Watchguard Firebox X Edge e-Series v10.1 Manuel utilisateur

WatchGuard
Firebox X Edge e-Series
Guide de l’utilisateur
Firebox X Edge e-Series version 10
Tous les modèles standard et sans fil de la gamme Firebox X Edge e-Series
Note aux utilisateurs
Les informations figurant dans ce guide peuvent faire l’objet de modifications sans préavis. Les exemples de sociétés, de
noms et de données mentionnés ici sont fictifs, sauf mention contraire. Aucune partie de ce guide ne peut être reproduite
ou retransmise sous quelque format ou par quelque moyen que ce soit (électronique ou mécanique), pour tout objet, sans
l’autorisation écrite expresse de WatchGuard Technologies, Inc.
Guide révisé le : 15/01/2008
Informations sur le copyright, les marques déposées et les brevets
Copyright © 1998 – 2008 WatchGuard Technologies, Inc. Tous droits réservés. Toutes les marques déposées ou les noms
commerciaux mentionnés ici, le cas échéant, appartiennent à leurs propriétaires respectifs.
Vous pouvez trouver la totalité des informations sur le copyright, les marques déposées, les brevets et les licences dans le
Reference Guide (Guide de référence), disponible en ligne : http://www.watchguard.com/help/documentation/.
Ce produit est destiné à une utilisation intérieure uniquement.
Abréviations utilisées dans le Guide
3DES
Triple Data Encryption
Standard
IPSec
Internet Protocol Security
SSL
Secure Sockets
Layer
BOVPN
Branch Office Virtual
Private Network
ISP
Fournisseur(s) de services
Internet
TCP
Transfer Control
Protocol
DES
Data Encryption
Standard
MAC
Media Access Control
UDP
User Datagram
Protocol
DNS
Domain Name Service
NAT
Traduction d’adresses réseau
(Network Address Translation)
URL
Uniform Resource
Locator
DHCP
Dynamic Host
Configuration Protocol
PPP
Point-to-Point Protocol
VPN
Réseau privé virtuel
DSL
Digital Subscriber Line
PPTP
Point-to-Point Tunneling
Protocol
WAN
Réseau étendu
(WAN)
IP
Internet Protocol
PPPoE
Point-to-Point Protocol
over Ethernet
WSM
WatchGuard System
Manager
À propos de WatchGuard
WatchGuard est l’un des principaux fournisseurs de solutions de sécurité réseau pour les
petites et moyennes entreprises partout dans le monde. Il propose des produits et
services intégrés qui se caractérisent par leur solidité et leur simplicité d’achat, de
déploiement et de gestion. La famille de produits Firebox X, périphériques de sécurité
intégrés extensibles, est conçue pour être totalement mise à niveau en fonction de
l’évolution d’une organisation et présente la meilleure offre du marché en termes de
sécurité, de performances, d’interface intuitive et de valeur. L’architecture ILS (Intelligent
Layered Security) de WatchGuard constitue une réelle protection contre les menaces
émergentes et procure la flexibilité nécessaire pour intégrer les fonctionnalités et services
de sécurité supplémentaires offerts par WatchGuard. Tous les produits WatchGuard sont
livrés avec un abonnement initial aux services LiveSecurity pour permettre à nos clients
de se tenir au courant de l’actualité en matière de sécurité grâce aux alertes de
vulnérabilité, mises à jour logicielles, instructions de sécurité des experts et à un service
d’assistance client de premier choix. Pour plus d’informations, appelez le (206) 613 6600
ou visitez notre site www.watchguard.com.
ii
ADRESSE
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
SUPPORT TECHNIQUE
www.watchguard.com/support
États-Unis et Canada +877.232.3531
Tous les autres pays +1.206.613.0895
VENTES
États-Unis et Canada +1.800.734.9905
Tous les autres pays +1.206.613.0895
Firebox X Edge e-Series
Sommaire
Chapitre 1 Introduction à la sécurité des réseaux ..................................................................................... 1
À propos des réseaux et de leur sécurité ...................................................................................................... 1
À propos des protocoles ................................................................................................................................ 2
Mode de transmission des informations sur Internet.......................................................................... 2
À propos des adresses IP..................................................................................................................................... 3
Adresses et passerelles privées............................................................................................................... 3
À propos de la notation de barre oblique................................................................................................ 4
À propos de la saisie des adresses IP ......................................................................................................... 4
Adresses IP statiques et dynamiques ........................................................................................................ 5
À propos de DHCP ....................................................................................................................................... 5
À propos de PPPoE ...................................................................................................................................... 5
À propos de DHCP ............................................................................................................................................ 5
À propos de PPPoE ........................................................................................................................................... 5
À propos du DNS (Domain Name Service) ................................................................................................... 6
À propos des services et des stratégies ......................................................................................................... 6
À propos des ports....................................................................................................................................... 6
À propos des pare-feu.......................................................................................................................................... 7
Firebox X Edge et votre réseau......................................................................................................................... 8
Chapitre 2 Installation ................................................................................................................................. 9
Avant de commencer........................................................................................................................................... 9
Vérifier la configuration minimale requise .............................................................................................. 9
Spécifications relatives à l’adressage réseau ................................................................................... 11
Rechercher des propriétés TCP/IP........................................................................................................ 11
Rechercher des propriétés TCP/IP sur Microsoft Windows Vista.............................................. 11
Rechercher des propriétés TCP/IP sur Microsoft Windows 2000, Windows 2003 et
Windows XP ................................................................................................................................................. 12
Rechercher des propriétés TCP/IP sur Microsoft Windows NT .................................................. 12
Rechercher des propriétés TCP/IP sur Macintosh OS 9 ................................................................ 12
Rechercher des propriétés TCP/IP sur Macintosh OS X 10.5 ...................................................... 12
Rechercher des propriétés TCP/IP sur d’autres systèmes d’exploitation (Unix, Linux)..... 12
Rechercher des paramètres PPPoE...................................................................................................... 12
Enregistrer Firebox et activer le service LiveSecurity ............................................................................. 13
Désactiver le proxy HTTP dans Internet Explorer 6.x ou 7.x ....................................................... 14
Désactiver le proxy HTTP dans Firefox 2.x ........................................................................................ 14
Désactiver le proxy HTTP dans Safari 2.0........................................................................................... 14
Désactiver le blocage des fenêtres publicitaires intempestives......................................................... 15
Guide de l’utilisateur
iii
Désactiver le bloqueur de fenêtres publicitaires intempestives dans
Internet Explorer 6.x ou 7.x..................................................................................................................... 15
Désactiver le bloqueur de fenêtres publicitaires intempestives dans Firefox 2.x .............. 15
Désactiver le bloqueur de fenêtres publicitaires intempestives dans Safari 2.0................. 15
Connecter Firebox X Edge................................................................................................................................ 16
Ajouter des ordinateurs au réseau approuvé ....................................................................................... 17
Connecter Edge à plus de quatre périphériques................................................................................. 17
À propos des licences d’utilisateur........................................................................................................... 18
Utiliser le protocole DHCP ........................................................................................................................... 19
Utiliser une adresse IP statique .................................................................................................................. 19
Chapitre 3 Présentation des pages de configuration ............................................................................. 23
À propos des pages de configuration d’Edge ........................................................................................... 23
Se connecter à Firebox X Edge ....................................................................................................................... 23
Naviguer dans l’interface utilisateur Firebox X Edge.............................................................................. 25
Page État du système .................................................................................................................................... 25
Page Réseau...................................................................................................................................................... 26
Page Utilisateurs de Firebox ....................................................................................................................... 27
Page Administration ...................................................................................................................................... 28
Page Pare-feu ................................................................................................................................................... 29
Page Journalisation ........................................................................................................................................ 30
Page WebBlocker ............................................................................................................................................ 31
Page spamBlocker .......................................................................................................................................... 32
Page Gateway AV/IPS .................................................................................................................................... 33
Page VPN............................................................................................................................................................ 34
Page Assistants ................................................................................................................................................ 34
Analyser Firebox X Edge.................................................................................................................................... 35
Table ARP ........................................................................................................................................................... 35
Authentifications............................................................................................................................................. 36
Connexions ....................................................................................................................................................... 36
Connexions via un filtre de proxy ........................................................................................................ 36
Connexions via un filtre de paquet ..................................................................................................... 36
Liste des composants .................................................................................................................................... 37
Baux DHCP......................................................................................................................................................... 37
Utilisation du disque...................................................................................................................................... 37
DNS dynamique............................................................................................................................................... 38
Sites hostiles ..................................................................................................................................................... 38
Interfaces............................................................................................................................................................ 38
Licence ................................................................................................................................................................ 39
LiveSecurity....................................................................................................................................................... 39
Mémoire ............................................................................................................................................................. 39
Processus............................................................................................................................................................ 39
Protocoles.......................................................................................................................................................... 39
Routes ................................................................................................................................................................. 40
Services de sécurité........................................................................................................................................ 40
Syslog .................................................................................................................................................................. 40
Contrôle du trafic ............................................................................................................................................ 41
Statistiques VPN .............................................................................................................................................. 41
Statistiques sans fil ......................................................................................................................................... 41
iv
Firebox X Edge e-Series
Chapitre 4 Tâches de base de configuration et de gestion .................................................................... 43
À propos des tâches de base de configuration et de gestion ............................................................. 43
À propos du fichier de sauvegarde de la configuration d’Edge ......................................................... 43
Avant de commencer ............................................................................................................................... 44
Afficher le fichier de configuration........................................................................................................... 44
Sauvegarder la configuration d’Edge ...................................................................................................... 44
Créer un fichier de sauvegarde de la configuration ...................................................................... 45
Restaurer la configuration d’Edge ............................................................................................................ 45
Restaurer la configuration à partir d’un fichier de sauvegarde................................................. 45
À propos des clés de fonctionnalité.............................................................................................................. 47
Redémarrer Firebox localement................................................................................................................ 49
Utiliser le navigateur Web....................................................................................................................... 49
Débranchement du bloc d’alimentation........................................................................................... 49
À propos de l’utilisation du protocole NTP pour définir l’heure système ....................................... 50
Pour définir l’heure système ....................................................................................................................... 51
Interrogations SNMP................................................................................................................................. 53
Activer l’interrogation SNMP ...................................................................................................................... 53
Utiliser le port HTTP au lieu du port HTTPS ........................................................................................... 55
Modifier le port serveur HTTP..................................................................................................................... 56
À propos de l’accès WatchGuard System Manager................................................................................. 56
Renommer Firebox X Edge e-series dans WSM ................................................................................... 56
Activer la gestion centralisée à l’aide de WSM ..................................................................................... 57
Activer la gestion à distance avec WFS version 7.3 ou inférieure.................................................. 59
Autoriser le trafic depuis un serveur Management Server .............................................................. 60
Méthode 1 : Installer le logiciel automatiquement ............................................................................ 61
Options de mise à niveau disponibles .................................................................................................... 63
Ajouter une fonctionnalité à Firebox X Edge........................................................................................ 64
Mettre à niveau le modèle de Firebox X Edge...................................................................................... 65
Chapitre 5 Paramètres réseau .................................................................................................................. 67
À propos de la configuration d’interface réseau...................................................................................... 67
Modifier les adresses IP de Firebox à l’aide de l’Assistant Network Setup Wizard....................... 68
Configurer les interfaces externes................................................................................................................. 69
Si votre fournisseur de services Internet utilise DHCP....................................................................... 69
Si votre fournisseur de services Internet utilise des adresses IP statiques................................. 70
Si votre fournisseur de services Internet utilise PPPoE...................................................................... 70
Paramètres PPPoE avancés..................................................................................................................... 72
Configurer l’interface externe en tant qu’interface sans fil ............................................................. 73
Utilisation d’Edge avec une interface externe sans fil pour étendre
la connectivité réseau............................................................................................................................... 73
À propos des paramètres de réseau externe avancés....................................................................... 74
Modifier l’adresse MAC de l’interface externe................................................................................. 74
À propos de la configuration du réseau approuvé ................................................................................. 75
À propos de la modification de l’adresse IP du réseau approuvé ................................................. 75
Modifier l’adresse IP du réseau approuvé ......................................................................................... 76
Définir les réservations d’adresse DHCP du réseau approuvé........................................................ 78
Configurer Firebox en tant qu’agent de relais DHCP.................................................................... 79
Utiliser des adresses IP pour les ordinateurs approuvés .................................................................. 80
Autoriser des connexions sans fil à l’interface approuvée............................................................... 80
À propos de la restriction d’accès à une interface à l’aide d’une adresse MAC........................ 80
Restreindre l’accès à l’interface approuvée à l’aide d’une adresse MAC ............................... 81
À propos de la configuration du réseau facultatif ................................................................................... 83
Activer le réseau facultatif ........................................................................................................................... 84
Guide de l’utilisateur
v
Définir les réservations d’adresse DHCP du réseau facultatif ......................................................... 86
À propos des agents de relais DHCP........................................................................................................ 87
Configurer Firebox en tant qu’agent de relais DHCP.................................................................... 87
Utiliser des adresses IP statiques pour les ordinateurs facultatifs................................................. 87
Autoriser des connexions sans fil à l’interface facultative................................................................ 88
À propos de la restriction d’accès à une interface à l’aide d’une adresse MAC........................ 88
Restreindre l’accès à l’interface facultative à l’aide d’une adresse MAC ................................ 88
À propos des routes statiques......................................................................................................................... 88
Ajouter un route statique............................................................................................................................. 89
À propos du service DNS dynamique........................................................................................................... 90
Créer un compte DynDNS............................................................................................................................ 90
Configurer Firebox X Edge pour le DNS dynamique ......................................................................... 90
Configurer Firebox pour qu’il utilise BIDS................................................................................................... 92
À propos de l’utilisation de plusieurs interfaces externes .................................................................... 92
Options de configuration de plusieurs WAN ........................................................................................ 93
Basculement WAN ..................................................................................................................................... 93
Multi-WAN .................................................................................................................................................... 93
À propos du mode multi-WAN et de DNS ............................................................................................. 93
Configurer une seconde interface externe pour une connexion haut débit ............................ 94
Configurer les paramètres WAN2 avancés ....................................................................................... 94
Configurer Edge de sorte qu’il utilise l’équilibrage de charge de type tourniquet ................ 95
Configurer le basculement WAN............................................................................................................... 96
Activer le basculement WAN dans l’Assistant Setup Wizard...................................................... 96
Configurer Edge pour qu’il prenne en charge le basculement vers un modem série...... 97
Configurer le modem pour qu’il fonctionne avec un basculement WAN............................. 98
Paramètres du compte d’accès à distance ....................................................................................... 98
Paramètres DNS.......................................................................................................................................... 99
À propos des réseaux locaux virtuels (VLAN) ......................................................................................... 100
Ajouter un indicateur VLAN à l’interface externe............................................................................. 101
Ajouter un indicateur VLAN à l’interface approuvée ou à l’interface facultative ................. 101
Chapitre 6 Configuration sans fil ............................................................................................................ 103
À propos de la configuration sans fil ......................................................................................................... 103
Avant de commencer...................................................................................................................................... 103
À propos des paramètres de configuration sans fil.............................................................................. 104
Modifier l’identificateur SSID ................................................................................................................... 104
Activer/Désactiver les diffusions SSID .................................................................................................. 104
Enregistrer les événements d’authentification................................................................................. 105
Modifier le seuil de fragmentation ........................................................................................................ 105
Modifier le seuil RTS .................................................................................................................................... 105
Définir la méthode d’authentification sans fil ................................................................................... 106
Définir le niveau de chiffrement............................................................................................................. 106
Authentification WPA-PSK et WPA2-PSK........................................................................................ 107
Autoriser les connexions sans fil à l’interface approuvée ............................................................. 108
Autoriser les connexions sans fil à l’interface facultative................................................................... 110
Activer un réseau invité sans fil manuellement..................................................................................... 111
À propos des paramètres radio sans fil..................................................................................................... 113
Définir la région et le canal de fonctionnement............................................................................... 113
Définir le mode de fonctionnement sans fil....................................................................................... 113
Configurer la carte sans fil d’un ordinateur............................................................................................. 114
vi
Firebox X Edge e-Series
Chapitre 7 Stratégies de pare-feu .......................................................................................................... 115
À propos des stratégies .................................................................................................................................. 115
À propos de l’utilisation de stratégies sur votre réseau............................................................ 115
Règles de stratégie ...................................................................................................................................... 116
Trafic entrant et sortant............................................................................................................................. 116
À propos du routage basé sur stratégie .............................................................................................. 117
À propos de l’utilisation des stratégies communes de filtrage de paquets ................................ 117
Définir les options de contrôle d’accès (sortant).............................................................................. 120
À propos des stratégies personnalisées ................................................................................................... 121
À propos des stratégies du réseau facultatif........................................................................................... 126
Contrôler le trafic du réseau approuvé vers le réseau facultatif ................................................. 126
Désactiver les filtres de trafic entre les réseaux approuvés et facultatifs ................................ 127
À propos de la priorité des stratégies........................................................................................................ 128
Chapitre 8 Paramètres de proxy ............................................................................................................. 129
À propos des stratégies de proxy ............................................................................................................... 129
Activer une stratégie de proxy commune .......................................................................................... 130
Définir les options de contrôle d’accès ................................................................................................ 131
Utiliser une stratégie pour la gestion du trafic réseau VPN manuel.......................................... 132
À propos du proxy HTTP ................................................................................................................................ 132
Proxy HTTP : Limites de proxy ................................................................................................................. 132
Requêtes HTTP : Paramètres généraux ................................................................................................ 133
Réponses HTTP : Paramètres généraux................................................................................................ 133
Proxy HTTP : Message de refus................................................................................................................ 133
Configurer le message de refus de la stratégie du proxy HTTP ............................................. 134
Exceptions de proxy HTTP ........................................................................................................................ 135
Définir des exceptions........................................................................................................................... 135
Réponses HTTP : Types de contenus..................................................................................................... 135
Ajouter, supprimer ou modifier des types de contenus ........................................................... 136
Requêtes HTTP : Chemins d’URL............................................................................................................. 136
Réponses HTTP : Cookies........................................................................................................................... 136
Bloquer les cookies provenant d’un site......................................................................................... 136
À propos du proxy FTP.................................................................................................................................... 137
Modifier le proxy FTP.................................................................................................................................. 137
Définir les options de contrôle d’accès ................................................................................................ 137
Proxy FTP : Limites de proxy .................................................................................................................... 138
Modifier le proxy POP3 .............................................................................................................................. 140
Définir les options de contrôle d’accès ................................................................................................ 140
Proxy POP3 : Limites de proxy................................................................................................................. 141
Proxy POP3 : Types de contenus ............................................................................................................ 143
Proxy POP3 : Refuser les modèles de nom de fichier non sécurisés..................................... 144
À propos du Proxy SMTP................................................................................................................................ 144
Modifier le proxy SMTP .............................................................................................................................. 145
Définir les options de contrôle d’accès ................................................................................................ 145
Proxy SMTP : Limites du proxy ................................................................................................................ 146
Proxy SMTP : Message de refus............................................................................................................... 147
Proxy SMTP : Filtrer les e-mails par modèle d’adresse.................................................................... 147
Proxy SMTP : Contenu des e-mails......................................................................................................... 148
Autoriser uniquement les types de contenus sécurisés ........................................................... 148
Ajouter ou supprimer un type de contenu.................................................................................... 149
Ajouter ou supprimer des modèles de nom de fichier ............................................................. 149
Refuser les modèles de nom de fichier non sécurisés ............................................................... 149
À propos du Proxy HTTPS .............................................................................................................................. 149
Guide de l’utilisateur
vii
À propos du proxy H.323 ............................................................................................................................... 150
À propos du Proxy SIP..................................................................................................................................... 151
À propos du proxy sortant ............................................................................................................................ 152
Onglet Paramètres.................................................................................................................................. 152
Onglet Contenu ....................................................................................................................................... 152
À propos des abonnements supplémentaires aux services de sécurité pour les proxies...... 153
Chapitre 9 Default Threat Protection ..................................................................................................... 155
À propos de Default Threat Protection..................................................................................................... 155
