTM ne transmet pas le trafic multidiffusion IGMP via Firebox ni entre les interfaces de Firebox. Il achemine le trafic multidiffusion IGMP entre une interface et le périphérique Firebox. 10. Dansla liste déroulante Port du serveur,sélectionnez le port àassocier àcette nouvelle stratégie. Sivous sélectionnezPlage deports, choisissezun portde serveur de débutet unport de serveur de fin. 11. Cliquez sur OK. Le modèle de stratégie est ajouté au dossier Stratégies personnalisées. Vous pouvez à présent utiliser le modèle de stratégie pour ajouter une ou plusieurs stratégies personnalisées à votre configuration. Utilisez la même procédure que pour une stratégie prédéfinie. Importer et exporter des modèles de stratégie personnalisée Si vous gérez plusieurs périphériques Firebox et leur appliquez des stratégies personnalisées, vous pouvez utiliser la fonction importer/exporter pour gagner du temps. Vous pouvez définir les modèles sur un périphérique Firebox, les exporter dans un fichier ASCII, puis les importer sur un autre périphérique Firebox. Le périphérique Firebox sur lequel vous créez les stratégies doit exécuter la même version de WSM que la version de Policy Manager que vous utilisez pour importer les stratégies. Vous ne pouvez pas importer un modèle d’une version précédente vers la version actuelle. 1. Sur le premier périphérique Firebox, définissez des modèles de stratégie personnalisée pour les stratégies dont vous avez besoin. 2. Cliquez sur Exporter. Vous n’avez pas besoin de sélectionner les stratégies personnalisées. La fonction Exporter permet d'exporter automatiquement toutes les stratégies personnalisées, quelle que soit celle qui est sélectionnée. 3. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous voulez enregistrer le fichier de modèles de stratégie. Tapez un nom pour le fichier, puis cliquez sur Enregistrer. L'emplacement par défaut est Mes documents > Mon WatchGuard. 4. Dans le gestionnaire Policy Manager d’un autre périphérique Firebox, dans la boîte de dialogue Ajouter des stratégies, cliquez sur Importer. 5. Recherchez le fichier que vous avez créé à l'étape 3, puis cliquez sur Ouvrir. 6. Si des modèles de stratégie personnalisée sont déjà définis dans le gestionnaire Policy Manager actuel, vous êtes invité à indiquer si vous souhaitez remplacer les modèles existants ou ajouter les modèles importés aux modèles existants. Cliquez sur Remplacer ou sur Ajouter. Si vous cliquez sur Remplacer, les modèles existants sont supprimés et remplacés par les nouveaux modèles. Si vous cliquez sur Ajouter, les modèles existants et les modèles importés sont répertoriés par ordre alphabétique sous Personnalisé. 358 WatchGuard System Manager Stratégies À propos des propriétés de stratégie Chaque type de stratégie comporte une définition par défaut, qui se compose de réglages adaptés à la plupart des organisations. Cependant, vous pouvez modifier les réglages de stratégie pour vos objectifs commerciaux spécifiques ou ajouter d'autres réglages tels que la gestion du trafic et les calendriers d'application. Les stratégies Mobile VPN se créent et fonctionnent de la même manière que les stratégies de pare-feu. Cependant, vous devez spécifier un groupe Mobile VPN auquel la stratégie s'applique. Pour définir les propriétés d’une stratégie, double-cliquez sur l’icône de la stratégie ou sur son nom dans la fenêtre Policy Manager de manière à ouvrir la boîte de dialogue Modifier les propriétés de stratégie. Ou, si vous venez d’ajouter une stratégie à votre configuration, la zone Propriétés de la nouvelle stratégie s’affiche automatiquement afin que vous puissiez définir les propriétés de la stratégie. Onglet Stratégie Utilisez l'onglet Stratégie pour régler les informations de base concernant la stratégie, par exemple si elle autorise ou refuse le trafic et les appareils qu'elle gère. Vous pouvez utiliser les paramètres de l'onglet Stratégie pour créer des règles d'accès pour une stratégie ou configurer le routage basé sur stratégie, la translation d'adresses réseau (NAT) statique ou l'équilibrage de charge de serveur. Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants : n n n n Définir des règles d’accès pour une stratégie à la page 360 Configurer le routage basé sur stratégie à la page 363 À propos de NAT statique à la page 180 Configurer les équilibrage de charge côté serveur à la page 182 Onglet Propriétés L'onglet Propriétés affiche le port et le protocole auxquels s'applique la stratégie, ainsi qu'une description de la stratégie définie. Vous pouvez utiliser les paramètres de cet onglet pour définir la journalisation, la notification, le blocage automatique et les préférences de délai d'attente. Vous pouvez également configurer sur cet onglet les actions proxy et ALG, qui offrent différentes options pour chaque stratégie de proxy et ALG. Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants : n n n n À propos des actions de proxy à la page 381 (stratégies de proxy et ALG uniquement) Définir les préférences de journalisation et de notification à la page 656 Bloquer temporairement les sites avec des paramètres de stratégie à la page 500 Définir un délai d'inactivité personnalisé à la page 365 Onglet Avancé L'onglet Avancé comprend des paramètres pour la translation d'adresses réseau (NAT) et la gestion du trafic (QoS) ainsi que les options multi-WAN et ICMP. Vous pouvez également définir un calendrier d'application pour une stratégie et appliquer des actions de gestion du trafic. Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants : User Guide 359 Stratégies n n n n n n Définir un calendrier d'application à la page 355 Ajouter une une action de gestion de trafic à une stratégie à la page 483 Définir la gestion des erreurs ICMP à la page 366 Appliquer les règles NAT à la page 366 Activer le marquage QoS ou les paramètres de priorité d’une stratégie à la page 478 Définir la durée de connexion persistante pour une stratégie à la page 367 Paramètres de proxy Les stratégies de proxy possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l'accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les ensembles de règles d'une action de proxy, cliquez liste déroulante Action de proxy et sélectionnez une catégorie de paramètres. à droite de la Pour plus d’informations, voir À propos de règles et ensembles de règles à la page 371 et la rubrique À propos de pour le type de stratégie spécifique. À propos de DNS proxy à la page 391 À propos de la Proxy FTP à la page 398 À propos de la Passerelle ALG H.323 à la page 405 À propos du proxy HTTP à la page 411 À propos de la Proxy HTTPS à la page 428 À propos de la Proxy POP3 à la page 434 À propos de la Proxy SIP à la page 445 À propos de la Proxy SMTP à la page 452 À propos de la Proxy TCP-UDP à la page 466 Définir des règles d’accès pour une stratégie Utilisez l’onglet Stratégie de la boîte de dialogue Modifier les propriétés de stratégie pour configurer les règles d’accès d’une stratégie donnée. Le champ Connexions détermine si le trafic conforme aux règles de la stratégie est autorisé ou refusé. Pour définir la manière dont le trafic est traité, utilisez les paramètres suivants : Autorisé Firebox autorise le trafic qui applique cette stratégie s’il est conforme aux règles que vous avez définies pour la stratégie. Vous pouvez configurer la stratégie de façon à créer un message du journal lorsque le trafic réseau coïncide avec la stratégie. Refusé La Firebox refuse tout le trafic correspondant aux règles de cette stratégie et n'envoie pas de notification au périphérique qui a envoyé le trafic. Vous pouvez configurer la stratégie de façon à créer un message de journal dès qu’un ordinateur tente d’utiliser cette stratégie. La stratégie peut également ajouter automatiquement un ordinateur ou un réseau à la liste des sites bloqués si celuici tente d’établir une connexion avec cette stratégie. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. 360 WatchGuard System Manager Stratégies Refusé (envoi réinitialisation) Firebox refuse l’ensemble du trafic qui n’est pas conforme aux règles de cette stratégie. Vous pouvez la configurer de sorte qu’elle crée un message de journal dès qu’un ordinateur tente d’utiliser cette stratégie. La stratégie peut également ajouter automatiquement un ordinateur ou un réseau à la liste des sites bloqués si celui-ci tente d’établir une connexion avec cette stratégie. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Si vous sélectionnez cette option, la Firebox envoie un paquet pour dire au périphérique à l'origine du trafic réseau que la session est refusée et que la connexion est fermée. Vous pouvez paramétrer une stratégie de façon à renvoyer d'autres erreurs, disant au périphérique que le port, le protocole, le réseau ou l'hôte ne peut être joint. Nous vous conseillons d'utiliser ces options avec beaucoup de prudence afin que votre réseau puisse fonctionner correctement avec d'autres réseaux. L’onglet Stratégie contient également les éléments suivants : n n Une liste De(ou source) qui détermine qui peut envoyer ou non du trafic réseau avec cette stratégie. Une liste Vers (ou destinationqui détermine vers qui Firebox peut acheminer le trafic lorsqu’il est conforme ou non aux spécifications d’une stratégie. Par exemple, vous pourriez configurer un filtre de paquets ping pour autoriser le trafic ping en provenance de tous les ordinateurs du réseau externe vers un serveur Web de votre réseau facultatif. Sachez toutefois que le réseau de destination devient plus vulnérable dès lors que vous l'ouvrez au(x) port(s) que la stratégie contrôle. Assurez-vous de configurer soigneusement vos stratégies pour éviter les vulnérabilités. 1. Pour ajouter des membres à vos spécifications d’accès, cliquez sur Ajouter dans la liste de membres De ou Vers. La boîte de dialogue Ajouter une adresses’affiche. User Guide 361 Stratégies 2. La haut la liste comporte les membres que vous pouvez ajouter aux listes De où Vers. Un membre peut être un alias, un utilisateur, un groupe, une adresse IP ou une plage d'adresses IP. 3. Sélectionnez un membre que vous souhaitez ajouter et cliquez sur Ajouter, ou double-cliquez sur une entrée de la fenêtre. Pour ajouter à la stratégie des hôtes, des utilisateurs, des alias ou des tunnels ne figurant pas dans la liste Membres disponibles, voir Ajouter de nouveaux membres pour les définitions de stratégie à la page 362. 4. Pour ajouter de nouveaux membres au champ De ou Vers , répétez les étapes précédentes. 5. Cliquez sur OK. La source et la destination peuvent être une adresse IP d’hôte, une plage d’hôtes, un nom d’hôte, une adresse réseau, un nom d’utilisateur, un alias, un tunnel VPN ou une combinaison de ces éléments. Pour obtenir plus d’informations sur les alias qui se présentent sous forme d’options dans la liste De ou la liste Vers, voir À propos des alias à la page 81. Pour obtenir plus d'informations sur la façon de créer un nouvel alias, voir Créer un alias à la page 82. Ajouter de nouveaux membres pour les définitions de stratégie Pour ajouter des hôtes, des alias ou des tunnels à la liste Membres disponibles : 1. Cliquez sur Ajouter autre. La boîte de dialogue Ajouter un membre s’affiche. 2. Dans la liste déroulante Choisir le type, sélectionnez la plage d’hôtes, l’adresse IP de l’hôte ou l’adresse IP du réseau à ajouter. 3. Dans la zone de texte Valeur, tapez l’adresse réseau, la plage ou l’adresse IP correcte. 362 WatchGuard System Manager Stratégies 4. Cliquez sur OK. Le membre ou l’adresse apparaît dans la liste Membres et adresses sélectionnés. Pour ajouter un utilisateur ou un groupe à la liste Membres disponibles : 1. Cliquez sur Ajouter un utilisateur. La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche. 2. Sélectionnez le type d’utilisateur ou de groupe, ainsi que le serveur d’authentification et indiquez si vous souhaitez ajouter un utilisateur ou un groupe. 3. Cliquez sur Sélectionner. Si l’utilisateur ou le groupe à ajouter n’apparaît pas dans la liste, c’est qu'il n’est pas encore défini en tant qu’utilisateur ou groupe autorisé. Pour définir un nouvel utilisateur ou un nouveau groupe autorisé, voir Utiliser les utilisateurs et groupes autorisés dans les stratégies à la page 335. Configurer le routage basé sur stratégie Pour envoyer le trafic réseau, un routeur inspecte en principe l’adresse de destination du paquet, puis recherche la destination du saut suivant dans sa table de routage. Dans certains cas, il est préférable que le trafic emprunte un autre itinéraire que celui par défaut indiqué dans la table de routage. Pour ce faire, il convient de configurer une stratégie avec une interface externe spécifique à utiliser pour l’ensemble du trafic sortant conforme à cette stratégie. Cette technique s’appelle le routage basé sur stratégie. Le routage basé sur stratégie est prioritaire sur les paramètres multi-WAN. User Guide 363 Stratégies Basé sur des règles Le routage peut être mis en œuvre si vous disposez de plusieurs interfaces externes et avez configuré Firebox pour le multi-WAN. Avec le routage basé sur stratégie, vous avez la garantie que l’ensemble du trafic contrôlé par une stratégie traverse toujours la même interface externe, même si votre configuration multi-WAN prévoit l’envoi du trafic en mode de tourniquet. Par exemple, si vous souhaitez que les e-mails soient routés à travers une interface spécifique, vous pouvez utiliser le routage basé sur stratégie dans la définition du proxy SMTP ou POP3. Note Pour utiliser le routage basé sur stratégie, vous devez être équipé de Fireware XTM avec une mise à niveau Pro. Vous devez également configurer au moins deux interfaces externes. Routage basé sur stratégie, basculement et failback Lorsque vous utilisez le routage basé sur stratégie avec le basculement multi-WAN, vous pouvez indiquer si le trafic conforme à la stratégie doit ou non utiliser une autre interface externe lorsque le basculement a lieu. Par défaut, le trafic est abandonné jusqu’à ce que l’interface soit de nouveau disponible. Les paramètres de failback (définis dans l’onglet Multi-WAN de la boîte de dialogue Configuration du réseau) s’appliquent également au routage basé sur stratégie. Si un basculement a lieu et que l’interface d’origine devient par la suite disponible, Firebox peut envoyer les connexions actives à l’interface de basculement ou revenir à l’interface d’origine. Les nouvelles connexions sont envoyées à l’interface d’origine. Restrictions appliquées au routage basé sur stratégie n n n Le routage basé sur stratégie n’est disponible que si le mode multi-WAN est activé. Si vous activez le mode multi-WAN, la boîte de dialogue Modifier les propriétés de stratégie contient automatiquement les champs permettant de configurer le routage basé sur stratégie. Par défaut, le routage basé sur stratégie n’est pas activé. Il ne s’applique pas au trafic IPSec ni au trafic destiné au réseau approuvé ou au réseau facultatif (trafic entrant). Ajouter un routage basé sur stratégie à une stratégie 1. Ouvrez Policy Manager. 2. Sélectionnez une stratégie et cliquez sur Ou double-cliquez sur une stratégie. . La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 3. Cochez la case Utiliser le routage basé sur stratégie. 4. Pour définir l’interface qui envoie le trafic sortant conforme à la stratégie, sélectionnez le nom de l’interface dans la liste déroulante située à côté. Assurez-vous que l’interface sélectionnée est un membre de l’alias ou du réseau que vous avez défini dans le champ Vers de votre stratégie. 364 WatchGuard System Manager Stratégies 5. (Facultatif) Configurer le routage basé sur stratégie avec basculement multi-WAN tel que décrit cidessous. Si vous ne sélectionnez pas Basculement et que l’interface que vous avez définie pour cette stratégie devient inactive, le trafic est abandonné jusqu'à ce que l’interface soit de nouveau disponible. 6. Cliquez sur OK. Configurer pour une stratégie routage avec basculement Vous pouvez définir l’interface que vous avez spécifiée pour cette stratégie comme interface principale et définir les autres interfaces externes comme interfaces de sauvegarde pour le trafic non IPSec. 1. Dans la boîte de dialogue Modifier les propriétés de stratégie, cliquez sur l’onglet Basculement. 2. Cliquez sur Configurer pour définir les interfaces de sauvegarde de cette stratégie. Si l’interface principale que vous avez définie pour cette stratégie n’est pas active, le trafic est envoyé aux interfaces de sauvegarde que vous indiquez ici. La boîte de dialogue Configuration de basculement de stratégie s'ouvre. 3. Dans la colonne Inclure, activez la case à cocher correspondant à chaque interface que vous souhaitez utiliser dans la configuration du basculement. Utilisez les boutons Monter et Descendre pour définir l’ordre du basculement. La première interface dans la liste est l’interface principale. 4. Cliquez sur OK pour fermer la boîte de dialogue Configuration de basculement de stratégie. 5. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie. 6. Enregistrer le fichier de configuration. Définir un délai d'inactivité personnalisé Le délai d'inactivité est la durée maximale pendant laquelle une connexion peut rester active sans qu'aucun trafic ne soit envoyé. Par défaut, la Firebox ferme les connexions réseau au bout de 300 secondes (6 minutes). Lorsque vous activez ce paramètre pour une stratégie, la Firebox ferme la connexion après la durée que vous avez spécifiée. 1. Dans la boîte de dialogue Propriétés de stratégie, sélectionnez l’onglet Propriétés. 2. Cochez la case Définir un délai d'inactivité personnalisé. User Guide 365 Stratégies 3. Dans le champ adjacent, spécifiez le nombre de secondes avant la fin du délai. Définir la gestion des erreurs ICMP Vous pouvez définir les paramètres de gestion des erreurs ICMP associés à une stratégie. Ces derniers remplacent les paramètres globaux de gestion des erreurs ICMP. Pour modifier les paramètres de gestion des erreurs ICMP de la stratégie actuelle : 1. Dans la liste déroulante Gestion des erreurs ICMP, sélectionnez Spécifier un paramètre. 2. Cliquez sur Paramètre ICMP. 3. Dans la boîte de dialogue Paramètres de gestion des erreurs ICMP, cochez les cases correspondant à chacun des paramètres. 4. Cliquez sur OK. Pour plus d'informations sur les paramètres ICMP globaux, voir Définir les paramètres globaux de Firebox à la page 83. Appliquer les règles NAT Vous pouvez appliquer des règles de traduction d’adresses réseau (NAT) à une stratégie. Vous pouvez sélectionner 1-to-1 NAT ou NAT dynamique. 1. Dans la boîte de dialogue Modifier les propriétés de stratégie, cliquez sur l’onglet Avancé. 2. Sélectionnez l'une des options décrites dans les actions suivantes. 1-to-1 NAT Avec ce type de NAT, le périphérique WatchGuard utilise les plages d’adresses IP privées et publiques que vous avez définies, comme décrit dans À propos de 1-to-1 NAT à la page 169. NAT dynamique Avec ce type de NAT, le périphérique WatchGuard fait correspondre des adresses IP privées avec des adresses IP publiques. La traduction d’adresses réseau dynamique est par défaut activée pour toutes les stratégies. Sélectionnez Utiliser les paramètres NAT du réseau pour appliquer les règles de NAT dynamique définies pour le périphérique WatchGuard. Sélectionnez L’ensemble du trafic de cette stratégie pour appliquer le service NAT à l’ensemble du trafic de cette stratégie. Dans le champ Définir l'adresse IP source, vous pouvez sélectionner une adresse IP source NAT dynamique pour toute stratégie utilisant le NAT dynamique. Ceci permet de garantir que tout le trafic qui fait appel à 366 WatchGuard System Manager Stratégies cette stratégie affiche une adresse spécifiée provenant de votre plage d’adresses IP publiques ou externes comme étant la source. Ceci est utile si vous souhaitez forcer le trafic SMTP sortant à afficher l’adresse d’enregistrement MX de votre domaine lorsque l’adresse IP de l’interface externe du périphérique WatchGuard est différente de l'adresse IP d’enregistrement MX. Les règles NAT 1 à 1 sont prioritaires sur les règles de NAT dynamique. Définir la durée de connexion persistante pour une stratégie Les paramètres de connexion persistante d’une stratégie remplacent les paramètres de connexion persistante globale. Vous devez activer le multi-WAN pour utiliser cette fonctionnalité. 1. Dans la boîte de dialogue Propriétés de stratégie, cliquez sur l’onglet Avancé. 2. Cliquez sur l'onglet Connexion persistante. 3. Pour utiliser les paramètres Connexion persistante multi-WAN globale, décochez la case Remplacer les paramètres de la connexion persistante multi-WAN. 4. Pour définir une valeur de connexion persistante personnalisée pour cette stratégie, cochez la case Activer la connexion persistante. 5. Dans la zone de texte Activer la connexion persistante, saisissez la durée de maintien de la connexion en minutes. User Guide 367 Stratégies User Guide 368 14 Paramètres proxy À propos de stratégies de proxy et passerelles ALG Toutes les stratégies WatchGuard constituent des outils importants en matière de sécurité du réseau, qu’il s’agisse de stratégies de filtrage de paquets, de stratégies de proxy ou de passerelles ALG (application layer gateways). Un filtre de paquets examine l’adresse IP et l’en-tête TCP/UDP de chaque paquet, un proxy surveille et analyse l’ensemble des connexions, et une passerelle ALG offre une gestion des connexions transparente en plus d’une fonctionnalité de proxy. Les stratégies de proxy et les passerelles ALG examinent les commandes utilisées dans la connexion afin d’assurer qu’elles respectent la syntaxe et l’ordre appropriés, et procèdent à une inspection poussée des paquets afin de garantir que les connexions sont sûres. Une stratégie de proxy ou une passerelle ALG ouvre chaque paquet l’un après l’autre, supprime l’en-tête de la couche réseau et inspecte l’entrée Payload du paquet. Un proxy réécrit alors les informations réseau est envoie le paquet à sa destination, tandis qu’une passerelle ALG restaure les informations réseau d’origine et transmet le paquet. Ainsi, un proxy comme une passerelle ALG peuvent trouver des contenus interdits ou malveillants cachés ou intégrés dans l’entrée Payload du paquet. Par exemple, un proxy SMTP recherche dans la totalité des paquets SMTP entrants (e-mails) du contenu interdit, tel que des programmes ou fichiers exécutables écrits en langages de script. Les personnes malveillantes ont souvent recours à ces méthodes pour envoyer des virus informatiques. Le proxy ou la passerelle ALG peut mettre en œuvre une stratégie qui interdit ce type de contenu ; en revanche, un filtre de paquets ne peut pas détecter le contenu non autorisé dans les entrées de données Payload du paquet. Si vous avez souscrit, puis activé des abonnements supplémentaires aux services de sécurité (Gateway AntiVirus, Intrusion Prevention Service, spamBlocker, WebBlocker), les proxies WatchGuard peuvent appliquer les services correspondants au trafic réseau. User Guide 369 Paramètres proxy Configuration de proxy Comme les filtres de paquets, les stratégies de proxy comprennent des options communes pour gérer le trafic réseau, notamment des fonctionnalités de gestion du trafic et de planification. Cependant, les stratégies de proxy comprennent également des paramètres liés au protocole réseau spécifié. Ces paramètres sont configurés avec des ensembles de règles ou des groupes d’options correspondant à une action spécifiée. Par exemple, vous pouvez configurer des ensembles de règles de façon à refuser le trafic provenant d’utilisateurs ou de périphériques individuels, ou à autoriser le trafic VoIP (Voice over IP) correspondant aux codecs que vous souhaitez. Lorsque vous avez paramétré toutes les options de configuration d’un proxy, vous pouvez enregistrer cet ensemble d’options en tant qu’action de proxy définie par l’utilisateur et l’utiliser avec d’autres proxies. Fireware XTM prend en charge les stratégies de proxy pour de nombreux protocoles communs, notamment DNS, FTP, H.323, HTTP, HTTPS, POP3, SIP, SMTP et TCP-UDP. Pour plus d’informations sur une stratégie de proxy, consultez la rubrique de la stratégie en question. À propos de DNS proxy à la page 391 À propos de la Proxy FTP à la page 398 À propos de la Passerelle ALG H.323 à la page 405 À propos du proxy HTTP à la page 411 À propos de la Proxy HTTPS à la page 428 À propos de la Proxy POP3 à la page 434 À propos de la Proxy SIP à la page 445 À propos de la Proxy SMTP à la page 452 À propos de la Proxy TCP-UDP à la page 466 Proxy et antivirus les alarmes Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut se déclencher lorsque le trafic coïncide ou ne coïncide pas avec une règle du proxy. Une alarme peut également se déclencher lorsque les champs actions à prendre sont paramétrés sur une option autre que Autoriser. Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait de cette règle. Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se produit. 1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus. 2. Vous pouvez paramétrer la Firebox de sorte qu’elle envoie une interruption SNMP ou une notification à un administrateur réseau, ou les deux. La notification peut être soit un e-mail envoyé à un administrateur réseau ou une fenêtre contextuelle sur l’ordinateur de gestion de l’administrateur. Pour plus d’informations sur les champs Alarme de proxy et d’antivirus, voir Définir les préférences de journalisation et de notification à la page 656. 3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 370 WatchGuard System Manager Paramètres proxy Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 4. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. À propos de règles et ensembles de règles Lorsque vous configurez une stratégie de proxy ou une passerelle ALG (application layer gateway), vous devez soit créer une nouvelle règle, soit modifier une règle existante. Les règles sont des ensembles de critères auxquels un proxy compare le trafic. Une règle se compose d’un type de contenu, de modèle ou d’expression, ainsi que de l’action réalisée par le périphérique Firebox en cas de correspondance d’un composant du paquet avec ce contenu, ce modèle ou cette expression. Les règles comportent également des paramètres déterminant les moments où le périphérique Firebox envoie des alarmes ou crée une entrée de journal. Un ensemble de règles se compose de plusieurs règles répondant à une fonctionnalité donnée d’un proxy, telle que les types de contenus ou les noms de fichier des pièces jointes aux e-mails. Le processus de création et de modification de règles est le même pour chaque stratégie de proxy ou passerelle ALG de WatchGuard System Manager. Votre périphérique Firebox comprend des ensembles de règles par défaut pour chaque stratégie de proxy incluse dans la configuration Firebox. Des ensembles de règles distincts sont fournis pour les clients et les serveurs, afin de protéger à la fois les utilisateurs approuvés et les serveurs publics. Vous pouvez utiliser la configuration par défaut pour ces règles ou les personnaliser pour les adapter aux besoins spécifiques de votre entreprise. À propos de l’utilisation des règles et ensembles de règles Lors de la configuration d’un proxy ou d’une passerelle ALG, vous pouvez afficher ses ensembles de règles dans la liste Catégories. Ces ensembles de règles diffèrent selon l’action de proxy choisie dans l’onglet Propriétés de la fenêtre de configuration de proxy. Par exemple, les paramètres associés aux règles relatives à l’action FTP-Client ne sont pas les mêmes que ceux associés aux règles relatives à l’action FTPServer. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins professionnels, vous pouvez Ajouter, modifier ou supprimer des règles. Vues simple et avancée Vous pouvez afficher les règles des définitions de proxy de deux manières : affichage simple et affichage avancé. n Affichage simple – Choisissez cet affichage pour configurer une correspondance de modèle de caractères génériques avec des expressions régulières simples. User Guide 371 Paramètres proxy n Affichage avancée –Indique l’action correspondant à chaque règle. Choisissez cet affichage pour utiliser des boutons spéciaux permettant de modifier, de cloner (créer une définition de règle à partir d’une définition existante), de supprimer ou de réinitialiser les règles. Utilisez également la vue avancée pour configurer les correspondances exactes et les expressions régulières compatibles avec Perl. Après avoir utilisé l’affichage avancé, vous pouvez uniquement basculer vers l’affichage simple si toutes les règles activées ont les mêmes paramètres d’action, d’alarme ou de journal. Par exemple, si vous avez cinq règles, dont quatre paramétrées sur Autoriser et l’une paramétrée sur Refuser, vous devez continuer d’utiliser l’affichage avancé. Configurer les ensembles de règles et modifier l’affichage Pour configurer les ensembles de règles d’une stratégie dans Policy Manager : 1. Double-cliquez sur une stratégie ou ajoutez-en une nouvelle. 2. Dans la boîte de dialogue Propriétés de stratégie, cliquez sur l’onglet Propriétés. 3. Cliquez sur . La boîte de dialogue Configuration de l’action de proxy s’affiche. 4. Pour modifier l’affichage, cliquez sur Modifier l’affichage. 5. Ajouter, modifier ou supprimer des règles. Ajouter, modifier ou supprimer des règles Vous pouvez utiliser l’affichage simple ou l’affichage avancé de l’ensemble de règles pour ajouter des règles. Utilisez la vue simple pour configurer une correspondance de modèle de caractères génériques avec des expressions régulières simples. Utilisez la vue avancée pour configurer les correspondances exactes et les expressions régulières compatibles Perl. Cette vue indique l’action correspondant à chaque règle et comporte des boutons permettant de modifier, de cloner (créer une définition de règle à partir d’une définition existante), de supprimer ou de réinitialiser les règles. Pour plus d’informations, voir À propos de règles et ensembles de règles à la page 371 et À propos des expressions régulières à la page 376. Lorsque vous configurez une règle, vous sélectionnez les actions que le proxy utilise pour chaque paquet. Les actions disponibles diffèrent selon le proxy ou la fonction de proxy utilisé(e). Par exemple, les actions Enlever et Verrouiller ne sont exécutées que dans le cadre de la prévention des intrusions basée sur les signatures. Voici la liste de toutes les actions possibles : Autoriser La connexion est autorisée. Refuser La demande spécifique est refusée, mais la connexion est conservée dans la mesure du possible. Une réponse est envoyée au client. 372 WatchGuard System Manager Paramètres proxy Abandonner La demande spécifique est refusée et la connexion est fermée. Aucune réponse n’est envoyée à l’expéditeur. La Firebox envoie uniquement un paquet de réinitialisation TCP au client. Le navigateur du client peut afficher « La connexion a été réinitialisée » ou « La page ne peut pas être affichée », mais il ne précise pas la raison à l’utilisateur. Bloquer La requête est refusée, la connexion interrompue et le site bloqué. Pour plus d’informations sur les sites bloqués, voir À propos de sites bloqués à la page 497. Tout le trafic provenant de l’adresse IP du site est refusé pendant la durée spécifiée dans Policy Manager sous Installation > Default Threat Protection > Sites bloqués, sous l’onglet Blocage automatique. Utilisez cette action si vous souhaitez arrêter tout le trafic provenant du site malveillant uniquement pour cette fois. Enlever Une pièce jointe est retirée d’un paquet et mise de côté. Les autres éléments du paquet sont envoyés vers leur destination via le périphérique Firebox. Verrouiller Une pièce jointe est verrouillée, puis encapsulée pour que l’utilisateur ne puisse pas l’ouvrir. Seul l’administrateur est en mesure de déverrouiller le fichier. Analyse AV La pièce jointe est analysée afin de détecter d’éventuels virus. Si vous sélectionnez cette option, Gateway AntiVirus est activé pour la règle. Ajouter règles (affichage simple) Pour ajouter une nouvelle règle en affichage simple : 1. Dans la zone de texte Modèle, saisissez un modèle utilisant une syntaxe d’expression régulière simple. Le caractère générique pour zéro ou plusieurs caractères est « * ». Le caractère générique pour un caractère est « ? ». 2. Cliquez sur Ajouter. La nouvelle règle est affichée dans la zone Règles. 3. Sélectionnez les actions à entreprendre : n n Dans la liste déroulante En cas de correspondance, définissez l’action à exécuter si le contenu d’un paquet est conforme à l’une des règles de la liste. Dans la liste déroulante Aucune correspondance, définissez l’action à exécuter si le contenu d’un paquet n’est pas conforme à une règle de la liste. 4. Cochez la case Alarme pour configurer une alarme concernant cet événement. Une alarme permet d’informer les utilisateurs lorsqu’une règle de proxy s’applique au trafic réseau. Pour définir les options de l’alarme, ouvrez une fenêtre de configuration de proxy et, dans la liste Catégories située dans la partie gauche, sélectionnez Alarme proxy. Vous pouvez envoyer une User Guide 373 Paramètres proxy interruption SNMP ou un e-mail, ou ouvrir une fenêtre contextuelle. 5. Pour créer un message concernant cet événement dans le journal de trafic, cochez la case Journal. Ajouter règles (affichage avancé) Utilisez la vue avancée pour configurer les correspondances exactes et les expressions régulières compatibles Perl. Pour plus d’informations sur l’utilisation des expressions régulières, voir À propos des expressions régulières à la page 376. 1. Dans la boîte de dialogue Configuration de l’action de proxy, cliquez sur Ajouter. La boîte de dialogue Nouvelle règle <ruletype> s’affiche. 2. Dans la zone de texte Nom de règle, saisissez le nom de la règle. Cette zone de texte est vide lorsque vous ajoutez une règle ; elle peut être modifiée lorsque vous clonez une règle et ne peut pas être modifiée lorsque vous modifiez une règle. 3. Dans la liste déroulante Paramètres de règles, sélectionnez une option : n n n Correspondance exacte — Sélectionnez cette option quand le contenu du paquet doit coïncider exactement avec le texte de la règle. Correspondance de modèle – Sélectionnez cette option quand le contenu du paquet doit coïncider avec un modèle de texte ; peut comporter des caractères génériques. Expression régulière – Sélectionnez cette option quand le contenu du paquet doit coïncider avec un modèle de texte à l’aide d’une expression régulière. 4. Dans la zone de texte Paramètres de règles, saisissez le texte de la règle. Si vous avez sélectionné le paramètre de règle Correspondance de modèle, utilisez un astérisque (*), un point (.) ou un point d’interrogation (?) comme caractères génériques. 5. Dans la rubrique Actions de règle, dans la liste déroulante Action, sélectionnez l’action que le proxy doit effectuer pour cette règle. 6. Cochez la case Alarme pour créer une alarme relative à cet événement. Une alarme avertit les utilisateurs lorsqu’une règle de proxy s’applique au trafic réseau. 7. Pour créer un message concernant cet événement dans le journal de trafic, cochez la case Journal. 