Watchguard Firebox, XTM & Dimension v11.3 Manuel utilisateur

Fireware XTM Web UI v11.3 Guide de l’utilisateur
Fireware XTM
Web UI
v11.3 Guide de l’utilisateur
WatchGuard XTM Devices
Firebox X Peak e-Series
Firebox X Core e-Series
Firebox X Edge e-Series
À propos de ce guide de l’utilisateur
Le Guide Fireware XTM Web UI est mis à jour avec chaque lancement de produit majeur. Pour les mises à
jour moins importantes, seule l’Aide de Fireware XTM Web UI est mise à jour. Le système d’aide comprend
également des exemples spécifiques de mise en œuvre basés sur les tâches, qui ne sont pas disponibles
dans le Guide de l’utilisateur.
Pour accéder à la toute dernière documentation du produit, voir l’Aide de Fireware XTM Web UI sur le site
de WatchGuard à l’adresse suivante : http://www.watchguard.com/help/documentation/.
Les informations figurant dans ce guide peuvent faire l’objet de modifications sans préavis. Les exemples de
sociétés, de noms et de données mentionnés ici sont fictifs, sauf mention contraire. Aucune partie de ce
guide ne peut être reproduite ou retransmise sous quelque format ou par quelque moyen que ce soit
(électronique ou mécanique), pour tout objet, sans l’autorisation écrite expresse de WatchGuard
Technologies, Inc.
Révision du guide : 07/15/2010
Informations sur le copyright, les marques déposées et les brevets
Copyright © 1998-2010 WatchGuard Technologies, Inc. Tous droits réservés. Toutes les marques déposées
ou les noms commerciaux mentionnés ici, le cas échéant, appartiennent à leurs propriétaires respectifs.
Des informations complètes sur le copyright, les marques, les brevets et les licences sont disponibles dans
le guide disponible en ligne (Copyright et Licensing Guide) :
http://www.watchguard.com/help/documentation/
Note Ce produit est destiné à une utilisation intérieure uniquement.
À propos de WatchGuard
WatchGuard propose des solutions de sécurité tout-en-un à prix
abordable pour les réseaux et les contenus afin d’offrir une protection
en profondeur et de permettre d’être en conformité avec la
réglementation. La gamme WatchGuard XTM associe pare-feu, réseau
VPN, Gateway AV, IPS, blocage de courrier indésirable et filtrage d’URL
pour protéger votre réseau des courriers indésirables, virus, logiciels
malveillants et intrusions. La nouvelle gamme XCS propose un système
de sécurité pour les messages électroniques et le contenu Web, associé
à un système de prévention des données. Les solutions extensibles de
WatchGuard sont évolutives pour assurer une sécurité parfaitement
adaptée tant aux petites entreprises qu’aux grands groupes de plus de
10 000 employés. WatchGuard fabrique des appareils de sécurité
simples, fiables et solides, qui disposent d’outils complets de génération
de rapports et de gestion très rapides à mettre en œuvre. Les
entreprises à travers le monde comptent sur nos boîtiers rouges pour
maximiser la sécurité sans sacrifier à l’efficacité et à la productivité.
Pour plus d’informations, appelez le 206.613.6600 ou visitez notre site
www.watchguard.com.
ii
Adresse
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
Assistance technique
www.watchguard.com/support
États-Unis et Canada
+877.232.3531
Tous les autres pays
+1.206.521.3575
Ventes
États-Unis et Canada
+1.800.734.9905
Tous les autres pays
+1.206.613.0895
Fireware XTM Web UI
Sommaire
Introduction à la sécurité des réseaux
À propos des réseaux et de leur sécurité
1
1
À propos d'Internet connexions
1
À propos des protocoles
2
À propos de Adresses IP
3
Adresses et passerelles privées
3
À propos de masques de sous-réseau
3
À propos de la notation de barre oblique
4
À propos de la saisie Adresses IP
4
Statique et dynamique Adresses IP
5
À propos de DNS (Domain Name System)
6
À propos des pare-feu
6
À propos des services et des stratégies
7
À propos des ports
8
Le périphérique WatchGuard et votre réseau
9
Présentation de Fireware XTM
11
Présentation de Fireware XTM
11
Composants de Fireware XTM
12
WatchGuard System Manager
12
WatchGuard Server Center
13
Fireware XTM Web UI et interface Command Line Interface
14
Fireware XTM avec une mise à niveau Pro
Service et support
À propos de Assistance WatchGuard
14
17
17
LiveSecurity Service
17
LiveSecurity Service Or
18
Expiration du service
19
Mise en route
Avant de commencer
Vérifier les composants de base
Guide de l’utilisateur
21
21
21
iii
Obtenir une clé de fonctionnalité pour périphérique WatchGuard
22
Collecter les adresses réseau
22
Sélectionnez un pare-feu. mode de configuration
23
À propos de l’Assistant Quick Setup Wizard
24
Exécuter l’Assistant Web Setup Wizard
25
Se connecter à Fireware XTM Web UI
29
Connexion avec Fireware XTM Web UI depuis un réseau externe
30
À propos de Fireware XTM Web UI
30
Sélectionnez la langue de l’interface Fireware XTM Web UI
32
Limitations de Fireware XTM Web UI
32
Terminer votre installation
33
Personnalisez votre stratégie de sécurité
34
À propos de LiveSecurity Service
34
Rubriques d’installation supplémentaires
34
Se connecter à Firebox avec Firefox v3
34
Identifier vos paramètres réseau
36
Configurer votre ordinateur pour la connexion à votre périphérique WatchGuard.
38
Désactiver les proxys HTTP dans le navigateur
40
Principes de configuration et de gestion
43
À propos des tâches de base de configuration et de gestion
43
Créer une sauvegarde de l’image Firebox
43
Restaurez un système Firebox. Image de sauvegarde
44
Utiliser une clé USB pour la sauvegarde et la restauration du système
44
À propos de la clé USB
44
Enregistrer une image de sauvegarde sur une clé USB connectée
44
Restaurer une image de sauvegarde à partir d’une clé USB connectée
45
Restaurer automatiquement une image de sauvegarde à partir d’une clé USB
46
Structure de répertoire de la clé USB
48
Enregistrer une image de sauvegarde sur une clé USB connectée à votre de gestion.
48
Rétablir une configuration antérieure d’un périphérique Firebox ou XTM ou créer une nouvelle
configuration
Démarrer un périphérique Firebox ou XTM en mode sans échec
iv
50
50
Fireware XTM Web UI
Restaurer les paramètres usine par défaut d’un périphérique Firebox X Edge e-Series ou
WatchGuard XTM 2 Series
51
Exécuter l’Assistant Quick Setup Wizard
51
À propos des paramètres usine par défaut
51
À propos de les clés de fonctionnalité
52
Lorsque vous achetez une nouvelle fonctionnalité
53
Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active
53
Obtenir une clé de fonctionnalité auprès de LiveSecurity
54
Ajouter une clé de fonctionnalité à Firebox
56
Redémarrer Firebox
58
Redémarrer Firebox localement
58
Redémarrer Firebox à distance
59
Activer le protocole NTP et ajouter des serveurs NTP
59
Définir le fuseau horaire et les propriétés de base du périphérique
60
À propos du protocole SNMP
61
Interrogations et interruptions SNMP
62
À propos des bases d’informations MIB (Management Information Base)
62
Activer l’interrogation SNMP
63
Activer Stations de gestion et interruptions SNMP
65
À propos des mots de passe, clés de chiffrement et clés partagées de WatchGuard
67
Création d’un mot de passe, d’une clé de chiffrement ou d’une clé partagée sécurisés
67
Mots de passe Firebox
67
Mots de passe utilisateur
68
Mots de passe serveur
68
Clés de chiffrement et clés partagées
69
Modifier les mots de passe Firebox
69
Définir les paramètres globaux de Firebox
70
Définir les paramètres globaux de gestion des erreurs ICMP
71
Activer le contrôle TCP SYN
72
Définir les paramètres globaux de réglage de la taille maximale de segment TCP
72
Désactiver ou activer la gestion du trafic et QoS
73
Modifier le port Web UI
73
Guide de l’utilisateur
v
Redémarrage automatique
73
Console externe
74
Présentation des serveurs WatchGuard System Manager
74
Gérer Firebox à partir d’un emplacement distant
75
Configurer un périphérique Firebox en tant que périphérique géré
77
Modifier la stratégie WatchGuard
77
Configurer le périphérique géré
79
Mettre à niveau vers une nouvelle version de Fireware XTM
80
Installez la mise à niveau sur votre station de gestion
80
Mettre à niveau Firebox
81
Télécharger le fichier de configuration
81
À propos des options de mise à niveau
81
Mises à niveau des services d’abonnement
82
Mises à niveau des logiciels et logiciels système
82
Comment appliquer une mise à niveau
82
Définition et configuration réseau
À propos de Configuration d’interface réseau
83
Modes réseau
83
Types d’interface
84
À propos des interfaces réseau sur les modèles Edge e-Series
85
Mode de routage mixte
86
Configurer une interface externe
86
Configurer DHCP en mode de routage mixte
90
À propos du Service DNS dynamique
92
Configurer DNS dynamique
92
À propos de la configuration du réseau en mode d’insertion
vi
83
94
Utilisez le mode d’insertion pour la configuration de l’interface réseau
94
Configurer les hôtes associés
95
Configurer DHCP en mode d’insertion
96
Mode pont
99
Paramètres d’interface standard
100
Désactiver une interface
101
Fireware XTM Web UI
Configurer le relais DHCP
102
Limiter le trafic réseau par adresse MAC
102
Ajouter Serveurs WINS et Adresses du serveur DNS
103
Configurer un réseau secondaire
104
À propos des paramètres d’interface
105
Paramètres de carte réseau
106
Définir Bit DF pour IPSec
107
Paramètre PMTU pour IPSec
108
Utiliser la liaison d’adresse MAC statique
108
Rechercher l’adresse MAC d’un ordinateur
109
À propos des ponts LAN
110
Créer une configuration de pont réseau
110
Attribuer une interface réseau à un pont
111
À propos des fichiers
Ajouter un itinéraire statique
À propos des réseaux locaux virtuels (VLAN)
111
112
113
Configuration logicielle requise pour les VLAN et restrictions associées
113
À propos de marquage
114
Définir un nouveau 802.1Q
114
Attribuer des interfaces à un 802.1Q
116
Exemples de configuration réseau
117
Exemple : Configurer deux réseaux locaux VLAN (Virtual Local Area Network) sur la même
interface
117
Utiliser Firebox X Edge avec le pont sans fil 3G Extend
120
Multi-WAN
À propos de l’utilisation de plusieurs interfaces externes
123
123
Configurations logicielles et conditions requises pour le mode multiWAN
123
multiWAN et DNS
124
À propos de Options multiWAN
124
Classement du tourniquet
124
Basculement
125
Dépassement de capacité d’interface
125
Guide de l’utilisateur
vii
Table de routage
126
modem série (Firebox X Edge uniquement)
126
Configurer l’option tourniquet multiWAN
Avant de commencer
127
Configurer les interfaces
127
Découvrez comment affecter des pondérations aux interfaces
128
Configurer l’option basculement multiWAN
128
Avant de commencer
128
Configurer les interfaces
128
Configurer l’option Dépassement de capacité d’interface multiWAN
129
Avant de commencer
129
Configurer les interfaces
129
Configurer l’option Option de table de routage
130
Avant de commencer
130
Option de table de routage et équilibrage de charge
130
Configurer les interfaces
131
À propos de la table de routage de Firebox
131
Quand utiliser les options multiWAN et le routage
132
Basculement de modem série
132
Activer le basculement de modem série
133
Paramètres du compte
133
Paramètres DNS
134
Paramètres d’accès à distance
134
Paramètres avancés
135
Paramètres de contrôle des liaisons
136
À propos des Paramètres multiWAN avancés
137
Définissez une durée de connexion persistante globale
137
Définissez l’action de restauration
138
À propos de État de l’interface WAN
138
Temps nécessaire à Firebox pour mettre à jour sa table de routage
139
Définir un hôte de contrôle des liaisons
139
Traduction d’adresses réseau (NAT)
viii
127
141
Fireware XTM Web UI
À propos de Traduction d’adresses réseau (Network Address Translation) (NAT)
Types de NAT
À propos de la traduction dynamique traduction d'adresses réseau (NAT)
141
141
142
Ajouter des entrées NAT dynamiques de pare-feu
143
Configurer une traduction d’adresses dynamique à base de stratégie Traduction d'adresses
réseau (NAT)
145
À propos de 1-to-1 NAT
147
À propos de 1-to-1 NAT et des tunnels VPN
148
Configurer 1-to-1 NAT pour le pare-feu
148
Configurer 1-to-1 NAT pour une stratégie
151
Configurer le bouclage NAT avec la traduction d’adresses réseau statique
152
Ajouter une stratégie pour le bouclage NAT sur le serveur
152
Bouclage NAT et 1-to-1 NAT
154
À propos de NAT statique
157
Configurer les équilibrage de charge côté serveur
158
Exemples de traduction d’adresses réseau (NAT)
161
Exemple de règle 1-to-1 NAT
Configuration sans fil
161
163
À propos de la configuration sans fil
163
À propos de configuration Point d’accès sans fil
164
Avant de commencer
165
Présentation des paramètres paramètres de configuration
165
Activer/Désactiver Diffusions SSID
166
Modifier SSID
167
Journal événements d’authentification
167
Modifier seuil de fragmentation
167
Modifier Seuil RTS
169
Présentation des paramètres paramètres de sécurité
170
Définissez sans fil méthode d'authentification
170
Définir le niveau de chiffrement
171
Autoriser des connexions sans fil au réseau facultatif ou approuvé
172
Activer un réseau invité sans fil
175
Guide de l’utilisateur
ix
Activer un point d’accès sans fil
177
Configurer les paramètres de délai pour les utilisateurs
178
Personnaliser l’écran de démarrage du point d’accès
178
Se connecter à un point d’accès sans fil
180
Afficher les connexions aux points d’accès sans fil
181
Configurer l’interface externe en tant qu’interface sans fil
182
Configurer l’interface externe principale en tant qu’interface sans fil
182
Configurer un tunnel BOVPN pour plus de sécurité
184
Présentation des paramètres paramètres de radio sans fil sur Firebox X Edge e-Series
Réglage de la région d’exploitation et du canal
185
Définissez mode d’exploitation sans fil
186
Présentation des paramètres radio sans fil du WatchGuard XTM sans fil Série 2
187
Le réglage du pays est automatique
187
Sélectionnez la Bande passante et le mode sans fil
188
Sélection du canal
189
Configurer carte sans fil sur votre ordinateur
Routage dynamique
189
191
À propos du routage dynamique
191
À propos des fichiers de configuration du démon de routage
191
À propos du protocole RIP (Routing Information Protocol)
192
Commandes du protocole RIP
192
Configurer Firebox pour qu’il utilise RIP v1
194
Configurer Firebox pour qu’il utilise RIP v2
196
Exemple de fichier de configuration de routage RIP
197
À propos du protocole OSPF (Open Shortest Path First)
199
Commandes OSPF
199
Tableau des coûts d’interface OSPF
202
Configurer Firebox pour utiliser OSPF
203
Exemple de fichier de configuration d’un routage OSPF
204
À propos du protocole BGP (Border Gateway Protocol)
x
184
207
Commandes BGP
207
Configurer Firebox pour qu’il utilise BGP
210
Fireware XTM Web UI
Exemple de fichier de configuration de routage BGP
Authentification
211
215
À propos de l’authentification des utilisateurs
215
Utilisateur étapes de l’authentification
216
Gérer les utilisateurs authentifiés
217
Utiliser l’authentification pour restreindre le trafic entrant
218
Utiliser l’authentification via une passerelle Firebox
218
Définir les valeurs d’authentification globale
218
Définir des délais d’authentification globale
219
Autoriser plusieurs connexions simultanées
220
Limiter les sessions de connexion
220
Rediriger automatiquement les utilisateurs vers le portail de connexion
221
Utiliser une page de démarrage par défaut personnalisée
222
Définir les délais d’une session de gestion
222
À propos de la stratégie d’authentification WatchGuard (WG)
222
À propos de Single Sign-On (SSO)
223
Avant de commencer
224
Configurer SSO
224
Installer l’agent WatchGuard Single Sign-On (SSO)
224
Installez le client WatchGuard Single Sign-On (SSO)
225
Activer Single Sign-On (SSO)
226
Types de serveurs d’authentification
228
À propos de l’utilisation de serveurs d’authentification tierce
228
Utiliser un serveur d’authentification de sauvegarde
228
Configurer Firebox en tant que serveur d’authentification
229
Types d’authentification Firebox
229
Définir un nouvel utilisateur pour l’authentification sur Firebox
231
Définir un nouveau groupe d’authentification sur Firebox
233
Configurer l’authentification sur le serveur RADIUS
233
Clé d’authentification
234
Méthodes d’authentification sur RADIUS
234
Avant de commencer
234
Guide de l’utilisateur
xi
Utiliser le serveur d’authentification RADIUS avec le périphérique WatchGuard
234
Fonctionnement de l’authentification sur le serveur RADIUS
236
Configurer les Authentification sur le serveur VASCO
238
Configurer l’authentification SecurID
240
Configurer l’authentification LDAP
242
À propos des paramètres LDAP facultatifs
244
Configurer l’Active Directory Authentication
245
À propos des paramètres Active Directory facultatifs
247
Trouver votre base de recherche Active Directory
247
Changer le port par défaut de l’Active Directory Server
248
Utilisez les paramètres Active Directory ou LDAP facultatifs
249
Avant de commencer
249
Spécifier Paramètres Active Directory ou LDAP facultatifs
249
Utiliser un compte d’utilisateur local pour l’authentification
253
Utiliser les utilisateurs et groupes autorisés dans les stratégies
254
Stratégies
À propos des stratégies
257
Stratégies de filtres de paquets et stratégies de proxies
257
À propos de l'ajout de stratégies à votre Firebox
258
À propos de la page Stratégies de pare-feu ou Mobile VPN
259
Ajouter stratégies à votre configuration
260
Ajouter une stratégie à partir de la liste des modèles
261
Désactiver ou supprimer une stratégie
263
À propos des alias
263
Membres de l’alias
264
Créer un alias
264
À propos de l’ordre de priorité des stratégies
xii
257
266
Ordre de priorité automatique des stratégies
266
Spécificité de stratégie et protocoles
266
Règles de trafic
267
Actions de pare-feu
267
Calendriers
267
Fireware XTM Web UI
Types et noms de stratégie
268
Définir la priorité manuellement
268
Créer des calendriers pour les actions Firebox
268
Définir un calendrier d'application
269
À propos des stratégies personnalisées
269
Créer ou modifier un modèle de stratégie personnalisée
À propos des propriétés de stratégie
270
271
Onglet Stratégie
272
Onglet Propriétés
272
Onglet Avancé
272
Paramètres de proxy
272
Définir des règles d’accès pour une stratégie
273
Configurer le routage basé sur stratégie
275
Définir un délai d'inactivité personnalisé
276
Définir la gestion des erreurs ICMP
277
Appliquer les règles NAT
277
Définir la durée de connexion persistante pour une stratégie
278
Paramètres proxy
À propos de stratégies de proxy et passerelles ALG
Configuration de proxy
À propos des configurations de blocage d’applications
279
279
280
280
Configurer Application Blocker
281
À propos de Skype et du blocage d’applications
282
Ajouter une stratégie de proxy à votre configuration
283
À propos des actions de proxy
285
Définir l’action de proxy
285
Modifier, supprimer ou cloner des actions de proxy
285
À propos des actions de proxy prédéfinies et définies par l’utilisateur actions de proxy
286
À propos de DNS proxy
286
Proxy DNS : Contenu
287
Proxy DNS : Paramètres
288
À propos de la Proxy FTP
Guide de l’utilisateur
289
xiii
Onglet Stratégie
290
Onglet Propriétés
290
Onglet Avancé
290
Onglets Paramètres et Contenu
291
FTP proxy : Contenu
291
Proxy FTP : Paramètres
292
À propos de la Passerelle ALG H.323
293
Passerelle ALG H.323 : Contenu
295
Passerelle ALG H.323 : Paramètres
298
À propos du proxy HTTP
299
Onglet Stratégie
299
Onglet Propriétés
301
Onglet Avancé
301
Onglets Paramètres, Contenu et Application Blocker
301
Autoriser les mises à jour Windows via le proxy HTTP
301
Proxy HTTP : Onglet Contenu
302
Proxy HTTP : Onglet Paramètres
305
Proxy HTTP : Application Blocker
307
À propos de la Proxy HTTPS
Onglet Stratégie
308
Onglet Propriétés
308
Onglet Avancé
309
Onglets Paramètres et Contenu
309
Proxy HTTPS : Contenu
309
Proxy HTTPS : Paramètres
312
À propos de la Proxy POP3
xiv
308
313
Onglet Stratégie
313
Onglet Propriétés
313
Onglet Avancé
313
Onglets Paramètres et Contenu
314
Proxy POP3 : Contenu
314
Proxy POP3 : Paramètres
315
Fireware XTM Web UI
À propos de la Proxy SIP
316
Passerelle ALG SIP : Contenu
318
Passerelle ALG SIP : Paramètres
320
À propos de la Proxy SMTP
321
Onglet Stratégie
322
Onglet Propriétés
322
Onglet Avancé
322
Onglets Paramètres, Adressage et Contenu
323
Proxy SMTP : Adressage
323
Proxy SMTP : Contenu
324
Proxy SMTP : Paramètres
325
Configurer le proxy SMTP pour placer du courrier en quarantaine
326
À propos de la Proxy TCP-UDP
326
Onglet Stratégie
327
Onglet Propriétés
327
Onglet Avancé
327
Onglets Paramètres et Contenu
327
Proxy TCP-UDP : Contenu
328
Proxy TCP-UDP : Paramètres
328
Gestion du trafic et QoS
À propos de Gestion du trafic et QoS
331
331
Activer la gestion du trafic et la fonction QoS
331
Garantir la bande passante
332
Restreindre la bande passante
333
Marquage QoS
333
Priorité du trafic
333
Définir la bande passante de l’interface en sortie
333
Limiter le nombre de connexions
334
À propos de Marquage QoS
335
Avant de commencer
335
Marquage QoS pour interfaces et stratégies
335
Marquage Qos et trafic IPSec
336
Guide de l’utilisateur
xv
Types et valeurs de marquage
336
Activer le marquage QoS pour une interface
338
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
339
Contrôle du trafic et définition de stratégies
340
Définir un Action de gestion de trafic
340
Ajouter une une action de gestion de trafic à une stratégie
342
Default Threat Protection
À propos de default threat protection
345
À propos de options de gestion des paquets par défaut
346
À propos de attaques d’usurpation
347
À propos de Attaques d’Itinéraire source des adresses IP
348
À propos de exploration des espaces de ports et d’adresses
349
À propos de Attaques Flood
350
À propos de À propos des paquets non gérés
352
À propos des attaques de prévention répartie contre les refus de service
353
À propos de Sites bloqués
354
Sites bloqués de façon permanente
355
Liste des sites automatiquement bloqués/sites bloqués de façon temporaire
355
Afficher ou modifier la liste des sites bloqués
355
Bloquer un site de façon permanente
355
Créer Exceptions aux sites bloqués
356
Bloquer temporairement les sites avec des paramètres de stratégie
357
Modifier la durée du blocage automatique des sites
358
À propos de Ports bloqués
358
Ports bloqués par défaut
359
Bloquer un port
360
Journalisation et notification
À propos de la journalisation et des fichiers journaux
xvi
345
361
361
Serveurs Log Server
361
État du système Syslog
362
Journalisation et notification dans les applications et sur les serveurs
362
À propos de messages de journaux
362
Fireware XTM Web UI
Types de messages de journaux
Envoyer les messages du journal vers un serveur WatchGuard Log Server
Ajouter, modifier ou changer la priorité des serveurs Log Server
362
364
364
Envoyer des informations de journaux à un hôte Syslog
365
Configurer les paramètres de journalisation
367
Définir le niveau du journal de diagnostic
368
Configurer la journalisation et la notification pour une stratégie
369
Définir les préférences de journalisation et de notification
371
Utiliser Syslog pour consulter les données de messages du journal
372
Examiner, trier et filtrer les données de messages du journal
372
Rafraîchir les données du message du journal
374
Surveiller votre périphérique Firebox
375
Analyser votre Firebox
375
Le tableau de bord
375
Pages État du système
377
Table ARP
378
Authentifications
378
Mesure de la bande passante
379
État des sites bloqués
380
Ajouter ou modifier des sites bloqués temporairement
380
Sommes de contrôle
381
Connexions
381
Liste des composants
382
Utilisation du processeur
382
Baux DHCP
382
Diagnostics
383
Exécuter une commande basique de diagnostic
383
Utilisation des arguments de commande
384
DNS dynamique
384
Clé de fonctionnalité
385
Lorsque vous achetez une nouvelle fonctionnalité
385
Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active
385
Guide de l’utilisateur
xvii
Interfaces
386
LiveSecurity
387
Mémoire
387
Liste d’accès sortants
388
Processus
388
Itinéraires
389
Syslog
390
Gestion du trafic
390
Statistiques VPN
391
Statistiques sans fil
392
Connexions aux points d’accès sans fil
392
Certificats et autorité de certification
395
À propos des certificats
Utiliser plusieurs certificats pour établir la confiance
395
Mode d’utilisation des certificats sur Firebox
396
Durée de vie des certificats et listes de révocation de certificats (CRL)
397
Autorités de certification et demandes de signatures
397
Autorités de certification approuvées par Firebox
398
Afficher et gérer les certificats Firebox
403
Créer une demande de signature de certificat à l’aide d’OpenSSL
Utiliser OpenSSL pour générer une demande de signature de certificat
Signer un certificat avec l’autorité de certification Microsoft
405
405
406
Délivrer le certificat
407
Télécharger le certificat
407
Utiliser des certificats pour le proxy HTTPS
xviii
395
407
Protéger un serveur HTTPS privé
408
Examiner le contenu des serveurs HTTPS externes
408
Exporter le certificat d’inspection de contenu de HTTPS
409
Importer les certificats sur les périphériques clients
410
Dépanner les problèmes de l’inspection de contenu HTTPS
410
Utiliser des certificats pour un tunnel Mobile VPN with IPSec authentification
410
Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN
411
Fireware XTM Web UI
Vérifier le certificat avec FSM
411
Vérifier les certificats VPN à partir d’un serveur LDAP
412
Configurer le certificat de serveur Web pour Firebox authentification
412
Importer un certificat sur un périphérique client
414
Importer un certificat au format PEM sous Windows XP
414
Importer un certificat au format PEM sous Windows Vista
414
Importer un certificat au format PEM dans Mozilla Firefox 3.x
415
Importer un certificat au format PEM sous Mac OS X 10.5
415
Réseaux Privés Virtuel (VPN)
417
Introduction aux VPN
417
VPN pour succursale
417
Mobile VPN
418
À propos des VPN IPSec
418
À propos des algorithmes IPSec et des protocoles
418
À propos des négociations VPN IPSec
420
Configurer les paramètres de phase 1 et 2
423
À propos de Mobile VPN
423
Sélectionner un Mobile VPN
424
Options d’accès Internet pour les utilisateurs Mobile VPN
426
Vue d’ensemble de la configuration Mobile VPN
427
Réseaux BOVPN (Branch Office Virtual Private Network)
429
Comment créer un réseau BOVPN manuel
429
À propos des tunnels BOVPN manuels
430
Comment créer un réseau privé virtuel (VPN)
430
Comment créer un tunnel BOVPN manuel
431
Tunnels unidirectionnels
431
Basculement VPN
431
Paramètres VPN globaux
431
État du tunnel BOVPN
432
Renouveler la clé des tunnels BOVPN
432
Tableau d’exemple d’informations sur l’adresse VPN
432
Configurer les passerelles
434
Guide de l’utilisateur
xix
Définir les points de terminaison de passerelle
436
Configurer les modes et les transformations (Paramètres de phase 1)
438
Modifier et supprimer des passerelles
442
Désactiver le démarrage automatique du tunnel
443
Si votre Firebox se trouve derrière un périphérique NAT
443
Créer des tunnels entre des points de terminaison de passerelle
444
Définir un tunnel
444
Ajouter des itinéraires à un tunnel
447
Configurer les Paramètres de phase 2
447
Ajouter une proposition de phase 2
449
Modifier l’ordre des tunnels
451
À propos des paramètres VPN globaux
451
Activer le transit IPSec
452
Activer le type de service (TOS) pour IPSec
452
Activer le serveur LDAP pour la vérification du certificat
453
Utiliser 1-to-1 NAT via un tunnel BOVPN
453
1-to-1 NAT et réseaux VPN
453
Autres raisons d’utiliser 1-to-1 NAT via un réseau VPN
454
Alternative à l’utilisation de la traduction d’adresses réseau (NAT)
454
Configuration du réseau VPN
454
Exemple
455
Configurer le tunnel local
455
Configurer le tunnel distant
458
Définir un itinéraire pour tout le trafic Internet
460
Configurer le tunnel BOVPN sur le Firebox distant
460
Configurer le tunnel BOVPN sur le Firebox central
461
Ajouter une entrée de traduction d’adresses réseau (NAT) dynamique au Firebox central
462
Activer le routage de multidiffusion via un tunnel BOVPN
xx
463
Activer un périphérique WatchGuard pour qu’il envoie du trafic de multidiffusions via un
tunnel
464
Activer l’autre périphérique WatchGuard pour qu’il reçoive le trafic de multidiffusions via un
tunnel
466
Fireware XTM Web UI
Activer le routage de diffusion par un tunnel BOVPN
466
Activez le routage de diffusion pour le Firebox local
467
Configurez le routage de diffusion pour le Firebox de l’autre extrémité du tunnel.
468
Configurer le basculement VPN
Définir plusieurs paires de passerelles
469
470
Voir Statistiques VPN
472
Renouveler la clé des tunnels BOVPN
472
Questions liées à la configuration du réseau BOVPN
472
Pourquoi avez-vous besoin d’une adresse externe statique ?
472
Comment obtenir une adresse IP externe statique ?
472
Comment dépanner la connexion ?
473
Pourquoi le test ping ne fonctionne-t-il pas ?
473
Comment définir plus de tunnels VPN que le nombre autorisé sur un périphérique Edge ?
473
Augmenter la disponibilité du tunnel BOVPN
Mobile VPN with PPTP
473
479
À propos de Mobile VPN with PPTP
479
Spécifications de Mobile VPN with PPTP
479
Niveaux de chiffrement
Configurer Mobile VPN with PPTP
480
480
Authentification
481
Paramètres de chiffrement
482
Ajouter au pool d’adresses IP
482
Paramètres de l’onglet Avancé
483
Configurer des serveurs WINS et DNS
484
Ajouter de nouveaux utilisateurs au groupe d’utilisateurs PPTP
485
Configurer des stratégies pour autoriser le trafic Mobile VPN with PPTP
Configurer des stratégies pour autoriser le trafic Mobile VPN with PPTP
487
488
Autoriser les utilisateurs PPTP à accéder à un réseau approuvé
488
Utilisez d’autres groupes ou utilisateurs dans une stratégie PPTP
489
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with PPTP
489
VPN avec route par défaut
489
VPN avec tunneling fractionné
490
Guide de l’utilisateur
xxi
Configuration de l’itinéraire VPN par défaut pour Mobile VPN with PPTP
490
Divisez la configuration du tunnel VPN pour Mobile VPN with PPTP
490
Préparer les ordinateurs clients pour PPTP
Préparer un ordinateur client Windows NT ou 2000 : installer l’Accès réseau à distance de
Microsoft et les Services Packs
491
Créer et connecter un Mobile VPN PPTP pour Windows Vista
492
Créer et connecter un PPTP Mobile VPN pour Windows XP
493
Créer et connecter un PPTP Mobile VPN pour Windows 2000
494
Établir des connexions PPTP sortantes derrière un système Firebox
495
Mobile VPN with IPSec
À propos de Mobile VPN with IPSec IPSec
497
497
Configurer une connexion Mobile VPN with IPSec
497
Configuration système requise
498
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with IPSec
499
À propos des fichiers de configuration client Mobile VPN
499
Configurer Firebox pour Mobile VPN with IPSec
500
Ajouter des utilisateurs à un groupe Firebox Mobile VPN
507
Modifier un profil de groupe existant Mobile VPN with IPSec
509
Configurer des serveurs WINS et DNS
521
Verrouiller le profil d’un utilisateur final
522
Fichiers de configuration Mobile VPN with IPSec
523
Configurer les stratégies à filtrer Trafic Mobile VPN
523
Distribuer les logiciels et les profils
524
Rubriques supplémentaires sur Mobile VPN
525
Configurer Mobile VPN with IPSec sur une adresse IP dynamique
526
À propos du Client Mobile VPN with IPSec
xxii
491
528
Spécifications du client
528
Installer le logiciel client Mobile VPN with IPSec
529
Connecter et déconnecter le Client Mobile VPN
531
Afficher les messages de journaux Mobile VPN
533
Sécurisez votre ordinateur avec le pare-feu Mobile VPN
534
Fireware XTM Web UI
Instructions à destination de l’utilisateur final pour l’installation du client WatchGuard Mobile
VPN with IPSec
Configuration Mobile VPN pour Windows Mobile
542
548
Configurations logicielles requises pour le client Mobile VPN WM Configurator et Windows
Mobile IPSec
548
Installer le logiciel Mobile VPN WM Configurator
549
Sélectionner certificat et entrer le PIN
549
Importer un profil de l’utilisateur final
550
Installer le logiciel client Windows Mobile sur le périphérique Windows Mobile
550
Télécharger le profil de l’utilisateur sur le périphérique Windows Mobile
552
Connecter et déconnecter le Mobile VPN pour client Windows Mobile
553
Sécurisez votre périphérique Windows Mobile à l’aide du pare-feu Mobile VPN
556
Arrêter le service WatchGuard Mobile VPN
556
Désinstaller le Configurateur, le Service et le Moniteur
557
Mobile VPN with SSL
559
À propos de Mobile VPN with SSL
559
Configurer le périphérique Firebox ou XTM pour Mobile VPN with SSL
559
Configurer les paramètres d’authentification et de connexion
560
Configurer les paramètres Mise en réseau et Pool d’adresses IP
560
Configurer les paramètres avancés de Mobile VPN with SSL
563
Configurer l’authentification de l’utilisateur pour Mobile VPN with SSL
565
Configurer des stratégies pour contrôler l’accès client Mobile VPN with SSL
565
Choisir un port et un protocole pour Mobile VPN with SSL
566
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with SSL
567
Résolution de nom pour Mobile VPN with SSL
568
Installer et connecter le client Mobile VPN with SSL
570
Spécifications de l’ordinateur client
571
Télécharger le logiciel client
571
Installer le logiciel client
572
Connectez-vous à votre réseau privé
572
Contrôles du client Mobile VPN with SSL
573
Distribuer et installer manuellement le logiciel client et le fichier de configuration Mobile VPN
with SSL
574
Guide de l’utilisateur
xxiii
Désinstaller le client Mobile VPN with SSL
575
WebBlocker
577
À propos de WebBlocker
577
Configurer WebBlocker Server
578
Démarrer avec WebBlocker
578
Avant de commencer
578
Création de profils WebBlocker
578
Activation d’un contournement local
582
Sélectionner les catégories à bloquer
582
Utilisation du WebBlocker profile avec les proxies HTTP et HTTPS
583
Ajout d’exceptions WebBlocker
583
Utilisation de la fonction de contournement local WebBlocker
584
À propos des catégories WebBlocker
585
Vérifier si un site appartient à une catégorie
585
Ajouter, supprimer ou modifier une catégorie
586
À propos de les exceptions WebBlocker
587
Définir l’action à entreprendre pour les sites qui ne correspondent pas exceptions
588
Composants des règles d’exception
588
Exceptions avec une partie d’une URL
588
Ajouter des exceptions de serveurs WebBlocker
588
Renouveler les services de sécurité par abonnement
590
590
Présentation de l’expiration des services d’abonnements WebBlocker
spamBlocker
À propos de spamBlocker
591
591
Caractéristiques de spamBlocker
592
Actions, indicateurs et catégories de spamBlocker
592
Configurer spamBlocker
xxiv
590
594
À propos des exceptions spamBlocker
596
Configurer les actions de Virus Outbreak Detection pour une stratégie :
598
Configuration de spamBlocker placer du courrier en quarantaine
599
À propos de l’utilisation de spamBlocker avec plusieurs proxies
600
Fireware XTM Web UI
Définir les paramètres globaux spamBlocker
600
Utilisation d’un serveur proxy HTTP pour spamBlocker
602
Ajouter des redirecteurs d’e-mails approuvés pour améliorer la précision du score de
probabilité de courrier indésirable
603
Activer VOD (Virus Outbreak Detection) et définir ses paramètres
604
spamBlocker et les limites d’analyse VOD
604
Création de règles pour votre lecteur de messagerie
Envoyer Courrier indésirable ou messages en masse dans des dossiers Outlook spéciaux
Envoi d’un rapport sur les faux positifs ou les faux négatifs
605
606
606
Utiliser la référence RefID à la place du texte du message
607
Établir la catégorie attribuée à un e-mail
608
Reputation Enabled Defense
À propos de Reputation Enabled Defense
609
609
Seuils de réputation
609
Scores de réputation
610
Résultats de Reputation Enabled Defense
610
Configurer Reputation Enabled Defense
610
Avant de commencer
610
Configurer Reputation Enabled Defense pour une action de proxy
611
Configurer les seuils de réputation
612
Envoyer les résultats d’analyse de Gateway AV à WatchGuard
Gateway AntiVirus et Intrusion Prevention
À propos de Gateway AntiVirus et Intrusion Prévention
612
615
615
Installer et mettre à niveau Gateway AV/IPS
616
Présentation de Gateway AntiVirus/Intrusion Prevention et stratégies de proxies
616
Configuration du service Gateway AntiVirus
617
Configuration du service Gateway AntiVirus
617
Actions de configuration de Gateway AntiVirus
618
Configurer les Gateway AntiVirus : placer du courrier en quarantaine
621
À propos des limites d’analyse Gateway AntiVirus
622
Mettez à jour les paramètres Gateway AV/IPS
622
Si vous utilisez un client antivirus tiers
623
Guide de l’utilisateur
xxv
Configuration les paramètres de décompression de Gateway AV
623
Configurer le serveur de mise à jour Gateway AV/IPS
624
Afficher l’état des services d’abonnement et mettre à jour manuellement les signatures
625
Configurer Intrusion Prevention Service
Avant de commencer
627
Configurer Intrusion Prevention Service
627
Configurer les actions IPS
628
Configuration IPS
630
Configurer les Exceptions de signatures
631
Quarantine Server
xxvi
626
633
À propos de Quarantine Server
633
Configurer Firebox pour mettre en quarantaine le courrier
634
Définir l’emplacement de Quarantine Server sur Firebox
634
Fireware XTM Web UI
1
Introduction à la sécurité des
réseaux
À propos des réseaux et de leur sécurité
Un réseau est un groupe d’ordinateurs et de périphériques connectés les uns aux autres. Il peut être
composé de deux ordinateurs dans la même pièce, de douzaines d'ordinateurs dans une entreprise ou
d'une multitude d'ordinateurs dans le monde entier connectés entre eux via Internet. Les ordinateurs
faisant partie du même réseau peuvent fonctionner ensemble et partager des données.
Les réseaux tels qu'Internet vous donnent accès à un large éventail d'informations et d'opportunités
commerciales, mais ils rendent également votre réseau accessible aux personnes malveillantes. De
nombreuses personnes pensent que leurs ordinateurs ne contiennent pas d'informations importantes ou
que les hackers ne sont pas intéressés par leurs ordinateurs. La réalité en est tout autrement. Un pirate
informatique peut utiliser votre ordinateur en tant que plate-forme d'attaque contre d'autres ordinateurs
ou réseaux. Les informations concernant votre organisation, y compris les données personnelles des
utilisateurs ou clients, sont également très prisées des hackers.
Votre périphérique WatchGuard et votre abonnement LiveSecurity peuvent vous aider à prévenir ce type
d'attaques. Une bonne stratégie de sécurité réseau ou un jeu de règles d'accès pour les utilisateurs et les
ressources peuvent également vous aider à découvrir et à prévenir les attaques dirigées contre votre
ordinateur et votre réseau. Nous vous conseillons de configurer votre Firebox de manière à correspondre à
votre stratégie de sécurité et de prendre en compte les menaces de l'extérieur aussi bien que de
l'intérieur de votre organisation.
À propos d'Internet connexions
Les fournisseurs de services Internet sont des sociétés qui donnent accès à Internet via des connexions
réseau. Le débit avec lequel une connexion réseau peut envoyer des données est appelé bande passante :
par exemple, 3 mégabits par seconde (Mbits/s).
Guide de l’utilisateur
1
Introduction à la sécurité des réseaux
Une connexion Internet à haut débit, telle qu’un modem câble ou DSL (Digital Subscriber Line), est appelée
connexion large bande. Les connexions large bande sont beaucoup plus rapides que les connexions d’accès
à distance. La bande passante d’une connexion d’accès à distance est inférieure à .1 Mbits, alors qu’avec un
modem câble elle peut être de 5 Mbits ou plus.
Les débits des modems câbles sont généralement inférieurs aux débits maximaux, car chaque ordinateur
d’un voisinage appartient à un LAN. Chaque ordinateur d’un LAN utilise une partie de la bande passante. À
cause de ce système média partagé , les connexions modem câble peuvent être ralenties lorsque
davantage d’utilisateurs se connectent au réseau.
Les connexions DSL offrent une bande passante constante, mais sont généralement plus lentes que les
connexions modem câble. De plus, la bande passante est seulement constante entre votre domicile ou
votre bureau et le bureau central DSL. Le bureau central DSL ne peut pas garantir une bonne connexion à
un site Web ou un réseau.
Mode de transmission des informations sur Internet
Les données que vous envoyez via Internet sont découpées en unités ou paquets. Chaque paquet inclut
l’adresse Internet de la destination. Les paquets d’une connexion peuvent utiliser différents itinéraires via
Internet. Lorsqu’ils arrivent à destination, ils sont assemblés dans l’ordre initial. Pour garantir que les
paquets arrivent à destination, les informations d’adresse sont ajoutées aux paquets.
À propos des protocoles
Un protocole est un ensemble de règles qui autorise les ordinateurs à se connecter au sein d’un réseau. Les
protocoles sont la « grammaire » du langage que les ordinateurs utilisent lorsqu'ils communiquent entre
eux sur un réseau. Le protocole standard de connexion à Internet est le protocole IP (Internet Protocol). Ce
protocole est le langage commun des ordinateurs sur Internet.
2
WatchGuard System Manager
Introduction à la sécurité des réseaux
Un protocole indique également le mode d’envoi des données à travers un réseau. Les protocoles les plus
fréquemment utilisés sont TCP (Transmission Control Protocol) et UDP (User Datagram Protocol). TCP/IP est
le protocole de base utilisé par des ordinateurs qui se connectent à Internet.
Vous devez connaître certains des paramètres TCP/IP lorsque vous installez votre périphérique
WatchGuard. Pour plus d'information sur le protocole TCP (Transmission Control Protocol)/IP, voir Trouvez
vos propriétés TCP/IP à la page 36.
À propos de Adresses IP
Pour envoyer un courrier normal à quelqu’un, vous devez connaître son adresse postale. Pour qu'un
ordinateur puisse envoyer des données à un autre ordinateur via Internet, le premier ordinateur doit
connaître l’adresse du deuxième. L’adresse d’un ordinateur est appelée adresse IP (Internet Protocol). Tous
les périphériques sur Internet ont une adresse IP unique, qui permet aux autres périphériques également
sur Internet de les trouver et d’interagir avec eux.
Une adresse IP se compose de quatre octets (séquences binaires de 8 bits) au format décimal et séparés
par des points. Chaque chiffre entre les points doit être compris entre 0 et 255. Voici quelques exemples
d'adresses IP :
n
n
n
206.253.208.100
4.2.2.2
10.0.4.1
Adresses et passerelles privées
De nombreuses sociétés créent des réseaux privés dotés de leur propre espace d’adresses. Les adresses
10.x.x.x et 192.168.x.x sont réservées pour les adresses IP privées. Les ordinateurs sur Internet ne peuvent
pas utiliser ces adresses. Si votre ordinateur est sur un réseau privé, vous vous connectez à Internet via un
périphérique de passerelle doté d’une adresse IP publique.
La passerelle par défaut correspond généralement au routeur situé entre votre réseau et Internet. Après
l’installation de Firebox sur votre réseau, il devient la passerelle par défaut de tous les ordinateurs
connectés à ses interfaces approuvées ou facultatives.
À propos de masques de sous-réseau
Dans un souci de sécurité et de performance, les réseaux sont souvent divisés en parties plus petites
appelées sous-réseaux. Tous les périphériques d’un sous-réseau ont des adresses IP similaires. Par
exemple, tous les périphériques ayant des adresses IP dont les trois premiers octets sont 50.50.50
appartiennent au même sous-réseau.
Un masque de sous-réseau d'une adresse IP de réseau, ou masque de sous-réseau, est une série d'octets
servant à masquer les sections de l'adresse IP qui identifient quelles parties de l'adresse IP sont consacrées
au réseau et quelles parties sont pour l'hôte. Un masque de sous-réseau peut être rédigé de la même façon
qu'une adresse IP ou en notation slash ou CIDR.
Guide de l’utilisateur
3
Introduction à la sécurité des réseaux
À propos de la notation de barre oblique
Votre Firebox utilise les barres obliques à de nombreuses fins, y compris la configuration de stratégies. La
notation de barre oblique, appelée également notation CIDR (Classless Inter-Domain Routing) , est un
moyen compact d'afficher ou d'écrire un masque de sous-réseau. Lorsque vous utilisez la notation de barre
oblique, vous écrivez l'adresse IP, une barre oblique droite (/) et le numéro de masque de sous-réseau.
Pour trouver le numéro de masque de sous-réseau :
1. Convertissez la représentation décimale du masque de sous-réseau en une représentation binaire.
2. Comptez chaque « 1 » dans le masque de sous-réseau. Le total est le numéro de masque de sousréseau.
Par exemple, vous souhaitez écrire l'adresse IP 192.168.42.23 avec un masque de sous-réseau de
255.255.255.0 en notation de barre oblique.
1. Convertissez le masque de sous-réseau en notation binaire.
Dans cet exemple, la représentation binaire de 255.255.255.0 est :
11111111.11111111.11111111.00000000.
2. Comptez chaque « 1 » dans le masque de sous-réseau.
Dans cet exemple, il y en a vingt-quatre (24).
3. Écrivez l'adresse IP originale, une barre oblique droite (/), puis le chiffre de l'étape 2.
Le résultat est 192.168.42.23/24.
Ce tableau affiche les masques de réseau courants et leurs équivalents avec des barres obliques.
Masque de réseau Équivalent avec des barres obliques
255.0.0.0
/8
255.255.0.0
/16
255.255.255.0
/24
255.255.255.128
/25
255.255.255.192
/26
255.255.255.224
/27
255.255.255.240
/28
255.255.255.248
/29
255.255.255.252
/30
À propos de la saisie Adresses IP
Lorsque vous saisissez des adresses IP dans l'Assistant Quick Setup Wizard ou dans les boîtes de dialogue,
saisissez les chiffres et les points dans le bon ordre. N'utilisez pas la touche TABULATION, les touches de
direction, la barre d'espacement ou la souris pour placer votre curseur après les points.
4
WatchGuard System Manager
Introduction à la sécurité des réseaux
Si, par exemple, vous entrez l'adresse IP 172.16.1.10, ne saisissez pas d'espace après « 16 ». N'essayez pas
de placer votre curseur après le point suivant pour entrer « 1 ». Saisissez un point directement après « 16
», puis saisissez « 1.10 ». Appuyez sur la touche barre oblique (/) pour passer au masque réseau.
Statique et dynamique Adresses IP
Les fournisseurs de services Internet attribuent une adresse IP à chaque périphérique de leur réseau. Cette
adresse IP peut être statique ou dynamique.
Adresse IP statique
Une adresse IP statique est une adresse IP qui reste toujours la même. Si votre serveur Web, votre serveur
FTP ou une autre ressource Internet doit avoir une adresse qui ne peut pas changer, votre fournisseur de
services Internet peut vous fournir une adresse IP statique. Une adresse IP statique est généralement plus
chère qu’une adresse IP dynamique et certains fournisseurs de services Internet ne fournissent pas
d’adresse IP statique. Vous devez configurer une adresse IP statique manuellement.
Adresse IP dynamique
Une adresse IP dynamique est une adresse IP que le fournisseur de services Internet vous permet d’utiliser
de façon temporaire. Si une adresse dynamique n’est pas utilisée, elle peut être attribuée
automatiquement à un autre périphérique. Les adresses IP dynamiques sont attribuées à l’aide de DHCP ou
de PPPoE.
À propos de DHCP
DHCP (Dynamic Host Configuration Protocol) est un protocole Internet que les ordinateurs d’un réseau
utilisent pour obtenir des adresses IP et d’autres informations telles que la passerelle par défaut. Lorsque
vous vous connectez à Internet, un ordinateur configuré comme serveur DHCP chez le fournisseur de
services Internet vous attribue automatiquement une adresse IP. Il peut s’agir de l’adresse IP que vous aviez
avant ou d’une nouvelle. Lorsque vous fermez une connexion Internet qui utilise une adresse IP
dynamique, le fournisseur de services Internet peut attribuer cette adresse IP à un autre client.
Vous pouvez configurer votre périphérique WatchGuard en tant que serveur DHCP pour les réseaux
derrière le périphérique. Vous attribuez une série d'adresse à l'usage du serveur DHCP.
À propos de PPoE
Certains fournisseurs attribuent des adresses IP via PPPoE (Point-to-Point Protocol over Ethernet). PPPoE
ajoute certaines des fonctionnalités Ethernet et PPP à une connexion d’accès à distance standard. Ce
protocole de réseau permet au fournisseur de services Internet d’utiliser les systèmes de sécurité,
d’authentification et de facturation de leur infrastructure d’accès à distance avec un modem DSL et des
modems câblés.
Guide de l’utilisateur
5
Introduction à la sécurité des réseaux
À propos de DNS (Domain Name System)
Vous pouvez fréquemment trouver l'adresse d'une personne que vous ne connaissez pas dans l'annuaire
téléphonique. Sur Internet, l'équivalent d'un annuaire téléphonique est le DNS(Domain Name System) DNS
est un réseau de serveurs qui traduit des adresses IP numériques en adresses Internet lisibles et
inversement. DNS prend le nom de domaine convivial que vous saisissez lorsque vous souhaitez voir un
certain site Web, tel que www.exemple.com, et trouve l'adresse IP correspondante, telle que 50.50.50.1.
Les périphériques réseau ont besoin de l'adresse IP réelle pour trouver le site Web, mais les noms de
domaine sont plus faciles à saisir et à mémoriser pour les utilisateurs que les adresses IP.
Un serveur DNS est un serveur qui effectue cette traduction. De nombreuses organisations ont dans leur
réseau des serveurs DNS privés qui répondent aux requêtes DNS. Vous pouvez également utiliser un
serveur DNS sur votre réseau externe, tel qu'un serveur DNS fourni par votre fournisseur de services
Internet.
À propos des pare-feu
Un système de sécurité réseau, tel qu'un pare-feu, sépare vos réseaux internes des connexions réseau
externes afin de réduire le risque d'attaque externe. La figure ci-dessous montre comment un pare-feu
protège les ordinateurs d'un réseau approuvé d’Internet.
6
WatchGuard System Manager
Introduction à la sécurité des réseaux
Les pare-feu utilisent des stratégies d’accès pour identifier et filtrer les différents types d’informations. Ils
peuvent également contrôler quelles stratégies ou quels ports les ordinateurs protégés utilisent sur
Internet (accès sortants). Par exemple, de nombreux pare-feu ont des stratégies de sécurité sélectives
n'admettant que des types spécifiés de trafic. Les utilisateurs peuvent sélectionner la stratégie qui leur
convient le mieux. D'autres pare-feu, tels que les périphériques WatchGuard du type Firebox, permettent à
l'utilisateur de personnaliser ces stratégies.
Pour plus d’informations, voir À propos des services et des stratégies à la page 7 et À propos des ports à la page 8
Les pare-feu peuvent être matériels ou logiciels. Un pare-feu protège les réseaux privés contre les
utilisateurs non autorisés sur Internet. Le trafic entrant dans ou sortant des réseaux protégés est examiné
par le pare-feu. Le pare-feu refuse le trafic réseau qui ne répond pas aux critères ou stratégies de sécurité.
Dans certains pare-feu fermés, ou refus par défaut , toutes les connexions réseau sont refusées sauf si une
règle spécifique autorise la connexion. Pour déployer ce type de pare-feu, vous devez disposer
d’informations détaillées sur les applications réseau requises pour répondre aux besoins de votre
organisation. D’autres pare-feu autorisent toutes les connexions réseau qui n’ont pas été refusées de façon
explicite. Ce type de pare-feu ouvert est plus facile à déployer, mais n’est pas aussi sécurisé.
À propos des services et des stratégies
Vous utilisez un service pour envoyer différents types de données (notamment des e-mails, des fichiers ou
des commandes) d’un ordinateur à l’autre, au sein du réseau ou vers un autre réseau. Ces services utilisent
des protocoles. Les services Internet fréquemment utilisés sont les suivants :
n
n
n
n
n
L'accès World Wide Web utilise le protocole Hypertext Transfer Protocol (HTTP)
L'e-mail utilise le protocole Simple Mail Transfer Protocol (SMTP) ou le protocole Post Office
Protocol (POP3)
Le transfert de fichiers utilise File Transfer Protocol (FTP)
La conversion d'un nom de domaine en adresse Internet utilise Domain Name Service (DNS)
L'accès aux terminaux distants utilise Telnet ou SSH (Secure Shell)
Guide de l’utilisateur
7
Introduction à la sécurité des réseaux
Lorsque vous admettez ou refusez un service, vous devez ajouter une stratégie à votre configuration de
périphérique WatchGuard. Chaque stratégie ajoutée peut également engendrer un risque de sécurité. Pour
envoyer et recevoir des données, vous devez « ouvrir une porte » dans votre ordinateur, ce qui expose
votre réseau à des risques. Il est conseillé d’ajouter uniquement des stratégies indispensables à votre
société.
Voici un exemple d’utilisation d’une stratégie : supposons que l’administrateur réseau d’une société
souhaite activer une connexion de services de terminal Windows au serveur Web public de sa société, via
l’interface facultatif de la Firebox. Il gère de manière régulière le serveur Web avec une connexion Remote
Desktop. Parallèlement, il souhaite s’assurer qu’aucun autre utilisateur du réseau ne pourra accéder aux
services de terminal RDP via Firebox. Pour ce faire, l’administrateur réseau ajoute une stratégie qui autorise
les connexions RDP uniquement pour l’adresse IP de son propre PC à l’adresse IP du serveur Web public.
Lorsque vous configurez votre périphérique WatchGuard avec l'assistant Quick Setup Wizard, l'assistant
n'ajoute que de la connectivité sortante limitée. Si vous avez d’autres applications logicielles et davantage
de trafic réseau que votre Firebox doit inspecter, vous devez :
n
n
n
Configurer les stratégies sur votre Firebox pour faire passer le trafic nécessaire
Définir les hôtes approuvés et les propriétés pour chaque stratégie
Équilibrer l'exigence de protection de votre réseau et l'exigence de vos utilisateurs d'avoir accès
aux ressources externes
À propos des ports
Bien que les ordinateurs aient des ports matériels utilisables comme points de connexion, les ports sont
également des numéros utilisés pour mapper le trafic vers un processus particulier sur un ordinateur. Ces
ports, également appelés ports TCP et UDP, sont le lieu de transmission de données des programmes. Si
une adresse IP est comparable à une adresse de rue, un numéro de port est comme un numéro
d'appartement ou d'immeuble à l'intérieur de cette rue. Lorsqu'un ordinateur envoie du trafic via Internet
vers un serveur ou un autre ordinateur, il utilise une adresse IP pour identifier le serveur ou l'ordinateur
distant et un numéro de port pour identifier le processus sur le serveur ou ordinateur recevant les
données.
Par exemple, supposez que vous souhaitez voir une page Web précise. Votre navigateur Web essaie de
créer une connexion sur le port 80 (le port utilisé pour le trafic HTTP) pour chaque élément de la page
Web. Lorsque votre navigateur reçoit les données qu'il demande du serveur HTTP, par exemple une image,
il ferme la connexion.
De nombreux ports sont utilisés pour un seul type de trafic, tel que le port 25 pour SMTP (Simple Mail
Transfer Protocol). Certains protocoles, tels que SMTP, comportent des ports avec des numéros attribués.
D'autres programmes sont des numéros de port attribués dynamiquement pour chaque connexion. L'IANA
(Internet Assigned Numbers Authority) conserve une liste des ports connus. Vous pouvez consulter cette
liste à l’adresse suivante :
http://www.iana.org/assignments/port-numbers
La plupart des stratégies que vous ajoutez à votre configuration de Firebox ont un numéro de port entre 0
et 1024, mais les numéros de port possibles vont de 0 à 65535.
8
WatchGuard System Manager
Introduction à la sécurité des réseaux
Les ports sont soit ouverts, soit fermés. Si un port est ouvert, votre ordinateur accepte les informations et
utilise le protocole identifié avec ce port pour créer des connexions vers d'autres ordinateurs. Cependant,
un port ouvert constitue un risque de sécurité. Pour vous protéger contre les risques créés par les ports
ouverts, vous pouvez bloquer les ports utilisés par les hackers pour attaquer votre réseau. Pour plus
d’informations, voir À propos de Ports bloqués à la page 358.
Le périphérique WatchGuard et votre réseau
Votre périphérique WatchGuard est un puissant périphérique de sécurité réseau qui contrôle tout le trafic
entre le réseau externe et le réseau approuvé. Si des ordinateurs à confiance mixte se connectent à votre
réseau, vous pouvez également configurer une interface réseau facultative séparée du réseau approuvé.
Vous pouvez alors configurer le pare-feu de votre périphérique de façon à arrêter tout trafic douteux entre
le réseau externe et vos réseaux approuvés et facultatifs. Si vous routez tout le trafic pour les ordinateurs à
confiance mixte à travers votre réseau facultatif, vous pouvez augmenter la sécurité pour ces connexions
afin d'ajouter plus de souplesse à votre solution de sécurité. Par exemple, les clients utilisent souvent le
réseau facultatif pour leurs utilisateurs distants ou des serveurs publics tels qu'un serveur Web ou de
messagerie.
Certains clients qui possèdent un périphérique WatchGuard ne savent pas grand-chose sur les réseaux
informatiques ou la sécurité réseau. Fireware XTM Web UI (interface utilisateur basée Web) propose de
nombreux outils d'aide pour ce type de clients. Les clients avancés peuvent utiliser les fonctionnalités de
support d'intégration et WAN multiple avancées du logiciel système Fireware XTM Pro pour connecter un
périphérique WatchGuard à un réseau WAN plus vaste. Le périphérique WatchGuard se connecte à un
modem par câble ou DSL, ou un routeur RNIS.
Vous pouvez utiliser le Web UI pour gérer de manière fiable vos paramètres de sécurité réseau depuis
différents endroits à tout moment. Vous pouvez alors consacrer plus de temps et de ressources à d’autres
composants de votre société.
Guide de l’utilisateur
9
Introduction à la sécurité des réseaux
Guide de l’utilisateur
10
2
Présentation de Fireware XTM
Présentation de Fireware XTM
Fireware XTM vous offre une manière simple et efficace d'afficher, de gérer et de surveiller chaque
Firebox de votre réseau. La solution Fireware XTM comprend quatre applications logicielles :
n
n
n
n
WatchGuard System Manager (WSM)
Fireware XTM Web UI
Fireware XTM Command Line Interface (CLI)
WatchGuard Server Center
Il se peut que vous ayez besoin de plus d'une application Fireware XTM pour configurer le réseau de votre
entreprise. Par exemple, si vous ne possédez qu'un produit Firebox X Edge e-Series, vous pouvez effectuer
la plupart des tâches de configuration avec Fireware XTM Web UI ou l'interface Command Line Interface.
Cependant, pour les fonctionnalités de journalisation et de génération de rapports plus avancées, vous
devez utiliser WatchGuard Server Center. Si vous gérez plusieurs périphériques WatchGuard, ou si vous
avez acheté Fireware XTM avec une mise à jour Pro, il est conseillé d'utiliser le gestionnaire WatchGuard
System Manager (WSM). Si vous choisissez de gérer et de contrôler votre configuration avec l'IU Web de
Fireware XTM, vous ne pourrez pas configurer certaines fonctionnalités.
Pour plus d'informations concernant ces restrictions, voir Limitations de Fireware XTM Web UI à la page 32.
Pour plus d'informations sur la façon de vous connecter à votre Firebox avec WatchGuard System Manager
ou l'interface Fireware XTM Command Line Interface, voir l'aide en ligne ou le guide de l'utilisateur
correspondants à ces produits. Vous pouvez consulter et télécharger la documentation la plus récente
concernant ces produits sur la page de documentation sur les produits Fireware XTM :
http://www.watchguard.com/help/documentation/xtm.asp
Note Les termes Firebox et périphérique WatchGuard employés dans cette
documentation se réfèrent aux produits WatchGuard utilisant Fireware XTM, tels
que le périphérique Firebox X Edge e-Series.
Guide de l’utilisateur
11
Présentation de Fireware XTM
Composants de Fireware XTM
Pour démarrer le gestionnaire WatchGuard System Manager ou WatchGuard Server Center depuis votre
bureau Windows, sélectionnez le raccourci dans le menu Démarrer. Vous pouvez également démarrer
WatchGuard Server Center à partir de l'icône de la barre d'état système. Depuis ces applications, vous
pouvez lancer d'autres outils qui vous aident à gérer votre réseau. Par exemple, vous pouvez lancer
HostWatch ou Policy Manager depuis le gestionnaire WatchGuard System Manager (WSM).
WatchGuard System Manager
Le gestionnaire WatchGuard System Manager (WSM) est la principale application pour la gestion de réseau
via votre Firebox. Vous pouvez utiliser WSM pour gérer plusieurs périphériques Firebox différents, même
ceux qui utilisent des versions logicielles différentes. WSM comprend une suite complète d'outils pour vous
aider à surveiller et à contrôler le trafic réseau.
Policy Manager
Vous pouvez utiliser Policy Manager pour configurer votre pare-feu. Policy Manager comprend un
ensemble complet de filtres de paquets, de stratégies proxy et de passerelles ALG préconfigurés.
Vous pouvez également créer un filtre de paquets, une stratégie de proxy ou une passerelle ALG
personnalisé(e) pour lequel/laquelle vous définissez les ports, les protocoles ainsi que d'autres
options. D'autres fonctionnalités de Policy Manager vous permettent d'arrêter les tentatives
d'intrusions dans le réseau, telles que les attaques SYN Flood, les attaques par usurpation et les
explorations d'espaces d'adresses ou de ports.
Firebox System Manager (FSM)
Le gestionnaire Firebox System Manager vous offre une interface afin de surveiller tous les
composants de votre périphérique WatchGuard. Depuis FSM, vous pouvez voir l'état en temps réel
de votre Firebox et de sa configuration.
12
WatchGuard System Manager
Présentation de Fireware XTM
HostWatch
HostWatch est un moniteur de connexion en temps réel qui indique le trafic réseau entre
différentes interfaces Firebox. HostWatch donne également des informations sur les utilisateurs, les
connexions, les ports et les services.
LogViewer
LogViewer est l’outil WatchGuard System Manager qui vous permet de consulter les données des
fichiers journaux. Vous pouvez afficher les données d’un journal page par page ou rechercher et
afficher du contenu en utilisant des mots clés ou en spécifiant des champs du journal.
Report Manager
Vous pouvez utiliser Report Manager pour générer des rapports sur les données recueillies depuis
vos serveurs de journal concernant tous vos périphériques WatchGuard. Dans Report Manager, vous
pouvez consulter les rapports WatchGuard disponibles concernant vos périphériques WatchGuard.
CA Manager
Le gestionnaire Certificate Authority (CA) Manager affiche une liste complète de certificats de
sécurité installés sur votre ordinateur de gestion avec Fireware XTM. Vous pouvez utiliser cette
application pour importer, configurer et générer des certificats à utiliser avec les tunnels VPN et à
d'autres fins d'authentification.
WatchGuard Server Center
WatchGuard Server Center est l'application qui vous permet de configurer et de surveiller tous vos
serveurs WatchGuard.
Management Server
Le serveur Management Server fonctionne sous Windows. À l’aide de ce serveur, vous pouvez
gérer tous les périphériques de pare-feu et créer des tunnels de réseau privé virtuel (VPN) en
utilisant une simple fonction glisser-déplacer. Les fonctions de base de Management Server sont les
suivantes :
n
n
n
Autorité de certification distribuant des certificats pour les tunnels IPSec (Internet Protocol
Security).
Gestion de configuration des tunnels VPN
Gestion de périphériques Firebox et Firebox X Edge multiples
Serveur Log Server
Le serveur Log Server collecte les messages des journaux de chaque système WatchGuard Firebox.
Ces messages des journaux sont chiffrés lorsqu'ils sont envoyés au serveur Log Server. Le format
d’un message du journal est XML (texte brut). Les informations collectées à partir des périphériques
de pare-feu incluent les messages de types Trafic, Événement, Alarme, Débogage (diagnostic) et
Statistiques.
Guide de l’utilisateur
13
Présentation de Fireware XTM
WebBlocker Server
Le serveur WebBlocker Server utilise le proxy HTTP de Firebox pour refuser l’accès utilisateur à des
catégories spécifiques de sites Web. Au cours de la configuration de Firebox, l’administrateur définit
les catégories de sites Web à autoriser ou à bloquer.
Pour plus d'informations sur WebBlocker et le serveur WebBlocker Server, voir À propos de
WebBlocker à la page 577.
Quarantine Server
Le serveur Quarantine Server collecte et isole les e-mails susceptibles d'être du courrier indésirable
ou de contenir un virus à l'aide de spamBlocker.
Pour plus d’informations, voir À propos de Quarantine Server à la page 633.
Report Server
Le serveur Report Server consolide périodiquement des données collectées par les serveurs Log
Server sur vos périphériques WatchGuard et génère régulièrement des rapports. Une fois les
données transmises à Report Server, vous pouvez utiliser Report Manager pour afficher les rapports.
Fireware XTM Web UI et interface Command Line Interface
Fireware XTM Web UI et l'interface Command Line Interface sont des solutions alternatives de gestion
capables d'effectuer la plupart des tâches du gestionnaire WatchGuard System Manager et de Policy
Manager. Certaines options et fonctionnalités avancées de configuration, telles que les paramétrages
Firecluster ou de stratégie proxy, ne sont pas disponibles sur Fireware XTM Web UI et l'interface Command
Line Interface.
Pour plus d’informations, voir À propos de Fireware XTM Web UI à la page 30.
Fireware XTM avec une mise à niveau Pro
La mise à jour Pro pour Fireware XTM propose plusieurs fonctionnalités avancées pour les clients
expérimentés, telles que l'équilibrage de charge de serveur et des tunnels VPN SSL supplémentaires. Les
fonctionnalités disponibles avec une mise à jour Pro dépendent du type et du modèle de votre Firebox :
Fonctionnalité
Core eSeries
FireCluster
les réseaux locaux virtuels
(VLAN).
14
Core/Peak e-Series
et XTM 1050 (Pro)
Edge eSeries
Edge e-Series
(Pro)
Q
75 maxi.
75 maxi. (Core)
200 maxi. (Peak/XTM
1050)
Routage dynamique (OSPF et
BGP)
Q
Routage basé sur stratégie
Q
Équilibrage de charge côté
serveur
Q
20 maxi.
50 maxi.
Q
WatchGuard System Manager
Présentation de Fireware XTM
Fonctionnalité
Core eSeries
Nombre maximum de tunnels
VPN SSL
Basculement multi-WAN
Équilibrage de charge multi-WAN
Q
Core/Peak e-Series
et XTM 1050 (Pro)
Edge eSeries
Edge e-Series
(Pro)
Q
Q
Q
Q
Q
Q
Pour acheter Fireware XTM avec une mise à jour Pro, contactez votre revendeur local.
Guide de l’utilisateur
15
Présentation de Fireware XTM
Guide de l’utilisateur
16
3
Service et support
À propos de Assistance WatchGuard
WatchGuard® saisit toute l’importance d’une assistance technique lorsque votre réseau doit être sécurisé
avec des ressources ayant été limitées. Nos clients exigent de notre part des connaissances et une
assistance plus étendues dans un univers où la sécurité est vitale. Le Service LiveSecurity® vous fournit
l’aide d’urgence qu’il vous faut, par l’entremise d’un abonnement qui vous assiste aussitôt que vous
enregistrez votre périphérique WatchGuard.
LiveSecurity Service
Votre périphérique WatchGuard inclut un abonnement à notre service high-tech LiveSecurity Service, que
vous activez en ligne lorsque vous enregistrez votre produit. Dès l’activation, votre abonnement au
LiveSecurity Service vous donne accès à un programme d’assistance et de maintenance exceptionnel, sans
égal dans l’industrie.
Le LiveSecurity Service est accompagné des avantages suivants :
Garantie de votre matériel, avec remplacement à l’avance
Un abonnement en vigueur LiveSecurity prolonge la garantie du matériel, incluse avec chaque
périphérique WatchGuard. En outre, l’abonnement vous fournit un remplacement à l’avance de
votre matériel pour minimiser le temps d’indisponibilité en cas de panne matérielle. C’est ainsi
qu’en cas de défaillance d’un matériel, vous recevrez de WatchGuard un appareil de rechange avant
même d’avoir à retourner le matériel d’origine.
Mises à jour logicielles
Votre abonnement au LiveSecurity Service vous donne accès aux toutes dernières mises à jour
logicielles et à des perfectionnements du fonctionnement de vos produits WatchGuard.
Assistance technique
Lorsque vous avez besoin d’une assistance, nos équipes d’experts sont fin prêtes :
Guide de l’utilisateur
17
Service et support
n
n
n
Représentants disponibles 12 heures par jour, 5 jours par semaine dans votre fuseau horaire*
Délai d’intervention maximum ciblé de 4 heures
Accès à des forums en ligne d’utilisateurs, animés par des ingénieurs d’assistance chevronnés.
Ressources et alertes d’assistance
Votre abonnement au LiveSecurity Service vous donne accès à une panoplie de vidéos éducatifs
professionnels, de cours en ligne interactifs et d’outils en ligne, spécialement étudiés pour répondre
à vos questions sur la sécurité de réseau en général ou sur les aspects techniques de l’installation, la
configuration et la maintenance de vos produits WatchGuard.
Notre équipe d’intervention d’urgence, un groupe dévoué d’experts en sécurité réseau, surveille
Internet pour identifier les menaces émergentes. Ils diffusent ensuite des communiqués
LiveSecurity, vous informant avec précision sur ce que vous pouvez faire pour faire face à chaque
nouvelle menace. Vous pouvez personnaliser vos préférences et filtrer les conseils et alertes que
vous recevez du LiveSecurity Service.
LiveSecurity Service Or
Le LiveSecurity Service Or est proposé aux entreprises exigeant une disponibilité 24 heures. Ce service
haut de gamme vous donne des heures étendues de couverture et un délai d’intervention encore plus
rapide pour une assistance technique à distance de 24 heures. Afin de vous protéger par une couverture
totale, chaque appareil de votre entreprise doit bénéficier du LiveSecurity Service Or.
Caractéristiques du service
LiveSecurity Service
LiveSecurity
Service Or
Heures d’assistance technique
6 h – 18 h, lundivendredi*
24/7
Nombre d’incidents pour assistance
(en ligne ou par téléphone)
5 par année
Illimité
Délai d’intervention initial ciblé
4 heures
1 heure
Forum d’assistance interactif
Oui
Oui
Mises à jour logicielles
Oui
Oui
Développement personnel et outils de formation en ligne
Oui
Oui
Diffusions LiveSecurity
Oui
Oui
Assistance d’installation
Facultatif
Facultatif
Forfait d’assistance trois incidents
Facultatif
N/D
Une heure, mise à niveau SIPRU (Single Incident Priority
Response Upgrade)
Facultatif
N/D
Mise à niveau SIPRU
Facultatif
N/D
* Dans la région Asie-Pacifique, les heures d’assistance régulières sont 9 h – 21 h, lundi-vendredi (GMT +8).
18
WatchGuard System Manager
Service et support
Expiration du service
Nous vous recommandons de garder votre abonnement en vigueur, afin de garantir la sécurité de votre
entreprise. Lorsque votre abonnement LiveSecurity arrive à échéance, vous perdez l’accès aux toutes
dernières alertes de sécurité et aux mises à jour logicielles régulières, ce qui risque de rendre votre réseau
vulnérable. Des dommages à votre réseau coûteront beaucoup plus chers qu’un simple renouvellement au
LiveSecurity Service. Un renouvellement fait dans les 30 jours n’a aucun frais de remise en vigueur.
Guide de l’utilisateur
19
Service et support
Guide de l’utilisateur
20
4
Mise en route
Avant de commencer
Avant de commencer le processus d’installation, assurez-vous d’effectuer les tâches décrites dans les
rubriques suivantes.
Note Dans ces instructions d’installation, nous supposons que votre périphérique
WatchGuard dispose d’une interface approuvée, d’une interface externe et d’une
interface configurées. Pour configurer des interfaces supplémentaires sur le
périphérique WatchGuard, utilisez les outils et procédures de configuration décrits
dans les rubriques Configuration réseauet Configuration.
Vérifier les composants de base
Assurez-vous de disposer des éléments suivants :
n
n
n
Un ordinateur doté d’une carte d’interface réseau Ethernet 10/100BaseT et d’un navigateur Web
Un périphérique WatchGuard Firebox ou XTM
Un câble série (bleu)
Uniquement pour les modèles Firebox X Core, Peak et WatchGuard XTM
n
un câble inverseur Ethernet (rouge)
Uniquement pour les modèles Firebox X Core, Peak et WatchGuard XTM
n
n
Un câble Ethernet droit (vert)
Câble d’alimentation ou adaptateur courant alternatif
Guide de l’utilisateur
21
Mise en route
Obtenir une clé de fonctionnalité pour périphérique
WatchGuard
Pour activer toutes les fonctionnalités sur votre périphérique WatchGuard, vous devez enregistrer le
périphérique sur le site Web WatchGuard LiveSecurity et obtenir une clé de fonctionnalité. Tant que vous
n’avez pas appliqué votre clé de fonctionnalité, vous ne disposez que d’une seule licence d’utilisateur
(licence par siège) pour Firebox.
Si vous procédez à l’enregistrement de votre périphérique WatchGuard avant d’utiliser l’assistant Quick
Setup Wizard, vous pouvez coller une copie de votre clé de fonctionnalité dans l’assistant. L’assistant
l’applique ensuite à votre périphérique. Si vous ne collez pas votre clé de fonctionnalité dans l’assistant,
vous pouvez le fermer. Mais tant que vous n’aurez pas ajouté votre clé de fonctionnalité, une seule
connexion à Internet sera autorisée.
Vous obtenez également une nouvelle clé de fonctionnalité pour tout produit ou service facultatif que vous
achetez. Après que vous ayez enregistré votre périphérique WatchGuard ou toute autre nouvelle
fonctionnalité, vous pouvez synchroniser la clé de fonctionnalité de votre périphérique WatchGuard avec
les clés de fonctionnalité stockées dans votre profil d’enregistrement sur le site WatchGuard LiveSecurity.
Vous pouvez utiliser Fireware XTM Web UI à n’importe quel moment pour vous procurer votre clé de
fonction.
Pour apprendre comment enregistrer votre périphérique WatchGuard et obtenir une clé de fonctionnalité,
cf. Obtenir une clé de fonctionnalité auprès de LiveSecurity à la page 54.
Collecter les adresses réseau
Nous vous recommandons d’enregistrer vos informations réseau avant et après la configuration de votre
périphérique WatchGuard. Utilisez le premier tableau pour vos adresses IP réseau avant la mise en service
du périphérique. Pour de plus amples informations sur l’identification de vos adresses IP réseau, cf.
Identifier vos paramètres réseau à la page 36.
WatchGuard utilise la notation de barre oblique pour indiquer le masque de sous-réseau. Pour plus
d’informations, voir À propos de la notation de barre oblique à la page 4. Pour de plus amples informations
sur les adresses IP, cf. À propos de Adresses IP à la page 3.
Tableau 1 : Adresses IP réseau sans le périphérique WatchGuard
Réseau étendu (WAN)
_____._____._____._____ / ____
Passerelle par défaut
_____._____._____._____
Réseau local (LAN)
_____._____._____._____ / ____
Réseau secondaire (le cas échéant)
_____._____._____._____ / ____
Serveur(s) public(s) (le cas échéant)
_____._____._____._____
_____._____._____._____
_____._____._____._____
22
WatchGuard System Manager
Mise en route
Utilisez le deuxième tableau pour vos adresses IP réseau après la mise en service du périphérique
WatchGuard.
Interface externe
Assure la connexion au réseau externe (en général Internet) non approuvé.
Interface approuvée
Assure la connexion au réseau local privé ou au réseau interne que vous voulez protéger.
Interface(s) facultative(s)
Se connecte généralement à une zone de confiance mixte de votre réseau, comme des serveurs
dans une DMZ (zone démilitarisée). Vous pouvez utiliser des interfaces facultatives pour créer des
zones sur votre réseau disposant de différents niveaux d’accès.
Tableau 2 : Adresses IP réseau avec le périphérique WatchGuard
Passerelle par défaut
_____._____._____._____
Interface externe
_____._____._____._____/ ____
Interface approuvée
_____._____._____._____ / ____
Interface facultative
_____._____._____._____ / ____
Réseau secondaire (le cas échéant)
_____._____._____._____ / ____
Sélectionnez un pare-feu. mode de configuration
Vous devez décider du mode de connexion du périphérique WatchGuard sur votre réseau avant de
démarrer l’assistant Quick Setup Wizard. Le mode d’installation du périphérique détermine la configuration
des interfaces. Lorsque vous connectez le périphérique, sélectionnez le mode de configuration (routé ou
d’insertion) qui correspond le mieux aux besoins de votre réseau actuel.
De nombreux réseaux fonctionnent de manière optimale avec une configuration routée, mais nous
recommandons le mode d’insertion dans les cas suivants :
n
n
Vous avez déjà affecté un grand nombre d’adresses IP statiques et vous ne souhaitez pas modifier
votre configuration réseau.
Vous ne pouvez pas configurer avec des adresses IP privées les ordinateurs sur vos réseaux
approuvés et facultatifs qui ont des adresses IP publiques.
Ce tableau et les descriptions qui suivent illustrent trois conditions qui peuvent vous aider à sélectionner un
mode de configuration de pare-feu.
Mode de routage mixte
Mode d’insertion
Toutes les interfaces du périphérique WatchGuard
Toutes les interfaces du périphérique WatchGuard
se trouvent sur le même réseau et disposent d’une
se trouvent sur des réseaux différents.
adresse IP identique.
Les interfaces approuvées et facultatives doivent
être sur différents réseaux. Chaque interface
Guide de l’utilisateur
Les ordinateurs des interfaces approuvées ou
23
Mise en route
Mode de routage mixte
Mode d’insertion
possède une adresse IP sur son réseau.
facultatives peuvent avoir une adresse IP publique.
Utilisez la traduction d’adresses réseau (NAT)
statique pour mapper les adresses publiques aux
adresses privées derrière les interfaces
approuvées ou facultatives.
Les ordinateurs qui ont un accès public ayant des
adresses IP publiques, aucune traduction NAT n’est
nécessaire.
Pour de plus amples informations sur le mode d’insertion, cf. À propos de la configuration du réseau en
mode d’insertion à la page 94.
Pour de plus amples informations sur le routage mixte, cf. Mode de routage mixte à la page 86.
Le périphérique WatchGuard prend également en charge un troisième mode de configuration appelé
mode pont. Il s’agit de l’option la moins couramment utilisée. Pour de plus amples informations sur le mode
pont, cf. Mode pont à la page 99.
Note Vous pouvez utiliser l’assistant Web Setup Wizard ou l’assistant WSM Quick Setup
Wizard pour créer votre configuration de base. Lorsque vous exécutez l’assistant
Web Setup Wizard, la configuration du pare-feu est automatiquement configurée
en mode routage mixte. Lorsque vous exécutez l’assistant WSM Quick Setup
Wizard, vous pouvez configurer le périphérique en mode routage mixte ou en
mode d’insertion.
Vous pouvez désormais démarrer l’assistant Quick Setup Wizard. Pour plus d’informations, voir À propos de
l’Assistant Quick Setup Wizard à la page 24.
À propos de l’Assistant Quick Setup Wizard
Vous pouvez utiliser la Assistant Quick Setup Wizard pour créer une configuration de base pour le
périphérique WatchGuard. Ce dernier utilise ce fichier de configuration de base lors de son premier
démarrage. Il peut ainsi fonctionner comme un pare-feu de base. Vous pouvez appliquer cette même
procédure chaque fois que vous souhaitez réinitialiser le périphérique WatchGuard avec une nouvelle
configuration de base. Ce système est pratique pour la récupération système.
Lorsque vous configurez le périphérique WatchGuard avec l’assistant Quick Setup Wizard, vous définissez
uniquement les stratégies de base (trafic sortant TCP et UDP, filtre de paquets FTP, ping et WatchGuard) et
les adresses IP des interfaces. Si vous avez d’autres applications logicielles et davantage de trafic réseau que
le périphérique WatchGuard doit inspecter, vous devez :
n
n
n
Configurer les stratégies sur le périphérique WatchGuard pour laisser passer le trafic nécessaire
Définir les hôtes approuvés et les propriétés pour chaque stratégie
Équilibrer les exigences pour protéger votre réseau contre les exigences de vos utilisateurs pour se
connecter aux ressources externes
Pour de plus amples informations sur la façon d’exécuter l’assistant à partir du Web, cf. Exécuter l’Assistant
Web Setup Wizard à la page 25.
24
WatchGuard System Manager
Mise en route
Exécuter l’Assistant Web Setup Wizard
Note Ces instructions concernent l’assistant Web Setup Wizard sur un Firebox exécutant
Fireware XTM v11.0 ou ultérieure. Si votre périphérique WatchGuard utilise une
version antérieure du logiciel, vous devez le mettre à jour vers Fireware XTM avant
de suivre ces instructions. Reportez-vous aux Notes de version pour obtenir des
instructions de mise à niveau pour votre modèle de Firebox.
Vous pouvez utiliser l’assistant Web Setup Wizard pour une configuration de base sur n’importe quel
périphérique Firebox X e-Series ou WatchGuard XTM. L’assistant Web Setup Wizard configure
automatiquement le Firebox pour le mode routage mixte.
Pour utiliser l’assistant Web Setup Wizard, vous devez établir une connexion réseau directe avec le
périphérique WatchGuard et utiliser un navigateur Web pour démarrer l’assistant. Lorsque vous configurez
votre périphérique WatchGuard, ce dernier utilise le protocole DHCP pour envoyer une nouvelle adresse IP
à votre ordinateur.
Avant de démarrer l’assistant Web Setup Wizard, assurez-vous d’avoir :
n
n
Enregistré votre périphérique WatchGuard auprès de LiveSecurity Service ;
Stocké une copie de la clé de fonctionnalité de votre périphérique WatchGuard dans un fichier
texte sur votre ordinateur.
Démarrer l’assistant Web Setup Wizard
1. Utilisez le câble Ethernet inverseur rouge fourni avec Firebox pour connecter la station de gestion à
l’interface approuvée de Firebox.
n
n
L’interface approuvée pour un Firebox X Core, Peak e-Series ou un périphérique XTM est le
numéro d’interface 1.
Pour un Firebox X Edge e-Series, l’interface approuvée est LAN0
2. Raccordez le câble d’alimentation à l’entrée d’alimentation du périphérique WatchGuard et à une
source d’alimentation.
3. Démarrez le système Firebox en mode paramètres par défaut. Sur les modèles Core, Peak et XTM,
ce mode est connu sous le nom de mode sans échec.
Pour plus d’informations, voir Rétablir une configuration antérieure d’un périphérique Firebox ou
XTM ou créer une nouvelle configuration à la page 50.
4. Assurez-vous que votre ordinateur est configuré pour accepter les adresses IP affectées par le biais
du protocole DHCP.
Si votre ordinateur est sous Windows XP :
n
n
n
n
Dans le menu Démarrer de Windows, sélectionnez Tous les programmes > Panneau de
configuration > Connexions réseau > Connexions au réseau local .
Cliquez sur Propriétés.
Sélectionnez Protocole Internet (TCP/IP) et cliquez sur Propriétés.
Assurez-vous que l’option Obtenir une adresse IP automatiquement est sélectionnée.
Pour obtenir des instructions plus détaillées, cf. Identifier vos paramètres réseau à la page 36.
Guide de l’utilisateur
25
Mise en route
5. Si votre navigateur utilise un serveur proxy HTTP, vous devez momentanément désactiver le
paramètre de proxy HTTP dans votre navigateur.
Pour plus d’informations, voir Désactiver les proxys HTTP dans le navigateur à la page 40.
6. Ouvrez un navigateur Web et entrez l’adresse IP par défaut de l’interface 1.
Pour un Firebox X Core ou Peak ou pour un périphérique WatchGuard XTM, l’adresse IP est :
https://10.0.1.1:8080 .
Pour un Firebox X Edge, l’adresse est : https://192.168.111.1:8080 .
Si vous utilisez Internet Explorer, assurez-vous d’entrer https:// au début de l’adresse IP. Une
connexion HTTP sécurisée est alors établie entre votre station de gestion et le périphérique
WatchGuard.
L’assistant Web Setup Wizard démarre automatiquement.
7. Connectez-vous en utilisant les informations d’identification par défaut du compte administrateur :
Nom d’utilisateur : admin
Mot de passe : lecture/écriture
8. Passez aux écrans suivants et terminez l’assistant.
L’assistant Web Setup Wizard inclut les boîtes de dialogue suivantes. Certaines d’entre elles ne
s’affichent que si vous sélectionnez certaines méthodes de configuration :
Connexion
Connectez-vous en utilisant les informations d’identification par défaut du compte
administrateur. Pour le Nom d’utilisateur, sélectionnez admin. Pour un Mot de passe, utilisez
le mot de passe : lecture/écriture.
Bienvenue
Le premier écran vous présente l’assistant.
Sélectionnez un type de configuration.
Choisissez de créer une nouvelle configuration ou de restaurer une configuration à partir d’une
image de sauvegarde enregistrée.
Contrat de licence
Vous devez accepter les termes du contrat de licence pour passer aux étapes suivantes de
l’assistant.
Récupérer la clé de fonctionnalité, appliquer la clé de fonctionnalité, options de clé de fonctionnalité.
Si votre Firebox ne possède pas déjà une clé de fonctionnalité, l’assistant vous propose de
télécharger ou d’importer une clé de fonctionnalité. L’assistant ne peut télécharger une clé de
fonctionnalité que s’il peut se connecter à Internet. Si vous avez téléchargé une copie locale de
la clé de fonctionnalité sur votre ordinateur, vous pouvez la coller dans l’assistant installation.
Si le Firebox n’est pas connecté à Internet lorsque vous exécutez l’assistant, et que vous n’avez
pas enregistré le périphérique ni téléchargé la clé de fonctionnalité sur votre ordinateur avant
de lancer l’assistant, vous pouvez choisir de ne pas appliquer de clé de fonctionnalité.
26
WatchGuard System Manager
Mise en route
Avertissement
Si vous n’appliquez pas de clé de fonctionnalité dans l’assistant Web Setup Wizard,
vous devez enregistrer le périphérique et appliquer la clé de fonctionnalité dans
Fireware XTM Web UI. La fonctionnalité du périphérique est limitée jusqu’à ce que
vous appliquiez une clé de fonctionnalité.
Configurez l’interface externe de votre Firebox.
Sélectionnez la méthode utilisée par votre fournisseur de services Internet pour affecter votre
adresse IP. Vous pouvez choisir entre les protocoles DHCP ou PPPoE, ou bien une adresse IP
statique.
Configurer l’interface externe pour DHCP
Entrez votre identification DHCP, telle que fournie par votre fournisseur de services Internet.
Configurer l’interface externe pour PPPoE
Entrez vos informations PPPoE, telles que fournies par votre fournisseur de services Internet.
Configurer l’interface externe à l’aide d’une adresse IP statique.
Entrez vos informations d’adresse IP statique, telles que fournies par votre fournisseur de
services Internet.
Configurer les serveurs DNS et WINS
Entrez les adresses des serveurs des DNS et WINS de domaine que vous souhaitez que Firebox
utilise.
Configurer l’interface approuvée de Firebox
Entrez l’adresse IP de l’interface approuvée. De manière facultative, vous pouvez activer
l’option Serveur DHCP de l’interface approuvée.
Connexion sans fil (Firebox X Edge e-Series Wireless uniquement)
Définissez la région d’utilisation, le canal et le mode sans fil. La liste des régions d’exploitation
sans fil que vous pouvez sélectionner peut différer selon l’endroit où vous avez acheté Firebox.
Pour plus d’informations, voir Présentation des paramètres paramètres de radio sans fil sur
Firebox X Edge e-Series à la page 184.
Créez des mots de passe pour votre périphérique.
Entrez un mot de passe d’état (lecture seule) et de compte de gestion administrateur
(lecture/écriture) sur Firebox.
Activer la gestion à distance
Activez la gestion à distance si vous voulez gérer ce périphérique à partir de l’interface externe.
Ajoutez les informations de contact sur votre périphérique.
Guide de l’utilisateur
27
Mise en route
Vous pouvez entrer un nom de périphérique, un emplacement et des informations de contact
pour enregistrer des informations de gestion pour ce périphérique. Par défaut, le nom de
périphérique est défini selon le numéro de modèle de Firebox. Nous vous recommandons de
choisir un nom unique que vous pouvez utiliser pour identifier facilement ce périphérique, en
particulier si vous utilisez la gestion à distance.
Définissez le fuseau horaire.
Sélectionnez le fuseau horaire correspondant à l’emplacement de Firebox.
L’Assistant Quick Setup Wizard est terminé.
Une fois l’Assistant terminé, le périphérique WatchGuard redémarre.
Si vous laissez l’Assistant Web Setup Wizard en veille pendant plus de 15 minutes, vous devez revenir à
l’étape 3 et recommencer.
Note Si vous modifiez l’adresse IP de l’interface approuvée, vous devez modifier vos
paramètres réseau de sorte que votre adresse IP corresponde au sous-réseau du
réseau approuvé avant de vous connecter à Firebox. Si vous utilisez le protocole
DHCP, redémarrez votre ordinateur. Si vous utilisez l’adressage statique, cf. Utiliser
une adresse IP statique à la page 39.
Après l’exécution de l’assistant
Après l’exécution de l’assistant, le périphérique WatchGuard est configuré avec une configuration de base
qui inclut quatre stratégies (trafic TCP sortant, filtre de paquets FTP, ping et WatchGuard) et les adresses IP
d’interface que vous avez spécifiées. Vous pouvez utiliser Fireware XTM Web UI. pour développer ou
modifier la configuration du périphérique WatchGuard.
n
n
Pour obtenir des informations sur la façon de mener à bien l’installation de votre périphérique
WatchGuard, une fois l’assistant Web Setup Wizard terminé, cf. Terminer votre installation à la page 33.
Pour des informations concernant la connexion Fireware XTM Web UI., cf. Se connecter à Fireware
XTM Web UI à la page 29.
Si vous rencontrez des problèmes avec l’assistant
Si l’assistant Web Setup Wizard ne parvient pas à installer le logiciel système Fireware sur le périphérique
WatchGuard, le délai d’attente de l’assistant expire. Si vous rencontrez des problèmes avec l’assistant,
vérifiez les points suivants :
n
Le fichier d’application Fireware XTM que vous avez téléchargé sur le site Web LiveSecurity pourrait
être endommagé. Si l’image logicielle est endommagée, le message suivant s’affiche sur l’interface
LCD d’un Firebox X Core, Peak ou XTM : File Truncate Error (Erreur - Fichier tronqué)
Si ce message s’affiche, téléchargez de nouveau le logiciel et réessayez d’exécuter l’assistant.
n
Si vous utilisez Internet Explorer 6, effacez le cache de fichiers dans votre navigateur Web et
réessayez.
Pour effacer le cache, dans Internet Explorer, sélectionnez Outils > Options Internet > Supprimer
les fichiers.
28
WatchGuard System Manager
Mise en route
Se connecter à Fireware XTM Web UI
Pour vous connecter à Fireware XTM Web UI, vous utilisez un navigateur Web pour accéder à l'adresse IP
de l'interface facultative ou approuvée du périphérique WatchGuard via le numéro de port correct. Les
connexions à l'IU Web sont toujours chiffrées avec HTTPS ; le même type de chiffrement hautement
sécurisé qu'utilisent les sites Internet bancaires et commerciaux. Vous devez utiliser https à la place de http
lorsque vous saisissez l'URL dans la barre d'adresse de votre navigateur.
Par défaut, le port utilisé par l'IU Web est 8080. L'URL permettant de vous connecter à l'IU Web dans votre
navigateur est :
https://<firebox-ip-address>:8080
Où <firebox-ip-address> est l'adresse IP assignée à l'interface approuvée ou facultative. En établissant cette
connexion, le navigateur charge l'invitation de connexion. L'URL par défaut pour l'interface approuvée est
différente pour Edge que pour les autres modèles de Firebox.
n
n
L'URL par défaut pour un périphérique Firebox X Core, Peak, ou WatchGuard XTM est
https://10.0.1.1:8080 .
L’URL par défaut pour un Firebox X Edge est https://192.168.111.1:8080 .
Vous pouvez également modifier l’adresse IP du réseau approuvé. Pour plus d’informations, voir
Paramètres d’interface standard à la page 100.
Par exemple, pour utiliser l'URL par défaut pour vous connecter à une Firebox X Edge :
1. Ouvrez votre navigateur Web.
2. Dans la barre d'adresse ou d'emplacement, tapez https://192.168.111.1:8080 et appuyez sur
Entrée.
Une notification de certificat de sécurité apparaît dans le navigateur.
3. Lorsque vous voyez s'afficher l'avertissement de certificat, cliquez sur Continuer vers ce site Web
(IE 7) ou Ajouter une exception (Firefox 3).
Cet avertissement s'affiche car le certificat utilisé par le périphérique WatchGuard est signé par
l'autorité de certification WatchGuard, qui ne se trouve pas sur la liste d'autorités approuvées de
votre navigateur.
Note Cet avertissement s’affiche chaque fois que vous vous connectez au périphérique
WatchGuard sauf si vous acceptez définitivement le certificat, ou générez et
importez un certificat pour le périphérique à utiliser. Pour plus d’informations, voir
À propos des certificats à la page 395.
4. Dans la liste déroulante Nom d'utilisateur, sélectionnez un nom d'utilisateur.
Guide de l’utilisateur
29
Mise en route
5. Dans le champ Mot de passe, tapez le mot de passe.
n
n
Si vous choisissez le nom d'utilisateur admin, tapez le mot de passe de configuration (lectureécriture).
Si vous choisissez l'état Nom d'utilisateur, tapez le mot de passe d'état (lecture uniquement).
Note Par défaut, la configuration de la Firebox permet uniquement les connexions à
Fireware XTM Web UI depuis les réseaux approuvés et facultatifs. Pour modifier la
configuration afin d'autoriser les connexions avec l'IU Web depuis le réseau
externe, voir Connexion avec Fireware XTM Web UI depuis un réseau externe à la
page 30.
Connexion avec Fireware XTM Web UI depuis un
réseau externe
La configuration du périphérique Fireware XTM comporte une stratégie appelée IU Web WatchGuard.
Cette stratégie définit quelles interfaces Firebox peuvent se connecter à Fireware XTM Web UI. Par défaut,
cette stratégie autorise uniquement les connexions depuis des réseaux Tout-Approuvé et Tout-Facultatif.
Si vous souhaitez autoriser l'accès à l'IU Web depuis le réseau externe, vous devez modifier la stratégie de
l'IU Web Watchguard et ajouter Tout-Externeà la liste De.
Dans Fireware XTM Web UI :
1.
2.
3.
4.
5.
6.
7.
Sélectionnez Pare-feu > Stratégies de pare-feu.
Double-cliquez sur la stratégie IU Web WatchGuard pour la modifier.
Cliquez sur l'onglet Stratégie.
Dans la section De, cliquez sur Ajouter.
Sélectionnez Tout-Externe.
Cliquez sur OK.
Cliquez sur Enregistrer.
À propos de Fireware XTM Web UI
L'interface utilisateur Web de Fireware XTM vous permet de surveiller et de gérer tout périphérique
utilisant Fireware XTM version 11 ou ultérieure sans avoir à installer de logiciels supplémentaires sur votre
ordinateur. Le seul logiciel requis est un navigateur prenant en charge Adobe Flash.
30
WatchGuard System Manager
Mise en route
Aucune installation de logiciel n'étant nécessaire, vous pouvez utiliser l'IU Web depuis n'importe quel
ordinateur possédant une connectivité TCP/IP et un navigateur. Cela signifie que vous pouvez administrer
votre Firebox depuis un ordinateur fonctionnant sous Windows, Linux, Mac OS ou toute autre plateforme,
du moment qu'il est équipé d'un navigateur prenant en charge Adobe Flash 9 et d'une connectivité réseau.
L'IU Web est un outil de gestion en temps réel. Cela signifie que, lorsque vous utilisez l'IU Web pour
modifier un périphérique, vos modifications prennent en général effet immédiatement. L'IU Web ne vous
permet pas de créer une liste de modifications vers un fichier de configuration enregistré en local afin
d'envoyer ultérieurement plusieurs modifications en même temps vers le périphérique. Cet outil est donc
différent de Fireware XTM Policy Manager, qui est un outil de configuration hors ligne. Les modifications
apportées à un fichier de configuration enregistré en local à l'aide de Policy Manager ne prennent pas effet
tant que vous n'avez pas enregistré la configuration sur le périphérique.
Note Vous devez effectuer les étapes de l’assistant Quick Setup Wizard pour pouvoir
afficher Fireware XTM Web UI. Pour plus d’informations, voir Exécuter l’Assistant
Web Setup Wizard à la page 25. Par ailleurs, vous devez utiliser un compte
bénéficiant de tous les droits d’accès administratifs pour afficher et modifier les
pages de configuration.
Sur la gauche de Fireware XTM Web UI se trouve la barre de navigation principale permettant de
sélectionner tout un ensemble de pages de configuration.
L'élément situé en haut de la barre de navigation est le tableau de bord, qui vous renvoie à la page du
tableau de bord de Fireware XTM que vous voyez lorsque vous vous connectez initialement à l'IU Web de
Fireware XTM.
Tous les autres éléments de la barre de navigation comportent des options de menu secondaires
permettant de configurer les propriétés de cette fonctionnalité.
n
n
Pour afficher ces options de menu secondaires, cliquez sur un nom d'option de menu. Par exemple,
si vous cliquez sur Authentification, les options de menu secondaires suivantes s'affichent :
Serveurs, Paramètres, Utilisateurs et groupes, Certificat de serveur Web et Single Sign-On.
Pour masquer les options de menu secondaires, cliquez à nouveau sur l'option de menu supérieure.
Guide de l’utilisateur
31
Mise en route
Pour indiquer qu'il s'agit d'options de menu à développer ou à cliquer, la documentation utilise le symbole
flèche droite (>). Les noms de menus sont en gras. Par exemple, la commande pour ouvrir la page des
Paramètres d'authentification apparaît dans le texte sous la forme Authentification > Paramètres.
Sélectionnez la langue de l’interface Fireware XTM Web UI
L’interface utilisateur Fireware XTM Web UI prend en charge cinq langues. La langue sélectionnée apparaît
en haut de chaque page.
Pour changer la langue :
1. Cliquez sur la langue souhaitée.
La liste déroulante des langues disponibles s’affiche.
2. Sélectionnez la langue dans la liste.
L’interface Fireware XTM Web UI apparaît dans la langue sélectionnée.
Limitations de Fireware XTM Web UI
Vous pouvez utiliser Fireware XTM Web UI, WatchGuard System Manager et Fireware XTM Command Line
Interface (CLI) pour configurer et surveiller votre périphérique Fireware XTM. Si vous souhaitez modifier le
fichier de configuration d’un périphérique, vous pouvez utiliser n’importe lequel de ces programmes.
Cependant, un certain nombre de modifications de configuration de périphérique ne peuvent pas être
effectuées avec Fireware XTM Web UI.
Vous pouvez réaliser certaines tâches dans Policy Manager, mais pas dans Web UI, par exemple :
n
n
n
n
n
n
n
n
n
n
n
n
32
Afficher ou configurer des options avancées de proxy
n L’affichage avancé des types de contenus proxy n’est pas disponible.
n D’autres options de configuration de proxy ne sont pas disponibles (varie selon le proxy).
Modifier les règles NAT statiques (ajout et suppression uniquement)
Exporter un certificat ou afficher les détails d’un certificat (importation de certificats uniquement)
Activer la journalisation de diagnostic ou modifier les niveaux de journal diagnostic
Modifier la journalisation des options de gestion des paquets par défaut
Activer ou désactiver la notification d’événements BOVPN
Ajouter ou supprimer des entrées ARP statiques dans la table ARP du périphérique
Obtenir manuellement le fichier de configuration Mobile VPN with SSL
Obtenir la configuration client utilisateur final Mobile VPN with IPSec chiffrée (.wgx) (vous pouvez
uniquement obtenir le fichier .ini équivalent, mais non chiffré)
Modifier le nom d’une stratégie
Ajouter une adresse personnalisée à une stratégie
Utiliser un nom d’hôte (recherche DNS) pour ajouter une adresse IP à une stratégie
WatchGuard System Manager
Mise en route
n
n
Utilisez l’administration basée sur des rôles (appelée aussi contrôle d’accès à base de rôles)
Afficher ou modifier la configuration d’un périphérique membre d’un FireCluster
Le groupe d’applications livré avec le gestionnaire WatchGuard System Manager comporte de nombreux
autres outils de surveillance et de rapport. Certaines fonctions proposées par HostWatch, LogViewer,
Report Manager et WSM ne sont pas non plus disponibles dans Web UI.
Pour utiliser certaines fonctionnalités de Fireware XTM liées aux serveurs WatchGuard, vous devez installer
WatchGuard Server Center. Vous n’avez pas besoin d’utiliser le gestionnaire WatchGuard System Manager
pour installer WatchGuard Server Center. Vous pouvez utiliser WatchGuard Server Center pour configurer
les serveurs WatchGuard suivants :
n
n
n
n
n
Management Server
Log Server
Report Server
Quarantine Server
WebBlocker Server
Pour savoir comment configurer les fonctionnalités non prises en charge par Web UI ou pour savoir
comment utiliser WatchGuard Server Center, référez-vous à l’aide de Fireware XTM WatchGuard System
Manager version 11 à l’adresse http://www.watchguard.com/help/docs/wsm/11/fr-FR/index.html.
Pour en savoir plus sur l’interface CLI, reportez-vous à la documentation WatchGuard Command Line
Interface Reference à l’adresse http://www.watchguard.com/help/documentation.
Terminer votre installation
Une fois que vous avez terminé Web Setup Wizard vous devez terminer l’installation de votre périphérique
WatchGuard sur votre réseau.
1. Placez le périphérique WatchGuard dans son emplacement physique permanent.
2. Assurez-vous que la passerelle de la station de gestion et du reste du réseau approuvé est l’adresse
IP de l’interface approuvée de votre périphérique WatchGuard.
3. Pour connecter votre périphérique WatchGuard à Fireware XTM Web UI, ouvrez un navigateur Web
et entrez :
https://[adresse IP de l’interface approuvée du périphérique WatchGuard]:8080 .
n
n
L’URL par défaut pour un périphérique Firebox X Core, Peak, ou XTM est
https://10.0.1.1:8080 .
L’URL par défaut pour un Firebox X Edge est https://192.168.111.1:8080 .
Pour plus d’informations, voir Se connecter à Fireware XTM Web UI à la page 29.
4. Si vous utilisez une configuration routée, veillez à modifier la passerelle par défaut sur tous les
ordinateurs qui se connectent sur votre périphérique WatchGuard afin qu’elle corresponde à
l’adresse IP de l’interface approuvée du périphérique WatchGuard.
5. Personnalisez votre configuration conformément aux besoins de sécurité de votre entreprise.
Pour de plus amples informations, reportez-vous à la rubrique suivante Personnaliser votre stratégie
de sécurité.
Guide de l’utilisateur
33
Mise en route
Personnalisez votre stratégie de sécurité
Votre stratégie de sécurité contrôle qui peut rentrer et sortir du réseau et détermine les autorisations
d’accès des utilisateurs de votre réseau. Le fichier de configuration du périphérique WatchGuard gère les
stratégies de sécurité.
Lorsque vous avez terminé l’assistant Quick Setup Wizard, le fichier de configuration que vous avez créé ne
constituait qu’une configuration de base. Vous pouvez modifier un fichier de configuration pour aligner la
stratégie de sécurité aux conditions de sécurité de votre entreprise. Vous pouvez ajouter des stratégies de
filtre de paquets et de proxy afin de définir ce qui est autorisé à pénétrer et à sortir de votre réseau.
Chaque stratégie peut avoir un effet sur votre réseau. Les stratégies qui augmentent la sécurité du réseau
peuvent diminuer les possibilités d’accès au réseau. Les stratégies qui augmentent les possibilités d’accès au
réseau peuvent rendre le réseau plus vulnérable. Pour de plus amples informations sur les stratégies, cf. À
propos des stratégies à la page 257.
Pour une nouvelle installation, nous recommandons d’utiliser uniquement des stratégies de filtre de
paquets, jusqu’à ce que tous vos systèmes fonctionnent correctement. Si nécessaire, vous pouvez ajouter
des stratégies de proxy.
À propos de LiveSecurity Service
Vote périphérique WatchGuard inclut un abonnement à LiveSecurity Service Votre abonnement vous
permet :
n
n
n
n
n
n
De vous assurer que vous bénéficiez de la protection réseau la plus à jour avec les mises à niveau
logicielles les plus récentes ;
De trouver des solutions à vos problèmes, grâce à un accès complet aux ressources de support
technique ;
D’éviter les interruptions de service avec des messages et une aide sur la configuration pour les
problèmes de sécurité les plus récents ;
D’en savoir plus sur la sécurité réseau grâce aux ressources de formation ;
D’étendre la sécurité de votre réseau à l’aide de logiciels et autres fonctionnalités ;
D’étendre la garantie de votre matériel avec un remplacement avancé.
Pour de plus amples informations concernant LiveSecurity Service, cf. À propos de Assistance WatchGuard
à la page 17.
Rubriques d’installation supplémentaires
Se connecter à Firebox avec Firefox v3
Les navigateurs Web s’assurent que le dispositif de l’autre côté d’une connexion HTTPS est bien celui que
vous attendez à l’aide de certificats. Lorsqu’un certificat est autosigné, et en cas de conflit entre l’adresse IP
ou nom d’hôte demandé et l’adresse IP ou nom d’hôte du certificat, les utilisateurs reçoivent une alerte.
Par défaut, votre Firebox emploie un certificat autosigné dont vous pouvez vous servir pour configurer
rapidement votre réseau. En revanche, quand les utilisateurs se connectent à Firebox sur navigateur Web,
un message d’avertissement Échec de la connexion sécurisée apparaît.
34
WatchGuard System Manager
Mise en route
Pour éviter de voir ce message s’afficher, nous vous recommandons d’ajouter à votre configuration un
certificat valide signé par une autorité de certification. Ce certificat d’autorité de certification peut
également servir à renforcer la sécurité de l’authentification VPN. Pour plus d’informations sur l’utilisation
de dispositifs Firefox, voir À propos des certificats à la page 395.
Si vous continuez avec un certificat autosigné par défaut, vous pouvez ajouter une exception pour le
Firebox de chaque ordinateur client. La plupart des navigateurs Web récents comportent un lien sur le
message d’alerte permettant à l’utilisateur de cliquer pour permettre la connexion. Si votre établissement
utilise Mozilla Firefox v3, les utilisateurs doivent ajouter une exception de certificat permanente avant de se
connecter au Firebox.
Font partie des actions imposant une exception :
n
n
n
n
À propos de l’authentification des utilisateurs
Installer et connecter le client Mobile VPN with SSL
Exécuter l’Assistant Web Setup Wizard
Se connecter à Fireware XTM Web UI
Font partie des URL imposant une exception :
https:// Adresse IP ou nom d’hôte d’une interface Firebox:8080
https://adresse IP/nom d’hôte d’interface Firebox :4100
https://adresse IP ou nom d’hôte de Firebox:4100/sslvpn.html
Ajouter une exception de certificat permanente à Mozilla Firefox v3.
Si vous ajoutez une exception à Firefox v3 pour le Firebox Certificate, le message d’alerte ne s’affichera plus
lors des connexions suivantes. Vous devez ajouter une exception indépendante pour chaque adresse IP,
nom d’hôte et port utilisé pour connexion au Firebox. Par exemple, une exception utilisant un nom d’hôte
ne fonctionnera pas correctement en cas de connexion avec une adresse IP. Parallèlement, une exception
spécifiant le port 4100 n’est pas applicable à une connexion sans aucun port spécifié.
Note Une exception de certificat ne nuit pas à la sécurité de votre ordinateur. Tout le
trafic réseau entre votre ordinateur et le dispositif WatchGuard reste chiffré par
protocole SSL.
Il existe deux méthodes d’ajout d’exception. Vous devez être capable d’envoyer du trafic au Firebox pour
ajouter une exception.
n
n
Cliquez sur le lien du message Échec de la connexion sécurisée.
Utilisez une exception de certificat permanente à Firefox v3.
Dans le message Échec de la connexion sécurisée :
1. Cliquez sur Ou vous pouvez ajouter une exception.
2. Cliquez sur Ajout d’exceptions.
La boîte de dialogue Ajouter une exception de sécurité apparaît.
3. Cliquez sur Obtenir un certificat.
4. Sélectionnez la case Enregistrer cette exception définitivement.
5. Cliquez sur Confirmer exception de sécurité.
Ajout d’exceptions multiples :
Guide de l’utilisateur
35
Mise en route
1. Dans Firefox, sélectionnez Outils >Options.
La boîte de dialogue Options s’affiche.
2. Sélectionnez Avancé.
3. Cliquez sur l’onglet Chiffrement, puis cliquez sur Afficher les certificats.
La boîte de dialogue Gestionnaire de certificats s’ouvre.
4. Cliquez sur l’onglet Serveurs, puis sur Ajouter exception.
5. Dans la zone de texte Emplacement, ressaisissez l’URL pour se connecter au Firebox. Les URL les
plus fréquentes sont sur la liste ci-dessus.
6. Lorsque l’information de certificat apparaît dans la zone État de certificat, cliquez sur Confirmer
exception de sécurité.
7. Cliquez sur OK. Répétez les étapes 4 à 6 pour ajouter d’autres exceptions.
Identifier vos paramètres réseau
Pour configurer votre périphérique WatchGuard, vous devez connaître certaines informations relatives à
votre réseau. Utilisez cette section pour savoir comment identifier vos paramètres réseau.
Pour en savoir plus sur les notions fondamentales relatives aux réseaux, cf. À propos des réseaux et de leur
sécurité à la page 1.
Spécifications relatives à l’adressage réseau
Avant de pouvoir démarrer l’installation, vous devez savoir comment votre ordinateur obtient une adresse
IP. Votre fournisseur de services Internet (FSI) ou votre administrateur réseau d’entreprise peut vous
fournir ces informations. Pour vous connecter à Internet avec le périphérique WatchGuard, appliquez la
même méthode que pour la connexion avec votre ordinateur. Si vous connectez votre ordinateur
directement à Internet à l’aide d’une connexion haut débit, vous pouvez placer le périphérique
WatchGuard entre votre ordinateur et Internet et utiliser la configuration réseau de votre ordinateur afin
de configurer l’interface externe du périphérique WatchGuard.
Vous pouvez utiliser une adresse IP statique, le protocole DHCP ou le protocole PPPoE pour configurer
l’interface externe du périphérique WatchGuard. Pour de plus amples informations sur l’adressage réseau,
cf. Configurer une interface externe à la page 86.
Un navigateur Web doit être installé sur votre ordinateur. Ce navigateur sert à configurer et à gérer le
périphérique WatchGuard. Votre ordinateur doit avoir une adresse IP sur le même réseau que le
périphérique WatchGuard.
Dans la configuration de paramètres par défaut, le périphérique WatchGuard affecte à votre ordinateur une
adresse IP par le biais du protocole DHCP (Dynamic Host Configuration Protocol). Vous pouvez configurer
votre ordinateur de façon à utiliser le protocole DHCP, puis vous connecter au périphérique WatchGuard
pour le gérer. Vous pouvez affecter à votre ordinateur une adresse IP statique appartenant au même
réseau que l’adresse IP approuvée du périphérique WatchGuard. Pour plus d’informations, voir Configurer
votre ordinateur pour la connexion à votre périphérique WatchGuard. à la page 38.
Trouvez vos propriétés TCP/IP
Pour en savoir plus sur les propriétés de votre réseau, examinez les propriétés TCP/IP de votre ordinateur
ou de tout autre ordinateur du réseau. Vous devez connaître les éléments suivants pour installer votre
périphérique WatchGuard :
36
WatchGuard System Manager
Mise en route
n
n
n
n
n
Adresse IP
Masque de sous-réseau
Passerelle par défaut
Votre ordinateur a une adresse IP statique ou dynamique
Adresses IP des serveurs DNS primaires et secondaires
Note Si votre fournisseur de services Internet affecte à votre ordinateur une adresse IP
commençant par 10, 192.168 ou 172.16 à 172.31, cela signifie qu’il utilise la
traduction d’adresses réseau (NAT, Network Address Translation) et que votre
adresse IP est privée. Nous vous conseillons d'obtenir une adresse IP publique pour
votre adresse IP externe de Firebox. Si vous utilisez une adresse IP privée, vous
pouvez rencontrer des problèmes avec certaines fonctionnalités, telles que la mise
en réseau privé virtuel.
Pour rechercher les propriétés TCP/IP du système d'exploitation de votre ordinateur, suivez les instructions
figurant dans les sections suivantes.
Trouvez vos propriétés TCP/IP sur Microsoft Windows Vista
1. Sélectionnez Démarrer> Programmes > Accessoires > Invite de commande.
La boîte de dialogue Invite de boîte de dialogue s’affiche.
2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée.
3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal.
Trouvez vos propriétés TCP/IP sur Microsoft Windows 2000, Windows 2003 et
Windows XP
1. Sélectionnez Démarrer > Tous les programmes >Accessoires > Invite de commandes.
La boîte de dialogue Invite de boîte de dialogue s’affiche.
2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée.
3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal.
Trouvez vos propriétés TCP/IP sur Microsoft Windows NT
1. Sélectionnez Démarrer > Programmes > Invite de commandes.
La boîte de dialogue Invite de boîte de dialogue s’affiche.
2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée.
3. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal.
Trouvez vos propriétés TCP/IP sur Macintosh OS 9
1. Sélectionnez le Menu Pomme > Tableaux de bord >TCP/IP.
La boîte de dialogue TCP/IP s'affiche.
2. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal.
Trouvez vos propriétés TCP/IP sur Macintosh OS X 10.5
1. Sélectionnez le menu Pomme > Préférences système ou cliquez sur l’icône dans le Dock.
La boîte de dialogue Préférences système s'affiche.
Guide de l’utilisateur
37
Mise en route
2. Cliquez sur l’icône Réseau.
Le volet de préférences réseau s’affiche.
3. Sélectionnez la carte réseau utilisée pour la connexion à Internet.
4. Notez les valeurs qui s’affichent pour l'adaptateur réseau.
Trouvez vos propriétés TCP/IP sur d’autres systèmes d’exploitation (Unix, Linux)
1. Reportez-vous au guide d’utilisation de votre système d’exploitation pour rechercher les propriétés
TCP/IP.
2. Notez les valeurs qui s’affichent pour l'adaptateur réseau principal.
Rechercher Paramètres PPPoE
De nombreux fournisseurs de services Internet utilisent le protocole PPPoE (Point to Point Protocol over
Ethernet), car il est facile à utiliser avec une infrastructure d’accès à distance. Si votre fournisseur de
services Internet utilise le protocole PPPoE pour affecter les adresses IP, vous devez obtenir les
informations suivantes :
n
n
n
Nom de connexion
Nom de domaine (facultatif)
Mot de passe
Configurer votre ordinateur pour la connexion à votre
périphérique WatchGuard.
Pour pouvoir utiliser l’assistant Web Setup Wizard, vous devez configurer votre ordinateur pour se
connecter au périphérique WatchGuard. Vous pouvez configurer votre carte d’interface réseau de façon à
utiliser une adresse IP statique ou utiliser le protocole DHCP afin d’obtenir une adresse IP
automatiquement.
Utiliser le protocole DHCP
Si le système d’exploitation de votre ordinateur n’est pas Windows XP, consultez l’aide du système
d’exploitation pour obtenir des instructions sur la manière de configurer votre ordinateur pour utiliser le
protocole DHCP.
Pour configurer un ordinateur sous Windows XP de façon à utiliser le protocole DHCP :
1. Sélectionnez Démarrer > Panneau de configuration.
La fenêtre du Panneau de configuration s’affiche.
2. Double-cliquez sur Connexions réseau.
3. Double-cliquez sur l’icône Connexion au réseau local.
La fenêtre État de Connexion au réseau local s’affiche.
4. Cliquez sur Propriétés.
La fenêtre Propriétés de Connexion au réseau local s’affiche.
5. Double-cliquez sur Protocole Internet (TCP/IP).
La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) s’affiche.
6. Sélectionnez les options Obtenir une adresse IP automatiquement et Obtenir l’adresse du serveur
DNS automatiquement.
38
WatchGuard System Manager
Mise en route
7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protocole Internet (TCP/IP).
8. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion au réseau local.
9. Fermez les fenêtres État de Connexion au réseau local, Connexions réseau et Panneau de
configuration.
Votre ordinateur est prêt à se connecter au périphérique WatchGuard.
10. Lorsque le périphérique WatchGuard est prêt, ouvrez un navigateur Web.
11. Dans la barre d’adresse du navigateur, entrez l’adresse IP de votre périphérique WatchGuard et
appuyez sur Entrée.
12. Si un avertissement de certificat de sécurité s’affiche, acceptez le certificat.
L’assistant Quick Setup Wizard démarre.
Note L’adresse IP par défaut pour un Firebox X Edge est
https://192.168.111.1/ .
L’adresse IP par défaut pour un Firebox X Core ou Peak, ou pour un périphérique
WatchGuard XTM est https://10.0.1.1/ .
13. Exécuter l’Assistant Web Setup Wizard.
Utiliser une adresse IP statique
Si le système d’exploitation de votre ordinateur n’est pas Windows XP, consultez l’aide du système
d’exploitation pour obtenir des instructions sur la manière de configurer votre ordinateur pour l’utilisation
d’une adresse IP statique. Vous devez sélectionner une adresse IP sur le même sous-réseau que le réseau
approuvé.
Pour configurer un ordinateur sous Windows XP de façon à utiliser une adresse IP statique :
1. Sélectionnez Démarrer > Panneau de configuration.
La fenêtre du Panneau de configuration s’affiche.
2. Double-cliquez sur Connexions réseau.
3. Double-cliquez sur l’icône Connexion au réseau local.
La fenêtre État de Connexion au réseau local s’affiche.
4. Cliquez sur Propriétés.
La fenêtre Propriétés de Connexion au réseau local s’affiche.
5. Double-cliquez sur Protocole Internet (TCP/IP).
La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) s’affiche.
6. Sélectionnez l’option Utiliser l’adresse IP suivante.
7. Dans le champ Adresse IP, tapez une adresse IP sur le même réseau que l’interface approuvée
Firebox.
Nous recommandons les adresses suivantes :
n
n
Firebox X Edge — 192.168.111.2 pour
Firebox X Core ou Peak ou le périphérique WatchGuard XTM — 10.0.1.2
le réseau d’interface approuvé par défaut pour Firebox X Edge est 192.168.111.0.
Le réseau d’interface approuvé par défaut pour un Firebox X Core, Peak ou un périphérique WatchGuard
XTM est 10.0.1.0.
8. Dans le champ Masque de sous-réseau, tapez 255.255.255.0 .
9. Dans le champ Passerelle par défaut, tapez l’adresse IP de l’interface approuvée du périphérique
WatchGuard.
L’adresse d’interface approuvée Edge par défaut est 192.168.111.1.
Guide de l’utilisateur
39
Mise en route
10. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protocole Internet (TCP/IP).
11. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion au réseau local.
12. Fermez les fenêtres État de Connexion au réseau local, Connexions réseau et Panneau de
configuration.
Votre ordinateur est prêt à se connecter au périphérique WatchGuard.
13. Lorsque le périphérique WatchGuard est prêt, ouvrez un navigateur Web.
14. Dans la barre d’adresse du navigateur, entrez l’adresse IP de votre périphérique WatchGuard et
appuyez sur Entrée.
15. Si un avertissement de certificat de sécurité s’affiche, acceptez le certificat.
L’assistant Quick Setup Wizard démarre.
Note
L’adresse IP par défaut pour un Firebox X Edge est https://192.168.111.1/ .
L’adresse IP par défaut pour un Firebox X Core, Peak ou pour un périphérique
WatchGuard XTM est https://10.0.1.1/ .
16. Exécuter l’Assistant Web Setup Wizard.
Désactiver les proxys HTTP dans le navigateur
De nombreux navigateurs Web sont configurés de façon à utiliser un serveur proxy HTTP afin d’améliorer la
vitesse de téléchargement des pages Web. Pour gérer ou configurer Firebox avec l’interface de gestion
Web, votre navigateur doit se connecter directement au périphérique. Si vous utilisez un serveur proxy
HTTP, vous devez momentanément désactiver le paramètre de proxy HTTP dans votre navigateur. Vous
pouvez activer le paramètre de serveur proxy HTTP dans votre navigateur, une fois Firebox configuré.
Utilisez les instructions suivantes pour désactiver le proxy HTTP dans Firefox, Safari ou Internet Explorer. Si
vous utilisez un autre navigateur, utilisez son système d’aide pour rechercher les informations nécessaires.
De nombreux navigateurs désactivent automatiquement la fonctionnalité de proxy HTTP.
Désactiver le proxy HTTP dans Internet Explorer 6.x ou 7.x
1. Ouvrez Internet Explorer.
2. Sélectionnez >Outils Options Internet.
La boîte de dialogue Options Internet s’affiche.
3. Cliquez sur l’onglet Connexions.
4. Cliquez sur Paramètres réseau.
La boîte de dialogue Paramètres de réseau local s’affiche.
5. Désactivez la case à cocher Utiliser un serveur proxy pour votre réseau local.
6. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de réseau local.
7. Cliquez sur OK pour fermer la boîte de dialogue Options Internet.
Désactiver le proxy HTTP dans Firefox 2.x
1. Ouvrez Firefox.
2. Sélectionnez Outils>Options.
La boîte de dialogue Options s’affiche.
3. Cliquez sur l’icône Avancé.
4. Cliquez sur l’icône Réseau. Cliquez sur Paramètres.
40
WatchGuard System Manager
Mise en route
5. Cliquez sur Paramètres de connexion
La boîte de dialogue Paramètres de connexion s’affiche.
6. Assurez-vous que l’option Connexion directe à Internet est sélectionnée.
7. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de connexion.
8. Cliquez sur OK pour fermer la boîte de dialogue Options.
Désactiver le proxy HTTP dans Safari 2.0
1. Ouvrez Safari.
2. Sélectionnez Préférences
La boîte de dialogue Préférences Safari s’affiche.
3. Cliquez sur l’icône Avancé.
4. Cliquez sur le bouton Modifier les paramètres.
La boîte de dialogue Préférence système s’affiche.
5. Désactivez la case à cocher Proxy Web (HTTP).
6. Cliquez sur Appliquer.
Guide de l’utilisateur
41
Mise en route
Guide de l’utilisateur
42
5
Principes de configuration et de
gestion
À propos des tâches de base de configuration et
de gestion
Une fois le périphérique WatchGuard installé sur votre réseau et configuré à partir d’un fichier de
configuration de base, vous pouvez commencer à ajouter des paramètres personnalisés. Les rubriques de
cette section vous permettent d’effectuer ces tâches de base de gestion et de maintenance.
Créer une sauvegarde de l’image Firebox
Une image de sauvegarde Firebox consiste en une copie chiffrée et enregistrée de l’image du disque flash
obtenue à partir du disque flash Firebox. Cette image inclut le logiciel système Firebox, le fichier de
configuration, les licences et les certificats. Vous pouvez enregistrer une image de sauvegarde sur votre ou
sur un répertoire réseau. L’image de sauvegarde de Firebox X Edge n’inclut pas le logiciel système Firebox.
Il est conseillé de réaliser des sauvegardes régulières de l’image Firebox. Il est également conseillé de créer
une image de sauvegarde de Firebox avant d’apporter des modifications importantes à la configuration ou
avant de mettre à jour le périphérique ou son logiciel système.
1. Sélectionnez Système > Image de sauvegarde.
2. Entrez et confirmez une clé de chiffrement. Cette clé permet de chiffrer le fichier de sauvegarde.
En cas de perte ou d’oubli de cette clé de chiffrement, vous ne serez plus en mesure de restaurer le
fichier de sauvegarde.
3. Cliquez sur le bouton Sauvegarder.
4. Sélectionnez l’emplacement de destination du fichier de l’image de sauvegarde et entrez un nom de
fichier.
L’image de sauvegarde est enregistrée à l’emplacement de votre choix.
Guide de l’utilisateur
43
Principes de configuration et de gestion
Restaurez un système Firebox. Image de
sauvegarde
1.
2.
3.
4.
5.
6.
Sélectionnez Système > Restaurer l’image.
Cliquez sur Restaurer l’image.
Cliquez sur Parcourir.
Sélectionnez le fichier d’image de sauvegarde enregistrée. Cliquez sur Ouvrir.
Cliquez sur Restaurer.
Entrez la clé de chiffrement utilisée à la création de l’image de sauvegarde.
Le périphérique Firebox restaure l’image de sauvegarde. Il redémarre et utilise l’image de sauvegarde.
Patientez deux minutes avant de vous reconnecter au périphérique Firebox.
Si vous ne parvenez pas à restaurer l’image Firebox, vous pouvez réinitialiser le périphérique Firebox. Selon
votre modèle Firebox, vous pouvez restaurer les paramètres par défaut d’un périphérique Firebox ou créer
une nouvelle configuration à l’aide de l’Assistant Quick Setup Wizard.
Pour de plus amples informations, cf. : Rétablir une configuration antérieure d’un périphérique Firebox ou
XTM ou créer une nouvelle configuration à la page 50.
Utiliser une clé USB pour la sauvegarde et la
restauration du système
Une image de sauvegarde d’un périphérique WatchGuard XTM consiste en une copie chiffrée et
enregistrée de l’image du disque flash obtenue à partir du périphérique XTM. Le fichier de l’image de
sauvegarde comprend le système d’exploitation du périphérique XTM, le fichier de configuration, la clé de
fonctionnalité et des certificats.
Pour les périphériques WatchGuard XTM 2 Series, 5 Series, 8 Series ou XTM 1050, vous pouvez connecter
une clé USB ou tout autre dispositif de stockage au port USB du périphérique XTM pour les sauvegardes et
restaurations du système. Lorsque vous enregistrez une image de sauvegarde du système sur une clé USB
connectée, vous pouvez restaurer votre périphérique XTM vers un état connu plus rapidement.