À propos des sites bloqués ........................................................................................................................... 156
Sites bloqués de façon permanente ................................................................................................ 156
Liste des sites automatiquement bloqués/sites bloqués de façon temporaire............... 156
Bloquer un site de façon permanente.................................................................................................. 157
Bloquer des sites de façon temporaire ................................................................................................ 158
À propos des ports bloqués.......................................................................................................................... 159
Ports bloqués par défaut...................................................................................................................... 159
Bloquer un port............................................................................................................................................. 160
Supprimer les attaques DoS Flood ........................................................................................................ 161
Prévention des refus de service distribués ......................................................................................... 163
Configurer les options de pare-feu ............................................................................................................ 164
Chapitre 10 Gestion du trafic .................................................................................................................... 167
À propos de la gestion du trafic .................................................................................................................. 167
À propos du trafic réseau .......................................................................................................................... 167
Raisons d’un trafic réseau lent............................................................................................................ 167
Catégories de trafic .......................................................................................................................................... 168
Trafic interactif ......................................................................................................................................... 168
Priorité élevée........................................................................................................................................... 168
Priorité moyenne..................................................................................................................................... 168
Priorité basse ............................................................................................................................................ 168
Marquer le trafic ................................................................................................................................................ 169
Activer le contrôle du trafic ...................................................................................................................... 171
Types de NAT................................................................................................................................................. 174
Comportement NAT............................................................................................................................... 174
Adresses IP secondaires........................................................................................................................ 175
À propos de la traduction d’adresses réseau dynamique............................................................. 175
À propos de la traduction d’adresses réseau statique.................................................................... 175
Activer la règle NAT un à un................................................................................................................ 177
Ajouter une adresse IP externe secondaire ................................................................................... 177
Supprimer une adresse IP externe secondaire............................................................................. 177
Activer des adresses secondaires...................................................................................................... 177
Ajouter ou modifier une stratégie pour la règle NAT un à un ................................................ 178
Chapitre 11 Journalisation ........................................................................................................................ 179
À propos de la journalisation et des fichiers journaux........................................................................ 179
Serveurs Log Server................................................................................................................................ 179
Journal d’événements et état du système Syslog....................................................................... 179
Journalisation et notification dans les applications et sur les serveurs............................... 180
À propos des messages de journal................................................................................................... 180
Consulter le journal d’événements ............................................................................................................ 180
Pour afficher le journal d’événements ................................................................................................. 180
À propos de la connexion à un serveur WatchGuard Log Server ................................................... 181
Envoyer les journaux d’événements vers le serveur Log Server................................................. 181
Envoyer des journaux à un hôte Syslog............................................................................................... 183
viii
Firebox X Edge e-Series
Chapitre 12 Certificats ............................................................................................................................... 185
À propos des certificats .................................................................................................................................. 185
Autorités de certification et demandes de signatures .............................................................. 185
À propos des certificats et de Firebox X Edge .............................................................................. 185
Utiliser OpenSSL pour générer une demande de signature de certificat .................................... 186
Envoyer la demande de certificat .......................................................................................................... 187
Délivrer le certificat ..................................................................................................................................... 187
Télécharger le certificat ............................................................................................................................. 187
À propos de l’utilisation des certificats sur Firebox X Edge............................................................... 188
Importer un certificat.................................................................................................................................. 188
Utiliser un certificat local...................................................................................................................... 188
Supprimer un certificat .............................................................................................................................. 188
Examiner un certificat................................................................................................................................. 188
Chapitre 13 Gestion des utilisateurs et des groupes .............................................................................. 189
À propos des licences d’utilisateur............................................................................................................. 189
Octroi de licences d’utilisateur lorsque l’authentification n’est pas nécessaire.................... 190
À propos des comptes d’utilisateurs ......................................................................................................... 193
Configurer un compte d’utilisateur individuel.................................................................................. 193
Demander aux utilisateurs de s’authentifier auprès d’Edge ........................................................ 195
Authentifier une session sans accès administratif ...................................................................... 196
Créer un compte administratif en lecture seule .......................................................................... 196
Utiliser le compte d’administrateur intégré .................................................................................. 197
Définir le profil WebBlocker d’un utilisateur ...................................................................................... 197
Modifier le nom ou le mot de passe d’un compte d’utilisateur .................................................. 198
À propos de l’utilisation de serveurs d’authentification tierce ................................................... 199
Configurer le service d’authentification LDAP/Active Directory ................................................ 200
Utiliser la fonctionnalité de test d’authentification LDAP............................................................. 201
Configurer des groupes pour l’authentification LDAP................................................................... 201
Ajouter un groupe pour l’authentification LDAP ............................................................................. 202
Définir un profil WebBlocker pour un groupe LDAP....................................................................... 203
Authentification LDAP et Mobile VPN with IPSec ............................................................................ 203
À propos de Single Sign-On (SSO) ......................................................................................................... 203
Avant de commencer ............................................................................................................................ 204
Activer et configurer SSO ..................................................................................................................... 204
À propos des exceptions SSO............................................................................................................. 204
Installer l’agent WatchGuard Single Sign-On (SSO) ................................................................... 205
Télécharger le logiciel agent SSO...................................................................................................... 205
Installer le service agent SSO .............................................................................................................. 206
Activer l’authentification RADIUS ............................................................................................................... 207
Afficher les sessions et les utilisateurs actifs ........................................................................................... 208
Paramètres d’utilisateur Firebox ............................................................................................................ 208
Sessions actives ............................................................................................................................................ 208
Modification d’un compte d’utilisateur .......................................................................................... 210
Suppression d’un compte d’utilisateur........................................................................................... 210
Autoriser des périphériques internes pour ignorer l’authentification des utilisateurs........... 211
Chapitre 14 WebBlocker ............................................................................................................................ 213
À propos de WebBlocker ............................................................................................................................... 213
Configurer les paramètres WebBlocker globaux .................................................................................. 213
Installer Quarantine Server et WebBlocker Server................................................................................ 215
Télécharger le logiciel serveur............................................................................................................ 215
Installer Quarantine Server et WebBlocker Server ...................................................................... 216
Guide de l’utilisateur
ix
À propos des profils WebBlocker ................................................................................................................ 216
Créer un profil WebBlocker ...................................................................................................................... 216
À propos des catégories WebBlocker........................................................................................................ 218
Vérifier si un site appartient à une catégorie ..................................................................................... 219
Ajouter, supprimer ou modifier une catégorie ................................................................................. 220
À propos de l’autorisation des sites à contourner WebBlocker....................................................... 221
Ajouter un site autorisé ............................................................................................................................. 221
Ajouter un site refusé ................................................................................................................................. 222
Chapitre 15 spamBlocker .......................................................................................................................... 225
À propos de spamBlocker.............................................................................................................................. 225
Spécifications de spamBlocker ............................................................................................................... 226
À propos de VOD (Virus Outbreak Detection)................................................................................... 226
Actions, indicateurs et catégories de spamBlocker......................................................................... 226
Indicateurs spamBlocker ...................................................................................................................... 227
Catégories spamBlocker....................................................................................................................... 227
Configurer spamBlocker....................................................................................................................... 228
Définir les actions à entreprendre sur les e-mails POP3 ........................................................... 229
Définir les actions à entreprendre sur les e-mails SMTP ........................................................... 230
À propos des exceptions spamBlocker ................................................................................................ 231
Créer des exceptions.............................................................................................................................. 231
Modifier l’ordre des exceptions ......................................................................................................... 232
À propos de l’utilisation de spamBlocker avec plusieurs proxies............................................... 232
Créer des règles pour votre lecteur de messagerie électronique ................................................... 232
Envoyer le courrier indésirable et les e-mails en masse dans des dossiers
Outlook spécifiques .................................................................................................................................... 233
Signaler les faux positifs et les faux négatifs........................................................................................... 233
Ajouter des redirecteurs d’e-mails approuvés pour améliorer la précision du score
de probabilité de courrier indésirable ...................................................................................................... 234
Ajouter des redirecteurs d’e-mails approuvés .................................................................................. 234
Chapitre 16 Quarantine Server ................................................................................................................. 235
À propos de Quarantine Server ................................................................................................................... 235
Installer Quarantine Server et WebBlocker Server................................................................................ 236
Télécharger le logiciel serveur............................................................................................................ 236
Installer Quarantine Server et WebBlocker Server ...................................................................... 236
Démarrer Quarantine Server ........................................................................................................................ 237
Installer les composants serveur ............................................................................................................ 237
Exécuter l’Assistant Setup Wizard.......................................................................................................... 237
Définir l’emplacement du serveur ......................................................................................................... 237
Configurer Quarantine Server...................................................................................................................... 238
Définir les paramètres de serveur généraux ...................................................................................... 238
Modifier les paramètres d’expiration et les domaines d’utilisateurs ........................................ 240
Modifier les paramètres de journalisation .......................................................................................... 243
Activer ou désactiver la journalisation ............................................................................................ 243
Ajouter des serveurs Log Server ou définir des priorités pour ces serveurs...................... 243
Envoyer les messages à l’Observateur d’événements Windows ........................................... 243
Envoyer les messages vers un fichier............................................................................................... 244
Modifier les règles de Quarantine Server ............................................................................................ 244
Gérer les messages........................................................................................................................................... 246
Ouvrir la boîte de dialogue des messages ..................................................................................... 246
Définir les options d’affichage............................................................................................................ 247
Enregistrer les messages ou les envoyer dans la boîte de réception d’un utilisateur ... 247
Supprimer des messages manuellement....................................................................................... 247
x
Firebox X Edge e-Series
Ouvrir la boîte de dialogue des messages.......................................................................................... 249
À propos de la gestion des utilisateurs..................................................................................................... 250
Ajouter des utilisateurs ......................................................................................................................... 251
Supprimer des utilisateurs................................................................................................................... 251
Modifier l’option de notification pour un utilisateur ................................................................. 251
Obtenir des statistiques sur l’activité de Quarantine Server............................................................. 252
Afficher les statistiques pour des dates spécifiques................................................................... 252
Afficher des types de messages spécifiques ................................................................................. 252
Grouper les statistiques par mois, semaine ou jour ................................................................... 252
Exporter et imprimer les statistiques ............................................................................................... 252
Chapitre 17 Gateway AntiVirus et Intrusion Prevention Service ........................................................... 253
À propos de Gateway AntiVirus et Intrusion Prevention ................................................................... 253
À propos des paramètres de Gateway AntiVirus.............................................................................. 254
Messages de refus du proxy POP3 et Gateway AV/IPS.............................................................. 254
Configurer Gateway AV ............................................................................................................................. 255
À propos des paramètres d’Intrusion Prevention Service............................................................. 256
Mettre à jour Gateway AV/IPS ...................................................................................................................... 257
Chapitre 18 Réseaux BOVPN (Branch Office Virtual Private Network) .................................................. 259
À propos de Branch Office Virtual Private Networks (BOVPN) ......................................................... 259
Procédure de création d’un tunnel................................................................................................... 259
Comment créer un réseau privé virtuel (VPN)................................................................................... 260
À propos du basculement VPN ............................................................................................................... 261
À propos des réseaux VPN gérés................................................................................................................. 261
Configurer des tunnels VPN manuels........................................................................................................ 262
Ce dont vous avez besoin pour Manual VPN ................................................................................ 262
Exemple de table d’informations d’adressage VPN ........................................................................ 263
Paramètres de phase 1............................................................................................................................... 265
Si votre système Edge se trouve derrière un périphérique NAT............................................ 267
Afficher les statistiques VPN................................................................................................................ 270
Forum aux questions....................................................................................................................................... 271
Pourquoi avez-vous besoin d’une adresse externe statique ? ............................................... 271
Comment obtenir une adresse IP externe statique ?................................................................. 271
Comment dépanner la connexion ?................................................................................................. 271
Comment définir plus de tunnels VPN que le nombre autorisé sur
un périphérique Edge ?......................................................................................................................... 272
Chapitre 19 À propos de Mobile VPN with PPTP ..................................................................................... 273
Activer l’accès PPTP pour les utilisateurs d’un pare-feu ..................................................................... 274
Activer PPTP sur Edge ..................................................................................................................................... 275
Configurer les paramètres DNS et WINS......................................................................................... 276
Préparer les ordinateurs clients................................................................................................................... 276
Créer et connecter un VPN PPTP à partir d’un client Windows XP ............................................ 277
Utiliser PPTP et accéder à Internet.............................................................................................................. 278
Chapitre 20 À propos de Mobile VPN with IPSec ..................................................................................... 279
Spécifications du client................................................................................................................................... 279
Activer Mobile VPN pour un groupe.......................................................................................................... 281
À propos des fichiers de configuration du client Mobile VPN.......................................................... 282
Configurer les paramètres globaux du client Mobile VPN with IPSec ...................................... 283
Paramètres WINS/DNS pour VPN Mobile with IPSec.................................................................. 283
Télécharger le fichier .wgx de l’utilisateur .......................................................................................... 284
Distribuer les logiciels et les profils ............................................................................................................ 284
Guide de l’utilisateur
xi
Configurations logicielles requises pour le client ............................................................................ 285
Sélectionner un certificat et entrer le PIN ........................................................................................... 286
Désinstaller le client Mobile VPN............................................................................................................ 287
Connecter et déconnecter le client Mobile VPN............................................................................... 287
Déconnecter le client Mobile VPN .................................................................................................... 288
Contrôler le comportement de connexion.................................................................................... 288
Icône du client Mobile User VPN ....................................................................................................... 289
Afficher les messages du journal Mobile VPN ................................................................................... 289
Sécuriser votre ordinateur à l’aide du pare-feu Mobile VPN ........................................................ 290
Activer le pare-feu de liaison .............................................................................................................. 290
À propos du pare-feu de bureau ....................................................................................................... 291
Activer le pare-feu de bureau............................................................................................................. 291
Définir des réseaux connus ................................................................................................................. 292
Créer des règles de pare-feu ............................................................................................................... 292
Onglet Général......................................................................................................................................... 293
Onglet Applications ............................................................................................................................... 296
Chapitre 21 À propos de Mobile VPN with SSL ........................................................................................ 297
Avant de commencer ................................................................................................................................. 297
Étapes nécessaires à la configuration des tunnels........................................................................... 297
Options des tunnels Mobile VPN with SSL.......................................................................................... 297
Spécifications du client................................................................................................................................... 298
Activer Mobile VPN with SSL pour un utilisateur Firebox .................................................................. 298
Activer Mobile VPN with SSL pour un groupe........................................................................................ 299
Activer Edge pour utiliser Mobile VPN with SSL.................................................................................... 300
Onglet Général de la page VPN SSL ................................................................................................. 301
Onglet Avancé de la page VPN SSL .................................................................................................. 302
Télécharger le logiciel client ......................................................................................................................... 303
Installer le logiciel client Mobile VPN with SSL (Windows Vista et Windows XP) ................. 304
Se connecter à Firebox à l’aide du client Mobile VPN with SSL
(Windows Vista et Windows XP)............................................................................................................. 305
Se connecter à Firebox à l’aide du client Mobile VPN with SSL (Mac OS X)............................ 305
Contrôles du client Mobile VPN with SSL............................................................................................ 306
Client Mobile VPN with SSL pour Windows Vista et Windows XP......................................... 307
Client Mobile VPN with SSL pour Mac OS X................................................................................... 307
xii
Firebox X Edge e-Series
1
Introduction à la sécurité des
réseaux
À propos des réseaux et de leur sécurité
Un réseau est un groupe d’ordinateurs et de périphériques connectés les uns aux autres. Il peut s’agir de deux
ordinateurs connectés par un câble série ou de nombreux ordinateurs aux quatre coins du monde connectés
entre eux via Internet. Les ordinateurs faisant partie du même réseau peuvent fonctionner ensemble et
partager des données.
Internet vous donne accès à un large éventail d’informations et d’opportunités commerciales, mais il rend
votre réseau accessible aux personnes malveillantes. Une stratégie de sécurité du réseau efficace vous permet
de détecter et d’empêcher les attaques contre votre ordinateur ou réseau.
Les attaques sont coûteuses. Les ordinateurs peuvent nécessiter des réparations ou un remplacement. Les
ressources et le temps des employés sont consacrés à la résolution de problèmes résultant des attaques. Des
informations précieuses peuvent être subtilisées sur le réseau.
Beaucoup de gens pensent que leur ordinateur ne détient pas d’informations cruciales. Ils ne réalisent pas que
leur ordinateur est une cible pour un pirate informatique. La réalité en est tout autrement. Un pirate
informatique peut utiliser votre ordinateur en tant que plate-forme d’attaque contre d’autres ordinateurs ou
réseaux, ou utiliser vos informations de compte pour envoyer du courrier indésirable, ou des attaques. Vos
informations personnelles et de compte sont également vulnérables et précieuses pour les pirates
informatiques.
Guide de l’utilisateur
1
Introduction à la sécurité des réseaux
À propos des connexions Internet
Les fournisseurs de services Internet sont des sociétés qui donnent accès à Internet via des connexions réseau.
La Bande passante correspond au débit auquel une connexion réseau peut envoyer des données : par
exemple, 3 mégabits par seconde (Mbits).
Une connexion Internet à haut débit, telle qu’un modem câble ou DSL (Digital Subscriber Line), est appelée
connexion large bande. Les connexions large bande sont beaucoup plus rapides que les connexions d’accès à
distance. La bande passante d’une connexion d’accès à distance est inférieure à 0,1 Mbits, alors qu’avec un
modem câble elle peut être de 5 Mbits ou plus.
Les débits des modems câbles sont généralement inférieurs aux débits maximaux, car chaque ordinateur d’un
voisinage appartient à un LAN. Chaque ordinateur d’un LAN utilise une partie de la bande passante. À cause
de ce système « partagé-moyen », les connexions modem câble peuvent être ralenties lorsque davantage
d’utilisateurs se connectent au réseau.
Les connexions DSL offrent une bande passante constante, mais sont généralement plus lentes que les
connexions modem câble. De plus, la bande passante est seulement constante entre votre domicile ou votre
bureau et le bureau central DSL. Le bureau central DSL ne peut pas garantir une connexion à bande passante
constante à un site Web ou un réseau.
À propos des protocoles
Un protocole est un ensemble de règles qui autorise les ordinateurs à se connecter au sein d’un réseau. Les
protocoles sont la « grammaire » du langage que les ordinateurs utilisent lorsqu’ils communiquent entre eux
sur un réseau.
Le protocole standard de connexion à Internet est le protocole IP (Internet Protocol). Ce protocole est le
langage commun des ordinateurs sur Internet.
Un protocole indique également le mode d’envoi des données à travers un réseau. Les protocoles les plus
fréquemment utilisés sont TCP (Transmission Control Protocol) et UDP (User Datagram Protocol).
TCP/IP est le protocole de base utilisé par des ordinateurs qui se connectent à Internet.
Vous devez connaître certains paramètres du protocole TCP/IP lorsque vous configurez Firebox X Edge. Pour
plus d’informations sur le protocole TCP/IP, voir Rechercher des propriétés TCP/IP.
Mode de transmission des informations sur Internet
Les données que vous envoyez via Internet sont découpées en unités ou paquets. Chaque paquet inclut
l’adresse Internet de la destination. Les paquets d’une connexion peuvent utiliser différents routes via
Internet. Lorsqu’ils arrivent à destination, ils sont assemblés dans l’ordre initial. Pour garantir que les paquets
arrivent à destination, les informations d’adresse sont ajoutées aux paquets.
2
Firebox X Edge e-Series
Introduction à la sécurité des réseaux
Les protocoles TCP et IP permettent l’envoi et la réception de ces paquets. TCP désassemble les données et les
réassemble. IP ajoute des informations aux paquets, telles que l’expéditeur, le destinataire et des instructions
spéciales.
À propos des adresses IP
Pour envoyer un courrier normal à quelqu’un, vous devez connaître son adresse postale. Pour qu’un
ordinateur puisse envoyer des données à un autre ordinateur via Internet, le premier ordinateur doit connaître
l’adresse du deuxième. L’adresse d’un ordinateur est appelée adresse IP (Internet Protocol). Tous les
périphériques sur Internet ont une adresse IP unique, qui permet aux autres périphériques également sur
Internet de les trouver et d’interagir avec eux.
Une adresse IP se compose de quatre octets (séquences binaires de 8 bits) au format décimal et séparés par
des points. Chaque nombre entre les points doit être compris dans la plage 0 – 255. Voici des exemples
d’adresses IP :
ƒ
ƒ
ƒ
206.253.208.100 = WatchGuard.com
4.2.2.2 = serveur DNS principal
10.0.4.1 = IP privée
Adresses et passerelles privées
De nombreuses sociétés créent des réseaux privés dotés de leur propre espace d’adresses. Les adresses en
10.x.x.x et 192.168.x.x sont réservées aux adresses IP privées. Les ordinateurs sur Internet ne peuvent pas
utiliser ces adresses. Si votre ordinateur est sur un réseau privé, vous vous connectez à Internet via un
périphérique de passerelle doté d’une adresse IP publique.
La passerelle par défaut correspond généralement au routeur situé entre votre réseau et Internet. Après
l’installation de Firebox sur votre réseau, il devient la passerelle par défaut de tous les ordinateurs connectés
à ses interfaces approuvées ou facultatives.
Guide de l’utilisateur
3
Introduction à la sécurité des réseaux
À propos des masques de sous-réseau
Dans un souci de sécurité et de performance, les réseaux sont souvent divisés en parties plus petites appelées
sous-réseaux. Tous les périphériques d’un sous-réseau ont des adresses IP similaires. Par exemple, tous les
périphériques ayant des adresses IP dont les trois premiers octets sont 50.50.50 appartiennent au même sousréseau.