374 WatchGuard System Manager Paramètres proxy Couper et coller les définitions de règles Vous pouvez copier et coller le contenu des zones de texte d’une définition de proxy à une autre. Supposons, par exemple, que vous écriviez un message de refus personnalisé pour le proxy POP3. Vous pouvez sélectionner le message de refus, le copier, puis le coller dans la zone de texte Message de refus applicable au proxy SMTP. Lorsque vous copiez d’une définition de proxy vers une autre, vous devez vous assurer que la zone de texte depuis laquelle vous copiez est compatible avec le proxy de destination. Seuls les ensembles de règles faisant partie des quatre groupes répertoriés ci-dessous peuvent être copiés entre les proxies ou les catégories. Les autres combinaisons ne sont pas possibles. Types de contenus Noms de fichier Adresses Authentification Types de contenus HTTP Téléchargement FTP E-mails SMTP source Authentification SMTP Types de contenus SMTP Transfert FTP E-mails SMTP cible Authentification POP3 Types de contenus POP3 Chemins d’adresses URL HTTP Noms de fichier SMTP Noms de fichier POP3 Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entiers d’une définition de proxy à une autre. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Modifier l’ordre des règles L’ordre d’affichage des règles dans la liste Règles est semblable à celui utilisé pour la comparaison du trafic avec ces dernières. Le proxy compare le trafic à la première règle de la liste et continue dans l’ordre du haut vers le bas de la liste. Lorsque le trafic est conforme à une règle, le périphérique Firebox exécute l’action correspondante. Aucune autre action n’est réalisée, et ce même si une autre règle plus bas dans la liste s’applique également au trafic. Veillez à afficher les règles en vue avancée. Pour modifier l’ordre des règles : 1. Pour afficher les règles en vue avancée, cliquez sur Modifier l’affichage. 2. Sélectionnez la règle dont vous voulez modifier l’ordre. 3. Cliquez sur le bouton Monter ou Descendre afin de déplacer la règle vers le haut ou le bas de la liste. User Guide 375 Paramètres proxy Modifier la règle par défaut Si le trafic n’est conforme à aucune des règles que vous avez définies pour une catégorie de proxy, le périphérique Firebox emploie la règle par défaut. Cette règle figure au bas de chaque liste de règles en vue avancée. Pour modifier la règle par défaut : 1. Sélectionnez la règle par défaut et cliquez sur Modifier. La boîte de dialogue Modifier la règle par défaut apparaît. 2. Vous pouvez choisir une autre action pour la règle par défaut et préciser si cette action déclenche une alarme ou un message du journal. En revanche, il vous est impossible de modifier le nom « Par défaut » ou le positionnement de la règle, qui doit demeurer en fin de liste. 3. Cliquez sur OK. À propos des expressions régulières Une expression régulière est un groupe de lettres, de chiffres et de caractères spéciaux utilisé pour faire coïncider des données. Vous pouvez utiliser des expressions régulières compatibles avec Perl (PECR) dans votre configuration Firebox afin de faire coïncider certains types de trafic dans des actions de proxy. Par exemple, vous pouvez utiliser une expression régulière pour bloquer les connexions à certains sites Web et autoriser les connexions à d’autres sites Web. Vous pouvez aussi refuser les connexions SMTP lorsque le destinataire n’est pas une adresse e-mail valide pour votre entreprise. Par exemple, si vous souhaitez bloquer des parties d’un site Web qui enfreignent la politique d’utilisation d’Internet de votre entreprise, vous pouvez utiliser une expression régulière dans la catégorie Chemins URL de la configuration de proxy HTTP. 376 WatchGuard System Manager Paramètres proxy Règles générales n n Les expressions régulières dans Fireware respectent la casse – Lorsque vous créez une expression régulière, vous devez veiller à ce que la casse des lettres de votre expression régulière corresponde à celle du texte que vous voulez faire coïncider. Vous pouvez modifier l’expression régulière de façon à ce qu’elle ne respecte pas la casse en plaçant le modificateur (?i) au début d’un groupe. Les expressions régulières dans Fireware sont différentes des caractères génériques MS-DOS et Unix – Lorsque vous modifiez des fichiers à l’aide de MS-DOS ou de l’invite de commandes Windows, vous pouvez utiliser ? ou * pour faire coïncider un ou plusieurs caractère(s) dans un nom de fichier. Ces caractères génériques simples ne fonctionnent pas de la même façon dans Fireware. Pour plus d’informations sur le fonctionnement des caractères génériques dans Fireware, voir les rubriques suivantes. Comment créer une expression régulière L’expression régulière la plus simple est constituée du texte que vous souhaitez faire coïncider. Les lettres, chiffres et autres caractères imprimables coïncident tous avec les mêmes lettres, chiffres ou caractères que vous saisissez. Une expression régulière composée de lettres et de chiffres peut uniquement coïncider avec une chaîne de caractères comprenant toutes ces lettres et tous ces chiffres dans le bon ordre. Exemple : 'tas' coïncide avec 'tas', 'tasse' et 'entasser', ainsi qu’avec de nombreuses autres chaînes. Note Fireware accepte toute chaîne de caractères comprenant l’expression régulière. Une expression régulière coïncide souvent avec plus d’une chaîne. Si vous utilisez une expression régulière en tant que source pour une règle de refus, il se peut que vous bloquiez involontairement une partie du trafic réseau. Il est conseillé de tester intégralement vos expressions régulières avant d’enregistrer la configuration sur votre Firebox. Pour faire coïncider différentes chaînes de caractères en même temps, vous devez utiliser un caractère spécial. Le caractère spécial le plus commun est le point (.), qui est similaire à un caractère générique. Lorsque vous mettez un point dans une expression régulière, il coïncide avec n’importe quel caractère, espace ou tabulation. Le point ne coïncide pas avec les sauts de ligne (\r\n ou \n). Exemple : 't..s' coïncide avec 'tous', 'tris', 't&#s', 't -s' et 't\t3s'. Pour faire coïncider un caractère spécial, par exemple un point, vous devez ajouter une barre oblique inverse (\) avant le caractère. Si vous n’ajoutez pas de barre oblique inverse avant le caractère spécial, la règle risque de ne pas fonctionner correctement. Il n’est pas nécessaire d’ajouter une seconde barre oblique inverse si le caractère comporte déjà une barre oblique inverse, tel que \t (taquet de tabulation). Vous devez ajouter une barre oblique inverse devant chacun de ces caractères spéciaux pour les faire coïncider avec le caractère réel : ? . * | + $ \ ^ ( ) [ Exemple : 9\.99\€ coïncide avec 9.99 € User Guide 377 Paramètres proxy Caractères hexadécimaux Pour faire coïncider des caractères hexadécimaux, utilisez \x ou %0x%. Les caractères hexadécimaux ne sont pas affectés par le modificateur d’insensibilité à la casse. Exemple : \x66 ou %0x66% coïncident avec f, mais pas avec F. Répétition Pour faire coïncider un nombre variable de caractères, vous devez utiliser un modificateur de répétition. Vous pouvez appliquer le modificateur à un caractère simple ou à un groupe de caractères. Il existe quatre types de modificateurs de répétition : n n n n Les chiffres compris entre accolades (tels que {2,4}) signifient "autant de fois que le premier chiffre au minimum", ou "autant de fois que le second chiffre au maximum". Exemple : 3{2,4} coïncide avec 33, 333 ou 3333. En revanche, cette chaîne ne coïncide pas avec 3 ou 333333. Le point d’interrogation (?) coïncide avec zéro ou une occurrence du caractère, de la classe ou du groupe qui le précède. Exemple : fru?it coïncide avec fruit et frit. Le signe plus (+) coïncide avec une ou plusieurs occurrences du caractère, de la classe ou du groupe qui le précède. Exemple : to+n coïncide avec ton, toon et toooooooon. L’astérisque (*) coïncide avec zéro ou plusieurs occurrences du caractère, de la classe ou du groupe qui le précède. Exemple : to*n coïncide avec tn, ton, toon et tooooooon. Pour appliquer les modificateurs à plusieurs caractères à la fois, vous devez créer un groupe. Pour grouper une chaîne de caractères, mettez la chaîne entre parenthèses. Exemple : ba(na)* coïncide avec ba, bana, banana et banananananana. Classes de caractères Pour faire coïncider un caractère d’un groupe, utilisez des crochets à la place des parenthèses pour créer une classe de caractères. Vous pouvez appliquer des modificateurs de répétition à une classe de caractères. L’ordre des caractères à l’intérieur de la classe n’a pas d’importance. Les seuls caractères spéciaux autorisés à l’intérieur d’une classe de caractères sont le crochet fermant (]), la barre oblique inverse (\), l’accent circonflexe (^) et le tiret (-). Exemple : gr[ia]s coïncide avec gris et gras. Pour utiliser un accent circonflexe dans la classe de caractères, ne le placez pas en début de classe. Pour utiliser un tiret dans la classe de caractères, placez-le en début de classe. Une classe de caractères « niée » coïncide avec tout sauf les caractères spécifiés. Saisissez un accent circonflexe (^) au début d’une classe de caractères pour en faire une classe de caractères « niée ». Exemple : [Qq][^u] coïncide avec Qatar, mais pas avec question ni Iraq. 378 WatchGuard System Manager Paramètres proxy Intervalles Les classes de caractères sont souvent utilisées avec des intervalles de caractères pour représenter une lettre ou un chiffre. Un intervalle est constitué de deux lettres ou de deux chiffres séparé(e)s par un tiret (), marquant le début et la fin d’un groupe de caractères. Tout caractère compris dans cet intervalle peut coïncider. Si vous ajoutez un modificateur de répétition à une classe de caractères, la classe précédente est répétée. Exemple : [1-3][0-9]{2} coïncide avec 100 et 399, ainsi qu’avec tous les nombres situés entre les deux. Certains intervalles utilisés fréquemment ont une notation abrégée. Vous pouvez utiliser les classes de caractères abrégées à l’intérieur ou à l’extérieur d’autres classes de caractères. Une classe de caractères abrégée « niée » coïncide avec le contraire de ce avec quoi coïncide la classe de caractères abrégée. Le tableau ci-dessous comprend plusieurs classes de caractères abrégées courantes ainsi que leurs valeurs niées. Classe équivalente à Valeur niée équivalente à \w N’importe quel(le) lettre ou chiffre [A-Za-z0-9] \W Autre qu’une lettre ou un chiffre \s N’importe quel caractère d’espace [ \t\r\n] \S Autre qu’un espace \d N’importe quel chiffre [0-9] \D Autre qu’un chiffre Ancres Pour faire coïncider le début ou la fin d’une ligne, vous devez utiliser une ancre. L’accent circonflexe (^) coïncide avec le début d’une ligne et le symbole dollar ($) coïncide avec la fin d’une ligne. Exemple : ^am.*$ coïncide avec 'ampère' si 'ampère' est le seul mot sur la ligne. Il ne coïncide pas avec 'dame'. Vous pouvez utiliser \b pour faire coïncider une frontière de mot ou \B pour faire coïncider n’importe quelle position qui n’est pas une frontière de mot. Il existe trois types de frontières de mots : n n n Avant le premier caractère de la chaîne de caractères, si le premier caractère est un caractère de mot (\w)• Après le dernier caractère de la chaîne de caractères, si le dernier caractère est un caractère de mot (\w)• Entre un caractère de mot (\w) et un caractère de non-mot (\W) Alternance Vous pouvez utiliser l’alternance pour faire coïncider une expression régulière simple à partir de plusieurs expressions régulières possibles. L’opérateur d’alternance d’une expression régulière est le caractère de séparateur vertical (|). Il est similaire à l’opérateur booléen OR. Exemple : gr(i|a|o)s coïncide avec la première occurrence de 'gris', 'gras' ou 'gros'. User Guide 379 Paramètres proxy Expressions régulières courantes Faire coïncider avec le type de contenu PDF (type MIME) ^%PDFFaire coïncider avec n’importe quelle adresse IP valide (25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9] [0-9]?)\.(25[0-5]|2[0-4][09]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]? [0-9][0-9]?) Faire coïncider avec la plupart des adresses e-mail [A-Za-z0-9._-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4} Importer et exporter ensembles de règles Si vous gérez plusieurs Firebox, vous pouvez importer et exporter des ensembles de règles entre elles. Vous économisez ainsi du temps car vous ne définissez les règles qu’une seule fois. Il vous suffit de définir les règles une fois pour une définition de proxy, de les exporter dans un fichier XML, puis de les importer dans une nouvelle définition de proxy. 1. 2. 3. 4. Créez les ensembles de règles pour un proxy ou une catégorie. Au besoin, cliquez sur Modifier l’affichage pour afficher l’ensemble de règles en vue avancée. Cliquez sur Exporter. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous voulez enregistrer le fichier XML. L’emplacement par défaut est Mes documents > Mon WatchGuard. 5. 6. 7. 8. Tapez un nom pour le fichier, puis cliquez sur Enregistrer. Dans la nouvelle définition de proxy, cliquez sur Importer. Recherchez le fichier que vous avez créé à l’étape 2, puis cliquez sur Ouvrir. Si des règles sont déjà définies pour le nouveau proxy, le système commence par vous demander si vous souhaitez supprimer l’ancien ensemble de règles. n n Cliquez sur Oui pour supprimer les règles existantes et les remplacer par les nouvelles. Cliquez sur Non pour conserver les règles existantes et inclure celles importées dans l’ensemble de règles. Copier des ensembles de règles entre différents proxies ou catégories Certains ensembles de règles peuvent être utilisés dans plusieurs proxies ou catégories. Par exemple, vous pouvez exporter l’ensemble de règles Types de contenus d’une action de proxy HTTP, puis l’importer dans l’ensemble de règles du même nom d’une action de proxy SMTP. De même, vous pouvez exporter l’ensemble de règles E-mails SMTP source vers l’ensemble de règles E-mails SMTP cible. Pour plus d’informations sur les groupes entre lesquels vous pouvez copier des ensembles de règles, voir Couper et coller les définitions de règles à la page 375. 380 WatchGuard System Manager Paramètres proxy À propos des actions de proxy Une action de proxy est un groupe spécifique de paramètres, de sources ou de destinations pour un type de proxy. Votre configuration pouvant comprendre plusieurs stratégies de proxy du même type, chaque stratégie de proxy utilise une action de proxy différente. Chaque stratégie de proxy comporte des actions de proxy prédéfinies, ou par défaut, pour les clients et les serveurs. Par exemple, vous pouvez utiliser une action de proxy pour les paquets envoyés à un serveur POP3 protégé par le périphérique Firebox ou XTM et une autre action de proxy qui sera appliquée aux e-mails récupérés par les clients POP3. Vous pouvez créer plusieurs actions de proxy différentes pour les clients ou les serveurs, ou pour un type de stratégie de proxy spécifique. Cependant, vous ne pouvez attribuer qu'une seule action de proxy à chaque stratégie de proxy. Par exemple, une stratégie POP3 est liée à une action de proxy POP3-client. Si vous souhaitez créer une action de proxy POP3 pour un serveur POP3, ou une action de proxy supplémentaire pour des clients POP3, vous devez ajouter de nouvelles stratégies de proxy POP3 utilisant ces nouvelles actions de proxy dans Policy Manager. Définir l’action de proxy 1. Dans la boîte de dialogue Ajouter/Modifier des propriétés de stratégie, sélectionnez l’onglet Propriétés. 2. Dans la liste déroulante Action de proxy, sélectionnez l’action de proxy à utiliser avec cette stratégie de proxy. Modifier, supprimer ou cloner des actions de proxy Vous pouvez également modifier, supprimer ou cloner une action de proxy prédéfinie ou une action de proxy que vous avez déjà créée : 1. SélectionnezConfigurer > Actions > Proxies. 2. Dans la boîte de dialogue Actions de proxy, choisissez l'action de proxy à modifier, supprimer ou cloner. 3. Cliquez sur Modifier, Supprimer ou Cloner. Il est impossible de supprimer les actions de proxy prédéfinies (affichées en bleu). Seules les actions de proxy définies par l'utilisateur (affichées en noir) peuvent être supprimées. User Guide 381 Paramètres proxy Pour plus d'informations sur les paramètres d'action de proxy, consultez la rubrique À propos de pour chaque proxy. À propos de DNS proxy à la page 391 À propos de la Proxy FTP à la page 398 À propos de la Passerelle ALG H.323 à la page 405 À propos du proxy HTTP à la page 411 À propos de la Proxy HTTPS à la page 428 À propos de la Proxy POP3 à la page 434 À propos de la Proxy SIP à la page 445 À propos de la Proxy SMTP à la page 452 À propos de la Proxy TCP-UDP à la page 466 Importer ou exporter des actions de proxy Si vous gérez plusieurs périphériques Firebox ou XTM et devez leur appliquer les mêmes stratégies, vous pouvez utiliser la fonction d'importation/exportation de stratégie pour gagner du temps. Vous pouvez définir les actions de proxy sur un périphérique Firebox ou XTM, les exporter vers un fichier texte, puis importer les stratégies dans un autre périphérique Firebox ou XTM. Pour plus d’informations, cf. Importer et exporter Actions de proxy définies par l’utilisateur à la page 383. À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy Fireware XTM comporte des actions de proxy de clients et de serveurs prédéfinies pour chaque proxy. Ces actions sont configurées en vue d’équilibrer les exigences d’accessibilité d’une entreprise standard et les besoins de protection contre les attaques de vos biens informatiques. Vous ne pouvez pas modifier les paramètres des actions de proxy prédéfinies. Si vous souhaitez changer la configuration, vous devez cloner (copier) la définition existante et l’enregistrer en tant qu’action de proxy définie par l’utilisateur. 382 WatchGuard System Manager Paramètres proxy Par exemple, pour modifier un paramètre de l’action de proxy HTTP-Client, vous devez l’enregistrer sous un autre nom, comme HTTP-Client.1. Cette opération est nécessaire uniquement si vous modifiez des ensembles de règles. Si vous éditez des paramètres généraux tels que les sources ou destinations autorisées ou les paramètres NAT d’une stratégie, il est inutile d’enregistrer le paramètre sous un nouveau nom. Importer ou exporter des actions de proxy Si vous gérez plusieurs périphériques Firebox et avez défini pour ceux-ci des actions de proxy, vous pouvez utiliser la fonction d’importation/exportation de stratégie pour gagner du temps. Vous pouvez définir les actions de proxy sur un périphérique Firebox, les exporter vers un fichier ASCII, puis les importer dans un autre périphérique Firebox. Pour plus d’informations, voir Importer et exporter Actions de proxy définies par l’utilisateur à la page 383. Importer et exporter Actions de proxy définies par l’utilisateur Si vous gérez plusieurs périphériques Firebox auxquels sont associées des actions de proxy définies par l’utilisateur, vous pouvez utiliser la fonction d’importation/exportation d’action de stratégie pour gagner du temps. Vous pouvez définir des actions de proxy personnalisées sur un périphérique Firebox, les exporter vers un fichier ASCII, puis les importer dans un autre périphérique Firebox. Le périphérique Firebox pour lequel vous avez créé les stratégies doit exécuter la même version de WSM que la version de Policy Manager que vous utilisez pour importer les actions de proxy. Vous ne pouvez pas importer une action de proxy d’une version précédente dans la version actuelle. 1. Sur le premier périphérique Firebox, créez les actions de proxy définies par l’utilisateur. 2. Dans la boîte de dialogue Actions de proxy, cliquez sur Exporter. Il est inutile de sélectionner les actions définies par l’utilisateur. La fonction d’exportation permet d’exporter automatiquement toutes les actions de proxy personnalisées quelle que soit celle qui est sélectionnée. 3. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous souhaitez enregistrer le fichier des actions de proxy. L’emplacement par défaut est Mes documents > Mon WatchGuard. 4. Tapez un nom pour le fichier, puis cliquez sur Enregistrer. 5. Sur un autre périphérique Firebox, dans la boîte de dialogue Actions de proxy de Policy Manager, cliquez sur Importer. 6. Recherchez le fichier que vous avez créé à l’étape 3, puis cliquez sur Ouvrir. 7. Si des actions de proxy définies par l’utilisateur sont déjà configurées dans Policy Manager, le système vous demande si vous voulez les remplacer ou ajouter les actions importées aux actions existantes. Cliquez sur Remplacer ou sur Ajouter. n n User Guide Remplacer : les actions de proxy définies par l’utilisateur existantes sont supprimées et remplacées par les nouvelles. Ajouter : les actions existantes et celles importées sont incluses conjointement dans la boîte de dialogue. 383 Paramètres proxy Utiliser des types de contenus prédéfinis Vous pouvez limiter le trafic réseau HTTP et les pièces jointes d’e-mails POP3 ou SMTP en fonction du type de contenu. Vous pouvez utiliser les catégories Type de contenu de ces stratégies de proxy pour autoriser ou refuser des types de contenus spécifiques. Lorsque vous cliquez sur le bouton Prédéfini de l’une de ces catégories de proxy, la boîte de dialogue Sélectionner le type de contenu s’affiche. Sélectionnez un ou plusieurs types de contenus communs que vous souhaitez ajouter à l’ensemble de règles Types de contenus, puis cliquez sur OK. Utilisez les touches Ctrl et/ou Maj pour sélectionner plusieurs types de contenus à la fois. À propos des configurations de blocage d’applications Vous pouvez utiliser Application Blocker pour définir les actions que devra effectuer votre périphérique Firebox ou XTM lorsqu’une stratégie de proxy TCP-UDP, HTTP ou HTTPS détecte une activité réseau provenant d’applications de messagerie instantanée ou de pair à pair (P2P). Application Blocker identifie les applications de messagerie instantanée suivantes : n n n n n n AIM (AOL Instant Messenger) ICQ IRC MSN Messenger Skype Yahoo! Messenger Note Application Blocker ne peut pas bloquer les sessions Skype déjà actives. Pour plus d’informations, cf. À propos de Skype et du blocage d’applications. Application Blocker identifie les applications P2P suivantes : n n n n n n BitTorrent Ed2k (eDonkey2000) Gnutella Kazaa Napster Winny Note Le service Intrusion Prevention Service n'est pas requis pour utiliser la fonctionnalité de blocage d'application. Créer une configuration Application Blocker Pour bloquer le trafic d’applications de messagerie instantanée et de pair à pair (P2P) communes, vous pouvez utiliser Policy Manager pour créer une configuration d’Application Blocker. Vous pouvez utiliser cette configuration dans une ou plusieurs stratégies afin d’appliquer des règles de trafic homogènes. Pour créer une configuration Application Blocker : 384 WatchGuard System Manager Paramètres proxy 1. Sélectionnez Installation > Actions >Application Blocker. La boîte de dialogue Application Blocker s'affiche. 2. Cliquez sur Ajouter. La boîte de dialogue Nouvelle configuration Application Blocker s'affiche. L'onglet Messagerie instantanée est sélectionné par défaut. 3. Dans la zone de texte Nom, saisissez un nom pour cette configuration Application Blocker. 4. (Facultatif) Dans la zone de texte Description, saisissez une courte description de la configuration. 5. Dans la liste déroulante, sélectionnez l’action que le périphérique Firebox ou XTM doit effectuer lorsqu’il détecte un trafic de messagerie instantanée : n n Autoriser Autorise le paquet à rejoindre le destinataire, même si le contenu coïncide avec une signature. Abandonner Abandonne le paquet et envoie un paquet de réinitialisation TCP à l’expéditeur. 3. Cochez la case pour chaque application de messagerie instantanée à inclure dans l’action de proxy. Pour sélectionner toutes les applications de messagerie instantanée de la liste, cochez la case Toutes les catégories. 4. Pour définir les actions relatives aux applications P2P, sélectionnez l’onglet P2P. User Guide 385 Paramètres proxy 5. Dans la liste déroulante, sélectionnez l’action que le périphérique Firebox ou XTM doit effectuer lorsqu’il détecte un trafic P2P : n n Autoriser Autorise le paquet à rejoindre le destinataire, même si le contenu coïncide avec une signature. Abandonner Abandonne le paquet et envoie un paquet de réinitialisation TCP à l’expéditeur. 3. Cochez la case pour chaque application P2P à inclure dans l’action de proxy. Pour sélectionner toutes les applications P2P de la liste, cochez la case Toutes les catégories. 4. Pour configurer la journalisation et la notification pour cette configuration Application Blocker, cliquez sur Journalisation et notification. La boîte de dialogue Journalisation et notification s’ouvre. Pour plus d’informations sur les paramètres de journalisation et de notification, voir Définir les préférences de journalisation et de notification . 5. Cliquez sur OK pour créer la configuration Application Blocker. La nouvelle configuration Application Blocker s'affiche dans la boîte de dialogue Application Blocker. 6. Cliquez sur Fermer. Après avoir créé la configuration d’Application Blocker, vous pouvez actualiser vos configurations de proxy TCP-UDP, HTTP ou HTTPS pour utiliser la configuration d’Application Blocker que vous avez créée. 386 WatchGuard System Manager Paramètres proxy À propos de Skype et du bloqueur d’application Skype est une application réseau pair à pair (P2P) très courante, utilisée pour effectuer des appels vocaux, envoyer des messages texte, transférer des fichiers ou participer à des vidéoconférences via Internet. Le client Skype utilise une combinaison dynamique de ports comportant les ports sortants 80 et 443. Le trafic Skype est très difficile à détecter et à bloquer parce qu’il est chiffré et parce que le client Skype est très flexible et capable de contourner les pare-feu réseau. Vous pouvez configurer le bloqueur d’applications pour bloquer une connexion utilisateur au réseau Skype. Il est important de bien comprendre que le bloqueur d’applications peut bloquer uniquement la connexion initiale à Skype. Il ne peut pas bloquer le trafic pour un client Skype qui s’est déjà connecté et qui dispose d’une connexion active. Par exemple : n n Si un utilisateur distant se connecte à Skype lorsque l’ordinateur n’est pas connecté à votre réseau, et que l’utilisateur se connecte ensuite à votre réseau pendant que le client Skype est encore actif, le bloqueur d’applications ne pourra pas bloquer le trafic Skype tant que l’utilisateur ne se sera pas déconnecté de l’application Skype ou n’aura pas redémarré l’ordinateur. Lorsque vous configurez le bloqueur d’application pour bloquer Skype, tout utilisateur étant déjà connecté sur le réseau Skype n’est pas bloqué tant qu’il ne se déconnecte pas de l’application Skype ou ne redémarre pas son ordinateur. Lorsque le bloqueur d’application bloque une connexion Skype, il ajoute les adresses IP des serveurs Skype à la liste des sites bloqués. Pour ces adresses IP bloquées, la source de déclenchement est l’administrateur et la raison est gestion des paquets par défaut. Note La liste des sites bloqués interdisant le trafic entre les serveurs Skype et tous les utilisateurs du réseau, l’accès à Skype est bloqué pour tous les utilisateurs. Les adresses IP de serveurs Skype figurent sur la liste des serveurs bloqués pendant la durée que vous spécifiez dans la zone de texte Durée du blocage automatique de sites lors de la configuration des sites bloqués. La valeur par défaut est de 20 minutes. Si vous bloquez Skype puis modifiez la configuration pour annuler ce blocage, les adresses IP des serveurs Skype figurant sur la liste des sites bloqués restent bloquées jusqu’à expiration du blocage, ou jusqu’à ce que vous les retiriez manuellement de cette liste. Lorsque le bloqueur d’application bloque une connexion Skype, un message du journal apparaît dans le moniteur du trafic qui indique que l’accès aux adresses IP de serveurs Skype a été refusé car l’adresse figure sur la liste des sites bloqués. Pour plus d’informations sur le réglage de la durée du blocage automatique de sites, voir Modifier la durée du blocage automatique des sites à la page 500. Bloquer les connexions Skype Pour bloquer les connexions Skype, vous devez créer une configuration du bloqueur d’application puis sélectionner Skype comme type d’application à bloquer. Ensuite, vous devez appliquer la configuration à votre stratégie de proxy TCP/UDP. Pour plus d’informations sur la création d’une configuration du bloqueur d’application, voir À propos des configurations de blocage d’applications à la page 384. User Guide 387 Paramètres proxy Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue d’attaquer des réseaux tiers. Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention Service (IPS) pour votre périphérique Firebox. IPS fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS et TCP-UDP. Pour activer et configurer IPS, vous pouvez lancer l’assistant IPS ou utiliser l’ensemble de règles IPS dans une définition de proxy. En exécutant l’Assistant Activate Intrusion Prevention Wizard 1. Ouvrez Policy Manager. 2. Sélectionnez Services d’abonnement > Intrusion Prevention > Activer. L’assistant Activate Intrusion Prevention Wizard s’affiche. 3. Terminez l’assistant. Pour plus d’informations, voir Activation Intrusion Prevention Service à la page 1111. Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy 1. Obtenir une clé de fonctionnalité auprès de LiveSecurity pour IPS et Ajouter une clé de fonctionnalité à Firebox. 2. Ajouter une stratégie de proxy à votre configuration. Vous pouvez également modifier un proxy existant. 3. Dans la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie, cliquez sur l’onglet Propriétés. 4. Cliquez sur . 5. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. 6. Dans la partie droite de la fenêtre, Configurer les actions IPS. Ajouter une stratégie de proxy à votre configuration Lorsque vous ajoutez une stratégie de proxy ou une passerelle ALG (application layer gateway) à votre configuration Fireware XTM, vous devez spécifier les types de contenus que le périphérique Firebox ou XTM doit rechercher lorsqu’il examine le trafic réseau. Si le contenu correspond (ou non) aux critères de la définition du proxy ou de la passerelle ALG, le trafic est autorisé (ou refusé). 388 WatchGuard System Manager Paramètres proxy Vous pouvez utiliser les paramètres par défaut de la stratégie de proxy ou de la passerelle ALG ou bien définir des paramètres correspondant au trafic réseau de votre organisation. Il vous est également possible de créer des stratégies de proxy ou des passerelles ALG supplémentaires pour gérer les différentes parties de votre réseau. Il est important de noter que la stratégie de proxy ou la passerelle ALG requiert plus de puissance de processeur qu'un filtre de paquets. Si vous ajoutez un nombre important de stratégies de proxy ou de passerelles ALG à votre configuration, le trafic réseau peut s’en trouver ralenti. Toutefois, un proxy ou une passerelle ALG a recours à des méthodes que les filtres de paquets ne peuvent pas utiliser pour intercepter les paquets dangereux. Chaque stratégie de proxy inclut un ensemble de paramètres que vous pouvez ajuster de manière à créer un équilibre entre vos besoins en termes de sécurité et vos objectifs de performances. Vous pouvez utiliser Policy Manager pour ajouter une stratégie de proxy. 1. Cliquez sur . Ou sélectionnez Modifier> Ajouter des stratégies. La boîte de dialogue Ajouter des stratégies s’ouvre. 2. Développez le dossier Proxies. Une liste de stratégies de proxy s’affiche. 3. Sélectionnez le type de stratégie de proxy que vous souhaitez créer. Cliquez sur Ajouter. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. User Guide 389 Paramètres proxy Pour plus d'informations sur les propriétés de base de toutes les stratégies, voir À propos des propriétés de stratégie à la page 359. Les stratégies de proxy et les passerelles ALG possèdent des ensembles de règles par défaut qui offrent un bon équilibre entre la sécurité et l’accessibilité pour la plupart des installations. Si un ensemble de règles par défaut ne correspond pas au trafic réseau que vous souhaitez examiner, vous pouvez ajouter, supprimer ou modifier des règles. Pour plus d’informations, cf. À propos de règles et ensembles de règles à la page 371 et la rubrique « À propos de » concernant le type de stratégie que vous avez ajouté. À propos de DNS proxy à la page 391 À propos de la Proxy FTP à la page 398 À propos de la Passerelle ALG H.323 à la page 405 À propos du proxy HTTP à la page 411 À propos de la Proxy HTTPS à la page 428 390 À propos de la Proxy POP3 à la page 434 À propos de la Proxy SIP à la page 445 À propos de la Proxy SMTP à la page 452 À propos de la Proxy TCP-UDP à la page 466 WatchGuard System Manager Paramètres proxy À propos de DNS proxy DNS (Domain Name System) est un système réseau de serveurs qui traduit des adresses IP numériques en adresses Internet hiérarchiques, lisibles. Le DNS permet à votre réseau d'ordinateurs de comprendre, par exemple, que vous souhaitez atteindre le serveur situé à l'adresse 200.253.208.100 lorsque vous saisissez un nom de domaine dans le navigateur, tel que www.watchguard.com. Avec Fireware XTM, vous avez le choix entre deux méthodes différentes pour contrôler le trafic DNS : le filtre de paquets DNS et la stratégie de proxy DNS. Le proxy DNS est utile uniquement si les requêtes DNS sont routées via votre Firebox. Lorsque vous créez un fichier de configuration, le fichier inclut automatiquement une stratégie de filtrage de paquets « Sortant » qui autorise toutes les connexions TCP et UDP provenant de vos réseaux approuvés et facultatifs vers l’extérieur. Cela permet à vos utilisateurs de se connecter à un serveur DNS externe à l'aide des ports TCP 53 et UDP 53 standard. Étant donné que « Sortant » est un filtre de paquets, il ne peut pas protéger contre les chevaux de Troie du trafic sortant UDP, les failles de sécurité DNS et autres problèmes courants qui se produisent lorsque vous ouvrez l’ensemble du trafic UDP sortant à partir de vos réseaux approuvés. Le proxy DNS présente des fonctionnalités qui protègent votre réseau de ces menaces. Si vous utilisez des serveurs DNS externes pour votre réseau, l’ensemble des règles DNS-Sortant fournit des méthodes supplémentaires permettant de contrôler les services disponibles pour votre communauté de réseaux. Pour ajouter le proxy DNS à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 388. Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets : Stratégie, Propriétés et Avancé. Sur l'onglet Propriétés, vous pouvez également modifier l'ensemble de règles par défaut des actions de proxy. Pour plus d’informations, voir À propos des actions de proxy à la page 381. Onglet Stratégie n n n Les connexions DNS-proxy sont — Spécifiez si l'état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez celui qui apparaît dans la liste De et Vers (de l'onglet Stratégie de la définition du proxy). Voir Définir des règles d’accès pour une stratégie à la page 360. Utiliser le routage basé sur stratégie — voir Configurer le routage basé sur stratégie à la page 363. Vous pouvez également configurer la translation d'adresses réseau statique ou configurer l'équilibrage de charge de serveur. Voir À propos de NAT statique à la page 180 et Configurer les équilibrage de charge côté serveur à la page 182. Onglet Propriétés n n Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client ou un serveur. Pour plus d'informations sur les actions de proxy, voir À propos des actions de proxy à la page 381. Pour définir la journalisation d'une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification à la page 656. User Guide 391 Paramètres proxy n n Si vous définissez la liste déroulante Les connexions sont (de l'onglet Stratégie) sur Refusées ou sur Refusées (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d'utiliser le DNS. Voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Pour utiliser un délai d'inactivité autre que celui défini par Firebox ou le serveur d'authentification, Définir un délai d'inactivité personnalisé à la page 365. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les règles selon les besoins particuliers de votre entreprise. Pour modifier les paramètres et ensembles de règles d'une action de proxy : 1. Cliquez sur . 2. Sélectionnez une catégorie : n n n n n n Proxy DNS : Paramètres généraux DNS proxy : OPcodes Proxy DNS : Types de requêtes DNS proxy : Noms des requêtes Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy Proxy et antivirus les alarmes. Les interruptions et la notification SNMP sont désactivées par défaut. 3. Mettez à jour l'ensemble de règles. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (1-to-1 NAT et la traduction d'adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Proxy DNS : Paramètres généraux Vous pouvez modifier les paramètres de deux règles de détection d'anomalie de protocole sur la page Général. Nous vous recommandons de ne pas modifier les paramètres par défaut. 392 WatchGuard System Manager Paramètres proxy N’appartient pas à la classe Internet Sélectionnez l'action à effectuer lorsque le proxy analyse le trafic DNS qui n'appartient pas à la classe Internet (IN). L’action par défaut consiste à refuser le trafic. Nous vous recommandons de ne pas modifier l’action par défaut. Requête formatée de façon incorrecte Sélectionnez l’action à effectuer lorsque le proxy analyse le trafic DNS qui n’utilise pas le format correct. Alarme Une alarme est un mécanisme qui consiste à avertir les utilisateurs dès qu’une règle de proxy s’applique au trafic réseau. Activez la case à cocher Alarme pour configurer une alarme pour l’événement. Pour définir les options de l’alarme, ouvrez une fenêtre de configuration de proxy et, dans la liste Catégories située dans la partie gauche, sélectionnez Alarme proxy. Vous pouvez envoyer une interruption SNMP ou un e-mail, ou ouvrir une fenêtre contextuelle. Journal Cochez cette case pour envoyer un message au journal du trafic de cet événement. Activer la journalisation pour les rapports Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si vous ne cochez pas cette case, vous ne verrez pas les informations détaillées concernant les connexions de proxy DNS dans les rapports. DNS proxy : OPcodes Les OPcodes (codes d’opération) DNS sont des commandes envoyées au serveur DNS pour lui indiquer d’effectuer certaines actions, telles qu’une requête (Query), une requête inverse (IQuery) ou un demande d’état du serveur (STATUS). Ils agissent sur des éléments tels que les registres, les valeurs en mémoire, les valeurs stockées sur la pile, les ports E/S et le bus. Vous pouvez ajouter, supprimer ou modifier les règles dans l'ensemble de règles par défaut. Vous pouvez autoriser, refuser, supprimer ou bloquer des OPcodes DNS spécifiques. 1. Dans l'arborescence Catégories, sélectionnez OPCodes. 2. Pour les règles répertoriées, cochez la case Activé pour activer une règle. Désactiver la case à cocher Activé pour désactiver une règle. Note Si vous utilisez Active Directory et que votre configuration Active Directory nécessite des mises à jour dynamiques, vous devez autoriser les OPCodes dynamiques dans vos règles d’action de proxy de trafic entrant DNS. Bien que cette action constitue un risque pour la sécurité, elle est nécessaire pour que le service Active Directory fonctionne correctement. User Guide 393 Paramètres proxy Ajouter une nouvelle règle OPCodes 1. Cliquez sur Ajouter. La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche. 2. Saisissez le nom de la règle. Les règles doivent comporter un maximum de 200 caractères. 3. Définissez la valeur OPCode à l'aide des flèches. Les OPCodes DNS sont un nombre entier. Pour plus d’informations sur les entiers des OPCodes DNS, voir la RFC 1035. Supprimer ou modifier des règles 1. Ajoutez, supprimez ou modifiez des règles tel que décrit dans Ajouter, modifier ou supprimer des règles à la page 372. 2. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. 3. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 4. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 5. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d'informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d'ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy DNS : Types de requêtes Un type de requête DNS peut configurer un enregistrement de ressource par type (par exemple, un enregistrement CNAME ou TXT) ou en tant que type personnalisé d’opération de requête (par exemple, une zone de transfert AXFR Full). Vous pouvez ajouter, supprimer ou modifier des règles. Vous pouvez autoriser, refuser, supprimer ou bloquer des types de requêtes DNS spécifiques. 1. Dans l'arborescence Catégories, sélectionnez Types de requêtes. 394 WatchGuard System Manager Paramètres proxy 2. Pour activer une règle, cochez la case Activé située à côté de l'action et du nom de la règle. Ajouter une nouvelle règle de types de requêtes 1. Pour ajouter une nouvelle règle de types de requêtes, cliquez sur Ajouter. La boîte de dialogue Nouvelle règle de types de requêtes s’affiche. 2. Saisissez le nom de la règle. Les règles doivent comporter un maximum de 200 caractères. 3. Les types de requêtes DNS possèdent une valeur d'enregistrement de ressource. Utilisez les flèches pour définir la valeur. Pour plus d’informations sur les valeurs des types de requêtes DNS, voir la RFC 1035. 4. Ajouter, modifier ou supprimer des règles. 5. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. 6. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 7. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 8. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d'informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d'ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. User Guide 395 Paramètres proxy DNS proxy : Noms des requêtes Un nom de requête DNS désigne un nom de domaine DNS spécifique, affiché sous un nom de domaine complet. Vous pouvez ajouter, supprimer ou modifier des règles. 1. Dansl'arborescence Catégories,sélectionnezNomsderequêtes. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d'informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d'ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. À propos des enregistrements MX (Mail eXchange) Un enregistrement MX (Mail eXchange) est un type d’enregistrement DNS indiquant un ou plusieurs noms d’hôtes des serveurs de messagerie responsables des e-mails et autorisés à en recevoir pour un domaine donné. Si l’enregistrement MX dispose de plus d’un nom d’hôte, chaque nom dispose d’un numéro indiquant l’hôte favori et quels hôtes essayer par la suite si l’hôte favori n’est pas disponible. 396 WatchGuard System Manager Paramètres proxy Recherche MX Lorsqu’un serveur de messagerie envoie un e-mail, il commence par effectuer une requête DNS pour l’enregistrement MX du domaine du destinataire. Lorsqu’il obtient une réponse, le serveur de messagerie d’envoi connaît les noms d’hôtes d’échangeurs de messagerie pour le domaine du destinataire. Pour obtenir les adresses IP associées aux noms d’hôtes MX, un serveur de messagerie effectue une deuxième recherche DNS pour l’enregistrement A du nom d’hôte. La réponse renseigne l’adresse IP associée au nom d’hôte. Le serveur d’envoi sait ainsi à quelle adresse IP se connecter pour la livraison de messages. Recherche MX inversée De nombreuses solutions anticourrier indésirable, notamment celles utilisées par les plus grands réseaux de FSI et fournisseurs de messagerie Web comme AOL, MSN et Yahoo! utilisent une procédure de recherche MX inversée. Différentes variantes de la recherche inversée sont utilisées, mais les objectifs sont identiques : le serveur de réception veut vérifier que l’e-mail qu’il reçoit ne provient pas d’une adresse d’envoi falsifiée ou fausse, et que le serveur d’envoi est un échangeur de messagerie autorisé pour ce domaine. Pour vérifier que le serveur d’envoi est un serveur de messagerie autorisé, le serveur de messagerie de réception essaie de trouver un enregistrement MX correspondant au domaine de l’expéditeur. S’il n’en trouve pas, il considère que l’e-mail est un courrier indésirable et le rejette. Le nom de domaine que le serveur de réception recherche peut être : n n n n Nom de domaine dans l’en-tête De : de l’e-mail Nom de domaine dans l’en-tête Répondre : de l’e-mail Le nom de domaine utilisé par le serveur d’envoi en tant que paramètre DE (FROM) de la commande MESSAGERIE (MAIL). (Une commande SMTP diffère d’un en-tête d’e-mail. Le serveur d’envoi envoie la commande MESSAGE DE : (MAIL FROM:) pour signaler au serveur de réception de qui provient le message.) Le nom de domaine renvoyé depuis une requête DNS de l’adresse IP source de la connexion. Le serveur de réception effectue parfois une recherche d’un enregistrement PTR associé à l’adresse IP. Un enregistrement PTR pour le serveur DNS est un enregistrement qui mappe une adresse IP sur un nom de domaine (au lieu d’un enregistrement A normal, qui mappe un nom de domaine sur une adresse IP). Avant que le serveur de réception ne continue la transaction, il effectue une recherche DNS pour vérifier si un enregistrement MX valide existe pour le domaine de l’expéditeur. Si le domaine ne contient aucun enregistrement DNS MX valide, l’expéditeur n’est alors pas valide et le serveur de réception le rejette en tant que source de courrier indésirable. Enregistrements MX et multiWAN Étant donné que les connexions sortantes provenant de derrière le Firebox peuvent afficher des adresses IP sources différentes lorsque votre Firebox utilise le multiWAN, vous devez vous assurer que vos User Guide 397 Paramètres proxy enregistrements DNS comportent les enregistrements MX pour chaque adresse IP externe affichable en tant que source quand vous envoyez des e-mails. Si la liste de noms d’hôtes dans l’enregistrement MX de votre domaine n’en comporte pas pour chaque interface Firebox externe, il est possible que certains serveurs de messagerie à distance puissent rejeter vos messages e-mail. Par exemple, L’entreprise XYZ dispose d’un périphérique Firebox configuré avec de multiples interfaces externes. Firebox utilise l’option de basculement multiWAN. L’enregistrement MX de l’entreprise XYZ ne contient qu’un nom d’hôte. Le nom d’hôte contient un enregistrement DNS A qui résout l’adresse IP de l’interface externe principale du périphérique Firebox. Lorsque l’entreprise XYZ envoie un e-mail à [email protected], l’e-mail est envoyé par l’intermédiaire de l’interface externe principale. La requête d’e-mail est reçue par l’un des nombreux serveurs de messagerie de Yahoo. Le serveur de messagerie effectue une recherche MX inversée pour vérifier l’identité de l’entreprise XYZ. La recherche MX inversée réussit, et l’e-mail est envoyé. Si un événement de basculement WAN se produit au niveau du périphérique Firebox, toutes les connexions sortantes de l’entreprise XYZ commencent à passer par l’interface externe secondaire de sauvegarde. Dans ce cas, lorsque le serveur de messagerie de Yahoo effectue une recherche MX inversée, il ne trouve pas d’adresse IP pour les enregistrements MX et A de l’entreprise XYZ qui correspondent, et il rejette l’e-mail. Pour résoudre ce problème, vérifiez que : n n L’enregistrement MX dispose de plusieurs noms d’hôtes, au moins un pour chaque interface externe Firebox. Au moins un nom d’hôte dans l’enregistrement MX dispose d’un enregistrement A DNS qui mappe vers l’adresse IP affectée à chaque interface Firebox. Ajoutez un autre nom d’hôte à un enregistrement MX Les enregistrements MX sont stockés au sein des enregistrements DNS de votre domaine. Pour de plus amples informations sur la façon de configurer vos enregistrements MX, contactez votre fournisseur d’hôte DNS (si le service DNS de votre domaine est hébergé par un tiers) ou consultez la documentation fournie par le fournisseur de votre logiciel de serveur DNS. À propos de la Proxy FTP Le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers) permet d’envoyer des fichiers d’un ordinateur vers un autre via un réseau TCP/IP. Le client FTP est en principe un ordinateur. Le serveur FTP peut être une ressource stockant les fichiers sur le même réseau ou sur un autre réseau. Lors du transfert de données, le client FTP peut se trouver dans l’un des deux modes suivants : actif ou passif. En mode actif, le serveur démarre la connexion avec le client sur le port source 20. En mode passif, le client utilise un port précédemment négocié pour se connecter au serveur. Le proxy FTP surveille et analyse les connexions FTP entre les utilisateurs et les serveurs FTP auxquels ils se connectent. Avec une stratégie de proxy FTP, vous pouvez : n n 398 Définir la longueur maximale du nom d’utilisateur, la longueur du mot de passe, la longueur du nom de fichier et la longueur de la ligne de commande autorisées dans le proxy pour vous aider à protéger votre réseau contre les attaques de dépassement de mémoire tampon. Contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. WatchGuard System Manager Paramètres proxy Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy FTP utilise un port autre que le port 20, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le proxy TDP/UDP, voir À propos de la Proxy TCP-UDP à la page 466. Pour ajouter le proxy FTP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 388. Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets : Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de règles par défaut des actions de proxy. Pour plus d’informations, voir À propos des actions de proxy. Onglet Stratégie Vous utilisez l’onglet Stratégie pour définir les règles d’accès et d’autres options. n Les connexions FTP-proxy sont — Spécifiez si les connexions sont Autorisées, Refusées ou Refusées (envoi de réinitialisation). Définissez ce qui s’affiche dans la liste De et Vers (sur l’onglet Stratégie de la définition de proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie. n n Utiliser le routage basé sur stratégie — Configurer le routage basé sur stratégie. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 180 ou Configurer les équilibrage de charge côté serveur à la page 182. Onglet Propriétés n n n n Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy à la page 381. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification à la page 656. Si vous choisissez, dans la liste déroulante Les connexions du proxy FTP sont (dans l’onglet Stratégie), l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au protocole FTP seront bloqués. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification, Définir un délai d'inactivité personnalisé à la page 365. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les règles selon les besoins particuliers de votre entreprise. Pour modifier les paramètres et ensembles de règles d’une action de proxy : User Guide 399 Paramètres proxy 1. Cliquez sur . 2. Sélectionnez une catégorie : n n Proxy FTP : Paramètres généraux Proxy FTP : Commandes — Par défaut, toutes les commandes sont autorisées pour le client proxy FTP. Le serveur proxy FTP par défaut autorise l’exécution des commandes ci-après : ABOR* DELE* NLST* APPE* HELP* NOOP* PWD* CDUP* LIST* PASS* CWD* PASV* n n n n PORT* REST* MKD* QUIT* RNTO* SYST* XCWD* RETR* STAT* TYPE* XMKD* RMD* STOR* USER* XRMD* RNFR* STOU* XCUP* FTP proxy : Contenu — Par défaut, le téléchargement des fichiers suivants est refusé pour le client proxy FTP : fichiers .cab, .com, .dll, .exe et .zip. Le serveur proxy FTP autorise le téléchargement de tous les fichiers. Les client et serveur proxy autorisent tous deux le transfert de tout type de fichier. Proxy FTP : Antivirus — Lorsque Gateway AV est activé pour le proxy FTP, par défaut, les connexions sont abandonnées en cas de détection de virus ou d’erreur d’analyse. Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy — Lorsqu’Intrusion Prevention est activé pour le proxy FTP, le paramètre par défaut consiste à abandonner le trafic correspondant à une signature IPS. Proxy et antivirus les alarmes — Les interruptions et la notification SNMP sont désactivées par défaut. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition du proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la translation NAT un à un et la translation d’adresses réseau (NAT) dynamique sont toutes deux activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Proxy FTP : Paramètres généraux Sur la page Général, vous pouvez régler les paramètres FTP de base, y compris la longueur maximale du nom d’utilisateur. 1. Dans l’arborescence Catégories, sélectionnez Général. 400 WatchGuard System Manager Paramètres proxy 2. Pour définir des limites pour les paramètres FTP, activez les cases à cocher de votre choix. Ces paramètres contribuent à protéger votre réseau contre les attaques de dépassement de mémoire tampon. Cliquez sur les flèches pour modifier les limites : Définir la longueur de nom d’utilisateur maximum à Permet de définir une longueur maximale pour les noms d’utilisateur employés sur les sites FTP. Définir la longueur de mot de passe maximum à Permet de définir une longueur maximale pour les mots de passe utilisés pour se connecter aux sites FTP. Définir la longueur de nom de fichier maximum à Permet de définir une longueur maximale pour le nom des fichiers à transférer ou à télécharger. Définir la longueur de ligne de commande maximum à Permet de définir une longueur maximale pour les lignes de commande utilisées sur les sites FTP. Définir le nombre maximum d’échecs de connexion par connexion à Permet de limiter le nombre de tentatives de connexion infructueuses à votre site FTP. Ainsi, vous protégez votre site contre les attaques en force. 3. Vous pouvez, pour chaque paramètre, cocher ou décocher la case Blocage automatique correspondante. Si un utilisateur tente de se connecter à un site FTP et dépasse une limite pour laquelle l’option Blocage automatique est sélectionnée, l’ordinateur qui a émis les commandes est ajouté à la liste des sites bloqués de façon temporaire. User Guide 401 Paramètres proxy 4. Pour créer un message de journal pour chaque transaction, cochez la case Activer la journalisation des rapports. Vous devez sélectionner cette option pour obtenir des informations détaillées sur le trafic FTP. 5. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. 6. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 7. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 8. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Proxy FTP : Commandes Un certain nombre de commandes permettant de gérer les fichiers est associé au protocole FTP. Vous avez la possibilité de définir des règles destinées à limiter certaines commandes FTP. Pour restreindre les commandes qui peuvent être exécutées sur un serveur FTP protégé par le périphérique Firebox, configurez l’action de proxy FTP-Server. Avec la configuration par défaut, cette action de proxy bloque les commandes ci-après : ABOR* HELP* PASS* REST* STAT* USER* APPE* LIST* PASV* RETR* STOR* XCUP* CDUP* MKD* PORT* RMD* STOU* XCWD* CWD* NLST* PWD* SYST* XMKD* DELE* NOOP* QUIT* RNTO* TYPE* XRMD* RNFR* Utilisez l’action de proxy FTP-Client pour restreindre les commandes que les utilisateurs protégés par le périphérique Firebox peuvent exécuter lorsqu’ils sont connectés à des serveurs FTP externes. Par défaut, cette action de proxy autorise toutes les commandes FTP. Vous pouvez ajouter, supprimer ou modifier des règles. Il est recommandé de ne pas bloquer ces commandes, car elles sont nécessaires au bon fonctionnement du protocole FTP. Commande du protocole Commande du client Description USER n/d Envoyée avec le nom de connexion PASS n/d Envoyée avec le mot de passe PASV pasv Sélection du mode passif pour le transfert de données SYST syst Impression du nom et de la version du système d’exploitation installé sur le serveur. Les clients FTP se servent de ces informations pour 402 WatchGuard System Manager Paramètres proxy Commande du protocole Commande du client Description interpréter et afficher les réponses du serveur en conséquence. Pour ajouter, supprimer ou modifier des règles : 1. Dans l’arborescence Catégories, sélectionnez Commandes. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. FTP proxy : Contenu Vous pouvez contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. Par exemple, de nombreuses personnes malveillantes utilisent des fichiers exécutables pour infecter les ordinateurs avec des virus ou des vers, c’est pourquoi vous pouvez refuser les demandes de fichiers *.exe. De même, si vous ne souhaitez pas que les utilisateurs puissent transférer des fichiers Windows Media vers un serveur FTP, vous pouvez ajouter *.wma à la définition du proxy et préciser que les fichiers portant cette extension doivent être rejetés. Utilisez l’astérisque (*) en tant que caractère générique. Utilisez l’action de proxy FTP-Server pour déterminer les règles applicables à un serveur FTP protégé par le périphérique Firebox. Utilisez l’action de proxy FTP-Client pour définir les règles relatives aux utilisateurs qui se connectent à des serveurs FTP externes. 1. Dans l’arborescence Catégories, sélectionnez Transférer ou Télécharger. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez que Gateway AntiVirus procède à une analyse antivirus sur les fichiers transférés, paramétrez au moins l’un des champs Actions à entreprendre sur Analyse AV. 4. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 5. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 6. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 7. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. User Guide 403 Paramètres proxy Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy FTP : Antivirus Si vous avez acquis et activé la fonctionnalité Gateway AntiVirus, les champs de la catégorie AntiVirus définissent les actions requises en cas de détection d’un virus dans un fichier transféré ou téléchargé. n n n Pour utiliser les écrans de définition proxy pour activer Gateway AntiVirus, voir Activation Gateway AntiVirus à partir de définitions de proxy à la page 1100. Pour utiliser le menu Services d’abonnement dans Policy Manager pour activer Gateway AntiVirus, voir Activez la passerelle antivirus (Gateway AV) avec un assistant dans Policy Manager à la page 1097. Pour configurer Gateway AntiVirus pour le proxy FTP, voir Actions de configuration de Gateway AntiVirus à la page 1101. Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à déclencher en cas de détection de virus ou d’erreur dans un fichier envoyé ou téléchargé. Les options des actions antivirus sont : Autoriser Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus. Refuser Refuse le fichier et envoie un message de refus. Abandonner Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message. Bloquer Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués. Gateway AntiVirus analyse chaque fichier jusqu’à un nombre de kilo-octets précis. Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers très volumineux sans trop perturber les performances. Saisissez la limite d’analyse des fichiers dans le champ Limiter l’analyse aux premiers. Pour plus d’informations sur les limites d’analyse maximales et par défaut pour chaque modèle de périphérique WatchGuard, voir À propos des limites d’analyse Gateway AntiVirus à la page 1106. À propos de la Passerelle ALG H.323 Si, dans votre entreprise, vous utilisez le protocole Voice-over-IP (VoIP), vous pouvez ajouter une passerelle ALG (Application Layer Gateway) H.323 ou SIP (Session Initiation Protocol) afin d’ouvrir les ports nécessaires à l’activation du protocole VoIP par le biais de votre périphérique WatchGuard. Une passerelle ALG est créée pareillement à une stratégie de proxy et offre les mêmes options de configuration. Ces passerelles 404 WatchGuard System Manager Paramètres proxy ALG ont été conçues pour un environnement NAT et visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et protégé par votre périphérique WatchGuard. H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des passerelles ALG H.323 et des passerelles ALG SIP. Pour déterminer la passerelle ALG à ajouter, consultez la documentation fournie avec vos périphériques ou applications voix sur IP. Composants voix sur IP La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants : Connexions pair-à-pair Dans une connexion pair-à-pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se connecte à celui-ci directement. Si les deux pairs sont derrière le périphérique Firebox, celui-ci peut acheminer le trafic d’appel correctement. Connexions hébergées Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur privé). Avec H.323, le composant essentiel de la gestion des appels est appelé portier. Un portier gère les appels voix sur IP pour un groupe d’utilisateurs et peut être placé sur un réseau protégé par votre périphérique WatchGuard ou en externe. Par exemple, certains fournisseurs voix sur IP hébergent sur leur réseau un portier auquel vous devez vous connecter avant d’effectuer un appel voix sur IP. D’autres solutions consistent à installer et gérer un portier sur votre propre réseau. Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Nous vous recommandons de vous assurer que les connexions voix sur IP fonctionnent normalement avant d’ajouter une passerelle ALG H.323 ou SIP. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se présenter. Fonctions ALG Lorsque vous activez une passerelle ALG H.323, votre périphérique WatchGuard : n n n répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ; s’assure que les connexions de voix sur IP utilisent les protocoles H.323 standard ; génère des messages de journal à des fins d’audit. De nombreux périphériques et serveurs de voix sur IP utilisent le système NAT (Network Address Translation) pour ouvrir et fermer automatiquement les ports. Les passerelles ALG H.323 et SIP ont le même rôle. Vous devez désactiver la fonction NAT sur vos périphériques de voix sur IP si vous configurez une passerelle H.323 ou SIP. User Guide 405 Paramètres proxy Onglet Stratégie n n n Les connexions H.323-ALG sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet Stratégiede la définition de la passerelle ALG). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 360. Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 363. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage de charge côté serveur à la page 182. Onglet Propriétés n n n n Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy à la page 381. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification à la page 656. Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser DNS. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification, Définir un délai d'inactivité personnalisé. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les règles selon les besoins particuliers de votre entreprise. Pour modifier les paramètres et ensembles de règles d’une action de proxy : 1. Cliquez sur . 2. Sélectionnez une catégorie : n n n Passerelle ALG H.323 : Paramètres généraux Passerelle ALG H.323 : Contrôle d’accès Passerelle ALG H.323 : Codecs refusés Onglet Avancé Vous pouvez également utiliser ces options dans votre définition de proxy : n n n 406 Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP WatchGuard System Manager Paramètres proxy n n n Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Passerelle ALG H.323 : Paramètres généraux Sur la page Paramètres généraux, vous pouvez définir des options de sécurité et de performances pour la passerelle ALG (Application Layer Gateway) H.323. Activer la protection de collecte de répertoire Cochez cette case pour éviter que des personnes malveillantes ne volent des informations utilisateurs à partir des portiers VoIP protégés par votre Firebox. Cette option est activée par défaut. Nombre maximum de sessions Utilisez cette fonction pour limiter le nombre de sessions audio ou vidéo pouvant être créées à l’aide d’un seul appel VoIP. Par exemple, si vous réglez le nombre maximal de sessions sur 1 et participez à un appel VoIP audio et vidéo, la deuxième connexion est abandonnée. La valeur par défaut est de deux sessions et la valeur maximale est de quatre sessions. La Firebox crée une entrée de journal lorsqu’une session média supérieure à ce nombre est refusée. User Guide 407 Paramètres proxy Informations d’agent utilisateur Saisissez la nouvelle chaîne d’agent utilisateur dans la zone de texte Réécrire l’agent utilisateur en tant que pour que le trafic H.323 sortant soit identifié comme client que vous avez spécifié. Pour supprimer un agent utilisateur incorrect, effacez la zone de texte. Délais Lorsqu’aucune donnée n’est envoyée pendant un intervalle de temps défini sur un canal audio, vidéo ou de données VoIP, votre Firebox ferme cette connexion réseau. La valeur par défaut est de 180 secondes (trois minutes) et la valeur maximale est de 3600 secondes (60 minutes). Pour spécifier un intervalle de temps différent, saisissez le nombre de secondes dans la zone de texte Canaux média inactifs. Activer la journalisation pour les rapports Cochez cette case pour envoyer un message de journal pour chaque requête de connexion gérée par la passerelle ALG H.323. Cette option, activée par défaut, est nécessaire pour créer des rapports précis sur le trafic H.323. Passerelle ALG H.323 : Contrôle d’accès Sur la page Contrôle d’accès de la configuration de la passerelle ALG (Application Layer Gateway) H.323, vous pouvez créer une liste d’utilisateurs autorisés à envoyer du trafic réseau de voix sur IP. Activer le contrôle d’accès pour VoIP Cochez cette case pour activer la fonctionnalité de contrôle d’accès. Une fois activée, la passerelle ALG H.323 autorise et limite les appels en fonction des options que vous définissez. Paramètres par défaut Cochez la case Passer des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à effectuer des appels. 408 WatchGuard System Manager Paramètres proxy Cochez la case Recevoir des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à recevoir des appels. Cochez la case Journal pour créer un message de journal pour chaque connexion VoIP H.323 passée ou reçue. Niveaux d’accès Pour créer une exception pour les paramètres par défaut que vous avez spécifiés ci-dessus, saisissez un nom d’hôte, une adresse IP ou une adresse e-mail. Sélectionnez un niveau d’accès dans la liste déroulante située juste à côté, puis cliquez sur Ajouter. Vous pouvez autoriser les utilisateurs à passer des appels uniquement, recevoir des appels uniquement, passer et recevoir des appels ou ne leur octroyer aucun accès VoIP. Ces paramètres s’appliquent uniquement au trafic VoIP H.323. Si vous souhaitez supprimer une exception, sélectionnez-la dans la liste et cliquez sur Supprimer. Les connexions établies par les utilisateurs ayant une exception de niveau d’accès sont journalisées par défaut. Si vous ne souhaitez pas journaliser les connexions établies par les utilisateurs ayant une exception de niveau d’accès, décochez la case Journal située à côté du nom de l’exception dans la liste. Passerelle ALG H.323 : Codecs refusés Sur la page Codecs refusés, vous pouvez définir les codecs de voix, vidéo et transmission de données VoIP que vous souhaitez refuser sur votre réseau. User Guide 409 Paramètres proxy Liste des codecs refusés Utilisez cette fonction pour refuser un ou plusieurs codecs VoIP. Lorsqu’une connexion VoIP H.323 utilisant un codec spécifié dans cette liste est ouverte, votre périphérique WatchGuard ferme automatiquement la connexion. Par défaut, cette liste est vide. Nous vous recommandons d’ajouter un codec à cette liste s’il consomme trop de bande passante, s’il présente un risque de sécurité ou s’il est nécessaire pour que votre solution VoIP fonctionne correctement. Vous pouvez par exemple choisir de refuser les codecs G.711 ou G.726 car ils utilisent plus de 32 Ko/s de bande passante, ou de refuser le codec Speex car il est utilisé par un codec VoIP non autorisé. Pour ajouter un codec à la liste, saisissez le nom ou le modèle de texte unique du codec dans la zone de texte, puis cliquez sur Ajouter. Ne pas utiliser de caractères génériques ou de syntaxe d’expression normale. Les modèles de codecs respectent la casse. Pour supprimer un codec de la liste, sélectionnez-le et cliquez sur Supprimer. Consigner chaque transaction correspondant à un schéma de codec refusé Sélectionnez cette option pour que votre Firebox crée une entrée de journal lorsque du trafic H.323 correspondant à un codec de cette liste est refusé. À propos du proxy HTTP Le protocole HTTP (Hyper Text Transfer Protocol) est un protocole de requête/réponse entre clients et serveurs. Le client HTTP est en principe un navigateur Internet. Le serveur HTTP est une ressource distante qui stocke des fichiers HTML, des images et d’autres types de contenus. Lorsqu’un client HTTP démarre une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 80. Un serveur HTTP est à l'écoute de requêtes sur le port 80. Lorsqu'il reçoit la requête du client, le serveur répond avec le fichier demandé, un message d'erreur ou un autre type d'informations. Le proxy HTTP est un filtre de contenu ultra performant. Il examine le trafic Web afin d’identifier les contenus suspects pouvant véhiculer des virus ou tout autre type d’intrusion. Il peut aussi protéger votre serveur HTTP contre les attaques. Avec un filtre de proxy HTTP, vous pouvez : n n n n n Ajuster le délai d’attente et les limites de longueur des requêtes et des réponses HTTP afin d’éviter que les performances réseau ne soient réduites et de prévenir diverses attaques. Personnaliser le message de refus que les utilisateurs voient lorsqu’ils tentent de se connecter à un site Web bloqué par le proxy HTTP. Filtrer les types MIME de contenu Web. Bloquer des modèles de chemins et URL spécifiques. Refuser des cookies provenant de sites Web spécifiques. Vous pouvez combiner le proxy HTTP avec l'abonnement au service de sécurité WebBlocker. Pour plus d’informations, cf. À propos de WebBlocker à la page 993. Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy HTTP utilise un port autre que le port 80, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le proxy TDP/UDP, voir À propos de la Proxy TCP-UDP à la page 466. 410 WatchGuard System Manager Paramètres proxy Pour ajouter le proxy HTTP à la configuration de votre périphérique Firebox ou XTM, voir Ajouter une stratégie de proxy à votre configuration à la page 388. Utilisez la boîte de dialogue Nouvelle/Modifier les stratégies de proxy pour modifier une stratégie de proxy. Cette boîte de dialogue comporte trois onglets : Stratégie, Propriétés et Avancé. Dans l’onglet Propriétés, vous pouvez également modifier l’ensemble de règles par défaut des actions de proxy. Pour plus d’informations, cf. À propos des actions de proxy à la page 381. Onglet Stratégie n n n Les connexions du proxy HTTP sont Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé (envoi réinitialisation) et sélectionnez les utilisateurs, ordinateurs ou réseaux qui apparaissent dans la liste De et À (dans l’onglet Stratégie de la définition du proxy). Pour plus d’informations, cf. Définir des règles d’accès pour une stratégie à la page 360. Utiliser le routage basé sur stratégie Pour utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 363. Vous pouvez également configurer la traduction d'adresses réseau (NAT) statique ou configurer l'équilibrage de charge serveur. Pour plus d’informations, cf. À propos de NAT statique à la page 180 et Configurer les équilibrage de charge côté serveur à la page 182. User Guide 411 Paramètres proxy Onglet Propriétés n n n n Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client ou un serveur. Pour plus d'informations sur les actions de proxy, voir À propos des actions de proxy à la page 381. Pour définir la journalisation d'une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification . Si vous définissez la liste déroulante Les connexions sont (de l’onglet Stratégie) sur Refusé ou sur Refusé (envoi réinitialisation), vous pouvez bloquer les périphériques qui tentent de se connecter sur le port 80. Pour plus d’informations, cf. Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Pour utiliser un délai d’inactivité autre que celui défini par le périphérique Firebox ou XTM ou le serveur d’authentification, Définir un délai d'inactivité personnalisé. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les règles si nécessaire. Pour modifier les paramètres et ensembles de règles d'une action de proxy : 1. Cliquez sur . 2. Sélectionnez une catégorie : n n n n n n n n n n n n n n n n n Requête HTTP : Paramètres généraux Requête HTTP : Méthodes de requête Requête HTTP : Chemins URL Requête HTTP : En-tête champs Requête HTTP : Autorisation Réponse HTTP : Paramètres généraux Réponse HTTP : Champs d’en-tête Réponse HTTP : Types de contenus Réponse HTTP : Cookies Réponse HTTP : Types de contenus d’ensemble Proxy HTTP exceptions Proxy HTTP : WebBlocker Proxy HTTP : bloqueur d’application Proxy HTTP : Antivirus Proxy HTTP : Intrusion Prevention Proxy HTTP : Message de refus Utiliser un serveur proxy de mise en cache Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition du proxy : n n n 412 Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP WatchGuard System Manager Paramètres proxy n n n Appliquer les règles NAT (la translation NAT un à un et la translation d'adresses réseau (NAT) dynamique sont toutes deux activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Requête HTTP : Paramètres généraux Sur la page Paramètres généraux, vous pouvez définir des paramètres HTTP de base tels que le délai d’inactivité ou la longueur d’URL. Délai d’inactivité Cochez cette case pour fermer le socket TCP du proxy HTTP lorsqu’aucun paquet n’est passé par le socket TCP dans l’intervalle de temps spécifié. Dans le champ adjacent, saisissez le nombre de minutes s’écoulant avant la déconnexion du proxy. Cette option permet de contrôler les performances. Chaque session TCP ouverte utilisant une petite quantité de mémoire sur la Firebox et les navigateurs et les serveurs ne fermant pas toujours proprement les sessions HTTP, il est recommandé de laisser cette case cochée. Cela garantit que les anciennes connexions TCP soient fermées et permet à la Firebox d’économiser de la mémoire. Vous pouvez diminuer le délai d’attente à cinq minutes sans réduire les standards de performance. Longueur du chemin URL Règle le nombre maximal de caractères autorisés dans une URL. Dans cette zone du proxy, l’URL inclut tout ce qui, dans l’adresse Web, se situe après le domaine de premier niveau. Cela comprend le caractère de barre oblique mais pas le nom d’hôte (www.monexemple.com ou monexemple.com). Par exemple, l’URL www.monexemple.com/produits compte neuf caractères pour cette limite car /produits comporte neuf caractères. User Guide 413 Paramètres proxy La valeur par défaut de 2048 est généralement suffisante pour n’importe quelle URL demandée par un ordinateur situé derrière votre Firebox. Une URL très longue peut être le signe d’une tentative de corruption d’un serveur Web. La longueur minimale est de 15 octets. Il est conseillé de conserver ce paramètre activé avec les paramètres par défaut. Cela permet de protéger contre des clients Web infectés sur les réseaux que le proxy HTTP protège. Requêtes de plages Cochez cette case pour autoriser des requêtes de plages via Firebox. Les requêtes de plages permettent à un client d’effectuer une requête de sous-ensembles d’octets d’une ressource Web au lieu de l’intégralité du contenu. Par exemple, si vous souhaitez obtenir uniquement certaines sections d’un fichier volumineux Adobe et non l’ensemble du fichier, le téléchargement s’effectue plus rapidement et évite le chargement des pages inutiles si vous êtes en mesure de demander uniquement ce dont vous avez besoin. Les requêtes de plages comportent des risques de sécurité. Du contenu malveillant peut se cacher n’importe où dans un fichier et une requête de plage permet à n’importe quel contenu d’être divisé par les limites de la plage. Le proxy risque ainsi de ne pas reconnaître de schéma lorsque le fichier s’étend sur deux opérations GET. Si vous êtes abonné à Gateway AntiVirus (Gateway AV) ou au système IPS (Intrusion Prevention Service) basé sur les signatures, et que vous activez l’un de ces services d’abonnement, Fireware refuse les requêtes de plage que cette case soit cochée ou non. Il est recommandé de ne pas cocher cette case si les règles définies dans la rubrique Types de contenus d’ensemble du proxy sont créées dans le but d’identifier les signatures en octets au cœur même d’un fichier, et non uniquement dans l’en-tête du fichier. Cochez la case Consigner cette action si vous souhaitez ajouter un message du journal du trafic lorsque le proxy effectue l’action mentionnée dans la case à cocher pour les requêtes de plages. Activer la journalisation pour les rapports Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si vous n’activez pas cette case à cocher, vous ne verrez pas les informations détaillées sur les connexions de proxy HTTP dans les rapports. Requête HTTP : Méthodes de requête La plupart des requêtes HTTP de navigateur se situent dans l’une des deux catégories suivantes : opérations GET ou POST. Les navigateurs utilisent généralement des opérations GET pour télécharger des objets tels que des graphiques, des données HTML ou des données Flash. Plusieurs opérations GET sont généralement envoyées par un ordinateur client pour chaque page car les pages Web contiennent en principe de nombreux éléments différents. Les éléments sont rassemblés afin de constituer une seule page pour l’utilisateur final. Les navigateurs utilisent généralement des opérations POST pour envoyer des données à un site Web. Un grand nombre de pages Web rassemblent des informations provenant de l’utilisateur final comme l’emplacement, l’adresse électronique et le nom. Si vous désactivez la commande POST, Firebox refuse toutes les opérations POST vers les serveurs Web sur le réseau externe. Cette fonction peut empêcher les utilisateurs d’envoyer des informations vers un site Web sur le réseau externe. 414 WatchGuard System Manager Paramètres proxy Web-based Distributed Authoring and Versioning (webDAV) est un ensemble d’extensions HTTP qui permet aux utilisateurs de modifier et de gérer des fichiers sur des serveurs Web distants. WebDAV est compatible avec Outlook Web Access (OWA). Si les extensions webDAV ne sont pas activées, le proxy HTTP prend en charge les méthodes de requête : HEAD, GET, POST, OPTIONS, PUT et DELETE. Pour le serveur HTTP, le proxy prend en charge les méthodes de requête suivantes par défaut : HEAD, GET et POST. Le proxy inclut également ces options (désactivées par défaut) : OPTIONS, PUT et DELETE. 1. Dans l’arborescence Catégories, sélectionnez Requête HTTP > Méthodes de requête. 2. ActivezlacaseàcocherActiverwebDAVsivoussouhaitezautoriserlesutilisateursàutilisercesextensions. Plusieursextensionssontégalementdisponiblespour leprotocole webDAVde base.Sivousactivez webDAV,àl’aidede lacase àcocher adjacente,indiquezsivoussouhaitezactiver uniquementles extensionsdécritesdansRFC 2518ousivoussouhaitezinclureunensemblesupplémentaire d’extensions pouroptimiser l’interopérabilité. 3. Ajouter, modifier ou supprimer des règles. 4. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. 5. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 6. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 7. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. User Guide 415 Paramètres proxy Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Requête HTTP : Chemins URL Une URL (Uniform Resource Locator) identifie une ressource sur un serveur distant et indique l’emplacement du réseau sur ce serveur. Le chemin d’URL est la chaîne d’informations qui se trouve en dessous du nom de domaine de niveau supérieur. Vous pouvez utiliser le proxy HTTP pour bloquer des sites Web qui contiennent du texte spécifié dans le chemin d’URL. Vous pouvez ajouter, supprimer ou modifier les modèles de chemins d’URL. Les exemples suivants permettent de bloquer du contenu comportant des chemins d’URL de requête HTTP : n Pour bloquer toutes les pages ayant le nom d’hôte www.test.com, saisissez le modèle : www.test.com* n n Pour bloquer tous les chemins contenant le mot sex, sur tous les sites Web : *sex* Pour bloquer tous les chemins d’URL se terminant par *.test, sur tous les sites Web : *.test Note Si vous filtrez des URL avec l’ensemble de règles de chemin d’URL de requête HTTP, vous devez configurer un modèle complexe utilisant une syntaxe d’expressions régulières depuis la vue avancée de l’ensemble de règles. Cette méthode est plus simple et fournit de meilleurs résultats pour un filtrage basé sur un en-tête ou un type de contenu du corps que sur un filtrage par chemin d’URL. 1. Dans l’arborescence Catégories, sélectionnez Chemins URL. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. 416 WatchGuard System Manager Paramètres proxy Requête HTTP : En-tête champs Cet ensemble de règles fournit un filtrage de contenu pour l’intégralité de l’en-tête HTTP. Par défaut, le proxy HTTP utilise des règles de correspondance exactes pour exclure des en-têtes Via et De et autoriser tous les autres en-têtes. Cet ensemble de règles recherche la correspondance par rapport à l’intégralité de l’en-tête, pas uniquement sur le nom. Pour obtenir une correspondance de toutes les valeurs d’un en-tête, saisissez le modèle : « [nom en-tête] :* ». Pour obtenir uniquement une correspondance de certaines valeurs d’un en-tête, remplacez l’astérisque (*) par un modèle. Si votre modèle ne commence pas par un astérisque (*), insérez un espace entre les deux-points et le modèle lors de la saisie dans la zone de texte Modèle. Par exemple, entrez : [nom en-tête] : [modèle] et non [nom en-tête] :[modèle]. Les règles par défaut n’excluent pas l’en-tête Référenceur mais intègrent une règle désactivée pour exclure cet en-tête. Pour activer cette règle, sélectionnez Modifier l’affichage. Certains navigateurs Web et certaines applications logicielles doivent utiliser l’en-tête Référenceur pour fonctionner correctement. 1. Dans l’arborescence Catégories, sélectionnez Champs d’en-tête. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Requête HTTP : Autorisation Cette règle définit les critères de filtrage de contenu des champs d’autorisation d’en-tête de requête HTTP. Lorsqu’un serveur Web exécute un challenge WWW-Authenticate, il envoie des informations relatives aux méthodes d’authentification qu’il peut utiliser. Le proxy pose des limites au type d’authentification envoyé dans une requête. Il utilise uniquement des méthodes d’authentification acceptées par le serveur Web. Dans une configuration par défaut, Firebox autorise l’authentification Basic, Digest, NTLM et Passport1.4 et exclut toutes les autres authentifications. Vous pouvez ajouter, supprimer ou modifier les règles dans l’ensemble de règles par défaut. 1. Dans l’arborescence Catégories, sélectionnez Autorisation. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. User Guide 417 Paramètres proxy 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions d’utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Réponse HTTP : Paramètres généraux Le champ Paramètres généraux permet de configurer des paramètres HTTP de base tels que le délai d’inactivité ou les limites de longueur totale et de ligne. 1. Dans l’arborescence Catégories, sélectionnez Paramètres généraux. 2. Pour définir des limites pour les paramètres HTTP, activez les cases à cocher de votre choix. Utilisez les flèches pour définir les limites suivantes : Définir un délai d’attente Définit le temps d’attente du proxy HTTP Firebox avant l’envoi de la page Web par le serveur. Lorsqu’un utilisateur clique sur un lien hypertexte ou entre une adresse URL dans son navigateur, une requête HTTP d’extraction du contenu est envoyée à un serveur distant. Dans la plupart des navigateurs, un message similaire à Site contacté... apparaît dans la barre d’état. Si le serveur distant ne répond pas, le client HTTP continue d’envoyer la requête jusqu’à réception d’une réponse ou jusqu’à expiration du délai de requête. Dans cet intervalle, le proxy HTTP continue à surveiller la connexion et emploie des ressources réseau fiables. Définir la longueur maximum du chemin URL à Définit la longueur maximale autorisée pour une ligne de caractères dans les en-têtes de réponse HTTP. Utilisez cette propriété pour protéger vos ordinateurs contre les attaques de dépassement de mémoire tampon. Dans la mesure où la longueur des URL de la plupart des sites marchands ne cesse d’augmenter avec le temps, vous devrez peut-être ajuster cette valeur ultérieurement. Définir la longueur totale maximum Définit la longueur maximale des en-têtes de réponse HTTP. Si la longueur totale d’en-tête est supérieure à cette limite, la réponse HTTP est refusée. 3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 418 WatchGuard System Manager Paramètres proxy 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Réponse HTTP : Champs d’en-tête Cet ensemble de règles contrôle les champs d’en-tête de réponse HTTP autorisés par le périphérique Firebox. Vous pouvez ajouter, supprimer ou modifier des règles. La plupart des en-têtes de réponse HTTP autorisés dans la configuration par défaut sont décrits dans le document RFC 2616. Pour plus d’informations, voir http://www.ietf.org/rfc/rfc2616.txt. 1. Dans l’arborescence Catégories, sélectionnez Champs d’en-tête. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Réponse HTTP : Types de contenus Lorsqu’un serveur Web envoie du trafic HTTP, il ajoute généralement un type MIME ou un type de contenu à l’en-tête du paquet qui indique le type de contenu du paquet. L’en-tête HTTP du flux de données contient ce type MIME. Il est ajouté avant l’envoi des données. Certains types de contenus demandés par les utilisateurs sur les sites Web peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. Par défaut, Firebox autorise certains types de contenus sûrs et refuse le contenu MIME n’ayant pas de type de contenu spécifié. Le proxy HTTP inclut une liste de types de contenus communément utilisés que vous pouvez ajouter à l’ensemble de règles. Vous pouvez également ajouter, supprimer ou modifier les définitions. Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG, ajoutez image/jpg à la définition du proxy. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Pour autoriser tout format d’image, ajoutez image/* . User Guide 419 Paramètres proxy Pour obtenir une liste de types MIME enregistrés actuels,voir http://www.iana.org/assignments/media-types. Ajouter, supprimer ou modifier des types de contenus 1. Dans l’arborescence Catégories, sélectionnez Types de contenu. 2. Ajouter, modifier ou supprimer des règles. 3. Pour ajouter des types de contenus, cliquez sur le bouton Prédéfini. La boîte de dialogue Sélectionner le type de contenu s’affiche. 4. Sélectionnez les types à ajouter et cliquez sur OK. Les nouveaux types apparaissent dans la zone Règles. 5. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 6. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 7. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 8. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Autoriser les sites Web ayant un type de contenu manquant Par défaut, la Firebox refuse le contenu MIME sans type de contenu défini. La plupart du temps, il est recommandé de conserver ce paramètre par défaut. Les sites ne fournissant pas de types MIME légitimes dans leurs réponses HTTP ne respectent pas les recommandations RFC et peuvent comporter un risque en matière de sécurité. Toutefois, dans certaines entreprises, les employés ont besoin d’avoir accès à des sites Web ne comportant pas de type de contenu défini. Vous devez veiller à modifier la configuration proxy de la ou des bonnes stratégies. Vous pouvez appliquer la modification à n’importe quelle stratégie qui utilise une action de proxy client HTTP. Il peut s’agir d’une stratégie de proxy HTTP, d’une stratégie de trafic sortant (qui applique aussi une action de proxy client HTTP) ou d’une stratégie TCP-UDP. 1. Dans l’arborescence Catégories, sélectionnez Types de contenu. 2. Cliquez sur Modifier l’affichage. 3. Dans la liste Règles, cochez la case située à côté de la règle Autoriser (aucune). Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Réponse HTTP : Cookies Les cookies HTTP sont de petits fichiers de texte alphanumérique introduits par des serveurs Web sur les clients Web. Les cookies contrôlent la page d’un client Web pour activer le serveur Web et envoyer plusieurs pages dans le bon ordre. Les serveurs Web utilisent également des cookies pour collecter des informations relatives à un utilisateur final. La plupart des sites Web utilisent des cookies comme fonction 420 WatchGuard System Manager Paramètres proxy d’authentification et autres fonctions de contrôle et ne peuvent pas fonctionner correctement sans cookies. Le proxy HTTP vous permet de contrôler les cookies des réponses HTTP. Vous pouvez configurer des règles pour exclure des cookies en fonction des exigences de votre réseau. La règle par défaut pour l’action de proxy serveur HTTP et client HTTP autorise tous les cookies. Vous pouvez ajouter, supprimer ou modifier des règles. Le proxy recherche les paquets en fonction du domaine associé au cookie. Le domaine peut être spécifié dans le cookie. Si le cookie ne contient aucun domaine, le proxy utilise le nom d’hôte dans la première requête. Par exemple, pour bloquer tous les cookies pour nosy-adware-site.com, utilisez le modèle : *.nosy-adware-site.com . Si vous souhaitez refuser les cookies de tous les sous-domaines d’un site Web, utilisez le caractère générique (*) avant et après le domaine. Par exemple, *google.com* bloque tous les sous-domaines de google.com, tels que images.google.com et mail.google.com. Changer les paramètres des cookies 1. Dans l’arborescence Catégories, sélectionnez Cookies. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Réponse HTTP : Types de contenus d’ensemble Cet ensemble de règles vous permet de contrôler le contenu d’une réponse HTTP. Le périphérique Firebox est configuré pour refuser des codes Java, des archives Zip, des fichiers EXE/DLL Windows et des fichiers CAB Windows. L’action de proxy par défaut pour les requêtes HTTP sortantes (client HTTP) autorise tous les autres types de contenus du corps de réponse. Vous pouvez ajouter, supprimer ou modifier des règles. Nous vous recommandons d’examiner les types de fichiers utilisés au sein de votre établissement et d’autoriser uniquement les types de fichiers nécessaires à votre réseau. 1. Dans l’arborescence Catégories, sélectionnez Types de contenus d’ensemble. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. User Guide 421 Paramètres proxy 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy HTTP exceptions Pour certains sites Web, les exceptions de proxy HTTP permettent d’ignorer des règles de proxy HTTP, sans ignorer la structure du proxy. Le trafic qui correspond aux exceptions de proxy HTTP continue via la gestion de proxy standard utilisée par le proxy HTTP. Cependant, lorsqu’une correspondance est détectée, certains paramètres de proxy sont ignorés. Paramètres de proxy ignorés Ces paramètres sont ignorés : n n Requête HTTP — requêtes de plages, longueur du chemin URL, toutes les méthodes de requête, tous les chemins URL, en-têtes de requête*, correspondance du modèle d’autorisation Réponse HTTP — en-têtes de réponse*, types de contenus, cookies, types de contenus du corps * Les en-têtes de requête et les en-têtes de réponse sont analysés par le proxy HTTP même si le trafic correspond à l’exception de proxy HTTP. Si aucune erreur d’analyse ne se produit, tous les en-têtes sont autorisés. De même, les fonctions d’analyse antivirus, d’analyse IPS et de WebBlocker ne sont pas appliquées au trafic qui correspond à une exception de proxy HTTP. Paramètres de proxy inclus Ces paramètres sont inclus : n n Requête HTTP — délai d’inactivité Réponse HTTP — délai d’inactivité, longueur maximale de la ligne, longueur maximale totale Toutes les analyses codage-transfert restent appliquées pour autoriser le proxy à déterminer le type de codage. Le proxy HTTP refuse tous les codages de transfert non valides ou incorrects. Définir des exceptions Vous pouvez ajouter des noms d’hôtes ou des modèles comme exceptions de proxy HTTP. Par exemple, si vous bloquez tous les sites Web se terminant par .test mais que vous souhaitez autoriser les utilisateurs à accéder au site www.abc.test, vous pouvez ajouter www.abc.test comme exception de proxy HTTP. 422 WatchGuard System Manager Paramètres proxy Vous spécifiez l’adresse IP ou le nom de domaine des sites accessibles. Le nom de domaine (ou hôte) est la partie de l’URL qui se termine par .com, .net, .org, .biz, .gov ou .edu. Les noms de domaine peuvent également se terminer par un code de pays, comme .de (Allemagne) ou .jp (Japon). Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de « http:// ». Par exemple, pour autoriser les utilisateurs à consulter le site Web Exemple http://www.exemple.com, saisissez www.exemple.com . Pour autoriser tous les sous-domaines contenant exemple.com, vous pouvez utiliser l’astérisque (*) comme caractère générique. Par exemple, pour autoriser les utilisateurs à consulter www.exemple.com et support.exemple.com, saisissez *.exemple.com . 1. Dans l’arborescence Catégories, sélectionnez Exceptions de proxy HTTP. 2. Dans le champ situé à gauche du bouton Ajouter, entrez le nom d’hôte ou le modèle de nom d’hôte. Cliquez sur Ajouter. Répétez l’opération pour toutes les autres exceptions que vous souhaitez ajouter. 3. Pour ajouter un message du journal du trafic chaque fois que le proxy HTTP exécute une action sur une exception de proxy, cochez la case Consigner chaque transaction correspondant à une exception de proxy HTTP. 4. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 5. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 6. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 7. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Proxy HTTP : WebBlocker Vous pouvez associer une configuration WebBlocker avec votre proxy HTTP afin d’appliquer des paramètres homogènes pour le blocage des contenus de sites Web. Choisissez une option pour sélectionner une configuration : n n Sélectionnez une configuration dans la liste déroulante. Cliquez sur le bouton situé à côté pour créer une nouvelle configuration WebBlocker. Pour plus d’informations, voir À propos de WebBlocker à la page 993 et Démarrer avec WebBlocker à la page 1001. Proxy HTTP : bloqueur d’application Vous pouvez associer une configuration du bloqueur d’applications avec votre proxy HTTP afin d’appliquer des paramètres homogènes pour le trafic réseau de messagerie instantanée et pair à pair (P2P). Choisissez une option pour sélectionner une configuration : n n Sélectionnez une configuration dans la liste déroulante. Cliquez sur le bouton situé à côté pour créer une nouvelle configuration du bloqueur d’applications. Pour plus d’informations, voir À propos des configurations de blocage d’applications à la page 384. User Guide 423 Paramètres proxy Proxy HTTP : Antivirus Si vous avez acquis et activé la fonctionnalité Gateway AntiVirus, les champs de la catégorie AntiVirus définissent les actions requises lorsqu’un virus est détecté sur un site Web ou lorsque le périphérique Firebox ne peut pas analyser un site Web. n n n Pour utiliser les écrans de définition proxy pour activer Gateway AntiVirus, voir Activation Gateway AntiVirus à partir de définitions de proxy à la page 1100. Pour utiliser le menu Tâches dans Policy Manager pour activer Gateway AntiVirus, voir Activez la passerelle antivirus (Gateway AV) avec un assistant dans Policy Manager à la page 1097. Pour configurer Gateway AntiVirus pour le proxy HTTP proxy, voir Actions de configuration de Gateway AntiVirus à la page 1101. Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à prendre au cas où un virus ou une erreur soit détecté(e) dans la page Web. Les options des actions antivirus sont : Autoriser Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus. Abandonner Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message. Bloquer Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués. Gateway AntiVirus analyse chaque fichier jusqu’à un nombre de kilo-octets précis. Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers très volumineux sans trop perturber les performances. Saisissez la limite d’analyse des fichiers dans le champ Limiter l’analyse aux premiers. Pour plus d’informations sur les limites d’analyse par défaut et maximales pour chaque modèle de périphérique WatchGuard, voir À propos des limites d’analyse Gateway AntiVirus à la page 1106. Proxy HTTP : Intrusion Prevention Si vous avez acquis et activé la fonctionnalité Intrusion Prevention, les champs de la catégorie Intrusion Prevention définissent les actions nécessaires à la détection et à l’arrêt des intrusions. Même si vous pouvez utiliser les écrans de définition du proxy pour activer et configurer le système IPS, il est plus simple d’utiliser le menu Services d’abonnement de Policy Manager. Pour plus d’informations sur la manière de procéder, voir Activation Intrusion Prevention Service à la page 1111. Pour utiliser les écrans IPS dans la définition du proxy HTTP, voir Activer et configurer Intrusion Prevention Service pour TCP-UDP à la page 1120. 424 WatchGuard System Manager Paramètres proxy Proxy HTTP : Reputation Enabled Defense Si vous avez acheté et activé Reputation Enabled Defense, les cases à cocher dans cette catégorie définissent les actions nécessaires à l’autorisation ou au blocage de contenu en fonction du score de réputation d’une URL. Pour configurer Reputation Enabled Defense dans la définition de proxy HTTP, voir Configurer Reputation Enabled Defense. Proxy HTTP : Message de refus Lorsqu’un contenu est refusé, la Firebox affiche un message de refus par défaut remplaçant le contenu refusé. Vous pouvez modifier le texte de ce message de refus. Vous pouvez personnaliser le message de refus avec du HTML standard. Vous pouvez également utiliser des caractères Unicode (UTF-8) dans le message de refus. La première ligne du message de refus est un composant de l’en-tête HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message. Un message de refus est généré dans votre navigateur Web par Firebox lorsque vous effectuez une demande que le proxy HTTP n’autorise pas. Un message de refus est également généré lorsque votre demande est autorisée mais que le proxy HTTP refuse la réponse depuis le serveur Web distant. Par exemple, si un utilisateur essaie de télécharger un fichier .exe et que vous avez bloqué ce type de fichier, l’utilisateur voit un message de refus dans le navigateur Web. Si l’utilisateur essaie de télécharger une page Web avec un type de contenu non reconnu et que la stratégie du proxy est configurée pour bloquer les types MIME inconnus, l’utilisateur voit un message d’erreur dans le navigateur Web. Le message de refus par défaut apparaît dans le champ Message de refus. Pour personnaliser ce message, utilisez les variables suivantes : %(transaction)% Sélectionnez Requête ou Réponse pour indiquer le côté de la transaction générant le refus du paquet. %(raison)% Inclut la raison pour laquelle Firebox a refusé le contenu. %(méthode)% Inclut la méthode de requête de la requête refusée. %(hôte url)% Inclut le nom d’hôte du serveur de l’URL refusée. L’adresse IP du serveur est fournie si aucun nom d’hôte n’a été inclus. %(chemin url)% Inclut le composant chemin de l’URL refusée. Pour configurer le message de refus : 1. Dans l’arborescence Catégories, sélectionnez Message de refus. User Guide 425 Paramètres proxy 2. Saisissez le message de refus dans la zone de texte Message de refus. 3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Autoriser les mises à jour Windows via le proxy HTTP Les serveurs Windows Update identifient le contenu qu’ils envoient à un ordinateur comme un flux de données binaire générique (ex : flux de données d’octets), lequel est bloqué par les règles de proxy HTTP par défaut. Pour autoriser les mises à jour Windows via le proxy HTTP, vous devez modifier vos règles de proxy HTTP-client pour ajouter des exceptions de proxy HTTP pour les serveurs Windows Update. 1. Assurez-vous que votre Firebox autorise les connexions sortantes sur les ports 443 et 80. Il s’agit des ports que les ordinateurs utilisent pour contacter les serveurs Windows Update. 2. Dans l’arborescence Catégories, sélectionnez Exceptions de proxy HTTP. 426 WatchGuard System Manager Paramètres proxy 3. Dans la zone de texte située à gauche du bouton Ajouter , saisissez ou collez chacun de ces domaines, et cliquez sur Ajouter après chacun d’entre eux : windowsupdate.microsoft.com download.windowsupdate.com update.microsoft.com download.microsoft.com ntservicepack.microsoft.com wustat.windows.com v4.windowsupdate.microsoft.com v5.windowsupdate.microsoft.com 4. Cliquez sur OK pour fermer chaque boîte de dialogue de proxy et de stratégie. S’il vous est toujours impossible de télécharger les mises à jour Windows Si vous avez plusieurs stratégies de proxy HTTP, veillez à ajouter les exceptions HTTP pour l’action de stratégie et de proxy appropriée. Microsoft ne limite pas les mises à jour à ces seuls domaines. Consultez vos journaux pour savoir quel trafic est refusé pour un domaine appartenant à Microsoft. Si vous n’avez pas de serveur WatchGuard Log Server, lancez Windows Update puis contrôlez Messages des journaux Firebox (Moniteur du trafic). Recherchez le ou les trafic(s) refusés par le proxy HTTP. Le domaine apparaît normalement sur la ligne du journal. Ajoutez tout nouveau domaine Microsoft à la liste des exceptions de proxy HTTP, puis relancez Windows Update. Utiliser un serveur proxy de mise en cache Vos utilisateurs pouvant consulter les mêmes sites Web fréquemment, un serveur proxy de mise en cache permet d’augmenter la vitesse du trafic et de diminuer le volume de trafic sur les connexions Internet externes. Bien que le proxy HTTP de la Firebox ne mette pas en cache de contenu, vous pouvez utiliser les serveurs proxy de mise en cache externes. Toutes les règles de proxy et WebBlocker de la Firebox continuent à avoir le même effet. La connexion Firebox avec un serveur proxy est la même qu’avec un client. La Firebox modifie la fonction GET pour avoir : GET / HTTP/1.1 devient GET www.mondomaine.com / HTTP/1.1 et l’envoie vers un serveur proxy de mise en cache. Le serveur proxy déplace cette fonction vers le serveur Web dans la fonction GET. Pour installer un serveur proxy de mise en cache externe : 1. Configurez un serveur proxy externe, tel que Microsoft Proxy Server 2.0. 2. Ouvrez Policy Manager. 3. Double-cliquez sur l’icône pour la stratégie HTTP-proxy. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 4. 5. 6. 7. 8. 9. Cliquez sur l’onglet Propriétés. Cliquez sur . Dans l’arborescence Catégories, sélectionnez Utiliser le serveur de mise en cache web. Cochez la case Utiliser un serveur proxy de mise en cache externe pour le trafic HTTP. Saisissez l’adresse IP et le port pour le serveur proxy de mise en cache externe. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. User Guide 427 Paramètres proxy 10. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 11. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 12. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. À propos de la Proxy HTTPS HTTPS (Hypertext Transfer Protocol sur Secure Socket Layer ou HTTP sur SSL) est un protocole requête/réponse entre clients et serveurs utilisé pour sécuriser des communications et des transactions. Vous pouvez utiliser le proxy HTTPS pour sécuriser un serveur Web protégé par votre Firebox ou pour analyser le trafic HTTPS demandé par des clients sur votre réseau. Par défaut, lorsqu’un client HTTPS lance une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 443. La plupart des serveurs HTTPS sont à l’écoute des requêtes sur le port 443. Le protocole HTTPS est plus sécurisé que le protocole HTTP car il utilise un certificat numérique pour chiffrer et déchiffrer les requêtes de la page utilisateur ainsi que des pages renvoyées par le serveur Web. Comme le trafic HTTPS est chiffré, la Firebox doit le déchiffrer avant qu’il puisse être analysé. Après avoir analysé le contenu, la Firebox chiffre le trafic avec un certificat et l’envoie à la destination souhaitée. Vous pouvez exporter le certificat par défaut créé par la Firebox pour cette fonctionnalité, ou importer un certificat à utiliser par la Firebox. Si vous utilisez le proxy HTTPS pour examiner le trafic Web requis par les utilisateurs sur votre réseau, nous vous conseillons d’exporter le certificat par défaut et de le distribuer à chaque utilisateur afin que ceux-ci ne reçoivent pas d’avertissement du navigateur à propos de certificats non approuvés. Si vous utilisez le proxy HTTPS pour sécuriser un serveur Web qui accepte des requêtes depuis un réseau externe, nous vous conseillons d’importer le certificat de serveur Web existant pour la même raison. Lorsqu’un client ou un serveur HTTPS utilise un port autre que le port 443 au sein de votre organisation, vous pouvez utiliser le proxy TCP/UDP pour relayer le trafic vers le proxy HTTPS. Pour plus d’informations sur le proxy TCP/UDP, voir À propos de la Proxy TCP-UDP à la page 466. Pour ajouter le proxy HTTPS à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 388. Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets : Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de règles par défaut des actions de proxy. Pour plus d’informations, voir À propos des actions de proxy à la page 381. Onglet Stratégie n 428 Les connexions HTTPS-proxy sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégie de la définition de proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 360. WatchGuard System Manager Paramètres proxy n n Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 363. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge de serveur. Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage de charge côté serveur à la page 182. Onglet Propriétés n n n n Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy à la page 381. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification . Sivous réglezla liste déroulante Lesconnexions sont (dansl’onglet Stratégie)sur Refuséou Refusé (envoiréinitialisation), vouspouvez bloquer les sitesqui tententd’utiliser laconnexion HTTPS.Pour plus d’informations,voir Bloquer temporairement lessites avec des paramètresde stratégieà lapage 500. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification, Définir un délai d'inactivité personnalisé. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les règles si nécessaire. Pour modifier les paramètres et ensembles de règles d’une action de proxy : 1. Cliquez sur . 2. Sélectionnez une catégorie : n n n n n Proxy HTTPS : Inspection du contenu Proxy HTTPS : Noms de certificats Proxy HTTPS : WebBlocker Proxy HTTPS : Paramètres Proxy et antivirus les alarmes Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie User Guide 429 Paramètres proxy Proxy HTTPS : Inspection du contenu Sur la page Inspection du contenu, vous pouvez activer et configurer l’inspection avancée du contenu HTTPS. Activer l’inspection profonde du contenu HTTPS Lorsque cette case est cochée, la Firebox déchiffre le trafic HTTPS, examine le contenu et chiffre à nouveau le trafic avec un nouveau certificat. Le contenu est examiné par la stratégie de proxy HTTP sélectionnée sur cette page. Note Si un autre trafic utilise le port HTTPS, tels que le trafic VPN SSL, nous vous conseillons d’évaluer soigneusement cette option. Le proxy HTTPS essaie d’examiner tous les trafics transitant par le port TCP 443 de la même manière. Afin de garantir que les autres sources de trafic fonctionnent correctement, nous vous conseillons d’ajouter ces sources à la liste Ignorer. Voire la rubrique suivante pour plus d’informations. Par défaut, le certificat utilisé pour chiffrer le trafic est généré automatiquement par la Firebox. Vous pouvez également télécharger votre propre certificat à utiliser à cet effet. Si le site Web original ou votre serveur Web comporte un certificat autosigné ou non valide, ou si le certificat a été signé par une autorité de certification non reconnue par la Firebox, un avertissement de certificat s’affiche sur le navigateur des clients. Les certificats ne pouvant pas être correctement signés à nouveau semblent être émis par le Proxy HTTPS Fireware : Certificat non reconnu ou simplement Certificat non valide. 430 WatchGuard System Manager Paramètres proxy Nous vous conseillons d’importer le certificat que vous utilisez, ainsi que tout autre certificat nécessaire pour que le client approuve ce certificat, sur chaque périphérique de client. Lorsqu’un client n’approuve pas automatiquement le certificat utilisé pour la fonctionnalité d’inspection du contenu, un avertissement s’affiche dans le navigateur du client, et les services tels que Windows Update ne fonctionnent pas correctement. Certains programmes tiers enregistrent des copies privées des certificats nécessaires et n’utilisent pas la bibliothèque de certificats du système d’exploitation ou transmettent d’autres types de données via le port TCP 443. Ces programmes sont : n n n Des logiciels de communication, tels que AOL Instant Messenger et Google Voice Des logiciels de bureau à distance et de présentation, tels que LiveMeeting et WebEx Des logiciels financiers et commerciaux, tels que ADP, iVantage, FedEx et UPS Si ces programmes ne disposent pas de méthode d’importation des certificats approuvés par l’autorité de certification, ils ne fonctionnent pas correctement lorsque l’inspection de contenu est activée. Contactez le fournisseur de votre logiciel pour plus d’informations sur l’utilisation des certificats ou sur le support technique, ou ajoutez les adresses IP des ordinateurs qui utilisent ce logiciel à la liste Ignorer. Pour plus d’informations, voir À propos des certificats à la page 781 ou Utiliser des certificats pour le proxy HTTPS à la page 807. Action de proxy Sélectionnez une stratégie de proxy HTTP que la Firebox doit utiliser lorsqu’elle inspecte des contenus HTTPS déchiffrés. Lorsque vous activez l’inspection de contenu, les paramètres WebBlocker concernant les actions de proxy HTTP annulent les paramètres WebBlocker pour le proxy HTTPS. Si vous ajoutez des adresses IP à la liste Ignorer pour l’inspection du contenu, le trafic en provenance de ces sites sera filtré avec les paramètres WebBlocker du proxy HTTPS. Pour plus d’informationssur laconfiguration de WebBlocker, voir À proposde WebBlocker à lapage 993. Utiliser OCSP pour confirmer la validité des certificats Cochez cette case afin que la Firebox vérifie automatiquement les révocations de certificats avec OCSP (Online Certificate Status Protocol - Protocole de vérification en ligne de certificat). Lorsque cette fonctionnalité est activée, la Firebox utilise les informations du certificat pour contacter un serveur OCSP qui conserve un enregistrement de l’état des certificats. Si le serveur OCSP répond que le certificat a été révoqué, la Firebox désactive le certificat. Si vous sélectionnez cette option, il peut y avoir un délai de plusieurs secondes car la Firebox demande une réponse au serveur OCSP. La Firebox conserve entre 300 et 3000 réponses OCSP dans la mémoire cache afin d’améliorer les performances des sites Web fréquemment visités. Le nombre de réponses conservées dans la mémoire cache est déterminé par votre modèle de Firebox. User Guide 431 Paramètres proxy Traiter les certificats dont la validité ne peut être confirmée comme étant non valide Lorsque cette option est sélectionnée et que le répondeur OCSP n’envoie pas de réponse à une demande d’état de révocation, la Firebox considère le certificat original comme non valide ou révoqué. Cette option peut faire qu’un certificat soit considéré comme non valide en cas d’erreur de routage ou de problème avec votre connexion réseau. Liste Ignorer La Firebox n’inspecte pas le contenu envoyé vers ou provenant d’adresses IP figurant sur cette liste. Pour ajouter un site Web ou un nom d’hôte, saisissez son adresse IP dans la zone de texte et cliquez sur le bouton Ajouter. Lorsque vous activez l’inspection de contenu, les paramètres WebBlocker concernant les actions de proxy HTTP annulent les paramètres WebBlocker pour le proxy HTTPS. Si vous ajoutez des adresses IP à la liste Ignorer pour l’inspection du contenu, le trafic en provenance de ces sites sera filtré avec les paramètres WebBlocker du proxy HTTPS. Pour plus d’informationssur laconfiguration de WebBlocker, voir À proposde WebBlocker à lapage 993. Utilisez le bouton Recherche DNS pour trouver rapidement l’adresse IP d’un site Web ou d’un nom d’hôte. 1. Cliquez sur le bouton Recherche DNS. 2. Saisissez le nom de domaine ou le nom d’hôte et cliquez sur Rechercher. Si le nom de domaine ou le nom d’hôte est valide, ses adresses IP s’affichent dans la liste ci-dessous. 3. Cochez la case située à côté de chaque adresse IP que vous souhaitez ajouter et cliquez sur OK. 4. Pour sélectionner toutes ou aucune des adresses IP, cliquez sur la case à cocher en haut de la liste. Proxy HTTPS : Noms de certificats Les noms de certificats servent à filtrer le contenu d’un site entier. La Firebox autorise ou refuse l’accès à un site si le domaine d’un certificat HTTPS correspond à une entrée de cette liste. Par exemple, si vous souhaitez refuser le trafic de l’un des sites du domaine exemple.com, ajoutez une règle Noms de certificats avec le modèle *.exemple.com et définissez l’action En cas de correspondance sur Refuser. 1. Dans l’arborescence Catégories, sélectionnez Noms de certificats. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. 432 WatchGuard System Manager Paramètres proxy Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy HTTPS : WebBlocker Vous pouvez associer une configuration WebBlocker à votre proxy HTTPS afin d’appliquer des paramètres cohérents pour le blocage du contenu des sites Web. Choisissez une option pour sélectionner une configuration : n n Sélectionnez une configuration dans la liste déroulante. Cliquez sur le bouton situé à côté pour créer une nouvelle configuration WebBlocker. Pour plus d’informations, voir À propos de WebBlocker à la page 993 et Démarrer avec WebBlocker à la page 1001. Proxy HTTPS : Paramètres généraux La page Paramètres généraux permet de configurer des paramètres HTTP de base tels que le délai d’inactivité ou les limites de longueur totale et de ligne. User Guide 433 Paramètres proxy Alarme proxy Vous pouvez définir le proxy de sorte qu’il envoie une interruption SNMP, une notification à un administrateur réseau ou les deux. La notification peut être soit un e-mail envoyé à un administrateur réseau ou une fenêtre contextuelle sur l’ordinateur de gestion de l’administrateur. Pour plus d’informations sur les champs Alarme de proxy et d’antivirus, voir Définir les préférences de journalisation et de notification à la page 656. Délai d’inactivité Cochez cette case pour contrôler le temps d’attente du proxy HTTPS afin de permettre au client Web d’effectuer une requête depuis le serveur Web externe après avoir démarré une connexion TCP/IP ou après une requête antérieure, le cas échéant, pour la même connexion. Si le délai dépasse ce paramètre, le proxy HTTPS ferme la connexion. Dans le champ adjacent, saisissez le nombre de minutes s’écoulant avant la déconnexion du proxy. Activer la journalisation pour les rapports Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si vous n’activez pas cette case à cocher, vous ne verrez pas les informations détaillées sur les connexions de proxy HTTP dans les rapports. À propos de la Proxy POP3 POP3 (Post Office Protocol v.3) est un protocole qui transfère les e-mails depuis un serveur de messagerie vers un client de messagerie via une connexion TCP sur le port 110. La plupart des comptes de messagerie basés sur Internet utilisent POP3. Avec POP3, un client de messagerie contacte le serveur de messagerie et vérifie tous les nouveaux e-mails. S’il détecte un nouvel e-mail, il le télécharge sur le client de messagerie local. Une fois l’e-mail reçu par le client de messagerie, la connexion prend fin. Avec un filtre de proxy POP3, vous pouvez : n n n n Ajuster le délai d’attente et les limites de longueur de lignes pour garantir que le proxy POP3 n’utilise pas trop de ressources réseau, et afin d’éviter certains types d’attaques. Personnaliser le message de refus qui s’affiche lorsqu’un e-mail envoyé aux utilisateurs est bloqué. Filtrer le contenu intégré dans les e-mails à l’aide des types MIME. Bloquer des modèles de chemins et URL spécifiques. Pour ajouter le proxy POP3 à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 388. Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets : Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de règles par défaut des actions de proxy. Pour plus d’informations, voir À propos des actions de proxy à la page 381. 434 WatchGuard System Manager Paramètres proxy Onglet Stratégie n n n Les connexions du proxy POP3 sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégie de la définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 360. Utiliser le routage basé sur stratégie — Pour utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 363. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage de charge côté serveur à la page 182. Onglet Propriétés n n n n Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy à la page 381. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification à la page 656. Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser le POP3. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification, Définir un délai d'inactivité personnalisé. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les règles si nécessaire. Pour modifier les paramètres et ensembles de règles d’une action de proxy : 1. Cliquez sur . 2. Sélectionnez une catégorie : n n n n n n n n n n User Guide Proxy POP3 : Paramètres généraux Proxy POP3 : Authentification Proxy POP3 : Types de contenus Proxy POP3 : Noms de fichiers Proxy POP3 : En-têtes Proxy POP3 : Antivirus Proxy POP3 : Message de refus Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy Proxy POP3 : spamBlocker Proxy et antivirus les alarmes 435 Paramètres proxy Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Proxy POP3 : Paramètres généraux Dans la page Paramètres généraux, vous pouvez ajuster le délai d’attente et les limites de longueur de ligne ainsi que d’autres paramètres généraux pour le proxy POP3 : Définir un délai d’attente Utilisez ce paramètre pour limiter la durée (en minutes) pendant laquelle le client de messagerie essaie d’ouvrir une connexion vers le serveur de messagerie avant de mettre fin à la connexion. Cela garantit que le proxy n’utilise pas trop de ressources réseau lorsque le serveur POP3 est lent ou inaccessible. 436 WatchGuard System Manager Paramètres proxy Définir la longueur de ligne d’e-mail maximum à Utilisez ce paramètre pour empêcher certains types d’attaques de dépassement de mémoire tampon. Une longueur excessive des lignes peut être à l’origine d’un dépassement de mémoire tampon sur certains systèmes de messagerie. La plupart des systèmes et clients de messagerie envoient des lignes relativement courtes, mais certains systèmes de messagerie basés sur le Web envoient des lignes très longues. Cependant, il est peu probable que vous deviez modifier ce paramètre à moins qu’il n’empêche l’accès d’e-mails légitimes. Masquer les réponses serveur Activez cette case à cocher pour remplacer les chaînes de salutation POP3 dans les e-mails. Les pirates informatiques utilisent ces chaînes pour identifier le fournisseur et la version du serveur POP3. Autoriser des pièces jointes codées UU Activez cette case à cocher pour que le proxy POP3 autorise les pièces jointes codées UU dans les e-mails. Cet ancien programme permet d’envoyer des fichiers binaires au format ASCII sur Internet. Les pièces jointes codées UU peuvent présenter des risques de sécurité car elles apparaissent comme fichiers texte ASCII mais peuvent en fait contenir des fichiers exécutables. Autoriser des pièces jointes BinHex Activez cette case à cocher pour que le proxy POP3 autorise les pièces jointes BinHex dans les emails. BinHex, contraction de binaire-à-hexadécimal, est un utilitaire qui convertit un fichier binaire au format ASCII. Activer la journalisation pour les rapports Cochez cette case pour que le proxy POP3 envoie un message du journal à chaque demande de connexion POP3. Si vous souhaitez utiliser WatchGuard Reports pour créer des rapports sur le trafic POP3, vous devez activer cette case à cocher. Proxy POP3 : Authentification Un client POP3 doit s’authentifier auprès d’un serveur POP3 avant que ces derniers puissent échanger des informations. Vous pouvez définir les types d’authentification du proxy à autoriser et de l’action à déclencher pour les types ne répondant pas aux critères. Vous pouvez ajouter, supprimer ou modifier des règles. 1. Dans l’arborescence Catégories, sélectionnez Authentification. User Guide 437 Paramètres proxy 2. Ajouter, modifier ou supprimer des règles. 3. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 4. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy POP3 : Types de contenus Les en-têtes d’e-mails incluent un en-tête Type de contenu qui indique le type MIME de l’e-mail et des pièces jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports contenus dans le message. Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. 438 WatchGuard System Manager Paramètres proxy Vous pouvez ajouter, supprimer ou modifier des règles. Vous pouvez également définir des valeurs de filtrage du contenu et l’action à déclencher pour les types de contenus ne répondant pas aux critères. Pour l’action de proxy de serveur POP3, vous définissez des valeurs de filtrage de contenu entrant. Pour l’action de proxy de client POP3, vous définissez des valeurs de filtrage de contenu sortant. 1. Dans l’arborescence Catégories, sélectionnez Types de contenu. 2. Cochez la case Activer la détection automatique du type de contenu pour que le proxy POP3 examine le contenu et détermine son type. Si vous ne sélectionnez pas cette option, le proxy POP3 utilise la valeur indiquée dans l’en-tête de l’e-mail, que les clients règlent parfois de façon incorrecte. Comme les personnes malveillantes tentent souvent de déguiser des fichiers exécutables en d’autres types de contenus, nous vous conseillons d’activer la détection automatique des types de contenu afin de sécuriser votre installation. Par exemple, un fichier .pdf joint peut avoir un type de contenu indiqué comme application/flux d’octet. Si vous activez la détection automatique du type de contenu, le proxy POP3 reconnaît le fichier .pdf et utilise le type de contenu réel, application/pdf. Si le proxy ne reconnaît pas le type de contenu après l’avoir examiné, il utilise la valeur indiquée dans l’en-tête de l’e-mail, comme il le ferait si la détection automatique du type de contenu n’était pas activée. 3. Ajouter, modifier ou supprimer des règles. Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG, ajoutez image/jpg. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Pour autoriser tout format d’image, ajoutez image/* à la liste. 4. Pour ajouter un type de contenu prédéfini, cliquez sur Prédéfini. Une liste de types de contenus s’affiche, avec de brèves descriptions des types de contenus. User Guide 439 Paramètres proxy 5. Une fois l’ensemble de règles modifié, cliquez sur OK. 6. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 7. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 8. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 9. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy POP3 : Noms de fichiers Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy de serveur POP3 pour les pièces jointes d’e-mails entrants. Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy de client POP3 pour les pièces jointes d’e-mails sortants. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. 1. Dans l’arborescence Catégories, sélectionnez Pièces jointes > Noms de fichier. 440 WatchGuard System Manager Paramètres proxy 2. Ajouter, modifier ou supprimer des règles. 3. Une fois l’ensemble de règles modifié, cliquez sur OK. 4. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 5. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 6. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 7. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 8. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 9. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy POP3 : En-têtes Le proxy POP3 examine les en-têtes d’e-mail pour rechercher les modèles communs aux « faux » e-mails ainsi que ceux des expéditeurs légitimes. Vous pouvez ajouter, supprimer ou modifier des règles. 1. Dans l’arborescence Catégories, sélectionnez En-têtes. User Guide 441 Paramètres proxy 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy POP3 : Antivirus Si vous avez acquis et activé la fonctionnalité Gateway AntiVirus, les champs de la catégorie AntiVirus définissent les actions requises en cas de détection d’un virus dans un e-mail. Ils définissent également des actions lorsqu’un e-mail contient une pièce jointe que Firebox ne peut pas analyser. n n n Pour utiliser les écrans de définition proxy pour activer Gateway AntiVirus, voir Activation Gateway AntiVirus à partir de définitions de proxy à la page 1100. Pour utiliser le menu Services d’abonnement dans Policy Manager pour activer Gateway AntiVirus, voir Activez la passerelle antivirus (Gateway AV) avec un assistant dans Policy Manager à la page 1097. Pour configurer Gateway AntiVirus pour le proxy POP3, voir Actions de configuration de Gateway AntiVirus à la page 1101. Lorsque vous activez Gateway AntiVirus, vous devez paramétrer les actions à déclencher en cas de détection de virus ou d’erreur dans un e-mail ou une pièce jointe. Les options des actions antivirus sont : Autoriser Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus. Verrouiller Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par le périphérique WatchGuard. Un fichier verrouillé ne peut pas être ouvert facilement par l’utilisateur. Seul l’administrateur est en mesure de déverrouiller le fichier. L’administrateur peut utiliser un autre outil antivirus pour analyser le fichier et examiner le contenu de la pièce jointe. Pour plus d’informations sur le déverrouillage d’un fichier verrouillé par Gateway AntiVirus, voir Déverrouiller un fichier verrouillé par Gateway AntiVirus à la page 1105. Supprimer Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire. Note Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est moins sécurisée. 442 WatchGuard System Manager Paramètres proxy Gateway AntiVirus analyse chaque fichier jusqu’à un nombre de kilo-octets précis. Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers très volumineux sans trop perturber les performances. Saisissez la limite d’analyse des fichiers dans le champ Limiter l’analyse aux premiers. Pour plus d’informations sur les limites d’analyse maximales et par défaut pour chaque modèle de périphérique WatchGuard, voir À propos des limites d’analyse Gateway AntiVirus à la page 1106. Proxy POP3 : Message de refus Lorsqu’un contenu est refusé, la Firebox envoie un message de refus par défaut remplaçant le contenu refusé. Ce message s’affiche dans un e-mail au destinataire lorsque le proxy bloque un e-mail. Vous pouvez modifier le texte de ce message de refus. La première ligne du message de refus est une partie de l’en-tête HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message. Le message de refus par défaut apparaît dans le champ Message de refus. Pour personnaliser ce message, utilisez les variables suivantes : %(raison)% Inclut la raison pour laquelle Firebox a refusé le contenu. %(nom_fichier)% Indique le nom de fichier du contenu refusé. %(virus)% Indique le nom ou l’état d’un virus pour les utilisateurs de Gateway AntiVirus. %(action)% Indique le nom de l’action déclenchée. Par exemple : verrouiller ou enlever. %(récupération)% Indique si vous pouvez récupérer la pièce jointe. Pour configurer le message de refus : 1. Dans l’arborescence Catégories, sélectionnez Message de refus. User Guide 443 Paramètres proxy 2. Dans la zone de texte Message de refus, saisissez un message personnalisé en texte brut en HTML standard. 3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Proxy POP3 : spamBlocker Les courriers indésirables, également appelés spam, peuvent rapidement saturer votre boîte de réception. Une trop grande quantité de courriers indésirables limite la bande passante, affecte la productivité des employés et gaspille les ressources du réseau. L’option WatchGuard spamBlocker augmente votre capacité à bloquer les courriers indésirables à la périphérie de votre réseau lorsqu’ils tentent de pénétrer dans le système. Si vous avez acquis et activé la fonctionnalité spamBlocker, les champs de la catégorie spamBlocker définissent les actions nécessaires à l’identification des e-mails en tant que courrier indésirable. 444 WatchGuard System Manager Paramètres proxy Même si vous pouvez utiliser les écrans de définition du proxy pour activer et configurer spamBlocker, il est plus simple d’utiliser le menu Services d’abonnement de Policy Manager. Pour plus d’informations sur cette opération ou sur l’utilisation des écrans spamBlocker dans la définition du proxy, voir À propos de spamBlocker à la page 1067. À propos de la Proxy SIP Si, dans votre entreprise, vous utilisez le protocole Voice-over-IP (VoIP), vous pouvez ajouter un protocole SIP (Session Initiation Protocol) ou une passerelle ALG (Application Layer Gateway) H.323 pour ouvrir les ports nécessaires à l’activation du protocole VoIP via votre Firebox. Une passerelle ALG est créée pareillement à une stratégie de proxy et offre les mêmes options de configuration. Ces passerelles ALG ont été conçues pour un environnement de translation d’adresses réseau (NAT) et visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et situé derrière le périphérique Firebox. H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des passerelles ALG H.323 et des passerelles ALG SIP. Pour déterminer la passerelle ALG à ajouter, consultez la documentation fournie avec vos périphériques ou applications VoIP. Note Le proxy du protocole SIP prend en charge les connexions SIP de type ami mais non de type pair. Composants voix sur IP Il est important de comprendre que le protocole VoIP est généralement mis en œuvre : User Guide 445 Paramètres proxy Connexions pair à pair Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se connecte à celui-ci directement. Si les deux pairs sont derrière le périphérique Firebox, celui-ci peut acheminer le trafic d’appel correctement. Connexions hébergées Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur privé). Avec le protocole SIP standard, deux composants clés du système de gestion des appels sont le Registraire SIP et le Proxy SIP. Ensemble, ces composants gèrent les connexions hébergées par le système de gestion des appels. La passerelle ALG SIP WatchGuard ouvre et ferme les ports nécessaires au fonctionnement du protocole SIP. La passerelle ALG SIP peut prendre en charge le registraire SIP et le proxy SIP lorsqu’ils sont utilisés dans un système de gestion des appels extérieur à la Firebox. SIP n’est pas pris en charge dans cette version si votre système de gestion d’appel est protégé par Firebox. Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Nous vous recommandons de vous assurer que les connexions VoIP fonctionnent normalement avant d’ajouter une passerelle H.323 ou ALG SIP. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se présenter. Fonctions ALG Lorsque vous activez une passerelle ALG SIP, le périphérique Firebox : n n n répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ; s’assure que les connexions VoIP utilisent les protocoles SIP standard génère des messages de journal à des fins d’audit. De nombreux périphériques et serveurs de voix sur IP utilisent le système NAT (Network Address Translation) pour ouvrir et fermer automatiquement les ports. Les passerelles ALG H.323 et SIP ont le même rôle. Vous devez désactiver la fonction NAT sur vos périphériques de voix sur IP si vous configurez une passerelle H.323 ou SIP. Pour ajouter une passerelle ALG SIP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 388. Si vous devez modifier la définition de la passerelle ALG, utilisez la boîte de dialogue Nouvelle/Modifier les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets : Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de règles par défaut des actions de proxy. Pour plus d’informations, voir À propos des actions de proxy à la page 381. Onglet Stratégie n 446 Les connexions SIP-ALG sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégie de la définition de la passerelle ALG). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 360. WatchGuard System Manager Paramètres proxy n n Utiliser le routage basé sur stratégie — Pour utiliser le routage basé sur stratégie dans la définition de la passerelle ALG, voir Configurer le routage basé sur stratégie à la page 363. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage de charge côté serveur à la page 182. Onglet Propriétés n n n n Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy et de la passerelle ALG, voir À propos des actions de proxy à la page 381. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification . Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser le protocole SIP. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou par le serveur d’authentification, voir Définir un délai d'inactivité personnalisé à la page 365. Les passerelles ALG WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité de la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les règles si nécessaire. Pour modifier les paramètres et ensembles de règles d’une action de proxy : 1. Cliquez sur . 2. Sélectionnez une catégorie : n n n Passerelle ALG SIP : Paramètres généraux Passerelle ALG SIP : Contrôle d’accès Passerelle ALG SIP : Codecs refusés Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de la passerelle ALG : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie User Guide 447 Paramètres proxy Passerelle ALG SIP : Paramètres généraux Sur la page Paramètres généraux, vous pouvez définir les options de sécurité et de performance pour la passerelle ALG (Application Layer Gateway) SIP . Activer la normalisation d’en-tête Cochez cette case pour refuser les en-têtes SIP incorrects ou extrêmement longs. Alors que ces entêtes indiquent souvent une attaque de la Firebox, vous pouvez si nécessaire désactiver cette option pour le fonctionnement correct de votre solution VoIP. Activer le masquage de topologie Cette fonction réécrit les en-têtes de trafic SIP pour supprimer les informations de réseau privé, telles que les adresses IP. Nous vous recommandons de sélectionner cette option sauf si vous possédez déjà un périphérique de passerelle VoIP qui effectue le masquage de topologie. Activer la protection de collecte de répertoire Cochez cette case pour empêcher les personnes malveillantes de dérober des informations relatives aux utilisateurs à partir des portiers VoIP protégés par votre Firebox. Cette option est activée par défaut. 448 WatchGuard System Manager Paramètres proxy Nombre maximal de sessions Utilisez cette fonction pour limiter le nombre de sessions audio ou vidéo pouvant être créées à l’aide d’un seul appel VoIP. Par exemple, si vous réglez le nombre maximal de sessions sur 1 et participez à un appel VoIP audio et vidéo, la deuxième connexion est abandonnée. La valeur par défaut est de deux sessions et la valeur maximale de quatre sessions. La Firebox crée une entrée de journal lorsqu’une session média supérieure à ce nombre est refusée. Informations d’agent utilisateur Saisissez une nouvelle chaîne d’agent utilisateur dans la zone de texte Réécrire l’agent utilisateur en tant que pour identifier le trafic H.323 sortant en tant que client spécifié. Pour supprimer un agent utilisateur incorrect, effacez la zone de texte. Délais Lorsqu’aucune donnée n’est envoyée pendant un intervalle de temps défini sur un canal audio, vidéo ou de données VoIP, votre Firebox ferme cette connexion réseau. La valeur par défaut est de 180 secondes (trois minutes) et la valeur maximale est de 600 secondes (dix minutes). Pour spécifier un intervalle de temps différent, saisissez ou sélectionnez le temps en secondes dans la zone de texte Canaux multimédia inactifs. Activer la journalisation pour les rapports Sélectionnez pour envoyer un message du journal pour chaque demande de connexion gérée par la passerelle ALG SIP. Cette option est nécessaire pour permettre à WatchGuard Reports de créer des rapports précis sur le trafic SIP et est activée par défaut. Passerelle ALG SIP : Contrôle d’accès Vous pouvez créer une liste d’utilisateurs autorisés à envoyer du trafic réseau VoIP sur la page Contrôle d’accès. User Guide 449 Paramètres proxy Activer le contrôle d’accès pour VoIP Cochez cette case pour activer la fonctionnalité de contrôle d’accès. Une fois activée, la passerelle ALG SIP autorise ou limite les appels en fonction des options définies. Paramètres par défaut Cochez la case Passer des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à effectuer des appels. Cochez la case Recevoir des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à recevoir des appels. Cochez la case Journal adjacente pour créer un message du journal pour chaque connexion VoIP SIP passée ou reçue. Niveaux d’accès Pour créer une exception pour les paramètres par défaut que vous avez spécifiés ci-dessus, saisissez un nom d’hôte, une adresse IP ou une adresse e-mail. Sélectionnez un niveau d’accès dans la liste déroulante située juste à côté, puis cliquez sur Ajouter. Vous pouvez autoriser les utilisateurs à passer des appels uniquement, recevoir des appels uniquement, passer et recevoir des appels ou ne leur octroyer aucun accès VoIP. Ces paramètres s’appliquent uniquement au trafic VoIP SIP. Pour supprimer une exception, sélectionnez-la dans la liste et cliquez sur Supprimer. Les connexions établies par les utilisateurs ayant une exception de niveau d’accès sont journalisées par défaut. Si vous ne souhaitez pas journaliser les connexions établies par les utilisateurs ayant une exception de niveau d’accès, décochez la case Journal située à côté de l’exception. 450 WatchGuard System Manager Paramètres proxy Passerelle ALG SIP : Codecs refusés Sur la page Codecs refusés, vous pouvez définir les codecs voix VoIP, vidéo et transmission de données que vous souhaitez refuser sur votre réseau. Liste des codecs refusés Utilisez cette fonction pour refuser un ou plusieurs codecs VoIP. Lorsqu’une connexion VoIP SIP utilisant un codec spécifié dans cette liste est ouverte, votre périphérique WatchGuard ferme automatiquement la connexion. Par défaut, cette liste est vide. Nous vous recommandons d’ajouter un codec à cette liste s’il consomme trop de bande passante, s’il présente un risque de sécurité ou s’il est nécessaire pour que votre solution VoIP fonctionne correctement. Vous pouvez par exemple choisir de refuser les codecs G.711 ou G.726 car ils utilisent plus de 32 ko/s de bande passante, ou de refuser le codec Speex car il est utilisé par une application VoIP non autorisée. Pour ajouter un codec à la liste, saisissez le nom ou le modèle de texte unique du codec dans la zone de texte, puis cliquez sur Ajouter. Ne pas utiliser de caractères génériques ou de syntaxe d’expression normale. Les modèles de codecs respectent la casse. Pour supprimer un codec de la liste, sélectionnez-le et cliquez sur Supprimer. User Guide 451 Paramètres proxy Consigner chaque transaction correspondant à un schéma de codec refusé Sélectionnez cette option pour créer un message du journal lorsque votre Firebox refuse le trafic SIP correspondant à un codec de cette liste. À propos de la Proxy SMTP SMTP (Simple Mail Transport Protocol) est un protocole utilisé pour envoyer des e-mails entre serveurs de messagerie mais également entre clients de messagerie et serveurs de messagerie. Il utilise habituellement une connexion TCP sur le port 25. Vous pouvez utiliser le proxy SMTP pour contrôler les e-mails et leur contenu. Le proxy analyse des messages SMTP en fonction d’un certain nombre de paramètres filtrés et les compare aux règles de la configuration du proxy. Avec un filtre de proxy SMTP, vous pouvez : n n n n Ajuster le délai d’attente, la taille maximale des e-mails et les limites de longueur de lignes pour assurer que le proxy SMTP n’utilise pas trop de ressources réseau, et afin d’éviter certains types d’attaques. Personnaliser le message de refus reçu par les utilisateurs lorsqu’un e-mail qu’ils essaient d’afficher est bloqué. Filtrer le contenu intégré dans les e-mails avec des types MIME et des modèles de nom. Limiter les adresses e-mail vers lesquelles des e-mails peuvent être envoyés et bloquer automatiquement les e-mails provenant d’expéditeurs spécifiques. Pour ajouter le proxy SMTP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 388. Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets : Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de règles par défaut des actions de proxy. Pour plus d’informations, voir À propos des actions de proxy à la page 381. Onglet Stratégie n n n Les connexions SMTP-proxy sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégiede la définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 360. Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 363. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage de charge côté serveur à la page 182. Onglet Propriétés n 452 Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client ou un serveur. WatchGuard System Manager Paramètres proxy n n n Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy à la page 381. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification . Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser SMTP. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou par le serveur d’authentification, voir Définir un délai d'inactivité personnalisé à la page 365. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les règles si nécessaire. Pour modifier les paramètres et ensembles de règles d’une action de proxy : 1. Cliquez sur . 2. Sélectionnez une catégorie : n n n n n n n n n n n n n Proxy SMTP : Paramètres généraux Proxy SMTP : Règles de salutation Proxy SMTP : Paramètres ESMTP Proxy SMTP : Authentification Proxy SMTP : Types de contenus Proxy SMTP : Noms de fichiers Proxy SMTP : E-mail de/Récept à Proxy SMTP : En-têtes Proxy SMTP : Antivirus Proxy SMTP : Refuser message Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy Proxy SMTP : spamBlocker Proxy et antivirus les alarmes Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Proxy SMTP : Paramètres généraux Sur la page Paramètres généraux, vous pouvez définir les paramètres de proxy SMTP de base tels que le délai d’inactivité et les limites de message. User Guide 453 Paramètres proxy Délai d’inactivité Vos pouvez définir la durée pendant laquelle une connexion SMTP peut rester inactive avant d’expirer. La valeur par défaut est de 10 minutes. Nombre maximum de destinataires d’e-mail Vous pouvez définir le nombre maximum de destinataires d’e-mail auxquels un message peut être envoyé. Cochez la case Définir le nombre de destinataires d’e-mail maximum. Dans la zone de texte adjacente, saisissez ou sélectionnez le nombre de destinataires. La Firebox compte et autorise le nombre spécifié d’adresses, puis ignore les adresses supplémentaires. Par exemple, si vous réglez la valeur sur 50 et qu’un message est envoyé à 52 adresses, seules les 50 premières adresses recevront le message. Les deux dernières adresses ne recevront pas de copie du message. La Firebox compte une liste de distribution comme une adresse e-mail SMTP unique (par exemple, [email protected]). Vos pouvez utiliser cette fonctionnalité pour réduire le courrier indésirable, étant donné que le courrier indésirable utilise généralement une très grande liste de destinataires. Lorsque vous activez cette option, assurez-vous de ne pas refuser également des e-mails désirés. 454 WatchGuard System Manager Paramètres proxy Longueur maximale de l’adresse Vous pouvez définir la longueur maximale des adresses e-mail. Cochez la case Définir la longueur d’adresse maximum. Dans la zone de texte adjacente, saisissez ou sélectionnez la longueur maximale d’une adresse e-mail en octets. Taille maximale des e-mails Vous pouvez définir la longueur maximale d’un message SMTP entrant. La plupart des e-mails sont envoyés sous forme de texte ASCII 7 bits. Les exceptions sont le format MIME binaire et MIME 8 bits. Le contenu MIME 8 bits (par exemple, pièces jointes MIME) est encodé avec des algorithmes standards (encodage Base64 ou Quoted-printable) afin de pouvoir être envoyé via des systèmes de messagerie à 7 bits. L’encodage peut augmenter d’un tiers la taille totale des fichiers. Pour autoriser les messages allant jusqu’à 10 Ko, vous devez paramétrer ce champ sur un minimum de 1334 octets pour assurer le passage de tous les e-mails. Cochez la case Définir la taille d’e-mail maximum. Dans la zone de texte adjacente, saisissez ou sélectionnez la taille maximale de chaque e-mail en kilo-octets. Longueur de ligne d’e-mail maximum Vous pouvez définir la longueur maximale des lignes d’un message SMTP. Cochez la case Définir la longueur de ligne d’e-mail maximum à. Dans la zone de texte adjacente, saisissez ou sélectionnez la longueur maximale d’une ligne d’e-mail en octets. Une longueur excessive des lignes peut être à l’origine d’un dépassement de mémoire tampon sur certains systèmes de messagerie. La plupart des systèmes et clients de messagerie envoient des lignes courtes, mais certains systèmes de messagerie Web envoient des lignes très longues. Masquer le serveur d’’e-mail Vous pouvez remplacer les chaînes de frontière MIME et de salutation SMTP dans les messages d’email. Celles-ci sont utilisées par les pirates informatiques pour identifier le fournisseur et la version de serveur SMTP. Cochez les cases ID de message et Réponses de serveur. Si vous avez un serveur de messagerie et utilisez l’action de proxy SMTP entrante, vous pouvez faire en sorte que le proxy SMTP remplace le domaine affiché sur votre bannière de serveur SMTP par le nom de domaine de votre choix. Pour cela, à côté de Réécrire le domaine de bannière, saisissez le nom de domaine que vous souhaitez utiliser dans votre bannière dans la zone de texte qui s’affiche. La case Réponses de serveur doit également être cochée. Si vous utilisez l’action de proxy SMTP sortante, vous pouvez faire en sorte que le proxy SMTP remplace le domaine affiché dans la salutation HELO ou EHLO. Une salutation HELO ou EHLO est la première partie d’une transaction SMTP, lorsque votre serveur de messagerie s’annonce à un serveur de messagerie de réception. Pour ce faire, à côté de Réécrire le domaine HELO, saisissez le nom de domaine que vous souhaitez utiliser dans votre salutation HELO ou EHLO dans la zone de texte qui s’affiche. User Guide 455 Paramètres proxy Autoriser des pièces jointes codées UU Cochez cette case pour que le proxy SMTP autorise les pièces jointes codées UU dans les e-mails. Cet ancien programme permet d’envoyer des fichiers binaires au format ASCII sur Internet. Les pièces jointes codées UU peuvent présenter des risques de sécurité car elles apparaissent comme fichiers texte ASCII mais peuvent en fait contenir des fichiers exécutables. Autoriser des pièces jointes BinHex Cochez cette case pour que le proxy SMTP autorise les pièces jointes BinHex dans les e-mails. BinHex, contraction de binaire-à-hexadécimal, est un utilitaire qui convertit un fichier binaire au format ASCII. Blocage automatique des sources des commandes non valides Cochez cette case pour ajouter des expéditeurs de commandes SMTP non valides à la liste des sites bloqués. Les commandes SMTP non valides indiquent souvent une attaque contre votre serveur SMTP. Activer la journalisation des rapports Sélectionnez cette option pour envoyer un message de journal pour chaque requête de connexion par SMTP. Afin de créer des rapports détaillés sur le trafic SMTP via WatchGuard Reports, vous devez cocher cette case. Proxy SMTP : Règles de salutation Le proxy examine les réponses HELO/EHLO initiales lorsque la session SMTP est initialisée. Les règles par défaut pour l’action de proxy SMTP entrante assurent que les paquets contenant des salutations trop longues ou des caractères incorrects sont refusés. Vous pouvez ajouter, supprimer ou modifier des règles. 1. Dans l’arborescence Catégories, sélectionnez Règles de salutation. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. 456 WatchGuard System Manager Paramètres proxy Proxy SMTP : Paramètres ESMTP Sur la page Paramètres ESMTP, vous pouvez définir le filtrage pour le contenu ESMTP. Bien que le SMTP soit largement accepté et utilisé, certaines parties de la communauté Internet lui réclament davantage de fonctionnalité. ESMTP offre une méthode pour ajouter des extensions fonctionnelles au SMTP et pour identifier les serveurs et clients qui prennent en charge ces fonctionnalités étendues. 1. Dans l’arborescence Catégories, sélectionnez Paramètres ESMTP. 2. Configurez les options suivantes : Activer ESMTP Cochez cette case pour activer tous les champs. Si vous décochez cette case, toutes les autres cases à cocher de cette page seront désactivées. Lorsque ces options sont désactivées, les paramètres pour chaque option sont enregistrés. Si cette option est à nouveau activée, tous les paramètres sont restaurés. Autoriser BDAT/CHUNKING Cochez cette case pour autoriser BDAT/CHUNKING. Ceci permet d’envoyer plus facilement des messages volumineux via les connexions SMTP. Autoriser ETRN (Remote Message Queue Starting) Ceci est une extension de SMTP permettant au client et au serveur SMTP d’interagir pour commencer l’échange de files de messages pour un hôte donné. User Guide 457 Paramètres proxy Autoriser MIME binaire Sélectionnez pour autoriser l’extension MIME binaire, si l’expéditeur et le destinataire l’acceptent. Le MIME binaire empêche l’overhead de l’encodage base64 et Quoted-printable d’objets binaires envoyés utilisant le format de message MIME avec SMTP. Il est déconseillé de cocher cette option dans la mesure où elle peut constituer un risque de sécurité. Consigner les options ESMTP refusées Cochez cette case pour créer un message du journal pour les options ESMTP inconnues enlevées par le proxy SMTP. Décochez cette case pour désactiver cette option. 3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. Proxy SMTP : Authentification Cet ensemble de règles autorise les types d’authentification ESMTP suivants : DIGEST- MD5, CRAM-MD5, PLAIN, LOGIN, LOGIN (ancien style), NTLM et GSSAPI. La règle par défaut refuse tous les autres types d’authentification. Le RFC correspondant à l’extension d’authentification SMTP est RFC 2554. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles : 1. Dans l’arborescence Catégories, sélectionnez Authentification. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy SMTP : Types de contenus Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. Vous pouvez utiliser l’ensemble de règles pour l’action de proxy SMTP entrante de façon à définir les valeurs pour le filtrage du 458 WatchGuard System Manager Paramètres proxy contenu SMTP entrant. Vous pouvez utiliser l’ensemble de règles pour l’action de proxy SMTP sortante de façon à définir les valeurs pour le filtrage du contenu SMTP sortant. Le proxy SMTP autorise les types de contenu suivants : text/*, image/*, multipart/* et message/*. Vous pouvez ajouter, supprimer ou modifier des règles. Vous pouvez également configurer le proxy SMTP pour lui faire examiner automatiquement le contenu des e-mails afin de déterminer le type de contenu. Si vous n’activez pas cette option, le proxy SMTP utilise la valeur indiquée dans l’en-tête d’e-mail, que les clients règlent parfois de façon incorrecte. Par exemple, un fichier .pdf joint peut avoir un type de contenu indiqué comme application/flux d’octet. Si vous activez la détection automatique du type de contenu, le proxy SMTP reconnaît le fichier .pdf et utilise le type de contenu réel, application/pdf. Si le proxy ne reconnaît pas le type de contenu après l’avoir examiné, il utilise la valeur indiquée dans l’en-tête de l’e-mail, comme il le ferait si la détection automatique du type de contenu n’était pas activée. Comme les personnes malveillantes tentent souvent de déguiser des fichiers exécutables en d’autres types de contenus, nous vous conseillons d’activer la détection automatique des types de contenu afin de sécuriser votre installation. 1. Dans l’arborescence Catégories, sélectionnez Types de contenu. 2. Cochez la case Activer la détection automatique du type de contenu pour que le proxy SMTP examine le contenu et détermine son type. 3. Ajouter, modifier ou supprimer des règles. 4. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 5. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 6. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 7. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Ajouter des types de contenu courants La définition de proxy comprend plusieurs types de contenus que vous pouvez facilement ajouter à l’ensemble de règles Type de contenu. Pour ajouter un type de contenu : 1. Cliquez sur Prédéfini. La boîte de dialogue Sélectionner le type de contenu s’affiche. User Guide 459 Paramètres proxy 2. Sélectionnez un ou plusieurs types de contenus dans la liste. 3. Cliquez sur OK. Importation et exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy SMTP : Noms de fichiers Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy de client SMTP entrant pour les pièces jointes d’e-mails entrants. Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy de client SMTP sortant pour les pièces jointes d’e-mails sortants. Vous pouvez ajouter, supprimer ou modifier des règles. 1. 2. 3. 4. Dans l’arborescence Catégories, sélectionnez Noms de fichier. Ajouter, modifier ou supprimer des règles. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. 460 WatchGuard System Manager Paramètres proxy Proxy SMTP : E-mail de/Récept à Vous pouvez utiliser Adresse : L'ensemble de règles E-mail de pour définir des limites sur les e-mails et autoriser sur votre réseau uniquement les e-mails provenant d’expéditeurs spécifiés. La configuration par défaut est d’autoriser les e-mails provenant de tous les expéditeurs. Vous pouvez ajouter, supprimer ou modifier des règles. L’onglet Adresse : L’ensemble de règles Récept à limite les e-mails sortant de votre réseau aux destinataires spécifiés. La configuration par défaut autorise les e-mails vers tous les destinataires depuis votre réseau. Sur une action de proxy SMTP entrante, vous pouvez utiliser l’ensemble de règles Récept à pour empêcher que votre serveur de messagerie ne soit utilisé pour le relais d’e-mails. Pour plus d’informations, voir Protéger votre serveur SMTP du relais d’e-mails à la page 465. Vous pouvez également utiliser l’option Remplacer par pour configurer la Firebox de façon à modifier les composants De et Vers de votre adresse e-mail avec une valeur différente. Cette fonction est également appelée masquage SMTP. Autres options disponibles dans les ensembles de règles E-mail de et Récept à : Bloquer les adresses avec routage à la source Cochez cette case pour bloquer un message lorsque l’adresse de l’expéditeur ou du destinataire contient des routes source. Une route source identifie le chemin que doit prendre un message quand il va de hôte à hôte. La route peut identifier quels routeurs d’e-mail ou sites backbone utiliser. Par exemple, @backbone.com:[email protected] signifie que l’hôte nommé Backbone.com doit être utilisé en tant qu’hôte relais pour envoyer le courrier à [email protected]. Par défaut, cette option est activée pour les paquets SMTP entrants et désactivée pour les paquets SMTP sortants. Bloquer les caractères 8 bits Cochez cette case pour bloquer un message possédant des caractères 8 bits dans le nom d’utilisateur de l’expéditeur ou du destinataire. Ceci permet de placer un accent sur un caractère alphabétique. Par défaut, cette option est activée pour les paquets SMTP entrants et désactivée pour les paquets SMTP sortants. Pour configurer le proxy SMTP de façon à limiter le trafic des e-mails via votre réseau : 1. 2. 3. 4. Dans l’arborescence Catégories, sélectionnez Adresse : E-mail de ou Adresse : Récept à. Ajouter, modifier ou supprimer des règles. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy. User Guide 461 Paramètres proxy Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy SMTP : En-têtes Les ensembles de règles d’en-tête vous permettent de définir des valeurs pour le filtrage d’en-tête SMTP entrant ou sortant. Vous pouvez ajouter, supprimer ou modifier des règles. 1. Dans l’arborescence Catégories, sélectionnez En-têtes. 2. Ajouter, modifier ou supprimer des règles. 3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Importation ou exportation d’ensembles de règles Vous pouvez importer et exporter des ensembles de règles entre les définitions de proxy. Pour plus d’informations, voir Importer et exporter ensembles de règles à la page 380. Proxy SMTP : Antivirus Si vous avez acquis et activé la fonctionnalité Gateway AntiVirus, les champs de la catégorie AntiVirus définissent les actions requises en cas de détection d’un virus dans un e-mail. Ils définissent également des actions lorsqu’un e-mail contient une pièce jointe que Firebox ne peut pas analyser. n n n Pour utiliser les écrans de définition proxy pour activer Gateway AntiVirus, voir Activation Gateway AntiVirus à partir de définitions de proxy à la page 1100. Pour utiliser le menu Services d’abonnement dans Policy Manager pour activer Gateway AntiVirus, voir Activez la passerelle antivirus (Gateway AV) avec un assistant dans Policy Manager à la page 1097. Pour configurer Gateway AntiVirus pour le proxy SMTP, voir Actions de configuration de Gateway AntiVirus à la page 1101. Lorsque vous activez Gateway AntiVirus, vous devez paramétrer les actions à effectuer en cas de détection d’un virus ou d’une erreur dans un e-mail ou un fichier joint. Les options des actions antivirus sont : Autoriser Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus. 462 WatchGuard System Manager Paramètres proxy Verrouiller Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par le périphérique WatchGuard. Un fichier verrouillé ne peut pas être ouvert facilement par l’utilisateur. Seul l’administrateur est en mesure de déverrouiller le fichier. L’administrateur peut utiliser un autre outil antivirus pour analyser le fichier et examiner le contenu de la pièce jointe. Pour plus d’informations sur le déverrouillage d’un fichier verrouillé par Gateway AntiVirus, voir Déverrouiller un fichier verrouillé par Gateway AntiVirus à la page 1105. Quarantaine Lorsque vous utilisez le proxy SMTP avec abonnement au service de sécurité spamBlocker, vous pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de Quarantine Server à la page 1121. Pour plus d’informations sur la façon de configurer Gateway AntiVirus pour qu’il fonctionne avec Quarantine Server, voir Configurer les Gateway AntiVirus : placer du courrier en quarantaine à la page 1105. Supprimer Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire. Abandonner Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message. Bloquer Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués. Note Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est moins sécurisée. Gateway AntiVirus analyse chaque fichier jusqu’à un nombre de kilo-octets précis. Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers très volumineux sans trop perturber les performances. Saisissez la limite d’analyse des fichiers dans le champ Limiter l’analyse aux premiers. Pour plus d’informations sur les limites d’analyse maximales et par défaut pour chaque modèle de périphérique WatchGuard, voir À propos des limites d’analyse Gateway AntiVirus à la page 1106. Proxy SMTP : Refuser message Lorsqu’un contenu est refusé, la Firebox envoie un message de refus par défaut remplaçant le contenu refusé. Ce message s’affiche dans un e-mail au destinataire lorsque le proxy bloque un e-mail. Vous pouvez modifier le texte de ce message de refus. La première ligne du message de refus est une partie de l’en-tête HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message. Le message de refus par défaut apparaît dans le champ Message de refus. Pour personnaliser ce message, utilisez les variables suivantes : %(raison)% Inclut la raison pour laquelle Firebox a refusé le contenu. User Guide 463 Paramètres proxy %(type)% Indique le type de contenu refusé. %(nom_fichier)% Indique le nom de fichier du contenu refusé. %(virus)% Indique le nom ou l’état d’un virus pour les utilisateurs de Gateway AntiVirus. %(action)% Indique le nom de l’action déclenchée. Par exemple : verrouiller ou enlever. %(récupération)% Indique si vous pouvez récupérer la pièce jointe. Pour configurer le message de refus : 1. Dans l’arborescence Catégories, sélectionnez Message de refus. 2. Dans la zone de texte Message de refus, saisissez un message personnalisé en texte brut en HTML standard. 3. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 4. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 5. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 6. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche. Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy à la page 382. Proxy SMTP : spamBlocker Les courriers indésirables, également appelés spam, peuvent rapidement saturer votre boîte de réception. Une trop grande quantité de courriers indésirables limite la bande passante, affecte la productivité des employés et gaspille les ressources du réseau. L’option WatchGuard spamBlocker augmente votre capacité à bloquer les courriers indésirables à la périphérie de votre réseau lorsqu’ils tentent de pénétrer dans le système. Si vous avez acquis et activé la fonctionnalité spamBlocker, les champs de la catégorie spamBlocker définissent les actions nécessaires à l’identification des e-mails en tant que courrier indésirable. Même si vous pouvez utiliser les écrans de définition du proxy pour activer et configurer spamBlocker, il est plus simple d’utiliser le menu Services d’abonnement de Policy Manager. Pour plus d’informations sur cette opération ou sur l’utilisation des écrans spamBlocker dans la définition du proxy, voir À propos de spamBlocker à la page 1067. 464 WatchGuard System Manager Paramètres proxy Configurer le proxy SMTP pour placer du courrier en quarantaine WatchGuard Quarantine Server fournit un mécanisme de quarantaine sécurisé et complet pour tous les emails soupçonnés d’être indésirables ou de contenir des virus. Ce référentiel reçoit les e-mails à partir du proxy SMTP et les messages sont filtrés par spamBlocker. Pour configurer le proxy SMTP afin de mettre en quarantaine du courrier : 1. Ajoutez le proxy SMTP à votre configuration et activez spamBlocker dans la définition de proxy. Ou activez spamBlocker et activez-le pour le proxy SMTP. 2. Lorsque vous définissez les actions que spamBlocker applique à différentes catégories d’e-mails (tel que décrit dans Configurer spamBlocker à la page 1072), assurez-vous de sélectionner l’action Quarantaine pour au moins l’une des catégories. Lorsque vous sélectionnez cette action, vous êtes invité à configurer le serveur Quarantine Server, si vous ne l’avez pas encore fait. Vous pouvez également sélectionner l’action Quarantaine pour les e-mails identifiés par VOD comme contenant des virus. Pour plus d’informations, voir Configurer les actions de Virus Outbreak Detection pour une stratégie : à la page 1078. Protéger votre serveur SMTP du relais d’e-mails Le relais d’e-mails, également appelé spamming , est une intrusion au cours de laquelle une personne utilise votre serveur de messagerie, votre adresse et d’autres ressources pour envoyer de grandes quantités d’e-mails indésirables. Ceci peut entraîner des plantages du système, des dommages matériels ou des pertes financières. Si vous n’êtes pas familiarisé avec les problèmes liés au spamming, ou si vous n’êtes pas sûr que votre serveur de messagerie soit protégé contre le spamming, il est recommandé d’examiner votre serveur de messagerie afin d’en connaître les vulnérabilités potentielles. La Firebox peut assurer une protection de base contre le relais d’e-mails si vous ne savez pas comment configurer votre serveur de messagerie. Renseignez-vous néanmoins sur la façon dont votre serveur de messagerie peut empêcher le relais d’e-mails. Pour protéger votre serveur, changez la configuration de la stratégie de proxy SMTP qui filtre le trafic depuis le réseau externe vers votre serveur SMTP interne de manière à inclure les informations relatives à votre domaine. Lorsque vous saisissez votre nom de domaine, vous pouvez utiliser le caractère générique *. Ensuite, toute adresse e-mail se terminant par @votre-nom-de-domaine est autorisée. Si votre serveur de messagerie accepte les e-mails pour plus d’un domaine, vous pouvez ajouter d’autres domaines. Par exemple, si vous ajoutez *@watchguard.com et *@*.watchguard.com à la liste, votre serveur de messagerie acceptera tous les e-mails destinés au domaine de plus haut niveau watchguard.com et tous les e-mails destinés aux sous-domaines de watchguard.com. Par exemple, rnd.watchguard.com. Avant de lancer cette procédure, vous devez connaître les noms de tous les domaines pour lesquels votre serveur de messagerie SMTP reçoit des e-mails. 1. Ouvrir Policy Manager. 2. Double-cliquez sur la stratégie de proxy SMTP qui filtre le trafic depuis le réseau externe vers un serveur SMTP interne. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. User Guide 465 Paramètres proxy 3. Cliquez sur l’onglet Propriétés. 4. Cliquez sur . La boîte de dialogue Configuration de l’action de proxy SMTP s’affiche. 5. Dans l’arborescence Catégories, sélectionnez Adresse > Récept à. 6. Dans la zone de texte Modèle, saisissez *@[votre-nom-de--domaine] . 7. Dans la rubrique Actions à entreprendre, cliquez sur la liste déroulante Aucune correspondance et sélectionnez Refuser. Tout e-mail destiné à une adresse autre que les domaines figurant sur la liste est refusé. 8. 9. 10. 11. 12. Pour fermer la boîte de dialogue Configuration de l’action de proxy SMTP, cliquez sur OK. Cliquez à nouveau sur OK pour fermer la définition de stratégie SMTP. Cliquez sur Fermer pour fermer la boîte de dialogue Modifier les propriétés de stratégie. Enregistrer le fichier de configuration. Cliquez sur Ajouter. Votre domaine s’affiche dans la liste des règles. Une autre façon de protéger votre serveur est de saisir une valeur dans la zone de texte Remplacer par de cette boîte de dialogue. La Firebox modifie alors la valeur des composants De et Vers de votre adresse email. Cette fonction est également appelée masquage SMTP. À propos de la Proxy TCP-UDP Le proxy TCP/UDP est disponible pour les protocoles suivants sur les ports non standards : HTTP, HTTPS, SIP et FTP. Pour ces protocoles, le proxy TCP-UDP relaie le trafic vers les proxies appropriés ou vous permet d’autoriser ou de refuser du trafic. Pour les autres protocoles, vous pouvez choisir d’autoriser ou de refuser le trafic. Vous pouvez également utiliser cette stratégie de proxy pour autoriser ou refuser le trafic réseau de messagerie instantanée et P2P (pair à pair). Le proxy TCP-UDP est destiné uniquement aux connexions sortantes. Pour ajouter le proxy TCP-UDP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre configuration à la page 388. Si vous devez modifier la définition du proxy, vous pouvez utiliser la boîte de dialogue Nouvelle/Modifier les stratégies de proxy pour modifier cette définition. La boîte de dialogue comporte trois onglets : Stratégie, Propriétés et Avancé. Sur l’onglet Propriétés, vous pouvez également modifier l’ensemble de règles par défaut des actions de proxy. Pour plus d’informations, voir À propos des actions de proxy à la page 381. Onglet Stratégie n n n 466 Les connexions TCP-UDP-proxy sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégiede la définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 360. Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie à la page 363. Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer l’équilibrage de charge serveur. Pour plus d’informations, voir À propos de NAT statique à la page 180 et Configurer les équilibrage de charge côté serveur à la page 182. WatchGuard System Manager Paramètres proxy Onglet Propriétés n n n n Dans la liste déroulante Action de proxy, sélectionnez une action de proxy. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy à la page 381. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification . Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser TCP-UDP. Voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Si vous voulez utiliser un délai d’inactivité autre que celui défini par le périphérique WatchGuard ou le serveur d’authentification, Définir un délai d'inactivité personnalisé. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Vous pouvez ajouter, supprimer ou modifier les règles si nécessaire. Pour modifier les paramètres et ensembles de règles d’une action de proxy : 1. Cliquez sur . 2. Sélectionnez une catégorie : n n n n Proxy TCP-UDP : Paramètres généraux Proxy TCP-UDP : Blocage de l’application Prévention des intrusions (Intrusion Prevention) dans les définitions de proxy Proxy et antivirus les alarmes (Les interruptions et la notification SNMP sont désactivées par défaut) Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition de proxy : n n n n n n Définir un calendrier d'application Ajouter une une action de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS ou les paramètres de priorité d’une stratégie Définir la durée de connexion persistante pour une stratégie Proxy TCP-UDP : Paramètres généraux Su la page Général, vous définissez les paramètres de base pour le proxy TCP-UDP. Actions de proxy pour la redirection du trafic Le proxy TCP-UDP peut transmettre le trafic HTTP, HTTPS, SIP et FTP vers des stratégies de proxy que vous avez déjà créées lorsque ce trafic est envoyé via des ports non standards. Pour chacun de ces protocoles, sélectionnez dans la liste déroulante adjacente la stratégie de proxy avec laquelle vous souhaitez gérer ce trafic. Si vous ne voulez pas que votre Firebox utilise une stratégie de proxy pour User Guide 467 Paramètres proxy filtrer un protocole, sélectionnez Autoriser ou Refuser dans la liste déroulante adjacente. Note Pour garantir le bon fonctionnement de votre Firebox, vous ne devez pas sélectionner l’option Autoriser pour le protocole FTP. Activer la journalisation pour les rapports Cochez cette case pour recueillir des informations de journalisation supplémentaires concernant les rapports. Proxy TCP-UDP : Blocage de l’application Vous pouvez utiliser cet ensemble de règles pour définir les actions que la Firebox doit effectuer lorsque le proxy TCP-UDP détecte des services de messagerie instantanée ou pair à pair (P2P). Le proxy TCP-UDP détecte les services de messagerie instantanée suivants : AOL Instant Messenger (AIM), ICQ, IRC, MSN Messenger et Yahoo! Messenger. Il détecte les types de services P2P suivants : BitTorrent, eDonkey2000 (Ed2k), Gnutella, Kazaa, Napster et Phatbot. Vous pouvez utiliser la fonction de blocage d’application si vous n’avez pas acheté le service Intrusion Prevention Service. 1. Ouvrir Policy Manager. 2. Double-cliquez sur la stratégie de proxy TCP-UDP. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 3. Cliquez sur l’onglet Propriétés. 4. Cliquez sur . La boîte de dialogue Configuration de l’action de proxy TCP-UDP s’affiche. 5. Dans l’arborescence Catégories, sélectionnez Bloqueur d’application. 6. Cliquez sur l’onglet Messagerie instantanée. 7. Dans la liste déroulante, sélectionnez l’action que la Firebox doit effectuer lorsqu’elle détecte un service de messagerie instantanée : Autoriser Autorise le paquet à se rendre au destinataire, même si le contenu coïncide avec une signature. Refuser Abandonne le paquet et envoie un paquet de réinitialisation TCP à l’expéditeur. 8. Cochez la case de chaque application de messagerie instantanée pour laquelle vous souhaitez que la Firebox effectue une action concernant son trafic. 9. Pour sélectionner toutes les applications de messagerie instantanée, sélectionnez Toutes les catégories. Toutes les applications sont automatiquement sélectionnées. 10. Pour définir des actions relatives aux applications P2P, cliquez sur l’onglet P2P. 11. Pour sélectionner les actions et catégories relatives aux applications P2P, répétez les étapes 7 à 9. 12. Cliquez sur Journalisation et notification pour configurer la journalisation et la notification pour IPS. Pour plus d’informations, voir Définir les préférences de journalisation et de notification à la page 656. 468 WatchGuard System Manager Paramètres proxy 13. Si vous souhaitez modifier les paramètres d’autres catégories de ce proxy, accédez à la section relative à la prochaine catégorie à modifier. 14. Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. 15. Si vous avez modifié une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. 16. Saisissez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. User Guide 469 Paramètres proxy User Guide 470 15 Gestion du trafic et QoS À propos de Gestion du trafic et QoS Dans un réseau de grande taille comptant de nombreux ordinateurs, le volume de données qui traverse le pare-feu peut être très important. Un administrateur réseau peut utiliser les actions de gestion du trafic et de qualité de service (QoS) pour empêcher toute perte de données pour des applications d’entreprise importantes et pour garantir que les applications critiques ont priorité sur le reste du trafic. La gestion du trafic et QoS fournissent de nombreux avantages. Vous pouvez : n n n Garantir ou limiter la bande passante Contrôler la vitesse à laquelle la Firebox envoie des paquets au réseau Fixer des priorités pour le moment où les paquets doivent être envoyés vers le réseau Pour appliquer une gestion de trafic aux stratégies, vous devez définir une action de gestion de trafic, à savoir une collection de paramètres que vous pouvez appliquer à une ou plusieurs définitions de stratégie. De cette manière, vous n’avez pas besoin de configurer les paramètres de gestion du trafic de façon distincte dans chaque stratégie. Vous pouvez définir des actions de gestion de trafic supplémentaires si vous voulez appliquer des paramètres différents à différentes stratégies. Activer la gestion du trafic et la fonction QoS Pour des raisons de performances, toutes les fonctions de gestion de trafic et QoS sont désactivées par défaut. Vous devez activer ces fonctions dans les Paramètres globaux pour pouvoir les utiliser. 