Note Cette fonctionnalité n’est pas disponible sur les périphériques e-Series, car ils ne
possèdent pas de port USB.
À propos de la clé USB
La clé USB doit être formatée à l’aide du système de fichiers FAT ou FAT32. Si la clé USB possède plus d’une
partition, Fireware XTM n’utilise que la première. La taille maximale par image de sauvegarde du système
est de 30 Mo. Nous vous recommandons d’utiliser une clé USB disposant de suffisamment d’espace pour
pouvoir stocker plusieurs images de sauvegarde.
Enregistrer une image de sauvegarde sur une clé USB
connectée
Pour suivre cette procédure, la clé USB doit être connectée à votre périphérique XTM.
44
WatchGuard System Manager
Principes de configuration et de gestion
1. Sélectionnez Système > Clé USB.
La page Sauvegarder/Restaurer vers clé USB s’affiche.
2. Dans la rubrique Nouvelle image de sauvegarde, tapez un nom de fichier pour l’image de
sauvegarde.
3. Entrez et confirmez une clé de chiffrement. Cette clé permet de chiffrer le fichier de sauvegarde. Si
vous perdez ou oubliez cette clé de chiffrement, vous ne pourrez pas restaurer le fichier de
sauvegarde.
4. Cliquez sur Enregistrer sur clé USB.
Une fois l’enregistrement terminé, l’image enregistrée apparaît dans la liste des images de sauvegarde de
périphérique disponibles.
Restaurer une image de sauvegarde à partir d’une clé USB
connectée
Pour suivre cette procédure, la clé USB doit être connectée à votre périphérique XTM.
1. Sélectionnez Système > Clé USB.
La page Sauvegarder/Restaurer vers clé USB s’affiche.
2. À partir de la liste Images de sauvegarde disponibles, sélectionnez un fichier d’image de sauvegarde
à restaurer.
Guide de l’utilisateur
45
Principes de configuration et de gestion
3. Cliquez sur Restaurer l’image sélectionnée.
4. Entrez la clé de chiffrement que vous avez utilisée lors de la création de l’image de sauvegarde.
5. Cliquez sur Rétablir.
Le périphérique XTM restaure l’image de sauvegarde. Il redémarre, puis utilise l’image de sauvegarde.
Restaurer automatiquement une image de sauvegarde à partir
d’une clé USB
Si une clé USB (dispositif de stockage) est connectée à un périphérique WatchGuard XTM en mode
récupération, celui-ci peut restaurer automatiquement l’image sauvegardée précédemment sur la clé.
Pour utiliser la fonctionnalité d’autorestauration, vous devez d’abord sélectionner l’image de sauvegarde
sur la clé USB que vous souhaitez utiliser pour la restauration. Pour sélectionner cette image de sauvegarde,
vous devez utiliser l’interface utilisateur Fireware XTM Web UI, Firebox System Manager ou Fireware XTM
Command Line Interface.
Vous pouvez utiliser la même image de sauvegarde pour plusieurs périphériques, à condition qu’ils fassent
tous partie de la famille de modèles WatchGuard XTM. Par exemple, vous pouvez utiliser une image de
sauvegarde enregistrée à partir d’un périphérique XTM 530 pour tout autre périphérique XTM 5 Series.
Sélectionner l’image de sauvegarde à utiliser pour l’autorestauration
1. Sélectionnez Système > Clé USB.
La page Sauvegarder/Restaurer vers clé USB s’affiche. Les fichiers de l’image de sauvegarde enregistrée
apparaissent dans une liste en haut de la page.
2. Dans la liste Images de sauvegarde disponibles, sélectionnez un fichier d’image de sauvegarde.
3. Cliquez sur Utiliser l’image sélectionnée pour l’autorestauration.
4. Entrez la clé de chiffrement utilisée pour créer l’image de sauvegarde. Cliquez sur OK.
Le périphérique XTM enregistre une copie de l’image de sauvegarde sélectionnée sur la clé USB.
Si vous avez déjà enregistré une image d’autorestauration, le fichier auto-restore.fxi est remplacé par la
copie de l’image de sauvegarde sélectionnée.
46
WatchGuard System Manager
Principes de configuration et de gestion
Avertissement
Si votre périphérique XTM utilise une version du système d’exploitation Fireware
XTM antérieure à la version 11.3, vous devez mettre à jour l’image logicielle du
mode récupération du périphérique vers la version 11.3 pour activer la
fonctionnalité d’autorestauration. Reportez-vous aux Notes de version Fireware
XTM 11.3 pour obtenir des instructions de mise à niveau.
Restaurer l’image de sauvegarde pour un périphérique XTM 5 Series, 8
Series ou XTM 1050
1. Connectezla clé USBsur laquelle figure l’image d’autorestauration àun port USBdu périphérique XTM.
2. Mettez le périphérique XTM hors tension.
3. Pendant que vous mettez le périphérique sous tension, appuyez sur le bouton Flèche vers le haut
situé sur le panneau avant du périphérique.
4. Maintenez le bouton enfoncé jusqu’à ce que le message Démarrage du mode récupération
apparaisse sur l’affichage LCD.
Le périphérique restaure l’image de sauvegarde à partir de la clé USB ; après redémarrage, il utilise
automatiquement l’image restaurée.
Si la clé USB contient une image d’autorestauration non valide pour cette famille de modèles de
périphériques XTM, le périphérique ne redémarre pas mais se lance en mode récupération. Si vous
redémarrez à nouveau le périphérique, il utilisera votre configuration actuelle. Lorsque le périphérique est
en mode récupération, vous pouvez utiliser l’Assistant WSM Quick Setup Wizard pour créer une nouvelle
configuration de base.
Pour obtenir des informations sur l’Assistant WSM Quick Setup Wizard, cf. Exécution de l’Assistant WSM
Quick Setup Wizard.
Restaurer l’image de sauvegarde pour un périphérique XTM 2 Series
1. Connectez la clé USB sur laquelle figure l’image d’autorestauration à un port USB du périphérique
XTM 2 Series.
2. Déconnectez l’alimentation.
3. Maintenez enfoncé le bouton Rétablir situé à l’arrière du périphérique.
4. Connectez l’alimentation tout en appuyant sur le bouton Rétablir.
5. Après 10 secondes, relâchez le bouton.
Le périphérique restaure l’image de sauvegarde à partir de la clé USB ; après redémarrage, il utilise
automatiquement l’image restaurée.
Si la clé USB contient une image d’autorestauration 2 Series non valide, l’autorestauration échoue et le
périphérique ne redémarre pas. Si le processus d’autorestauration échoue, vous devez déconnecter puis
reconnecter l’alimentation afin de démarrer le périphérique 2 Series avec ses paramètres usine par défaut.
Pour plus d’informations, voir À propos des paramètres usine par défaut.
Guide de l’utilisateur
47
Principes de configuration et de gestion
Structure de répertoire de la clé USB
Lorsque vous enregistrez une image de sauvegarde sur une clé USB, le fichier est enregistré dans un
répertoire correspondant au numéro de série de votre périphérique XTM. Autrement dit, vous pouvez
stocker des images de sauvegarde pour plusieurs périphériques XTM sur une même clé USB. Lorsque vous
restaurez une image de sauvegarde, le logiciel récupère automatiquement la liste des images de
sauvegarde stockées dans le répertoire associé à ce périphérique.
Pour chaque périphérique, la structure de répertoire sur la clé USB se présente comme suit, sn
correspondant au numéro de série du périphérique XTM :
\sn\flash-images\
\sn\configs\
\sn\feature-keys\
\sn\certs\
Les images de sauvegarde d’un périphérique sont enregistrées dans le répertoire \sn\flash-images . Le
fichier d’image de sauvegarde enregistré dans le répertoire flash-images contient le système d’exploitation
Fireware XTM, la configuration du périphérique, les clés de fonctionnalité et des certificats. Les sousrépertoires \configs , \feature-keys et \certs ne sont pas utilisés pour les opérations de sauvegarde
et de restauration sur clé USB. Vous pouvez les utiliser pour stocker des clés de fonctionnalité, des fichiers
de configuration et des certificats supplémentaires pour chaque périphérique.
Un répertoire situé à la racine de la structure de répertoire est également utilisé pour stocker l’image de
sauvegarde d’autorestauration désignée.
\auto-restore\
Lorsque vous désignez une image de sauvegarde à utiliser pour une restauration automatique, une copie du
fichier d’image de sauvegarde sélectionné est chiffrée et enregistrée dans le répertoire \auto-restore ,
sous le nom de auto-restore.fxi . Vous ne pouvez enregistrer qu’une seule image d’autorestauration
par clé USB. Vous pouvez utiliser la même image de sauvegarde d’autorestauration pour plusieurs
périphériques à condition que les deux dispositifs appartiennent à la même famille de modèles
WatchGuard XTM. Par exemple, vous pouvez utiliser une image d’autorestauration enregistrée à partir d’un
périphérique XTM 530 pour tout autre périphérique XTM 5 Series.
Vous devez utiliser la commande Système > Clé USB pour créer une image d’autorestauration. Si vous
copiez et renommez manuellement une image de sauvegarde et que vous la stockez dans ce répertoire, le
processus de restauration automatique ne fonctionne pas correctement.
Enregistrer une image de sauvegarde sur une clé USB
connectée à votre de gestion.
Vous pouvez utiliser Fireware XTM Web UI pour enregistrer une image de sauvegarde sur une clé USB ou
un dispositif de stockage connecté(e) à votre de gestion. Si vous enregistrez les fichiers de configuration
correspondant à divers périphériques sur la même clé USB, vous pouvez connecter la clé à chacun de ces
périphériques XTM à des fins de récupération.
48
WatchGuard System Manager
Principes de configuration et de gestion
Si vous utilisez la commande Système > Clé USB pour cela, les fichiers sont automatiquement enregistrés
dans le répertoire correspondant sur la clé USB. Si vous utilisez la commande Système > Image de
sauvegarde ou si vous utilisez Windows ou un autre système d’exploitation pour copier manuellement des
fichiers de configuration sur la clé USB, vous devez créer manuellement le numéro de série et les
répertoires d’images flash corrects pour chaque périphérique (s’ils n’existent pas déjà).
Avant de commencer
Avant de commencer, il est important de comprendre la Structure de répertoire de la clé USB utilisée par la
fonctionnalité de sauvegarde et de restauration sur clé USB. Si vous n’enregistrez pas l’image de sauvegarde
au bon endroit, le périphérique sera incapable de la retrouver lorsque vous y connecterez la clé USB.
Enregistrer l’image de sauvegarde
Pour enregistrer une image de sauvegarde sur une clé USB connectée à votre de gestion, suivez les étapes
décrites dans Créer une sauvegarde de l’image Firebox. Au moment de choisir l’emplacement où
enregistrer le fichier, sélectionnez la lettre du lecteur correspondant à la clé USB connectée sur votre
ordinateur. Si vous souhaitez que l’image de sauvegarde soit reconnue par le périphérique XTM lorsque
vous y connectez la clé USB, assurez-vous de l’enregistrer dans le répertoire \flash-images se trouvant
dans le répertoire nommé avec le numéro de série de votre périphérique XTM.
Par exemple, si le numéro de série de votre périphérique XTM est le 70A10003C0A3D , enregistrez le
fichier de l’image de sauvegarde à cet emplacement sur la clé USB :
\70A10003C0A3D\flash-images\
Désigner une image de sauvegarde pour une autorestauration
Pour désigner une image de sauvegarde à utiliser avec la fonctionnalité d’autorestauration, vous devez
connecter la clé USB au périphérique puis désigner l’image de sauvegarde à utiliser pour une
autorestauration tel que décrit dans Utiliser une clé USB pour la sauvegarde et la restauration du système. Si
vous enregistrez manuellement une image de sauvegarde dans le répertoire d’autorestauration, le
processus de restauration automatique ne fonctionne pas correctement.
Guide de l’utilisateur
49
Principes de configuration et de gestion
Rétablir une configuration antérieure d’un
périphérique Firebox ou XTM ou créer une
nouvelle configuration
Si votre périphérique Firebox ou XTM présente un grave problème de configuration, vous pouvez restaurer
ses paramètres usine par défaut. Par exemple, si vous ignorez le mot de passe de configuration ou si une
coupure de courant a endommagé le système d’exploitation Fireware XTM, vous pouvez utiliser l’Assistant
Quick Setup Wizard pour définir de nouveau votre configuration ou restaurer une configuration
enregistrée.
Pour obtenir la description des paramètres usine par défaut, cf. À propos des paramètres usine par défaut à
la page 51.
Note Si vous possédez un périphérique WatchGuard XTM, vous pouvez également utiliser
le mode sans échec pour restaurer automatiquement une image de sauvegarde du
système à partir d’un dispositif de stockage USB. Pour plus d’informations, cf.
Restaurer automatiquement une image de sauvegarde à partir d’une clé USB.
Démarrer un périphérique Firebox ou XTM en mode sans échec
Pour restaurer les paramètres usine par défaut d’un périphérique Firebox X Core e-Series, Peak e-Series,
WatchGuard XTM 5 Series, 8 Series ou 10 Series, vous devez d’abord démarrer le périphérique Firebox ou
XTM en mode sans échec.
1. Mettez le périphérique Firebox ou XTM hors tension.
2. Appuyez sur le bouton Flèche vers le bas situé sur le panneau avant du périphérique pendant que
vous mettez le périphérique Firebox ou XTM sous tension.
3. Maintenez le bouton enfoncé jusqu’à ce que le message de démarrage du périphérique apparaisse
sur l’affichage LCD :
n
n
Pour un périphérique Firebox X Core e-Series ou Peak e-Series, le message WatchGuard
Technologies s’affiche.
Pour un périphérique WatchGuard XTM, vous lirez Démarrage en mode sans échec .
Lorsque le périphérique est en mode sans échec, l’écran indique le numéro de modèle, suivi du
mot « sans échec ».
Lorsque vous démarrez un périphérique en mode sans échec :
n
n
n
50
Les paramètres de réseau et de sécurité usine par défaut sont utilisés.
La clé de fonctionnalité active n’est pas supprimée. Si vous exécutez l’Assistant Quick Setup Wizard
pour créer une nouvelle configuration, la clé de fonctionnalité précédemment importée est utilisée.
Votre configuration actuelle n’est supprimée qu’une fois une nouvelle configuration enregistrée. Si
vous redémarrez le périphérique Firebox ou XTM avant d’avoir enregistré une nouvelle
configuration, l’ancienne configuration sera à nouveau utilisée.
WatchGuard System Manager
Principes de configuration et de gestion
Restaurer les paramètres usine par défaut d’un périphérique
Firebox X Edge e-Series ou WatchGuard XTM 2 Series
Lorsque vous réinitialisez un périphérique Firebox X Edge e-Series ou XTM 2 Series, les paramètres de la
configuration d’origine sont remplacés par les paramètres usine par défaut. Pour restaurer les paramètres
usine par défaut du périphérique :
1.
2.
3.
4.
Déconnectez l’alimentation.
Maintenez enfoncé le bouton Rétablir à l’arrière du périphérique.
Connectez l’alimentation tout en appuyant sur le bouton Rétablir.
Continuez de maintenir enfoncé le bouton Rétablir jusqu’à ce que le témoin jaune Attn devienne
fixe. Ceci indique que les paramètres usine par défaut ont bien été restaurés.
Pour un périphérique Firebox X Edge e-Series, ce processus peut prendre 45 secondes ou plus. Pour un
périphérique 2 Series, il faut compter environ 75 secondes.
5. Relâchez le bouton Rétablir.
Note Vous devez redémarrer le périphérique avant de vous y connecter. Si vous essayez
d’accéder au périphérique sans l’avoir redémarré, une page Web contenant le
message suivant apparaît : Votre périphérique s’exécute à partir d’une copie de
sauvegarde du microprogramme. Ce message peut également s’afficher si le
bouton Rétablir reste enfoncé. Si ce message continue de s’afficher, vérifiez l’état
du bouton Rétablir, puis redémarrez le périphérique.
6. Déconnectez l’alimentation.
7. Connectez de nouveau l’alimentation.
Le témoin lumineux d’alimentation s’allume et votre périphérique est réinitialisé.
Exécuter l’Assistant Quick Setup Wizard
Une fois les paramètres usine par défaut rétablis, vous pouvez utiliser l’Assistant Quick Setup Wizard pour
créer une configuration de base ou restaurer une image de sauvegarde enregistrée.
Pour plus d’informations, cf. À propos de l’Assistant Quick Setup Wizard à la page 24.
À propos des paramètres usine par défaut
Le terme paramètres usine par défaut fait référence à la configuration du périphérique WatchGuard
lorsque vous recevez le système et avant de le modifier. Vous pouvez également rétablir les paramètres
usine par défaut de Firebox selon la procédure décrite dans la section Rétablir une configuration antérieure
d’un périphérique Firebox ou XTM ou créer une nouvelle configuration à la page 50.
Les paramètres de configuration et de réseau par défaut du périphérique WatchGuard sont les suivants :
Réseau approuvé (Firebox X Edge e-Series)
L’adresse IP par défaut du réseau approuvé est 192.168.111.1. Le masque de sous-réseau du réseau
approuvé est 255.255.255.0.
L’adresse IP et le port par défaut de Fireware XTM Web UI est https://192.168.111.1:8080.
Guide de l’utilisateur
51
Principes de configuration et de gestion
Firebox est configuré de sorte à fournir des adresses IP aux ordinateurs du réseau approuvé via
DHCP. Ces adresses IP sont par défaut comprises entre 192.168.111.2 et 192.168.111.254.
Réseau approuvé (Firebox X Core et Peak e-Series et périphériques WatchGuard XTM)
L’adresse IP par défaut du réseau approuvé est 10.0.1.1. Le masque de sous-réseau du réseau
approuvé est 255.255.255.0.
L’adresse IP et le port par défaut de Fireware XTM Web UI est https://10.0.1.1:8080.
Firebox est configuré de sorte à fournir des adresses IP aux ordinateurs du réseau approuvé via
DHCP. Ces adresses IP sont par défaut comprises entre 10.0.1.2 et 10.0.1.254.
Réseau externe
Firebox est configuré de façon à obtenir une adresse IP avec DHCP.
Réseau facultatif
Le réseau facultatif est désactivé.
Paramètres du pare-feu
Toutes les stratégies entrantes sont refusées. La stratégie sortante autorise tout le trafic sortant. Les
requêtes ping reçues sur le réseau externe sont refusées.
Sécurité du système
Firebox possède deux comptes d’administrateur intégrés, admin (accès en lecture-écriture) et
status (état -- lecture seule). Lors de la première configuration du périphérique avec l’Assistant
Quick Setup Wizard, vous définissez les mots de passe d’état et de configuration. Une fois l’Assistant
Quick Setup Wizard terminé, vous pouvez vous connecter à Fireware XTM Web UI à partir des
comptes d’administrateur admin et status. Pour obtenir un accès intégral d’administrateur,
connectez-vous avec le nom d’utilisateur admin et entrez le mot de passe de configuration. Pour un
accès en lecture seule, connectez-vous avec le nom d’utilisateur status et entrez le mot de passe de
lecture seule.
Par défaut, Firebox est configuré pour être géré localement uniquement à partir du réseau
approuvé. La configuration doit être modifiée pour autoriser des tâches d’administration à partir du
réseau externe.
Options de mise à niveau
Pour activer des options de mise à niveau telles que WebBlocker, spamBlocker et Gateway AV/IPS,
vous devez coller ou importer la clé de fonctionnalité qui active ces fonctionnalités sur la page de
configuration ou activer les options de mise à niveau à l’aide de la commande Obtenir une clé de
fonctionnalité. Si vous démarrez Firebox en mode sans échec, il n’est pas nécessaire de réimporter
la clé de fonctionnalité.
À propos de les clés de fonctionnalité
Une clé de fonctionnalité est une licence qui vous permet d’utiliser une série de fonctionnalités sur votre
périphérique WatchGuard. Lorsque vous achetez une option ou une mise à niveau et que vous recevez une
nouvelle clé de fonctionnalité, vous améliorez les fonctionnalités du périphérique.
52
WatchGuard System Manager
Principes de configuration et de gestion
Lorsque vous achetez une nouvelle fonctionnalité
Lorsque vous achetez une nouvelle fonctionnalité pour votre périphérique WatchGuard, il vous faut :
n
n
Obtenir une clé de fonctionnalité auprès de LiveSecurity
Ajouter une clé de fonctionnalité à Firebox
Afficher les fonctionnalités disponibles avec la clé de
fonctionnalité active
Une clé de fonctionnalité est toujours active dans les périphériques WatchGuard. Pour afficher les
fonctionnalités disponibles avec cette clé de fonctionnalité :
1. Se connecter à Fireware XTM Web UI.
2. Sélectionnez Système > Clé de fonctionnalité.
La page Clé de fonctionnalité apparaît.
La section Fonctionnalités comprend :
n
n
n
n
n
La liste des fonctionnalités disponibles
L’indication qu’une fonctionnalité est activée ou désactivée
La valeur attribuée à la fonctionnalité, par exemple le nombre d’interfaces VLAN autorisées
La date d’expiration de la fonctionnalité
L’état actuel relatif à l’expiration, par exemple le nombre de jours restants avant expiration
Guide de l’utilisateur
53
Principes de configuration et de gestion
n
Le nombre maximal d’adresses IP dont l’accès sortant sera autorisé (périphériques Firebox X Edge
XTM uniquement)
Obtenir une clé de fonctionnalité auprès de LiveSecurity
Avant de pouvoir activer une nouvelle fonctionnalité, ou renouveler un service d’abonnement, vous devez
avoir reçu de WatchGuard un certificat de clé de licence qui ne soit pas déjà enregistré sur le site Web
LiveSecurity. En activant la clé de licence, vous obtenez la clé de fonctionnalité qui vous permettra d’activer
la fonctionnalité concernée sur le périphérique WatchGuard. Vous pouvez également récupérer une clé de
fonctionnalité existante par la suite.
Activer la clé de licence d’une fonctionnalité
Pour activer une clé de licence et obtenir la clé de fonctionnalité de la fonctionnalité activée :
1. À l’aide de votre navigateur Web, allez sur https://www.watchguard.com/activate.
Si vous n’êtes pas déjà connecté à LiveSecurity, la page de connexion à LiveSecurity s’affiche.
2. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity.
La page d’activation des produits s’affiche.
3. Entrez le numéro de série ou la clé de licence du produit qui figure sur le certificat imprimé.
N’oubliez pas les tirets.
Le numéro de série vous permet d’enregistrer le nouveau périphérique WatchGuard, et la clé de
licence d’enregistrer les fonctionnalités supplémentaires.
4. Cliquez sur Continuer.
La page Choisir le produit à mettre à niveau apparaît.
5. Dans la liste déroulante, sélectionnez le produit à mettre à nouveau ou à renouveler.
Si vous avez ajouté un nom de périphérique au moment de l’enregistrement de votre périphérique,
celui-ci apparaît sur la liste.
6. Cliquez sur Activer.
La page Récupérer la clé de fonctionnalité apparaît.
7. Copiez l’intégralité de la clé de fonctionnalité dans un fichier texte et enregistrez-la sur votre
ordinateur.
8. Cliquez sur Terminer.
54
WatchGuard System Manager
Principes de configuration et de gestion
Obtenir une clé de fonctionnalité active
Vous pouvez vous connecter au site Web de LiveSecurity pour obtenir une clé de fonctionnalité. Vous
pouvez aussi utiliser Fireware XTM Web UIpour récupérer la clé de fonctionnalité active et l’ajouter
directement à votre périphérique WatchGuard.
Lorsque vous allez sur le site Web de LiveSecurity pour récupérer votre clé, vous pouvez télécharger une
ou plusieurs clés de fonctionnalités dans un fichier compressé. Si vous sélectionnez plusieurs
périphériques, le fichier compressé comprend une clé pour chaque périphérique.
Pour récupérer une clé de fonctionnalité active sur le site Web de LiveSecurity :
1. À l’aide de votre navigateur Web, allez sur
https://www.watchguard.com/archive/manageproducts.asp.
Si vous n’êtes pas déjà connecté à LiveSecurity, la page de connexion à LiveSecurity s’affiche.
2. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity.
La page Gestion des produits apparaît.
3. Sélectionnez Clés de fonctionnalité.
La page Récupérer une clé de fonctionnalité s’affiche avec une liste déroulante permettant de sélectionner un
produit.
4. Dans la liste déroulante, sélectionnez votre périphérique WatchGuard.
5. Cliquez sur Obtenir la clé.
Une liste de tous les périphériques que vous avez enregistrés apparaît. Une coche apparaît à côté du
périphérique sélectionné.
6. Sélectionnez Afficher les clés de fonctionnalité à l’écran.
7. Cliquez sur Obtenir la clé.
La page Récupérer la clé de fonctionnalité apparaît.
8. Copiez la clé de fonctionnalité dans un fichier texte et enregistrez-la sur votre ordinateur.
Pour récupérer la clé de fonctionnalité active à partir de Fireware XTM Web UI :
1. Se connecter à Fireware XTM Web UI.
Le Tableau de bord de Fireware XTM Web UI s’affiche.
2. Sélectionnez Système > Clé de fonctionnalité.
La page Résumé de la clé de fonctionnalité apparaît.
Guide de l’utilisateur
55
Principes de configuration et de gestion
3. Cliquez sur Obtenir une clé de fonctionnalité.
Votre clé de fonctionnalité est téléchargée depuis LiveSecurity et automatiquement mise à jour sur le
périphérique WatchGuard.
Ajouter une clé de fonctionnalité à Firebox
Si vous achetez une nouvelle option ou une mise à niveau de votre périphérique WatchGuard, vous pouvez
ajouter une clé de fonctionnalité pour activer les nouvelles fonctionnalités. Avant d’installer la nouvelle clé,
vous devez entièrement supprimer l’ancienne.
1. Sélectionnez Système > Clé de fonctionnalité.
La page Clé de fonctionnalité Firebox apparaît.
Les fonctionnalités disponibles pour cette clé apparaissentsur la page. Ainsi, page inclue également :
n
n
n
n
56
Si une fonctionnalité est activée ou désactivée
La valeur attribuée à la fonctionnalité, par exemple le nombre d’interfaces VLAN autorisées
La date d’expiration de la fonctionnalité
Le délai restant avant l’expiration de la fonctionnalité
WatchGuard System Manager
Principes de configuration et de gestion
2. Cliquez sur Supprimer pour supprimer la clé de fonctionnalité active.
Toutes les informations sur la clé de fonctionnalité sont effacées de la boîte de dialogue.
3. Cliquez sur Mettre à jour.
Importer la clé de fonctionnalité Firebox page s’affiche.
Guide de l’utilisateur
57
Principes de configuration et de gestion
4. Copier le texte du fichier de la clé de fonctionnalité et coller dans la zone de texte.
5. Cliquez sur Enregistrez.
La page Clé de fonctionnalité réapparaît avec les informations sur la nouvelle clé.
Supprimer une clé de fonctionnalité
1. Sélectionnez Système > Clé de fonctionnalité.
La page Clé de fonctionnalité Firebox apparaît.
2. Cliquez sur Supprimer.
Toutes les informations sur la clé de fonctionnalité sont effacées de la page.
3. Cliquez sur .Enregistrer.
Redémarrer Firebox
Vous pouvez utiliser Fireware XTM Web UI pour redémarrer Firebox à partir de l’ordinateur d’un réseau
approuvé. Si vous activez l’accès externe, vous pouvez également redémarrer Firebox via Internet. Vous
pouvez définir l’heure de la journée à laquelle Firebox redémarre automatiquement.
Redémarrer Firebox localement
À redémarrer Firebox localement, vous pouvez utiliser Fireware XTM Web UI ou lancer un cycle
d’alimentation du périphérique.
58
WatchGuard System Manager
Principes de configuration et de gestion
Redémarrer à partir de Fireware XTM Web UI
Pour redémarrer Firebox à partir de Fireware XTM Web UI, vous devez vous connecter avec des privilèges
de lecture/écriture.
1. Sélectionnez Tableau de bord > Système.
2. Dans la section Informations sur le périphérique, cliquez sur Redémarrer.
Cycle d’alimentation
Sur Firebox X Edge :
1. Débranchez le bloc d’alimentation de Firebox X Edge.
2. Patientez au moins 10 secondes.
3. Connectez de nouveau l’alimentation.
Sur Firebox X Core ou Peak, ou sur un périphérique WatchGuard XTM :
1. À l’aide de l’interrupteur, mettez le périphérique hors tension.
2. Patientez au moins 10 secondes.
3. Mettez le périphérique sous tension.
Redémarrer Firebox à distance
Avant de pouvoir vous connecter à Firebox pour gérer ou redémarrer le périphérique depuis un
ordinateur distant externe, vous devez d’abord configurer Firebox pour autoriser la gestion à partir d’un
réseau externe.
Pour plus d’informations, voir Gérer Firebox à partir d’un emplacement distant à la page 75.
Pour redémarrer Firebox à distance à partir de Fireware XTM Web UI :
1. Sélectionnez Tableau de bord > Système.
2. Dans la section Informations sur le périphérique, cliquez sur Redémarrer.
Activer le protocole NTP et ajouter des serveurs
NTP
Le protocole NTP (Network Time Protocol) permet de synchroniser l’heure des horloges des ordinateurs
d’un réseau. Firebox peut utiliser ce protocole pour récupérer automatiquement l’heure exacte sur des
serveurs NTP qui se trouvent sur Internet. Dans la mesure où Firebox utilise l’heure de son horloge système
dans chacun des messages de journal qu’il génère, l’heure définie doit être correcte. Vous pouvez modifier
le serveur NTP utilisé par Firebox. Vous pouvez également ajouter ou supprimer des serveurs NTP, de
même que définir l’heure manuellement.
Pour utiliser NTP, votre configuration Firebox doit autoriser le DNS. Celui-ci est autorisé dans la stratégie
Sortant de la configuration par défaut. Vous devez également configurer des serveurs DNS pour l’interface
externe avant de configurer le protocole NTP.
Pour plus d’informations sur ces adresses, voir Ajouter des adresses de serveurs WINS et DNS.
Guide de l’utilisateur
59
Principes de configuration et de gestion
1. Sélectionner Système > NTP.
La boîte de dialogue Paramètres NTP s’affiche.
2. Sélectionnez Activer NTP Serveur .
3. Pour ajouter un serveur NTP, sélectionnez IP de l’hôte ou Nom d’hôte (rechercher) dans la liste
déroulante Choisir le type, puis entrez l’adresse IP ou le nom d’hôte du serveur NTP à utiliser dans la
zone de texte à côté.
Vous pouvez configurer jusqu’à trois serveurs NTP
4. Pour supprimer un serveur, sélectionnez son entrée et cliquez sur Supprimer.
5. Cliquez sur Enregistrer.
Définir le fuseau horaire et les propriétés de base
du périphérique
Quand vous exécutez l’Assistant Web Setup Wizard, vous définissez le fuseau horaire et d’autres propriétés
de base du périphérique.
Pour modifier les propriétés de base du périphérique :
1. Connectez-vous à Fireware XTM Web UI.
2. Sélectionnez Système > Système.
Les Paramètres de configuration du périphérique s’affichent.
60
WatchGuard System Manager
Principes de configuration et de gestion
3. Configurez les options suivantes :
Modèle de Firebox
Le modèle et le numéro de modèle, définis par l’Assistant Quick Setup Wizard.Si vous ajoutez
une nouvelle clé de fonctionnalité à Firebox lors d’une mise à niveau de modèle, le modèle de
Firebox est automatiquement mis à jour dans la configuration du périphérique.
Nom
Le nom convivial de Firebox. Vous pouvez donner au périphérique Firebox un nom convivial
qui sera utilisé dans les fichiers journaux et les rapports. À défaut, ces derniers utilisent
l’adresse IP de l’interface externe de Firebox. De nombreux clients utilisent un nom de
domaine complet comme nom convivial s’ils enregistrent un tel nom sur le système DNS. Vous
devez attribuer un nom convivial au périphérique Firebox si vous utilisez Management Server
pour configurer des tunnels VPN et des certificats.
Emplacement, Contact
Entrez toute information susceptible d’aider à identifier et à assurer la maintenance de Firebox.
Ces champs sont renseignés par l’Assistant Quick Setup Wizard si vous avez entré ces
informations.
Fuseau horaire
Sélectionnez le fuseau horaire de l’emplacement matériel de Firebox. Ce paramètre contrôle la
date et l’heure qui apparaissent dans le fichier journal et sur les outils tels que LogViewer,
Rapports WatchGuard et WebBlocker.
4. Cliquez sur Enregistrer.
À propos du protocole SNMP
Le protocole SNMP (Simple Network Management Protocol) permet de gérer les périphériques de votre
réseau. SNMP utilise des bases de données MIB (Management Information Base) pour définir les
informations et les événements à surveiller. Vous devez configurer une application logicielle séparée,
généralement appelée observateur d’événements ou navigateur MIB, pour collecter et gérer les données
Guide de l’utilisateur
61
Principes de configuration et de gestion
SNMP.
Il existe deux types de bases de données MIB : standard et entreprise. Les bases de données MIB standards
sont des définitions des événements matériel et réseau employées par différents périphériques. Les bases
de données MIB d’entreprise permettent de donner des informations sur des événements spécifiques à un
seul fabricant. Firebox prend en charge huit bases de données MIB standards : IP-MIB, IF-MIB, TCP-MIB,
UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB et RFC1155 SMI-MIB. Il prend également en charge
deux bases de données MIB d’entreprise : WATCHGUARD-PRODUCTS-MIB et WATCHGUARD-SYSTEMCONFIG-MIB.
Interrogations et interruptions SNMP
Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP.
Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface,
le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu
la dernière modification de chaque interface réseau de Firebox.
Une interruption SNMP est une notification d’événement envoyée par Firebox au système de gestion
SNMP. Elle identifie le moment auquel une condition spécifique se produit, comme une valeur dépassant
un seuil prédéfini. Firebox peut envoyer une interruption pour chacune des stratégies présentes dans
Policy Manager.
Une demande d’informations SNMP est similaire à une interruption, à la différence que le destinataire
envoie une réponse. Si Firebox n’obtient pas de réponse, il envoie de nouveau la demande d’informations
jusqu’à ce que le gestionnaire SNMP envoie une réponse. Une interruption est envoyée une seule fois et le
destinataire n’envoie pas d’accusé de réception.
À propos des bases d’informations MIB (Management
Information Base)
Fireware XTM prend en charge deux types de bases de données MIB :
Bases de données MIB standards
Les bases de données MIB standards sont des définitions des événements matériel et réseau
employées par différents périphériques. Votre périphérique WatchGuard prend en charge huit
bases de données MIB standards :
n
n
n
n
n
n
n
n
IP-MIB
IF-MIB
TCP-MIB
UDP-MIB
SNMPv2-MIB
SNMPv2-SMI
RFC1213-MIB
RFC1155 SMI-MIB
Ces bases de données comprennent des informations standards sur les réseaux, comme les
adresses IP et les paramètres d’interface réseau.
62
WatchGuard System Manager
Principes de configuration et de gestion
Bases de données MIB d’entreprise
Les bases de données MIB d’entreprise permettent de donner des informations sur des
événements spécifiques à un seul fabricant. Firebox prend en charge les bases de données MIB
d’entreprise suivantes :
n
n
n
WATCHGUARD-PRODUCTS-MIB
WATCHGUARD-SYSTEM-CONFIG-MIB
UCD-SNMP-MIB
Ces bases de données comprennent des informations plus spécifiques sur le matériel du
périphérique.
Lorsque vous installez le gestionnaire WatchGuard System Manager, les bases de données MIB sont
installées dans :
\My Documents\My WatchGuard\Shared WatchGuard\SNMP
Activer l’interrogation SNMP
Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP.
Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface,
le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu
la dernière modification de chaque interface réseau.
1. Sélectionnez Système> SNMP.
La page SNMP s’affiche.
Guide de l’utilisateur
63
Principes de configuration et de gestion
2. Pour activer le protocole SNMP dans la liste déroulante Version, sélectionnez v1, v2c, ou v3.
3. Si vous avez sélectionné v1 ou v2c pour la version SNMP, tapez la Chaîne de communauté utilisée
par le serveur SNMP lorsqu’il contacte le Firebox. Cette chaîne est l’équivalent d’un ID utilisateur ou
d’un mot de passe qui autorise l’accès aux statistiques d’un périphérique.
Si vous avez sélectionné v3 pour la version SNMP, tapez le nom d’utilisateur utilisé par le serveur
SNMP lorsqu’il contacte le Firebox.
4. Si votre serveur SNMP utilise l’authentification, dans la liste déroulante Protocole
d’authentification, sélectionnez MD5 ou SHA et tapez deux fois le mot de passe d’authentification.
5. Si votre serveur SNMP utilise le chiffrement, dans la liste déroulante Protocole de confidentialité,
sélectionnez DES et tapez deux fois le mot de passe de chiffrement.
6. Cliquez sur Enregistrer.
Pour permettre au Firebox de recevoir des interrogations SNMP, vous devez ajouter une stratégie SNMP.
1. Sélectionnez Pare-feu >, Stratégies de pare-feu.
2. Cliquez sur Ajouter.
3. Ouvrez la catégorie filtres de paquets et sélectionnez SNMP. Cliquez sur Ajouter.
La page Configuration de stratégie s’affiche.
4. Sous la zone De, cliquez sur Ajouter.
La fenêtre Ajouter un graphique s’affiche.
5. Dans la liste déroulante Type de membre, sélectionnez Adresse IP de l’hôte.
64
WatchGuard System Manager
Principes de configuration et de gestion
6. Entrez l’adresse IP du serveur SNMP dans la zone de texte adjacente. Cliquez sur OK.
7. Retirez l’entrée Tout approuvé de la liste De.
8. En dessous de la liste À, cliquez sur Ajouter.
La fenêtre Ajouter un graphique s’affiche.
9. Dans la boîte de dialogue Ajouter un membre, sélectionnez Firefox. Cliquez sur OK.
10. Retirez l’entrée Tout externe de la liste À.
11. Cliquez sur Enregistrer.
Activer Stations de gestion et interruptions SNMP
Une interruption SNMP est une notification d’événement que le périphérique WatchGuard envoie à un
système de gestion SNMP. Elle identifie le moment auquel une condition spécifique se produit, comme une
valeur dépassant un seuil prédéfini. Le périphérique peut envoyer une interruption pour n’importe quelle
stratégie.
Une demande d’informations SNMP est similaire à une interruption, à la différence que le destinataire
envoie une réponse. S’il n’obtient pas de réponse, il envoie de nouveau la demande d’informations jusqu’à
ce que le gestionnaire SNMP envoie une réponse. Une interruption est envoyée une seule fois et le
destinataire n’envoie pas d’accusé de réception.
Une demande d’informations est plus fiable qu’une interruption dans le sens où le périphérique
WatchGuard sait si elle a été reçue. Toutefois, les demandes d’informations nécessitent davantage de
ressources. Elles sont conservées en mémoire jusqu’à ce que l’expéditeur reçoive une réponse. Si une
demande d’informations est envoyée plusieurs fois, les nouvelles tentatives intensifient le trafic. Nous vous
recommandons de bien réfléchir au fait de savoir si la réception de chaque notification SNMP fait le poids
face à l’utilisation accrue de la mémoire dans le routeur et à l’augmentation du trafic réseau que cela
engendre.
Pour activer les demandes d’informations SNMP, vous devez utiliser SNMPv2 ou SNMPv3. SNMPv1 prend
uniquement en charge les interruptions, pas les demandes d’informations.
Configurer les stations de gestion SNMP
1. Sélectionnez Système > SNMP.
La page SNMP apparaît.
Guide de l’utilisateur
65
Principes de configuration et de gestion
2. Dans la liste déroulante Interruptions SNMP, sélectionnez la version des interruptions ou des
demandes d’informations que vous souhaitez utiliser.
SNMPv1 prend uniquement en charge les interruptions, pas les demandes d’informations.
3. Dans la zone de texte Stations de gestion SNMP, entrez l’adresse IP de votre serveur SNMP. Cliquez
sur Ajouter.
4. Pour supprimer un serveur de la liste, sélectionnez-le et cliquez sur Supprimer.
5. Cliquez sur Enregistrer.
Ajouter une stratégie SNMP
Pour que Firebox soit en mesure de recevoir des interrogations SNMP, vous devez aussi ajouter une
stratégie SNMP.
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
2. Cliquez sur Ajouter.
3. Développez la catégorie Filtres de paquets et sélectionnez SNMP. Cliquez sur Ajouter une stratégie.
La page Configuration de stratégie apparaît.
4. Dans la zone de texte Nom, entrez le nom de la stratégie.
5. Activez la case à cocher Activer.
6. Dans la section De, cliquez sur Ajouter.
La fenêtre Ajouter un membre s’ouvre.
7. Dans la liste déroulante Type de membre , sélectionnez IP de l’hôte.
66
WatchGuard System Manager
Principes de configuration et de gestion
8. Dans la zone de texte adjacente, entrez l’adresse IP du serveur SNMP, puis cliquez sur OK.
9. Supprimez l’entrée Any-Trusted (Tout approuvé) de la liste De.
10. Dans la section Vers, cliquez sur Ajouter.
La fenêtre Ajouter un membre s’ouvre.
11. Dans la boîte de dialogue Ajouter un membre, sélectionnez Firebox. Cliquez sur OK.
12. Supprimez l’entrée Any-External (Tout externe) de la liste De.
13. Cliquez sur Enregistrer.
Envoyer une interruption SNMP pour une stratégie
Firebox peut envoyer une interruption SNMP lorsque le trafic est filtré par une stratégie. Il faut qu’une
station de gestion SNMP au moins soit configurée pour activer les interruptions.
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
2. Double-cliquez sur une stratégie.
Vous pouvez également sélectionner une stratégie et cliquer sur Modifier.
La page Configuration de stratégie apparaît.
3. Cliquez sur l’onglet Propriétés.
4. Dans la section Journalisation, activez la case à cocher Envoyer une interruption SNMP.
5. Cliquez sur Enregistrer.
À propos des mots de passe, clés de chiffrement
et clés partagées de WatchGuard
Votre solution de sécurité du réseau englobe l’utilisation de mots de passe, de clés de chiffrement et de
clés partagées. Cette rubrique donne l’information sur la plupart des mots de passe, clés de chiffrement et
clés partagées que vous utilisez pour vos produits WatchGuard. Elle ne vous renseigne pas sur les mots de
passe de tiers. L’information sur les restrictions au sujet des mots de passe, clés de chiffrement et clés
partagées est aussi incluse dans les procédures relatives.
Création d’un mot de passe, d’une clé de chiffrement ou d’une
clé partagée sécurisés
Pour créer un mot de passe, une clé de chiffrement ou une clé partagée sécurisés, il est conseillé ce qui suit :
n
n
n
Utilisez une combinaison de caractères en ASCII minuscules et majuscules, de nombres et de
caractères spéciaux (par exemple, Im4e@tiN9).
N’utilisez pas de mots tirés d’un dictionnaire standard, même si vous l’utilisez dans une séquence ou
une langue différente.
N’utilisez pas de noms. Une personne malveillante peut très facilement trouver un nom
d’entreprise, familier ou encore le nom d’une personnalité.
Par mesure de sécurité supplémentaire, il est conseillé de changer fréquemment les mots de passe, clés de
chiffrement et clés partagées.
Mots de passe Firebox
Firebox utilise deux mots de passe :
Guide de l’utilisateur
67
Principes de configuration et de gestion
Mot de passe d’état
Mot de passe de lecture seule qui permet d’accéder à Firebox. Lorsque vous vous connectez avec
ce mot de passe, vous pouvez vérifier votre configuration, mais vous ne pouvez enregistrer des
modifications dans le Firebox. Le mot de passe d’état est associé à l’état.
Mot de passe de configuration
Mot de passe en lecture/écriture qui donne aux administrateurs un accès complet à Firebox. Vous
devez utiliser ce mot de passe pour enregistrer dans Firebox des modifications à la configuration. Ce
mot de passe doit aussi être utilisé pour changer vos mots de passe Firebox. Le mot de passe de
configuration est associé au nom d’utilisateur admin.
Chacun de ces mots de passe Firebox doit comporter au moins 8 caractères.
Mots de passe utilisateur
Vous pouvez créer des noms et mots de passe utilisateur destinés à l’authentification et l’administration à
base de rôles Firebox.
Mots de passe utilisateur pour authentification Firebox
Une fois ce mot de passe utilisateur défini, les caractères sont masqués et ils n’apparaissent plus en
texte simple. Si vous égarez le mot de passe, vous devez en définir un nouveau. La plage autorisée
pour ce mot de passe est 8 – 32 caractères.
Mots de passe utilisateur pour administration à base de rôles
Une fois ce mot de passe utilisateur défini, il n’est plus affiché dans la boîte de dialogue Propriétés
de l’utilisateur et du groupe. Si vous égarez le mot de passe, vous devez en définir un nouveau. Ce
mot de passe doit comporter au moins huit caractères.
Mots de passe serveur
Mot de passe administrateur
Le mot de passe Administrateur sert à contrôler l’accès au WatchGuard Server Center. Vous utilisez
également ce mot de passe lorsque vous vous connectez à votre Management Server à partir de
WatchGuard System Manager (WSM). Ce mot de passe doit comporter au moins huit caractères. Le
mot de passe Administrateur est associé au nom d’utilisateur admin.
Secret partagé du serveur d’authentification
Le secret partagé est la clé utilisée par Firebox et le serveur d’authentification pour sécuriser
l’information d’authentification qui circule entre eux. Le secret partagé respecte la casse et il doit
être identique sur Firebox et sur le serveur d’authentification. Les serveurs d’authentification
RADIUS, SecurID et VASCO utilisent tous une clé partagée.
68
WatchGuard System Manager
Principes de configuration et de gestion
Clés de chiffrement et clés partagées
Log Server Encryption Key
La clé de chiffrement sert à créer une connexion sécurisée entre le Firebox et les Log Servers, et
d’empêcher les « attaques de l’intercepteur ». La clé de chiffrement peut comprendre entre 8 et
32 caractères. Vous pouvez utiliser tous les caractères à l’exception des espaces et des barres
obliques (/ ou \).
Clé de chiffrement Sauvegarder/Restaurer
Il s’agit de la clé de chiffrement que vous créez pour chiffrer un fichier de sauvegarde de votre
configuration Firebox. Lorsque vous restaurez un fichier de sauvegarde, vous devez utiliser la clé de
chiffrement sélectionnée lors de la création du fichier de sauvegarde de la configuration. En cas de
perte ou d’oubli de cette clé de chiffrement, vous ne serez plus en mesure de restaurer le fichier
de sauvegarde. La clé de chiffrement doit avoir au moins 8 caractères, et 15 caractères au
maximum.
Clé partagée VPN
La clé partagée est un mot de passe utilisé par deux périphériques pour chiffrer et déchiffrer les
données qui traversent le tunnel VPN. Les deux périphériques utilisent le même mot de passe. S’ils
n’ont pas le même mot de passe, ils ne peuvent pas chiffrer et déchiffrer correctement les
données.
Modifier les mots de passe Firebox
Firebox utilise deux mots de passe :
Mot de passe d’état
Mot de passe de lecture seule qui permet d’accéder à Firebox.
Mot de passe de configuration
Mot de passe en lecture/écriture qui donne aux administrateurs un accès complet à Firebox.
Pour plus d’informations sur les mots de passe, voir À propos des mots de passe, clés de chiffrement et clés
partagées de WatchGuard à la page 67.
Pour modifier les mots de passe :
1. Sélectionnez Système > Mot de passe.
La page Mot de passe s’affiche.
Guide de l’utilisateur
69
Principes de configuration et de gestion
2. Tapez et confirmez le nouveau mot de passe d’état (lecture seule) et le nouveau mot de passe de
configuration (lecture/écriture). Le mot de passe d’état et le mot de passe de configuration doivent
être différents.
3. Cliquez sur Enregistrer.
Définir les paramètres globaux de Firebox
Dans l'interface Web Fireware XTM, vous pouvez sélectionner des paramètres qui contrôlent les actions de
plusieurs fonctions Firebox et périphérique XTM. Vous pouvez définir des paramètres de base pour :
n
n
n
n
n
Gestion des erreurs ICMP
Contrôle TCP SYN
Réglage de la taille maximale du TCP
Gestion du trafic et QoS
Port IU Web
Pour modifier les paramétrages globaux :
1. Sélectionner Système > Paramètres globaux.
La boîte de dialogue Paramètres globaux s’affiche.
70
WatchGuard System Manager
Principes de configuration et de gestion
2. Configurer les différentes catégories de paramètres globaux tels que décrits dans les sections
suivantes.
3. Cliquez sur .Enregistrer.
Définir les paramètres globaux de gestion des erreurs ICMP
Le protocole Internet Control Message Protocol (ICMP) contrôle les erreurs au cours des connexions. Il est
utilisé pour deux types d’opérations :
n
n
Informer les hôtes clients des conditions d’erreur.
Sonder un réseau pour en découvrir les caractéristiques générales
Le périphérique Firebox envoie un message d’erreur ICMP à chaque fois qu’un événement correspondant
à l’un des paramètres que vous avez sélectionnés se produit. Si ces messages vous permettent de résoudre
des problèmes, ils peuvent également faire baisser le niveau de sécurité car ils exposent des informations
sur votre réseau. Si vous refusez ces messages ICMP, vous pouvez augmenter votre niveau de sécurité en
empêchant l'exploration du réseau cette action peut cependant provoquer des retards pour des
connexions incomplètes et entraîner des problèmes d'application.
Les paramètres de la gestion globale des erreurs ICMP sont :
Guide de l’utilisateur
71
Principes de configuration et de gestion
Fragmentation req) (PMTU)
Activez cette case à cocher pour autoriser les messages Fragmentation Req (Fragmentation req)
ICMP. Le périphérique Firebox utilise ces messages pour repérer le chemin MTU.
Délai expiré
Activez cette case à cocher pour autoriser les messages Délai expiré ICMP. Un routeur envoie
généralement ces messages en cas de boucle de route.
Réseau non joignable
Activez cette case à cocher pour autoriser les messages Réseau non joignables ICMP. Un routeur
envoie généralement ces messages en cas de rupture de liaison réseau.
Hôte non joignable
Activez cette case à cocher pour autoriser les messages Hôte non joignable ICMP. Le réseau envoie
généralement ces messages lorsqu’il ne peut pas utiliser d’hôte ou de service.
Port non joignable
Activez cette case à cocher pour autoriser les messages Port non joignables ICMP. Un hôte ou un
pare-feu envoie généralement ces messages lorsqu’un service réseau n’est pas disponible ou
autorisé.
Protocole non joignable
Activez cette case à cocher pour autoriser les messages Protocole non joignables ICMP.
Pour contourner ces paramètres ICMP généraux pour une stratégie spécifique, depuis Fireware XTM Web UI:
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
2. Double-cliquez sur la stratégie pour la modifier.
La page Configuration de la stratégie s'affiche.
3.
3.
4.
5.
Sélectionnez l’onglet Avancé.
Cochez la case Utiliser la gestion des erreurs ICMP basée sur la stratégie.
Cochez la case pour les seuls paramètres que vous souhaitez activer.
Cliquez sur Enregistrer.
Activer le contrôle TCP SYN
Le contrôle TCP SYN permet de s'assurer que la liaison handshake à trois voies TCP est réalisée avant que le
périphérique Firebox ou XTM n'autorise une connexion de données.
Définir les paramètres globaux de réglage de la taille maximale
de segment TCP
Le segment TCP peut être paramétré sur une taille définie pour une connexion d'une liaison TCP/IP
supérieure à 3 voies (ex. : PPPoE, ESP ou AH). Certains sites web seront inaccessibles aux utilisateurs si
cette taille n’est pas correctement configurée. Les paramètres globaux d’ajustement de taille de segment
maximum TCP sont les suivants :
72
WatchGuard System Manager
Principes de configuration et de gestion
Ajustement automatique
Le périphérique Firebox ou XTM examine toutes les négociations de taille de segment maximale
(MSS) et adopte la valeur MSS applicable.
Aucun ajustement
Le périphérique Firebox ou XTM ne modifie pas la valeur MSS.
Limiter à
Vous définissez une limite d’ajustement de taille.
Désactiver ou activer la gestion du trafic et QoS
Pour des opérations de test de performance ou de débogage de réseau, vous pouvez désactiver les
fonctionnalités de gestion du trafic et de QoS.
Pour activer ces fonctionnalités :
Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de
service).
Pour désactiver ces fonctionnalités :
Décochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de
service).
Modifier le port Web UI
Par défaut, Fireware XTM Web UI utilise le port 8080.
Pour changer ce port :
1. Dans la zone de texte Port Web UI , entrez ou sélectionnez un autre numéro de port.
2. Utilisez le nouveau port pour vous connecter à Fireware XTM Web UI et tester la connexion au
nouveau port.
Redémarrage automatique
Vous pouvez programmer votre périphérique Firebox ou XTM pour qu'il effectue un redémarrage
automatique au jour et à l'heure de votre choix.
Pour programmer un redémarrage automatique de votre périphérique :
1. Cochez la case Programmer la date et l'heure de redémarrage.
2. Dans la liste déroulante située à côté, sélectionnez Tous les jours pour redémarrer le périphérique
tous les jours à la même heure, ou sélectionnez un jour de la semaine pour un redémarrage
hebdomadaire.
3. Dans les zones de texte situées à côté, entrez ou sélectionnez l'heure et la minute de la journée (au
format 24 h) auxquelles vous souhaitez que le redémarrage ait lieu.
Guide de l’utilisateur
73
Principes de configuration et de gestion
Console externe
Cette option est disponible uniquement pour les périphériques et configurations Firebox X Edge. Cochez
cette case pour utiliser le port série pour les connexions de console, comme l'interface CLI (Command Line
Interface) XTM. Vous ne pouvez pas utiliser le port série pour un basculement du modem lorsque cette
option est sélectionnée et vous devez redémarrer le périphérique pour modifier ce réglage.
Présentation des serveurs WatchGuard System
Manager
Lorsque vous installez le logiciel WatchGuard System Manager, vous avez le choix d’installer un ou plusieurs
serveurs WatchGuard System Manager. Vous pouvez également exécuter le programme d’installation et
choisir d’installer un seul ou plusieurs serveurs, sans WatchGuard System Manager. Lorsque vous installez
un serveur, le programme WatchGuard Server Center est en effet automatiquement installé. WatchGuard
Server Center est une application autonome que vous utilisez pour installer, configurer, sauvegarder et
restaurer tous vos serveurs WatchGuard System Manager.
Lorsque vous utilisez l’interface Fireware XTM Web UI pour gérer vos périphériques Firebox ou XTM, vous
pouvez choisir d’utiliser également les serveurs WatchGuard System Manager et WatchGuard Server
Center. Pour de plus amples renseignements sur WatchGuard System Manager, les serveurs WatchGuard
System Manager et WatchGuard Server Center, consultez l’aide Fireware XTM WatchGuard System
Manager v11.x et le Guide d’utilisateur de Fireware XTM WatchGuard System Manager v11.x.
WatchGuard System Manager englobe cinq serveurs :
n
n
n
n
n
Management Server
Serveur Log Server
Report Server
Quarantine Server
WebBlocker Server
Pour un complément d’information sur WatchGuard System Manager et les serveurs WatchGuard,
consultez l’aide Fireware XTM WatchGuard System Manager v11.x ou Le Guide de l’utilisateur de la v11.x.
Chaque serveur a une fonction spécifique :
Management Server
Le serveur Management Server fonctionne sous Windows. Avec ce serveur, vous pouvez gérer tous
les périphériques de pare-feu et créer des tunnels de réseau privé virtuel (VPN) à l’aide d’une
simple fonction glisser-déposer. Les fonctions de base de Management Server sont les suivantes :
n
n
n
Autorité de certification distribuant des certificats pour les tunnels IPSec (Internet Protocol
Security).
Gestion de configuration des tunnels VPN
Gestion de plusieurs périphériques Fireware XTM et Firebox
Pour plus d’informations sur Management Server, voir À propos de WatchGuard Management Server
L’aide Fireware XTM WatchGuard System Manager v11.x ou Le Guide de l’utilisateur de la v11.x.
74
WatchGuard System Manager
Principes de configuration et de gestion
Serveur Log Server
Le Log Server recueille les messages de journaux de chaque Firebox et périphérique XTM, et les
stocke dans une base de données PostgreSQL. Les messages des journaux sont chiffrés lorsqu’ils
sont envoyés au serveur Log Server. Le format d’un message du journal est XML (texte brut). Les
types de messages recueillis par le Log Server incluent ceux du journal du trafic, du journal
d’événements, des alarmes et des diagnostics.
Pour de plus amples informations sur les Log Servers, cf. L’aide Fireware XTM WatchGuard System
Manager v11.x ou Le Guide de l’utilisateur de la v11.x.
Report Server
Le serveur Report Server consolide périodiquement des données collectées par vos serveurs Log
Server sur vos périphériques Firebox et XTM, et les stocke dans une base de données PostgreSQL.
Le Report Server produit ensuite les rapports que vous indiquez. Lorsque les données sont sur le
Report Server, vous pouvez les consulter avec Report Manager ou Reporting Web UI.
Pour plus d’informations sur l’utilisation de Reporting Web UI, voir l’Aide pour l’interface utilisateur
Web de rapport.
Pour plus d’informations sur le Report Server, cf. l’aide de Fireware XTM WatchGuard System
Manager v11.x ou le Guide d’utilisateur v11.x.
Quarantine Server
Le Quarantine Server recueille et isole les messages d’e-mail identifiés par spamBlocker comme
courrier indésirable possible.
Pour plus d’informations sur le serveur Quarantine Server, voir À propos de Quarantine Server à la
page 633.
WebBlocker Server
Le WebBlocker Server utilise le proxy HTTP pour refuser l’accès utilisateur à des catégories
spécifiques de sites Web. Lorsque vous configurez un Firebox, vous définissez les catégories de sites
Web que vous souhaitez autoriser ou bloquer.
Pour plus d’informations sur WebBlocker et le WebBlocker Server, cf. À propos de WebBlocker à la
page 577.
Gérer Firebox à partir d’un emplacement distant
Lorsque vous configurez Firebox avec l’Assistant Quick Setup Wizard, une stratégie intitulée stratégie
WatchGuard se crée automatiquement. Elle vous permet de vous connecter à Firebox et de l’administrer
depuis n’importe quel ordinateur d’un réseau approuvé ou facultatif. Si vous souhaitez gérer Firebox à
partir d’un emplacement distant (tout emplacement externe à Firebox), vous devez alors modifier votre
stratégie WatchGuard de manière à autoriser les connexions administratives à partir de l’adresse IP de
votre emplacement distant.
Cette stratégie contrôle l’accès à Firebox sur les quatre ports TCP suivants : 4103, 4105, 4117, 4118.
Lorsque vous autorisez des connexions dans la stratégie WatchGuard, vous autorisez les connexions à
chacun de ces quatre ports.
Guide de l’utilisateur
75
Principes de configuration et de gestion
Avant de modifier la stratégie WatchGuard, nous vous recommandons d’envisager de vous connecter à
Firebox par VPN. Cela améliore nettement la sécurité de la connexion. Si ce n’est pas possible, il est
recommandé d’autoriser l’accès depuis le réseau externe à certains utilisateurs autorisés uniquement, et
au plus petit nombre d’ordinateurs possible. Par exemple, votre configuration sera plus sûre si vous
autorisez les connexions à partir d’un seul ordinateur plutôt qu’à partir de l’alias « Any-External » (TousExternes).
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
2. Double-cliquez sur la stratégie WatchGuard.
Vous pouvez également cliquer sur la stratégie WatchGuard et sélectionner Modifier.
La page Configuration de stratégie apparaît.
3. Dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s’affiche.
76
WatchGuard System Manager
Principes de configuration et de gestion
4. Ajoutez l’adresse IP de l’ordinateur externe qui se connecte à Firebox : dans la liste déroulante Type
de membre, sélectionnez IP de l’hôte et cliquez sur OK. Ensuite, entrez l’adresse IP.
5. Si vous voulez donner un accès à un utilisateur autorisé dans la liste déroulante Type de membre,
sélectionnez Alias.
Pour en savoir sur la création d’un alias, voir Créer un alias à la page 264.
Configurer un périphérique Firebox en tant que
périphérique géré
Si votre Firebox dispose d’une adresse IP dynamique, ou si Management Server ne peut pas s’y connecter
pour une autre raison, vous pouvez configurer Firebox en tant que client géré avant de l’ajouter à
Management Server.
Modifier la stratégie WatchGuard
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
La page Stratégies de pare-feu s’affiche.
2. Double-cliquez sur la stratégie WatchGuard pour l’ouvrir.
La page Configuration de stratégie s’affiche pour la stratégie WatchGuard.
Guide de l’utilisateur
77
Principes de configuration et de gestion
3. Dans la liste déroulante Les connexions sont, assurez-vous que l’option Autorisées est activée.
4. Dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s’affiche.
5. Dans la Type de membre liste déroulante, sélectionnez IP d’hôte.
6. Dans la zone de texte à côté , entrez l’adresse IP de l’interface externe de la passerelle Firebox.
Si aucune passerelle Firebox ne protège Management Server d’Internet, tapez l’adresse IP statique
de votre serveur Management Server.
7. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un membre.
8. Vérifiez que la section À inclut une entrée Firebox ou Tout.
9. Cliquez sur Enregistrer.
Vous pouvez maintenant ajouter le périphérique au Management Server configuration. Lorsque vous ajoutez
ce périphérique Firebox au Management Server configuration, ce dernier se connecte automatiquement à
l’adresse IP statique et configure le périphérique Firebox en tant que client Firebox géré.
78
WatchGuard System Manager
Principes de configuration et de gestion
Configurer le périphérique géré
(Facultatif) Si votre Firebox a une adresse IP dynamique, ou si Management Server ne parvient pas à trouver
l’adresse IP de Firebox pour une raison ou pour une autre, cette procédure vous permet de préparer votre
Firebox à la gestion du serveur Management Server.
1. Sélectionnez Système > Périphériques gérés.
La page Périphérique géré s’ouvre.
2. Pour configurer un Firebox en tant que périphérique géré, activez la case à cocher Centralized
Management.
3. Dans le champ Nom du périphérique géré, tapez le nom que vous souhaitez donner à Firebox lors
de son ajout au serveur Management Server configuration.
Guide de l’utilisateur
79
Principes de configuration et de gestion
Ce nom respecte la casse et doit correspondre à celui que vous utilisez lorsque vous ajoutez le
périphérique au serveur Management Server configuration.
4. Dans la fenêtre Adresse(s) IP de Management Server , sélectionnez l’adresse IP de Management
Server s’il possède une adresse IP publique.
Sinon, sélectionnez l’adresse IP publique de la passerelle Firebox du serveur Management Server.
5. Pour ajouter une adresse, cliquez sur Ajouter.
Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous
les ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management
Server configuré. Lorsque vous utilisez l’Assistant Management Server Setup Wizard, celui-ci ajoute
une stratégie WG-Mgmt-Server à votre configuration pour gérer ces connexions. Si vous n’avez pas
utilisé l’Assistant Management Server Setup Wizard sur le serveur Management Server ou si vous
avez ignoré l’étape Passerelle Firebox de cet Assistant, vous devez ajouter manuellement la
stratégie WG-Mgmt-Server à la configuration de votre passerelle Firebox.
6. Dans les champs Secret partagé et Confirmer, entrez le secret partagé.
Le secret partagé que vous tapez ici doit correspondre à celui que vous tapez lorsque vous ajoutez le
périphérique Firebox au serveur Management Server configuration.
7. Copiez le texte du certificat d’autorité de certification de Management Server et collez-le dans le
champ Certificat de Management Server.
8. Cliquez sur Enregistrer.
Lorsque vous enregistrez la configuration sur le périphérique Firebox, celui-ci est activé en tant que client
géré. Le Firebox géré essaie de se connecter à l’adresse IP du serveur Management Server sur le port TCP
4110. Les connexions de gestion sont autorisées à partir du serveur Management Server vers ce
périphérique Firebox géré.
Vous pouvez maintenant ajouter le périphérique au Management Server configuration. Pour plus
d’informations, voir l’aide ou le guide de l’utilisateur du gestionnaire WatchGuard System Manager.
Vous pouvez également utiliser WSM pour configurer le mode de gestion de votre périphérique. Pour plus
d’informations, voir l’aide ou le guide de l’utilisateur du gestionnaire WatchGuard System Manager.
Mettre à niveau vers une nouvelle version de
Fireware XTM
À intervalles réguliers, WatchGuard publie de nouvelles versions des logiciels système Fireware XTM
disponibles pour les utilisateurs Firebox disposant d’un abonnement actif à LiveSecurity. Pour mettre à
niveau d’une version de Fireware XTM vers une nouvelle version de Fireware XTM, utilisez les procédures
dans les rubriques suivantes.
Installez la mise à niveau sur votre station de gestion
1. Téléchargez le logiciel Fireware XTM mis à jour dans la rubrique Téléchargements de logiciels du site
Web WatchGuard à l’adresse http://www.watchguard.com.
80
WatchGuard System Manager
Principes de configuration et de gestion
2. Lancez le fichier que vous avez téléchargé sur le site Web LiveSecurity et suivez la procédure à
l’écran pour installer le fichier de mise à niveau Fireware XTM dans le répertoire d’installation
WatchGuard sur votre station de gestion.
Par défaut, le fichier est installé dans le dossier suivant :
C:\Program Files\Common Files\WatchGuard\resources\FirewareXTM\11.0
Mettre à niveau Firebox
1. Sélectionnez Système > Image de sauvegarde pour enregistrer une image de sauvegarde de
Firebox.
Pour plus d’informations, voir Créer une sauvegarde de l’image Firebox à la page 43.
2. Sélectionnez Système > Mettre à niveau le système d’exploitation.
3. Entrez le nom de fichier ou cliquez surParcourir pour sélectionner le fichier de mise à niveau dans
le répertoire où il est enregistré.
Le nom de fichier se termine par .sysa_dl.
4. Cliquez sur Mettre à niveau.
La procédure de mise à niveau peut nécessiter jusqu’à 15 minutes. Elle redémarre automatiquement le
périphérique WatchGuard.
Si au moment de la mise à niveau, le périphérique WatchGuard est opérationnel depuis quelque temps,
vous devrez peut-être redémarrer le périphérique avant de commencer la mise à niveau afin d’effacer sa
mémoire temporaire.
Télécharger le fichier de configuration
Dans Fireware XTM Web UI, vous pouvez télécharger la configuration de votre périphérique WatchGuard
dans un fichier compressé. Cela peut être utile si vous voulez ouvrir le même fichier de configuration dans
Fireware XTM Policy Manager, mais que vous n’arrivez pas à vous connecter au périphérique depuis Policy
Manager. C’est également utile si vous voulez envoyer votre fichier de configuration à un représentant du
WatchGuard Technical Support.
1. Sélectionnez Système > Configuration.
La page de téléchargement du fichier de configuration s’affiche.
2. Cliquez sur Télécharger le fichier de configuration.
La boîte de dialogue Sélectionner l’emplacement de destination apparaît.
3. Sélectionnez l’emplacement de destination du fichier de configuration.
Celui-ci est enregistré dans un format de fichier compressé (.gz). Avant de pouvoir utiliser ce fichier sur
Fireware XTM Policy Manager, vous devez extraire le fichier compressé dans un dossier de votre
ordinateur.
Pour en savoir plus sur Policy Manager, voir l’Aide du gestionnaire WatchGuard System Manager.
À propos des options de mise à niveau
Vous pouvez ajouter des mises à niveau à votre périphérique WatchGuard afin d’activer des services
d’abonnement, fonctionnalités et capacités supplémentaires.
Guide de l’utilisateur
81
Principes de configuration et de gestion
Pour connaître la liste des options de mise à niveau disponibles, voir
www.watchguard.com/products/options.asp.
Mises à niveau des services d’abonnement
WebBlocker
La mise à niveau WebBlocker vous permet de contrôler l’accès au contenu Web.
Pour plus d’informations, voir À propos de WebBlocker à la page 577.
spamBlocker
La mise à niveau spamBlocker vous permet de filtrer le courrier indésirable et les messages en
masse.
Pour plus d’informations, voir À propos de spamBlocker à la page 591.
Gateway AV/IPS
La mise à niveau Gateway AV/IPS vous permet de bloquer les virus et d’empêcher les tentatives
d’intrusion par les pirates informatiques.
Pour plus d’informations, voir À propos de Gateway AntiVirus et Intrusion Prévention à la page 615.
Mises à niveau des logiciels et logiciels système
Pro
La mise à niveau Pro de Fireware XTM confère plusieurs fonctionnalités avancées aux clients
expérimentés, notamment l’équilibrage de charge côté serveur et d’autres tunnels VPN SSL. Les
fonctionnalités disponibles avec une mise à niveau Pro dépendent du type et du modèle de votre
Firebox.
Pour plus d’informations, voir Fireware XTM avec une mise à niveau Pro à la page 14.
Mises à niveau des modèles
Pour certains modèles Firebox, vous pouvez acheter une clé de licence afin de mettre à niveau le
périphérique à un modèle de niveau supérieur dans la même famille de produits. Une mise à
niveau de modèle confère à Firebox les mêmes fonctions qu’un modèle supérieur.
Pour comparer les fonctionnalités et capacités des différents modèles Firebox, allez sur
http://www.watchguard.com/products/compare.asp.
Comment appliquer une mise à niveau
Quand vous achetez une mise à niveau, vous enregistrez celle-ci sur le site Web de WatchGuard
LiveSecurity. Ensuite vous téléchargez une clé de fonctionnalité qui active cette mise à niveau sur votre
périphérique WatchGuard.
Pour plus d’informations sur les clés de fonctionnalité, voir À propos de les clés de fonctionnalité à la page 52.
82
WatchGuard System Manager
6
Définition et configuration réseau
À propos de Configuration d’interface réseau
La configuration des adresses IP d’interface réseau est un élément essentiel de la configuration du
périphérique WatchGuard. Lorsque vous exécutez l’Assistant Quick Setup Wizard, les interfaces externes et
approuvées sont configurées pour que le trafic soit acheminé des périphériques protégés vers un réseau
externe. Vous pouvez suivre les procédures décrites dans cette section pour modifier cette configuration
après avoir exécuté l’Assistant Quick Setup Wizard ou pour ajouter d’autres composants du réseau à la
configuration. Par exemple, vous pouvez configurer une interface facultative pour des serveurs publics,
comme des serveurs Web.
Votre périphérique WatchGuard sépare physiquement les réseaux situés sur un réseau local de ceux situés
sur un réseau étendu, comme Internet. Votre périphérique utilise le routage pour envoyer des paquets
depuis les réseaux qu’il protège jusqu’aux réseaux qui se trouvent en dehors de votre organisation. Pour ce
faire, votre périphérique doit savoir quels sont les réseaux connectés sur chaque interface.
Il est recommandé de noter les informations de base de votre configuration réseau et VPN dans le cas où
vous auriez besoin de contacter le support technique. Ces informations peuvent aider le technicien à
résoudre votre problème rapidement.
Modes réseau
Votre périphérique WatchGuard prend en charge plusieurs modes réseau :
Mode de routage mixte
En mode de routage mixte, vous pouvez configurer votre périphérique Firebox pour envoyer le
trafic réseau entre différents types d’interfaces réseau physiques et virtuelles. C’est le mode de
réseau par défaut ; il offre la plus grande souplesse pour les différentes configurations réseau. Vous
devez toutefois configurer chaque interface séparément et vous devrez peut-être changer les
paramètres réseau de chaque ordinateur ou client protégé par votre périphérique Firebox. Firebox
utilise la traduction d’adresses réseau pour envoyer des informations entre des interfaces réseau.
Guide de l’utilisateur
83
Définition et configuration réseau
Pour plus d’informations, voir À propos de Traduction d’adresses réseau (Network Address
Translation) (NAT) à la page 141.
Les conditions d’un mode de routage mixte sont les suivantes :
n
n
Toutes les interfaces du périphérique WatchGuard doivent être configurées sur différents sousréseaux. La configuration minimale inclut les interfaces approuvées et externes. Vous pouvez
également configurer une ou plusieurs interfaces facultatives.
Tous les ordinateurs connectés aux interfaces approuvées et facultatives doivent avoir une
adresse IP de ce réseau.
Mode d’insertion
Dans une configuration d’insertion, votre périphérique WatchGuard est configuré avec la même
adresse IP sur toutes les interfaces Firebox. Vous pouvez placer votre périphérique WatchGuard
entre le routeur et le réseau local sans devoir modifier la configuration sur les ordinateurs locaux.
Cette configuration est appelée configuration d’insertion car votre périphérique WatchGuard est
inséré dans un réseau existant. Certaines fonctions réseau telles que les ponts et les réseaux locaux
virtuels (VLAN) ne sont pas disponibles dans ce mode.
Pour la configuration d’insertion, vous devez :
n
n
n
Attribuer une adresse IP statique externe au périphérique WatchGuard.
Utiliser un réseau logique pour toutes les interfaces.
Ne pas configurer la fonctionnalité multi-WAN en mode Tourniquet ou Basculement.
Pour plus d’informations, voir À propos de la configuration du réseau en mode d’insertion à la page 94.
Mode pont
Le mode pont est une fonctionnalité qui vous permet de placer votre périphérique WatchGuard
entre un réseau existant et sa passerelle afin de filtrer ou de gérer le trafic réseau. Lorsque vous
activez cette fonctionnalité, votre périphérique WatchGuard traite tout le trafic réseau et le
transmet vers l’adresse IP que vous indiquez. Lorsque le trafic arrive à la passerelle, il semble
provenir du périphérique d’origine. Dans cette configuration, votre périphérique WatchGuard ne
peut pas effectuer plusieurs fonctions qui exigent une adresse IP publique et unique. Par exemple,
vous ne pouvez pas configurer un périphérique WatchGuard en mode pont afin qu’il agisse comme
point de terminaison pour un VPN (réseau privé virtuel).
Pour plus d’informations, voir Mode pont à la page 99.
Types d’interface
Vous utilisez trois types d’interfaces pour configurer votre réseau en mode de routage mixte ou d’insertion :
Interfaces externes
Une interface externe est utilisée pour connecter votre périphérique WatchGuard à un réseau en
dehors de votre organisation. L’interface externe est souvent la méthode qui vous permet de
connecter votre périphérique Firebox à Internet. Vous pouvez configurer un maximum de quatre
(4) interfaces externes physiques.
84
WatchGuard System Manager
Définition et configuration réseau
Lorsque vous configurez une interface externe, vous devez choisir la méthode qu’utilise votre
fournisseur de services Internet (ISP) afin de donner une adresse IP à votre périphérique Firebox. Si
vous ne connaissez pas cette méthode, vous pouvez obtenir ces informations de votre fournisseur
de services Internet ou de votre administrateur réseau.
Interfaces approuvées
Les interfaces approuvées se connectent au réseau local privé (LAN) ou au réseau interne de votre
organisation. Une interface approuvée fournit généralement des connexions pour les employés et
les ressources internes sécurisées.
Interfaces facultatives
Les interfaces facultatives sont des environnements de confiance mixte ou DMZ qui sont séparés de
votre réseau approuvé. Les serveurs Web publics, les serveurs FTP et les serveurs de messagerie
sont des exemples d’ordinateurs souvent installés sur une interface facultative.
Pour plus d’informations sur les types d’interfaces, voir Paramètres d’interface standard à la page 100.
Si vous avez un périphérique Firebox X Edge, vous pouvez utiliser Fireware XTM Web UI pour configurer le
basculement avec un modem externe sur le port série.
Pour plus d’informations, voir Basculement de modem série à la page 132.
Lorsque vous configurez les interfaces sur votre périphérique WatchGuard, vous devez employer la
notation de barre oblique pour désigner le masque de sous-réseau. Par exemple, vous saisissez la plage
réseau 192.168.0.0 avec le masque de sous-réseau 255.255.255.0 sous la forme 192.168.0.0/24. Une
interface approuvée avec l’adresse IP 10.0.1.1/16 a un masque de sous-réseau de 255.255.0.0.
Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre oblique à la
page 4.
À propos des interfaces réseau sur les modèles Edge e-Series
Lorsque vous utilisez Fireware XTM sur un modèle Firebox X Edge e-Series, les numéros d’interface réseau
qui apparaissent dans Fireware XTM Web UI ne correspondent pas aux étiquettes d’interface réseau qui
figurent sous les interfaces physiques du périphérique. Utilisez le tableau ci-dessous pour voir comment les
numéros d’interface du Web UI sont associés aux interfaces physiques du périphérique.
Numéro
d’interface
dans Fireware
XTM
Étiquette d’interface sur un matériel Firebox X Edge e-Series
0
WAN 1
1
LAN 0, LAN 1, LAN 2
2
WAN 2
3
Facultatif
Guide de l’utilisateur
85
Définition et configuration réseau
Vous pouvez envisager les interfaces LAN 0, LAN 1 et LAN 2 comme un concentrateur à trois interfaces
réseau et qui est connecté à une seule interface Firebox. Dans Fireware XTM, vous configurez ces
interfaces ensemble, en tant qu’interface 1.
Mode de routage mixte
En mode de routage mixte, vous pouvez configurer votre périphérique Firebox pour envoyer le trafic
réseau entre différents types d’interfaces réseau physiques et virtuelles. Le mode de routage mixte est le
mode de réseau par défaut. La plupart des fonctionnalités réseau et de sécurité sont disponibles dans ce
mode, mais vous devez vérifier soigneusement la configuration de chaque périphérique connecté à Firebox
pour que votre réseau fonctionne correctement.
Une configuration réseau de base en mode de routage mixte utilise au moins deux interfaces. Par exemple,
vous pouvez connecter une interface externe à un câble modem ou à une autre connexion Internet, et une
interface approuvée à un routeur interne qui relie les membres internes de votre organisation. À partir de
cette configuration de base, vous pouvez ajouter un réseau facultatif qui protège les serveurs tout en
offrant un accès plus large depuis les réseaux externes, permet de configurer des réseaux VLAN et d’autres
fonctions avancées, ou encore de définir des options de sécurité supplémentaires, par exemple des
restrictions d’adresse MAC. Vous pouvez également définir le mode d’envoi du trafic réseau d’une
interface à l’autre.
Pour démarrer une configuration d’interface en mode de routage mixte, voir Paramètres d’interface
standard à la page 100.
Il est facile d’oublier les adresses IP et les points de connexion de votre réseau en mode de routage mixte,
en particulier si vous utilisez des VLAN (réseaux locaux virtuels), des réseaux secondaires et d’autres
fonctions avancées. Il est recommandé de noter les informations de base de votre configuration réseau et
VPN dans le cas où vous auriez besoin de contacter le support technique. Ces informations peuvent aider le
technicien à résoudre votre problème rapidement.
Configurer une interface externe
Une interface externe est utilisée pour connecter le périphérique Firebox ou XTM à un réseau en dehors
de votre organisation. L’interface externe est souvent la méthode qui vous permet de connecter votre
périphérique à Internet. Vous pouvez configurer un maximum de quatre (4) interfaces externes physiques.
Lorsque vous configurez une interface externe, vous devez choisir la méthode qu’utilise votre fournisseur
de services Internet (ISP) afin de donner une adresse IP à votre périphérique. Si vous ne connaissez pas
cette méthode, vous pouvez obtenir ces informations de votre fournisseur de services Internet ou de votre
administrateur réseau.
Pour plus d’informations sur les méthodes utilisées pour définir et distribuer les adresses IP, voir Statique et
dynamique Adresses IP à la page 5.
Utiliser une adresse IP statique
1. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
2. Sélectionnez une interface externe. Cliquez sur Configurer.
86
WatchGuard System Manager
Définition et configuration réseau
3. Dans la liste déroulante Mode de configuration, sélectionnez IP statique.
4. Dans la zone de texte Adresse IP , saisissez l’adresse IP de l’interface.
5. Dans la zone de texte Passerelle par défaut , saisissez l’adresse IP de la passerelle par défaut.
6. Cliquez sur Enregistrer.
Utiliser l’authentification PPPoE
Si votre fournisseur de services Internet utilise PPPoE, vous devez configurer l’authentification PPPoE pour
que votre périphérique puisse acheminer le trafic via l’interface externe.
1. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
2. Sélectionnez une interface externe. Cliquez sur Configurer.
3. Dans la liste déroulante Mode de configuration , sélectionnez PPPoE.
4. Sélectionnez une option :
n
n
Obtenir une adresse IP automatiquement
Utiliser cette adresse IP (fournie par votre fournisseur de services Internet)
5. Si vous avez sélectionné Utiliser cette adresse IP, saisissez l’adresse IP dans la zone de texte en
regard.
6. Saisissez le nom d’utilisateur et le mot de passe. Ressaisissez le mot de passe.
Les fournisseurs de services Internet utilisent le format des adresses de messagerie pour les noms
d’utilisateur, par exemple [email protected].
7. Cliquez sur Paramètres PPPoE avancés pour configurer des options PPPoE supplémentaires.
Votre fournisseur de services Internet peut vous contacter si vous devez modifier le délai d’attente ou les
valeurs LCP.
Guide de l’utilisateur
87
Définition et configuration réseau
8. Si votre fournisseur de services Internet exige l’indicateur Host-Uniq pour les paquets de découverte
PPPoE, cochez la case Utiliser l’indicateur Host-Uniq dans les paquets de découverte PPPoE.
9. Sélectionnez le moment où le périphérique se connecte au serveur PPPoE :
n
Toujours actif — Le périphérique Firebox ou XTM conserve une connexion PPPoE constante. Il
n’est pas nécessaire pour le trafic réseau de passer par l’interface externe.
Si vous sélectionnez cette option, saisissez ou sélectionnez une valeur dans la zone de texte
Intervalle de réinitialisation de PPPoE pour définir le nombre de secondes pendant lesquelles
PPPoE s’initialise avant de dépasser le délai.
n
Connexion à la demande — Le périphérique Firebox ou XTM se connecte au serveur PPPoE
uniquement lorsqu’il reçoit une requête d’envoi de trafic à une adresse IP sur l’interface
externe. Si votre fournisseur de services Internet réinitialise régulièrement la connexion,
sélectionnez cette option.
Si vous sélectionnez cette option, définissez dans la zone de texte Délai d’inactivité , la durée
pendant laquelle un client peut rester connecté lorsqu’aucun trafic n’est envoyé. Si vous ne
sélectionnez pas cette option, vous devez redémarrer le périphérique Firebox manuellement à
chaque réinitialisation de la connexion.
10. Dans la zone de texte Échec d’écho LCP après , saisissez ou sélectionnez le nombre de requêtes
d’écho LCP échouées autorisées avant que la connexion PPPoE soit considérée comme inactive et
fermée.
11. Dans la zone de texte Délai d’écho LCP dans , saisissez ou sélectionnez le délai, en secondes, au
cours duquel la réponse de chaque délai d’écho doit être reçue.
12. Pour configurer le périphérique Firebox ou XTM pour qu’il redémarre automatiquement la
connexion PPPoE tous les jours ou toutes les semaines, cochez la case Heure programmée pour le
redémarrage automatique.
88
WatchGuard System Manager
Définition et configuration réseau
13. Dans la liste déroulante Heure programmée pour le redémarrage automatique, sélectionnez
Quotidien pour redémarrer la connexion à la même heure tous les jours ou choisissez un jour de la
semaine pour que le redémarrage s’effectue de manière hebdomadaire. Sélectionnez l’heure et la
minute du jour (au format 24 heures) pour redémarrer automatiquement la connexion PPPoE.
14. Dans la zone de texte Nom de service , saisissez un nom de service PPPoE.
Il peut s’agir d’un nom d’ISP ou d’une classe de service configurée sur le serveur PPPoE. Cette
option n’est généralement pas utilisée. Sélectionnez cette option uniquement s’il existe plusieurs
concentrateurs d’accès ou si vous devez utiliser un nom de service spécifique.
15. Dans la zone de texte Nom du concentrateur d’accès , saisissez le nom d’un concentrateur d’accès
PPPoE, appelé également serveur PPPoE. Cette option n’est généralement pas utilisée. Sélectionnez
cette option uniquement s’il existe plusieurs concentrateurs d’accès.
16. Dans la zone de texte Nouvelles tentatives d’authentification , saisissez ou sélectionnez le nombre
de tentatives de connexion que peut réaliser le périphérique Firebox ou XTM.
La valeur par défaut est trois (3) tentatives de connexions.
17. Dans la zone de texte Délai d’authentification , saisissez la valeur de la durée entre les tentatives.
La valeur par défaut est de 20 secondes entre chaque tentative de connexion.
18. Cliquez sur Retour aux paramètres PPPoE principaux.
19. Sauvegarder votre configuration.
Utiliser le protocole DHCP
1. Dans la liste déroulante Mode de configuration , sélectionnez DHCP.
2. Si votre fournisseur de services Internet ou le serveur DHCP externe exige un identifiant client, une
adresse MAC par exemple, saisissez ces informations dans la zone de texte Client .
3. Pour indiquer un nom d’hôte pour l’identification, saisissez-le dans la zone de texte Nom d’hôte .
4. Pour attribuer manuellement une adresse IP à l’interface externe, saisissez-la dans la zone de texte
Utiliser cette adresse IP .
Pour configurer cette interface de manière à obtenir une adresse IP automatiquement, ne
renseignez pas la zone de texte Utiliser cette adresse IP.
5. Pour changer la durée du bail, cochez la case Durée du bail et sélectionnez la valeur souhaitée dans
la liste déroulante située en regard.
Les adresses IP attribuées par un serveur DHCP sont définies par défaut avec un bail d’un jour qui
permet de les utiliser pendant une journée.
Guide de l’utilisateur
89
Définition et configuration réseau
Configurer DHCP en mode de routage mixte
La méthode DHCP (Dynamic Host Configuration Protocol) permet d’attribuer des adresses IP
automatiquement aux clients réseau. Vous pouvez configurer votre périphérique WatchGuard en tant que
serveur DHCP pour les réseaux qu’il protège. Si vous avez un serveur DHCP, il est recommandé de
continuer à utiliser ce serveur pour DHCP.
Si votre périphérique WatchGuard est configuré en mode d’insertion, voir Configurer DHCP en mode
d’insertion à la page 96.
Note Vous ne pouvez pas configurer DHCP sur une interface pour laquelle FireCluster est
activé.
Configurer DHCP
1. Sélectionnez Réseau > Interfaces.
2. Sélectionnez une interface approuvée ou facultative. Cliquez sur Configurer.
90
WatchGuard System Manager
Définition et configuration réseau
3. Dans la liste déroulante Mode de configuration, sélectionnez Utiliser le serveur DHCP.
4. Pour ajouter un groupe d’adresses IP à des utilisateurs de cette interface, saisissez l’adresse IP de
démarrage et l’adresse IP de fin du même sous-réseau, puis cliquez sur Ajouter.
Le pool d’adresses doit appartenir au sous-réseau IP principal ou secondaire de l’interface.
Vous pouvez configurer un maximum de six plages d’adresses. Les groupes d’adresses sont utilisés de la
première à la dernière. Les adresses de chaque groupe sont attribuées par numéro, du plus petit au plus grand.
5. Pour changer la durée du bail par défaut, sélectionnez une autre option dans la liste déroulante
Durée du bail.
C’est l’intervalle temporel pendant lequel un client DHCP peut utiliser une adresse IP qu’il reçoit du serveur
DHCP. Lorsque la durée du bail est sur le point d’arriver à expiration, le client envoie les données au serveur
DHCP pour obtenir un nouveau bail.
6. Par défaut, lorsqu’il est configuré en tant que serveur DHCP, votre périphérique WatchGuard fournit
les informations de serveur DNS et WINS dans l’onglet Configuration du réseau > WINS/DNS. Pour
indiquer différentes informations afin que votre périphérique les attribue lorsqu’il fournit des
adresses IP, cliquez sur l’onglet DNS/WINS.
n
n
n
n
Saisissez un nom de domaine pour changer le domaine DNS par défaut.
Pour créer une nouvelle entrée de serveur DNS ou WINS, cliquez sur le bouton Ajouter situé à
côté du type de serveur que vous souhaitez, saisissez une adresse IP et cliquez sur OK.
Pour changer l’adresse IP du serveur sélectionné, cliquez sur le bouton Modifier.
Pour supprimer le serveur sélectionné de la liste située à côté, cliquez sur le bouton
Supprimer.
Configurer les réservations DHCP
Pour réserver une adresse IP spécifique pour un client :
Guide de l’utilisateur
91
Définition et configuration réseau
1. Entrez le nom de la réservation, de l’adresse IP à réserver et de l’adresse MAC de la carte réseau du
client.
2. Cliquez sur Ajouter.
À propos du Service DNS dynamique
Vous pouvez enregistrer l’adresse IP externe de votre périphérique WatchGuard avec le service DNS
dynamique DynDNS.org. Un service DNS dynamique vérifie que l’adresse IP associée à votre nom de
domaine change lorsque votre fournisseur de services Internet attribue à votre périphérique une nouvelle
adresse IP. Cette fonctionnalité est disponible en mode de configuration réseau routage mixte ou
d’insertion.
Si vous utilisez cette fonctionnalité, votre périphérique WatchGuard obtient l’adresse IP auprès de
members.dyndns.org au démarrage. Il vérifie qu’elle est valide à chaque redémarrage et tous les vingt
jours. Si vous modifiez votre configuration DynDNS sur votre périphérique WatchGuard ou si vous changez
l’adresse IP de la passerelle par défaut, DynDNS.com est automatiquement mis à jour.
Pour plus d’informations sur le service DNS dynamique ou pour créer un compte DynDNS, accédez au site
http://www.dyndns.com.
Note WatchGuard n’est pas une filiale de DynDNS.com.
Configurer DNS dynamique
1. Sélectionnez Réseau > DNS dynamique.
La page Client DNS dynamique apparaît.
2. Sélectionnez une interface réseau, puis cliquez sur Configurer.
La page Configuration DNS dynamique apparaît.
92
WatchGuard System Manager
Définition et configuration réseau
3.
4.
5.
6.
7.
Cochez la case Activer le DNS dynamique.
Entrez les Nom d’utilisateur et Mot de passe.
Dans la zone de texte Confirmer, ressaisissez le mot de passe.
Dans la zone de texte Domaine, saisissez le domaine de votre organisation.
Dans la liste déroulante Type de service, sélectionnez le système à utiliser pour le DNS dynamique :
n
n
dyndns — Envoie des mises à jour pour un nom d’hôte DNS dynamique. Utilisez l’option dyndns
lorsque vous n’avez pas le contrôle de votre adresse IP (par exemple, si elle n’est pas statique
et change régulièrement).
custom — Envoie des mises à jour pour un nom d’hôte DNS personnalisé. Les entreprises qui
paient pour enregistrer leur domaine auprès de dyndns.com font souvent appel à cette option.
Pour accéder à une explication de chaque option, voir http://www.dyndns.com/services/.
8. Dans le champ Options, saisissez une ou plusieurs de ces options :
n
n
n
n
mx=mailexchanger& — Indique le Mail eXchanger (MX) à utiliser avec le nom d’hôte.
backmx=YES|NO& — Exige que le MX du paramètre précédent soit configuré en tant que MX
de sauvegarde (inclut l’hôte en tant que MX avec valeur de préférence inférieure).
wildcard=ON|OFF|NOCHG& — Active ou désactive les caractères génériques pour cet hôte
(ON permet de les activer).
offline=YES|NO — Définit le nom d’hôte sur le mode hors ligne. Vous pouvez combiner une
ou plusieurs de ces options à l’aide du signe esperluette (&). Par exemple :
&mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON
Pour plus d’informations, voir http://www.dyndns.com/developers/specs/syntax.html.
9. Cliquez sur Envoyer.
Guide de l’utilisateur
93
Définition et configuration réseau
À propos de la configuration du réseau en mode
d’insertion
Dans une configuration d’insertion, la même adresse IP est utilisée sur toutes les interfaces Firebox. Le
mode de configuration d’insertion distribue la plage d’adresses logiques du réseau à l’ensemble des
interfaces réseau disponibles. Vous pouvez placer votre périphérique Firebox entre le routeur et le réseau
local sans devoir modifier la configuration sur les ordinateurs locaux. Cette configuration est appelée mode
d’insertion, car votre périphérique WatchGuard inséré dans un réseau préalablement configuré.
En mode d’insertion :
n
n
n
n
Vous devez attribuer la même adresse IP principale à toutes les interfaces de Firebox (externes,
approuvées et facultatives).
Vous pouvez attribuer des réseaux secondaires sur toutes les interfaces.
Vous pouvez conserver les mêmes adresses IP et passerelles par défaut pour les hôtes de vos
réseaux approuvés et facultatifs, et ajouter une adresse réseau secondaire à l’interface externe
principale pour que votre périphérique Firebox achemine correctement le trafic vers les hôtes de
ces réseaux.
Les serveurs publics derrière votre périphérique Firebox peuvent continuer à utiliser les adresses IP
publiques. La traduction d’adresses n’est pas utilisée pour acheminer le trafic depuis l’extérieur de
votre réseau vers vos serveurs publics.
Les propriétés d’une configuration d’insertion sont les suivantes :
n
n
n
Vous devez attribuer une adresse IP statique et l’utiliser pour l’interface externe.
Vous devez utiliser un réseau logique pour toutes les interfaces.
Vous ne pouvez configurer qu’une seule interface externe lorsque votre périphérique WatchGuard
est configuré en mode d’insertion. La fonctionnalité Multi-WAN est automatiquement désactivée.
Il est parfois nécessaire de Effacer le cache ARP de chaque ordinateur protégé par Firebox, mais ce n’est
pas fréquent.
Note Si vous déplacez l’adresse IP d’un ordinateur situé derrière une interface vers un
ordinateur situé derrière une autre interface, l’envoi du trafic réseau au nouvel
emplacement peut prendre quelques minutes. Votre périphérique Firebox doit
mettre à jour sa table de routage interne avant l’acheminement de ce trafic. Les
types de trafic concernés sont les connexions de gestion SNMP, Firebox ou
journalisation.
Vous pouvez configurer vos interfaces réseau avec le mode d’insertion lorsque vous exécutez l’Assistant
Quick Setup Wizard. Si vous avez déjà créé une configuration réseau, vous pouvez utiliser Policy Manager
pour passer en mode d’insertion.
Pour de plus amples informations, cf. Exécuter l’Assistant Web Setup Wizard à la page 25.
Utilisezlemoded’insertion pourlaconfiguration del’interface
réseau
1. Sélectionnez Réseau > Interfaces.
La boîte de dialogue Interfaces réseau apparaît.
94
WatchGuard System Manager
Définition et configuration réseau
2. Dans la liste déroulante Configurer les interfaces en, sélectionnez mode d’insertion transparent.
3. Dans le champ Adresse IP, saisissez l’adresse IP que vous souhaitez utiliser en tant qu’adresse
principale pour toutes les interfaces sur Firebox.
4. Dans le champ Passerelle, saisissez l’adresse IP de la passerelle. Cette adresse IP est
automatiquement ajoutée à la liste des hôtes associés.
5. Cliquez sur Enregistrer.
Configurer les hôtes associés
Dans une configuration d’insertion ou de pont, la même adresse IP est utilisée sur chaque interface Firebox.
Votre périphérique Firebox détecte automatiquement les nouveaux périphériques qui sont connectés à
ces interfaces et ajoute chaque nouvelle adresse MAC à sa table de routage interne. Si vous souhaitez
configurer des connexions de périphérique manuellement ou si le mappage automatique d’hôte ne
fonctionne pas correctement, vous pouvez ajouter une entrée pour les hôtes associés. Une entrée pour les
hôtes associés crée un itinéraire statique entre l’adresse IP de l’hôte et une interface réseau. Il est
recommandé de désactiver le mappage d’hôte automatique sur les interfaces pour lesquelles vous créez
une entrée pour les hôtes associés.
1. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
2. Configurer des interfaces réseau en mode d’insertion et mode pont. Cliquez sur Propriétés.
La page Propriétés du mode d’insertion apparaît.
3. Désélectionnez la case des interfaces pour lesquelles vous souhaitez ajouter une entrée pour les
hôtes associés.
4. Dans la zone de texte Hôte, saisissez l’adresse IP du périphérique pour lequel vous souhaitez établir
un itinéraire statique depuis le périphérique Firebox. Sélectionnez l’interface dans la liste
déroulante située en regard, puis cliquez sur Ajouter. Répétez cette opération pour ajouter des
périphériques supplémentaires.
Guide de l’utilisateur
95
Définition et configuration réseau
5. Cliquez sur Enregistrer.
Configurer DHCP en mode d’insertion
Lorsque vous utilisez le mode d’insertion pour la configuration du réseau, vous pouvez également
configurer Firebox en tant que serveur DHCP pour les réseaux qu’il protège ou l’utiliser en tant qu’agent de
relais DHCP. Si un serveur DHCP est déjà configuré, il est conseillé de le conserver.
Utiliser le protocole DHCP
Par défaut, Firebox attribue les informations configurées de serveur DNS/WINS lorsqu’il est configuré en
tant que serveur DHCP. Vous pouvez configurer des informations DNS/WINS sur cette page afin de
remplacer la configuration globale. Pour plus d’informations, voir les instructions dans Ajouter Serveurs
WINS et Adresses du serveur DNS à la page 103.
1. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
2. Cliquez sur Propriétés.
3. Sélectionnez l’onglet Paramètres DHCP.
96
WatchGuard System Manager
Définition et configuration réseau
4. Pour ajouter un pool d’adresses depuis lequel Firebox peut fournir des adresses IP : dans les zones
de texte d’adresse IP de démarrage et IP de fin, saisissez une plage d’adresses IP qui ne se trouvent
pas sur le même sous-réseau que l’adresse IP d’insertion. Cliquez sur Ajouter.
Répétez cette opération pour ajouter d’autres pools d’adresses.
Vous pouvez configurer un maximum de six pools d’adresses.
5. Afin de réserver une adresse IP spécifique d’un pool d’adresses pour un périphérique ou un client,
dans la section Adresses réservées :
n
n
n
n
Saisissez un nom de réservation pour identifier la réservation.
Saisissez adresse IP réservée que vous souhaitez réserver.
Saisissez l’adresse MAC du périphérique.
Cliquez sur Ajouter.
Répétez cette opération pour ajouter d’autres réservations DHCP.
6. Si nécessaire, Ajouter Serveurs WINS et Adresses du serveur DNS.
7. Pour changer la durée du bail DHCP, sélectionnez une autre option dans la liste déroulante Durée
du bail.
8. En haut de la page, cliquez sur Retour.
9. Cliquez sur Enregistrer.
Guide de l’utilisateur
97
Définition et configuration réseau
Utiliser le relais DHCP
1. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
2. Sélectionnez une interface approuvée ou facultative, puis cliquez sur Configurer.
Vous pouvez également double-cliquer sur une interface approuvée ou facultative.
La page Configuration d’interface apparaît.
3. Dans la section située à côté de la zone de texte IP Adresse, sélectionnez Utiliser le relais DHCP.
4. Entrez l’adresse IP du serveur DHCP dans la zone appropriée. Veillez à Ajouter un itinéraire statique
sur le serveur DHCP, si nécessaire.
5. Cliquez sur Enregistrer. Cliquez de nouveau sur Enregistrer.
Spécifier les paramètres DHCP d’une seule interface
Vous pouvez indiquer différents paramètres DHCP pour chaque interface approuvée ou facultative de votre
configuration. Pour modifier ces paramètres :
1.
2.
3.
4.
Faites défiler la boîte de dialogue Configuration du réseau.
Sélectionnez une interface.
Cliquez sur Configurer.
Pour utiliser les mêmes paramètres DHCP que vous avez configurés pour le mode d’insertion,
sélectionnez Utiliser le réglage système DHCP.
Pour désactiver le protocole DHCP pour les clients de cette interface réseau, sélectionnez
Désactiver DHCP.
Pour configurer d’autres options DHCP pour les clients d’un réseau secondaire, sélectionnez Utiliser
le serveur DHCP pour le réseau secondaire.
5. Pour ajouter des pools d’adresses IP, définissez la durée du bail par défaut et gérez les serveurs
DNS/WINS. Suivez les étapes 3–6 de la section Utiliser le protocole DHCP.
6. Cliquez sur OK.
98
WatchGuard System Manager
Définition et configuration réseau
Mode pont
Le mode pont est une fonctionnalité qui vous permet d’installer votre périphérique Firebox ou XTM entre
un réseau existant et sa passerelle, afin de filtrer ou de gérer le trafic réseau. Lorsque vous activez cette
fonctionnalité, votre périphérique Firebox ou XTM traite tout le trafic réseau et le transmet vers d’autres
passerelles. Lorsque le trafic provenant du périphérique Firebox ou XTM arrive à une passerelle, il semble
provenir du périphérique d’origine.
Pour utiliser le mode pont, vous devez indiquer une adresse IP utilisée pour gérer votre périphérique
Firebox ou XTM. Le périphérique utilise également cette adresse IP pour obtenir les mises à jour de
Gateway AV/IPS et acheminer le trafic vers les serveurs internes DNS, NTP ou WebBlocker (le cas échéant).
Vous devez donc veiller à attribuer une adresse IP routable sur Internet.
Lorsque vous utilisez le mode pont, votre périphérique Firebox ou XTM ne peut pas réaliser certaines
fonctions pour lesquelles il doit fonctionner en tant que passerelle. Ces fonctions sont les suivantes :
n
n
n
n
n
n
n
n
n
n
n
n
Multi-WAN
Réseaux locaux VLAN (Virtual Local Area Networks)
Ponts réseau
Itinéraires statiques
FireCluster
Réseaux secondaires
Serveur DHCP ou relais DHCP
Basculement vers un modem série (Firebox X Edge uniquement)
NAT un à un, dynamique ou statique
Routage dynamique (OSPF, BGP ou RIP)
Tout type de réseau privé VPN pour lequel le périphérique Firebox ou XTM est un point de
terminaison ou une passerelle
Certaines fonctions proxy, notamment le serveur de mise en cache Web HTTP
Si vous avez configuré ces fonctions services, ils sont désactivés lorsque vous passez en mode pont. Pour
réutiliser ces fonctions ou services, vous devez utiliser un autre mode réseau. Si vous revenez au mode
d’insertion ou de routage mixte, vous devrez peut-être reconfigurer certaines fonctions.
Note Lorsque vous activez le mode pont, les interfaces ayant un pont réseau ou un
réseau VLAN préconfiguré sont désactivées. Pour utiliser ces interfaces, vous devez
d’abord passer en mode d’insertion ou de routage mixte, configurer ensuite
l’interface en tant qu’interface externe, facultative ou approuvée, puis revenir en
mode pont. Les fonctions sans fil des périphériques Firebox ou XTM sans fil
fonctionnent correctement en mode pont.
Pour activer le mode pont :
1. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
2. Dans la liste déroulante Configurer les interfaces en, sélectionnez Mode pont.
Guide de l’utilisateur
99
Définition et configuration réseau
3. Si le système vous invite à désactiver les interfaces, cliquez sur Oui pour désactiver les interfaces ou
sur Non pour revenir à votre configuration antérieure.
4. Saisissez l’adresse IP de votre périphérique Firebox ou XTM en notation de barre oblique.
Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre
oblique à la page 4.
5. Saisissez l’adresse IP de la passerelle qui reçoit tout le trafic réseau provenant du périphérique.
6. Cliquez sur Enregistrer.
Paramètres d’interface standard
En mode de routage mixte, vous pouvez configurer votre périphérique WatchGuard pour envoyer le trafic
réseau entre différents types d’interfaces réseau physiques et virtuelles. C’est le mode de réseau par
défaut ; il offre la plus grande souplesse pour les différentes configurations réseau. Vous devez toutefois
configurer chaque interface séparément et vous devrez peut-être changer les paramètres réseau de
chaque ordinateur ou client protégé par votre périphérique WatchGuard.
Pour configurer votre périphérique Firebox avec le mode de routage mixte :
1. Sélectionnez Réseau > Interfaces.
La boîte de dialogue Réseau Interfaces apparaît.
2. Sélectionnez l’interface que vous souhaitez configurer, puis cliquez sur Configurer. Les options
disponibles dépendent du type d’interface sélectionné.
La boîte de dialogue Interface Settings Configuration (Configuration d’interface apparaît.
100
WatchGuard System Manager
Définition et configuration réseau
3. Dans le champ Nom de l’interface (Alias), vous pouvez conserver le nom par défaut ou le modifier
pour qu’il reflète plus précisément votre réseau et ses propres relations d’approbation.
Vérifiez que ce nom n’a pas été attribué à une interface, un groupe MVPN ou un tunnel. Vous
pouvez utiliser cet alias avec d’autres fonctions, des stratégies de proxy par exemple, pour gérer le
trafic réseau de cette interface.
4. (Facultatif) Saisissez la description de l’interface dans le champ Description de l’interface.
5. Dans la liste déroulante Mode de configuration, sélectionnez le type d’interface. Vous pouvez
sélectionner Externe, Approuvée, Facultative, Pont, Désactivé ou VLAN. Certains types d’interface
ont des paramètres supplémentaires.
n
n
n
n
n
Pour plus d’informations sur l’attribution d’une adresse IP à une interface externe, voir
Configurer une interface externe à la page 86. Pour définir l’adresse IP d’une interface
approuvée ou facultative, saisissez l’adresse IP en notation de barre oblique.
Pour attribuer automatiquement des adresses IP aux clients d’une interface approuvée ou
facultative, voir Configurer DHCP en mode de routage mixte à la page 90 ou Configurer le relais
DHCP à la page 102.
Pour utiliser plusieurs adresses IP sur une même interface réseau physique, voir Configurer un
réseau secondaire à la page 104.
Pour plus d’informations sur les configurations VLAN, voir À propos des réseaux locaux virtuels
(VLAN) à la page 113.
Pour supprimer une interface de votre configuration, voir Désactiver une interface à la page 101.
6. Configurez votre interface en suivant les indications de l’une des rubriques ci-dessus.
7. Cliquez sur Enregistrer.
Désactiver une interface
1. Sélectionnez la Configuration > réseau.
La boîte de dialogue Configuration du réseau s’affiche.
Guide de l’utilisateur
101
Définition et configuration réseau
2. Sélectionnez l’interface à désactiver. Cliquez sur Configurer.
La boîte de dialogue Paramètres de l’interface s’ouvre.
3. Dans la liste déroulante Type d’interface, sélectionnez Désactivée. Cliquez sur OK.
Dans la boîte de dialogue Configuration du réseau, l’interface apparaît maintenant comme étant
Désactivée.
Configurer le relais DHCP
Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les
ordinateurs des réseaux approuvés ou facultatifs. Vous pouvez utiliser le relais DHCP pour obtenir les
adresses IP des ordinateurs d’un réseau approuvé ou facultatif. Avec cette fonctionnalité, Firebox envoie
des requêtes DHCP à un serveur d’un autre réseau.
Si le serveur DHCP que vous souhaitez utiliser n’est pas sur un réseau protégé par votre périphérique
WatchGuard, vous devez configurer un tunnel VPN entre votre périphérique WatchGuard et le serveur
DHCP pour que cette option fonctionne correctement.
Note Vous ne pouvez pas utiliser le relais DHCP sur une interface sur laquelle FireCluster
est activé.
Pour configurer le relais DHCP :
1. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
2. Sélectionnez une interface approuvée ou facultative et cliquez sur Configurer.
3. Danslalistedéroulante situéeendessousde l’adressede l’interface IP,sélectionnezUtiliserlerelais
DHCP.
4. Saisissez l’adresse IP du serveur DHCP dans le champ correspondant. Veillez à Ajouter un itinéraire
statique sur le serveur DHCP, si nécessaire.
5. Cliquez sur Enregistrer.
Limiter le trafic réseau par adresse MAC
Vous pouvez utiliser la liste des adresses MAC pour gérer les périphériques autorisés à envoyer du trafic sur
l’interface réseau que vous indiquez. Lorsque vous activez cette fonction, votre périphérique WatchGuard
vérifie l’adresse MAC de chaque ordinateur ou périphérique qui se connecte à l’interface indiquée. Si
l’adresse MAC de ce périphérique ne figure pas dans la liste de contrôle d’accès MAC de cette interface, le
périphérique ne peut pas envoyer de trafic.
Cette fonction est particulièrement utile pour éviter tout accès non autorisé à votre réseau depuis un lieu à
l’intérieur de votre bureau. Toutefois, vous devez mettre à jour la liste de contrôle d’accès MAC pour
chaque interface lorsqu’un nouvel ordinateur autorisé est ajouté au réseau.
Note Si vous choisissez de restreindre l’accès par adresse MAC, vous devez inclure
l’adresse MAC de l’ordinateur qui sert à gérer votre périphérique WatchGuard.
Pour activer le contrôle d’accès MAC pour une interface réseau :
102
WatchGuard System Manager
Définition et configuration réseau
1. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
2. Sélectionnez l’interface sur laquelle vous souhaitez activer le contrôle d’accès MAC, puis cliquez sur
Configurer.
La page Configuration d’interface apparaît.
3. Sélectionnez l’onglet MAC Contrôle d’accès.
4. Cochez la case Limiter l’accès par adresse MAC.
5. Saisissez l’adresse MAC de l’ordinateur ou du périphérique de manière à fournir l’accès à l’interface
indiquée.
6. (Facultatif) Saisissez le nom de l’ordinateur ou du périphérique pour l’identifier dans la liste.
7. Cliquez sur Ajouter.
Répétez les étapes 5-7 pour ajouter d’autres ordinateurs ou périphériques à la liste de contrôle d’accès MAC.
Ajouter Serveurs WINS et Adresses du serveur DNS
Votre périphérique Firebox partage les adresses IP de serveur WINS (Windows Internet Name Server) et
DNS (Domain Name System) pour certaines fonctions. Il s’agit de DHCP et de Mobile VPN. Les serveurs
WINS et DNS doivent être accessibles depuis l’interface Firebox approuvée.
Ces informations sont utilisées pour deux raisons :
n
n
Firebox utilise le serveur DNS pour résoudre les noms en adresses IP afin que les VPN IPSec, le
spamBlocker, Gateway AV et les fonctionnalités IPS fonctionnent correctement.
Les entrées WINS et DNS sont utilisées par les clients DHCP sur le réseau approuvé et le réseau
facultatif, ainsi que par les utilisateurs de Mobile VPN, pour résoudre les requêtes DNS.
Assurez-vous d’utiliser uniquement un serveur WINS et un serveur DNS internes pour DHCP et Mobile VPN.
Ainsi, vous aurez l’assurance de ne pas créer des stratégies dont les propriétés de configuration empêchent
les utilisateurs de se connecter au serveur DNS.
Guide de l’utilisateur
103
Définition et configuration réseau
1. Sélectionnez Réseau > Interfaces.
2. Accédez à la section Serveurs DNS et Serveurs WINS.
3. Dans la zone de texte Serveur DNS ou Serveur WINS, saisissez les adresses principale et secondaire
de chaque serveur WINS et DNS.
4. Cliquez sur Ajouter.
5. Répétez les étapes 3–4 pour spécifier jusqu’à trois serveurs DNS.
6. (Facultatif) Dans la zone de texte Nom de domaine, saisissez le nom de domaine qu’un client DHCP
doit utiliser avec les noms non qualifiés tels que watchguard_mail.
Configurer un réseau secondaire
Un réseau secondaire est un réseau qui partage l’un des réseaux physiques utilisés par les interfaces du
périphérique Firebox ou XTM. Lorsque vous ajoutez un réseau secondaire, vous ajoutez un alias IP à
l’interface. L’alias IP est la passerelle par défaut de tous les ordinateurs du réseau secondaire. Le réseau
secondaire indique au périphérique Firebox ou XTM qu’un autre réseau est disponible sur son interface.
Par exemple, si vous configurez un périphérique Firebox ou XTM en mode d’insertion, vous donnez à
chaque interface Firebox ou XTM la même adresse IP. Toutefois, vous utilisez probablement un ensemble
d’adresses IP différent sur votre réseau approuvé. Vous pouvez ajouter ce réseau privé en tant que réseau
secondaire à l’interface approuvée de votre périphérique Firebox ou XTM. Lorsque vous ajoutez un réseau
secondaire, vous créez un itinéraire depuis une adresse IP du réseau secondaire vers l’adresse IP de
l’interface du périphérique Firebox ou XTM.
Si le périphérique Firebox ou XTM est configuré avec une adresse IP statique sur une interface externe,
vous pouvez également ajouter une adresse IP sur le même sous-réseau que l’interface externe principale
en tant que réseau secondaire. Vous pouvez ensuite configurer la traduction d’adresses réseau statique
pour plusieurs types de serveurs identiques. Par exemple, vous configurez un réseau secondaire externe
avec une deuxième adresse IP publique si vous disposez de deux serveurs SMTP publics et souhaitez
configurer une règle de traduction d’adresses réseau statique pour chacun d’eux.
104
WatchGuard System Manager
Définition et configuration réseau
Vous pouvez ajouter jusqu’à 2 048 réseaux secondaires par interface Firebox ou XTM. Vous pouvez utiliser
des réseaux secondaires avec une configuration réseau d’insertion ou routée. Vous pouvez également
ajouter un réseau secondaire à une interface externe d’un périphérique Firebox ou XTM si cette interface
externe est configurée pour obtenir son adresse IP via PPPoE ou DHCP.
Pour définir une adresse IP secondaire, vous devez avoir :
n
n
Une adresse IP inutilisée du réseau secondaire que vous attribuez à l’interface de périphérique
Firebox ou XTM à laquelle il se connecte
Une adresse IP inutilisée du même réseau que l’interface externe du périphérique Firebox ou XTM
Pour définir une adresse IP secondaire :
1. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
2. Sélectionnez l’interface du réseau secondaire et cliquez sur Configurer ou double-cliquez sur une
interface.
La page Configuration d’interface apparaît.
3. Dans la section Réseaux secondaires, saisissez une adresse IP non attribuée d’un hôte en notation de
barre oblique depuis le réseau secondaire. Cliquez sur Ajouter. Répétez cette opération pour
ajouter des réseaux secondaires supplémentaires.
4. Cliquez sur Enregistrer.
5. Cliquez de nouveau sur Enregistrer.
Note Assurez-vous d’ajouter correctement les adresses du réseau secondaire. Le
périphérique Firebox ou XTM ne vous avertit pas en cas d’erreur. Il est déconseillé
de créer un sous-réseau comme réseau secondaire sur une interface faisant partie
d’un réseau plus étendu situé sur une interface différente. Si vous le faites, le réseau
risque d’être attaqué et de ne pas fonctionner correctement.
À propos des paramètres d’interface
Vous pouvez utiliser plusieurs paramètres d’interface Firebox avancés :
Paramètres de carte réseau
configure les paramètres de connexion (vitesse et mode duplex) des interfaces Firebox en mode
manuel ou automatique. Il est conseillé de conserver la vitesse de connexion configurée pour la
négociation automatique. Si vous choisissez l’option de configuration manuelle, assurez-vous que les
paramètres de connexion (vitesse et mode duplex) du périphérique auquel Firebox se connecte
sont identiques à ceux de Firebox. N’utilisez cette option que si vous devez ignorer les paramètres
d’interface automatiques de Firebox pour accéder aux autres périphériques du réseau.
Guide de l’utilisateur
105
Définition et configuration réseau
Définir la bande passante de l’interface en sortie
Lorsque vous utilisez les paramètres de gestion du trafic pour garantir la bande passante aux
stratégies, ce paramètre garantit que vous ne réservez pas plus de bande passante qu’il n’en existe
pour une interface. Ce paramètre vous permet également de vous assurer que la somme des
paramètres de bande passante garantie ne sature pas la liaison, ce qui empêcherait la transmission
de tout trafic non garanti.
Activer le marquage QoS pour une interface
crée différentes catégories de services pour différents types de trafic réseau. Vous pouvez définir le
comportement de marquage par défaut lorsque le trafic sort d’une interface. Ces paramètres
peuvent être remplacés par des paramètres définis pour une stratégie.
Définir Bit DF pour IPSec
Détermine le paramètre du bit Don’t Fragment (DF) pour IPSec.
Paramètre PMTU pour IPSec
(interfaces externes uniquement) contrôle la durée pendant laquelle Firebox diminue l’unité
maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de
fragmentation d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur
Internet.
Utiliser la liaison d’adresse MAC statique
Utilise les adresses matérielles (MAC) pour contrôler l’accès à une interface Firebox.
Paramètres de carte réseau
1. Sélectionnez Réseau > Interfaces.
2. Sélectionnez l’interface que vous souhaitez configurer. Cliquez sur Configurer.
3. Cliquez sur Paramètres généraux avancés.
4. Dans la liste déroulante Vitesse de la connexion, sélectionnez Négociation automatique si vous
souhaitez que le périphérique WatchGuard sélectionne la meilleure vitesse réseau. Vous pouvez
également sélectionner l’une des vitesses semi-duplex ou duplex intégral si l’une ou l’autre est
compatible avec votre autre équipement réseau.
Négociation automatique est le paramètre par défaut. Il est fortement recommandé de ne pas
changer ce paramètre sauf si le service de support technique vous l’a conseillé. Si vous définissez la
vitesse de connexion manuellement et que d’autres périphériques de votre réseau ne prennent pas
en charge la vitesse que vous sélectionnez, cela peut entraîner un conflit qui empêche l’interface
Firebox de rétablir la connexion après le basculement.
106
WatchGuard System Manager
Définition et configuration réseau
5. Dans la zone de texte Taille maximale de l’unité de transmission (MTU) , sélectionnez la taille
maximale des paquets, en octets, qui peuvent être transmis par l’interface. Il est conseillé d’utiliser
la valeur par défaut (1 500 octets), sauf si votre matériel de réseau requiert une taille de paquet
différente.
Vous pouvez définir la valeur MTU de 68 (minimum) à 9000 (maximum).
6. Pour changer l’adresse MAC de l’interface externe, cochez la case Remplacer l’adresse MAC et
saisissez la nouvelle adresse MAC.
Pour plus d’informations sur les adresses MAC, voir la section suivante.
7. Cliquez sur Enregistrer.
8. Cliquez de nouveau sur Enregistrer.
À propos des adresses MAC
Certains fournisseurs de services Internet (ISP) utilisent une adresse MAC pour identifier les ordinateurs sur
leur réseau. Chaque adresse MAC obtient une adresse IP statique. Si votre FSI fait appel à cette méthode
pour identifier votre ordinateur, vous devez modifier l’adresse MAC de l’interface externe du périphérique
WatchGuard. Utilisez l’adresse MAC du modem câble, du modem ADSL ou du routeur qui s’est directement
connecté au FSI dans la configuration d’origine.
L’adresse MAC doit présenter les caractéristiques suivantes :
n
n
Elle doit comporter 12 caractères hexadécimaux d’une valeur comprise entre 0 et 9 ou entre « a »
et « f ».
L’adresse MAC doit fonctionner avec :
Une ou plusieurs adresses du réseau externe.
L’adresse MAC du réseau approuvé pour le périphérique.
o L’adresse MAC du réseau facultatif pour le périphérique.
o
o
n
L’adresse MAC ne doit pas être définie sur 000000000000 ou ffffffffffff.
Si la case à cocher Remplacer l’adresse MAC n’est pas sélectionnée lors du redémarrage du périphérique
WatchGuard, le périphérique utilise l’adresse MAC par défaut du réseau externe.
Pour éviter les problèmes d’adresses MAC, le périphérique WatchGuard s’assure que l’adresse MAC que
vous attribuez à l’interface externe est unique sur le réseau. Si le périphérique WatchGuard détecte un
périphérique qui utilise la même adresse MAC, il réutilise l’adresse MAC standard de l’interface externe
puis redémarre.
Définir Bit DF pour IPSec
Lorsque vous configurez l’interface externe, sélectionnez l’une des trois options pour déterminer le
paramètre de la section Bit DF pour IPSec.
Guide de l’utilisateur
107
Définition et configuration réseau
Copier
Sélectionnez Copier pour appliquer le paramètre de bit DF de la structure d’origine du paquet
chiffré IPSec. Si une structure n’a pas de bits DF définis, Fireware XTM ne définit pas les bits DF et
fragmente le paquet si nécessaire. Si une structure est définie pour ne pas être fragmentée,
Fireware XTM encapsule l’intégralité de la structure et définit les bits DF du paquet chiffré pour faire
correspondre la structure d’origine.
Définir
Sélectionnez Définir si vous ne souhaitez pas que le périphérique Firebox fragmente la structure,
quel que soit le paramètre de bit d’origine. Si un utilisateur doit établir des connexions IPSec à
Firebox derrière un autre périphérique Firebox, vous devez désactiver cette case à cocher pour
activer la fonction de transmission IPSec. Par exemple, des employés itinérants travaillant sur un site
client équipé d’un périphérique Firebox peuvent se connecter à leur réseau à l’aide d’IPSec. Pour
que votre périphérique Firebox local établisse correctement la connexion IPSec sortante, vous
devez également ajouter une stratégie IPSec.
Effacer
Sélectionnez Effacer pour diviser la structure en éléments pouvant tenir dans un paquet IPSec avec
en-tête ESP ou AH, quel que soit le paramètre de bit d’origine.
Paramètre PMTU pour IPSec
Ce paramètre d’interface avancé concerne les interfaces externes uniquement.
Le Path Maximum Transmission Unit (PMTU) contrôle la durée pendant laquelle Firebox diminue l’unité
maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de fragmentation
d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur Internet.
Il est conseillé de conserver le paramètre par défaut pour protéger Firebox si un routeur présente un
paramètre MTU très faible sur Internet.
Utiliser la liaison d’adresse MAC statique
Vous pouvez contrôler l’accès à votre périphérique WatchGuard à l’aide d’une adresse matérielle (MAC).
Cette fonctionnalité peut protéger votre réseau des attaques ARP des pirates informatiques. Ces derniers
essaient de changer l’adresse MAC des ordinateurs pour faire correspondre un périphérique réel de votre
réseau. Pour utiliser la liaison d’adresse MAC, vous devez associer une adresse IP sur l’interface indiquée
avec une adresse MAC. Si cette fonctionnalité est activée, les ordinateurs avec l’adresse MAC indiquée ne
peuvent envoyer et recevoir des informations qu’avec l’adresse IP associée.
108
WatchGuard System Manager
Définition et configuration réseau
Vous pouvez également utiliser cette fonctionnalité pour limiter tout le trafic réseau aux périphériques qui
correspondent aux adresses MAC et IP de cette liste. Ce procédé est semblable à la fonctionnalité de
contrôle d’accès MAC.
Pour plus d’informations, voir Limiter le trafic réseau par adresse MAC à la page 102.
Note Si vous choisissez de restreindre l’accès au réseau par adresse MAC, n’oubliez pas
d’inclure l’adresse MAC de l’ordinateur qui sert à gérer votre périphérique
WatchGuard.
Pour configurer les paramètres de liaison d’adresse MAC statique :
1. Sélectionnez Réseau > Interfaces. Sélectionnez une interface, puis cliquez sur Configurer.
2. Cliquez sur Avancé.
3. Entrez une adresse IP et une paire d’adresses MAC. Cliquez sur Ajouter. Répétez cette opération
pour ajouter des paires supplémentaires.
4. Si vous souhaitez que cette interface ne transmette que le trafic correspondant à une entrée de la
liste Liaison d’adresse MAC/IP statique, cochez la case N’autoriser que le trafic envoyé
vers/depuis ces adresses MAC/IP.
Si vous ne souhaitez pas bloquer le trafic qui ne correspond à aucune entrée de la liste,
désélectionnez la case à cocher.
Rechercher l’adresse MAC d’un ordinateur
Une adresse MAC est également appelée adresse matérielle ou adresse Ethernet. C’est un identifiant
unique et propre à la carte réseau de l’ordinateur. Une adresse MAC a généralement l’aspect suivant : XXXX-XX-XX-XX-XX, chaque X représentant un chiffre ou une lettre de A à F. Pour trouver l’adresse MAC d’un
ordinateur de votre réseau :
1. Dans l’interface de ligne de commande de l’ordinateur dont vous recherchez l’adresse MAC,
saisissez ipconfig /all (Windows) ou ifconfig (OS X ou Linux).
2. Recherchez l’entrée de l’« adresse physique » de l’ordinateur.
Guide de l’utilisateur
109
Définition et configuration réseau
À propos des ponts LAN
Un pont réseau établit la connexion entre plusieurs interfaces physiques réseau de votre périphérique
WatchGuard. Un pont peut être utilisé de la même manière qu’une interface réseau physique normale. Par
exemple, vous pouvez configurer le protocole DHCP pour attribuer des adresses IP aux clients d’un pont ;
vous pouvez également l’utiliser en tant qu’alias dans les stratégies de pare-feu.
Pour utiliser un pont, vous devez :
1. Créer une configuration de pont réseau.
2. Attribuer une interface réseau à un pont.
Si vous souhaitez créer un pont pour tout le trafic entre deux interfaces, il est recommandé d’utiliser le
mode pont pour votre configuration réseau.
Créer une configuration de pont réseau
Pour utiliser un pont, vous devez créer une configuration de pont et l’attribuer à une ou plusieurs interfaces
réseau au pont.
1. Sélectionnez Réseau > Pont.
La page Pont apparaît.
2. Cliquez sur Nouveau.
110
WatchGuard System Manager
Définition et configuration réseau
3. Dans l’onglet Paramètres de pont, saisissez le nom et la description (facultatif) de la configuration
de pont.
4. Sélectionnez une zone de sécurité dans la liste déroulante et saisissez en notation de barre oblique l’
adresse IP du pont.
Le pont est ajouté à l’alias de la zone de sécurité que vous indiquez.
5. Pour ajouter des interfaces réseau, cochez la case située à côté de chaque interface réseau que
vous souhaitez ajouter à la configuration de pont.
6. Pour configurer les paramètres DHCP, sélectionnez l’onglet DHCP . Sélectionnez Serveur DHCP ou
Relais DHCP dans la liste déroulante Mode DHCP.
Pour plus d’informations sur la configuration DHCP, voir Configurer DHCP en mode de routage mixte
à la page 90 ou Configurer le relais DHCP à la page 102.
7. Sivoussouhaitezajouter desréseauxsecondairesàlaconfigurationde pont,sélectionnezl’onglet
Secondaire.
Saisissezl’adresse IPennotationde barre oblique etcliquezsur Ajouter.
Pour plusd’informationssur lesréseauxsecondaires,voir Configurer unréseausecondaireàlapage 104.
8. Cliquez sur Enregistrer.
Attribuer une interface réseau à un pont
Pour utiliser un pont, vous devez créer une configuration de pont et l’attribuer à une ou plusieurs interfaces
réseau. Vous pouvez créer la configuration de pont dans la boîte de dialogue Configuration du réseau ou
lorsque vous configurez une interface réseau.
1. Sélectionnez Réseau > Pont.
La page Pont apparaît.
2. Sélectionnez une configuration de pont dans la liste Paramètres de pont, puis cliquez sur
Configurer.
3. Cochez la case située à côté de chaque interface réseau que vous souhaitez ajouter au pont.
4. Cliquez sur Enregistrer.
À propos des fichiers
A L’itinéraire est la séquence des périphériques par lesquels passe le trafic réseau envoyé. Chaque
périphérique de cette séquence, généralement appelé routeur, stocke les informations concernant les
réseaux auxquels il est connecté dans une table de routage. Ces informations sont utilisées pour
transmettre le trafic réseau vers le routeur suivant de l’itinéraire.
Votre périphérique WatchGuard met à jour automatiquement sa table de routage lorsque vous modifiez les
paramètres d’interface réseau, qu’une connexion réseau physique est défaillante ou lorsqu’il redémarre.
Pour mettre à jour la table de routage ultérieurement, vous devez utiliser le routage dynamique ou ajouter
un itinéraire statique. Les itinéraires statiques peuvent améliorer les performances, mais si la structure
réseau fait l’objet d’une modification ou si une connexion est défaillante, le trafic réseau ne peut pas
accéder à sa destination. Le routage dynamique garantit que votre trafic réseau peut atteindre sa
destination, mais il est plus difficile à configurer.