Le masque de sous-réseau de l’adresse IP d’un réseau, ou masque réseau, est une chaîne de bits qui masque
des sections de l’adresse IP pour indiquer combien d’adresses sont disponibles et combien sont déjà utilisées.
Par exemple, un masque de sous-réseau du réseau étendu pourrait ressembler à ceci : 255.255.0.0. Chaque
zéro indique qu’une plage des adresses IP de 1 à 255 est disponible. Chaque décimale de 255 correspond à
une plage d’adresses IP déjà utilisée. Dans un réseau avec un masque de sous réseau de 255.255.0.0, 65 025
adresses IP sont disponibles. Le masque de sous-réseau d’un réseau plus petit est 255.255.255.0. Seules
254 adresses IP sont disponibles.
À propos de la notation de barre oblique
Firebox utilise les barres obliques à de nombreuses fins, y compris la configuration de stratégies. Les barres
obliques permettent d’afficher de manière compacte le masque de sous-réseau d’un réseau. Pour utiliser des
barres obliques dans un masque de sous-réseau :
1. Premièrement, recherchez la représentation binaire du masque de sous-réseau.
Par exemple, la représentation binaire de 255.255.255.0 est 11111111.11111111.11111111.00000000.
2. Comptez tous les « 1 » du masque de sous-réseau.
Cet exemple comporte vingt-quatre « 1 ».
3. Ajoutez le nombre de l’étape deux à l’adresse IP, séparé par une barre oblique (/).
L’adresse IP 192.168.42.23/24 équivaut à une adresse IP de 192.168.42.23 avec un masque de réseau de
255.255.255.0.
Ce tableau affiche les masques de réseau courants et leurs équivalents avec des barres obliques.
Masque de réseau
Équivalent avec des barres obliques
255.0.0.0
/8
255.255.0.0
/16
255.255.255.0
/24
255.255.255.128
/25
255.255.255.192
/26
255.255.255.224
/27
255.255.255.240
/28
255.255.255.248
/29
255.255.255.252
/30
À propos de la saisie des adresses IP
Lorsque vous entrez des adresses IP dans l’Assistant Quick Setup Wizard ou dans les boîtes de dialogue
du logiciel de gestion Firebox, entrez les chiffres et les points dans le bon ordre. N’utilisez pas la touche
TABULATION, les touches de direction, la barre d’espacement ou la souris pour placer votre curseur après
les points.
Si, par exemple, vous entrez l’adresse IP 172.16.1.10, n’entrez pas d’espace après « 16 ». N’essayez pas de placer
votre curseur après le point suivant pour entrer « 1 ». Entrez un point directement après « 16 », puis entrez
« 1.10 ». Appuyez sur la touche barre oblique (/) pour passer au masque réseau.
4
Firebox X Edge e-Series
Introduction à la sécurité des réseaux
Adresses IP statiques et dynamiques
Les fournisseurs de services Internet attribuent une adresse IP à chaque périphérique de leur réseau. Cette
adresse IP peut être statique ou dynamique.
Une adresse IP statique est une adresse IP qui reste toujours la même. Si votre serveur Web, votre serveur FTP
ou une autre ressource Internet doit avoir une adresse qui ne peut pas changer, votre fournisseur de services
Internet peut vous fournir une adresse IP statique. Une adresse IP statique est généralement plus chère qu’une
adresse IP dynamique et certains fournisseurs de services Internet ne fournissent pas d’adresse IP statique.
Vous devez configurer une adresse IP statique manuellement.
Une adresse IP dynamique est une adresse IP que le fournisseur de services Internet vous permet d’utiliser de
façon temporaire. Si une adresse dynamique n’est pas utilisée, elle peut être attribuée automatiquement à un
autre périphérique. Les adresses IP dynamiques sont attribuées à l’aide de DHCP ou de PPPoE.
À propos de DHCP
DHCP (Dynamic Host Configuration Protocol) est un protocole Internet que les ordinateurs d’un réseau
utilisent pour obtenir des adresses IP et d’autres informations telles que la passerelle par défaut. Lorsque vous
vous connectez à Internet, un ordinateur configuré comme serveur DHCP chez le fournisseur de services
Internet vous attribue automatiquement une adresse IP. Il peut s’agir de l’adresse IP que vous aviez avant ou
d’une nouvelle. Lorsque vous fermez une connexion Internet qui utilise une adresse IP dynamique, le
fournisseur de services Internet peut attribuer cette adresse IP à un autre client.
Vous pouvez configurer Firebox en tant que serveur DHCP pour des réseaux derrière Firebox. Vous pouvez
attribuer une plage d’adresses dans laquelle le serveur DHCP peut en choisir une.
À propos de PPPoE
Certains fournisseurs de services Internet attribuent leurs adresses IP via PPPoE (Point-to-Point Protocol over
Ethernet). PPPoE développe une connexion d’accès à distance standard pour ajouter certaines des
fonctionnalités d’Ethernet et PPP. Ce protocole réseau permet au fournisseur de services Internet d’utiliser les
systèmes de facturation, d’authentification et de sécurité de leur infrastructure distante avec des produits de
type modem DSL et modem câble.
À propos de DHCP
DHCP (Dynamic Host Configuration Protocol) est un protocole Internet que les ordinateurs d’un réseau
utilisent pour obtenir des adresses IP et d’autres informations telles que la passerelle par défaut. Lorsque vous
vous connectez à Internet, un ordinateur configuré comme serveur DHCP chez le fournisseur de services
Internet vous attribue automatiquement une adresse IP. Il peut s’agir de l’adresse IP que vous aviez avant ou
d’une nouvelle. Lorsque vous fermez une connexion Internet qui utilise une adresse IP dynamique, le
fournisseur de services Internet peut attribuer cette adresse IP à un client différent.
Vous pouvez configurer Firebox en tant que serveur DHCP pour des réseaux derrière Firebox. Vous pouvez
attribuer une plage d’adresses dans laquelle le serveur DHCP peut en choisir une.
À propos de PPPoE
Certains fournisseurs de services Internet attribuent leurs adresses IP par le biais du Protocole PPPoE (Pointto-Point Protocol over Ethernet). PPPoE développe une connexion d’accès à distance standard pour ajouter
quelques-unes des fonctionnalités d’Ethernet et PPP. Ce protocole de réseau permet au fournisseur de
services Internet d’utiliser les systèmes de sécurité, d’authentification et de facturation de leur infrastructure
d’accès à distance avec un modem DSL et des modems câblés.
Guide de l’utilisateur
5
Introduction à la sécurité des réseaux
À propos du DNS (Domain Name Service)
Si vous ne connaissez pas l’adresse de quelqu’un, vous pouvez généralement la trouver dans un annuaire
téléphonique. Sur Internet, l’équivalent d’un annuaire téléphonique est le DNS (Domain Name Service).
Chaque site Web a un nom de domaine (tel que « monsite.com ») qui correspond à une adresse IP. Lorsque
vous entrez un nom de domaine pour afficher un site Web, votre ordinateur obtient l’adresse IP à partir d’un
serveur DNS.
Une URL (Uniform Resource Locator) inclut un nom de domaine et un protocole. Exemple d’URL :
http://www.watchguard.com/.
En bref, le DNS correspond au système qui traduit les noms de domaine Internet en adresses IP. Un serveur
DNS est un serveur qui effectue cette traduction.
À propos des services et des stratégies
Vous utilisez un service pour envoyer différents types de données (notamment des e-mails, des fichiers ou des
commandes) d’un ordinateur à l’autre, au sein du réseau ou vers un autre réseau. Ces services utilisent des
protocoles. Les services Internet fréquemment utilisés sont les suivants :
ƒ
ƒ
ƒ
ƒ
ƒ
l’accès World Wide Web utilise le protocole HTTP (Hypertext Transfer Protocol) ;
l’e-mail utilise le protocole SMTP (Simple Mail Transfer Protocol) ou POP3 (Post Office Protocol) ;
le transfert de fichiers utilise le protocole FTP (File Transfer Protocol) ;
la conversion d’un nom de domaine en adresse Internet utilise le service DNS (Domain Name Service) ;
l’accès à un terminal distant utilise Telnet ou SSH (Secure Shell).
Lorsque vous autorisez ou refusez un service, vous devez ajouter une stratégie à votre configuration Firebox.
Chaque stratégie ajoutée peut également engendrer un risque de sécurité. Pour envoyer et recevoir des
données, vous devez « ouvrir une porte » dans votre ordinateur, ce qui expose votre réseau à des risques. Il est
conseillé d’ajouter uniquement des stratégies indispensables à votre société.
À propos des ports
En général, un port est un point de connexion qui, par le biais d’un connecteur et de câbles, permet de
connecter des périphériques. Les ordinateurs disposent également de ports qui ne sont pas des
emplacements physiques. Ces ports permettent aux programmes de transmettre des données.
Certains protocoles, tels que HTTP, comportent des ports avec des numéros attribués. Par exemple, bon
nombre d’ordinateurs transmettent les e-mails via le port 110 car le protocole POP3 est attribué au port 110.
D’autres programmes reçoivent un numéro de port dynamique à chaque connexion. L’IANA (Internet
Assigned Numbers Authority) détient une liste des ports connus. Vous pouvez consulter cette liste à l’adresse
suivante : http://www.iana.org/assignments/port-numbers.
La plupart des stratégies se voient attribuer un numéro de port compris entre 0 et 1 024, mais la plage de
numéros de port peut aller de 0 à 65 535.
6
Firebox X Edge e-Series
Introduction à la sécurité des réseaux
À propos des pare-feu
Un pare-feu sépare vos ordinateurs approuvés sur le réseau interne du réseau externe ou d’Internet, afin de
réduire le risque d’attaque externe. La figure ci-dessous montre comment un pare-feu sépare les ordinateurs
approuvés d’Internet.
Les pare-feu utilisent des stratégies d’accès pour identifier et filtrer les différents types d’informations. Ils
peuvent également contrôler quelles stratégies ou quels ports les ordinateurs protégés utilisent sur Internet
(accès sortants). De nombreux pare-feu disposent de stratégies de sécurité prédéfinies et les utilisateurs
peuvent sélectionner la stratégie la plus adaptée. D’autres, comme Firebox permettent à l’utilisateur de
personnaliser ces stratégies.
Les pare-feu peuvent être matériels ou logiciels. Un pare-feu protège les réseaux privés contre les utilisateurs
non autorisés sur Internet. Tout le trafic qui entre dans les réseaux approuvés ou protégés doit passer par le
pare-feu. Le pare-feu examine chaque message et refuse ceux qui ne respectent pas les critères ou les
stratégies de sécurité.
Dans certains pare-feu fermés, ou « refus par défaut », toutes les connexions réseau sont refusées sauf si une
règle spécifique autorise la connexion. Pour déployer ce type de pare-feu, vous devez disposer d’informations
détaillées sur les applications réseau requises pour répondre aux besoins de votre organisation. D’autres parefeu autorisent toutes les connexions réseau qui n’ont pas été refusées de façon explicite. Ce type de pare-feu
ouvert est plus facile à déployer, mais n’est pas aussi sécurisé.
Guide de l’utilisateur
7
Introduction à la sécurité des réseaux
Firebox X Edge et votre réseau
Firebox X Edge contrôle tout le trafic entre le réseau externe et le réseau approuvé. Edge comprend
également une interface réseau facultative qui est séparée du réseau approuvé. Utilisez le réseau facultatif
pour les ordinateurs avec « approbation mixte ». Par exemple, les clients utilisent souvent le réseau facultatif
pour leurs utilisateurs distants ou des serveurs publics tels qu’un serveur Web ou de messagerie. Votre parefeu peut arrêter tout trafic douteux entre le réseau externe et vos réseaux approuvés, et facultatifs.
Firebox X Edge e-Series est un pare-feu pour les entreprises de petite taille ou distantes. Certains clients qui
possèdent un système Edge ne savent pas grand chose sur les réseaux informatiques ou la sécurité réseau.
Edge propose des Assistants et de nombreux outils d’aide sans assistance pour ces clients. Les clients
expérimentés peuvent utiliser les fonctionnalités d’intégration avancées et les diverses sources de support
WAN du logiciel système Edge Pro pour connecter un système Edge à un réseau WAN plus vaste. Edge se
connecte à un modem par câble ou DSL, ou un routeur RNIS.
L’interface utilisateur Web de Firebox X Edge vous permet de gérer votre réseau en toute sécurité. Vous
pouvez gérer votre système Edge à partir d’emplacements divers et à différents moments. Vous pouvez alors
consacrer plus de temps et de ressources à d’autres composants de votre société.
8
Firebox X Edge e-Series
2
Installation
Avant de commencer
Pour installer WatchGuard Firebox X Edge e-Series sur votre réseau, vous devez effectuer les tâches suivantes :
ƒ
ƒ
ƒ
ƒ
ƒ
Identifier et noter les propriétés TCP/IP de votre connexion Internet.
Désactiver les propriétés de proxy HTTP et du bloqueur de fenêtres publicitaires intempestives de
votre navigateur Web.
Connecter Edge à votre réseau.
Connecter votre ordinateur à Edge.
Utiliser l’Assistant Quick Setup Wizard pour configurer Edge.
Vérifier la configuration minimale requise
Pour installer Firebox X Edge e-Series, vous devez posséder le matériel suivant :
ƒ
ƒ
ƒ
ƒ
Un ordinateur doté d’une carte d’interface réseau Ethernet 10/100BaseT pour configurer Edge.
Un navigateur Web. Vous pouvez utiliser Internet Explorer 6.0 ou version ultérieure, Netscape 7.0 ou
version ultérieure ou un navigateur équivalent.
Le numéro de série du périphérique Edge.
Ce numéro est imprimé sur le dessous du boîtier. Il sert à effectuer l’enregistrement du périphérique Edge.
Une connexion Internet.
La connexion réseau externe peut s’effectuer par le biais d’un modem câble ou DSL avec un port 10/100BaseT, par
le biais d’un routeur RNIS, ou il peut s’agir d’une connexion de réseau local directe. Si vous rencontrez des
problèmes avec votre connexion Internet, contactez votre fournisseur de services Internet afin de résoudre le
problème avant d’installer Firebox X Edge.
Guide de l’utilisateur
9
Installation
Vérifier le contenu de l’emballage
Assurez-vous que l’emballage de votre Firebox X Edge e-Series contient les articles suivants :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
10
Guide de l’utilisateur de Firebox X Edge e-Series sur CD-ROM
Guide de démarrage rapide de Firebox X Edge e-Series
Carte d’activation du service LiveSecurity
Carte de garantie du matériel
Adaptateur secteur (12 V/1,2 A) avec kit de prises internationales
Collier de câble d’alimentation
Utilisez ce collier pour attacher le câble sur le côté du boîtier Edge. Cela permet de diminuer la tension sur le câble
d’alimentation.
Câble Ethernet droit vert
Plaque de fixation murale (modèles sans fil uniquement)
Deux antennes (modèles sans fil uniquement)
Firebox X Edge e-Series
Installation
Identifier vos paramètres réseau
Pour configurer Firebox X Edge, vous devez connaître certaines informations relatives à votre réseau. Utilisez
cette section pour savoir comment identifier vos paramètres réseau. Pour en savoir plus sur les notions
fondamentales relatives aux réseaux, voir À propos des réseaux et de leur sécurité.
Spécifications relatives à l’adressage réseau
Contactez votre fournisseur de services Internet ou votre administrateur de réseau d’entreprise afin d’en savoir plus
sur la façon dont votre ordinateur obtient son adresse IP. Pour vous connecter à Internet avec Firebox X Edge,
appliquez la même méthode que pour la connexion avec votre ordinateur. Si vous connectez votre ordinateur
directement à Internet à l’aide d’une connexion haut débit, vous pouvez placer Edge entre votre ordinateur et
Internet et utiliser la configuration réseau sur votre ordinateur afin de configurer l’interface externe Edge.
Vous pouvez utiliser une adresse IP statique, le protocole DHCP ou le protocole PPPoE pour configurer
l’interface externe Edge. Pour plus d’informations sur l’adressage réseau, voir À propos de la configuration des
interfaces externes.
Un navigateur Web doit être installé sur votre ordinateur. Ce navigateur sert à configurer et à gérer Firebox X
Edge. Votre ordinateur doit avoir une adresse IP sur le même réseau qu’Edge.
Dans la configuration d’usine, Firebox X Edge affecte à votre ordinateur une adresse IP par le biais du
protocole DHCP (Dynamic Host Configuration Protocol). Vous pouvez configurer votre ordinateur de façon à
utiliser le protocole DHCP, puis vous connecter à Edge pour le gérer. Vous pouvez affecter à votre ordinateur
une adresse IP statique appartenant au même réseau que l’adresse IP approuvée d’Edge. Pour plus
d’informations, voir Configurer l’ordinateur pour se connecter à Edge.
Rechercher des propriétés TCP/IP
Pour en savoir plus sur les propriétés de votre réseau, examinez les propriétés TCP/IP de votre ordinateur ou
de tout autre ordinateur du réseau. Vous devez connaître les éléments suivants pour installer Firebox X Edge :
ƒ
ƒ
ƒ
ƒ
ƒ
Adresse IP
Masque de sous-réseau
Passerelle par défaut
Si votre ordinateur possède une adresse IP statique ou dynamique
Adresses IP des serveurs DNS principaux et secondaires
Si votre fournisseur de services Internet affecte à votre ordinateur une adresse IP commençant par
10, 192.168 ou 172.16 à 172.31, cela signifie qu’il utilise la traduction d’adresses réseau (NAT,
Network Address Translation) et que votre adresse IP est privée. Nous vous conseillons d’obtenir une
adresse IP publique comme adresse IP externe du périphérique Firebox X Edge. Si vous utilisez une
adresse IP privée, vous pouvez rencontrer des problèmes avec certaines fonctionnalités, telles que la
mise en réseau privé virtuel.
Pour rechercher les propriétés TCP/IP, utilisez les instructions suivantes en fonction du système d’exploitation
utilisé.
Rechercher des propriétés TCP/IP sur Microsoft Windows Vista
1. Sélectionnez Démarrer > Tous les programmes > Accessoires > Invite de commandes.
La fenêtre Invite de commandes s’affiche.
2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée.
3. Prenez note des valeurs qui s’affichent pour la carte réseau principale.
Guide de l’utilisateur
11
Installation
Rechercher des propriétés TCP/IP sur Microsoft Windows 2000, Windows 2003
et Windows XP
1. Sélectionnez Démarrer > Tous les programmes > Accessoires > Invite de commandes.
La fenêtre Invite de commandes s’affiche.
2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée.
3. Prenez note des valeurs qui s’affichent pour la carte réseau principale.
Rechercher des propriétés TCP/IP sur Microsoft Windows NT
1. Sélectionnez Démarrer > Programmes > Invite de commandes.
La fenêtre Invite de commandes s’affiche.
2. À l’invite de commandes, tapez ipconfig /all et appuyez sur Entrée.
3. Prenez note des valeurs qui s’affichent pour la carte réseau principale.
Rechercher des propriétés TCP/IP sur Macintosh OS 9
1. Sélectionnez le Menu Pomme > Tableaux de bord > TCP/IP.
La fenêtre TCP/IP s’affiche.
2. Prenez note des valeurs qui s’affichent pour la carte réseau principale.
Rechercher des propriétés TCP/IP sur Macintosh OS X 10.5
1. Sélectionnez le menu Pomme > Préférences système ou sélectionnez l’icône dans le Dock.
La fenêtre Préférences système s’affiche.
2. Cliquez sur l’icône Réseau.
Le volet de préférences réseau s’affiche.
3. Sélectionnez la carte réseau utilisée pour la connexion à Internet.
4. Prenez note des valeurs qui s’affichent pour cette carte réseau.
Rechercher des propriétés TCP/IP sur d’autres systèmes d’exploitation
(Unix, Linux)
1. Reportez-vous au guide d’utilisation de votre système d’exploitation pour rechercher les propriétés
TCP/IP.
2. Prenez note des valeurs qui s’affichent pour la carte réseau principale.
Rechercher des paramètres PPPoE
De nombreux fournisseurs de services Internet utilisent le protocole PPPoE (Point to Point Protocol over
Ethernet) car il est facile à utiliser avec une infrastructure d’accès à distance. Si votre fournisseur de services
Internet utilise le protocole PPPoE pour affecter les adresses IP, vous devez obtenir les informations suivantes :
ƒ
ƒ
ƒ
12
Nom de connexion
Domaine (facultatif)
Mot de passe
Firebox X Edge e-Series
Installation
Enregistrer Firebox et activer le service LiveSecurity
Pour activer toutes les fonctionnalités de Firebox X Edge, vous devez procéder à l’enregistrement du produit
sur le site Web WatchGuard LiveSecurity et récupérer votre clé de fonctionnalité. Tant que vous n’avez pas
appliqué votre clé de fonctionnalité, vous ne disposez que d’une seule licence d’utilisateur (licence par siège).