1. Sélectionnez Installation > Paramètres globaux. La fenêtre Paramètres globaux s’affiche. User Guide 471 Gestion du trafic et QoS 2. Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de service). 3. Cliquez sur OK. 4. Enregistrer le fichier de configuration. Garantir la bande passante La réservation de la bande passante sert à empêcher les dépassements de délai d’attente de connexion. Une file d’attente de gestion du trafic avec une bande passante réservée et une priorité basse peut offrir de la bande passante à des applications en temps réel avec une priorité plus élevée lorsque cela est nécessaire, sans interrompre la connexion. D’autres files d’attente de gestion du trafic peuvent tirer profit de la bande passante réservée inutilisée lorsqu’elle devient disponible. Par exemple, supposez que votre entreprise possède un serveur FTP sur le réseau externe et que vous voulez garantir que le trafic FTP dispose toujours d’au moins 200 kilo-octets par seconde (Ko/s) par le biais de l’interface externe. Vous pouvez également envisager de définir une bande passante minimale à partir de l’interface approuvée pour vous assurer que la connexion possède une bande passante garantie de bout 472 WatchGuard System Manager Gestion du trafic et QoS en bout. Pour cela, vous pouvez créer une action de gestion de trafic qui définit un minimum de 200 Ko/s pour le trafic FTP sur l’interface externe. Vous pouvez alors créer une stratégie FTP et appliquer l’action de gestion de trafic. Cela permettra un envoi FTP à 200 Ko/s. Si vous voulez permettre une réception FTP à 200 Ko/s, vous devez configurer le trafic FTP sur l’interface approuvée à un minimum de 200 Ko/s. Autre exemple : supposez que votre entreprise utilise des documents multimédias (transmission multimédia en continu) pour la formation de clients externes. Cette transmission multimédia en continu utilise le RTSP via le port 554. Vous effectuez des transferts FTP fréquents à partir de l’interface approuvée vers l’interface externe et vous ne voulez pas que ces transferts interfèrent avec la réception par vos clients du contenu de transmission multimédia en continu. Vous pouvez appliquer une action de gestion de trafic à l’interface externe pour le port de transmission multimédia en continu afin de garantir une bande passante suffisante. Restreindre la bande passante Le paramètre de bande passante garantie fonctionne avec le paramètre Bande passante de l’interface en sortie configuré pour chaque interface externe afin de ne pas garantir davantage de bande passante que ce dont vous disposez. Ce paramètre vous permet également de vous assurer que la somme de vos paramètres de bande passante garantie ne sature pas la liaison, ce qui empêcherait la transmission du trafic non garanti. Par exemple, supposez que la liaison soit de 1 Mbits/s et que vous essayez d’utiliser une action de gestion de trafic qui garantit 973 Kbits/s (0,95 Mbits/s) à la stratégie FTP sur cette liaison. Avec ces paramètres, le trafic FTP pourrait utiliser la bande passante disponible au point d’empêcher d’autres types de trafic d’utiliser l’interface. Si vous essayez de configurer la Firebox de cette manière, Policy Manager vous avertit que vous approchez de la limite fixée pour le paramètre Bande passante de l’interface en sortie pour cette interface. Marquage QoS Le marquage QoS crée différentes classes de service pour différentes sortes de trafic réseau sortant. Lorsque vous marquez le trafic, vous modifiez jusqu’à six bits sur les champs d’en-tête des paquets définis à cet effet. D’autres périphériques externes peuvent utiliser ce marquage et fournir une gestion appropriée d’un paquet lors de son trajet d’un point à un autre point dans un réseau. Vous pouvez activer le marquage QoS pour une interface ou une stratégie individuelle. Lorsque vous définissez le marquage QoS pour une interface, chaque paquet sortant de cette interface est marqué. Lorsque vous définissez le marquage QoS pour une stratégie, tout le trafic utilisant cette stratégie est également marqué. Priorité du trafic Vous pouvez attribuer des niveaux de priorité différents aux stratégies ou pour le trafic sur une interface particulière. La définition de priorités pour le trafic au niveau du pare-feu vous permet de gérer plusieurs files d’attente de classes de services (CoS) et de réserver la priorité la plus élevée pour les données en temps réel ou les données de diffusion en continu. Une stratégie avec une priorité élevée risque de confisquer la bande passante à des connexions à priorité basse existantes, lorsque la liaison est saturée et que la bande passante ne suffit pas pour tout le trafic. User Guide 473 Gestion du trafic et QoS Limiter le nombre de connexions Afin d’améliorer la sécurité du réseau, vous pouvez créer une limite sur une stratégie de façon à ce qu’elle ne filtre qu’un nombre défini de connexions par seconde. En cas de tentatives de connexions supplémentaires, le trafic est refusé et un message de journal est généré. Vous pouvez également créer une alarme qui se déclenche lorsque cela se produit. Vous pouvez configurer l’alarme pour que Firebox envoie une notification d’événement au système de gestion SNMP ou envoie une notification sous la forme d’un e-mail ou d’une fenêtre contextuelle sur la station de gestion. 1. Double-cliquez sur une stratégie pour la modifier. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 2. Sélectionnez l’onglet Avancé. 3. Dans la liste déroulante Vitesse de connexion, sélectionnez le nombre maximal de connexions par seconde. La configuration par défaut n’inclut aucune limite sur la vitesse de connexion. Pour définir une limite, sélectionnez Personnaliser et saisissez le nombre maximal de connexions dans la zone de texte adjacente. 4. Si vous voulez recevoir une notification lors d’un dépassement de la vitesse de connexion, cochez la case Déclencher l’alarme lors du dépassement de la capacité. 5. Cliquez sur Notification et définissez les paramètres de notification, comme décrit dans Définir les préférences de journalisation et de notification à la page 656. 6. Cliquez sur OK. À propos de Marquage QoS Les réseaux actuels comprennent souvent plusieurs types de trafic réseau qui sont en concurrence pour la bande passante. Tout trafic, qu’il soit d’une importance vitale ou négligeable, a des chances égales d’atteindre sa destination dans le délai imparti. Le marquage de qualité de service (QoS) offre au trafic critique un traitement préférentiel afin de garantir sa remise d’une manière rapide et fiable. La fonctionnalité QoS doit être en mesure de différencier les différents types de flux de données qui parcourent votre réseau. Elle doit alors marquer les paquets de données. Le marquage QoS crée différentes catégories de services pour différents types de trafic réseau. Lorsque vous marquez le trafic, vous modifiez jusqu’à six bits sur les champs d’en-tête des paquets définis à cet effet. Firebox et d’autres périphériques prenant en charge la fonction QoS peuvent utiliser ce marquage pour fournir une gestion appropriée d’un paquet lors de son trajet d’un point à un autre sur un réseau. Fireware XTM prend en charge deux types de marquage QoS : le marquage de priorité IP (appelé également Classe de service) et le marquage DSCP (Differentiated Service Code Point). Pour plus d’informations sur ces types de marquage et les valeurs que vous pouvez définir, voir Types et valeurs de marquage à la page 476. 474 WatchGuard System Manager Gestion du trafic et QoS Avant de commencer n n Assurez-vous que votre matériel de réseau local prend en charge le marquage et la gestion QoS. Vous devez également vous assurer que votre fournisseur de services Internet prend en charge la fonction QoS. L’utilisation des procédures QoS sur un réseau exige des efforts importants de planification. Vous pouvez commencer par identifier la bande passante théoriquement disponible, puis déterminer les applications réseau à priorité élevée, celles particulièrement sensibles à la latence et aux instabilités, ou les deux. Marquage QoS pour interfaces et stratégies Vous pouvez activer le marquage QoS pour une interface ou une stratégie individuelle. Lorsque vous définissez le marquage QoS pour une interface, chaque paquet sortant de cette interface est marqué. Lorsque vous définissez le marquage QoS pour une stratégie, tout le trafic utilisant cette stratégie est également marqué. Le marquage QoS pour une stratégie remplace tout marquage QoS défini sur une interface. Par exemple, supposez que votre Firebox reçoit du trafic marqué QoS à partir d’un réseau approuvé et l’envoie vers un réseau externe. Sur le réseau approuvé, le marquage QoS est déjà appliqué, mais vous souhaitez que le trafic en direction de votre équipe de dirigeants bénéficie d’une priorité plus élevée que le reste du trafic réseau en provenance de l’interface approuvée. Tout d’abord, définissez le marquage QoS pour l’interface approuvée en spécifiant une valeur. Ensuite, ajoutez une stratégie avec le marquage QoS défini avec une valeur supérieure pour le trafic en direction de l’équipe dirigeante. Marquage Qos et trafic IPSec Si vous voulez appliquer la qualité de service (QoS) au trafic IPsec, vous devez créer une stratégie de parefeu spécifique pour la stratégie IPsec correspondante et appliquer le marquage QoS à cette stratégie. Vous pouvez également choisir si vous souhaitez préserver le marquage existant lorsqu’un paquet marqué est encapsulé dans un en-tête IPSec. Pour préserver le marquage : 1. Sélectionnez VPN > Paramètres VPN. La boîte de dialogue Paramètres VPN s’affiche. 2. Cochez la case Activer le type de service (TOS) pour IPSec. 3. Cliquez sur OK.. Tout marquage existant est préservé lorsque le paquet est encapsulé dans un en-tête IPSec. Pour supprimer le marquage : 1. Sélectionnez VPN > Paramètres VPN. La boîte de dialogue Paramètres VPN s’affiche. 2. Décochez la case Activer le type de service (TOS) pour IPSec. 3. Cliquez sur OK.. Les bits TOS sont réinitialisés et le marquage n’est pas préservé. User Guide 475 Gestion du trafic et QoS Types et valeurs de marquage Fireware XTM prend en charge deux types de marquage QoS : le marquage de priorité IP (appelé également Classe de service) et le marquage DSCP (Differentiated Service Code Point). Le marquage de priorité IP affecte uniquement les trois premiers bits de l’octet de type de service (ToS) IP. Le marquage DSCP étend le marquage aux six premiers bits de l’octet ToS IP. Ces deux méthodes vous permettent de conserver les bits de l’en-tête, qui peuvent avoir été marqués précédemment par un périphérique externe, ou de modifier leur valeur. Les valeurs DSCP peuvent être exprimées sous une forme numérique ou par des mots clés spéciaux qui correspondent au comportement par saut (PHB, per-hop behavior). Le comportement par saut correspond à la priorité appliquée à un paquet lors d’un trajet d’un point à un autre dans un réseau. Le marquage DSCP de Fireware prend en charge trois types de comportement par saut : Best Effort Best Effort correspond au type de service par défaut et est recommandé pour le trafic qui n’est pas critique ni en temps réel. Tout le trafic correspond à cette classe si vous n’utilisez pas le marquage QoS. Transfert assuré (AF) Le transfert assuré est recommandé pour le trafic qui a besoin d’une plus grande fiabilité que le type de service Best Effort. Avec un comportement par saut de type Transfert assuré (AF), le trafic peut être affecté dans trois classes : bas, moyen et élevé. Transfert expédié (EF) Ce type a la priorité la plus élevée. Il est généralement réservé pour le trafic critique et en temps réel. Les points de code de sélecteur de classe (CSx) sont définis de façon à assurer la compatibilité descendante avec les valeurs de priorité IP. Les points de code CS1 à CS7 sont identiques aux valeurs de priorité IP 1 à 7. Le tableau ci-dessous indique les valeurs DSCP que vous pouvez sélectionner, la valeur de priorité IP correspondante (qui est la même que la valeur CS) et la description par des mots clés PHB. Valeur DSCP Valeur de priorité IP équivalente (valeurs CS) 0 8 Description : mot clé de comportement par saut Best Effort (identique à aucun marquage) 1 Scavenger* 10 AF Classe 1 - Bas 12 AF Classe 1 - Moyen 14 AF Classe 1 - Élevé 16 2 18 AF Classe 2 - Bas 20 AF Classe 2 - Moyen 476 WatchGuard System Manager Gestion du trafic et QoS Valeur DSCP Valeur de priorité IP équivalente (valeurs CS) 22 Description : mot clé de comportement par saut AF Classe 2 - Élevé 24 3 26 AF Classe 3 - Bas 28 AF Classe 3 - Moyen 30 AF Classe 3 - Élevé 32 4 34 AF Classe 4 - Bas 36 AF Classe 4 - Moyen 38 AF Classe 4 - Élevé 40 5 46 EF 48 6 Contrôle Internet 56 7 Contrôle du réseau * La classe Scavenger est utilisée pour le trafic de la plus faible priorité (par exemple, les applications de partage de médias ou de jeu). Ce trafic a une priorité inférieure au type de service Best Effort. Pour plus d’informations sur les valeurs DSCP, consultez le document RFC suivant :http://www.rfceditor.org/rfc/rfc2474.txt Activer le marquage QoS pour une interface Vous pouvez définir le comportement de marquage par défaut lorsque le trafic sort d’une interface. Ces paramètres peuvent être remplacés par des paramètres définis pour une stratégie. 1. Sélectionnez Installation > Paramètres globaux. La boîte de dialogue Paramètres globaux s’affiche. 2. Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de service). Cliquez sur OK. Vous pouvez choisir de désactiver ces fonctionnalités ultérieurement si vous effectuez un test des performances ou un débogage du réseau. 3. Sélectionnez la Configuration > réseau. La boîte de dialogue Configuration du réseau s’affiche. 4. Sélectionnez l’interface pour laquelle vous souhaitez activer le marquage QoS. Cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’ouvre. 5. Cliquez sur l’onglet Avancé. User Guide 477 Gestion du trafic et QoS 6. Dans la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP. 7. Dans la liste déroulante Méthode de marquage, sélectionnez la méthode de marquage : n n n Préserver — Ne pas modifier la valeur actuelle du bit. Firebox définit les priorités du trafic en fonction de cette valeur. Attribuer — Attribuer une nouvelle valeur au bit. Effacer — Effacer la valeur de bit (la remettre à zéro). 8. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage. Si vous avez choisi le type de marquage Priorité IP, vous pouvez sélectionner des valeurs de 0 (priorité normale) à 7 (priorité la plus élevée). Si vous avez sélectionné le type de marquage DSCP, les valeurs vont de 0 à 56. Pour plus d’informations sur ces valeurs, voir Types et valeurs de marquage à la page 476. 9. Cochez la case Définir les priorités du trafic en fonction du marquage QoS. 10. Cliquez sur OK. Activer le marquage QoS ou les paramètres de priorité d’une stratégie Outre le marquage du trafic quittant une interface Firebox, vous pouvez marquer le trafic stratégie par stratégie. L’action de marquage que vous sélectionnez est appliquée à tout le trafic qui utilise la stratégie. Plusieurs stratégies qui utilisent les mêmes actions de marquage n’ont aucun effet les unes sur les autres. Les interfaces Firebox peuvent également avoir leurs propres paramètres de marquage QoS. Pour utiliser le marquage QoS ou les paramètres de définition des priorités pour une stratégie, vous devez remplacer tous les paramètres de marquage QoS par interface. 1. Double-cliquez sur l’icône de la stratégie dont vous souhaitez marquer le trafic. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 2. Cliquez sur l’onglet Avancé. 3. Cliquez sur l’onglet QoS dans la partie centrale de la boîte de dialogue. 478 WatchGuard System Manager Gestion du trafic et QoS 4. Cochez la case Remplacer les paramètres par interface pour activer les autres champs QoS et de définition des priorités. 5. Complétez les paramètres tels que décrit dans les rubriques suivantes. 6. Cliquez sur OK. 7. Enregistrer le fichier de configuration Paramètres de marquage QoS Pour plus d’informations sur les valeurs de marquage QoS, voir Types et valeurs de marquage à la page 476. 1. Dans la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP. 2. Dans la liste déroulante Méthode de marquage, sélectionnez la méthode de marquage : n n n Préserver — Ne pas modifier la valeur actuelle du bit. Firebox définit les priorités du trafic en fonction de cette valeur. Attribuer — Attribuer une nouvelle valeur au bit. Effacer — Effacer la valeur de bit (la remettre à zéro). 3. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage. Si vous avec choisi le type de marquage Priorité IP, vous pouvez sélectionner des valeurs de 0 (priorité normale) à 7 (priorité la plus élevée). Si vous avez sélectionné le type de marquage DSCP, les valeurs vont de 0 à 56. 4. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez Marquage QoS. Paramètres de définition des priorités De nombreux algorithmes différents peuvent être utilisés pour définir des priorités pour le trafic réseau. Fireware XTM utilise une méthode de mise en file d’attente basée sur les classes, de hautes performances, qui s’appuie sur l’algorithme Hierarchical Token Bucket. La définition des priorités dans Fireware XTM s’applique stratégie par stratégie et équivaut aux niveaux de classe de service (CoS) 0 à 7, où 0 correspond à une priorité normale (par défaut) et 7 à la priorité la plus élevée. Le niveau 5 est communément utilisé pour diffuser en continu des données, comme dans le cas de la vidéoconférence ou de VoIP. Réservez les niveaux 6 et 7 pour les stratégies qui permettent des connexions d’administration système afin de garantir leur disponibilité constante et d’éviter les interférences provenant d’un autre trafic réseau à priorité élevée. Utilisez le tableau des niveaux de priorité comme référence lorsque vous attribuez des priorités. User Guide 479 Gestion du trafic et QoS 1. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez Valeur personnalisée. 2. Dans la liste déroulante Valeur, sélectionnez un niveau de priorité. Niveaux de priorité Nous vous recommandons d’attribuer une priorité supérieure à 5 seulement aux stratégies administratives WatchGuard, telles que la stratégie WatchGuard, la stratégie WG-Logging ou la stratégie WG-Mgmt-Server. Attribuez au trafic d’entreprise de priorité élevée une priorité égale ou inférieure à 5. Priorité Description 0 Routine (HTTP, FTP) 1 Priorité 2 Immédiat (DNS) 3 Flash (Telnet, SSH, RDP) 4 Ignorer le flash 5 Critique (VoIP) 6 Contrôle de l’interconnectivité Internet (configuration de routeur distant) 7 Contrôle du réseau (gestion de pare-feu, de routeur et de commutateur) Activer le marquage QoS pour un tunnel BOVPN géré Pour utiliser la fonction QoS avec un tunnel BOVPN administré, vous devez créer un modèle de stratégie pare-feu VPN et appliquer ce modèle au tunnel BOVPN administré. Vous ne pouvez pas modifier la stratégie Tout par défaut pour les tunnels BOVPN administrés. Vous pouvez utiliser le marquage QoS dans un modèle de stratégie de pare-feu VPN afin de définir différentes priorités pour les tunnels BOVPN administrés utilisant différents modèles de stratégie. L’action de marquage que vous sélectionnez est appliquée à tout le trafic qui utilise le modèle de stratégie. 1. Démarrez WatchGuard System Manager et connectez-vous à un serveur de gestion Management Server. 2. Cliquez sur l’onglet Gestion des périphériques. 3. Développez les dossiers VPN administrés et Modèles de stratégie pare-feu VPN. 4. Sélectionnez un modèle de stratégie pare-feu VPN dans l’arborescence afin de le modifier ou Ajouter des modèles de stratégie de pare-feu VPN. 5. Dans la rubrique Paramètres, cliquez sur Configurer. La boîte de dialogue Modèle de stratégie pare-feu VPN s’affiche. 6. Cliquez sur l’onglet Avancé. 480 WatchGuard System Manager Gestion du trafic et QoS 7. Cochez la case Remplacer les paramètres par interface. 8. Dans la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP. 9. Dans la liste déroulante Méthode de marquage, sélectionnez la méthode de marquage : n n n Préserver — Ne pas modifier la valeur actuelle du bit. Firebox définit les priorités du trafic en fonction de cette valeur. Attribuer — Attribuer une nouvelle valeur au bit. Effacer — Effacer la valeur de bit (la remettre à zéro). 10. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage. Si vous avec choisi le type de marquage Priorité IP, vous pouvez sélectionner des valeurs de 0 (priorité normale) à 7 (priorité la plus élevée). Si vous avez sélectionné le type de marquage DSCP, les valeurs vont de 0 à 56. 11. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez la méthode de définition des priorités pour le trafic : n n Valeur personnalisée — Utilisez une valeur personnalisée pour donner une priorité au trafic. Marquage QoS — Donnez une priorité au trafic en fonction des paramètres de marquage QoS pour ce modèle de stratégie. 12. Si vous avez sélectionné Valeur personnalisée dans la liste déroulante Valeur, sélectionnez un niveau de priorité. Pour plus d’informations sur les valeurs de priorité de trafic, voir le tableau dans Activer le marquage QoS ou les paramètres de priorité d’une stratégie. 13. Cliquez sur OK. User Guide 481 Gestion du trafic et QoS Contrôle du trafic et définition de stratégies Définir un Action de gestion de trafic Les actions de gestion de trafic permettent d’appliquer des restrictions de bande passante et de garantir une quantité minimum de bande passante pour une ou plusieurs stratégies. Chaque action de gestion de trafic peut comporter des paramètres pour plusieurs interfaces. Par exemple, sur une action de gestion de trafic utilisée avec une stratégie HTTP pour une petite société, vous pouvez régler la bande passante minimale garantie d’une interface approuvée à 250 Kbits/s et la bande passante maximale à 1000 Kbits/s. Ceci permet de limiter les vitesses auxquelles les utilisateurs peuvent télécharger des fichiers, mais garantit qu’une petite quantité de bande passante soit toujours disponible pour le trafic HTTP. Vous pouvez alors régler la bande passante minimale garantie d’une interface externe à 150 Kbits/s et la bande passante maximale à 300 Kbits/s afin de gérer les vitesses de transfert de fichiers en même temps. Déterminer la bande passante disponible Avant de commencer, vous devez déterminer la bande passante disponible de l’interface utilisée pour la ou les stratégies pour lesquelles vous souhaitez garantir la bande passante. Pour les interfaces externes, vous pouvez contacter votre fournisseur de services Internet pour vérifier le niveau de bande passante garanti accordé par votre contrat. Vous pouvez ensuite procéder à un test de vitesse grâce aux outils en ligne pour vérifier cette valeur. Ces outils peuvent donner des valeurs différentes en fonction du nombre de variables. Pour d’autres interfaces, vous pouvez considérer que la vitesse de connexion sur l’interface Firebox correspond à la bande passante maximale théorique pour ce réseau. Vous devez également prendre en considération les besoins en termes d’envoi et de réception d’une interface et régler la valeur seuil en fonction de ces besoins. Si votre connexion Internet est asymétrique, utilisez la bande passante de liaison montante définie par votre fournisseur de services Internet comme valeur seuil. Déterminer la somme de votre bande passante Vous devez également déterminer la somme de la bande passante que vous souhaitez garantir pour toutes les stratégies d’une interface donnée. Par exemple, sur une interface externe de 1500 Kbits/s, vous pouvez choisir de réserver 600 Kbits/s pour l’intégralité de la bande passante garantie et utiliser les 900 Kbits/s restants pour le reste du trafic. Toutes les stratégies qui utilisent une action de gestion de trafic donnée partagent ses paramètres de vitesse de connexion et de bande passante. Lors de leur création, les stratégies appartiennent automatiquement à l’action de gestion de trafic par défaut laquelle n’applique aucune restriction ni réservation. Si vous créez une action de gestion de trafic pour définir une bande passante maximale de 10 Mbits/s et l’appliquez à une stratégie FTP et à une stratégie HTTP, toutes les connexions gérées par ces stratégies doivent partager 10 Mbits/s. Si vous appliquez ultérieurement la même action de gestion de trafic à une stratégie SMTP, les trois stratégies doivent se partager 10 Mbits/s. Ceci s’applique également aux limites de vitesse de connexion ainsi qu’à la bande passante minimale garantie. La bande passante garantie inutilisée, réservée par une action de gestion de trafic, peut être utilisée par les autres actions de gestion de trafic. 482 WatchGuard System Manager Gestion du trafic et QoS Créer ou modifier une action de gestion de trafic 1. Double-cliquez sur la stratégie pour laquelle vous souhaitez garantir une bande passante minimale. Cliquez sur l’onglet Avancé. Cliquez sur . Ou sélectionnez Installation > Actions > Gestion de trafic et cliquez sur Ajouter. La boîte de dialogue Configuration de la nouvelle action de gestion de trafic s’affiche. 2. Dans la rubrique Configuration de bande passante pour le trafic sortant, cliquez sur Ajouter. Une liste déroulante d’interface s’affiche. 3. Dans la colonne Interface, cliquez sur la liste déroulante pour sélectionner l’interface pour laquelle vous souhaitez définir une bande passante minimale. 4. Double-cliquez sur les colonnes Bande passante minimale garantie et Bande passante maximale pour en modifier les paramètres. Saisissez un nombre pour définir la bande passante minimale ou maximale en kilo-octets par seconde. 5. Cliquez sur OK. 6. Si vous avez défini l’action de trafic à partir d’une définition de stratégie, la nouvelle action de trafic figure à présent dans Gestion du trafic, sous l’onglet Avancé. Si vous avez défini les actions de trafic dans Installation > Actions > Gestion du trafic, vous devez Ajouter une une action de gestion de trafic à une stratégie pour que cela s’applique sur votre réseau. Ajouter une une action de gestion de trafic à une stratégie Après que vous Définir un Action de gestion de trafic, vous pouvez l’ajouter aux définitions de la stratégie. Vous pouvez également ajouter une action de gestion de trafic existante aux définitions de stratégie. User Guide 483 Gestion du trafic et QoS 1. Double-cliquez sur la stratégie pour laquelle vous souhaitez garantir une bande passante minimale. 2. Cliquez sur l’onglet Avancé. 3. Dans la liste déroulante Gestion du trafic, sélectionnez une action de gestion de trafic à appliquer à la stratégie. 4. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie. Si la somme de toutes les bandes passantes garanties pour une interface s’approche de la limite de bande passante que vous avez définie pour cette interface, ou la dépasse, un message d’avertissement s’affiche. La nouvelle action figure dans la boîte de dialogue Actions de gestion du trafic. Si vous voulez effectuer le suivi de la bande passante utilisée par une stratégie, affichez l’onglet Suivi du service de Firebox System Manager et spécifiez Bande passante à la place de Connexions. Pour plus d’informations, voir Affichage visuel de utilisation des stratégies (onglet Suivi du service) à la page 700. Note Si vous avez une configuration multi-WAN, les limites de bande passante sont appliquées séparément à chaque interface. Appliquer une action de gestion de trafic à plusieurs stratégies Lorsque la même action de gestion de trafic est ajoutée à plusieurs stratégies, les bandes passantes maximale et minimale s’appliquent à chaque interface de votre configuration. Si deux stratégies partagent une action qui comporte une bande passante maximale de 100 Kbits/s sur une seule interface, alors tout le trafic sur cette interface qui sera conforme à ces stratégies sera limité à 100 Kbits/s au total. Si vous disposez d’une bande passante limitée sur une interface utilisée pour plusieurs applications, chacune avec des ports uniques, vous pourrez avoir besoin de toutes les connexions haute priorité pour partager une action de gestion de trafic. Si vous disposez de beaucoup de bande passante supplémentaire, vous pouvez créer des actions de gestion de trafic séparées pour chaque application. Ajouter une action de gestion de trafic à une stratégie de parefeu BOVPN Pour utiliser la gestion de trafic avec un tunnel BOVPN administré, vous devez créer un modèle de stratégie pare-feu VPN et appliquer ce modèle au tunnel BOVPN administré. Vous ne pouvez pas modifier la stratégie Tout par défaut pour les tunnels BOVPN administrés. Vous pouvez utiliser la gestion de trafic dans un modèle de stratégie de pare-feu VPN pour définir différentes limites de bande passante pour les tunnels BOVPN administrés utilisant différents modèles de stratégie. L’action de marquage que vous sélectionnez est appliquée à tout le trafic qui utilise le modèle de stratégie. 1. Démarrez WatchGuard System Manager et connectez-vous à un serveur de gestion Management Server. 2. Cliquez sur l’onglet Gestion des périphériques. 484 WatchGuard System Manager Gestion du trafic et QoS 3. Développez les dossiers VPN administrés et Modèles de stratégie pare-feu VPN. 4. Sélectionnez un modèle de stratégie pare-feu VPN dans l’arborescence afin de le modifier ou Ajouter des modèles de stratégie de pare-feu VPN. 5. Dans la rubrique Paramètres, cliquez sur Configurer. La boîte de dialogue Modèle de stratégie pare-feu VPN s’affiche. 6. Cliquez sur l’onglet Gestion du trafic. 7. Cochez la case Spécifier une action de gestion de trafic personnalisée. 8. Définissez l’action de gestion de trafic personnalisée tel que décrit dans Définir un Action de gestion de trafic à la page 482. 9. Cliquez sur OK. User Guide 485 Gestion du trafic et QoS User Guide 486 16 Default Threat Protection À propos de default threat protection Le système d’exploitation WatchGuard Fireware XTM et les stratégies que vous créez vous permettent de contrôler rigoureusement l’accès à votre réseau. Une stratégie d’accès stricte permet de protéger votre réseau des pirates. En revanche, il existe d’autres types d’attaques qu’une simple stratégie stricte n’est pas en mesure de déjouer. Une configuration rigoureuse des options Default Threat Protection du périphérique WatchGuard permet d’arrêter différents types d’attaques (par exemple, les attaques SYN Flood, d’usurpation ou d’exploration des espaces de ports et d’adresses). Avec Default Threat Protection, un pare-feu examine la source et la destination de chaque paquet qu’il reçoit. Il vérifie l’adresse IP et le numéro de port et contrôle les paquets à la recherche de modèles indiquant un danger pour votre réseau. En cas de danger, vous pouvez configurer le périphérique WatchGuard pour qu’il bloque automatiquement une attaque éventuelle. Cette méthode proactive de détection et de prévention des intrusions permet de protéger votre réseau des personnes malveillantes. Pour configurer Default Threat Protection, cf. : n n n À propos de options de gestion des paquets par défaut À propos de sites bloqués À propos de Ports bloqués Vous pouvez également acheter une mise à niveau du périphérique WatchGuard pour utiliser la fonctionnalité Intrusion Prevention basée sur les signatures. Pour plus d’informations, voir À propos de Gateway AntiVirus et Intrusion Prévention à la page 1095. User Guide 487 Default Threat Protection À propos de options de gestion des paquets par défaut Lorsque le périphérique WatchGuard reçoit un paquet, il examine sa source et sa destination. Il vérifie l’adresse IP et le numéro de port. Il contrôle également les paquets à la recherche de modèles indiquant un danger pour votre réseau. Ce processus est appelé gestion des paquets par défaut. La gestion des paquets par défaut permet les actions suivantes : n n n n n Rejeter un paquet qui pourrait représenter un risque de sécurité, y compris les paquets qui pourraient faire partie d’une attaque d’usurpation ou d’une attaque SYN Flood ; Bloquer automatiquement tout le trafic vers l’adresse IP et en provenant ; Ajouter un évènement au fichier journal ; Envoyer une interruption SNMP au Management Server SNMP ; Envoyer une notification relative aux risques de sécurité potentiels. La plupart des options de gestion des paquets par défaut sont activées dans la configuration par défaut du périphérique WatchGuard. Vous pouvez modifier les seuils de prise d’action du périphérique WatchGuard. Vous pouvez également modifier les options sélectionnées pour la gestion des paquets par défaut. 1. Dans Policy Manager, cliquez sur . Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. 488 WatchGuard System Manager Default Threat Protection 2. Activez les cases à cocher pour les modèles de trafics contre lesquels vous souhaitez agir, en vous basant sur les explications fournies dans les rubriques suivantes : n n n n n n À propos de attaques d’usurpation à la page 489 À propos de Attaques d’Itinéraire source des adresses IP à la page 490 À propos de exploration des espaces de ports et d’adresses à la page 491 À propos de Attaques Flood à la page 493 À propos de À propos des paquets non gérés à la page 494 À propos des attaques de prévention répartie contre les refus de service à la page 496 Définir des options de journalisation et de notification La configuration par défaut du périphérique WatchGuard indique au périphérique WatchGuard d’envoyer un message du journal lorsqu’un évènement spécifié dans la boîte de dialogue Gestion des paquets par défautse produit. Pour configurer une interruption SNMP ou une notification : 1. Cliquez sur Journalisation. La boîte de dialogue Journalisation et notification s’ouvre. 2. Configurez les paramètres de notification tel que décrit dans Définir les préférences de journalisation et de notification à la page 656. À propos de attaques d’usurpation Une des méthodes utilisées par les personnes malveillantes pour accéder à un réseau consiste à créer une fausse identité électronique . Il s’agit d’une méthode d’ usurpation d’IP utilisée par les personnes malveillantes pour envoyer un paquet TCP/IP avec une adresse IP différente de celle du premier ordinateur à l’avoir envoyé en premier. Lorsque la protection contre l’usurpation est activée, le périphérique WatchGuard s’assure que l’adresse IP source d’un paquet provient bien d’un réseau sur cette interface. Dans la configuration par défaut, le périphérique WatchGuard rejette les attaques d’usurpation. Pour modifier les paramètres de cette fonctionnalité : 1. Dans Policy Manager, cliquez sur . Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. User Guide 489 Default Threat Protection 2. Activez ou désactivez les cases à cocher Rejeter les attaques d’usurpation. 3. Cliquez sur OK. À propos de Attaques d’Itinéraire source des adresses IP Pour trouver l’itinéraire pris par les paquets sur votre réseau, les personnes malveillantes lancent des attaques d’itinéraire source d’adresses IP. Elles peuvent envoyer un paquet IP et utiliser la réponse envoyée par votre réseau et obtenir des informations sur le système d’exploitation de l’ordinateur cible ou du périphérique réseau. Dans la configuration par défaut, le périphérique WatchGuard bloque les attaques d’itinéraire source d’adresse IP. Pour modifier les paramètres de cette fonctionnalité : 1. Dans Policy Manager, cliquez sur . Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. 490 WatchGuard System Manager Default Threat Protection 2. Activez ou désactivez les cases à cocherRejeter itinéraire source d’adresse IP. 3. Cliquez sur OK. À propos de exploration des espaces de ports et d’adresses Les personnes malveillantes cherchent fréquemment des ports ouverts aux points de départ pour lancer des attaques réseau. Une exploration d’espace de port correspond à du trafic TCP ou UDP envoyé à une plage de ports. Il peut s’agir d’une séquence de ports ou de ports aléatoires, de 0 à 65535. Une exploration d’espace d’adresses correspond à du trafic TCP ou UDP envoyé à une plage d’adresses réseau. Les explorations de l’espace de ports examinent un ordinateur pour trouver les services qu’il utilise. Les explorations de l’espace d’adresses examinent un réseau pour déterminer les périphériques réseau situés sur ce réseau. Pour de plus amples informations sur les ports, cf. À propos des ports à la page viii. Note Le périphérique WatchGuard détecte les explorations des espaces de ports et d’adresses uniquement sur les interfaces dont le type est configuré sur Externe. User Guide 491 Default Threat Protection Méthode d’identification des explorations réseau du périphérique WatchGuard Une exploration de l’espace d’adresses est identifiée lorsqu’un ordinateur sur un réseau externe envoie un nombre spécifié de paquets à différentes adresses IP affectées à des interfaces externes du périphérique WatchGuard. Pour identifier une exploration de l’espace de ports, le périphérique WatchGuard compte le nombre de paquets envoyés à partir d’une adresse IP vers les adresses IP d’interface externe. Les adresses peuvent inclure l’adresse IP d’interface externe ainsi que toute adresse IP secondaire configurée sur l’interface externe. Si le nombre de paquets envoyés à différentes adresses IP ou ports de destination en une seconde est plus élevé que le nombre défini, l’adresse IP source est ajoutée à la liste des sites bloqués. Lorsque les cases à cocher Bloquer les explorations d’adresses de port et Bloquer les explorations de l’espace d’adresses sont activées, l’ensemble du trafic entrant d’une interface externe est examiné par le périphérique WatchGuard. Vous ne pouvez pas désactiver ces fonctionnalités pour des adresses IP spécifiées ou des périodes de temps différentes. Protection contre les explorations d’espaces de ports et d’espaces d’adresses Dans la configuration par défaut, le périphérique WatchGuard bloque les explorations réseau. Vous pouvez modifier les paramètres pour cette fonctionnalité et modifier le nombre maximum explorations d’espaces de ports et d’espaces d’adresses par seconde pour chaque adresse IP source (la valeur par défaut est 50). 1. Dans Policy Manager, cliquez sur . Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. 492 WatchGuard System Manager Default Threat Protection 2. Activez ou désactivez les cases à cocher Bloquer les explorations d’espace de ports et Bloquer les explorations d’espace d’adresses. 3. Utilisez les flèches pour sélectionner le nombre maximal d’explorations de ports ou d’adresses par seconde à autoriser en provenance de la même adresse IP. La valeur par défaut pour la fonctionnalité Bloquer les explorations d’espaces de ports est de 100, et la valeur par défaut pour la fonctionnalité et Bloquer les explorations d’espaces d’adresses est de 50. Une source est donc bloquée si elle initie des connexions à 100 ports ou à 50 hôtes différents en une seconde. 4. Cliquez sur OK. Pour bloquer les attaques de personnes malveillantes plus rapidement, définissez le seuil du nombre maximal d’explorations de ports ou d’adresses par seconde sur une valeur moins élevée. Si le nombre défini est trop bas, le périphérique WatchGuard pourrait aussi refuser le trafic réseau légitime. Le risque de bloquer du trafic réseau légitime est moindre si vous définissez la valeur sur un niveau élevé, mais le périphérique WatchGuard doit envoyer des paquets de réinitialisations TCP pour chaque connexion qu’il rejette. Ces envois utilisent de la bande passante et des ressources du périphérique WatchGuard et fournissent des informations sur le pare-feu à la personne malveillante. À propos de Attaques Flood Lors d’une attaque Flood, des personnes malveillantes envoient un volume très important de trafic à un système l’empêchant ainsi de l’examiner et d’autoriser le trafic réseau légitime. Par exemple, une attaque ICMP Flood se produit lorsqu’un système reçoit un nombre de commandes ping ICMP tel qu’il est obligé d’utiliser toutes ses ressources pour envoyer des commandes de réponse. Le périphérique WatchGuard offre une protection contre les types d’attaques Flood suivants : n n n n n IPSec IKE ICMP SYN UDP Les attaques Flood sont également appelées attaques de refus de service (DoS, Denial of Service). Dans la configuration par défaut, le périphérique WatchGuard bloque les attaques Flood. Pour modifier les paramètres pour cette fonctionnalité ou modifier le nombre maximum de paquets autorisés par seconde : 1. Dans Policy Manager, cliquez sur . Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. User Guide 493 Default Threat Protection 2. Activez ou désactivez les cases à cocher Attaque Flood. 3. Utilisez les flèches pour sélectionner le nombre maximal de paquets autorisés par seconde pour chaque adresse IP source. Par exemple, si le paramètre est réglé sur 1 000, Firebox bloque une source s’il reçoit plus de 1 000 paquets par seconde en provenance de cette source. 4. Cliquez sur OK. À propos du paramètre des attaques SYN Flood Pour les attaques SYN Flood, vous pouvez définir le seuil en fonction duquel le périphérique WatchGuard établit un rapport sur une attaque SYN Flood possible, mais aucun paquet n’est rejeté si le nombre de paquets sélectionné n’est pas dépassé. Lorsque le double du seuil défini est atteint, tous les paquets SYN sont rejetés. Si le niveau atteint se situe entre le niveau défini et le double de ce niveau, et que les valeurs src_IP, dst_IP et total_length d’un paquet sont identiques au précédent paquet reçu, ce paquet est toujours rejeté. Sinon, 25 % des nouveaux paquets reçus sont rejetés. Par exemple, admettons que vous définissiez le seuil d’attaque SYN Flood sur 18 paquets/sec. Lorsque le périphérique WatchGuard reçoit 18 paquets/sec., il vous envoie un rapport d’attaque SYN Flood éventuelle, mais il ne rejette aucun paquet. Par contre, s’il reçoit 20 paquets par seconde, il rejette 25 % des paquets reçus (5 paquets). Si le périphérique reçoit 36 paquets ou plus, les 18 derniers paquets ou plus sont rejetés. À propos de À propos des paquets non gérés Un paquet non géré est un paquet qui ne correspond à aucune règle de stratégie. Le périphérique WatchGuard refuse toujours les paquets non gérés, mais vous pouvez prendre des mesures supplémentaires pour protéger votre réseau en modifiant les paramètres du périphérique. 494 WatchGuard System Manager Default Threat Protection 1. Dans Policy Manager, cliquez sur . Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. 2. Activez ou désactivez les cases à cocher correspondant aux options suivantes : Bloquer automatiquement la source des paquets non traités Sélectionnez l’option permettant de bloquer automatiquement la source des paquets non gérés. Le périphérique WatchGuard ajoute l’adresse IP qui a envoyé le paquet à la liste Sites bloqués temporairement. Envoyer un message d’erreur aux clients dont les connexions sont désactivées Sélectionnez l’option permettant de renvoyer une réinitialisation TCP ou une erreur ICMP au client lorsque le périphérique WatchGuard reçoit un paquet non géré. Consulter les statistiques sur les paquets non gérés Vous pouvez consulter les statistiques relatives aux paquets non gérés reçus par le périphérique WatchGuard sur le Affichage visuel de utilisation des stratégies (onglet Suivi du service) dans Firebox System Manager. Utilisez la liste déroulante Afficher les connexions par pour afficher les connexions par règle plutôt que par stratégie. User Guide 495 Default Threat Protection À propos des attaques de prévention répartie contre les refus de service Les attaques de refus de service distribué (DDoS, Distributed Denial of Service) sont quasiment identiques aux attaques flood. Lors d’une attaque DDoS, un grand nombre de clients et serveurs différents envoient des connexions à un ordinateur pour tenter d’inonder le système. Lorsqu’une attaque DDoS se produit, elle empêche les utilisateurs habituels d’utiliser le système cible. Dans la configuration par défaut, le périphérique WatchGuard bloque les attaques DDoS. Vous pouvez modifier les paramètres pour cette fonctionnalité et modifier le nombre maximum de connexions autorisées par seconde. 1. Dans Policy Manager, cliquez sur . Sinon, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut. La page de gestion des paquets par défaut s’affiche. 2. Activez ou désactivez les cases à cocher Quota par client ou Quota par serveur. 3. Utilisez les touches de direction pour définir le nombre maximal de connexions par seconde autorisé à partir d’une adresse IP source protégée par le périphérique WatchGuard (Quota par client) ou vers une adresse IP de destination protégée par le périphérique WatchGuard (Quota par serveur). Les connexions qui dépassent ce quota sont rejetées. 496 WatchGuard System Manager Default Threat Protection À propos de sites bloqués Un site bloqué est représenté par une adresse IP qui n’est pas autorisée à se connecter via le périphérique WatchGuard. Vous indiquez au périphérique WatchGuard de bloquer des sites spécifiques connus pour présenter ou pouvant présenter un risque de sécurité. Une fois que vous avez identifié la source du trafic suspect, vous pouvez bloquer l’ensemble des connexions en provenance de cette adresse IP. Il vous est en outre possible de configurer le périphérique WatchGuard pour qu’il envoie un message du journal chaque fois que la source tente de se connecter à votre réseau. Les services utilisés par les sources lors de leurs attaques sont mentionnés dans le fichier journal. L’ensemble du trafic provenant d’une adresse IP bloquée est rejeté. Vous pouvez définir deux types d’adresses IP bloquées : les adresses permanentes et les adresses automatiquement bloquées. Sites bloqués de façon permanente Le trafic réseau en provenance de sites bloqués de façon permanente est systématiquement refusé. Ces adresses IP sont stockées dans la liste des sites bloqués et doivent être ajoutées manuellement. Par exemple, vous pouvez ajouter à la liste des sites bloqués une adresse IP qui tente constamment d’analyser votre réseau, afin d’empêcher les analyses de port à partir de ce site. Pour bloquer un site, cf. Bloquer un site de façon permanente à la page 497. Liste des sites automatiquement bloqués/sites bloqués de façon temporaire Les paquets issus de sites automatiquement bloqués sont refusés pour la durée choisie. Pour déterminer si un site doit être bloqué, le périphérique Firebox se base sur les règles de traitement des paquets spécifiées dans chaque stratégie. Par exemple, si vous créez une stratégie visant à refuser l’intégralité du trafic qui transite par le port 23 (Telnet), toute adresse IP essayant de faire circuler des données Telnet par le biais de ce port est automatiquement bloquée pour la durée spécifiée. Pour savoir comment bloquer automatiquement les sites dont le trafic est refusé, cf. Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Par ailleurs, vous avez la possibilité de bloquer automatiquement les sites fournissant des paquets qui ne correspondent à aucune des règles de stratégie. Pour plus d’informations, voir À propos de À propos des paquets non gérés à la page 494. Bloquer un site de façon permanente 1. Dans Policy Manager, cliquez sur . Sinon, sélectionnez Configurer > Default Threat Protection > Sites bloqués. La boîte de dialogue Configuration des sites bloqués s’affiche. User Guide 497 Default Threat Protection 2. Cliquez sur Ajouter. La boîte de dialogue Ajouter un site s’affiche. 3. Dansla liste déroulante Choisirun type,sélectionnez une méthode d’identificationdu site bloqué. Lesoptions sontles suivantes : IP del’hôte, IPréseau, Plaged’hôtesou Nomde l’hôte(recherche DNS). 4. Entrez la valeur. La valeur indique s’il s’agit d’une adresse IP ou d’une plage d’adresses IP. Si vous devez bloquer une plage d’adresses incluant une ou plusieurs adresses IP affectées au périphérique WatchGuard, commencez par inclure ces adresses IP dans la liste des exceptions aux sites bloqués. Pour ajouter des exceptions, cf. Créer Exceptions aux sites bloqués à la page 499. 5. (Facultatif) Entrez un commentaire pour fournir des informations concernant le site. 6. Cliquez sur OK. Le nouveau site est ajouté à la liste des sites bloqués. Configurer la journalisation pour les sites bloqués Vous pouvez configurer le périphérique WatchGuard pour qu’il crée une entrée de journal ou envoie un message de notification si un ordinateur tente de se connecter à un site bloqué. Dans la boîte de dialogue Configuration des sites bloqués : 498 WatchGuard System Manager Default Threat Protection 1. Cliquez sur Journalisation. La boîte de dialogue Journalisation et notification s’ouvre. 2. Configurez les paramètres de notification tel que décrit dans Définir les préférences de journalisation et de notification à la page 656. Créer Exceptions aux sites bloqués Lorsque vous ajoutez un site à la liste des exceptions aux sites bloqués, le trafic vers ce site n’est pas bloqué par la fonctionnalité de blocage automatique. 1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Sites bloqués. 2. Cliquez sur l’onglet Exceptions aux sites bloqués. 3. Cliquez sur Ajouter. La boîte de dialogue Ajouter un site s’affiche. 4. Dans la liste déroulante Choisir un type, sélectionnez un type de membre. Les options sont les suivantes : IP de l’hôte, IP réseau, Plage d’hôtesou Nom de l’hôte (recherche DNS). 5. Entrez la valeur du membre. Le type de membre indique s’il s’agit d’une adresse IP ou d’une plage d’adresses IP. Lorsque vous entrez une adresse IP, tapez tous les chiffres sans oublier le point. N’utilisez pas les touches TAB ni les touches de direction. 6. Cliquez sur OK. Importer une liste des sites bloqués ou des exceptions aux sites bloqués Si vous gérez plusieurs périphériques WatchGuard et que vous souhaitez utiliser la même liste de sites bloqués ou d’exceptions aux sites bloqués sur plus d’un périphérique, vous pouvez créer une liste des sites à bloquer dans un fichier texte (.txt) et importer le fichier dans chaque périphérique. User Guide 499 Default Threat Protection Les adresses IP que vous y indiquez doivent être séparées par des espaces ou des sauts de ligne. Pour préciser les réseaux, utilisez des barres obliques. Pour indiquer une plage d’adresses, indiquez la première adresse de la plage, suivie d’un tiret, puis la dernière adresse. Un fichier texte importé peut, par exemple, se présenter ainsi : 2.2.2.2 5.5.5.0/24 3.3.3.3-3.3.3.8 6.6.6.6 7.7.7.7 Pour importer les adresses IP dans les sites bloqués ou la liste des exceptions aux sites bloqués pour le périphérique WatchGuard actuel : 1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Sites bloqués. La boîte de dialogue Configuration des sites bloqués s’affiche. 2. Pour importer des sites bloqués à partir d’un fichier, cliquez sur l’onglet Sites bloqués. Sinon, pour importer les exceptions aux sites bloqués, cliquez sur l’onglet Exceptions aux sites bloqués. 3. Cliquez sur Importer. La boîte de dialogue Sélectionner un fichier s’affiche. 4. Parcourez l’arborescence pour sélectionner le fichier. Cliquez sur Sélectionner un fichier. Les sites repris dans le fichier apparaissent dans la liste des sites bloqués ou des exceptions aux sites bloqués. 5. Cliquez sur OK. Bloquer temporairement les sites avec des paramètres de stratégie Pour bloquer temporairement des sites tentant d’utiliser un service refusé, vous pouvez recourir à la configuration de stratégie. Les adresses IP des paquets refusés sont ajoutées à la liste des sites bloqués de façon temporaire, pour une durée de 20 minutes (par défaut). 1. Dans Policy Manager, double-cliquez sur l’icône de stratégie pour le service refusé. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 2. Dans l’onglet Stratégie , assurez-vous de sélectionner dans la liste déroulante Les connexions sont l’option refusée ou refusée (envoyer réinitialisation). 3. Dans l’onglet Propriétés, activez la case à cocher Bloquer automatiquement les sites qui tentent de se connecter. Par défaut, les adresses IP des paquets refusés sont ajoutées à la liste des sites bloqués de façon temporaire, pour une durée de 20 minutes. Si vous activez la journalisation des sites bloqués de manière temporaire, les messages du journal peuvent vous aider à choisir les adresses IP à bloquer de manière permanente. Pour activer la journalisation des paquets refusés : 1. Dans la définition de stratégie, cliquez sur l’onglet Propriétés 2. Cliquez sur Journalisation. 3. Activez la case à cocher Envoyer un message du journal . Pour de plus amples informations sur la journalisation, cf. Définir les préférences de journalisation et de notification à la page 656. Modifier la durée du blocage automatique des sites Pour activer la fonctionnalité blocage automatique : 500 WatchGuard System Manager Default Threat Protection Dans Policy Manager, sélectionnez Configurer > Default Threat Protection >Gestion des paquets par défaut. Pour plus d’informations, voir À propos de À propos des paquets non gérés à la page 494. Pour bloquer automatiquement des sites tentant d’utiliser un service refusé, vous pouvez recourir aux paramètres de stratégie. Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 500. Pour définir la durée du blocage automatique des sites : 1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Sites bloqués. 2. Sélectionnez l’onglet Blocageauto. 3. Pour modifier la durée du blocage automatique du site, entrez ou sélectionnez le nombre de minutes de blocage d’un site dans la zone de texte Durée du blocage automatique des sites La valeur par défaut est de 20 minutes. 4. Cliquez sur OK. À propos de Ports bloqués Vous pouvez bloquer les ports susceptibles d’être utilisés pour attaquer votre réseau. Ceci permet d’arrêter les services réseau externes spécifiés. En bloquant vos ports, vous protégez vos services les plus vulnérables. Lorsque vous bloquez un port, vous annulez toutes les règles de vos définitions de stratégie. Pour bloquer un port, cf. Bloquer un port à la page 503. User Guide 501 Default Threat Protection Ports bloqués par défaut Dans la configuration par défaut, le périphérique WatchGuard bloque certains ports de destination. En règle générale, il est inutile de modifier cette configuration par défaut. Les paquets TCP et UDP sont bloqués pour les ports suivants : X Window System (ports 6000-6005) La connexion au client X Window System (ou X-Windows) n’est pas chiffrée, c’est pourquoi il est dangereux d’y avoir recours sur Internet. X Font Server (port 7100) De nombreuses versions de X-Windows exécutent des serveurs X Font Server. Ces derniers jouent le rôle de super utilisateur sur certains hôtes. Système de gestion de fichiers en réseau (NFS) (port 2049) Le système de gestion de fichiers en réseau (NFS) est un service TCP/IP couramment utilisé permettant à un grand nombre d’utilisateurs de manipuler les mêmes fichiers au sein d’un réseau. Dans les nouvelles versions de ce système, d’importants problèmes d’authentification et de sécurité ont été mis à jour. Il peut être très dangereux de fournir ce type de système sur Internet. Note Le portmapper utilise fréquemment le port 2049 pour le système de gestion de fichiers en réseau. Si vous employez ce système, vérifiez que le port 2049 lui est dédié sur l’ensemble des ordinateurs. rlogin, rsh, rcp (ports 513 et 514) Ces services permettent d’accéder à d’autres ordinateurs à distance. Ils constituent un risque en matière de sécurité et de nombreux pirates les explorent. Portmapper RPC (port 111) Les services RPC utilisent le port 111 pour rechercher les ports employés par un serveur RPC spécifique. Les services RPC sont très vulnérables via Internet. port 8000 De nombreux fournisseurs ont recours à ce port, qui pose beaucoup de problèmes de sécurité. port 1 Le service TCPmux utilise le port 1, mais cela arrive rarement. Vous pouvez le bloquer et ainsi rendre l’examen des ports par les outils plus difficile. port 0 Ce port est systématiquement bloqué par le périphérique WatchGuard. Vous ne pouvez pas autoriser le trafic entre le port 0 et le périphérique. Note Si vous devez autoriser le trafic sur l’un des ports bloqués par défaut pour utiliser les applications logicielles associées, nous vous recommandons de n’autoriser le trafic que par un tunnel VPN ou d’utiliser SSH (Secure Shell) avec ces ports. 502 WatchGuard System Manager Default Threat Protection Bloquer un port Note Soyez prudent si vous bloquez des numéros de port supérieurs à 1023. Les clients utilisent fréquemment ces numéros de port source. 1. Dans Policy Manager, cliquez sur . Sinon, sélectionnez Configurer > Default Threat Protection > Sites bloqués. La boîte de dialogue Ports bloqués s’affiche. 2. Cliquez sur les flèches du champPortou entrez le numéro de port à bloquer. 3. Cliquez sur Ajouter. Le nouveau numéro de port est ajouté à la liste des ports bloqués. Blocage d’adresses IP tentant d’utiliser des ports bloqués Vous pouvez configurer le périphérique WatchGuard pour qu’il bloque automatiquement un ordinateur externe tentant d’utiliser un port bloqué. Dans la boîte de dialogue Ports bloqués, activez la case à cocher Bloquer automatiquement les sites qui tentent d’utiliser des ports bloqués. Définir des options de journalisation et de notification pour les ports bloqués Vous pouvez configurer le périphérique WatchGuard pour qu’il crée une entrée de journal si un ordinateur tente de se connecter à un port bloqué. Vous pouvez également définir une notification lorsqu’un ordinateur tente d’accéder à un port bloqué. Dans la boîte de dialogue Ports bloqués : 1. Cliquez sur Journalisation. La boîte de dialogue Journalisation et notification s’ouvre. 2. Configurez les paramètres de notification tel que décrit dans Définir les préférences de journalisation et de notification à la page 656. User Guide 503 Default Threat Protection User Guide 504 17 Configuration de WatchGuard Server Présentation des serveurs WatchGuard System Manager Lorsque vous installez le logiciel WatchGuard System Manager, vous avez le choix d’installer un ou plusieurs serveurs WatchGuard System Manager. Vous pouvez également exécuter le programme d’installation et choisir d’installer un seul ou plusieurs serveurs, sans WatchGuard System Manager. Lorsque vous installez un serveur, le programme WatchGuard Server Center est en effet automatiquement installé. WatchGuard Server Center est une application autonome que vous utilisez pour installer, configurer, sauvegarder et restaurer tous vos serveurs WatchGuard System Manager. WatchGuard System Manager englobe cinq serveurs : n n n n n Management Server Serveur Log Server Report Server Quarantine Server WebBlocker Server Pour configurer les serveurs WatchGuard System Manager, cf. Configurer les serveurs WatchGuard System Manager à la page 507. Pour les instructions d’installation de WatchGuard System Manager, cf. Installer le logiciel WatchGuard System Manager à la page 25. Chaque serveur a une fonction spécifique : Management Server Le serveur Management Server fonctionne sous Windows. Avec ce serveur, vous pouvez gérer tous les périphériques de pare-feu et créer des tunnels de réseau privé virtuel (VPN) à l’aide d’une simple fonction glisser-déposer. Les fonctions de base de Management Server sont les suivantes : User Guide 505 Configuration de WatchGuard Server n n n Autorité de certification distribuant des certificats pour les tunnels IPSec (Internet Protocol Security). Gestion de configuration des tunnels VPN Gestion de plusieurs périphériques Fireware XTM et Firebox Pour plus d’informations sur Management Server, voir À propos de WatchGuard Management Server à la page dxvii. Serveur Log Server Le Log Server recueille les messages de journaux de chaque Firebox et périphérique XTM, et les stocke dans une base de données PostgreSQL. Les messages des journaux sont chiffrés lorsqu’ils sont envoyés au serveur Log Server. Le format d’un message du journal est XML (texte brut). Les types de messages recueillis par le Log Server incluent ceux du journal du trafic, du journal d’événements, des alarmes et des diagnostics. Pour de plusamples informationssur lesLog Servers, cf.Configurer un serveur Log Server à lapage 627. Report Server Le serveur Report Server consolide périodiquement des données collectées par vos serveurs Log Server sur vos périphériques Firebox et XTM, et les stocke dans une base de données PostgreSQL. Le Report Server produit ensuite les rapports que vous indiquez. Lorsque les données sont sur le Report Server, vous pouvez les consulter avec Report Manager ou Reporting Web UI. Pour plus d’informations sur les rapports et Report Server, voir À propos de Report Server à la page 741. Pour plus d’informations sur Report Manager, cf. À propos de WatchGuard Report Manager à la page 758. Pour plus d’informations sur la configuration de Reporting Web UI, voir Configurer les paramètres de Reporting Web UI à la page 754. Pour plus d’informations sur l’utilisation de Reporting Web UI, voir l’Aide pour l’interface utilisateur Web de rapport. Quarantine Server Le Quarantine Server recueille et isole les messages d’e-mail identifiés par spamBlocker comme courrier indésirable possible. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de Quarantine Server à la page 1121. WebBlocker Server Le WebBlocker Server utilise le proxy HTTP pour refuser l’accès utilisateur à des catégories spécifiques de sites Web. Lorsque vous configurez un Firebox, vous définissez les catégories de sites Web que vous souhaitez autoriser ou bloquer. Pour plus d’informations sur WebBlocker et le WebBlocker Server, cf. À propos de WebBlocker à la page 993. 506 WatchGuard System Manager Configuration de WatchGuard Server Configurer les serveurs WatchGuard System Manager WatchGuard Server Center est une application autonome que vous utilisez pour installer, configurer, sauvegarder et restaurer tous les serveurs WatchGuard System Manager. Après avoir installé WatchGuard System Manager et les serveurs WatchGuard, l’assistant WatchGuard Server Center Setup Wizard crée les serveurs WatchGuard que vous avez choisi d’installer sur votre poste de travail. L’assistant affiche uniquement les écrans correspondants aux composants installés. Par exemple, si vous avez installé Log Server et Report Server, mais non Quarantine Server, l’assistant affichera uniquement les pages pertinentes aux paramètres du Log Server et du Report Server. Les pages utilisées pour créer une liste de domaines pour Quarantine Server ne seront donc pas affichées. Si vous n’avez pas installé ou configuré des serveurs WatchGuard, vous pourrez le faire plus tard. Il vous suffit de lancer le programme d’installation de WatchGuard System Manager à la page principale de configuration de chaque serveur qui n’a pas été installé. Vous pouvez également lancer l’assistant WatchGuard Server Center Setup Wizard à la page principale de configuration de chaque serveur qui n’a pas été installé. Pour plus d’informations, voir Installer ou configurer les serveurs WatchGuard à partir du WatchGuard Server Center à la page 514. Avant de commencer Avant de lancer l’assistant, vérifiez que vous avez toute l’information nécessaire : n n n n Si vous souhaitez utiliser une passerelle Firebox pour protéger le Management Server, l’adresse IP de l’interface externe de ce Firebox. La clé de licence du Management Server Pour rechercher la clé de licence, cf. Recherche de votre clé de licence de Management Server à la page 511. Si vous souhaitez configurer le Quarantine Server, le ou les noms de domaine pour lesquels le Quarantine Server acceptera les messages d’e-mail. Si vous souhaitez configurer le Log Server, l’adresse IP du périphérique que vous utiliserez à titre de Log Server. Démarrage de l’assistant 1. Faites un clic droit dans la zone de notification et sélectionnez Ouvrir WatchGuard Server Center. Si vous ne voyez pas cette icône, vous n’avez pas installé de logiciel du serveur WatchGuard. Pour exécuter à nouveau le procédé d’installation et installer un ou plusieurs serveurs, cf. Installer le logiciel WatchGuard System Manager à la page 25. L’assistant WatchGuard Server Center Setup Wizard démarre. 2. Prenez connaissance des détails de la page d’accueil pour vérifier que vous avez toute l’information qui sera demandée par l’assistant. 3. Cliquez sur Suivant. La page Paramètres généraux - Identifier le nom de votre organisation s’affiche. User Guide 507 Configuration de WatchGuard Server Paramètres généraux 1. Tapez votre Nom de l’organisation. Ce nom est utilisé pour l’autorité de certification sur Management Server, tel qu’expliqué dans Configurer l’autorité de certification sur Management Server à la page dxix. 2. Cliquez sur Suivant. La page Paramètres généraux - Définir le mot de passe Administrateur s’affiche. 3. Tapez puis confirmer le Mot de passe Administrateur. Ce mot de passe doit comporter au moins huit caractères. Le mot de passe Administrateur sert à contrôler l’accès à l’ordinateur de gestion (celui doté de WSM). 4. Cliquez sur Suivant. Paramètres de Management Server Ces paramètres sont affichés dans l’assistant lorsque vous avez installé Management Server. 1. Si vous avez une passerelle Firebox pour le Management Server, cliquez sur Oui. La passerelle Firebox est facultative, mais il est conseillé d’en utiliser une pour protéger le Management Server d’Internet. Pour plus d’informations, voir À propos de la passerelle Firebox à la page 510. 2. Tapez l’adresse IP externe et les mots de passe pour la passerelle Firebox. 3. Cliquez sur Suivant. La page Management Server - Entrer une clé de licence s’affiche. 4. Tapez la clé de licence Management Server, puis cliquez sur Ajouter. Pour vous aider à rechercher la clé de licence, consultez Recherche de votre clé de licence de Management Server à la page 511. 5. Cliquez sur Suivant. Note Lorsqu’une interface dont l’adresse IP est liée à Management Server échoue puis redémarre, nous vous recommandons de redémarrer Management Server. Paramètres Log Server et Report Server Ces paramètres sont affichés dans l’assistant lorsque vous avez installé Log Server. 1. Tapez et confirmez la clé de chiffrement à utiliser pour la connexion sécurisée entre Firebox et les serveurs Log Server. La clé de chiffrement peut comprendre entre 8 et 32 caractères. Vous pouvez utiliser tous les caractères à l’exception des espaces et des barres obliques (/ ou \). 2. Dans le champ Emplacement de la base de données, le dossier par défaut dans lequel les fichiers de journaux, rapports et définitions de rapports sont stockés s’affiche : C:\Documents and Settings\WatchGuard\logs . Il est conseillé d’utiliser l’emplacement par défaut. Pour changer d’emplacement, cliquez sur Parcourir, puis sélectionnez un nouveau dossier. Assurezvous de choisir un emplacement qui a beaucoup d’espace disque libre. 508 WatchGuard System Manager Configuration de WatchGuard Server Note Choisissez cet emplacement avec soin. Une fois que vous avez installé la base de données, vous ne pouvez pas modifier le répertoire par le biais de l’interface utilisateur Log Server. S’il vous faut changer d’emplacement, consultez Déplacer le répertoire de données de journal à la page 639. 3. Cliquez sur Suivant. Paramètres du Quarantine Server Ces paramètres sont affichés dans l’assistant lorsque vous avez installé Quarantine Server. La liste de domaines est un ensemble de noms de domaines pour lesquels le Quarantine Server accepte les messages d’e-mail. Le Quarantine Server n’envoie les messages que pour les utilisateurs dans les domaines inclus dans la liste de domaines. Les messages envoyés à des utilisateurs qui ne figurent pas dans l’un de ces domaines sont supprimés. 1. Pour ajouter un domaine, tapez le nom de celui-ci dans la zone de texte supérieure, puis cliquez sur Ajouter. Le nom du domaine sera affiché dans la fenêtre. Pour supprimer un domaine, sélectionnez-le dans la liste et cliquez sur Supprimer. Le nom du domaine est retiré de la fenêtre. 2. Cliquez sur Suivant. Paramètres WebBlocker Server Ces paramètres sont affichés dans l’assistant lorsque vous avez installé WebBlocker Server. Vous avez le choix entre télécharger la base de données WebBlocker maintenant, ou plus tard. La base de données WebBlocker contient plus de 220 Mo de données. La vitesse de votre connexion détermine la vitesse de téléchargement, parfois plus de 30 minutes. Assurez-vous que le disque dur contient au minimum 250 Mo d’espace libre. 1. Pour télécharger la base de données maintenant, sélectionnez Oui et cliquez sur Télécharger. Pour télécharger la base de données plus tard, sélectionnez Non. 2. Cliquez sur Suivant. Vérification et achèvement Vérifiez si vos paramètres sont bien corrects. Pour modifier vos paramètres : 1. Cliquez sur Retour pour revenir à la page que vous souhaitez modifier. 2. Faites les modifications nécessaires. 3. Cliquez sur Suivant pour revenir à la page Vérifier les paramètres. Si vos paramètres sont corrects : 1. Cliquez sur Suivant. L’Assistant affiche la progression de la configuration du serveur. User Guide 509 Configuration de WatchGuard Server 2. Cliquez sur Suivant. La page L’assistant WatchGuard Server Center Setup Wizard a terminé, s’affiche. 3. Cliquez sur Terminer. WatchGuard Server Center s’affiche. Dans WatchGuard Server Center, vous pouvez : n n n n n n n Surveiller l’état des serveurs WatchGuard À propos de WatchGuard Management Server Configurer un serveur Log Server Installer Report Server Configurer les paramètres du serveur Quarantine Server Configurer WebBlocker Server Changer le mot de passe Administrateur À propos de la passerelle Firebox La passerelle Firebox aide à protéger votre Management Server d’Internet. Lorsque vous configurez votre Management Server, vous avez le choix entre utiliser ou non une passerelle Firebox. L’utilisation d'une passerelle Firebox est recommandée. Lorsque vous ajoutez une adresse IP pour votre passerelle Firebox, l’assistant effectue trois actions : n Il utilise cette adresse IP pour configurer la passerelle Firebox et autoriser les connexions à Management Server. La stratégie de Management Server est automatiquement ajoutée au fichier de configuration Firebox. Cette stratégie ouvre les ports TCP 4 110, 4 112 et 4 113, en vue d’autoriser les connexions au Management Server. Si vous ne tapez d’adresse IP ici, vous devez configurer un pare-feu entre Management Server ">
Lien public mis à jour
Le lien public vers votre chat a été mis à jour.