Guide de l’utilisateur
111
Définition et configuration réseau
Ajouter un itinéraire statique
Un itinéraire est la séquence des périphériques que le trafic réseau doit traverser de sa source jusqu’à sa
destination. Un routeur est un périphérique de cet itinéraire qui détecte le point réseau suivant au travers
duquel le trafic réseau est acheminé vers sa destination. Chaque routeur est connecté à deux réseaux au
minimum. Un paquet peut traverser un certain nombre de points réseau avec des routeurs avant
d’atteindre sa destination.
Vous pouvez créer des itinéraires statiques pour envoyer du trafic vers des hôtes ou réseaux spécifiques. Le
routeur peut ensuite envoyer le trafic depuis l’itinéraire spécifié jusqu’à la destination correcte. Si vous avez
un réseau complet situé derrière un routeur sur votre réseau local, ajoutez un itinéraire réseau. Si vous
n’ajoutez aucun itinéraire à un réseau distant, tout le trafic qui lui est destiné est envoyé à la passerelle par
défaut de Firebox.
Avant de commencer, vous devez bien saisir la différence entre un itinéraire réseau et un itinéraire hôte.
Un itinéraire réseau est un itinéraire vers un réseau complet qui se trouve derrière un routeur, sur votre
réseau local. Utilisez un itinéraire hôte si un hôte uniquement se trouve derrière le routeur ou si vous
souhaitez acheminer le trafic vers un seul hôte.
1. Sélectionnez Réseau > Itinéraires.
La page Itinéraires apparaît.
2. Dans la liste déroulante Type, sélectionnez IP de l’hôte ou IP du réseau.
n
n
SélectionnezIPduréseau sivousavezunréseaucompletderrière unrouteur sur votre réseaulocal.
Sélectionnez IP de l’hôte si un seul hôte se trouve derrière le routeur ou si vous souhaitez
acheminer le trafic par un seul hôte.
3. Dans la zone de texte Envoyer à, saisissez l’adresse IP de destination.
4. Dans la zone de texte Passerelle, saisissez l’adresse IP de l’interface locale du routeur.
L’adresse IP de la passerelle doit être une adresse IP gérée par votre périphérique WatchGuard.
112
WatchGuard System Manager
Définition et configuration réseau
5. Dans la zone de texte Métrique, saisissez ou sélectionnez une métrique pour l’itinéraire. Les
itinéraires avec métriques faibles ont la priorité la plus élevée.
6. Cliquez sur Ajouter.
7. Pour ajouter un autre itinéraire statique, répétez les étapes 2–4.
Pour supprimer un itinéraire statique, sélectionnez l’adresse IP dans la liste et cliquez sur Supprimer.
8. Cliquez sur Enregistrer.
À propos des réseaux locaux virtuels (VLAN)
Un réseau VLAN 802.1Q (réseau local virtuel) est un ensemble d’ordinateurs appartenant à un LAN ou à
des LAN regroupés dans un seul domaine de diffusion, indépendamment de leur zone géographique. Il
permet de regrouper des périphériques selon leurs caractéristiques de trafic et non pas par proximité
physique. Les membres d’un VLAN peuvent partager des ressources comme s’ils étaient connectés au
même LAN. Les VLAN servent également à diviser un commutateur en plusieurs segments. Supposons, par
exemple, que votre entreprise a des employés à plein temps et des intérimaires qui utilisent le même LAN.
Il est alors souhaitable de limiter les intérimaires à un sous-réseau de ressources utilisées par les employés
à plein temps. Il est tout aussi préférable d’utiliser une stratégie de sécurité plus restrictive pour les
intérimaires. Pour ce faire, il convient de diviser l’interface en deux VLAN.
Les VLAN vous permettent de diviser votre réseau en groupes sous la forme d’une structure hiérarchique
et logique et non pas physique. Cela permet de dégager le personnel informatique des restrictions
associées au modèle de réseau et à l’infrastructure de câblage. Les VLAN facilitent la conception, la mise en
œuvre et la gestion de votre réseau. Les VLAN étant basés sur des logiciels, vous pouvez facilement et
rapidement adapter votre réseau aux ajouts, déplacements et réorganisations de matériel.
Puisque les VLAN utilisent des ponts et des commutateurs, les diffusions sont plus efficaces dans la mesure
où elles ne sont transmises qu’aux utilisateurs connectés au VLAN, et non à tous ceux qui sont connectés.
Par conséquent, le trafic transmis sur vos routeurs s’en trouve réduit, ce qui implique une latence de
routage moins importante. Vous pouvez configurer le périphérique Firebox pour qu’il agisse en tant que
serveur DHCP pour les périphériques du réseau VLAN ou utiliser le relais DHCP avec un serveur DHCP
distinct.
Configuration logicielle requise pour les VLAN et restrictions
associées
n
n
n
n
La mise en œuvre des VLAN WatchGuard ne prend pas en charge le protocole de gestion des
liaisons Spanning Tree.
Si votre périphérique Firebox est configuré en mode d’insertion, vous ne pouvez pas utiliser les VLAN.
Une seule interface physique peut être un membre VLAN non marqué d’un seul VLAN. Par
exemple, si l’interface Externe-1 est un membre non marqué d’un VLAN appelé VLAN-1, elle ne
peut pas être en même temps un membre non marqué d’un autre VLAN. Par ailleurs, les interfaces
externes peuvent être membres d’un seul VLAN.
Les paramètres de configuration multi-WAN sont appliqués au trafic VLAN. Toutefois, il peut être
plus facile de gérer une bande passante lorsque vous n’utilisez que des interfaces physiques dans
une configuration multi-WAN.
Guide de l’utilisateur
113
Définition et configuration réseau
n
n
n
Le modèle et la licence de votre périphérique déterminent le nombre de VLAN que vous pouvez
créer.
Pour afficher le nombre de VLAN que vous pouvez ajouter à votre configuration, sélectionnez État
du système > Licence.
Recherchez la ligne intitulée Nombre total d’interfaces VLAN.
Pour optimiser les performances, il est recommandé de ne pas créer plus de 10 VLAN qui
fonctionnent sur des interfaces externes.
Tous les segments du réseau auxquels vous souhaitez ajouter un VLAN doivent avoir des adresses IP
appartenant au réseau VLAN.
Note Si vous définissez des VLAN, ignorez les messages indiquant que la version 802.1d
est inconnue. Ils sont générés car la mise en œuvre des VLAN WatchGuard ne
prend pas en charge le protocole de gestion des liaisons Spanning Tree.
À propos de marquage
Pour activer des VLAN, vous devez déployer des commutateurs VLAN sur chaque site. Les interfaces des
commutateurs insèrent des indicateurs au niveau de la couche 2 de la trame de données qui identifie un
paquet réseau en tant que partie d’un VLAN spécifié. Ces indicateurs ajoutent quatre octets à l’en-tête
Ethernet pour identifier la trame comme appartenant à un VLAN en particulier. Le balisage est spécifié par
la norme IEEE 802.1Q.
La définition d’un VLAN prévoit la disposition des trames de données marquées et non marquées. Vous
devez indiquer si le VLAN reçoit des données marquées, non marquées ou pas de données depuis chacune
des interfaces activées. Votre périphérique WatchGuard peut insérer des indicateurs pour les paquets
envoyés à un commutateur prenant en charge les VLAN. Votre périphérique peut également supprimer
des indicateurs dans les paquets envoyés à un segment de réseau qui appartient à un VLAN sans
commutateur.
Définir un nouveau 802.1Q
Avant de définir un nouveau VLAN, vous devez comprendre les concepts des VLAN et les restrictions qui
leur sont associées, en vous reportant si nécessaire à À propos des réseaux locaux virtuels (VLAN) à la page
113. Pour pouvoir créer une configuration VLAN, vous devez également changer au moins une interface
pour qu’elle soit de type VLAN.
Lorsque vous définissez un nouveau VLAN, vous ajoutez une entrée dans le tableau des paramètres VLAN.
Vous pouvez modifier l’affichage de ce tableau :
n
n
n
n
Cliquez sur un en-tête de colonne pour trier le tableau en fonction des valeurs de cette colonne.
Le tableau peut être trié dans l’ordre ascendant ou descendant.
Les valeurs de la colonne Interface correspondent aux interfaces physiques membres du VLAN en
question.
Le numéro d’interface en gras identifie l’interface qui envoie des données non marquées à ce VLAN.
Pour créer un réseau VLAN :
1. Sélectionnez Réseau > VLAN.
La page VLAN apparaît.
114
WatchGuard System Manager
Définition et configuration réseau
2. Vous voyez apparaître un tableau répertoriant les VLAN actuellement définis par les utilisateurs,
ainsi que leurs paramètres :
Vous pouvez également configurer les interfaces réseau du tableau Interfaces.
3. Cliquez sur Nouveau.
La page Paramètres VLAN apparaît.
4.
5.
6.
7.
Dans le champ , saisissez le nom du VLAN.
(Facultatif) Dans le champ Description, saisissez la description du VLAN.
Dans le champ ID de VLAN, saisissez ou sélectionnez la valeur du VLAN.
Dans le champ Zone de sécurité, sélectionnez Approuvée, Facultative ou Externe.
Les zones de sécurité correspondent aux alias des zones de sécurité des interfaces. Par exemple, les
VLAN de type approuvé sont gérés par des stratégies qui utilisent l’alias Any-Trusted (ToutApprouvé) comme source ou destination.
8. Dans le champ Adresse IP, saisissez l’adresse de la passerelle VLAN.
Utiliser DHCP sur un VLAN
Vous pouvez configurer le périphérique Firebox en tant que serveur DHCP pour les ordinateurs de votre
réseau VLAN.
1. Dans l’onglet Réseau, sélectionnez Serveur DHCP dans la liste déroulante Mode DHCPpour
configurer Firebox comme serveur DHCP sur votre réseau VLAN. Si nécessaire, saisissez le nom du
domaine pour le fournir aux clients DHCP.
2. Pour ajouter un pool d’adresses IP, saisissez les première et dernière adresses IP du pool. Cliquez
sur Ajouter.
Vous pouvez configurer un maximum de six pools d’adresses.
Guide de l’utilisateur
115
Définition et configuration réseau
3. Pour réserver une adresse IP spécifique pour un client, saisissez l’adresse IP, le nom de réservation
et l’adresse MAC du périphérique. Cliquez sur Ajouter.
4. Pour changer la durée du bail par défaut, sélectionnez un autre intervalle dans la liste déroulante
située en haut de la page.
Il s’agit de l’intervalle de temps pendant lequel le client DHCP peut utiliser une adresse IP qu’il obtient du
serveur DHCP. Lorsque la durée du bail est sur le point d’arriver à expiration, le client envoie une requête au
serveur DHCP pour obtenir un nouveau bail.
5. Pour ajouter des serveurs DNS ou WINS à votre configuration DHCP, saisissez l’adresse du serveur
dans le champ situé à côté de la liste. Cliquez sur Ajouter.
6. Pour supprimer un serveur de la liste, sélectionnez l’entrée et cliquez sur Supprimer.
Utiliser Relais DHCP sur un VLAN
1. Dans l’onglet Réseau, sélectionnez Relais DHCP dans la liste déroulante Mode DHCP.
2. Saisissezl’adresse IPduserveur DHCP.Veillez,sinécessaire,àajouter unitinéraire jusqu’auserveur DHCP.
Vous pouvez maintenant passer aux étapes suivantes et Attribuer des interfaces à un 802.1Q.
Attribuer des interfaces à un 802.1Q
Lorsque vous créez un VLAN, vous devez définir le type de données qu’il reçoit depuis les interfaces de
Firebox. Toutefois, vous pouvez aussi configurer une interface de sorte qu’elle devienne membre d’un
VLAN actuellement défini, ou encore supprimer une interface d’un VLAN. Vous devez changer un type
d’interface en VLAN avant de pouvoir l’utiliser dans une configuration VLAN.
1. Sélectionnez Réseau > VLAN.
La page VLAN apparaît.
2. Cliquez sur Nouveau ou sélectionnez une interface VLAN, puis cliquez sur Configurer.
3. Dans la liste de sélection d’un paramètre d’indicateur VLAN pour chaque interface, cliquez sur la
colonne Marquée/Non marquée à côté d’une interface et sélectionnez une option dans la liste
déroulante :
n
n
n
Trafic marqué — L’interface envoie et reçoit le trafic marqué.
Trafic non marqué — L’interface envoie et reçoit le trafic non marqué.
Aucun trafic — Supprime l’interface de cette configuration VLAN.
4. Cliquez sur Enregistrer.
116
WatchGuard System Manager
Définition et configuration réseau
Exemples de configuration réseau
Exemple : Configurer deux réseaux locaux VLAN (Virtual Local
Area Network) sur la même interface
Sur un périphérique Firebox ou XTM, une interface réseau est membre de plusieurs VLAN lorsque le
commutateur qui se connecte à l’interface achemine du trafic issu de plusieurs VLAN. Cet exemple montre
comment connecter un commutateur configuré pour deux différents VLAN à une interface unique sur le
périphérique Firebox ou XTM.
Le diagramme suivant illustre la configuration associée à cet exemple.
Dans cet exemple, les ordinateurs des deux VLAN se connectent au même commutateur 802.1Q et ce
dernier se connecte à l’interface 3 sur le périphérique Firebox ou XTM.
Les instructions suivantes vous expliquent comment configurer ces VLAN :
Configurer l’interface 3 en tant qu’interface VLAN
1. Sélectionnez Réseau > Interfaces.
2. Dans la zone de texte Nom de l’interface (Alias), saisissez vlan.
3. Sélectionnez l'interface numéro 3. Cliquez sur Configurer.
Guide de l’utilisateur
117
Définition et configuration réseau
1. Dans la liste déroulante Type d’interface, sélectionnez VLAN.
2. Cliquez sur Enregistrer.
Définissez les deux VLAN et attribuez-les à l’interface VLAN
1.
2.
3.
4.
5.
6.
7.
8.
118
Sélectionnez Réseau > VLAN.
Cliquez sur Nouveau.
Dans la zone de texte Nom (Alias), saisissez le nom du VLAN. Dans cet exemple, saisissez VLAN10 .
Dans la zone de texte Description, saisissez une description. Dans cet exemple, saisissez
Comptabilité .
Dans la zone de texte ID de VLAN, saisissez le numéro du VLAN configuré pour le VLAN sur le
commutateur. Dans cet exemple, saisissez 10 .
Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité. Dans cet exemple,
sélectionnez Approuvée.
Dans la zone de texte Adresse IP, saisissez l’adresse IP à utiliser pour le périphérique Firebox ou XTM
sur ce VLAN. Dans cet exemple, saisissez 192.168.10.1/24 .
Dans la liste de sélection d’un paramètre d’indicateur VLAN pour chaque interface, cliquez sur la
colonne Marquée/Non marquée située à côté d’une interface et sélectionnez Marqué dans la liste
déroulante.
WatchGuard System Manager
Définition et configuration réseau
9.
10.
11.
12.
13.
14.
15.
Cliquez sur Enregistrer.
Cliquez sur Nouveau pour ajouter le deuxième VLAN.
Dans la zone de texte Nom (Alias), saisissez VLAN20 .
Dans la zone de texte Description, saisissez Ventes .
Dans la zone de texte ID de VLAN, saisissez 20 .
Dans la liste déroulante Zone de sécurité, sélectionnez Facultative.
Dans le champ Adresse IP, saisissez l’adresse IP à utiliser pour le périphérique Firebox ou XTM de ce
VLAN. Dans cet exemple, saisissez 192.168.20.1/24 .
16. Dans la liste de sélection d’un paramètre d’indicateur VLAN pour chaque interface, cliquez sur la
colonne Marqué/Nom marqué située à côté d’une interface et sélectionnez Marqué dans la liste
déroulante.
17. Cliquez sur Enregistrer.
18. Les deux VLAN figurent à présent dans la liste et sont configurés pour utiliser l’interface VLAN
définie.
Guide de l’utilisateur
119
Définition et configuration réseau
Utiliser Firebox X Edge avec le pont sans fil 3G Extend
Le pont sans fil WatchGuard 3G Extend ajoute la connectivité cellulaire 3G au périphérique Firebox X Edge
ou WatchGuard XTM 2 Series. Lorsque vous connectez l’interface externe de votre périphérique
WatchGuard au pont sans fil WatchGuard 3G Extend, les ordinateurs de votre réseau peuvent se connecter
sans fil à Internet par l’intermédiaire du réseau cellulaire 3G.
Le pont 3G Extend est proposé en deux modèles basés sur la technologie Top Global et Cradlepoint,
Utiliser le périphérique 3G Extend/Top Global MB5000K
Suivez ces étapes pour utiliser le pont sans fil 3G Extend avec le périphérique Firebox X Edge ou XTM 2
Series.
1. Configurez l’interface externe sur votre périphérique WatchGuard pour obtenir son adresse avec
PPPoE. Veillez à définir le nom d’utilisateur/mot de passe PPPoE sur public/public. Pour en savoir
plus sur la configuration de votre interface externe pour PPPoE, voir Configurer une interface
externe à la page 86.
2. Activer votre carte de données large bande. Voir les instructions fournies avec votre carte de
données large bande pour plus d’informations.
3. Préparez votre pont sans fil 3G Extend :
n
n
n
Insérezla carte de donnéeslarge bande dans l’emplacementadéquat sur le pontsans fil3G Extend
Branchez le pont sans fil 3G Extend
Vérifiez que les voyants LED sont actifs
4. Utilisez un câble Ethernet pour connecter le pont sans fil 3G Extend sur l’interface externe de votre
périphérique WatchGuard.
120
WatchGuard System Manager
Définition et configuration réseau
Il n’est pas nécessaire de changer les paramètres du périphérique 3G Extend avant de le connecter à votre
périphérique WatchGuard. Il est parfois nécessaire de connecter l’interface de gestion Web du
périphérique 3G Extend. Pour établir la connexion à l’interface Web 3G Extend, connectez votre ordinateur
directement au MB5000K avec un câble Ethernet et vérifiez que l’ordinateur est configuré pour accéder à
son adresse IP avec le protocole DHCP. Ouvrez votre navigateur Web et saisissez http://172.16.0.1 .
Établir la connexion avec un nom d’utilisateur/mot de passe défini sur public/public.
n
n
n
Pour fonctionner correctement avec votre périphérique WatchGuard, le pont sans fil 3G Extend doit
être configuré en mode de connexion automatique. Tous les périphériques 3G Extend/MB5000K
sont préconfigurés pour s’exécuter par défaut dans ce mode. Pour vérifier si votre périphérique 3G
Extend est configuré en mode de connexion automatique, connectez-le directement au
périphérique et sélectionnez Interfaces > Accès Internet. Sélectionnez l’interface WAN#0. Dans la
section Networking (Gestion de réseau), vérifiez dans la liste déroulante que le mode de connexion
est défini sur Auto.
Si votre carte sans fil 3G s’exécute sur le réseau cellulaire GPRS, il est peut-être nécessaire d’ajouter
un nom d’ouverture de session réseau et un mot de passe à la configuration de notre périphérique
3G Extend. Pour ajouter un nom d’ouverture de session réseau et un mot de passe, connectez-vous
au pont sans fil 3G Extend et sélectionnez Services > Manageable Bridge (Pont gérable).
Pour réinitialiser le périphérique MB5000K sur ses paramètres usine par défaut, connectez-vous au
pont sans fil 3G Extend et sélectionnez Système > Factory defaults (Paramètres usine par défaut).
Cliquez sur Oui.
Pour des raisons de sécurité, il est recommandé de changer le nom d’utilisateur/mot de passe PPPoE par
défaut public/public une fois le réseau activé et en cours d’exécution. Vous devez changer le nom
d’utilisateur et le mot de passe sur votre périphérique WatchGuard et sur votre pont sans fil 3G Extend.
n
n
Pour changer le nom d’utilisateur et le mot de passe PPPoE sur votre périphérique WatchGuard,
voir Configurer une interface externe à la page 86.
Pour changer le nom d’utilisateur et le mot de passe PPPoE sur le périphérique 3G Extend,
connectez-vous au périphérique et choisissez Services > Manageable Bridge (Pont gérable).
Le périphérique 3G Extend prend en charge plus de 50 cartes modem et options de plans de fournisseurs
de services Internet. Pour plus d’informations sur le produit Top Global, notamment le guide de l’utilisateur
du MB5000, accédez au site http://www.topglobaluse.com/support_mb5000.htm.
Utilisez le périphérique 3G Extend/Cradlepoint CBA250
Suivez ces étapes pour utiliser l’adaptateur large bande cellulaire 3G Extend Cradlepoint avec votre
périphérique WatchGuard Firebox X.
1. Suivez les instructions du Guide de démarrage rapide de Cradlepoint CBA250 pour configurer le
périphérique Cradlepoint.
2. Configurez l’interface externe sur votre périphérique WatchGuard pour obtenir son adresse avec
DHCP. Pour en savoir plus sur la configuration de votre interface externe pour PPPoE, voir
Configurer une interface externe à la page 86.
3. Utilisez un câble Ethernet pour connecter le périphérique Cradlepoint à l’interface externe du
périphérique Firebox.
Guide de l’utilisateur
121
Définition et configuration réseau
4. Démarrez (ou redémarrez) le périphérique WatchGuard.
Lorsque le périphérique Firebox démarre, il obtient l’adresse DHCP du périphérique Cradlepoint. Après
l’attribution d’une adresse IP, le périphérique Firebox peut se connecter à Internet par l’intermédiaire du
réseau large bande.
Le périphérique Cradlepoint prend en charge un grand nombre de périphériques sans fil large bande USB
ou ExpressCard. Pour obtenir la liste des périphériques pris en charge, voir
http://www.cradlepoint.com/support./cba250.
122
WatchGuard System Manager
7
Multi-WAN
À propos de l’utilisation de plusieurs interfaces
externes
Vous pouvez utiliser votre périphérique WatchGuard Firebox pour bénéficier de la prise en charge de la
redondance pour l’interface externe. Il s’agit d’une option bien utile si vous devez être constamment
connecté à Internet.
Avec le mode multiWAN, vous pouvez configurer un maximum de quatre interfaces externes, chacune sur
un sous-réseau différent. Il vous est ainsi possible de connecter Firebox à plus d’un seul Fournisseur de
services Internet (FSI). Lorsque vous configurez une seconde interface, le mode multiWAN est
automatiquement activé.
Configurations logicielles et conditions requises pour le mode
multiWAN
Vous devez disposer d’une seconde connexion Internet et de plus d’une interface externe pour utiliser la
plupart des options de configuration multiWAN.
Les configurations logicielles et conditions requises pour le mode multiWAN comprennent :
n
n
n
Si l’une de vos stratégies est configurée avec un alias d’interface externe individuelle, vous devez
modifier la configuration afin d’utiliser l’alias « Any-External » ou un autre alias que vous avez
configuré pour les interfaces externes. À défaut, une partie du trafic pourrait être refusée par vos
stratégies de pare-feu.
Les paramètres multiWAN ne s’appliquent pas au trafic entrant. Lorsque vous configurez une
stratégie pour le trafic entrant, vous pouvez ignorer l’ensemble des paramètres multiWAN.
Afin de remplacer la configuration multiWAN de toute stratégie individuelle, activez le routage basé
sur stratégie pour cette stratégie. Pour de plus amples informations sur le routage basé sur stratégie,
cf. Configurer le routage basé sur stratégie à la page 275.
Guide de l’utilisateur
123
Multi-WAN
n
n
n
Mappez le nom de domaine entièrement qualifié de votre entreprise à la plus petite adresse de la
plage des adresses IP d’interface externe. Si vous ajoutez un périphérique multiWAN WatchGuard à
votre Management Server configuration, vous devez utilisez la plus petite adresse IP d’interface
externe pour l’identifier lorsque vous ajoutez le périphérique.
Pour utiliser le multiWAN, vous devez utiliser le routage mixte pour votre configuration du réseau.
Cette fonctionnalité est inopérante pour les configurations d’insertion et de réseau de mode pont.
Pour utiliser la méthode de dépassement de capacité d’interface, vous devez disposer de la mise à
niveau Pro du logiciel Fireware XTM. Vous devez également disposer d’une licence Fireware XTM
Pro pour utiliser l’option tourniquet et configurer les différentes pondérations des interfaces
externes du périphérique WatchGuard.
Vous pouvez utiliser l’une des quatre configurations multiWAN pour gérer votre trafic réseau.
Pour les détails de configuration et les procédures de configuration, reportez-vous à la rubrique relative à
cette option.
multiWAN et DNS
Vérifiez que votre serveur DNS est accessible depuis n’importe quel WAN. Sinon, vous devez modifier vos
stratégies DNS de la manière suivante :
n
n
La liste De contient Firebox.
La case à cocher Utiliser le routage basé sur stratégie est sélectionnée.
Si un seul WAN peut accéder au serveur DNS, sélectionnez cette interface dans la liste déroulante
adjacente.
Si plus d’un WAN peut accéder au serveur DNS, sélectionnez l’un d’entre eux, sélectionnez
Basculement, sélectionnez Configurer, puis sélectionnez toutes les interfaces pouvant accéder au
serveur DNS. L’ordre importe peu.
Note Vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM pour utiliser
le routage basé sur stratégie.
À propos de Options multiWAN
Lorsque vous configurez plusieurs interfaces externes, plusieurs options vous permettent de contrôler
l’interface qu’un paquet sortant utilise. Vous devez disposer de la mise à niveau Pro du logiciel Fireware
XTM pour utiliser ces fonctionnalités.
Classement du tourniquet
Lorsque vous configurez le mode multiWAN avec l’option tourniquet, le périphérique WatchGuard inspecte
sa table de routage interne pour vérifier les informations de routage statique ou dynamique relatives à
chaque connexion. Si aucun itinéraire n’est trouvé, le périphérique WatchGuard répartit la charge de trafic
entre ses interfaces externes. Le périphérique WatchGuard utilise la moyenne des paquets transmis et
reçus pour équilibrer la charge de trafic entre toutes les interfaces externes que vous définissez pour la
configuration tourniquet.
124
WatchGuard System Manager
Multi-WAN
Si vous utilisez la mise à niveau Pro de Fireware XTM, vous pouvez attribuer une pondération à chaque
interface définie pour la configuration tourniquet. Par défaut et pour tous les utilisateurs Fireware XTM,
chaque interface a une pondération de 1. La pondération se réfère à la proportion de charge envoyée par
le périphérique WatchGuard par l’intermédiaire d’une interface. Si vous utilisez Fireware XTM Pro et que
vous affectez une pondération de 2 à une interface, vous doublez la proportion de trafic qui passera par
cette interface en comparaison avec une interface dont la pondération est de 1.
Par exemple, si vous avez trois interfaces externes avec une bande passante de 6, 1,5 et 0,075 M chacune
et souhaitez équilibrer la charge de trafic entre les trois, vous utiliseriez des pondérations de 8, 2 et 1.
Fireware essaie de répartir les connexions de sorte que les 8/11e, 2/11e et 1/11e du trafic total soient
acheminés vers chacune des trois interfaces.
Pour plus d’informations, voir Configurer l’option tourniquet multiWAN à la page 127.
Basculement
Lorsque vous utilisez l’option de basculement pour acheminer le trafic via les interfaces externes de du
périphérique WatchGuard, vous sélectionnez une seule interface externe qui sera l’interface externe
principale. Les autres interfaces externes servent d’interfaces de sauvegardes et sont utilisées par le
périphérique WatchGuard dans l’ordre que vous indiquez. Le périphérique WatchGuard analyse l’interface
externe principale. Si elle devient inactive, le périphérique WatchGuard envoie l’ensemble du trafic à
l’interface externe suivante définie dans sa configuration. Alors que le périphérique WatchGuard envoie le
trafic vers l’interface de sauvegarde, il continue à analyser l’interface externe principale. Lorsque cette
dernière redevient active, le périphérique WatchGuard recommence immédiatement à envoyer toutes les
nouvelles connexions vers l’interface externe principale.
C’est vous qui définissez ce que le périphérique WatchGuard doit faire des connexions existantes. Elles
peuvent être restaurées immédiatement, ou continuer à utiliser l’interface de sauvegarde jusqu’à ce que la
connexion soit terminée. Les basculements multiWAN et FireCluster sont configurés séparément. Un
basculement multiWAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas
de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l’interface physique est
inactive ou ne répond pas. Il est prioritaire sur le basculement multiWAN.
Pour plus d’informations, voir Configurer l’option basculement multiWAN à la page 128.
Dépassement de capacité d’interface
Lorsque vous recourez à l’option de configuration multiWAN dépassement de capacité d’interface, vous
devez définir l’ordre dans lequel le périphérique WatchGuard enverra le trafic via les interfaces externes et
configurer chaque interface avec une valeur seuil de bande passante. Le périphérique WatchGuard
commence à envoyer le trafic via la première interface externe définie dans sa liste de configuration de
dépassement de capacité d’interface. Lorsque le trafic routé via cette interface atteint le seuil de bande
passante que vous avez défini pour cette dernière, le périphérique WatchGuard commence à envoyer le
trafic à l’interface externe suivante, définie dans la liste de configuration dépassement de capacité
d’interface.
Guide de l’utilisateur
125
Multi-WAN
Cette option de configuration multiWAN permet de limiter, à un certain seuil de bande passante, la quantité
de trafic envoyé à chaque interface WAN. Pour déterminer la bande passante, le périphérique WatchGuard
inspecte le nombre de paquets transmis et reçus et se base sur le plus grand nombre. Lorsque vous
configurez le seuil de bande passante d’interface pour chaque interface, prenez en compte les besoins de
votre réseau de chaque interface et définissez la valeur seuil, en fonction de ces besoins. Par exemple, si
votre FSI est asymétrique et que vous définissez le seuil de bande passante en fonction d’un taux d’émission
(TX) important, le dépassement de capacité d’interface ne sera pas déclenché par un taux de réception (RX)
important.
Si toutes les interfaces WAN ont atteint leur seuil de bande passante, le périphérique WatchGuard utilise
l’algorithme de routage ECMP (Equal Cost MultiPath Protocol) pour rechercher le meilleur itinéraire.
Note Vous devez disposer de la mise à niveau Pro du logiciel Fireware XTM pour utiliser
cette option de routage multiWAN.
Pour plus d’informations,voir Configurer l’option Dépassementde capacitéd’interface multiWAN à lapage 129.
Table de routage
Lorsque vous sélectionnez l’option de table de routage dans la configuration du mode multiWAN, le
périphérique WatchGuard se base sur les itinéraires de sa table de routage interne ou sur les itinéraires
qu’il obtient des processus de routage dynamiques pour envoyer les paquets via l’interface externe
appropriée. Afin de savoir si un itinéraire spécifique existe pour une destination de paquets, le
périphérique WatchGuard examine sa table de routage en parcourant la liste des itinéraires de haut en bas.
Vous pouvez voir la liste des itinéraires figurant dans la table de routage de Firebox en accédant à l’onglet
État de Firebox System Manager. L’option de table de routage est l’option par défaut utilisée en mode
multiWAN.
Si le périphérique WatchGuard ne trouve pas un itinéraire spécifique, il sélectionne le meilleur itinéraire en
fonction des valeurs de hachage IP de la source et de la destination du paquet, en appliquant l’algorithme
ECMP (Equal Cost Multipath Protocol) spécifié dans le document :
http://www.ietf.org/rfc/rfc2992.txt
Avec le protocole ECMP, le périphérique WatchGuard utilise un algorithme afin de déterminer quel saut
(itinéraire) suivant il utilisera pour envoyer chaque paquet. Cet algorithme ne tient pas compte de la charge
de trafic actuelle.
Pour plus d’informations, voir Quand utiliser les options multiWAN et le routage à la page 132.
modem série (Firebox X Edge uniquement)
Si votre organisation dispose d’un compte d’accès à distance avec un FSI, vous pouvez connecter un modem
externe au port série de votre Edge et vous servir de cette connexion pour le basculement quand toutes
les autres interfaces externes sont inactives.
Pour plus d’informations, voir Basculement de modem série à la page 132.
126
WatchGuard System Manager
Multi-WAN
Configurer l’option tourniquet multiWAN
Avant de commencer
n
n
Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe
configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la
page 86.
Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de
votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page
123 et À propos de Options multiWAN à la page 124.
Configurer les interfaces
1. Sélectionnez Réseau > multiWAN.
2. Dans la liste déroulante Mode multiWAN, sélectionnez Tourniquet.
3. Si vous utilisez la mise à niveau Pro de Fireware XTM, vous pouvez modifier la pondération associée
à chaque interface. Choisissez une interface, puis entrez ou sélectionnez une nouvelle valeur dans le
champ Pondération adjacent. La valeur par défaut est 1 pour chaque interface.
Pour des informations relatives à la pondération d’interface, cf. Découvrez comment affecter des
pondérations aux interfaces à la page 128.
4. Pour affecter une interface à la configuration multiWAN, sélectionnez une interface et cliquez sur
Configurer.
5. Activez la case à cocher Participez au multiWAN et cliquez sur OK.
6. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que
décrit dans À propos de État de l’interface WAN à la page 138.
7. Cliquez sur Enregistrer.
Guide de l’utilisateur
127
Multi-WAN
Découvrez comment affecter des pondérations aux interfaces
Si vous utilisez la mise à niveau Pro de Fireware XTM, vous pouvez affecter une pondération à chaque
interface utilisée dans votre configuration tourniquet multiWAN . Par défaut, chaque interface présente
une pondération de 1. La pondération se réfère à la proportion de charge envoyée par Firebox par
l’intermédiaire d’une interface.
Vous ne pouvez utiliser que des nombres entiers pour les pondérations d’interface ; les fractions ou les
décimales ne sont pas autorisées. Pour un équilibrage de charge optimal, il se pourrait que vous deviez faire
un calcul pour connaître la pondération en nombre entier à affecter à chaque interface. Utilisez un
multiplicateur commun afin que la proportion relative de la bande passante donnée par chaque connexion
externe soit résolue en nombres entiers.
Par exemple, supposons que vous ayez trois connexions Internet. Un FSI vous fournit 6 Mbits/s, un autre 1,5
Mbits/s et un troisième 768 Kbits/s. Convertissez les proportions en nombres entiers :
n
n
n
n
Convertissez d’abord les 768 Kbits/s en 0,75 Mbits/s environ afin d’utiliser la même unité de mesure
pour les trois lignes. Vos trois lignes ont une pondération de 6, 1,5 et 0,75 Mbits/s.
Multipliez chaque valeur par 100 pour supprimer les décimales. Proportionnellement, elles sont
équivalentes : [6 : 1,5 : 0,75] a le même ratio que [600 : 150 : 75]
Trouvez le plus grand diviseur commun pour ces trois nombres. Dans ce cas, 75 est le nombre le
plus élevé qui divise de manière équitable les trois nombres 600, 150 et 75.
Divisez chacun des nombres par le plus grand diviseur commun.
Les résultats obtenus sont 8, 2 et 1. Vous pourriez utiliser ces nombres comme pondérations dans une
configuration tourniquet multiWAN .
Configurer l’option basculement multiWAN
Avant de commencer
n
n
Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe
configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la
page 86.
Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de
votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page
123 et À propos de Options multiWAN à la page 124.
Configurer les interfaces
1. Sélectionnez Réseau > multiWAN.
2. Dans la liste déroulante Mode multiWAN, sélectionnez Basculement.
128
WatchGuard System Manager
Multi-WAN
3. Sélectionnez une interface dans la liste et cliquez Haut ou Bas pour définir l’ordre de basculement.
La première interface dans la liste est l’interface principale.
4. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que
décrit dans À propos de État de l’interface WAN à la page 138.
Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des
Paramètres multiWAN avancés à la page 137.
5. Cliquez sur Enregistrer.
Configurer l’option Dépassement de capacité
d’interface multiWAN
Avant de commencer
n
n
Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe
configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la
page 86.
Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de
votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page
123 et À propos de Options multiWAN à la page 124.
Configurer les interfaces
1. Sélectionnez Réseau > multiWAN.
2. À partir de la liste déroulante Mode multiWAN, sélectionnez Dépassement de capacité d’interface.
Guide de l’utilisateur
129
Multi-WAN
3. Dans le champ Seuil de chaque interface, entrez ou sélectionnez la quantité de trafic réseau in
mégabits par seconde (Mbits/s) à emmagasiner par l’interface avant l’envoi vers d’autres interfaces.
4. Pour définir l’ordre de fonctionnement de l’interface, sélectionnez une interface dans le tableau et
cliquez sur Haut et Bas pour modifier l’ordre. Les interfaces sont utilisées en partant de la première
jusqu’à la dernière dans la liste.
5. Pour terminer la configuration, vous devez ajouter les informations tel que décrit dans À propos de
État de l’interface WAN à la page 138.
Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des paramètres
multiWAN avancés.
Configurer l’option Option de table de routage
Avant de commencer
n
n
n
Pour utiliser la fonctionnalité multiWAN, vous devez disposer de plus d’une interface externe
configurée. Si nécessaire, utilisez la procédure décrite dans Configurer une interface externe à la
page 86.
Vous devez déterminer si l’option de table de routage est l’option multiWAN qui répond le mieux à
vos besoins. Pour plus d’informations, voir Quand utiliser les options multiWAN et le routage à la
page 132
Assurez-vous de comprendre les concepts et les conditions du multiWAN ainsi que la méthode de
votre choix, telle que décrit dans À propos de l’utilisation de plusieurs interfaces externes à la page
123 et À propos de Options multiWAN à la page 124.
Option de table de routage et équilibrage de charge
Gardez à l’esprit que l’option de table de routage n’équilibre pas la charge de trafic sur les connexions à
Internet. Firebox lit sa table de routage interne de haut en bas. Les itinéraires statiques et dynamiques qui
définissent une destination sont visibles en haut de la table de routage et prioritaires sur les itinéraires par
130
WatchGuard System Manager
Multi-WAN
défaut. (Un itinéraire par défaut a pour destination 0.0.0.0/0.) Si, dans la table de routage, il n’existe pas
d’itinéraire dynamique ou statique particulier jusqu’à une destination, le trafic qui aurait dû être acheminé
vers cette destination l’est entre les interfaces externes de Firebox à l’aide des algorithmes ECMP. Ceci peut
engendrer une répartition à proportion égale des paquets entre les différentes interfaces externes.
Configurer les interfaces
1. Sélectionnez Réseau > multiWAN.
2. Dans la liste déroulante Mode multiWAN, sélectionnez Table de routage.
3. Pour ajouter les interfaces à la configuration multiWAN , sélectionnez une interface et cliquez sur
Configurer.
4. Activez la case à cocher Participez au multiWAN . Cliquez sur OK.
5. Pour terminer la configuration, vous devez ajouter les informations de contrôle des liaisons tel que
décrit dans À propos de État de l’interface WAN à la page 138.
Pour des informations sur les options de configuration multiWAN avancées, cf. À propos des paramètres
multiWAN avancés.
À propos de la table de routage de Firebox
Lorsque vous sélectionnez l’option de configuration de table de routage, mieux vaut savoir comment
consulter la table de routage de votre Firebox.
Dans Fireware XTM Web UI :
Sélectionnez Itinéraires >d’état système.
Elle présente la table de routage interne de Firebox.
Les itinéraires de la table de routage interne de Firebox sont les suivants :
n
n
n
Les itinéraires que Firebox obtient à partir des processus de routage dynamiques exécutés sur
Firebox (protocoles RIP, OSPF et BGP) si vous activez le routage dynamique.
Les itinéraires du réseau permanent ou les itinéraires d’hôte que vous ajoutez.
Les itinéraires automatiquement créés par Firebox lors de la lecture des informations de
configuration du réseau.
Guide de l’utilisateur
131
Multi-WAN
Si Firebox détecte qu’une interface externe est inactive, il supprime tous les itinéraires statiques ou
dynamiques qui la traversent. Cela est vrai si les hôtes définis dans l’onglet Contrôle des liaisons ne
répondent plus et si la liaison Ethernet physique est inactive.
Pour de plus amples informations sur l’état de l’interface et sur les mises à jour de la table de routage, cf. À
propos de État de l’interface WAN à la page 138.
Quand utiliser les options multiWAN et le routage
Si vous utilisez le routage dynamique, vous pouvez utiliser la table de routage ou l’option de configuration
tourniquet multiWAN. Les itinéraires qui utilisent une passerelle ou un réseau interne (facultatif ou
approuvé) ne sont pas affectés par l’option multiWAN que vous sélectionnez.
Quand utiliser l’option de Table de routage.
L’option de table de routage est appropriée si :
n
n
Vous activez le routage dynamique (protocoles RIP, OSPF ou BGP) et si les routeurs du réseau
externe publient des itinéraires vers le périphérique WatchGuard pour que ce dernier puisse
apprendre les meilleurs itinéraires vers des emplacements externes.
Vous devez obtenir un accès à un site ou à un réseau externe via un itinéraire spécifique sur un
réseau externe. Voici quelques exemples :
n
n
Vous disposez d’un circuit privé utilisant un routeur à relais de trames sur le réseau externe.
Vous souhaitez que tout le trafic à destination d’un emplacement externe traverse toujours une
interface externe spécifique du périphérique WatchGuard.
L’option de table de routage est le moyen le plus rapide d’équilibrer la charge entre plusieurs itinéraires
jusqu’à Internet. Une fois cette option configurée, l’algorithme ECMP gère toutes les décisions de
connexion. Aucune configuration supplémentaire n’est nécessaire sur le périphérique WatchGuard.
Quand utiliser l’option tourniquet
Le trafic d’équilibrage de charge à destination d’Internet à l’aide du protocole ECMP est basé sur les
connexions, pas sur la bande passante. Les itinéraires configurés de manière statique ou appris grâce au
routage dynamique sont utilisés avant l’algorithme ECMP. Si vous disposez de la mise à niveau Pro de
Fireware XTM, l’option tourniquet pondérée vous propose des options permettant d’envoyer davantage de
trafic sur une interface externe par rapport à une autre. Simultanément, l’algorithme de tourniquet répartit
le trafic sur chaque interface en se basant sur la bande passante et non les connexions. Vous bénéficiez
ainsi d’un contrôle accru sur la quantité d’octets de données envoyés par le biais de chaque FSI.
Basculement de modem série
(Cette rubrique ne concerne que Firebox X Edge et XTM série 2.)
Vous pouvez configurer le Firebox X Edge ou XTM 2 Series pour envoyer du trafic par l’intermédiaire d’un
modem série lorsque l’envoi de trafic par l’intermédiaire d’une interface externe est impossible. Vous
devez disposer d’un compte d’accès à distance avec un FSI (Fournisseur de services Internet) et d’un
modem externe connecté au port série (Edge) ou USB port (Série 2) pour utiliser cette option.
Edge a été testé avec les modems suivants :
132
WatchGuard System Manager
Multi-WAN
n
n
n
n
n
Modem série fax Hayes 56K V.90
Zoom FaxModem 56K modèle 2949
Modem externe U.S. Robotics 5686
Modem série Creative Modem Blaster V.92
Modem international Données/Fax MultiTech 56K
La Série 2 a été testée avec les modems suivants :
n
n
n
n
Zoom FaxModem 56K modèle 2949
Modem international Données/Fax MultiTech 56K
Modem Fax/Données OMRON ME5614D2
Modem série fax Hayes 56K V.90
Pour un modem série, utilisez un adaptateur USB vers série pour connecter le modem au périphérique
XTM Série 2.
Activer le basculement de modem série
1. Sélectionnez Modem > réseau.
La page du modem s’affiche.
2. Activez la case à cocher Activer le modem pour le basculement lorsque toutes les interfaces
externes sont désactivées.
3. Indiquez les paramètres de Compte, DNS, Accès à distanceet Contrôle des liaisonstel que décrit
dans les rubriques suivantes.
4. Cliquez sur Enregistrer.
Paramètres du compte
1. Sélectionnez l’onglet Compte.
2. Dans la zone de texte Téléphone, entrez le numéro de téléphone de votre fournisseur de services
Internet (FSI).
3. Si vous disposez d’un autre numéro pour votre FSI, entrez ce numéro dans la zone de texte Numéro
de téléphone alternatif.
4. Dans la zone de texte Nom de compte , entrez le nom du compte d’accès à distance.
Guide de l’utilisateur
133
Multi-WAN
5. Si vous vous connectez sur votre compte à l’aide d’un nom de domaine, entrez le nom de domaine
dans la zone de texte Domaine de compte.
Un exemple de nom de domaine est msn.com.
6. Dans la zone de texte Mot de passe du compte , entrez le mot de passe que vous utilisez pour vous
connecter à votre compte d’accès à distance.
7. Si vous rencontrez des problèmes de connexion, activez la case à cocher Activer le modem et la
trace de débogage PPP. Lorsque cette option est sélectionnée, Edge envoie des journaux détaillés
pour la fonctionnalité de basculement vers un modem série dans le fichier journal des événements.
Paramètres DNS
Si votre FSI d’accès à distance ne donne pas d’informations sur le serveur DNS ou si vous devez utiliser un
autre serveur DNS, vous pouvez entrer vous-même les adresses IP du serveur DNS qui sera utilisé en cas de
basculement.
1. Sélectionnez l’onglet DNS.
La page des paramètres DNS s’affiche.
2. Activez la case à cocher Configurer manuellement les adresses IP du serveur DNS.
3. Dans la zone de texte Serveur DNS principal , entrez l’adresse IP du serveur DNS principal.
4. Si vous disposez d’un serveur DNS secondaire, entrez l’adresse IP du serveur secondaire dans la
zone de texte Serveur DNS secondaire .
5. Dans la zone de texte MTU , pour des raisons de compatibilité, vous pouvez définir une valeur
différente pour l’Unité maximale de transmission (MTU). La plupart des utilisateurs peuvent
conserver le paramètre par défaut.
Paramètres d’accès à distance
1. Sélectionnez l’onglet Accès à distance.
La page des options d’appel s’affiche.
134
WatchGuard System Manager
Multi-WAN
2. Dans la zone de texte Délai d’attente de l’appel , entrez ou sélectionnez le nombre de secondes
avant expiration du délai d’attente si votre modem ne parvient pas à se connecter. La valeur par
défaut est de deux (2) minutes.
3. Dans la zone de texte Tentatives de rappel , entrez le nombre de fois que Firebox tente de rappeler
le numéro si votre modem ne parvient pas à se connecter. Par défaut, on attendra (3) tentatives de
connexion.
4. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez la durée en minutes avant
l’expiration du délai si aucun trafic n’accède au modem. La valeur par défaut est aucun délai
d’inactivité.
5. Depuis la liste déroulante Volume du haut-parleur , sélectionnez le volume du haut-parleur de
votre modem.
Paramètres avancés
Pour certains FSI, il est nécessaire de spécifier une ou plusieurs options PPP afin d’activer la connexion. En
Chine, par exemple, certains FSI requièrent l’utilisation de l’option PPP Tout recevoir. L’option Tout recevoir
permet au protocole PPP d’accepter tous les caractères de contrôles en provenance du pair.
1. Sélectionnez l’onglet Avancé.
2. Dans la zone de texte options PPP , entrez les options PPP requises. Pour spécifier plus d’une option
PPP, séparez chaque option par une virgule.
Guide de l’utilisateur
135
Multi-WAN
Paramètres de contrôle des liaisons
Vous pouvez définir les options pour tester une ou plusieurs interfaces externes pour une connexion
active. Lorsqu’une interface externe est réactivée, Firebox n’envoie plus de trafic par le modem série et
utilise la ou les interfaces externes à la place. Vous pouvez configurer le contrôleur des liaisons pour
envoyer une requête ping à un site ou un périphérique sur l’interface externe, créez une connexion TCP en
définissant un site et un numéro de port, ou les deux. Vous pouvez aussi définir l’intervalle temporel entre
chaque test de connexion et configurer le nombre de fois qu’un test doit échouer ou réussir avant
l’activation ou la désactivation d’une interface.
Pour configurer les paramètres de contrôle des liaisons pour une interface :
1. Sélectionnez l’onglet Contrôle des liaisons.
Les options de connexions de requête ping et de protocole TCP définies pour chaque interface externe
s’affichent.
2. Pour configurer une interface, sélectionnez-la dans la liste et cliquez sur Configurer.
La boîte de dialogue Détails du contrôle des liaisons s’affiche.
3. Pour envoyer une requête ping à un emplacement ou à un périphérique sur le réseau externe,
activez la case à cocher Requête ping et entrez l’adresse IP ou le nom d’hôte dans la zone de texte
adjacente.
136
WatchGuard System Manager
Multi-WAN
4. Pour créer une connexion TCP sur un emplacement ou un périphérique sur le réseau externe,
activez la case à cocher Protocole TCP et entrez l’adresse IP ou le nom d’hôte dans la zone de texte
adjacente. Vous pouvez aussi entrer ou sélectionner un numéro de port.
Le numéro de port par défaut est 80 (HTTP).
5. Pour demander des connexions réussies par envoi de requête ping et par protocole TCP avant que
l’interface ne soit marquée comme active, activez la case à cocher Les requêtes ping et les
connexions TCP doivent être réussies.
6. Pour modifier l’intervalle temporel entre les tentatives de connexion, entrez ou sélectionnez un
numéro différent dans la zone de texte Intervalle d’exploration .
Le paramètre par défaut est de 15 secondes.
7. Pour modifier le nombre d’échecs qui marquent une interface comme inactive, entrez ou
sélectionnez un nombre différent dans la zone de texte Désactiver après.
La valeur par défaut est trois (3) tentatives de connexions.
8. Pour modifier le nombre de connexions réussies qui marquent une interface comme active, entrez
ou sélectionnez un nombre différent dans la zone de texteRéactiver après .
La valeur par défaut est trois (3) tentatives de connexions.
9. Cliquez sur OK.
À propos des Paramètres multiWAN avancés
Vous pouvez configurer des connexions persistantes, la restauration et la notification des événements
multiWAN. Certaines options de configuration ne sont pas disponibles pour toutes les options de
configuration multiWAN. Si un paramètre ne s’applique pas à l’option de configuration multiWAN que vous
avez sélectionnée, les champs correspondants ne peuvent pas être définis.
Pour configurer les paramètres multiWAN :
1. Sélectionnez Réseau > multiWAN.
2. Cliquez sur l’onglet Paramètres avancés.
3. Configurez la Durée de connexion persistante et laFailback des connexions actives tel que décrit
dans les rubriques suivantes.
4. Cliquez sur Enregistrer.
Définissez une durée de connexion persistante globale
Une connexion persistante est une connexion qui continue à utiliser la même interface WAN pendant un
intervalle de temps défini. Vous pouvez définir des paramètres de connexion persistante si vous utilisez les
options de tourniquet ou de dépassement de capacité d’interface pour le multiWAN. La persistance permet
de s’assurer que si un paquet traverse une interface externe, tous les autres paquets suivants entre la paire
d’adresses IP source et de destination passeront par cette même interface, pendant un intervalle de temps
défini. Par défaut, les connexions persistantes utilisent la même interface pendant 3 minutes.
Si une définition de stratégie contient un paramètre de connexion persistante, le paramètre de stratégie est
utilisé à la place du paramètre global.
Pour modifier la durée de connexion persistante globale pour un protocole ou un ensemble de protocoles :
1. dans la zone de texte du protocole, entrez ou sélectionnez un chiffre.
2. Dans la liste déroulante adjacente, sélectionnez une durée.
Guide de l’utilisateur
137
Multi-WAN
Si vous définissez une durée de connexion persistante dans une stratégie, vous pouvez remplacer la durée
de connexion persistante globale. Pour plus d’informations, voir Définir la durée de connexion persistante
pour une stratégie à la page 278.
Définissez l’action de restauration
Vous pouvez définir l’action à entreprendre par votre périphérique WatchGuard lorsqu’un événement de
basculement s’est produit et que l’interface externe principale est à nouveau active. Lorsque c’est le cas,
toutes les nouvelles connexions sont immédiatement restaurées sur l’interface externe principale. Vous
sélectionnez l’option que vous souhaitez appliquer aux connexions actives au moment de la restauration.
Dans la liste déroulante Failback des connexions actives :
n
n
Restauration immédiate — Sélectionnez cette option si vous souhaitez que le périphérique
WatchGuard arrête immédiatement toutes les connexions existantes.
Restauration progressive — Sélectionnez cette option si vous souhaitez que le périphérique
WatchGuard continue à utiliser l’interface de basculement pour les connexions existantes jusqu’à la
fin de chaque connexion.
Le paramètre de basculement s’applique aussi à toute configuration de routage basé sur stratégie que vous
définissez pour utiliser les interfaces externes de basculement.
À propos de État de l’interface WAN
Vous pouvez modifier la méthode et la fréquence à utiliser par Firebox pour contrôler l’état de chaque
interface WAN. Si vous ne configurez pas de méthode, il envoie une requête ping à la passerelle par défaut
de l’interface pour vérifier l’état de cette dernière.
138
WatchGuard System Manager
Multi-WAN
Temps nécessaire à Firebox pour mettre à jour sa table de
routage
Si l’un des hôtes de contrôle des liaisons ne répond pas, il faut compter entre 40 et 60 secondes pour que
le périphérique Firebox mette à jour sa table de routage. Lorsque le même hôte de contrôle des liaisons
recommence à répondre, il faut compter entre 1 et 60 secondes pour que Firebox mette à jour sa table de
routage.
Ce processus de mise à jour est bien plus rapide si Firebox détecte une déconnexion physique du port
Ethernet. Lorsque cela se produit, le périphérique WatchGuard met immédiatement à jour sa table de
routage. Lorsque Firebox détecte que la connexion Ethernet est de nouveau rétablie, il met à jour sa table
de routage dans les 20 secondes qui suivent.
Définir un hôte de contrôle des liaisons
1. Sélectionnez Réseau > multiWAN.
2. Sélectionnez l’interface et cliquez sur Configurer.
La boîte de dialogue Détails du contrôle des liaisons s’affiche.
3. Activez les cases à cocher de chaque méthode de contrôle des liaisons que vous souhaitez que
Firebox utilise pour vérifier l’état de chaque interface externe :
n
n
n
Requête ping — Ajoutez une adresse IP ou un nom de domaine auquel Firebox enverra une
requête ping pour vérifier l’état de l’interface.
TCP — Ajoutez l’adresse IP ou le nom de domaine d’un ordinateur avec lequel Firebox peut
négocier un transfert TCP pour vérifier l’état de l’interface WAN.
Les requêtes ping et les connexions TCP doivent être réussies — L’interface est considérée
comme inactive à moins qu’une requête ping et une connexion TCP ne soient exécutées avec
succès.
Guide de l’utilisateur
139
Multi-WAN
Si une interface externe fait partie d’une configuration FireCluster, un basculement multiWAN dû à
un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement
FireCluster. Le basculement FireCluster a lieu uniquement lorsque l’interface physique est inactive
ou ne répond pas. Si vous ajoutez un nom de domaine auquel Firebox devra envoyer des requêtes
ping et que l’une des interfaces externes a une adresse IP statique, vous devez configurer un
serveur DNS, tel que décrit dans Ajouter des adresses de serveurs WINS et DNS.
4. Entrez ou sélectionnez un en activant le paramètreExplorez aprèspour configurer la fréquence à
laquelle Firebox doit vérifier l’état de l’interface.
Le paramètre par défaut est de 15 secondes.
5. Pour modifier le nombre d’échecs d’explorations successifs qui doivent se produire avant le
basculement, entrez ou sélectionnez le paramètre Désactiver après.
Le paramètre par défaut est trois (3). Après le nombre d’échecs sélectionnés, Firebox envoie le trafic à
l’interface suivante définie dans la liste de basculement multiWAN.
6. Pour modifier le nombre de réussites d’exploration consécutives d’une interface avant qu’une
interface inactive ne redevienne active, entrez ou sélectionnez le paramètreRéactiver après.
7. Répétez ces étapes pour chaque interface externe.
8. Cliquez sur Enregistrer.
140
WatchGuard System Manager
8
Traduction d’adresses réseau
(NAT)
À propos de Traduction d’adresses réseau
(Network Address Translation) (NAT)
La traduction d’adresses réseau ou NAT (Network Address Translation) représente l’une des différentes
formes de traduction de ports et d’adresses IP. Dans sa forme la plus rudimentaire, NAT remplace la valeur
de l’adresse IP d’un paquet par une autre valeur.
Le principal objectif de NAT consiste à augmenter le nombre d’ordinateurs pouvant fonctionner à partir
d’une seule adresse IP routable et à masquer les adresses IP privées des hôtes sur le réseau local. Lorsque
vous utilisez NAT, l’adresse IP source est modifiée sur tous les paquets que vous envoyez.
Vous pouvez appliquer NAT en tant que paramètre général de pare-feu ou en tant que paramètre dans une
stratégie. Les paramètres NAT de pare-feu ne s’appliquent pas aux stratégies BOVPN.
Si vous avec une mise à niveau de Fireware XTM vers la version professionnelle, vous pouvez utiliser la
fonctionnalité Équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses réseau
statique. La fonctionnalité d’équilibrage de charge côté serveur est conçue pour augmenter l’évolutivité et
les performances d’un réseau à fort trafic comportant plusieurs serveurs publics protégés par votre
périphérique WatchGuard. Grâce à l’équilibrage de charge côté serveur, vous pouvez faire en sorte que le
périphérique WatchGuard contrôle le nombre de sessions établies vers un maximum de dix serveurs pour
chaque stratégie de pare-feu que vous configurez. Le périphérique WatchGuard contrôle la charge en
fonction du nombre de sessions en cours sur chaque serveur. Aucune mesure ou comparaison de la bande
passante utilisée par chaque serveur n’est effectuée par le périphérique WatchGuard.
Pour plus d’informations sur l’équilibrage de charge côté serveur, voir Configurer les équilibrage de charge
côté serveur à la page 158.
Types de NAT
Le périphérique WatchGuard prend en charge trois types de traduction d’adresses réseau. Votre
Guide de l’utilisateur
141
Traduction d’adresses réseau (NAT)
configuration peut utiliser plusieurs types de traduction d’adresses réseau simultanément. Vous appliquez
certains types de NAT à l’ensemble du trafic de pare-feu, et les autres types en tant que paramètre d’une
stratégie.
NAT dynamique
La traduction d’adresses réseau dynamique est également appelée « mascarade IP ». Le
périphérique WatchGuard peut appliquer son adresse IP publique aux paquets sortants pour toutes
les connexions ou pour des services spécifiés. Ceci permet de masquer au réseau externe l’adresse
IP réelle de l’ordinateur qui est la source du paquet. La traduction d’adresses réseau dynamique sert
généralement à masquer les adresses IP des hôtes internes lorsqu’ils accèdent aux services publics.
Pour plus d’informations, voir À propos de la traduction dynamique traduction d'adresses réseau
(NAT) à la page 142.
Traduction d’adresses réseau statique
La traduction d’adresses réseau statique est également désignée sous le terme de « transfert de
port » ; vous la configurez en même temps que les stratégies. Il s’agit d’une traduction d’adresses
réseau port à hôte. Un hôte envoie un paquet du réseau externe vers un port d’une interface
externe. La traduction d’adresses réseau statique change l’adresse IP en une adresse IP et en un
port se trouvant derrière le pare-feu.
Pour plus d’informations, voir À propos de NAT statique à la page 157.
1-to-1 NAT
1-to-1 NAT fait correspondre les adresses IP d’un réseau aux adresses IP d’un autre réseau. Ce type
de NAT est généralement utilisé pour fournir aux ordinateurs externes un accès à vos serveurs
internes, publics.
Pour plus d’informations, voir À propos de 1-to-1 NAT à la page 147.
À propos de la traduction dynamique traduction
d'adresses réseau (NAT)
La traduction d’adresses réseau dynamique est le type de règle NAT le plus couramment utilisé. Elle
consiste à remplacer l’adresse IP source d’une connexion sortante par l’adresse IP publique de Firebox. À
l’extérieur de Firebox, vous ne voyez que l’adresse IP de l’interface externe de Firebox sur les paquets
sortants.
De nombreux ordinateurs peuvent se connecter à Internet à partir d’une adresse IP publique. La traduction
d’adresses réseau dynamique offre davantage de sécurité aux hôtes internes qui utilisent Internet, car elle
masque les adresses IP des hôtes sur le réseau. Avec la traduction d’adresses réseau dynamique, toutes les
connexions doivent démarrer derrière Firebox. Lorsque Firebox est configuré pour la traduction d’adresses
réseau dynamique, les hôtes malveillants ne peuvent pas initier de connexions aux ordinateurs derrière
Firebox.
142
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
Dans la plupart des réseaux, la stratégie de sécurité recommandée consiste à appliquer NAT à tous les
paquets sortants. Avec Fireware, la traduction d’adresses réseau dynamique est activée par défaut dans la
boîte de dialogue NAT > réseau. Elle est également activée par défaut dans chaque stratégie que vous créez.
Vous pouvez remplacer le paramètre de pare-feu de la traduction d’adresses réseau dynamique dans
chacune de vos stratégies, comme cela est indiqué dans la rubrique Appliquer les règles NAT à la page 277.
Ajouter des entrées NAT dynamiques de pare-feu
La configuration par défaut de la traduction d’adresses réseau dynamique active cette dernière à partir de
toutes les adresses IP privées vers le réseau externe. Les entrées par défaut sont les suivantes :
n
n
n
192.168.0.0/16 – Any-External (Tout-Externe)
172.16.0.0/12 – Any-External (Tout-Externe)
10.0.0.0/8 – Any-External (Tout-Externe)
Ces trois adresses réseau qui correspondent aux réseaux privés réservés par le groupe de travail IETF
(Internet Engineering Task Force) sont généralement utilisées pour les adresses IP sur les réseaux locaux.
Pour activer la traduction d’adresses réseau dynamique pour des adresses IP privées autres que celles-ci,
vous devez leur ajouter une entrée. Le périphérique WatchGuard applique les règles de traduction
d’adresses réseau dynamique dans l’ordre dans lequel elles apparaissent dans la liste Entrées de traduction
d’adresses réseau dynamique. Nous vous recommandons de placer les règles dans un ordre correspondant
au volume de trafic auquel ces règles s’appliquent.
1. Sélectionnez Réseau > NAT.
La page Paramètres NAT apparaît.
Guide de l’utilisateur
143
Traduction d’adresses réseau (NAT)
2. Dans la section Traduction d’adresses réseau dynamique , cliquez sur Ajouter.
La page Configuration NAT dynamique apparaît.
3. Dans la section De , cliquez sur la liste déroulante Type de membre pour sélectionner le type
d’adresse à utiliser pour spécifier la source des paquets sortants : IP de l’hôte, IP du réseau, Plage
d’hôtes ou Alias.
4. Dans la section De , sous la liste déroulante Type de membre, saisissez l’adresse IP de l’hôte,
l’adresse IP du réseau ou la plage d’adresses de l’hôte IP, ou encore sélectionnez un alias dans la liste
déroulante.
Vous devez saisir une adresse réseau en notation de barre oblique.
Pour plus d’informations sur les alias intégrés du périphérique WatchGuard, voir À propos des alias à
la page 263.
5. Dans la section À, cliquez sur la liste déroulante Type de membre pour sélectionner le type
d’adresse à utiliser afin d’indiquer la destination des paquets sortants.
6. Dans la section À, sous la liste déroulante Type de membre, saisissez l’adresse IP de l’hôte, l’adresse
IP du réseau ou la plage d’adresses de l’hôte IP, ou encore sélectionnez un alias dans la liste
déroulante.
7. Cliquez sur Enregistrer.
La nouvelle entrée s’affiche dans la liste Entrées de traduction d’adresses réseau dynamique.
Supprimer une entrée de traduction d’adresses réseau dynamique
Vous ne pouvez pas modifier une entrée de traduction d’adresses réseau dynamique existante. Si vous
souhaitez modifier une entrée existante, vous devez supprimer l’entrée et en ajouter une nouvelle.
Pour supprimer une entrée de traduction d’adresses réseau dynamique :
1. Sélectionnez l’entrée à supprimer.
144
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
2. Cliquez sur Supprimer.
Un message d’avertissement s’affiche.
3. Cliquez sur Oui.
Réorganiser les entrées de traduction d’adresses réseau dynamique
Pour changer la séquence des entrées de traduction d’adresses réseau dynamique :
1. Sélectionnez l’entrée à modifier.
2. Cliquez sur Haut ou Bas pour déplacer l’élément dans la liste.
Configurer une traduction d’adresses dynamique à base de
stratégie Traduction d'adresses réseau (NAT)
Dans la traduction d’adresses réseau dynamique à base de stratégie, Firebox fait correspondre des adresses
IP privées avec des adresses IP publiques. L’activation de la traduction d’adresses réseau dynamique
s’effectue dans la configuration par défaut de chaque stratégie. L’activation de la traduction d’adresses
réseau dynamique s’effectue dans la configuration par défaut de chaque stratégie.
Afin que la traduction d’adresses réseau dynamique pour une stratégie fonctionne correctement, utilisez
l’onglet Stratégie de la boîte de dialogue Modifier les propriétés de stratégie pour vous assurer que la
stratégie est configurée de sorte à n’autoriser le trafic sortant que par une seule interface Firebox.
Les règles 1-to-1 NAT sont prioritaires sur les règles de NAT dynamique.
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
La liste des stratégies de pare-feu apparaît.
2. Sélectionnez une stratégie et cliquez sur Modifier.
La page Configuration de stratégie apparaît.
3. Cliquez sur l’onglet Avancé.
Guide de l’utilisateur
145
Traduction d’adresses réseau (NAT)
4. Cochez la case Traduction d’adresses réseau dynamique.
5. Sélectionnez Utiliser les paramètres NAT du réseau pour appliquer les règles de NAT dynamique
définies pour le périphérique WatchGuard.
Sélectionnez L’ensemble du trafic de cette stratégie pour appliquer le service NAT à l’ensemble du
trafic de cette stratégie. Vous pouvez définir une adresse IP source dynamique de traduction
d’adresses réseau pour une stratégie qui utilise la traduction d’adresses réseau dynamique. Cochez
la case Définir l’adresse IP source.
Lorsque vous sélectionnez une adresse IP source, le trafic qui utilise cette stratégie indique une
adresse spécifiée provenant de votre plage d’adresses IP publiques ou externes comme étant la
source. Ce système est généralement utilisé pour forcer le trafic SMTP sortant et indiquer l’adresse
de l’enregistrement MX de votre domaine lorsque l’adresse IP de l’interface externe du
périphérique WatchGuard est différente de celle de l’enregistrement MX. Cette adresse source doit
être sur le même sous-réseau que l’interface que vous avez indiqué pour le trafic sortant.
Il est recommandé de ne pas utiliser l’option Définir l’adresse IP source si vous avez plusieurs
interfaces externes configurées sur votre périphérique WatchGuard.
Si vous ne cochez pas la case Définir l’adresse IP source, le périphérique WatchGuard change
l’adresse IP source de chaque paquet et utilise l’adresse IP de l’interface d’origine du paquet.
6. Cliquez sur Enregistrer.
Désactiver la traduction d’adresses réseau dynamique pour la stratégie
L’activation de la traduction d’adresses réseau dynamique s’effectue dans la configuration par défaut de
chaque stratégie. Pour désactiver la traduction d’adresses réseau dynamique pour une stratégie :
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
La liste des stratégies de pare-feu apparaît.
146
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
2. Sélectionnez une stratégie et cliquez sur Modifier.
La page Configuration de stratégie apparaît.
3. Cliquez sur l’onglet Avancé.
4. Pour désactiver la traduction d’adresses réseau dynamique pour le trafic contrôlé par cette
stratégie, désélectionnez la case à cocher Traduction d’adresses réseau dynamique.
5. Cliquez sur Enregistrer.
À propos de 1-to-1 NAT
Lorsque vous activez 1-to-1 NAT, votre périphérique WatchGuard modifie et achemine tous les paquets
entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses. Une règle 1-to1 NAT est toujours prioritaire sur une règle de traduction d’adresses réseau dynamique.
La règle 1-to-1 NAT est fréquemment utilisée en présence d’un groupe de serveurs internes dont les
adresses IP privées doivent être rendues publiques. Vous pouvez utiliser 1-to-1 NAT pour faire
correspondre des adresses IP publiques aux serveurs internes. Il est inutile de modifier l’adresse IP de vos
serveurs internes. Dans un groupe de serveurs identiques (par exemple, un groupe de serveurs de
messagerie), il est plus simple de configurer 1-to-1 NAT que la traduction d’adresses réseau statique.
Voici un exemple de configuration de 1-to-1 NAT :
La Société ABC possède un groupe de cinq serveurs de messagerie comportant des adresses privées situé
derrière l’interface approuvée de son périphérique WatchGuard. Ces adresses sont les suivantes :
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La Société ABC sélectionne cinq adresses IP publiques à partir de la même adresse réseau que l’interface
externe de son périphérique WatchGuard, puis crée des enregistrements DNS pour la résolution des
adresses IP des serveurs de messagerie du domaine.
Ces adresses sont les suivantes :
50.1.1.1
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La Société ABC configure une règle 1-to-1 NAT pour ses serveurs de messagerie. La règle 1-to-1 NAT
génère une relation statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a
l’aspect suivant :
10.1.1.1 <--> 50.1.1.1
10.1.1.2 <--> 50.1.1.2
10.1.1.3 <--> 50.1.1.3
Guide de l’utilisateur
147
Traduction d’adresses réseau (NAT)
10.1.1.4 <--> 50.1.1.4
10.1.1.5 <--> 50.1.1.5
Une fois la règle 1-to-1 NAT appliquée, votre périphérique WatchGuard crée le routage bidirectionnel et la
relation NAT entre le pool d’adresses IP privées et le pool d’adresses publiques. Le 1-to-1 NAT fonctionne
également sur le trafic envoyé depuis les réseaux que protège votre périphérique WatchGuard.
À propos de 1-to-1 NAT et des tunnels VPN
En effet, lorsque vous créez un tunnel VPN, les réseaux à chaque extrémité du tunnel doivent avoir
différentes plages d’adresses réseau. Vous pouvez utiliser la règle 1-to-1 NAT lors de la création d’un tunnel
VPN entre deux réseaux qui utilisent une même adresse réseau privée. Si la plage d’adresses réseau sur le
réseau distant est la même que sur le réseau local, vous pouvez configurer les deux passerelles pour
qu’elles utilisent la règle 1-to-1 NAT.
Vous configurez une règle 1-to-1 NAT pour un tunnel VPN lorsque vous configurez le tunnel VPN et pas
dans la boîte de dialogue NAT > réseau page.
Configurer 1-to-1 NAT pour le pare-feu
1. Sélectionnez Réseau > NAT.
La page Paramètres NAT apparaît.
2. Dans la section 1-to-1 NAT, cliquez sur Ajouter.
La page Configuration 1-to-1 NAT apparaît.
148
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
3. Dans la liste déroulante Type de mappage, sélectionnez IP unique (pour mapper un hôte), Plage IP
(pour mapper une plage d’hôtes) ou Sous-réseau IP (pour mapper un sous-réseau).
Si vous sélectionnez Plage IP ou Sous-réseau IP, n’incluez pas plus de 256 adresses IP dans cette
plage ou ce sous-réseau. Pour appliquer la traduction NAT à plus de 256 adresses IP, vous devez
créer plusieurs règles.
4. Remplissez tous les champs de la section Configuration.
Pour plus d’informations sur l’utilisation de ces champs, voir la section suivante Définir une règle NAT
un à un.
5. Cliquez sur Enregistrer.
Après avoir configuré une règle globale 1-to-1 NAT, vous devez ajouter les adresses IP NAT aux stratégies
appropriées..
n
n
Si votre stratégie gère le trafic sortant, ajoutez les adresses IP de base réelles à la section De de la
configuration de stratégie.
Si votre stratégie gère le trafic entrant, ajoutez les adresses IP de base NAT à la section À de la
configuration de stratégie.
Dans l’exemple précédent, dans lequel nous avons utilisé une règle 1-to-1 NAT pour donner l’accès à un
groupe de serveurs de messagerie décrit dans À propos de 1-to-1 NAT à la page 147, nous devons
configurer la stratégie SMTP pour permettre le trafic SMTP. Pour terminer cette configuration, vous devez
modifier les paramètres stratégie pour autoriser le trafic depuis le réseau externe vers la plage d’adresses
IP 10.1.1.1-10.1.1.5.
1.
2.
3.
4.
5.
Créez une stratégie ou modifiez une stratégie existante.
À côté de la liste De , cliquez sur Ajouter.
Sélectionnez l’alias Any-External (Tout-Externe) et cliquez sur OK.
À côté de la liste À, cliquez sur Ajouter.
Pour ajouter une adresse IP à la fois, sélectionnez IP de l’hôte dans la liste déroulante et saisissez
l’adresse IP dans la zone de texte située à côté, puis cliquez sur OK.
Guide de l’utilisateur
149
Traduction d’adresses réseau (NAT)
6. Répétez les étapes 3-4 pour chaque adresse IP de la plage d’adresses NAT.
Pour ajouter plusieurs adresses IP à la fois, sélectionnez Plage d’hôtes dans la liste déroulante.
Saisissez les première et dernière adresses IP de la plage de base NAT et cliquez sur OK.
Note Pour vous connecter à un ordinateur situé sur une autre interface qui fait appel à
la règle 1-to-1 NAT, vous devez utiliser l’adresse IP (base NAT) privée de cet
ordinateur. Si cela pose un problème, vous pouvez désactiver la règle 1-to-1 NAT
pour utiliser la traduction d’adresses réseau statique.
Définir un Règle 1-to-1 NAT
Dans chaque règle 1-to-1 NAT, vous pouvez configurer un hôte, une plage d’hôtes ou un sous-réseau. Vous
devez également configurer :
Interface
Nom de l’interface Ethernet sur laquelle la règle 1-to-1 NAT est appliquée. Votre périphérique
WatchGuard appliquera la règle 1-to-1 NAT aux paquets envoyés à l’interface et depuis cette
dernière. Dans notre exemple ci-dessus, la règle est appliquée à l’interface externe.
Base NAT
Lorsque vous configurez une règle 1-to-1 NAT, vous utilisez plage d’adresses IP De et À. La base NAT
est la première adresse IP disponible de la À. L’adresse IP de base NAT est l’adresse qui devient une
adresse IP de base réelle soumise à la règle 1-to-1 NAT. Vous ne pouvez pas utiliser l’adresse IP
d’une interface Ethernet existante en tant que base NAT. Dans notre exemple ci-dessus, la base NAT
est 50.50.50.1.
Base réelle
Lorsque vous configurez une règle 1-to-1 NAT, vous utilisez plage d’adresses IP De et À. La base
réelle est la première adresse IP disponible de la plage d’adresses De. Il s’agit de l’adresse IP
attribuée à l’interface Ethernet physique de l’ordinateur auquel vous appliquez la stratégie 1-to-1
NAT. Lorsque les paquets provenant d’un ordinateur associé à une adresse de base réelle transitent
par l’interface spécifiée, l’action un à un s’applique. Dans l’exemple ci-dessus, la base réelle est
10.0.1.50.
Nombre d’hôtes soumis à la règle NAT (pour plages IP uniquement)
Nombre d’adresses IP d’une plage auquel s’applique la règle 1-to-1 NAT. La première adresse IP de
base réelle est traduite en première adresse IP de base NAT lors de l’application de la règle 1-to-1
NAT. La deuxième adresse IP de base réelle de la plage est traduite en deuxième adresse IP de base
NAT lors de l’application de la règle 1-to-1 NAT. Cette opération se répète jusqu’à ce que le nombre
d’hôtes soumis à la règle NAT soit atteint. Dans l’exemple ci-dessus, le nombre d'hôtes à soumettre à
la règle NAT est 5.
Vous pouvez également utiliser la règle 1-to-1 NAT lors de la création d’un tunnel VPN entre deux réseaux
qui utilisent une même adresse réseau privée. En effet, lorsque vous créez un tunnel VPN, les réseaux à
chaque extrémité du tunnel doivent avoir différentes plages d’adresses réseau. Si la plage d’adresses
150
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
réseau sur le réseau distant est la même que sur le réseau local, vous pouvez configurer les deux
passerelles pour qu’elles utilisent la règle 1-to-1 NAT. Ensuite, vous pouvez créer le tunnel VPN sans
modifier les adresses IP à une extrémité du tunnel. Vous configurez une règle 1-to-1 NAT pour un tunnel
VPN lorsque vous configurez le tunnel VPN et pas dans la boîte de dialogue NAT >réseau.
Pour accéder à un exemple d’utilisation d’une règle 1-to-1 NAT, voir Exemple de règle 1-to-1 NAT.
Configurer 1-to-1 NAT pour une stratégie
Dans la règle 1-to-1 NAT basée sur une stratégie, votre périphérique WatchGuard utilise les plages IP
publiques et privées que vous avez définies lorsque vous avez configuré la règle 1-to-1 NAT globale, mais
les règles s’appliquent à une stratégie individuelle. L’activation de la règle 1-to-1 NAT s’effectue dans la
configuration par défaut de chaque stratégie. Si le trafic correspond à la fois à une stratégie 1-to-1 NAT et à
une stratégie de traduction d’adresses réseau dynamique, c’est la stratégie 1-to-1 NAT qui est prioritaire.
Activer 1-to-1 NAT pour une stratégie
L’activation de la règle 1-to-1 NAT pour une stratégie étant la valeur par défaut, il est inutile de l’activer. Si
vous avez désactivé la règle 1-to-1 NAT basée sur une stratégie, cochez la case dansÉtape 4 de la procédure
suivante pour la réactiver.
Désactiver la règle 1-to-1 NAT pour une stratégie
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
La liste des stratégies de pare-feu apparaît.
2. Sélectionnez une stratégie et cliquez sur Modifier.
La page Configuration de stratégie apparaît.
3. Cliquez sur l’onglet Avancé.
Guide de l’utilisateur
151
Traduction d’adresses réseau (NAT)
4. Désélectionnez la case 1-to-1 NAT pour désactiver la règle NAT pour le trafic contrôlé par cette
stratégie.
5. Cliquez sur Enregistrer.
Configurer le bouclage NAT avec la traduction
d’adresses réseau statique
Fireware XTM prend en charge le bouclage NAT. Le bouclage NAT permet à un utilisateur des réseaux
approuvé ou facultatif d’accéder à un serveur public qui se trouve sur la même interface physique Firebox
par son adresse IP publique ou son nom de domaine. Pour les connexions de bouclage NAT, Firebox change
l’adresse IP source et utilise l’adresse IP de l’interface interne Firebox (l’adresse IP principale de l’interface
dans laquelle le client et le serveur se connectent à Firebox).
Voici un exemple de configuration de bouclage NAT avec la règle NAT statique :
L’entreprise ABC dispose d’un serveur HTTP sur une interface Firebox approuvée. L’entreprise une règle
NAT statique pour faire correspondre l’adresse IP publique au serveur interne. L’entreprise souhaite
autoriser les utilisateurs du réseau approuvé à utiliser l’adresse IP publique ou le nom de domaine pour
accéder à ce serveur public.
Pour cet exemple, nous partons des postulats suivants :
n
n
n
L’interface approuvée est configurée avec une adresse IP sur le réseau 10.0.1.0/24
L’interface approuvée est également configurée avec une adresse IP secondaire sur le réseau
192.168.2.0/24
Le serveur HTTP est connecté physiquement au réseau 10.0.1.0/24. L’adresse de base réelle du
serveur HTTP se trouve sur le réseau approuvé.
Ajouter une stratégie pour le bouclage NAT sur le serveur
Dans cet exemple, pour autoriser les utilisateurs de vos réseaux approuvé et facultatif à utiliser l’adresse IP
publique ou le nom de domaine pour accéder à un serveur public se trouvant sur le réseau approuvé, vous
devez ajouter une stratégie HTTP qui pourrait avoir cette apparence :
152
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
La section À de la stratégie contient un itinéraire NAT statique depuis l’adresse IP publique du serveur HTTP
jusqu’à l’adresse IP réelle de ce serveur.
Pour plus d’informations sur la traduction d’adresses réseau statique, voir À propos de NAT statique à la
page 157.
Si vous utilisez 1-to-1 NAT pour acheminer le trafic vers les serveurs à l’intérieur de votre réseau, voir
Bouclage NAT et 1-to-1 NAT à la page 154.
Guide de l’utilisateur
153
Traduction d’adresses réseau (NAT)
Bouclage NAT et 1-to-1 NAT
Le bouclage NAT permet à un utilisateur des réseaux approuvé ou facultatif de se connecter à un serveur
public avec son adresse IP publique ou son nom de domaine si le serveur se trouve sur la même interface
Firebox physique. Si vous utilisez la règle 1-to-1 NAT pour acheminer le trafic jusqu’aux serveurs sur le
réseau interne, utilisez ces instructions pour configure le bouclage NAT des utilisateurs internes jusqu’à ces
serveurs. Si vous n’utilisez pas la règle 1-to-1 NAT, voir Configurer le bouclage NAT avec la traduction
d’adresses réseau statique à la page 152.
Voici un exemple de configuration de bouclage NAT avec la règle 1-to-1 NAT :
L’entreprise ABC dispose d’un serveur HTTP sur une interface Firebox approuvée. Elle utilise une règle 1-to1 NAT pour faire correspondre l’adresse IP publique au serveur interne. L’entreprise souhaite autoriser les
utilisateurs de l’interface approuvée à utiliser l’adresse IP publique ou le nom de domaine pour accéder à
ce serveur public.
Pour cet exemple, nous partons des postulats suivants :
n
Un serveur dont l’adresse IP publique est 100.100.100.5 est mis en correspondance par une règle
1-to-1 NAT à un hôte du réseau interne.
Dans la section 1-to-1 NAT de la page Configuration NAT, sélectionnez ces options :
Interface — Externe, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5
n
n
n
L’interface approuvée est configurée avec un réseau principal, 10.0.1.0/24
Le serveur HTTP est connecté physiquement au réseau sur l’interface approuvée. L’adresse Base
réelle de cet hôte se trouve sur l’interface approuvée.
L’interface approuvée est également configurée avec un réseau secondaire, 192.168.2.0/24.
Dans cet exemple, afin d’activer le bouclage NAT pour tous les utilisateurs connectés à l’interface
approuvée, vous devez :
1. Vérifier qu’il existe une entrée 1-to-1 NAT pour chaque interface utilisée par le trafic lorsque les
ordinateurs internes accèdent à l’adresse IP publique 100.100.100.5 avec connexion de bouclage
154
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
NAT.
Vous devez ajouter un autre mappage NAT un à un pour l’appliquer au trafic qui part de l’interface
approuvée. Le nouveau mappage un à un est identique au précédent, à l’exception du fait que
l’option Interface est définie sur Approuvée au lieu d’Externe.
Après l’ajout de la deuxième entrée 1-to-1 NAT, l’onglet 1-to-1 NAT la boîte de dialogue
Configuration page indique deux mappages 1-to-1 NAT : un pour l’interface externe et l’autre pour
l’interface approuvée.
Dans la section 1-to-1 NAT de la page Configuration NAT, ajoutez ces deux entrées :
Interface — Externe, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5
Interface — Approuvée, Base NAT — 100.100.100.5, Base réelle — 10.0.1.5
2. Ajoutez pour chaque réseau une entrée de traduction d’adresses réseau dynamique sur l’interface à
laquelle le serveur est connecté.
Le champ De de l’entrée de traduction d’adresses réseau dynamique est l’adresse IP du réseau à
partir duquel les ordinateurs accèdent à l’adresse IP 1-to-1 NAT avec bouclage NAT.
Le champ À de l’entrée de traduction d’adresses réseau dynamique est l’adresse de base NAT du
mappage 1-to-1 NAT.
Dans cet exemple, l’interface approuvée comporte deux réseaux définis et nous souhaitons
autoriser les utilisateurs des deux réseaux à accéder au serveur HTTP avec l’adresse IP publique ou
le nom d’hôte du serveur. Nous devons ajouter deux entrées de traduction d’adresses réseau
dynamique.
Dans la section NAT dynamique de la page Configuration NAT, ajoutez :
10.0.1.0/24 - 100.100.100.5
192.168.2.0/24 - 100.100.100.5
3. Ajoutez une stratégie pour autoriser les utilisateurs de votre réseau approuvé à utiliser l’adresse IP
publique ou le nom de domaine pour accéder au serveur public sur le réseau approuvé. Dans cet
Guide de l’utilisateur
155
Traduction d’adresses réseau (NAT)
exemple :
De
Any-Trusted (Tout-Approuvé)
À
100.100.100.5
L’adresse IP publique à laquelle les utilisateurs souhaitent se connecter est 100.100.100.5. Cette
adresse IP est configurée comme adresse IP secondaire de l’interface externe.
Dans la section À de la stratégie, ajoutez 100.100.100.5.
Pour plus d’informations sur la configuration de la traduction d’adresses réseau statique, voir À propos de
NAT statique à la page 157.
156
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
Pour plus d’informations sur la configuration d’une règle 1-to-1 NAT, voir Configurer 1-to-1 NAT pour le
pare-feu à la page 148.
À propos de NAT statique
Le principe de NAT statique, appelé également transfert de port, est une traduction d’adresses réseau port
à hôte. Un hôte envoie un paquet du réseau externe vers un port d’une interface externe. La traduction
d’adresses réseau statique change l’adresse IP de destination en une adresse IP et en un port se trouvant
derrière le pare-feu. Si une application logicielle utilise plusieurs ports et que ces ports sont sélectionnés de
façon dynamique, utilisez 1-to-1 NAT ou vérifiez si un proxy sur votre périphérique WatchGuard peut gérer
ce type de trafic. La traduction d’adresses réseau statique fonctionne également sur le trafic envoyé depuis
les réseaux que protège votre périphérique WatchGuard.
Lorsque vous utilisez la traduction d’adresses réseau statique, vous utilisez en fait une adresse IP externe de
votre périphérique Firebox et non l’adresse IP d’un serveur public. Ceci est possible, car vous l’avez choisi
ou parce que votre serveur public ne possède pas d’adresse IP publique. Par exemple, vous pouvez placer
votre serveur de messagerie SMTP derrière votre périphérique WatchGuard avec une adresse IP privée et
configurer la traduction d’adresses réseau statique dans votre stratégie SMTP. Votre périphérique
WatchGuard reçoit les connexions sur le port 25 et s’assure que tout le trafic SMTP est envoyé au serveur
SMTP réel situé derrière le périphérique Firebox.
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
2. Double-cliquez sur une stratégie pour la modifier.
3. Dans la liste déroulante Les connexions sont, sélectionnez Autorisées.
Pour utiliser la traduction d’adresses réseau statique, la stratégie doit laisser passer le trafic entrant.
4. Sous la liste À, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s’affiche.
Note La traduction d’adresses réseau statique n’est disponible que pour les stratégies
utilisant un port spécifique, notamment TCP et UDP. Une stratégie qui utilise un
autre protocole ne peut pas utiliser de traduction des adresses réseau entrantes
statique. Le bouton NAT de la boîte de dialogue Propriétés de cette stratégie n’est
pas disponible. Vous ne pouvez pas non plus utiliser la traduction des adresses
réseau statique avec la stratégie Any.
Guide de l’utilisateur
157
Traduction d’adresses réseau (NAT)
5. Dans la liste déroulante Type de membre, sélectionnez Traduction d’adresses réseau.
6. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP externe ou l’alias que vous
souhaitez utiliser dans cette stratégie.
Par exemple, vous pouvez utiliser la traduction d’adresses réseau statique pour cette stratégie pour
les paquets reçus uniquement sur une seule adresse IP externe. Vous pouvez également utiliser la
traduction d’adresses réseau statique pour les paquets reçus sur une adresse IP externe si vous
sélectionnez l’alias Any-External (Tout-Externe).
7. Saisissez l’adresse IP interne. Il s’agit de la destination sur le réseau approuvé ou facultatif.
8. Si nécessaire, sélectionnez Configurer le port interne sur un port autre . Cette option active la
traduction d’adresses de port (PAT, Port Address Translation).
Cette fonction vous permet de modifier la destination des paquets non seulement vers un hôte
interne spécifié, mais également vers un autre port. Si vous cochez cette case, saisissez le numéro
de port ou cliquez sur le bouton fléché Haut ou Bas pour sélectionner le port que vous souhaitez
utiliser. Cette option n’est généralement pas utilisée.
9. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un NAT statique.
L’itinéraire de la traduction d’adresses réseau statique s’affiche dans la liste Membres et adresses.
10. Cliquez sur Enregistrer.
Configurer les équilibrage de charge côté serveur
Note Pour utiliser l’équilibrage de charge côté serveur, vous devez avoir un périphérique
Firebox X Core, Peak ou WatchGuard XTM et Fireware XTM avec mise à niveau vers
la version professionnelle.
La fonctionnalité d’équilibrage de charge côté serveur dans Fireware XTM est conçue pour augmenter
l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics. Grâce à
l’équilibrage de charge côté serveur, vous pouvez faire en sorte que le périphérique WatchGuard contrôle
le nombre de sessions établies vers un maximum de 10 serveurs pour chaque stratégie de pare-feu que
vous configurez. Le périphérique WatchGuard contrôle la charge en fonction du nombre de sessions en
cours sur chaque serveur. Aucune mesure ou comparaison de la bande passante utilisée par chaque
serveur n’est effectuée par le périphérique WatchGuard.
Vous configurez l’équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses
réseau statique. Le périphérique WatchGuard peut équilibrer les connexions parmi vos serveurs à l’aide de
deux algorithmes différents. Lorsque vous configurez l’équilibrage de charge côté serveur, vous devez
choisir l’algorithme que vous souhaitez que le périphérique WatchGuard applique.
Tourniquet
Si vous sélectionnez cette option, le périphérique WatchGuard distribue les sessions entrantes
parmi les serveurs que vous spécifiez dans la stratégie, à tour de rôle. La première connexion est
envoyée au premier serveur spécifié dans la stratégie. La connexion suivante est envoyée au
serveur suivant dans la stratégie, et ainsi de suite.
158
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
Connexion minimale
Si vous sélectionnez cette option, le périphérique WatchGuard envoie chaque nouvelle session au
serveur de la liste présentant à ce moment-là le moins de connexions ouvertes au périphérique. Le
périphérique WatchGuard ne peut pas déterminer le nombre de connexions ouvertes du serveur sur
d’autres interfaces. Vous pouvez appliquer des pondérations à vos serveurs dans la configuration de
l’équilibrage de charge côté serveur afin de garantir que la charge la plus lourde est attribuée à vos
serveurs les plus puissants. Par défaut, chaque interface présente une pondération de 1. La
pondération désigne la proportion de charge que le périphérique WatchGuard envoie à un serveur.
Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que le
périphérique WatchGuard envoie à ce serveur par rapport à un serveur doté d’une pondération de 1.
Lors de la configuration de l’équilibrage de charge côté serveur, il est important de savoir que :
n
n
n
n
n
Vous pouvez configurer l’équilibrage de charge côté serveur pour toutes les stratégies auxquelles
vous appliquez la traduction d’adresses réseau statique.
Si vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous ne pouvez pas définir un
routage basé sur stratégie ou d’autres règles NAT dans la même stratégie.
Lorsque vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous pouvez ajouter
jusqu’à 10 serveurs à la stratégie.
Le périphérique WatchGuard ne modifie pas l’adresse IP de l’expéditeurou de la source, du trafic
envoyé sur ces périphériques. Le trafic est envoyé directement depuis le périphérique
WatchGuard, mais chaque périphérique faisant partie de votre configuration d’équilibrage de
charge côté serveur voit l’adresse IP source d’origine du trafic réseau.
Si vous utilisez l’équilibrage de charge côté serveur dans une configuration FireCluster actif/passif, la
synchronisation en temps réel ne s’effectue pas entre les membres du cluster lorsqu’un
basculement se produit. Lorsque le maître du cluster passif devient le maître du cluster actif, il
envoie des connexions à tous les serveurs de la liste d’équilibrage de charge côté serveur pour
déterminer ceux qui sont disponibles. Il applique ensuite à tous les serveurs disponibles l’algorithme
d’équilibrage de charge.
Pour configurer l’équilibrage de charge côté serveur :
1. Sélectionnez Pare-feu > Stratégies de pare-feu. Sélectionnez la stratégie que vous souhaitez
modifier et cliquez sur Modifier.
Vous pouvez également ajouter une stratégie.
2. Sous le champ À, cliquez sur Ajouter.
La boîte de dialogue Ajouter liste déroulante Type apparaît.
3. Dans la liste déroulante Type de membre, sélectionnez Équilibrage de charge côté serveur.
Guide de l’utilisateur
159
Traduction d’adresses réseau (NAT)
4. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP externe ou l’alias que vous
souhaitez utiliser dans cette stratégie.
Par exemple, vous pouvez faire en sorte que le périphérique WatchGuard applique l’équilibrage de
charge côté serveur à cette stratégie pour les paquets reçus uniquement sur une seule adresse IP
externe. Le périphérique WatchGuard peut également appliquer l’équilibrage de charge côté
serveur pour les paquets reçus sur toutes les adresses IP externes, si vous sélectionnez l’alias AnyExternal (Tout-Externe).
5. Dans la liste déroulante Méthode, sélectionnez l’algorithme que le périphérique WatchGuard doit
utiliser pour l’équilibrage de charge côté serveur : Tourniquet ou Connexion minimale.
6. Cliquez sur Ajouter pour ajouter les adresses IP de vos serveurs internes pour cette stratégie.
Vous pouvez ajouter un maximum de 10 serveurs dans une stratégie. Vous pouvez également ajouter
une pondération au serveur. Par défaut, chaque serveur présente une pondération de 1. La
pondération désigne la proportion de charge que le périphérique WatchGuard envoie à un serveur.
Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que le
périphérique WatchGuard envoie à ce serveur par rapport à un serveur doté d’une pondération de 1.
7. Pour définir des connexions persistantes pour vos serveurs internes, cochez la case Activer une
connexion persistante et définissez la période dans les champs Activer une connexion persistante.
160
WatchGuard System Manager
Traduction d’adresses réseau (NAT)
Une connexion persistante est une connexion qui continue à utiliser le même serveur pendant un
intervalle de temps défini. La persistance garantit que tous les paquets situés entre une paire
d’adresses source et de destination sont envoyés à un même serveur pendant la durée que vous
spécifiez.
8. Cliquez sur Enregistrer.
Exemples de traduction d’adresses réseau (NAT)
Exemple de règle 1-to-1 NAT
Lorsque vous activez une règle 1-to-1 NAT, le périphérique Firebox ou XTM modifie et achemine tous les
paquets entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses.
Pensez à une situation dans laquelle vous avez un groupe de serveurs internes avec des adresses IP privées
; chacune doit indiquer une adresse IP publique différente vers l’extérieur. Vous pouvez utiliser une règle
1-to-1 NAT pour faire correspondre des adresses IP publiques aux serveurs internes et vous n’avez pas
besoin de changer les adresses IP de vos serveurs internes. Pour comprendre comment configurer une
règle 1-to-1 NAT, prenez cet exemple :
Une entreprise possède un groupe de trois serveurs comportant des adresses privées et situés derrière
une interface facultative du périphérique Firebox. Les adresses des serveurs sont les suivantes :
10.0.2.11
10.0.2.12
10.0.2.13
L’administrateur sélectionne trois adresses IP publiques de la même adresse réseau que l’interface externe
du Firebox et crée des enregistrements DNS pour la résolution des adresses des serveurs. Ces adresses
sont les suivantes :
50.50.50.11
50.50.50.12
50.50.50.13
L’administrateur configure une règle 1-to-1 NAT pour les serveurs. La règle 1-to-1 NAT génère une relation
statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a l’aspect suivant :
10.0.2.11 <--> 50.50.50.11
10.0.2.12 <--> 50.50.50.12
10.0.2.13 <--> 50.50.50.13
Une fois la règle 1-to-1 NAT appliquée, Firebox crée le routage bidirectionnel et la relation NAT entre le
pool d’adresses IP privées et le pool d’adresses publiques.
Guide de l’utilisateur
161
Traduction d’adresses réseau (NAT)
Pour connaître les étapes de définition d’une règle 1-to-1 NAT, voir Configurer 1-to-1 NAT pour le pare-feu.
162
WatchGuard System Manager
9
Configuration sans fil
À propos de la configuration sans fil
Lorsque vous activez la fonction sans fil du périphérique WatchGuard, vous avez le choix entre une
configuration sans fil de l’interface externe, ou une configuration du périphérique WatchGuard comme
point d’accès sans fil pour les utilisateurs de réseaux approuvés, facultatifs ou invités.
Avant de configurer l’accès au réseau sans fil, consultez Avant de commencer à la page 165.
Activation de la fonction sans fil de votre périphérique WatchGuard :
1. Sélectionnez Réseau > Sans fil.
La page Sans fil s’affiche.
2. À la page Sans fil, choisissez une option de configuration sans fil :
Activer le client sans fil comme interface externe
Ce paramètre vous permet de configurer l’interface externe du périphérique sans fil
WatchGuard pour vous connecter à un réseau sans fil. Cette configuration est utile pour les
endroits avec infrastructure de réseau inexistante ou limitée.
Guide de l’utilisateur
163
Configuration sans fil
Pour plus d’informations sur la configuration sans fil de l’interface externe, cf. Configurer
l’interface externe en tant qu’interface sans fil à la page 182.
Activer les points d’accès sans fil
Ce paramètre sert à configurer votre périphérique sans fil WatchGuard comme point d’accès
pour utilisateurs sur les réseaux approuvés, facultatifs ou invités.
Pour plus d’informations, voir À propos de configuration Point d’accès sans fil à la page 164.
3. Dans la section Paramètres radio, sélectionnez vos paramètres radio sans fil.
Pour plus d’informations, voir Présentation des paramètres paramètres de radio sans fil sur Firebox
X Edge e-Series à la page 184 et Présentation des paramètres radio sans fil du WatchGuard XTM
sans fil Série 2 à la page 187.
4. Cliquez sur Enregistrer.
À propos de configuration Point d’accès sans fil
Tout périphérique sans fil WatchGuard peut être configuré comme point d’accès sans fil avec trois zones
différentes de sécurité : vous pouvez ainsi activer d’autres périphériques sans fil pour qu’ils se connectent
au WatchGuard à titre de membres du réseau approuvé ou du réseau facultatif ; vous pouvez également
activer un réseau invité de services sans fil pour les utilisateurs du WatchGuard. Les ordinateurs se
connectent au réseau invité par le biais du WatchGuard, mais ne peuvent pas accéder aux ordinateurs sur
les réseaux approuvé ou facultatif.
Avant d’activer le périphérique sans fil WatchGuard comme point d’accès, vous devez étudier avec soin les
utilisateurs sans fil qui s’y connecteront et établir le niveau d’accès que vous souhaitez pour chaque type
d’utilisateur. Il y a trois types d’accès sans fil que vous pouvez autoriser :
Autoriser les connexions sans fil à une interface approuvée
Lorsque vous autorisez des connexions sans fil par une interface approuvée, les périphériques sans
fil disposent d’un accès total à tous les ordinateurs du réseau facultatif et du réseau approuvé et
d’un accès total à Internet, conformément aux règles que vous avez configurées pour l’accès sortant
sur votre WatchGuard. Si vous autorisez l’accès sans fil par une interface approuvée, il est vivement
conseillé d’activer et d’utiliser la fonctionnalité de restriction MAC (cf. rubrique suivante) pour
autoriser l’accès par le périphérique WatchGuard uniquement aux appareils qui ont été ajoutés à la
liste Adresses MAC autorisées.
Pour plus d’informations sur la restriction d’accès par des adresses MAC, cf. Utiliser la liaison
d’adresse MAC statique à la page 108.
Autoriser les connexions sans fil à une interface facultative
Lorsque vous autorisez des connexions sans fil par une interface facultative, les périphériques sans
fil disposent d’un accès total à tous les ordinateurs du réseau facultatif et d’un accès total à Internet,
conformément aux règles que vous avez configurées pour l’accès sortant sur votre WatchGuard.
164
WatchGuard System Manager
Configuration sans fil
Autoriser les connexions invitées sans fil par une interface externe
Les ordinateurs qui se connectent au réseau invité sans fil ont accès à Internet par le périphérique
WatchGuard, conformément aux règles que vous avez configurées pour l’accès sortant sur votre
WatchGuard. Ces périphériques ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou
facultatif.
Pour un complément d’information sur la façon de configurer un réseau invité sans fil, cf. Activer un
réseau invité sans fil à la page 175.
Avant de configurer l’accès au réseau sans fil, consultez Avant de commencer à la page 165.
Pour autoriser des connexions sans fil à votre réseau approuvé ou à votre réseau facultatif, cf. Autoriser des
connexions sans fil au réseau facultatif ou approuvé à la page 172.
Avant de commencer
Les périphériques sans fil WatchGuard sont conformes aux normes 802.11n, 802.11b et 802.11g définies
par l’IEEE (Institute of Electrical and Electronics Engineers). Lorsque vous mettez en place un périphérique
WatchGuard sans fil :
n
n
n
n
Veillez à le placer à 20 centimètres au moins de toute personne. Il s’agit d’une exigence de la FCC
(Federal Communications Commission) concernant les émetteurs de faible puissance.
Il est préférable de mettre en place un périphérique sans fil loin des autres antennes ou émetteurs,
afin de minimiser les interférences.
L’algorithme d’authentification sans fil par défaut, configuré pour chaque zone de sécurité sans fil,
n’est pas celui qui est le plus sécurisé. Si vos appareils sans fil qui se connectent au périphérique
sans fil WatchGuard fonctionnent bien avec WPA2, nous vous conseillons d’augmenter le niveau
d’authentification à WPA2.
Un client sans fil, se connectant à WatchGuard à partir d’un réseau approuvé ou facultatif, peut faire
partie de n’importe quel tunnel VPN de succursale dans lequel le composant de réseau local des
paramètres de phase 2 inclut des adresses IP de réseau facultatif ou approuvé. Pour contrôler
l’accès au tunnel VPN, vous pouvez forcer les utilisateurs du périphérique WatchGuard à
s’authentifier.
Présentation des paramètres paramètres de
configuration
Lorsque vous activez l’accès sans fil au réseau approuvé, facultatif, ou au réseau invité sans fil, certains
paramètres de configuration sont définis de façon similaire pour les trois zones de sécurité. Ces paramètres
communs peuvent avoir différentes valeurs pour chaque zone.
Guide de l’utilisateur
165
Configuration sans fil
Pour un complément d’information sur le paramètre Diffuser l’identification SSID et répondre aux
requêtes SSID, cf. Activer/Désactiver Diffusions SSID à la page 166.
Pour un complément d’information sur le paramètre Nom du réseau (SSID), cf. Modifier SSID à la page 167.
Pour un complément d’information sur le paramètre Consigner les événements d’authentification, cf.
Journal événements d’authentification à la page 167.
Pour un complément d’information sur le Seuil de fragmentation, cf. Modifier seuil de fragmentation à la
page 167.
Pour un complément d’information sur le Seuil RTS, cf. Modifier Seuil RTS à la page 169.
Pour un complément d’information sur les paramètres Authentification et Chiffrement, cf. Présentation
des paramètres paramètres de sécurité à la page 170.
Activer/Désactiver Diffusions SSID
Les ordinateurs équipés de cartes réseau sans fil envoient des requêtes pour vérifier s’il existe des points
d’accès sans fil auxquels ils peuvent se connecter.
166
WatchGuard System Manager
Configuration sans fil
Pour configurer une interface sans fil WatchGuard dans le but d’envoyer ces requêtes et d’y répondre,
cochez la case Diffuser l’identification SSID et répondre aux requêtes SSID. Pour des raisons de sécurité,
cochez cette case uniquement lorsque vous configurez des ordinateurs sur votre réseau en vue de les
connecter au périphérique WatchGuard. Décochez cette option après que tous les clients ont été
configurés. Si vous utilisez la fonction des services invités sans fil, il peut être nécessaire d’autoriser les
diffusions SSID au cours d’une opération standard.
Modifier SSID
L’identificateur SSID (Service Set Identifier) est le nom unique de votre réseau sans fil. Pour utiliser le
réseau sans fil à partir d’un ordinateur client, la carte réseau sans fil de l’ordinateur doit posséder le même
identificateur SSID que le réseau WatchGuard sans fil auquel l’ordinateur se connecte.
Le Fireware XTM OS attribue automatiquement un identificateur SSID à chaque réseau sans fil. Cet
identificateur SSID utilise un format qui contient le nom de l’interface et une partie du numéro de série du
WatchGuard (du 5e au 9e chiffre). Pour modifier l’identificateur SSID, tapez un nouveau nom dans le champ
SSID pour identifier de manière exclusive votre réseau sans fil.
Journal événements d’authentification
Un événement d’authentification se produit lorsqu’un ordinateur sans fil tente de se connecter à une
interface sans fil d’un périphérique WatchGuard. Pour inclure ces événements dans le fichier journal,
cochez la case Consigner les événements d’authentification.
Modifier seuil de fragmentation
Firebox XTM vous permet de définir la taille maximale de la trame pouvant être envoyée par le
périphérique WatchGuard sans être fragmentée. Il s’agit du seuil de fragmentation. Ce paramètre change
rarement. Il est défini par défaut sur la taille maximale de trame de 2 346, ce qui signifie qu’aucune trame
envoyée à des clients sans fil n’est fragmentée. Il s’agit de la configuration la plus adaptée à la plupart des
environnements.
Raison de modifier le seuil de fragmentation
Il y a collision lorsque deux périphériques utilisant le même support transmettent des paquets exactement
au même moment. Les deux paquets peuvent s’endommager mutuellement, ce qui aboutit à des
morceaux de données ne pouvant être lues. Lorsqu’un paquet produit une collision, celui-ci est rejeté et
doit à nouveau être transmis. Cela augmente le temps système sur le réseau et peut réduire le débit ou la
vitesse de ce dernier.
La probabilité d’une collision entre trames augmente avec la grosseur ces dernières. Pour avoir des paquets
plus petits dans une transmission sans fil, vous baissez le seuil de fragmentation sur le périphérique
WatchGuard sans fil. La réduction de la grosseur maximum des trames permet également de diminuer le
nombre de transmissions répétées à cause de collisions, donc de réduire le temps système provoqué par
ces répétitions.
Guide de l’utilisateur
167
Configuration sans fil
D’un autre côté, les trames plus petites, donc plus nombreuses, augmentent le temps système sur le
réseau. Ce principe est d’autant vrai sur un réseau sans fil, parce que chaque trame fragmentée envoyée
d’un périphérique sans fil à un autre doit être reconnue par l’appareil destinataire. Lorsque le taux
d’erreurs de paquets est élevé (supérieur à 5 ou 10 % de collisions ou d’erreurs), vous pouvez améliorer les
performances du réseau sans fil en baissant le seuil de fragmentation. Le temps que vous gagnerez (moins
de transmissions répétées) pourra être suffisamment important pour compenser l’augmentation du temps
système causée par des paquets plus petits. Un débit plus élevé pourrait en être la conséquence.
Si vous baissez le seuil de fragmentation malgré un taux d’erreurs de paquets faible, le réseau sans fil
deviendra moins performant. En effet, lorsque vous baissez le seuil, le temps système du protocole est
augmenté, ce qui diminue l’efficacité de ce dernier.
À titre d’essai, commencez avec le seuil par défaut, soit 2 346, et baissez-le petit à petit. Pour un réglage
optimal, vous devez vérifier les erreurs de paquets du réseau à différents moments de la journée. Après
une baisse du seuil, comparez les performances du réseau : taux d’erreurs très élevé avec taux d’erreurs
moyennement élevé.
En règle générale, il est conseillé de laisser ce paramètre à 2 7346.
Modifier le seuil de fragmentation
1. Sélectionnez Réseau > Sans fil.
2. Sélectionnez le réseau sans fil à configurer. À côté de Point d’accès 1 ou Point d’accès 2 ou Invité
sans fil, cliquez sur Configurer.
Les paramètres de configuration pour ce réseau sans fil s’affichent.
168
WatchGuard System Manager
Configuration sans fil
3. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez ou
choisissez une valeur entre 256 et 2 346.
4. Cliquez sur Revenir à la page principale.
5. Cliquez sur Enregistrer.
Modifier Seuil RTS
RTS/CTS (Request To Send/Clear To Send) aide à éviter les problèmes susceptibles de se produire lorsque
des clients sans fil reçoivent des signaux provenant de plusieurs points d’accès sans fil sur le même canal.
Ce problème est parfois connu sous le nom de nœud masqué.
Il est déconseillé de modifier le seuil RTS par défaut. Lorsque le seuil RTS est sur 2 346 (réglage par défaut),
RTS/CTS est désactivé.
Guide de l’utilisateur
169
Configuration sans fil
Si vous devez modifier le seuil RTS, abaissez-le graduellement, une petite valeur à la fois. Après chaque
baisse, attendez le temps nécessaire pour constater une amélioration (ou non) des performances réseau,
avant de changer le seuil une nouvelle fois. Diminuer cette valeur de manière excessive risque d’accroître
la latence du réseau. En effet, si les demandes d’envoi sont trop nombreuses, le support partagé est sollicité
plus souvent que nécessaire.
Présentation des paramètres paramètres de
sécurité
Les périphériques sans fil WatchGuard utilisent trois normes de protocole de sécurité pour protéger votre
réseau sans fil : Il s’agit de WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) et WPA2. Chaque
norme de protocole peut chiffrer les transmissions sur le réseau local (LAN) sans fil entre les ordinateurs et
les points d’accès. Elles peuvent également empêcher l’accès non autorisé au point d’accès sans fil.
WEP et WPA utilisent chacune des clés prépartagées. L’algorithme des WPA et WPA2 change à intervalles
réguliers la clé de chiffrement, ce qui favorise une sécurisation supérieure des données envoyées par
connexion sans fil.
Pour protéger la confidentialité, vous pouvez associer ces fonctionnalités à d’autres mécanismes de
sécurité LAN, tels que la protection par mot de passe, les tunnels VPN et l’authentification utilisateur.
Définissez sans fil méthode d'authentification
Cinq méthodes d'authentification sont proposées pour les périphériques sans fil WatchGuard. Il est
recommandé d’utiliser WPA2 si possible, puisqu'il s’agit de la méthode la plus sécurisée. Voici les cinq
méthodes offertes (de la moins sécurisée à la plus sécurisée) :
Système ouvert
L’authentification à système ouvert permet à tout utilisateur de s’authentifier auprès du point
d’accès. Cette méthode peut être appliquée sans chiffrement ou avec un chiffrement WEP.
Clé partagée
Dans l’authentification à clé partagée, seuls les clients sans fil qui disposent de la clé partagée peuvent
se connecter. L’authentification à clé partagée ne peut être utilisée qu’avec le chiffrement WEP.
WPA UNIQUEMENT (PSK)
Lorsque vous utilisez l’authentification WPA (Wi-Fi Protected Access) avec des clés prépartagées,
chaque utilisateur sans fil se voit attribuer le même mot de passe pour s’authentifier auprès du point
d’accès sans fil.
WPA/WPA2 (PSK)
Lorsque vous sélectionnez l’authentification WPA/WPA2 (PSK), Edge accepte les connexions
provenant de périphériques sans fil configurés pour utiliser WPA ou WPA2.
170
WatchGuard System Manager
Configuration sans fil
WPA2 UNIQUEMENT (PSK)
La méthode d’authentification WPA2 avec clés prépartagées implémente l’intégralité de la norme
802.11i et offre la meilleure sécurité. Elle ne fonctionne pas avec certaines cartes réseau sans fil
plus anciennes.
Définir le niveau de chiffrement
Dans la liste déroulante Chiffrement, sélectionnez le niveau de chiffrement de vos connexions sans fil. Les
options pouvant être sélectionnées varient en fonction des différents mécanismes d’authentification que
vous utilisez. Le système Fireware XTM crée automatiquement une clé de chiffrement aléatoire, si besoin
est. Vous pouvez vous en servir ou la remplacer par une autre clé. Chaque client sans fil doit utiliser cette
même clé lorsqu’il se connecte au périphérique Firebox ou XTM.
Authentification à clé partagée et à système ouvert
Les options de chiffrement pour l’authentification à système ouvert et à clé partagée sont WEP 64 bits
hexadécimal, WEP 40 bits ASCII, WEP 128 bits hexadécimal et WEP 128 bits ASCII. Si vous sélectionnez
l’authentification à système ouvert, vous pouvez également sélectionner Aucun chiffrement.
1. Si vous utilisez le chiffrement WEP, tapez des caractères hexadécimaux ou ASCII dans les zones de
texte Clé. Certains pilotes de carte réseau sans fil ne prennent pas en charge les caractères ASCII.
Vous disposez de quatre clés au maximum.
n
n
n
n
Une clé hexadécimale WEP 64 bits doit avoir 10 caractères hexadécimaux (0-f).
Une clé WEP 40 bits ASCII doit avoir 5 caractères.
Une clé hexadécimale WEP 128 bits doit avoir 26 caractères hexadécimaux (0-f).
Une clé WEP 128 bits ASCII doit avoir 13 caractères.
2. Si vous avez saisi plusieurs clés, sélectionnez la clé à utiliser en tant que clé par défaut dans la liste
déroulante Index de clé.
Le périphérique Firebox ou XTM sans fil ne peut utiliser qu’une seule clé de chiffrement sans fil à la
fois. Si vous sélectionnez une clé autre que la première de la liste, vous devez également configurer
le client sans fil pour qu’il utilise la même clé.
Authentification WPA-PSK et WPA2-PSK
Les options de chiffrement des méthodes d’authentification Wi-Fi Protected Access (WPA-PSK et WPA2PSK) sont :
n
n
n
TKIP : utilisez uniquement TKIP (Temporal Key Integrity Protocol, protocole d’intégrité de clé
temporaire) pour le chiffrement. Cette option n’est pas disponible sur les modes sans fil prenant en
charge 802.11n.
AES : utilisez uniquement AES (Advanced Encryption Standard, norme de chiffrement avancée)
pour le chiffrement.
TKIP ou AES : utilisez TKIP ou AES.
Il est recommandé de sélectionner TKIP ou AES. Le périphérique sans fil Firebox ou XTM peut ainsi
accepter les connexions depuis les clients sans fil configurés pour utiliser le chiffrement TKIP ou AES. Il est
recommandé de configurer les clients sans fil 802.11n afin qu’ils utilisent le chiffrement AES.
Guide de l’utilisateur
171
Configuration sans fil
Autoriser des connexions sans fil au réseau
facultatif ou approuvé
Autorisation des connexions sans fil à votre réseau approuvé ou à votre réseau facultatif :
1. Sélectionnez Réseau > Sans fil.
La page de configuration Sans fil s’affiche.
2. Sélectionnez Activer points d’accès sans fil.
3. À côté de Point d’accès 1 ou Point d’accès 2, cliquez sur Configurer.
La boîte de dialogue de configuration Point d’accès sans fil s’affiche.
172
WatchGuard System Manager
Configuration sans fil
4. Cochez la case Activer pont sans fil à une interface approuvée ou facultative.
5. Dans la liste déroulante jouxtant Activer pont sans fil à une interface approuvée ou facultative,
sélectionnez une interface approuvée ou facultative.
Approuvé
Tous les clients sans fil sur le réseau approuvé bénéficient de l’accès total aux ordinateurs sur
les réseaux approuvé et facultatif et de l’accès à Internet défini dans les règles de pare-feu
sortantes sur votre périphérique WatchGuard.
Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP
sur le réseau facultatif de l’Edge doit être actif et configuré.
Facultatif
Tous les clients sans fil sur le réseau facultatif bénéficient de l’accès total aux ordinateurs sur les
réseaux facultatifs, et de l’accès à Internet défini dans les règles de pare-feu sortantes sur votre
périphérique WatchGuard.
Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP
sur le réseau facultatif de l’Edge doit être actif et configuré.
Guide de l’utilisateur
173
Configuration sans fil
6. Pour configurer l’interface sans fil dans le but d’envoyer des requêtes SSID et d’y répondre, cochez
la case Diffuser l’identification SSID et répondre aux requêtes SSID.
Pour uncomplémentd’informationsur ce paramètre,cf.Activer/Désactiver Diffusions SSIDàlapage 166.
7. Cochez la case Consigner les événements d’authentification si vous souhaitez que le périphérique
WatchGuard envoie un message au fichier journal chaque fois qu’un ordinateur sans fil tente de se
connecter à l’interface.
Pour de plus amples informations sur la journalisation, cf. Journal événements d’authentification à la
page 167.
8. Pour que les utilisateurs sans fil se servent du client Mobile VPN with IPSec, cochez la case Exiger
des connexions Mobile VPN with IPSec chiffrées pour les clients sans fil.
Lorsque vous cochez cette case, les seuls paquets autorisés par Firebox sur le réseau sans fil sont
DHCP, ICMP, IKE (port UDP 500), ARP et IPSec (protocole IP 50). Si vous exigez l’utilisation du client
Mobile VPN with IPSec, la sécurité pour les clients sans fil peut être renforcée lorsque vous ne
sélectionnez pas WPA ou WPA2 comme méthode d’authentification sans fil.
9. Dans la zone de texte Nom de réseau (SSID), tapez un nom unique pour votre réseau facultatif sans
fil ou utilisez le nom par défaut.
Pour un complément d’information sur la modification du SSID, cf. Modifier SSID à la page 167.
10. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez une
valeur : 256–2346. La modification de ce paramètre est déconseillée.
Pour un complémentd’information sur ce paramètre,cf. Modifier seuil defragmentation àla page 167.
11. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les
connexions sans fil à l’interface facultative. Il est conseillé d’utiliser le mode d’authentification WPA2
si les périphériques sans fil du réseau le prennent en charge.
Pour un complément d’information sur ce paramètre, cf. Définissez sans fil méthode
d'authentification.
12. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion
sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous
sélectionnez une option de chiffrement avec des clés prépartagées, une clé prépartagée aléatoire est
générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé.
Pour plus d’informations, voir Définir le niveau de chiffrement à la page 171.
13. Enregistrez la configuration.
Note Si vous activez les connexions sans fil à l’interface approuvée, il est recommandé de
limiter l’accès par le biais de l’adresse MAC. Ainsi, les utilisateurs ne pourront pas se
connecter au périphérique sans fil WatchGuard à partir d’ordinateurs non
autorisés et risquant d’avoir des virus ou des logiciels espions. Cliquez sur l’onglet
Contrôle de l’accès MAC pour mettre en vigueur ce contrôle. Vous utilisez cet
onglet de la même façon pour limiter le trafic réseau sur une interface, tel
qu’expliqué dans Limiter le trafic réseau par adresse MAC à la page 102.
174
WatchGuard System Manager
Configuration sans fil
Pour configurer un réseau invité sans fil, sans accès aux ordinateurs de vos réseaux approuvé ou facultatif,
cf. Activer un réseau invité sans fil à la page 175.
Activer un réseau invité sans fil
Vous pouvez mettre en activité un réseau invité sans fil, afin de donner à un utilisateur invité un accès à
Internet, mais non un accès aux ordinateurs de vos réseaux approuvés et facultatifs.
Configuration d’un réseau invité sans fil :
1. Sélectionnez Réseau > Sans fil.
La page Configuration sans fil apparaît.
2. Sélectionnez Activer points d’accès sans fil.
3. À côté de Invité sans fil, cliquez sur Configurer.
La boîte de configuration Invité sans fil s’affiche.
Guide de l’utilisateur
175
Configuration sans fil
4. Cochez la case Activer réseau invité sans fil.
L’autorisation des connexions sans fil de traverser le périphérique WatchGuard vers Internet repose
sur les règles que vous avez configurées pour l’accès sortant de votre périphérique. Ces ordinateurs
ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou facultatif.
5. Dans la zone de texte Adresse IP , tapez l’adresse IP privée qui sera utilisée pour le réseau invité
sans fil. L’adresse IP que vous entrez doit déjà être utilisée sur l’une de vos interfaces réseau.
6. Dans la zone de texte Masque de sous-réseau, tapez la valeur de ce dernier. La valeur correcte est
en général 255.255.255.0.
7. Si vous souhaitez configurer le périphérique WatchGuard comme serveur DHCP lorsqu’un
périphérique sans fil tente d’établir une connexion, cochez la case Activer le serveur DHCP sur le
réseau invité sans fil.
Pour un complément d’information sur la façon de définir les paramètres pour le serveur DHCP, cf.
Configurer DHCP en mode de routage mixte à la page 90.
8. Cliquez sur l’onglet Sans fil pour voir les paramètres de sécurité du réseau invité sans fil.
Les paramètres Sans fil s’affichent.
9. Cochez la case Diffuser l’identification SSID et répondre aux requêtes SSID pour que le nom de
votre réseau invité sans fil devienne visible aux utilisateurs invités.
Pour uncomplémentd’informationsur ce paramètre,cf.Activer/Désactiver Diffusions SSIDàlapage 166.
10. Pour envoyer un message dans le fichier journal à chaque tentative de connexion au réseau invité
sans fil par un ordinateur, cochez la case Consigner les événements d’authentification.
Pour de plus amples informations sur la journalisation, cf. Journal événements d’authentification à la
page 167.
176
WatchGuard System Manager
Configuration sans fil
11. Pour autoriser les utilisateurs invités sans fil à échanger du trafic, décochez la case Interdire le trafic
de réseau sans fil d’un client à l’autre.
12. Dans la zone de texte Nom du réseau (SSID), tapez le nom exclusif de votre réseau invité sans fil ou
donnez-lui le nom par défaut.
Pour un complément d’information sur la modification du SSID, cf. Modifier SSID à la page 167.
13. Pour modifier le seuil de fragmentation, dans la zone de texte Seuil de fragmentation, tapez une
valeur : 256–2346. La modification de ce paramètre est déconseillée.
Pour un complémentd’information sur ce paramètre,cf. Modifier seuil defragmentation àla page 167.
14. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les
connexions au réseau invité sans fil. Votre sélection dépend du type d’accès invité que vous
souhaitez fournir et des conditions imposées d’utilisation du réseau par vos invités (avec ou sans mot
de passe).
Pour un complément d’information sur ce paramètre, cf. Définissez sans fil méthode
d'authentification à la page 170.
15. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion
sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous
sélectionnez une option de chiffrement avec des clés prépartagées, une clé prépartagée aléatoire est
générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé.
Pour plus d’informations, voir Définir le niveau de chiffrement à la page 171.
16. Cliquez sur Revenir à la page principale.
17. Cliquez sur Enregistrer.
Vous pouvez également limiter l’accès au réseau Invité avec une adresse MAC. Cliquez sur l’onglet
Contrôle de l’accès MAC pour activer ce contrôle. Vous utilisez cet onglet de la même façon pour limiter le
trafic réseau sur une interface, tel qu’expliqué dans Limiter le trafic réseau par adresse MAC à la page 102.
Activer un point d’accès sans fil
Vous pouvez configurer votre réseau invité sans fil WatchGuard XTM 2 Series ou Firebox X Edge e-Series en
tant que point d’accès sans fil afin d’offrir une connexion Internet sans fil à vos visiteurs et clients. Lorsque
vous activez la fonctionnalité point d’accès, vous avez plus de contrôle sur les connexions à votre réseau
invité sans fil.
Lorsque vous configurez votre périphérique en tant que point d’accès sans fil, vous pouvez personnaliser :
n
n
n
un écran de démarrage qui s’affiche lorsque les utilisateurs se connectent ;
des conditions d’utilisation que les utilisateurs doivent accepter pour pouvoir accéder à un site Web ;
la durée maximale pendant laquelle un utilisateur peut se connecter sans interruption.
Lorsque vous activez la fonctionnalité point d’accès sans fil, la stratégie Autoriser les utilisateurs de Hotspot
est automatiquement créée. Cette stratégie permet aux utilisateurs de se connecter à vos interfaces
externes, à partir de l’interface du réseau invité sans fil. Les utilisateurs de points d’accès sans fil peuvent
ainsi accéder sans fil à Internet même s’ils n’ont pas accès aux ordinateurs de vos réseaux approuvés et
facultatifs.
Guide de l’utilisateur
177
Configuration sans fil
Avant de configurer un point d’accès sans fil, vous devez configurer les paramètres de votre réseau invité
sans fil comme décrit dans la section Activer un réseau invité sans fil.
Pour configurer le point d’accès sans fil :
1.
2.
3.
4.
Sélectionnez Réseau > Sans fil.
En regard de Invité sans fil, cliquez sur Configurer.
Sur la page Sans fil, cliquez sur l’onglet Hotspot.
Cochez la case Activer le point d’accès.
Configurer les paramètres de délai pour les utilisateurs
Vous pouvez configurer les paramètres de délai pour limiter la durée pendant laquelle les utilisateurs
peuvent utiliser sans interruption votre point d’accès. Une fois le délai expiré, l’utilisateur est déconnecté.
Lorsqu’un utilisateur est déconnecté, l’utilisateur perd toute connectivité Internet, mais reste connecté au
réseau. L’écran de démarrage du point d’accès s’affiche de nouveau et l’utilisateur doit de nouveau
accepter les conditions d’utilisation pour pouvoir continuer à utiliser le point d’accès sans fil.
1. Dans la zone de texte Délai d’expiration de la session, indiquez la durée maximale pendant laquelle
un utilisateur peut se connecter sans interruption à votre point d’accès. Vous pouvez indiquer l’unité
de temps en la sélectionnant dans la liste déroulante adjacente. Si le délai d’expiration de la session
est défini sur 0 (valeur par défaut), les utilisateurs invités sans fil ne sont pas déconnectés au bout
d’un certain intervalle de temps.
2. Dans la zone de texte Délai d’inactivité, indiquez la durée pendant laquelle un utilisateur doit rester
inactif pour que la connexion expire. Vous pouvez indiquer l’unité de temps en la sélectionnant dans
la liste déroulante adjacente. Si le délai d’inactivité est défini sur 0, les utilisateurs ne sont pas
déconnectés s’ils n’envoient pas ou ne reçoivent pas de trafic.
Personnaliser l’écran de démarrage du point d’accès
Lorsque les utilisateurs se connectent à votre point d’accès, ils voient un écran de démarrage ou un site
Web auquel ils doivent se connecter pour pouvoir accéder à d’autres sites Web. Vous pouvez configurer le
texte qui s’affiche sur cette page, ainsi que l’apparence de celle-ci. Vous pouvez également rediriger les
utilisateurs vers une page Web précise une fois qu’ils ont accepté les conditions d’utilisation.
Vous devez au moins indiquer le titre de la page et les Conditions d’utilisation pour activer cette
fonctionnalité.
178
WatchGuard System Manager
Configuration sans fil
1. Dans la zone de texte Titre de la page, saisissez le texte du titre à afficher dans l’écran de démarrage
du point d’accès.
2. Pour inclure un message d’accueil :
n
n
Cochez la case Message d’accueil.
Dans la zone de texte Message d’accueil, saisissez le message que les utilisateurs verront
lorsqu’ils se connecteront au point d’accès.
3. (Facultatif) Pour inclure un logo personnalisé dans l’écran de démarrage :
n
n
Cochez la case Utiliser un logo personnalisé.
Cliquez sur Charger pour charger votre fichier de logo personnalisé.
Le fichier doit être au format .jpg, .gif ou .png. La taille maximale d’image recommandée est de
90 x 50 (largeur x hauteur) pixels ou 50 ko.
3. Dans la zone de texte Conditions d’utilisation, saisissez ou collez le texte que vos utilisateurs doivent
accepter pour pouvoir utiliser le point d’accès. Le texte ne doit pas contenir plus de 20 000
caractères.
4. Pour rediriger automatiquement les utilisateurs vers un site Web une fois qu’ils ont accepté les
conditions d’utilisation, saisissez l’URL du site Web dans la zone de texte URL de redirection.
5. Vous pouvez personnaliser les polices et couleurs de votre page d’accueil :
n
n
Police : sélectionnez la police dans la liste déroulante Police. Si vous ne spécifiez aucune police,
la page d’accueil utilise la police par défaut du navigateur de chaque utilisateur.
Taille : sélectionnez la taille du texte dans la liste déroulante Taille. Par défaut, la taille du texte
est Moyenne.