Vous devez également utiliser votre clé de fonctionnalité pour appliquer les mises à niveau supplémentaires
dont vous faites l’acquisition. Voir À propos des licences d’utilisateur pour plus d’informations.
Lors de l’enregistrement, vous activez également votre abonnement gratuit de 90 jours au service
LiveSecurity. Ce service vous permet de bénéficier de notifications d’alerte, de conseils en matière de sécurité,
d’informations sur la protection antivirus, de mises à jour logicielles, de support technique par téléphone ou
Internet et d’accéder aux ressources d’aide en ligne et au forum des utilisateurs WatchGuard.
Pour enregistrer Firebox X Edge :
1. À l’aide de votre navigateur, accédez à : http://www.watchguard.com/activate/.
L’utilisation du site Web des services LiveSecurity nécessite l’activation de JavaScript dans le
navigateur.
2. Si vous êtes un nouveau client, vous devez créer un profil utilisateur.
3. Si vous êtes déjà client, ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe
LiveSecurity.
4. Suivez les instructions en ligne pour procéder à l’enregistrement de Firebox X Edge. Vous devez avoir le
numéro de série à portée de main. Vous le trouverez sur le dessous du boîtier Edge ou sur son emballage.
5. Lorsque vous entrez votre numéro de série, vous recevez une clé de fonctionnalité. Copiez et
enregistrez ce texte dans un fichier sur votre disque dur local.
6. Nous vous conseillons de télécharger en même temps le logiciel système Edge le plus récent.
7. Si une clé de mise à niveau de modèle est fournie avec votre modèle, activez-la sur le site Web à
l’adresse suivante : http://www.watchguard.com/upgrade.
Guide de l’utilisateur
13
Installation
Désactiver le proxy HTTP
De nombreux navigateurs Web sont configurés de façon à utiliser un serveur proxy HTTP afin d’améliorer la
vitesse de téléchargement des pages Web. Pour gérer ou configurer Firebox X Edge e-Series, votre navigateur
doit se connecter directement à Edge. Si vous utilisez un serveur proxy HTTP, vous devez momentanément
désactiver le paramètre de proxy HTTP dans votre navigateur. Vous pouvez réactiver le paramètre de serveur
proxy HTTP dans votre navigateur une fois Edge configuré.
Utilisez les instructions suivantes pour désactiver le proxy HTTP dans Firefox, Safari ou Internet Explorer.
Si vous utilisez un autre navigateur, utilisez son système d’aide pour rechercher les informations nécessaires.
De nombreux navigateurs désactivent automatiquement la fonctionnalité de proxy HTTP.
Désactiver le proxy HTTP dans Internet Explorer 6.x ou 7.x
1. Ouvrez Internet Explorer.
2. Sélectionnez Outils > Options Internet.
La fenêtre Options Internet s’affiche.
3. Cliquez sur l’onglet Connexions.
4. Cliquez sur le bouton Paramètres réseau.
La fenêtre Paramètres du réseau local s’affiche.
5. Désactivez la case à cocher Utiliser un serveur proxy pour votre réseau local.
6. Cliquez sur OK à deux reprises.
Désactiver le proxy HTTP dans Firefox 2.x
1. Ouvrez le logiciel de navigation.
2. Sélectionnez Outils > Options.
La fenêtre Options s’affiche.
3. Cliquez sur l’icône Avancé.
4. Sélectionnez l’onglet Réseau. Cliquez sur Paramètres.
5. Cliquez sur le bouton Paramètres de connexion.
La boîte de dialogue Paramètres de connexion s’affiche.
6. Assurez-vous que l’option Connexion directe à Internet est sélectionnée.
7. Cliquez sur OK à deux reprises.
Désactiver le proxy HTTP dans Safari 2.0
1. Ouvrez le logiciel de navigation.
2. Dans le menu d’application, sélectionnez Préférences.
La fenêtre Préférences Safari s’affiche.
3. Cliquez sur l’icône Avancé.
4. Cliquez sur le bouton Modifier les paramètres.
La fenêtre Préférences système s’affiche.
5. Désactivez la case à cocher Proxy Web (HTTP).
6. Cliquez sur Appliquer.
14
Firebox X Edge e-Series
Installation
Désactiver le blocage des fenêtres publicitaires
intempestives
Firebox X Edge e-Series utilise des fenêtres contextuelles pour de nombreuses fonctionnalités, y compris
l’Assistant Quick Setup Wizard. Si vous bloquez l’affichage des fenêtres publicitaires intempestives, vous
devez désactiver cette fonction lors de la connexion à Edge.
Utilisez les instructions suivantes pour désactiver l’option de blocage des fenêtres publicitaires intempestives
dans Firefox, Netscape, Safari ou Internet Explorer. Si vous utilisez un autre navigateur, utilisez son système
d’aide pour rechercher les informations nécessaires.
Désactiver le bloqueur de fenêtres publicitaires intempestives dans Internet
Explorer 6.x ou 7.x
1. Ouvrez Internet Explorer.
2. Sélectionnez Outils > Bloqueur de fenêtre publicitaire intempestive > Désactiver le bloqueur de
fenêtres publicitaires intempestives.
Désactiver le bloqueur de fenêtres publicitaires intempestives dans Firefox 2.x
1. Ouvrez le logiciel de navigation.
2. Sélectionnez Outils > Options.
La fenêtre Options s’affiche.
3. Cliquez sur l’icône Contenu.
4. Assurez-vous que l’option Bloquer les fenêtres popup n’est pas sélectionnée.
5. Cliquez sur OK.
Désactiver le bloqueur de fenêtres publicitaires intempestives dans Safari 2.0
1. Ouvrez le logiciel de navigation.
2. Cliquez sur Application. Assurez-vous que l’élément de menu Bloquer les fenêtres publicitaires
intempestives n’est pas sélectionné.
Guide de l’utilisateur
15
Installation
Connecter Firebox X Edge
De nombreux utilisateurs configurent leur périphérique Firebox X Edge e-Series sur un ordinateur avant de le
placer sur le réseau.
Appliquez la procédure suivante pour connecter votre ordinateur à Firebox X Edge :
1. Arrêtez votre ordinateur.
2. Si vous utilisez un modem câble ou DSL pour vous connecter à Internet, déconnectez son alimentation
secteur.
3. Localisez le câble Ethernet qui relie le modem et votre ordinateur. Débranchez ce câble de l’ordinateur
et raccordez-le à l’interface externe Edge (libellée WAN 1).
4. Localisez le câble Ethernet vert fourni avec Edge. Raccordez ce câble à une interface approuvée (LAN0LAN2) sur Edge. Raccordez l’autre extrémité de ce câble à l’interface Ethernet de votre ordinateur.
5. Si vous utilisez un modem câble ou DSL, branchez son alimentation secteur.
6. Localisez l’adaptateur secteur fourni avec Edge. Raccordez l’adaptateur secteur à Edge et à une source
d’alimentation.
Le témoin lumineux d’alimentation Edge s’allume et le voyant WAN clignote, puis s’allume.
Utilisez uniquement l’adaptateur secteur fourni pour Firebox X Edge.
16
Firebox X Edge e-Series
Installation
Ajouter des ordinateurs au réseau approuvé
Vous pouvez connecter un maximum de trois ordinateurs à l’interface approuvée de Firebox X Edge e-Series
en les connectant chacun à l’un des ports Ethernet 0, 1 et 2 d’Edge. Pour connecter plus de trois ordinateurs,
utilisez des concentrateurs ou commutateurs Ethernet 10/100 Base T avec des connecteurs RJ-45. Les
ordinateurs du réseau approuvé ne doivent pas nécessairement fonctionner sous le même système
d’exploitation.
Pour ajouter plus de trois ordinateurs au réseau approuvé :
1. Assurez-vous que chaque ordinateur est équipé d’une carte Ethernet qui fonctionne.
2. Connectez chaque ordinateur au réseau. Pour plus d’informations, voir Connecter Edge à plus de
quatre périphériques.
Connecter Edge à plus de quatre périphériques
Firebox X Edge e-Series possède trois ports Ethernet (LAN0-LAN2) pour le réseau approuvé et un port Ethernet
(OPT) pour le réseau facultatif. Vous pouvez connecter des périphériques directement à Edge ou utiliser un
concentrateur ou un commutateur pour connecter plus de quatre périphériques. Le nombre de périphériques
pouvant être connectés au réseau externe est limité par le nombre de licences de session disponibles. Voir
À propos des licences d’utilisateur pour plus d’informations.
Pour connecter plus de quatre périphériques à Edge, vous devez avoir :
ƒ
ƒ
ƒ
Un concentrateur ou un commutateur Ethernet 10/100Base TX
Des câbles Ethernet droits, avec connecteurs RJ-45, pour chaque ordinateur
Un câble Ethernet droit pour connecter chaque concentrateur ou commutateur à Firebox X Edge
Pour connecter davantage de périphériques à Firebox X Edge :
1. Arrêtez votre ordinateur.
2. Si vous utilisez un modem câble ou DSL pour vous connecter à Internet, déconnectez son alimentation
secteur.
3. Déconnectez le câble Ethernet reliant votre modem DSL, modem câble ou autre connexion Internet à
votre ordinateur. Connectez le câble Ethernet au port WAN1 sur Firebox X Edge.
Firebox X Edge est connecté directement au modem ou autre connexion Internet.
4. Connectez une extrémité du câble Ethernet droit fourni avec votre Firebox X Edge à l’un des quatre
ports Ethernet sur Edge. Connectez l’autre extrémité au port de liaison montante du concentrateur ou
commutateur Ethernet.
Firebox X Edge est connecté à Internet et à votre concentrateur ou commutateur Ethernet.
5. Connectez un câble Ethernet entre chaque ordinateur et l’un des ports sur le concentrateur Ethernet
et assurez-vous que les voyants de liaison sur les périphériques sont allumés lorsque ceux-ci sont
activés.
6. Si vous vous connectez à Internet par le biais d’un modem câble ou DSL, branchez l’alimentation
secteur à ce périphérique. Les voyants clignotent, puis s’éteignent.
7. Raccordez l’adaptateur secteur à Firebox X Edge. Raccordez l’adaptateur secteur à une alimentation
secteur.
Guide de l’utilisateur
17
Installation
À propos des licences d’utilisateur
Votre pare-feu Firebox X Edge est activé avec un nombre fixe de licences d’utilisateur. Le nombre total de
sessions disponibles est déterminé par le modèle de périphérique Edge utilisé et par les éventuelles licences
de mise à niveau appliquées. Le nombre de licences limite le nombre de sessions. Pour contrôler le nombre
d’utilisateurs à tout moment, fermez une ou plusieurs sessions. Lorsque vous fermez une session, vous mettez
la licence d’utilisateur correspondante à disposition d’un autre utilisateur. Il existe différentes procédures de
fermeture de session :
ƒ
ƒ
ƒ
ƒ
ƒ
Si l’authentification des utilisateurs est obligatoire, un utilisateur Firebox peut se déconnecter et libérer
sa licence manuellement.
L’administrateur Edge peut fermer la session manuellement. Il peut fermer la session d’un utilisateur
spécifique ou fermer toutes les sessions.
Si l’authentification des utilisateurs est obligatoire, vous pouvez affecter un délai d’attente maximal et
un délai d’inactivité à chaque utilisateur.
L’administrateur Edge peut définir un délai d’inactivité de session maximal global.
Redémarrez Edge pour fermer toutes les sessions.
Vous pouvez acheter des mises à niveau de licences auprès de votre revendeur ou à partir du site Web
WatchGuard : http://www.watchguard.com/products/purchaseoptions.asp.
18
Firebox X Edge e-Series
Installation
Configurer l’ordinateur pour se connecter à Edge
Pour pouvoir utiliser l’Assistant Quick Setup Wizard, vous devez configurer votre ordinateur afin d’établir la
connexion à Firebox X Edge. Vous pouvez configurer votre carte d’interface réseau de façon à utiliser une
adresse IP statique ou utiliser le protocole DHCP afin d’obtenir une adresse IP automatiquement.
Utiliser le protocole DHCP
Cette procédure permet de configurer un ordinateur exécutant le système d’exploitation Windows XP de
façon à utiliser le protocole DHCP. Si votre ordinateur n’exécute pas Windows XP, consultez l’aide du
système d’exploitation pour obtenir des instructions sur la façon de configurer votre ordinateur pour le
protocole DHCP.
1. Sélectionnez Démarrer > Panneau de configuration.
La fenêtre du Panneau de configuration s’affiche.
2. Double-cliquez sur l’icône Connexions réseau.
3. Double-cliquez sur l’icône Connexion au réseau local.
La fenêtre État de Connexion au réseau local apparaît.
4. Cliquez sur le bouton Propriétés.
La fenêtre Propriétés de Connexion au réseau local apparaît.
5. Double-cliquez sur l’élément de liste Protocole Internet (TCP/IP).
La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) apparaît.
6. Sélectionnez les options Obtenir une adresse IP automatiquement et Obtenir les adresses des
serveurs DNS automatiquement.
7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protocole Internet (TCP/IP).
8. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion au réseau local. Fermez les
fenêtres État de Connexion au réseau local, Connexions réseau et Panneau de configuration.
Votre ordinateur est prêt à se connecter à Firebox X Edge.
9. Lorsque Edge est prêt, démarrez votre navigateur Internet.
10. Tapez https://192.168.111.1/ dans le champ d’entrée d’URL de votre navigateur, puis appuyez
sur Entrée. Si vous êtes invité à accepter un certificat de sécurité, cliquez sur OK.
L’Assistant Quick Setup Wizard démarre.
11. Exécuter l’Assistant Quick Setup Wizard.
Utiliser une adresse IP statique
Cette procédure permet de configurer un ordinateur exécutant le système d’exploitation Windows XP de
façon à utiliser une adresse IP statique. Si votre ordinateur n’exécute pas Windows XP, consultez l’aide du
système d’exploitation pour obtenir des instructions sur la manière de configurer votre ordinateur de façon à
utiliser une adresse IP statique.
Vous devez sélectionner une adresse IP sur le même sous-réseau que le réseau approuvé.
1. Sélectionnez Démarrer > Panneau de configuration.
La fenêtre du Panneau de configuration s’affiche.
2. Double-cliquez sur l’icône Connexions réseau.
3. Double-cliquez sur l’icône Connexion au réseau local.
La fenêtre État de Connexion au réseau local apparaît.
4. Cliquez sur le bouton Propriétés.
La fenêtre Propriétés de Connexion au réseau local apparaît.
5. Double-cliquez sur l’élément de liste Protocole Internet (TCP/IP).
La boîte de dialogue Propriétés de Protocole Internet (TCP/IP) apparaît.
Guide de l’utilisateur
19
Installation
6. Sélectionnez l’option Utiliser l’adresse IP suivante.
7. Dans le champ Adresse IP, tapez une adresse IP sur le même réseau que l’interface approuvée Edge.
Nous recommandons l’adresse 192.168.111.2.
Le réseau d’interface approuvée par défaut est 192.168.111.0. Le dernier chiffre peut être compris entre 2 et 254.
8. Dans le champ Masque de sous-réseau, tapez 255.255.255.0.
9. Dans le champ Passerelle par défaut, tapez l’adresse IP de l’interface approuvée Edge.
L’adresse d’interface approuvée Edge par défaut est 192.168.111.1.
10. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protocole Internet (TCP/IP).
11. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion au réseau local. Fermez les
fenêtres État de Connexion au réseau local, Connexions réseau et Panneau de configuration.
Votre ordinateur est prêt à se connecter à Firebox X Edge.
12. Lorsque Edge est prêt, démarrez votre navigateur Internet.
13. Tapez https://192.168.111.1/ dans le champ d’entrée d’URL de votre navigateur, puis appuyez
sur Entrée. Si vous êtes invité à accepter un certificat de sécurité, cliquez sur OK.
L’Assistant Quick Setup Wizard démarre.
14. Exécuter l’Assistant Quick Setup Wizard.
20
Firebox X Edge e-Series
Installation
Exécuter l’Assistant Quick Setup Wizard
L’Assistant Quick Setup Wizard démarre une fois que vous avez tapé https://192.168.111.1 dans l’URL
ou le champ d’adresse de votre navigateur Internet. Si votre navigateur bloque les fenêtres publicitaires
intempestives, vous devez désactiver cette fonction pour terminer l’Assistant Quick Setup Wizard. Vous devez
utiliser l’Assistant pour configurer les interfaces Ethernet. Vous pouvez modifier la configuration des interfaces
après avoir exécuté l’Assistant Quick Setup Wizard.
L’Assistant Quick Setup Wizard inclut les boîtes de dialogue suivantes. Certaines d’entre elles ne s’affichent
que si vous sélectionnez certaines méthodes de configuration :
Bienvenue
Le premier écran fournit des informations sur l’Assistant.
Configurez l’interface externe de votre Firebox.
Sélectionnez la méthode utilisée par votre fournisseur de services Internet pour affecter votre
adresse IP.
Configurez l’interface externe pour DHCP.
Tapez votre identification DHCP, telle que fournie par votre fournisseur de services Internet.
Configurez l’interface externe pour PPPoE.
Tapez vos informations PPPoE, telles que fournies par votre fournisseur de services Internet.
Configurez l’interface externe avec une adresse IP statique.
Tapez vos informations d’adresse IP statique, telles que fournies par votre fournisseur de services
Internet.
Configurez l’interface approuvée de Firebox.
Entrez l’adresse IP de l’interface approuvée.
Définissez le nom d’utilisateur et le mot de passe.
Entrez un nom d’utilisateur et un mot de passe pour le compte d’administrateur Edge.
Définissez la région sans fil.
(Pour les modèles sans fil uniquement.) Tapez le pays ou la région où Firebox X Edge e-Series Wireless
est utilisé. Le pays ou la région ne peut pas être modifié après la configuration initiale.
Définissez le fuseau horaire.
Utilisez cet écran pour définir le fuseau horaire où vous exploitez Firebox X Edge.
Entrez la clé de fonctionnalité.
(Facultatif) Collez dans le champ vierge le texte de clé de fonctionnalité que vous avez copié à partir
du site Web LiveSecurity.
L’Assistant Quick Setup Wizard est terminé.
L’Assistant Quick Setup Wizard fournit un lien vers le site Web WatchGuard, où vous pouvez procéder
à l’enregistrement du produit. Une fois l’Assistant terminé, Firebox X Edge redémarre.
Si vous modifiez l’adresse IP de l’interface approuvée, vous devez modifier vos paramètres réseau de
sorte que votre adresse IP corresponde au sous-réseau du réseau approuvé avant de vous
reconnecter à Firebox X Edge. Si vous utilisez le protocole DHCP, redémarrez votre ordinateur.
Si vous utilisez l’adressage statique, voir Utiliser une adresse IP statique.
La page État du système
La page État du système s’affiche à l’écran. Elle vous permet de configurer des fonctionnalités d’Edge
supplémentaires.
Guide de l’utilisateur
21
Installation
22
Firebox X Edge e-Series
3
Présentation des pages de
configuration
À propos des pages de configuration d’Edge
Après avoir connecté WatchGuard Firebox X Edge e-Series à votre réseau, vous devez configurer Edge. Vous
pouvez créer des règles de pare-feu pour répondre aux exigences de sécurité de votre entreprise. Les pages
de configuration d’Edge vous permettent de créer un compte d’utilisateur, de consulter les statistiques du
réseau et d’afficher la configuration d’Edge.
Ce chapitre contient des informations générales sur les pages de configuration de Firebox X Edge et les pages
de surveillance système. Les sections des chapitres suivants contiennent des procédures plus avancées.
Vous devez effectuer les étapes de l’Assistant Quick Setup Wizard pour pouvoir afficher les pages de
configuration de Firebox X Edge. Pour plus d’informations, voir Exécuter l’Assistant Quick Setup
Wizard. Par ailleurs, vous devez utiliser un compte bénéficiant des privilèges d’accès administratifs
complets pour afficher et modifier les pages de configuration. Pour plus d’informations,
voir À propos des comptes d’utilisateurs.
Se connecter à Firebox X Edge
La page État du système s’affiche lors de la connexion à Firebox X Edge e-Series. Dans ce guide d’utilisateur,
la plupart des procédures commencent par l’étape suivante :
Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur
et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
Cette procédure ouvre les pages de configuration système de Firebox. Le cas échéant, vous pouvez remplacer
l’adresse IP 192.168.111.1 du réseau approuvé. Pour plus d’informations, voir À propos de la modification de
l’adresse IP du réseau approuvé.
Vous pouvez également modifier Firebox X Edge pour qu’il utilise des connexions HTTP au lieu de connexions
HTTPS pour la gestion Web. Le protocole HTTP est moins sécurisé car aucune information transmise à Firebox
n’est chiffrée. Nous vous recommandons de toujours utiliser HTTPS pour configurer Firebox X Edge. Pour plus
d’informations, voir À propos de la sélection du protocole HTTP ou HTTPS pour la gestion.
Guide de l’utilisateur
23
Présentation des pages de configuration
Par exemple :
1. Démarrez votre navigateur Web.
2. Sélectionnez Fichier > Ouvrir, tapez https://192.168.111.1 dans la zone de texte Ouvrir, puis
cliquez sur OK. Vous pouvez également taper https://192.168.111.1 directement dans la barre
d’adresses ou d’emplacement et appuyer sur Entrée.
3. Lorsqu’une notification relative au certificat de sécurité s’affiche, cliquez sur Oui. Cet avertissement
apparaît car le certificat octroyé par Edge est signé par WatchGuard, qui n’est pas une autorité de
certification approuvée sur votre navigateur.
Cet avertissement s’affiche chaque fois que vous utilisez HTTPS pour vous connecter à Firebox X
Edge sauf si vous acceptez définitivement le certificat, ou générez et importez un certificat dédié à
Edge. Pour plus d’informations, voir À propos des certificats.
4. Entrez votre nom d’utilisateur et votre mot de passe pour vous authentifier.
La page État du système s’affiche.
24
Firebox X Edge e-Series
Présentation des pages de configuration
Naviguer dans l’interface utilisateur Firebox X Edge
La partie gauche de la page État du système contient la barre de navigation qui vous permet d’accéder aux
autres pages de configuration de Firebox X Edge.
Vous devez activer JavaScript dans votre navigateur pour utiliser la barre de navigation.
Chaque élément de menu contient des menus secondaires qui vous permettent de configurer les propriétés
de cette fonctionnalité. Pour afficher ces menus secondaires, cliquez sur le signe plus (+) à gauche de l’élément
de menu. Par exemple, si vous cliquez sur le signe plus situé en regard de WebBlocker, ces éléments de menus
secondaires s’affichent : Paramètres, Profils, Sites autorisés et Sites refusés. Vous pouvez aussi naviguer
jusqu’aux pages secondaires directement à partir des pages principales.
Nous utilisons une flèche (>) pour indiquer les éléments de menu que vous développez ou sur lesquels vous
cliquez. Les noms de menu sont en gras. Par exemple, la commande qui permet d’afficher la page Sites refusés
apparaît dans le texte sous la forme WebBlocker > Sites refusés.
Page État du système
La page État du système indique la configuration principale de Firebox X Edge e-Series. La partie centrale de la
page fournit des informations sur les paramètres actuels. Elle contient aussi les boutons qui vous permettent
de modifier ces paramètres. Cette page contient toutes les informations générales sur votre périphérique et
votre configuration. Des liens vous donnent accès aux paramètres de configuration du réseau, aux
fonctionnalités et aux informations système.
Guide de l’utilisateur
25
Présentation des pages de configuration
Page Réseau
La page Réseau affiche la configuration actuelle des réseaux approuvés, facultatifs et externes. Dans cette
page, vous pouvez aussi voir le basculement WAN et les routes statiques que vous avez configurés. Un bouton
permettant de modifier les configurations et d’afficher les statistiques sur les réseaux se trouve en regard de
chaque section. Pour plus d’informations, consultez les rubriques sous Modifier les adresses IP de Firebox à
l’aide de l’Assistant Network Setup Wizard.
26
Firebox X Edge e-Series
Présentation des pages de configuration
Page Utilisateurs de Firebox
La page Utilisateurs de Firebox affiche les statistiques des sessions actives et des comptes d’utilisateurs locaux.
Elle contient aussi des boutons permettant de fermer les sessions en cours et d’ajouter, de modifier et de
supprimer des comptes d’utilisateurs locaux.
Cette page contient aussi les fichiers de configuration du client MUVPN que vous pouvez télécharger. Pour
plus d’informations, voir À propos des fichiers de configuration du client Mobile VPN.
Guide de l’utilisateur
27
Présentation des pages de configuration
Page Administration
La page Administration indique si Firebox X Edge utilise HTTP ou HTTPS pour ses pages de configuration, si
Edge est configuré comme client Firebox géré, et quelles mises à niveau de fonctionnalités sont activées. Elle
contient des boutons permettant de modifier les configurations, d’ajouter des mises à niveau et d’afficher le
fichier de configuration. Vous pouvez également modifier le nom de Firebox. Pour plus d’informations, voir
les rubriques sous À propos des tâches de base de configuration et de gestion.
28
Firebox X Edge e-Series
Présentation des pages de configuration
Page Pare-feu
La page Pare-feu indique les stratégies de trafic entrant et sortant et les proxies, les sites Web bloqués et les
autres paramètres du pare-feu. Cette page contient aussi des boutons permettant de modifier ces paramètres.
Pour plus d’informations, consultez les rubriques sous Paramètres de proxy dans le Sommaire.
Guide de l’utilisateur
29
Présentation des pages de configuration
Page Journalisation
La page Journalisation contient le journal des événements en cours et l’état de Log Server
et de la journalisation Syslog. Pour plus d’informations, consultez les rubriques sous
Journalisation dans le Sommaire.
30
Firebox X Edge e-Series
Présentation des pages de configuration
Page WebBlocker
La page WebBlocker affiche les paramètres de WebBlocker, les profils, les sites autorisés et les sites refusés.
Pour plus d’informations, voir À propos de WebBlocker.
Guide de l’utilisateur
31
Présentation des pages de configuration
Page spamBlocker
La page spamBlocker indique l’état et les paramètres de spamBlocker, y compris les actions en cas de
courrier indésirable présumé et l’utilisation des redirecteurs d’e-mails approuvés. Pour plus d’informations,
voir À propos de spamBlocker.
32
Firebox X Edge e-Series
Présentation des pages de configuration
Page Gateway AV/IPS
La page Gateway AV/IPS affiche l’état et les paramètres de Gateway AntiVirus et Intrusion Prevention Service.
Elle vous indique les proxies qui sont activés pour le service et la version de la base de données de signatures
que vous utilisez. Le menu Gateway AV/IPS contient des liens permettant de modifier les paramètres Gateway
AV et IPS, et de mettre à jour les signatures. Pour plus d’informations, voir À propos de Gateway AntiVirus et
Intrusion Prevention.
Guide de l’utilisateur
33
Présentation des pages de configuration
Page VPN
La page VPN contient des informations sur les passerelles Managed VPN, les passerelles Manual VPN, les hôtes
d’écho et des boutons permettant de modifier la configuration des tunnels VPN. Vous pouvez ajouter Firebox
X Edge e-Series à un réseau VPN Watchguard System Manager à partir de la page Accès WSM dans
Administration. Pour plus d’informations, consultez les rubriques sous À propos de Branch Office Virtual
Private Networks (BOVPN).
Page Assistants
La page Assistants indique les assistants que vous pouvez utiliser pour configurer les fonctionnalités de
Firebox X Edge telles que la configuration de stratégie, la configuration d’interface réseau et le basculement
WAN. Chaque assistant lance une nouvelle fenêtre vous permettant de configurer les paramètres d’Edge.
34
Firebox X Edge e-Series
Présentation des pages de configuration
Analyser Firebox X Edge
Lorsque vous développez État du système dans la barre de navigation, une liste de catégories d’analyse
s’affiche. À partir de ces pages, vous pouvez analyser tous les composants d’Edge et la façon dont ils
fonctionnent. Les pages d’analyse de Firebox X Edge ne sont pas configurées pour être actualisées
automatiquement. Si vous voulez qu’une page soit actualisée automatiquement, cliquez sur le bouton
Démarrer l’actualisation permanente ou Redémarrer l’actualisation permanente en haut de la page.
La page s’actualise jusqu’à ce que vous cliquiez sur Suspendre l’actualisation permanente ou que vous
naviguiez jusqu’à une nouvelle page. Un petit compteur situé sous le bouton indique le nombre de fois où la
page a été actualisée.
Table ARP
Cette page d’état indique les périphériques qui ont répondu à une demande ARP (Protocole de résolution
d’adresse) d’Edge :
Adresse IP
Adresse IP de l’ordinateur qui répond à la demande ARP.
Type HW
Type de connexion Ethernet utilisée par l’adresse IP pour se connecter.
Indicateurs
Si l’adresse matérielle d’IP est résolue, elle est indiquée comme valide. Si tel n’est pas le cas, elle est
indiquée comme non valide.
Une adresse matérielle valide peut être indiquée brièvement comme non valide pendant qu’Edge
attend une réponse à la demande ARP.
Adresse HW
L’adresse MAC de la carte d’interface réseau associée à l’adresse IP.
Masque
Si un masque réseau est associé à l’entrée, il figure dans cette liste. Si tel n’est pas le cas, un astérisque
(*) s’affiche.
Périphérique
Interface d’Edge sur laquelle l’adresse matérielle pour cette adresse IP a été trouvée. Le nom du
noyau Linux de l’interface est indiqué entre parenthèses.
Guide de l’utilisateur
35
Présentation des pages de configuration
Authentifications
Cette page d’état affiche l’adresse IP, le nom d’utilisateur, l’heure de début, la durée d’inactivité et le type de
connexion de chaque utilisateur actuellement authentifié sur Edge.
Connexions
Cette page d’état affiche toutes les connexions TCP/IP qui passent par Edge. Elle comprend les filtres de
proxies et les filtres de paquets. La liste de filtres de paquets est triée par protocole. Les protocoles TCP sont
en haut de la liste, suivis des connexions UDP, puis des autres protocoles IP. La liste des protocoles TCP/UDP
est triée par valeurs de délai d’attente.
Connexions via un filtre de proxy
Type
HTTP, HTTPS, FTP, SMTP, POP3, SIP ou H323
Source : Port
L’adresse IP de l’ordinateur qui a envoyé le paquet et le port utilisé pour l’envoi.
Destination : Port
L’adresse IP à laquelle le paquet est envoyé et le port.
Exemples d’actions
o POP3 indique « n/d »
o HTTP indique le type de demande, tel que GET ou POST. Il affiche aussi un lien hypertexte vers
la page Web de destination.
o FTP indique la dernière commande FTP émise par l’utilisateur, telle que LIST, CWD ou GET
Connexions via un filtre de paquet
Protocole
Protocole utilisé par les connexions.
Dir
Sens de la connexion : entrante ou sortante.
Source : Port
Adresse IP et port de la source. Une flèche verte indique le sens de la connexion.
Destination : Port
Adresse IP et port de la destination.
État
État de la connexion : Pour TCP, il s’agit de :
o TIME_WAIT – attente de la fermeture du socket TCP
o CLOSE – fermeture du socket en cours
o ESTABLISHED – connexion active
o SYN_SENT – connexion en cours
UDP est un protocole sans état. Pour UDP, la connexion s’affiche comme suit :
o REPLIED – des paquets ont été envoyés dans les deux sens
o UNREPLIED – des paquets ont été envoyés dans un seul sens
Les autres protocoles sont indiqués comme « n/d ».
Expire dans (secs)
Nombre de secondes avant l’expiration de la connexion, sauf si du trafic est envoyé à la connexion
pour relancer le minuteur.
36
Firebox X Edge e-Series
Présentation des pages de configuration
Liste des composants
Cette page d’état affiche le logiciel installé sur Edge. Chaque attribut est affiché séparément :
ƒ
ƒ
ƒ
ƒ
ƒ
Nom
Version
Numéro de génération
Heure de génération
Supprimer un lien - La colonne Supprimer ne contient généralement pas de composant. Tous les
composants de cette liste sont ceux fournis par le représentant du support technique Edge indiqué, à
des fins de dépannage.
Baux DHCP
Cette page d’état affiche le serveur DCHP et les baux utilisés par Edge, y compris les réservations DHCP.
État
Si le serveur DHCP voit qu’Edge utilise l’adresse, l’état est Actif. Si le serveur DHCP voit qu’Edge
n’utilise pas l’adresse, l’état est Abandonné.
IF
Interface Edge à laquelle le client est connecté.
IP
Adresse IP du bail.
Heures
D = heure à laquelle le client a demandé le bail (heure de début).
F = heure à laquelle le bail expire (heure de fin).
MAC
Adresse MAC associée au bail.
Nom d’hôte
Si un nom d’hôte est disponible, il est indiqué ici.
Utilisation du disque
Cette page d’état affiche l’état actuel de la mémoire flash d’Edge.
Système de fichiers
Nom de la partition sur la mémoire flash. « Aucun » est une partition qui existe seulement dans la
mémoire, et non sur la carte flash.
Taille
Taille de la partition.
Utilisé
Quantité de mémoire utilisée dans la partition.
Dispo
Quantité d’espace libre dans la partition.
% utilisé
Pourcentage d’espace utilisé sur la partition.
Monté sur
Emplacement où la partition est montée dans le système.
Guide de l’utilisateur
37
Présentation des pages de configuration
DNS dynamique
Cette page d’état affiche l’état de la configuration du DNS dynamique.
Dernier
Heure de la dernière mise à jour du DNS.
Suivant
Heure de la prochaine mise à jour du DNS.
Sites hostiles
Cette page d’état indique la durée pendant laquelle l’accès de l’adresse IP via Firebox est bloqué en cas d’ajout
à la liste Sites hostiles. Cette page contient également une liste des adresses IP figurant actuellement dans la
liste Sites hostiles.
Interfaces
Cette page d’état contient des informations sur chaque interface :
Encap lien
Type d’interface. Il s’agit généralement d’Ethernet ou de PPPoE.
Matériel
Adresse MAC de l’interface.
Adre Inet
Adresse IP de l’interface.
Diff
Adresse de diffusion de l’interface.
Masque
Masque réseau.
Etat de l’interface
Si l’interface est active, le mot « Monter » s’affiche.
MTU
Unité de transmission maximale TCP.
Métrique
Métrique de l’interface.
Paquets RX
Statistiques des paquets reçus.
Paquets TX
Statistiques des paquets envoyés.
Collisions
Le nombre de collisions.
TailfileTX
Taille maximale de la file d’attente de transmission avant qu’Edge commence à abandonner les
paquets.
Octets RX et TX
Quantité de données reçues et envoyées sur l’interface.
38
Firebox X Edge e-Series
Présentation des pages de configuration
Licence
Cette page d’état contient les informations de base sur les licences utilisées sur Edge. Elle contient aussi la clé
de fonctionnalité d’origine. Vous pouvez consulter les informations suivantes pour chaque licence :
ƒ
ƒ
ƒ
ƒ
Nom – le nom de la licence
Utilisation – le nombre d’utilisateurs
Utilisation maximale – le nombre maximal d’utilisateurs autorisés par la licence
Redémarrer – indique si un redémarrage est nécessaire après modification de la configuration pour
cette licence
Expiration – indique quand la licence expire
Commentaire
ƒ
ƒ
LiveSecurity
Cette page affiche les dernières alertes du service LiveSecurity de WatchGuard. Lorsqu’une nouvelle alerte de
sécurité est disponible, une note apparaît dans l’angle supérieur droit de la page État du système. Cliquez sur
cet avertissement pour voir l’alerte. Les notifications d’alertes sont envoyées seulement une fois par jour.
Mémoire
Cette page d’état affiche l’état de la mémoire du noyau Linux.
Processus
Cette page d’état affiche tous les processus exécutés sur Edge. Elle indique également le temps moyen de chargement
du processeur. Les temps moyens sont indiqués par incréments de 1 minute, 5 minutes et 15 minutes.
PID
ID de processus, un numéro unique qui indique quand le processus a démarré.
NOM
Nom du processus.
ÉTAT
État du processus :
E – en cours d’exécution
V – en veille
D, Z – inactif
RSS
Nombre total de kilo-octets de mémoire physique utilisés par le processus.
PARTAGE
Nombre total de kilo-octets de mémoire partagée utilisés par le processus.
TEMPS
Temps utilisé par le processus depuis le dernier démarrage d’Edge.
PROCESSEUR
Pourcentage du temps UC utilisé par le processus depuis le redémarrage d’Edge.
PRI
Priorité du processus. Un nombre inférieur a une priorité supérieure pour les ressources UC.
PLAN
Mesure de la façon dont le noyau planifie le processus.
Protocoles
Cette page d’état fournit les statistiques de protocole pour IP, ICMP, TCP et UDP.
Guide de l’utilisateur
39
Présentation des pages de configuration
Routes
Cette page d’état affiche la table de routage d’Edge.
Interface
Interface associée à l’route.
Réseau
Réseau pour lequel l’route a été créé.
Passerelle
Passerelle utilisée par le réseau.
Ind
Indicateurs définis pour chaque route.
Mét
Métrique définie pour cet route dans la table de routage.
Masque
Masque réseau de l’route.
MTU
Unité de transmission maximale TCP.
Win
Taille de la fenêtre TCP pour les connexions sur cet route.
Réf
Nombre de références à cet route.
Services de sécurité
Cette page d’état affiche les rapports de base sur l’activité des abonnements de sécurité activés : Gateway
AntiVirus, Intrusion Prevention Service, WebBlocker et spamBlocker. Un rapport est généré pour chaque
abonnement de sécurité. Ce rapport indique le nombre de demandes traitées et bloquées pour chaque
service sur une période que vous spécifiez.
Syslog
Cette page d’état affiche les entrées les plus récentes dans le fichier journal d’Edge. Elle est différente des
fichiers journaux affichés dans la page Journalisation. La page Journalisation contient un résumé du message
du journal et le moniteur Syslog affiche tous les détails du message de journal. Cela est utile à la résolution des
problèmes de réseau. Les messages des journaux sont codés par couleurs :
ƒ
ƒ
ƒ
ƒ
ƒ
40
Rouge – Erreur
Jaune – Avertissement
Vert – Informations
Bleu – Débogage
Gris – Autre
Firebox X Edge e-Series
Présentation des pages de configuration
Contrôle du trafic
Cette page d’état indique comment le contrôle du trafic traite les paquets.
Priorité
Vous pouvez définir quatre niveaux de priorité pour le contrôle du trafic :
o
o
o
o
Interactif
Élevé
Moyen
Bas
Taux
Taux défini pour chaque priorité.
Plafond
Bande passante maximale que chaque priorité peut utiliser.
Données envoyées
Nombre d’octets de données envoyés.
Paquets envoyés
Nombre de paquets envoyés.
Supprimé
Nombre de paquets supprimés.
Surlimites
Nombre de paquets dépassant la limite pour chaque priorité.
Statistiques VPN
Cette page d’état fournit les statistiques VPN telles que :
ƒ
ƒ
ƒ
ƒ
AS (association de sécurité)
Contrôle du trafic au sein des tunnels VPN
Nombre de paquets
Erreurs
Statistiques sans fil
Cette page d’état affiche les statistiques sur le trafic sans fil telles que :
ƒ
ƒ
ƒ
ƒ
Statistiques de l’interface
Clés
Débits
Fréquences
Guide de l’utilisateur
41
Présentation des pages de configuration
42
Firebox X Edge e-Series
4
Tâches de base de
configuration et de gestion
À propos des tâches de base de configuration
et de gestion
Une fois Firebox X Edge e-Series installé sur votre réseau et fonctionnant avec un fichier de configuration de
base, vous pouvez ajouter des paramètres de configuration personnalisés adaptés à votre organisation. Les
rubriques de la présente section vous aident à effectuer ces tâches de gestion et de maintenance de base.
À propos du fichier de sauvegarde de la configuration
d’Edge
Il est parfois nécessaire de restaurer les paramètres usine par défaut de Firebox X Edge e-Series. Dans ce cas,
toutes les modifications apportées à la configuration sont perdues. Si vos paramètres de stratégie sont
complexes ou vos comptes d’utilisateurs nombreux, la reconfiguration peut prendre beaucoup de temps.
Pour limiter la durée de configuration, vous pouvez sauvegarder votre configuration dans un fichier local et la
restaurer ultérieurement. Cette procédure ne peut vous être d’aucune aide si vous avez oublié le mot de passe
d’administration d’Edge ou si vous n’en connaissez aucun. Dans ce cas, vous devez restaurer les paramètres
usine par défaut d’Edge et créer une configuration. Vous pouvez procéder à une restauration de la
configuration via l’Assistant Quick Setup Wizard ou à partir d’une session de gestion Edge. Si vous disposez
d’un autre numéro de série et d’une autre clé de fonctionnalité, vous pouvez également sauvegarder votre
configuration dans un fichier de sauvegarde de la configuration enregistré sur un autre périphérique Firebox
X Edge.