Guide de l’utilisateur
179
Configuration sans fil
n
n
Couleur du texte : il s’agit de la couleur du texte affiché sur l’écran de démarrage du point
d’accès. La couleur par défaut est #000000 (noir). La couleur configurée figure dans un carré, à
côté de la zone de texte Couleur du texte. Cliquez sur le carré coloré pour sélectionner une
autre couleur dans une palette de couleurs. Vous pouvez également saisir le code de couleur
HTML dans la zone de texte Couleur du texte.
Couleur d’arrière-plan : il s’agit de la couleur à utiliser pour l’arrière-plan de l’écran de
démarrage du point d’accès. La couleur par défaut est #FFFFFF (blanc). La couleur configurée
figure dans un carré, à côté de la zone de texte Couleur d’arrière-plan. Cliquez sur le carré
coloré pour sélectionner une autre couleur dans une palette de couleurs. Vous pouvez
également saisir le code de couleur HTML dans la zone de texte Couleur d’arrière-plan.
7. Cliquez sur Afficher un aperçu de l’écran de démarrage.
Un aperçu de l’écran de démarrage s’affiche dans une nouvelle fenêtre du navigateur.
7. Fermez la fenêtre d’aperçu du navigateur.
8. Lorsque vous avez terminé de configurer les paramètres de votre point d’accès, cliquez sur Revenir
à la page principale.
9. Cliquez sur Enregistrer. pour enregistrer les paramètres.
Se connecter à un point d’accès sans fil
Après avoir configuré votre point d’accès sans fil, vous pouvez vous connecter à ce dernier pour voir son
écran de démarrage.
1. Utilisez un client sans fil pour vous connecter à votre réseau invité sans fil. Utilisez le SSID et les
autres paramètres que vous avez configurés pour le réseau invité sans fil.
2. Ouvrez un navigateur Web. Accédez à un site Web quelconque.
L’écran de démarrage du point d’accès sans fil s’affiche dans le navigateur.
180
WatchGuard System Manager
Configuration sans fil
3. Cochez la case J’ai lu et j’accepte les conditions d’utilisation.
4. Cliquez sur Continuer.
Le navigateur affiche l’URL que vous avez initialement demandée. Sinon, si le point d’accès est configuré pour
rediriger automatiquement le navigateur vers une URL, le navigateur accède au site Web.
Vous pouvez configurer le contenu et l’aspect de l’écran de démarrage du point d’accès en définissant les
paramètres du point d’accès pour votre réseau invité sans fil.
L’URL de l’écran de démarrage du point d’accès sans fil est la suivante :
https://<IP address of the wireless guest network>:4100/hotspot .
Afficher les connexions aux points d’accès sans fil
Lorsque vous activez la fonctionnalité point d’accès sans fil, vous pouvez voir le nombre de clients sans fil
connectés. Vous avez également la possibilité de déconnecter les clients sans fil.
Pour afficher la liste des clients de point d’accès sans fil connectés :
1. Connectez-vous à Fireware XTM Web UI sur votre périphérique sans fil.
2. Sélectionnez État du système > Point d’accès sans fil.
L’adresse IP et l’adresse MAC de chaque client sans fil connecté s’affichent.
Guide de l’utilisateur
181
Configuration sans fil
Pour déconnecter un client de point d’accès sans fil, dans la boîte de dialogue:
1. Sélectionnez un ou plusieurs clients de point d’accès sans fil connectés.
2. Cliquez sur Déconnecter.
Configurer l’interface externe en tant
qu’interface sans fil
Si l’infrastructure réseau est limitée ou inexistante, vous pouvez utiliser votre périphérique WatchGuard
sans fil pour obtenir un accès réseau sécurisé. Vous devez connecter physiquement les périphériques
réseau au périphérique WatchGuard. Vous configurez ensuite l’interface externe pour vous connecter à un
point d’accès sans fil relié à un réseau plus étendu.
Note Lorsque l’interface externe est configurée avec une connexion sans fil, le
périphérique WatchGuard sans fil ne peut plus servir de point d’accès sans fil. Pour
permettre un accès sans fil, connectez un périphérique de point d’accès sans fil au
périphérique WatchGuard sans fil.
Configurer l’interface externe principale en tant qu’interface
sans fil
1. Sélectionnez Réseau > Sans fil.
La page Configuration sans fil apparaît.
182
WatchGuard System Manager
Configuration sans fil
2. Sélectionnez Activer le client sans fil en tant qu’interface externe.
3. Cliquez sur Configurer.
Les paramètres d’interface externe apparaissent.
4. Dans la liste déroulante Mode de configuration, sélectionnez une option :
Configuration manuelle
Pour utiliser une adresse IP statique , sélectionnez cette option. Saisissez l’adresse IP, le
masque de sous-réseau et la passerelle par défaut.
Client DHCP
Pour configurer l’interface externe en tant que client DHCP, sélectionnez cette option. Saisissez
les paramètres de configuration DHCP.
Pour plus d’informations sur la configuration de l’interface externe afin qu’elle utilise une adresse IP
statique ou DHCP, voir Configurer une interface externe à la page 86.
5. Cliquez sur l’onglet Sans fil.
Les paramètres de configuration du client sans fil apparaissent.
Guide de l’utilisateur
183
Configuration sans fil
6. Dans la zone de texte Nom du réseau (SSID), saisissez le nom unique de votre réseau sans fil
externe.
7. Dans la liste déroulante Authentification, sélectionnez le type d’authentification afin de permettre
les connexions sans fil. Il est conseillé d’utiliser le mode d’authentification WPA2 si les périphériques
sans fil du réseau le prennent en charge.
Pour plus d’informations sur les méthodes d’authentification sans fil, voir Présentation des
paramètres paramètres de sécurité à la page 170.
8. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion
sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous
sélectionnez une option de chiffrement avec des clés prépartagées, une clé prépartagée aléatoire est
générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé.
9. Cliquez sur Enregistrer.
Configurer un tunnel BOVPN pour plus de sécurité
Pour créer un pont sans fil et accroître la sécurité sur le réseau, ajoutez un tunnel BOVPN entre votre
périphérique WatchGuard et la passerelle externe. Sur les deux périphériques, activez le Mode agressif
dans les paramètres de phase 1 de votre configuration BOVPN.
Pour plus d’informations sur la configuration d’un tunnel BOVPN, voir À propos des tunnels BOVPN manuels
à la page 430.
Présentation des paramètres paramètres de radio
sans fil sur Firebox X Edge e-Series
Les périphériques sans fil WatchGuard envoient et reçoivent par radiofréquences le trafic des ordinateurs
équipés de cartes Ethernet sans fil. Plusieurs paramètres sont spécifiques à la sélection du canal.
Affichage et modification des paramètres radio :
1. Se connecter à Fireware XTM Web UI.
2. Sélectionnez Réseau > Sans fil.
La page Sans fil s’affiche.
184
WatchGuard System Manager
Configuration sans fil
Les Paramètres radio sont affichés au bas de cette page.
Réglage de la région d’exploitation et du canal
L’activation sans fil exige de définir la région d’exploitation.
1. Dans la liste déroulante Région d’exploitation, sélectionnez la région définissant le mieux l’endroit
où se trouve votre périphérique.
La liste des régions d’exploitation sans fil que vous pouvez sélectionner est susceptible de varier,
selon l’endroit où vous avez acheté Firebox.
2. Dans la liste déroulante Canal, sélectionnez un canal ou bien Auto.
Si vous réglez le canal sur Auto, le périphérique sans fil WatchGuard sélectionne automatiquement
le canal avec le signal le plus puissant disponible dans sa zone géographique.
En raison des différentes réglementations à travers le monde, les canaux sans fil ne sont pas tous
disponibles dans toutes les zones. Ce tableau inclut les canaux offerts pour chaque région d’exploitation
sans fil et pris en charge par Firebox X Edge E-Series sans fil.
Fréquence
Canal centrale
(MHz)
Amérique Asie
République
Australie
EMOA France Israël Japon Taïwan Populaire
& N.Z.
de Chine
1
2 412
Oui
Oui
Oui
Oui
--
--
Oui
Oui
Oui
2
2 417
Oui
Oui
Oui
Oui
--
--
Oui
Oui
Oui
Guide de l’utilisateur
185
Configuration sans fil
Fréquence
Canal centrale
(MHz)
Amérique Asie
République
Australie
EMOA France Israël Japon Taïwan Populaire
& N.Z.
de Chine
3
2 422
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
4
2 427
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
5
2 432
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
6
2 437
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
7
2 442
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
8
2 447
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
9
2 452
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
Oui
10
2 457
Oui
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
11
2 462
Oui
Oui
Oui
Oui
Oui
--
Oui
Oui
Oui
12
2 467
--
--
Oui
Oui
Oui
--
Oui
--
Oui
13
2 472
--
--
Oui
Oui
Oui
--
Oui
--
Oui
14
2 484
--
--
--
--
--
--
Oui
--
--
Définissez mode d’exploitation sans fil
La plupart des cartes sans fil fonctionnent uniquement en mode 802.11b (jusqu’à 11 Mo/seconde) ou en
mode 802.11g (54 Mo/seconde). Pour définir le mode d’exploitation du périphérique sans fil WatchGuard,
choisissez une option dans la liste déroulante Mode sans fil. Il existe trois modes sans fil :
802.11b uniquement
Ce mode force le périphérique sans fil WatchGuard à se connecter à des périphériques uniquement
en mode 802.11b.
802.11g uniquement
Ce mode force le périphérique sans fil WatchGuard à se connecter à des périphériques uniquement
en mode 802.11g.
802.11g et 802.11b
Ce mode par défaut est le paramètre recommandé. Ce mode permet au périphérique WatchGuard
de se connecter à des périphériques qui utilisent 802.11b ou 802.11g. Le périphérique WatchGuard
fonctionne en mode 802.11g uniquement lorsque toutes les cartes sans fil connectées à celui-ci
utilisent 802.11g. Si un client 802.11b se connecte au périphérique, toutes les connexions passent
automatiquement en mode 802.11b.
186
WatchGuard System Manager
Configuration sans fil
Présentation des paramètres radio sans fil du
WatchGuard XTM sans fil Série 2
Les périphériques sans fil WatchGuard envoient et reçoivent par radiofréquences le trafic des ordinateurs
équipés de cartes Ethernet sans fil. Les paramètres radio offerts pour le périphérique sans fil WatchGuard
XTM Série 2 diffèrent de ceux du périphérique sans fil Firebox X Edge e-Series.
Affichage et modification des paramètres radio :
1. Se connecter à Fireware XTM Web UI.
2. Sélectionnez Réseau > Sans fil.
La page Sans fil s’affiche.
Les Paramètres radio sont affichés au bas de cette page.
Le réglage du pays est automatique
À cause des différentes dispositions réglementaires dans le monde, les paramètres radio autorisés sont
spécifiques à chaque pays. En conséquence, chaque fois que vous allumez un périphérique sans fil XTM 2
Series, il contacte un serveur WatchGuard pour déterminer le pays et les paramètres autorisés par celui-ci.
Le périphérique doit donc être connecté à Internet. Après que le pays est identifié, vous pouvez définir
tous les paramètres radio sans fil pris en charge et autorisés dans ce pays.
Guide de l’utilisateur
187
Configuration sans fil
Dans la boîte de dialogue Configuration sans fil, le paramètre Pays indique le pays détecté par le
périphérique. Le paramètre Pays ne peut être modifié. Les options proposées pour les autres paramètres
radio sont conformes aux dispositions réglementaires du pays détecté par le périphérique.
Note Lorsque le périphérique XTM Série 2 ne peut pas se connecter au serveur
WatchGuard, le pays demeure inconnu. Dans ce cas-là, vous ne pouvez choisir
qu’un ensemble limité de paramètres radio sans fil, ceux qui sont autorisés dans
tous les pays. Le périphérique sans fil XTM Série 2 essaiera sur une base régulière de
se connecter au serveur WatchGuard pour identifier le pays et les paramètres radio
sans fil autorisés.
Si le périphérique Série 2 n’a pas encore de région définie, ou si la région n’est pas à jour, vous pouvez
forcer le périphérique à mettre à jour la région de radio sans fil.
Mise à jour de la région de radio sans fil :
1. Sélectionnez État du système > Statistiques Sans fil.
2. Cliquez sur Mettre à jour les informations de pays.
Le périphérique Série 2 contacte un serveur WatchGuard en vue de déterminer la région d’exploitation.
Sélectionnez la Bande passante et le mode sans fil
Le périphérique sans fil WatchGuard XTM Série 2 prend en charge deux sortes de bandes sans fil, 2,4 GHz
et 5 GHz. La bande passante que vous choisissez et le pays déterminent les modes sans fil pris en charge.
Sélectionnez la Bande compatible avec le mode sans fil que vous souhaitez utiliser. Sélectionnez ensuite le
mode dans la liste déroulante Mode sans fil.
La bande passante 2,4 GHz prend en charge ces modes sans fil :
802.11n, 802.11g et 802.11b
Ce mode par défaut pour la bande 2,4 GHz est le paramètre recommandé. Ce mode permet au
périphérique WatchGuard de se connecter à des appareils qui utilisent 802.11n, 802.11g ou
802.11b.
802.11g et 802.11b
Ce mode permet au périphérique sans fil WatchGuard de se connecter à des appareils qui utilisent
802.11n ou 802.11b.
802.11b UNIQUEMENT
Ce mode permet au périphérique sans fil WatchGuard de se connecter uniquement à des appareils
qui utilisent 802.11b.
La bande passante 5 GHz prend en charge ces modes sans fil :
802.11a et 802.11n
Mode par défaut de la bande passante 5 GHz. Ce mode permet au périphérique sans fil WatchGuard
de se connecter à des appareils qui utilisent 802.11a ou 802.11n.
188
WatchGuard System Manager
Configuration sans fil
802.11a SEULEMENT
Ce mode permet au périphérique sans fil WatchGuard de se connecter uniquement à des appareils
qui utilisent 802.11a.
Note Une baisse considérable des performances risque de se produire si vous choisissez
un mode sans fil prenant en charge plusieurs normes 802.11r. Cette baisse est
causée en partie par la prise en charge nécessaire des protocoles de protection
pour la compatibilité en aval lorsque des périphériques utilisant des modes plus
lents sont connectés. En outre, ces périphériques plus lents prédominent d’ordinaire
le débit, puisqu’envoyer ou recevoir la même quantité de données prend beaucoup
plus de temps avec ces appareils.
La bande 5 GHz fournit un meilleur rendement que la bande 2,4 GHz, mais elle est incompatible avec
certains périphériques sans fil. Sélectionnez la bande passante et le mode en fonction des cartes sans fil
dans les périphériques qui se connecteront au périphérique sans fil WatchGuard.
Sélection du canal
Les canaux disponibles varient selon le pays et le mode sans fil que vous choisissez. Par défaut, le Canal est
réglé sur Auto. Lorsque le canal est sur Auto, les périphériques sans fil de la Série 2 sélectionnent
automatiquement un canal silencieux dans la liste pour la bande sélectionnée. Ou, vous pouvez
sélectionner un canal particulier dans la liste déroulante Canal.
Configurer carte sans fil sur votre ordinateur
Ces instructions visent le système d’exploitation Windows XP avec Service Pack 2. Pour consulter les
instructions d’installation des autres systèmes d’exploitation, reportez-vous à la documentation ou aux
fichiers d’aide appropriés.
1. Sélectionnez démarrer > Paramètres > Panneau de configuration > Connexions réseau.
La boîte de dialogue Connexions du réseau s’affiche.
2. Faites un clic droit sur Connexion réseau sans fil, puis sélectionnez Propriétés.
La boîte de dialogue Connexions du réseau sans fil s’affiche.
3. Sélectionnez l’onglet Configuration réseaux sans fil.
4. Sous Réseaux favoris, cliquez sur Ajouter.
La boîte de dialogue Propriétés de Connexion réseau sans fil s’affiche.
5. Tapez le SSID dans la zone de texte Nom réseau (SSID).
6. Sélectionnez les méthodes d’authentification réseau et de chiffrement de données dans les listes
déroulantes. Au besoin, décochez la case La clé m’est fournie automatiquement et tapez la clé
réseau à deux reprises.
7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion réseau sans fil.
8. Cliquez sur Afficher les réseaux sans fil.
Toutes les connexions sans fil disponibles s’affichent dans la zone de texte Réseaux disponibles.
9. Sélectionnez le SSID du réseau sans fil et cliquez sur Connecter.
Si le réseau utilise le chiffrement, tapez la clé réseau deux fois dans la boîte de dialogue Connexion
réseau sans fil, puis cliquez à nouveau sur Connecter.
10. Configurez l’ordinateur sans fil pour qu’il utilise le protocole DHCP.
Guide de l’utilisateur
189
Configuration sans fil
Guide de l’utilisateur
190
10 Routage dynamique
À propos du routage dynamique
Un protocole de routage est le langage qu’utilisent les routeurs pour communiquer entre eux afin de
partager des informations sur l’état de tables de routage réseau. Avec le routage statique, les tables de
routage sont définies et inchangeables. En cas d’échec d’un routeur sur le chemin distant, un paquet ne
peut pas arriver à sa destination. Le routage dynamique procède à la mise à jour automatique des tables en
fonction de l’évolution de la configuration du réseau.
Note Certains protocoles de routage dynamique sont uniquement pris en charge par
Fireware XTM avec mise à niveau Pro. Le routage dynamique n’est pas pris en
charge par les périphériques Firebox X Edge E-Series.
Fireware XTM prend en charge les protocoles RIP v1 et RIP v2. Fireware XTM avec mise à niveau Pro prend
en charge les protocoles RIP v1, RIP v2, OSPF et BGP v4.
À propos des fichiers de configuration du démon
de routage
Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou taper
un fichier de configuration de routage dynamique pour le démon de routage que vous choisissez. Ce fichier
de configuration comprend des informations telles qu’un mot de passe et un nom de fichier journal. Pour
découvrir des exemples de fichiers de configuration pour chacun des protocoles de routage, voir les
rubriques suivantes :
n
n
n
Exemple de fichier de configuration de routage RIP
Exemple de fichier de configuration d’un routage OSPF
Exemple de fichier de configuration de routage BGP
Remarques sur les fichiers de configuration :
Guide de l’utilisateur
191
Routage dynamique
n
n
Les caractères « ! » et « # » sont placés avant les commentaires, qui correspondent à des lignes de
texte insérées dans les fichiers de configuration pour expliquer la fonction des commandes
suivantes. Si le premier caractère d’une ligne est un caractère de commentaire, le reste de la ligne
est alors interprété comme un commentaire.
Vous pouvez utiliser le mot « no » au début d’une ligne pour désactiver une commande. Par
exemple, « no network 10.0.0.0/24 area 0.0.0.0 » désactive la zone principale sur le réseau spécifié.
À propos du protocole RIP (Routing Information
Protocol)
Le protocole RIP (Routing Information Protocol) est utilisé pour gérer les informations du routeur dans un
réseau autonome, par exemple un réseau local d’entreprise (LAN) ou un réseau étendu privé (WAN). Avec
le protocole RIP, un hôte passerelle envoie sa table de routage au routeur le plus proche toutes les 30
secondes. Ce routeur, à son tour, envoie le contenu de ses tables de routage aux routeurs voisins.
Le protocole RIP convient parfaitement aux petits réseaux. Cela est dû au fait que la transmission de la table
de routage complète toutes les 30 secondes peut générer une charge de trafic importante sur le réseau.
De plus, les tables RIP sont limitées à 15 sauts. Le protocole OSPF est mieux adapté aux réseaux plus
importants.
Il existe deux versions du protocole RIP. Le protocole RIP v1 utilise la diffusion UDP sur le port 520 pour
envoyer les mises à jour des tables de routage. Le protocole RIP v2 utilise la multidiffusion pour envoyer les
mises à jour des tables de routage.
Commandes du protocole RIP
Le tableau suivant présente la liste des commandes de routage RIP v1 et RIP v2 prises en charge que vous
pouvez utiliser pour créer ou modifier un fichier de configuration de routage. Si vous utilisez le protocole
RIP v2, vous devez inclure le masque de sous-réseau pour toute commande qui utilise une adresse IP
réseau ; sinon, le protocole RIP v2 ne fonctionne pas. Les sections doivent apparaître dans le fichier de
configuration dans le même ordre qu’elles apparaissent dans ce tableau.
Section
Commande
Description
Définir une authentification par mot de passe simple ou MD5 sur une interface
interface eth [N]
Commence la section pour définir
le type d’authentification pour l’interface.
192
ip rip authentication string
[PASSWORD]
Définit un mot de passe d’authentification RIP.
key chain [KEY-CHAIN]
Définit un nom de chaîne de clé MD5.
key [INTEGER]
Définit un numéro de clé MD5.
key-string [AUTH-KEY]
Définit une clé d’authentification MD5.
ip rip authentication mode
md5
Utilise l’authentification MD5.
WatchGuard System Manager
Routage dynamique
Section
Commande
Description
ip rip authentication mode
key-chain [KEY-CHAIN]
Définit une chaîne de clé d’authentification MD5.
Configurer le démon de routage RIP
router rip
Active le démon RIP.
version [1/2]
Définit la version 1 ou 2 du protocole RIP (la valeur par
défaut est 2).
ip rip send version [1/2]
Définit la version 1 ou 2 du protocole RIP à envoyer.
ip rip receive version [1/2]
Définit la version 1 ou 2 du protocole RIP à recevoir.
no ip split-horizon
Désactive le découpage d’horizon (activé par défaut).
Configurer les interfaces et les réseaux
no network eth[N]
passive-interface eth[N]
passive-interface default
network [A.B.C.D/M]
neighbor [A.B.C.D/M]
Distribuer des itinéraires à des pairs RIP et injecter des itinéraires OSPF ou BGP dans la table de
routage RIP
Guide de l’utilisateur
default-information
originate
Partage l’itinéraire de dernier recours (itinéraire par
défaut) avec des pairs RIP.
redistribute kernel
Redistribue les itinéraires statiques de pare-feu vers des
pairs RIP.
redistribute connected
Redistribue les itinéraires de toutes les interfaces vers
des pairs RIP.
redistribute connected
route-map [MAPNAME]
Redistribue les itinéraires de toutes les interfaces vers
des pairs RIP avec un filtre de mappage d’itinéraire
(mapname).
redistribute ospf
Redistribue les itinéraires du protocole OSPF vers le
protocole RIP.
redistribute ospf routemap [MAPNAME]
Redistribue les itinéraires du protocole OSPF vers le
protocole RIP avec un filtre de mappage d’itinéraire
(mapname).
redistribute bgp
Redistribue les itinéraires du protocole BGP vers le
protocole RIP.
193
Routage dynamique
Section
Commande
Description
Redistribue les itinéraires du protocole BGP vers le
redistribute bgp route-map
protocole RIP avec un filtre de mappage d’itinéraire
[MAPNAME]
(mapname).
Configurer des filtres de redistribution d’itinéraire avec des mappages d’itinéraires et des listes d’accès
access-list [PERMIT|DENY]
[LISTNAME] [A,B,C,D/M |
ANY]
Crée une liste d’accès pour autoriser ou refuser la
redistribution d’une seule adresse IP ou de toutes les
adresses IP.
route-map [MAPNAME]
permit [N]
Crée un mappage d’itinéraire avec un nom et la priorité
N.
match ip address
[LISTNAME]
Configurer Firebox pour qu’il utilise RIP v1
1. Sélectionnez Réseau > Routage dynamique.
Configuration du routage dynamique page s’affiche.
2. Activez la case à cocher Activer le routage dynamique.
3. Cliquez sur l’onglet RIP.
194
WatchGuard System Manager
Routage dynamique
4. Sélectionnez Activer .
5. Copiez et collez le texte du fichier de configuration de votre démon de routage dans la fenêtre.
6. Cliquez sur Enregistrer.
Pour de plusamples informations,cf. Àpropos desfichiers deconfiguration dudémon deroutage àla page 191.
Autoriser le trafic RIP v1 via Firebox
Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de diffusions RIP du routeur
à l’adresse IP de diffusion du réseau. Vous devez aussi ajouter l’adresse IP de l’interface Firebox dans le
champ À.
1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur Ajouter.
La page Sélectionner un type de stratégie s’affiche.
2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter.
3. Sur la page Configuration de stratégie, configurez la stratégie de manière à autoriser le trafic
provenant de l’adresse IP ou réseau du routeur qui utilise le protocole RIP vers l’interface Firebox à
laquelle il se connecte. Vous devez également ajouter l’adresse IP de diffusion du réseau.
Guide de l’utilisateur
195
Routage dynamique
4. Cliquez sur .Enregistrer.
5. Configurez le routeur sélectionné à l’étape 3.
6. Une fois le routeur configuré, sélectionnez État du système > Itinéraires et vérifiez que Firebox et
le routeur s’envoient mutuellement des mises à jour.
Vous pouvez ensuite ajouter une authentification et restreindre la stratégie RIP à une écoute seule
sur les interfaces appropriées.
Configurer Firebox pour qu’il utilise RIP v2
1. Sélectionnez Réseau > Routage dynamique.
Configuration du routage dynamique page s’affiche.
2. Activez la case à cocher Activer le routage dynamique.
3. Cliquez sur l’onglet RIP.
4. Sélectionnez Activer .
5. Copiez et collez votre fichier de configuration du démon de routage dans la fenêtre.
6. Cliquez sur Enregistrer.
196
WatchGuard System Manager
Routage dynamique
Pour de plusamples informations,cf. Àpropos desfichiers deconfiguration dudémon deroutage àla page 191.
Autoriser le trafic RIP v2 via Firebox
Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de multidiffusions RIP v2 des
routeurs sur lesquels le protocole RIP v2 est activé vers les adresses IP de multidiffusions réservées pour le
protocole RIP v2.
1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur Ajouter.
La page Sélectionner un type de stratégie s’affiche.
2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter.
3. Sur la page Configuration de stratégie, configurez la stratégie de manière à autoriser le trafic
provenant de l’adresse IP ou réseau du routeur qui utilise le protocole RIP vers l’adresse de
multidiffusions 224.0.0.9.
4. Cliquez sur .Enregistrer.
5. Configurez le routeur sélectionné à l’étape 3.
6. Une fois le routeur configuré, sélectionnez État du système > Itinéraires et vérifiez que Firebox et
le routeur s’envoient mutuellement des mises à jour.
Vous pouvez ensuite ajouter une authentification et restreindre la stratégie RIP à une écoute seule
sur les interfaces appropriées.
Exemple de fichier de configuration de routage RIP
Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez copier et coller un
fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un exemple de fichier
de configuration pour le démon de routage RIP. Si vous souhaitez utiliser ce fichier de configuration comme
base de votre propre fichier de configuration, copiez le texte dans une application telle que Bloc-notes ou
Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les paramètres en fonction
des exigences de votre organisation.
Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez
le point d’exclamation et modifiez les variables en fonction de vos besoins.
!! SECTION 1 : Configurer les trousseaux de clés d’authentification MD5
! Définit le nom du trousseau de clés d’authentification MD5 (KEYCHAIN), le
numéro de clé (1)
! et la chaîne de la clé d’authentification (AUTHKEY).
! key chain KEYCHAIN
! key 1 ! key-string AUTHKEY
!! SECTION 2 : Configurer les propriétés de l’interface
! Définit l’authentification de l’interface (eth1).
! interface eth1
!
! Définit le mot de passe d’authentification simple du protocole RIP (SHAREDKEY).
! ip rip authentication string SHAREDKEY
!
! Définit l’authentification MD5 du protocole RIP et le trousseau MD5 (KEYCHAIN).
! ip rip authentication mode md5
! ip rip authentication key-chain KEYCHAIN
!
!! SECTION 3 : Configurer les propriétés globales du démon RIP
Guide de l’utilisateur
197
Routage dynamique
! Active le démon RIP. Doit être activé pour toutes les configurations RIP.
router rip
!
! Définit la version 1 du protocole RIP ; la valeur par défaut est 2.
! version 1
!
! Définit l’envoi et la réception sur la version 1 du protocole RIP ; la valeur
par défaut est 2.
! ip rip send version 1
! ip rip receive version 1
!
! Désactive le découpage d’horizon pour éviter les boucles de routage. La valeur
par défaut est activée.
! no ip split-horizon
!! SECTION 4 : Configurer les interfaces et les réseaux
! Désactive l’envoi et la réception par protocole RIP sur l’interface (eth0).
! no network eth0
!
! Définit le mode réception seule du protocole RIP sur l’interface (eth2).
! passive-interface eth2
!
! Définit le mode réception seule du protocole RIP sur toutes les interfaces.
! passive-interface default
!
! Active la diffusion (version 1) ou la multidiffusion (version 2) du protocole
RIP sur
! le réseau (192.168.253.0/24). !network 192.168.253.0/24
!
! Définit la monodiffusion des mises à jour de la table de routage vers le voisin
(192.168.253.254).
! neighbor 192.168.253.254
!! SECTION 5 : Redistribue des itinéraires RIP à des pairs et injecte des
itinéraires OSPF ou BGP
!! dans la table de routage RIP.
! Partage l’itinéraire de dernier recours (itinéraire par défaut) de la table de
routage des noyaux
! avec des pairs RIP.
! default-information originate
!
! Redistribue les itinéraires statiques de pare-feu vers les pairs RIP.
! redistribute kernel
!
! Définit le mappage d’itinéraires (MAPNAME) de sorte qu’il restreigne la
redistribution des itinéraires de la section 6.
! Redistribue les itinéraires de toutes les interfaces vers des pairs RIP ou avec
un filtre de mappage
! d’itinéraire (MAPNAME).
! redistribute connected
! redistribute connected route-map MAPNAME
!
! Redistribue les itinéraires du protocole OSPF vers le protocole RIP ou avec un
filtre de mappage d’itinéraire (MAPNAME).
! redistribute ospf !redistribute ospf route-map MAPNAME
!
198
WatchGuard System Manager
Routage dynamique
! Redistribue les itinéraires du protocole BGP vers le protocole RIP ou avec un
filtre de mappage d’itinéraire (MAPNAME).
! redistribute bgp !redistribute bgp route-map MAPNAME
!! SECTION 6 : Configurer des filtres de redistribution d’itinéraire avec des
mappages d’itinéraires et
!! des listes d’accès
! Crée une liste d’accès autorisant uniquement la redistribution de
172.16.30.0/24.
! access-list LISTNAME permit 172.16.30.0/24
! access-list LISTNAME deny any
!
! Crée un mappage d’itinéraire avec le nom MAPNAME et la priorité 10.
! route-map MAPNAME permit 10
! match ip address LISTNAME
À propos du protocole OSPF (Open Shortest Path
First)
Note Ceprotocole estuniquement prisen chargepar Fireware XTMavec miseà niveauPro.
Le protocole OSPF (Open Shortest Path First) est un protocole de routeur intérieur qui est utilisé dans les
réseaux de grande taille. Avec le protocole OSPF, un routeur qui détecte une modification dans sa table de
routage ou dans le réseau envoie immédiatement une mise à jour par multidiffusion à tous les autres
routeurs du réseau. Les protocoles OSPF et RIP présentent les différences suivantes :
n
n
Le protocole OSPF envoie uniquement la partie de la table de routage ayant été modifiée au cours
de sa transmission. Le protocole RIP envoie systématiquement la table de routage dans son
intégralité.
Le protocole OSPF envoie uniquement une multidiffusion lorsque ses informations ont été
modifiées. Le protocole RIP envoie la table de routage toutes les 30 secondes.
Notez également la caractéristique suivante à propos du protocole OSPF :
n
n
Si vous possédez plusieurs zones OSPF, l’une d’entre elles doit être la zone 0.0.0.0 (la zone
principale).
Toutes les zones doivent être adjacentes à la zone principale. Si ce n’est pas le cas, vous devez
configurer une liaison virtuelle à la zone principale.
Commandes OSPF
Pour créer ou modifier un fichier de configuration de routage, vous devez utiliser les commandes de
routage appropriées. Le tableau suivant présente la liste des commandes de routage OSPF prises en charge.
Les sections doivent apparaître dans le fichier de configuration dans le même ordre qu’elles apparaissent
dans ce tableau. Vous pouvez également utiliser le texte donné en exemple dans Exemple de fichier de
configuration d’un routage OSPF à la page 204.
Section
Commande
Description
Configurer l’interface
ip ospf authentication-key
[PASSWORD]
Guide de l’utilisateur
Définit le mot de passe d’authentification OSPF.
199
Routage dynamique
Section
Commande
Description
interface eth[N]
Commence la section pour définir les propriétés de
l’interface.
ip ospf message-digest-key
[KEY-ID] md5 [KEY]
Définit l’ID de clé et la clé d’authentification MD5.
ip ospf cost [1-65535]
Définit le coût de liaison pour l’interface (voir le tableau
des coûts d’interface OSP ci-dessous).
ip ospf hello-interval [165535]
Définit l’intervalle d’envoi des paquets hello ; la valeur
par défaut est 10 s.
ip ospf dead-interval [165535]
Définit l’intervalle de temps, après le dernier paquet
hello, au terme duquel un voisin est déclaré inactif ; la
valeur par défaut est 40 s.
ip ospf retransmit-interval [165535]
Définit l’intervalle entre les retransmissions d’annonces
d’état de liaison (LSA) ; la valeur par défaut est 5 s.
ip ospf transmit-delay [13600]
Définit le temps nécessaire pour envoyer une mise à
jour LSA ; la valeur par défaut est 1 s.
ip ospf priority [0-255]
Définit la priorité de l’itinéraire ; une valeur élevée
augmente les chances du routeur de devenir le
routeur désigné (DR).
Configurer le démon de routage OSPF
router ospf
Active le démon OSPF.
ospf router-id [A.B.C.D]
Définit l’ID du routeur pour OSPF manuellement ; le
routeur déterminera son propre ID s’il n’est pas défini.
ospf rfc 1583compatibility
Active la compatibilité avec le document RFC 1583
(peut entraîner des boucles de routage).
ospf abr-type
Pour plus d’informations sur cette commande, voir le
[cisco|ibm|shortcut|standard] fichier draft-ietf-abr-o5.txt.
passive-interface eth[N]
Désactive l’annonce OSPF sur l’interface eth[N].
auto-cost reference
bandwidth[0-429495]
Définit un coût global (voir le tableau des coûts OSPF cidessous) ; ne pas l’utiliser conjointement avec la
commande « ip ospf [COST] ».
timers spf [0-4294967295][04294967295]
Définit le délai de planification et le délai de rétention
OSPF
Activer OSPF sur un réseau
200
WatchGuard System Manager
Routage dynamique
Section
Commande
Description
*La variable « area » prend en charge deux
formats : [W.X.Y.Z] ou en tant qu’entier [Z].
Annonce OSPF sur le réseau.
network [A.B.C.D/M] area [Z]
A.B.C.D/M for area 0.0.0.Z
Configurer les propriétés de la zone principale ou d’autres zones
La variable « area » prend en charge deux formats : [W.X.Y.Z] ou en tant qu’entier [Z].
area [Z] range [A.B.C.D/M]
Crée une zone 0.0.0.Z et définit un réseau à classes
pour la zone (la plage et le paramètre de réseau et de
masque d’interface doivent correspondre).
area [Z] virtual-link [W.X.Y.Z]
Définit le voisin de liaison virtuelle pour la zone 0.0.0.Z.
area [Z] stub
Définit la zone 0.0.0.Z en tant que stub.
area [Z] stub no-summary
area [Z] authentication
Active l’authentification par mot de passe simple pour
la zone 0.0.0.Z.
area [Z] authentication
message-digest
Active l’authentification MD5 pour la zone 0.0.0.Z.
Redistribuer les itinéraires OSPF
default-information originate
Partage l’itinéraire de dernier recours (itinéraire par
défaut) avec OSPF.
default-information originate
metric [0-16777214]
Partage l’itinéraire de dernier recours (itinéraire par
défaut) avec OSPF et ajoute une mesure utilisée pour
générer l’itinéraire par défaut.
default-information originate
always
Partage toujours l’itinéraire de dernier recours
(itinéraire par défaut).
default-information originate
always metric [0-16777214]
Partage toujours l’itinéraire de dernier recours
(itinéraire par défaut) et ajoute une mesure utilisée
pour générer l’itinéraire par défaut.
redistribute connected
Redistribue les itinéraires de toutes les interfaces vers
le protocole OSPF.
redistribute connected
metrics
Redistribue les itinéraires de toutes les interfaces vers
le protocole OSPF et ajoute une mesure utilisée pour
l’action.
Configurer la redistribution des itinéraires avec
des listes d’accès et des mappages d’itinéraires
Guide de l’utilisateur
201
Routage dynamique
Section
Commande
Description
access-list [LISTNAME] permit
[A.B.C.D/M]
Crée une liste d’accès pour autoriser la distribution de
A.B.C.D/M.
access-lists [LISTNAME] deny
any
Interdit la distribution de tout mappage d’itinéraire non
spécifié ci-dessus.
route-map [MAPNAME]
permit [N]
Crée un mappage d’itinéraire avec le nom [MAPNAME]
et la priorité [N].
match ip address [LISTNAME]
Tableau des coûts d’interface OSPF
Le protocole OSPF identifie l’itinéraire le plus efficace entre deux points. Pour cela, il prend en compte
différents facteurs tels que la vitesse de liaison de l’interface, le nombre de sauts entre les points et
d’autres mesures. Par défaut, le protocole OSPF utilise la vitesse de liaison réelle d’un périphérique pour
calculer le coût total d’un itinéraire. Vous pouvez définir manuellement le coût d’interface pour maximiser
l’efficacité si, par exemple, votre pare-feu basé sur un gigaoctet est connecté à un routeur 100M. Utilisez
les chiffres fournis dans le tableau pour attribuer manuellement au coût d’interface une valeur différente
du coût réel.
Type d’interface Bande passante en bits/s Bande passante en octets/s Coût d’interface OSPF
Ethernet
1G
128 M
1
Ethernet
100 M
12,5 M
10
Ethernet
10 M
1,25 M
100
Modem
2M
256 K
500
Modem
1M
128 K
1 000
Modem
500 K
62,5 K
2 000
Modem
250 K
31,25 K
4 000
Modem
125 K
15 625
8 000
Modem
62 500
7 812
16 000
Série
115 200
14 400
10 850
Série
57 600
7 200
21 700
Série
38 400
4 800
32 550
Série
19 200
2 400
61 120
Série
9 600
1 200
65 535
202
WatchGuard System Manager
Routage dynamique
Configurer Firebox pour utiliser OSPF
1. Sélectionnez Réseau > Routage dynamique.
Configuration du routage dynamique pages’affiche.
2. Activez la case à cocher Activer le routage dynamique.
3. Cliquez sur l’onglet OSPF.
4. Sélectionnez Activer.
5. Copiez et collez votre fichier de configuration du démon de routage dans la fenêtre.
Pour de plus amples informations, cf. À propos des fichiers de configuration du démon de routage à
la page 191.
Pour commencer, vous n’avez besoin que de deux commandes dans votre fichier de configuration
OSPF. Exécutées dans l’ordre suivant, ces deux commandes lancent le processus OSPF :
router ospf
network <network IP address of the interface you want the process to listen on and distribute
through the protocol> area <area ID in x.x.x.x format, such as 0.0.0.0>
Guide de l’utilisateur
203
Routage dynamique
6. Cliquez sur Enregistrer.
Autoriser le trafic OSPF via Firebox
Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement de multidiffusions OSPF des
routeurs sur lesquels le protocole OSPF est activé vers les adresses de multidiffusion réservées pour le
protocole OSPF.
1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur Ajouter.
La page Sélectionner un type de stratégie s’affiche.
2. Dans la liste des filtres de paquets, sélectionnez RIP. Cliquez sur Ajouter.
3. Sur la page Configuration de stratégie, configurez la stratégie de manière à autoriser le trafic
provenant de l’adresse IP ou réseau du routeur qui utilise le protocole OSPF vers les adresses IP
224.0.0.5 et 224.0.0.6.
Pour plus d’informations sur la manière de définir les adresses d’origine et de destination d’une
stratégie, voir Définir des règles d’accès pour une stratégie à la page 273.
4. Cliquez sur .Enregistrer.
5. Configurez le routeur sélectionné à l’étape 3.
6. Une fois le routeur configuré, sélectionnez État du système > Itinéraires et vérifiez que Firebox et
le routeur s’envoient mutuellement des mises à jour.
Vous pouvez ensuite ajouter une authentification et restreindre la stratégie OSPF à une écoute seule
sur les interfaces appropriées.
Exemple de fichier de configuration d’un routage OSPF
Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez copier et coller un
fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un exemple de fichier
de configuration pour le démon de routage OSPF. Si vous souhaitez utiliser ce fichier de configuration
comme base de votre propre fichier de configuration, copiez le texte dans une application telle que Blocnotes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les paramètres en
fonction des exigences de votre organisation.
Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez
le point d’exclamation et modifiez les variables en fonction de vos besoins.
!! SECTION 1 : Configurer les propriétés de l’interface
! Définit les propriétés de l’interface eth1.
! interface eth1
!
! Définit le mot de passe d’authentification simple (SHAREDKEY).
! ip ospf authentication-key SHAREDKEY
!
! Définit l’ID de la clé d’authentification MD5 (10) et la clé d’authentification
MD5 (AUTHKEY).
! ip ospf message-digest-key 10 md5 AUTHKEY
!
! Fixe le coût de liaison à 1 000 (1-65535) sur l’interface eth1
! pour le tableau des coûts de liaison OSPF. !ip ospf cost 1000
!
204
WatchGuard System Manager
Routage dynamique
! Définit l’intervalle entre les paquets hello sur 5 s. (1-65535) ; la valeur par
défaut est 10 s.
! ip ospf hello-interval 5
!
! Définit l’intervalle d’inactivité sur 15 s. (1-65535) ; la valeur par défaut
est 40 s.
! ip ospf dead-interval 15
!
! Définit l’intervalle entre les retransmissions d’annonces d’état
de liaison (LSA)
! sur 10 s. (1-65535) ; la valeur par défaut est 5 s.
! ip ospf retransmit-interval 10
!
! Définit l’intervalle de mise à jour des LSA sur 3 s. (1-3600) ; la valeur par
défaut est 1 s.
! ip ospf transmit-delay 3
!
! Définit le niveau de priorité (0-255) pour augmenter les chances du routeur de
devenir le
! routeur désigné (DR).
! ip ospf priority 255
!! SECTION 2 : Lancer le protocole OSPF et définir les propriétés du démon
! Active le démon OSPF. Doit être activé pour toutes les configurations OSPF.
! router ospf
!
! Définit l’ID du routeur manuellement sur 100.100.100.20. S’il n’est pas défini,
le pare-feu
! établira lui-même l’ID en fonction d’une adresse IP d’interface.
! ospf router-id 100.100.100.20
!
! Active la compatibilité avec le document RFC 1583 (augmente la probabilité des
boucles de routage).
! ospf rfc1583compatibility
!
! Définit le type de routeur de frontière de zone (ABR) sur cisco, ibm, shortcut
ou standard.
! Pour plus d’informations sur les types d’ABR, voir draft-ietf-ospf-abr-alt05.txt.
! ospf abr-type cisco
!
! Désactive l’annonce OSPF sur l’interface eth0.
! passive interface eth0
!
! Définit le coût global sur 1 000 (0-429495).
! auto-cost reference bandwidth 1000
!
! Définit le délai de planification de SPF sur 25 s. (0-4294967295) et le délai
de rétention sur
! sur 20 s. (0-4294967295) ; les valeurs par défaut sont 5 et 10 s.
!timers spf 25 20
!! SECTION 3 : Définir les propriétés de réseau et de zone Définit les zones à
partir de W.X.Y.Z
!! ou de la notation Z.
! Annonce le protocole OSPF sur le réseau 192.168.253.0/24 pour la zone 0.0.0.0.
Guide de l’utilisateur
205
Routage dynamique
! network 192.168.253.0/24 area 0.0.0.0
!
! Crée une zone 0.0.0.1 et définit une plage de réseau à classes
(172.16.254.0/24)
! pour la zone (la plage et les paramètres de réseau de l’interface doivent
correspondre).
! area 0.0.0.1 range 172.16.254.0/24
!
! Définit le voisin de liaison virtuelle (172.16.254.1) pour la zone 0.0.0.1.
! area 0.0.0.1 virtual-link 172.16.254.1
!
! Définit la zone 0.0.0.1 en tant que stub pour tous les routeurs de cette zone.
! area 0.0.0.1 stub
!
! area 0.0.0.2 stub no-summary
!
! Active l’authentification par mot de passe simple pour la zone 0.0.0.0.
! area 0.0.0.0 authentication
!
! Active l’authentification MD5 pour la zone 0.0.0.1.
! area 0.0.0.1 authentication message-digest
!! SECTION 4 : Redistribuer les itinéraires OSPF
! Partage l’itinéraire de dernier recours (itinéraire par défaut) de la table de
routage des noyaux
! avec les pairs OSPF.
! default-information originate
!
! Redistribue des itinéraires statiques vers le protocole OSPF.
! redistribute kernel
!
! Redistribue les itinéraires de toutes les interfaces vers le protocole OSPF.
! redistribute connected
! redistribute connected route-map
! ! Redistribue les itinéraires des protocoles RIP et BGP vers OSPF.
! redistribute rip !redistribute bgp
!! SECTION 5 : Configurer des filtres de redistribution d’itinéraire avec des
listes d’accès
!! et des mappages d’itinéraire.
! Crée une liste d’accès autorisant uniquement la redistribution de 10.0.2.0/24.
! access-list LISTNAME permit 10.0.2.0/24
! access-list LISTNAME deny any
!
! Crée un mappage d’itinéraire avec le nom MAPNAME
et la priorité 10 (1-199).
! route-map MAPNAME permit 10
! match ip address LISTNAME
206
WatchGuard System Manager
Routage dynamique
À propos du protocole BGP (Border Gateway
Protocol)
Note Ce protocole est pris en charge uniquement par Fireware XTM avec mise à niveau
Pro sur les périphériques Core e-Series, Peak e-Series et XTM.
Le protocole BGP (Border Gateway Protocol) est un protocole évolutif de routage dynamique qui est utilisé
par des groupes de routeurs sur Internet pour partager des informations de routage. Il utilise des
paramètres d’itinéraire, ou attributs, pour définir des stratégies de routage et créer un environnement de
routage stable. Grâce à ce protocole, vous pouvez annoncer plusieurs chemins depuis/vers Internet à votre
réseau et vos ressources, ce qui vous permet de bénéficier de chemins redondants et d’une éventuelle
augmentation du temps d’activité.
Les hôtes qui utilisent le protocole BGP ont recours au protocole TCP pour envoyer des informations sur les
tables de routage mises à jour lorsqu’un hôte détecte une modification. L’hôte envoie uniquement la partie
de la table de routage contenant la modification. Le protocole BGP utilise le routage CIDR (Classless
InterDomain Routing) pour réduire la taille des tables de routage Internet. La taille de la table de routage
BGP dans Fireware XTM est définie à 32 K.
Compte tenu de la taille d’un réseau étendu (WAN) client WatchGuard type, le routage dynamique OSPF est
plus approprié. Un réseau WAN peut également utiliser le protocole EBGP (External Border Gateway
Protocol) si plusieurs passerelles Internet sont disponibles. Le protocole EBGP vous permet de tirer
pleinement parti de la redondance possible avec un réseau multiconnecté.
Pour prendre part au protocole BGP avec un fournisseur de services Internet, vous devez posséder un
numéro de système autonome (ASN). Vous devez obtenir un numéro ASN auprès de l’un des registres
régionaux répertoriés dans le tableau ci-dessous. Lorsque vous recevez votre propre numéro ASN, vous
devez contacter chaque fournisseur de services Internet pour obtenir leur numéro ASN et toute autre
information nécessaire.
Région
Nom du registre
Site Web
Amérique du Nord
RIN
www.arin.net
Europe
RIPE NCC
www.ripe.net
Asie Pacifique
APNIC
www.apnic.net
Amérique latine
LACNIC
www.lacnic.net
Afrique
AfriNIC
www.afrinic.net
Commandes BGP
Pour créer ou modifier un fichier de configuration de routage, vous devez utiliser les commandes de
routage appropriées. Le tableau suivant présente la liste des commandes de routage BGP prises en charge.
Les sections doivent apparaître dans le fichier de configuration dans le même ordre qu’elles apparaissent
dans ce tableau.
Guide de l’utilisateur
207
Routage dynamique
N’utilisez pas de paramètres de configuration BGP qui ne sont pas fournis par votre fournisseur de services
Internet.
Section Commande
Description
Configure le démon de routage BGP
router bgp [ASN]
Active le démon BGP et définit le numéro de système autonome
(ASN) ; information fournie par votre fournisseur de services
Internet.
network [A.B.C.D/M]
Annonce le protocole BGP sur le réseau
A.B.C.D/M.
no network [A.B.C.D/M]
Désactive les annonces BGP sur le réseau A.B.C.D/M.
Définir les propriétés du voisin
neighbor [A.B.C.D]
remote-as [ASN]
Définit le voisin en tant que membre d’un réseau ASN distant.
neighbor [A.B.C.D] ebgpmultihop
Définit le voisin sur un autre réseau à l’aide du protocole EBGP à
sauts multiples.
neighbor [A.B.C.D] version Définit la version du protocole BGP (4, 4+, 4-) pour les
4+
communications avec le voisin ; la valeur par défaut est 4.
neighbor [A.B.C.D]
update-source [WORD]
Définit la session BGP de manière à utiliser une interface spécifique
pour les connexions TCP.
neighbor [A.B.C.D]
default-originate
Annonce l’itinéraire par défaut au voisin BGP [A,B,C,D].
neighbor [A.B.C.D] port
189
Définit le port TCP personnalisé pour communiquer avec le voisin
BGP [A,B,C,D].
neighbor [A.B.C.D] sendcommunity
Définit l’envoi de l’attribut de communauté au pair.
neighbor [A.B.C.D] weight
1000
Définit un coefficient par défaut pour les itinéraires [A.B.C.D] du
voisin.
neighbor [A.B.C.D]
maximum-prefix
[NUMBER]
Définit le nombre maximal de préfixes autorisés à partir de ce
voisin.
Listes de communautés
ip community-list [<199>|<100-199>] permit
AA:NN
Spécifie que la communauté doit accepter les numéros ASN et de
réseau séparés par deux points.
Filtrage de pairs
208
WatchGuard System Manager
Routage dynamique
Section Commande
Description
neighbor [A.B.C.D]
distribute-list [LISTNAME]
[IN|OUT]
Définit la liste de distribution et la direction pour le pair.
neighbor [A.B.C.D] prefixlist [LISTNAME] [IN|OUT]
Applique une liste de préfixes à faire correspondre aux annonces
entrantes ou sortantes de ce voisin.
neighbor [A.B.C.D] filterlist [LISTNAME] [IN|OUT]
Fait correspondre une liste d’accès de chemins système
autonomes à des itinéraires entrants ou sortants.
neighbor [A.B.C.D] routemap [MAPNAME]
[IN|OUT]
Applique un mappage d’itinéraire à des itinéraires entrants ou
sortants.
Redistribuer des itinéraires vers le protocole BGP
redistribute kernel
Redistribue des itinéraires statiques vers le protocole BGP.
redistribute rip
Redistribue des itinéraires RIP vers le protocole BGP.
redistribute ospf
Redistribue des itinéraires OSPF vers le protocole BGP.
Réflexion d’itinéraire
bgp cluster-id A.B.C.D
Configure l’ID de cluster si le cluster BGP possède plusieurs
réflecteurs d’itinéraire.
neighbor [W.X.Y.Z] routereflector-client
Configure le routeur en tant que réflecteur d’itinéraire BGP et
configure le voisin spécifié comme son client.
Listes d’accès et listes de préfixes IP
ip prefix-lists PRELIST
permit A.B.C.D/E
Définit la liste de préfixes.
access-list NAME
[deny|allow] A.B.C.D/E
Définit la liste d’accès.
route-map [MAPNAME]
permit [N]
Définit, conjointement avec les commandes « match » et « set »,
les conditions et les actions relatives à la redistribution d’itinéraires.
match ip address prefixlist [LISTNAME]
Trouve la liste d’accès spécifiée correspondante.
set community [A:B]
Définit l’attribut de communauté BGP.
match community [N]
Trouve la liste de communautés spécifiée correspondante.
set local-preference [N]
Définit la valeur de préférence pour le chemin système autonome.
Guide de l’utilisateur
209
Routage dynamique
Configurer Firebox pour qu’il utilise BGP
Pour prendre part au protocole BGP avec un fournisseur de services Internet, vous devez posséder un
numéro de système autonome (ASN). Pour de plus amples informations, cf. À propos du protocole BGP
(Border Gateway Protocol) à la page 207.
1. Sélectionnez Réseau > Routage dynamique.
Configuration du routage dynamique page s’affiche.
2. Activez la case à cocher Activer le routage dynamique.
3. Cliquez sur l’onglet BGP.
4. Sélectionnez Activer case à cocher.
5. Copiez et collez votre fichier de configuration du démon de routage dans la fenêtre.
Pour de plus amples informations, cf. À propos des fichiers de configuration du démon de routage à
la page 191.
210
WatchGuard System Manager
Routage dynamique
Pour commencer, vous n’avez besoin que de trois commandes dans votre fichier de configuration
BGP. Ces trois commandes initient le processu BGP, définissent une relation de pair avec le
fournisseur de services Internet et établissent l’itinéraire d’un réseau vers Internet. Vous devez
exécuter ces commandes dans l’ordre indiqué.
router BGP : numéro du système autonome de BGP fourni par le réseau de votre
fournisseur de services Internet : adresse IP du réseau vers lequel vous souhaitez publier
un itinéraire depuis Internet
neighbor : <IP address of neighboring BGP router> remote-as <BGP autonomous number>
6. Cliquez sur Enregistrer.
Autoriser le trafic BGP via Firebox
Vous devez ajouter et configurer une stratégie pour autoriser l’acheminement du trafic BGP vers Firebox à
partir des réseaux approuvés. Ces réseaux doivent être les mêmes que ceux que vous avez définis dans
votre fichier de configuration BGP.
1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur Ajouter.
La page Sélectionner un type de stratégie s’affiche.
2. Dans la liste des filtres de paquets, sélectionnez BGP. Cliquez sur Ajouter.
3. Sur la page Configuration de stratégie, configurez la stratégie de manière à autoriser le trafic
provenant de l’adresse IP ou réseau du routeur qui utilise le protocole BGP vers l’interface Firebox à
laquelle il se connecte. Vous devez également ajouter l’adresse IP de diffusion du réseau.
4. Cliquez sur .Enregistrer.
5. Configurez le routeur sélectionné à l’étape 3.
6. Une fois le routeur configuré, sélectionnez État du système > Itinéraires et vérifiez que Firebox et
le routeur s’envoient mutuellement des mises à jour.
Vous pouvez ensuite ajouter une authentification et restreindre la stratégie BGP à une écoute seule
sur les interfaces appropriées.
Exemple de fichier de configuration de routage BGP
Pour utiliser l’un des protocoles de routage dynamique avec Fireware XTM, vous devez importer ou taper
un fichier de configuration pour le démon de routage dynamique. Cette rubrique donne un exemple de
fichier de configuration pour le démon de routage BGP. Si vous souhaitez utiliser ce fichier de configuration
comme base de votre propre fichier de configuration, copiez le texte dans une application telle que Blocnotes ou Wordpad et enregistrez-le sous un autre nom. Vous pouvez ensuite modifier les paramètres en
fonction des besoins de votre propre entreprise.
Les commandes facultatives sont indiquées par le caractère « ! » . Pour activer une commande, supprimez
le point d’exclamation et modifiez les variables en fonction de vos besoins.
!! SECTION 1 : Démarre le démon BGP et annonce les blocs de réseau aux voisins BGP
! Active le protocole BGP et définit le numéro ASN sur 100 router bgp 100
! Annonce le réseau local 64.74.30.0/24 à tous les voisins définis dans la
section 2
! network 64.74.30.0/24
!! SECTION 2 : Propriétés du voisin
! Définit le voisin (64.74.30.1) en tant que membre d’un réseau ASN distant (200)
! neighbor 64.74.30.1 remote-as 200
Guide de l’utilisateur
211
Routage dynamique
! Définit le voisin (208.146.43.1) sur un autre réseau à l’aide du protocole EBGP
à sauts multiples
! neighbor 208.146.43.1 remote-as 300
! neighbor 208.146.43.1 ebgp-multihop
! Définit la version du protocole BGP (4, 4+, 4-) pour les communications avec le
voisin ; la valeur par défaut est 4.
! neighbor 64.74.30.1 version 4+
! Annonce l’itinéraire par défaut au voisin BGP (64.74.30.1)
! neighbor 64.74.30.1 default-originate
! Définit le port TCP personnalisé 189 pour communiquer avec le voisin BGP
(64.74.30.1) Le port TCP par défaut est 179.
! neighbor 64.74.30.1 port 189
! Définit l’envoi de l’attribut de communauté au pair.
! neighbor 64.74.30.1 send-community
! Définit un coefficient par défaut pour les itinéraires (64.74.30.1) du voisin.
! neighbor 64.74.30.1 weight 1000
! Définit le nombre maximal de préfixes autorisés à partir
de ce voisin.
! neighbor 64.74.30.1 maximum-prefix NUMBER
!! SECTION 3 : Définit les listes de communautés
! ip community-list 70 permit 7000:80
!! SECTION 4 : Filtrage des annonces
! Définit la liste de distribution et la direction pour le pair.
! neighbor 64.74.30.1 distribute-list LISTNAME [in|out]
! Applique une liste de préfixes à faire correspondre aux annonces entrantes ou
sortantes de ce voisin.
! neighbor 64.74.30.1 prefix-list LISTNAME [in|out]
! Fait correspondre une liste d’accès de chemins système autonomes à des
itinéraires entrants ou sortants.
! neighbor 64.74.30.1 filter-list LISTNAME [in|out]
! Applique un mappage d’itinéraire à des itinéraires entrants ou sortants.
! neighbor 64.74.30.1 route-map MAPNAME [in|out]
!! SECTION 5 : Redistribuer les itinéraires au protocole BGP
! Redistribue des itinéraires statiques vers le protocole BGP.
! redistribute kernel
! Redistribue des itinéraires RIP vers le protocole BGP.
! redistribute rip
! Redistribue des itinéraires OSPF vers le protocole BGP
! redistribute ospf
!! SECTION 6 : Router la réflexion
! Définit l’ID de cluster et le pare-feu en tant que client du serveur réflecteur
d’itinéraire 51.210.0.254
! bgp cluster-id A.B.C.D
! neighbor 51.210.0.254 route-reflector-client
!! SECTION 7 : Listes d’accès et listes de préfixes IP
212
WatchGuard System Manager
Routage dynamique
! Définit la liste de préfixes.
! ip prefix-list PRELIST permit 10.0.0.0/8
! Définit la liste d’accès !access-list NAME deny 64.74.30.128/25
! access-list NAME permit 64.74.30.0/25
! Crée un mappage d’itinéraire avec le nom MAPNAME et autorise la priorité 10.
! route-map MAPNAME permit 10
! match ip address prefix-list LISTNAME
! set community 7000:80
Guide de l’utilisateur
213
Routage dynamique
Guide de l’utilisateur
214
11
Authentification
À propos de l’authentification des utilisateurs
L’authentification des utilisateurs est un processus qui vérifie si l’utilisateur est bien celui qu’il prétend être,
ainsi que les privilèges attribués à cet utilisateur. Sur Firebox, le compte d’utilisateur comporte deux parties
: un nom d’utilisateur et un mot de passe. Chaque compte d’utilisateur est associé à une adresse IP.
L’association du nom d’utilisateur, du mot de passe et de l’adresse IP aide l’administrateur du périphérique
à surveiller les connexions qui passent par le périphérique. L’authentification permet aux utilisateurs de se
connecter au réseau à partir de n’importe quel ordinateur en n’ayant accès qu’aux seuls protocoles et ports
pour lesquels ils détiennent une autorisation. Firebox peut ainsi faire correspondre les connexions établies
à partir d’une adresse IP et transmettre aussi le nom de la session lors de l’authentification de l’utilisateur.
Vous pouvez établir des stratégies de pare-feu pour donner à des utilisateurs ou à des groupes un accès à
des ressources réseau spécifiques. Ceci peut être utile dans les environnements de réseau où différents
utilisateurs partagent un même ordinateur ou une même adresse IP.
Vous pouvez configurer Firebox en tant que serveur d’authentification local, utiliser votre serveur
d’authentification Active Directory ou LDAP existant ou un serveur d’authentification RADIUS existant.
Lorsque vous utilisez l’authentification à Firebox via le port 4100, les privilèges de compte peuvent se
fonder sur un nom d’utilisateur. En présence d’une authentification tierce, les privilèges liés aux comptes
des utilisateurs qui s’authentifient auprès du serveur d’authentification tierce sont basés sur l’appartenance
à un groupe.
La fonctionnalité d’authentification des utilisateurs de WatchGuard associe un nom d’utilisateur à une
adresse IP spécifique, ce qui vous permet d’authentifier les connexions d’un utilisateur via le périphérique
et d’en assurer le suivi. Avec un périphérique, la question fondamentale qui se pose à chaque connexion
est « Dois-je autoriser le trafic de la source X vers la destination Y? ». Pour que la fonctionnalité
d’authentification de WatchGuard fonctionne correctement, l’adresse IP de l’ordinateur d’un utilisateur ne
doit pas changer tant que cet utilisateur est authentifié sur le périphérique.
Guide de l’utilisateur
215
Authentification
Dans la plupart des environnements, la relation entre une adresse IP et l’ordinateur de l’utilisateur n’est pas
assez stable pour être utilisée pour une authentification. Les environnements dans lesquels l’association
d’un utilisateur et d’une adresse IP n’est pas constante, tels que les bornes ou les réseaux sur lesquels les
applications sont lancées depuis un serveur terminal, ne sont généralement pas adaptés à la fonctionnalité
d’authentification des utilisateurs, qui risque de ne pas être opérationnelle.
WatchGuard prend en charge l’authentification, la gestion des comptes et le contrôle des accès dans les
pare-feux en supposant une association stable entre adresses IP et utilisateurs.
La fonctionnalité d’authentification des utilisateurs WatchGuard prend également en charge
l’authentification sur un domaine d’Active Directory avec Single Sign-On (SSO), ainsi que d’autres serveurs
d’authentification courants. De plus, elle prend en charge les paramètres d’inactivité et les limites de temps
imposées aux sessions. Ces contrôles restreignent la durée pendant laquelle une adresse IP est autorisée à
passer des données via Firebox avant que l’utilisateur ne doive entrer de nouveau son mot de passe
(s’authentifier à nouveau).
Si vous utilisez une liste blanche pour contrôler l’accès SSO et si vous gérez les délais d’inactivité, les délais
d’expiration de sessions et les utilisateurs autorisés à s’authentifier, vous améliorerez le contrôle de
l’authentification, de la gestion des comptes et du contrôle des accès.
Pour empêcher un utilisateur de s’authentifier, vous devez désactiver le compte de cet utilisateur sur le
serveur d’authentification.
Utilisateur étapes de l’authentification
Un serveur HTTPS est opérationnel sur le périphérique WatchGuard pour accepter les requêtes
d’authentification.
Pour s’authentifier, l’utilisateur doit se connecter à la page Web du portail d’authentification du
périphérique.
1. Allez dans :
https://[adresse IP de l’interface du périphérique]:4100/
ou
https://[nom d’hôte du périphérique]:4100
Une page Web d’authentification s’affiche.
2. Entrez un nom d’utilisateur et un mot de passe.
3. Sélectionnez le serveur d’authentification dans la liste déroulante si plusieurs types
d’authentification sont configurés.
Le périphérique WatchGuard envoie le nom et le mot de passe au serveur d’authentification à l’aide du
protocole PAP (Password Authentication Protocol).
Une fois l’utilisateur authentifié, il est autorisé à utiliser les ressources du réseau approuvé.
216
WatchGuard System Manager
Authentification
Note Étant donné que Fireware XTM utilise un certificat autosigné par défaut pour
HTTPS, un avertissement de sécurité s’affiche dans votre navigateur Web lors de
l’authentification. Vous pouvez l’ignorer. Pour supprimer cet avertissement, vous
pouvez utiliser un certificat tiers ou créer un certificat personnalisé qui correspond
à l’adresse IP ou au nom de domaine utilisés pour l’authentification.
Fermer manuellement une session authentifiée
Il n’est pas nécessaire d’attendre le délai d’inactivité de la session pour fermer une session authentifiée. On
peut fermer manuellement sa session avant l’expiration du délai. La page Web d’authentification doit être
ouverte pour que l’utilisateur puisse fermer une session. Si elle est fermée, l’utilisateur doit de nouveau
s’authentifier pour se déconnecter.
Pour fermer une session authentifiée :
1. Allez sur la page Web du portail d’authentification :
https://[adresse IP de l’interface du périphérique]:4100/
ou
https://[nom d’hôte du périphérique]:4100
2. Cliquez sur Déconnexion.
Note Si la page Web du portail d’authentification est configurée pour rediriger
automatiquement vers une autre page Web, le portail est redirigé quelques
secondes seulement après avoir été ouvert. Assurez-vous de vous déconnecter
avant la redirection.
Gérer les utilisateurs authentifiés
Vous pouvez utiliser Fireware XTM Web UI pour afficher la liste de tous les utilisateurs authentifiés sur
votre périphérique WatchGuard et fermer leurs sessions.
Voir les utilisateurs authentifiés
Pour voir les utilisateurs authentifiés sur votre périphérique WatchGuard :
1. Se connecter à Fireware XTM Web UI.
2. Sélectionnez État du système > Liste d’authentification.
La liste de tous les utilisateurs authentifiés sur Firebox s’affiche.
Fermer la session d’un utilisateur
Dans la barre de navigation de Fireware XTM Web UI :
1. Sélectionnez État du système > Liste d’authentification.
La liste de tous les utilisateurs authentifiés sur Firebox s’affiche.
Guide de l’utilisateur
217
Authentification
2. Sélectionnez un ou plusieurs noms d’utilisateurs dans la liste.
3. Faites un clic droit sur le ou les noms d’utilisateur et sélectionnez Déconnecter l’utilisateur.
Utiliser l’authentification pour restreindre le
trafic entrant
L’une des fonctions de l’outil d’authentification est de restreindre le trafic sortant. Vous pouvez également
l’utiliser pour limiter le trafic réseau entrant. Lorsque vous avez un compte sur le périphérique WatchGuard
et que celui-ci a une adresse IP externe publique, vous pouvez vous authentifier sur le périphérique depuis
un ordinateur externe. Par exemple, vous pouvez entrer l’adresse suivante dans votre navigateur :
https://<IP address of WatchGuard device external interface>:4100/ .
Après vous être authentifié, utilisez les stratégies configurées pour vous sur le périphérique.
Pour permettre à un utilisateur distant de s’authentifier depuis le réseau externe :
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
La page Stratégies de pare-feu s’affiche.
2. Sélectionnez la stratégie Authentification WatchGuard et cliquez sur Modifier.
Vous pouvez aussi double-cliquer sur la stratégie. Cette stratégie s’affiche lorsque vous avez ajouté
un utilisateur ou un groupe à la configuration d’une stratégie.
La page Configuration de stratégie apparaît.
3. Dans la liste déroulante Les connexions sont, assurez-vous que l’option Autorisées est activée.
4. Sous la fenêtre De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
5. Sélectionnez Tout dans la liste et cliquez sur Ajouter.
6. Cliquez sur OK.
Tout s’affiche dans la fenêtre De.
7. En dessous de la liste À, cliquez sur Ajouter.
8. Sélectionnez Firebox dans la liste et cliquez sur Ajouter.
9. Cliquez sur OK.
Firebox s’affiche dans la fenêtre À.
Utiliser l’authentification via une passerelle Firebox
La passerelle Firebox est le périphérique que vous installez sur votre réseau pour protéger votre
Management Server d’Internet.
Pour envoyer une requête d’authentification via une passerelle Firebox à un autre périphérique, vous
devez avoir une stratégie autorisant le trafic d’authentification sur le périphérique de passerelle. Si le trafic
d’authentification est interdit sur la passerelle, ajouter une stratégie d’authentification WG. Cette stratégie
contrôle le trafic sur le port TCP 4100. Vous devez configurer la stratégie pour qu’elle autorise le trafic
jusqu’à l’adresse IP du périphérique de destination.
Définir les valeurs d’authentification globale
Vous pouvez définir les valeurs d’authentification globale (comme les valeurs de délai et la redirection de la
page d’authentification).
Pour configurer les paramètres d’authentification :
218
WatchGuard System Manager
Authentification
1. Se connecter à Fireware XTM Web UI.
2. Sélectionnez Authentification > Paramètres.
La page Paramètres d’authentification s’affiche.
3. Configurez les paramètres d’authentification selon la procédure décrite dans les sections
ultérieures.
4. Cliquez sur Enregistrer.
Définir des délais d’authentification globale
Vous pouvez définir la durée pendant laquelle les utilisateurs restent authentifiés après avoir fermé leur
dernière connexion authentifiée. Ce délai se définit soit dans la boîte de dialogue Paramètres
d’authentification, soit sur la Configuration d’utilisateur Firebox page.
Pour plus d’informations sur les paramètres d’authentification des utilisateurs et la Configuration
d’utilisateur Firebox page, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 231.
Pour les utilisateurs authentifiés par des serveurs tiers, les délais définis par ces serveurs remplacent les
délais d’authentification globale.
Les valeurs de délais d’authentification ne s’appliquent pas aux utilisateurs de Mobile VPN with PPTP.
Guide de l’utilisateur
219
Authentification
Délai d’expiration de la session
Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous
entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0),
aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi
longtemps qu’il le souhaite.
Délai d’inactivité
Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (sans
passer de trafic au réseau externe). Si vous entrez dans ce champ un nombre de secondes, de
minutes, d’heures ou de jours égal à zéro (0), aucun délai d’inactivité de la session n’est utilisé et
l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite.
Autoriser plusieurs connexions simultanées
Vous pouvez autoriser plusieurs utilisateurs à s’authentifier en même temps et avec les mêmes
informations d’identification sur le même serveur d’authentification. Cette option est utile pour les comptes
invités ou les environnements de laboratoire. Lorsque le deuxième utilisateur se connecte à l’aide des
mêmes informations d’identification, le premier utilisateur authentifié est automatiquement déconnecté. Si
vous n’autorisez pas cette fonctionnalité, les utilisateurs ne peuvent s’authentifier qu’un par un sur le
serveur d’authentification.
1. Allez dans les Paramètres d’authentification page.
2. Sélectionnez la case à cocher Autoriser plusieurs connexions simultanées d’authentification au
pare-feu à partir d’un même compte.
Pour les utilisateurs de Mobile VPN with IPSec et Mobile VPN with SSL, les connexions simultanées à partir
du même compte sont toujours prises en charge que cette case à cocher soit ou non activée. Ces
utilisateurs doivent se connecter avec des adresses IP différentes s’ils veulent établir des connexions
simultanées, ce qui signifie qu’ils ne peuvent pas utiliser le même compte pour se connecter s’ils se
trouvent derrière un périphérique Firebox utilisant la traduction d’adresses réseau (NAT). Les utilisateurs
Mobile VPN with PPTP ne sont pas concernés par cette restriction.
Limiter les sessions de connexion
Dans les Paramètres d’authentification page, vous pouvez limiter les utilisateurs à une seule session
authentifiée. Si vous sélectionnez cette option, les utilisateurs ne pourront pas se connecter à un serveur
d’authentification à partir d’adresses IP différentes en utilisant les mêmes informations d’identification.
Lorsqu’un utilisateur authentifié essaie de s’authentifier à nouveau, vous pouvez opter soit pour la
fermeture de la session du premier utilisateur avec authentification de la seconde session, soit pour le rejet
de la seconde session.
1. Sélectionnez Limiter les utilisateurs à une seule session de connexion.
2. Dans la liste déroulante, sélectionnez Rejeter les tentatives de connexion suivantes lorsque
l’utilisateur est déjà connecté ou Fermer la première session lorsque l’utilisateur se connecte une
seconde fois.
220
WatchGuard System Manager
Authentification
Rediriger automatiquement les utilisateurs vers le portail de
connexion
Si vous exigez que les utilisateurs s’authentifient avant de pouvoir accéder à Internet, vous pouvez choisir
d’envoyer automatiquement les utilisateurs qui ne sont pas encore authentifiés sur le portail
d’authentification, ou les faire naviguer manuellement jusqu’au portail. Cela concerne uniquement les
connexions HTTP et HTTPS.
Rediriger automatiquement les utilisateurs vers la page d’authentification pour qu’ils s’authentifient
En activant cette case à cocher, tous les utilisateurs qui ne se sont pas encore authentifiés sont
automatiquement redirigés vers le portail d’authentification lorsqu’ils essaient d’accéder à Internet.
Si cette case n’est pas activée, les utilisateurs non authentifiés doivent naviguer manuellement
jusqu’au portail d’authentification.
Pour plus d’informations sur l’authentification des utilisateurs, voir Utilisateur étapes de
l’authentification à la page 216.
Guide de l’utilisateur
221
Authentification
Utiliser une page de démarrage par défaut personnalisée
Quand vous activez la case à cocher Rediriger automatiquement les utilisateurs vers la page
d’authentification pour qu’ils s’authentifient pour obliger les utilisateurs à s’authentifier avant d’accéder à
Internet, le portail d’authentification Web de Firebox s’affiche dès qu’un utilisateur ouvre un navigateur. Si
vous voulez que le navigateur accède à une page différente une fois vos utilisateurs connectés, définissez
une redirection.
Dans les Paramètres d’authentification page:
1. Activez la case à cocher Envoyer une redirection au navigateur après l’authentification.
2. Dans la zone de texte, entrez l’URL du site Web vers lequel les utilisateurs seront redirigés.
Définir les délais d’une session de gestion
Ces champs permettent de définir la durée pendant laquelle un utilisateur connecté avec des privilèges de
lecture/écriture reste authentifié avant que le périphérique WatchGuard ne ferme la session.
Délai d’expiration de la session
Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous
entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0),
aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi
longtemps qu’il le souhaite.
Délai d’inactivité
Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (sans
passer de trafic au réseau externe). Si vous entrez dans ce champ un nombre de secondes, de
minutes, d’heures ou de jours égal à zéro (0), aucun délai d’inactivité de la session n’est utilisé et
l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite.
À propos de la stratégie d’authentification
WatchGuard (WG)
La stratégie d’authentification WatchGuard (WG) s’ajoute automatiquement à la configuration de votre
périphérique WatchGuard. La première stratégie ajoutée à la configuration de votre périphérique qui
donne un nom d’utilisateur ou de groupe au champ De de l’onglet Stratégie dans la définition de stratégie
établit une stratégie d’authentification WG. Cette stratégie contrôle l’accès au port 4100 du périphérique.
Les utilisateurs envoient des demandes d’authentification au périphérique via ce port. Par exemple, pour
s’authentifier sur un périphérique WatchGuard associé à l’adresse IP 10.10.10.10, entrez
https://10.10.10.10:4100 dans la barre d’adresses du navigateur.
Si vous souhaitez envoyer une demande d’authentification via une passerelle vers un autre périphérique, il
vous faudra peut-être ajouter la stratégie d’authentification WG manuellement. Si le trafic d’authentification
est refusé sur la passerelle, utilisez Policy Manager pour ajouter la stratégie d’authentification WG. Modifiez
cette stratégie pour qu’elle autorise le trafic jusqu’à l’adresse IP du périphérique de destination.
222
WatchGuard System Manager
Authentification
Pour en savoir plus sur les circonstances dans lesquelles il convient de modifier la stratégie
d’authentification WatchGuard, voir Utiliser l’authentification pour restreindre le trafic entrant à la page 218.
À propos de Single Sign-On (SSO)
Lorsque les utilisateurs se connectent à des ordinateurs du réseau, ils doivent donner un nom d’utilisateur
et un mot de pas. Si vous utilisez l’Active Directory Authentication sur Firebox pour restreindre le trafic
réseau sortant aux utilisateurs ou aux groupes spécifiés, les utilisateurs doivent se connecter de nouveau
lorsqu’ils s’authentifient manuellement pour accéder aux ressources réseau telles qu’Internet. Vous pouvez
utiliser Single Sign-On (SSO) pour que les utilisateurs des réseaux approuvés et facultatifs soient
automatiquement authentifiés auprès de Firebox lorsqu’ils se connectent à leur ordinateur.
WatchGuard SSO est une solution en deux volets qui comprend l’agent SSO et les services de client SSO.
Pour que SSO fonctionne, il faut installer le logiciel de l’agent SSO sur un ordinateur de votre domaine. Le
logiciel client est facultatif ; il s’installe sur l’ordinateur client de chaque utilisateur.
L’agent SSO appelle l’ordinateur client sur le port 4116 pour vérifier les utilisateurs actuellement
connectés. En l’absence de réponse, l’agent SSO bascule sur le protocole précédent des versions
antérieures à WSM 10.2.4 et utilise NetWkstaUserEnum pour appeler l’ordinateur client. Il utilise ensuite
les informations obtenues pour authentifier l’utilisateur sur Single Sign-On.
Si le client SSO n’est pas installé, l’agent SSO peut obtenir plusieurs réponses de l’ordinateur qu’il interroge.
Cela se produit lorsque plusieurs utilisateurs sont connectés au même ordinateur, ou en cas de connexions
par service ou par batch à l’ordinateur. L’agent SSO utilise uniquement la première réponse qu’il reçoit de
l’ordinateur et signale cet utilisateur à Firebox comme utilisateur s’étant connecté. Le périphérique
compare les informations relatives aux utilisateurs aux stratégies définies pour cet utilisateur ou ce groupe
d’utilisateurs en une fois. L’agent SSO met ces données en cache pour une durée d’environ 10 minutes par
défaut, pour ne pas avoir à générer de requête pour chaque connexion.
Lorsque le logiciel client SSO est installé, il reçoit l’appel de l’agent SSO et renvoie des informations précises
sur l’utilisateur actuellement connecté à la station de travail. L’agent SSO ne contacte pas l’Active Directory
Server pour connaître les informations d’identification de l’utilisateur, car il reçoit du client SSO les bonnes
informations sur la personne actuellement connectée à l’ordinateur et sur les groupes Active Directory
dont elle fait partie.
Si vous travaillez dans un environnement où plusieurs personnes utilisent un même ordinateur, il est
conseillé d’installer le logiciel client SSO. Si vous n’utilisez pas le client SSO, il existe des limitations du
contrôle d’accès que vous devez connaître. Par exemple, pour les services installés sur un ordinateur client
(tel qu’un client antivirus administré au niveau central) qui ont été déployés de sorte à se connecter avec
des informations d’identification de compte de domaine, Firebox donne à tous les utilisateurs des droits
d’accès qui sont définis en fonction du premier utilisateur à se connecter (et des groupes dont il est
membre), et non en fonction des informations d’identification des différents utilisateurs qui se connectent
de façon interactive. De même, tous les messages de journal générés à partir de l’activité de l’utilisateur
indiquent le nom d’utilisateur du compte de service, et non celui de l’utilisateur concerné.
Guide de l’utilisateur
223
Authentification
Note Si vous n’installez pas le client SSO, nous vous recommandons de ne pas utiliser SSO
dans des environnements où les utilisateurs se connectent aux ordinateurs via des
connexions par service ou par batch. Lorsque plusieurs utilisateurs sont associés à
une adresse IP, les autorisations réseau risquent de ne pas fonctionner
correctement. Ceci peut constituer un risque pour la sécurité.
Avant de commencer
n
n
n
n
n
n
n
n
n
Un Active Directory Server doit être configuré sur votre réseau approuvé ou facultatif.
Firebox doit être configuré de façon à utiliser l’Active Directory Authentication.
Un compte doit être défini pour chaque utilisateur sur l’Active Directory Server.
Pour être opérationnel, chaque utilisateur doit se connecter à un compte de domaine Single SignOn (SSO). Si les utilisateurs se connectent à un compte qui n’existe que sur leur ordinateur local, les
informations d’identification ne sont pas vérifiées et Firebox ne reconnaît pas ces utilisateurs.
Si vous utilisez un pare-feu tiers sur les ordinateurs de votre réseau, vérifiez que le port TCP 445
(réseau Samba/Windows) est ouvert sur chaque client.
Vérifiez que l’impression et le partage de fichiers sont activés sur tous les ordinateurs à partir
desquels les utilisateurs s’identifient à l’aide de SSO.
Vérifiez que les ports NetBIOS et SMB ne sont bloqués sur aucun des ordinateurs à partir desquels
les utilisateurs s’authentifient à l’aide de SSO. NetBIOS utilise les ports TCP/UDP 137, 138 et 139.
SMB utilise le port TCP 445.
Vérifiez que le port 4116 est ouvert sur les ordinateurs clients.
Vérifiez que tous les ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO sont
membres du domaine auquel sont associées les relations d’approbation ininterrompues.
Configurer SSO
Pour utiliser SSO, vous devez installer le logiciel agent SSO. Il est recommandé d’installer également le client
SSO sur les ordinateurs des utilisateurs. Bien que vous puissiez utiliser SSO uniquement avec l’agent, vous
augmentez votre niveau de sécurité et vos contrôles d’accès en utilisant également le client SSO.
Pour configurer SSO, procédez comme suit :
1. Installer l’agent WatchGuard Single Sign-On (SSO).
2. Installez le client WatchGuard Single Sign-On (SSO) (facultatif, mais recommandé).
3. Activer Single Sign-On (SSO).
Installer l’agent WatchGuard Single Sign-On (SSO)
Pour utiliser Single Sign-On (SSO), vous devez installer l’agent WatchGuard SSO. L’agent SSO est un service
qui reçoit des demandes d’authentification Firebox et vérifie l’état de l’utilisateur auprès de l’Active
Directory Server. Ce service s’exécute sous le nom WatchGuard Authentication Gateway sur l’ordinateur
sur lequel vous installez le logiciel agent SSO. Microsoft .NET Framework 2.0 ou une version ultérieure doit
être installé(e) sur cet ordinateur.
Note Pour utiliser Single Sign-On avec Firebox, vous devez installer l’agent SSO sur un
ordinateur du domaine ayant une adresse IP statique. Nous vous conseillons
d’installer l’agent SSO sur votre contrôleur de domaine.
224
WatchGuard System Manager
Authentification
Télécharger le logiciel agent SSO
1.
2.
3.
4.
5.
À l’aide de votre navigateur Web, allez sur http://www.watchguard.com/.
Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity Service.
Cliquez sur le lien Software Downloads.
Sélectionnez le type de périphérique et le numéro de modèle.
Téléchargez le logiciel WatchGuard Authentication Gateway et enregistrez le fichier à
l’emplacement de votre choix.
Avant l’installation
Le service agent SSO doit fonctionner en tant que compte d’utilisateur et non en tant que compte
d’administrateur. Nous vous recommandons de créer un compte d’utilisateur à cet effet. Pour que le service
agent SSO fonctionne correctement, configurez le compte d’utilisateur avec les propriétés suivantes :
n
n
n
n
Ajoutez le compte au groupe Admins du domaine.
Activez le groupe Admins du domaine comme groupe principal.
Autorisez le compte à ouvrir une session en tant que service.
Configurez le mot de passe pour qu’il n’expire jamais.
Installer le service agent SSO
1. Double-cliquez sur WG-Authentication-Gateway.exe pour démarrer l’Assistant Authentication
Gateway Setup Wizard.
Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme
d’installation sur certains systèmes d’exploitation.
2. Pour installer le logiciel, suivez les instructions données à chaque page et allez jusqu’au bout de
l’Assistant.
Pour le nom d’utilisateur du domaine, vous devez entrer le nom d’utilisateur sous la forme :
domaine\nomutilisateur . Vous ne devez pas spécifier la partie .com ou .net du nom de domaine.
Par exemple, si votre domaine est mywatchguard.com et que vous utilisez le compte de domaine
ssoagent, entrez mywatchguard\ssoagent .
Vous pouvez utiliser le nom d’utilisateur sous sa forme de nom principal d’utilisateur :
[email protected] . Si vous utilisez le nom principal d’utilisateur, vous devez
alors spécifier la partie .com ou .net du nom de domaine.
3. Cliquez sur Terminer pour fermer l’Assistant.
Une fois l’Assistant fermé, le service WatchGuard Authentication Gateway démarre automatiquement. À
chaque redémarrage de l’ordinateur, le service démarre automatiquement.
Installez le client WatchGuard Single Sign-On (SSO)
Vous pouvez installer le client WatchGuard SSO dans le cadre de la solution WatchGuard Single Sign-On
(SSO). Le client SSO installe un service Windows qui s’exécute à partir du compte de système local d’une
Guide de l’utilisateur
225
Authentification
station de travail afin de vérifier les informations d’identification de l’utilisateur actuellement connecté à cet
ordinateur. Lorsqu’un utilisateur essaie de s’authentifier, l’agent SSO envoie au client SSO une demande des
informations d’identification de l’utilisateur. Le client SSO renvoie les informations concernant l’utilisateur
connecté à la station de travail.
Il écoute le port 4116.
Le programme d’installation du client SSO étant un fichier MSI, vous pouvez décider de l’installer
automatiquement sur les ordinateurs des utilisateurs lorsqu’ils se connectent à votre domaine. Utilisez une
stratégie de groupe Active Directory pour installer automatiquement le logiciel lorsque les utilisateurs se
connectent à votre domaine. Pour en savoir plus sur le déploiement des installations de logiciel pour les
objets de stratégie de groupe Active Directory, voir la documentation de votre système d’exploitation.
Télécharger le logiciel client SSO
1.
2.
3.
4.
5.
À l’aide de votre navigateur, allez sur http://www.watchguard.com/.
Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity Service.
Cliquez sur le lien Software Downloads.
Sélectionnez le type de périphérique et le numéro de modèle.
Téléchargez le logiciel WatchGuard Authentication Client et enregistrez le fichier à l’emplacement
de votre choix.
Installer le service client SSO
1. Double-cliquez sur WG-Authentication-Client.msi pour lancer l’Assistant Authentication Client Setup
Wizard.
Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme
d’installation sur certains systèmes d’exploitation.
2. Pour installer le logiciel, suivez les instructions données à chaque page et allez jusqu’au bout de
l’Assistant.
Pour voir quels sont les lecteurs disponibles pour l’installation du client et la quantité d’espace
disponible sur chacun d’eux, cliquez sur Espace requis.
3. Cliquez sur Fermer pour quitter l’Assistant.
Le service WatchGuard Authentication Client démarre automatiquement une fois l’Assistant terminé
et démarre chaque fois que l’ordinateur redémarre.
Activer Single Sign-On (SSO)
Avant de pouvoir configurer SSO, il faut :
n
n
n
Configurer l’Active Directory Server
Installer l’agent WatchGuard Single Sign-On (SSO)
Installez le client WatchGuard Single Sign-On (SSO) (facultatif)
Activer et configurer SSO
Pour activer et configurer SSO depuis Fireware XTM Web UI:
226
WatchGuard System Manager
Authentification
1. Sélectionnez Authentification > Single Sign-On.
La page Authentification Single Sign-On s’affiche.
2. Activez la case à cocher Activer Single Sign-On (SSO) avec Active Directory.
3. Dans la zone de texte Adresse IP de l’agent SSO , entrez l’adresse IP de votre agent SSO.
4. Dans la zone de texte Mettre les données en cache pendant , entrez ou sélectionnez la durée
pendant laquelle l’agent SSO met en cache les données.
5. Dans la liste Exceptions SSO , ajoutez ou retirez les adresses IP d’hôtes pour lesquelles le
périphérique ne doit pas envoyer de requêtes SSO.
Pour en savoir plus sur les exceptions SSO, voir la section suivante.
6. Cliquez sur Enregistrer pour enregistrer vos modifications.
Définir les exceptions SSO
Si votre réseau comporte des périphériques dont il n'est pas nécessaire d'authentifier les adresses IP, tels
que des serveurs de réseau, des serveurs d’impression ou des ordinateurs qui ne font pas partie du
domaine, il est recommandé d’ajouter leur adresse IP à la liste des exceptions SSO. Chaque fois qu’une
connexion est établie à partir de l’un de ces périphériques et que l’adresse IP du périphérique ne figure pas
dans la liste des exceptions, Firebox contacte l’agent SSO pour tenter d’associer l’adresse IP à un nom
d’utilisateur. Cette opération prend environ 10 secondes. La liste des exceptions permet d’éviter ce délai à
chaque connexion et de réduire le trafic réseau inutile.
Guide de l’utilisateur
227
Authentification
Types de serveurs d’authentification
Le système d’exploitation Fireware XTM reconnaît six méthodes d’authentification :
n
n
n
n
n
n
Configurer Firebox en tant que serveur d’authentification
Configurer l’authentification sur le serveur RADIUS
Configurer les Authentification sur le serveur VASCO
Configurer l’authentification SecurID
Configurer l’authentification LDAP
Configurer l’Active Directory Authentication
Vous pouvez configurer un ou plusieurs types de serveurs d’authentification pour un périphérique
WatchGuard. Si vous utilisez plusieurs types de serveurs d’authentification, les utilisateurs doivent
sélectionner un type de serveur d’authentification dans la liste déroulante lorsqu’ils s’authentifient.
À propos de l’utilisation de serveurs d’authentification tierce
Si vous utilisez un serveur d’authentification tierce, il n’est pas nécessaire de conserver une base de
données d’utilisateurs séparée sur le périphérique WatchGuard. Vous pouvez configurer un serveur tiers,
installer le serveur d’authentification ayant accès au périphérique et placer le serveur derrière le
périphérique par sécurité. Ensuite, configurez le périphérique pour transférer les demandes
d’authentification des utilisateurs à ce serveur. Si vous créez sur le périphérique un groupe d’utilisateurs qui
s’authentifie auprès d’un serveur tiers, assurez-vous de créer sur le serveur un groupe qui a le même nom
que le groupe d’utilisateurs sur le périphérique.
Pour configurer un périphérique WatchGuard pour des serveurs d’authentification tiers, voir :
n
n
n
n
n
Configurer l’authentification sur le serveur RADIUS
Configurer les Authentification sur le serveur VASCO
Configurer l’authentification SecurID
Configurer l’authentification LDAP
Configurer l’Active Directory Authentication
Utiliser un serveur d’authentification de sauvegarde
Vous pouvez configurer un serveur d’authentification principal et un serveur d’authentification de
sauvegarde quel que soit le type d’authentification tierce. Si le périphérique WatchGuard ne parvient pas à
se connecter au serveur d’authentification principal après trois tentatives, le serveur principal est marqué
comme inactif et un message d’alarme est généré. Le périphérique se connecte alors au serveur
d’authentification de sauvegarde.
Si le périphérique ne parvient pas à se connecter au serveur d’authentification de sauvegarde, il essaie à
nouveau de se connecter au serveur d’authentification principal après dix minutes. Une fois le délai
d’inactivité écoulé, le serveur inactif est marqué comme actif.
228
WatchGuard System Manager
Authentification
Configurer Firebox en tant que serveur
d’authentification
Si vous n’utilisez pas de serveur d’authentification tierce, vous pouvez utiliser Firebox en tant que serveur
d’authentification. Cette procédure divise votre société en groupes et utilisateurs pour l’authentification.
Lorsque vous attribuez des utilisateurs à des groupes, assurez-vous de les associer par leurs tâches et par les
informations qu’ils utilisent. Par exemple, vous pouvez disposer d’un groupe de comptabilité, de marketing,
ainsi que d’un groupe de recherche et développement. Vous pouvez également avoir un groupe de
nouveaux employés doté d’un accès contrôlé à Internet.
Quand vous créez un groupe, vous définissez la procédure d’authentification des utilisateurs, le type de
système et les informations auxquelles ils ont accès. Un utilisateur peut être un réseau ou un ordinateur. Si
votre société change, vous pouvez ajouter ou supprimer des utilisateurs de vos groupes.
Le serveur d’authentification Firebox est activé par défaut. Aucune action n’est requise pour l’activer avant
d’ajouter des utilisateurs et des groupes.
Types d’authentification Firebox
Vous pouvez configurer Firebox afin d’authentifier des utilisateurs pour quatre types différents
d’authentification :
n
n
n
n
Pare-feu authentification
Connexions Mobile VPN with PPTP
Configurer Firebox pour Mobile VPN with IPSec
Connexions Mobile VPN with SSL
Lorsque l’authentification aboutit, Firebox relie les éléments suivants :
n
n
n
n
Nom d’utilisateur
Groupe(s) d’utilisateurs Firebox dont fait partie l’utilisateur
Adresse IP de l’ordinateur utilisé pour s’authentifier
Adresse IP virtuelle de l’ordinateur utilisé pour se connecter à Mobile VPN
Pare-feu authentification
Vous créez des comptes d’utilisateur et des groupes pour permettre à vos utilisateurs de s’authentifier.
Lorsqu’un utilisateur s’authentifie sur Firebox, les informations d’identification de l’utilisateur et l’adresse IP
de son ordinateur sont utilisées pour vérifier si une stratégie s’applique au trafic en provenance ou à
destination de cet ordinateur.
Pour créer un compte d’utilisateur sur Firebox :
1. Définir un nouvel utilisateur pour l’authentification sur Firebox.
2. Définir un nouveau groupe d’authentification sur Firebox et mettez le nouvel utilisateur dans ce
groupe.
Guide de l’utilisateur
229
Authentification
3. Créez une stratégie qui autorise le trafic uniquement à destination ou en provenance d’une liste de
noms d’utilisateurs ou de groupes de Firebox.
Cette stratégie s’applique uniquement si un paquet provient de ou est destiné à l’adresse IP de
l’utilisateur authentifié.
Pour s’authentifier à partir d’une connexion HTTPS à Firebox via le port 4100 :
1. À l’aide de votre navigateur, accédez à :
https://<IP address of a Firebox interface>:4100/
2. Entrez les Nom d’utilisateur et Mot de passe.
3. Sélectionnez le Domaine dans la liste déroulante.
Ce champ apparaît uniquement si vous avez le choix entre plusieurs domaines.
4. Cliquez sur Connexion.
Si les informations d’identification sont valides, l’utilisateur est authentifié.
Connexions Mobile VPN with PPTP
Lorsque Firebox est activé avec une connexion Mobile VPN with PPTP, les utilisateurs inclus dans le groupe
Mobile VPN with PPTP peuvent utiliser la fonctionnalité PPTP intégrée à leur système d’exploitation pour
établir une connexion PPTP au périphérique.
Étant donné que Firebox autorise la connexion PPTP de n’importe quel utilisateur de Firebox qui fournit des
informations d’identification correctes, il est important que vous élaboriez une stratégie pour les sessions
PPTP qui inclut uniquement les utilisateurs que vous voulez autoriser à envoyer du trafic via PPTP. Vous
pouvez aussi ajouter un groupe ou un utilisateur à une stratégie qui limite l’accès aux ressources derrière
Firebox. Firebox crée un groupe prédéfini appelé Utilisateurs PPTP à cette fin.
Pour configurer une connexion Mobile VPN with PPTP :
1. Dans Fireware XTM Web UI, sélectionnez VPN > Mobile VPN with PPTP.
2. Activez la case à cocher Activer Mobile VPN with PPTP.
3. Assurez-vous que la case à cocher Utiliser l’authentification RADIUS pour authentifier les
utilisateurs Mobile VPN with PPTP est désactivée. Si cette case est activée, le serveur
d’authentification RADIUS authentifie la session PPTP. Quand vous désactivez cette case, c’est
Firebox qui authentifie la session PPTP.
Firebox vérifie que le nom d’utilisateur et le mot de passe entrés par l’utilisateur dans la boîte de
dialogue de la connexion VPN correspondent dans la base de données des utilisateurs de Firebox
aux informations d’identification d’un membre du groupe des utilisateurs PPTP.
Si les informations d’identification fournies correspondent à un compte de la base de données des utilisateurs
de Firebox, l’utilisateur est authentifié pour une session PPTP.
4. Créez une stratégie qui autorise le trafic uniquement à destination ou en provenance d’une liste de
noms d’utilisateurs ou de groupes de Firebox.
Firebox ne consulte pas cette stratégie, sauf si le trafic provient ou est à destination de l’adresse IP de
l’utilisateur authentifié.
230
WatchGuard System Manager
Authentification
Connexions Mobile VPN with IPSec
Quand vous configurez votre périphérique WatchGuard pour héberger des sessions Mobile VPN with IPSec,
commencez par créer des stratégies sur le périphérique, puis utilisez le client Mobile VPN with IPSec pour
autoriser les utilisateurs à accéder au réseau. Une fois le périphérique WatchGuard configuré, chaque
ordinateur client doit être configuré avec un logiciel client Mobile VPN with IPSec.
Lorsque l’ordinateur de l’utilisateur est correctement configuré, celui-ci établit la connexion Mobile VPN. Si
les informations d’identification utilisées pour l’authentification correspondent à une entrée de la base de
données des utilisateurs de Firebox et si l’utilisateur fait partie d’un groupe Mobile VPN que vous avez créé,
la session Mobile VPN est authentifiée.
Pour configurer l’authentification à Mobile VPN with IPSec :
1. Configurer une connexion Mobile VPN with IPSec.
2. Installer le logiciel client Mobile VPN with IPSec.
Connexions Mobile VPN with SSL
Vous pouvez configurer Firebox pour héberger des sessions Mobile VPN with SSL. Lorsque Firebox est
configuré avec une connexion Mobile VPN with SSL, les utilisateurs inclus dans le groupe Mobile VPN with
SSL peuvent installer et utiliser le client Mobile VPN with SSL pour établir une connexion SSL.
Étant donné que Firebox autorise la connexion SSL de n’importe quel utilisateur de Firebox qui fournit des
informations d’identification correctes, il est important que vous élaboriez une stratégie pour les sessions
SSL VPN qui inclut uniquement les utilisateurs que vous voulez autoriser à envoyer du trafic via VPN SSL.
Vous pouvez également ajouter ces utilisateurs à un groupe d’utilisateurs de Firebox et élaborer une
stratégie qui autorise le trafic provenant uniquement de ce groupe. Firebox crée un groupe prédéfini
appelé Utilisateurs SSLVPN à cette fin.
Pour configurer une connexion Mobile VPN with SSL :
1. Dans l’interface utilisateur Web Fireware XTM, sélectionnez> VPN Mobile VPN with SSL.
La page Configuration de Mobile VPN with SSL s’ouvre.
2. Configurer le périphérique Firebox ou XTM pour Mobile VPN with SSL.
Définir un nouvel utilisateur pour l’authentification sur Firebox
1. Dans l’interface Web Fireware XTM, sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
2. Dans l’onglet Firebox des Serveurs d’authentification page, cliquez sur Ajouter sous la liste
Utilisateurs.
La boîte de dialogue Configuration d’utilisateur Firebox s’affiche.
Guide de l’utilisateur
231
Authentification
3. Entrez le nom et (facultatif) une description du nouvel utilisateur.
4. Entrez et confirmez le mot de passe que la personne devra utiliser pour s’authentifier.
Note Quand vous tapez ce mot de passe, les caractères sont masqués et ils
n’apparaissent plus en texte simple. Si vous oubliez le mot de passe, vous devez en
définir un nouveau.
5. Dans le champ Délai d’expiration de la session, définissez la durée maximale durant laquelle
l’utilisateur peut envoyer du trafic au réseau externe.
Le paramètre minimal pour ce champ est une (1) seconde, minute, heure ou jour. La valeur
maximale est 365 jours.
6. Dans le champ Délai d’inactivité, définissez la durée durant laquelle l’utilisateur peut rester
authentifié tout en étant inactif (pas d’envoi de trafic au réseau externe).
Le paramètre minimal pour ce champ est une (1) seconde, minute, heure ou jour. La valeur
maximale est 365 jours.
7. Pour ajouter un utilisateur à un groupe d’authentification Firebox, sélectionnez le nom de
l’utilisateur dans la liste Disponible.
8. Cliquez sur pour déplacer le nom dans la liste Membre.
Vous pouvez également double-cliquer sur le nom d’utilisateur dans la liste Disponible.
L’utilisateur est ajouté à la liste des utilisateurs. Vous pouvez alors ajouter d’autres utilisateurs.
9. Pour fermer la boîte de dialogue Configuration d’utilisateur Firebox, cliquez sur OK.
L’onglet Utilisateurs de Firebox s’affiche avec une liste des nouveaux utilisateurs.
232
WatchGuard System Manager
Authentification
Définir un nouveau groupe d’authentification sur Firebox
1. Dans l’interface Web Fireware XTM, sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
2. Sélectionnez l’onglet Firebox.
3. Cliquez sur Ajouter en dessous de la liste d’utilisateurs.
La boîte de dialogue Configuration de groupe Firebox s’affiche.
4. Tapez le nom du groupe.
5. (Facultatif) Entrez une description du groupe.
6. Pour ajouter un utilisateur au groupe, sélectionnez le nom de l’utilisateur dans la liste Disponible.
Cliquez sur pour déplacer le nom dans la liste Membre.
Vous pouvez aussi double-cliquer sur le nom d’utilisateur dans la liste Disponible.
7. Après avoir ajouté tous les utilisateurs nécessaires au groupe, cliquez sur OK.
Vous pouvez à présent configurer les stratégies et l’authentification de ces utilisateurs et groupes, selon la
procédure décrite à la section Utiliser les utilisateurs et groupes autorisés dans les stratégies à la page 254.
Configurer l’authentification sur le serveur RADIUS
Le service RADIUS (Remote Authentication Dial-In User Service) permet d’authentifier les utilisateurs locaux
et distants sur un réseau d’entreprise. Il s’agit d’un système client/serveur qui regroupe dans une base de
données centrale les informations relatives à l’authentification des utilisateurs, des serveurs d’accès
distants, des passerelles VPN et autres ressources.
Pour plus d'informations sur l'authentification sur RADIUS , voir Fonctionnement de l’authentification sur le
serveur RADIUS à la page 236.
Guide de l’utilisateur
233
Authentification
Clé d’authentification
Les messages d’authentification en provenance et à destination du serveur RADIUS utilisent toujours une
clé d’authentification, et non un mot de passe. Ainsi, cette clé d’authentification, ou secret partagé doit être
identique sur le client et sur le serveur RADIUS. Sans cette clé, il n’y a aucune communication entre le client
et le serveur.
Méthodes d’authentification sur RADIUS
Pour les authentifications sur le Web et les authentifications Mobile VPN with IPSec ou Mobile VPN with
SSL, RADIUS prend en charge uniquement l’authentification PAP.
Pour les authentifications sur PPTP, RADIUS prend en charge uniquement MSCHAPv2 (Microsoft ChallengeHandshake Authentication Protocol version 2).
Avant de commencer
Avant de configurer le périphérique WatchGuard pour utiliser votre serveur d’authentification RADIUS,
vous devez disposer des informations suivantes :
n
n
n
n
Serveur RADIUS principal – adresse IP et port RADIUS
Serveur RADIUS secondaire (facultatif) – adresse IP et port RADIUS
Secret partagé – Mot de passe qui respecte la casse, identique sur le périphérique WatchGuard et le
serveur RADIUS
Méthodes d’authentification – Configurez votre serveur RADIUS pour qu’il autorise la méthode
d’authentification utilisée par le périphérique WatchGuard : PAP ou MSCHAP v2
Utiliser le serveur d’authentification RADIUS avec le
périphérique WatchGuard
Pour utiliser le serveur d’authentification RADIUS avec le périphérique WatchGuard, il faut :
n
n
n
Ajouter l’adresse IP du périphérique WatchGuard sur le serveur RADIUS selon la procédure décrite
dans la documentation remise par votre fournisseur RADIUS.
Activer et spécifier le serveur RADIUS dans la configuration du périphérique WatchGuard.
Ajouter les noms d’utilisateurs ou les noms de groupes RADIUS à vos stratégies.
Pour activer et spécifier le ou les serveurs RADIUS dans la configuration :
Dans Fireware XTM Web UI :
1. Sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet Serveur RADIUS.
234
WatchGuard System Manager
Authentification
3. Pour activer le serveur RADIUS et les champs de cette boîte de dialogue, sélectionnez la case à
cocher Activer le Serveur RADIUS.
4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur RADIUS.
5. Dans le champ Port, vérifiez que le numéro de port utilisé par RADIUS pour l’authentification apparaît.
La valeur par défaut est 1812. Les serveurs RADIUS plus anciens peuvent utiliser le port 1645.
6. Dans la Mot de passe secret , entrez le secret partagé entre le périphérique WatchGuard et le
serveur RADIUS.
Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur.
7. Dans la zone de texte Confirmation dumot de passe, entrez à nouveau le secret partagé.
8. Entrez ou sélectionnez la valeur de délai d’attente.
La valeur du délai d’attente correspond à la durée pendant laquelle le périphérique WatchGuard
attend une réponse du serveur d’authentification avant de réessayer de se connecter.
9. Dans la zone de texte Tentatives de connexion, entrez ou sélectionnez le nombre de tentatives de
connexion du périphérique WatchGuard auprès du serveur d’authentification (en fonction du délai
spécifié ci-dessus) avant qu’il ne signale un échec de tentative d’authentification.
10. Dans la zone de texte Attribut de groupe, entrez ou sélectionnez la valeur d’un attribut. L’attribut de
groupe par défaut est FilterID, qui est l’attribut RADIUS numéro 11.
La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations
relatives au groupe d’utilisateurs. Vous devez configurer le serveur RADIUS pour qu’il intègre la
chaîne FilterID dans le message d’authentification des utilisateurs qu’il envoie au périphérique
WatchGuard. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors
utilisées pour le contrôle d’accès. Le périphérique WatchGuard fait correspondre la chaîne FilterID
au nom de groupe configuré dans ses stratégies.
Guide de l’utilisateur
235
Authentification
11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur
inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante
pour modifier la durée.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant
qu’il n’est pas défini comme de nouveau actif.
12. Pour ajouter un serveur RADIUS de sauvegarde, sélectionnez l’onglet Paramètres du serveur
secondaire et sélectionnez .Activer un serveur RADIUS secondaire .
13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le
secret partagé est le même sur le serveur RADIUS de sauvegarde et sur le serveur principal.
Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 228.
14. Cliquez sur Enregistrer.
Fonctionnement de l’authentification sur le serveur RADIUS
RADIUS est un protocole initialement conçu pour authentifier les utilisateurs distants d’un serveur avec
accès par modem. Il sert aujourd’hui dans un large éventail de scénarios d’authentification. RADIUS est un
protocole client-serveur dont Firebox est le client et le serveur RADIUS le serveur. (On appelle parfois
Serveur d’accès au réseau ou NAS le client RADIUS.) Lorsqu’un utilisateur essaie de s’authentifier, Firebox
envoie un message au serveur RADIUS. Si celui-ci est correctement configuré avec Firebox pour client,
RADIUS renvoie un message d’autorisation ou de refus à Firebox (le serveur d’accès au réseau).
Quand Firebox utilise RADIUS pour une tentative d’authentification :
1. L’utilisateur essaie de s’authentifier, soit par une connexion HTTPS du navigateur à Firebox via le port
4100, soit par le biais d’une connexion utilisant Mobile VPN with PPTP ou Mobile VPN with IPSec.
Firebox lit le nom d’utilisateur et le mot de passe.
2. Firebox crée un message appelé message de demande d’accès et l’envoie au serveur RADIUS.
Firebox utilise le secret partagé de RADIUS dans le message. Le mot de passe est toujours chiffré
dans le message de demande d’accès.
3. Le serveur RADIUS s’assure que la demande d’accès provient d’un client reconnu (Firebox). Si le
serveur RADIUS n’est pas configuré pour accepter Firebox comme client, il ignore le message de
demande d’accès et ne répond pas.
4. Si Firebox est un client reconnu par le serveur RADIUS et que le secret partagé est correct, le
serveur étudie la méthode d’authentification demandée dans le message.
5. Sila demande d’accès utilise une méthode d’authentification autorisée,le serveur RADIUS trouve les
informationsd’identification dansle message et recherche une correspondance dans labase de
donnéesdes utilisateurs.Si le nom d’utilisateur et le mot de passe correspondentà une entrée de la base
de données, le serveur peutobtenir desinformations supplémentairessur l’utilisateur dans labase de
données(autorisation d’accèsdistant, appartenance à desgroupes, heuresde connexion,etc.).
6. Le serveur RADIUS vérifie si sa configuration comporte une stratégie d’accès ou un profil
correspondant à toutes les informations dont il dispose sur l’utilisateur. Si cette stratégie existe, le
serveur envoie une réponse.
7. S’il manque une seule condition, ou si le serveur ne trouve pas de stratégie correspondante, il
envoie un message de refus d’accès indiquant l’échec de l’authentification. La transaction avec
RADIUS s’achève et l’accès est refusé à l’utilisateur.
236
WatchGuard System Manager
Authentification
8. Si le message de demande d’accès répond à toutes les conditions précitées, RADIUS envoie un
message d’autorisation d’accès à Firebox.
9. Le serveur RADIUS utilise le secret partagé à chaque réponse qu’il envoie. Si le secret partagé ne
correspond pas, Firebox rejette la réponse de RADIUS.
10. Firebox lit la valeur de l’attribut FilterID du message. Il connecte le nom d’utilisateur ayant cet
attribut FilterID pour mettre l’utilisateur dans un groupe RADIUS.
11. Le serveur RADIUS peut inclure une grande quantité d’informations supplémentaires dans le
message d’autorisation d’accès. Firebox ignore la plupart de ces informations, comme les protocoles
que l’utilisateur est autorisé à utiliser (PPP ou SLIP, par exemple), les ports auxquels il peut accéder,
les délais d’inactivité et d’autres attributs.
12. Le seul attribut qui intéresse Firebox dans l’autorisation d’accès, c’est l’attribut FilterID (attribut
RADIUS numéro 11). FilterID est une chaîne de texte que vous configurez pour que le serveur
RADIUS l’intègre dans le message d’autorisation d’accès. Firebox a besoin de cet attribut pour
associer l’utilisateur à un groupe RADIUS.
Pour plus d’informations sur les groupes RADIUS, voir la section suivante.
À propos des groupes RADIUS
Lorsque vous configurez l’authentification sur RADIUS, vous pouvez définir le numéro d’attribut de groupe.
Fireware XTM lit ce numéro dans Fireware XTM Web UI pour déterminer l’attribut RADIUS qui contient les
informations de groupe. Fireware XTM reconnaît uniquement l’attribut RADIUS numéro 11, FilterID, en tant
qu’attribut de groupe. Lorsque vous configurez le serveur RADIUS, ne modifiez pas la valeur par défaut du
numéro d’attribut de groupe, 11.
Lorsque Firebox reçoit de RADIUS le message d’autorisation d’accès, il lit la valeur de l’attribut FilterID et
utilise cette valeur pour associer l’utilisateur à un groupe RADIUS. (Vous devez configurer manuellement
FilterID dans votre configuration RADIUS.) Ainsi, la valeur de l’attribut FilterID est le nom du groupe RADIUS
dans lequel Firebox place l’utilisateur.
Les groupes RADIUS que vous utilisez dans Fireware XTM Web UI sont différents des groupes Windows
définis dans votre contrôleur de domaine, ou de tous les groupes pouvant exister dans votre base de
données des utilisateurs du domaine. Un groupe RADIUS est uniquement un groupe d’utilisateurs logique
que Firebox utilise. Assurez-vous de bien sélectionner la chaîne de texte FilterID. Vous pouvez faire en sorte
que la valeur de FilterID corresponde au nom d’un groupe local ou d’un groupe de domaine de votre
organisation, mais ce n’est pas indispensable. Nous vous recommandons d’utiliser un nom représentatif qui
vous permette de vous rappeler comment vous avez défini les groupes d’utilisateurs.
Utilisation pratique des groupes RADIUS
Si votre organisation comporte beaucoup d’utilisateurs à authentifier, vous pouvez simplifier la gestion de
vos stratégies Firebox en configurant RADIUS pour qu’il envoie la même valeur FilterID pour un grand
nombre d’utilisateurs. Firebox rassemble ces utilisateurs dans un même groupe logique afin que vous
puissiez administrer facilement l’accès des utilisateurs. Lorsque vous établissez une stratégie dans Fireware
XTM Web UI qui autorise uniquement les utilisateurs authentifiés à accéder à une ressource du réseau,
utilisez le nom de groupe RADIUS au lieu d’ajouter une liste de plusieurs utilisateurs.
Guide de l’utilisateur
237
Authentification
Par exemple, quand Marie s’authentifie, la chaîne FilterID qu’envoie RADIUS est Ventes. Firebox met donc
Marie dans le groupe RADIUS Ventesaussi longtemps qu’elle reste authentifiée. Si Jean et Alice
s’authentifient par la suite, et que RADIUS donne la même valeur Ventes à FilterID dans les messages
d’autorisation d’accès de Jean et d’Alice, alors Marie, Jean et Alice font tous partie du groupe Ventes. Vous
pouvez établir une stratégie dans l’interface Web Fireware XTM qui permet au groupe Ventes d’accéder à
une ressource.
Vous pouvez configurer RADIUS pour qu’il renvoie une autre valeur de FilterID, par exemple Support
informatique, pour les membres de votre organisation de support interne. Vous pouvez ensuite établir une
autre stratégie qui permet aux utilisateurs du Support informatique d’accéder à des ressources.
Par exemple, vous pouvez autoriser le groupe Ventes à accéder à Internet via une stratégie HTTP filtrée.
Ensuite, vous pouvez filtrer leur accès au Web avec WebBlocker. Une autre stratégie de Policy Manager
peut autoriser les utilisateurs du Support informatique à accéder à Internet via une stratégie HTTP non
filtrée, afin qu’ils puissent accéder au Web sans le filtrage de WebBlocker. Utilisez le nom de groupe
RADIUS (ou les noms des utilisateurs) dans le champ De d’une stratégie pour indiquer le groupe (ou les
utilisateurs) qui peut (peuvent) utiliser cette stratégie.
Valeurs des délais d’attente et des tentatives de connexion
Il y a échec de l’authentification quand aucune réponse n’arrive du serveur RADIUS principal. Au bout de
trois échecs d’authentification, Fireware XTM utilise le serveur RADIUS secondaire. Ce processus s’appelle
le basculement.
Note Le nombre de tentatives d’authentification est différent du nombre de tentatives de
connexion. Vous ne pouvez pas modifier le nombre de tentatives d’authentification
avant le basculement.
Firebox envoie un message de demande d’accès au premier serveur RADIUS de la liste. En l’absence de
réponse, Firebox attend le nombre de secondes défini dans la zone Délai d’attente, puis envoie une
nouvelle demande d’accès. Cela se répète autant de fois qu’indiqué dans la zone Tentative de connexion
(ou jusqu’à ce qu’il y ait une réponse valide). Si aucune réponse valide n’arrive du serveur RADIUS, ou si le
secret partagé de RADIUS ne correspond pas, Fireware XTM compte cela comme un échec de tentative
d’authentification.
Au bout de trois échecs d’authentification, Fireware XTM utilise le serveur RADIUS secondaire pour une
nouvelle tentative d’authentification. Si les tentatives sur le serveur secondaire aboutissent à trois échecs
d’authentification, Fireware XTM attend dix minutes, le temps qu’un administrateur corrige le problème. Au
bout de dix minutes, Fireware XTM essaie de nouveau d’utiliser le premier serveur RADIUS.
Configurer les Authentification sur le serveur
VASCO
L’authentification sur le serveur VASCO fait appel au logiciel middleware VACMAN pour authentifier les
utilisateurs distants d’un réseau d’entreprise via un environnement de serveur RADIUS ou de serveur Web.
VASCO prend également en charge les environnements comprenant plusieurs serveurs d’authentification.
Le système de jetons à mot de passe à usage unique de VASCO vous permet d’éliminer le maillon faible de
votre infrastructure de sécurité : les mots de passe statiques.
238
WatchGuard System Manager
Authentification
Pour utiliser le serveur d’authentification VASCO avec le périphérique WatchGuard, il faut :
n
n
n
Ajouter l’adresse IP du périphérique WatchGuard au VACMAN Middleware Server selon la
procédure décrite dans la documentation remise par votre fournisseur VASCO.
Activer et spécifier le VACMAN Middleware Server dans la configuration du périphérique
WatchGuard.
Ajouter des noms d’utilisateurs ou des noms de groupes dans les stratégies de Policy Manager.
Les paramètres du serveur RADIUS permettent de configurer l’authentification sur un serveur VASCO. La
boîte de dialogue Serveurs d’authentification ne contient pas d’onglet distinct pour les VACMAN
Middleware Servers.
Dans Fireware XTM Web UI :
1. Sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet RADIUS.
3. Pour activer le VACMAN Middleware Server et les champs de cette boîte de dialogue, sélectionnez
la case à cocher Activer le Serveur RADIUS.
4. Dans la zone de texte Adresse IP, entrez l’adresse IP du VACMAN Middleware Server.
5. Dans la zone de texte Port, vérifiez que le numéro de port utilisé par VASCO pour l’authentification
apparaît. La valeur par défaut est 1812.
6. Dans la zone de texte Mot de passe , entrez le secret partagé entre le périphérique WatchGuard et
le VACMAN Middleware Server.
Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le serveur.
Guide de l’utilisateur
239
Authentification
7. Dans la zone de texte Confirmation du, confirmez le secret partagé.
8. Dans la zone de texte Délai d’attente, entrez ou sélectionnez la durée pendant laquelle le
périphérique WatchGuard attend une réponse du serveur d’authentification avant de réessayer de
se connecter.
9. Dans la zone de texte Tentatives de connexion , entrez ou sélectionnez le nombre de tentatives de
connexion du périphérique WatchGuard auprès du serveur d’authentification avant qu’il ne signale
un échec de tentative d’authentification.
10. Entrez ou sélectionnez la valeur de l’Attribut de groupe. L’attribut de groupe par défaut est FilterID,
qui est l’attribut VASCO numéro 11.
La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations
relatives au groupe d’utilisateurs. Vous devez configurer le serveur VASCO pour qu’il intègre la
chaîne FilterID dans le message d’authentification des utilisateurs qu’il envoie au périphérique
WatchGuard. Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors
utilisées pour le contrôle d’accès. Le périphérique WatchGuard fait correspondre la chaîne FilterID
au nom de groupe configuré dans ses stratégies.
11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur
inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante
pour modifier la durée.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant
qu’il n’est pas défini comme de nouveau actif.
12. Pour ajouter un VACMAN Middleware Server de sauvegarde, sélectionnez l’onglet Paramètres du
serveur secondaire et activez la case à cocher Activer un serveur RADIUS secondaire .
13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le
secret partagé est le même sur le VACMAN Middleware Server secondaire et sur le serveur
principal.
Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 228.
14. Cliquez sur Enregistrer.
Configurer l’authentification SecurID
Pour utiliser l’authentification SecurID, vous devez configurer correctement les serveurs RADIUS, VASCO et
ACE/Server. Les utilisateurs doivent également disposer d’un jeton SecurID approuvé et d’un code
confidentiel. Pour plus d’informations, reportez-vous à la documentation relative à RSA SecurID.
Dans Fireware XTM Web UI :
1. Sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet SecurID.
240
WatchGuard System Manager
Authentification
3. Cochez Activer SecurID Serveur pour activer le serveur SecurID et les champs de cette boîte de
dialogue.
4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur SecurID.
5. Cliquez sur les flèches haut et bas du champ Port pour définir le numéro de port à utiliser pour
l’authentification sur SecurID.
La valeur par défaut est 1812.
6. Dans la Mot de passe , entrez le secret partagé entre le périphérique WatchGuard et le serveur
SecurID. Le secret partagé respecte la casse et il doit être identique sur le périphérique et sur le
serveur.
7. Dans la zone de texte Confirmer , confirmez le secret partagé.
8. Dans la zone de texte Délai d’attente, entrez ou sélectionnez la durée pendant laquelle le
périphérique WatchGuard attend une réponse du serveur d’authentification avant de réessayer de
se connecter.
9. Dans la Nouvelles tentatives , entrez ou sélectionnez le nombre de tentatives de connexion du
périphérique WatchGuard auprès du serveur d’authentification avant qu’il ne signale un échec de
tentative d’authentification.
10. Dans la zone de texte Attribut de groupe , entrez ou sélectionnez la valeur d’un attribut. Nous vous
recommandons de ne pas modifier cette valeur.
Guide de l’utilisateur
241
Authentification
La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations
relatives au groupe d’utilisateurs. Lorsque le serveur SecurID envoie au périphérique WatchGuard le
message qu’un utilisateur est authentifié, il envoie également une chaîne de groupe d’utilisateurs.
Par exemple, GroupeIngénieurs ou GroupeFinances. Ces informations sont alors utilisées pour le
contrôle d’accès.
11. Dans la zone de texte Délai d’inactivité , entrez ou sélectionnez le délai au bout duquel un serveur
inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante
contiguë pour modifier la durée.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant
qu’il n’est pas marqué comme de nouveau actif une fois le délai d’inactivité écoulé.
12. Pour ajouter un serveur SecurID de sauvegarde, sélectionnez l’onglet Paramètres du serveur de
sauvegarde et sélectionnez Activer un serveur SecurID secondaire.Serveur .
13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le
secret partagé est le même sur le serveur SecurID de sauvegarde et sur le serveur principal.
Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 228.
14. Cliquez sur OK.Enregistrer.
Configurer l’authentification LDAP
Vous pouvez utiliser un serveur d’authentification LDAP (Lightweight Directory Access Protocol) pour
authentifier vos utilisateurs sur le périphérique WatchGuard. LDAP est un protocole standard ouvert pour
utiliser les services d’annuaire en ligne. Il fonctionne avec des protocoles de transport Internet, tels que
TCP. Avant de configurer le périphérique WatchGuard pour une authentification LDAP, assurez-vous de
consulter la documentation de votre fournisseur de protocole LDAP pour vérifier que votre installation
prend en charge l’attribut memberOf (« membre de »), ou équivalent.
Dans Fireware XTM Web UI :
1. Sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet LDAP .
242
WatchGuard System Manager
Authentification
3. Cochez la case Activer LDAPServeur pour activer le serveur LDAP et les champs de cette boîte de
dialogue.
4. Dans la zone de texte Adresse IP, entrez l’adresse IP du serveur LDAP principal que le périphérique
WatchGuard doit contacter avec des requêtes d’authentification.
Le serveur LDAP peut être placé dans n’importe quelle interface de périphérique WatchGuard.
Vous pouvez aussi configurer votre périphérique pour qu’il utilise un serveur LDAP sur réseau
distant via un tunnel VPN.
5. Dans la zone de texte Port, sélectionnez le numéro de port TCP que le périphérique WatchGuard
doit utiliser pour se connecter au serveur LDAP. Le numéro de port par défaut est 389.
LDAP n’est pas pris en charge sur TLS.
6. Dans la zone de texte Base de recherche , entrez les paramètres de la base de recherche.
Le format standard est le suivant : ou=unité d’organisation,dc=première partie du nom unique du
serveur,dc=une partie du nom unique du serveur qui apparaît après le point.
Définissez une base de recherche pour appliquer des limites aux répertoires du serveur
d’authentification que le périphérique WatchGuard explore pour établir une correspondance
d’authentification. Si, par exemple, vos comptes d’utilisateur sont dans une unité d’organisation que
vous nommez comptes et si votre nom de domaine est exemple.com, votre base de recherche est :
ou=comptes,dc=exemple,dc=com
7. Dans la zone de texte Chaîne de groupe , entrez l’attribut de la chaîne de groupe.
Guide de l’utilisateur
243
Authentification
Cette chaîne d’attributs conserve des informations sur le groupe d’utilisateurs sur le serveur LDAP.
Sur beaucoup de serveurs LDAP, la chaîne de groupe par défaut est uniqueMember
(Membreunique), tandis que sur les autres serveurs, c’est member (membre).
8. Dans la zone de texte Nom unique de l’utilisateur qui effectue la recherche , entrez le nom unique
d’une opération de recherche.
Vous pouvez ajouter un nom unique, comme Administrateur, doté du privilège de recherche dans
LDAP/Active Directory. Certains administrateurs créent un nouvel utilisateur doté uniquement de
privilèges de recherche afin de l’utiliser dans ce champ.
9. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche , entrez le mot de passe
associé au nom unique d’une opération de recherche.
10. Dans la zone de texte Attribut de connexion, sélectionnez dans la liste déroulante un attribut de
connexion LDAP à utiliser pour l’authentification.
Cet attribut est le nom utilisé pour la liaison avec la base de données LDAP. L’attribut de connexion
par défaut est uid. Si vous utilisez uid, les champs Nom unique de l’utilisateur qui effectue la
recherche et Mot de passe de l’utilisateur qui effectue la recherche peuvent être vides.
11. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai au bout duquel un serveur
inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante
contiguë pour définir la durée.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant
qu’il n’est pas défini comme de nouveau actif.
12. Pour ajouter un serveur LDAP de sauvegarde, sélectionnez l’onglet Paramètres du serveur de
sauvegarde et activez la case à cocher Activer le serveur LDAP secondaire .
13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le
secret partagé est le même sur le serveur LDAP de sauvegarde que sur le serveur principal.
Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 228.
14. Cliquez sur .Enregistrer.
À propos des paramètres LDAP facultatifs
Fireware XTM peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active
Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela
vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires aux sessions
de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN with IPSec. Étant
donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous
n’êtes pas limité aux paramètres globaux de Fireware XTM Web UI. Vous pouvez définir ces paramètres
pour chaque utilisateur individuel.
Pour plus d’informations, voir Utilisez les paramètres Active Directory ou LDAP facultatifs à la page 249.
244
WatchGuard System Manager
Authentification
Configurer l’Active Directory Authentication
Active Directory est l’application Microsoft Windows d’une structure d’annuaire LDAP. Il vous permet
d’adapter le concept de hiérarchie de domaine utilisé pour le DNS au niveau de l’organisation. Il conserve
les informations et les paramètres des organisations dans une base de données centrale et facile d’accès.
Le serveur Active Directory Authentication permet aux utilisateurs de s’authentifier sur un périphérique
WatchGuard à l’aide de leurs informations d’identification réseau actuelles. Vous devez configurer le
périphérique et l’Active Directory Server.
Avant de commencer, vérifiez que les utilisateurs peuvent effectivement s’authentifier sur l’Active
Directory Server.
Dans Fireware XTM Web UI :
1. Sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet Active Directory.
3. Sélectionnez l’option Activer Active Directory Serveur .
4. Dans le champ Adresse IP, entrez l’adresse IP de l’Active Directory Server principal.
L’Active Directory Server peut être placé dans n’importe quelle interface du périphérique
WatchGuard. Vous pouvez également configurer le périphérique pour qu’il utilise un Active
Directory Server disponible via un tunnel VPN.
Guide de l’utilisateur
245
Authentification
5. Dans la zone de texte Port , entrez ou sélectionnez le numéro de port TCP du périphérique à utiliser
pour la connexion à l’Active Directory Server. Le numéro de port par défaut est 389.
Si votre Active Directory Server est un serveur de catalogue global, il est conseillé de modifier le
port par défaut. Pour plus d’informations, voir Changer le port par défaut de l’Active Directory Server
à la page 248.
6. Dans la zone de texte Base de recherche, entrez le point de départ de la recherche dans le
répertoire.
Le format standard du paramètre de base de recherche est le suivant : ou=<name of organizational
unit>, dc=<first part of the distinguished server name>, dc=<any part of the distinguished server
name that appears after the dot>.
Définissez une base de recherche pour appliquer des limites aux répertoires du serveur
d’authentification que le périphérique WatchGuard explore pour établir une correspondance
d’authentification. Il est recommandé de définir la racine du domaine comme base de recherche.
Cela vous permet de trouver tous les utilisateurs et tous les groupes auxquels ceux-ci appartiennent.
Pour plus d’informations, voir Trouver votre base de recherche Active Directory à la page 247.
7. Dans la zone de texte Chaîne de groupe, entrez la chaîne d’attributs utilisée pour conserver des
informations de groupe d’utilisateurs sur l’Active Directory Server. Si vous ne modifiez pas le
schéma Active Directory, la chaîne de groupe est toujours « memberOf » (« MembreDe »).
8. Dans la zone de texte Nom unique de l’utilisateur qui effectue la recherche , entrez le nom unique
d’une opération de recherche.
Il n’est pas nécessaire d’entrer une valeur dans cette zone de texte si vous conservez l’attribut de
connexion sAMAccountName . Si vous modifiez l’attribut de connexion, vous devez ajouter un champ
Nom unique de l’utilisateur qui effectue la recherche à votre configuration. Vous pouvez entrer un
nom unique, comme Administrateur, doté du privilège de recherche dans LDAP/Active Directory.
Cependant, un nom unique d’utilisateur plus faible doté uniquement du privilège de recherche est
généralement suffisant.
9. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche , entrez le mot de passe
associé au nom unique d’une opération de recherche.
10. Dans Attribut de connexion liste déroulante, sélectionnez un attribut de connexion Active Directory
à utiliser pour l’authentification.
Cet attribut est le nom utilisé pour la liaison avec la base de données Active Directory. L’attribut de
connexion par défaut est sAMAccountName. Si vous utilisez sAMAccountName, les champs Nom
unique de l’utilisateur qui effectue la recherche et Mot de passe de l’utilisateur qui effectue la
recherche peuvent être vides.
11. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai au bout duquel un serveur
inactif est défini comme de nouveau actif. Sélectionnez minutes ou heures dans la liste déroulante
contiguë pour définir la durée.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant
qu’il n’est pas défini comme de nouveau actif.
12. Pour ajouter un Active Directory Server de sauvegarde, sélectionnez l’onglet Paramètres du
serveur de sauvegarde et activez la case à cocher Activer un serveur Active Directory secondaire.
246
WatchGuard System Manager
Authentification
13. Répétez les étapes 4 à 11 pour ajouter les informations dans les champs obligatoires. Vérifiez que le
secret partagé est le même sur le serveur de sauvegarde Active Directory que sur le serveur
principal.
Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde à la page 228.
14. Cliquez sur .Enregistrer.
À propos des paramètres Active Directory facultatifs
Fireware XTM peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active
Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela
vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires aux sessions
de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN with IPSec. Étant
donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous
n’êtes pas limité aux paramètres globaux de Fireware XTM Web UI. Vous pouvez définir ces paramètres
pour chaque utilisateur individuel.
Pour plus d’informations, voir Utilisez les paramètres Active Directory ou LDAP facultatifs à la page 249.
Trouver votre base de recherche Active Directory
Lorsque vous configurez votre périphérique WatchGuard pour authentifier les utilisateurs sur votre Active
Directory Server, vous ajoutez une base de recherche. La base de recherche est le point de départ des
recherches d’entrées de comptes d’utilisateur dans la structure hiérarchique d’Active Directory. Cela peut
contribuer à accélérer la procédure d’authentification.
Avant de commencer, il faut qu’un Active Directory Server opérationnel contienne les informations sur les
comptes de tous les utilisateurs dont vous voulez configurer l’authentification sur le périphérique
WatchGuard.
Sur l’Active Directory Server :
1. Sélectionnez Démarrer > Outils d’administration > Utilisateurs et ordinateurs Active Directory.
2. Dans l’arborescence Utilisateurs et ordinateurs Active Directory, cherchez et sélectionnez votre
nom de domaine.
3. Déroulez l’arborescence pour trouver le chemin de votre hiérarchie Active Directory.
Les composants du nom de domaine sont au format dc=composant du nom de domaine. Ils sont
ajoutés à la fin de la chaîne de la base de recherche et sont également délimités par des virgules.
Pour chaque niveau de votre nom de domaine, vous devez inclure un composant de nom de
domaine séparé dans votre base de recherche Active Directory. Par exemple, si votre nom de
domaine est préfixe.exemple.com, le composant de nom de domaine de votre base de recherche
est DC=préfixe,DC=exemple,DC=com .
Ainsi, si votre nom de domaine apparaît sous cette forme dans l’arborescence après que vous l’ayez
développé :
La chaîne de base de recherche à ajouter à la configuration Firebox est :
DC=kunstlerandsons,DC=com
Guide de l’utilisateur
247
Authentification
Les chaînes de recherche ne respectent pas la casse. Lorsque vous entrez la chaîne de recherche, vous
pouvez utiliser des lettres majuscules ou minuscules.
Champs Nom unique de l’utilisateur effectuant la recherche et le Mot
de passe de l’utilisateur effectuant la recherche
Vous ne devez renseigner ces champs que si vous sélectionnez une option d’Attribut de connexion
différente de la valeur par défaut (sAMAccountName). La plupart des organisations utilisant Active
Directory ne changent pas ce paramètre. Lorsque vous laissez la valeur sAMAccountName par défaut de ce
champ, les utilisateurs donnent leur nom de connexion Active Directory habituel pour nom d’utilisateur
quand ils s’authentifient. C’est le nom qui apparaît dans la zone de texte Nom de connexion de l’utilisateur
de l’onglet Compte quand vous modifiez un compte d’utilisateur dans Utilisateurs et ordinateurs Active
Directory.
Si vous utilisez une valeur différente pour l’Attribut de connexion, les utilisateurs qui essaient de
s’authentifier donnent une forme différente de leur nom d’utilisateur. Dans ce cas, vous devez ajouter les
Informations d’identification de l’utilisateur effectuant la recherche à votre configuration Firebox.
Changer le port par défaut de l’Active Directory Server
Si votre périphérique WatchGuard est configuré pour authentifier les utilisateurs à partir d’un serveur
d’authentification Active Directory, il se connecte à l’Active Directory Server via le port LDAP standard par
défaut, à savoir le port TCP 389. Si les serveurs Active Directory Server que vous ajoutez à la configuration
de votre périphérique WatchGuard sont définis comme des serveurs de catalogue global Active Directory,
vous pouvez paramétrer le périphérique pour qu’il utilise le port de catalogue global – le port TCP 3268 –
pour se connecter au serveur Active Directory.
Un serveur de catalogue global est un contrôleur de domaine qui stocke des informations sur tous les
objets figurant dans la forêt. Cela permet aux applications d’effectuer des recherches dans Active Directory
sans avoir à se référer aux différents contrôleurs de domaine qui stockent les données demandées. Si vous
n’avez qu’un seul domaine, Microsoft recommande de configurer tous les contrôleurs de domaine en tant
que serveurs de catalogue global.
Si l’Active Directory Server principal ou secondaire que vous utilisez dans la configuration de votre
périphérique WatchGuard est également configuré comme serveur de catalogue global, vous pouvez
modifier le port utilisé par le périphérique pour se connecter au serveur Active Directory afin d’accélérer
les demandes d’authentification. Toutefois, il n’est pas conseillé de créer des serveurs de catalogue global
Active Directory supplémentaires uniquement pour accélérer les demandes d’authentification. Les
répétitions entre les différents serveurs de catalogue peuvent occuper une grande partie de la bande
passante de votre réseau.
Configurer Firebox pour l’utilisation du port de catalogue global
1. Dans Fireware XTM Web UI, sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
2. Sélectionnez l’onglet Active Directory.
3. Dans la zone de texte Port, effacez le texte et entrez 3268.
4. Cliquez sur Enregistrer.
248
WatchGuard System Manager
Authentification
Savoir si l’Active Directory Server est configuré en tant que serveur de
catalogue global
1. Sélectionnez Démarrer > Outils d’administration > Sites et services Active Directory.
2. Déroulez l’arborescence Sites et repérez le nom de votre Active Directory Server.
3. Cliquez avec le bouton droit sur les Paramètres NTDS de votre Active Directory Server et
sélectionnez Propriétés.
Si la case à cocher Catalogue global est activée, l’Active Directory Server est configuré pour être un
catalogue global.
Utilisez les paramètres Active Directory ou LDAP
facultatifs
Lorsque Fireware XTM contacte le serveur d’annuaire (Active Directory ou LDAP) pour rechercher des
informations, il peut obtenir des informations supplémentaires dans les listes d’attributs de la réponse à la
recherche envoyée par le serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des
paramètres supplémentaires à la session de l’utilisateur authentifié, notamment des délais d’attente et des
adresses Mobile VPN. Étant donné que les données proviennent d’attributs LDAP associés à des objets
d’utilisateur individuel, vous pouvez définir ces paramètres pour chaque utilisateur individuel au lieu de
vous limiter aux paramètres globaux de Fireware XTM Web UI.
Avant de commencer
Pour utiliser ces paramètres facultatifs, vous devez :
n
n
n
développer le schéma d’annuaire pour ajouter de nouveaux attributs à ces éléments ;
rendre les nouveaux attributs disponibles pour la classe d’objets à laquelle les comptes d’utilisateurs
appartiennent ;
donner des valeurs aux attributs pour les objets utilisateur qui doivent les utiliser.
veiller à planifier et tester soigneusement votre schéma d’annuaire avant de l’étendre à vos annuaires. Les
ajouts au schéma d’Active Directory, par exemple, sont en général irrémédiables. Utilisez le site Web
Microsoft afin d’obtenir des ressources pour planifier, tester et implémenter des modifications dans un
schéma d’Active Directory. Consultez la documentation de votre fournisseur LDAP avant d’étendre le
schéma pour d’autres annuaires.
Spécifier Paramètres Active Directory ou LDAP facultatifs
Pour spécifier les attributs supplémentaires que Fireware XTM recherche dans la réponse du serveur
d’annuaire :
1. Dans Fireware XTM Web UI, sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
Guide de l’utilisateur
249
Authentification
2. Cliquez sur l’onglet LDAP ou Active Directory et vérifiez que le serveur est activé.
250
WatchGuard System Manager
Authentification
3. Cliquez sur Paramètres facultatifs.
Les Paramètres facultatifs du serveur page s’affichent.
Guide de l’utilisateur
251
Authentification
4. Entrez les attributs à inclure dans la recherche dans les champs de chaîne.
Chaîne d’attributs IP
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer une adresse IP
virtuelle au client Mobile VPN. Cet attribut doit comporter une seule valeur et une adresse IP
au format décimal. L’adresse IP doit faire partie du pool d’adresses IP virtuelles que vous
spécifiez lorsque vous créez le groupe Mobile VPN.
Si Firebox ne voit pas l’attribut IP dans la réponse à la recherche, ou si vous n’en spécifiez aucun
dans Fireware XTM Web UI, il attribue au client Mobile VPN une adresse IP virtuelle à partir du
pool d’adresses IP virtuelles créé lors de la formation du groupe Mobile VPN.
Chaîne d’attributs de masque réseau
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer un masque de sousréseau à l’adresse IP virtuelle du client Mobile VPN. Cet attribut doit comporter une seule
valeur et un masque de sous-réseau au format décimal.
Le logiciel Mobile VPN attribue automatiquement un masque réseau si Firebox ne trouve pas
l’attribut de masque réseau dans la réponse à la recherche ou si vous n’en spécifiez aucun dans
Fireware XTM Web UI.
Chaîne d’attributs DNS
252
WatchGuard System Manager
Authentification
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut qu’utilise Fireware XTM pour attribuer une ou plusieurs adresses
DNS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut comporter plusieurs
valeurs, mais doit avoir une adresse IP au format décimal avec points standard. Si Firebox ne
voit pas l’attribut DNS dans la réponse à la recherche, ou si vous n’en spécifiez aucun dans
Fireware XTM Web UI, il utilise les adresses WINS entrées au moment de Configurer des
serveurs WINS et DNS.
Chaîne d’attributs WINS
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware XTM doit utiliser pour attribuer une ou plusieurs
adresses WINS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut comporter
plusieurs valeurs, mais doit avoir une adresse IP au format décimal avec points standard. Si
Firebox ne voit pas l’attribut WINS dans la réponse à la recherche, ou si vous n’en spécifiez
aucun dans Fireware XTM Web UI, il utilise les adresses WINS entrées au moment de
Configurer des serveurs WINS et DNS.
Chaîne d’attributs de la durée du bail
Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu.
Entrez le nom de l’attribut que Fireware XTM doit utiliser pour contrôler la durée maximale
pendant laquelle un utilisateur peut rester authentifié (délai d’expiration de la session). Une fois
cette durée expirée, l’utilisateur est supprimé de la liste d’utilisateurs authentifiés. Cet attribut
doit comporter une seule valeur. Fireware XTM interprète la valeur de l’attribut comme un
nombre décimal de secondes. Il interprète zéro comme jamais inactif.
Chaîne d’attributs de délai d’inactivité
Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu.
Entrez le nom de l’attribut que Fireware XTM utilise pour contrôler la durée pendant laquelle
un utilisateur peut rester authentifié sans qu’aucun trafic à destination de Firebox ne provienne
de l’utilisateur (délai d’inactivité). En l’absence de trafic vers le périphérique pendant cette
durée, l’utilisateur est retiré de la liste d’utilisateurs authentifiés. Cet attribut doit comporter
une seule valeur. Fireware XTM interprète la valeur de l’attribut comme un nombre décimal de
secondes. Il interprète zéro comme jamais inactif.
5. Cliquez sur Enregistrer.
Les paramètres de l’attribut sont enregistrés.
Utiliser un compte d’utilisateur local pour
l’authentification
Tous les utilisateurs peuvent s’authentifier en tant qu’ utilisateur du pare-feu, utilisateur PPTP ou utilisateur
Mobile VPN et ouvrir un tunnel PPTP ou un tunnel Mobile VPN si PPTP ou Mobile VPN est activé sur
Firebox. Cependant, une fois l’authentification ou le tunnel établi, les utilisateurs peuvent envoyer le trafic
via le tunnel VPN uniquement si une stratégie de Firebox autorise le trafic. Par exemple, un utilisateur
Guide de l’utilisateur
253
Authentification
autorisé à utiliser uniquement Mobile VPN peut envoyer des données via un tunnel Mobile VPN. Même si
le Mobile VPN peut s’authentifier et ouvrir un tunnel PPTP, il ne pourra pas envoyer de trafic via ce tunnel
PPTP.
Si vous utilisez l’Active Directory Authentication et que l’appartenance d’un utilisateur à un groupe ne
correspond pas à votre stratégie Mobile VPN, un message d’erreur signalant que le trafic déchiffré ne
correspond à aucune stratégie s’affiche. Si ce message s’affiche, vérifiez que l’utilisateur fait partie d’un
groupe dont le nom est identique à celui de votre groupe Mobile VPN.
Utiliser les utilisateurs et groupes autorisés dans
les stratégies
Vous pouvez utiliser des noms de groupe et d’utilisateur précis quand vous créez des stratégies dans
Fireware XTM Web UI. Vous pouvez, par exemple, définir toutes les stratégies de sorte que seules les
connexions d’utilisateurs authentifiés soient autorisées. Vous pouvez également limiter les connexions à
une stratégie à des utilisateurs particuliers.
Le terme utilisateurs et groupes autorisés fait référence aux utilisateurs et aux groupes qui sont autorisés à
accéder aux ressources réseau.
Définir des utilisateurs et des groupes pour l’authentification Firebox
Si vous utilisez Firebox comme serveur d’authentification et souhaitez définir les utilisateurs et groupes qui
s’authentifient à Firebox, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 231
et Définir un nouveau groupe d’authentification sur Firebox à la page 233.
Définir des utilisateurs et des groupes pour l’authentification tierce
1. Créez un groupe sur votre serveur d’authentification tierce qui contienne tous les comptes
d’utilisateurs de votre système.
2. Dans Fireware XTM Web UI, sélectionnez Authentification > Utilisateurs et groupes.
La page Utilisateurs et groupes d’authentification s’affiche.
254
WatchGuard System Manager
Authentification
3.
4.
5.
6.
Entrez un nom d’utilisateur ou de groupe que vous avez créé sur le serveur d’authentification.
(Facultatif) Entrez une description de l’utilisateur ou du groupe.
Sélectionnez la case d’option Groupe ou Utilisateur.
Dans la liste déroulante Serveur d’authentification, sélectionnez le type de serveur
d’authentification utilisé.
Les options disponibles sont Tout, Firebox-DB, RADIUS (pour une authentification via un VACMAN
Middleware Server ou RADIUS), SecurID, LDAP ou Active Directory.
7. Cliquez sur Ajouter.
8. Cliquez sur Enregistrer.
Ajouter des utilisateurs et des groupes aux définitions des stratégies
Tout utilisateur ou groupe que vous voulez utiliser dans vos définitions de stratégie doit être ajouté en tant
qu’utilisateur autorisé. Tous les utilisateurs et groupes que vous créez pour l’authentification Firebox, et
tous les utilisateurs Mobile VPN sont automatiquement ajoutés à la liste des utilisateurs et groupes autorisés
dans la boîte de dialogue Utilisateurs et groupes autorisés. Vous pouvez ajouter n’importe quel utilisateur
ou groupe provenant de serveurs d’authentification tierce à la liste des utilisateurs et des groupes autorisés
à l’aide de la procédure ci-dessus. Vous êtes alors prêt à ajouter des utilisateurs et des groupes à la
configuration de votre stratégie.
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu > Stratégies de pare-feu.
La page Stratégies de pare-feu s’affiche.
2. Sélectionnez une stratégie dans la liste et cliquez sur Modifier.
Ou double-cliquez sur une stratégie.
La page Configuration de stratégie apparaît.
3. Sur l’onglet Stratégie, en dessous de la case De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
Guide de l’utilisateur
255
Authentification
4. Cliquez sur Ajouter un utilisateur.
La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche.
5. Dans la liste déroulante Type à gauche, indiquez si l’utilisateur ou le groupe est autorisé en tant
qu’utilisateur derrière un pare-feu, utilisateur PPTP ou utilisateur VPN SSL.
Pour plus d’informations sur ces types d’authentification, voir Types d’authentification Firebox à la
page 229.
6. Dans la liste déroulante Type à droite, sélectionnez Utilisateur ou Groupe.
7. Si votre utilisateur ou groupe s’affiche dans la liste Groupes, sélectionnez-le et cliquez sur
Sélectionner.
La boîte de dialogue Ajouter une adresse s’affiche de nouveau avec l’utilisateur ou le groupe dans la zone
Membres ou adresses sélectionnées.
Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie.
8. Si votre utilisateur ou groupe ne s’affiche pas dans la liste de la boîte de dialogue Ajouter des
utilisateurs ou groupes autorisés, voir Définir un nouvel utilisateur pour l’authentification sur
Firebox à la page 231, Définir un nouveau groupe d’authentification sur Firebox à la page 233, ou la
procédure Définir des utilisateurs et des groupes pour l’authentification tierce précédente.
Après avoir ajouté un utilisateur ou un groupe à la configuration d’une stratégie, Fireware XTM Web UI
ajoute automatiquement une stratégie d’authentification WatchGuard à la configuration Firebox. Utilisez
cette stratégie pour contrôler l’accès à la page Web du portail d’authentification.
Pour obtenir des instructions sur la manière de modifier cette stratégie, voir Utiliser l’authentification pour
restreindre le trafic entrant à la page 218.
256
WatchGuard System Manager
12 Stratégies
À propos des stratégies
La stratégie de sécurité de votre entreprise correspond à un ensemble de règles qui définissent la façon
dont vous protégez votre réseau informatique et les informations qui le traversent. Firebox refuse tous les
paquets qui ne sont pas spécifiquement autorisés. Lorsque vous ajoutez une stratégie à votre fichier de
configuration Firebox, vous ajoutez un jeu de règles qui ordonnent à la Firebox d'autoriser ou de refuser le
trafic en fonction de certains facteurs, tels que la source et la destination du paquet ou encore le port ou le
protocole TCP/IP utilisé pour le paquet.
Un exemple de la façon dont une stratégie peut s'utiliser : l'administrateur réseau d'une entreprise
souhaite se connecter à distance à un serveur Web protégé par la Firebox. L'administrateur réseau gère le
serveur Web avec une connexion Remote Desktop. En même temps, l'administrateur réseau souhaite
assurer qu'aucun autre utilisateur du réseau ne puisse utiliser Remote Desktop. Pour ce faire,
l’administrateur réseau ajoute une stratégie qui autorise les connexions RDP uniquement en provenance de
l’adresse IP de son propre PC et à destination de l’adresse IP du serveur Web.
Une stratégie peut également donner à la Firebox davantage d'instructions sur la façon de gérer les
paquets. Par exemple, vous pouvez définir les paramètres de connexion et de notification qui s'appliquent
au trafic, ou utiliser la translation d'adresse réseau (NAT) pour modifier l'adresse IP source et le port du
trafic réseau.
Stratégies de filtres de paquets et stratégies de proxies
Firebox utilise deux catégories de stratégies pour filtrer le trafic réseau : les filtres de paquets et les proxies.
Un filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet. Si les informations d’en-tête du
paquet sont légitimes, Firebox autorise le paquet. Dans le cas contraire, il l’abandonne.
Un proxy examine aussi bien l'information d'en-tête que le contenu de chaque paquet afin d'assurer la
sécurité des connexions. Cette opération est également appelée Inspection de paquet en profondeur. Si les
informations d'en-tête de paquet sont légitimes et que le contenu du paquet n'est pas considéré comme
une menace, alors Firebox autorise le paquet. Dans le cas contraire, il l’abandonne.
Guide de l’utilisateur
257
Stratégies
À propos de l'ajout de stratégies à votre Firebox
Firebox comprend de nombreux filtres de paquets et proxies prédéfinis que vous pouvez ajouter à votre
configuration. Par exemple, si vous souhaitez appliquer un filtre de paquets à l’ensemble du trafic Telnet,
ajoutez une stratégie Telnet prédéfinie que vous pourrez ensuite modifier en fonction de la configuration
de votre réseau. Vous pouvez également personnaliser une stratégie en définissant ses ports, ses
protocoles et d’autres paramètres.
Lorsque vous configurez la Firebox avec l'assistant Quick Setup Wizard, l'assistant ajoute plusieurs paquets
de filtres : Sortant (TCP-UDP), FTP, ping et jusqu'à deux stratégies de gestion WatchGuard. Si vous avez
d’autres applications logicielles et davantage de trafic réseau que Firebox doit inspecter, vous devez :
n
n
n
Configurer les stratégies sur votre Firebox pour laisser passer le trafic nécessaire
Définir les hôtes approuvés et les propriétés pour chaque stratégie
Équilibrer l'exigence de protection de votre réseau et l'exigence de vos utilisateurs d'avoir accès
aux ressources externes
Il est conseillé de définir des limites pour le trafic sortant lorsque vous configurez Firebox.
Note Sur tous les documents, les filtres de paquets et les proxies sont considérés comme
des stratégies. Les informations sur les stratégies se rapportent à la fois aux filtres
de paquets et aux proxies, sauf spécification contraire.
258
WatchGuard System Manager
Stratégies
À propos de la page Stratégies de pare-feu ou Mobile VPN
Les pages Stratégies de pare-feu et Stratégies Mobile VPN affichent les stratégies définies dans la
configuration actuelle de votre périphérique Firebox ou XTM.
Les informations suivantes sont affichées pour chaque stratégie :
Action
L’action entreprise par la stratégie pour le trafic correspondant à la définition de la stratégie. Le
symbole affiché dans cette colonne indique également si la stratégie est une stratégie de filtrage de
paquets ou une stratégie de proxy.
n
n
n
n
n
n
Coche verte = stratégie de filtrage de paquets ; trafic autorisé
X rouge = stratégie de filtrage de paquets ; trafic refusé
Cercle avec ligne = stratégie de filtrage de paquets ; action du trafic non configurée
Bouclier vert avec coche = stratégie de proxy ; trafic autorisé
Bouclier rouge avec X = stratégie de proxy ; trafic refusé
Bouclier gris = stratégie de proxy ; action du trafic non configurée
Nom de la stratégie
Nom de la stratégie, comme défini dans le champ Nom de la page Configuration de la stratégie.
Type de stratégie
Le protocole géré par la stratégie. Les proxies comprennent le protocole et « -proxy ».
Type de trafic
Type de trafic examiné par la stratégie : pare-feu ou réseau privé VPN.
Guide de l’utilisateur
259
Stratégies
Journal
Indique si la journalisation est activée pour la stratégie.
Alarme
Indique si des alarmes sont configurées pour la stratégie.
De
Adresses à partir desquelles le trafic de cette stratégie s’applique (adresses sources).
À
Adresses vers lesquelles le trafic de cette stratégie s’applique (adresses de destination).
Routage basé sur la stratégie (PBR)
Indique si la stratégie utilise le routage basé sur la stratégie. Si c’est le cas et que le basculement
n’est pas activé, le numéro de l’interface s’affiche. Si le routage basé sur la stratégie et le
basculement sont activés, une liste de numéros d’interface s’affiche. L’interface principale est
indiquée en premier.
Pour de plus amples informations sur le routage basé sur stratégie, cf. Configurer le routage basé sur
stratégie à la page 275.
Port
Protocoles et ports utilisés par la stratégie.
Par défaut, l’interface utilisateur Fireware XTM Web UI trie les stratégies de la plus spécifique à la plus
générale. L’ordre détermine la façon dont le trafic s’écoule au travers des stratégies. Si vous souhaitez
définir manuellement l’ordre des stratégies, cliquez sur Désactiver, en regard de Mode de classement
automatique activé.
Pour plus d’informations sur l'ordre des stratégies, voir À propos de l’ordre de priorité des stratégies.
Ajouter stratégies à votre configuration
Pour ajouter un pare-feu ou une stratégie Mobile VPN :
1. Sélectionnez Pare-feu > Stratégies de pare-feu ou Pare-feu > Stratégies Mobile VPN.
La page Stratégies que vous avez sélectionnée s'affiche.
2. Cliquez sur Ajouter.
3. Développez la liste de filtres de paquets et de stratégies pour trouver un protocole ou un port.
4. Pour les stratégies de pare-feu, sélectionnez un modèle et cliquez sur Ajouter.
Pour les stratégies de proxy, vous devez également sélectionner l'option Client ou Serveur dans la
liste déroulante Action de proxy.
Pour les stratégies Mobile VPN, sélectionnez d'abord un groupe VPN mobile auquel la stratégie
s'applique, puis sélectionnez le modèle et cliquez sur Ajouter.
260
WatchGuard System Manager
Stratégies
Le périphérique Firebox comprend une définition par défaut pour chaque stratégie incluse dans la
configuration Firebox. La définition par défaut regroupe des paramètres qui peuvent s’appliquer à la plupart
des installations. Toutefois, vous pouvez les modifier en fonction des besoins spécifiques de votre
entreprise ou si vous préférez inclure des propriétés de stratégie spéciales, telles que des actions de
gestion du trafic et des calendriers d'application.
Après avoir ajouté une stratégie à votre configuration, il convient de définir des règles pour :
n
n
n
n
Définir les sources et destinations de trafic autorisées
Créer des règles de filtre
Activer ou désactiver la stratégie
Configurer des propriétés telles que gestion du trafic, NAT ou journalisation
Pour plus d'informationssur laconfiguration de stratégie, voir À proposdes propriétésde stratégieà lapage 271.
Ajouter une stratégie à partir de la liste des modèles
Le périphérique Firebox comprend une définition par défaut pour chaque stratégie incluse dans la
configuration Firebox. Les paramètres de définition par défaut sont adaptés à la plupart des installations ;
vous pouvez néanmoins les modifier de façon à y inclure des propriétés de stratégie spéciales, comme des
actions QoS et des calendriers d'application.
1. Sur la page Ajouter une stratégie, développez les dossiers Filtres de paquets, Proxies ou
Personnalisé.
Une liste de modèles pour les stratégies de filtres de paquets ou de proxies s'affiche.
2. Sélectionnez le type de stratégie que vous souhaitez créer. Cliquez sur Ajouter.
La boîte de dialogue de la page Configuration de stratégie s'affiche.
Guide de l’utilisateur
261
Stratégies
3. Pour modifier le nom de la stratégie, saisissez un nouveau nom dans le champ Nom.
4. Définissez les règles d'accès et les autres paramètres de la stratégie.
5. Cliquez sur Enregistrer.
Pour obtenir plus d’informations sur les propriétés de stratégie, voir À propos des propriétés de stratégie à
la page 271.
262
WatchGuard System Manager
Stratégies
Désactiver ou supprimer une stratégie
Pour désactiver une stratégie :
1. Sélectionnez Pare-feu > Stratégies de pare-feu ou Pare-feu > Stratégies Mobile VPN.
La page Configuration de stratégie apparaît.
2. Sélectionnez la stratégie et cliquez sur Modifier.
3. Décochez la case Activer.
4. Cliquez sur Enregistrer.
Supprimer une stratégie
Suite aux modifications apportées à votre stratégie de sécurité, vous devrez parfois supprimer une
stratégie.
Pour supprimer une stratégie :
1. Sélectionnez Pare-feu > Stratégies de pare-feu ou Pare-feu > Stratégies Mobile VPN.
2. Sélectionnez la stratégie et cliquez sur Supprimer. Vos modifications apportées aux stratégies sont
enregistrées automatiquement.
À propos des alias
Un alias est un raccourci permettant d’identifier un groupe d’hôtes, de réseaux ou d’interfaces. L’utilisation
d’un alias simplifie la création d’une stratégie de sécurité car Firebox vous autorise à utiliser des alias
lorsque vous créez des stratégies.
Les alias par défaut dans Fireware XTM Web UI comprennent :
n
n
n
n
n
n
Tout — Tout alias de source ou destination correspondant aux interfaces de la Firebox , tels que
Approuvé ou Externe.
Firebox — Un alias pour toutes les interfaces Firebox.
Tout-Approuvé — Un alias pour toutes les interfaces Firebox configurées en tant qu'interfaces
approuvées, et tout réseau accessible via ces interfaces.
Tout-Externe — Un alias pour toutes les interfaces Firebox configurées en tant qu'interfaces
externes, et tout réseau accessible via ces interfaces.
Tout-Facultatif — Des alias pour toutes les interfaces Firebox configurées en tant qu'interfaces
facultatives, et tout réseau accessible via ces interfaces.
Tout-BOVPN – Un alias pour tous les tunnels BOVPN (IPSec).
Lorsque vous utilisez l’assistant BOVPN Policy Wizard pour créer une stratégie autorisant le trafic à
transiter par un tunnel BOVPN, l’assistant crée automatiquement des alias .in et .out pour les tunnels
entrants et sortants.
Il faut distinguer les noms d’alias des noms d’utilisateurs ou de groupes utilisés pour l’authentification des
utilisateurs. Lorsque vous authentifiez des utilisateurs, vous pouvez contrôler une connexion à l’aide d’un
nom et non d’une adresse IP. L’utilisateur est authentifié à l’aide d’un nom d’utilisateur et d’un mot de passe
pour accéder aux protocoles Internet.
Pour plus d’informations sur l’authentification des utilisateurs, voir À propos de l’authentification des
utilisateurs à la page 215.
Guide de l’utilisateur
263
Stratégies
Membres de l’alias
Vous pouvez ajouter les objets suivants à un alias :
n
n
n
n
n
n
n
n
L’adresse IP de l’hôte
L’adresse IP du réseau
Une plage d'adresses IP d'hôte
Nom DNS pour un hôte
Adresse de tunnel – définie par un utilisateur ou un groupe, adresse et nom du tunnel
Adresse personnalisée – définie par un utilisateur ou un groupe, adresse et interface Firebox
Un autre alias
Un utilisateur ou groupe autorisé
Créer un alias
Pour créer un alias à utiliser avec vos stratégies de sécurité :
1. Sélectionnez Pare-feu > Alias.
La page des alias s’affiche.
2. Cliquez sur Ajouter.
Ajouter un alias page s’affiche.
264
WatchGuard System Manager
Stratégies
3. Dans la zone de texte Nom d'alias, saisissez un nom unique pour identifier l'alias.
Ce nom s’affiche dans les listes lorsque vous configurez une stratégie de sécurité.
4. Dans le champ Description, saisissez une description de l’alias.
5. Cliquez sur Enregistrer.
Ajouter une adresse, une plage d'adresse, un nom DNS, un utilisateur,
un groupe, ou un autre alias vers l'alias
1. Dans la boîte de dialogue Ajouter un alias, cliquez sur Ajouter Membre.
La boîte de dialogue Ajouter un membre s’affiche.
2. Dans la Type de membre liste déroulante, sélectionnez le type de membre que vous souhaitez
ajouter.
3. Saisissez l’adresse ou le nom dans le champ de texte bouton zone de texte, ou sélectionnez
l'utilisateur ou le groupe.
4. Cliquez sur OK.
Le nouveau membre apparaît dans la section Membres de l’alias de la boîte de dialogue Ajouter un alias page.
5. Répétez les étapes 1 à 4 pour ajouter d'autres membres.
6. Cliquez sur Enregistrer.
Pour supprimer une entrée de la liste des membres, sélectionnez l'entrée et cliquez sur Supprimer
Membre.
Guide de l’utilisateur
265
Stratégies
À propos de l’ordre de priorité des stratégies
La priorité correspond à la séquence dans laquelle le périphérique Firebox ou XTM examine le trafic réseau
et applique une règle de stratégie. Le périphérique Firebox ou XTM trie automatiquement les stratégies de
la plus spécifique à la plus générale. Il compare les informations du paquet à la liste de règles de la
première stratégie. La première règle de la liste qui correspond aux conditions du paquet est appliquée à
ce paquet. Si le niveau de détails de deux stratégies est identique, une stratégie de proxy a toujours priorité
sur une stratégie de filtre de paquets.
Ordre de priorité automatique des stratégies
Le périphérique Firebox ou XTM accorde automatiquement la priorité aux stratégies les plus spécifiques ;
les stratégies les moins spécifiques passent en dernier. Le pare-feu Firebox ou XTM examine la spécificité
des critères suivants dans cet ordre. S’il ne peut pas déterminer la priorité à partir du premier critère, il
passe au deuxième et ainsi de suite.
1.
2.
3.
4.
5.
6.
7.
8.
Spécificité de stratégie
Protocoles définis pour le type de stratégie
Règles de trafic du champ À
Règles de trafic du champ De
Action de pare-feu (Autorisé, Refusé, ou Refus (envoi réinitialisation)) appliquée aux stratégies
Calendriers appliqués aux stratégies
Séquence alphanumérique basée sur le type de stratégie
Séquence alphanumérique basée sur un nom de stratégie
Les rubriques ci-après fournissent des détails supplémentaires concernant le fonctionnement du
périphérique Firebox ou XTM au cours de ces huit étapes.
Spécificité de stratégie et protocoles
Le périphérique Firebox ou XTM utilise ces critères dans l’ordre pour comparer deux stratégies jusqu’à ce
qu’il détermine que les deux stratégies sont égales ou que l’une est plus détaillée que l’autre.
1. Une stratégie Tout a toujours la plus faible priorité.
2. Vérifiez le nombre de protocoles TCP 0 (tout) ou UDP 0 (tout). La stratégie avec le plus petit nombre
a la priorité la plus élevée.
3. Vérifiez le nombre de ports uniques des protocoles TCP et UDP. La stratégie avec le plus petit
nombre a la priorité la plus élevée.
4. Additionnez les numéros de port uniques TCP et UDP. La stratégie avec le plus petit nombre a la
priorité la plus élevée.
5. Notez les protocoles en fonction de leur valeur de protocole IP. La stratégie avec le plus petit score
a la priorité la plus élevée.
Si le périphérique Firebox ou XTM ne peut établir la priorité lorsqu’il compare la spécificité de la stratégie
et les protocoles, il examine les règles de trafic.
266
WatchGuard System Manager
Stratégies
Règles de trafic
Le pare-feu Firebox ou XTM utilise ces critères dans l’ordre afin de comparer la règle de trafic la plus
générale d’une stratégie avec la règle de trafic la plus générale d’une deuxième stratégie. Il attribue une
priorité plus élevée à la stratégie ayant la règle de trafic la plus détaillée.
1.
2.
3.
4.
5.
6.
7.
8.
9.
Adresse de l'hôte
Plage d'adresses IP (plus petite que le sous-réseau auquel elle est comparée)
Sous-réseau
Plage d'adresses IP (plus grande que le sous-réseau auquel elle est comparée)
Nom d'utilisateur d'authentification
Groupe d'authentification
Interface, périphérique Firebox ou XTM
Tout-Externe, Tout-Approuvé, Tout-Facultatif
Tout
Par exemple, comparez ces deux stratégies :
(HTTP-1) De : Approuvé, utilisateur1
(HTTP-2) De : 10.0.0.1, Tout-Approuvé
Approuvé est l'entrée la plus générale pour HTTP-1. Tout-Approuvé est l'entrée la plus générale pour HTTP2. Approuvé étant inclus dans l’alias Tout-Approuvé, HTTP-1 est la règle de trafic la plus détaillée. Cela est
correct malgré le fait que HTTP-2 comprenne une adresse IP, car le périphérique Firebox ou XTM compare
la règle de trafic la plus générale d’une stratégie à la règle de trafic la plus générale de la deuxième
stratégie selon l’ordre de priorité.
Si le périphérique Firebox ou XTM ne peut pas établir la priorité lorsqu’il compare les règles de trafic, il
examine les actions de pare-feu.
Actions de pare-feu
Le périphérique Firebox ou XTM compare les actions de pare-feu de deux stratégies afin d’établir la
priorité. La priorité des actions de pare-feu, de la plus élevée à la plus faible est la suivante :
1. Refusé ou Refusé (envoi réinitialisation)
2. Stratégie de proxy autorisée
3. Stratégie filtrée par paquets approuvée
Si le périphérique Firebox ou XTM une peut établir la priorité lorsqu’il compare les actions de pare-feu, il
examine les calendriers.
Calendriers
Le pare-feu Firebox ou XTM compare les calendriers de deux stratégies pour définir la priorité. La priorité
des calendriers de la plus élevée à la plus faible est la suivante :
1. Toujours inactif
2. Parfois actif
3. Toujours actif
Guide de l’utilisateur
267
Stratégies
Si le périphérique Firebox ou XTM ne peut établir de priorité lorsqu’il compare les calendriers, il examine
les types et les noms de stratégie.
Types et noms de stratégie
Si les deux stratégies ne correspondent à aucun autre critère de priorité, le périphérique Firebox ou XTM
classe les stratégies par ordre alphanumérique. D'abord, elle utilise le type de stratégie. Puis, elle utilise le
nom de stratégie. Comme il ne peut pas y avoir deux stratégies de même type et de même nom, ce critère
représente le dernier critère de priorité.
Définir la priorité manuellement
Pour basculer en mode de classement manuel et modifier la priorité des stratégies, vous devez désactiver
le mode de classement automatique :
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
La page Stratégies de pare-feu s’affiche.
2. En regard de Mode de classement automatique activé, cliquez sur Désactiver.
Un message de configuration apparaît.
3. Cliquez sur Oui pour confirmer que vous souhaitez basculer en mode de classement manuel.
4. Pour modifier l’ordre d’une stratégie, sélectionnez-la et faites-la glisser vers son nouvel
emplacement.
Vous pouvez aussi sélectionner une stratégie et cliquez sur Monter ou Descendre pour la déplacer
dans la liste.
5. Cliquez sur Enregistrer pour enregistrer les modifications apportées à l’ordre des stratégies.
Créer des calendriers pour les actions Firebox
Un calendrier est une série d'heures auxquelles une fonctionnalité est active ou désactivée. Vous devez
utiliser un calendrier si vous voulez qu'une stratégie ou qu'une action WebBlocker devienne
automatiquement active ou inactive aux moments que vous spécifiez. Vous pouvez appliquer un calendrier
que vous créez à plus d'une stratégie ou action WebBlocker si vous souhaitez que ces stratégies ou actions
soient actives aux mêmes moments.
Par exemple, une entreprise souhaite restreindre certains types de trafic réseau durant les heures
normales de bureau. L'administrateur réseau peut créer un calendrier actif les jours ouvrables et
paramétrer chaque stratégie de la configuration de manière à utiliser le même calendrier.
Pour créer un calendrier :
1. Sélectionnez Pare-feu > Planification.
La page Planification s'affiche.
2. Pour créer un nouveau calendrier, cliquez sur Ajouter.
Pour modifier un calendrier, cliquez sur Modifier.
3. Dans la zone de texte Nom, tapez un nom ou une description pour le calendrier. Vous ne pourrez
pas modifier ce nom après avoir enregistré le calendrier.
4. Sélectionnez les horaires d'activité du calendrier pour chaque jour de la semaine.
5. Cliquez sur Enregistrer.
268
WatchGuard System Manager
Stratégies
Définir un calendrier d'application
Vous pouvez définir un calendrier d'application pour une stratégie de façon à ce que celle-ci s'exécute aux
moments que vous spécifiez. Plusieurs stratégies peuvent partager un même calendrier.
Pour modifier un calendrier de stratégie :
1. Sélectionnez Pare-feu > Planification.
La page Planification s'affiche.
2. Dans la liste Stratégies de planification, sélectionnez le Nom de calendrier d'une stratégie.
3. Dans la colonne Calendrier, sélectionnez un calendrier dans la liste déroulante.
4. Cliquez sur Enregistrer.
À propos des stratégies personnalisées
Si vous souhaitez mettre en œuvre un protocole qui n’est pas prévu par défaut en tant qu’option de
configuration de Firebox, vous devez définir une stratégie personnalisée pour le trafic. Vous pouvez ajouter
une stratégie personnalisée qui utilise :
n
n
n
Ports TCP
Ports UDP
Un protocole IP qui n'est ni TCP ni UDP, tel que GRE, AH, ESP, ICMP, IGMP ou OSPF. Vous déterminez
si un protocole IP n’est ni TCP ni UDP grâce à son numéro de protocole IP.
Guide de l’utilisateur
269
Stratégies
Pour créer une stratégie personnalisée, vous devez d'abord créer ou modifier un modèle de stratégie
personnalisée qui spécifie les ports et protocoles utilisés par les stratégies de ce type. Puis vous devez créer
une ou plusieurs stratégies à partir de ce modèle afin de paramétrer les règles d'accès, la journalisation, la
QoS (qualité de service) et d'autres réglages.
Créer ou modifier un modèle de stratégie personnalisée
1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur le bouton Ajouter.
2. Cliquez sur Personnalisé ou sélectionnez un modèle de stratégie personnalisée et cliquez sur
Modifier.
3. Dans la zone de texte Nom, tapez le nom de la stratégie personnalisée. Le nom figure à présent dans
Policy Manager comme type de stratégie. Un nom unique permet de facilement retrouver une
stratégie si vous souhaitez la modifier ou la supprimer. Ce nom doit être différent de ceux figurant
dans la liste de la boîte de dialogue Ajouter une stratégie.
4. Dans la zone de texte Description, entrez la description de la stratégie.
Elle est visible dans le volet de détails lorsque vous cliquez sur le nom de la stratégie dans la liste des filtres
utilisateur.
5. Sélectionnez le type de stratégie : Filtre de paquetsou Proxy.
6. Si vous sélectionnez Proxy, choisissez le protocole de proxy dans la liste déroulante située à côté.
7. Pour associer des protocoles à cette stratégie, cliquez sur Ajouter.
La boîte de dialogue Ajouter un protocole s’affiche.
270
WatchGuard System Manager
Stratégies
8. Dans la liste déroulante Type, sélectionnez Port unique ou Plage de ports.
9. Dans la liste déroulante Protocole, sélectionnez le protocole à associer à cette nouvelle stratégie.
Si vous sélectionnez Port unique, vous avez le choix entre les types suivants :TCP,UDP, GRE, AH, ESP,
ICMP, IGMP, OSP, IP ou Tout.
Si vous sélectionnez Plage de ports, vous avez le choix entre les types de port TCP ou UDP. Les
options situées sous la liste déroulante changent pour chaque protocole.
Note Fireware XTM ne transmet pas le trafic multidiffusion IGMP via Firebox ni entre les
interfaces de Firebox. Il achemine le trafic multidiffusion IGMP entre une interface
et le périphérique Firebox.
10. Dansla liste déroulante Port du serveur,sélectionnez le port àassocier àcette nouvelle stratégie.
Sivous sélectionnezPlage deports, choisissezun portde serveur de débutet unport de serveur de fin.
11. Cliquez sur Enregistrer.
Le modèle de stratégie est ajouté au dossier Stratégies personnalisées.
Vous pouvez à présent utiliser le modèle de stratégie pour ajouter une ou plusieurs stratégies
personnalisées à votre configuration. Utilisez la même procédure que pour une stratégie prédéfinie.
À propos des propriétés de stratégie
Chaque type de stratégie comporte une définition par défaut, qui se compose de réglages adaptés à la
plupart des organisations. Cependant, vous pouvez modifier les réglages de stratégie pour vos objectifs
commerciaux spécifiques ou ajouter d'autres réglages tels que la gestion du trafic et les calendriers
d'application.
Les stratégies Mobile VPN se créent et fonctionnent de la même manière que les stratégies de pare-feu.
Cependant, vous devez spécifier un groupe Mobile VPN auquel la stratégie s'applique.
Vous pouvez modifier le nom de stratégie en haut de la page de configuration de stratégie. Vous pouvez
également modifier l'action de proxy si la stratégie correspond à une stratégie de proxy. Pour plus
d’informations, voir À propos des actions de proxy à la page 285.
Pour régler les propriétés d'une stratégie, sur la page Stratégies de pare-feu, double-cliquez sur la stratégie
pour ouvrir la page Configuration de la stratégie. Ou, si vous venez d'ajouter la stratégie à votre
configuration, la page Configuration de la stratégie s'affiche automatiquement.
Guide de l’utilisateur
271
Stratégies
Onglet Stratégie
Utilisez l'onglet Stratégie pour régler les informations de base concernant la stratégie, par exemple si elle
autorise ou refuse le trafic et les appareils qu'elle gère. Vous pouvez utiliser les paramètres de l'onglet
Stratégie pour créer des règles d'accès pour une stratégie ou configurer le routage basé sur stratégie, la
translation d'adresses réseau (NAT) statique ou l'équilibrage de charge de serveur.
Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants :
n
n
n
n
Définir des règles d’accès pour une stratégie à la page 273
Configurer le routage basé sur stratégie à la page 275
À propos de NAT statique à la page 157
Configurer les équilibrage de charge côté serveur à la page 158
Onglet Propriétés
L'onglet Propriétés affiche le port et le protocole auxquels s'applique la stratégie, ainsi qu'une description
de la stratégie définie. Vous pouvez utiliser les paramètres de cet onglet pour définir la journalisation, la
notification, le blocage automatique et les préférences de délai d'attente.
Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants :
n
n
n
Définir les préférences de journalisation et de notification à la page 371
Bloquer temporairement les sites avec des paramètres de stratégie à la page 357
Définir un délai d'inactivité personnalisé à la page 276
Onglet Avancé
L'onglet Avancé comprend des paramètres pour la translation d'adresses réseau (NAT) et la gestion du
trafic (QoS) ainsi que les options multi-WAN et ICMP.
Pour plus d'informations sur les options de cet onglet, consultez les sujets suivants :
n
n
n
n
n
n
Définir un calendrier d'application à la page 269
Ajouter une une action de gestion de trafic à une stratégie à la page 342
Définir la gestion des erreurs ICMP à la page 277
Appliquer les règles NAT à la page 277
Activer le marquage QoS ou les paramètres de priorité d’une stratégie à la page 339
Définir la durée de connexion persistante pour une stratégie à la page 278
Paramètres de proxy
Chaque stratégie de proxy comporte des paramètres spécifiques à la connexion pouvant être
personnalisés. Pour en savoir plus sur les options de chaque proxy, consultez la rubrique À propos de pour
afficher le protocole souhaité.
À propos de DNS proxy à la page 286
À propos de la Proxy FTP à la page 289
À propos de la Passerelle ALG H.323 à la
page 293
À propos du proxy HTTP à la page 299
272
À propos de la Proxy POP3 à la page 313
À propos de la Proxy SIP à la page 316
À propos de la Proxy SMTP à la page 321
À propos de la Proxy TCP-UDP à la page 326
WatchGuard System Manager
Stratégies
À propos de la Proxy HTTPS à la page 308
Définir des règles d’accès pour une stratégie
Utilisez l’onglet Stratégie de la boîte de dialogue Configuration de stratégie pour configurer les règles
d’accès d’une stratégie donnée.
Le champ Connexions détermine si le trafic conforme aux règles de la stratégie est autorisé ou refusé. Pour
définir la manière dont le trafic est traité, utilisez les paramètres suivants :
Autorisé
Firebox autorise le trafic qui applique cette stratégie s’il est conforme aux règles que vous avez
définies pour la stratégie. Vous pouvez configurer la stratégie de façon à créer un message du
journal lorsque le trafic réseau coïncide avec la stratégie.
Refusé
La Firebox refuse tout le trafic correspondant aux règles de cette stratégie et n'envoie pas de
notification au périphérique qui a envoyé le trafic. Vous pouvez configurer la stratégie de façon à
créer un message de journal dès qu’un ordinateur tente d’utiliser cette stratégie. La stratégie peut
également ajouter automatiquement un ordinateur ou un réseau à la liste des sites bloqués si celuici tente d’établir une connexion avec cette stratégie.
Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la
page 357.
Refusé (envoi réinitialisation)
Firebox refuse l’ensemble du trafic qui n’est pas conforme aux règles de cette stratégie. Vous
pouvez la configurer de sorte qu’elle crée un message de journal dès qu’un ordinateur tente
d’utiliser cette stratégie. La stratégie peut également ajouter automatiquement un ordinateur ou un
réseau à la liste des sites bloqués si celui-ci tente d’établir une connexion avec cette stratégie.
Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la
page 357.
Si vous sélectionnez cette option, la Firebox envoie un paquet pour dire au périphérique à l'origine
du trafic réseau que la session est refusée et que la connexion est fermée. Vous pouvez paramétrer
une stratégie de façon à renvoyer d'autres erreurs, disant au périphérique que le port, le protocole,
le réseau ou l'hôte ne peut être joint. Nous vous conseillons d'utiliser ces options avec beaucoup de
prudence afin que votre réseau puisse fonctionner correctement avec d'autres réseaux.
L’onglet Stratégie contient également les éléments suivants :
Guide de l’utilisateur
273
Stratégies
n
n
Une liste De(ou source) qui détermine qui peut envoyer ou non du trafic réseau avec cette
stratégie.
Une liste Vers (ou destinationqui détermine vers qui Firebox peut acheminer le trafic lorsqu’il est
conforme ou non aux spécifications d’une stratégie.
Par exemple, vous pourriez configurer un filtre de paquets ping pour autoriser le trafic ping en provenance
de tous les ordinateurs du réseau externe vers un serveur Web de votre réseau facultatif. Sachez toutefois
que le réseau de destination devient plus vulnérable dès lors que vous l'ouvrez au(x) port(s) que la stratégie
contrôle. Assurez-vous de configurer soigneusement vos stratégies pour éviter les vulnérabilités.
1. Pour ajouter des membres à vos spécifications d’accès, cliquez sur Ajouter dans la liste de membres
De ou Vers.
La boîte de dialogue Ajouter un membre s’affiche.
2. La la liste comporte les membres que vous pouvez ajouter aux listes De où Vers. Un membre peut
être un alias, un utilisateur, un groupe, une adresse IP ou une plage d'adresses IP.
3. Dans la liste déroulante Type de membre, définissez le type de membre que vous souhaitez ajouter
à la boîte.
4. Sélectionnez un membre que vous souhaitez ajouter et cliquez sur Ajouter, ou double-cliquez sur
une entrée de la fenêtre.
5. Pour ajouter de nouveaux membres au champ De ou Vers , répétez les étapes précédentes.
6. Cliquez sur OK.
La source et la destination peuvent être une adresse IP d’hôte, une plage d’hôtes, un nom d’hôte, une
adresse réseau, un nom d’utilisateur, un alias, un tunnel VPN ou une combinaison de ces éléments.
Pour obtenir plus d’informations sur les alias qui se présentent sous forme d’options dans la liste De ou la
liste Vers, voir À propos des alias à la page 263.
Pour obtenir plus d'informations sur la façon de créer un nouvel alias, voir Créer un alias à la page 264.
274
WatchGuard System Manager
Stratégies
Configurer le routage basé sur stratégie
Pour envoyer le trafic réseau, un routeur inspecte en principe l’adresse de destination du paquet, puis
recherche la destination du saut suivant dans sa table de routage. Dans certains cas, il est préférable que le
trafic emprunte un autre itinéraire que celui par défaut indiqué dans la table de routage. Pour ce faire, il
convient de configurer une stratégie avec une interface externe spécifique à utiliser pour l’ensemble du
trafic sortant conforme à cette stratégie. Cette technique s’appelle le routage basé sur stratégie. Le routage
basé sur stratégie est prioritaire sur les paramètres multi-WAN.
Basé sur des règles Le routage peut être mis en œuvre si vous disposez de plusieurs interfaces externes et
avez configuré Firebox pour le multi-WAN. Avec le routage basé sur stratégie, vous avez la garantie que
l’ensemble du trafic contrôlé par une stratégie traverse toujours la même interface externe, même si votre
configuration multi-WAN prévoit l’envoi du trafic en mode de tourniquet. Par exemple, si vous souhaitez
que les e-mails soient routés à travers une interface spécifique, vous pouvez utiliser le routage basé sur
stratégie dans la définition du proxy SMTP ou POP3.
Note Pour utiliser le routage basé sur stratégie, vous devez être équipé de Fireware XTM
avec une mise à niveau Pro. Vous devez également configurer au moins deux
interfaces externes.
Routage basé sur stratégie, basculement et failback
Lorsque vous utilisez le routage basé sur stratégie avec le basculement multi-WAN, vous pouvez indiquer si
le trafic conforme à la stratégie doit ou non utiliser une autre interface externe lorsque le basculement a
lieu. Par défaut, le trafic est abandonné jusqu’à ce que l’interface soit de nouveau disponible.
Les paramètres de failback (définis dans l’onglet Multi-WAN de la boîte de dialogue Configuration du
réseau) s’appliquent également au routage basé sur stratégie. Si un basculement a lieu et que l’interface
d’origine devient par la suite disponible, Firebox peut envoyer les connexions actives à l’interface de
basculement ou revenir à l’interface d’origine. Les nouvelles connexions sont envoyées à l’interface
d’origine.
Restrictions appliquées au routage basé sur stratégie
n
n
n
Le routage basé sur stratégie n’est disponible que si le mode multi-WAN est activé. Si vous activez le
mode multi-WAN, la boîte de dialogue Modifier les propriétés de stratégie contient
automatiquement les champs permettant de configurer le routage basé sur stratégie.
Par défaut, le routage basé sur stratégie n’est pas activé.
Il ne s’applique pas au trafic IPSec ni au trafic destiné au réseau approuvé ou au réseau facultatif
(trafic entrant).
Ajouter un routage basé sur stratégie à une stratégie
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
2. Sélectionnez une stratégie et cliquez sur Modifier.
Ou double-cliquez sur une stratégie.
La page Configuration de stratégie apparaît.
Guide de l’utilisateur
275
Stratégies
3. Cochez la case Utiliser le routage basé sur stratégie.
4. Pour définir l’interface qui envoie le trafic sortant conforme à la stratégie, sélectionnez le nom de
l’interface dans la liste déroulante située à côté. Assurez-vous que l’interface sélectionnée est un
membre de l’alias ou du réseau que vous avez défini dans le champ Vers de votre stratégie.
5. (Facultatif) Configurer le routage basé sur stratégie avec basculement multi-WAN tel que décrit cidessous. Si vous ne sélectionnez pas Basculement et que l’interface que vous avez définie pour
cette stratégie devient inactive, le trafic est abandonné jusqu'à ce que l’interface soit de nouveau
disponible.
6. Cliquez sur Enregistrer.
Configurer pour une stratégie routage avec basculement
Vous pouvez définir l’interface que vous avez spécifiée pour cette stratégie comme interface principale et
définir les autres interfaces externes comme interfaces de sauvegarde pour le trafic non IPSec.
1. Sur la page Configuration de stratégie, sélectionnez Utiliser le basculement.
2. Dans la liste située à côté, cochez la case correspondant à chaque interface que vous souhaitez
utiliser dans la configuration du basculement.
3. Utilisez les boutons Monter et Descendre pour définir l’ordre du basculement.
La première interface dans la liste est l’interface principale.
4. Cliquez sur Enregistrer.
Définir un délai d'inactivité personnalisé
Le délai d'inactivité est la durée maximale pendant laquelle une connexion peut rester active sans qu'aucun
trafic ne soit envoyé. Par défaut, la Firebox ferme les connexions réseau au bout de 300 secondes (6
minutes). Lorsque vous activez ce paramètre pour une stratégie, la Firebox ferme la connexion après la
durée que vous avez spécifiée.
1. Sur la page Configuration de stratégie, sélectionnez l'onglet Propriétés.
2. Cochez la case Définir un délai d'inactivité personnalisé.
3. Dans le champ adjacent, spécifiez le nombre de secondes avant la fin du délai.
276
WatchGuard System Manager
Stratégies
Définir la gestion des erreurs ICMP
Vous pouvez définir les paramètres de gestion des erreurs ICMP associés à une stratégie. Ces derniers
remplacent les paramètres globaux de gestion des erreurs ICMP.
Pour modifier les paramètres de gestion des erreurs ICMP de la stratégie actuelle :
1. Cliquez sur l’onglet Avancé.
2. Cochez la case Utiliser la gestion des erreurs ICMP basée sur la stratégie.
3. Cochez une case ou plus pour contourner les paramètres ICMP globaux pour ce paramètre.
Pour plus d'informations sur les paramètres ICMP globaux, voir Définir les paramètres globaux de Firebox à
la page 70.
Appliquer les règles NAT
Vous pouvez appliquer des règles de traduction d’adresses réseau (NAT) à une stratégie. Vous pouvez
sélectionner 1-to-1 NAT ou NAT dynamique.
1. Sur la page Configuration de stratégie, sélectionnez l'onglet Avancé.
2. Sélectionnez l'une des options décrites dans les actions suivantes.
1-to-1 NAT
Avec ce type de NAT, le périphérique WatchGuard utilise les plages d’adresses IP privées et publiques que
vous avez définies, comme décrit dans À propos de 1-to-1 NAT à la page 147.
NAT dynamique
Avec ce type de NAT, le périphérique WatchGuard fait correspondre des adresses IP privées avec des
adresses IP publiques. La traduction d’adresses réseau dynamique est par défaut activée pour toutes les
stratégies.
Sélectionnez Utiliser les paramètres NAT du réseau pour appliquer les règles de NAT dynamique définies
pour le périphérique WatchGuard.
Sélectionnez L’ensemble du trafic de cette stratégie pour appliquer le service NAT à l’ensemble du trafic
de cette stratégie.
Dans le champ Définir l'adresse IP source, vous pouvez sélectionner une adresse IP source NAT dynamique
pour toute stratégie utilisant le NAT dynamique. Ceci permet de garantir que tout le trafic qui fait appel à
cette stratégie affiche une adresse spécifiée provenant de votre plage d’adresses IP publiques ou externes
comme étant la source. Ceci est utile si vous souhaitez forcer le trafic SMTP sortant à afficher l’adresse
d’enregistrement MX de votre domaine lorsque l’adresse IP de l’interface externe du périphérique
WatchGuard est différente de l'adresse IP d’enregistrement MX.
Les règles NAT 1 à 1 sont prioritaires sur les règles de NAT dynamique.
Guide de l’utilisateur
277
Stratégies
Définir la durée de connexion persistante pour une stratégie
Les paramètres de connexion persistante d’une stratégie remplacent les paramètres de connexion
persistante globale. Vous devez activer le multi-WAN pour utiliser cette fonctionnalité.
1. Dans la page Propriétés de stratégie, cliquez sur l’onglet Avancé.
2. Pour utiliser les paramètres Connexion persistante multi-WAN globale, décochez la case Remplacer
les paramètres de la connexion persistante multi-WAN.
3. Pour définir une valeur de connexion persistante personnalisée pour cette stratégie, cochez la case
Activer la connexion persistante.
4. Dans la zone de texte Activer la connexion persistante, saisissez la durée de maintien de la
connexion en minutes.
278
WatchGuard System Manager
13
Paramètres proxy
À propos de stratégies de proxy et passerelles ALG
Toutes les stratégies WatchGuard constituent des outils importants en matière de sécurité du réseau, qu’il
s’agisse de stratégies de filtrage de paquets, de stratégies de proxy ou de passerelles ALG (application layer
gateways). Un filtre de paquets examine l’adresse IP et l’en-tête TCP/UDP de chaque paquet, un proxy
surveille et analyse l’ensemble des connexions, et une passerelle ALG offre une gestion des connexions
transparente en plus d’une fonctionnalité de proxy. Les stratégies de proxy et les passerelles ALG
examinent les commandes utilisées dans la connexion afin d’assurer qu’elles respectent la syntaxe et
l’ordre appropriés, et procèdent à une inspection poussée des paquets afin de garantir que les connexions
sont sûres.
Une stratégie de proxy ou une passerelle ALG ouvre chaque paquet l’un après l’autre, supprime l’en-tête
de la couche réseau et inspecte l’entrée Payload du paquet. Un proxy réécrit alors les informations réseau
est envoie le paquet à sa destination, tandis qu’une passerelle ALG restaure les informations réseau
d’origine et transmet le paquet. Ainsi, un proxy comme une passerelle ALG peuvent trouver des contenus
interdits ou malveillants cachés ou intégrés dans l’entrée Payload du paquet. Par exemple, un proxy SMTP
recherche dans la totalité des paquets SMTP entrants (e-mails) du contenu interdit, tel que des programmes
ou fichiers exécutables écrits en langages de script. Les personnes malveillantes ont souvent recours à ces
méthodes pour envoyer des virus informatiques. Le proxy ou la passerelle ALG peut mettre en œuvre une
stratégie qui interdit ce type de contenu ; en revanche, un filtre de paquets ne peut pas détecter le
contenu non autorisé dans les entrées de données Payload du paquet.
Si vous avez souscrit, puis activé des abonnements supplémentaires aux services de sécurité (Gateway
AntiVirus, Intrusion Prevention Service, spamBlocker, WebBlocker), les proxies WatchGuard peuvent
appliquer les services correspondants au trafic réseau.
Guide de l’utilisateur
279
Paramètres proxy
Configuration de proxy
Comme les filtres de paquets, les stratégies de proxy comprennent des options communes pour gérer le
trafic réseau, notamment des fonctionnalités de gestion du trafic et de planification. Cependant, les
stratégies de proxy comprennent également des paramètres liés au protocole réseau spécifié. Par
exemple, vous pouvez configurer une stratégie de proxy DNS de façon à n’autoriser que les requêtes
correspondant à la classe IN, ou configurer un proxy SMTP pour refuser les e-mails dont les en-têtes ne sont
pas correctement paramétrés. Vous pouvez configurer ces options dans les onglets Général et Contenu de
chaque stratégie de proxy.
Fireware XTM prend en charge les stratégies de proxy pour de nombreux protocoles communs,
notamment DNS, FTP, H.323, HTTP, HTTPS, POP3, SIP, SMTP et TCP-UDP. Pour plus d’informations sur une
stratégie de proxy, consultez la rubrique de la stratégie en question.
À propos de DNS proxy à la page 286
À propos de la Proxy FTP à la page 289
À propos de la Passerelle ALG H.323 à la
page 293
À propos du proxy HTTP à la page 299
À propos de la Proxy HTTPS à la page 308
À propos de la Proxy POP3 à la page 313
À propos de la Proxy SIP à la page 316
À propos de la Proxy SMTP à la page 321
À propos de la Proxy TCP-UDP à la page 326
À propos des configurations de blocage
d’applications
Vous pouvez utiliser Application Blocker pour définir les actions que devra effectuer votre périphérique
Firebox ou XTM lorsqu’une stratégie de proxy TCP-UDP, HTTP ou HTTPS détecte une activité réseau
provenant d’applications de messagerie instantanée ou de pair à pair (P2P).
Application Blocker identifie les applications de messagerie instantanée suivantes :
n
n
n
n
n
n
AIM (AOL Instant Messenger)
ICQ
IRC
MSN Messenger
Skype
Yahoo! Messenger
Note Application Blocker ne peut pas bloquer les sessions Skype déjà actives. Pour plus
d’informations, cf. À propos de Skype et du blocage d’applications.
Application Blocker identifie les applications P2P suivantes :
n
n
n
n
n
n
280
BitTorrent
Ed2k (eDonkey2000)
Gnutella
Kazaa
Napster
Winny
WatchGuard System Manager
Paramètres proxy
Note Le service Intrusion Prevention Service n'est pas requis pour utiliser la
fonctionnalité de blocage d'application.
Configurer Application Blocker
Pour les proxies HTTP et TCP-UDP, vous pouvez configurer les paramètres d’Application Blocker suivants :
Applications de messagerie instantanée
Cochez la case située à côté d’une ou plusieurs applications de messagerie instantanée. Puis
sélectionnez Autoriser ou Abandonner dans la liste déroulante Lors de la détection d’une
application de messagerie instantanée. Si vous sélectionnez Autoriser, les applications que
vous n'avez pas cochées sont bloquées. Si vous sélectionnez Abandonner, les applications que
vous n'avez pas cochées sont autorisées.
Par exemple, sur la capture d’écran ci-dessus, les applications AIM, ICQ et Yahoo! sont
sélectionnées. L’action étant réglée sur Abandonner, le proxy autorise le trafic de messagerie
instantanée IRC, Skype et MSN.
Applications P2P
Cochez la case située à côté d’une ou plusieurs applications P2P. Puis sélectionnez Autoriser ou
Abandonner dans la liste déroulante Lors de la détection d’une application P2P. Si vous
sélectionnez Autoriser, les applications que vous n'avez pas cochées sont bloquées. Si vous
sélectionnez Abandonner, les applications que vous n'avez pas cochées sont autorisées.
Par exemple, sur la capture d’écran ci-dessus, les applications Kazaa, Ed2k, Napster et Gnutella
sont sélectionnées. L’action étant réglée sur Abandonner, le proxy autorise tous les autres
types de trafic P2P.
Si vous souhaitez savoir où configurer les paramètres d’Application Blocker dans les proxies HTTP et TCPUDP, voir
Guide de l’utilisateur
281
Paramètres proxy
n
n
Proxy TCP-UDP : Contenu
Proxy HTTP : Application Blocker
À propos de Skype et du blocage d’applications
Skype est une application réseau pair à pair (P2P) très répandue, utilisée pour effectuer des appels vocaux,
envoyer des messages texte, transférer des fichiers ou participer à des vidéoconférences via Internet. Le
client Skype utilise une combinaison dynamique de ports comportant les ports sortants 80 et 443. Le trafic
Skype est très difficile à détecter et à bloquer parce qu’il est chiffré et que le client Skype est capable de
contourner de nombreux pare-feu réseau.
Vous pouvez configurer Application Blocker pour bloquer une connexion utilisateur au réseau Skype. Il est
important de bien comprendre qu’Application Blocker peut bloquer uniquement la connexion initiale à
Skype. Il ne peut pas bloquer le trafic pour un client Skype qui s'est déjà connecté et qui dispose d'une
connexion active. Par exemple,
n
n
Si un utilisateur distant se connecte à Skype lorsque l’ordinateur n’est pas connecté à votre réseau,
et que l’utilisateur se connecte ensuite à votre réseau pendant que le client Skype est encore actif,
Application Blocker ne pourra pas bloquer le trafic Skype tant que l’utilisateur n’aura pas quitté et ne
se sera pas déconnecté de l’application Skype ou n’aura pas redémarré son ordinateur.
Lorsque vous configurez Application Blocker pour bloquer Skype, tout utilisateur étant déjà
connecté sur le réseau Skype n’est pas bloqué tant qu’il ne se déconnecte pas de l’application Skype
ou ne redémarre pas son ordinateur.
Lorsqu’Application Blocker bloque une connexion Skype, il ajoute les adresses IP des serveurs Skype à la
liste des sites bloqués. Pour ces adresses IP bloquées, la source de déclenchement est l’administrateur et la
raison est la gestion des paquets par défaut. Par ailleurs, un message du journal apparaît dans le moniteur
du trafic qui indique que l’accès au serveur Skype a été refusé, car l’adresse figure sur la liste des sites
bloqués.
Note La liste des sites bloqués interdisant le trafic entre les serveurs Skype et tous les
utilisateurs du réseau, l'accès à Skype est bloqué pour tous les utilisateurs.
Les adresses IP de serveurs Skype figurent sur la liste des serveurs bloqués pendant la durée que vous
spécifiez dans la zone de texte Durée du blocage automatique de sites lors de la configuration des sites
bloqués. La valeur par défaut est de 20 minutes. Si vous bloquez Skype puis modifiez la configuration pour
annuler ce blocage, les adresses IP des serveurs Skype figurant sur la liste des sites bloqués restent
bloquées jusqu’à expiration du blocage, ou jusqu’à ce que vous les retiriez manuellement de cette liste.
Pour plus d'informations sur le réglage de la durée du blocage automatique de sites, voir Modifier la durée
du blocage automatique des sites à la page 358.
Bloquer les connexions Skype
Pour bloquer les connexions Skype, vous devez créer une configuration d’Application Blocker puis
sélectionner Skype comme type d’application à bloquer. Vous devez ensuite appliquer cette configuration à
votre stratégie de proxy TCP/UDP.
Pour plus d'informations sur la création d'une configuration d’Application Blocker, voir À propos des
configurations de blocage d’applications à la page 280.
282
WatchGuard System Manager
Paramètres proxy
Ajouter une stratégie de proxy à votre
configuration
Lorsque vous ajoutez une stratégie de proxy ou une passerelle ALG (application layer gateway) à votre
configuration Fireware XTM, vous devez spécifier les types de contenus que le périphérique Firebox ou
XTM doit rechercher lorsqu’il examine le trafic réseau. Si le contenu correspond (ou non) aux critères de la
définition du proxy ou de la passerelle ALG, le trafic est autorisé (ou refusé).
Vous pouvez utiliser les paramètres par défaut de la stratégie de proxy ou de la passerelle ALG ou bien
définir des paramètres correspondant au trafic réseau de votre organisation. Il vous est également possible
de créer des stratégies de proxy ou des passerelles ALG supplémentaires pour gérer les différentes parties
de votre réseau.
Il est important de noter que la stratégie de proxy ou la passerelle ALG requiert plus de puissance de
processeur qu'un filtre de paquets. Si vous ajoutez un nombre important de stratégies de proxy ou de
passerelles ALG à votre configuration, le trafic réseau peut s’en trouver ralenti. Toutefois, un proxy ou une
passerelle ALG a recours à des méthodes que les filtres de paquets ne peuvent pas utiliser pour intercepter
les paquets dangereux. Chaque stratégie de proxy inclut un ensemble de paramètres que vous pouvez
ajuster de manière à créer un équilibre entre vos besoins en termes de sécurité et vos objectifs de
performances.
Vous pouvez utiliser Fireware XTM Web UI pour ajouter une stratégie de proxy.
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
2. Cliquez sur Ajouter.
3. Dans la liste Sélectionner un type de stratégie, sélectionnez un filtre de paquets, une stratégie de
proxy ou une passerelle ALG (Application Layer Gateway). Cliquez sur Ajouter.
La page Configuration de stratégie s’affiche.
Guide de l’utilisateur
283
Paramètres proxy
Pour plus d'informations sur les propriétés de base de toutes les stratégies, voir À propos des propriétés de
stratégie à la page 271.
Pour plus d'informations sur les paramètres par défaut pour une stratégie de proxy ou une passerelle ALG,
voir la rubrique « À propos de » pour le type de stratégie que vous avez ajouté.
À propos de DNS proxy à la page 286
À propos de la Proxy FTP à la page 289
À propos de la Passerelle ALG H.323 à la
page 293
284
À propos de la Proxy POP3 à la page 313
À propos de la Proxy SIP à la page 316
À propos de la Proxy SMTP à la page 321
WatchGuard System Manager
Paramètres proxy
À propos du proxy HTTP à la page 299
À propos de la Proxy HTTPS à la page 308
À propos de la Proxy TCP-UDP à la page 326
À propos des actions de proxy
Une action de proxy est un groupe spécifique de paramètres, de sources ou de destinations pour un type
de proxy. Votre configuration pouvant comprendre plusieurs stratégies de proxy du même type, chaque
stratégie de proxy utilise une action de proxy différente. Chaque stratégie de proxy comporte des actions
de proxy prédéfinies, ou par défaut, pour les clients et les serveurs. Par exemple, vous pouvez utiliser une
action de proxy pour les paquets envoyés à un serveur POP3 protégé par le périphérique Firebox ou XTM
et une autre action de proxy qui sera appliquée aux e-mails récupérés par les clients POP3.
Vous pouvez créer plusieurs actions de proxy différentes pour les clients ou les serveurs, ou pour un type
de stratégie de proxy spécifique. Cependant, vous ne pouvez attribuer qu'une seule action de proxy à
chaque stratégie de proxy. Par exemple, une stratégie POP3 est liée à une action de proxy POP3-client. Si
vous souhaitez créer une action de proxy POP3 pour un serveur POP3, ou une action de proxy
supplémentaire pour des clients POP3, vous devez ajouter de nouvelles stratégies de proxy POP3 utilisant
ces nouvelles actions de proxy dans Policy Manager.
Définir l’action de proxy
Pour définir l'action de proxy correspondant à une stratégie de proxy avant de créer la stratégie,
sélectionnez un modèle de stratégie de proxy, puis sélectionnez l'action de votre choix dans la liste
déroulante Action de proxy.
Pour modifier une action de proxy correspondant à une stratégie de proxy existante, cliquez sur le bouton
Modifier situé en haut de la page, puis sélectionnez l'action de votre choix dans la liste déroulante et cliquez
sur OK.
Modifier, supprimer ou cloner des actions de proxy
n
n
n
Pour modifier une action de proxy, modifiez les paramètres d'une stratégie de proxy utilisant cette
action de proxy et enregistrez vos modifications.
Pour supprimer une action de proxy, rendez-vous sur la page Pare-feu > Actions de proxy.
Sélectionnez l'action de proxy à supprimer, puis cliquez sur Supprimer. Si vous choisissez une action
de proxy en cours d’utilisation, vous devez d’abord modifier cette stratégie de proxy pour qu’elle
utilise une autre action de proxy afin de pouvoir supprimer cette action de proxy.
Pour faire une copie d’une action de proxy et l’enregistrer sous un nouveau nom, rendez-vous sur la
page Pare-feu > Actions de proxy. Sélectionnez le proxy avec les paramètres que vous souhaitez
copier, et cliquez sur Cloner. Saisissez un nouveau nom pour l'action de proxy et cliquez sur OK.
Pour plus d'informations sur les paramètres d'action de proxy, consultez la rubrique À propos de pour
chaque proxy.
À propos de DNS proxy à la page 286
À propos de la Proxy FTP à la page 289
À propos de la Passerelle ALG H.323 à la
page 293
À propos du proxy HTTP à la page 299
À propos de la Proxy HTTPS à la page 308
Guide de l’utilisateur
À propos de la Proxy POP3 à la page 313
À propos de la Proxy SIP à la page 316
À propos de la Proxy SMTP à la page 321
À propos de la Proxy TCP-UDP à la page 326
285
Paramètres proxy
À propos des actions de proxy prédéfinies et définies par
l’utilisateur actions de proxy
Fireware XTM comporte des actions de proxy de clients et de serveurs prédéfinies pour chaque proxy. Ces
actions sont configurées en vue d’équilibrer les exigences d’accessibilité d’une entreprise standard et les
besoins de protection contre les attaques de vos biens informatiques. Vous ne pouvez pas modifier les
paramètres des actions de proxy prédéfinies. Si vous souhaitez changer la configuration, vous devez cloner
(copier) la définition existante et l’enregistrer en tant qu’action de proxy définie par l’utilisateur.
Concernant les actions de proxy prédéfinies, vous ne pouvez pas configurer les services d’abonnement tels
que Gateway AntiVirus.
Par exemple, pour modifier un paramètre de l’action de proxy HTTP-Client, vous devez l’enregistrer sous un
autre nom, comme HTTP-Client.1. Cette opération est nécessaire uniquement si vous modifiez des
ensembles de règles. Si vous éditez des paramètres généraux tels que les sources ou destinations autorisées
ou les paramètres NAT d’une stratégie, il est inutile d’enregistrer le paramètre sous un nouveau nom.
À propos de DNS proxy
DNS (Domain Name System) est un système réseau de serveurs qui traduit des adresses IP numériques en
adresses Internet hiérarchiques, lisibles. Le DNS permet à votre réseau d'ordinateurs de comprendre, par
exemple, que vous souhaitez atteindre le serveur situé à l'adresse 200.253.208.100 lorsque vous saisissez
un nom de domaine dans le navigateur, tel que www.watchguard.com. Avec Fireware XTM, vous avez le
choix entre deux méthodes différentes pour contrôler le trafic DNS : le filtre de paquets DNS et la stratégie
de proxy DNS. Le proxy DNS est utile uniquement si les requêtes DNS sont routées via votre Firebox.
Lorsque vous créez un fichier de configuration, le fichier inclut automatiquement une stratégie de filtrage
de paquets « Sortant » qui autorise toutes les connexions TCP et UDP provenant de vos réseaux approuvés
et facultatifs vers l’extérieur. Cela permet à vos utilisateurs de se connecter à un serveur DNS externe à
l'aide des ports TCP 53 et UDP 53 standard. Étant donné que « Sortant » est un filtre de paquets, il ne peut
pas protéger contre les chevaux de Troie du trafic sortant UDP, les failles de sécurité DNS et autres
problèmes courants qui se produisent lorsque vous ouvrez l’ensemble du trafic UDP sortant à partir de vos
réseaux approuvés. Le proxy DNS présente des fonctionnalités qui protègent votre réseau de ces menaces.
Si vous utilisez des serveurs DNS externes pour votre réseau, l’ensemble des règles DNS-Sortant fournit des
méthodes supplémentaires permettant de contrôler les services disponibles pour votre communauté de
réseaux.
Pour ajouter le proxy DNS à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 283.
Onglet Stratégie
n
n
286
Les connexions DNS-proxy sont — Spécifiez si l'état des connexions est Autorisé, Refusé ou Refusé
(envoi réinitialisation) et définissez celui qui apparaît dans la liste De et Vers (de l'onglet Stratégie
de la définition du proxy). Voir Définir des règles d’accès pour une stratégie à la page 273.
Utiliser le routage basé sur stratégie — voir Configurer le routage basé sur stratégie à la page 275.
WatchGuard System Manager
Paramètres proxy
n
Vous pouvez également configurer la translation d'adresses réseau statique ou configurer
l'équilibrage de charge de serveur. Voir À propos de NAT statique à la page 157 et Configurer les
équilibrage de charge côté serveur à la page 158.
Onglet Propriétés
n
n
n
Pour définir la journalisation d'une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification à la page 371.
Si vous définissez la liste déroulante Les connexions sont (de l'onglet Stratégie) sur Refusées ou sur
Refusées (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d'utiliser le DNS. Voir
Bloquer temporairement les sites avec des paramètres de stratégie à la page 357.
Pour utiliser un délai d'inactivité autre que celui défini par Firebox ou le serveur d'authentification,
Définir un délai d'inactivité personnalisé à la page 276.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (1-to-1 NAT et la traduction d'adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Onglets Paramètres et Contenu
Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance
supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres,
modifiez la stratégie de proxy et cliquez sur l'onglet Paramètres ou Contenu.
n
n
Proxy DNS : Paramètres
Proxy DNS : Contenu
Proxy DNS : Contenu
Lorsque vous ajoutez une stratégie de proxy DNS, vous pouvez configurer des options supplémentaires
associées au protocole DNS.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie proxy DNS.
La page Configuration de stratégie apparaît.
2. Cliquez sur l’onglet Contenu.
3. Configurez Types de requêtes et Noms des requêtes.
Guide de l’utilisateur
287
Paramètres proxy
Types de requêtes
Cette liste affiche chaque type d'enregistrement DNS ainsi que sa valeur. Pour refuser les
requêtes d'enregistrement DNS d'un type spécifié, décochez la case adjacente.
Noms de requêtes
Pour refuser les requêtes DNS par modèles, cochez la case Refuser ces noms de requêtes.
Saisissez un nom d'hôte dans la zone de texte adjacente et cliquez sur Ajouter.
Pour supprimer une entrée dans la liste Noms de requêtes, sélectionnez l'entrée et cliquez sur
Supprimer.
4. Pour modifier d'autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Proxy DNS : Paramètres
Lorsque vous ajoutez une stratégie de proxy DNS, vous pouvez configurer des options supplémentaires
associées au protocole DNS.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie proxy DNS.
La page Configuration de stratégie apparaît.
2. Sélectionnez l'onglet Paramètres.
3. Configurez les Règles de détection des anomalies de protocole.
288
WatchGuard System Manager
Paramètres proxy
N’appartient pas à la classe Internet
La plupart des requêtes DNS utilisent la classe IN ou Internet. De nombreuses attaques utilisent
plutôt la classe CH (Chaos) ou HS (Hesiod) . Néanmoins, certaines configurations réseau
requièrent ces classes pour fonctionner correctement. Par exemple, vous pouvez utiliser le
nom de service Hesiod pour distribuer automatiquement les informations concernant
l'utilisateur et le groupe sur un réseau avec système d'exploitation Unix. L'action par défaut est
de refuser ces requêtes.
Sélectionnez une option pour les requêtes DNS qui utilisent les classes CH ou HS :
n
n
n
n
Autoriser
Refuser
Abandonner
Bloquer — Toutes les requêtes futures de cet appareil sont automatiquement bloquées
pendant une période définie par défaut. Sélectionnez l'option appropriée dans la liste
déroulante adjacente.
Requête formatée de façon incorrecte
Une personne malveillante peut essayer d'envoyer des requêtes DNS qui ne correspondent
pas aux normes de protocoles afin de contrôler votre réseau. Cependant, d'autres applications
peuvent parfois envoyer des requêtes dont le format est incorrect nécessaires à votre
organisation. Nous vous conseillons d'utiliser les paramètres par défaut et de refuser les
requêtes DNS dont le format est incorrect.
Sélectionnez une option pour les requêtes DNS dont le format est incorrect :
n
n
n
n
Autoriser
Refuser
Abandonner
Bloquer — Toutes les requêtes futures de cet appareil sont automatiquement bloquées
pendant une période définie par défaut. Sélectionnez l'option appropriée dans la liste
déroulante adjacente.
Activer la journalisation des rapports
Cochez cette case pour envoyer un message du journal à chaque demande de connexion gérée
par le proxy DNS. Vous devez activer cette option pour créer des rapports précis sur le trafic de
proxy DNS.
4. Pour modifier d'autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
À propos de la Proxy FTP
Le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers) permet d’envoyer des fichiers
d’un ordinateur vers un autre via un réseau TCP/IP. Le client FTP est en principe un ordinateur. Le serveur
FTP peut être une ressource stockant les fichiers sur le même réseau ou sur un autre réseau. Lors du
Guide de l’utilisateur
289
Paramètres proxy
transfert de données, le client FTP peut se trouver dans l’un des deux modes suivants : actif ou passif. En
mode actif, le serveur démarre la connexion avec le client sur le port source 20. En mode passif, le client
utilise un port précédemment négocié pour se connecter au serveur. Le proxy FTP surveille et analyse les
connexions FTP entre les utilisateurs et les serveurs FTP auxquels ils se connectent.
Avec une stratégie de proxy FTP, vous pouvez :
n
n
Définir la longueur maximale du nom d’utilisateur, la longueur du mot de passe, la longueur du nom
de fichier et la longueur de la ligne de commande autorisées dans le proxy pour vous aider à
protéger votre réseau contre les attaques de dépassement de mémoire tampon.
Contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP.
Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy FTP utilise
un port autre que le port 20, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le proxy
TDP/UDP, voir À propos de la Proxy TCP-UDP à la page 326.
Pour ajouter le proxy FTP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 283.
Onglet Stratégie
Vous utilisez l’onglet Stratégie pour définir les règles d’accès et d’autres options.
n
Les connexions FTP-proxy sont — Spécifiez si les connexions sont Autorisées, Refusées ou Refusées
(envoi de réinitialisation). Définissez ce qui s’affiche dans la liste De et Vers (sur l’onglet Stratégie
de la définition de proxy).
Pour plus d’informations, voir Définir des règles d’accès pour une stratégie.
n
n
Utiliser le routage basé sur stratégie — Configurer le routage basé sur stratégie.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 157 ou Configurer les équilibrage
de charge côté serveur à la page 158.
Onglet Propriétés
n
n
n
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification à la page 371.
Si vous choisissez, dans la liste déroulante Les connexions du proxy FTP sont (dans l’onglet
Stratégie), l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au
protocole FTP seront bloqués.
Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la
page 357.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification,
Définir un délai d'inactivité personnalisé à la page 276.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition du proxy :
290
WatchGuard System Manager
Paramètres proxy
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la translation NAT un à un et la translation d’adresses réseau (NAT)
dynamique sont toutes deux activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Onglets Paramètres et Contenu
Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance
supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres,
modifiez la stratégie de proxy et cliquez sur l’onglet Paramètres ou Contenu.
n
n
Proxy FTP : Paramètres
FTP proxy : Contenu
FTP proxy : Contenu
Vous pouvez contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. Par
exemple, de nombreuses personnes malveillantes utilisent des fichiers exécutables pour infecter les
ordinateurs avec des virus ou des vers, c’est pourquoi vous pouvez refuser les demandes de fichiers *.exe.
De même, si vous ne souhaitez pas que les utilisateurs puissent transférer des fichiers Windows Media vers
un serveur FTP, vous pouvez ajouter *.wma à la définition du proxy et préciser que les fichiers portant
cette extension doivent être rejetés. Utilisez l’astérisque (*) en tant que caractère générique.
Guide de l’utilisateur
291
Paramètres proxy
1. Sélectionnez l’onglet Contenu.
2. Pour limiter les types de fichiers pouvant être téléchargés par les utilisateurs, dans la zone de texte
Téléchargements, cochez la case Refuser ces types de fichiers.
Cette case à cocher est activée par défaut ; elle permet de limiter les types de fichiers qu’il est possible de
télécharger via le proxy FTP.
3. Si vous souhaitez refuser d’autres fichiers ou types de fichiers, saisissez un astérisque (*) et le nom
ou l’extension de fichier, puis cliquez sur Ajouter.
4. Pour restreindre les types de fichiers pouvant être transférés par les utilisateurs, dans la section
Transferts, cochez la case Refuser ces types de fichiers.
Si vous sélectionnez ce réglage, les fichiers correspondant aux modèles spécifiés seront refusés.
5. Si vous souhaitez refuser d’autres fichiers ou types de fichiers, saisissez un astérisque (*) ainsi que le
nom ou l’extension concerné(e), puis cliquez sur Ajouter.
6. Cliquez sur Envoyer.
Proxy FTP : Paramètres
Lorsque vous ajoutez une stratégie de proxy FTP, vous pouvez configurer des options supplémentaires
associées au protocole FTP.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie proxy FTP.
La page Configuration de stratégie apparaît.
2. Sélectionnez l’onglet Paramètres.
3. Configurez les options suivantes :
Longueur maximale du nom d’utilisateur
Définissez le nombre maximal de caractères qu’un utilisateur peut envoyer dans un nom
d’utilisateur. Lorsqu’un utilisateur se connecte à un serveur FTP, il doit fournir un nom
d’utilisateur pour se connecter. Des noms d’utilisateurs très longs peuvent être le signe d’une
attaque de dépassement de mémoire tampon.
Longueur maximale du mot de passe
Définissez le nombre maximal de caractères pour les mots de passe utilisateur. Lorsqu’un
utilisateur se connecte à un serveur FTP, il doit fournir un mot de passe pour se connecter. Des
mots de passe très longs peuvent être le signe d’une attaque de dépassement de mémoire
tampon.
Longueur maximale du nom de fichier
292
WatchGuard System Manager
Paramètres proxy
Définissez le nombre maximal de caractères d’un nom de fichier pour les requêtes de transfert
comme de téléchargement. Certains systèmes de fichier ne peuvent pas identifier ou utiliser
des fichiers portant des noms très longs.
Longueur maximale de la ligne de commande
Définissez le nombre maximal de caractères qu’un utilisateur peut envoyer dans une
commande FTP. Les utilisateurs envoient des commandes à un serveur FTP pour exécuter des
tâches avec des fichiers. Des commandes très longues peuvent être le signe d’une attaque de
dépassement de mémoire tampon.
Nombre maximum d’échecs de connexion
Définissez le nombre maximal de tentatives de connexions auquel a droit un utilisateur avant
que la connexion ne lui soit refusée. Des échecs de tentatives de connexion répétés peuvent
être dus à une personne malveillante procédant à des attaques par dictionnaire afin d’obtenir
l’accès à un serveur.
Activer la journalisation des rapports
Cochez cette case pour envoyer un message du journal pour chaque demande de connexion
gérée par le proxy FTP. Vous devez activer cette option pour créer des rapports précis sur le
trafic de proxy FTP.
4. Pour bloquer automatiquement les connexions qui ne coïncident pas avec vos paramètres
concernant cette option, cochez la case adjacente Blocage automatique.
5. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
6. Cliquez sur Enregistrer.
À propos de la Passerelle ALG H.323
Si, dans votre entreprise, vous utilisez le protocole Voice-over-IP (VoIP), vous pouvez ajouter une passerelle
ALG (Application Layer Gateway) H.323 ou SIP (Session Initiation Protocol) afin d’ouvrir les ports nécessaires
à l’activation du protocole VoIP par le biais de votre périphérique WatchGuard. Une passerelle ALG est
créée pareillement à une stratégie de proxy et offre les mêmes options de configuration. Ces passerelles
ALG ont été conçues pour un environnement NAT et visent à maintenir la sécurité au niveau du matériel de
conférence comportant des adresses privées et protégé par votre périphérique WatchGuard.
H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est
une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels
seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de
travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser
simultanément des passerelles ALG H.323 et des passerelles ALG SIP. Pour déterminer la passerelle ALG à
ajouter, consultez la documentation fournie avec vos périphériques ou applications voix sur IP.
Composants voix sur IP
La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants :
Guide de l’utilisateur
293
Paramètres proxy
Connexions pair-à-pair
Dans une connexion pair-à-pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se
connecte à celui-ci directement. Si les deux pairs sont derrière le périphérique Firebox, celui-ci
peut acheminer le trafic d’appel correctement.
Connexions hébergées
Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur
privé).
Avec H.323, le composant essentiel de la gestion des appels est appelé portier. Un portier gère les appels
voix sur IP pour un groupe d’utilisateurs et peut être placé sur un réseau protégé par votre périphérique
WatchGuard ou en externe. Par exemple, certains fournisseurs voix sur IP hébergent sur leur réseau un
portier auquel vous devez vous connecter avant d’effectuer un appel voix sur IP. D’autres solutions
consistent à installer et gérer un portier sur votre propre réseau.
Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Nous vous
recommandons de vous assurer que les connexions voix sur IP fonctionnent normalement avant d’ajouter
une passerelle ALG H.323 ou SIP. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se
présenter.
Fonctions ALG
Lorsque vous activez une passerelle ALG H.323, votre périphérique WatchGuard :
n
n
n
répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ;
s’assure que les connexions de voix sur IP utilisent les protocoles H.323 standard ;
génère des messages de journal à des fins d’audit.
De nombreux périphériques et serveurs de voix sur IP utilisent le système NAT (Network Address
Translation) pour ouvrir et fermer automatiquement les ports. Les passerelles ALG H.323 et SIP ont le
même rôle. Vous devez désactiver la fonction NAT sur vos périphériques de voix sur IP si vous configurez
une passerelle H.323 ou SIP.
Onglet Stratégie
n
n
n
294
Les connexions H.323-ALG sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé
(envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet Stratégiede la
définition de la passerelle ALG).
Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la page 273.
Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la
définition de proxy, voir Configurer le routage basé sur stratégie à la page 275.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage
de charge côté serveur à la page 158.
WatchGuard System Manager
Paramètres proxy
Onglet Propriétés
n
n
n
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification à la page 371.
Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur
Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser DNS.
Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la
page 357.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification,
Définir un délai d'inactivité personnalisé.
Onglet Avancé
Vous pouvez également utiliser ces options dans votre définition de proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Onglets Paramètres et Contenu
Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance
supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres,
modifiez une stratégie de proxy et sélectionnez l’onglet Paramètres ou Contenu.
n
n
Passerelle ALG H.323 : Paramètres
Passerelle ALG H.323 : Contenu
Passerelle ALG H.323 : Contenu
Lorsque vous ajoutez une passerelle ALG (application layer gateway) H.323, vous pouvez configurer d’autres
options relatives au protocole H.323.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie ALG H.323.
La page Configuration de stratégie apparaît.
2. Cliquez sur l’onglet Contenu.
3. Configurez les options suivantes :
Guide de l’utilisateur
295
Paramètres proxy
Codecs refusés
Utilisez cette fonction pour refuser un ou plusieurs codecs VoIP. Lorsqu’une connexion VoIP
H.323 utilisant un codec spécifié dans cette liste est ouverte, votre périphérique WatchGuard
ferme automatiquement la connexion. Par défaut, cette liste est vide. Nous vous
recommandons d’ajouter un codec à cette liste s’il consomme trop de bande passante, s’il
présente un risque de sécurité ou s’il est nécessaire pour que votre solution VoIP fonctionne
correctement. Vous pouvez par exemple choisir de refuser les codecs G.711 ou G.726 car ils
utilisent plus de 32 Ko/s de bande passante, ou de refuser le codec Speex car il est utilisé par
un codec VoIP non autorisé.
Pour ajouter un codec à la liste :
n
n
Dans la zone de texte Codecs, tapez le nom ou le modèle de texte unique du codec.
Ne pas utiliser de caractères génériques ou de syntaxe d’expression normale. Les
modèles de codecs respectent la casse.
Cliquez sur Ajouter.
Pour supprimer un codec de la liste :
n
n
296
Sélectionnez un codec dans la liste.
Cliquez sur Supprimer.
WatchGuard System Manager
Paramètres proxy
Activer le contrôle d’accès pour VoIP
Cochez cette case pour activer la fonctionnalité de contrôle d’accès. Une fois activée, la
passerelle ALG H.323 autorise et limite les appels en fonction des options que vous définissez.
Paramètres par défaut
n
n
n
Cochez la case Passer des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP
à effectuer des appels.
Cochez la case Recevoir des appels VoIP pour autoriser par défaut tous les utilisateurs
VoIP à recevoir des appels.
Cochez la case Journal pour créer un message de journal pour chaque connexion VoIP
H.323 passée ou reçue.
Niveaux d’accès
Pour créer une exception pour les paramètres par défaut spécifiés ci-dessus :
n
n
n
Saisissez un nom d’hôte, une adresse IP ou une adresse e-mail.
Sélectionnez un niveau d’accès dans la liste déroulante située juste à côté.
Cliquez sur Ajouter.
Vous pouvez autoriser les utilisateurs à passer des appels uniquement, recevoir des appels
uniquement, passer et recevoir des appels ou ne leur octroyer aucun accès VoIP. Ces
paramètres s’appliquent uniquement au trafic VoIP H.323.
Pour supprimer une exception :
n
n
Guide de l’utilisateur
Sélectionnez l’exception dans la liste.
Cliquez sur Supprimer.
297
Paramètres proxy
Les connexions établies par les utilisateurs ayant une exception de niveau d’accès sont
journalisées par défaut. Si vous ne souhaitez pas journaliser les connexions établies par les
utilisateurs ayant une exception de niveau d’accès, décochez la case Journal au moment de la
création de l’exception.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Passerelle ALG H.323 : Paramètres
Lorsque vous ajoutez une passerelle ALG (application layer gateway) H.323, vous pouvez configurer d’autres
options relatives au protocole H.323.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie ALG H.323.
La page Configuration de stratégie apparaît.
2. Sélectionnez l’onglet Paramètres.
3. Configurez les options suivantes :
Activer la protection de collecte de répertoire
Cochez cette case pour éviter que des personnes malveillantes ne volent des informations
utilisateurs à partir des portiers VoIP protégés par votre Firebox. Cette option est activée par
défaut.
Nombre maximum de sessions
Cette fonction permet de limiter le nombre de sessions audio ou vidéo pouvant être créées à
l’aide d’un seul appel VoIP. Par exemple, si vous définissez le nombre maximum de sessions à «
1 » et prenez part à un appel VoIP avec audio et vidéo, la seconde connexion est abandonnée.
La valeur par défaut est de deux sessions et la valeur maximale est de quatre sessions. La
Firebox crée une entrée de journal lorsqu’une session média supérieure à ce nombre est
refusée.
Informations d’agent utilisateur
Pour identifier le trafic H.323 sortant comme client que vous avez spécifié, saisissez une nouvelle
chaîne d’agent utilisateur dans la zone de texte Réécrire l’agent utilisateur en tant que.
Pour supprimer un agent utilisateur incorrect, effacez la zone de texte.
Délais
298
WatchGuard System Manager
Paramètres proxy
Lorsqu’aucune donnée n’est envoyée pendant un intervalle de temps défini sur un canal audio,
vidéo ou de données VoIP, votre Firebox ferme cette connexion réseau. La valeur par défaut
est de 180 secondes (trois minutes) et la valeur maximale est de 3600 secondes (60 minutes).
Pour spécifier un intervalle de temps différent, saisissez le nombre de secondes dans la zone
de texte Canaux média inactifs.
Activer la journalisation des rapports
Cochez cette case pour envoyer un message de journal pour chaque requête de connexion
gérée par la passerelle ALG H.323. Cette option est nécessaire pour permettre à WatchGuard
Reports de créer des rapports précis sur le trafic H.323. Cette option est activée par défaut.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
À propos du proxy HTTP
Le protocole HTTP (Hyper Text Transfer Protocol) est un protocole de requête/réponse entre clients et
serveurs. Le client HTTP est en principe un navigateur Internet. Le serveur HTTP est une ressource distante
qui stocke des fichiers HTML, des images et d’autres types de contenus. Lorsqu’un client HTTP démarre une
requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 80. Un serveur HTTP est à
l'écoute de requêtes sur le port 80. Lorsqu'il reçoit la requête du client, le serveur répond avec le fichier
demandé, un message d'erreur ou un autre type d'informations.
Le proxy HTTP est un filtre de contenu ultra performant. Il examine le trafic Web afin d’identifier les
contenus suspects pouvant véhiculer des virus ou tout autre type d’intrusion. Il peut aussi protéger votre
serveur HTTP contre les attaques.
Avec un filtre de proxy HTTP, vous pouvez :
n
n
n
n
n
Ajuster le délai d’attente et les limites de longueur des requêtes et des réponses HTTP afin d’éviter
que les performances réseau ne soient réduites et de prévenir diverses attaques.
Personnaliser le message de refus que les utilisateurs voient lorsqu’ils tentent de se connecter à un
site Web bloqué par le proxy HTTP.
Filtrer les types MIME de contenu Web.
Bloquer des modèles de chemins et URL spécifiques.
Refuser des cookies provenant de sites Web spécifiques.
Vous pouvez combiner le proxy HTTP avec l'abonnement au service de sécurité WebBlocker. Pour plus
d’informations, cf. À propos de WebBlocker à la page 577.
Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy HTTP
utilise un port autre que le port 80, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le
proxy TDP/UDP, voir À propos de la Proxy TCP-UDP à la page 326.
Pour ajouter le proxy HTTP à la configuration de votre périphérique Firebox ou XTM, voir Ajouter une
stratégie de proxy à votre configuration à la page 283.
Onglet Stratégie
n
Les connexions du proxy HTTP sont Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé
(envoi réinitialisation) et sélectionnez les utilisateurs, ordinateurs ou réseaux qui apparaissent dans
Guide de l’utilisateur
299
Paramètres proxy
n
n
300
la liste De et À (dans l’onglet Stratégie de la définition du proxy). Pour plus d’informations, cf. Définir
des règles d’accès pour une stratégie à la page 273.
Utiliser le routage basé sur stratégie Pour utiliser le routage basé sur stratégie dans la définition de
proxy, voir Configurer le routage basé sur stratégie à la page 275.
Vous pouvez également configurer la traduction d'adresses réseau (NAT) statique ou configurer
l'équilibrage de charge serveur.
Pour plus d’informations, cf. À propos de NAT statique à la page 157 et Configurer les équilibrage de
charge côté serveur à la page 158.
WatchGuard System Manager
Paramètres proxy
Onglet Propriétés
n
n
n
Pour définir la journalisation d'une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification .
Si vous définissez la liste déroulante Les connexions sont (de l’onglet Stratégie) sur Refusé ou sur
Refusé (envoi réinitialisation), vous pouvez bloquer les périphériques qui tentent de se connecter
sur le port 80.
Pour plus d’informations, cf. Bloquer temporairement les sites avec des paramètres de stratégie à la
page 357.
Pour utiliser un délai d’inactivité autre que celui défini par le périphérique Firebox ou XTM ou le
serveur d’authentification, Définir un délai d'inactivité personnalisé.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition du proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la translation NAT un à un et la translation d'adresses réseau (NAT)
dynamique sont toutes deux activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Onglets Paramètres, Contenu et Application Blocker
Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance
supplémentaires associées au type de trafic réseau contrôlé par chaque proxy. Pour modifier ces
paramètres, modifiez la stratégie de proxy et cliquez sur l’onglet Paramètres, Contenu ou Application
Blocker.
n
n
n
Proxy HTTP : Onglet Paramètres
Proxy HTTP : Onglet Contenu
Proxy HTTP : Application Blocker
Voir aussi
Autoriser les mises à jour Windows via le proxy HTTP
Les serveurs Windows Update identifient le contenu qu’ils envoient à un ordinateur comme un flux de
données binaire générique (ex : flux de données d’octets), lequel est bloqué par les règles de proxy HTTP
par défaut. Pour autoriser les mises à jour Windows via le proxy HTTP, vous devez modifier vos règles de
proxy HTTP-client pour ajouter des exceptions de proxy HTTP pour les serveurs Windows Update.
1. Assurez-vous que votre Firebox autorise les connexions sortantes sur les ports 443 et 80.
Il s’agit des ports que les ordinateurs utilisent pour contacter les serveurs Windows Update.
2. Sélectionnez l’onglet Paramètres de votre stratégie de proxy HTTPS.
Guide de l’utilisateur
301
Paramètres proxy
3. Dans la zone de texte située à gauche du bouton Ajouter , saisissez ou collez chacun de ces
domaines, et cliquez sur Ajouter après chacun d’entre eux :
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
v4.windowsupdate.microsoft.com
v5.windowsupdate.microsoft.com
4. Cliquez sur Enregistrer.
S’il vous est toujours impossible de télécharger les mises à jour
Windows
Si vous avez plusieurs stratégies de proxy HTTP, veillez à ajouter les exceptions HTTP pour l’action de
stratégie et de proxy appropriée.
Microsoft ne limite pas les mises à jour à ces seuls domaines. Consultez vos journaux pour savoir quel trafic
est refusé pour un domaine appartenant à Microsoft. Recherchez le ou les trafic(s) refusés par le proxy
HTTP. Le domaine apparaît normalement sur la ligne du journal. Ajoutez tout nouveau domaine Microsoft à
la liste des exceptions de proxy HTTP, puis relancez Windows Update.
Proxy HTTP : Onglet Contenu
Certains types de contenus demandés par les utilisateurs sur les sites Web peuvent constituer une menace
de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos
utilisateurs. Si la définition de proxy par défaut ne répond pas à tous vos besoins, vous pouvez ajouter,
supprimer ou modifier la définition.
Pour définir les restrictions pour le contenu HTTP :
1. Modifier ou ajouter la stratégie proxy HTTP.
La page Configuration de stratégie apparaît.
2. Cliquez sur l’onglet Contenu.
302
WatchGuard System Manager
Paramètres proxy
3. Configurez les options comme décrit dans les rubriques suivantes.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Types de contenus
Lorsqu’un serveur Web envoie du trafic HTTP, il ajoute généralement un type MIME ou un type de contenu
à l’en-tête du paquet qui indique le type de contenu du paquet. L’en-tête HTTP du flux de données contient
ce type MIME. Il est ajouté avant l’envoi des données.
Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG,
ajoutez image/jpg à la définition du proxy. Vous pouvez utiliser l’astérisque (*) en tant que caractère
générique. Pour autoriser tout format d’image, ajoutez image/* .
Pour obtenir une liste de types MIME enregistrés actuels, consultez
:http://www.iana.org/assignments/media-types.
Guide de l’utilisateur
303
Paramètres proxy
1. Cochez la case Autoriser uniquement les types de contenus sécurisés si vous souhaitez limiter les
types de contenus autorisés via le proxy. Une liste des types MIME courants est incluse par défaut.
2. Pour ajouter des types de contenus courants à la liste, sélectionnez le type MIME dans la liste Type
de contenu prédéfini et cliquez sur le bouton <.
3. Pour ajouter d’autres types de contenus, saisissez un type de contenu dans la zone de texte Types
de contenus et cliquez sur Ajouter.
4. Pour supprimer un type de contenu, sélectionnez-le dans la liste Types de contenus et cliquez sur
Supprimer.
Vous ne pouvez pas supprimer de types de contenus prédéfinis.
Modèles de noms de fichiers
Une URL (Uniform Resource Locator) identifie une ressource sur un serveur distant et indique
l’emplacement du réseau sur ce serveur. Le chemin d’URL est la chaîne d’informations qui se trouve en
dessous du nom de domaine de niveau supérieur. Vous pouvez utiliser le proxy HTTP pour bloquer des sites
Web qui contiennent du texte spécifié dans le chemin d’URL. Si la définition de proxy par défaut ne répond
pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier les modèles de chemins d’URL. Utilisez
l’astérisque (*) en tant que caractère générique. Par exemple :
n
Pour bloquer toutes les pages ayant le nom d’hôte www.test.com, saisissez le modèle :
www.test.com*
n
n
Pour bloquer tous les chemins contenant le mot sex, sur tous les sites Web, saisissez : *sex*
Pour bloquer tous les chemins d’URL se terminant par *.test, sur tous les sites Web, saisissez :
*.test
Pour bloquer les modèles de chemins d’URL non sécurisés :
1. Pour utiliser des règles de chemin URL permettant de filtrer le contenu des composants de l’hôte,
du chemin et de la chaîne de requête d’une URL, cochez la case Refuser les modèles de noms de
fichiers non sécurisés.
Le nom spécifie les noms de fichiers mais n’importe quel modèle que vous saisissez est appliqué à l’intégralité
du chemin d’URL.
2. Pour ajouter un nouveau modèle de chemin, saisissez le chemin et cliquez sur Ajouter.
3. Pour supprimer un modèle de chemin, sélectionnez-le et cliquez sur Supprimer.
Cookies
Les cookies HTTP sont de petits fichiers de texte alphanumérique introduits par des serveurs Web sur les
clients Web. Les cookies contrôlent la page d’un client Web pour activer le serveur Web et envoyer
plusieurs pages dans le bon ordre. Les serveurs Web utilisent également des cookies pour collecter des
informations relatives à un utilisateur final. La plupart des sites Web utilisent des cookies comme fonction
d’authentification et autres fonctions de contrôle et ne peuvent pas fonctionner correctement sans cookies.
Le proxy HTTP recherche les paquets en fonction du domaine associé au cookie. Le domaine peut être
spécifié dans le cookie. Si le cookie ne contient aucun domaine, le proxy utilise le nom d’hôte dans la
première requête. Par exemple, pour bloquer tous les cookies pour nosy-adware-site.com, utilisez le
modèle : *.nosy-adware-site.com . Si vous souhaitez refuser les cookies de tous les sous-domaines d’un
site Web, utilisez le caractère générique (*) avant et après le domaine. Par exemple, *google.com*
bloque tous les sous-domaines de google.com, tels que images.google.com et mail.google.com.
Pour bloquer les cookies provenant de sites :
304
WatchGuard System Manager
Paramètres proxy
1. Pour bloquer les cookies d’un site en particulier, cochez la case Refuser les cookies provenant de
ces sites.
2. Dans la zone de texte suivante, saisissez le nom de domaine du site Web ou une partie du domaine
avec des caractères génériques.
3. Cliquez sur Ajouter.
4. Cliquez sur Envoyer.
Proxy HTTP : Onglet Paramètres
Pour définir les paramètres HTTP de base :
1. Modifier ou ajouter la stratégie proxy HTTP.
La page Configuration de stratégie apparaît.
2. Sélectionnez l’onglet Paramètres.
3. Configurez les options comme décrit dans les rubriques suivantes.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Requêtes HTTP
Délai d’attente des connexions inactives
Réglez l’intervalle de temps durant lequel le socket TCP de session HTTP reste ouvert alors qu’aucun
paquet ne passe. Si aucun paquet ne passe via le socket TCP pendant l’intervalle de temps défini, le
socket TCP se ferme. Chaque session TCP ouverte utilisant une petite quantité de mémoire sur la
Firebox et les navigateurs et les serveurs ne fermant pas toujours proprement les sessions HTTP,
cette option permet de mieux contrôler les performances. Dans le champ adjacent, saisissez le
nombre de minutes s’écoulant avant la déconnexion du proxy.
Longueur maximale de l’URL
Règle le nombre maximal de caractères autorisés dans une URL. Dans cette zone du proxy, l’URL
inclut tout ce qui, dans l’adresse Web, se situe après le domaine de premier niveau. Cela comprend
le caractère de barre oblique mais pas le nom d’hôte (www.monexemple.com ou
monexemple.com). Par exemple, l’URL www.monexemple.com/produits compte neuf caractères
pour cette limite car /produits comporte neuf caractères.
La valeur par défaut de 2048 est généralement suffisante pour n’importe quelle URL demandée par
un ordinateur situé derrière votre Firebox. Une URL très longue peut être le signe d’une tentative
de corruption d’un serveur Web. La longueur minimale est de 15 octets. Il est conseillé de
conserver ce paramètre activé avec les paramètres par défaut. Cela permet de protéger contre des
clients Web infectés sur les réseaux que le proxy HTTP protège.
Cochez cette case afin d’envoyer un message du journal pour chaque requête de connexion gérée
par le proxy HTTP. Cette option est nécessaire pour permettre à WatchGuard Reports de créer des
rapports précis sur le trafic HTTP.
Guide de l’utilisateur
305
Paramètres proxy
Réponses HTTP
Délai
Contrôle la durée d’attente du proxy HTTP avant l’envoi de la page Web par le serveur Web.
Lorsqu’un utilisateur clique sur un lien hypertexte ou entre une URL dans la barre d’adresses de son
navigateur Web, une requête HTTP d’extraction du contenu est envoyée à un serveur distant. Dans
la plupart des navigateurs, la barre d’état indique alors Site contacté... ou un message similaire. Si le
serveur distant ne répond pas, le client HTTP continue d’envoyer la requête jusqu’à réception d’une
réponse ou jusqu’à expiration du délai de requête. Dans cet intervalle, le proxy HTTP continue à
surveiller la connexion et emploie des ressources réseau fiables.
Longueur maximale de la ligne
Définit la longueur maximale autorisée pour une ligne de caractères dans les en-têtes de réponse
HTTP. Définissez cette valeur pour protéger vos ordinateurs contre les attaques de dépassement de
mémoire tampon. Dans la mesure où la longueur des URL de la plupart des sites marchands ne
cesse d’augmenter avec le temps, vous devrez peut-être ajuster cette valeur ultérieurement.
Activer la journalisation des rapports
Cochez cette case pour envoyer un message du journal pour chaque demande de connexion gérée
par le proxy HTTP. Vous devez activer cette option pour créer des rapports précis sur le trafic de
proxy HTTP.
Message de refus
Lorsqu’un contenu est refusé, le périphérique WatchGuard affiche un message de refus par défaut
remplaçant le contenu refusé. Vous pouvez rédiger un nouveau message de refus pour remplacer le
message de refus par défaut. Vous pouvez personnaliser le message de refus avec du HTML standard. Vous
pouvez également utiliser des caractères Unicode (UTF-8) dans le message de refus. La première ligne du
message de refus est un composant de l’en-tête HTTP. Vous devez insérer une ligne vide entre la première
ligne et le corps du message.
Un message de refus est généré dans votre navigateur Web par Firebox lorsque vous effectuez une
demande non autorisée par le proxy HTTP. Un message de refus est également généré lorsque votre
demande est autorisée mais que le proxy HTTP refuse la réponse depuis le serveur Web distant. Par
exemple, si un utilisateur essaie de télécharger un fichier .exe et que vous avez bloqué ce type de fichier,
l’utilisateur voit un message de refus dans le navigateur Web. Si l’utilisateur essaie de télécharger une page
Web avec un type de contenu non reconnu et que la stratégie du proxy est configurée pour bloquer les
types MIME inconnus, l’utilisateur voit un message d’erreur dans le navigateur Web. Le message de refus
par défaut apparaît dans le champ Message de refus. Pour personnaliser ce message, utilisez les variables
suivantes :
%(transaction)%
Inclut Requête ou Réponsedans le message de refus pour indiquer le côté de la transaction
impliquant le refus du paquet.
%(raison)%
Inclut la raison pour laquelle Firebox a refusé le contenu.
306
WatchGuard System Manager
Paramètres proxy
%(méthode)%
Inclut la méthode de requête de la requête refusée.
%(hôte url)%
Inclut le nom d’hôte du serveur de l’URL refusée. L’adresse IP du serveur est fournie si aucun nom
d’hôte n’a été inclus.
%(chemin url)%
Inclut le composant chemin de l’URL refusée.
Exceptions de proxy HTTP
Les exceptions de proxy HTTP permettent d’ignorer des règles de proxy HTTP pour certains sites Web sans
ignorer la structure du proxy. Le trafic qui correspond aux exceptions de proxy HTTP continue via la gestion
de proxy standard utilisée par le proxy HTTP. Cependant, lorsqu’une correspondance est détectée, certains
paramètres de proxy sont ignorés.
Vous pouvez ajouter des noms d’hôtes ou des modèles comme exceptions de proxy HTTP. Par exemple, si
vous bloquez tous les sites Web se terminant par .test, mais souhaitez autoriser les utilisateurs à accéder au
site www.exemple.com, vous pouvez ajouter www.exemple.com comme exception de proxy HTTP.
Vous spécifiez l’adresse IP ou le nom de domaine des sites accessibles. Le nom de domaine (ou hôte) est la
partie de l’URL qui se termine par .com, .net, .org, .biz, .gov ou .edu. Les noms de domaine peuvent
également se terminer par un code de pays, comme .de (Allemagne) ou .jp (Japon).
Pour ajouter un nom de domaine, saisissez l’URL sans la faire précéder de http://. Par exemple, pour
permettre aux utilisateurs d’accéder au site Web de WatchGuard http://www.watchguard.com, saisissez
www.watchguard.com . Pour autoriser tous les sous-domaines contenant watchguard.com, vous pouvez
utiliser l’astérisque (*) comme caractère générique. Par exemple, pour autoriser les utilisateurs à accéder à
watchguard.com, www.watchguard.com et support.watchguard.com, saisissez
*.watchguard.com
1. Dans la zone de texte située à côté du bouton Ajouter, saisissez l’adresse IP de l’hôte ou le nom de
domaine du site Web à autoriser.
2. Cliquez sur Ajouter.
Répétez ce processus pour chaque hôte ou nom de domaine supplémentaire à ajouter.
3. Pour enregistrer un message du journal dans votre fichier journal dès lors qu’une transaction Web se
produit sur un site Web de la liste des exceptions, cochez la case Journaliser chaque exception HTTP.
Proxy HTTP : Application Blocker
Vous pouvez utiliser Application Blocker pour définir les actions que devra effectuer votre périphérique
Firebox ou XTM lorsque la stratégie de proxy HTTP détecte un trafic réseau provenant d’applications de
messagerie instantanée ou de pair à pair (P2P).
Dans l’onglet Application Blocker, sélectionnez les types d’applications de messagerie instantanée ou de
pair à pair et les actions qui leur sont associées.
Guide de l’utilisateur
307
Paramètres proxy
Pour un complément d’information sur ces paramètres de configuration, cf. À propos des configurations de
blocage d’applications à la page 280.
À propos de la Proxy HTTPS
HTTPS (Hypertext Transfer Protocol sur Secure Socket Layer ou HTTP sur SSL) est un protocole
requête/réponse entre clients et serveurs utilisé pour sécuriser des communications et des transactions.
Vous pouvez utiliser le proxy HTTPS pour sécuriser un serveur Web protégé par votre Firebox ou pour
analyser le trafic HTTPS demandé par des clients sur votre réseau. Par défaut, lorsqu’un client HTTPS lance
une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 443. La plupart des
serveurs HTTPS sont à l’écoute des requêtes sur le port 443.
Le protocole HTTPS est plus sécurisé que le protocole HTTP car il utilise un certificat numérique pour
chiffrer et déchiffrer les requêtes de la page utilisateur ainsi que des pages renvoyées par le serveur Web.
Comme le trafic HTTPS est chiffré, la Firebox doit le déchiffrer avant qu’il puisse être analysé. Après avoir
analysé le contenu, la Firebox chiffre le trafic avec un certificat et l’envoie à la destination souhaitée.
Vous pouvez exporter le certificat par défaut créé par la Firebox pour cette fonctionnalité, ou importer un
certificat à utiliser par la Firebox. Si vous utilisez le proxy HTTPS pour examiner le trafic Web requis par les
utilisateurs sur votre réseau, nous vous conseillons d’exporter le certificat par défaut et de le distribuer à
chaque utilisateur afin que ceux-ci ne reçoivent pas d’avertissement du navigateur à propos de certificats
non approuvés. Si vous utilisez le proxy HTTPS pour sécuriser un serveur Web qui accepte des requêtes
depuis un réseau externe, nous vous conseillons d’importer le certificat de serveur Web existant pour la
même raison.
Lorsqu’un client ou un serveur HTTPS utilise un port autre que le port 443 au sein de votre organisation,
vous pouvez utiliser le proxy TCP/UDP pour relayer le trafic vers le proxy HTTPS. Pour plus d’informations
sur le proxy TCP/UDP, voir À propos de la Proxy TCP-UDP à la page 326.
Onglet Stratégie
n
n
n
Les connexions HTTPS-proxy sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou
Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet
Stratégie de la définition de proxy). Pour plus d’informations, voir Définir des règles d’accès pour
une stratégie à la page 273.
Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la
définition de proxy, voir Configurer le routage basé sur stratégie à la page 275.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge de serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage
de charge côté serveur à la page 158.
Onglet Propriétés
n
308
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification .
WatchGuard System Manager
Paramètres proxy
n
n
Sivous réglezla liste déroulante Lesconnexions sont (dansl’onglet Stratégie)sur Refuséou Refusé
(envoiréinitialisation), vouspouvez bloquer les sitesqui tententd’utiliser laconnexion HTTPS.Pour plus
d’informations,voir Bloquer temporairement lessites avec des paramètresde stratégieà lapage 357.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification,
Définir un délai d'inactivité personnalisé.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Onglets Paramètres et Contenu
Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance
supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres,
modifiez la stratégie de proxy et cliquez sur l’onglet Paramètres ou Contenu. Pour de plus amples
informations, cf. :
n
n
Proxy HTTPS : Paramètres
Proxy HTTPS : Contenu
Proxy HTTPS : Contenu
Lorsque vous ajoutez une stratégie de proxy HTTPS, vous pouvez configurer des options supplémentaires
associées au protocole HTTPS.
Pour améliorer la sécurité et la performance du réseau :
1. Modifier ou ajouter la stratégie de proxy HTTPS.
La page Configuration de stratégie s’affiche.
2. Cliquez sur l’onglet Contenu.
Guide de l’utilisateur
309
Paramètres proxy
3. Configurez les options suivantes :
Activer l’inspection profonde du contenu HTTPS
Lorsque cette case est cochée, la Firebox déchiffre le trafic HTTPS, examine le contenu et
chiffre à nouveau le trafic avec un nouveau certificat. Le contenu est examiné par la stratégie
de proxy HTTP sélectionnée sur cette page.
Note Si un autre trafic utilise le port HTTPS, tels que le trafic VPN SSL, nous vous
conseillons d’évaluer soigneusement cette option. Le proxy HTTPS essaie
d’examiner tous les trafics transitant par le port TCP 443 de la même manière. Afin
de garantir que les autres sources de trafic fonctionnent correctement, nous vous
conseillons d’ajouter ces sources à la liste Ignorer. Voire la rubrique suivante pour
plus d’informations.
Par défaut, le certificat utilisé pour chiffrer le trafic est généré automatiquement par la Firebox.
Vous pouvez également télécharger votre propre certificat. Si le site Web original ou votre
serveur Web comporte un certificat autosigné ou non valide, ou si le certificat a été signé par
une autorité de certification non reconnue par la Firebox, un avertissement de certificat
s’affiche dans le navigateur. Les certificats ne pouvant pas être correctement signés à nouveau
semblent être émis par le Proxy HTTPS Fireware : Certificat non reconnu ou simplement
Certificat non valide.
Nous vous conseillons d’importer le certificat que vous utilisez, ainsi que tout autre certificat
nécessaire pour que le client approuve ce certificat, sur chaque périphérique de client.
Lorsqu’un client n’approuve pas automatiquement le certificat utilisé pour la fonctionnalité
d’inspection du contenu, un avertissement s’affiche dans le navigateur et les services tels que
Windows Update ne fonctionnent pas correctement.
310
WatchGuard System Manager
Paramètres proxy
Certains programmes, tels que les programmes de messagerie instantanée ou de
communication, conservent des copies privées des certificats et n’utilisent pas la bibliothèque
de certificats du système d’exploitation. Si ces programmes ne disposent pas de méthode
d’importation des certificats approuvés par l’autorité de certification, ils ne fonctionnent pas
correctement lorsque l’inspection de contenu est activée.
Pour plus d’informations, voir À propos des certificats à la page 395 ou Utiliser des certificats
pour le proxy HTTPS à la page 407.
Action de proxy
Sélectionnez une stratégie de proxy HTTP que la Firebox doit utiliser lorsqu’elle inspecte des
contenus HTTPS déchiffrés.
Lorsque vous activez l’inspection de contenu, les paramètres WebBlocker concernant les
actions de proxy HTTP annulent les paramètres WebBlocker pour le proxy HTTPS. Si vous
ajoutez des adresses IP à la liste Ignorer pour l’inspection du contenu, le trafic en provenance
de ces sites sera filtré avec les paramètres WebBlocker du proxy HTTPS.
Pour plus d’informations sur la configuration de WebBlocker, voir À propos de WebBlocker à la
page 577.
Utiliser OCSP pour confirmer la validité des certificats
Cochez cette case afin que la Firebox vérifie automatiquement les révocations de certificats
avec OCSP (Online Certificate Status Protocol - Protocole de vérification en ligne de certificat).
Lorsque cette fonctionnalité est activée, la Firebox utilise les informations du certificat pour
contacter un serveur OCSP qui conserve un enregistrement de l’état des certificats. Si le
serveur OCSP répond que le certificat a été révoqué, la Firebox désactive le certificat.
Si vous sélectionnez cette option, il peut y avoir un délai de plusieurs secondes car la Firebox
demande une réponse au serveur OCSP. La Firebox conserve entre 300 et 3000 réponses
OCSP dans la mémoire cache afin d’améliorer les performances des sites Web fréquemment
visités. Le nombre de réponses conservées dans la mémoire cache est déterminé par votre
modèle de Firebox.
Traiter les certificats dont la validité ne peut être confirmée comme étant non valide
Lorsque cette option est sélectionnée et que le répondeur OCSP n’envoie pas de réponse à
une demande d’état de révocation, la Firebox considère le certificat original comme non valide
ou révoqué. Cette option peut faire qu’un certificat soit considéré comme non valide en cas
d’erreur de routage ou de problème avec votre connexion réseau.
Liste Ignorer
La Firebox n’inspecte pas le contenu envoyé vers ou provenant d’adresses IP figurant sur cette
liste. Pour ajouter un site Web ou un nom d’hôte, saisissez l’adresse IP dans la zone de texte et
cliquez sur le bouton Ajouter.
Lorsque vous activez l’inspection de contenu, les paramètres WebBlocker concernant les
actions de proxy HTTP annulent les paramètres WebBlocker pour le proxy HTTPS. Si vous
ajoutez des adresses IP à la liste Ignorer pour l’inspection du contenu, le trafic en provenance
de ces sites sera filtré avec les paramètres WebBlocker du proxy HTTPS.
Guide de l’utilisateur
311
Paramètres proxy
Pour plus d’informations sur la configuration de WebBlocker, voir À propos de WebBlocker à la
page 577.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Proxy HTTPS : Paramètres
Lorsque vous ajoutez une stratégie de proxy HTTPS, vous pouvez configurer des options supplémentaires
associées au protocole HTTPS.
Pour améliorer la sécurité et la performance du réseau :
1. Modifier ou ajouter la stratégie proxy HTTP.
La page Configuration de stratégie s’affiche.
2. Sélectionnez l’onglet Paramètres.
3. Configurez les options suivantes :
Délai d’inactivité
Cochez cette case pour fermer les connexions HTTPS qui n’ont pas envoyé ou reçu de trafic
pendant la durée spécifiée. Pour modifier la limite de temps, saisissez ou sélectionnez un
nombre dans la zone de texte adjacente.
Noms de certificats
Vous pouvez autoriser ou refuser l’accès à des sites Web lorsque le certificat correspond à un
modèle de cette liste déroulante. Cette fonctionnalité est active même si vous n’utilisez pas
l’inspection avancée du contenu pour déchiffrer le trafic réseau HTTPS.
n
n
n
n
Autoriser — Sélectionnez cette option pour autoriser le trafic depuis des sites
correspondant aux modèles de la liste Noms de certificats.
Refuser — Sélectionnez cette option pour rejeter les connexions de sites
correspondants et envoyer un message de refus au site.
Abandonner—Sélectionnezcette optionpour rejeter lesconnexionssansmessage de refus.
Bloquer — Sélectionnez cette option pour abandonner les connexions et ajouter
automatiquement le site à la liste Sites bloqués.
Pour ajouter un site Web, saisissez le nom de domaine (habituellement l’URL) du certificat dans
la zone de texte adjacente et cliquez sur Ajouter.
Pour supprimer un site, sélectionnez-le et cliquez sur Supprimer.
Activer la journalisation des rapports
Cochez cette case pour envoyer un message du journal pour chaque demande de connexion
gérée par le proxy HTTPS. Vous devez activer cette option pour créer des rapports précis sur le
trafic de proxy HTTPS.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
312
WatchGuard System Manager
Paramètres proxy
À propos de la Proxy POP3
POP3 (Post Office Protocol v.3) est un protocole qui transfère les e-mails depuis un serveur de messagerie
vers un client de messagerie via une connexion TCP sur le port 110. La plupart des comptes de messagerie
basés sur Internet utilisent POP3. Avec POP3, un client de messagerie contacte le serveur de messagerie et
vérifie tous les nouveaux e-mails. S’il détecte un nouvel e-mail, il le télécharge sur le client de messagerie
local. Une fois l’e-mail reçu par le client de messagerie, la connexion prend fin.
Avec un filtre de proxy POP3, vous pouvez :
n
n
n
n
Ajuster le délai d’attente et les limites de longueur de lignes pour garantir que le proxy POP3
n’utilise pas trop de ressources réseau, et afin d’éviter certains types d’attaques.
Personnaliser le message de refus qui s’affiche lorsqu’un e-mail envoyé aux utilisateurs est bloqué.
Filtrer le contenu intégré dans les e-mails à l’aide des types MIME.
Bloquer des modèles de chemins et URL spécifiques.
Pour ajouter le proxy POP3 à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 283.
Onglet Stratégie
n
n
n
Les connexions du proxy POP3 sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou
Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet
Stratégie de la définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour
une stratégie à la page 273.
Utiliser le routage basé sur stratégie — Pour utiliser le routage basé sur stratégie dans la définition
de proxy, voir Configurer le routage basé sur stratégie à la page 275.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage
de charge côté serveur à la page 158.