Le fichier de sauvegarde de la configuration contient :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Les paramètres des réseaux approuvé, facultatif et externe
Les certificats
Les comptes et les mots de passe des utilisateurs locaux
Les mots de passe utilisés avec Management Server
Les stratégies de filtrage de paquets et de proxies
Les paramètres WebBlocker, spamBlocker, Gateway AV et IPS
Guide de l’utilisateur
43
Tâches de base de configuration et de gestion
Le fichier de sauvegarde de la configuration n’inclut pas :
ƒ
ƒ
ƒ
ƒ
Votre clé de licence ou vos clés de fonctionnalité
Les signatures Gateway AV, IPS ou spamBlocker
Le numéro de série d’Edge
L’adresse MAC des interfaces réseau d’Edge
Avant de commencer
ƒ
ƒ
ƒ
Ne modifiez pas le fichier de configuration manuellement. Utilisez toujours un serveur Management
Server ou l’interface Web de Firebox X Edge.
Les mots de passe des utilisateurs figurant dans le fichier de sauvegarde de la configuration sont
chiffrés, mais le fichier complet ne l’est pas. Il est conseillé de chiffrer le fichier de sauvegarde de la
configuration et de le conserver dans un lieu sûr.
Lorsque vous restaurez la configuration à partir d’un fichier de sauvegarde de la configuration, le nom
d’utilisateur et le mot de passe de l’administrateur utilisés lors de la création de ce fichier sont réutilisés.
Si vous ne vous souvenez pas du mot de passe défini dans le fichier de sauvegarde, vous devez
restaurer les paramètres usine et configurer Edge manuellement.
Afficher le fichier de configuration
Vous pouvez afficher le contenu du fichier de configuration de Firebox X Edge au format texte dans la page
Afficher le fichier de configuration.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Administration > Afficher la configuration.
Le fichier de configuration s’affiche.
Sauvegarder la configuration d’Edge
Une fois Firebox X Edge e-Series configuré, vous pouvez enregistrer le fichier de configuration d’Edge sur
votre disque dur à des fins de sauvegarde. Si vous avez apporté des modifications ne donnant pas les résultats
attendus ou si vous avez réinitialisé Edge et restauré les paramètres usine par défaut, vous pouvez utiliser le
fichier de sauvegarde pour restaurer une précédente configuration.
44
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
Créer un fichier de sauvegarde de la configuration
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur
et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Administration > Sauvegarder la configuration.
La page Sauvegarder le fichier de configuration apparaît.
3. Cliquez sur le bouton Sauvegarder.
4. Lorsque la boîte de dialogue de téléchargement de fichiers apparaît, enregistrez le fichier de
sauvegarde de la configuration sur le disque dur.
Par défaut, le nom du fichier de sauvegarde est edgecfg.wgbk. Vous pouvez le renommer, mais nous vous
suggérons de conserver l’extension .wgbk.
Restaurer la configuration d’Edge
Une fois Firebox X Edge e-Series configuré, vous pouvez enregistrer le fichier de configuration d’Edge sur
votre disque dur à des fins de sauvegarde. Si vous avez apporté des modifications ne donnant pas les résultats
attendus ou si vous avez réinitialisé Edge et restauré les paramètres usine par défaut, vous pouvez utiliser le
fichier de sauvegarde pour restaurer une précédente configuration.
Vous pouvez procéder à une restauration de la configuration via l’Assistant Quick Setup Wizard ou à partir
d’une session de gestion Edge.
Restaurer la configuration à partir d’un fichier de sauvegarde
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur
et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Administration > Restaurer la configuration.
La page Restaurer le fichier de configuration apparaît.
3. Entrez le chemin d’accès au fichier de sauvegarde de la configuration sur votre disque dur, ou cliquez
sur le bouton Parcourir pour sélectionner le fichier.
4. Cliquez sur Restaurer.
Firebox X Edge redémarre au bout d’une ou deux minutes.
Guide de l’utilisateur
45
Tâches de base de configuration et de gestion
À propos des paramètres usine par défaut
Le terme paramètres usine par défaut fait référence à la configuration de Firebox X Edge lorsque vous recevez
le système et avant de le modifier. Les paramètres de configuration et de réseau par défaut d’Edge sont les
suivants :
Réseau approuvé
L’adresse IP par défaut du réseau approuvé est 192.168.111.1. Le masque de sous-réseau du réseau
approuvé est 255.255.255.0.
Firebox X Edge est configuré de sorte à fournir des adresses IP aux ordinateurs du réseau approuvé
via DHCP. Les adresses IP fournies sont par défaut comprises entre 192.168.111.2 et 192.168.111.254.
Réseau externe
Firebox est configuré de façon à obtenir une adresse IP avec DHCP.
Réseau facultatif
Le réseau facultatif est désactivé.
Paramètres du pare-feu
Toutes les stratégies entrantes sont refusées. La stratégie sortante autorise tout le trafic sortant. Les
requêtes ping reçues sur le réseau externe sont refusées.
Sécurité du système
Le nom d’utilisateur par défaut du compte administrateur de Firebox X Edge e-Series est « admin » et
son mot de passe par défaut est « admin ». Lorsque vous vous connectez à Edge, l’Assistant Quick
Setup Wizard affiche une boîte de dialogue qui vous permet de définir le nom d’utilisateur et le mot
de passe du compte administrateur. Une fois les informations entrées dans cet Assistant, vous devez
utiliser le nom d’utilisateur et le mot de passe que vous avez sélectionnés pour afficher les pages de
configuration.
Firebox X Edge est configuré pour être géré localement uniquement à partir du réseau approuvé. La
configuration doit être modifiée pour autoriser des tâches d’administration à partir du réseau
externe.
Options de mise à niveau
Les options de mise à niveau telles que WebBlocker, spamBlocker et Gateway AV/IPS sont toujours
disponibles. Pour activer ces options, vous devez entrer les clés de fonctionnalité dans la page de
configuration ou utiliser la fonctionnalité de synchronisation des clés de fonctionnalité. Si vous
restaurez les paramètres usine par défaut de Firebox X Edge, il n’est pas nécessaire d’entrer de
nouveau les clés de fonctionnalité.
46
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
Restaurer les paramètres usine par défaut de Firebox
Si vous ne parvenez pas à corriger un problème de configuration et que vous devez « recommencer », vous
pouvez restaurer les paramètres usine par défaut. Par exemple, si vous ne connaissez pas le mot de passe du
compte d’administrateur ou si une coupure de courant a endommagé le logiciel système Firebox X Edge, vous
pouvez restaurer les paramètres usine par défaut d’Edge et définir de nouveau votre configuration.
Pour restaurer les paramètres par défaut de Firebox X Edge e-Series :
1.
2.
3.
4.
Déconnectez l’alimentation.
Maintenez enfoncé le bouton Rétablir placé à l’arrière du système Edge.
Connectez l’alimentation tout en appuyant sur le bouton Rétablir.
Maintenez le bouton enfoncé jusqu’à ce que le témoin jaune du bouton Attn reste allumé en continu.
Lorsque c’est le cas, cela signifie que les paramètres usine par défaut d’Edge ont été restaurés.
Cette procédure peut prendre 45 secondes ou plus.
Ne tentez pas de vous connecter à Edge à ce stade. Vous devez démarrer Edge encore une fois,
comme cela est décrit dans les étapes ci-dessous. Si vous ne procédez pas ainsi, le message
« WatchGuard Firebox X Edge s’exécute à partir d’une copie de sauvegarde du microprogramme »
s’affiche dans une page Web lorsque vous essayez de vous connecter à Edge. Ce message peut
également s’afficher si le bouton Rétablir reste enfoncé. Si ce message continue de s’afficher, vérifiez
le bouton Rétablir et redémarrez Edge.
5. Déconnectez l’alimentation.
6. Connectez de nouveau l’alimentation.
Le voyant d’alimentation est allumé et Edge est réinitialisé.
À propos des clés de fonctionnalité
Une clé de fonctionnalité est un jeu unique de caractères alphanumériques qui vous permet d’utiliser
différentes fonctionnalités de Firebox. Lorsque vous achetez une option ou une mise à niveau et que vous
recevez une nouvelle clé de fonctionnalité, vous améliorez les fonctionnalités de Firebox. Lors de l’achat d’une
nouvelle fonctionnalité, vérifiez que vous exécutez les étapes suivantes :
ƒ
ƒ
Obtenir une clé de fonctionnalité
Ajouter une clé de fonctionnalité à Firebox X Edge
Pour obtenir une clé de fonctionnalité active, vous pouvez utiliser le bouton Synchroniser la clé de
fonctionnalité de la page État du système. Si vous avez déjà créé un compte d’utilisateur LiveSecurity,
la fonctionnalité de synchronisation de la clé de fonctionnalité permet à Firebox de contacter le site Web
LiveSecurity et de télécharger la clé de fonctionnalité active vers Edge.
Guide de l’utilisateur
47
Tâches de base de configuration et de gestion
Obtenir une clé de fonctionnalité
Avant de pouvoir activer une nouvelle fonctionnalité, vous devez avoir reçu de WatchGuard un certificat de
clé de licence qui ne soit pas déjà enregistré sur le site Web LiveSecurity.
1. Ouvrez un navigateur Web et accédez à la page :
https://www.watchguard.com/activate
2. Si vous n’êtes pas déjà connecté à LiveSecurity, vous accédez à la page de connexion au service
LiveSecurity. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity.
3. Entrez le numéro de série ou la clé de licence du produit qui figure sur le certificat imprimé, sans oublier
les tirets. Le numéro de série permet généralement d’enregistrer un nouveau périphérique Firebox et
la clé de licence permet d’enregistrer des fonctionnalités supplémentaires.
4. Cliquez sur Continuer. La page Choisir le produit à mettre à niveau apparaît.
5. Dans la liste déroulante, sélectionnez le périphérique Firebox devant faire l’objet d’une mise à niveau
ou d’un renouvellement. Si vous avez ajouté un nom de périphérique Firebox lors de l’enregistrement
de Firebox, ce nom apparaît dans la liste. Une fois le périphérique Firebox sélectionné, cliquez sur
Activer.
6. La page Récupérer la clé de fonctionnalité apparaît. Dans le menu Démarrer de Windows, ouvrez le
Bloc-notes ou toute autre application permettant de sauvegarder du texte. Copiez l’intégralité de la clé
de fonctionnalité de cette page dans un fichier texte et enregistrez-le sur votre ordinateur. Cliquez sur
Terminer.
48
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
À propos du redémarrage de Firebox
Vous pouvez redémarrer Firebox X Edge e-Series à partir d’un ordinateur appartenant au réseau approuvé.
Si vous activez l’accès externe à Edge, vous pouvez également redémarrer Edge à partir d’un ordinateur situé
sur Internet.
Le cycle de redémarrage de Firebox X Edge dure environ une minute. Au cours de ce cycle, l’indicateur de
mode situé sur la façade avant d’Edge s’éteint puis se rallume.
Redémarrer Firebox localement
Vous pouvez redémarrer Firebox X Edge e-Series localement soit en utilisant le navigateur Web, soit en
débranchant le bloc d’alimentation.
Utiliser le navigateur Web
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Cliquez sur Redémarrer.
Débranchement du bloc d’alimentation
Débranchez le bloc d’alimentation de Firebox X Edge. Attendez au minimum 10 secondes, puis rebranchez-le.
Guide de l’utilisateur
49
Tâches de base de configuration et de gestion
Redémarrer Firebox à distance
Si vous souhaitez pouvoir vous connecter à Edge afin de le gérer ou de le redémarrer à partir d’un ordinateur
distant, vous devez commencer par configurer Edge de sorte qu’il autorise le trafic HTTPS entrant vers
l’adresse IP de l’interface approuvée d’Edge. Pour plus d’informations sur la configuration d’Edge pour
recevoir le trafic entrant, voir Définir les options de contrôle d’accès (entrant). Gardez en mémoire que si vous
activez les connexions HTTPS à Edge, toute personne possédant les informations d’identification correctes
peut également se connecter à Edge. Une fois le trafic HTTPS autorisé, vous pouvez gérer à distance Edge à
l’aide de votre navigateur à partir d’une adresse IP approuvée.
Pour effectuer un redémarrage à distance, procédez comme suit :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.
2. Tapez votre nom d’utilisateur et votre mot de passe. Vous devez vous connecter en tant
qu’administrateur Edge ou en tant qu’utilisateur bénéficiant d’un accès administratif.
3. Sur la page État du système, cliquez sur Redémarrer.
À propos de l’utilisation du protocole NTP pour définir
l’heure système
Pour définir l’heure système d’Edge, vous pouvez spécifier un serveur NTP qui définira automatiquement
l’heure. Le protocole NTP (Network Time Protocol) permet de synchroniser l’heure des horloges des
ordinateurs d’un réseau. Firebox peut utiliser ce protocole pour récupérer automatiquement l’heure exacte
sur des serveurs NTP qui se trouvent sur Internet. Dans la mesure où Firebox indique l’heure de son horloge
système dans chacun des messages de journal qu’il génère, l’heure définie doit être correcte. Vous pouvez
modifier le serveur NTP utilisé par Firebox. Vous pouvez également ajouter ou supprimer des serveurs NTP,
de même que définir l’heure manuellement.
50
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
Pour définir l’heure système
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Administration > Heure du système.
La page Heure du système s’affiche.
3. Sélectionnez le fuseau horaire dans la liste déroulante.
4. Pour définir automatiquement l’heure système, activez l’option Utilisez le NTP pour définir
périodiquement l’heure du système. Pour définir l’heure manuellement, activez l’option Définir
manuellement la date et l’heure. Si vous définissez l’heure manuellement, passez à l’étape 6.
Guide de l’utilisateur
51
Tâches de base de configuration et de gestion
5. Si l’heure est définie automatiquement, Firebox X Edge interroge le serveur sélectionné dans la liste
Serveurs NTP pour obtenir l’heure actuelle. Si ce serveur n’est pas disponible, Edge utilise le suivant.
o Pour ajouter un serveur de temps, tapez son nom dans le champ Ajouter un nouveau serveur,
puis cliquez sur Ajouter.
o Pour supprimer un serveur de temps, sélectionnez-le dans la liste Serveurs NTP, puis cliquez sur
Supprimer.
o Cliquez sur un serveur pour le sélectionner comme serveur de temps par défaut.
Pour enregistrer vos modifications, passez à l’étape 8.
6. Si vous définissez l’heure système manuellement, vous devez définir la date et l’heure.
o Sélectionnez le mois dans la première liste déroulante.
o Sélectionnez l’année dans la deuxième liste déroulante.
o Cliquez sur le bouton portant le nombre correspondant à la date du jour.
7. À droite de la date, définissez l’heure.
o Tapez les heures dans le premier champ.
o Tapez les minutes dans le deuxième champ.
o Tapez les secondes dans le troisième champ.
o Sélectionnez AM ou PM dans la liste déroulante.
8. Cliquez sur Envoyer.
52
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
À propos du protocole SNMP
Le protocole SNMP (Simple Network Management Protocol) est un ensemble d’outils permettant de surveiller
et de gérer les réseaux. Il utilise des bases d’informations MIB (Management Information Bases) qui fournissent
des informations de configuration sur les périphériques gérés ou analysés par le serveur SNMP.
Firebox X Edge prend en charge les protocoles SNMPv2c et SNMPv3.
Interrogations SNMP
Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP.
Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface,
le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu la
dernière modification de chaque interface Firebox.
Activer l’interrogation SNMP
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Administration > SNMP.
La page Protocole SNMP (Simple Network Management Protocol) s’affiche.
3. Les informations E-mail de contact et Emplacement sont fournies au serveur SNMP lorsqu’il interroge
Edge. Tapez dans ces champs les informations que l’administrateur du serveur SNMP doit voir s’il
détecte un problème avec Edge.
4. Activez la case à cocher Activer SNMP v2c si le serveur SNMP utilise SNMP v2c. Vous devez taper la
Chaîne de communauté utilisée par le serveur SNMP lorsqu’il contacte Edge. Cette chaîne est
l’équivalent d’un ID utilisateur ou d’un mot de passe qui autorise l’accès aux statistiques d’un
périphérique. Elle doit être incluse avec toutes les demandes SNMP.
5. Activez la case à cocher Activer SNMP v3 si le serveur SNMP utilise SNMP v3. Vous devez taper le Nom
d’utilisateur et le Mot de passe utilisés par le serveur SNMP lorsqu’il contacte Edge.
6. Si le serveur SNMP qui interroge Edge se trouve sur le réseau approuvé d’Edge, activez la case à cocher
Accès approuvé. Cliquez sur Envoyer. Les étapes 7 à 10 ne sont pas nécessaires. Si le serveur SNMP
qui interroge Edge se trouve sur le réseau facultatif, activez la case à cocher Accès facultatif. Cliquez
sur Envoyer. Les étapes 7 à 10 ne sont pas nécessaires.
7. Si le serveur SNMP qui interroge Edge se trouve sur un réseau externe, poursuivez avec les étapes
7 à 10. Si le serveur SNMP qui interroge Edge se trouve sur un réseau externe, vous devez ajouter une
stratégie SNMP entrante à votre configuration Edge et autoriser les connexions SNMP à l’interface
externe d’Edge. Dans la barre de navigation, sélectionnez Pare-feu > Entrant.
8. Recherchez SNMP dans la liste des stratégies prédéfinies. Sélectionnez Modifier.
9. Dans la liste déroulante Filtre entrant, sélectionnez Autoriser. Dans la zone de texte Hôte de
stratégie, tapez l’adresse IP approuvée de Firebox X Edge. Cette règle autorise le serveur SNMP à se
connecter à Edge pour obtenir des données SNMP sur le port TCP 161. Il est conseillé de spécifier
l’adresse IP de votre serveur SNMP dans le champ De afin que seules les connexions depuis l’adresse
IP du serveur SNMP soient autorisées par Firebox.
10. Cliquez sur Envoyer pour enregistrer vos modifications dans Firebox X Edge.
Guide de l’utilisateur
53
Tâches de base de configuration et de gestion
À propos des bases d’informations MIB
Une base d’informations MIB (Management Information Base) est une base de données d’objets qui peuvent
être analysés par un système de gestion de réseau. Firebox X Edge e-Series prend en charge six bases
d’informations MIB publiques en lecture seule :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
54
IP-MIB
IF-MIB
TCP-MIB
UDP-MIB
SNMPv2-MIB
RFC1213-MIB
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
À propos de la sélection du protocole HTTP ou HTTPS
pour la gestion
HTTP (Hypertext Transfer Protocol) est le « langage » utilisé pour transférer des fichiers (textes, images
graphiques et fichiers multimédias) sur Internet. HTTPS (Hypertext Transfer Protocol over Secure Socket Layer)
est une version sécurisée du protocole HTTP. Avec le protocole HTTPS, toutes les informations envoyées entre
le serveur Web et votre navigateur sont chiffrées. Pour une sécurité accrue, Firebox X Edge e-Series utilise par
défaut le protocole HTTPS.
Pour faire apparaître plus rapidement les pages de configuration de Firebox X Edge, vous pouvez utiliser le
protocole HTTP. Ce protocole étant moins sécurisé, nous vous déconseillons de l’utiliser pour la gestion
d’Edge. Avec le protocole HTTP, toutes les modifications de configuration sont envoyées de l’ordinateur à
Edge en texte clair. Nous vous recommandons de toujours utiliser le protocole HTTPS pour configurer Edge.
Vous devez vous connecter une fois à Firebox X Edge à l’aide du protocole HTTPS avant de pouvoir vous
connecter à l’aide du protocole HTTP.
Utiliser le port HTTP au lieu du port HTTPS
1. Tapez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de
Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Administration > Sécurité du système.
La page Sécurité du système s’affiche.
Activez la case à cocher Utilisez le port HTTP non sécurisé au lieu du port HTTPS sécurisé pour le
site Web d’administration.
Un avertissement s’affiche pour vérifier que vous souhaitez remplacer le port serveur HTTP par le port
par défaut 80. Pour vous connecter à Firebox X Edge, le port utilisé dans votre navigateur doit être
identique au port serveur HTTP sur Edge. Si vous souhaitez utiliser un certificat pour renforcer la
sécurité de la session de gestion, sélectionnez-le dans la liste déroulante Certificat. Cette option est
active uniquement si vous avez déjà importé des certificats en vue de les utiliser sur Edge. Pour plus
d’informations sur l’utilisation de certificats, voir À propos de l’utilisation de certificats sur Firebox X
Edge.
3. Cliquez sur Envoyer.
Si vous activez cette case à cocher, tapez http:// dans la barre d’adresses du navigateur au lieu de
https:// pour afficher les pages de configuration. Vous ne pouvez plus vous connecter à Edge avec
https:// pour afficher les pages de configuration.
Guide de l’utilisateur
55
Tâches de base de configuration et de gestion
Modifier le port serveur HTTP
Le protocole HTTPS utilise généralement le port TCP 443, tandis que le protocole HTTP utilise le port TCP 80.
Par défaut, vous devez vous connecter aux pages de configuration de Firebox X Edge e-Series sur ces ports.
Vous pouvez modifier le port par défaut sur la page Administration > Sécurité du système. Tapez la nouvelle
valeur dans le champ Port du serveur HTTP de la page de configuration Sécurité du système, illustrée
ci-dessus.