Onglet Propriétés
n
n
n
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification à la page 371.
Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou Refusé
(envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser le POP3.
Pour plus d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la
page 357.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou le serveur d’authentification,
Définir un délai d'inactivité personnalisé.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de proxy :
Guide de l’utilisateur
313
Paramètres proxy
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Onglets Paramètres et Contenu
Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance
supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres,
modifiez une stratégie de proxy et sélectionnez l’onglet Paramètres ou Contenu.
n
n
Proxy POP3 : Paramètres
Proxy POP3 : Contenu
Proxy POP3 : Contenu
Les en-têtes d’e-mails incluent un en-tête Type de contenu qui indique le type MIME de l’e-mail et des
pièces jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports contenus dans
le message. Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité
pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie proxy POP3.
La page Configuration de stratégie apparaît.
2. Cliquez sur l’onglet Contenu.
3. Configurez les options suivantes :
Autoriser uniquement les types de contenus sécurisés
314
WatchGuard System Manager
Paramètres proxy
Dans la liste Types de contenus, vous pouvez définir des valeurs de filtrage de contenu et
l’action à déclencher pour les types de contenus ne répondant pas aux critères. Pour une
stratégie de proxy de serveur POP3, définissez des valeurs de filtrage du contenu entrant. Pour
une stratégie de proxy de serveur POP3, définissez des valeurs de filtrage du contenu sortant.
Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des
images JPEG, ajoutez image/jpg . Vous pouvez utiliser l’astérisque (*) en tant que caractère
générique. Pour autoriser tout format d’image, ajoutez image/* à la liste.
Refuser les modèles de nom de fichier non sécurisés
Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une
action de proxy de serveur POP3 pour les pièces jointes d’e-mails entrants. Cet ensemble de
règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy
de client POP3 pour les pièces jointes d’e-mails sortants. Vous pouvez ajouter, supprimer ou
modifier des règles.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Proxy POP3 : Paramètres
Lorsque vous ajoutez une stratégie de proxy POP3, vous pouvez configurer des options supplémentaires
associées au protocole POP3.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie proxy POP3.
La page Configuration de stratégie apparaît.
2. Sélectionnez l’onglet Paramètres.
3. Configurez les options suivantes :
Délai
Utilisez ce paramètre pour limiter la durée (en minutes) pendant laquelle le client de
messagerie essaie d’ouvrir une connexion vers le serveur de messagerie avant de mettre fin à
la connexion. Cela empêche le proxy d’utiliser trop de ressources réseau lorsque le serveur
POP3 est lent ou inaccessible.
Longueur maximale de la ligne
Utilisez ce paramètre pour empêcher certains types d’attaques de dépassement de mémoire
tampon. Une longueur excessive des lignes peut être à l’origine d’un dépassement de mémoire
tampon sur certains systèmes de messagerie. La plupart des systèmes et clients de messagerie
envoient des lignes relativement courtes, mais certains systèmes de messagerie basés sur le
Web envoient des lignes très longues. Cependant, il est peu probable que vous deviez modifier
ce paramètre à moins qu’il n’empêche l’accès d’e-mails légitimes. Le réglage par défaut est
1000 octets.
Message de refus
Guide de l’utilisateur
315
Paramètres proxy
Dans la zone de texte Message de refus, écrivez un message personnalisé en texte brut en
HTML standard qui s’affiche dans l’e-mail du destinataire lorsque le proxy bloque cet e-mail.
Vous pouvez utiliser les variables suivantes :
n
n
n
n
n
n
%(raison)% — Indique la raison pour laquelle la Firebox a refusé le contenu.
%(type)% — Indique le type de contenu refusé.
%(nom_fichier)% — Indique le nom de fichier du contenu refusé.
%(virus)% — Indique le nom ou l’état d’un virus. Pour les utilisateurs de Gateway
AntiVirus uniquement.
%(action)% — Indique le nom de l’action déclenchée : verrouiller, enlever, etc.
%(récupération)% — Indique si vous pouvez récupérer la pièce jointe.
Activer la journalisation des rapports
Cochez cette case pour envoyer un message du journal à chaque demande de connexion gérée
par le proxy POP3. Vous devez activer cette option pour créer des rapports précis sur le trafic
de proxy POP3.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
À propos de la Proxy SIP
Si, dans votre entreprise, vous utilisez le protocole Voice-over-IP (VoIP), vous pouvez ajouter un protocole
SIP (Session Initiation Protocol) ou une passerelle ALG (Application Layer Gateway) H.323 pour ouvrir les
ports nécessaires à l’activation du protocole VoIP via votre Firebox. Une passerelle ALG est créée
pareillement à une stratégie de proxy et offre les mêmes options de configuration. Ces passerelles ALG ont
été conçues pour un environnement de translation d’adresses réseau (NAT) et visent à maintenir la sécurité
au niveau du matériel de conférence comportant des adresses privées et situé derrière le périphérique
Firebox.
H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est
une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels
seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de
travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser
simultanément des passerelles ALG H.323 et des passerelles ALG SIP. Pour déterminer la passerelle ALG à
ajouter, consultez la documentation fournie avec vos périphériques ou applications VoIP.
Note Le proxy du protocole SIP prend en charge les connexions SIP de type ami mais non
de type pair.
Composants voix sur IP
Il est important de comprendre que le protocole VoIP est généralement mis en œuvre :
Connexions pair à pair
Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se
connecte à celui-ci directement. Si les deux pairs sont derrière le périphérique Firebox, celui-ci
peut acheminer le trafic d’appel correctement.
316
WatchGuard System Manager
Paramètres proxy
Connexions hébergées
Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur
privé).
Avec le protocole SIP standard, deux composants clés du système de gestion des appels sont le Registraire
SIP et le Proxy SIP. Ensemble, ces composants gèrent les connexions hébergées par le système de gestion
des appels. La passerelle ALG SIP WatchGuard ouvre et ferme les ports nécessaires au fonctionnement du
protocole SIP. La passerelle ALG SIP peut prendre en charge le registraire SIP et le proxy SIP lorsqu’ils sont
utilisés dans un système de gestion des appels extérieur à la Firebox. SIP n’est pas pris en charge dans cette
version si votre système de gestion d’appel est protégé par Firebox.
Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Nous vous
recommandons de vous assurer que les connexions VoIP fonctionnent normalement avant d’ajouter une
passerelle H.323 ou ALG SIP. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se
présenter.
Fonctions ALG
Lorsque vous activez une passerelle ALG SIP, le périphérique Firebox :
n
n
n
répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ;
s’assure que les connexions VoIP utilisent les protocoles SIP standard
génère des messages de journal à des fins d’audit.
De nombreux périphériques et serveurs de voix sur IP utilisent le système NAT (Network Address
Translation) pour ouvrir et fermer automatiquement les ports. Les passerelles ALG H.323 et SIP ont le
même rôle. Vous devez désactiver la fonction NAT sur vos périphériques de voix sur IP si vous configurez
une passerelle H.323 ou SIP.
Pour ajouter une passerelle ALG SIP à votre configuration Firebox, voir Ajouter une stratégie de proxy à
votre configuration à la page 283.
Onglet Stratégie
n
n
n
Les connexions SIP-ALG sont — Spécifiez si l’état des connexions est Autorisé, Refusé ou Refusé
(envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégie de la
définition de la passerelle ALG). Pour plus d’informations, voir Définir des règles d’accès pour une
stratégie à la page 273.
Utiliser le routage basé sur stratégie — Pour utiliser le routage basé sur stratégie dans la définition
de la passerelle ALG, voir Configurer le routage basé sur stratégie à la page 275.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage
de charge côté serveur à la page 158.
Onglet Propriétés
n
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification .
Guide de l’utilisateur
317
Paramètres proxy
n
n
Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou Refusé
(envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser le protocole SIP. Pour plus
d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou par le serveur
d’authentification, voir Définir un délai d'inactivité personnalisé à la page 276.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de la passerelle ALG :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Onglets Paramètres et Contenu
Les passerelles ALG WatchGuard possèdent des options de sécurité réseau et de performance
supplémentaires associées au type de trafic réseau contrôlé par la passerelle ALG. Pour modifier ces
paramètres, modifiez la passerelle ALG et cliquez sur l’onglet Paramètres ou Contenu.
n
n
Passerelle ALG SIP : Paramètres
Passerelle ALG SIP : Contenu
Passerelle ALG SIP : Contenu
Lorsque vous ajoutez une passerelle ALG (application layer gateway) SIP, vous pouvez configurer d’autres
options associées au protocole SIP.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie ALG SIP.
La page Configuration de stratégie apparaît.
2. Cliquez sur l’onglet Contenu.
3. Configurez les options suivantes :
Codecs refusés
318
WatchGuard System Manager
Paramètres proxy
Utilisez cette fonction pour refuser un ou plusieurs codec(s) VoIP. Lorsqu’une connexion VoIP
SIP utilisant un codec spécifié dans cette liste est ouverte, votre périphérique WatchGuard
ferme automatiquement la connexion. Par défaut, cette liste est vide. Nous vous
recommandons d’ajouter un codec à cette liste s’il consomme trop de bande passante, s’il
présente un risque de sécurité ou s’il est nécessaire pour que votre solution VoIP fonctionne
correctement. Vous pouvez par exemple choisir de refuser les codecs G.711 ou G.726 car ils
utilisent plus de 32 Ko/s de bande passante, ou de refuser le codec Speex car il est utilisé par
un codec VoIP non autorisé.
Pour ajouter un codec à la liste, saisissez le nom ou le modèle de texte unique du codec dans la
zone de texte, puis cliquez sur Ajouter. Ne pas utiliser de caractères génériques ou de syntaxe
d’expression normale. Les modèles de codecs respectent la casse.
Pour supprimer un codec de la liste, sélectionnez-le et cliquez sur Supprimer.
Activer le contrôle d’accès pour VoIP
Cochez cette case pour activer la fonctionnalité de contrôle d’accès. Une fois activée, la
passerelle ALG SIP autorise ou limite les appels en fonction des options définies.
Paramètres par défaut
Cochez la case Passer des appels VoIP pour autoriser par défaut tous les utilisateurs VoIP à
effectuer des appels. Cochez la case Recevoir des appels VoIP pour autoriser par défaut tous
les utilisateurs VoIP à recevoir des appels. Cochez la case Journal adjacente pour créer un
message du journal pour chaque connexion VoIP SIP passée ou reçue.
Niveaux d’accès
Guide de l’utilisateur
319
Paramètres proxy
Pour créer une exception pour les paramètres par défaut que vous avez spécifiés ci-dessus,
saisissez un nom d’hôte, une adresse IP ou une adresse e-mail. Sélectionnez un niveau d’accès
dans la liste déroulante adjacente, puis cliquez sur Ajouter.
Vous pouvez autoriser les utilisateurs à passer des appels uniquement, recevoir des appels
uniquement, passer et recevoir des appels ou ne leur octroyer aucun accès VoIP. Ces
paramètres s’appliquent uniquement au trafic VoIP SIP.
Pour supprimer une exception, sélectionnez-la dans la liste et cliquez sur Supprimer.
Les connexions établies par les utilisateurs ayant une exception de niveau d’accès sont
journalisées par défaut. Si vous ne souhaitez pas journaliser les connexions établies par les
utilisateurs ayant une exception de niveau d’accès, décochez la case Journal au moment de la
création de l’exception.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Passerelle ALG SIP : Paramètres
Lorsque vous ajoutez une passerelle ALG (application layer gateway) SIP, vous pouvez configurer d’autres
options associées au protocole SIP.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie ALG SIP.
La page Configuration de stratégie apparaît.
2. Sélectionnez l’onglet Paramètres.
Activer la normalisation d’en-tête
Cochez cette case pour refuser les en-têtes SIP incorrects ou extrêmement longs. Alors que ces
en-têtes indiquent souvent une attaque de la Firebox, vous pouvez si nécessaire désactiver
cette option pour le fonctionnement correct de votre solution VoIP.
Activer le masquage de topologie
320
WatchGuard System Manager
Paramètres proxy
Cette fonction réécrit les en-têtes de trafic SIP pour supprimer les informations de réseau
privé, telles que les adresses IP. Nous vous recommandons de conserver cette option activée à
moins que vous ne disposiez déjà d’un périphérique de passerelle VoIP effectuant le masquage
de topologie.
Activer la protection de collecte de répertoire
Cochez cette case pour empêcher les personnes malveillantes de dérober des informations
relatives aux utilisateurs à partir des portiers VoIP protégés par votre Firebox. Cette option est
activée par défaut.
Nombre maximum de sessions
Utilisez cette fonction pour limiter le nombre de sessions audio ou vidéo pouvant être créées à
l’aide d’un seul appel VoIP. Par exemple, si vous réglez le nombre maximal de sessions sur 1 et
participez à un appel VoIP audio et vidéo, la deuxième connexion est abandonnée. La valeur
par défaut est de deux sessions et la valeur maximale est de quatre sessions. La Firebox crée
une entrée de journal lorsqu’une session média supérieure à ce nombre est refusée.
Activer la journalisation des rapports
Cochez cette case pour envoyer un message du journal à chaque demande de connexion gérée
par la passerelle ALG SIP. Vous devez activer cette option pour créer des rapports précis sur le
trafic SIP.
Informations d’agent utilisateur
Saisissez une nouvelle chaîne d’agent utilisateur dans la zone de texte Réécrire l’agent
utilisateur en tant que pour identifier le trafic SIP sortant en tant que client spécifié. Pour
supprimer un agent utilisateur incorrect, effacez la zone de texte.
Canaux multimédias inactifs
Lorsqu’aucune donnée n’est envoyée pendant un intervalle de temps défini sur un canal audio,
vidéo ou de données VoIP, votre Firebox ferme cette connexion réseau. La valeur par défaut
est de 180 secondes (trois minutes) et la valeur maximale est de 600 secondes (dix minutes).
Pour spécifier un intervalle de temps différent, saisissez le temps en secondes dans la zone de
texte Canaux multimédia inactifs.
3. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
4. Cliquez sur Enregistrer.
À propos de la Proxy SMTP
SMTP (Simple Mail Transport Protocol) est un protocole utilisé pour envoyer des e-mails entre serveurs de
messagerie mais également entre clients de messagerie et serveurs de messagerie. Il utilise habituellement
une connexion TCP sur le port 25. Vous pouvez utiliser le proxy SMTP pour contrôler les e-mails et leur
contenu. Le proxy analyse des messages SMTP en fonction d’un certain nombre de paramètres filtrés et les
compare aux règles de la configuration du proxy.
Avec un filtre de proxy SMTP, vous pouvez :
Guide de l’utilisateur
321
Paramètres proxy
n
n
n
n
Ajuster le délai d’attente, la taille maximale des e-mails et les limites de longueur de lignes pour
assurer que le proxy SMTP n’utilise pas trop de ressources réseau, et afin d’éviter certains types
d’attaques.
Personnaliser le message de refus reçu par les utilisateurs lorsqu’un e-mail qu’ils essaient d’afficher
est bloqué.
Filtrer le contenu intégré dans les e-mails avec des types MIME et des modèles de nom.
Limiter les adresses e-mail vers lesquelles des e-mails peuvent être envoyés et bloquer
automatiquement les e-mails provenant d’expéditeurs spécifiques.
Pour ajouter le proxy SMTP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 283.
Onglet Stratégie
n
n
n
Les connexions SMTP-proxy sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé
(envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet Stratégiede la
définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour une stratégie à la
page 273.
Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la
définition de proxy, voir Configurer le routage basé sur stratégie à la page 275.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage
de charge côté serveur à la page 158.
Onglet Propriétés
n
n
n
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification .
Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur
Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser SMTP. Pour plus
d’informations, voir Bloquer temporairement les sites avec des paramètres de stratégie à la page 357.
Pour utiliser un délai d’inactivité autre que celui défini par Firebox ou par le serveur
d’authentification, voir Définir un délai d'inactivité personnalisé à la page 276.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de proxy :
n
n
n
n
n
n
322
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
WatchGuard System Manager
Paramètres proxy
Onglets Paramètres, Adressage et Contenu
Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance
supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres,
modifiez la stratégie de proxy et cliquez sur l’onglet Paramètres ou Contenu. Le proxy SMTP comprend
également un onglet Adressage, où vous pouvez définir les options concernant les expéditeurs et
destinataires des e-mails.
n
n
n
Proxy SMTP : Paramètres
Proxy SMTP : Adressage
Proxy SMTP : Contenu
Proxy SMTP : Adressage
Lorsque vous ajoutez une stratégie de proxy SMTP, vous pouvez configurer des options supplémentaires
associées au protocole SMTP.
Pour limiter qui peut envoyer et recevoir des e-mails :
1. Modifiez ou ajoutez la stratégie proxy SMTP.
La page Configuration de stratégie apparaît.
2. Cliquez sur l’onglet Adressage.
3. Configurez les options suivantes :
Bloquer les e-mails provenant d’expéditeurs dangereux
Cochez cette case pour limiter les utilisateurs pouvant envoyer des e-mails à des destinataires
sur votre réseau. Pour ajouter un expéditeur à la liste, saisissez l’adresse e-mail dans la zone de
texte adjacente et cliquez sur le bouton Ajouter. Vous pouvez utiliser l’astérisque (*) en tant
que caractère générique pour choisir plus d’un expéditeur.
Limiter les destinataires d’e-mails
Guide de l’utilisateur
323
Paramètres proxy
Cochez cette case pour autoriser uniquement des utilisateurs spécifiés à recevoir des e-mails.
Pour ajouter un destinataire à la liste, saisissez l’adresse e-mail dans la zone de texte adjacente
et cliquez sur le bouton Ajouter. Vous pouvez utiliser l’astérisque (*) en tant que caractère
générique pour choisir plus d’un destinataire.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Proxy SMTP : Contenu
Lorsque vous ajoutez une stratégie de proxy SMTP, vous pouvez configurer des options supplémentaires
associées au protocole SMTP. Certains types de contenus intégrés aux e-mails peuvent constituer une
menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos
utilisateurs. L’ensemble de règles pour l’action de proxy SMTP entrante sert à définir les valeurs pour le
filtrage du contenu SMTP entrant. L’ensemble de règles pour l’action de proxy SMTP sortante sert à définir
les valeurs pour le filtrage du contenu SMTP sortant. Le proxy SMTP autorise les types de contenus suivants
par défaut : text/*, image/*, multipart/*, message/*, application/* et application/x-watchguard-locked.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie proxy SMTP.
La page Configuration de stratégie apparaît.
2. Cliquez sur l’onglet Contenu.
3. Configurez les options suivantes :
Autoriser uniquement les types de contenus sécurisés
Pour autoriser uniquementlestypes MIME définisdanslaliste Typesde contenus,cochezcette case.
Pour ajouter un type de contenu prédéfini à la liste Types de contenus, sélectionnez l’entrée
correspondante et cliquez sur < pour la copier.
324
WatchGuard System Manager
Paramètres proxy
Pour ajouter un nouveau type de contenu, saisissez le type MIME dans la liste adjacente et
cliquez sur Ajouter. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique pour
choisir plus d’un type MIME à la fois.
Pour supprimer un type de contenu, sélectionnez son entrée et cliquez sur Supprimer. Vous ne
pouvez pas supprimer des types de contenus de la liste Types de contenu prédéfinis.
Refuser les modèles de nom de fichier non sécurisés
Pour refuser les e-mails avec des pièces jointes dont les noms de fichier correspondent à un
modèle de la liste adjacente, cochez cette case.
Pour ajouter un modèle de nom de fichier, saisissez le modèle de nom de fichier dans la zone
de texte adjacente et cliquez sur Ajouter. Vous pouvez utiliser l’astérisque (*) en tant que
caractère générique pour choisir plus d’un nom de fichier à la fois.
Pour supprimer un modèle de nom de fichier, sélectionnez-le dans la liste et cliquez sur
Supprimer.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Proxy SMTP : Paramètres
Lorsque vous ajoutez une stratégie de proxy SMTP, vous pouvez configurer des options supplémentaires
associées au protocole DNS.
Pour améliorer la sécurité et la performance du réseau :
1. Modifiez ou ajoutez la stratégie proxy SMTP.
La page Configuration de stratégie apparaît.
2. Sélectionnez l’onglet Paramètres.
3. Configurez les options suivantes :
Délai
Vos pouvez définir la durée pendant laquelle une connexion SMTP peut rester inactive avant
d’expirer. La valeur par défaut est de 10 minutes.
Pour modifier cette valeur, saisissez ou sélectionnez un chiffre dans le champ adjacent.
Taille maximale des e-mails
Utilisez cette option pour définir la longueur maximale d’un message SMTP entrant. La valeur
par défaut est 10 000 000 octets, soit 10 Mo.
Pour modifier cette valeur, saisissez ou sélectionnez un chiffre dans le champ adjacent.
Pour autoriser les messages de toutes les tailles, indiquez la valeur zéro (0).
L’encodage peut augmenter d’un tiers la taille totale des fichiers. Par exemple, pour autoriser
les messages d’une taille allant jusqu’à 10 Ko, vous devez régler ce champ sur un minimum de
1334 octets pour garantir qu’un message de 10 Ko puisse être reçu.
Longueur maximale de la ligne
Guide de l’utilisateur
325
Paramètres proxy
Vous pouvez définir la longueur maximale des lignes d’un message SMTP. Une longueur
excessive des lignes peut être à l’origine d’un dépassement de mémoire tampon sur certains
systèmes de messagerie. La plupart des systèmes et clients de messagerie envoient des lignes
courtes, mais certains systèmes de messagerie Web envoient des lignes très longues.
Le réglage par défaut est 1 000 octets, soit 1 Ko.
Pour modifier cette valeur, saisissez ou sélectionnez un chiffre dans le champ adjacent.
Pour autoriser toutes les longueurs de ligne, indiquez la valeur zéro (0).
Activer la journalisation des rapports
Cochez cette case pour envoyer un message du journal à chaque demande de connexion gérée
par le proxy SMTP. Vous devez activer cette option pour créer des rapports précis sur le trafic
de proxy SMTP.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Configurer le proxy SMTP pour placer du courrier en
quarantaine
WatchGuard Quarantine Server fournit un mécanisme de quarantaine sécurisé et complet pour tous les emails soupçonnés d’être indésirables ou de contenir des virus. Ce référentiel reçoit les e-mails à partir du
proxy SMTP et les messages sont filtrés par spamBlocker.
Pour configurer le proxy SMTP afin de mettre en quarantaine du courrier :
1. Ajoutez le proxy SMTP à votre configuration et activez spamBlocker dans la définition de proxy.
Ou activez spamBlocker et activez-le pour le proxy SMTP.
2. Lorsque vous définissez les actions que spamBlocker applique à différentes catégories d’e-mails (tel
que décrit dans Configurer spamBlocker à la page 594), assurez-vous de sélectionner l’action
Quarantaine pour au moins l’une des catégories. Lorsque vous sélectionnez cette action, vous êtes
invité à configurer le serveur Quarantine Server, si vous ne l’avez pas encore fait.
Vous pouvez également sélectionner l’action Quarantaine pour les e-mails identifiés par VOD comme
contenant des virus. Pour plus d’informations, voir Configurer les actions de Virus Outbreak Detection pour
une stratégie : à la page 598.
À propos de la Proxy TCP-UDP
Le proxy TCP/UDP est disponible pour les protocoles suivants sur les ports non standards : HTTP, HTTPS, SIP
et FTP. Pour ces protocoles, le proxy TCP-UDP relaie le trafic vers les proxies appropriés ou vous permet
d’autoriser ou de refuser du trafic. Pour les autres protocoles, vous pouvez choisir d’autoriser ou de refuser
le trafic. Vous pouvez également utiliser cette stratégie de proxy pour autoriser ou refuser le trafic réseau
de messagerie instantanée et P2P (pair à pair). Le proxy TCP-UDP est destiné uniquement aux connexions
sortantes.
Pour ajouter le proxy TCP-UDP à votre configuration Firebox, voir Ajouter une stratégie de proxy à votre
configuration à la page 283.
326
WatchGuard System Manager
Paramètres proxy
Onglet Stratégie
n
n
n
Les connexions TCP-UDP-proxy sont — Spécifiez si les connexions ont l’état Autorisé, Refusé ou
Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et Vers (dans l’onglet
Stratégiede la définition du proxy). Pour plus d’informations, voir Définir des règles d’accès pour une
stratégie à la page 273.
Utiliser le routage basé sur stratégie — Si vous voulez utiliser le routage basé sur stratégie dans la
définition de proxy, voir Configurer le routage basé sur stratégie à la page 275.
Vous pouvez également configurer la translation d’adresses réseau (NAT) statique ou configurer
l’équilibrage de charge serveur.
Pour plus d’informations, voir À propos de NAT statique à la page 157 et Configurer les équilibrage
de charge côté serveur à la page 158.
Onglet Propriétés
n
n
n
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification .
Si vous réglez la liste déroulante Les connexions sont (dans l’onglet Stratégie) sur Refusé ou sur
Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser TCP-UDP. Voir
Bloquer temporairement les sites avec des paramètres de stratégie à la page 357.
Si vous voulez utiliser un délai d’inactivité autre que celui défini par le périphérique WatchGuard ou
le serveur d’authentification, Définir un délai d'inactivité personnalisé.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition de proxy :
n
n
n
n
n
n
Définir un calendrier d'application
Ajouter une une action de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT (la NAT un à un et la translation d’adresses réseau (NAT) dynamique sont
activées par défaut dans toutes les stratégies.)
Activer le marquage QoS ou les paramètres de priorité d’une stratégie
Définir la durée de connexion persistante pour une stratégie
Onglets Paramètres et Contenu
Les stratégies de proxy WatchGuard comportent des options de sécurité réseau et de performance
supplémentaires associées au type de trafic réseau contrôlé par le proxy. Pour modifier ces paramètres,
modifiez la stratégie de proxy et cliquez sur l’onglet Paramètres ou Contenu.
n
n
Proxy TCP-UDP : Paramètres
Proxy TCP-UDP : Contenu
Guide de l’utilisateur
327
Paramètres proxy
Proxy TCP-UDP : Contenu
Vous pouvez utiliser les paramètres d’Application Blocker dans l’onglet Contenu pour définir les actions que
devra effectuer votre périphérique Firebox ou XTM lorsque la stratégie de proxy TCP-UDP détecte un trafic
réseau provenant d’applications de messagerie instantanée ou de pair à pair (P2P).
Dans l’onglet Contenu, cochez la case correspondant aux types d’applications de messagerie instantanée et
de pair à pair que le proxy TCP-UDP doit détecter ainsi que les actions associées.
Pour plus d’informations, cf. À propos des configurations de blocage d’applications à la page 280.
Proxy TCP-UDP : Paramètres
Lorsque vous ajoutez une stratégie de proxy TCP-UDP, vous pouvez configurer des options supplémentaires
relatives à plusieurs protocoles réseau.
Pour spécifier des stratégies de proxy filtrant différents types de trafic réseau :
1. Modifiez ou ajoutez la stratégie proxy TCP-UDP.
La page Configuration de stratégie apparaît.
2. Sélectionnez l’onglet Paramètres.
3. Configurez les options suivantes :
Actions de proxy pour la redirection du trafic
Le proxy TCP-UDP peut transmettre le trafic HTTP, HTTPS, SIP et FTP vers des stratégies de
proxy que vous avez déjà créées lorsque ce trafic est envoyé via des ports non standards. Pour
chacun de ces protocoles, dans les listes déroulantes adjacentes, sélectionnez la stratégie de
proxy qui gérera ce trafic.
Si vous ne voulez pas que votre Firebox utilise une stratégie de proxy pour filtrer un protocole,
sélectionnez Autoriser ou Refuser dans la liste déroulante adjacente.
Note Pour assurer le bon fonctionnement de votre Firebox, vous ne devez pas
sélectionner Autoriser pour le protocole FTP.
Activer la journalisation des rapports
328
WatchGuard System Manager
Paramètres proxy
Cochez cette case pour envoyer un message du journal à chaque demande de connexion gérée
par le proxy TCP-UDP. Vous devez activer cette option pour créer des rapports précis sur le
trafic de proxy TCP-UDP.
4. Pour modifier d’autres paramètres de proxy, cliquez sur un autre onglet.
5. Cliquez sur Enregistrer.
Guide de l’utilisateur
329
Paramètres proxy
Guide de l’utilisateur
330
14 Gestion du trafic et QoS
À propos de Gestion du trafic et QoS
Dans un réseau de grande taille comptant de nombreux ordinateurs, le volume de données qui traverse le
pare-feu peut être très important. Un administrateur réseau peut utiliser les actions de gestion du trafic et
de qualité de service (QoS) pour empêcher toute perte de données pour des applications d’entreprise
importantes et pour garantir que les applications critiques ont priorité sur le reste du trafic.
La gestion du trafic et QoS fournissent de nombreux avantages. Vous pouvez :
n
n
n
Garantir ou limiter la bande passante
Contrôler la vitesse à laquelle la Firebox envoie des paquets au réseau
Fixer des priorités pour le moment où les paquets doivent être envoyés vers le réseau
Pour appliquer une gestion de trafic aux stratégies, vous devez définir une action de gestion de trafic, à
savoir une collection de paramètres que vous pouvez appliquer à une ou plusieurs définitions de stratégie.
De cette manière, vous n’avez pas besoin de configurer les paramètres de gestion du trafic de façon
distincte dans chaque stratégie. Vous pouvez définir des actions de gestion de trafic supplémentaires si vous
voulez appliquer des paramètres différents à différentes stratégies.
Activer la gestion du trafic et la fonction QoS
Pour des raisons de performances, toutes les fonctions de gestion de trafic et QoS sont désactivées par
défaut. Vous devez activer ces fonctions dans les Paramètres globaux pour pouvoir les utiliser.
1. Sélectionnez Système > Paramètres globaux.
La page Paramètres globaux s’affiche.
Guide de l’utilisateur
331
Gestion du trafic et QoS
2. Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (Qualité de
service).
3. Cliquez sur Enregistrer.
Garantir la bande passante
La réservation de la bande passante sert à empêcher les dépassements de délai d’attente de connexion.
Une file d’attente de gestion du trafic avec une bande passante réservée et une priorité basse peut offrir de
la bande passante à des applications en temps réel avec une priorité plus élevée lorsque cela est
nécessaire, sans interrompre la connexion. D’autres files d’attente de gestion du trafic peuvent tirer profit
de la bande passante réservée inutilisée lorsqu’elle devient disponible.
Par exemple, supposez que votre entreprise possède un serveur FTP sur le réseau externe et que vous
voulez garantir que le trafic FTP dispose toujours d’au moins 200 kilo-octets par seconde (Ko/s) par le biais
de l’interface externe. Vous pouvez également envisager de définir une bande passante minimale à partir
de l’interface approuvée pour vous assurer que la connexion possède une bande passante garantie de bout
en bout. Pour cela, vous pouvez créer une action de gestion de trafic qui définit un minimum de 200 Ko/s
pour le trafic FTP sur l’interface externe. Vous pouvez alors créer une stratégie FTP et appliquer l’action de
gestion de trafic. Cela permettra un envoi FTP à 200 Ko/s. Si vous voulez permettre une réception FTP à 200
Ko/s, vous devez configurer le trafic FTP sur l’interface approuvée à un minimum de 200 Ko/s.
332
WatchGuard System Manager
Gestion du trafic et QoS
Autre exemple : supposez que votre entreprise utilise des documents multimédias (transmission
multimédia en continu) pour la formation de clients externes. Cette transmission multimédia en continu
utilise le RTSP via le port 554. Vous effectuez des transferts FTP fréquents à partir de l’interface approuvée
vers l’interface externe et vous ne voulez pas que ces transferts interfèrent avec la réception par vos clients
du contenu de transmission multimédia en continu. Vous pouvez appliquer une action de gestion de trafic à
l’interface externe pour le port de transmission multimédia en continu afin de garantir une bande passante
suffisante.
Restreindre la bande passante
Le paramètre de bande passante garantie fonctionne avec le paramètre Bande passante de l’interface en
sortie configuré pour chaque interface externe afin de ne pas garantir davantage de bande passante que ce
dont vous disposez. Ce paramètre vous permet également de vous assurer que la somme de vos
paramètres de bande passante garantie ne sature pas la liaison, ce qui empêcherait la transmission du trafic
non garanti. Par exemple, supposez que la liaison soit de 1 Mbits/s et que vous essayez d’utiliser une action
de gestion de trafic qui garantit 973 Kbits/s (0,95 Mbits/s) à la stratégie FTP sur cette liaison. Avec ces
paramètres, le trafic FTP pourrait utiliser la bande passante disponible au point d’empêcher d’autres types
de trafic d’utiliser l’interface.
Marquage QoS
Le marquage QoS crée différentes classes de service pour différentes sortes de trafic réseau sortant.
Lorsque vous marquez le trafic, vous modifiez jusqu’à six bits sur les champs d’en-tête des paquets définis à
cet effet. D’autres périphériques externes peuvent utiliser ce marquage et fournir une gestion appropriée
d’un paquet lors de son trajet d’un point à un autre point dans un réseau.
Vous pouvez activer le marquage QoS pour une interface ou une stratégie individuelle. Lorsque vous
définissez le marquage QoS pour une interface, chaque paquet sortant de cette interface est marqué.
Lorsque vous définissez le marquage QoS pour une stratégie, tout le trafic utilisant cette stratégie est
également marqué.
Priorité du trafic
Vous pouvez attribuer des niveaux de priorité différents aux stratégies ou pour le trafic sur une interface
particulière. La définition de priorités pour le trafic au niveau du pare-feu vous permet de gérer plusieurs
files d’attente de classes de services (CoS) et de réserver la priorité la plus élevée pour les données en
temps réel ou les données de diffusion en continu. Une stratégie avec une priorité élevée risque de
confisquer la bande passante à des connexions à priorité basse existantes, lorsque la liaison est saturée et
que la bande passante ne suffit pas pour tout le trafic.
Définir la bande passante de l’interface en sortie
Certaines fonctionnalités de gestion du trafic exigent une limite de bande passante pour chaque interface
réseau. Par exemple, vous devez configurer le paramètre Bande passante de l’interface en sortie pour
utiliser le marquage Qos et la définition des priorités.
Guide de l’utilisateur
333
Gestion du trafic et QoS
Une fois que vous avez défini cette limite, votre Firebox effectue les tâches basiques de définition des
priorités sur le trafic réseau afin d’éviter les problèmes de trafic excessif sur l’interface spécifiée. Par
ailleurs, un avertissement s’affiche dans l’interface Web Fireware XTM si vous allouez une bande passante
trop importante lorsque vous créez ou paramétrez des actions de gestion du trafic.
Si vous conservez pour toute interface la valeur par défaut 0 du paramètre Bande passante de l’interface
en sortie, la bande passante est définie avec la vitesse de connexion négociée automatiquement pour cette
interface.
1. Sélectionnez Pare-feu > Gestion du trafic.
La page Gestion du trafic s’affiche.
2. Cliquez sur l’onglet Interfaces.
3. Dans la colonne Bande passante, à côté du nom de l’interface, saisissez la quantité de bande
passante fournie par le réseau.
Indiquez la vitesse de transfert de votre connexion Internet en kilobits ou mégabits par seconde
(Kbits/s ou Mbits/s).
Définissez la bande passante de votre interface LAN en fonction de la vitesse de connexion
minimale prise en charge par votre infrastructure LAN.
4. Pour modifier l’unité de vitesse, sélectionnez une interface dans la liste, puis cliquez sur l’unité de
vitesse adjacente et sélectionnez une option différente dans la liste déroulante.
5. Cliquez sur Enregistrer.
Limiter le nombre de connexions
Afin d’améliorer la sécurité du réseau, vous pouvez créer une limite sur une stratégie de façon à ce qu’elle
ne filtre qu’un nombre défini de connexions par seconde. En cas de tentatives de connexions
supplémentaires, le trafic est refusé et un message de journal est généré.
1. Sélectionnez Pare-feu > Stratégies de pare-feu ou Pare-feu > Stratégies VPN mobiles.
La page Stratégies s’affiche.
2. Double-cliquez sur une stratégie ou sélectionnez la stratégie que vous souhaitez configurer et
cliquez sur Modifier.
3. Cliquez sur l’onglet Avancé.
4. Cochez la case Vitesse de connexion.
334
WatchGuard System Manager
Gestion du trafic et QoS
5. Dans la zone de texte adjacente, saisissez ou sélectionnez le nombre de connexions que cette
stratégie peut traiter en une seconde.
6. Cliquez sur Enregistrer.
À propos de Marquage QoS
Les réseaux actuels comprennent souvent plusieurs types de trafic réseau qui sont en concurrence pour la
bande passante. Tout trafic, qu’il soit d’une importance vitale ou négligeable, a des chances égales
d’atteindre sa destination dans le délai imparti. Le marquage de qualité de service (QoS) offre au trafic
critique un traitement préférentiel afin de garantir sa remise d’une manière rapide et fiable.
La fonctionnalité QoS doit être en mesure de différencier les différents types de flux de données qui
parcourent votre réseau. Elle doit alors marquer les paquets de données. Le marquage QoS crée
différentes catégories de services pour différents types de trafic réseau. Lorsque vous marquez le trafic,
vous modifiez jusqu’à six bits sur les champs d’en-tête des paquets définis à cet effet. Firebox et d’autres
périphériques prenant en charge la fonction QoS peuvent utiliser ce marquage pour fournir une gestion
appropriée d’un paquet lors de son trajet d’un point à un autre sur un réseau.
Fireware XTM prend en charge deux types de marquage QoS : le marquage de priorité IP (appelé
également Classe de service) et le marquage DSCP (Differentiated Service Code Point). Pour plus
d’informations sur ces types de marquage et les valeurs que vous pouvez définir, voir Types et valeurs de
marquage à la page 336.
Avant de commencer
n
n
Assurez-vous que votre matériel de réseau local prend en charge le marquage et la gestion QoS.
Vous devez également vous assurer que votre fournisseur de services Internet prend en charge la
fonction QoS.
L’utilisation des procédures QoS sur un réseau exige des efforts importants de planification. Vous
pouvez commencer par identifier la bande passante théoriquement disponible, puis déterminer les
applications réseau à priorité élevée, celles particulièrement sensibles à la latence et aux instabilités,
ou les deux.
Marquage QoS pour interfaces et stratégies
Vous pouvez activer le marquage QoS pour une interface ou une stratégie individuelle. Lorsque vous
définissez le marquage QoS pour une interface, chaque paquet sortant de cette interface est marqué.
Lorsque vous définissez le marquage QoS pour une stratégie, tout le trafic utilisant cette stratégie est
également marqué. Le marquage QoS pour une stratégie remplace tout marquage QoS défini sur une
interface.
Guide de l’utilisateur
335
Gestion du trafic et QoS
Par exemple, supposez que votre Firebox reçoit du trafic marqué QoS à partir d’un réseau approuvé et
l’envoie vers un réseau externe. Sur le réseau approuvé, le marquage QoS est déjà appliqué, mais vous
souhaitez que le trafic en direction de votre équipe de dirigeants bénéficie d’une priorité plus élevée que
le reste du trafic réseau en provenance de l’interface approuvée. Tout d’abord, définissez le marquage QoS
pour l’interface approuvée en spécifiant une valeur. Ensuite, ajoutez une stratégie avec le marquage QoS
défini avec une valeur supérieure pour le trafic en direction de l’équipe dirigeante.
Marquage Qos et trafic IPSec
Si vous voulez appliquer la qualité de service (QoS) au trafic IPsec, vous devez créer une stratégie de parefeu spécifique pour la stratégie IPsec correspondante et appliquer le marquage QoS à cette stratégie.
Vous pouvez également choisir si vous souhaitez préserver le marquage existant lorsqu’un paquet marqué
est encapsulé dans un en-tête IPSec.
Pour préserver le marquage :
1. Sélectionnez VPN > Paramètres globaux.
La page Paramètres VPN globaux s’affiche.
2. Cochez la case Activer le type de service (TOS) pour IPSec.
3. Cliquez sur .Enregistrer.
Tout marquage existant est préservé lorsque le paquet est encapsulé dans un en-tête IPSec.
Pour supprimer le marquage :
1. Sélectionnez VPN > Paramètres globaux.
La page Paramètres VPN globaux s’affiche.
2. Décochez la case Activer le type de service (TOS) pour IPSec.
3. Cliquez sur .Enregistrer.
Les bits TOS sont réinitialisés et le marquage n’est pas préservé.
Types et valeurs de marquage
Fireware XTM prend en charge deux types de marquage QoS : le marquage de priorité IP (appelé
également Classe de service) et le marquage DSCP (Differentiated Service Code Point). Le marquage de
priorité IP affecte uniquement les trois premiers bits de l’octet de type de service (ToS) IP. Le marquage
DSCP étend le marquage aux six premiers bits de l’octet ToS IP. Ces deux méthodes vous permettent de
conserver les bits de l’en-tête, qui peuvent avoir été marqués précédemment par un périphérique
externe, ou de modifier leur valeur.
Les valeurs DSCP peuvent être exprimées sous une forme numérique ou par des mots clés spéciaux qui
correspondent au comportement par saut (PHB, per-hop behavior). Le comportement par saut correspond
à la priorité appliquée à un paquet lors d’un trajet d’un point à un autre dans un réseau. Le marquage DSCP
de Fireware prend en charge trois types de comportement par saut :
Best Effort
Best Effort correspond au type de service par défaut et est recommandé pour le trafic qui n’est pas
critique ni en temps réel. Tout le trafic correspond à cette classe si vous n’utilisez pas le marquage QoS.
336
WatchGuard System Manager
Gestion du trafic et QoS
Transfert assuré (AF)
Le transfert assuré est recommandé pour le trafic qui a besoin d’une plus grande fiabilité que le
type de service Best Effort. Avec un comportement par saut de type Transfert assuré (AF), le trafic
peut être affecté dans trois classes : bas, moyen et élevé.
Transfert expédié (EF)
Ce type a la priorité la plus élevée. Il est généralement réservé pour le trafic critique et en temps réel.
Les points de code de sélecteur de classe (CSx) sont définis de façon à assurer la compatibilité descendante
avec les valeurs de priorité IP. Les points de code CS1 à CS7 sont identiques aux valeurs de priorité IP 1 à 7.
Le tableau ci-dessous indique les valeurs DSCP que vous pouvez sélectionner, la valeur de priorité IP
correspondante (qui est la même que la valeur CS) et la description par des mots clés PHB.
Valeur DSCP
Valeur de priorité IP équivalente
(valeurs CS)
0
8
Description : mot clé de comportement par
saut
Best Effort (identique à aucun marquage)
1
Scavenger*
10
AF Classe 1 - Bas
12
AF Classe 1 - Moyen
14
AF Classe 1 - Élevé
16
2
18
AF Classe 2 - Bas
20
AF Classe 2 - Moyen
22
AF Classe 2 - Élevé
24
3
26
AF Classe 3 - Bas
28
AF Classe 3 - Moyen
30
AF Classe 3 - Élevé
32
4
34
AF Classe 4 - Bas
36
AF Classe 4 - Moyen
38
AF Classe 4 - Élevé
40
46
Guide de l’utilisateur
5
EF
337
Gestion du trafic et QoS
Valeur DSCP
Valeur de priorité IP équivalente
(valeurs CS)
Description : mot clé de comportement par
saut
48
6
Contrôle Internet
56
7
Contrôle du réseau
* La classe Scavenger est utilisée pour le trafic de la plus faible priorité (par exemple, les applications de
partage de médias ou de jeu). Ce trafic a une priorité inférieure au type de service Best Effort.
Pour plus d’informations sur les valeurs DSCP, consultez le document RFC suivant :http://www.rfceditor.org/rfc/rfc2474.txt
Activer le marquage QoS pour une interface
Vous pouvez définir le comportement de marquage par défaut lorsque le trafic sort d’une interface. Ces
paramètres peuvent être remplacés par des paramètres définis pour une stratégie.
1. Sélectionnez Pare-feu > Gestion du trafic.
La page Gestion du trafic s’affiche.
2. Décochez la case Désactiver la gestion du trafic. Cliquez sur Enregistrer.
Vous pouvez choisir de désactiver ces fonctionnalités ultérieurement si vous effectuez un test des
performances ou un débogage du réseau.
3. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
4. Sélectionnez l’interface pour laquelle vous souhaitez activer le marquage QoS. Cliquez sur
Configurer.
La page Configuration d’interface apparaît.
5. Cliquez sur Avancé.
6. Dans la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP.
7. Dans la liste déroulante Méthode de marquage, sélectionnez la méthode de marquage :
n
n
Préserver — Ne pas modifier la valeur actuelle du bit. Firebox définit les priorités du trafic en
fonction de cette valeur.
Attribuer — Attribuer une nouvelle valeur au bit.
8. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage.
Si vous avez choisi le type de marquage Priorité IP, vous pouvez sélectionner des valeurs de 0
(priorité normale) à 7 (priorité la plus élevée).
Si vous avez sélectionné le type de marquage DSCP, les valeurs vont de 0 à 56.
Pour plus d’informations sur ces valeurs, voir Types et valeurs de marquage à la page 336.
338
WatchGuard System Manager
Gestion du trafic et QoS
9. Cochez la case Définir les priorités du trafic en fonction du marquage QoS.
10. Cliquez sur Enregistrer.
Activer le marquage QoS ou les paramètres de priorité d’une
stratégie
Outre le marquage du trafic quittant une interface Firebox, vous pouvez marquer le trafic stratégie par
stratégie. L’action de marquage que vous sélectionnez est appliquée à tout le trafic qui utilise la stratégie.
Plusieurs stratégies qui utilisent les mêmes actions de marquage n’ont aucun effet les unes sur les autres.
Les interfaces Firebox peuvent également avoir leurs propres paramètres de marquage QoS. Pour utiliser
le marquage QoS ou les paramètres de définition des priorités pour une stratégie, vous devez remplacer
tous les paramètres de marquage QoS par interface.
1. Sélectionnez Pare-feu > Stratégies de pare-feu ou Pare-feu > Stratégies VPN mobiles.
La page Stratégies s’affiche.
2. Sélectionnez la stratégie à modifier. Cliquez sur Modifier.
3. Cliquez sur l’onglet Avancé.
4. Cochez la case Remplacer les paramètres par interface pour activer les autres champs QoS et de
définition des priorités.
5. Complétez les paramètres tels que décrit dans les rubriques suivantes.
6. Cliquez sur Enregistrer.
Paramètres de marquage QoS
Pour plus d’informations sur les valeurs de marquage QoS, voir Types et valeurs de marquage à la page 336.
1. Dans la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP.
2. Dans la liste déroulante Méthode de marquage, sélectionnez la méthode de marquage :
n
n
Préserver — Ne pas modifier la valeur actuelle du bit. Firebox définit les priorités du trafic en
fonction de cette valeur.
Attribuer — Attribuer une nouvelle valeur au bit.
3. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage.
Si vous avec choisi le type de marquage Priorité IP, vous pouvez sélectionner des valeurs de 0
(priorité normale) à 7 (priorité la plus élevée).
Si vous avez sélectionné le type de marquage DSCP, les valeurs vont de 0 à 56.
4. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez Marquage QoS.
Guide de l’utilisateur
339
Gestion du trafic et QoS
Paramètres de définition des priorités
De nombreux algorithmes différents peuvent être utilisés pour définir des priorités pour le trafic réseau.
Fireware XTM utilise une méthode de mise en file d’attente basée sur les classes, de hautes performances,
qui s’appuie sur l’algorithme Hierarchical Token Bucket. La définition des priorités dans Fireware XTM
s’applique stratégie par stratégie et équivaut aux niveaux de classe de service (CoS) 0 à 7, où 0 correspond à
une priorité normale (par défaut) et 7 à la priorité la plus élevée. Le niveau 5 est communément utilisé
pour diffuser en continu des données, comme dans le cas de la vidéoconférence ou de VoIP. Réservez les
niveaux 6 et 7 pour les stratégies qui permettent des connexions d’administration système afin de garantir
leur disponibilité constante et d’éviter les interférences provenant d’un autre trafic réseau à priorité
élevée. Utilisez le tableau des niveaux de priorité comme référence lorsque vous attribuez des priorités.
1. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez Valeur
personnalisée.
2. Dans la liste déroulante Valeur, sélectionnez un niveau de priorité.
Niveaux de priorité
Nous vous recommandons d’attribuer une priorité supérieure à 5 seulement aux stratégies administratives
WatchGuard, telles que la stratégie WatchGuard, la stratégie WG-Logging ou la stratégie WG-Mgmt-Server.
Attribuez au trafic d’entreprise de priorité élevée une priorité égale ou inférieure à 5.
Priorité
Description
0
Routine (HTTP, FTP)
1
Priorité
2
Immédiat (DNS)
3
Flash (Telnet, SSH, RDP)
4
Ignorer le flash
5
Critique (VoIP)
6
Contrôle de l’interconnectivité Internet (configuration de routeur distant)
7
Contrôle du réseau (gestion de pare-feu, de routeur et de commutateur)
Contrôle du trafic et définition de stratégies
Définir un Action de gestion de trafic
Les actions de gestion de trafic permettent d’appliquer des restrictions de bande passante et de garantir
une quantité minimum de bande passante pour une ou plusieurs stratégies. Chaque action de gestion de
trafic peut comporter des paramètres pour plusieurs interfaces. Par exemple, sur une action de gestion de
trafic utilisée avec une stratégie HTTP pour une petite société, vous pouvez régler la bande passante
340
WatchGuard System Manager
Gestion du trafic et QoS
minimale garantie d’une interface approuvée à 250 Kbits/s et la bande passante maximale à 1000 Kbits/s.
Ceci permet de limiter les vitesses auxquelles les utilisateurs peuvent télécharger des fichiers, mais garantit
qu’une petite quantité de bande passante soit toujours disponible pour le trafic HTTP. Vous pouvez alors
régler la bande passante minimale garantie d’une interface externe à 150 Kbits/s et la bande passante
maximale à 300 Kbits/s afin de gérer les vitesses de transfert de fichiers en même temps.
Déterminer la bande passante disponible
Avant de commencer, vous devez déterminer la bande passante disponible de l’interface utilisée pour la ou
les stratégies pour lesquelles vous souhaitez garantir la bande passante. Pour les interfaces externes, vous
pouvez contacter votre fournisseur de services Internet pour vérifier le niveau de bande passante garanti
accordé par votre contrat. Vous pouvez ensuite procéder à un test de vitesse grâce aux outils en ligne pour
vérifier cette valeur. Ces outils peuvent donner des valeurs différentes en fonction du nombre de variables.
Pour d’autres interfaces, vous pouvez considérer que la vitesse de connexion sur l’interface Firebox
correspond à la bande passante maximale théorique pour ce réseau. Vous devez également prendre en
considération les besoins en termes d’envoi et de réception d’une interface et régler la valeur seuil en
fonction de ces besoins. Si votre connexion Internet est asymétrique, utilisez la bande passante de liaison
montante définie par votre fournisseur de services Internet comme valeur seuil.
Déterminer la somme de votre bande passante
Vous devez également déterminer la somme de la bande passante que vous souhaitez garantir pour toutes
les stratégies d’une interface donnée. Par exemple, sur une interface externe de 1500 Kbits/s, vous pouvez
choisir de réserver 600 Kbits/s pour l’intégralité de la bande passante garantie et utiliser les 900 Kbits/s
restants pour le reste du trafic.
Toutes les stratégies qui utilisent une action de gestion de trafic donnée partagent ses paramètres de
vitesse de connexion et de bande passante. Lors de leur création, les stratégies appartiennent
automatiquement à l’action de gestion de trafic par défaut laquelle n’applique aucune restriction ni
réservation. Si vous créez une action de gestion de trafic pour définir une bande passante maximale de 10
Mbits/s et l’appliquez à une stratégie FTP et à une stratégie HTTP, toutes les connexions gérées par ces
stratégies doivent partager 10 Mbits/s. Si vous appliquez ultérieurement la même action de gestion de trafic
à une stratégie SMTP, les trois stratégies doivent se partager 10 Mbits/s. Ceci s’applique également aux
limites de vitesse de connexion ainsi qu’à la bande passante minimale garantie. La bande passante garantie
inutilisée, réservée par une action de gestion de trafic, peut être utilisée par les autres actions de gestion de
trafic.
Créer ou modifier une action de gestion de trafic
1. Sélectionnez Pare-feu > Gestion du trafic.
La page Gestion du trafic s’affiche.
2. Cliquez sur Ajouter pour créer une nouvelle action de gestion de trafic.
Ou sélectionnez une action et cliquez sur Configurer.
Guide de l’utilisateur
341
Gestion du trafic et QoS
3. Saisissez un nom et une description (facultatif) pour l’action. Pour vous référer à l’action, vous
utilisez son nom lorsque vous l’attribuez à une stratégie.
4. Dans la liste déroulante, sélectionnez une interface. Saisissez la bande passante minimale et
maximale pour cette interface dans les zones de texte adjacentes.
5. Cliquez sur Ajouter.
6. Répétez les étapes 4 à 5 pour ajouter les limites de trafic concernant d’autres interfaces.
7. Pour supprimer une interface de l’action de gestion de trafic, sélectionnez-la et cliquez sur
Supprimer.
8. Cliquez sur Enregistrer.
Vous pouvez maintenant appliquer cette action de gestion de trafic à une ou plusieurs stratégies.
Ajouter une une action de gestion de trafic à une stratégie
Après que vous Définir un Action de gestion de trafic, vous pouvez l’ajouter aux définitions de la stratégie.
Vous pouvez également ajouter une action de gestion de trafic existante aux définitions de stratégie.
1. Sélectionnez Pare-feu > Gestion du trafic.
La page Gestion du trafic s’affiche.
2. Dans la liste Stratégies de gestion du trafic, sélectionnez une stratégie.
342
WatchGuard System Manager
Gestion du trafic et QoS
3. Dans la colonne adjacente, cliquez sur la liste déroulante et sélectionnez une action de gestion de
trafic.
4. Pour définir une action relative à d’autres stratégies, répétez les étapes 2 à 3.
5. Cliquez sur Enregistrer.
Note Si vous avez une configuration multi-WAN, les limites de bande passante sont
appliquées séparément à chaque interface.
Appliquer une action de gestion de trafic à plusieurs stratégies
Lorsque la même action de gestion de trafic est ajoutée à plusieurs stratégies, les bandes passantes
maximale et minimale s’appliquent à chaque interface de votre configuration. Si deux stratégies partagent
une action qui comporte une bande passante maximale de 100 Kbits/s sur une seule interface, alors tout le
trafic sur cette interface qui sera conforme à ces stratégies sera limité à 100 Kbits/s au total.
Si vous disposez d’une bande passante limitée sur une interface utilisée pour plusieurs applications,
chacune avec des ports uniques, vous pourrez avoir besoin de toutes les connexions haute priorité pour
partager une action de gestion de trafic. Si vous disposez de beaucoup de bande passante supplémentaire,
vous pouvez créer des actions de gestion de trafic séparées pour chaque application.
Guide de l’utilisateur
343
Gestion du trafic et QoS
Guide de l’utilisateur
344
15
Default Threat Protection
À propos de default threat protection
Le système d’exploitation WatchGuard Fireware XTM et les stratégies que vous créez vous permettent de
contrôler rigoureusement l’accès à votre réseau. Une stratégie d’accès stricte permet de protéger votre
réseau des pirates. En revanche, il existe d’autres types d’attaques qu’une simple stratégie stricte n’est pas
en mesure de déjouer. Une configuration rigoureuse des options Default Threat Protection du
périphérique WatchGuard permet d’arrêter différents types d’attaques (par exemple, les attaques SYN
Flood, d’usurpation ou d’exploration des espaces de ports et d’adresses).
Avec Default Threat Protection, un pare-feu examine la source et la destination de chaque paquet qu’il
reçoit. Il vérifie l’adresse IP et le numéro de port et contrôle les paquets à la recherche de modèles
indiquant un danger pour votre réseau. En cas de danger, vous pouvez configurer le périphérique
WatchGuard pour qu’il bloque automatiquement une attaque éventuelle. Cette méthode proactive de
détection et de prévention des intrusions permet de protéger votre réseau des personnes malveillantes.
Pour configurer Default Threat Protection, cf. :
n
n
n
À propos de options de gestion des paquets par défaut
À propos de Sites bloqués
À propos de Ports bloqués
Vous pouvez également acheter une mise à niveau du périphérique WatchGuard pour utiliser la
fonctionnalité Intrusion Prevention basée sur les signatures. Pour plus d’informations, voir À propos de
Gateway AntiVirus et Intrusion Prévention à la page 615.
Guide de l’utilisateur
345
Default Threat Protection
À propos de options de gestion des paquets par
défaut
Lorsque le périphérique WatchGuard reçoit un paquet, il examine sa source et sa destination. Il vérifie
l’adresse IP et le numéro de port. Il contrôle également les paquets à la recherche de modèles indiquant un
danger pour votre réseau. Ce processus est appelé gestion des paquets par défaut.
La gestion des paquets par défaut permet les actions suivantes :
n
n
n
n
n
Rejeter un paquet qui pourrait représenter un risque de sécurité, y compris les paquets qui
pourraient faire partie d’une attaque d’usurpation ou d’une attaque SYN Flood ;
Bloquer automatiquement tout le trafic vers l’adresse IP et en provenant ;
Ajouter un évènement au fichier journal ;
Envoyer une interruption SNMP au Management Server SNMP ;
Envoyer une notification relative aux risques de sécurité potentiels.
La plupart des options de gestion des paquets par défaut sont activées dans la configuration par défaut du
périphérique WatchGuard. Vous pouvez modifier les seuils de prise d’action du périphérique WatchGuard.
Vous pouvez également modifier les options sélectionnées pour la gestion des paquets par défaut.
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
346
WatchGuard System Manager
Default Threat Protection
2. Activez les cases à cocher pour les modèles de trafics contre lesquels vous souhaitez agir, en vous
basant sur les explications fournies dans les rubriques suivantes :
n
n
n
n
n
n
À propos de attaques d’usurpation à la page 347
À propos de Attaques d’Itinéraire source des adresses IP à la page 348
À propos de exploration des espaces de ports et d’adresses à la page 349
À propos de Attaques Flood à la page 350
À propos de À propos des paquets non gérés à la page 352
À propos des attaques de prévention répartie contre les refus de service à la page 353
À propos de attaques d’usurpation
Une des méthodes utilisées par les personnes malveillantes pour accéder à un réseau consiste à créer une
fausse identité électronique . Il s’agit d’une méthode d’ usurpation d’IP utilisée par les personnes
malveillantes pour envoyer un paquet TCP/IP avec une adresse IP différente de celle du premier ordinateur
à l’avoir envoyé en premier.
Lorsque la protection contre l’usurpation est activée, le périphérique WatchGuard s’assure que l’adresse IP
source d’un paquet provient bien d’un réseau sur cette interface.
Dans la configuration par défaut, le périphérique WatchGuard rejette les attaques d’usurpation. Pour
modifier les paramètres de cette fonctionnalité :
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
Guide de l’utilisateur
347
Default Threat Protection
2. Activez ou désactivez les cases à cocherRejeter les attaques d’usurpation.
3. Cliquez sur Enregistrer.
À propos de Attaques d’Itinéraire source des adresses IP
Pour trouver l’itinéraire pris par les paquets sur votre réseau, les personnes malveillantes lancent des
attaques d’itinéraire source d’adresses IP. Elles peuvent envoyer un paquet IP et utiliser la réponse envoyée
par votre réseau et obtenir des informations sur le système d’exploitation de l’ordinateur cible ou du
périphérique réseau.
Dans la configuration par défaut, le périphérique WatchGuard bloque les attaques d’itinéraire source
d’adresse IP. Pour modifier les paramètres de cette fonctionnalité :
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut .
La page de gestion des paquets par défaut s’affiche.
2. Activez ou désactivez les cases à cocherRejeter itinéraire source d’adresse IP.
3. Cliquez sur Enregistrer.
348
WatchGuard System Manager
Default Threat Protection
À propos de exploration des espaces de ports et d’adresses
Les personnes malveillantes cherchent fréquemment des ports ouverts aux points de départ pour lancer
des attaques réseau. Une exploration d’espace de port correspond à du trafic TCP ou UDP envoyé à une
plage de ports. Il peut s’agir d’une séquence de ports ou de ports aléatoires, de 0 à 65535. Une exploration
d’espace d’adresses correspond à du trafic TCP ou UDP envoyé à une plage d’adresses réseau. Les
explorations de l’espace de ports examinent un ordinateur pour trouver les services qu’il utilise. Les
explorations de l’espace d’adresses examinent un réseau pour déterminer les périphériques réseau situés
sur ce réseau.
Pour de plus amples informations sur les ports, cf. À propos des ports à la page 8.
Note Le périphérique WatchGuard détecte les explorations des espaces de ports et
d’adresses uniquement sur les interfaces dont le type est configuré sur Externe.
Méthode d’identification des explorations réseau du périphérique
WatchGuard
Une exploration de l’espace d’adresses est identifiée lorsqu’un ordinateur sur un réseau externe envoie un
nombre spécifié de paquets à différentes adresses IP affectées à des interfaces externes du périphérique
WatchGuard. Pour identifier une exploration de l’espace de ports, le périphérique WatchGuard compte le
nombre de paquets envoyés à partir d’une adresse IP vers les adresses IP d’interface externe. Les adresses
peuvent inclure l’adresse IP d’interface externe ainsi que toute adresse IP secondaire configurée sur
l’interface externe. Si le nombre de paquets envoyés à différentes adresses IP ou ports de destination en
une seconde est plus élevé que le nombre défini, l’adresse IP source est ajoutée à la liste des sites bloqués.
Lorsque les cases à cocher Bloquer les explorations d’adresses de port et Bloquer les explorations de
l’espace d’adresses sont activées, l’ensemble du trafic entrant d’une interface externe est examiné par le
périphérique WatchGuard. Vous ne pouvez pas désactiver ces fonctionnalités pour des adresses IP
spécifiées ou des périodes de temps différentes.
Protection contre les explorations d’espaces de ports et d’espaces
d’adresses
Dans la configuration par défaut, le périphérique WatchGuard bloque les explorations réseau. Vous pouvez
modifier les paramètres pour cette fonctionnalité et modifier le nombre maximum explorations d’espaces
de ports et d’espaces d’adresses par seconde pour chaque adresse IP source (la valeur par défaut est 50).
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut .
La page de gestion des paquets par défaut s’affiche.
Guide de l’utilisateur
349
Default Threat Protection
2. Activez ou désactivez les cases à cocher Bloquer les explorations d’espaces de ports et Bloquer les
explorations d’espaces d’adresses.
3. Pour chaque adresse IP source, utilisez les flèches pour sélectionner le nombre maximal
d’explorations de ports ou d’adresses par seconde. La valeur par défaut pour chaque exploration est
de 10 secondes. Une source est donc bloquée si elle initie des connexions à 10 ports ou hôtes
différents en une seconde.
4. Cliquez sur Enregistrer.
Pour bloquer les attaques de personnes malveillantes plus rapidement, définissez le seuil du nombre
maximal d’explorations de ports ou d’adresses par seconde sur une valeur moins élevée. Si le nombre
défini est trop bas, le périphérique WatchGuard pourrait aussi refuser le trafic réseau légitime. Le risque de
bloquer du trafic réseau légitime est moindre si vous définissez la valeur sur un niveau élevé, mais le
périphérique WatchGuard doit envoyer des paquets de réinitialisations TCP pour chaque connexion qu’il
rejette. Ces envois utilisent de la bande passante et des ressources du périphérique WatchGuard et
fournissent des informations sur le pare-feu à la personne malveillante.
À propos de Attaques Flood
Lors d’une attaque Flood, des personnes malveillantes envoient un volume très important de trafic à un
système l’empêchant ainsi de l’examiner et d’autoriser le trafic réseau légitime. Par exemple, une attaque
ICMP Flood se produit lorsqu’un système reçoit un nombre de commandes ping ICMP tel qu’il est obligé
d’utiliser toutes ses ressources pour envoyer des commandes de réponse. Le périphérique WatchGuard
offre une protection contre les types d’attaques Flood suivants :
350
WatchGuard System Manager
Default Threat Protection
n
n
n
n
n
IPSec
IKE
ICMP
SYN
UDP
Les attaques Flood sont également appelées attaques de refus de service (DoS, Denial of Service). Dans la
configuration par défaut, le périphérique WatchGuard bloque les attaques Flood.
Pour modifier les paramètres pour cette fonctionnalité ou modifier le nombre maximum de paquets
autorisés par seconde :
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
2. Activez ou désactivez les cases à cocherattaque Flood.
3. Utilisez les flèches pour sélectionner le nombre maximal de paquets autorisés par seconde pour
chaque adresse IP source.
Par exemple, si le paramètre est réglé sur 1 000, Firebox bloque une source s’il reçoit plus de 1 000
paquets par seconde en provenance de cette source.
4. Cliquez sur Enregistrer.
Guide de l’utilisateur
351
Default Threat Protection
À propos du paramètre des attaques SYN Flood
Pour les attaques SYN Flood, vous pouvez définir le seuil en fonction duquel le périphérique WatchGuard
établit un rapport sur une attaque SYN Flood possible, mais aucun paquet n’est rejeté si le nombre de
paquets sélectionné n’est pas dépassé. Lorsque le double du seuil défini est atteint, tous les paquets SYN
sont rejetés. Si le niveau atteint se situe entre le niveau défini et le double de ce niveau, et que les valeurs
src_IP, dst_IP et total_length d’un paquet sont identiques au précédent paquet reçu, ce paquet est toujours
rejeté. Sinon, 25 % des nouveaux paquets reçus sont rejetés.
Par exemple, admettons que vous définissiez le seuil d’attaque SYN Flood sur 18 paquets/sec. Lorsque le
périphérique WatchGuard reçoit 18 paquets/sec., il vous envoie un rapport d’attaque SYN Flood éventuelle,
mais il ne rejette aucun paquet. Par contre, s’il reçoit 20 paquets par seconde, il rejette 25 % des paquets
reçus (5 paquets). Si le périphérique reçoit 36 paquets ou plus, les 18 derniers paquets ou plus sont rejetés.
À propos de À propos des paquets non gérés
Un paquet non géré est un paquet qui ne correspond à aucune règle de stratégie. Le périphérique
WatchGuard refuse toujours les paquets non gérés, mais vous pouvez prendre des mesures
supplémentaires pour protéger votre réseau en modifiant les paramètres du périphérique.
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
352
WatchGuard System Manager
Default Threat Protection
2. Activez ou désactivez les cases à cocher correspondant aux options suivantes :
Bloquer automatiquement la source des paquets non traités
Sélectionnez l’option permettant de bloquer automatiquement la source des paquets non
gérés. Le périphérique WatchGuard ajoute l’adresse IP qui a envoyé le paquet à la liste Sites
bloqués temporairement.
Envoyer un message d’erreur aux clients dont les connexions sont désactivées
Sélectionnez l’option permettant de renvoyer une réinitialisation TCP ou une erreur ICMP au
client lorsque le périphérique WatchGuard reçoit un paquet non géré.
À propos des attaques de prévention répartie contre les refus
de service
Les attaques de refus de service distribué (DDoS, Distributed Denial of Service) sont quasiment identiques
aux attaques flood. Lors d’une attaque DDoS, un grand nombre de clients et serveurs différents envoient
des connexions à un ordinateur pour tenter d’inonder le système. Lorsqu’une attaque DDoS se produit, elle
empêche les utilisateurs habituels d’utiliser le système cible.
Dans la configuration par défaut, le périphérique WatchGuard bloque les attaques DDoS. Vous pouvez
modifier les paramètres pour cette fonctionnalité et modifier le nombre maximum de connexions
autorisées par seconde.
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu>Gestion des paquets par défaut.
La page de gestion des paquets par défaut s’affiche.
Guide de l’utilisateur
353
Default Threat Protection
2. Activez ou désactivez les cases à cocher Quota par client ou Quota par serveur.
3. Utilisez les touches de direction pour définir le nombre maximal de connexions par seconde
autorisé à partir d’une adresse IP source protégée par le périphérique WatchGuard (Quota par
client) ou vers une adresse IP de destination protégée par le périphérique WatchGuard (Quota par
serveur). Les connexions qui dépassent ce quota sont rejetées.
À propos de Sites bloqués
Un site bloqué est représenté par une adresse IP qui n’est pas autorisée à se connecter via le périphérique
WatchGuard. Vous indiquez au périphérique WatchGuard de bloquer des sites spécifiques connus pour
présenter ou pouvant présenter un risque de sécurité. Une fois que vous avez identifié la source du trafic
suspect, vous pouvez bloquer l’ensemble des connexions en provenance de cette adresse IP. Il vous est en
outre possible de configurer le périphérique WatchGuard pour qu’il envoie un message du journal chaque
fois que la source tente de se connecter à votre réseau. Les services utilisés par les sources lors de leurs
attaques sont mentionnés dans le fichier journal.
L’ensemble du trafic provenant d’une adresse IP bloquée est rejeté. Vous pouvez définir deux types
d’adresses IP bloquées : les adresses permanentes et les adresses automatiquement bloquées.
354
WatchGuard System Manager
Default Threat Protection
Sites bloqués de façon permanente
Le trafic réseau en provenance de sites bloqués de façon permanente est systématiquement refusé. Ces
adresses IP sont stockées dans la liste des sites bloqués et doivent être ajoutées manuellement. Par
exemple, vous pouvez ajouter à la liste des sites bloqués une adresse IP qui tente constamment d’analyser
votre réseau, afin d’empêcher les analyses de port à partir de ce site.
Pour bloquer un site, cf. Bloquer un site de façon permanente à la page 355.
Liste des sites automatiquement bloqués/sites bloqués de
façon temporaire
Les paquets issus de sites automatiquement bloqués sont refusés pour la durée choisie. Pour déterminer si
un site doit être bloqué, le périphérique Firebox se base sur les règles de traitement des paquets spécifiées
dans chaque stratégie. Par exemple, si vous créez une stratégie visant à refuser l’intégralité du trafic qui
transite par le port 23 (Telnet), toute adresse IP essayant de faire circuler des données Telnet par le biais de
ce port est automatiquement bloquée pour la durée spécifiée.
Pour savoir comment bloquer automatiquement les sites dont le trafic est refusé, cf. Bloquer
temporairement les sites avec des paramètres de stratégie à la page 357.
Par ailleurs, vous avez la possibilité de bloquer automatiquement les sites fournissant des paquets qui ne
correspondent à aucune des règles de stratégie. Pour plus d’informations, voir À propos de À propos des
paquets non gérés à la page 352.
Afficher ou modifier la liste des sites bloqués
Pour afficher une liste de tous les sites actuellement sur la liste des sites bloqués, sélectionnez État
système > Sites bloqués.
Pour plus d’informations, voir État des sites bloqués à la page 380.
Bloquer un site de façon permanente
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu > Sites bloqués.
Guide de l’utilisateur
355
Default Threat Protection
2. Dans la liste déroulante Choisir un type, sélectionnez le type d’élément que vous voulez saisir :
adresse IP de l’hôte, plage d’adresses IP ou adresse réseau.
3. Entrez la valeur dans la zone de texte suivante, puis cliquez sur Ajouter. Si vous devez bloquer une
plage d’adresses incluant une ou plusieurs adresses IP affectées au périphérique WatchGuard,
commencez par inclure ces adresses IP dans la liste des exceptions aux sites bloqués.
Pour ajouter des exceptions, cf. Créer Exceptions aux sites bloqués à la page 356.
4. Cliquez sur Enregistrer.
Créer Exceptions aux sites bloqués
Lorsque vous ajoutez un site à la liste des exceptions aux sites bloqués, le trafic vers ce site n’est pas bloqué
par la fonctionnalité de blocage automatique.
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu > Sites bloqués.
2. Cliquez sur l’onglet Exceptions aux sites bloqués.
356
WatchGuard System Manager
Default Threat Protection
3. Dans la liste déroulante Choisir un type, sélectionnez le type d’élément que vous voulez saisir :
adresse IP de l’hôte, plage d’adresses IP ou adresse réseau.
4. Entrez la valeur dans la zone de texte suivante, puis cliquez sur Ajouter.
5. Cliquez sur Enregistrer.
Bloquer temporairement les sites avec des paramètres de
stratégie
Pour bloquer temporairement des sites tentant d’utiliser un service refusé, vous pouvez recourir à la
configuration de stratégie. Les adresses IP des paquets refusés sont ajoutées à la liste des sites bloqués de
façon temporaire, pour une durée de 20 minutes (par défaut).
1. Dans l’interface Web Fireware XTM , sélectionnez Pare-feu > Stratégies de pare-feu. Double-cliquez
sur une stratégie pour la modifier.
La boîte de dialogue Configuration de stratégie s’affiche.
2. Dans l’onglet Stratégie , assurez-vous de sélectionner dans la liste déroulante Les connexions sont
l’option refusée ou refusée (envoyer réinitialisation).
3. Dans l’onglet Propriétés, activez la case à cocher Bloquer automatiquement les sites qui tentent de
se connecter. Par défaut, les adresses IP des paquets refusés sont ajoutées à la liste des sites
bloqués de façon temporaire, pour une durée de 20 minutes.
Guide de l’utilisateur
357
Default Threat Protection
Modifier la durée du blocage automatique des sites
Note Pour afficher une liste des adresses IP automatiquement bloquées par le
périphérique WatchGuard, sélectionnez État système > Sites bloqués. Vous pouvez
consulter la liste des sites bloqués de façon temporaire ainsi que les messages du
journal pour choisir en toute connaissance de cause les adresses IP à bloquer de
manière permanente.
Pour activer la fonctionnalité blocage automatique :
Dans Fireware XTM Web UI, sélectionnez Pare-feu > Gestion des paquets par défaut.
Pour plus d’informations, voir À propos de À propos des paquets non gérés à la page 352.
Pour bloquer automatiquement des sites tentant d’utiliser un service refusé, vous pouvez recourir aux
paramètres de stratégie. Pour plus d’informations, voir Bloquer temporairement les sites avec des
paramètres de stratégie à la page 357.
Pour définir la durée du blocage automatique des sites :
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu > Sites bloqués.
2. Sélectionnez l’onglet Blocageauto.
3. Pour modifier la durée du blocage automatique du site, entrez ou sélectionnez le nombre de
minutes de blocage d’un site dans la zone de texte Durée du blocage automatique des sites La
valeur par défaut est de 20 minutes.
4. Cliquez sur Enregistrer.
À propos de Ports bloqués
Vous pouvez bloquer les ports susceptibles d’être utilisés pour attaquer votre réseau. Ceci permet d’arrêter
les services réseau externes spécifiés. En bloquant vos ports, vous protégez vos services les plus
vulnérables.
Lorsque vous bloquez un port, vous annulez toutes les règles de vos définitions de stratégie. Pour bloquer
un port, cf. Bloquer un port à la page 360.
358
WatchGuard System Manager
Default Threat Protection
Ports bloqués par défaut
Dans la configuration par défaut, le périphérique WatchGuard bloque certains ports de destination. En règle
générale, il est inutile de modifier cette configuration par défaut. Les paquets TCP et UDP sont bloqués pour
les ports suivants :
X Window System (ports 6000-6005)
La connexion au client X Window System (ou X-Windows) n’est pas chiffrée, c’est pourquoi il est
dangereux d’y avoir recours sur Internet.
X Font Server (port 7100)
De nombreuses versions de X-Windows exécutent des serveurs X Font Server. Ces derniers jouent
le rôle de super utilisateur sur certains hôtes.
Système de gestion de fichiers en réseau (NFS) (port 2049)
Le système de gestion de fichiers en réseau (NFS) est un service TCP/IP couramment utilisé
permettant à un grand nombre d’utilisateurs de manipuler les mêmes fichiers au sein d’un réseau.
Dans les nouvelles versions de ce système, d’importants problèmes d’authentification et de sécurité
ont été mis à jour. Il peut être très dangereux de fournir ce type de système sur Internet.
Note Le portmapper utilise fréquemment le port 2049 pour le système de gestion de
fichiers en réseau. Si vous employez ce système, vérifiez que le port 2049 lui est
dédié sur l’ensemble des ordinateurs.
rlogin, rsh, rcp (ports 513 et 514)
Ces services permettent d’accéder à d’autres ordinateurs à distance. Ils constituent un risque en
matière de sécurité et de nombreux pirates les explorent.
Portmapper RPC (port 111)
Les services RPC utilisent le port 111 pour rechercher les ports employés par un serveur RPC
spécifique. Les services RPC sont très vulnérables via Internet.
port 8000
De nombreux fournisseurs ont recours à ce port, qui pose beaucoup de problèmes de sécurité.
port 1
Le service TCPmux utilise le port 1, mais cela arrive rarement. Vous pouvez le bloquer et ainsi
rendre l’examen des ports par les outils plus difficile.
port 0
Ce port est systématiquement bloqué par le périphérique WatchGuard. Vous ne pouvez pas
autoriser le trafic entre le port 0 et le périphérique.
Note Si vous devez autoriser le trafic sur l’un des ports bloqués par défaut pour utiliser
les applications logicielles associées, nous vous recommandons de n’autoriser le
trafic que par un tunnel VPN ou d’utiliser SSH (Secure Shell) avec ces ports.
Guide de l’utilisateur
359
Default Threat Protection
Bloquer un port
Note Soyez prudent si vous bloquez des numéros de port supérieurs à 1023. Les clients
utilisent fréquemment ces numéros de port source.
1. Dans Fireware XTM Web UI, sélectionnez Pare-feu> Ports bloqués.
2. Cliquez sur les flèches du champPortou entrez le numéro de port à bloquer.
3. Cliquez sur Ajouter.
Le nouveau numéro de port est ajouté à la liste des ports bloqués.
Blocage d’adresses IP tentant d’utiliser des ports bloqués
Vous pouvez configurer le périphérique WatchGuard pour qu’il bloque automatiquement un ordinateur
externe tentant d’utiliser un port bloqué. Dans la boîte de dialogue page, activez la case à cocher Bloquer
automatiquement les sites qui tentent d’utiliser des ports bloqués.
360
WatchGuard System Manager
16 Journalisation et notification
À propos de la journalisation et des fichiers
journaux
Une fonctionnalité importante de sécurité réseau consiste à rassembler les messages provenant de vos
systèmes de sécurité, à examiner fréquemment ces enregistrements et à les conserver dans une archive
pour vous y référer ultérieurement. Le système de message du journal WatchGuard créé des fichiers
journaux à l’aide d’informations concernant des évènements liés à la sécurité que vous pouvez examiner
pour analyser la sécurité et l’activité de votre réseau, identifier les risques de sécurité et y remédier.
Un fichier journal est une liste d’événements contenant des informations sur ces événements. Un
événement est une activité qui se produit sur le périphérique Firebox ou XTM. Le refus d’un paquet par le
périphérique est un exemple d’événement. Votre périphérique Firebox ou XTM peut également capturer
des informations sur les événements autorisés afin de vous offrir une image plus complète de l’activité sur
votre réseau.
Le système de message du journal comprend plusieurs composants décrits ci-dessous.
Serveurs Log Server
Il existe deux méthodes pour sauvegarder des fichiers journaux avec Fireware XTM Web UI :
WatchGuard Log Server
Il s’agit d’un composant de WatchGuard System Manager (WSM). Si vous disposez de Firebox III,
Firebox X Core, Firebox X Peak, Firebox X Edge with Fireware XTM ou WatchGuard XTM Série 2, 5, 8,
ou 1050, vous pouvez configurer un serveur Log Server principal pour collecter les messages de
journal.
Guide de l’utilisateur
361
Journalisation et notification
Syslog
Il s’agit d’une interface de journalisation développée pour UNIX, mais également utilisée sur de
nombreux autres systèmes. Si vous utilisez un hôte Syslog, vous pouvez configurer votre
périphérique Firebox ou XTM afin qu’il envoie les messages du journal à votre serveur Syslog. Pour
trouver un serveur Syslog compatible avec votre système d’exploitation, effectuez une recherche
sur Internet à l’aide des mots clés « démon Syslog°».
Si votre périphérique Firebox ou XTM est configuré pour envoyer des fichiers journaux à un serveur
WatchGuard Log Server et que la connexion échoue, les fichiers journaux ne sont pas collectés. Vous
pouvez configurer votre périphérique pour qu’il envoie également des messages du journal à un hôte
Syslog sur le réseau approuvé local pour empêcher la perte de fichiers journaux.
Pour plus d’informations sur l’envoi de messages du journal vers un serveur WatchGuard Log Server, cf.
Envoyer les messages du journal vers un serveur WatchGuard Log Server à la page 364.
Pour de plus amples informations sur l’envoi de messages du journal vers un hôte Syslog, cf. Envoyer des
informations de journaux à un hôte Syslog à la page 365.
État du système Syslog
La page Syslog de l’interface Fireware XTM Web UI affiche des informations de messages du journal en
temps réel incluant des données relatives à l’activité la plus récente du périphérique Firebox ou XTM.
Pour plus d’informations, cf. Utiliser Syslog pour consulter les données de messages du journal à la page 372.
Journalisation et notification dans les applications et sur les
serveurs
Le serveur Log Server peut recevoir les messages du journal à partir de votre périphérique Firebox ou XTM,
ou d’un serveur WatchGuard. Une fois que vous avez configuré votre périphérique Firebox ou XTM et Log
Server, le périphérique envoie les messages du journal vers Log Server. Vous pouvez activer la
journalisation dans les différentes applications et stratégies WSM que vous avez définies pour que votre
périphérique Firebox ou XTM contrôle le niveau des journaux que vous voyez. Si vous choisissez d’envoyer
les messages du journal à partir d’un autre serveur WatchGuard vers le serveur Log Server, vous devez
commencer par activer la journalisation sur ce serveur.
À propos de messages de journaux
Votre périphérique Firebox ou XTM envoie les messages du journal vers le serveur Log Server. Il peut
également envoyer les messages de journal vers un serveur Syslog ou conserver localement les journaux
sur le périphérique Firebox ou XTM. Vous pouvez choisir d’envoyer les journaux à l’un des emplacements
ou aux deux.
Types de messages de journaux
Firebox envoie plusieurs types de messages du journal. Le type figure dans le texte du message. Les types
de messages de journal sont les suivants :
362
WatchGuard System Manager
Journalisation et notification
n
n
n
n
n
Trafic
Alarme
Événement
Débogage
Statistiques
Messages du journal de type Trafic
Firebox envoie des messages de journal de type Trafic lorsqu’il applique des règles de filtre de paquets et
de proxy au trafic transmis via le périphérique.
Messages de journal de type Alarme
Des messages de journal de type Alarme sont envoyés lorsqu’un événement se produit et qui déclenche
l’exécution d’une commande par Firebox. Lorsque la condition d’alarme est satisfaite, le périphérique
envoie un message de journal de type Alarme au au serveur Log Server ou Syslog, puis effectue l’action
spécifiée.
Il existe huit catégories de messages du journal de type Alarme : Système, IPS, AV, Stratégie, Proxy,
Compteur, Refus de service et Trafic. Firebox n’envoie pas plus de 10 alarmes en 15 minutes pour les
mêmes conditions.
Messages du journal de type Événement
Firebox envoie des messages du journal de type Événement en raison de l’activité des utilisateurs. Les
actions susceptibles d’entraîner l’envoi d’un message du journal de type Événement par Firebox incluent
les actions suivantes :
n
n
n
n
n
Démarrage et arrêt du périphérique
Authentification du périphérique et du VPN
Démarrage et arrêt du processus
Problèmes liés aux composants matériels du périphérique
Toute tâche effectuée par l’administrateur du périphérique
Messages du journal de type Débogage
Les messages du journal de type Débogage incluent des informations de diagnostic qui vous aideront à
résoudre les problèmes éventuels. 27 composants différents du produit peuvent envoyer des messages du
journal de type Débogage.
Messages du journal de type Statistiques
Les messages du journal de type Statistiques incluent des informations sur les performances de Firebox. Par
défaut, le périphérique envoie les messages du journal relatifs aux performances de l’interface externe et
les statistiques concernant la bande passante VPN à votre fichier journal. Vous pouvez utiliser ces journaux
pour modifier vos paramètres Firebox d’une façon appropriée pour améliorer les performances.
Guide de l’utilisateur
363
Journalisation et notification
Envoyer les messages du journal vers un serveur
WatchGuard Log Server
La WatchGuard Log Server est un composant de WatchGuard System Manager. Si vous disposez de
WatchGuard System Manager, configurez un serveur Log Server principal et des serveurs Log Server de
sauvegarde pour collecter les messages du journal provenant des périphériques Firebox. Vous désignez un
Log Server en tant que serveur principal (Priorité 1) et les autres Log Servers en tant que serveurs de
sauvegarde.
Si Firebox ne peut pas se connecter au serveur Log Server principal, il essaie de se connecter au serveur
Log Server suivant dans la liste de priorité. Si Firebox examine chaque serveur Log Server dans la liste et ne
peut pas se connecter, il essaie à nouveau de se connecter au premier serveur Log Server de la liste.
Lorsque le serveur Log Server principal n’est pas disponible et que Firebox est connecté à un Log Server de
sauvegarde, Firebox tente de se reconnecter au Log Server principal toutes les 6 minutes. Cela n’a aucune
incidence sur la connexion Firebox au serveur Log Server de sauvegarde jusqu’à ce que le serveur Log
Server soit disponible.
Pour obtenir des informations supplémentaires sur les serveurs WatchGuard Log Server et les instructions
concernant la façon de configurer Log Server pour accepter les messages des journaux, voir le Guide de
l’utilisateur de WatchGuard System Manager.
Ajouter, modifier ou changer la priorité des serveurs Log
Server
Pour envoyer les messages du journal depuis Firebox vers un serveur WatchGuard Log Server :
1. SélectionnezJournalisation>système.
La page Journalisation s’ouvre.
364
WatchGuard System Manager
Journalisation et notification
2. Activez la case à cocher Envoyer les messages du journal à ces serveurs WatchGuard Log
Serverpour envoyer des messages du journal à un ou plusieurs serveurs WatchGuard Log Server.
3. Dans le champ Adresse Log Server, entrez l’adresse IP du serveur Log Server principal.
4. Dans le champ Clé de chiffrement, entrez le Log Server Encryption Key.
5. Dans le champ Confirmer, entrez à nouveau la clé de chiffrement.
6. Cliquez sur Ajouter.
Les informations du serveur Log Server s’affichent dans la liste Log Server.
7. Répétez les étapes 3 à 6 pour ajouter davantage de serveurs Log Server à la liste des Serveurs.
8. Pour modifier la priorité d’une liste Log Server, sélectionnez une adresse IP dans la liste et cliquez
sur Haut ou Bas.
Le numéro de priorité change à mesure que l’adresse IP se déplace plus haut ou plus bas dans la
liste des priorités.
9. Cliquez sur Enregistrer.
Envoyer des informations de journaux à un hôte
Syslog
Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d’autres platesformes. Vous pouvez configurer WatchGuard de sorte qu’il envoie des informations de journalisation à un
serveur Syslog. WatchGuard peut envoyer des messages de journaux à un serveur WatchGuard Log Server
ou à un serveur Syslog, ou aux deux simultanément. Les messages des journaux Syslog ne sont pas chiffrés.
Il est conseillé de ne pas sélectionner un hôte Syslog sur l’interface externe.
Guide de l’utilisateur
365
Journalisation et notification
Pour configurer le périphérique WatchGuard pour envoyer des messages du journal à un hôte Syslog, vous
devez disposer d’un hôte Syslog configuré, opérationnel et prêt à recevoir des messages du journal.
1. Sélectionnez la journalisation > système.
La page Journalisation s’ouvre.
2. Sélectionnez l’onglet Serveur Syslog.
3. Sélectionnez la case à cocher Activer la sortie Syslog pour ce serveur.
4. Dans le champ Activer la sortie Syslog pour ce serveur, saisissez l’adresse IP de l’hôte Syslog.
5. Dans la section Paramètres, pour sélectionner un utilitaire Syslog pour chaque type de message du
journal, cliquez sur les listes déroulantes adjacentes.
Si vous sélectionnez AUCUN, les détails de ce type de message ne seront pas envoyés à l’hôte
Syslog.
Pour des informations que les différents types de messages, cf. Types de messages de journaux à la
page 362.
L’utilitaire Syslog fait référence à l’un des champs du paquet Syslog et au fichier auquel Syslog
envoie un message du journal. Utilisez Local0 pour les messages Syslog à priorité élevée, tels que les
alarmes. Utilisez Local1àLocal7 pour affecter des priorités pour d’autres types de messages du
journal (les numéros inférieurs ont une priorité plus élevée). Consultez votre documentation Syslog
pour plus d’informations sur les utilitaires de journalisation.
6. Cliquez sur Enregistrer.
366
WatchGuard System Manager
Journalisation et notification
Note Dans la mesure où le trafic de Syslog n’est pas chiffré, les messages Syslog envoyés
via Internet représentent un risque pour la sécurité du réseau approuvé. Pour cette
raison, il est plus sûr de placer l’hôte Syslog sur votre réseau approuvé.
Configurer les paramètres de journalisation
Vous pouvez choisir d’enregistrer les messages du journal sur le Firebox et de sélectionner les statistiques
de performance à inclure dans les fichiers journaux.
1. SélectionnezJournalisation>système.
La page Journalisation s’ouvre.
2. Cliquez sur l’onglet Paramètres.
3. Activez la case à cocher Envoyer les messages du journal dans le stockage interne Firebox pour
stocker les messages du journal sur le périphérique WatchGuard.
4. Activez la case à cocher Entrer les statistiques d’interface externe et de bande passante VPN dans
un fichier journal pour stocker les statistiques de performance dans vos fichiers journaux.
5. Pour envoyer un message du journal en cas de modification du fichier de configuration Firebox,
activez la case à cocher Envoyer les messages du journal en cas de modification de la configuration
de ce périphérique Firebox.
Guide de l’utilisateur
367
Journalisation et notification
6. Pour envoyer des messages du journal relatif au trafic envoyé par Firebox, activez la case à cocher
Activer la journalisation du trafic envoyé par Firebox.
7. Cliquez sur Enregistrer.
Définir le niveau du journal de diagnostic
De Fireware XTM Web UI Sélectionnez le niveau du journal de diagnostic à écrire dans votre fichier journal.
Nous ne vous conseillons pas de définir le niveau de journalisation le plus élevé à moins qu’un responsable
du support technique ne vous y invite lors de la résolution d’un problème. Lorsque vous utilisez le niveau
du journal de diagnostic le plus élevé, le fichier journal peut se remplir très rapidement, entraînant
fréquemment une diminution des performances du périphérique WatchGuard.
1. Sélectionnez le journal de diagnostic > système.
La page de niveau du journal de diagnostic s affiche.
368
WatchGuard System Manager
Journalisation et notification
2. Utilisez la barre de défilement pour trouver une catégorie.
3. Dans la liste déroulante de la catégorie, définissez le niveau de détail à inclure dans le message du
journal de la catégorie :
n
n
n
n
n
Désactivé
Erreur
Avertissement
Informations
Débogage
Quand Désactivé (le niveau le plus bas) est sélectionné, les messages de diagnostic pour cette
catégorie sont désactivés.
4. Cliquez sur Enregistrer.
Configurer la journalisation et la notification pour
une stratégie
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
La page Stratégies de pare-feu s’affiche.
2. Ajoutez une stratégie ou double-cliquez sur une stratégie.
La page de configuration de stratégie s’affiche.
3. Cliquez sur l’onglet Propriétés.
Guide de l’utilisateur
369
Journalisation et notification
4. Dans la rubrique Journalisation, définissez les paramètres pour qu’ils correspondent à votre
stratégie de sécurité.
Pour obtenir des informations sur les champs dans la rubrique Journalisation, cf. Définir les
préférences de journalisation et de notification à la page 371.
5. Cliquez sur Enregistrer.
370
WatchGuard System Manager
Journalisation et notification
Définir les préférences de journalisation et de notification
Les paramètres pour la journalisation et la notification sont similaires tout au long de la configuration
Firebox. Pour chaque utilitaire, lorsque vous définissez des préférences de journalisation et de notification,
la plupart des champs décrits ci-dessous sont disponibles.
Envoyer un message du journal
Si vous activez cette case à cocher, Firebox envoie un message du journal lorsqu’un événement se
produit.
Sélectionnez l’envoi de messages du journal vers un serveur WatchGuard Log Server, un serveur
Syslog ou un stockage interne Firebox. Pour connaître le détail de la marche à suivre afin de
sélectionner une destination pour vos messages du journal, cf. Configurer les paramètres de
journalisation à la page 367.
Envoyer Interruption SNMP
Lorsque vous activez cette case à cocher, Firebox envoie une notification d’événement au système
de gestion SNMP. Le protocole SNMP (Simple Network Management Protocol) est un ensemble
d’outils destinés à analyser et à gérer les réseaux. Une interruption SNMP est une notification
d’événement envoyée par Firebox au système de gestion SNMP lorsqu’une condition spécifiée se
produit.
Note Si vous activez la case à cocher Envoyer une interruption SNMP sans avoir au
préalable configuré le protocole SNMP, une boîte de dialogue s’ouvre et vous
demande de le faire. Cliquez sur Oui pour accéder à la boîte de dialogue
Paramètres SNMP. Vous ne pouvez pas envoyer d’interruptions SNMP si vous ne
configurez pas le protocole SNMP.
Pour de plus amples informations sur le protocole SNMP, cf. À propos du protocole SNMP à la page 61.
Pour activer les interruptions SNMP ou les demandes d information, cf. Activer Stations de gestion
et interruptions SNMP à la page 65.
Envoyer notification
Lorsque vous activez cette case à cocher, Firebox envoie une notification lorsque l’événement
spécifié se produit. Par exemple, lorsqu’une stratégie autorise un paquet.
Guide de l’utilisateur
371
Journalisation et notification
Vous pouvez sélectionner comment Firebox envoie la notification :
n
n
E-mail — Le serveur Log Server envoie un e-mail lorsque l événement se produit.
Fenêtre contextuelle — Le serveur Log Server ouvre une boîte de dialogue lorsque
l’événement se produit.
Définissez :
n
n
Intervalle de lancement — Le temps minimum (en minutes) entre des notifications
différentes. Ce paramètre empêche l’envoi de plusieurs notifications pour un même
événement, dans un délai court.
Nombre de répétitions — Ce paramètre effectue le suivi de la fréquence de
l’événement. Dès que le nombre d’événements atteint la valeur sélectionnée, une
notification de répétition spéciale est envoyée. Elle crée une entrée de journal de
répétition pour cette notification en particulier. La notification reprend après que le
nombre d’événements que vous spécifiez dans ce champ survienne.
Par exemple, définissez l’Intervalle de lancement à 5 minutes et le Nombre de répétitions à 4.
L’exploration de l’espace de ports démarre à 10 h et effectue une exploration toutes les minutes.
Cet événement active les mécanismes de journalisation et de notification.
Ces actions surviennent aux heures suivantes :
n
n
n
n
n
10:00 — Exploration de l’espace de ports initiale (premier événement)
10:01 — Début de la première notification (un événement)
10:06 — Début de la seconde notification (rapport de cinq événements)
10:11 — Début de la troisième notification (rapport de cinq événements)
10:16 — Début de la quatrième notification (rapport de cinq événements)
L’intervalle de lancement contrôle les intervalles temporels entre chaque événement (1, 2, 3, 4 et
5). Il a été défini à 5 minutes. Multipliez le nombre de répétitions par l’intervalle de lancement. Il
s’agit de l’intervalle temporel au cours duquel un événement doit continuer afin de démarrer la
notification de répétition.
Utiliser Syslog pour consulter les données de
messages du journal
Vous pouvez consulter les données de message du journal en temps réel sur la page Syslog. Vous pouvez
choisir de ne consulter qu’un seul type de fichier du journal ou de filtrer tous les messages du journal pour
examiner des détails spécifiques. Vous pouvez également contrôler la fréquence de rafraîchissement des
données de message du journal.
Quand vous utilisez le champ Filtre pour spécifier les messages du journal à consulter, les résultats de la
recherche filtrée comprennent toutes les entrées correspondant en partie au filtre sélectionné.
Examiner, trier et filtrer les données de messages du journal
Vous pouvez choisir de ne consulter que des types de messages du journal spécifiques et d’appliquer des
filtres pour affiner les données à consulter dans les messages du journal Systole.
1. Sélectionnez État système > Syslog.
La page Syslog s’affiche et contient une liste exhaustive des messages du journal en temps réel pour tous les
372
WatchGuard System Manager
Journalisation et notification
types de message.
2. Pour afficher un seul type de message du journal, sélectionnez un type de message dans la liste
déroulante Type de diagramme :
n
n
n
n
n
Trafic
Alarme
Événement
Débogage
Statistiques
3. Pour afficher à nouveau tous les types de message du journal, dans la liste déroulante Type de
diagramme, sélectionnez Tous :
4. Pour trier les messages du journal par type de données, cliquez sur l’en-tête de colonne
correspondant à ce type de données. Différentes colonnes de données s’affichent selon le type de
message du journal sélectionné dans la liste déroulante Type de diagramme.
5. Pour n’afficher que les messages du journal ne mentionnant qu’un détail de message en particulier,
entrez le détail dans la zone de texteFiltre .
L’affichage Syslog se met à jour automatiquement pour n’afficher que les messages du journal comportant le
détail spécifié. Si aucun message ne correspond aux détails de filtre que vous avez entrés, l’écran Syslog est vide.
Par exemple, si vous voulez afficher les messages du journal de l’utilisateur Admin, entrez
userID=Admin . Les résultats reprennent les messages du journal de l’utilisateur Admin,
Administrateurs, Administrateur, ainsi que ceux de tout autre nom d’utilisateur contenant les
caractères Admin.
6. Pour supprimer un filtre, effacez tous les détails de la zone de texteFiltre .
L’écran Syslog se met à jour automatiquement.
Guide de l’utilisateur
373
Journalisation et notification
7. Pour copier le message du journal depuis la liste, sélectionnez un ou plusieurs éléments de la liste et
cliquez sur Copier.
Rafraîchir les données du message du journal
n
n
n
374
Pour modifier la fréquence d’actualisation des données de message du journal à l’écran, définissez
l’intervalle de rafraîchissement.
Pour désactiver temporairement l’option d’actualisation de l’affichage, cliquez sur Pause.
Pour activer l’actualisation de l’affichage, cliquez sur Reprise.
WatchGuard System Manager
17
Surveiller votre périphérique
Firebox
Analyser votre Firebox
Pour surveiller l'état et l'activité de votre Firebox ou périphérique XTM, utilisez les pages Tableau de bord
et État du système.
Le tableau de bord
Le tableau de bord comporte deux pages : la page Système et la page Services d'abonnement.
La page Système offre un aperçu rapide de l'état de votre périphérique. Si vous disposez d'un accès de
configuration lecture-écriture, vous pouvez redémarrer votre périphérique depuis cette page. La page
Système du tableau de bord s'affiche automatiquement lorsque vous vous connectez à Fireware XTM Web UI.
Pour ouvrir la page Système depuis une autre page de l'IU Web :
Sélectionnez Tableau de bord > Système.
Guide de l’utilisateur
375
Surveiller votre périphérique Firebox
La page Système du tableau de bord comporte les éléments suivants :
n
Informations sur le périphérique :
n
n
n
n
n
n
Informations d'interface réseau :
n
n
n
n
n
Nom du périphérique
Version logicielle du SE Fireware XTM
Numéro de modèle du périphérique
Numéro de série du périphérique
Temps d'activité depuis le dernier redémarrage
État de connexion
Alias – le nom de l'interface
IP – l'adresse IP assignée à l'interface
Passerelle – la passerelle pour l'interface
Mémoire et statistiques d'utilisation du processeur
Pour afficher les statistiques correspondant à une période plus longue, ou pour afficher des statistiques plus
détaillées sur le tableau de bord :
Cliquez sur Zoom au bas d'un élément du tableau de bord.
La page État du système s'affiche avec plus d'informations et d'options.
Vous pouvez également afficher des informations sur vos abonnements à Gateway AntiVirus, Intrusion
Prevention Service, WebBlocker et spamBlocker.
Sélectionnez Tableau de bord > Services d'abonnement.
La page Services d'abonnement s'affiche.
376
WatchGuard System Manager
Surveiller votre périphérique Firebox
La page Services d'abonnement comprend les éléments suivants :
n
n
n
n
n
Trafic analysé, infecté et ignoré surveillé par Gateway AntiVirus
Trafic analysé, détecté et évité surveillé par Intrusion Prevention Service
Version de la signature et informations de mise à jour pour Gateway AntiVirus et Intrusion
Prevention Service
Requêtes et trafic HTTP refusés par WebBlocker
Courrier propre, confirmé, en masse et suspect identifié par spamBlocker
Pour plus d'informations sur les mises à jour manuelles de signatures, voir Afficher l’état des services
d’abonnement et mettre à jour manuellement les signatures à la page 625.
Pages État du système
Les pages État du système comportent une liste de catégories de surveillance. Sur ces pages, vous pouvez
surveiller tous les composants de votre Firebox ou périphérique XTM.
Les pages État du système sont paramétrées pour s'actualiser automatiquement toutes les 30 secondes.
Pour modifier ce paramétrage :
1. Pour modifier l'intervalle d'actualisation, cliquez sur le triangle de la barre de curseur Intervalle
d'actualisation et faites-le glisser.
2. Pour arrêter temporairement les actualisations, cliquez sur Pause.
3. Pour forcer une actualisation immédiate, cliquez sur Pause puis sur Redémarrer.
Guide de l’utilisateur
377
Surveiller votre périphérique Firebox
Les nombres sur l'axe x des graphiques correspondent aux minutes écoulées. Les graphiques de statistiques
du tableau de bord indiquent les données pour les dernières 20 minutes.
Certaines pages État du système disposent d'une fonction Copier.
Pour copier les informations d'une liste :
1. Sélectionnez un ou plusieurs éléments de la liste.
2. Cliquez sur Copier.
3. Collez les données dans une autre application.
Table ARP
Pour afficher la table ARP pour la Firebox :
Sélectionnez État du système > Table ARP.
La page Table ARP indique les périphériques ayant répondu à une requête ARP (Address Resolution
Protocol) provenant de la Firebox :
Adresse IP
L'adresse IP de l’ordinateur qui répond à la requête ARP.
Type HW
Le type de connexion Ethernet utilisée par l’adresse IP pour se connecter.
Indicateurs
Si l’adresse matérielle d’IP est résolue, elle est indiquée comme valide. Si tel n’est pas le cas, elle est
indiquée comme non valide.
Note Une adresse matérielle valide peut être indiquée brièvement comme non valide
pendant que la Firebox attend une réponse à la requête ARP.
Adresse HW
L’adresse MAC de la carte d’interface réseau associée à l’adresse IP.
Périphérique
L'interface de la Firebox sur laquelle l’adresse matérielle pour cette adresse IP a été trouvée. Le
nom du noyau Linux de l’interface est indiqué entre parenthèses.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Authentifications
Pour afficher la liste des utilisateurs authentifiés pour la Firebox :
Sélectionnez État du système > Liste d'authentification.
La page Liste d'authentification comporte des informations sur chaque utilisateur actuellement authentifié
sur la Firebox.
378
WatchGuard System Manager
Surveiller votre périphérique Firebox
Utilisateur
Nom de l’utilisateur authentifié
Type
Le type d'utilisateur authentifié : utilisateur Firewall ou mobile.
Domaine d'authentification
Le serveur d'authentification qui authentifie l'utilisateur.
Heure de début
Le temps écoulé depuis l'authentification de l'utilisateur.
Dernière activité
Le temps écoulé depuis la dernière activité de l'utilisateur.
Adresse IP
L'adresse IP interne en cours d'utilisation par l'utilisateur – pour les utilisateurs mobiles, cette
adresse IP est l'adresse IP qui leur a été assignée par la Firebox.
Adresse de provenance
Adresse IP de l’ordinateur à partir duquel l’utilisateur s’authentifie. Pour les utilisateurs itinérants,
cette adresse IP est celle de l’ordinateur à partir duquel ils se sont connectés à Firebox. Pour les
utilisateurs se trouvant derrière un pare-feu, l’adresse IP et l’adresse de provenance sont les mêmes.
Pour modifier l’ordre la liste d’authentification :
Cliquez sur un en-tête de colonne.
Pour fermer la session d’un utilisateur :
Cliquez sur le nom d'utilisateur et sélectionnez Déconnecter les utilisateurs.
Pour plus d'informations sur l'authentification, voir À propos de l’authentification des utilisateurs à la page 215.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Mesure de la bande passante
La page Mesure de la bande passante indique les statistiques de débit en temps réel pour toutes les
interfaces Firebox dans le temps. L'axe Y (vertical) indique le débit. L’axe des abscisses (horizontal)
représente le temps.
Pour surveiller l'utilisation de la bande passante pour les interfaces Firebox :
1. Sélectionnez État du système > Mesure de la bande passante.
2. Pour voir la valeur correspondant à chaque point de donnée, déplacez votre souris sur les lignes du
graphique.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Guide de l’utilisateur
379
Surveiller votre périphérique Firebox
État des sites bloqués
Pour afficher la liste des adresses IP actuellement bloquées par la Firebox :
Sélectionnez État du système > Sites bloqués.
La page Sites bloqués comporte une liste d'adresses IP figurant actuellement sur la liste des sites bloqués, la
raison de leur ajout à cette liste ainsi que l'heure d'expiration (quand le site sera retiré de la liste Sites
bloqués).
Pour chaque site bloqué, le tableau comprend ces informations :
IP
L'adresse IP du site bloqué.
Source
La source du site bloqué. Les sites ajoutés sur la page État du système > Sites bloqués sont affichés
en tant qu'admin, tandis que les sites ajoutés depuis la page Pare-feu > Sites bloqués sont affichés
en tant que configuration.
Raison
La raison pour laquelle le site a été bloqué.
Délai
La durée totale pendant laquelle le site est bloqué.
Expiration
La durée restante avant l'expiration de la période d'inactivité.
Note Les sites bloqués qui indiquent comme raison 'Adresse IP bloquée statique' et
comme délai d'inactivité et expiration 'N'expire jamais' sont bloqués
définitivement. Vous ne pouvez pas supprimer ou modifier un site bloqué
définitivement depuis cette page. Pour ajouter ou supprimer un site bloqué
définitivement, sélectionnez Pare-feu > Sites bloqués comme décrit dans Bloquer
un site de façon permanente à la page 355.
Ajouter ou modifier des sites bloqués temporairement
Sur la page Sites bloqués État du système, vous pouvez également ajouter ou supprimer des sites bloqués
temporairement à la liste des sites bloqués et modifier l'expiration de ces sites.
Pour ajouter un site bloqué temporairement à la liste des sites bloqués :
1. Cliquez sur Ajouter.
La boîte de dialogue Ajouter un site bloqué temporairement s'affiche.
380
WatchGuard System Manager
Surveiller votre périphérique Firebox
2. Saisissez l'adresse IP du site que vous souhaitez bloquer.
3. Dans la zone de texte et liste déroulante Expirent après, choisissez la durée pendant laquelle le site
doit rester sur la liste des sites bloqués.
4. Cliquez sur OK.
Pour modifier l'expiration pour un site bloqué temporairement :
1. Dans la liste des connexions, sélectionnez le site.
2. Cliquez sur Modifier l’expiration.
La boîte de dialogue Modifier un site bloqué temporairement s'affiche.
3. Dans la zone de texte et liste déroulante Expirent après, choisissez la durée pendant laquelle le site
doit rester sur la liste des sites bloqués.
4. Cliquez sur OK.
Pour supprimer un site bloqué temporairement de la liste des sites bloqués :
1. Sélectionnez le site dans la liste des connexions.
2. Cliquez sur Supprimer.
Le site bloqué est supprimé de la liste.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Sommes de contrôle
Pour afficher la somme de contrôle des fichiers SE (système d'exploitation) actuellement installés sur la
Firebox :
Sélectionnez État du système > Somme de contrôle.
La Firebox calcule la somme de contrôle pour le SE installé. Le calcul de la somme de contrôle peut
prendre quelques minutes à la Firebox. La somme de contrôle s'affiche, avec la date et l'heure à
laquelle le calcul de la somme de contrôle a été achevé.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Connexions
Pour surveiller les connexions vers la Firebox :
Sélectionnez État du système > Connexions.
Guide de l’utilisateur
381
Surveiller votre périphérique Firebox
La page Connexions indique le nombre de connexions traversant la Firebox. Le nombre actuel de
connexions pour chaque protocole apparaît dans la colonne Connexions.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Liste des composants
Pour afficher la liste des composants logiciels installés sur la Firebox :
Sélectionnez État du système > Liste des composants.
La page Composants comporte la liste des logiciels installés sur la Firebox.
La liste des logiciels comprend les informations suivantes :
n
n
n
n
Nom
Version
Génération
Date
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Utilisation du processeur
Pour surveiller l'utilisation du processeur sur la Firebox :
1. Sélectionnez État du système > Utilisation du processeur.
La page Utilisation du processeur comprend des graphiques représentant l'utilisation du processeur
et la charge moyenne sur une certaine durée.
2. Pour voir la valeur correspondant à chaque point de donnée, déplacez votre souris sur les lignes du
graphique.
3. Pour sélectionner une période, cliquez sur la liste déroulante Utilisation du processeur.
n
n
L'axe X indique le nombre de minutes écoulées.
L'axe Y représente le pourcentage de capacité du processeur utilisée.
Une version plus réduite de ce graphique apparaît sur la page Tableau de bord.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Baux DHCP
Pour afficher la liste des baux DHCP pour la Firebox :
Sélectionnez État du système > Baux DHCP.
La page Baux DHCP indique le serveur DHCP et les baux utilisés par la Firebox avec les réservations DHCP.
Interface
L'interface Firebox à laquelle le client est connecté.
Adresse IP
L'adresse IP du bail.
382
WatchGuard System Manager
Surveiller votre périphérique Firebox
Hôte
Le nom de l'hôte. S'il ne s'agit pas d'un nom d'hôte disponible, ce champ est vide.
Adresse MAC
L'adresse MAC associée au bail.
Heure de début
L'heure à laquelle le client a demandé le bail.
Heure de fin
L'heure à laquelle le bail expire.
Type de matériel
Le type de matériel.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Diagnostics
Vous pouvez utiliser la page Diagnostics pour exécuter la commande ping d'une adresse IP ou d'un hôte,
retracer la route vers une adresse IP ou d'un hôte, rechercher des informations DNS concernant l'hôte ou
afficher des informations sur les paquets transmis via votre réseau (TCP dump).
Sélectionnez État du système > Diagnostics.
Exécuter une commande basique de diagnostic
1. Dans la liste déroulante Tâche, sélectionnez la commande que vous souhaitez exécuter :
n
n
n
n
Test Ping
Tracer l’itinéraire
Recherche DNS
TCP Dump
Si vous sélectionnez Ping, Tracer itinéraire ou Recherche DNS, le champ Adresse s'affiche.
Si vous sélectionnez TCP Dump, le champ Interface s'affiche.
Guide de l’utilisateur
383
Surveiller votre périphérique Firebox
2. Dans le champ Adresse, saisissez une adresse IP ou un nom d'hôte.
Sinon, sélectionnez une interface dans la liste déroulante.
3. Cliquez surExécuter la tâche.
La sortie de la commande s'affiche dans la fenêtre Résultats et le bouton Arrêter la tâche s'affiche.
4. Pour arrêter la tâche de diagnostic, cliquez sur Arrêter la tâche.
Utilisation des arguments de commande
1. Dans la liste déroulante Tâche, sélectionnez la commande que vous souhaitez exécuter :
n
n
n
n
Test Ping
Tracer l’itinéraire
Recherche DNS
TCP Dump
2. Cochez la case Options avancées.
Le champ Arguments est activé et le champ Adresse ou Interface est désactivé.
3. Dans le champ Arguments, saisissez les arguments de commande.
Pour voir les arguments disponibles pour une commande, laissez le champ Arguments vide.
4. Cliquez surExécuter la tâche.
La sortie de la commande s'affiche dans la fenêtre Résultats et le bouton Arrêter la tâche s'affiche.
5. Pour arrêter la tâche de diagnostic, cliquez sur Arrêter la tâche.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
DNS dynamique
Pour afficher le tableau des routes DNS dynamiques :
Sélectionnez État du système > DNS dynamique.
La page DNS dynamique contient le tableau des routes DNS dynamiques ainsi que les informations
suivantes :
Nom
Le nom de l'interface.
Utilisateur
Le nom de l'utilisateur du compte DNS dynamique.
Domaine
Le domaine pour lequel le DNS dynamique est fourni.
Système
Le type de service DNS dynamique.
Adresse
L'adresse IP associée avec le domaine.
384
WatchGuard System Manager
Surveiller votre périphérique Firebox
IP
L'adresse IP actuelle de l'interface.
Dernier
L'heure de la dernière mise à jour du DNS.
Prochaine date
La prochaine date programmée d'actualisation du DNS.
État
L'état du DNS dynamique.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Clé de fonctionnalité
Une clé de fonctionnalité est une licence qui vous permet d’utiliser une série de fonctionnalités sur votre
périphérique WatchGuard. Lorsque vous achetez une option ou une mise à niveau et que vous recevez une
nouvelle clé de fonctionnalité, vous améliorez les fonctionnalités du périphérique.
Lorsque vous achetez une nouvelle fonctionnalité
Lorsque vous achetez une nouvelle fonctionnalité pour votre périphérique WatchGuard, il vous faut :
n
n
Obtenir une clé de fonctionnalité auprès de LiveSecurity
Ajouter une clé de fonctionnalité à Firebox
Afficher les fonctionnalités disponibles avec la clé de
fonctionnalité active
Une clé de fonctionnalité est toujours active dans les périphériques WatchGuard. Vous pouvez utiliser
Fireware XTM Web UI pour voir les fonctions disponibles avec cette clé de fonctionnalité. Vous pouvez
également consulter les détails de votre clé de fonctionnalité actuelle.
Les détails disponibles incluent :
n
n
n
n
Le numéro de série du périphérique WatchGuard auquel s’applique la clé de fonctionnalité
L’ID et le nom du périphérique WatchGuard
Le modèle et le numéro de version du périphérique
Les fonctionnalités disponibles
Pour voir les informations concernant les fonctions sous licence pour votre périphérique WatchGuard :
1. Sélectionnez État du système > Clé de fonctionnalité.
La page Clé de fonctionnalité s'affiche, comprenant des informations de base sur les fonctions activées par la
clé de fonctionnalité pour ce périphérique.
Guide de l’utilisateur
385
Surveiller votre périphérique Firebox
2. Pour afficher les informations relatives à chaque fonction, utilisez la barre de défilement de l'onglet
Clé de fonctionnalité.
Les informations suivantes s'affichent :
n
n
n
n
Fonctionnalité – le nom de la fonctionnalité sous licence.
Valeur – la fonctionnalité que cette licence permet d'activer. Par exemple, une capacité ou un
nombre d'utilisateurs.
Expiration – la date d'expiration de la licence.
Temps restant – le nombre de jours restants jusqu'à l'expiration de la licence.
3. Pour voir les détails de la clé de fonctionnalité, cliquez sur l'onglet Texte de la clé de fonctionnalité.
Les fonctionnalités sous licence pour votre périphérique s'affichent.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Interfaces
Pour afficher les informations sur les interfaces de réseau Firebox :
Sélectionnez État du système > Interfaces.
386
WatchGuard System Manager
Surveiller votre périphérique Firebox
La page Interfaces comporte des informations concernant chaque interface :
État de connexion
Si l'interface est active, le mot Actif s’affiche. Si elle n'est pas active, Inactif s'affiche.
Alias
Le nom de l'interface.
Activé(e)
Indique si chaque interface est activée.
Passerelle
La passerelle définie pour chaque interface.
IP
L'adresse IP configurée pour chaque interface.
Adresse MAC
L'adresse MAC pour chaque interface,
Nom
Le numéro d'interface.
Masque réseau
Masque réseau pour chaque interface.
Zone
La zone approuvée pour chaque interface.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
LiveSecurity
Fireware XTM Web UI comporte une page avec les notifications d'alerte les plus récentes envoyées depuis
le service WatchGuard LiveSecurity. Les alertes LiveSecurity vous fournissent des informations relatives au
périphérique, telles que la notification sur les mises à jour logicielles disponibles. Les notifications d’alerte
sont envoyées seulement une fois par jour.
Pour afficher les alertes WatchGuard :
1. Sélectionnez État du système > LiveSecurity.
2. Cliquez sur Réactualiser pour afficher les dernières alertes potentielles.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Mémoire
Pour surveiller l'utilisation de la mémoire sur la Firebox :
Guide de l’utilisateur
387
Surveiller votre périphérique Firebox
1. Sélectionnez État du système > Mémoire.
Un graphique s'affiche indiquant l'utilisation de la mémoire du noyau Linux sur une certaine durée.
2. Pour voir la valeur correspondant à chaque point de donnée, déplacez votre souris sur les lignes du
graphique.
3. Pour sélectionner la durée applicable au graphique, cliquez sur la liste déroulante Mémoire.
n
n
L'axe X indique le nombre de minutes écoulées.
L'échelle de l'axe Y correspond à la quantité de mémoire utilisée en mégaoctets.
Vous pouvez afficher une version plus réduite de ce graphique sur la page Tableau de bord.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Liste d’accès sortants
(Cette fonctionnalité concerne uniquement les périphériques Firebox X Edge e-Series dotés de Fireware XTM.)
La clé de fonctionnalité de votre Firebox X Edge active le périphérique de sorte qu’il dispose d’un nombre
spécifique d’adresses IP avec accès sortant. Vous pouvez utiliserFireware XTM Web UI pour voir le nombre
maximum d’adresses IP autorisées à disposer d’un accès sortant et les adresses IP disposant actuellement
d’un accès sortant. Vous pouvez également supprimer des adresses IP de la liste des accès sortants et en
mettre d’autres à leur place. Cela peut être utile si vous disposez d’un nombre limité d’adresses IP avec
accès sortant. Fireware XTM efface automatiquement toutes les adresses IP de la Liste des accès sortants
toutes les heures.
Des informations sur le nombre maximum d’adresses IP avec accès sortant sont également disponibles sur
votre clé de fonctionnalité. Pour plus d’informations, cf. À propos de les clés de fonctionnalité à la page 52.
Note Cette fonctionnalité concerne uniquement les périphériques Firebox X Edge dotés
de Fireware XTM. Si vous ne possédez pas de périphérique Firebox X Edge avec
Fireware XTM, cette page ne s’affiche pas dans Web UI.
Pour afficher la liste des accès sortants :
1. Sélectionnez État du système> Liste des accès sortants.
La page Liste des accès sortants s’affiche.
2. Pour supprimer une ou plusieurs adresses IP de la liste, sélectionnez les adresses et cliquez sur
Supprimer.
3. Pour supprimer toutes les adresses IP de la liste, cliquez sur Effacer la liste.
4. Pour copier les informations de certains éléments de la liste, sélectionnez les éléments et cliquez
sur Copier.
5. Pour modifier la fréquence de mise à jour des informations sur la page, ajustez le curseur Intervalle
d’actualisation.
6. Pour arrêter temporairement l’actualisation des informations sur la page, cliquez sur Pause.
Processus
Pour afficher la liste des processus exécutables sur la Firebox :
Sélectionnez État du système > Processus.
La page Processus contient des informations sur tous les processus exécutables sur la Firebox.
388
WatchGuard System Manager
Surveiller votre périphérique Firebox
PID
L'ID de processus est un numéro unique qui indique quand le processus a démarré,
NOM
Le nom du processus.
ÉTAT
L'état du processus :
E – en cours d’exécution
V – en veille
D,Z — Inactif
RSS
Le nombre total de kilo-octets de mémoire physique utilisés par le processus.
PARTAGE
Le nombre total de kilo-octets de mémoire partagée utilisés par le processus.
TEMPS
Le temps utilisé par le processus depuis le dernier démarrage du périphérique.
CPU
Le pourcentage de temps de processeur que le processus a utilisé depuis le dernier redémarrage
du périphérique.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Itinéraires
Pour afficher le tableau des routes pour la Firebox :
Sélectionnez État du système > Routes.
Ce tableau comporte les informations suivantes sur chaque route :
Destination
Le réseau pour lequel la route a été créée.
Interface
L'interface associée à la route.
Passerelle
La passerelle utilisée par le réseau.
Indicateur
Les indicateurs définis pour chaque route.
Guide de l’utilisateur
389
Surveiller votre périphérique Firebox
Métrique
La métrique définie pour cette route dans la table de routage.
Masque
Le masque réseau de la route.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Syslog
Vous pouvez utiliser syslog pour afficher les données de journal dans le fichier journal de la Firebox.
Sélectionnez État du système > Syslog.
La page Syslog s'affiche avec les entrées les plus récentes du fichier journal de la Firebox.
Pour plus d'informations sur la manière d'utiliser cette page, voir Utiliser Syslog pour consulter les données
de messages du journal à la page 372.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Gestion du trafic
Pour afficher les statistiques de gestion du trafic :
Sélectionnez État du système > Gestion du trafic.
Les statistiques associées à chaque action de gestion de trafic que vous avez configurée s'affichent.
La page Gestion du trafic comprend les statistiques suivantes :
Action TM
Le nom de l'action de gestion de trafic.
Interface
L'interface de périphérique WatchGuard à laquelle l'action de trafic s'applique.
Octets
Le nombre total d'octets.
Octets/seconde
Le taux actuel d'octets par seconde (estimation de débit).
Paquets
Le nombre total de paquets.
Paquets/seconde
Le taux actuel de paquets par seconde (estimation de débit).
Pour des informations concernant la gestion du trafic, voir À propos de Gestion du trafic et QoS à la page 331.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
390
WatchGuard System Manager
Surveiller votre périphérique Firebox
Statistiques VPN
Pour afficher les statistiques sur les tunnels VPN :
1. Sélectionnez État du système > Statistiques VPN.
Les statistiques de trafic pour chaque VPN de filiale et Mobile VPN avec tunnels IPSec s'affichent.
Pour chaque tunnel VPN, cette page comprend :
Nom
Le nom du tunnel.
Local
L'adresse IP à l'extrémité locale du tunnel.
Distant
L'adresse IP à l'extrémité distante du tunnel.
Passerelle
Les extrémités de passerelle utilisées par ce tunnel.
Paquets entrants
Le nombre de paquets reçus via le tunnel.
Octets entrants
Le nombre d'octets reçus via le tunnel.
Paquets sortants
Le nombre de paquets envoyés via le tunnel.
Octets sortants
Le nombre d'octets envoyés via le tunnel.
Renouvellements de clé
Le nombre de renouvellements de clé pour le tunnel.
2. Pour forcer un tunnel BOVPN à renouveler la clé, sélectionnez un tunnel BOVPN et cliquez sur le
bouton Renouveler la clé du tunnel BOVPN.
Pour plus d’informations, voir Renouveler la clé des tunnels BOVPN à la page 472.
3. Pour obtenir d’autres informations à utiliser pour le dépannage, cliquez sur Débogage.
Il est recommandé d'utiliser cette fonctionnalité lors de la résolution d'un problème VPN avec un
représentant du support technique.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Guide de l’utilisateur
391
Surveiller votre périphérique Firebox
Statistiques sans fil
Pour afficher les statistiques concernant votre réseau sans fil :
Sélectionnez État du système > Statistiques sans fil.
Une synthèse des paramètres de configuration sans fil et de certaines statistiques sur le trafic sans fil
s'affiche.
Cette synthèse comprend :
n
n
n
n
n
Informations concernant la configuration sans fil
Statistiques de l'interface
Clés
Débits
Fréquences
Si votre périphérique est du modèle sans fil WatchGuard XTM 2 Series, vous pouvez également mettre à
jour les informations de pays sans fil pour ce périphérique depuis cette page. Les options disponibles pour
les paramètres radio sans fil dépendent des exigences liées à la réglementation en vigueur dans le pays où
le périphérique détecte qu'il est situé.
Pour mettre à jour les informations sur le pays de la radio sans fil :
Cliquez sur Mettre à jour les informations de pays.
Le périphérique 2 Series contacte un serveur WatchGuard pour déterminer la région d’exploitation active.
Pour plus d'informations sur les paramètres radio sur le périphérique WatchGuard XTM 2 Series, voir
Présentation des paramètres radio sans fil du WatchGuard XTM sans fil Série 2.
Pour plus d'informations concernant les pages État du système, voir Analyser votre Firebox à la page 375.
Connexions aux points d’accès sans fil
Lorsque vous activez la fonctionnalité de point d’accès sans fil pour votre périphérique sans fil WatchGuard
XTM 2 Series ou Firebox X Edge e-Series, vous pouvez voir le nombre de clients sans fil connectés. Vous
pouvez également déconnecter les clients sans fil.
Pour plus d’informations sur l’activation de la fonction point d’accès sans fil, cf. Activer un point d’accès sans fil.
Pour afficher les connexions aux points d’accès sans fil :
1. Connectez-vous à l’interface Fireware XTM Web UI de votre périphérique sans fil.
2. Sélectionnez État du système > Point d’accès sans fil.
L’adresse IP et l’adresse MAC de chaque client sans fil connecté s’affichent.
392
WatchGuard System Manager
Surveiller votre périphérique Firebox
Pour plus d’informations sur la gestion des connexions aux points d’accès sans fil, cf. Afficher les connexions
aux points d’accès sans fil.
Guide de l’utilisateur
393
Surveiller votre périphérique Firebox
Guide de l’utilisateur
394
18 Certificats et autorité de
certification
À propos des certificats
Les certificats font correspondre l’identité d’une personne ou d’une organisation à une méthode
permettant aux tiers de vérifier cette identité et de sécuriser les communications. Ils utilisent une méthode
de chiffrement appelée « paire de clés », qui se compose de deux nombres mathématiquement liés
appelés clé privée et clé publique. Un certificat contient une déclaration d’identité et une clé publique ; il
est signé par une clé privée.
La clé privée servant à signer le certificat peut provenir de la paire de clés utilisée pour générer le certificat
ou d’une autre paire de clés. Si elle provient de la paire de clés utilisée pour créer le certificat, on obtient
ce qu’on appelle un certificat autosigné. Si elle provient d’une autre paire de clés, on obtient un certificat
ordinaire. Les certificats à clés privées qui permettent de signer d’autres certificats sont des certificats d’
autorité de certification. Une autorité de certification est une organisation ou application qui signe et
révoque des certificats.
Si votre organisation dispose d’une infrastructure à clé publique (PKI), vous pouvez signer vous-mêmes les
certificats en temps qu’autorité de certification. La plupart des applications et des périphériques acceptent
automatiquement les certificats des autorités approuvées les plus connues. Ceux qui ne sont pas signés par
des autorités connues, comme les certificats autosignés, ne sont pas acceptés automatiquement par un
grand nombre de serveurs ou de programmes, et ne sont pas compatibles avec certaines fonctionnalités de
Fireware XTM.
Utiliser plusieurs certificats pour établir la confiance
Plusieurs certificats peuvent être utilisés conjointement pour créer une chaîne de confiance. Par exemple,
le certificat d’autorité de certification qui commence la chaîne provient d’une autorité de certification
reconnue et sert à signer un autre certificat émis par une autorité de certification de moindre envergure.
Celle-ci peut alors signer un autre certificat d’autorité de certification, qui est utilisé par votre organisation.
Guide de l’utilisateur
395
Certificats et autorité de certification
Finalement, votre organisation peut utiliser ce certificat d’autorité de certification pour signer le certificat à
utiliser avec la fonctionnalité d’inspection du contenu du proxy HTTPS. Cependant, pour être en mesure
d’utiliser le certificat au bout de la chaîne de confiance, vous devez d’abord importer tous les certificats de
la chaîne dans l’ordre suivant :
1.
2.
3.