Après avoir modifié le port serveur HTTP, vous devez taper le nouveau numéro de port lorsque vous
vous connectez à Firebox X Edge. Par exemple, si vous avez remplacé le port serveur HTTP par défaut
par le port 880, lorsque vous vous connectez à Edge, vous devez taper : http://192.168.111.1:880.
À propos de l’accès WatchGuard System Manager
Utilisez la page Accès WSM pour activer la gestion à distance par WatchGuard System Manager.
ƒ
ƒ
Avec WatchGuard System Manager version 8.3.1 et supérieures, vous pouvez gérer les stratégies,
les mises à jour et les VPN de nombreux périphériques Edge depuis un emplacement unique.
Avec WatchGuard System Manager version 7.3 ou inférieure, vous pouvez utiliser VPN Manager pour
créer des tunnels VPN gérés entre Firebox X Edge et un autre périphérique Firebox WatchGuard.
Renommer Firebox X Edge e-series dans WSM
Lorsque vous utilisez WatchGuard System Manager pour gérer différents périphériques Edge, vous pouvez
renommer Firebox X Edge e-Series de façon que son nom soit unique.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur
et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Administration. La page Administration apparaît.
3. Entrez le nom que vous souhaitez attribuer à Firebox X Edge e-Series dans le champ Nom du
périphérique.
4. Cliquez sur Envoyer. Lorsqu’Edge s’affiche dans WatchGuard System Manager, son nom apparaît.
56
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
Activer la gestion centralisée à l’aide de WSM
Consultez les présentes instructions pour configurer l’accès distant à partir de WatchGuard System Manager
(WSM) 10. WSM 10 permet la gestion centralisée des périphériques Firebox X Edge e-Series sur lesquels la
version 10 est installée.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Administration > Accès WSM.
La page Accès WSM apparaît.
3. Activez la case à cocher Activer la gestion à distance.
4. Dans la liste déroulante Type de gestion, sélectionnez WatchGuard Management System.
5. Pour activer la gestion centralisée d’Edge via WatchGuard System Manager, activez la case à cocher
Utiliser Centralized Management. Lorsque Firebox X Edge est sous gestion centralisée, l’accès aux
pages de configuration d’Edge est défini en lecture seule. La seule exception concerne l’accès à la page
de configuration Accès WSM. Si vous désactivez la fonctionnalité de gestion à distance, vous retrouvez
l’accès en lecture-écriture à la configuration d’Edge.
N’activez pas cette case à cocher si vous utilisez WatchGuard System Manager uniquement pour gérer
des tunnels VPN.
6. Entrez un mot de passe d’état pour Firebox X Edge, puis entrez-le à nouveau pour le confirmer.
7. Entrez un mot de passe de configuration pour Firebox X Edge, puis entrez-le à nouveau pour le
confirmer.
Si vous ne tapez pas ces mêmes mots de passe lors de l’ajout du périphérique à WatchGuard System
Manager, vous ne pouvez pas vous connecter à Firebox X Edge.
Guide de l’utilisateur
57
Tâches de base de configuration et de gestion
8. Dans la zone de texte Adresse de Management Server, entrez l’adresse IP du serveur Management
Server si celui-ci possède une adresse IP publique. Si le serveur Management Server a une adresse IP
privée, tapez l’adresse IP publique du périphérique Firebox qui le protège.
Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les
ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management
Server configuré. Aucune configuration spéciale n’est nécessaire à cette fin.
9. Dans la zone Nom du client, tapez le nom à donner à Firebox X Edge.
Ce nom est utilisé pour identifier Edge dans Management Server.
10. Entrez la clé partagée. La clé partagée permet de chiffrer la connexion entre le serveur Management
Server et le périphérique Firebox X Edge. Cette clé partagée doit être identique sur Edge et
Management Server. Vous devez vous procurer la clé partagée auprès de votre administrateur réseau.
11. Cliquez sur Envoyer.
58
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
Activer la gestion à distance avec WFS version 7.3 ou inférieure
Les instructions qui suivent permettent de configurer l’accès à distance à partir de WatchGuard Firebox
System version 7.3 ou inférieure. Ces versions de WatchGuard Firebox System utilisent VPN Manager et
Firebox joue le rôle de serveur DVCP.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Administration > Accès WSM.
La page Accès WSM s’affiche.
3.
4.
5.
6.
Activez la case à cocher Activer la gestion à distance.
Dans la liste déroulante Type de gestion, sélectionnez VPN Manager.
Si vous utilisez VPN Manager 7.3, activez la case à cocher VPN Manager 7.3.
Activez la case à cocher Activer l’accès à VPN Manager pour autoriser VPN Manager à se connecter à
Firebox X Edge. Tapez et confirmez les mots de passe d’état et de configuration d’Edge.
Si vous ne tapez pas ces mêmes mots de passe lors de l’ajout du périphérique à VPN Manager, vous
ne pouvez pas vous connecter à Firebox X Edge.
Guide de l’utilisateur
59
Tâches de base de configuration et de gestion
7. Activez la case à cocher Activer Managed VPN pour configurer Firebox X Edge en tant que client sur
le serveur DVCP WatchGuard.
8. Dans la zone de texte Adresse du serveur DVCP, tapez l’adresse IP du serveur DVCP.
9. Dans la zone Nom du client, tapez le nom à donner à Firebox X Edge. Ce nom est utilisé pour identifier
Edge dans VPN Manager.
10. Dans le champ Clé partagée, tapez la clé partagée. Cette clé est utilisée pour chiffrer la connexion
entre le serveur DVCP et Firebox X Edge. Cette clé partagée doit être identique sur Edge et sur le
serveur DVCP. Vous devez vous procurer la clé partagée auprès de votre administrateur réseau.
11. Cliquez sur Envoyer.
Autoriser le trafic depuis un serveur Management Server
Si vous utilisez un serveur du réseau approuvé ou facultatif pour gérer des périphériques Firebox sur le réseau
externe, vous devez modifier certains paramètres de votre configuration pour autoriser ce trafic via Edge.
Vous pouvez utiliser un Assistant pour appliquer automatiquement ces modifications de configuration. Avant
de lancer cet Assistant, vous devez connaître l’adresse IP de Management Server. Dans la barre de navigation,
sélectionnez Assistants, puis sélectionnez l’Assistant Définissez des stratégies afin d’autoriser le trafic
pour la gestion WSM d’autres systèmes Firebox.
60
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
À propos de la mise à jour du logiciel de Firebox X Edge
L’un des avantages des services LiveSecurity est de proposer des mises à jour logicielles constantes. Dès que
de nouvelles menaces apparaissent et que WatchGuard améliore ses produits, vous êtes informé de la mise à
disposition de nouvelles versions du logiciel de Firebox X Edge e-Series par des alertes. Vous devez posséder
un abonnement valide à LiveSecurity pour pouvoir installer un microprogramme sur Edge. Pour connaître les
mises à jour de Firebox X Edge, visitez le site Web de WatchGuard à l’adresse suivante :
https://www.watchguard.com/archive/softwarecenter.asp (sélectionnez Firebox X Edge)
Il existe deux procédures d’installation des mises à jour du microprogramme. La première méthode utilise un
téléchargement de grande taille et applique la mise à jour du microprogramme automatiquement à Firebox
X Edge lorsque vous le démarrez sur un ordinateur Windows. La seconde méthode utilise un plus petit
téléchargement et vous permet d’appliquer les mises à jour du microprogramme à partir des pages de
configuration de Firebox X Edge. Si vous n’utilisez pas Windows, vous devez appliquer la seconde procédure.
Si pour une raison quelconque, vous voulez effectuer une mise à niveau vers une version antérieure du
microprogramme d’Edge, vous pouvez utiliser ces mêmes procédures. Certaines versions récentes du
matériel Edge ne peuvent être mises à niveau vers des versions antérieures à la version 8.5.2.
Méthode 1 : Installer le logiciel automatiquement
La première méthode permet d’installer la mise à jour du microprogramme de Firebox X Edge e-Series à partir
d’un ordinateur Windows. Vous devez commencer par télécharger le programme d’installation de la mise à
jour logicielle. Procédez ensuite comme suit pour l’utiliser :
1. Démarrez le programme d’installation sur un ordinateur Windows se trouvant sur le réseau approuvé
de Firebox X Edge.
2. À l’invite, tapez l’adresse IP de l’interface approuvée de Firebox X Edge e-Series.
L’adresse par défaut est 192.168.111.1.
3. Tapez le nom et le mot de passe de l’administrateur. Cliquez sur OK.
Le programme d’installation applique la mise à jour du microprogramme à Firebox X Edge e-Series. Dans le cadre
de ce processus, Firebox X Edge redémarre une ou deux fois. Ceci est tout à fait normal.
4. Cliquez sur Terminer.
Dans la mesure où le programme d’installation utilise protocole FTP pour transférer les fichiers,
assurez-vous que Firebox X Edge n’est pas configuré pour refuser le trafic FTP. Pour plus
d’informations, voir Supprimer les attaques DoS Flood.
Guide de l’utilisateur
61
Tâches de base de configuration et de gestion
Méthode 2 : Installer le logiciel manuellement
La seconde méthode utilise les pages de configuration de Firebox X Edge e-Series. Cette méthode peut être
utilisée avec Windows ou tout autre système d’exploitation. Vous devez commencer par télécharger le fichier
Mise à jour logicielle, qui est un petit fichier compressé.
1. Procédez à l’extraction du fichier « .sysa-dl » du fichier compressé que vous avez téléchargé à l’aide
d’un utilitaire d’archivage tel que WinZip (pour les ordinateurs Windows), StuffIt (pour Macintosh) ou
le programme zip (pour Linux).
2. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur, suivi de l’adresse IP de l’interface approuvée d’Edge.
L’URL par défaut est : https://192.168.111.1
3. Dans la barre de navigation, sélectionnez Administration > Mettre à jour.
La page Mettre à jour s’affiche.
4. Tapez le nom et l’emplacement du fichier contenant le nouveau logiciel de Firebox X Edge dans la zone
Sélectionner un fichier ou cliquez sur Parcourir pour rechercher le fichier sur le réseau.
5. Cliquez sur Mettre à jour et suivez les instructions.
Firebox vérifie que le package logiciel est une mise à niveau légitime du logiciel. Il copie ensuite le nouveau
logiciel sur le système. Cette procédure peut prendre entre 15 et 45 secondes. Une fois la mise à jour terminée,
cliquez sur le bouton Redémarrer qui s’affiche sur la page Mettre à jour. Lorsque Firebox a redémarré, la page
État du système s’affiche et indique le nouveau numéro de version.
62
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
À propos des options de mise à niveau
Deux éléments sont nécessaires pour ajouter des mises à niveau à Firebox X Edge : une clé de fonctionnalité
et une clé de licence. Il est important de bien comprendre la différence entre ces deux clés.
Firebox X Edge est fourni avec un certain nombre de fonctionnalités installées par défaut. Celles-ci sont
spécifiées par la clé de fonctionnalité. Si vous achetez une mise à niveau de votre périphérique Edge, vous
devez lui appliquer une nouvelle clé de fonctionnalité.
Toutefois, vous n’obtenez pas immédiatement cette nouvelle clé de fonctionnalité. Lorsque vous achetez
une mise à niveau, vous recevez une clé de licence. Vous devez entrer cette clé sur le site Web des services
LiveSecurity pour obtenir une nouvelle clé de fonctionnalité. Vous devez ensuite ajouter cette clé de
fonctionnalité à votre configuration Edge ou utiliser la fonctionnalité de synchronisation de la clé de
fonctionnalité pour laisser Edge se connecter au site Web des services LiveSecurity et télécharger la nouvelle
clé de fonctionnalité.
Options de mise à niveau disponibles
Licences d’utilisateur
Une mise à niveau de licence par siège autorise des connexions supplémentaires entre le réseau
approuvé et le réseau externe. Par exemple, une mise à niveau de licence d’utilisateur pour 5 sièges
autorise 5 connexions supplémentaires au réseau externe.
Clients Mobile VPN with IPSec
La mise à niveau Clients Mobile VPN with IPSec augmente le nombre d’utilisateurs distants autorisés
à se connecter à Firebox X Edge par le biais d’un tunnel VPN sécurisé (IPSec). Ces clients ont accès aux
ressources du réseau approuvé et du réseau facultatif.
WebBlocker
La mise à niveau WebBlocker vous permet de contrôler l’accès au contenu Web. Pour plus
d’informations, voir À propos de WebBlocker.
spamBlocker
La mise à niveau spamBlocker vous permet de filtrer le courrier indésirable et l’envoi de masse. Pour
plus d’informations, voir À propos de spamBlocker.
Gateway AV/IPS
La mise à niveau Gateway AV/IPS vous permet de bloquer les virus et d’empêcher les tentatives
d’intrusion par les pirates informatiques. Pour plus d’informations, voir À propos de Gateway
AntiVirus et Intrusion Prevention.
Edge Pro
La mise à niveau du logiciel système Edge Pro vous permet d’activer une seconde interface externe
sur Firebox X Edge e-Series. Si vous configurez Firebox pour le Multi-WAN, vous pouvez utiliser le
routage basé sur stratégie pour faire correspondre une stratégie de pare-feu à une interface externe
spécifique. Vous pouvez également activer la fonctionnalité de marquage VLAN.
Guide de l’utilisateur
63
Tâches de base de configuration et de gestion
Ajouter une fonctionnalité à Firebox X Edge
Lorsque vous achetez une mise à niveau de Firebox X Edge, vous recevez une clé de licence. Il peut s’agir d’un
certificat papier ou d’un message électronique. Vous pouvez utiliser la procédure qui suit pour appliquer
manuellement une nouvelle clé de fonctionnalité à Edge, ou utiliser la fonctionnalité de synchronisation de la
clé de fonctionnalité disponible sur la page État du système pour appliquer automatiquement votre clé de
fonctionnalité après l’avoir activée sur le site Web des services LiveSecurity.
1. Enregistrez la clé de licence et copiez la nouvelle clé de fonctionnalité, comme décrit dans Obtenir une
clé de fonctionnalité.
2. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est https://192.168.111.1.
3. Acceptez le certificat de sécurité.
4. Tapez le Nom d’utilisateur et le Mot de passe administrateur lorsque vous y êtes invité.
5. Dans la barre de navigation à gauche, sélectionnez Administration > Mettre à niveau.
La fenêtre Mettre à niveau s’affiche.
6. Cliquez sur Obtenir la clé de licence ou collez la nouvelle clé de fonctionnalité.
Vous pouvez cliquer avec le bouton droit et sélectionner Coller dans le menu qui s’affiche ou encore utiliser
CTRL+V.
7. Cliquez sur Envoyer.
8. Redémarrez Edge.
64
Firebox X Edge e-Series
Tâches de base de configuration et de gestion
Mettre à niveau le modèle de Firebox X Edge
Une mise à niveau de modèle confère à Firebox X Edge e-Series les mêmes fonctions qu’un modèle supérieur,
en augmentant la capacité, les licences d’utilisateur, les sessions et les tunnels VPN. Pour consulter une
brochure présentant les fonctionnalités des différents modèles de Firebox X Edge, allez à l’adresse suivante :
http://www.watchguard.com/docs/datasheet/wg_edge-e_ds.pdf.
Une fois que vous avez acheté une clé de licence de mise à niveau, vous pouvez mettre à niveau Firebox X
Edge e-Series 10e ou Firebox X Edge 20e vers un modèle supérieur :
1. Allez sur le site de mise à niveau de WatchGuard (www.watchguard.com/upgrade) et connectez-vous
à votre compte de services LiveSecurity.
2. Dans l’espace prévu à cet effet, tapez la clé de licence telle qu’elle apparaît sur le certificat imprimé ou
sur le reçu du magasin en ligne, y compris les tirets. Cliquez sur Continuer et suivez les instructions.
Guide de l’utilisateur
65
Tâches de base de configuration et de gestion
66
Firebox X Edge e-Series
5
Paramètres réseau
À propos de la configuration d’interface réseau
La configuration des adresses IP d’interface réseau est un élément essentiel de la configuration de
WatchGuard Firebox. Lorsque vous exécutez l’Assistant Quick Setup Wizard, les interfaces externes et
approuvées sont configurées pour que le trafic soit acheminé via Firebox. Vous pouvez suivre les procédures
décrites dans cette section pour modifier cette configuration après avoir exécuté l’Assistant Quick Setup
Wizard ou pour ajouter d’autres composants du réseau à la configuration. Par exemple, vous pouvez
configurer une interface facultative pour des serveurs publics, comme des serveurs Web.
Les réseaux regroupés dans un réseau local sont physiquement séparés des réseaux situés sur un réseau
étendu, comme Internet, par un pare-feu. L’une des principales fonctions de ce dernier est de déplacer les
paquets de part et d’autre du pare-feu. On parle alors de « routage ». Pour acheminer correctement les
paquets, le pare-feu doit savoir quels réseaux sont accessibles sur chacune de ses interfaces.
Guide de l’utilisateur
67
Paramètres réseau
Modifier les adresses IP de Firebox à l’aide de l’Assistant
Network Setup Wizard
Pour modifier les adresses IP réseau de Firebox X Edge e-Series, le plus simple est d’utiliser l’Assistant Network
Setup Wizard.
1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi
de l’adresse IP de l’interface approuvée d’Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, cliquez sur Assistants.
3. Cliquez sur OK en regard de l’option Définissez les principales interfaces réseau de Firebox X Edge.
4. Suivez les instructions.
L’Assistant Network Setup Wizard se compose des étapes suivantes :
Bienvenue
Le premier écran décrit l’objectif de l’Assistant.
Configurez l’interface externe de votre Firebox
Sélectionnez la procédure utilisée par votre fournisseur de services Internet (ISP) pour définir votre
adresse IP. Pour plus d’informations, voir À propos de la configuration des interfaces externes. Vous
pouvez choisir l’une des configurations suivantes :
DHCP : si votre ISP utilise DHCP, entrez les informations DHCP qu’il vous a fournies. Pour plus
d’informations, voir Si votre ISP utilise DHCP.
PPPoE : si votre ISP utilise PPPoE, entrez les informations PPPoE qu’il vous a fournies. Pour plus
d’informations, voir Si votre ISP utilise PPPoE.
IP statique : si votre ISP utilise les adresses IP statiques, entrez les informations qu’il vous a fournies
à ce sujet. Pour plus d’informations, voir Si votre ISP utilise des adresses statiques.
Configurez l’interface approuvée de Firebox
Entrez l’adresse IP de l’interface approuvée dans cet écran. Pour plus d’informations, voir À propos de
la configuration du réseau approuvé.
L’Assistant Network Setup Wizard prend fin lorsque l’interface approuvée est configurée.
68
Firebox X Edge e-Series
Paramètres réseau
Configurer les interfaces externes
Vous devez configurer manuellement votre réseau externe si vous n’utilisez pas l’Assistant Network Setup
Wizard.
Lorsque vous configurez le réseau externe, définissez la méthode utilisée par votre fournisseur de services
Internet (ISP) pour attribuer une adresse IP à votre périphérique Firebox. Si vous ne connaissez pas cette
méthode, contactez votre ISP ou l’administrateur réseau de votre entreprise. Pour plus d’informations sur les
méthodes d’adressage IP, voir Adresses IP statiques et dynamiques.
Vous pouvez également configurer l’interface externe principale en tant qu’interface sans fil.
Si votre fournisseur de services Internet utilise DHCP
Dans la configuration par défaut, Firebox X Edge e-Series obtient ses informations d’adresses externes via
DHCP. Si votre fournisseur de services Internet utilise DHCP, Edge obtiendra une nouvelle adresse IP externe
lorsqu’il démarrera pour se connecter au réseau du fournisseur de services Internet. Pour plus d’informations
sur DHCP, voir À propos des agents de relais DHCP.
Pour configurer manuellement Firebox afin d’utiliser DHCP sur l’interface externe :
1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi
de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Externe.
La page Configuration du réseau externe s’affiche.
3. Dans la liste déroulante Mode de configuration, sélectionnez Client DHCP.
4. Si votre fournisseur de services Internet vous demande d’identifier l’ordinateur afin de vous donner
une adresse IP, tapez ce nom dans le champ Identificateur DHCP facultatif.
5. Cliquez sur Abandonner si vous ne souhaitez pas utiliser l’adresse IP attribuée par DHCP pour Edge.
Cliquez sur Renouveler pour demander au serveur DHCP une nouvelle adresse IP attribuée par DHCP
à Edge.
6. Cliquez sur Envoyer.
Guide de l’utilisateur
69
Paramètres réseau
Si votre fournisseur de services Internet utilise des adresses IP statiques
Si votre fournisseur de services Internet utilise des adresses IP statiques, vous devez entrer les informations
d’adresses dans le périphérique Firebox X Edge pour que celui-ci puisse envoyer le trafic via l’interface
externe.