4.
le certificat d’autorité de certification d’une autorité reconnue (de type « Autre »)
le certificat d’autorité de certification de l’autorité de moindre envergure (de type « Autre »)
le certificat d’autorité de certification de l’organisation (de type « Autre »)
le certificat utilisé pour chiffrer à nouveau le contenu du proxy HTTPS après l’inspection (de type «
Autorité de proxy HTTPS »)
Il peut également s’avérer nécessaire d’importer l’ensemble de ces certificats sur chaque périphérique
client afin que le dernier certificat soit lui aussi approuvé par les utilisateurs.
Pour plus d’informations, voir Afficher et gérer les certificats FireboxAfficher et gérer les certificats Firebox
à la page 403.
Mode d’utilisation des certificats sur Firebox
Firebox utilise des certificats à diverses fins :
n
n
n
n
n
Les données des sessions de gestion sont sécurisées par un certificat.
Les tunnels BOVPN et Mobile VPN with IPSec peuvent utiliser des certificats pour l’authentification.
Lorsque l’inspection de contenu est activée, le proxy HTTPS utilise un certificat pour chiffrer à
nouveau le trafic HTTPS entrant après l’avoir déchiffré pour inspection.
Vous pouvez utiliser un certificat avec le proxy HTTPS afin de protéger un serveur Web de votre
réseau.
Lorsqu’un utilisateur s’authentifie sur Firebox, quel qu’en soit le motif, par exemple pour
contourner WebBlocker, la connexion est sécurisée à l’aide d’un certificat.
Par défaut, Firebox crée des certificats autosignés pour sécuriser les données des sessions de gestion et les
tentatives d’authentification de Fireware XTM Web UI et de l’inspection de contenu du proxy HTTPS. Pour
garantir l’unicité du certificat utilisé pour l’inspection de contenu HTTPS, son nom comprend le numéro de
série du périphérique et l’heure de création du certificat. Étant donné que ces certificats n’ont pas été
signés par une autorité de certification approuvée, un avertissement s’affiche sur les navigateurs Web des
utilisateurs de votre réseau.
Trois options sont à votre disposition pour supprimer cet avertissement :
1. Vous pouvez importer des certificats signés par une autorité de certification en laquelle votre
organisation a confiance, par exemple une infrastructure à clé publique (PKI) déjà configurée pour
votre organisation, afin d’utiliser ces fonctionnalités. Nous vous recommandons cette option, dans la
mesure du possible.
2. Vous pouvez créer un certificat autosigné personnalisé correspondant au nom et au site de votre
organisation.
3. Vous pouvez utiliser le certificat autosigné par défaut.
Pour les deux dernières options, vous pouvez demander aux clients réseau d’accepter ces certificats
autosignés manuellement lorsqu’ils se connectent à Firebox. Vous pouvez également exporter les
certificats et les distribuer avec les outils de gestion de réseau. Le gestionnaire WatchGuard System
Manager doit être installé pour que vous puissiez exporter des certificats.
396
WatchGuard System Manager
Certificats et autorité de certification
Duréedeviedescertificatset listesderévocation decertificats
(CRL)
Chaque certificat a une durée de vie déterminée au moment de sa création. Lorsqu’il arrive au terme de
cette durée de vie, le certificat expire et ne peut plus être utilisé automatiquement. Vous pouvez
également supprimer manuellement les certificats avec Firebox System Manager.
Parfois, des certificats sont révoqués ou désactivés par l’autorité de certification avant l’expiration de leur
durée de vie. Firebox conserve une liste à jour de ces certificats révoqués, appelée Liste de révocation de
certificats, pour vérifier la validité des certificats utilisés pour l’authentification VPN. Si le gestionnaire
WatchGuard System Manager est installé, cette liste peut être mise à jour manuellement à partir de Firebox
System Manager, ou automatiquement à partir des informations d’un certificat. Chaque certificat comprend
un numéro unique permettant de l’identifier. Si le numéro unique d’un certificat de serveur Web, de
réseau BOVPN ou de Mobile VPN with IPSec correspond à un identifiant de la liste de révocation associée,
Firebox désactive le certificat.
Lorsque l’inspection de contenu est activée sur un proxy HTTPS, Firebox peut interroger le programme de
réponse du protocole OCSP (protocole de vérification en ligne de l’état du certificat) associé aux certificats
utilisés pour signer le contenu HTTPS. Le programme de réponse envoie l’état de révocation du certificat.
Firebox accepte cette réponse de l’OCSP si elle est signée par un certificat qu’il a approuvé. Si la réponse de
l’OCSP n’est pas signée par un certificat de confiance de Firebox, ou si le programme n’envoie pas de
réponse, vous pouvez configurer le périphérique de sorte qu’il accepte ou rejette le certificat d’origine.
Pour plus d’informations sur les options du protocole OCSP, voir Proxy HTTPS : Contenu à la page 309.
Autorités de certification et demandes de signatures
Pour créer un certificat autosigné, vous mettez une partie d’une paire de clés cryptographique dans une
demande de signature de certificat que vous envoyez à une autorité de certification. Il est important
d’utiliser une nouvelle paire de clés pour chaque demande de signature que vous créez. Sur réception de la
demande, l’autorité de certification vérifie votre identité et émet un certificat. Si les logiciels FSM ou
Management Server sont installés, vous pouvez utiliser ces programmes pour créer une demande de
signature de certificat pour votre Firebox. Vous pouvez aussi utiliser d’autres outils, comme OpenSSL ou le
serveur d’autorité de certification de Microsoft, livré avec tous les systèmes d’exploitation Windows Server.
Si vous souhaitez créer un certificat pour utiliser la fonctionnalité d’inspection de contenu du proxy HTTPS, il
doit s’agir d’un certificat d’autorité de certification capable de signer à son tour d’autres certificats. Si vous
créez une demande de signature de certificat dans Firebox System Manager et qu’elle est signée par une
autorité de certification reconnue, elle peut servir de certificat d’autorité de certification.
Si aucune infrastructure à clé publique (PKI) n’est en place dans votre organisation, nous vous
recommandons de choisir une autorité de certification reconnue pour signer les demandes de signature
que vous utilisez, sauf pour les certificats d’autorité de certification relatifs au proxy HTTPS. Si une autorité
de certification reconnue signe vos certificats, ceux-ci sont automatiquement approuvés par la majorité des
utilisateurs. WatchGuard a testé les certificats signés par VeriSign, Entrust et RSA KEON, ainsi que par le
serveur d’autorité de certification de Microsoft. Vous pouvez aussi importer d’autres certificats afin que
votre Firebox approuve d’autres autorités de certification.
Guide de l’utilisateur
397
Certificats et autorité de certification
Pour obtenir la liste complète des autorités de certification approuvées automatiquement, voir Autorités de
certification approuvées par Firebox à la page 398.
Créer une demande de signature de certificat à l’aide d’OpenSSL
Autorités de certification approuvées par Firebox
Par défaut, votre périphérique approuve la plupart des autorités de certification déjà reconnues par les
navigateurs Web modernes. Nous vous recommandons d’importer les certificats signés par une autorité de
certification dans cette liste pour le proxy HTTPS ou pour le Web UI de Fireware XTM, afin que les
avertissements concernant les certificats ne s’affichent plus sur les navigateurs Web des utilisateurs qui se
servent de ces fonctionnalités. Toutefois, vous pouvez aussi importer les certificats d’autres autorités de
certification afin que vos certificats puissent être approuvés.
Si le gestionnaire WatchGuard System Manager est installé, une copie de chaque certificat est stockée sur
votre disque dur à l’adresse :
C:\Documents and Settings\WatchGuard\wgauth\certs\README
Liste des autorités de certification
C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority - G2,
OU=(c) 1998 VeriSign, Inc. - For authorized use only, OU=VeriSign Trust
Network
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification
Services Division, CN=Thawte Personal Premium CA/[email protected]
C=ES, L=C/ Muntaner 244 Barcelona, CN=Autoridad de Certificacion
Firmaprofesional CIF A62634068/[email protected]
C=HU, ST=Hungary, L=Budapest, O=NetLock Halozatbiztonsagi Kft.,
OU=Tanusitvanykiadok, CN=NetLock Kozjegyzoi (Class A) Tanusitvanykiado
C=ZA, ST=Western Cape, L=Durbanville, O=Thawte, OU=Thawte Certification,
CN=Thawte Timestamping CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.
- For authorized use only, CN=VeriSign Class 4 Public Primary Certification
Authority - G3
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Qualified CA Root
C=DK, O=TDC Internet, OU=TDC Internet Root CA
C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority G2, OU=(c) 1998 VeriSign, Inc. - For authorized use only, OU=VeriSign Trust
Network
C=US, O=Wells Fargo, OU=Wells Fargo Certification Authority, CN=Wells Fargo
Root Certificate Authority
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
CN=Test-Only Certificate
C=US, O=Entrust, Inc., OU=www.entrust.net/CPS is incorporated by reference,
OU=(c) 2006 Entrust, Inc., CN=Entrust Root Certification Authority
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Class 1 CA Root
C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO
Certification Authority
O=RSA Security Inc, OU=RSA Security 2048 V3
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification
398
WatchGuard System Manager
Certificats et autorité de certification
Services Division, CN=Thawte Personal Basic CA/[email protected]
C=FI, O=Sonera, CN=Sonera Class1 CA
O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server
CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97
VeriSign
C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA
C=US, O=Equifax Secure Inc., CN=Equifax Secure eBusiness CA-1
C=JP, O=SECOM Trust.net, OU=Security Communication RootCA1
C=US, O=America Online Inc., CN=America Online Root Certification Authority 1
C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok,
CN=NetLock Uzleti (Class B) Tanusitvanykiado
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN - DATACorp SGC
C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA
C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority
C=CH, O=SwissSign AG, CN=SwissSign Gold CA - G2
C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority
C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.
- For authorized use only, CN=VeriSign Class 3 Public Primary Certification
Authority - G3
C=US, OU=www.xrampsecurity.com, O=XRamp Security Services Inc, CN=XRamp
Global Certification Authority
C=PL, O=Unizeto Sp. z o.o., CN=Certum CA
C=US, O=Entrust.net, OU=www.entrust.net/CPS incorp. by ref. (limits liab.),
OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Secure Server Certification
Authority
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 3 Policy
Validation Authority,
CN=http://www.valicert.com//[email protected]
C=CH, O=SwissSign AG, CN=SwissSign Platinum CA - G2
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
O=Digital Signature Trust Co., CN=DST Root CA X3
C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root
Certification Authority 1
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Secure
Certificate Services
O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at
https://www.verisign.com/rpa (c)00, CN=VeriSign Time Stamping Authority CA
O=Entrust.net, OU=www.entrust.net/GCCA_CPS incorp. by ref. (limits liab.),
OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Client Certification
Authority
C=US, O=SecureTrust Corporation, CN=Secure Global CA
C=US, O=Equifax, OU=Equifax Secure Certificate Authority
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - RSA Implementation
C=WW, O=beTRUSTed, CN=beTRUSTed Root CAs, CN=beTRUSTed Root CA
C=US, O=GeoTrust Inc., CN=GeoTrust Primary Certification Authority
C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification
Services Division, CN=Thawte Premium Server CA/[email protected]
C=US, O=SecureTrust Corporation, CN=SecureTrust CA
Guide de l’utilisateur
399
Certificats et autorité de certification
OU=Extended Validation CA, O=GlobalSign, CN=GlobalSign Extended Validation CA
C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 2
C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Root CA
C=IL, ST=Israel, L=Eilat, O=StartCom Ltd., OU=CA Authority Dep., CN=Free SSL
Certification Authority/[email protected]
C=US, O=VISA, OU=Visa International Service Association, CN=Visa eCommerce
Root
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - Entrust
Implementation
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc.
- For authorized use only, CN=VeriSign Class 3 Public Primary Certification
Authority - G5
C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA Chained CAs Certification
Authority, CN=IPS CA Chained CAs Certification
Authority/[email protected]
DC=com, DC=microsoft, DC=corp, DC=redmond, CN=Microsoft Secure Server
Authority
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 3
C=TW, O=Government Root Certification Authority
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Trusted
Certificate Services
C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA 2
C=US, O=Entrust.net, OU=www.entrust.net/Client_CA_Info/CPS incorp. by ref.
limits liab., OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Client
Certification Authority
C=FR, O=Certplus, CN=Class 2 Primary CA
C=US, O=Starfield Technologies, Inc., OU=Starfield Class 2 Certification
Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification
Services Division, CN=Thawte Personal Freemail CA/[email protected]
O=Entrust.net, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.),
OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority
(2048)
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA CLASEA1 Certification
Authority, CN=IPS CA CLASEA1 Certification
Authority/[email protected]
C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root
Certification Authority 2
C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority G2, OU=(c) 1998 VeriSign, Inc. - For authorized use only, OU=VeriSign Trust
Network
C=US, O=VISA, OU=Visa International Service Association, CN=GP Root 2
C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at
https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended Validation
SSL CA
C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org,
400
WatchGuard System Manager
Certificats et autorité de certification
CN=Global Chambersign Root
C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks
GmbH, OU=TC TrustCenter Class 2 CA/[email protected]
C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust
Global Root
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at
https://www.verisign.com/rpa (c)05, CN=VeriSign Class 3 Secure Server CA
C=US, O=GTE Corporation, CN=GTE CyberTrust Root
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.
- For authorized use only, CN=VeriSign Class 1 Public Primary Certification
Authority - G3
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN-USERFirst-Network Applications
C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok,
CN=NetLock Minositett Kozjegyzoi (Class QA)
Tanusitvanykiado/[email protected]
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.
- For authorized use only, CN=VeriSign Class 2 Public Primary Certification
Authority - G3
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X2,
CN=DST RootCA X2/[email protected]
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA CLASE3 Certification
Authority, CN=IPS CA CLASE3 Certification
Authority/[email protected]
O=RSA Security Inc, OU=RSA Security 1024 V3
C=US, O=Equifax Secure, OU=Equifax Secure eBusiness CA-2
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte,
Inc. - For authorized use only, CN=thawte Primary Root CA
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X1,
CN=DST RootCA X1/[email protected]
C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification
Services Division, CN=Thawte Server CA/[email protected]
C=US, O=VeriSign, Inc., OU=Class 4 Public Primary Certification Authority G2, OU=(c) 1998 VeriSign, Inc. - For authorized use only, OU=VeriSign Trust
Network
C=NL, O=DigiNotar, CN=DigiNotar Root CA/[email protected]
C=US, O=America Online Inc., CN=America Online Root Certification Authority 2
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA Timestamping Certification
Authority, CN=IPS CA Timestamping Certification
Authority/[email protected]
C=US, O=DigiCert Inc., CN=DigiCert Security Services CA
C=US, O=Digital Signature Trust, OU=DST ACES, CN=DST ACES CA X6
C=DK, O=TDC, CN=TDC OCES CA
C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA CLASEA3 Certification
Authority, CN=IPS CA CLASEA3 Certification
Authority/[email protected]
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN-USERFirst-Client Authentication and Email
Guide de l’utilisateur
401
Certificats et autorité de certification
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=AAA
Certificate Services
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 1 Policy
Validation Authority,
CN=http://www.valicert.com//[email protected]
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA CLASE1 Certification
Authority, CN=IPS CA CLASE1 Certification
Authority/[email protected]
C=BM, O=QuoVadis Limited, OU=Root Certification Authority, CN=QuoVadis Root
Certification Authority
C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority
C=CH, O=SwissSign AG, CN=SwissSign Silver CA - G2
C=US, O=Digital Signature Trust Co., OU=DSTCA E2
C=US, O=Digital Signature Trust Co., OU=DSTCA E1
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc.,
OU=http://certificates.godaddy.com/repository, CN=Go Daddy Secure
Certification Authority/serialNumber=07969287
C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org,
CN=Chambers of Commerce Root
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root
CA
C=US, ST=DC, L=Washington, O=ABA.ECOM, INC., CN=ABA.ECOM Root
CA/[email protected]
C=ES, ST=BARCELONA, L=BARCELONA, O=IPS Seguridad CA, OU=Certificaciones,
CN=IPS SERVIDORES/[email protected] système IPS.es
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA
C=ch, O=Swisscom, OU=Digital Certificate Services, CN=Swisscom Root CA 1
CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet
Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=ANKARA, O=(c) 2005
T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim
G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E.
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc.
- For authorized use only, CN=VeriSign Class 3 Public Primary Certification
Authority - G5
C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks
GmbH, OU=TC TrustCenter Class 3 CA/[email protected]
C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok,
CN=NetLock Expressz (Class C) Tanusitvanykiado
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN-USERFirst-Object
C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certification Authority
C=US, O=Akamai Technologies Inc, CN=Akamai Subordinate CA 3
C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Public CA Root
CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet
Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=Ankara, O=T\xC3\x9CRKTRUST
Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi
Hizmetleri A.\xC5\x9E. (c) Kas\xC4\xB1m 2005
C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at
402
WatchGuard System Manager
Certificats et autorité de certification
https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended Validation
SSL SGC CA
O=Entrust.net, OU=www.entrust.net/SSL_CPS incorp. by ref. (limits liab.),
OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Secure Server Certification
Authority
CN=Microsoft Internet Authority
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 2 Policy
Validation Authority,
CN=http://www.valicert.com//[email protected]
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware
C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External
CA Root
C=FI, O=Sonera, CN=Sonera Class2 CA
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA-Baltimore
Implementation
C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom
Certification Authority
Afficher et gérer les certificats Firebox
Vous pouvez utiliser Fireware XTM Web UI pour afficher et gérer vos certificats Firebox. Vous pouvez
notamment :
n
n
n
n
Afficher la liste des certificats actuels de Firebox et leurs propriétés
Importer un certificat
Sélectionner un certificat de serveur Web pour l’authentification sur Firebox
Sélectionner un certificat à utiliser avec un réseau BOVPN ou Mobile User
Note Vous devez utiliser Firebox System Manager (FSM) pour créer des demandes de
signature de certificat, importer des listes de révocation de certificats ou retirer ou
supprimer des certificats.
Pour plus d’informations, voir le système d’aide du gestionnaire WatchGuard
System Manager.
Consulter les certificats actuels
Pour afficher la liste actuelle des certificats :
1. Sélectionnez Système > Certificats.
La liste Certificats s’affiche avec l’ensemble des certificats et des demandes de signature de certificat.
Cette liste contient :
n
n
n
l’état et le type du certificat ;
l’algorithme utilisé par le certificat ;
le nom de l’objet ou l’identificateur du certificat.
Par défaut, les certificats d’autorités de certification approuvées ne figurent pas sur la liste.
2. Pour afficher l’ensemble des certificats des autorités de certification approuvées, activez la case à
cocher Afficher les autorités de certification approuvées pour le proxy HTTPS.
Guide de l’utilisateur
403
Certificats et autorité de certification
3. Pour masquer les certificats des autorités de certification approuvées, désactivez la case à cocher
Afficher les autorités de certification approuvées pour le proxy HTTPS.
Importer un certificat à partir d’un fichier
Vous pouvez importer un certificat depuis le presse-papier de Windows ou depuis un fichier de votre
ordinateur local. Les certificats doivent être au format PEM (base 64). Avant d’importer un certificat afin de
l’utiliser avec la fonctionnalité d’inspection de contenu du proxy HTTPS, vous devez importer chaque
certificat le précédant dans la chaîne de confiance avec le type« Autre ». Cela configure Firebox pour qu’il
approuve le certificat. Vous devez importer ces certificats du premier au dernier, ou du plus connu au
moins connu, afin que Firebox puisse connecter correctement les certificats de la chaîne de confiance.
Pour de plus amples informations, cf. À propos des certificats à la page 395 et Utiliser des certificats pour le
proxy HTTPS à la page 407.
1. Sélectionnez Système > Certificats.
La page Certificats s’ouvre.
2. Cliquez sur Importer.
3. Sélectionnez l’option qui correspond à la fonction du certificat :
n
n
n
n
404
Autorité de proxy HTTPS (pour inspection avancée des paquets) : sélectionnez cette option si
le certificat est destiné à une stratégie de proxy HTTPS qui gère le trafic Web demandé par les
utilisateurs de réseaux approuvés ou facultatifs depuis le serveur Web d’un réseau externe. Le
certificat que vous importez à cet effet doit être un certificat d’autorité de certification. Avant
d’importer le certificat d’autorité de certification permettant de chiffrer à nouveau le trafic sur
le proxy HTTPS, vérifiez que vous avez importé le certificat d’autorité de certification utilisé
pour signer ce certificat dans la catégorie « Autre ».
Serveur proxy HTTPS : sélectionnez cette option si le certificat est destiné à une stratégie de
proxy HTTPS qui gère le trafic Web demandé par les utilisateurs d’un réseau externe depuis un
serveur Web protégé par le Firebox. Avant d’importer le certificat d’autorité de certification
permettant de chiffrer à nouveau le trafic d’un serveur Web HTTPS, vérifiez que vous avez
importé le certificat d’autorité de certification utilisé pour signer ce certificat dans la catégorie
« Autre » .
Autorité de certification pour proxy HTTPS : sélectionnez cette option pour les certificats
utilisés pour approuver le trafic HTTPS qui n’est pas de nouveau chiffré par le proxy HTTPS, par
exemple un certificat racine ou un certificat d’autorité de certification intermédiaire
permettant de signer le certificat d’un serveur Web externe.
IPSec, serveur Web, autre : sélectionnez cette option si le certificat est destiné à
l’authentification ou à d’autres fins, ou si vous souhaitez importer un certificat pour créer la
chaîne de confiance d’un certificat permettant de chiffrer à nouveau le trafic réseau à l’aide
d’un proxy HTTPS.
WatchGuard System Manager
Certificats et autorité de certification
4. Copiez et collez le contenu du certificat dans la grande zone de texte. Si le fichier contient une clé
privée, entrez le mot de passe permettant de déchiffrer la clé.
5. Cliquez sur Importer un certificat.
Le certificat est ajouté à Firebox.
Utiliser un certificat de serveur Web pour l’authentification
Pour utiliser un certificat tiers à cet effet, vous devez commencer par importer le certificat. Consultez la
procédure précédente pour en savoir plus. Si vous utilisez un certificat personnalisé signé par Firebox, nous
vous recommandons d’exporter le certificat, puis de l’importer sur chaque périphérique client qui se
connecte à Firebox.
1. Sélectionnez Authentification > Certificat de serveur Web.
La page Certificat du serveur Web d’authentification s’ouvre.
2. Pour utiliser un certificat tiers préalablement importé, sélectionnez Certificat tiers et sélectionnez
le certificat souhaité dans la liste déroulante.
Cliquez sur Enregistrer et ne vous occupez pas des autres étapes de cette procédure.
3. Pour créer un nouveau certificat pour l’authentification de Firebox, sélectionnez Certificat
personnalisé signé par Firebox.
4. Entrez le nom de domaine ou l’adresse IP d’une interface de votre Firebox dans la zone de texte en
bas de la boîte de dialogue. Cliquez sur Ajouter. Lorsque vous avez entré tous les noms de domaine
souhaités, cliquez sur OK.
5. Entrez le nom commun de votre organisation. Il s’agit habituellement de votre nom de domaine.
Vous pouvez aussi entrer un nom d’organisation et un nom d’unité d’organisation (tous deux
facultatifs) pour identifier l’élément de votre organisation qui a créé le certificat.
6. Cliquez sur Enregistrer.
Créer une demande de signature de certificat à
l’aide d’OpenSSL
Pour créer un certificat, vous devez d’abord créer une demande de signature de certificat. Vous pouvez
envoyer votre demande à une autorité de certification, ou l’utiliser pour créer un certificat autosigné.
Utiliser OpenSSL pour générer une demande de signature de
certificat
OpenSSL est installé avec un maximum de distributions GNU/Linux. Pour télécharger le code source ou un
fichier binaire Windows, accédez au site http://www.openssl.org/ et suivez les consignes d’installation pour
votre système d’exploitation. Vous pouvez utiliser OpenSSL pour convertir des certificats et des demandes
de signature de certificat d’un format à un autre. Pour plus d’informations, voir la page principale ou la
documentation en ligne OpenSSL.
1. Ouvrez un terminal de Command Line Interface.
2. Pour générer un fichier de clé privée nommé privkey.pem dans votre répertoire de travail actuel,
entrez :
openssl genrsa -out privkey.pem 1024
Guide de l’utilisateur
405
Certificats et autorité de certification
3. Entrez :
openssl req -new -key privkey.pem -out request.csr
Cette commande génère une demande de signature de certificat au format PEM dans votre répertoire de
travail actuel.
4. Lorsque vous êtes invité à fournir les données d’attribut Nom commun x509, tapez votre nom de
domaine complet (FQDN). Utilisez d’autres informations, le cas échéant.
5. Suivez les instructions provenant de votre autorité de certification pour envoyer la demande de
signature de certificat.
Pour créer un certificat autosigné temporaire en attendant que l’autorité de certification retourne votre
certificat signé :
1. Ouvrez un terminal de Command Line Interface.
2. Entrez :
openssl x509 -req -days 30 -in request.csr -key privkey.pem -out sscert.cert
Cette commande crée au sein de votre répertoire actuel un certificat qui expirera dans 30 jours ; il est
généré à partir de la clé privée et de la demande de signature que vous avez créée dans la procédure
précédente.
Note Vous ne pouvez pas utiliser un certificat autosigné pour l’authentification de
passerelle distante VPN. Il est conseillé d’utiliser des certificats signés par une
autorité de certification approuvée.
Signer un certificat avec l’autorité de certification
Microsoft
Bien que vous puissiez créer un certificat autosigné à l’aide de Firebox System Manager ou d’autres outils,
vous pouvez également créer un certificat à l’aide de l’autorité de certification Microsoft.
Chaque demande de signatures de certificat doit être signée par une autorité de certification pour pouvoir
être utilisée pour l’authentification. En créant un certificat à partir de cette procédure, vous agissez en tant
qu’autorité de certification et signez numériquement votre propre demande de signature. Cependant, pour
des raisons de compatibilité, il est conseillé d’envoyer la demande de signature de certificat à une autorité de
certification connue. Les certificats racine de ces organisations sont installés par défaut avec la plupart des
navigateurs et des périphériques WatchGuard. Par conséquent, vous n’aurez pas à les distribuer vous-même.
La plupart des systèmes d’exploitation Windows Server vous permettent de remplir une demande de
signature de certificat et de créer un certificat. Les instructions suivantes sont conçues pour Windows
Server 2003.
Envoyer la demande de certificat
1. Ouvrez votre navigateur Web. Dans la barre d’adresses, entrez l’adresse IP du serveur sur lequel est
installée l’autorité de certification, suivie de certsrv .
Par exemple : http://10.0.2.80/certsrv
2. Cliquez sur le lien Demander un certificat.
3. Cliquez sur le lien Demande de certificat avancée.
4. Cliquez sur Soumettre une demande de certificat ou de renouvellement.
406
WatchGuard System Manager
Certificats et autorité de certification
5. Collez le contenu de votre fichier de demande de signature de certificat dans la zone de texte
Demande enregistrée.
6. Cliquez sur OK.
7. Fermez votre navigateur Web.
Délivrer le certificat
1. Connectez-vous au serveur sur lequel est installée l’autorité de certification, si nécessaire.
2. Sélectionnez Démarrer > Panneau de configuration > Outils d’administration > Autorité de
certification.
3. Dans l’arborescence Autorité de certification (locale), sélectionnez Votre nom de domaine >
Demandes en attente.
4. Sélectionnez la demande de signature de certificat dans le volet de navigation de droite.
5. Dans le menu Action, sélectionnez Toutes les tâches > Délivrer.
6. Fermez la fenêtre de l’autorité de certification.
Télécharger le certificat
1. Ouvrez votre navigateur Web. Dans la barre d’adresses, entrez l’adresse IP du serveur sur lequel est
installée l’autorité de certification, suivie de certsrv.
Exemple : http://10.0.2.80/certsrv
2. Cliquez sur le lien Afficher le statut d’une requête de certificat en attente.
3. Cliquez sur la demande de certificat correspondant à la date et à l’heure de votre envoi.
4. Activez la case d’option Codé en base 64 pour sélectionner le format PKCS10 ou PKCS7.
5. Cliquez sur Télécharger le certificat pour enregistrer le certificat sur votre disque dur.
L’autorité de certification est distribuée sous la forme d’un composant de Windows Server 2003. Si elle ne
figure pas dans le dossier Outils d’administration du Panneau de configuration, suivez les instructions du
fabricant pour l’installer.
Utiliser des certificats pour le proxy HTTPS
De nombreux sites Web utilisent des protocoles HTTP et HTTPS en parallèle pour envoyer des informations
aux utilisateurs. Si l’on peut facilement examiner le trafic HTTP, le trafic HTTPS est chiffré. Pour examiner le
trafic HTTPS demandé par un utilisateur de votre réseau, vous devez configurer Firebox de sorte qu’il
déchiffre l’information, puis le chiffre à l’aide d’un certificat signé par une autorité de certification
approuvée par chaque utilisateur du réseau.
Par défaut, Firebox chiffre à nouveau le contenu inspecté à l’aide d’un certificat autosigné qui est généré
automatiquement. Un avertissement concernant le certificat s’affiche chez les utilisateurs qui n’ont pas de
copie de ce certificat lorsqu’ils se connectent à un site Web sécurisé à partir de HTTPS. Si le site Web distant
utilise un certificat périmé, ou si le certificat est signé par une autorité de certification que Firebox ne
reconnaît pas, le périphérique signe à nouveau le contenu en tant que proxy HTTPS Fireware : Certificat
non reconnu ou simplement Certificat non valide.
Cette section comprend des informations sur la manière d’exporter un certificat à partir de Firebox et de
l’importer sur un système Microsoft Windows ou Mac OS X afin de fonctionner sur un proxy HTTPS. Pour
importer le certificat sur d’autres périphériques, systèmes d’exploitation ou applications, voir la
documentation fournie par leurs fabricants.
Guide de l’utilisateur
407
Certificats et autorité de certification
Protéger un serveur HTTPS privé
Pour protéger un serveur HTTPS de votre réseau, vous devez tout d’abord importer le certificat d’autorité
de certification utilisé pour signer le certificat du serveur HTTPS. Ensuite, importez le certificat du serveur
HTTPS avec la clé privée associée. Si le certificat d’autorité de certification utilisé pour signer le certificat de
serveur HTTPS n’est pas automatiquement approuvé, vous devez importer chaque certificat approuvé dans
l’ordre pour que cette option fonctionne correctement. Une fois tous les certificats importés, configurez le
proxy HTTPS.
Dans Fireware XTM Web UI :
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
La page Stratégies de pare-feu s’affiche.
2. Cliquez sur Ajouter.
La page Sélectionner un type de stratégie s’affiche.
3.
4.
5.
6.
7.
8.
9.
10.
Développez la catégorie Proxys et sélectionnez HTTPS-proxy.
Cliquez sur Ajouter une stratégie.
Sélectionnez l’onglet Contenu.
Activez la case à cocher Activer l’inspection avancée du contenu HTTPS.
Choisissez l’action de proxy HTTP à utiliser pour inspecter le contenu HTTPS.
Désactivez les deux cases à cocher concernant la validation de l’OSCP.
Dans la liste Ignorer, entrez l’adresse IP des sites Web dont vous ne souhaitez pas inspecter le trafic.
Cliquez sur Enregistrer.
Pour de plus amples informations, cf. Afficher et gérer les certificats FireboxAfficher et gérer les certificats
Firebox à la page 403.
Examiner le contenu des serveurs HTTPS externes
Note Si d’autres trafics utilisent le port HTTPS, comme le trafic VPN SSL, nous vous
recommandons d’évaluer attentivement la fonctionnalité d’inspection du contenu.
Le proxy HTTPS essaie d’examiner tous les trafics transitant par le port TCP 443 de
la même manière. Pour garantir le bon fonctionnement des autres sources de
trafic, nous vous recommandons d’ajouter leurs adresses IP dans la liste Ignorer.
Pour de plus amples informations, cf. Proxy HTTPS : Inspection du contenuProxy
HTTPS : Contenu à la page 309.
Si votre organisation possède déjà une infrastructure à clé publique (PKI) configurée avec une autorité de
certification approuvée, vous pouvez importer dans Firebox un certificat signé par l’autorité de certification
de votre organisation. Si le certificat d’autorité de certification n’est pas automatiquement approuvé, vous
devez importer chaque certificat le précédant dans la chaîne de confiance pour que cette option
fonctionne correctement. Pour de plus amples informations, cf. Afficher et gérer les certificats
FireboxAfficher et gérer les certificats Firebox à la page 403.
Avant d’activer cette fonctionnalité, nous vous recommandons de fournir le ou les certificats utilisés pour
signer le trafic HTTPS à tous les clients de votre réseau. Vous pouvez joindre les certificats à un courrier
408
WatchGuard System Manager
Certificats et autorité de certification
électronique d’instructions ou utiliser le logiciel de gestion de réseau pour installer automatiquement les
certificats. Nous vous recommandons également de tester le proxy HTTPS pour un petit nombre
d’utilisateurs afin de vous assurer qu’il fonctionne correctement avant d’appliquer le proxy au trafic d’un
réseau plus important.
Si votre organisation ne dispose pas d’une infrastructure à clé publique, vous devez copier le certificat par
défaut ou un certificat autosigné personnalisé dans Firebox pour chaque périphérique client.
Dans Fireware XTM Web UI :
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
La page Stratégies de pare-feu s’affiche.
2. Cliquez sur Ajouter.
La page Sélectionner un type de stratégie s’affiche.
3.
4.
5.
6.
7.
8.
9.
10.
Développez la catégorie Proxys et sélectionnez HTTPS-proxy.
Cliquez sur Ajouter une stratégie.
Sélectionnez l’onglet Contenu.
Activez la case à cocher Activer l’inspection avancée du contenu HTTPS.
Choisissez l’action de proxy HTTP à utiliser pour inspecter le contenu HTTPS.
Sélectionnez les options souhaitées pour la validation du certificat OCSP.
Dans la liste Ignorer, entrez l’adresse IP des sites Web dont vous ne souhaitez pas inspecter le trafic.
Cliquez sur Enregistrer.
Lorsque vous activez l’inspection de contenu, les paramètres WebBlocker concernant les actions de proxy
HTTP annulent les paramètres WebBlocker pour le proxy HTTPS. Si vous ajoutez des adresses IP à la liste
Ignorer, le trafic de ces sites est filtré par les paramètres WebBlocker du proxy HTTPS.
Pour plus d’informations sur la configuration de WebBlocker, voir À propos de WebBlocker à la page 577.
Exporter le certificat d’inspection de contenu de HTTPS
Cette procédure permet d’exporter un certificat de Firebox au format PEM.
1. Ouvrez Firebox System Manager et connectez-vous à Firebox.
2. Sélectionnez Afficher > Certificats.
3. Sélectionnez le certificat d’autorité de certification de l’autorité de proxy HTTPS dans la liste et
cliquez sur Exporter.
4. Entrez un nom et spécifiez l’emplacement de destination de l’enregistrement local du certificat.
5. Copiez le certificat enregistré sur la machine cliente.
Si le certificat de proxy HTTPS utilisé pour l’inspection de contenu requiert un autre certificat racine ou
intermédiaire d’autorité de certification avant de pouvoir être approuvé par les clients réseau, vous devez
également exporter ces certificats. Vous pouvez aussi copier les certificats depuis leur source d’origine
pour les distribuer.
Si vous avez déjà importé le certificat sur un client, vous pouvez exporter ce certificat directement depuis
le magasin de certificats du système d’exploitation ou du navigateur. Dans la plupart des cas, cela exporte le
certificat au format x.509. Les utilisateurs de Windows et de Mac OS X peuvent double-cliquer sur un
certificat au format x.509 pour l’importer.
Guide de l’utilisateur
409
Certificats et autorité de certification
Importer les certificats sur les périphériques clients
Pour utiliser les certificats que vous avez installés dans Firebox sur les périphériques clients, vous devez les
exporter depuis FSM, puis les importer sur chaque client.
Pour de plus amples informations, cf. Importer un certificat sur un périphérique client à la page 414.
Dépanner les problèmes de l’inspection de contenu HTTPS
Firebox crée souvent des messages de journaux en cas de problème avec un certificat utilisé pour
l’inspection de contenu HTTPS. Nous vous recommandons de consulter ces messages de journaux pour
obtenir de plus amples informations.
Si les connexions aux serveurs Web distants sont fréquemment interrompues, vérifiez que vous avez bien
importé tous les certificats nécessaires pour approuver le certificat d’autorité de certification utilisé pour
chiffrer à nouveau le contenu HTTPS, ainsi que les certificats nécessaires pour approuver le certificat du
serveur Web d’origine. Vous devez importer tous ces certificats dans Firebox et sur chaque périphérique
client pour que les connexions s’établissent.
Utiliser des certificats pour un tunnel Mobile VPN
with IPSec authentification
Lorsqu’un tunnel Mobile VPN est créé, l’identité de chaque point de terminaison doit être vérifiée par une
clé. Cette clé peut être un mot de passe ou une clé pré-partagée (PSK) connu(e) par les deux points de
terminaison, ou un certificat de Management Server. Le périphérique WatchGuard doit être un client géré
afin d’utiliser un certificat pour l’authentification Mobile VPN. Vous devez utiliser le gestionnaire
WatchGuard System Manager pour configurer votre périphérique WatchGuard en tant que client géré.
Pour plus d’informations, voir l’Aide du gestionnaire WatchGuard System Manager.
Pour utiliser des certificats pour un nouveau tunnel Mobile VPN with IPSec :
1.
2.
3.
4.
5.
Sélectionnez VPN > Mobile VPN with IPSec.
Cliquez sur Ajouter.
Cliquez sur l’onglet Tunnel IPSec.
Dans la section Tunnel IPSec, sélectionnez Utiliser un certificat.
Dans la zone de texte Adresse IP de l’autorité de certification, entrez l’adresse IP de Management
Server.
6. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai en secondes pendant lequel
le client Mobile VPN with IPSec doit attendre une réponse de l’autorité de certification avant de
cesser ses tentatives de connexion. Il est conseillé de conserver la valeur par défaut.
7. Terminez la configuration du groupe Mobile VPN.
Pour plus d’informations, voir Configurer Firebox pour Mobile VPN with IPSec à la page 500.
Pour utiliser des certificats pour l’authentification d’un tunnel Mobile VPN existant :
1. Sélectionnez VPN > Mobile VPN with IPSec.
2. Sélectionnez le groupe Mobile VPN que vous souhaitez modifier. Cliquez sur Modifier.
3. Cliquez sur l’onglet Tunnel IPSec.
410
WatchGuard System Manager
Certificats et autorité de certification
4. Dans la section Tunnel IPSec, sélectionnez Utiliser un certificat.
5. Dans la zone de texte Adresse IP de l’autorité de certification, entrez l’adresse IP de Management
Server.
6. Dans la zone de texte Délai d’inactivité, entrez ou sélectionnez le délai en secondes pendant lequel
le client Mobile VPN with IPSec doit attendre une réponse de l’autorité de certification avant de
cesser ses tentatives de connexion. Il est conseillé de conserver la valeur par défaut.
7. Cliquez sur Enregistrer.
Lorsque vous utilisez des certificats, vous devez donner trois fichiers à chaque utilisateur de Mobile VPN :
n
n
n
Le profil de l’utilisateur final (.wgx)
Le certificat client (.p12)
Le certificat racine de l’autorité de certification (.pem)
Copiez tous les fichiers dans le même répertoire. Lorsqu’un utilisateur de Mobile VPN importe le fichier
.wgx, les certificats client et racine contenus dans les fichiers cacert.pem et .p12 sont automatiquement
chargés.
Pour plus d’informationssur Mobile VPN withIPSec, voir À proposde MobileVPN withIPSec IPSec à lapage 497.
Utiliser un certificat pour l’authentification
d’accès au tunnel BOVPN
Lorsqu’un tunnel BOVPN est créé, le protocole IPSec contrôle l’identité de chaque point de terminaison à
l’aide d’une clé pré-partagée (PSK) ou d’un certificat importé ou stocké sur Firebox.
Pour utiliser un certificat pour l’authentification d’accès au tunnel BOVPN :
1. Sélectionnez VPN > Branch Office VPN.
2. Dans la section Passerelles, cliquez surAjouter pour créer une nouvelle passerelle.
Sinon, sélectionnez une passerelle existante et cliquez sur Modifier.
3. Sélectionnez Utiliser le Firebox Certificate IPSec.
4. Sélectionnez le certificat que vous souhaitez utiliser.
5. Définissez d’autres paramètres si nécessaire.
6. Cliquez sur Enregistrer.
Si vous utilisez un certificat pour l’authentification BOVPN :
n
n
n
n
Vous devez d’abord importer le certificat.
Pour plus d’informations, voir Afficher et gérer les certificats Firebox à la page 403.
Firebox System Manager doit reconnaître le certificat comme certificat de type IPSec.
Vérifiez que les certificats des périphériques situés à chaque point de terminaison de passerelle
utilisent le même algorithme (à savoir DSS ou RSA). L’algorithme des certificats est affiché dans le
tableau sur la page Passerelle.
En l’absence d’un certificat tiers ou autosigné, vous devez utiliser l’autorité de certification sur un
serveur WatchGuard Management Server.
Vérifier le certificat avec FSM
1. Sélectionnez Système > Certificats.
La page Certificats s’ouvre.
Guide de l’utilisateur
411
Certificats et autorité de certification
2. Dans la colonne Type, assurez-vous que IPSec ou IPSec/Web apparaît.
Vérifier les certificats VPN à partir d’un serveur LDAP
Si vous y avez accès, le serveur LDAP vous permet de vérifier automatiquement les certificats utilisés pour
l’authentification VPN. Vous devez avoir les informations de compte LDAP fournies par un service d’autorité
de certification tiers pour utiliser cette fonctionnalité.
1. Sélectionnez VPN > Paramètres globaux.
La page Paramètres VPN globaux s’affiche.
2.
3.
4.
5.
Activez la case à cocher Activer le serveur LDAP pour la vérification de certificats.
Dans la zone de texte Serveur, entrez le nom ou l’adresse du serveur LDAP.
(Facultatif) Entrez le numéro de Port.
Cliquez sur Enregistrer.
Firebox vérifie la CRL stockée sur le serveur LDAP lorsque l’authentification de tunnel est demandée.
Configurer le certificat de serveur Web pour
Firebox authentification
Lorsque les utilisateurs se connectent à votre périphérique WatchGuard depuis un navigateur Web, un
avertissement de sécurité s’affiche fréquemment. Cet avertissement se produit parce que le certificat par
défaut n’est pas approuvé ou que le certificat ne correspond pas à l’adresse IP ou au nom de domaine
utilisé pour l’authentification. Si vous possédez Fireware XTM avec une mise à niveau Pro, vous pouvez
utiliser un certificat tiers ou autosigné qui correspond à l’IP ou au nom de domaine utilisé(e) pour
l’authentification des utilisateurs. Vous devez importer ce certificat sur chaque périphérique ou navigateur
client pour éviter les avertissements de sécurité.
Pour configurer le certificat de serveur Web pour l’authentification de Firebox :
1. Sélectionnez Authentification > Certificat de serveur Web.
412
WatchGuard System Manager
Certificats et autorité de certification
2. Pour utiliser le certificat par défaut, sélectionnez Certificat par défaut signé par Firebox et passez à
la dernière étape de la procédure.
3. Pour utiliser un certificat importé précédemment, sélectionnez Certificat tiers.
4. Sélectionnez un certificat dans la liste déroulante adjacente et passez à la dernière étape de la
procédure.
Ce certificat doit être reconnu en tant que certificat Web.
Guide de l’utilisateur
413
Certificats et autorité de certification
5. Si vous souhaitez créer un certificat personnalisé signé par Firebox, sélectionnez Certificat
personnalisé signé par Firebox.
6. Entrez le nom commun de votre organisation. Il s’agit habituellement de votre nom de domaine.
(Facultatif) Vous pouvez aussi entrer un nom d’organisation et un nom d’unité d’organisation pour
identifier l’élément de votre organisation qui a créé le certificat.
7. Pour créer d’autres noms de sujet ou des adresses IP d’interface pour les adresses IP sur lesquelles
il est prévu d’utiliser le certificat, entrez un nom de domaine.
8. Cliquez sur le bouton Ajouter en regard de la zone de texte pour ajouter chaque entrée
9. Répétez les étapes 7 et 8 pour ajouter d’autres noms de domaine.
10. Cliquez sur Enregistrer.
Importer un certificat sur un périphérique client
Lorsque vous configurez Firebox de sorte qu’il utilise un certificat tiers ou personnalisé à des fins
d’authentification ou d’inspection de contenu HTTPS, vous devez importer ce certificat sur chaque client de
votre réseau pour éviter les avertissements de sécurité. Cela permet à des services tels que Windows
Update de fonctionner correctement.
Note Si vous utilisez habituellement le Fireware XTM Web UI, vous devez installer Firebox
System Manager avant de pouvoir exporter des certificats.
Importer un certificat au format PEM sous Windows XP
Ce processus permet à Internet Explorer, Windows Update et d’autres programmes ou services qui
utilisent le magasin de certificats de Windows sur Microsoft Windows XP d’avoir accès au certificat.
1. Dans le menu Démarrer de Windows, sélectionnez Exécuter.
2. Entrez mmc et cliquez sur OK.
Une console de gestion Windows s’ouvre.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Sélectionnez Fichier > Ajouter/supprimer un composant logiciel enfichable.
Cliquez sur Ajouter.
Sélectionnez Certificats, puis cliquez sur Ajouter.
Sélectionnez Le compte de l’ordinateur et cliquez sur Suivant.
Cliquez sur Terminer, Fermer et OK pour ajouter le module de certificats.
Dans la fenêtre Racine de la console, cliquez sur le signe + pour développer l’arborescence
Certificats.
Développez l’objet Autorités de certification racines de confiance.
Sous l’objet Autorités de certification racines de confiance, cliquez avec le bouton droit sur
Certificats et sélectionnez Toutes les tâches > Importer.
Cliquez sur Suivant. Cliquez sur Parcourir pour localiser et sélectionner le certificat d’autorité de
certification de l’autorité de proxy HTTPS que vous avez précédemment exporté. Cliquez sur OK.
Cliquez sur Suivant, puis cliquez sur Terminer pour terminer l’Assistant.
Importer un certificat au format PEM sous Windows Vista
Ce processus permet à Internet Explorer, Windows Update et d’autres programmes ou services qui
utilisent le magasin de certificats de Microsoft Windows Vista d’avoir accès au certificat.
414
WatchGuard System Manager
Certificats et autorité de certification
1. Dans le menu Démarrer de Windows, entrez certmgr.msc dans la zone de texte Rechercher et
appuyez sur Entrée.
S’il vous est demandé de vous authentifier en tant qu’administrateur, entrez votre mot de passe ou confirmez
votre accès.
2. Sélectionnez l’objet Autorités de certification racines de confiance.
3. Dans le menu Action, sélectionnez Toutes les tâches > Importer.
4. Cliquez sur Suivant. Cliquez sur Parcourir pour localiser et sélectionner le certificat d’autorité de
certification de l’autorité de proxy HTTPS que vous avez précédemment exporté. Cliquez sur OK.
5. Cliquez sur Suivant, puis cliquez sur Terminer pour terminer l’Assistant.
Importer un certificat au format PEM dans Mozilla Firefox 3.x
Mozilla Firefox utilise un magasin de certificats privé en lieu et place de celui du système d’exploitation. Si
des clients de votre réseau utilisent un navigateur Firefox, vous devez importer le certificat dans le magasin
de Firefox, même si vous avez déjà importé le certificat dans le système d’exploitation hôte.
Lorsque plusieurs périphériques Firebox utilisent un certificat autosigné pour l’inspection de contenu
HTTPS, les clients de votre réseau doivent importer une copie de chaque Firebox certificate. Toutefois, les
certificats Firebox autosignés par défaut utilisent tous le même nom, et Mozilla Firefox ne reconnaît que le
premier certificat importé quand ils sont plusieurs à porter le même nom. Nous vous recommandons de
remplacer les certificats autosignés par défaut par un certificat signé par une autre autorité de certification,
puis de distribuer ces certificats d’autorité de certification à chaque client.
1. Dans Firefox, sélectionnez Outils > Options.
La boîte de dialogue Options s’affiche.
2. Cliquez sur l’icône Avancé.
3. Sélectionnez l’onglet Chiffrement, puis cliquez sur Afficher les certificats.
La boîte de dialogue Gestionnaire de certificats s’ouvre.
4. Sélectionnez l’onglet Autorités, puis cliquez sur Importer.
5. Cliquez sur Parcourir pour sélectionner le fichier de certificat, puis sur Ouvrir.
6. Dans la boîte de dialogue Téléchargement du certificat, activez la case à cocher Faire confiance à
cette autorité de certification pour identifier les sites Web. Cliquez sur OK.
7. Cliquez sur OK à deux reprises pour fermer les boîtes de dialogue Gestionnaire de certificats et
Options .
8. Redémarrez Mozilla Firefox.
Importer un certificat au format PEM sous Mac OS X 10.5
Ce processus permet à Safari et à d’autres programmes ou services qui utilisent le magasin de certificats de
Mac OS X d’avoir accès au certificat.
1.
2.
3.
4.
Ouvrez l’application Trousseau d’accès.
Sélectionnez la catégorie Certificats.
Cliquez sur le signe + dans la barre d’outils inférieure, puis localisez et sélectionnez le certificat.
Sélectionnez le trousseau Système, puis cliquez sur Ouvrir. Vous pouvez également sélectionner le
trousseau Système, puis glisser et déposer le fichier de certificat dans la liste.
5. Cliquez avec le bouton droit sur le certificat et sélectionnez Infos.
Une fenêtre d’informations sur le certificat s’ouvre.
6. Développez la catégorie Approuver.
7. Dans la liste déroulante Lors de l’utilisation de ce certificat, sélectionnez Toujours approuver.
Guide de l’utilisateur
415
Certificats et autorité de certification
8. Fermez la fenêtre d’informations sur le certificat.
9. Entrez votre mot de passe d’administrateur pour confirmer les modifications.
416
WatchGuard System Manager
19 Réseaux Privés Virtuel (VPN)
Introduction aux VPN
Pour déplacer des données en toute sécurité entre deux réseaux privés via un réseau non protégé, comme
Internet, vous pouvez créer un réseau privé virtuel (VPN). Vous pouvez également utiliser un VPN pour
établir une connexion sécurisée entre un hôte et un réseau. Les réseaux et les hôtes aux points de
terminaison d’un tunnel VPN peuvent être des sièges sociaux, des succursales ou des utilisateurs distants.
Les VPN utilisent le chiffrement pour sécuriser les données et l’authentification pour identifier l’expéditeur
et le destinataire des données. Si les informations d’authentification sont correctes, les données sont
déchiffrées. Seuls l’expéditeur et le destinataire du message peuvent lire les données envoyées par le biais
du VPN.
Un tunnel VPN est le chemin virtuel entre deux réseaux privés du VPN. Nous appelons cet itinéraire un
tunnel car un protocole de mise en tunnel comme IPSec, SSL ou PPTP est utilisé pour envoyer les paquets
de données de façon sécurisée. Une passerelle ou un ordinateur qui utilise un VPN se sert de ce tunnel
pour envoyer des paquets de données par Internet, réseau public, vers des adresses IP privées derrière
une passerelle VPN.
VPN pour succursale
Un VPN pour succursale Branch Office VPN (BOVPN) est une connexion chiffrée entre deux périphériques
matériels dédiés. On l’utilise la plupart du temps pour garantir la sécurisation des communications réseau
entre les réseaux de deux succursales. WatchGuard propose deux méthodes pour configurer un BOVPN :
Réseau BOVPN manuel
Vous pouvez utiliser Policy Manager ou Fireware XTM Web UI pour configurer manuellement un
réseau BOVPN entre deux périphériques qui prennent en charge les protocoles VPN IPSec.
Pour plus d’informations, voir À propos des tunnels BOVPN manuels à la page 430.
Guide de l’utilisateur
417
Réseaux Privés Virtuel (VPN)
Réseau BOVPN géré
Vous pouvez utiliser WatchGuard System Manager pour configurer un réseau BOVPN entre deux
périphériques WatchGuard gérés.
Pour de plus amples informations, reportez-vous au Guide de l’utilisateur de WatchGuard System
Manager ou au système d’aide en ligne.
Tous les réseaux BOVPN WatchGuard utilisent la suite du protocole IPSec pour sécuriser le tunnel BOVPN.
Pour de plus amples informations sur les VPN IPSec, cf. À propos des VPN IPSec à la page 418.
Mobile VPN
Un Mobile VPN est une connexion chiffrée entre un périphérique matériel dédié et un ordinateur portable
ou de bureau. Un Mobile VPN permet à vos employés qui télétravaillent et voyagent de se connecter en
toute sécurité à votre réseau d’entreprise. WatchGuard prend en charge trois types de Mobile VPN :
n
n
n
Mobile VPN with IPSec
Mobile VPN with PPTP
Mobile VPN with SSL
Pour consulter une comparaison de ces solutions Mobile VPN, cf. Sélectionner un Mobile VPN à la page 424.
À propos des VPN IPSec
WatchGuard Branch Office VPN et Mobile VPN with IPSec utilisent tous les deux la suite de protocole IPSec
pour l’établissement de connexions VPN entre périphériques ou utilisateurs mobiles. Avant de configurer
un VPN IPSec, en particulier si vous configurez un tunnel BOVPN manuel, il est utile de comprendre le
fonctionnement des VPN IPSec.
Pour de plus amples informations, cf. :
n
n
n
À propos des algorithmes IPSec et des protocoles
À propos des négociations VPN IPSec
Configurer les paramètres de phase 1 et 2
À propos des algorithmes IPSec et des protocoles
IPSec est un ensemble de services cryptographiques et de protocoles de sécurité qui protègent les
communications entre les périphériques qui envoient du trafic par l’intermédiaire d’un réseau non
approuvé. Étant donné que IPSec a été conçu sur la base d’un ensemble de protocoles et d’algorithmes
bien connus, vous pouvez créer un VPN IPSec entre un périphérique WatchGuard et d’autres
périphériques qui prennent en charge ces protocoles standard. Les protocoles et les algorithmes utilisés
par IPSec sont abordés dans les rubriques suivantes.
Algorithmes de chiffrement
Les algorithmes de chiffrement protègent les données afin qu’elles ne puissent être lues par un tiers lors de
leur transfert. Fireware XTM prend en charge trois algorithmes de chiffrement :
418
WatchGuard System Manager
Réseaux Privés Virtuel (VPN)
n
n
n
DES (norme de chiffrement de données) — Utilise une clé de chiffrement de 56 bits. Il s’agit du plus
faible des trois algorithmes.
3DES (Triple DES) — Un algorithme de chiffrement basé sur la norme DES qui utilise la norme DES
pour chiffrer trois fois des données.
AES (norme de chiffrement avancée) — L’algorithme de chiffrement le plus puissant disponible.
Fireware XTM peut utiliser des clés de chiffrement AES des longueurs suivantes : 128, 192, ou 256 bits.
Algorithmes d’authentification
Les algorithmes d’authentification vérifient l’intégrité des données et l’authenticité d’un message. Fireware
XTM prend en charge deux algorithmes d’authentification :
n
n
HMAC-SHA1 (code d’authentification de message de hachage — Secure Hash Algorithm 1) — SHA-1
produit un prétraitement de message de 160 bits (20 octets). Bien qu’il soit plus lent que le MD5, ce
prétraitement plus grand offre plus de résistance aux attaques en force.
HMAC-MD5 (code d’authentification de message de hachage — Algorithme de prétraitement de
message 5) — MD5 produit un prétraitement de message de 128 bits (16 octets). Il est ainsi plus
rapide que SHA-1.
Protocole IKE
Défini dans RFC2409, IKE (échange de clé Internet) est un protocole utilisé pour la négociation des
associations de sécurité pour IPSec. Ces associations de sécurité établissent des secrets de session partagée
à partir desquels des clés sont dérivées pour le chiffrement de données mises en tunnel. IKE est également
utilisé pour authentifier les deux pairs IPSec.
Algorithme d’échange de clé Diffie-Hellman
L’algorithme d’échange de clé Diffie-Hellman (DH) est une méthode utilisée pour créer une clé de
chiffrement partagée accessible à deux entités sans échange de la clé. La clé de chiffrement pour les deux
périphériques est utilisée comme clé symétrique pour le chiffrement de données. Seules les deux parties
impliquées dans l’échange de clé DH peuvent déduire la clé partagée, et la clé n’est jamais transférée.
Un groupe de clé Diffie-Hellman est un groupe de nombres entiers utilisé pour l’échange de clé DiffieHellman. Fireware XTM peut utiliser les groupes DH 1, 2 et 5. Les nombres de groupes les plus élevés
offrent un niveau de sécurité supérieur.
Pour plus d’informations, voir À propos des groupes Diffie-Hellman à la page 441.
AH
Défini dans RFC 2402, l’en-tête d’authentification (AH) est un protocole que vous pouvez utiliser lors des
négociations VPN de phase 2 en BOVPN manuel. Pour permettre la sécurisation, AH ajoute des
informations d’authentification au datagramme IP. La plupart des tunnels VPN n’utilisent pas le protocole
AH car il ne propose pas le chiffrement.
Guide de l’utilisateur
419
Réseaux Privés Virtuel (VPN)
ESP
Définie dans RFC 2406, la charge utile de sécurité par encapsulage (ESP) permet l’authentification et le
chiffrement des données. Le protocole ESP prend la charge utile d’un paquet de données et la remplace
par des données chiffrées. Il ajoute des vérifications d’intégrité pour s’assurer que les données ne soient
pas modifiées au cours du transfert, et que les données proviennent de la bonne source. Nous vous
recommandons d’utiliser l’ESP pour les négociations de phase 2 BOVPN car l’ESP offre plus de sécurité que
l’AH. Mobile VPN with IPSec utilise toujours l’ESP.
À propos des négociations VPN IPSec
Les périphériques situés aux extrémités d’un tunnel VPN IPSec sont des pairs IPSec. Lorsque deux pairs
IPSec veulent créer une connexion VPN entre eux, ils échangent une série de messages relatifs au
chiffrement et à l’authentification, et tentent de s’accorder sur toute une série de paramètres différents. Ce
processus est connu sous le nom de négociations VPN. Un périphérique dans la séquence de négociation
est l’initiateur et l’autre le répondeur.
Les négociations VPN fonctionnent selon deux phases distinctes : La phase 1 et la phase 2.
Phase 1
L’objectif principal de la phase 1 est la mise en place d’un canal chiffré sécurisé par l’intermédiaire
duquel deux pairs peuvent négocier la phase 2. Lorsque la phase 1 se termine avec succès, les pairs
passent rapidement aux négociations de phase 2. Si la phase 1 échoue, les périphériques ne
peuvent entamer la phase 2.
Phase 2
L’objectif des négociations de phase 2 est que les deux pairs s’accordent sur un ensemble de
paramètres qui définissent le type de trafic pouvant passer par le VPN et sur la manière de chiffrer
et d’authentifier le trafic. Cet accord s’appelle une association de sécurité.
Les configurations de phase 1 et 2 doivent correspondre pour les périphériques situés aux extrémités du
tunnel.
Négociations de phase 1
Dans les négociations de phase 1, les deux pairs échangent des informations d’identification. Les
périphériques se reconnaissent et négocient pour définir un ensemble commun de paramètres de phase 1
à utiliser. Lorsque les négociations de phase 1 sont terminées, les deux pairs disposent d’une association de
sécurité (SA) de phase 1. Cette SA est valable pour un certain laps de temps. Après l’expiration de la SA de
phase 1, si les deux pairs doivent terminer à nouveau les négociations de phase 2, ils doivent aussi
reprendre les négociations de phase 1.
Les négociations de phase 1 comprennent les étapes suivantes :
1. Les périphériques échangent des informations d’identification.
420
WatchGuard System Manager
Réseaux Privés Virtuel (VPN)
Les informations d’identification peuvent être un certificat ou des clés pré-partagées. Les deux
points de terminaison de la passerelle doivent utiliser la même méthode d’informations
d’identification. Si l’un des pairs utilise une clé pré-partagée, l’autre pair doit aussi utiliser une clé
pré-partagée. Les deux clés doivent correspondre. Si l’un des pairs utilise un certificat, l’autre pair
doit aussi utiliser un certificat.
2. Les périphériques se reconnaissent.
Chaque périphérique fournit un identificateur de phase 1, qui peut être une adresse IP , un nom de
domaine, des informations de domaine ou un nom X500. La configuration VPN de chacun des pairs
contient l’identificateur de phase 1 du périphérique local et à distance. Les configurations doivent
correspondre.
3. Les pairs décident d’utiliser le mode principal ou le mode agressif.
Les négociations de phase 1 peuvent utiliser l’un des deux modes différents : le mode principal ou
le mode agressif. Le périphérique qui lance les négociations IKE (l’initiateur) envoie soit une
proposition de mode normal ou une proposition de mode agressif. Le répondeur peut rejeter la
proposition s’il n’est pas configuré pour utiliser ce mode. Les communications en mode agressif sont
effectuées via un nombre réduit d’échanges de paquets. Le mode agressif, pour sa part, est moins
sécurisé mais y gagne en rapidité par rapport au mode principal.
4. Les pairs s’accordent sur les paramètres de phase 1.
n
n
n
Ils optent pour l’emploi du parcours NAT
ou pour l’envoi de messages de conservation d’activité IKE (uniquement prise en charge entre
des périphériques WatchGuard)
ouencore pour la détectionDPD (DeadPeer Detection)(détection de pair déconnecté)(RFC 3706)
5. Les pairs s’accordent sur les paramètres de transformation de phase 1.
Les paramètres de transformation comportent un ensemble de paramètres d’authentification et de
chiffrement, ainsi que le laps de temps maximal pour la SA de phase 1. Les paramètres de
transformation de phase 1 doivent correspondre exactement à une transformation de phase 1 sur
le pair IKE. À défaut, les négociations IKE échouent.
Les éléments que vous pouvez définir dans les transformations sont les suivants :
n
n
n
n
Authentification — Le type d’authentification (SHA1 ou MD5).
Chiffrement — Le type d’algorithme de chiffrement (DES, 3DES ou AES).
Vie de la SA — Le laps de temps avant l’expiration de l’association de sécurité de phase 1.
Groupé de clé — Le groupe de clé Diffie-Hellman.
Négociations de phase 2
Après l’achèvement des négociations de phase 1 par les deux pairs IPSec, les négociations de phase 2
débutent. Les négociations de phase 2 établissent les associations de sécurité de phase 2 (appelées parfois SA
IPSec). Les SA IPSec sont un ensemble de spécifications de trafic qui indiquent au périphérique le trafic à
envoyer sur le VPN et la manière de le chiffrer et de l’authentifier. Dans les négociations de phase 2, les deux
pairs s’accordent sur un ensemble de paramètres de communication. Lorsque vous configurez le tunnel
BOVPN dans Policy Manager ou dans Fireware XTM Web UI, vous définissez les paramètres de phase 2.
Guide de l’utilisateur
421
Réseaux Privés Virtuel (VPN)
Comme les pairs utilisent les associations de sécurité de phase 1 pour sécuriser les négociations de phase 2
et que vous définissez les paramètres SA de phase 1 dans les paramètres de passerelle BOVPN , vous devez
spécifier la passerelle à utiliser pour chaque tunnel.
Les négociations de phase 2 comprennent les étapes suivantes :
1. Les pairs utilisent les SA de phase 1 pour sécuriser les négociations de phase 2.
Les négociations de phase 2 ne peuvent débuter qu’après l’établissement des associations de
sécurité de phase 1.
2. Les pairs échangent leurs identificateurs de phase 2 (ID).
Les ID de phase 2 sont toujours envoyés par paire lors d’une proposition de phase 2 : l’un indique
quelles adresses IP derrière le périphérique local peuvent envoyer du trafic via le VPN, et l’autre
indique quelles adresses IP derrière le périphérique distant peuvent envoyer du trafic via le VPN.
Cette connexion est également appelée un itinéraire de tunnel. Vous pouvez définir les ID de phase 2
pour le pair local et le pair distant en tant qu’adresse IP hôte, adresse IP réseau, ou plage d’adresse IP.
3. Les pairs s’accordent pour l’utilisation ou non de la confidentialité Perfect Forward Secrecy (PFS).
La confidentialité PFS définit la méthode de dérivation des clés de phase 2. Lorsque la confidentialité
PFS est sélectionnée, les pairs IKE doivent utiliser la confidentialité PFS. À défaut, les nouvelles clés
de phase 2 échouent. La confidentialité PFS garantit que si une clé de chiffrement utilisée pour
protéger les transmissions de données est compromise, un attaquant est en mesure d’accéder
uniquement aux données protégées par cette clé, mais par les clés suivantes. Si les pairs s’accordent
à utiliser la confidentialité PFS, ils doivent également s’accorder sur le groupe de clé Diffie-Hellman à
utiliser pour la confidentialité PFS.
4. Les pairs s’accordent sur une proposition de phase 1.
La proposition de phase 2 contient les adresses IP pouvant envoyer du trafic par l’intermédiaire du
tunnel, ainsi qu’un groupe de chiffrement et des paramètres d’authentification. Fireware XTM
envoie ces paramètres dans une proposition de phase 2. La proposition contient l’algorithme à
utiliser pour authentifier les données, l’algorithme à utiliser pour chiffrer les données et indique la
fréquence de création de nouvelles clés de chiffrement de phase 2.
Les éléments que vous pouvez définir dans une proposition de phase 2 sont les suivants :
Type
Pour un réseau BOVPN manuel, vous pouvez sélectionner le type de protocole à utiliser : Entête d’authentification (AH) ou charge utile de sécurité par encapsulage (ESP). L’ESP permet
l’authentification et le chiffrement des données. L’AH permet l’authentification, mais pas le
chiffrement des données. Nous vous recommandons d’opter pour l’ESP. Les réseaux BOVPN
gérés et Mobile VPN with IPSec utilisent toujours l’ESP.
Authentification
L’authentification garantit que les informations reçues soient exactement les mêmes que les
informations envoyées. Vous pouvez utiliser SHA ou MD5 comme algorithme à utiliser par les
pairs pour authentifier mutuellement les messages IKE . SHA1 est plus sécurisé.
Chiffrement
422
WatchGuard System Manager
Réseaux Privés Virtuel (VPN)
Le chiffrement garantit la confidentialité des données. Vous pouvez sélectionner les
chiffrements DES, 3DES, ou AES. L’AES est le chiffrement le plus sécurisé qui soit.
Forcer l’expiration de la clé
Pour garantir la modification périodique des clés de chiffrement de phase 2, activez toujours
l’expiration de la clé. Plus la période d’utilisation d’une clé de chiffrement de phase 2 est
longue, plus nombreuses seront les données qu’une personne mal intentionnée pourra
collecter pour organiser une attaque de la clé.
Configurer les paramètres de phase 1 et 2
Vous configurez les paramètres de phase 1 et 2 pour chaque VPN IPsec configuré.
VPN pour succursale
Dans le cas d’un VPN pour succursale Branch Office VPN (BOVPN) manuel, configurez les paramètres de
phase 1 lorsque vous définissez une passerelle pour succursale, et configurez les paramètres de phase 2
lorsque vous définissez un tunnel de succursale.
Pour de plus amples informations relatives aux paramètres de phase 1 et 2 d’un réseau BOVPN, cf :
n
n
Configurer les passerelles à la page 434
Définir un tunnel à la page 444
Mobile VPN with IPSec
Pour Mobile VPN with IPSec, configurez les paramètres de phase 1 et 2 lors de l’ajout ou de la modification
d’une configuration Mobile VPN with IPSec.
Pour de plus amples informations, cf. :
n
n
Configurer Firebox pour Mobile VPN with IPSec
Modifier un profil de groupe existant Mobile VPN with IPSec
Utilisez un certificat pour l’authentification d’un tunnel VPN IPSec
Lorsqu’un tunnel IPSec est créé, le protocole IPSec contrôle l’identité de chaque point de terminaison à
l’aide d’une clé pré-partagée (PSK) ou d’un certificat importé et stocké dans Firebox. Configurez la méthode
d’authentification dans les paramètres VPN de phase 1.
Pour de plus amples informations sur l’utilisation des certificats pour l’authentification d’un tunnel, cf. :
n
n
Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN
Utiliser des certificats pour un tunnel Mobile VPN with IPSec authentification
À propos de Mobile VPN
Un Mobile VPN permet à vos employés qui télétravaillent et voyagent de se connecter en toute sécurité à
votre réseau d’entreprise. Fireware XTM prend en charge trois formes de réseaux privés virtuels pour
utilisateur distant : Mobile VPN with IPSec, Mobile VPN with PPTP et Mobile VPN with SSL.
Guide de l’utilisateur
423
Réseaux Privés Virtuel (VPN)
Lorsque vous utilisez Mobile VPN, vous configurez d’abord Firebox et ensuite les ordinateurs clients
distants. Vous utilisez Policy Manager ou Fireware XTM Web UI pour configurer les paramètres pour
chaque utilisateur ou groupe d’utilisateurs. Pour Mobile VPN with IPSec et Mobile VPN with SSL, utilisez
Policy Manager ou le Web UI pour créer un fichier de configuration de profil de l’utilisateur final
comprenant tous les paramètres nécessaires à la connexion à Firebox. Vous pouvez également configurer
vos stratégies pour permettre ou rejeter le trafic en provenance des clients Mobile VPN. Les utilisateurs
Mobile VPN peuvent s’authentifier auprès de la base de données des utilisateurs Firebox ou d’un serveur
d’authentification externe.
Sélectionner un Mobile VPN
Fireware XTM prend en charge trois types de Mobile VPN. Chaque type utilise des ports, des protocoles et
des algorithmes de chiffrement différents.
Mobile VPN with PPTP
n
n
n
n
Protocole PPTP (Point-to-Point Tunneling Protocol) — Sécurise le tunnel entre deux points de
terminaison
Port TCP 1723 — Établit le tunnel
Protocole IP 47 — Chiffre les données
Algorithmes de chiffrement — 40 bits ou 128 bits
Mobile VPN with IPSec
n
n
n
n
n
IPSec (Internet Protocol Security) — Sécurise le tunnel entre deux points de terminaison
Port UDP 500 (IKE) — Établit le tunnel
Port UDP 4500 (NAT Traversal) — Utilisé si Firebox est configuré pour le NAT
Protocole IP 50 (ESP) ou Protocole IP 51 (AH) — Chiffre les données
Algorithmes de chiffrement — DES, 3DES, ou AES (128, 192, or 256 bits)
Mobile VPN with SSL
n
n
n
Protocole SSL (Secure Sockets Layer) — Sécurise le tunnel entre deux points de terminaison
Port TCP 443 ou port UDP 443 — Établit le tunnel et chiffre les données
Algorithmes de chiffrement — Blowfish, DES, 3DES, ou AES (128, 192 ou 256 bits)
Note Pour Mobile VPN with SSL, vous pouvez choisir un port et un protocole différent.
Pour plus d’informations, voir Choisir un port et un protocole pour Mobile VPN
with SSL à la page 566
Le type de Mobile VPN dépend fortement de votre infrastructure existante et de vos préférences en
termes de stratégie réseau. Firebox peut gérer les trois types de Mobile VPN simultanément. Un ordinateur
client peut être configuré pour utiliser une ou plusieurs méthodes. Certains des éléments à prendre en
compte lorsque vous sélectionnez le type de Mobile VPN à utiliser sont décrits dans les sections suivantes.
Capacité et octroi de licence pour tunnel VPN
Lorsque vous sélectionnez un type de tunnel, assurez-vous de prendre en compte le nombre de tunnel que
votre périphérique prend en charge et la possibilité de vous procurer une mise à niveau pour augmenter le
nombre de tunnels.
424
WatchGuard System Manager
Réseaux Privés Virtuel (VPN)
Mobile VPN
Nombre maximum de tunnels VPN
Mobile VPN with
PPTP
50 tunnels
n
Mobile VPN with
IPSec
n
n
Mobile VPN with
SSL
n
n
Le nombre de tunnels de base et maximum varient selon le
modèle du périphérique WatchGuard.
L’achat d’une licence est requis pour activer le nombre de tunnels
maximum.
Le nombre de tunnels de base et maximum varient selon le
modèle du périphérique WatchGuard.
La mise à niveau Pro du système d’exploitation Fireware XTM est
requise pour le maximum de tunnels VPN SSL.
La mise à niveau Pro est requise pour la prise en charge de plus
d’un tunnel VPN SSL.
Pour connaître le nombre de tunnels de base et maximum pris en charge pour Mobile VPN with IPSec and
Mobile VPN with SSL, reportez-vous aux spécifications détaillées de votre modèle de périphérique
WatchGuard.
Compatibilité avec le serveur d’authentification
Lorsque vous sélectionnez une solution Mobile VPN, assurez-vous de choisir une solution qui prenne en
charge le type de serveur d’authentification que vous utilisez.
Mobile VPN Firebox RADIUS Vasco/RADIUS
Défi-réponse
Vasco
RSA
Active
LDAP
SecurID
Directory
Mobile VPN
with PPTP
Oui
Oui
Non
Non
Non
Non
Non
Mobile VPN
with IPSec
Oui
Oui
Oui
N/D
Oui
Oui
Oui
Mobile VPN
with SSL
Oui
Oui
Oui
N/D
Oui
Oui
Oui
Étapes de la configuration du client et compatibilité du système
d’exploitation
Les étapes de la configuration que vous devez exécuter diffèrent pour chaque solution Mobile VPN. Par
ailleurs, chaque solution VPN est compatible avec différents systèmes d’exploitation.
Mobile VPN with PPTP
Vous n’installez pas le logiciel client VPN WatchGuard. Vous devez configurer manuellement les
paramètres réseau de chaque ordinateur client pour configurer une connexion PPTP .
Compatible avec : Windows XP et Windows Vista.
Guide de l’utilisateur
425
Réseaux Privés Virtuel (VPN)
Mobile VPN with IPSec
Vous devez installer le client WatchGuard Mobile VPN with IPSec et importer manuellement le
profil de l’utilisateur final. L’installation du client Mobile VPN with IPSec requiert plus d’étapes que
celle du client Mobile VPN with SSL.
Compatible avec : Windows XP SP2 (32 bits et 64 bits), Windows Vista (32 bits et 64 bits), et
Windows 7 (32 bits et 64 bits).
Mobile VPN with SSL
Vous devez installer le client et le fichier de configuration WatchGuard Mobile VPN with SSL.
Compatible avec : Windows XP SP2 (32 bits uniquement), Windows Vista (32 bits uniquement),
Windows 7 (32 bits et 64 bits), Mac OS X 10.6 Snow Leopard et Mac OS X 10.5 Leopard
Options d’accès Internet pour les utilisateurs Mobile VPN
Pour les trois de types de Mobile VPN, vous disposez de deux options d’accès Internet pour les utilisateurs
Mobile VPN :
Forcer l’ensemble du trafic client à passer par le tunnel (itinéraire VPN par défaut)
L’option la plus sécurisée consiste à faire router tout le trafic Internet des utilisateurs distants par le
biais du tunnel VPN vers le périphérique WatchGuard. Le trafic est ensuite renvoyé à Internet. Dans
cette configuration (appelée « VPN avec route par défaut »), le périphérique WatchGuard peut
examiner tout le trafic et offrir une sécurité accrue, et ce malgré l’augmentation de la puissance de
traitement et de la bande passante requises.
Lorsque vous utilisez un VPN avec route par défaut par le biais des logiciels Mobile VPN for IPSec ou
Mobile VPN for PPTP, une stratégie de traduction d’adresses réseau (NAT) dynamique doit inclure le
trafic sortant en provenance du réseau distant. Cela permet aux utilisateurs distants de parcourir
Internet lorsqu’ils envoient tout le trafic au périphérique WatchGuard.
Permettre l’accès direct à Internet (tunnel VPN divisé)
Une autre option de configuration consiste à activer le tunneling fractionné. Avec cette option, vos
utilisateurs peuvent parcourir Internet, mais le trafic Internet n’est pas envoyé par le biais du tunnel
VPN. Le tunneling fractionné améliore les performances du réseau, mais diminue la sécurité car les
stratégies que vous créez ne s’appliquent pas au trafic Internet. Si vous utilisez le tunneling
fractionné, nous recommandons la mise en place d’un pare-feu logiciel sur chaque ordinateur
client.
Pour de plus amples informations concernant chaque type de Mobile VPN en particulier, cf. :
n
n
n
426
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with IPSec
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with PPTP
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN with SSL
WatchGuard System Manager
Réseaux Privés Virtuel (VPN)
Vue d’ensemble de la configuration Mobile VPN
Lorsque vous configurez un Mobile VPN, vous devez commencer par configurer le périphérique
WatchGuard avant de configurer les ordinateurs clients. Quel que soit le type de Mobile VPN que vous
choisissez, vous devez passer par cinq étapes de configuration identiques. Les détails de chacune des étapes
sont différents pour chaque type de VPN.
1.
2.
3.
4.
5.
Activer Mobile VPN dans Policy Manager.
Définir des paramètres VPN pour le nouveau tunnel.
Sélectionner et configurer la méthode d’authentification pour les utilisateurs Mobile VPN.
Définir les stratégies et les ressources.
Configurer les ordinateurs clients.
n
n
Pour Mobile VPN with IPSec et Mobile VPN with SSL, installez le logiciel client et le fichier de
configuration.
Pour Mobile VPN with PPTP, configurez manuellement la connexion PPTP dans les paramètres
réseau de l’ordinateur client.
Pour de plus amples informations et des explications détaillées sur les étapes de la configuration de chaque
type de Mobile VPN, cf. :
n
n
n
À propos de Mobile VPN with IPSec IPSec
À propos de Mobile VPN with PPTP
À propos de Mobile VPN with SSL
Guide de l’utilisateur
427
Réseaux Privés Virtuel (VPN)
Guide de l’utilisateur
428
20 Réseaux BOVPN (Branch Office
Virtual Private Network)
Comment créer un réseau BOVPN manuel
Avant de configurer un réseau VPN de filiale sur votre périphérique WatchGuard, veuillez lire les conditions
suivantes :
n
n
n
n
n
n
n
Vous devez posséder deux périphériques WatchGuard, ou un périphérique WatchGuard et un autre
utilisant les normes IPSec. Vous devez activer l’option VPN sur l’autre périphérique si elle n’est pas
déjà active.
Vous devez disposer d’une connexion Internet.
Le fournisseur de services Internet de chaque périphérique VPN doit autoriser le trafic IPSec à
traverser ses réseaux.
Certains fournisseurs de services Internet ne vous permettent pas de créer de tunnels VPN sur leurs
réseaux à moins de passer à un niveau de service Internet qui prenne en charge les tunnels VPN.
Renseignez-vous auprès d’un représentant de chaque fournisseur de services Internet pour vérifier
que les ports et protocoles suivants sont autorisés :
n Port UDP 500 (IKE ou Internet Key Exchange)
n Port UDP 4500 (Parcours NAT)
n Protocole IP 50 (ESP ou Encapsulating Security Payload)
Si l’autre extrémité du tunnel VPN est un périphérique WatchGuard et si chaque périphérique est
sous gestion, vous pouvez utiliser l’option Managed VPN (VPN géré). L’option Managed VPN est plus
facile à configurer que Manual VPN. Pour utiliser cette option, vous devez obtenir des informations
auprès de l’administrateur du périphérique WatchGuard de l’autre côté du tunnel VPN.
Vous devez savoir si l’adresse IP attribuée à l’interface externe de votre périphérique est statique ou
dynamique.
Pour plus d’informations sur les adresses IP, voir À propos de Adresses IP à la page 3.
Votre modèle de périphérique WatchGuard vous indique le nombre maximum de tunnels VPN que
vous pouvez créer. Si votre modèle de Firebox peut être mis à niveau, vous pouvez acheter une
mise à niveau qui augmente le nombre maximum de tunnels VPN pris en charge.
Si vous connectez deux réseaux Microsoft Windows NT, ils doivent se trouver dans le même
domaine Microsoft Windows ou il doit s’agir de domaines approuvés. Ceci est un problème de
réseau Microsoft, et non une limitation de Firebox.
Guide de l’utilisateur
429
Réseaux BOVPN (Branch Office Virtual Private Network)
n
n
n
Si vous voulez utiliser les serveurs DNS et WINS du réseau qui se trouve de l’autre côté du tunnel
VPN, vous devez connaître leurs adresses IP.
Firebox peut donner les adresses IP des serveurs WINS et DNS aux ordinateurs du réseau approuvé
si ces ordinateurs obtiennent leurs adresses IP auprès du périphérique Firebox à l’aide de DHCP.
Si vous voulez donner aux ordinateurs les adresses IP des serveurs WINS et DNS de l’autre côté du
VPN, vous pouvez taper ces adresses dans les paramètres DHCP de la configuration du réseau
approuvé.
Pour plus d’informations sur la manière de configurer Firebox pour qu’il distribue les adresses IP par
DHCP, voir Configurer DHCP en mode de routage mixte à la page 90.
Vous devez connaître l’adresse réseau des réseaux privés (approuvés) qui se trouvent derrière le
périphérique Firebox et celle du réseau qui se trouve derrière l’autre périphérique VPN, ainsi que
leurs masques de sous-réseau.
Note Les adresses IP privées des ordinateurs situés derrière Firebox ne peuvent pas être
les mêmes que les adresses IP des ordinateurs situés de l’autre côté du tunnel VPN.
Si votre réseau approuvé utilise les mêmes adresses IP que le bureau vers lequel il
va créer un tunnel VPN, votre réseau et l’autre réseau doivent modifier leur
adressage IP pour empêcher les conflits d’adresses IP.
À propos des tunnels BOVPN manuels
Un réseau privé virtuel (VPN, Virtual Private Network) crée des connexions sécurisées entre des
ordinateurs ou des réseaux situés à des emplacements différents. Chaque connexion est appelée un tunnel.
Lorsqu’un tunnel VPN est créé, les deux points de terminaison du tunnel s’authentifient mutuellement. Les
données du tunnel sont chiffrées. Seuls l’expéditeur et le destinataire du trafic peuvent les lire.
Les réseaux BOVPN (Branch Office Virtual Private Network) permettent aux entreprises de fournir une
connectivité sécurisée et chiffrée entre des agences séparées géographiquement. Les réseaux et les hôtes
d’un tunnel BOVPN peuvent être des sièges sociaux, des succursales, des utilisateurs distants ou des
télétravailleurs. Ces communications contiennent souvent les types de données critiques échangés au sein
du pare-feu de l’entreprise. Dans ce scénario, un réseau BOVPN fournit des connexions confidentielles
entre ces bureaux. Cela rationalise la communication, réduit le coût des lignes dédiées et préserve la
sécurité à chaque point de terminaison.
Les tunnels BOVPN manuels sont ceux qui ont été créés à partir de Fireware XTM Web UI, ce qui leur
confère beaucoup d’options supplémentaires. Un tunnel BOVPN géré est un autre type de tunnel BOVPN
que vous pouvez créer depuis le gestionnaire WatchGuard System Manager à l’aide de la fonction glisserdéplacer, d’un Assistant et de modèles. Pour plus d’informations sur ce type de tunnel, voir le Guide de
l’utilisateur du gestionnaire WatchGuard System Manager ou le système d’aide en ligne.
Comment créer un réseau privé virtuel (VPN)
Outre les exigences relatives au VPN, vous devez disposer des informations suivantes pour créer un tunnel
Manual VPN :
n
430
Vous devez savoir si l’adresse IP attribuée à l’autre périphérique VPN est statique ou dynamique. Si
l’autre périphérique VPN a une adresse IP dynamique, Firebox doit le localiser par son nom de
domaine et l’autre périphérique doit utiliser le service DNS dynamique.
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
n
n
n
Vous devez connaître la clé partagée (mot de passe) du tunnel. La même clé partagée doit être
utilisée par les deux périphériques.
Vous devez connaître la méthode de chiffrement utilisée pour le tunnel (DES, 3DES, AES 128 bits,
AES 192 bits ou AES 256 bits). Les deux périphériques VPN doivent utiliser la même méthode de
chiffrement.
Vous devez connaître la méthode d’authentification utilisée à chaque point de terminaison du
tunnel (MD5 ou SHA-1). Les deux périphériques VPN doivent utiliser la même méthode
d’authentification.
Pour plus d’informations, voir Comment créer un réseau BOVPN manuel à la page 429.
Nous vous recommandons de consigner par écrit la configuration de Firebox et les informations connexes
relatives à l’autre périphérique. Voir le Tableau d’exemple d’informations sur l’adresse VPN à la page 432
pour enregistrer ces informations.
Comment créer un tunnel BOVPN manuel
La procédure de base pour créer un tunnel manuel nécessite les étapes suivantes :
1. Configurer les passerelles–: des points de connexion situés aux extrémités locale et distante du
tunnel.
2. Créer des tunnels entre des points de terminaison de passerelle– configurer des itinéraires pour le
tunnel, spécifier comment les périphériques contrôlent la sécurité et créer une stratégie pour le
tunnel.
Les sections ci-dessous présentent d’autres options disponibles pour la création de tunnels BOVPN.
Tunnels unidirectionnels
Configurer la traduction d’adresses réseau (NAT) dynamique pour le trafic sortant via un tunnel BOVPN si
vous souhaitez garder le tunnel VPN ouvert dans un seul sens. Cela peut s’avérer utile lorsque vous créez
un tunnel vers un site distant où tout le trafic VPN provient d’une adresse IP publique.
Basculement VPN
Les tunnels VPN basculent automatiquement sur l’interface WAN de sauvegarde au cours d’un
basculement WAN. Vous pouvez configurer des tunnels BOVPN pour qu’ils puissent basculer vers le point
de terminaison d’un pair de sauvegarde si le point de terminaison principal n’est plus disponible. Pour cela,
vous devez définir au moins un point de terminaison de sauvegarde, tel que décrit dans Configurer le
basculement VPN à la page 469.
Paramètres VPN globaux
Les paramètres VPN globaux de Firebox s’appliquent aux tunnels BOVPN manuels, aux tunnels gérés et aux
tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour :
n
n
n
Activer le transit IPSec
Effacer ou conserver les paramètres des paquets lorsque les bits Type de service (TOS) sont définis
Utiliser un serveur LDAP pour vérifier les certificats
Guide de l’utilisateur
431
Réseaux BOVPN (Branch Office Virtual Private Network)
n
Forcer Firebox à envoyer une notification lorsqu’un tunnel BOVPN est défectueux (uniquement les
tunnels BOVPN)
Pour modifier ces paramètres, dans Fireware XTM Web UI, sélectionnez VPN > Paramètres globaux. Pour
plus d’informations sur ces paramètres, voir À propos des paramètres VPN globaux à la page 451.
État du tunnel BOVPN
Pour afficher l’état actuel des tunnels BOVPN : Dans Fireware XTM Web UI, sélectionnez État du système >
Statistiques VPN. Pour plus d’informations, voir Statistiques VPN à la page 391.
Renouveler la clé des tunnels BOVPN
Le Fireware XTM Web UI vous permet de générer immédiatement de nouvelles clés pour les tunnels
BOVPN au lieu d’attendre leur expiration. Pour plus d’informations, voir Renouveler la clé des tunnels
BOVPN à la page 472.
Tableau d’exemple d’informations sur l’adresse
VPN
Attribué
Élément
Description
par
Adresse IP qui identifie le périphérique compatible avec
IPSec sur Internet. ISP
Adresse IP externe
Exemple :
ISP
Site A : 207.168.55.2
Site B : 68.130.44.15
Adresse utilisée pour identifier un réseau local. Il s’agit des
adresses IP des ordinateurs situés de chaque côté qui sont
autorisés à envoyer du trafic dans le tunnel VPN. Nous vous
recommandons d’utiliser une adresse comprise dans l’une
des plages réservées :
10.0.0.0/8—255.0.0.0
172.16.0.0/12—255.240.0.0
Adresse de réseau
local
Vous
192.168.0.0/16—255.255.0.0
Les chiffres après la barre oblique désignent les masques
de sous-réseau. /24 signifie que le masque de sous-réseau
du réseau approuvé est 255.255.255.0. Pour plus
d’informations sur la notation de barre oblique, voir À
propos de la notation de barre oblique à la page 4.
Exemple :
432
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
Attribué
Élément
Description
par
Site A : 192.168.111.0/24
Site B : 192.168.222.0/24
La clé partagée est un mot de passe utilisé par deux
périphériques compatibles avec IPSec pour chiffrer et
déchiffrer les données qui traversent le tunnel VPN. Les
deux périphériques utilisent le même mot de passe. S’ils
n’ont pas le même mot de passe, ils ne peuvent pas
chiffrer et déchiffrer correctement les données.
Clé partagée
Pour plus de sécurité, utilisez un mot de passe combinant
des chiffres, des symboles, des minuscules et des
majuscules. Par exemple, « Gu4c4mo!3 » est préférable à
« guacamole ».
Vous
Exemple :
Site A : NotreSecretPartagé
Site B : NotreSecretPartagé
Méthode de
chiffrement
DES utilise le chiffrement 56 bits. 3DES utilise le
chiffrement 168 bits. Le chiffrement AES est disponible en
128 bits, 192 bits et 256 bits. AES 256 bits est le
chiffrement le plus sécurisé qui soit. Les deux
périphériques doivent utiliser la même méthode de
chiffrement.
Vous
Exemple :
Site A : 3DES ; Site B : 3DES
Guide de l’utilisateur
433
Réseaux BOVPN (Branch Office Virtual Private Network)
Attribué
Élément
Description
par
Les deux périphériques doivent utiliser la même méthode
d’authentification.
Authentification
Exemple :
Vous
Site A : MD5 (ou SHA-1)
Site B : MD5 (ou SHA-1)
Configurer les passerelles
Une passerelle est un point de connexion d’un ou plusieurs tunnels. Pour établir un tunnel, vous devez
configurer des passerelles sur les périphériques de terminaison locaux et distants. Pour configurer ces
passerelles, vous devez spécifier les éléments suivants :
n
n
n
Méthode d’informations d’identification : soit des clés prépartagées, soit un Firebox Certificate
IPSec. Pour plus d’informations sur l’utilisation des certificats pour l’authentification BOVPN, voir
Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN à la page 411.
Emplacement des points de terminaison de passerelle locaux et distants, soit par l’adresse IP, soit
par les informations de domaine.
Paramètres de phase 1 de la négociation IKE (Internet Key Exchange). Cette phase définit
l’association de sécurité (les protocoles et paramètres que les points de terminaison de passerelle
utilisent pour communiquer) pour protéger les données en transit au cours de la négociation.
1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale.
La page de configuration du réseau VPN de succursale s’ouvre, avec la liste Passerelles en haut de page.
2. Pour ajouter une passerelle, cliquez sur Ajouter à côté de la liste Passerelles.
La page de paramètres Passerelle s’ouvre.
434
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
3. Dans la zone de texte Nom de la passerelle, entrez un nom permettant d’identifier la passerelle
dans Firebox.
4. Dans lapage Passerelle, sélectionnez Utiliser la clé prépartagée ou Utiliser le Firebox Certificate
IPSec pour identifier la procédure d’authentification à utiliser.
Si vous avez sélectionné la clé prépartagée
Tapez ou collez la clé partagée. Vous devez utiliser la même clé partagée sur le périphérique
distant. Cette clé partagée doit uniquement contenir des caractères ASCII standard.
Si vous avez sélectionné le Firebox Certificate IPSec
Le tableau situé sous la case d’option montre les certificats actuels sur le système Firebox.
Sélectionnez le certificat à utiliser pour la passerelle.
Pour plus d’informations, voir Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN à
la page 411.
Vous pouvez à présent Définir les points de terminaison de passerelle.
Guide de l’utilisateur
435
Réseaux BOVPN (Branch Office Virtual Private Network)
Définir les points de terminaison de passerelle
Les points de terminaison de passerelle sont les passerelles locales et distantes auxquelles se connecte le
réseau BOVPN. Ces informations indiquent au périphérique WatchGuard comment identifier et
communiquer avec le périphérique de terminaison distant lorsqu’il négocie le réseau BOVPN. Elles
indiquent également au périphérique comment s’identifier auprès du point de terminaison distant lorsqu’il
négocie le réseau BOVPN.
Toute interface externe peut être un point de terminaison de passerelle. Si vous avez plusieurs interfaces
externes, vous pouvez configurer plusieurs points de terminaison de passerelle afin de Configurer le
basculement VPN.
Passerelle locale
Dans la section Passerelle Locale, configurez l’ID de la passerelle et l’interface auxquels se connecte le
réseau BOVPN sur votre périphérique WatchGuard. Pour l’ID de passerelle, si vous avez une adresse IP
statique, vous pouvez sélectionner Par adresse IP. Utilisez Par informations de domaine s’il y a un domaine
pour résoudre l’adresse IP à laquelle se connecte le réseau BOVPN sur votre périphérique WatchGuard.
1. Dans la section Points de terminaison de passerelle de Passerelle page, cliquez sur Ajouter.
La boîte de dialogue Paramètres de points de terminaison de la nouvelle passerelle apparaît.
436
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
2. Spécifiez l’ID de la passerelle.
n
n
n
n
Par adresse IP : Activez la case d’option Par adresse IP. Entrez l’adresse IP de l’interface
Firebox .
Par nom de domaine : Entrez votre nom de domaine.
Par ID d’utilisateur sur le domaine – Entrez le nom d’utilisateur et le domaine au format
nomutilisateur@nomdomaine .
Par nom x500 : Entrez le nom x500.
3. Dans la liste déroulante Interface externe, sélectionnez l’interface de Firebox avec l’adresse IP ou le
domaine choisi pour ID de passerelle.
Passerelle distante
Dans la zone Passerelle distante, configurez l’adresse IP et l’ID de passerelle du périphérique de terminaison
distant auquel se connecte le réseau BOVPN. L’adresse IP de la passerelle peut être une adresse IP
statique ou dynamique. L’ID de la passerelle peut être Par nom de domaine, Par ID d’utilisateur sur le
domaine ou Par nom x500. L’administrateur du périphérique de passerelle distant peut vous indiquer
laquelle employer.
Guide de l’utilisateur
437
Réseaux BOVPN (Branch Office Virtual Private Network)
1. Sélectionnez l’adresse IP de la passerelle distante.
n
n
Adresse IP statique : Sélectionnez cette option si le périphérique distant a une adresse IP
statique. Dans Adresse IP, entrez l’adresse IP ou sélectionnez-la dans la liste déroulante.
Adresse IP dynamique : Sélectionnez cette option si le périphérique distant a une adresse IP
dynamique.
2. Sélectionnez l’ID de la passerelle.
n
n
n
n
Par adresse IP : Activez la case d’option Par adresse IP. Entrez l’adresse IP.
Par nom de domaine : Entrez le nom de domaine.
Par ID d’utilisateur sur le domaine : Entrez l’ID d’utilisateur et le domaine.
Par nom x500 : Entrez le nom x500.
Note Si le point de terminaison VPN distant utilise le protocole DHCP ou PPPoE pour
obtenir son adresse IP externe, définissez le type d’ID de la passerelle distante sur
Nom de domaine. Attribuez au champ de nom du pair le nom de domaine complet
du point de terminaison VPN distant. Firebox utilise l’adresse IP et le nom de
domaine pour rechercher le point de terminaison VPN. Vérifiez que le serveur DNS
utilisé par Firebox peut identifier le nom.
Cliquez sur OK pour fermer la boîte de dialogue Paramètres de points de terminaison de la nouvelle
passerelle. La Passerelle page s’affichent. La paire de passerelles que vous avez définie apparaît dans la liste
des points de terminaison de passerelle. Allez dans Configurer les modes et les transformations (Paramètres
de phase 1) pour configurer les paramètres de phase 1 de cette passerelle.
Configurer les modes et les transformations (Paramètres de
phase 1)
La phase 1 de l’établissement d’une connexion IPSec désigne le stade où deux pairs créent un canal
sécurisé et authentifié pour communiquer. Il s’agit de l’association de sécurité (SA) ISAKMP.
Un échange de phase 1 peut utiliser le mode principal ou le mode agressif. Le mode détermine le type et le
nombre d’échanges de messages qui se produisent au cours de cette phase.
Une transformation est un ensemble de protocoles et d’algorithmes de sécurité servant à protéger les
données VPN. Au cours de la négociation IKE, les pairs s’entendent sur l’utilisation d’une transformation
donnée.
Vous pouvez définir un tunnel de sorte qu’il offre à un pair plusieurs transformations pour la négociation.
Pour plus d’informations, voir Ajouter une transformation de phase 1 à la page 441.
1. Dans la page Passerelle, sélectionnez les Phase 1 onglet Paramètres.
438
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
2. Dans la liste déroulante Mode, sélectionnez Principal, Agressif ou Principal ou Agressif en cas
d’échec.
Mode principal
Il s’agit d’un mode plus sécurisé qui utilise trois échanges de messages distincts, soit six
messages au total. Les deux premiers négocient la stratégie, les deux suivants échangent des
données Diffie-Hellman et les deux derniers authentifient l’échange Diffie-Hellman. Le mode
principal prend en charge les groupes Diffie-Hellman 1, 2 et 5. Ce mode vous permet
également d’utiliser plusieurs transformations, tel qu’indiqué dans Ajouter une transformation
de phase 1 à la page 441.
Mode agressif
Il s’agit d’un mode plus rapide, car il n’utilise que trois messages, qui échangent À propos des
groupes Diffie-Hellman des données et identifient les deux points de terminaison VPN.
L’identification des points de terminaison VPN rend le mode Agressif moins sûr.
Principal ou Agressif en cas d’échec
Guide de l’utilisateur
439
Réseaux BOVPN (Branch Office Virtual Private Network)
Firebox tente un échange de phase 1 en mode principal. En cas d’échec de la négociation, il
utilise le mode agressif.
3. Si vous souhaitez créer un tunnel BOVPN entre Firebox et un autre périphérique situé derrière un
périphérique NAT, activez la case à cocher NAT Traversal. Le NAT Traversal ou l’encapsulation UDP
permet au trafic de parvenir aux destinations correctes.
4. Pour que Firebox envoie des messages à son pair IKE afin de garder le tunnel VPN ouvert, activez la
case à cocher Conservation d’activité IKE. Pour définir le paramètre Intervalle entre les messages,
tapez le nombre de secondes ou utilisez le contrôle de valeur pour sélectionner le nombre de
secondes souhaité.
Note La conservation d’activité IKE est utilisée uniquement par les périphériques
WatchGuard. Ne l’activez pas si le point de terminaison distant est un périphérique
IPSec tiers.
5. Pour définir le nombre maximal de fois que Firebox doit tenter d’envoyer un message de
conservation d’activité IKE avant d’essayer à nouveau de négocier la phase 1, tapez le nombre
souhaité dans la zone Nombre d’échecs max..
6. Utilisez la case à cocher Détection DPD (Dead Peer Detection) pour activer ou désactiver la
détection DPD basée sur le trafic. Lorsque vous activez la détection DPD (Dead Peer Detection),
Firebox ne se connecte à un pair que si aucun trafic n’est reçu de ce dernier pendant une durée
définie et qu’un paquet attend de lui être envoyé. Cette méthode est plus évolutive que les
messages de conservation d’activité IKE.
Si vous souhaitez modifier les paramètres par défaut de Firebox, entrez la durée (en secondes) dans
le champ Délai d’inactivité du trafic avant la tentative de connexion au pair. Dans le champ Nombre
maximal de tentatives, entrez le nombre de fois que Firebox doit tenter de se connecter avant que
le pair soit déclaré inactif.
La détection DPD (Dead Peer Detection) est une norme professionnelle utilisée par la plupart des
périphériques IPSec. Nous vous recommandons de sélectionner la détection DPD (Dead Peer
Detection) si les deux périphériques de terminaison la prennent en charge.
Note Si vous configurez le basculement VPN, vous devez activer la détection DPD. Pour
plus d’informations sur le basculement VPN, voir Configurer le basculement VPN à
la page 469
7. Firebox contient une transformation par défaut définie, qui figure dans la liste Paramètres de
transformation. Cette transformation spécifie l’authentification SHA-1, le chiffrement 3DES et le
groupe Diffie-Hellman 2.
Vous pouvez :
n Utiliser cet ensemble de transformation par défaut.
n Supprimer cet ensemble de transformation et le remplacer par un autre.
n Ajoutez une autre transformation, comme indiqué dans Ajouter une transformation de
phase 1 à la page 441.
440
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
Ajouter une transformation de phase 1
Vous pouvez définir un tunnel de sorte à offrir à un pair plusieurs transformations pour les négociations. Par
exemple, une transformation peut contenir SHA1-DES-DF1 ([méthode d’authentification]-[méthode de
chiffrement]-[groupe de clés]) et une seconde transformation MD5-3DES-DF2, la transformation SHA1-DESDF1 bénéficiant d’une priorité supérieure à la seconde. Une fois le tunnel créé, Firebox peut utiliser soit SHA1DES-DF1 soit MD5-3DES-DF2 pour correspondre à la transformation de l’autre point de terminaison VPN.
Vous pouvez inclure neuf transformations au maximum. Vous devez spécifier Mode principal dans les
paramètres de phase 1 pour utiliser plusieurs transformations.
1. Sous l’onglet Paramètres de phase 1 de la page Passerelle, allez dans la zone Paramètres de
transformation dans la partie inférieure de la page. Cliquez sur Ajouter.
La boîte de dialogue Paramètres de transformation s’affiche.
2. Dans la liste déroulante Authentification, sélectionnez le type d’authentification SHA1 ou MD5.
3. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement AES (128 bits), AES (192
bits), AES (256 bits), DES ou 3DES.
4. Pour modifier la durée de vie de l’association de sécurité, tapez un nombre dans le champ SA Life et
sélectionnez Heure ou Minute dans la liste déroulante adjacente.
5. Dans la liste déroulante Groupe de clés, sélectionnez le groupe Diffie-Hellman souhaité. Fireware
XTM prend en charge les groupes 1, 2 et 5.
Les groupes Diffie-Hellman déterminent la force de la clé principale utilisée dans le processus
d’échange de clés. Plus le numéro de groupe est élevé, meilleure est la sécurité, mais plus le délai
de création des clés est long. Pour plus d’informations, voir À propos des groupes Diffie-Hellman à la
page 441.
6. Vous pouvez ajouter neuf transformations au maximum. Vous pouvez sélectionner une
transformation et cliquer sur Actif ou Inactif pour modifier sa priorité. La transformation située en
haut de la liste est utilisée en premier.
7. Cliquez sur OK.
À propos des groupes Diffie-Hellman
Les groupes Diffie-Hellman déterminent la force de la clé utilisée dans le processus d’échange de clés. Les
groupes portant un numéro supérieur sont plus sûrs, mais il faut plus de temps pour créer la clé.
Les périphériques WatchGuard prennent en charge les groupes Diffie-Hellman 1, 2 et 5 :
Guide de l’utilisateur
441
Réseaux BOVPN (Branch Office Virtual Private Network)
n
n
n
Groupe Diffie-Hellman 1 : groupe 768 bits
Groupe Diffie-Hellman 2 : groupe 1024 bits
Groupe Diffie-Hellman 5 : groupe 1536 bits
Les deux pairs d’un échange VPN doivent utiliser le même groupe, qui est négocié pendant la phase 1 du
processus de négociation IPSec. Lorsque vous définissez un tunnel BOVPN manuel, vous spécifiez le groupe
Diffie-Hellman pendant la phase 1 de l’établissement d’une connexion IPSec. Cette phase désigne le stade
où deux pairs créent un canal sécurisé et authentifié pour communiquer.
Groupes Diffie-Hellman et Perfect Forward Secrecy (PFS)
Outre la phase 1, vous pouvez également spécifier le groupe Diffie-Hellman pendant la phase 2 de
l’établissement d’une connexion IPSec. La configuration de phase 2 comprend les paramètres d’une
association de sécurité, qui définit la manière dont les paquets de données sont sécurisés lorsqu’ils sont
transmis entre deux points de terminaison. Vous ne spécifiez le groupe Diffie-Hellman pendant la phase 2
que lorsque vous sélectionnez la confidentialité Perfect Forward Secrecy (PFS)
Avec cette confidentialité, les clés sont plus sûres, car les nouvelles clés ne sont pas créées à partir des
précédentes. Si une clé est comprise, les clés de la nouvelle session sont tout de même sécurisées. Lorsque
vous spécifiez la confidentialité PFS pendant la phase 2, il y a un échange Diffie-Hellman à chaque nouvelle
négociation d’une association de sécurité.
Il n’est pas nécessaire que le groupe choisi pour la phase 2 corresponde au groupe choisi pour la phase 1.
Comment choisir un groupe Diffie-Hellman
Le groupe Diffie-Hellman par défaut pour les phases 1 et 2 est le groupe 1. Il garantit une sécurité de base
et une bonne performance. Si la vitesse d’initialisation du tunnel et de renouvellement des clés ne pose pas
de problème, utilisez les groupes 2 ou 5. La vitesse réelle d’initialisation et de renouvellement dépend de
plusieurs facteurs. Il peut s’avérer utile d’essayer les groupes Diffie-Hellman 2 ou 5 pour décider si le
ralentissement de la performance pose un problème sur votre réseau. Si le niveau de performance est
inacceptable, optez pour un groupe inférieur.
Analyse de la performance
Le tableau suivant présente le résultat d’une application logicielle générant les valeurs de 2 000 groupes
Diffie-Hellman. Ces chiffres correspondent à un processeur Intel Pentium 4 de 1,7 GHz.
Groupe DH
Nombre de paires
de clés
Temps requis
Temps par paire de
clés
Groupe 1
2000
43 s.
21 ms.
Groupe 2
2000
84 s.
42 ms.
Groupe 5
2000
246 s.
123 ms.
Modifier et supprimer des passerelles
Pour modifier la définition d’une passerelle
442
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
1. Sélectionnez VPN > BOVPN.
2. Sélectionnez une passerelle, puis cliquez sur Modifier.
La page de paramètres Passerelle s’ouvre.
3. Effectuez les modifications et cliquez sur Enregistrer.
Pour supprimer une passerelle, sélectionnez-la, puis cliquez sur Supprimer.
Désactiver le démarrage automatique du tunnel
Les tunnels BOVPN sont automatiquement établis à chaque démarrage du périphérique WatchGuard. Il
peut être utile de modifier ce comportement par défaut. Souvent, on le modifie quand le point de
terminaison distant utilise un périphérique tiers qui doit initier le tunnel en lieu et place du point de
terminaison local.
Pour désactiver le démarrage automatique des tunnels qui utilisent une passerelle
1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale.
La page de configuration VPN de succursale s’affiche
2. Sélectionnez une passerelle, puis cliquez sur Modifier.
La page Passerelle s’ouvre.
3. Désactivez la case à cocher Lancer le tunnel de phase 1 au démarrage de Firebox en bas de la page.
Si votre Firebox se trouve derrière un périphérique NAT
Firebox peut utiliser NAT Traversal Cela signifie que vous pouvez créer des tunnels VPN si votre fournisseur
de services Internet assure la traduction d’adresses réseau (NAT) ou si l’interface externe de Firebox est
connectée à un périphérique assurant la traduction d’adresses réseau. Il est recommandé que l’interface
externe de Firebox ait une adresse IP publique. Si ce n’est pas possible, conformez-vous aux instructions
suivantes.
Les périphériques NAT sont fréquemment dotés de fonctionnalités de pare-feu de base. Pour créer un
tunnel VPN vers le système Firebox lorsque celui-ci se trouve derrière un périphérique NAT, le
périphérique NAT doit laisser passer le trafic. Les ports et protocoles suivants doivent être ouverts sur le
périphérique NAT :
n
n
n
Port UDP 500 (IKE)
Port UDP 4500 (NAT Traversal)
Protocole IP 50 (Encapsulating Security Payload ou ESP)
Consultez la documentation de votre périphérique NAT pour plus d’informations sur la manière d’ouvrir ces
ports et protocoles sur le périphérique NAT.
Si l’interface externe de Firebox possède une adresse IP privée, vous ne pouvez pas utiliser une adresse IP
comme type d’ID local dans les paramètres de phase 1.
n
Si le périphérique NAT auquel Firebox est connecté possède une adresse IP publique dynamique :
n Commencez par configurer le périphérique en mode pont. Pour plus d’informations, voir
Mode pont à la page 99. En mode pont, l’adresse IP publique est transmise à l’interface
externe de Firebox. Consultez la documentation de votre périphérique NAT pour plus
d’informations.
Guide de l’utilisateur
443
Réseaux BOVPN (Branch Office Virtual Private Network)
Configurez le DNS dynamique sur Firebox. Pour plus d’informations, voir À propos du
Service DNS dynamique à la page 92. Dans les paramètres de phase 1 de Manual VPN,
définissez le type d’ID local sur Nom de domaine. Entrez le nom de domaine DynDNS du
périphérique en tant qu’ID local. Le périphérique distant doit identifier le périphérique
Firebox par nom de domaine et doit utiliser le nom de domaine DynDNS qui lui est
associé dans sa configuration de phase 1.
Si le périphérique NAT auquel Firebox est connecté possède une adresse IP publique statique :
n Dans les paramètres de phase 1 de Manual VPN, définissez le type d’ID local sur Nom de
domaine dans la liste déroulante. Entrez l’adresse IP publique attribuée à l’interface
externe du périphérique NAT comme ID local. Le périphérique distant doit identifier le
périphérique Firebox par nom de domaine et il doit utiliser la même adresse IP comme
nom de domaine dans sa configuration de phase 1.
n
n
Créer des tunnels entre des points de terminaison
de passerelle
Après avoir défini des points de terminaison de passerelle, vous pouvez créer des tunnels entre elles. Pour
créer un tunnel, il faut :
n
n
Définir un tunnel
Configurer les Paramètres de phase 2 pour la négociation IKE (Internet Key Exchange). Cette phase
configure des associations de sécurité pour le chiffrement des paquets de données.
Définir un tunnel
1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale.
La page VPN de succursale s’affiche.
444
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
2. Cliquez sur Ajouter adjacent à la liste Tunnels.
La boîte de dialogue Nouveau tunnel s’affiche.
Guide de l’utilisateur
445
Réseaux BOVPN (Branch Office Virtual Private Network)
3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
Assurez-vous que le nom est unique et ne se retrouve pas parmi les noms de tunnels, de groupes
Mobile VPN et d’interfaces.
4. Dans la liste Passerelle, sélectionnez la passerelle que ce tunnel va utiliser.
5. Activez la case à cocher Ajouter ce tunnel aux stratégies d’autorisation BOVPN-Allow si vous
souhaitez ajouter le tunnel aux stratégies BOVPN-Allow.in et BOVPN-Allow.out. Ces stratégies
autorisent tout le trafic correspondant aux itinéraires du tunnel. Si vous souhaitez restreindre le
trafic dans le tunnel, désactivez cette case à cocher et créer des stratégies personnalisées pour les
types de trafic que vous souhaitez autoriser à passer par le tunnel.
Vous pouvez à présent Ajouter des itinéraires à un tunnel, Configurer les Paramètres de phase 2ou Activer
le routage de multidiffusion via un tunnel BOVPN.
Modifier et supprimer un tunnel
Pour modifier un tunnel, sélectionnez VPN > Tunnels « Branch Office ». sélectionnez VPN > BOVPN.
1. Sélectionnez le tunnel et cliquez sur Modifier.
La page Tunnel apparaît.
2. Effectuez vos modifications et cliquez sur Enregistrer.
446
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
Pour supprimer un tunnel de la page BOVPN, sélectionnez le tunnel et cliquez sur Supprimer.
Ajouter des itinéraires à un tunnel
1. Dans l’onglet Adresses de la boîte de dialogue Tunnel, cliquez sur Ajouter.
La boîte de dialogue Paramètres d’itinéraire de tunnel s’affiche.
2. Dans la section IP locale, sélectionnez le type de l’adresse locale dans la liste déroulante Choisir le
type. Entrez ensuite la valeur dans la zone de texte adjacente. Vous pouvez entrer une adresse IP
d’hôte, une adresse réseau, une plage d’adresses IP d’hôte ou un nom DNS.
3. Dans la section IP distante, sélectionnez le type de l’adresse distante dans la liste déroulante Choisir
le type. Entrez ensuite la valeur dans la zone de texte adjacente. Vous pouvez entrer une adresse IP
d’hôte, une adresse réseau, une plage d’adresses IP d’hôte ou un nom DNS.
4. Dans la liste déroulante Direction, sélectionnez le sens du tunnel. Le sens du tunnel détermine quel
point de terminaison du tunnel VPN peut démarrer une connexion VPN à travers le tunnel.
5. Vous pouvez utiliser l’onglet NAT pour activer 1-to-1 NAT et la traduction d’adresses réseau (NAT)
dynamique si les types d’adresses et le sens du tunnel sélectionnés sont compatibles. Pour plus
d’informations, voir Configurer la traduction d’adresses réseau (NAT) dynamique pour le trafic
sortant via un tunnel BOVPN et Utiliser 1-to-1 NAT via un tunnel BOVPN à la page 453.
6. Cliquez sur OK.
Configurer les Paramètres de phase 2
Les paramètres de phase 2 comprennent les paramètres d’une association de sécurité (AS) qui définit la
manière dont les paquets de données sont sécurisés lorsqu’ils sont transmis entre deux points de
terminaison. L’association de sécurité conserve toutes les informations nécessaires pour que Firebox sache
comment traiter le trafic entre les points de terminaison. Les paramètres de l’association de sécurité
peuvent comprendre les éléments suivants :
Guide de l’utilisateur
447
Réseaux BOVPN (Branch Office Virtual Private Network)
n
n
n
n
n
algorithmes de chiffrement et d’authentification utilisés ;
durée de vie de l’association de sécurité (en secondes ou en nombre d’octets, ou les deux) ;
adresse IP du périphérique pour lequel l’association de sécurité est établie (à savoir le périphérique
qui gère le chiffrement et le déchiffrement IPSec de l’autre côté du VPN, et non l’ordinateur situé
derrière qui envoie ou reçoit du trafic) ;
adresses IP source et de destination du trafic auquel l’association de sécurité s’applique ;
sens du trafic auquel l’association de sécurité s’applique (il y a une association de sécurité pour
chaque sens, c’est-à-dire pour le trafic entrant et pour le trafic sortant).
1. Dans la page Tunnel, cliquez sur l’onglet Paramètres de phase 2.
2. Activez la case à cocher PFS si vous souhaitez activer le Perfect Forward Secrecy (PFS). Si vous
activez le mode PFS, sélectionnez le groupe Diffie-Hellman.
Le mode PFS offre une plus grande protection aux clés qui sont créées au cours d’une session. Les
clés générées avec le mode PFS ne sont pas produites à partir d’une clé antérieure. Si une clé
antérieure est compromise après une session, les clés de la nouvelle session sont sécurisées. Pour
plus d’informations, voir À propos des groupes Diffie-Hellman à la page 441.
3. Firebox contient une proposition par défaut qui figure dans la liste Propositions IPSec. Cette
proposition associe la méthode de protection des données ESP, le chiffrement AES et
l’authentification SHA-1. Vous pouvez :
448
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
n
n
n
Cliquer sur Ajouter pour ajouter la proposition par défaut.
Sélectionnez une autre proposition dans la liste déroulante et cliquez sur Ajouter.
Ajoutez une autre proposition, comme indiqué dans Ajouter une proposition de phase 2 à la
page 449.
Si vous prévoyez d’utiliser la fonction de transit IPSec, vous devez utiliser une proposition qui spécifie ESP
(Encapsulating Security Payload) comme méthode de proposition. La fonction de transit IPSec prend en
charge le protocole ESP, mais pas le protocole AH. Pour plus d’informations sur le transit IPSec, voir À
propos des paramètres VPN globaux à la page 451.
Ajouter une proposition de phase 2
Vous pouvez définir un tunnel de sorte à offrir à un pair plusieurs propositions pour la phase 2 de l’IKE. Par
exemple, vous pouvez spécifier ESP-3DES-SHA1 dans une première proposition et ESP-DES-MD5 dans une
deuxième proposition. Lorsque le trafic transite par le tunnel, l’association de sécurité peut utiliser ESP3DES-SHA1 ou ESP-DES-MD5 afin de correspondre aux paramètres de transformation du pair.
Vous pouvez inclure neuf propositions au maximum.
Pour ajouter une nouvelle proposition, cliquez sur l’onglet Paramètres de phase 2 dans la page Tunnel .
Ajouter une proposition existante
Vous pouvez faire votre choix parmi six propositions préconfigurées. Les noms sont au format <Type><Authentication>-<Encryption>. Pour toutes les six, la fonctionnalité Forcer l’expiration de la clé est activée
sur 8 heures ou 128 000 kilo-octets.
Pour utiliser l’une des six propositions préconfigurées :
1. Sur la page Tunnels, dans la section Propositions IPSec, sélectionnez la proposition à ajouter.
2. Cliquez sur Ajouter.
Créer une proposition
1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale. Dans la section Propositions de
phase 2, cliquez sur Ajouter.
La page Proposition de phase 2 s’affiche.
Guide de l’utilisateur
449
Réseaux BOVPN (Branch Office Virtual Private Network)
2. Dans la zone de texte Nom, entrez le nom de la nouvelle proposition.
Dans la zone de texte Description, entrez une description permettant d’identifier cette proposition
(facultatif).
3. Dans la liste déroulante Type, sélectionnez la méthode de proposition ESP ou AH. Il est recommandé
d’utiliser ESP (Encapsulating Security Payload). ESP et AH (Authentication Header) diffèrent de la
manière suivante :
n
n
n
ESP associe l’authentification au chiffrement.
AH s’appuie uniquement sur l’authentification. L’authentification ESP n’inclut pas la protection
de l’en-tête IP, contrairement à AH.
La fonction de transit IPSec prend en charge le protocole ESP, mais pas le protocole AH. Si vous
envisagez d’utiliser la fonction de transit IPSec, vous devez spécifier ESP comme méthode de
proposition. Pour plus d’informations sur le transit IPSec, voir À propos des paramètres VPN
globaux à la page 451.
4. Dans la liste déroulante Authentification, sélectionnez la méthode d’authentification SHA1, MD5 ou
Aucun.
5. (Si vous avez sélectionné ESP dans la liste déroulante Type) Dans la liste déroulante Chiffrement,
sélectionnez la méthode de chiffrement.
Les options sont DES, 3DES et AES 128, 192 ou 256 bits. Elles sont classées dans la liste de la plus
simple et la moins sécurisée à la plus complexe et la plus sécurisée.
6. Pour que les points de terminaison de passerelle génèrent et échangent de nouvelles clés après un
certain laps de temps ou le passage d’un certain volume de trafic, activez la case à cocher Forcer
l’expiration de la clé. Dans les champs situés en dessous, entrez la durée et le nombre d’octets au
bout desquels la clé doit expirer.
Si l’option Forcer l’expiration de la clé est désactivée, ou si elle est activée et que les paramètres de
450
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
temps et de kilo-octets ont la valeur zéro, Firebox tente d’utiliser la durée d’expiration de la clé
définie pour le pair. Si cette option est également désactivée ou définie sur zéro, Firebox utilise une
durée d’expiration de la clé de huit heures.
Le laps de temps maximum avant l’expiration forcée de la clé est d’un an.
7. Cliquez sur Enregistrer.
Modifier une proposition
Seules les propositions définies par l’utilisateur peuvent être modifiées.
1. Dans Fireware XTM Web UI, sélectionnez VPN > BOVPN.
2. Dans la section Propositions de phase 2, sélectionnez une proposition et cliquez sur Modifier.
3. Modifiez les champs comme indiqué dans la section Créer une proposition de cette rubrique.
Modifier l’ordre des tunnels
L’ordre des tunnels VPN est particulièrement important lorsque plusieurs tunnels utilisent les mêmes
itinéraires ou lorsque les itinéraires se chevauchent. Un tunnel qui se trouve en haut de la liste des tunnels
dans la boîte de dialogue Tunnels IPSec de filiale est prioritaire sur les tunnels qui sont plus bas dans la liste
lorsque le trafic correspond aux itinéraires de plusieurs tunnels.
Vous pouvez changer l’ordre dans lequel Firebox tente de se connecter :
1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale.
La page de configuration BOVPN apparaît.
2. Sélectionnez un tunnel et cliquez sur Monter ou Descendre pour le faire monter ou descendre dans
la liste.
À propos des paramètres VPN globaux
Vous pouvez sélectionner des paramètres qui s’appliquent aux tunnels BOVPN manuels, aux tunnels
BOVPN gérés et aux tunnels Mobile VPN with IPSec.
1. Dans Fireware XTM Web UI, sélectionnez VPN > Paramètres globaux.
La page Paramètres VPN globaux s’affiche.
Guide de l’utilisateur
451
Réseaux BOVPN (Branch Office Virtual Private Network)
2. Examinez les paramètres expliqués ci-dessous pour les tunnels VPN.
Activer le transit IPSec
Pour permettre à un utilisateur d’établir des connexions IPSec vers un Firebox derrière un autre Firebox, la
case à cocher Activer le transit IPSec doit rester activée. Par exemple, des employés itinérants se trouvant
chez un client équipé d’un Firebox peuvent utiliser IPSec pour établir des connexions IPSec vers leurs
réseaux. Pour que le périphérique Firebox local établisse correctement la connexion IPSec sortante, vous
devez également ajouter une stratégie IPSec dans Policy Manager.
Lorsque vous créez une proposition de phase 2 et que vous projetez d’utiliser la fonction de transit IPSec,
vous devez spécifier ESP (Encapsulating Security Payload) comme méthode de proposition. La fonction de
transit IPSec prend en charge ESP, mais pas AH (Authentication Header). Pour plus d’informations sur la
création d’une proposition de phase 2, voir Ajouter une proposition de phase 2 à la page 449.
Lorsque vous activez la fonction de transit IPSec, une stratégie intitulée WatchGuard IPSec est
automatiquement ajoutée à Policy Manager. Cette stratégie autorise le trafic en provenance d’un réseau
approuvé ou facultatif vers n’importe quelle destination. Lorsque vous désactivez la fonction de transit
IPSec, la stratégie WatchGuard IPSec est automatiquement supprimée.
Activer le type de service (TOS) pour IPSec
Le type de service (TOS) est un ensemble d’indicateurs à quatre bits dans l’en-tête IP qui permet d’indiquer
aux périphériques de routage de fournir un datagramme IP plus ou moins prioritaire que d’autres
datagrammes. Fireware vous permet d’autoriser les tunnels IPSec à effacer ou conserver les paramètres
sur les paquets TOS. Certains fournisseurs de services Internet abandonnent tous les paquets comportant
des indicateurs TOS.
Si vous n’activez pas la case à cocher Activer le type de service (TOS) pour IPSec, aucun paquet IPSec ne
comporte de bits TOS. Les bits TOS auparavant définis sont supprimés lorsque Fireware encapsule le paquet
dans un en-tête IPSec.
452
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
Lorsque la case à cocher Activer le type de service (TOS) pour IPSec est activée et que le paquet d’origine
comporte des bits TOS, Fireware conserve l’ensemble de bits TOS lorsqu’il encapsule le paquet dans l’entête IPSec. Si le paquet d’origine ne comporte pas d’ensemble de bits TOS, Fireware ne définit pas
d’indicateurs TOS lorsqu’il encapsule le paquet dans l’en-tête IPSec.
Prenez en compte le paramètre de cette case à cocher pour appliquer un marquage QoS au trafic IPsec. Le
marquage QoS peut modifier le paramètre d’indicateurs TOS. Pour plus d’informations sur le marquage
QoS, voir À propos de Marquage QoS à la page 335.
Activer le serveur LDAP pour la vérification du certificat
Lorsque vous créez une passerelle VPN, vous spécifiez une méthode d’informations d’identification pour
les deux extrémités VPN à utiliser une fois le tunnel créé. Si vous choisissez d’utiliser un Firebox Certificate
IPSec, vous pouvez identifier un serveur LDAP qui validera le certificat. Entrez l’adresse IP pour le serveur
LDAP. Vous pouvez également spécifier un port différent du port 389.
Ce paramètre ne s’applique pas aux tunnels Mobile VPN with IPSec.
Utiliser 1-to-1 NAT via un tunnel BOVPN
Lorsque vous créez un tunnel BOVPN entre deux réseaux utilisant la même plage d’adresses IP privées, il y
a conflit d’adresses. Pour créer un tunnel sans conflit, les deux réseaux doivent appliquer une traduction
d’adresses réseau 1-to-1 NAT au réseau VPN. Avec 1-to-1 NAT, les adresses IP de vos ordinateurs semblent
différentes de leur véritable adresse lorsque le trafic transite par VPN.
Ce paramètre associe une ou plusieurs adresses IP d’une plage à une autre plage d’adresses de même taille.
À chaque adresse IP de la première plage correspond une adresse IP de la seconde plage. Dans ce
document, nous appelons la première plage « adresses IP réelles » et la seconde plage « fausses adresses IP
». Pour plus d’informations sur 1-to-1 NAT, voir À propos de 1-to-1 NAT à la page 147.
1-to-1 NAT et réseaux VPN
Quand vous utilisez 1-to-1 NAT via un tunnel BOVPN :
n
n
Quand un ordinateur de votre réseau envoie du trafic à un ordinateur du réseau distant, Firebox
remplace l’adresse IP source des données par une adresse IP prise dans la plage des fausses
adresses. Le réseau distant voit les fausses adresses IP comme source du trafic.
Quand un ordinateur du réseau distant envoie du trafic à un ordinateur de votre réseau par VPN, le
bureau distant envoie les données à la plage de fausses adresses IP. Firebox remplace l’adresse IP de
destination par la bonne adresse dans la plage des adresses IP réelles, puis achemine les données
vers leur destination prévue.
1-to-1 NAT via VPN affecte uniquement le trafic qui transite par ce réseau VPN. Les règles que vous lisez dans
Fireware XTM Web UI sur Réseau > NAT n’ont pas d’incidence sur le trafic qui passe par le réseau VPN.
Guide de l’utilisateur
453
Réseaux BOVPN (Branch Office Virtual Private Network)
Autres raisons d’utiliser 1-to-1 NAT via un réseau VPN
Outre la situation précédente, 1-to-1 NAT via VPN sert également lorsque le réseau auquel vous souhaitez
vous relier par VPN dispose déjà d’un VPN vers un réseau ayant les mêmes adresses IP privées que celles
de votre réseau. Un périphérique IPSec ne peut pas acheminer des données vers deux réseaux distants
différents lorsque ces deux réseaux utilisent les mêmes adresses IP privées. 1-to-1 NAT via VPN permet de
donner aux ordinateurs de votre réseau des adresses IP différentes (« fausses »). Toutefois, contrairement
à la situation décrite au début de la rubrique, la traduction d’adresses réseau (NAT) ne doit être utilisée que
de votre côté du réseau VPN et non des deux côtés.
On retrouve une situation similaire lorsque deux bureaux distants utilisent les mêmes adresses IP privées et
qu’ils veulent tous les deux ouvrir une liaison VPN avec votre Firebox. Dans ce cas, un des bureaux distants
doit utiliser la traduction d’adresses réseau (NAT) pour établir son réseau VPN avec Firebox afin de
résoudre le conflit d’adresses IP.
Alternativeà l’utilisation de latraduction d’adressesréseau (NAT)
Si votre bureau utilise une plage commune d’adresses IP privées, par exemple 192.168.0.x ou 192.168.1.x,
il y a de fortes probabilités que vous soyez confrontés à des problèmes de conflits d’adresses IP à l’avenir.
Ces plages d’adresses IP sont souvent utilisées par les routeurs large bande ou d’autres périphériques
électroniques à domicile et dans les petits bureaux. Vous devriez envisager de passer à une plage
d’adresses IP privées moins courante, par exemple 10.x.x.x ou 172.16.x.x.
Configuration du réseau VPN
1. Sélectionnez une plage d’adresses IP que les ordinateurs utiliseront comme adresses IP source pour
l’acheminement du trafic de votre réseau vers le réseau distant via BOVPN. Consultez
l’administrateur réseau de l’autre réseau pour sélectionner une plage d’adresses IP non utilisées.
N’utilisez pas les adresses IP des réseaux suivants :
n
n
n
n
n
n
Réseau approuvé, facultatif ou externe connecté à Firebox
Réseau secondaire connecté à une interface approuvée, facultative ou externe de Firebox
Réseau routé configuré dans votre stratégie Firebox (Réseau > Itinéraires)
Réseaux auxquels vous êtes déjà reliés par un tunnel BOVPN
Pools d’adresses IP virtuelles pour Mobile VPN
Réseaux que le périphérique IPSec distant peut atteindre via ses interfaces, itinéraires réseau
ou itinéraires VPN
2. Configurer les passerelles pour les périphériques Firebox distants et locaux.
3. Créer des tunnels entre des points de terminaison de passerelle. Dans la boîte de dialogue
Paramètres d’itinéraire de tunnel de chaque Firebox, activez la case à cocher 1:1 NAT et entrez la
plage de fausses adresses IP dans la zone de texte adjacente.
Le nombre d’adresses IP notées dans cette zone doit être rigoureusement identique au nombre
d’adresses IP de la zone de texte Local, en haut de la boîte de dialogue. Par exemple, si vous utilisez
la notation de barre oblique pour indiquer un sous-réseau, la valeur après la barre oblique doit être
identique dans les deux zones de texte. Pour plus d’informations, voir À propos de la notation de
barre oblique à la page 4.
454
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
Il n’est pas nécessaire de définir quoi que ce soit dans les paramètres Réseau > NAT dans Fireware XTM
Web UI. Ces paramètres n’ont pas d’incidence sur le trafic VPN.
Exemple
Imaginons que deux sociétés, Site A et Site B, souhaitent établir un réseau BOVPN entre leurs réseaux
approuvés. Toutes deux utilisent Firebox avec Fireware XTM. Elles ont les mêmes adresses IP pour leurs
réseaux approuvés, 192.168.1.0/24. Le périphérique Firebox de chaque société utilise 1-to-1 NAT sur le
réseau VPN. Le site A envoie du trafic à la fausse plage du site B, et le trafic sort du sous-réseau local du site
A. De même, le site B envoie du trafic à la fausse plage utilisée par le site A. Cette solution résout le conflit
d’adresses IP dans les deux réseaux. Les deux sociétés décident d’un commun accord que :
n
n
Le site A fait provenir son réseau approuvé de la plage 192.168.100.0/24 lorsque des données
transitent par VPN. C’est la plage de fausses adresses IP du site B pour ce VPN.
Le site B fait provenir son réseau approuvé de la plage 192.168.200.0/24 lorsque des données
transitent par VPN. C’est la plage de fausses adresses IP du site B pour ce VPN.
Définir une passerelle de succursale sur chaque Firebox
La première étape consiste à établir une passerelle qui identifie le périphérique IPSec distant. Quand vous
créez cette passerelle, elle apparaît dans la liste des passerelles dans Fireware XTM Web UI. Pour voir la
liste des passerelles depuis Fireware XTM Web UI, sélectionnez VPN > VPN de succursale.
Configurer le tunnel local
1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale.
La page VPN de succursale s’affiche.
2. Dans la section Tunnel de la page BOVPN, cliquez sur Ajouter.
La page de paramètres Tunnel s’ouvre.
Guide de l’utilisateur
455
Réseaux BOVPN (Branch Office Virtual Private Network)
3. Donnez un nom descriptif au tunnel. Dans l’exemple, il s’agit de « TunnelTo_SiteB » (TunnelVers_
SiteB).
4. Dans la liste déroulante Passerelle, sélectionnez la passerelle orientée vers le périphérique IPSec du
bureau distant. Dans l’exemple, la passerelle s’appelle « SiteB ».
5. Examinez l’onglet Paramètres de phase 2. Vérifiez que les paramètres de phase 2 correspondent à
ce que le bureau distant utilise en phase 2.
6. Cliquez sur l’onglet Adresses, puis sur Ajouter pour ajouter la paire local-distant.
La boîte de dialogue Paramètres d’itinéraire de tunnel s’affiche.
456
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
7. Dans la section IP locale , sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone
de texte IP réseau , entrez la plage d’adresses IP réelles des ordinateurs locaux qui utilisent ce VPN.
Dans l’exemple, c’est 192.168.1.0/24.
8. Dans la section Distant, sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone
de texte IP réseau entrez la plage d’adresses IP privées vers laquelle les ordinateurs locaux
envoient le trafic.
Dans cet exemple, le bureau distant Site B utilise 1-to-1 NAT sur son réseau VPN. Cela donne
l’impression que les ordinateurs du site B proviennent de la fausse plage du site B,
192.168.200.0/24. Les ordinateurs locaux du site A envoient leurs données à la plage de fausses
adresses IP du site B. Si le réseau distant n’utilise pas de traduction d’adresses réseau (NAT) sur son
VPN, entrez la plage d’adresses IP réelles dans la zone de texte Distant.
9. Cliquez sur l’onglet NAT. Activez la case à cocher 1:1 NAT et entrez la plage de fausses adresses IP
de ce bureau. Il s’agit de la plage d’adresses que les ordinateurs protégés par Firebox affichent
comme adresses IP source pour tout trafic provenant de ce périphérique Firebox qui arrive à l’autre
extrémité du VPN. (La case à cocher 1:1 NAT est activée dès lors que vous entrez une adresse IP
d’hôte valide, une adresse IP de réseau valide ou une plage d’adresses IP d’hôte valides dans la zone
de texte Local de l’onglet Adresses.) Le site A utilise 192.168.100.0/24 comme plage de fausses
adresses IP.
Guide de l’utilisateur
457
Réseaux BOVPN (Branch Office Virtual Private Network)
10. Cliquez sur OK. Firebox ajoute un nouveau tunnel aux stratégies BOVPN-Allow.out et BOVPNAllow.in.
11. Enregistrer le fichier de configuration.
Si vous avez besoin de 1-to-1 NAT uniquement de votre côté du réseau VPN, vous pouvez vous arrêter là.
Le périphérique à l’autre extrémité du VPN doit configurer son VPN de sorte qu’il accepte le trafic en
provenance de votre fausse plage.
Configurer le tunnel distant
1. Suivez les étapes 1 à 6 de la procédure précédente pour ajouter le tunnel sur le Firebox distant.
Assurez-vous que les paramètres de Phase 2 correspondent bien.
2. Dans la section IP locale , sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone
de texte IP réseau , entrez la plage d’adresses IP réelles des ordinateurs locaux qui utilisent ce VPN.
Dans l’exemple, c’est 192.168.1.0/24.
3. Dans la section IP locale , sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la
zone de texte IP réseau, entrez la plage d’adresses IP privées vers laquelle les ordinateurs du bureau
distant envoient le trafic. Dans notre exemple, le site A utilise 1-to-1 NAT sur son VPN. Cela donne
l’impression que les ordinateurs du site A proviennent de la fausse plage 192.168.100.0/24. Les
ordinateurs locaux du site B envoient leurs données à la fausse plage d’adresses IP du site A.
458
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
4. Cliquez sur l’onglet NAT. Activez la case à cocher 1:1 NAT et entrez la plage de fausses adresses IP
de ce site. Il s’agit de la plage d’adresses que les ordinateurs de ce Firebox affichent comme
adresses IP source pour tout trafic provenant de ce périphérique Firebox qui arrive à l’autre
extrémité du VPN. Le site B utilise 192.168.200.0/24 comme plage de fausses adresses IP.
5. Cliquez sur OK. Firebox ajoute un nouveau tunnel aux stratégies BOVPN-Allow.out et BOVPNAllow.in.
Guide de l’utilisateur
459
Réseaux BOVPN (Branch Office Virtual Private Network)
Définir un itinéraire pour tout le trafic Internet
Lorsque vous autorisez les utilisateurs distants à accéder à Internet via un tunnel VPN, la configuration la
plus sécurisée consiste à exiger que tout le trafic Internet des utilisateurs distants soit acheminé vers
Firebox via le tunnel VPN. À partir de là, le trafic est renvoyé à Internet. Dans cette configuration (appelée
VPN avec route par défaut ou avec itinéraire par concentrateur), Firebox peut examiner tout le trafic et
offrir une sécurité accrue, et ce, malgré l’augmentation de la puissance de traitement et de la bande
passante requises sur Firebox. Lorsque vous utilisez un VPN avec route par défaut, une stratégie de
traduction d’adresses réseau dynamique doit inclure le trafic sortant en provenance du réseau distant. Cela
permet aux utilisateurs distants de parcourir Internet lorsqu’ils envoient tout le trafic à Firebox.
Lorsque vous définissez un itinéraire par défaut via un tunnel BOVPN, vous devez accomplir trois tâches :
n
n
n
Configurez un réseau BOVPN sur le Firebox distant (dont le trafic est envoyé dans le tunnel) de sorte
qu’il envoie tout le trafic depuis sa propre adresse réseau vers 0.0.0.0/0.
Configurez un réseau BOVPN sur le Firebox central pour qu’il autorise le trafic à transiter par lui
jusqu’au Firebox distant.
Ajoutez un itinéraire sur le Firebox central qui part de 0.0.0.0/0 vers l’adresse réseau du Firebox
distant.
Avant d’entreprendre les procédures de cette rubrique, vous devez avoir créé un réseau BOVPN manuel
entre les Firebox central et distant. Pour plus d’informations sur comment procéder, voir À propos des
tunnels BOVPN manuels à la page 430.
Configurer le tunnel BOVPN sur le Firebox distant
1. Connectez-vous au Web UI du Firebox distant.
2. Sélectionnez VPN > Branch Office VPN. Repérez le nom du tunnel vers le Firebox central et cliquez
sur Modifier.
La page Tunnel apparaît.
3. Cliquez sur Ajouter.
La boîte de dialogue Paramètres d’itinéraire de tunnel s’affiche.
460
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
4. Sous IP locale, dans la zone de texte IP d’hôte, entrez l’adresse réseau approuvée du Firebox
distant.
5. Sous IP distante, sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone de
texte IP d’hôte, entrez 0.0.0.0/0 et cliquez sur OK.
6. Le cas échéant, sélectionnez les autres tunnels vers le Firebox central et cliquez sur Supprimer.
7. Cliquez sur Enregistrer pour enregistrer la modification de la configuration.
Configurer le tunnel BOVPN sur le Firebox central
1. Connectez-vous au Web UI du Firebox central.
2. Sélectionnez VPN > Branch Office VPN. Repérez le nom du tunnel vers le Firebox distant et cliquez
sur Modifier.
La page Tunnel apparaît.
3. Cliquez sur Ajouter.
La boîte de dialogue Paramètres d’itinéraire de tunnel s’affiche.
4. Cliquez sur le bouton adjacent à la liste déroulante Local. Sélectionnez IP réseau dans la liste
déroulante Choisir le type. Entrez 0.0.0.0/0 comme Valeur et cliquez sur OK. Sous IP locale,
sélectionnez IP réseau dans la liste déroulante Choisir le type. Dans la zone de texte IP d’hôte ,
entrez 0.0.0.0/0.
5. Dans la zone Distant, entrez l’adresse réseau approuvée du Firebox distant et cliquez sur OK. Dans la
zone IP distante, entrez l’adresse réseau approuvée du Firebox distant et cliquez sur OK.
6. Le cas échéant, sélectionnez les autres tunnels vers le Firebox distant et cliquez sur Supprimer.
7. Cliquez sur OK et Enregistrez le fichier de configuration. Cliquez sur Enregistrer pour enregistrer la
modification de la configuration.
Guide de l’utilisateur
461
Réseaux BOVPN (Branch Office Virtual Private Network)
Ajouter une entrée de traduction d’adresses réseau (NAT)
dynamique au Firebox central
Pour autoriser un ordinateur ayant une adresse IP privée à accéder Internet via Firebox, vous devez
configurer le périphérique central de sorte qu’il utilise la traduction d’adresses réseau (NAT) dynamique.
Elle permet à Firebox de remplacer l’adresse IP privée comprise dans le paquet envoyé par un ordinateur
protégé par Firebox par l’adresse IP publique du Firebox. Par défaut, la traduction d’adresses réseau (NAT)
dynamique est activée et active pour les trois adresses de réseau privé approuvées par les documents RFC :
192.168.0.0/16 – Any-External (Tout externe)
172.16.0.0/12 – Any-External (Tout externe)
10.0.0.0/8 – Any-External (Tout externe)
Quand vous configurez un itinéraire par défaut vers un autre Firebox via un tunnel BOVPN, vous devez
ajouter une entrée de traduction d’adresses réseau (NAT) dynamique pour le sous-réseau situé derrière le
Firebox distant si ses adresses IP ne figurent pas dans l’une de ces trois plages de réseau privé.
1. Dans Fireware XTM Web UI, sélectionnez Réseau > NAT.
La page NAT s’affiche.
2. Dans la section Traduction d’adresses réseau dynamique de la page NAT, cliquez sur Ajouter.
La page de configuration de la traduction d’adresses réseau (NAT) dynamique s’ouvre.
462
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
3.
4.
5.
6.
Dans la section De, sélectionnez IP réseau dans la liste déroulante Type de membre.
Entrez l’adresse IP du réseau situé derrière le Firebox distant.
Dans la section À, sélectionnez Any-External (Tout externe) dans la deuxième liste déroulante.
Cliquez sur Enregistrer.
Activer le routage de multidiffusion via un tunnel
BOVPN
Vous pouvez activer le routage de multidiffusion via un tunnel BOVPN afin de prendre en charge les flux de
données de multidiffusions unidirectionnels entre des réseaux protégés par des périphériques
WatchGuard. Par exemple, le routage de multidiffusion via un tunnel BOVPN permet de diffuser en continu
un contenu multimédia d’un serveur de vidéo à la demande vers les utilisateurs d’un réseau à l’autre
extrémité du tunnel BOVPN.
Avertissement
Le routage de multidiffusion via un tunnel BOVPN est pris en charge uniquement
entre des périphériques WatchGuard.
Lorsque vous activez le routage de multidiffusion via un tunnel BOVPN, le tunnel envoie le trafic de
multidiffusions depuis une adresse IP unique d’un côté du tunnel vers l’adresse d’un groupe de
multidiffusions IP. Vous configurez les paramètres de multidiffusions du tunnel pour envoyer les données à
l’adresse du groupe de multidiffusions IP via le tunnel.
Vous devez configurer des paramètres de multidiffusions différents selon le périphérique Firebox. Sur un
Firebox, vous configurez le tunnel pour qu’il envoie un trafic de multidiffusions dans le tunnel et, sur l’autre,
vous configurez le tunnel pour qu’il reçoive le trafic de multidiffusions. Vous ne pouvez configurer qu’une
seule adresse IP d’origine par tunnel.
Guide de l’utilisateur
463
Réseaux BOVPN (Branch Office Virtual Private Network)
Lorsque vous activez le routage de multidiffusion via un tunnel BOVPN, le périphérique WatchGuard établit
un tunnel GRE à l’intérieur du tunnel VPN IPSec entre les réseaux. Firebox envoie le trafic de
multidiffusions via le tunnel GRE. Celui-ci requiert une adresse IP inutilisée de chaque côté du tunnel. Vous
devez configurer les adresses IP auxiliaires à chaque extrémité du tunnel BOVPN.
Activer un périphérique WatchGuard pour qu’il envoie du trafic
de multidiffusions via un tunnel
Sur le Firebox qui émet le trafic de multidiffusions, modifiez la configuration du tunnel de sorte qu’elle
autorise le périphérique à envoyer du trafic de multidiffusions dans le tunnel BOVPN.
1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale.
2. Sélectionnez un tunnel et cliquez sur Modifier.
3. De la page Tunnel, cliquez sur l’onglet Paramètres de multidiffusions.
4. Activez la case à cocher Activer le routage de multidiffusion via le tunnel.
5. Dans la zone de texte IP d’origine , entrez l’adresse IP du périphérique à l’origine du trafic.
6. Dans la zone de texte IP du groupe , entrez l’adresse IP de multidiffusion qui recevra le trafic.
464
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
7. Sélectionnez la case d’option Activer le périphérique pour envoyer du trafic de multidiffusions.
8. Dans la liste déroulante Interface d’entrée, sélectionnez l’interface d’où provient le trafic de
multidiffusions.
9. Cliquez sur l’onglet Adresses.
Les paramètres Points de terminaison du tunnel de diffusion/multidiffusion s’affichent en bas de l’onglet
Adresses.
10. Dans la section Adresses auxiliaires, entrez les adresses IP de chaque extrémité du tunnel de
multidiffusion. Firebox utilise ces adresses comme points de terminaison du tunnel GRE de
diffusion/multidiffusion à l’intérieur du tunnel BOVPN IPSec. Vous pouvez choisir l’IP locale et l’IP
distante parmi toutes les adresses IP inutilisées. Nous vous recommandons de choisir des adresses
IP qui ne sont utilisées sur aucun réseau reconnu par Firebox.
n
n
Dans le champ IP locale, entrez l’adresse IP à utiliser à l’extrémité locale du tunnel.
Dans le champ IP distante, entrez l’adresse IP à utiliser à l’extrémité distante du tunnel.
Guide de l’utilisateur
465
Réseaux BOVPN (Branch Office Virtual Private Network)
Activer l’autre périphérique WatchGuard pour qu’il reçoive le
trafic de multidiffusions via un tunnel
Sur le Firebox du réseau qui doit recevoir le trafic de multidiffusions, configurez les paramètres de sorte
qu’ils autorisent le périphérique à recevoir le trafic de multidiffusions transitant par le tunnel.
1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale.
2.
3.
4.
5.
6.
7.
8.
9.
Sélectionnez un tunnel et cliquez sur Modifier.
De la page Tunnel, cliquez sur l’onglet Paramètres de multidiffusions.
Activez la case à cocher Activer le routage de multidiffusion via le tunnel.
Dans le champ IP d’origine , entrez l’adresse IP du périphérique à l’origine du trafic.
Dans le champ IP du groupe, entrez l’adresse de multidiffusion qui recevra le trafic.
Sélectionnez la case d’option Activer le périphérique pour recevoir du trafic de multidiffusions.
À l’aide des cases à cocher, sélectionnez les interfaces qui recevront le trafic de multidiffusions.
Cliquez sur l’onglet Adresses.
Les paramètres Points de terminaison du tunnel de diffusion/multidiffusion s’affichent en bas de l’onglet
Adresses.
10. Dans la section Adresses auxiliaires, inversez les adresses IP entrées lors de la configuration de la
première extrémité du tunnel.
n
n
Dans le champ IP locale, entrez l’adresse IP saisie dans le champ IP distante du Firebox à l’autre
extrémité du tunnel.
Dans le champ IP distante, entrez l’adresse IP saisie dans le champ IP locale du Firebox à l’autre
extrémité du tunnel.
Activer le routage de diffusion par un tunnel
BOVPN
Note Le routage de diffusion via tunne BOVPN est pris en charge uniquement entre des
périphériques WatchGuard.
Vous pouvez configurer votre Firebox de manière à prendre en charge le routage de diffusion à travers un
Tunnel Branch Office VPN. Lorsque vous activez le routage de diffusion, le tunnel prend en charge les
diffusions vers l’adresse IP de diffusion limitée 255.255.255.255. Le trafic de diffusion de sous-réseau n’est
pas routé à travers le tunnel. Le routage de diffusion ne prend en charge la diffusion que d’un réseau à
l’autre à travers un tunnel BOVPN.
Le routage de diffusion par tunnel BOVPN ne prend pas en charge les types de diffusion suivants :
n
n
n
Diffusion de protocole Bootstrap/DHCP
Diffusions NetBIOS
Diffusion SMB (Server Message Block)
Pour un exemple qui montre les diffusions pouvant être routées via un tunnel BOVPN, cf. Exemple :
Routage de diffusion via un tunnel BOVPN.
466
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
Certaines applications logicielles nécessitent la possibilité de diffusion vers d’autres dispositifs réseau pour
fonctionner. Si les dispositifs ayant besoin de communiquer de cette manière sont sur des réseaux
connectés via tunnel BOVPN, vous pouvez activer le routage de diffusion à travers le tunnel pour que
l’application puisse trouver les dispositifs sur le réseau de l’autre côté du tunnel.
Lorsque vous activez le routage de diffusion via un tunnel BOVPN, le périphérique WatchGuard établit un
tunnel GRE à l’intérieur du tunnel VPN IPSec entre les réseaux. Firebox envoie le trafic de diffusion via le
tunnel GRE. Le tunnel GRE nécessite une adresse IP non utilisée de chaque côté du tunnel. Vous devez
configurer les adresses IP auxiliaires à chaque extrémité du tunnel BOVPN.
Activez le routage de diffusion pour le Firebox local
1. Dans Fireware XTM Web UI, sélectionnez VPN > VPN de succursale.
2. Sélectionnez un tunnel et cliquez sur Modifier.
3. De la page du tunnel, sélectionnez l’itinéraire tunnel et cliquez sur Modifier.
La boîte de dialogue Paramètres d’itinéraire de tunnel s’affiche.
4. Cliquez sur la case Activer le routage de diffusion via le tunnel. Cliquez sur OK.
Vous retournerez sur la page Tunnel.Les adresses auxiliaires apparaissent en bas de l’onglet des adresses.
Guide de l’utilisateur
467
Réseaux BOVPN (Branch Office Virtual Private Network)
5. Dans la section Adresses auxiliaires, entrez les adresses IP de chaque extrémité du tunnel de
diffusion. Firebox utilise ces adresses comme points de terminaison du tunnel GRE de
diffusion/multidiffusion à l’intérieur du tunnel BOVPN IPSec. Vous pouvez choisir l’IP locale et l’IP
distante parmi toutes les adresses IP inutilisées. Nous vous recommandons de choisir des adresses
IP qui ne sont utilisées sur aucun réseau reconnu par Firebox.
n
n
Dans le champ IP locale, tapez une adresse IP à utiliser pour l’extrémité locale du tunnel.
Dans le champ IP à distance, tapez une adresse IP à utiliser pour l’extrémité locale du tunnel.
Configurez le routage de diffusion pour le Firebox de l’autre
extrémité du tunnel.
1. Répétez les étapes 1 à 4 ci-dessus pour activer le routage de diffusion pour le Firebox de l’autre
extrémité du tunnel.
2. Dans la section Adresses auxiliaires, inversez les adresses entrées lors de la configuration de la
première extrémité du tunnel.
n
468
Dans le champ IP locale, tapez l’adresse IP saisie dans le champ IP à distance pour le Firebox de
l’autre extrémité du tunnel.
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
n
Dans le champ IP distante, tapez l’adresse IP saisie dans le champ IP local pour le Firebox de
l’autre extrémité du tunnel.
Configurer le basculement VPN
Le basculement est une fonction importante des réseaux qui demande un haut niveau de disponibilité.
Lorsque le basculement Multi-WAN est configuré, les tunnels VPN basculent automatiquement vers une
interface externe de sauvegarde en cas de défaillance. Vous pouvez également configurer le basculement
des tunnels VPN vers un point de terminaison de sauvegarde si le point de terminaison principal cesse
d’être disponible.
Le basculement VPN se produit en présence de l’un des deux événements suivants :
n
n
Un lien physique ne fonctionne pas. Firebox analyse l’état de la passerelle VPN et des périphériques
identifiés dans la configuration d’analyse du lien Multi-WAN. Si le lien physique ne fonctionne pas, le
basculement VPN a lieu.
Firebox détecte que le pair VPN n’est pas actif.
Lorsque le basculement se produit, si le tunnel utilise la conservation d’activité IKE, le protocole IKE
continue à envoyer des paquets de conservation d’activité de phase 1 au pair. Lorsqu’il obtient une
réponse, IKE déclenche le failback vers la passerelle VPN principale. Si le tunnel utilise la détection DPD, le
failback se produit lorsqu’une réponse est reçue de la passerelle VPN principale.
En cas de basculement, la plupart des nouvelles connexions et des connexions existantes sont
automatiquement basculées. Par exemple, si vous lancez une commande « PUT » de FTP et que le chemin
d’accès principal au VPN échoue, la connexion FTP existante continue sur le chemin d’accès de sauvegarde
au VPN. La connexion n’est pas perdue, mais elle est un peu retardée. Notez que le basculement VPN ne
peut se produire que si les conditions suivantes sont remplies :
n
n
n
n
Fireware v11.0 ou une version ultérieure est installé sur les périphériques Firebox à chaque point
de terminaison de tunnel.
Le basculement multi-WAN est configuré, tel que décrit dans À propos de l’utilisation de plusieurs
interfaces externes à la page 123.
Les interfaces de votre périphérique Firebox sont répertoriées en tant que paires de passerelles sur
le périphérique Firebox distant. Si vous avez déjà configuré le basculement Multi-WAN, vos tunnels
VPN vont automatiquement basculer vers l’interface de sauvegarde.
La détection DPD est activée dans les paramètres de phase 1 de la passerelle de filiale à chaque
extrémité du tunnel.
Le basculement VPN ne se produit pas pour les tunnels BOVPN pour lesquels la traduction d’adresses
réseau (NAT) dynamique est activée dans le cadre de leur configuration. Pour les tunnels BOVPN qui
n’utilisent pas la traduction d’adresses réseau, le basculement VPN a lieu et la session BOVPN continue.
Avec les tunnels Mobile VPN, la session ne continue pas. Vous devez à nouveau authentifier votre client
Mobile VPN pour créer un nouveau tunnel Mobile VPN.
Guide de l’utilisateur
469
Réseaux BOVPN (Branch Office Virtual Private Network)
Définir plusieurs paires de passerelles
Pour configurer le basculement des tunnels BOVPN manuels vers un point de terminaison de sauvegarde,
vous devez définir plusieurs ensembles de points de terminaison locaux et distants (paires de passerelles)
pour chaque passerelle. Pour disposer de fonctionnalités de basculement complètes pour une
configuration VPN, vous devez définir des paires de passerelles pour chaque combinaison d’interfaces
externes de chaque côté du tunnel. Supposons par exemple que votre point de terminaison local principal
est 23.23.1.1/24, et son point de terminaison de sauvegarde 23.23.2.1/24. Votre point de terminaison
distant principal est 50.50.1.1/24, et son point de terminaison de sauvegarde 50.50.2.1/24. Pour un
basculement VPN complet, vous devrez définir les quatre paires de passerelles suivantes :
23.23.1.1 - 50.50.1.1
23.23.1.1 - 50.50.2.1
23.23.2.1 - 50.50.1.1
23.23.2.1 - 50.50.2.1
1. Sélectionnez VPN > VPN de succursale. Cliquez sur Ajouter en regard de la liste Passerelles pour
ajouter une nouvelle passerelle. Donnez-lui un nom et définissez la méthode d’informations
d’identification, comme cela est expliqué dans Configurer les passerelles à la page 434.
2. Dans la section Points de terminaison de passerelle de la page de paramètres Passerelle, cliquez sur
Ajouter.
La La boîte de dialogue Paramètres de points de terminaison de la passerelle apparaît.
470
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
3. Spécifiez l’emplacement des passerelles locales et distantes. Sélectionnez le nom de l’interface
externe qui correspond à l’adresse IP de la passerelle locale ou au nom de domaine que vous
ajoutez.
Vous pouvez ajouter à la fois une adresse IP de passerelle et un ID de passerelle pour la passerelle
distante. Cela peut être nécessaire si cette dernière se trouve derrière un périphérique NAT et si
elle a besoin d’informations supplémentaires pour s’authentifier sur le réseau situé derrière le
périphérique NAT.
4. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de points de terminaison de la
nouvelle passerelle.
La La boîte de dialogue Passerelle s’affiche. La paire de passerelles que vous avez définie apparaît dans la liste
des points de terminaison de passerelle.
5. Répétez cette procédure pour définir d’autres paires de passerelles. Vous pouvez ajouter jusqu’à
neuf paires de passerelles. Vous pouvez sélectionner une paire et cliquer sur Actif ou Inactif pour
changer l’ordre dans lequel Firebox tente de se connecter.
6. Cliquez sur Enregistrer.
Guide de l’utilisateur
471
Réseaux BOVPN (Branch Office Virtual Private Network)
Voir Statistiques VPN
Vous pouvez utiliser Fireware XTM Web UI pour surveiller le trafic VPN sur Firebox et dépanner la
configuration VPN.
1. Sélectionnez État du système > Statistiques VPN.
La page Statistiques VPN s’affiche.
2. Pour forcer le renouvellement de la clé du tunnel BOVPN sélectionné, cliquez sur le bouton
Renouveler la clé du tunnel BOVPN sélectionné.
Pour plus d’informations, voir Renouveler la clé des tunnels BOVPN à la page 472.
3. Pour obtenir d’autres informations à utiliser pour le dépannage, cliquez sur Débogage.
Pour plus d’informations, voir Statistiques VPN à la page 391.
Renouveler la clé des tunnels BOVPN
Les points de terminaison de passerelle des tunnels BOVPN doivent générer de nouvelles clés et les
échanger après un certain laps de temps ou le passage d’un certain volume de trafic dans le tunnel. Si vous
souhaitez générer immédiatement de nouvelles clés sans attendre leur expiration, vous pouvez renouveler
la clé d’un tunnel BOVPN pour la forcer à expirer immédiatement. Cela peut être utile quand vous résolvez
des problèmes de tunnel.
Pour renouveler la clé d’un tunnel BOVPN :
1. Sélectionnez État du système > Statistiques VPN.
La page Statistiques VPN s’affiche.
2. Dans le tableau Tunnels BOVPN, cliquez sur un tunnel pour le sélectionner.
3. Cliquez sur Renouveler la clé des tunnels BOVPN sélectionnés.
Questions liées à la configuration du réseau BOVPN
Pourquoi avez-vous besoin d’une adresse externe statique ?
Pour établir une connexion VPN, chaque périphérique doit connaître l’adresse IP de l’autre périphérique. Si
l’adresse d’un périphérique est dynamique, l’adresse IP peut changer. Si l’adresse IP change, les connexions
entre les périphériques ne peuvent pas être établies sauf si les deux périphériques savent comment se
trouver.
Vous pouvez utiliser le service DNS dynamique si vous ne pouvez pas vous procurer d’adresse IP externe
statique. Pour de plus amples informations, cf. À propos du Service DNS dynamique à la page 92.
Comment obtenir une adresse IP externe statique ?
Vous pouvez vous procurer l’adresse IP externe de votre ordinateur ou de votre réseau auprès de votre
fournisseur de services Internet ou d’un administrateur réseau. De nombreux fournisseurs de services
Internet utilisent des adresses IP dynamiques pour faciliter la configuration et l’utilisation de leurs réseaux
avec un grand nombre d’utilisateurs. La plupart d’entre eux peuvent vous fournir une adresse IP statique en
option.
472
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
Comment dépanner la connexion ?
Si vous pouvez envoyer une requête ping à l’interface approuvée du périphérique Firebox distant et aux
ordinateurs du réseau distant, le tunnel VPN fonctionne. La configuration du logiciel réseau ou les
applications logicielles sont des causes possibles d’autres problèmes.
Pourquoi le test ping ne fonctionne-t-il pas ?
Si vous ne parvenez pas à envoyer une requête ping à l’adresse IP de l’interface locale du périphérique
Firebox distant, procédez comme suit :
1. Exécutez la commande ping sur l’adresse externe du périphérique Firebox distant.
Par exemple, à partir du site A, exécutez la commande ping sur l’adresse IP du site B. Si vous ne
recevez pas de réponse, assurez-vous que les paramètres de réseau externe du site B sont corrects.
Le site B doit être configuré pour répondre aux requêtes ping sur cette interface. Si les paramètres
sont corrects, assurez-vous que les ordinateurs du site B ont accès à Internet. Si les ordinateurs du
site B ne peuvent pas se connecter, consultez votre fournisseur de services Internet ou votre
administrateur réseau.
2. Si vous pouvez envoyer une requête ping à l’adresse externe de chaque Firebox, essayez d’en
envoyer une à l’adresse locale du réseau distant.
Depuis un ordinateur du site A, envoyez une requête ping à l’adresse IP de l’interface interne du
Firebox distant. Si le tunnel VPN fonctionne, le Firebox distant renvoie le paquet ping. Si vous ne
recevez pas de réponse, vérifiez la configuration locale. Vérifiez que les plages d’adresses DHCP
locales des deux réseaux connectés par le tunnel VPN n’utilisent aucune adresse IP en commun. Les
deux réseaux connectés par le tunnel ne doivent pas utiliser les mêmes adresses IP.
Comment définir plus de tunnels VPN que le nombre autorisé
sur un périphérique Edge ?
Le nombre de tunnels VPN que vous pouvez créer sur votre périphérique Firebox X Edge e-Series est
déterminé par le modèle Edge dont vous disposez. Afin de créer un plus grand nombre de tunnels VPN,
vous pouvez acheter une mise à niveau de modèle pour votre périphérique Edge auprès d’un revendeur
ou sur le site Web de WatchGuard à l’adresse suivante :
http://www.watchguard.com/products/purchaseoptions.asp
Augmenter la disponibilité du tunnel BOVPN
Sur certaines installations BOVPN dont tous les paramètres sont justes, les connexions BOVPN ne
fonctionnent pas toujours correctement. Les informations ci-dessous vous permettront de résoudre les
problèmes de disponibilité de votre tunnel BOVPN. Ces procédures n’ont aucune incidence sur la
performance générale du tunnel BOVPN.
La plupart des tunnels BOVPN restent disponibles pour acheminer le trafic à tout moment. Les problèmes
sont souvent liés à l’une au moins des conditions suivantes :
Guide de l’utilisateur
473
Réseaux BOVPN (Branch Office Virtual Private Network)
n
n
n
Un des points de terminaison ou les deux ont des connexions externes non fiables. Elles se
caractérisent notamment par une latence élevée, une forte fragmentation des paquets et de
nombreuses pertes de paquets. Ces facteurs ont des conséquences plus importantes sur le trafic
BOVPN que sur d’autres trafics courants, comme HTTP ou SMTP. Dans le trafic BOVPN, les paquets
chiffrés doivent arriver au point de terminaison de destination, être déchiffrés, puis réassemblés
avant que le trafic non chiffré puisse être acheminé à l’adresse IP de destination.
L’un des points de terminaison n’est pas un périphérique WatchGuard, ou est un vieux périphérique
WatchGuard équipé d’un logiciel système ancien. Des tests de compatibilité sont réalisés entre les
nouveaux produits WatchGuard et d’anciens périphériques avec les derniers logiciels disponibles
pour les anciens périphériques. Les logiciels anciens peuvent poser des problèmes qui ont été
résolus dans leurs versions plus récentes.
Étant donné qu’ils se fondent sur la norme IPSec, les périphériques WatchGuard sont compatibles
avec la plupart des points de terminaison tiers. Toutefois, certains périphériques de terminaison
tiers ne sont pas conformes à la norme IPSec en raison de problèmes logiciels ou de paramètres
propriétaires.
Si le trafic transitant par le tunnel est faible, ou s’il s’écoule de longs intervalles entre deux passages
de trafic, certains points de terminaison ferment la connexion VPN. Ce n’est pas le cas des
périphériques WatchGuard utilisant Fireware et des périphériques WatchGuard Edge. Certains
périphériques tiers et les périphériques WatchGuard équipés d’anciennes versions du logiciel WFS
utilisent cette condition pour fermer les tunnels qui semblent inactifs.
Si vous pouvez installer les derniers systèmes d’exploitation et logiciels de gestion sur tous les
périphériques WatchGuard, les autres conditions de la liste ne sont pas de votre ressort. Il est toutefois
possible de prendre certaines mesures pour augmenter la disponibilité du réseau BOVPN.
Sélectionnez la conservation d’activité IKE ou la détection DPD (Dead Peer Detection), mais pas les deux.
Ces deux paramètres peuvent vous indiquer quand un tunnel est déconnecté. Lorsqu’ils découvrent
que le tunnel s’est déconnecté, ils entament une nouvelle négociation de Phase 1. Si vous sélectionnez
la conservation d’activité IKE et la détection DPD (Dead Peer Detection) en même temps, la nouvelle
négociation de Phase 1 lancée par l’une peut donner l’impression à la seconde que le tunnel est
déconnecté et l’amener à lancer une deuxième négociation. Chaque négociation de Phase 1
interrompt tout trafic dans le tunnel, jusqu’à ce que le tunnel ait été négocié. Pour améliorer la
stabilité du tunnel, sélectionnez soit la conservation d’activité IKE, soit la détection DPD (Dead Peer
Detection). Mais ne les sélectionnez pas toutes les deux.
Il faut noter les points suivants à propos de ces paramètres :
Le paramètre Conservation d’activité IKE est utilisé uniquement par les périphériques WatchGuard.
Ne l’utilisez pas si le point de terminaison distant est un périphérique IPSec tiers.
Lorsque vous activez la conservation d’activité IKE, Firebox envoie à intervalles réguliers un
message au périphérique de passerelle distant et attend une réponse. Intervalle du message
détermine la fréquence d’envoi du message. Nombre d’échecs max indique le nombre
d’absences de réponse du périphérique de passerelle distant avant que Firebox essaie de
renégocier la connexion de Phase 1.
474
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
La détection DPD (Dead Peer Detection) est une norme professionnelle utilisée par la plupart des
périphériques IPSec. Sélectionnez-la si les deux périphériques de terminaison la prennent en charge.
Lorsque vous activez la détection DPD (Dead Peer Detection), Firebox surveille le trafic du
tunnel pour déterminer si celui-ci est actif. Si aucun trafic n’est parvenu au pair distant pendant
la durée entrée dans Délai d’inactivité du trafic, et si un paquet doit être envoyé au pair,
Firebox envoie une requête. En l’absence de réponse au bout du nombre maximal de
tentatives, Firebox renégocie une connexion de Phase 1. Pour plus d’informations sur la
détection DPD (Dead Peer Detection), voir http://www.ietf.org/rfc/rfc3706.txt.
Les paramètres Conservation d’activité IKE et Détection DPD (Dead Peer Detection) font partie des
paramètres de Phase 1.
1. Dans Fireware XTM Web UI, sélectionnez VPN > BOVPN.
2. Sélectionnez la passerelle souhaitée, puis cliquez sur Modifier.
3. Cliquez sur l’onglet Paramètres de phase 1.
Utiliser les paramètres par défaut
Les paramètres par défaut du réseau BOVPN offrent la meilleure combinaison de sécurité et de
vitesse. Utilisez-les dans la mesure du possible. Si le périphérique de terminaison distant ne prend pas
en charge l’un des paramètres WatchGuard par défaut, configurez le périphérique WatchGuard de
sorte qu’il utilise le paramètre par défaut du point de terminaison distant. Voici les paramètres par
défaut de WSM 11.x :
Note Si un paramètre ne s’affiche pas dans les pages de configuration VPN >
BOVPN , vous ne pouvez pas le modifier.
Paramètres généraux
Mode
Principal (Sélectionnez Agressif si l’un des
périphériques a une adresse IP externe dynamique.)
NAT Traversal
Oui
Intervalle d’activité NAT Traversal
20 secondes
Conservation d’activité IKE
Désactivé(e)
Intervalle entre les messages de
conservation d’activité IKE
Aucun(e)
Nombre d’échecs max de la conservation
d’activité IKE
Aucun(e)
Détection DPD (Dead Peer Detection)
(RFC3706)
Activé(e)
Délai d’inactivité du trafic de la détection
DPD (Dead Peer Detection)
20 secondes
Nombre maximal de tentatives de
détection DPD (Dead Peer Detection)
5
Guide de l’utilisateur
475
Réseaux BOVPN (Branch Office Virtual Private Network)
Paramètres généraux
Paramètres de transformation de PHASE 1
Algorithme d’authentification
SHA-1
Algorithme de chiffrement
3DES
SA Life ou expiration de la négociation (heures)
8
SA Life ou expiration de la négociation (kilo-octets) 0
Groupe Diffie-Hellman
2
Paramètres de proposition de PHASE 2
Type
ESP
Algorithme d’authentification
SHA-1
Algorithme de chiffrement
AES (256 bits)
Forcer l’expiration de la clé
Activer
Expiration de la clé de Phase 2 (heures)
8
Expiration de la clé de Phase 2 (kilo-octets) 128 000
Activer PFS (Perfect Forward Secrecy)
Non
Groupe Diffie-Hellman
Aucun(e)
Configurer Firebox afin qu’il fasse transiter les données de journal par le tunnel
Si aucun trafic ne passe par le tunnel pendant une certaine durée, un point de terminaison peut
décider que l’autre point de terminaison est indisponible et ne pas essayer de renégocier
immédiatement le tunnel VPN. Un moyen de s’assurer que le trafic transite bien par le tunnel à tout
moment consiste à configurer Firebox afin qu’il fasse transiter les données de journal par le tunnel. Il
n’est pas nécessaire d’avoir un serveur Log Server pour recevoir et garder la trace du trafic. Dans ce
cas, vous configurez volontairement Firebox de sorte qu’il envoie des données de journal à un log
server qui n’existe pas. Cela crée un volume constant et minime de trafic qui transite par le tunnel, ce
qui peut contribuer à assurer la stabilité du tunnel.
Il existe deux types de données de journal : la journalisation de WatchGuard et la journalisation de
Syslog. Si Firebox est configuré pour envoyer des données de journal à un serveur WatchGuard Log
Server et à un serveur Syslog, vous ne pouvez pas utiliser cette méthode pour acheminer du trafic
dans le tunnel.
Vous devez choisir l’adresse IP d’un serveur Log Server qui recevra les données de journal. Pour
choisir l’adresse IP, appliquez la procédure suivante.
n
476
L’adresse IP du serveur Log Server que vous utilisez doit être une adresse IP incluse dans les
paramètres d’itinéraire du tunnel distant. Pour plus d’informations, voir Ajouter des itinéraires à
WatchGuard System Manager
Réseaux BOVPN (Branch Office Virtual Private Network)
n
un tunnel à la page 447.
L’adresse IPduserveur Log Server ne doitpasêtre une adresse IPutilisée par unpériphérique réel.
Les deux types de journalisation génèrent des volumes de trafic différents.
Journalisation de WatchGuard
Aucune donnée de journal n’est envoyée tant que Firebox n’est pas connecté à un serveur Log
Server. Les seuls types de trafic envoyés via le tunnel sont des tentatives de connexion à un
serveur Log Server qui sont envoyées toutes les trois minutes. Cela peut constituer un trafic
suffisant pour contribuer à la stabilité du tunnel, tout en ayant une incidence mineure sur le
reste du trafic BOVPN.
Journalisation de Syslog
Lesdonnées de journal sontimmédiatement envoyéesà l’adresse IPdu serveur SysLog. Le volume
de données dépenddu trafic géré par Firebox. Lajournalisation de Syslog génère habituellement
uncertain trafic,car despaquets transitenten permanence par le tunnel. Encertaines occasions,le
volume de trafic peut ralentir le trafic BOVPN ordinaire, maisc’est assezrare.
Pour améliorer la stabilité et avoir le moins d’incidence possible sur le trafic BOVPN, essayez d’abord
l’option Journalisation de WatchGuard. Si cela n’améliore pas la stabilité du tunnel BOVPN, essayez la
journalisation de Syslog. Les procédures suivantes partent du principe que les deux périphériques de
terminaison sont des périphériques WatchGuard Firebox, et qu’aucun d’eux ne soit configuré pour
envoyer des données de journal, que ce soit à un serveur WatchGuard Log Server ou à un serveur
Syslog. Si un point de terminaison est déjà configuré pour envoyer des données de journal collectées
par un serveur, ne modifiez pas ces paramètres de journalisation.
Les différentes options que vous pouvez utiliser sont les suivantes :
n
n
n
n
n
n
Configurez un point de terminaison de sorte qu’il envoie du trafic de journal WatchGuard via le
tunnel.
Configurez l’autre point de terminaison de sorte qu’il envoie du trafic de journal WatchGuard
via le tunnel.
Configurez les deux points de terminaison de sorte qu’ils envoient du trafic de journal
WatchGuard via le tunnel.
Configurez un point de terminaison de sorte qu’il envoie du trafic de journal Syslog via le
tunnel.
Configurez uniquement l’autre point de terminaison de sorte qu’il envoie du trafic de journal
Syslog via le tunnel.
Configurez les deux points de terminaison de sorte qu’ils envoient du trafic de journal Syslog via
le tunnel.
Envoyer des données de journal WatchGuard via le tunnel
1. Dans Fireware XTM Web UI, sélectionnez Système > Journalisation.
La page Journalisation s’ouvre.
2. Activez la case à cocher Activer la journalisation de WatchGuard vers ces serveurs.
3. Dans le champ Adresse du serveur Log Server, entrez l’adresse IP retenue pour le serveur.
Guide de l’utilisateur
477
Réseaux BOVPN (Branch Office Virtual Private Network)
4. Entrez une clé de chiffrement dans le champ Clé de chiffrement et confirmez-la dans le champ
Confirmer.
La clé de chiffrement peut comprendre entre 8 et 32 caractères. Vous pouvez utiliser tous les caractères à
l’exception des espaces et des barres obliques (/ ou \).
5. Cliquez sur Ajouter. Cliquez sur Enregistrer.
Envoyer des données Syslog via le tunnel
1. Dans Fireware XTM Web UI, sélectionnez Système > Journalisation.
La page Journalisation s’ouvre.
2.
3.
4.
5.
478
Cliquez sur l’onglet Serveur Syslog.
Activez la case à cocher Activer la journalisation de Syslog vers ces serveurs.
Entrez l’adresse IP retenue pour le serveur Syslog dans le champ adjacent.
Cliquez sur Enregistrer.
WatchGuard System Manager
21 Mobile VPN with PPTP
À propos de Mobile VPN with PPTP
Mobile VPN (Mobile Virtual Private Networking) utilise le protocole PPTP (Point-to-Point Tunneling
Protocol) pour établir une connexion sécurisée entre un ordinateur distant et les ressources réseau situées
derrière le périphérique WatchGuard. Chaque périphérique WatchGuard prend en charge jusqu’à 50
utilisateurs simultanés. Les utilisateurs Mobile VPN with PPTP peuvent s’authentifier auprès du
périphérique WatchGuard ou d’un serveur d’authentification RADIUS ou VACMAN Middleware. Pour
utiliser Mobile VPN with PPTP, vous devez configurer le périphérique WatchGuard et les ordinateurs
clients.
Spécifications de Mobile VPN with PPTP
Avant de configurer un périphérique WatchGuard en vue d’utiliser Mobile VPN with PPTP, vérifiez que vous
disposez de ces informations :
n
Les adresses IP du client distant à utiliser pour les sessions Mobile VPN with PPTP.
Pour les tunnels Mobile VPN with PPTP, le périphérique WatchGuard donne une adresse IP virtuelle
à chaque utilisateur distant. Ces adresses IP ne peuvent pas correspondre à des adresses utilisées
par le réseau situé derrière le périphérique WatchGuard. La procédure la plus sûre pour donner
des adresses aux utilisateurs Mobile VPN consiste à installer un réseau secondaire « réservé ». Il
vous suffit ensuite de sélectionner une adresse IP dans cette plage réseau. Par exemple, vous créez
un sous-réseau en tant que réseau secondaire sur votre réseau approuvé 10.10.0.0/24, puis vous
sélectionnez les adresses IP dans ce sous-réseau pour votre plage d’adresses PPTP.
n
n
Les adresses IP des serveurs DNS et WINS qui résolvent les noms d’hôtes en adresses IP.
Les noms et mots de passe (en plusieurs mots) des utilisateurs qui sont autorisés à se connecter au
périphérique périphérique WatchGuard avec Mobile VPN with PPTP.
Guide de l’utilisateur
479
Mobile VPN with PPTP
Niveaux de chiffrement
Pour Mobile VPN with PPTP, vous pouvez opter pour le chiffrement 128 bits ou 40 bits. Aux États-Unis, le
chiffrement sur 128 bits est activé sur les versions logicielles de Windows XP. Vous pouvez obtenir un
correctif logiciel auprès de Microsoft pour activer le chiffrement renforcé sur d’autres versions de
Windows. Firebox tente toujours d’utiliser le chiffrement 128 bits en premier. Il peut être configuré pour
utiliser le chiffrement 40 bits si le client ne peut pas utiliser la connexion chiffrée sur 128 bits.
Pour plus d’informations sur le chiffrement sur 40 bits, voir Configurer Mobile VPN with PPTP à la page 480.
Si vous n’êtes pas aux États-Unis et que vous souhaitez disposer d’un chiffrement renforcé sur votre
compte LiveSecurity Service, envoyez un message à [email protected] et fournissez les
informations suivantes :
n
n
n
n
n
n
Le numéro de votre clé LiveSecurity Service
La date d’achat de votre produit WatchGuard
Le nom de votre entreprise
L’adresse postale de votre entreprise
Le numéro de téléphone et le nom de la personne à contacter
L’adresse de messagerie
Si vous habitez aux États-Unis et que vous n’utilisez pas encore WSM (WatchGuard System Manager) avec
chiffrement renforcé, vous devez télécharger le logiciel de chiffrement renforcé à partir de la page des
téléchargements de logiciels du site Web LiveSecurity Service.
1. Ouvrez un navigateur Web et accédez au site www.watchguard.com.
2. Connectez-vous à votre compte LiveSecurity Service.
3. Cliquez sur Assistance technique.
Le centre de support technique WatchGuard apparaît.
4. Dans la section Managing Your Products (Gestion de vos produits) section, cliquez sur Software
Download (Téléchargement de logiciels).
5. Dans la liste Choose product family (Sélection de la gamme de produits), sélectionnez votre
périphérique WatchGuard.
La page de téléchargement des logiciels Software Download apparaît.
6. Téléchargez WatchGuard System Manager with Strong Encryption.
Avant d’installer le logiciel WatchGuard System Manager with Strong Encryption, vous devez désinstaller les
autres versions de WatchGuard System Manager de votre ordinateur.
Note Pour conserver votre configuration de périphérique WatchGuard active, n’utilisez
pas l’Assistant Quick Setup Wizard lors de l’installation du nouveau logiciel. Ouvrez
WatchGuard System Manager, connectez-vous au périphérique WatchGuard et
enregistrez votre fichier de configuration. Les configurations avec une version de
chiffrement différente sont compatibles.
Configurer Mobile VPN with PPTP
Pour configurer votre périphérique WatchGuard afin qu’il accepter les connexions PPTP, vous devez
d’abord activer et configurer les paramètres de Mobile VPN with PPTP.
480
WatchGuard System Manager
Mobile VPN with PPTP
1. Sélectionnez VPN > Mobile VPN with PPTP.
2. Activez la case à cocher Activer Mobile VPN with PPTP.
Cela permet de configurer les utilisateurs PPTP distants et de créer automatiquement une stratégie
WatchGuard PPTP pour autoriser le trafic PPTP sur le périphérique WatchGuard. Nous vous
recommandons de ne pas modifier les propriétés par défaut de la stratégie PPTP WatchGuard.
3. Configurer les paramètres d’authentification conformément aux indications des sections suivantes.
4. Cliquez sur Enregistrer.
Authentification
Les utilisateurs Mobile VPN with PPTP peuvent s’authentifier auprès de la base de données interne Firebox
ou utiliser l’authentification étendue auprès d’un serveur RADIUS ou VACMAN Middleware à la place de
Firebox. Les instructions d’utilisation des serveurs VACMAN Middleware et des serveurs RADIUS sont
identiques.
Guide de l’utilisateur
481
Mobile VPN with PPTP
Pour utiliser une base de données interne Firebox, ne cochez pas la case Utiliser l’authentification Radius
pour authentifier les utilisateurs PPTP.
Pour utiliser un serveur d’authentification RADIUS ou VACMAN Middleware :
1. Cochez la case Utiliser l’authentification Radius pour authentifier les utilisateurs PPTP.
2. Configurerl’authentificationsurleserveurRADIUSouConfigurer lesAuthentificationsurleserveurVASCO.
3. Sur le serveur RADIUS, créez un groupe PPTP-Users et ajoutez des noms ou des groupes
d’utilisateurs PPTP.
Note Pour établir une connexion PPTP, l’utilisateur doit être membre d’un groupe intitulé
PPTP-Users. Une fois l’utilisateur authentifié, Firebox conserve la liste de tous les
groupes dont l’utilisateur est membre. Utilisez l’un des groupes de la stratégie pour
contrôler le trafic de l’utilisateur.
Paramètres de chiffrement
Le chiffrement 128 bits est activé sur les versions américaines de Windows XP. Vous pouvez obtenir un
correctif logiciel auprès de Microsoft pour activer le chiffrement renforcé sur d’autres versions de
Windows.
n
n
n
Si vous souhaitez exiger le chiffrement sur 128 bits pour tous les tunnels PPTP, sélectionnez Exiger
le chiffrement 128 bits.
Il est recommandé d’utiliser le chiffrement 128 bits pour les VPN.
Pour permettre aux tunnels de passer du chiffrement 128 bits au chiffrement 40 bits pour les
connexions moins fiables, sélectionnez Autoriser le chiffrement de 128 bits à 40 bits.
Firebox tente toujours d’utiliser le chiffrement 128 bits en premier. Le chiffrement 40 bits est
employé si le client ne peut pas utiliser la connexion chiffrée en 128 bits. En général, seuls les
clients résidant hors des États-Unis sélectionnent cette case à cocher.
Pour permettre le trafic non chiffré sur le réseau VPN, sélectionnez Ne pas exiger le chiffrement.
Ajouter au pool d’adresses IP
Mobile VPN with PPTP prend en charge jusqu’à 50 utilisateurs simultanés. Firebox donne à chaque
utilisateur Mobile VPN entrant une adresse IP ouverte à partir d’un groupe d’adresses IP disponibles, Ce
processus se poursuit jusqu’à ce que toutes les adresses soient utilisées. Lorsqu’un utilisateur ferme une
session, l’adresse est remise dans le groupe des adresses disponibles. L’utilisateur suivant qui se connecte
obtient cette adresse.
Vous devez configurer au moins deux adresses IP pour que le protocole PPTP fonctionne correctement.
1. Dans la section IP Address Pool (Pool d’adresses IP), sélectionnez dans la liste déroulante Choisir le
type IP de l’hôte (pour une seule adresse IP) ou Plage d’hôtes (pour une plage d’adresses IP).
482
WatchGuard System Manager
Mobile VPN with PPTP
2. Dans la zone de texte IP de l’hôte, saisissez une adresse IP.
Si vous avez sélectionné Plage d’hôtes, la première adresse IP de la plage est De et la dernière
adresse de la plage est À.
3. Cliquez sur Ajouter pour ajouter l’adresse IP de l’hôte ou la plage d’hôtes au pool d’adresses IP.
Vous pouvez configurer jusqu’à 50 adresses IP.
Si vous sélectionnez IP de l’hôte, vous devez ajouter au moins deux adresses IP.
Si vous sélectionnez Plage d’hôteset ajoutez une plage d’adresses IP contenant plus de 50 adresses,
Mobile VPN with PPTP utilise les 50 premières adresses de la plage.
4. Répétez les étapes 1 à 3 pour configurer toutes les adresses à utiliser avec Mobile VPN with PPTP.
Paramètres de l’onglet Avancé
1. Dans la page Mobile VPN with PPTP, cliquez sur l’onglet Avancé.
2. Configurez les paramètres de délai, de taille maximale de l’unité de transmission (MTU)et dunité
maximale de réception (MRU) en suivant les instructions des sections suivantes.
Il est conseillé de conserver les paramètres par défaut
Paramètres de délai
Vous pouvez définir deux paramètres de délai pour les tunnels PPTP si vous utilisez l’authentification
RADIUS :
Guide de l’utilisateur
483
Mobile VPN with PPTP
Délai d’expiration de la session
Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous
entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0),
aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi
longtemps qu’il le souhaite.
Délai d’inactivité
Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (aucun
trafic ne passe sur l’interface de réseau externe). Si vous entrez dans ce champ zéro (0) seconde,
minute, heure ou jour, aucun délai d’inactivité n’est utilisé et l’utilisateur peut rester inactif aussi
longtemps qu’il le souhaite.
Si vous n’utilisez pas de serveur d’authentification RADIUS, le tunnel PPTP utilise les paramètres de délai
que vous définissez pour chaque utilisateur Firebox. Pour plus d’informations sur les paramètres utilisateur
Firebox, voir Définir un nouvel utilisateur pour l’authentification sur Firebox à la page 231.
Autres paramètres
Les informations Taille maximale de l’unité de transmission (MTU) ou Unité maximale de réception
(MRU) sont envoyées au client dans le cadre des paramètres PPTP à utiliser pendant la session PPTP. Ne
modifiez pas les valeurs MTU ou MRU sauf si vous êtes certain que ce changement peut résoudre un
problème de configuration. Des valeurs MTU ou MRU incorrectes peuvent provoquer la défaillance du
trafic sur le réseau VPN PPTP.
Pour modifier les valeurs MTU ou MRU :
1. Dans la page Mobile VPN with PPTP, cliquez sur l’onglet Avancé.
2. Dans la section Autres paramètres, saisissez ou sélectionnez les valeurs Taille maximale de l’unité
de transmission (MTU) ou Unité maximale de réception (MRU) .
Configurer des serveurs WINS et DNS
Les clients Mobile VPN with PPTP utilisent les adresses de serveurs partagés Windows Internet Naming
Service (WINS) et Domain Name System (DNS). DNS change les noms d’hôtes en adresses IP, tandis que
WINS change les noms NetBIOS en adresses IP. L’interface approuvée de Firebox doit avoir accès à ces
serveurs.
1. Sélectionnez Interfaces > réseau.
La page Interfaces réseau apparaît. Les paramètres WINS et DNS se trouvent dans la partie inférieure.
484
WatchGuard System Manager
Mobile VPN with PPTP
2. Dans la section Serveurs DNS, saisissez le nom de domaine du serveur DNS.
3. Dans la zone de texte Serveur DNS, saisissez l’adresse IP pour le serveur DNS, puis cliquez sur
Ajouter.
Vous pouvez ajouter jusqu’à trois adresses pour les serveurs DNS.
4. Dans la zone de texte Serveurs WINS, saisissez l’adresse IP d’un serveur WINS et cliquez sur Ajouter.
Vous pouvez ajouter jusqu’à deux adresses pour les serveurs WINS.
5. Cliquez sur Enregistrer.
Ajouter de nouveaux utilisateurs au groupe
d’utilisateurs PPTP
Pour créer un tunnel VPN PPTP avec Firebox, les utilisateurs mobiles tapent leur nom d’utilisateur et leur
mot de passe pour s’authentifier. Le périphérique Firebox utilise ces informations pour authentifier
l’utilisateur.
Lorsque vous activez PPTP dans votre configuration Firebox, un groupe d’utilisateurs par défaut est créé
automatiquement. Ce groupe d’utilisateurs s’intitule PPTP_Users. Il apparaît lorsque vous créez un
utilisateur ou lorsque vous ajoutez des noms d’utilisateurs à des stratégies.
Pour plus d’informations sur les groupes Firebox, voir Configurer Firebox en tant que serveur
d’authentification à la page 229.
1. Sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
2. Cliquez sur l’onglet Firebox.
Guide de l’utilisateur
485
Mobile VPN with PPTP
3. Dans la section Utilisateurs, cliquez sur Ajouter.
La boîte de dialogue Configuration d’utilisateur Firebox s’affiche.
486
WatchGuard System Manager
Mobile VPN with PPTP
4. Saisissez le nom et le mot de passe du nouvel utilisateur. Retapez le mot de passe pour le valider.
La description n’est pas obligatoire. Il est recommandé de ne pas changer les valeurs par défaut de délai
d’expiration de la session et d’inactivité de la session.
5. Dans la liste Disponible, sélectionnez PPTP-Users et cliquez sur
.
Les utilisateurs PPTP apparaissent dans la liste des membres.
6. Cliquez sur OK.
7. Cliquez sur Enregistrer.
Configurer des stratégies pour autoriser le trafic Mobile VPN
with PPTP
Par défaut, les utilisateurs Mobile VPN with PPTP ne se voient accorder aucun privilège d’accès par le biais
d’un système Firebox. Pour accorder aux utilisateurs distants l’accès aux ressources réseau spécifiées, vous
devez ajouter des noms d’utilisateurs, ou le groupe d’utilisateurs PPTP, en tant que sources et destinations
des définitions de stratégie individuelle.
Pour plus d’informations, voir Utiliser les utilisateurs et groupes autorisés dans les stratégies à la page 254.
Pour utiliser WebBlocker afin de contrôler l’accès des utilisateurs distants, ajoutez des utilisateurs PPTP ou
le groupe d’utilisateurs PPTP à une stratégie de proxy qui contrôle WebBlocker.
Guide de l’utilisateur
487
Mobile VPN with PPTP
Note Si vous attribuez les adresses d’un réseau approuvé à des utilisateurs PPTP, le trafic
provenant de l’utilisateur PPTP n’est pas considéré comme étant approuvé. Par
défaut, tout le trafic Mobile VPN with PPTP n’est pas approuvé. Quelle que soit
l’adresse IP attribuée, les stratégies doivent être créées pour autoriser les
utilisateurs PPTP à accéder aux ressources réseau.
Configurer des stratégies pour autoriser le trafic
Mobile VPN with PPTP
Par défaut, les utilisateurs Mobile VPN with PPTP ne se voient accorder aucun privilège d’accès par le biais
d’un système Firebox. Vous devez configurer des stratégies de manière à autoriser les utilisateurs PPTP à
accéder aux ressources réseau. Vous pouvez ajouter de nouvelles stratégies ou modifier des stratégies
existantes.
Note Si vous attribuez les adresses d’un réseau approuvé à des utilisateurs PPTP, le trafic
provenant de l’utilisateur PPTP n’est pas considéré comme étant approuvé. Par
défaut, tout le trafic Mobile VPN with PPTP n’est pas approuvé. Quelle que soit
l’adresse IP attribuée, les stratégies doivent être créées pour autoriser les
utilisateurs PPTP à accéder aux ressources réseau.
Autoriser les utilisateurs PPTP à accéder à un réseau approuvé
Dans cet exemple, vous ajoutez une stratégie Any pour donner à tous les membres du groupe d’utilisateurs
PPTP l’accès complet aux ressources sur tous les réseaux approuvés.
1. Sélectionnez Pare-feu > Stratégies de pare-feu. Cliquez sur Ajouter.
2. Développez le dossier Filtres de paquets.
La liste des modèles de filtres de paquets apparaît.
3. Sélectionnez Any et cliquez sur Ajouter.
La page Configuration de stratégie apparaît.
4. Dans la zone de texte Nom, saisissez le nom de la stratégie.
Choisissez un nom qui vous aidera à identifier cette stratégie dans votre configuration.
5. Dans l’onglet Stratégie, dans la section De, sélectionnez Any-Trusted (Tout approuvé) et cliquez sur
Supprimer.
6. Dans l’onglet Stratégie, dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
7. Dans la liste déroulante Type de membre, sélectionnez Groupe PPTP.
8. Sélectionnez PPTP-Users et cliquez sur Sélectionner.
Le nom de la méthode d’authentification apparaît entre parenthèses après PPTP-Users.
9. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un membre.
10. Dans la zone À, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
11. Dans la section Membres et adresses sélectionnés , sélectionnez Any-External (Tout-Externe) et
cliquez sur Supprimer.
12. Dans la section Vers, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre apparaît.
488
WatchGuard System Manager
Mobile VPN with PPTP
13. Dans la liste Select Members (Sélectionner des membres), sélectionnez Any-Trusted (Tout
approuvé) et cliquez sur OK.
14. Cliquez sur Enregistrer.
Pour de plus amples informations sur les stratégies, cf. Ajouter stratégies à votre configuration à la page 260.
Utilisez d’autres groupes ou utilisateurs dans une stratégie PPTP
Les utilisateurs doivent être membres de ce groupe pour établir une connexion PPTP. Lorsque vous
configurez une stratégie pour donner aux utilisateurs PPTP l’accès aux ressources réseau, vous pouvez
utiliser le nom d’utilisateur ou d’un autre groupe auquel l’utilisateur appartient.
Pour sélectionner un utilisateur ou un groupe autre que PPTP-Users :
1. Sélectionnez Pare-feu > Stratégies de pare-feu.
2. Double-cliquez sur la stratégie à laquelle vous souhaitez ajouter l’utilisateur ou le groupe.
3. Dans l’onglet Stratégie, dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s’affiche.
4. Dans la liste déroulante Type de membre, sélectionnez Utilisateur de pare-feu ou Groupe pare-feu.
5. Sélectionnez l’utilisateur ou le groupe que vous souhaitez ajouter et cliquez sur OK.
6. Cliquez sur Enregistrer.
Pour plus d’informations sur l’utilisation des utilisateurs et groupes dans les stratégies, voir Utiliser les
utilisateurs et groupes autorisés dans les stratégies à la page 254.
Options pour l’accès à Internet par le biais d’un
tunnel Mobile VPN with PPTP
Vous pouvez autoriser des utilisateurs distants à accéder à Internet par le biais d’un tunnel Mobile VPN.
Cette option affecte votre sécurité puisque ce trafic Internet n’est ni filtré ni chiffré. Deux options s’offrent
à vous au niveau des routes du tunnel Mobile VPN : VPN avec route par défaut et VPN avec tunneling
fractionné.
VPN avec route par défaut
L’option la plus sécurisée consiste à faire router tout le trafic Internet des utilisateurs distants par le biais du
tunnel VPN vers le périphérique WatchGuard. Le trafic est ensuite renvoyé à Internet. Dans cette
configuration (appelée « VPN avec route par défaut »), Firebox peut examiner tout le trafic et offrir une
sécurité accrue, et ce malgré l’augmentation de la puissance de traitement et de la bande passante
requises. Lorsque vous utilisez un VPN avec route par défaut, une stratégie de traduction d’adresses réseau
(NAT) dynamique doit inclure le trafic sortant en provenance du réseau distant. Cela permet aux utilisateurs
distants de parcourir Internet lorsqu’ils envoient tout le trafic au périphérique WatchGuard.
Note Si vous utilisez les commandes « route print » ou « ipconfig » après avoir démarré
un tunnel Mobile VPN sur un ordinateur Microsoft Windows, les informations
affichées sur la passerelle par défaut sont incorrectes. Les informations correctes
figurent dans l’onglet Détails de la boîte de dialogue État de la connexion privée
virtuelle.
Guide de l’utilisateur
489
Mobile VPN with PPTP
VPN avec tunneling fractionné
Une autre option de configuration consiste à activer le tunneling fractionné. Cette configuration permet aux
utilisateurs de naviguer sur Internet sans avoir à envoyer le trafic Internet sur le tunnel VPN. Le tunneling
fractionné améliore les performances du réseau, mais diminue la sécurité car les stratégies que vous créez
ne s’appliquent pas au trafic Internet. Si vous utilisez le tunneling fractionné, nous recommandons la mise
en place d’un pare-feu logiciel sur chaque ordinateur client.
Configuration de l’itinéraire VPN par défaut pour Mobile VPN
with PPTP
Sous Windows Vista, XP et 2000, le paramètre par défaut d’une connexion PPTP est l’itinéraire par défaut.
Votre Firebox doit être configuré avec la traduction d’adresses réseau (NAT) dynamique pour recevoir le
trafic d’un utilisateur PPTP. Toute stratégie qui gère le trafic sortant à destination d’Internet et provenant de
la partie située derrière le périphérique WatchGuard doit être configurée de manière à autoriser le trafic
utilisateur PPTP.
Lorsque vous configurez votre itinéraire VPN par défaut :
n
n
Vérifiez que les adresses IP que vous avez ajoutées au pool d’adresses PPTP sont incluses dans votre
configuration de traduction d’adresses réseau (NAT) dynamique sur le périphérique WatchGuard.
Dans Policy Manager, sélectionnez Réseau > NAT.
Modifiez la configuration de votre stratégie pour autoriser les connexions issues de PPTP-Users par
le biais de l’interface externe.
Par exemple, si vous utilisez WebBlocker pour contrôler l’accès au Web, ajoutez le groupe PPTPUsers à la stratégie de proxy configurée, avec WebBlocker activé.
Divisezlaconfiguration du tunnel VPNpourMobileVPNwith PPTP
Sur l’ordinateur client, modifiez les propriétés de connexion PPTP de manière à ne pas envoyer le trafic sur
le réseau VPN.
1. Pour Windows Vista, XP ou 2000, accédez au Panneau de configuration > Connexions réseau et
cliquez avec le bouton droit sur la connexion VPN.
2. Sélectionnez Propriétés.
La boîte de dialogue Propriétés VPN s’affiche.
3. Sélectionnez l’onglet Networking (Gestion de réseau).
4. Sélectionnez Protocole Internet (TCP/IP) dans la zone de liste et cliquez sur Propriétés.
La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) s’affiche.
5. Dans l’onglet Général , cliquez sur Avancé.
La boîte de dialogue Paramètres TCP/IP avancés apparaît.
6. Windows XP et Windows 2000 — Dans l’onglet Général, désélectionnez la case à cocher Utiliser la
passerelle par défaut pour le réseau distant.
Windows Vista — Dans l’onglet Paramètres (XP et Windows 2000), désélectionnez la case à cocher
Utiliser la passerelle par défaut pour le réseau distant.
490
WatchGuard System Manager
Mobile VPN with PPTP
Préparer les ordinateurs clients pour PPTP
Avant de pouvoir utiliser vos ordinateurs clients en tant qu’hôtes distants Mobile VPN with PPTP, vous devez
d’abord préparer chaque ordinateur avec accès Internet. Vous pouvez ensuite utiliser les instructions dans
les sections suivantes pour :
n
n
n
Installer la version nécessaire de l’Accès réseau à distance de Microsoft et les Services Packs
nécessaires
Préparer le système d’exploitation pour les connexions VPN
Installer un adaptateur VPN (cet adaptateur n’est pas nécessaire pour tous les systèmes
d’exploitation)
Préparer un ordinateur client Windows NT ou 2000 : installer
l’Accès réseau à distance de Microsoft et les Services Packs
Il peut être nécessaire d’installer ces options pour configurer correctement Mobile VPN with PPTP sur
Windows NT et 2000 :
n
n
n
Mises à niveau de l’Accès réseau à distance de Microsoft
Autres extensions
Service packs
Pour Mobile VPN with PPTP, ces mises à niveau doivent être installées :
Chiffrement
Plate-forme
Application
De base
Windows NT
SP4 40 bits
Fort
Windows NT
SP4 128 bits
De base
Windows 2000
SP2 40 bits*
Fort
Windows 2000
SP2 128 bits*
*Windows 2000 utilise le chiffrement 40 bits par défaut. Si vous effectuez une mise à niveau à partir de
Windows 98 avec chiffrement renforcé, Windows 2000 définit automatiquement le chiffrement renforcé
pour la nouvelle installation.
Pour installer ces mises à niveau ou Services Packs, accédez au Centre de téléchargement Microsoft à
l’adresse suivante :
http://www.microsoft.com/downloads/search.aspx?displaylang=fr
Les étapes de configuration et d’établissement d’une connexion PPTP sont différentes pour chaque version
de Microsoft Windows.
Pour configurer une connexion PPTP sur Windows Vista, voir : Créer et connecter un Mobile VPN PPTP pour
Windows Vista à la page 492.
Pour configurer une connexion PPTP sur Windows XP, voir : Créer et connecter un PPTP Mobile VPN pour
Windows XP à la page 493.
Guide de l’utilisateur
491
Mobile VPN with PPTP
Pour configurer une connexion PPTP sur Windows 2000, voir : Créer et connecter un PPTP Mobile VPN pour
Windows 2000 à la page 494.
Créer et connecter un Mobile VPN PPTP pour Windows Vista
Créer une connexion PPTP
Pour préparer un ordinateur client Windows Vista, vous devez configurer la connexion PPTP dans les
paramètres réseau.
1. Dans le menu Démarrer de Windows, sélectionnez Paramètres > Panneau de configuration.
Le menu Démarrer de Windows Vista se trouve dans le coin inférieur gauche de l’écran.
2. Cliquez sur Réseau et Internet.
Le Centre Réseau et partage s’affiche.
3. Dans la colonne de gauche, sous Tâches, cliquez sur Connexion à un réseau.
L’Assistant Nouvelle connexion démarre.
4. Sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant.
La boîte de dialogue Connexion à votre espace de travail s’affiche.
5. Sélectionnez Non, créer une nouvelle connexion et cliquez sur Suivant.
La boîte de dialogue Comment voulez-vous vous connecter ? s’affiche.
6. Cliquez sur Utiliser ma connexion Internet (VPN).
La boîte de dialogue Entrez l’adresse Internet à laquelle vous souhaitez vous connecter s’affiche.
7. Saisissez le nom d’hôte ou l’adresse IP de l’interface externe du périphérique Firebox dans le champ
Adresse Internet.
8. Saisissez le nom du réseau Mobile VPN (« PPTP à Firebox » par exemple) dans la zone de texte Nom
de la destination.
9. Indiquez si vous souhaitez que d’autres personnes puissent utiliser cette connexion.
10. Cochez la case Ne pas me connecter maintenant, mais tout préparer pour une connexion
ultérieure pour que l’ordinateur client n’essaie pas de se connecter à ce stade.
11. Cliquez sur Suivant.
La boîte de dialogue Entrez votre nom d’utilisateur et votre mot de passe s’affiche.
12. Saisissez le nom d’utilisateur et le mot de passe de ce client.
13. Cliquez sur Créer.
La boîte de dialogue La connexion est prête à être utilisée s’affiche.
14. Pour tester la connexion, cliquez sur Connecter maintenant.
Établir la connexion PPTP
Pour connecter un ordinateur client Windows Vista, remplacez [nom de la connexion] par le nom que vous
avez utilisé pour configurer la connexion PPTP. Le nom d’utilisateur et le mot de passe font référence à l’un
des utilisateurs que vous avez ajoutés au groupe PPTP-Users. Pour plus d’informations, voir Ajouter de
nouveaux utilisateurs au groupe d’utilisateurs PPTP à la page 485.
Assurez-vous de disposer d’une connexion active à Internet avant de commencer.
1. Cliquez sur Démarrer > Paramètres > Connexions réseau > [nom de la connexion]
Le bouton Démarrer de Windows Vista se trouve dans le coin inférieur gauche de votre écran.
2. Saisissez le nom d’utilisateur et le mot de passe de la connexion et cliquez sur Connecter.
492
WatchGuard System Manager
Mobile VPN with PPTP
3. Si c’est la première fois que vous vous connectez, vous devez sélectionner un emplacement réseau.
Sélectionnez Lieu public.
Créer et connecter un PPTP Mobile VPN pour Windows XP
Pour préparer un ordinateur client Windows XP, vous devez configurer la connexion PPTP dans les
paramètres réseau.
Créer le Mobile VPN PPTP
Sur le Bureau Windows de l’ordinateur client :
1. Dans le menu Démarrer de Windows, sélectionnez Panneau de configuration > Connexions réseau.
2. Cliquez sur Créer une connexion dans le menu de gauche.
Vous pouvez également cliquer sur Assistant Nouvelle connexion dans le mode Affichage classique
de Windows.
L’Assistant Nouvelle connexion s’affiche.
3.
4.
5.
6.
Cliquez sur Suivant.
Sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant.
Sélectionnez Connexion réseau privé virtuel et cliquez sur Suivant.
Saisissez le nom de la nouvelle connexion (« Connexion avec Mobile VPN par exemple ») et cliquez
sur Suivant.
7. Indiquez si Windows doit s’assurer que le réseau public est connecté :
n Pourune connexionhautdébit,sélectionnezNepasétablirla connexioninitiale.
Ouen
n Pour une connexion par modem, sélectionnez Établir cette connexion initiale
automatiquement, puis sélectionnez un nom de connexion dans la liste déroulante.
8. Cliquez sur Suivant.
L’écran Sélection de serveur VPN s’affiche. Cet écran s’affiche si vous utilisez Windows XP SP2. Tous les
utilisateurs de Windows XP ne voient pas cet écran.
9. Saisissez le nom d’hôte ou l’adresse IP de l’interface externe du périphérique Firebox et cliquez sur
Suivant.
L’écran Cartes à puce s’affiche.
10. Indiquez si vous souhaitez utiliser votre carte à puce avec ce profil de connexion, puis cliquez sur
Suivant.
L’écran Disponibilité de la connexion s’affiche.
11. Indiquez les personnes autorisées à utiliser ce profil de connexion, puis cliquez sur Suivant.
12. Sélectionnez Ajouter un raccourci vers cette connexion sur mon Bureau.
13. Cliquez sur Terminer.
Se connecter avec Mobile VPN PPTP
1. Établissez une connexion Internet par le biais d’un réseau distant ou, directement, via un réseau
local (LAN) ou étendu (WAN).
2. Double-cliquez sur le raccourci de la nouvelle connexion sur votre Bureau.
Vous pouvez également sélectionner Panneau de configuration > Connexions réseau, puis votre
nouvelle connexion dans la liste des réseaux privés virtuels.
Guide de l’utilisateur
493
Mobile VPN with PPTP
3. Tapez le nom d’utilisateur et le mot de passe pour la connexion.
Pour plus d’informations sur le nom d’utilisateur et le mot de passe, voir Ajouter de nouveaux
utilisateurs au groupe d’utilisateurs PPTP à la page 485.
4. Cliquez sur Connecter.
Créer et connecter un PPTP Mobile VPN pour Windows 2000
Pour préparer un hôte distant Windows 2000, vous devez configurer la connexion PPTP dans les
paramètres réseau.
Créer le Mobile VPN PPTP
Sur le Bureau Windows de l’ordinateur client :
1. Dans le menu Démarrer de Windows, sélectionnez Paramètres > Connexions réseau > Créer une
nouvelle connexion.
L’Assistant Nouvelle connexion s’affiche.
2.
3.
4.
5.
Cliquez sur Suivant.
Sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant.
Cliquez sur Connexion réseau privé virtuel.
Saisissez le nom de la nouvelle connexion (« Connexion avec Mobile VPN par exemple ») et cliquez
sur Suivant.
6. Vous pouvez indiquer soit de ne pas établir la connexion initiale (pour une connexion haut débit),
soit d’établir cette connexion initiale automatiquement (pour une connexion par modem), puis
cliquez sur Suivant.
7. Saisissez le nom d’hôte ou l’adresse IP de l’interface externe du périphérique Firebox et cliquez sur
Suivant.
8. Sélectionnez Ajouter un raccourci vers cette connexion sur mon Bureau et cliquez sur Terminé.
Se connecter avec Mobile VPN PPTP
1. Établissez une connexion Internet par le biais d’un réseau distant ou, directement, via un réseau
local (LAN) ou étendu (WAN).
2. Double-cliquez sur le raccourci de la nouvelle connexion sur votre Bureau.
Vous pouvez également sélectionner Panneau de configuration > Connexions réseau, puis votre
nouvelle connexion dans la liste des réseaux privés virtuels.
3. Tapez le nom d’utilisateur et le mot de passe pour la connexion.
Pour plus d’informations sur le nom d’utilisateur et le mot de passe, voir Ajouter de nouveaux
utilisateurs au groupe d’utilisateurs PPTP à la page 485.
4. Cliquez sur Connecter.
494
WatchGuard System Manager
Mobile VPN with PPTP
Établir des connexions PPTP sortantes derrière un
système Firebox
Si nécessaire, vous pouvez établir une connexion PPTP à un système Firebox de derrière un autre système
Firebox. Par exemple, l’un de vos utilisateurs distants se rend dans le bureau d’un client équipé d’un
système Firebox. L’utilisateur peut établir une connexion à votre réseau avec PPTP. Pour que le
périphérique local Firebox autorise la connexion PPTP sortante, ajoutez la stratégie PPTP et autorisez le
trafic en provenance du réseau sur lequel se trouve l’utilisateur sur l’alias Any-External (Tout-Externe).
Pour ajouter une stratégie, voir Ajouter stratégies à votre configuration à la page 260.
Guide de l’utilisateur
495
Mobile VPN with PPTP
Guide de l’utilisateur
496
22 Mobile VPN with IPSec
À propos de Mobile VPN with IPSec IPSec
Mobile VPN with IPSec est une application logicielle client installée sur un ordinateur distant. Le client
établit une connexion sécurisée entre l’ordinateur distant et votre réseau protégé via un réseau non
sécurisé, comme Internet. Le client Mobile VPN utilise Internet Protocol Security (IPSec) pour sécuriser la
connexion.
Les rubriques suivantes contiennent des instructions sur la configuration d’un tunnel Mobile VPN entre le
client Mobile VPN with IPSec et un périphérique WatchGuard sur lequel Fireware XTM est installé.
Configurer une connexion Mobile VPN with IPSec
Vous pouvez configurer le périphérique WatchGuard pour qu’il agisse comme point de terminaison pour
les tunnels Mobile VPN with IPSec.
Dans Fireware XTM Web UI, sélectionnez VPN > Mobile VPN with IPSec.
Un utilisateur doit être membre d’un groupe Mobile VPN pour pouvoir se connecter à Mobile VPN with
IPSec. Lorsque vous ajoutez un groupe Mobile VPN, une stratégie Any est ajoutée aux pare-feu > stratégies
Mobile VPN qui permettent de trafic depuis et vers l’utilisateur Mobile VPN authentifié.
Cliquez sur le bouton Générer pour créer un profil d’utilisateur final (appelé fichier .wgx) que vous
pouvez enregistrer.
L’utilisateur doit disposer du fichier .wgx pour configurer l’ordinateur client Mobile VPN. Si vous utilisez un
certificat pour l’authentification, les fichiers .p12 et cacert.pem sont également générés. Ces fichiers sont
stockés au même emplacement que le profil d’utilisateur final .wgx.
Pour limiter l’accès au client Mobile VPN, supprimez la stratégie Any et ajoutez des stratégies aux >
Stratégies de pare-feu Mobile VPN qui autorise l’accès aux ressources.
Guide de l’utilisateur
497
Mobile VPN with IPSec
Lorsque le périphérique WatchGuard est configuré, le logiciel client Mobile VPN with IPSec doit être
installé sur l’ordinateur client. Pour plus d’informations sur l’installation du logiciel client Mobile VPN with
IPSec, voir Installer le logiciel client Mobile VPN with IPSec à la page 529.
Lorsque l’ordinateur de l’utilisateur est correctement configuré, celui-ci établit la connexion Mobile VPN. Si
les informations d’identification l’utilisateur authentifient une entrée dans la base de données utilisateur du
périphérique WatchGuard et si l’utilisateur fait partie du groupe Mobile VPN que vous créez, la session
Mobile VPN est authentifiée.
Configuration système requise
Avant de configurer votre périphérique WatchGuard pour Mobile VPN with IPSec, assurez-vous de bien
comprendre la configuration système requise pour l’ordinateur de gestion WatchGuard et l’ordinateur
client de l’utilisateur itinérant.
WatchGuard System Manager avec chiffrement renforcé
Comme des restrictions d’exportation strictes sont imposées aux logiciels de chiffrement élevé,
WatchGuard System Manager propose deux niveaux de chiffrement. Pour générer un profil
d’utilisateur final chiffré pour Mobile VPN with IPSec, vous devez vous assurer de configurer votre
périphérique WatchGuard avec WatchGuard System Manager avec chiffrement renforcé. La norme
IPSec nécessite un chiffrement minimum de 56 bits. Pour plus d’informations, voir installez le
logiciel WatchGuard System Manager..
Ordinateur client des utilisateurs itinérants
Vous pouvez installer le logiciel client Mobile VPN with IPSec sur n’importe quel ordinateur
exécutant Windows 2000 Professionnel, Windows XP (32 bits et 64 bits) ou Windows Vista (32 bits
et 64 bits). Avant d’installer le logiciel client, vérifiez qu’aucun autre logiciel client VPN pour
utilisateur mobile IPSec n’est déjà installé sur l’ordinateur distant. Vous devez également désinstaller
tout logiciel de pare-feu de bureau (autre que le logiciel de pare-feu Microsoft) de chaque
ordinateur distant. Pour plus d’informations, voir Spécifications du client à la page 528.
Note Vous n’avez besoin de WatchGuard System Manager que si vous souhaitez
distribuer le profil de l’utilisateur final en tant que fichier chiffré (.wgx). C’est
l’option recommandée. Vous pouvez utiliser Fireware XTM Web UI pour configurer
Mobile VPN with IPSec et générer le profil de l’utilisateur final non chiffré (.ini).
Pour plus d’informations sur les deux types de fichiers de configuration de profil
d’utilisateur final, voir À propos des fichiers de configuration client Mobile VPN à la
page 499.
498
WatchGuard System Manager
Mobile VPN with IPSec
Options pour l’accès à Internet par le biais d’un tunnel Mobile
VPN with IPSec
Vous pouvez autoriser des utilisateurs distants à accéder à Internet par le biais d’un tunnel Mobile VPN.
Cette option affecte votre sécurité puisque le trafic Internet n’est ni filtré ni chiffré. Deux options s’offrent à
vous au niveau des routes du tunnel Mobile VPN : VPN avec route par défaut et VPN avec tunneling
fractionné.
VPN avec route par défaut
L’option la plus sécurisée consiste à faire router tout le trafic Internet des utilisateurs distants par le biais du
tunnel VPN vers Firebox. À partir de là, le trafic est renvoyé à Internet. Dans cette configuration (appelée «
VPN avec route par défaut »), Firebox peut examiner tout le trafic et offrir une sécurité accrue, et ce
malgré l’augmentation de la puissance de traitement et de la bande passante requises sur Firebox. Lorsque
vous utilisez un VPN avec route par défaut, une stratégie de traduction d’adresses réseau (NAT) dynamique
doit inclure le trafic sortant en provenance du réseau distant. Cela permet aux utilisateurs distants de
parcourir Internet lorsqu’ils envoient tout le trafic à Firebox.
Pour plus d’informations sur la traduction d’adresses réseau (NAT) dynamique, voir Ajouter des entrées NAT
dynamiques de pare-feu à la page 143.
VPN avec tunneling fractionné
Une autre option de configuration consiste à activer le tunneling fractionné. Cette configuration permet aux
utilisateurs de naviguer sur Internet normalement. Les stratégies Firebox n’étant pas appliquées au trafic
Internet, le tunneling fractionné réduit la sécurité, mais améliore les performances. Si vous utilisez le
tunneling fractionné, vos ordinateurs clients doivent disposer d’un logiciel de pare-feu.
À propos des fichiers de configuration client Mobile VPN
Avec Mobile VPN with IPSec, l’administrateur de la sécurité du réseau peut contrôler les profils des
utilisateurs finaux. Policy Manager permet de créer le groupe Mobile VPN with IPSec et de créer un profil
d’utilisateur final, avec l’extension de fichier .wgx ou .ini. Les fichiers .wgx et .ini contiennent la clé partagée,
l’identification de l’utilisateur, les adresses IP et les paramètres utilisés pour créer un tunnel sécurisé entre
l’ordinateur distant et le périphérique WatchGuard.
Le fichier .wgx est chiffré avec un mot de passe d’au moins huit caractères. L’administrateur et l’utilisateur
distant doivent connaître ce mot de passe. Lorsque vous utilisez le logiciel client Mobile VPN with IPSec
pour importer le fichier .wgx, le mot de passe est utilisé pour déchiffrer le fichier et configurer le client. Le
fichier .wgx ne configure pas les paramètres de gestion de ligne.
Le fichier de configuration .ini n’est pas chiffré. Il ne doit être utilisé que si vous avez modifié le paramètre
Gestion de ligne sur une valeur différente de Manuelle. Pour plus d’informations, voir Gestion de ligne
dans l’onglet Avancé dans Modifier un profil de groupe existant Mobile VPN with IPSec à la page 509.
Vous pouvez créer ou recréer le fichier .wgx et .ini à tout moment. Pour plus d’informations, voir Fichiers
de configuration Mobile VPN with IPSec à la page 523.
Guide de l’utilisateur
499
Mobile VPN with IPSec
Si vous souhaitez verrouiller les profils des utilisateurs itinérants, vous pouvez les paramétrer en tant que
profils en lecture seule. Pour plus d’informations, voir Verrouiller le profil d’un utilisateur final à la page 522.
Configurer Firebox pour Mobile VPN with IPSec
Vous pouvez activer Mobile VPN with IPSec pour un groupe d’utilisateurs que vous avez déjà créé ou en
créer un nouveau. Les utilisateurs du groupe peuvent s’authentifier sur le serveur d’authentification
Firebox ou tiers défini dans la configuration de votre périphérique Firebox.
Configurer un groupe Mobile VPN with IPSec
1. Sélectionnez VPN > Mobile VPN with IPSec.
La page Mobile VPN with IPSec apparaît.
2. Cliquez sur Ajouter.
La page Paramètres Mobile User VPN with IPSec apparaît.
500
WatchGuard System Manager
Mobile VPN with IPSec
3. Saisissez un nom de groupe dans la zone de texte Nom de groupe .
Vous pouvez saisir le nom d’un groupe existant ou celui d’un nouveau groupe Mobile VPN. Vérifiez
que le nom est unique et qu’il n’a pas été attribué à des noms de groupes VPN, d’interface ou de
tunnel VPN.
4. Configurez ces paramètres pour modifier le profil de groupe :
Serveur d’authentification
Sélectionnez le serveur d’authentification à utiliser pour ce groupe Mobile VPN. Vous pouvez
authentifier les utilisateurs avec la base de données Firebox interne (Firebox-DB) ou avec un
serveur RADIUS, VASCO, SecurID, LDAP ou Active Directory. Vérifiez que la méthode
d’authentification que vous choisissez est activée.
Mot de passe
Entrez un mot de passe pour chiffrer le profil Mobile VPN (fichier .wgx) que vous distribuez aux
utilisateurs de ce groupe. La clé partagée peut uniquement contenir des caractères ASCII
standard. Si vous utilisez un certificat pour l’authentification, il s’agit du code PIN du certificat.
Confirmation
Guide de l’utilisateur
501
Mobile VPN with IPSec
Entrez de nouveau le mot de passe.
Adresse IP externe
Saisissez l’adresse IP externe principale à laquelle les utilisateurs Mobile VPN de ce groupe
peuvent se connecter.
Adresse IP de sauvegarde
Saisissez l’adresse IP externe de sauvegarde à laquelle les utilisateurs Mobile VPN de ce groupe
peuvent se connecter. L’adresse IP de sauvegarde est facultative. Si vous en ajoutez une,
assurez-vous qu’il s’agit d’une adresse IP attribuée à une interface externe Firebox.
Délai d’expiration de la session
Sélectionnez la durée d’activité maximale (en minutes) d’une session Mobile VPN.
Délai d’inactivité
Sélectionnez la durée d’inactivité maximale (en minutes) d’une session Mobile VPN. Passé ce
délai, Firebox ferme la session. Les valeurs de délai d’expiration et d’inactivité de la session sont
les valeurs de délai par défaut si le serveur d’authentification n’a pas ses propres valeurs de
délai. Si vous utilisez Firebox en tant que serveur d’authentification, les délais du groupe Mobile
VPN sont toujours ignorés car vous définissez des délais pour chaque compte d’utilisateur
Firebox.
Les délais de session et d’inactivités ne peuvent pas être plus longs que la valeur du champ SA
Life.
Pour définir cette valeur, dans la boîte de dialogue Paramètres Mobile VPN with IPSec, cliquez
sur l’onglet Tunnel IPSec, puis sur Avancé pour les Paramètres de phase 1. La valeur par
défaut est de 8 heures.
5. Cliquez sur l’onglet Tunnel IPSec.
La page Tunnel IPSec s’ouvre.
502
WatchGuard System Manager
Mobile VPN with IPSec
6. Configurez ces paramètres :
Utilisez le mot de passe du profil d’utilisateur final comme clé pré-partagée
Sélectionnez cette option pour utiliser le mot de passe du profil de l’utilisateur final comme clé
pré-partagée et permettre une authentification d’accès au tunnel. Vous devez utiliser la même
clé partagée sur le périphérique distant. Cette clé partagée peut uniquement contenir des
caractères ASCII standard.
Utiliser un certificat
Sélectionnez cette option pour utiliser un certificat dans le cadre d’une authentification d’accès
au tunnel.
Pour plus d’informations, voir Utiliser des certificats pour un tunnel Mobile VPN with IPSec
authentification à la page 410.
Adresse IP de l’autorité de certification
Si vous utilisez un certificat, saisissez l’adresse IP du serveur Management Server qui a été
configuré en tant qu’autorité de certification.
Délai
Guide de l’utilisateur
503
Mobile VPN with IPSec
Si vous utilisez un certificat, saisissez la durée en secondes avant que le client Mobile VPN with
IPSec arrête de se connecter si l’autorité de certification ne répond pas. Il est conseillé de
conserver la valeur par défaut.
Paramètres de phase 1
Sélectionnez les méthodes d’authentification et de chiffrement relatives au tunnel VPN. Ces
paramètres doivent être identiques aux deux points de terminaison du VPN. Pour configurer
les paramètres avancés, NAT Traversal ou groupe de clés par exemple, cliquez sur Avancé et
consultez Définir les Paramètres de phase 1 avancés à la page 517.
Les options de chiffrement sont répertoriées de la moins complexe et sécurisée à la plus
complexe et sécurisée.
DES
3DES
AES (128 bits)
AES (192 bits)
AES (256 bits)
Paramètres de phase 2
Sélectionnez PFS (Perfect Forward Secrecy) pour activer PFS et définir le Groupe DiffieHellman.
Pour modifier d’autres paramètres de proposition, cliquez sur Avancé et consultez Définir les
Paramètres de phase 2 avancés à la page 519.
7. Cliquez sur l’onglet Ressources.
La page Ressources apparaît.
504
WatchGuard System Manager
Mobile VPN with IPSec
8. Configurez ces paramètres :
Autoriser tout le trafic à passer par le tunnel
Pour faire passer tout le trafic Internet des utilisateurs de Mobile VPN par le tunnel VPN,
cochez cette case.
Si vous cochez cette case, le trafic Internet des utilisateurs Mobile VPN passe par le tunnel VPN.
Ce système est plus sûr, mais les performances du réseau sont réduites.
If vous ne cochez pas cette case, le trafic Internet des utilisateurs Mobile VPN est envoyé
directement sur Internet. Ce système est moins sûr, mais la navigation sur Internet est plus
rapide.
Liste des ressources autorisées
Cette liste répertorie les ressources auxquelles les utilisateurs du groupe d’authentification
Mobile VPN peuvent accéder sur le réseau.
Pour ajouter une adresse IP ou une adresse IP réseau à la liste des ressources réseau,
sélectionnez IP de l’hôte ou IP du réseau, saisissez l’adresse et cliquez sur Ajouter.
Guide de l’utilisateur
505
Mobile VPN with IPSec
Pour supprimer l’adresse IP ou l’adresse IP réseau sélectionnée de la liste des ressources,
sélectionnez une ressource et cliquez sur Supprimer.
Pool d’adresses IP virtuelles
Cette liste répertorie les adresses IP internes utilisées par les utilisateurs de Mobile VPN sur le
tunnel. Ces adresses ne peuvent pas être utilisées par les périphériques réseau ou un autre
groupe Mobile VPN.
Pour ajouter une adresse IP ou une adresse IP réseau au pool virtuel d’adresses IP, sélectionnez
IP de l’hôte ou IP du réseau, saisissez l’adresse et cliquez sur Ajouter.
Pour supprimer cet élément du pool virtuel d’adresses IP, sélectionnez l’adresse IP d’un hôte
ou d’un réseau et cliquez sur Supprimer.
9. Cliquez sur l’onglet Avancé.
La page Avancé apparaît.
10. Configurez les paramètres Gestion de ligne :
Mode de connexion
Manuelle — Dans ce mode, le client n’essaie pas de redémarrer le tunnel VPN
automatiquement si le tunnel VPN n’est pas actif. C’est le paramètre par défaut.
Pour redémarrer le tunnel VPN, vous devez cliquer sur le bouton Connecter dans Connection
Monitor ou cliquer avec le bouton droit sur l’icône Mobile VPN dans la barre des tâches du
bureau Windows, puis cliquer sur Connecter.
Automatique — Dans ce mode, le client essaie de démarrer la connexion lorsque votre
ordinateur envoie des données à une destination accessible par le réseau VPN. Le client essaie
également de redémarrer le tunnel VPN automatiquement si le tunnel VPN devient
indisponible.
Variable — Dans ce mode, le client essaie de redémarrer le tunnel VPN automatiquement
jusqu’à ce que vous cliquez sur Déconnecter. Après la déconnexion, le client n’essaie pas de
redémarrer le tunnel VPN tant que vous ne cliquez pas sur Connecter.
Délai d’inactivité
506
WatchGuard System Manager
Mobile VPN with IPSec
Si le mode de connexion est défini sur Automatique ou Variable, le logiciel client Mobile VPN
with IPSec n’essaie pas de renégocier la connexion VPN tant qu’aucun trafic provenant des
ressources réseau disponibles ne passe par l’intermédiaire du tunnel pendant la durée que
vous avez indiqué pour le délai d’inactivité.
Note Les paramètres par défaut de gestion de ligne sont Manuelle et 0 seconde. Si vous
modifiez l’un de ces paramètres, vous devez utiliser le fichier .ini pour configurer le
logiciel client.
11. Cliquez sur Enregistrer.
La page Mobile VPN with IPSec s’ouvre et le nouveau groupe IPSec apparaît dans la liste des groupes.
12. Cliquez sur Enregistrer.
Les utilisateurs membres du groupe que vous créez ne peuvent pas se connecter tant qu’ils n’importent pas
le fichier de configuration correct dans leur logiciel client Mobile VPN with IPSec. Vous devez générer le
fichier de configuration et le mettre à la disposition des utilisateurs finaux.
Pour générer les profils d’utilisateur final du groupe que vous avez modifié :
1. Sélectionnez VPN > Mobile VPN with IPSec.
La page Mobile VPN with IPSec apparaît.
2. Cliquez sur Générer.
Note Fireware XTM Web UI ne peut que générer le fichier de configuration .ini des
utilisateurs itinérants. Si vous souhaitez générer le fichier .wgx, vous devez utiliser
Policy Manager.
Configurez le serveur d’authentification externe
Si vous créez un groupe d’utilisateurs Mobile VPN qui s’authentifient sur un serveur tiers, veillez à créer sur
le serveur un groupe portant le même nom que celui que vous avez ajouté dans l’Assistant du groupe
Mobile VPN.
Si vous utilisez Active Directory comme serveur d’authentification, les utilisateurs doivent appartenir à un
groupe de sécurité Active Directory du même nom que le nom de groupe que vous avez configuré pour
Mobile VPN with IPSec.
Dans le cadre d’une authentification RADIUS, VASCO ou SecurID, le serveur RADIUS doit envoyer un attribut
Filter-Id (attribut RADIUS n° 11) dès que l’authentification d’un utilisateur aboutit pour indiquer à Firebox le
groupe auquel il appartient. La valeur de l’attribut Filter-Id doit correspondre au nom du groupe Mobile
VPN, tel qu’il s’affiche dans les paramètres du serveur d’authentification RADIUS de Fireware XTM. Tous les
utilisateurs de Mobile VPN qui s’authentifient sur le serveur doivent appartenir à ce groupe.
Ajouter des utilisateurs à un groupe Firebox Mobile VPN
Pour ouvrir un tunnel Mobile VPN avec Firebox, les utilisateurs distants entrent leur nom d’utilisateur et
leur mot de passe pour s’authentifier. Le logiciel WatchGuard System Manager utilise ces informations pour
authentifier l’utilisateur auprès de Firebox. Pour s’authentifier, les utilisateurs doivent appartenir au groupe
ajouté dans l’Assistant Add Mobile User VPN Wizard.
Pour plus d’informations sur les groupes Firebox, voir Types d’authentification Firebox à la page 229.
Guide de l’utilisateur
507
Mobile VPN with IPSec
Pour ajouter des utilisateurs à un groupe si vous faites appel à un serveur d’authentification tiers, reportezvous aux instructions de la documentation fournie par votre fournisseur.
Pour ajouter des utilisateurs à un groupe si vous utilisez l’authentification Firebox :
1. Sélectionnez Authentification > Serveurs.
La page Serveurs d’authentification s’affiche.
2. Sélectionnez l’onglet Firebox.
3. Pour ajouter un nouvel utilisateur, dans la section Utilisateurs, cliquez sur Ajouter.
La boîte de dialogue Configuration d’utilisateur Firebox s’affiche.
508
WatchGuard System Manager
Mobile VPN with IPSec
4. Saisissez le nom et le mot de passe du nouvel utilisateur. Le mot de passe doit comporter au moins
huit caractères. Retapez le mot de passe pour le valider.
La description n’est pas obligatoire. Il est recommandé de ne pas changer les valeurs Délai d’expiration de la
session et Délai d’inactivité.
5. Dans la section Groupes d’authentification Firebox , dans la liste Disponible, sélectionnez le nom de
groupe et cliquez sur
6. Cliquez sur OK.
.
La boîte de dialogue Configuration d’utilisateur Firebox se ferme. Le nouvel utilisateur apparaît sur la page
Serveurs d’authentification dans la liste des utilisateurs.
7. Cliquez sur Enregistrer.
Modifier un profil de groupe existant Mobile VPN with IPSec
Après avoir créé un groupe Mobile VPN with IPSec, vous pouvez modifier le profil pour :
n
n
n
n
Changer la clé partagée
Ajouter l’accès à d’autres hôtes ou réseaux
Limiter l’accès à un seul port de destination, port source ou protocole
Changer les paramètres de phase 1 et de phase 2
Configurer un groupe Mobile VPN with IPSec
1. Sélectionnez VPN > Mobile VPN with IPSec.
La page Mobile VPN with IPSec apparaît.
Guide de l’utilisateur
509
Mobile VPN with IPSec
2. Sélectionnez le groupe que vous souhaitez modifier et cliquez sur Modifier.
La page Paramètres Mobile User VPN with IPSec apparaît.
510
WatchGuard System Manager
Mobile VPN with IPSec
3. Configurez ces options pour modifier le profil de groupe :
Serveur d’authentification
Sélectionnez le serveur d’authentification à utiliser pour ce groupe Mobile VPN. Vous pouvez
authentifier les utilisateurs sur Firebox (Firebox-DB) ou sur un serveur RADIUS, VASCO, SecurID,
LDAP ou Active Directory. Vérifiez que cette méthode d’authentification est activée.
Mot de passe
Pour modifier le mot de passe qui chiffre le fichier .wgx, saisissez un nouveau mot de passe. La
clé partagée peut uniquement contenir des caractères ASCII standard. Si vous utilisez un
certificat pour l’authentification, il s’agit du code PIN du certificat.
Confirmation
Ressaisissez le nouveau mot de passe.
Principal(e)
Guide de l’utilisateur
511
Mobile VPN with IPSec
Saisissez l’adresse IP externe principale ou le domaine auquel les utilisateurs Mobile VPN de ce
groupe peuvent se connecter.
Sauvegarder
Saisissez l’adresse IP externe de sauvegarde ou le domaine auquel les utilisateurs Mobile VPN
de ce groupe peuvent se connecter. L’adresse IP de sauvegarde est facultative. Si vous en
ajoutez une, assurez-vous qu’il s’agit d’une adresse IP attribuée à une interface externe Firebox.
Délai d’expiration de la session
Sélectionnez la durée d’activité maximale (en minutes) d’une session Mobile VPN.
Délai d’inactivité
Sélectionnez la durée d’inactivité maximale (en minutes) d’une session Mobile VPN. Passé ce
délai, Firebox ferme la session. Les valeurs de délai d’expiration de la session et d’inactivité de
la session sont spécifiées par défaut si le serveur d’authentification ne renvoie aucune valeur
de délai spécifique. Si vous utilisez Firebox en tant que serveur d’authentification, les délais du
groupe Mobile VPN sont toujours ignorés car vous définissez des délais dans chaque compte
d’utilisateur Firebox.
Les délais d’expiration de la session et d’inactivité ne peuvent pas être plus longs que la valeur
indiquée dans la zone de texte SA Life .
Pour définir cette valeur, dans la boîte de dialogue Paramètres Mobile VPN with IPSec, cliquez
sur l’onglet Tunnel IPSec, puis sur Avancé pour les Paramètres de phase 1. La valeur par
défaut est de 8 heures.
4. Cliquez sur l’onglet Tunnel IPSec.
512
WatchGuard System Manager
Mobile VPN with IPSec
5. Configurez ces options pour modifier les paramètres IPSec :
Utiliser le mot de passe du profil de l’utilisateur final comme clé pré-partagée
Sélectionner ce paramètre pour utiliser le mot de passe du profil de l’utilisateur final comme
clé pré-partagée et permettre une authentification d’accès au tunnel. Le mot de passe est
défini dans l’onglet Général, dans la section Mot de passe. Vous devez utiliser la même clé
partagée sur le périphérique distant. Cette clé ne peut contenir que des caractères ASCII
standard.
Utiliser un certificat
Sélectionnez cette option pour utiliser un certificat dans le cadre d’une authentification d’accès
au tunnel.
Pour plus d’informations, voir Utiliser des certificats pour un tunnel Mobile VPN with IPSec
authentification à la page 410.
Adresse IP de l’autorité de certification
Si vous choisissez d’utiliser un certificat, saisissez l’adresse IP du serveur Management Server
qui a été configuré en tant qu’autorité de certification.
Délai
Guide de l’utilisateur
513
Mobile VPN with IPSec
Si vous choisissez d’utiliser un certificat, saisissez la durée en secondes avant que le client
Mobile VPN with IPSec n’essaie plus de se connecter à l’autorité de certification sans réponse. Il
est conseillé d’utiliser le paramètre par défaut.
Paramètres de phase 1
Sélectionnez les méthodes d’authentification et de chiffrement relatives au tunnel Mobile VPN.
Pour configurer les paramètres avancés, NAT Traversal ou groupe de clés par exemple, cliquez
sur Avancé et Définir les Paramètres de phase 1 avancés.
Ces options de chiffrement apparaissent dans la liste de la moins complexe et sécurisée à la
plus complexe et sécurisée.
DES
3DES
AES (128 bits)
AES (192 bits)
AES (256 bits)
Paramètres de phase 2
Sélectionnez PFS (Perfect Forward Secrecy) pour activer PFS et définir le Groupe DiffieHellman.
Pour modifier d’autres paramètres de proposition, cliquez sur Avancé et sur Définir des
paramètres de phase 2 avancés.
6. Cliquez sur l’onglet Ressources.
514
WatchGuard System Manager
Mobile VPN with IPSec
7. Configurez ces options pour modifier les paramètres :
Autoriser tout le trafic à passer par le tunnel
Pour faire passer tout le trafic Internet des utilisateurs de Mobile VPN par le tunnel VPN,
cochez cette case.
Si vous cochez cette case, le trafic Internet des utilisateurs Mobile VPN passe par le tunnel VPN.
Ce système est plus sûr, mais l’accès aux sites Web peut être lent.
If vous ne cochez pas cette case, le trafic Internet des utilisateurs Mobile VPN est envoyé
directement sur Internet. Ce système est moins sûr, mais la navigation sur Internet est plus
rapide.
Liste des ressources autorisées
Cette liste répertorie les ressources réseau disponibles auprès des utilisateurs dans le groupe
Mobile VPN.
Pour ajouter une adresse IP ou une adresse IP réseau à la liste des ressources réseau,
sélectionnez IP de l’hôte ou IP du réseau, saisissez l’adresse et cliquez sur Ajouter.
Guide de l’utilisateur
515
Mobile VPN with IPSec
Pour supprimer une adresse IP ou une adresse IP réseau dans la liste des ressources,
sélectionnez une ressource et cliquez sur Supprimer.
Pool d’adresses IP virtuelles
Les adresses IP internes utilisées par les utilisateurs Mobile VPN sur le tunnel apparaissent dans
cette liste. Ces adresses ne peuvent pas être utilisées par les périphériques réseau ou un autre
groupe Mobile VPN.
Pour ajouter une adresse IP ou une adresse IP réseau au pool virtuel d’adresses IP, sélectionnez
IP de l’hôte ou IP du réseau, saisissez l’adresse et cliquez sur Ajouter.
Pour supprimer une adresse IP d’hôte ou de réseau du pool virtuel d’adresses IP, sélectionnez
l’adresse concernée et cliquez sur Supprimer.
8. Cliquez sur l’onglet Avancé.
9. Configurez les paramètres Gestion de ligne :
Mode de connexion
Manuelle — Dans ce mode, le client n’essaie pas de redémarrer le tunnel VPN
automatiquement si le tunnel VPN n’est pas actif. C’est le paramètre par défaut.
Pour redémarrer le tunnel VPN, vous devez cliquer sur Connecter dans Connection Monitor ou
cliquez avec le bouton droit sur l’icône Mobile VPN de votre barre des tâches du bureau
Windows et sélectionnez Connecter.
Automatique — Dans ce mode, le client essaie de démarrer la connexion lorsque votre
ordinateur envoie des données à une destination accessible par le réseau VPN. Le client essaie
également de redémarrer le tunnel VPN automatiquement si le tunnel VPN devient
indisponible.
Variable — Dans ce mode, le client essaie de redémarrer le tunnel VPN automatiquement
jusqu’à ce que vous cliquez sur Déconnecter. Après la déconnexion, le client n’essaie pas de
redémarrer le tunnel VPN tant que vous ne cliquez pas sur Connecter.
Délai d’inactivité
516
WatchGuard System Manager
Mobile VPN with IPSec
Si vous définissez le mode de connexion sur Automatique ou sur Variable, le logiciel client
Mobile VPN with IPSec n’essaie pas de renégocier la connexion VPN pendant la durée que vous
indiquez.
Note Les paramètres par défaut de gestion de ligne sont Manuelle et 0 seconde. Si vous
modifiez l’un de ces paramètres, vous devez utiliser le fichier .ini pour configurer le
logiciel client.
10. Cliquez sur Enregistrer.
La page Mobile VPN with IPSec apparaît.
11. Cliquez sur Enregistrer.
Les utilisateurs finaux membres du groupe que vous modifiez ne peuvent pas se connecter tant qu’ils
n’importent pas le fichier de configuration correct dans leur logiciel client Mobile VPN with IPSec. Vous
devez générer le fichier de configuration et le mettre à la disposition des utilisateurs finaux.
Pour générer les profils d’utilisateur final du groupe que vous avez modifié :
1. Sélectionnez VPN > Mobile VPN with IPSec.
La page Mobile VPN with IPSec apparaît.
2. Cliquez sur Générer.
Note Fireware XTM Web UI ne peut que générer le fichier de configuration .ini des
utilisateurs itinérants. Si vous souhaitez générer le fichier .wgx, vous devez utiliser
Policy Manager.
Définir les Paramètres de phase 1 avancés
Vous pouvez définir des paramètres de phase 1 avancés pour votre profil d’utilisateur Mobile VPN.
1. Sur la page Modifier Mobile VPN with IPSec page, cliquez sur l’onglet Tunnel IPSec Tunnel .
2. Dans la rubrique Paramètres de phase 1, cliquez sur Avancés.
Les Paramètres avancés de phase 1 s’affichent.
Guide de l’utilisateur
517
Mobile VPN with IPSec
3. Configurez les options de paramètres pour le groupe, tel que décrit dans les rubriques suivantes.
Il est conseillé d’utiliser les paramètres par défaut.
4. Cliquez sur Enregistrer.
Options de phase 2
Durée de vie de la SA
Sélectionnez la durée de vie de la SA (association de sécurité) puis Heure ou Minute dans la liste
déroulante. Lors de l’expiration de la SA , une nouvelle négociation de phase 1 démarre. Une durée
de vie de la SA plus courte offre plus de sécurité mais la négociation SA peut provoquer un échec
des connexions existantes.
Groupe de clés
Sélectionnez le groupe Diffie-Hellman de votre choix. WatchGuard prend en charge les groupes 1, 2
et 5.
Les groupes Diffie-Hellman déterminent la force de la clé principale utilisée dans le processus
d’échange de clés. Les nombres de groupes plus élevés offrent plus de sécurité, mais utilisent
davantage de temps et de ressources sur l’ordinateur client, et Firebox doit créer les clés.
518
WatchGuard System Manager
Mobile VPN with IPSec
NAT Traversal
Activez cette case à cocher pour créer un tunnel Mobile VPN entre Firebox et un autre
périphérique situé derrière un périphérique NAT. Le NAT Traversal, ou encapsulage UDP, permet
d’acheminer le trafic vers les destinations appropriées.
Conservation d’activité IKE
N’activez cette case à cocher que si ce groupe se connecte à un ancien périphérique WatchGuard
qui ne prend pas en charge la détection DPD (Dead Peer Detection). Tous les périphériques
WatchGuard équipés de Fireware v9.x ou inférieure, Edge v8.x ou inférieure, et toutes les versions
de WFS ne prennent pas en charge la détection DPD (Dead Peer Detection). Pour ces périphériques,
activez cette case à cocher pour que Firebox puisse envoyer des messages à son pair IKE afin que le
tunnel VPN reste ouvert. Ne sélectionnez pas à la fois les messages de conservation d’activité IKE et
la détection DPD (Dead Peer Detection).
Intervalle entre les messages
Indiquez l’intervalle en secondes entre les messages de conservation d’activité IKE.
Nombre d’échecs maximum
Indiquez combien de fois au maximum Firebox peut envoyer un message de conservation d’activité
IKE avant d’arrêter la connexion VPN et de renégocier la phase 1.
Détection DPD (Dead Peer Detection)
Activez cette case à cocher pour activer la détection DPD (Dead Peer Detection). Les deux points de
terminaison doivent prendre en charge la détection DPD. Tous les périphériques WatchGuard
équipés de Fireware v10.x ou supérieure, Edge v10.x ou supérieure prennent en charge la
détection DPD. Ne sélectionnez pas à la fois les messages de conservation d’activité IKE et la
détection DPD (Dead Peer Detection).
Basée sur RFC 3706, la détection DPD utilise les caractéristiques de trafic IPSec pour déterminer si
une connexion est active avant d’envoyer un paquet. Lorsque vous sélectionnez la détection DPD,
un message est envoyé au pair s’il n’a émis aucun trafic dans le délai imparti. La détection DPD
n’effectue plus aucune tentative de connexion si elle détermine qu’un pair est inactif.
Délai d’inactivité du trafic
Indiquez le délai d’attente en secondes avant que Firebox ne vérifie si l’autre périphérique est actif.
Nombre maximal de tentatives
Indiquez le nombre maximum de tentatives de connexion à un pair entreprises par Firebox avant
qu’il ne le considère comme indisponible, arrête la connexion VPN et renégocie la phase 1.
Définir les Paramètres de phase 2 avancés
Vous pouvez définir les paramètres de phase 2 avancés pour votre profil d’utilisateur Mobile VPN.
1. Sur la page Modifier Mobile VPN with IPSec page, cliquez sur l’onglet Tunnel IPSec Tunnel .
2. Dans la rubrique Paramètres de phase 2, cliquez sur Avancés.
Les Paramètres avancés de phase 2 s’affichent.
Guide de l’utilisateur
519
Mobile VPN with IPSec
3. Configurez les options de phase 2, tel que décrit dans la rubrique suivante.
Il est conseillé de conserver les paramètres par défaut.
4. Cliquez sur Enregistrer.
Options de phase 1
Type
Les deux options ESP et AH permettent de définir la méthode de proposition. Pour l’instant, seule
l’option ESP est prise en charge.
Authentification
Sélectionnez la méthode d’authentification : SHA1 ou MD5.
Chiffrement
Sélectionnez une méthode de chiffrement. Les options sont répertoriées de la moins complexe et
sécurisée à la plus complexe et sécurisée.
n
n
n
n
n
520
DES
3DES
AES (128 bits)
AES (192 bits)
AES (256 bits)
WatchGuard System Manager
Mobile VPN with IPSec
Forcer l’expiration de la clé
Pour régénérer lespoints de terminaison de la passerelle et échanger de nouvellesclés aprèsune
certaine durée ouaprès le passage d’une certaine quantité de trafic par lapasserelle, cochezcette case.
Dans les champs Forcer l’expiration de la clé, sélectionnez la durée et le nombre de kilooctets qui
peuvent être transférés avant l’expiration de la clé.
Si vous avez désactivé Forcer l’expiration de la clé ou si vous avez activé cette case et que la durée
et le nombre de kilooctets sont définis sur zéro, Firebox utilise l’expiration de la clé définie pour le
pair. Si cette option est également désactivée ou définie sur zéro, Firebox utilise la durée
d’expiration par défaut de la clé de huit heures. La durée maximale avant l’expiration d’une clé est
d’une année.
Configurer des serveurs WINS et DNS
Les clients Mobile VPN sont basés sur les adresses des serveurs WINS (Windows Internet Name Server) et
DNS (Domain Name System). DNS traduit les noms d’hôtes en adresses IP. WINS résout les noms NetBIOS
en adresses IP. Ces serveurs doivent être accessibles à partir de l’interface approuvée Firebox.
N’utilisez qu’un serveur DNS interne. N’utilisez pas de serveurs DNS externes.
1. Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît.
Guide de l’utilisateur
521
Mobile VPN with IPSec
2. Dans la zone de texte Nom de domaine, saisissez le nom de domaine du serveur DNS.
3. Dansles zonesde texteServeursDNS etServeurs WINS,saisissez lesadresses desserveurs WINSet DNS.
4. Cliquez sur Enregistrer.
Verrouiller le profil d’un utilisateur final
Vous pouvez utiliser les paramètres avancés pour verrouiller le profil de l’utilisateur final afin que les
utilisateurs puissent afficher certains paramètres et en masquer d’autres sans avoir le droit de les modifier.
Il est conseillé de verrouiller tous les profils pour empêcher les utilisateurs de modifier le leur. Ce
paramètre est destiné aux fichiers de profil d’utilisateur final .wgx. Vous ne pouvez pas définir les fichiers
de profil d’utilisateur final .ini en lecture seule.
1. Sélectionnez VPN > Mobile VPN with IPSec.
2. Pour attribuer aux utilisateurs itinérants un accès en lecture seule à leur profil, cochez la case
Définir les stratégies de sécurité du client Mobile VPN en lecture seule.
522
WatchGuard System Manager
Mobile VPN with IPSec
Note Ce paramètre ne s’applique qu’aux fichiers .wgx. Vous devez utiliser Policy
Manager pour générer les fichiers .wgx de vos utilisateurs.
Fichiers de configuration Mobile VPN with IPSec
Pour configurer le client Mobile VPN with IPSec, vous importez un fichier de configuration. Le fichier de
configuration est appelé également profil d’utilisateur final. Il existe deux types de fichiers de configuration.
.wgx
Les fichiers .wgx sont chiffrés et peuvent être configurés de manière à ce que l’utilisateur final ne
puisse pas modifier les paramètres du logiciel client Mobile VPN with IPsec. Un fichier .wgx ne peut
pas définir les paramètres Gestion de ligne dans le logiciel client. Si vous configurez Gestion de ligne
sur un autre paramètre que Manuelle, vous devez utiliser un fichier de configuration .ini.
Pour plus d’informations, voir Verrouiller le profil d’un utilisateur final.
.ini
Le fichier .ini est utilisé uniquement si vous n’avez pas configuré Gestion de ligne sur Manuelle. Le
fichier de configuration .ini n’est pas chiffré.
Pour plus d’informations, voir Gestion de ligne dans l’onglet Avancé, dans Modifier un profil de
groupe existant Mobile VPN with IPSec.
Lorsque vous commencez par configurer un groupe Mobile VPN with IPSec ou si vous apportez des
modifications aux paramètres d’un groupe, vous devez générer le fichier de configuration du groupe et le
mettre à la disposition des utilisateurs finaux.
Pour utiliser Fireware XTM Web UI pour générer un fichier de profil d’utilisateur final d’un groupe :
1. Sélectionnez VPN > Mobile VPN > IPSec.
2. Sélectionnez le groupe Mobile VPN et cliquez sur Générer.
3. Sélectionnez un emplacement de sauvegarde du fichier de configuration .ini.
Vous pouvez maintenant distribuer le fichier de configuration auprès des utilisateurs finaux.
Note Fireware XTM Web UI ne peut que générer le fichier de configuration .ini des
utilisateurs itinérants. Si vous souhaitez générer le fichier .wgx, vous devez utiliser
Policy Manager.
Configurer les stratégies à filtrer Trafic Mobile VPN
Dans une configuration par défaut, Mobile VPN with IPSec utilisateurs ont un accès complet aux ressources
Firebox avec la stratégie Any. La stratégie Any permet le trafic sur tous les ports et protocoles entre
l’utilisateur Mobile VPN et les ressources réseau disponibles sur le tunnel Mobile VPN. Pour limiter le trafic
des utilisateurs VPN par port et protocole, vous pouvez supprimer la stratégie Any et la remplacer par des
stratégies de limitation d’accès.
Guide de l’utilisateur
523
Mobile VPN with IPSec
Ajouter une stratégie individuelle
1. Sélectionnez Pare-feu > Stratégies Mobile VPN.
2. Vous devez sélectionner un groupe avant d’ajouter une stratégie.
3. Ajouter, modifier et supprimer des stratégies conformément aux indications de À propos des
stratégies à la page 257.
Distribuer les logiciels et les profils
WatchGuard conseille de distribuer les profils des utilisateurs finaux par e-mail chiffré ou par toute autre
méthode sécurisée. Chaque ordinateur client doit disposer des éléments suivants :
n
Package d’installation logicielle
Le package d’installation de WatchGuard Mobile VPN with IPSec se trouve sur le site Web
LiveSecurity Service de WatchGuard à l’adresse suivante :
https://www.watchguard.com/archive/softwarecenter.asp
Pour télécharger le logiciel, vous devez vous connecter au site avec votre nom d’utilisateur et votre
mot de passe LiveSecurity Service.
n
Profil de l’utilisateur final
Ce fichier contient le nom de groupe, la clé partagée et les paramètres qui permettent à un
ordinateur distant de se connecter en toute sécurité via Internet sur un réseau d’ordinateurs privé,
protégé. Le profil de l’utilisateur final est un fichier intitulé groupname.wgx. L’emplacement par
défaut du fichier .wgx est le suivant :
C:\Documents and Settings\Tous les utilisateurs\Shared WatchGuard \muvpn\<IP
address of Firebox>\<nom de groupe Mobile VPN with IPSec\wgx
n
Deux fichiers de certificat, si vous vous authentifiez à l’aide de certificats
Il s’agit du fichier .p12 qui est un fichier chiffré contenant le certificat et du fichier cacert.pem qui
contient le certificat racine (autorité de certification). Les fichiers .p12 et cacert.pem sont stockés au
même emplacement que le profil d’utilisateur final .wgx.
n
Documentation utilisateur
La documentation permettant d’aider l’utilisateur distant à installer le client Mobile VPN et à
importer le fichier de configuration Mobile VPN se trouve dans À propos des fichiers de
configuration client Mobile VPN rubriques.
n
Mot de passe
Pour importer le profil de l’utilisateur final, l’utilisateur doit saisir un mot de passe. Cette clé
déchiffre le fichier et importe la stratégie de sécurité dans le client Mobile VPN. Le mot de passe est
configuré lorsque le groupe Mobile VPN est créé dans Policy Manager.
Pour plus d’informations sur la modification de la clé partagée, voir Modifier un profil de groupe
existant Mobile VPN with IPSec à la page 509.
524
WatchGuard System Manager
Mobile VPN with IPSec
Note Le mot de passe du profil de l’utilisateur final, le nom d’utilisateur et le mot de
passe de l’utilisateur sont des informations confidentielles. Pour des raisons de
sécurité, nous vous recommandons de ne pas envoyer ces informations par e-mail.
L’e-mail n’étant pas sécurisé, un utilisateur non autorisé pourrait utiliser ces
informations pour accéder à votre réseau interne. Fournissez ces informations à
l’utilisateur en utilisant un moyen d’éviter qu’une personne non autorisée ne les
intercepte.
Rubriques supplémentaires sur Mobile VPN
Cette section décrit les rubriques spéciales relatives à Mobile VPN with IPSec.
Établir des connexions IPSec sortantes derrière un système Firebox
Un utilisateur peut être amené à établir des connexions IPSec à Firebox derrière un système Firebox
différent. Par exemple, un employé itinérant travaillant sur le site d’un client équipé d’un système Firebox
peut utiliser IPSec pour se connecter à son réseau. Pour que le système Firebox local établisse
correctement la connexion IPSec sortante, vous devez définir une stratégie IPSec qui inclut le filtrage de
paquets IPSec.
Pour de plus amples informations sur l’activation des stratégies, cf. À propos des stratégies à la page 257.
Comme la stratégie IPSec établit un tunnel vers le serveur IPSec et qu’elle n’effectue aucun contrôle de
sécurité sur le pare-feu, n’y incluez que des utilisateurs de confiance.
Mettre fin aux connexions IPSec
Pour arrêter complètement les connexions VPN, vous devez redémarrer Firebox. La suppression de la
stratégie IPSec ne met pas fin aux connexions en cours.
Paramètres VPN globaux
Les paramètres VPN globaux de Firebox s’appliquent aux tunnels BOVPN manuels, aux tunnels gérés et aux
tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour :
n
n
n
Activer le transit IPSec ;
Effacer ou conserver les paramètres des paquets lorsque les drapeaux Type de service (TOS) sont
définis.
Utiliser un serveur LDAP pour vérifier les certificats ;
Pour modifier ces paramètres, Dans Fireware XTM Web UI, sélectionnez Paramètres globaux > VPN. Pour
plus d’informations sur ces paramètres, voir À propos des paramètres VPN globaux à la page 451.
Afficher le nombre de licences Mobile VPN
Vous pouvez consulter le nombre de licences Mobile VPN installées dans la clé de fonctionnalité.
1. Dans Fireware XTM Web UI, sélectionnez Clé de fonctionnalité> système.
La page Clé de fonctionnalité apparaît.
Guide de l’utilisateur
525
Mobile VPN with IPSec
2. Sélectionnez Utilisateurs Mobile VPN dans la colonne Fonctionnalitéet notez le nombre affiché
dans la colonne Capacité . C’est le nombre maximum d’utilisateurs Mobile VPN pouvant se
connecter en même temps.
Acheter des licences Mobile VPN supplémentaires
WatchGuard Mobile VPN with IPSec est une fonctionnalité facultative. Chaque périphérique Firebox X inclut
un certain nombre de licences Mobile VPN. Si vous le souhaitez, vous pouvez en acheter davantage.
Les licences sont disponibles chez votre revendeur local ou à l’adresse
: http://www.watchguard.com/sales
Ajouter des clés de fonctionnalité
Pour de plus amples informations sur l’ajout des clés de fonctionnalité, cf. À propos de les clés de
fonctionnalité à la page 52.
Mobile VPN et basculement VPN
Vous pouvez configurer des tunnels VPN pour qu’ils puissent basculer vers un point de terminaison de
sauvegarde si le point de terminaison principal n’est plus disponible. Pour de plus amples informations sur
le basculement VPN, cf. Configurer le basculement VPN à la page 469.
Si le basculement VPN est configuré et qu’un basculement se produit, les sessions Mobile VPN
s’interrompent. Vous devez à nouveau authentifier votre client Mobile VPN pour créer un nouveau tunnel
Mobile VPN.
Pour configurer le basculement VPN pour des tunnels Mobile VPN :
1. Dans l’interface Web Fireware XTM , sélectionnez VPN > Mobile VPN with IPSec.
La page des paramètres Mobile VPN with IPSec s’affiche.
2. Sélectionnez un groupe d’utilisateurs mobiles dans la liste et cliquez sur Modifier.
La boîte de dialogue Modifier Mobile VPN with IPSec s’affiche.
3. Sélectionnez l’onglet Général .
4. Dans la rubrique Adresses IP Firebox, entrez une adresse IP d’interface WAN de sauvegarde dans le
champ Adresse IP de sauvegarde.
Vous ne pouvez spécifier qu’une seule interface de sauvegarde vers laquelle les tunnels pourront
basculer, même si vous disposez d’interfaces WAN supplémentaires.
Configurer Mobile VPN with IPSec sur une adresse IP
dynamique
Il est recommandé d’utiliser soit une adresse IP statique pour un périphérique F">