Pour configurer le périphérique Firebox X Edge de sorte à utiliser une adresse IP statique pour l’interface
externe :
1. À l’aide du navigateur, accédez à la page État du système.
2. Dans la barre de navigation, sélectionnez Réseau > Externe.
La page Configuration du réseau externe s’affiche.
3. Dans la liste déroulante Mode de configuration, sélectionnez Configuration manuelle.
Si votre fournisseur de services Internet utilise PPPoE
Si votre fournisseur de services Internet utilise PPPoE, vous devez entrer les informations PPPoE dans le
périphérique Firebox X Edge pour que celui-ci puisse envoyer le trafic via l’interface externe. Pour plus
d’informations sur PPPoE, voir Paramètres PPPoE avancés.
70
Firebox X Edge e-Series
Paramètres réseau
Pour configurer Firebox afin d’utiliser PPPoE sur l’interface externe :
1. À l’aide du navigateur, accédez à la page État du système.
2. Dans la barre de navigation, sélectionnez Réseau > Externe.
La page Configuration du réseau externe s’affiche.
3. Dans la liste déroulante Mode de configuration, sélectionnez Client PPPoE.
4. Tapez vos nom et mot de passe dans les champs appropriés. Vous pouvez obtenir ces informations
auprès de votre fournisseur de services Internet. Si ce dernier fournit un nom de domaine, tapez-le
dans le champ Domaine.
La plupart des fournisseurs de services Internet qui utilisent PPPoE vous demandent d’utiliser le nom
de domaine et votre nom d’utilisateur. Ne tapez pas le nom de domaine et votre nom d’utilisateur au
format suivant : [email protected]. Si vous possédez un nom PPPoE dans ce format, tapez la
section MonNom dans le champ Nom. Tapez la section ispdomain dans le champ Domaine. Ne tapez
pas le symbole @. Certains fournisseurs de services Internet n’utilisent pas le domaine.
5. Dans le champ Délai d’inactivité, tapez le nombre de minutes devant s’écouler avant que le
périphérique Firebox X Edge déconnecte les connexions PPP0E actives. Nous recommandons une
valeur de 20. Si vous indiquez la valeur 0 dans ce champ, vous ne paramétrez aucun délai d’inactivité.
Guide de l’utilisateur
71
Paramètres réseau
Paramètres PPPoE avancés
L’Assistant Quick Setup Wizard vous permet de configurer les paramètres PPPoE de base. Si nécessaire, vous
pouvez également configurer des paramètres plus avancés. Cliquez sur Envoyer après avoir terminé la
configuration des paramètres PPPoE avancés.
Nom du service
Utilisez ce champ pour ajouter un nom de service. Firebox X Edge démarre une session uniquement
avec un serveur PPPoE, appelé concentrateur d’accès, qui prend en charge le service spécifié. Cette
option n’est généralement pas utilisée. N’utilisez ce champ que s’il existe plusieurs concentrateurs
d’accès ou si vous savez que vous devez utiliser un nom de service spécifique.
Nom du concentrateur d’accès
Utilisez ce champ pour identifier un concentrateur d’accès. Firebox X Edge démarre une session
uniquement avec le concentrateur d’accès que vous identifiez dans ce champ. Cette option n’est
généralement pas utilisée. Ne l’utilisez que si vous savez qu’il existe plusieurs concentrateurs d’accès.
Si vous renseignez les zones Nom du service et Nom du concentrateur d’accès, utilisez la même
valeur pour que le système Edge négocie une session PPPoE.
Utiliser l’indicateur Host-Uniq dans les paquets de découverte PPPoE
Sélectionnez cette option s’il existe plusieurs installations d’un même client PPPoE sur le réseau. Ceci
permet d’empêcher les interférences entre les paquets de découverte de chaque client. Cette
fonctionnalité n’est pas prise en charge par Firebox X Edge ; cette option est incluse afin de rendre
Edge compatible avec les fournisseurs de services Internet qui l’exigent.
Nouvelles tentatives d’authentification
Ce champ détermine le nombre de tentatives effectuées par le périphérique Firebox X Edge pour
envoyer des informations d’authentification PAP au serveur PPPoE. La valeur par défaut Aucune est
suffisante pour la plupart des installations. Vous devez entrer une valeur élevée pour rendre Edge
compatible avec certains fournisseurs de services Internet.
Utiliser les requêtes d’écho LCP pour détecter la liaison PPPoE perdue
Lorsque vous activez cette case à cocher, Firebox X Edge envoie une requête d’écho LCP à intervalles
réguliers au fournisseur de services Internet pour s’assurer que la connexion PPPoE est active. Si vous
n’utilisez pas cette option, Edge doit obtenir une demande d’interruption de session PPPoE ou PPP
au fournisseur de services Internet pour identifier une connexion rompue.
Intervalle d’écho LCP
Lorsque vous activez les échos LCP, cette valeur définit l’intervalle entre les requêtes d’échos LCP
envoyées par le périphérique Firebox X Edge au fournisseur de services Internet. La rapidité avec
laquelle Edge peut identifier une connexion rompue dépend de la fréquence d’envoi des requêtes
d’échos LCP. Un intervalle plus court consomme davantage de bande passante sur l’interface
externe, mais même l’intervalle le plus court ne diminue pas beaucoup les performances.
Nouvelles tentatives d’écho LCP
Lorsque vous activez les échos LCP, cette valeur définit le nombre de tentatives effectuées par
Firebox X Edge pour obtenir une réponse à une requête d’écho LCP avant que la connexion PPPoE
soit considérée inactive. Si un fournisseur de services Internet ne répond pas à trois requêtes LCP, il
est peu probable qu’il réponde aux requêtes d’échos LCP suivantes. Dans la plupart des cas, le
paramètre par défaut de 3 est le plus approprié.
Activer la trace de débogage PPPoE
Le support technique de WatchGuard utilise cette case à cocher pour résoudre les problèmes liés à
PPPoE. Cette option étant activée, Firebox X Edge crée un fichier que vous pouvez envoyer au
support technique. Utilisez cette option uniquement lorsque vous y êtes invité par le support
technique, car cela diminue les performances du système Edge.
72
Firebox X Edge e-Series
Paramètres réseau
Configurer l’interface externe en tant qu’interface sans fil
Vous pouvez configurer l’interface externe principale (WAN1) pour Edge en tant qu’interface sans fil.
1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi
de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Externe. Cliquez sur l’onglet Sans fil.
La page Configuration du réseau externe, onglet Sans fil, s’affiche.
3. Activez la case à cocher Activer le service sans fil en tant qu’interface externe.
4. Dans la zone de texte SSID, entrez un nom de réseau Edge externe sans fil.
5. Dans la liste déroulante TypeAuth, sélectionnez un type d’authentification autorisant les connexions
sans fil. Il est conseillé d’utiliser WPA2 si les périphériques sans fil de votre réseau le prennent en
charge. Pour plus d’informations sur les méthodes d’authentification sans fil, voir À propos des
paramètres de sécurité sans fil.
6. Dans la liste déroulante Type de chiffrement, sélectionnez le type de chiffrement à utiliser pour la
connexion sans fil et ajoutez les clés ou mots de passe requis. Lorsque vous sélectionnez une option
de chiffrement avec des clés pré-partagées, une clé pré-partagée aléatoire est générée pour vous. Vous
pouvez utiliser cette clé ou entrer votre propre clé.
7. Cliquez sur Envoyer pour enregistrer vos modifications dans Firebox.
Lorque l’interface externe est configurée avec une connexion sans fil, Edge ne peut plus servir de
point d’accès sans fil. Pour permettre un accès sans fil, connectez un périphérique de point d’accès
sans fil à Edge.
Utilisation d’Edge avec une interface externe sans fil pour étendre la
connectivité réseau
Si l’infrastructure réseau est limitée ou inexistante, vous pouvez utiliser Edge pour obtenir un accès réseau
sécurisé. Vous devez connecter physiquement les périphériques réseau à Edge puis configurer l’interface
externe pour vous connecter à un point d’accès sans fil relié à un réseau plus étendu.
Pour créer un pont sans fil et accroître la sécurité sur le réseau, ajoutez un tunnel BOVPN entre Edge et la
passerelle externe. Sur les deux périphériques, activez le Mode agressif dans les paramètres de phase 1 de
votre configuration BOVPN.
Guide de l’utilisateur
73
Paramètres réseau
À propos des paramètres de réseau externe avancés
Dans la page Configuration du réseau externe, sélectionnez l’onglet Avancé pour modifier les paramètres de
vitesse de connexion ou changer l’adresse MAC de l’interface externe d’Edge.
Dans la liste déroulante Vitesse de la connexion, sélectionnez Automatique pour qu’Edge sélectionne la
vitesse réseau appropriée ou sélectionnez la vitesse de connexion statique compatible avec votre matériel. Il
est conseillé de définir la vitesse de la connexion sur Automatique, à moins que ce paramètre ne soit pas
compatible avec votre matériel.
Dans la zone de contrôle de valeur Unité maximale de transmission (MTU), sélectionnez la taille maximale
de paquet, en octets, prise en charge par l’interface. Il est conseillé d’utiliser la valeur par défaut (1 500 octets),
sauf si votre matériel de réseau requiert une taille de paquet différente.
Modifier l’adresse MAC de l’interface externe
Certains fournisseurs de services Internet (ISP) utilisent une adresse MAC pour identifier les ordinateurs sur
leur réseau. Chaque adresse MAC obtient une adresse IP statique. Si votre ISP fait appel à cette méthode pour
identifier votre ordinateur, vous devez modifier l’adresse MAC de l’interface externe de Firebox X Edge. Utilisez
l’adresse MAC du modem câble, du modem ADSL ou du routeur qui s’est directement connecté à l’ISP dans la
configuration d’origine.
L’adresse MAC doit présenter les caractéristiques suivantes :
ƒ
ƒ
ƒ
Elle doit comporter 12 caractères hexadécimaux d’une valeur comprise entre 0 et 9 ou entre « a » et « f ».
Elle doit être utilisée avec :
- une ou plusieurs adresses sur le réseau externe ;
- l’adresse MAC du réseau approuvé de Firebox X Edge ;
- l’adresse MAC du réseau facultatif de Firebox X Edge.
Les valeurs 000000000000 et ffffffffffff ne peuvent pas lui être attribuées.
Pour modifier l’adresse MAC de l’interface externe :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, cliquez sur Réseau > Externe.
La page Configuration du réseau externe s’affiche.
3. Dans l’onglet Avancé, activez la case à cocher Activer l’adresse MAC de remplacement.
74
Firebox X Edge e-Series
Paramètres réseau
4. Dans la zone de texte Adresse MAC de remplacement, entrez la nouvelle adresse MAC du réseau
externe de Firebox X Edge.
Vous devez entrer l’adresse MAC sous la forme d’un nombre hexadécimal.
N’utilisez pas de caractères supplémentaires, tels que les espaces ou les tirets.
5. Cliquez sur Envoyer.
Vous devez redémarrer Firebox pour afficher les modifications.
Si le champ Adresse MAC de remplacement est vide et que vous redémarrez Firebox X Edge, l’adresse MAC
par défaut du réseau externe est utilisée.
Pour éviter les problèmes d’adresses MAC, Firebox X Edge s’assure que l’adresse MAC que vous attribuez à
l’interface externe est unique sur le réseau. Si Edge détecte un périphérique qui utilise la même adresse MAC,
Firebox réutilise l’adresse MAC standard de l’interface externe puis redémarre.
À propos de la configuration du réseau approuvé
Vous devez configurer votre réseau approuvé manuellement si vous ne faites pas appel à l’Assistant Network
Setup Wizard.
Vous pouvez utiliser des adresses IP statiques ou un serveur DHCP pour les ordinateurs de votre réseau
approuvé. Firebox X Edge e-Series est fourni avec un serveur DHCP intégré qui attribue des adresses IP aux
ordinateurs de votre réseau approuvé ou de votre réseau facultatif. Vous pouvez également modifier l’adresse
IP du réseau approuvé.
Les paramètres usine par défaut du serveur DHCP de Firebox X Edge permettent d’attribuer
automatiquement des adresses IP aux ordinateurs du réseau approuvé. L’adresse IP de début du réseau
approuvé est 192.168.111.1. Il s’agit d’un réseau de classe C ayant comme masque de sous-réseau
255.255.255.0. Edge peut attribuer les adresses IP de la plage 192.168.111.2 à 192.168.111.254. Ces adresses
sont privées et ne sont donc pas visibles en dehors du réseau approuvé. Les paramètres usine par défaut
utilisent les mêmes informations de serveur DNS sur l’interface interne et l’interface externe.
Si nécessaire, vous pouvez désactiver le serveur DHCP. Éventuellement, vous pouvez utiliser Edge comme
agent de relais DHCP pour envoyer, à l’aide d’un tunnel VPN, des requêtes DHCP à un serveur DHCP situé sur
un autre réseau. Vous pouvez également utiliser des adresses IP statiques pour les ordinateurs de votre réseau
approuvé.
Pour que les modifications apportées à la page de configuration du réseau approuvé soient appliquées, vous
devez d’abord cliquer sur Envoyer. Le cas échéant, Firebox redémarre.
À propos de la modification de l’adresse IP du réseau approuvé
Vous pouvez modifier l’adresse IP du réseau approuvé, le cas échéant. Par exemple, si vous connectez deux
périphériques Firebox X Edge ou plus sur un réseau privé virtuel, chacun d’eux doit utiliser une adresse de
réseau approuvé différente. Si les deux périphériques reliés au réseau privé virtuel utilisent les mêmes
adresses IP de réseau approuvé, l’un des deux doit modifier sa plage d’adresses. Pour plus d’informations, voir
Comment créer un réseau privé virtuel (VPN).
Si vous modifiez l’adresse IP de l’interface approuvée de Firebox X Edge, vous devez utiliser la
nouvelle adresse IP dans la barre d’adresses de votre navigateur pour vous connecter à l’interface
de gestion Web d’Edge. Par exemple, si vous remplacez l’adresse IP par défaut 192.168.111.1 de
l’interface approuvée de Firebox X Edge par 10.0.0.1, vous devez entrer https://10.0.0.1 pour vous
connecter à Firebox X Edge. Vous devez également modifier l’adresse IP de votre ordinateur pour
qu’elle soit comprise dans la nouvelle plage de sous-réseaux IP du réseau approuvé.
Guide de l’utilisateur
75
Paramètres réseau
Modifier l’adresse IP du réseau approuvé
Pour modifier l’adresse IP du réseau approuvé :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Approuvé.
La page Configuration du réseau approuvé s’affiche.
3. Entrez la nouvelle adresse IP de l’interface approuvée de Firebox X Edge dans la zone de texte
Adresse IP.
4. Entrez le nouveau masque de sous-réseau, le cas échéant.
76
Firebox X Edge e-Series
Paramètres réseau
Activer le serveur DHCP sur le réseau approuvé
L’option Serveur DHCP permet à Firebox X Edge e-Series d’attribuer des adresses IP aux ordinateurs du réseau
approuvé. Lorsqu’il reçoit une requête DHCP provenant d’un ordinateur du réseau approuvé, Edge lui attribue
une adresse IP. Par défaut, l’option Serveur DHCP de l’interface approuvée est activée.
Pour utiliser DHCP sur le réseau approuvé :
1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez
Réseau > Approuvé.
La page Configuration du réseau approuvé s’affiche.
2. Activez la case à cocher Activer le relais DHCP sur le réseau approuvé.
3. Entrez les première et dernière adresses IP disponibles pour le réseau approuvé. N’incluez pas l’adresse
IP de Firebox X Edge.
Les adresses IP doivent être sur le même réseau que l’adresse IP approuvée. Par exemple, si l’adresse
IP approuvée est 192.168.200.1, les adresses IP peuvent être comprises entre 192.168.200.2 et
192.168.200.254.
4. Dans les zones de contrôle de valeur Jours/Heures/Minutes, définissez la durée de chaque bail DHCP
fourni par Edge.
5. Si vous disposez d’un serveur WINS ou DNS, entrez l’Adresse du serveur WINS, l’Adresse principale
du serveur DNS, l’Adresse secondaire du serveur DNS et le Suffixe de domaine DNS dans les zones
de texte appropriées. Si vous n’entrez pas de valeurs, Firebox X Edge utilise celles du réseau externe.
6. Cliquez sur Envoyer.
Guide de l’utilisateur
77
Paramètres réseau
Définir les réservations d’adresse DHCP du réseau approuvé
Vous pouvez attribuer manuellement la même adresse IP à un ordinateur du réseau approuvé à chaque fois
qu’il demande une adresse IP DHCP. Firebox X Edge identifie l’ordinateur par son adresse MAC.
1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez
Réseau > Approuvé.
La page Configuration du réseau approuvé s’affiche.
2. Cliquez sur le bouton Réservations DHCP.
La page Réservations d’adresse DHCP s’affiche.
3. Entrez une adresse IP statique dans la zone de texte Adresse IP. L’adresse IP doit se trouver sur le réseau
approuvé, en dehors du pool d’adresses DHCP.
Par exemple, si le réseau approuvé commence par 192.168.111.1 et que le pool d’adresses DHCP est
192.168.111.2-192.168.111.200, vous pouvez entrer une adresse comprise entre 192.168.111.201 et
192.168.111.254.
4. Entrez l’adresse MAC de l’ordinateur du réseau approuvé dans la zone de texte Adresse MAC.
L’adresse MAC doit comporter 12 chiffres héxadécimaux, mais pas d’espaces, de tirets ni de pointsvirgules. Cliquez sur Ajouter.
5. Cliquez sur Envoyer.
78
Firebox X Edge e-Series
Paramètres réseau
À propos des agents de relais DHCP
Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les
ordinateurs des réseaux approuvés ou facultatifs.
Firebox peut envoyer une requête DHCP, via un tunnel VPN, d’un client DHCP à un serveur DHCP sur un site
différent. Les ordinateurs du réseau approuvé ou facultatif reçoivent la réponse. Les ordinateurs installés dans
différents bureaux peuvent ainsi utiliser la même plage d’adresses réseau. Dans cette procédure, Firebox est
un agent de relais DHCP.
Vous devez configurer un tunnel VPN entre le système Edge et le serveur DHCP.
Configurer Firebox en tant qu’agent de relais DHCP
Pour configurer Firebox X Edge en tant qu’agent de relais DHCP pour l’interface approuvée :
1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez
Réseau > Approuvé.
La page Configuration du réseau approuvé s’affiche.
2. Activez la case à cocher Activer le relais DHCP.
3. Entrez l’adresse IP du serveur DHCP dans la zone de texte adjacente.
4. Cliquez sur Envoyer. Vous devez redémarrer Firebox X Edge pour que la nouvelle configuration soit
prise en compte.
Si Firebox X Edge ne peut pas se connecter au serveur DHCP au bout de 30 secondes, il utilise son
propre serveur DHCP pour attribuer les adresses IP aux ordinateurs du réseau approuvé. Vous devez
activer le serveur DHCP sur le réseau approuvé pour que la fonction de relais DHCP soit
opérationnelle.
Guide de l’utilisateur
79
Paramètres réseau
Utiliser des adresses IP pour les ordinateurs approuvés
Vous pouvez utiliser des adresses IP statiques pour une partie ou l’ensemble des ordinateurs de votre réseau
approuvé. Si vous désactivez le serveur DHCP de Firebox X Edge et ne disposez pas d’un serveur DHCP sur
votre réseau, vous devez configurer vous-même l’adresse IP et le masque de sous-réseau de chacun des
ordinateurs. Cette configuration est, entre autres, nécessaire si une application logicielle client-serveur doit
utiliser une adresse IP statique pour le serveur. Les adresses IP statiques doivent appartenir au même réseau
que l’interface approuvée d’Edge. Les ordinateurs du réseau approuvé qui se voient attribuer des adresses IP
statiques doivent utiliser l’adresse IP de l’interface approuvée d’Edge pour la passerelle par défaut. Si l’un des
ordinateurs n’utilise pas Edge comme passerelle par défaut, il ne peut en principe pas se connecter au réseau
externe ni à Internet.
Pour désactiver le serveur DHCP de Firebox X Edge, désactivez la case à cocher Activer le serveur DHCP sur
le réseau approuvé de la page Configuration du réseau approuvé, puis cliquez sur Envoyer.
Autoriser des connexions sans fil à l’interface approuvée
Firebox X Edge e-Series Wireless peut être configuré en tant que point d’accès sans fil avec trois zones de
sécurité différentes. Vous pouvez activer les périphériques sans fil pour vous connecter à Edge Wireless en tant
que membre du réseau approuvé ou du réseau facultatif. Vous pouvez également activer un réseau invité de
services sans fil pour les utilisateurs d’Edge. Lorsque vous autorisez des connexions sans fil à accéder à
l’interface facultative d’Edge, les périphériques sans fil disposent d’un accès total à tous les ordinateurs du
réseau facultatif et du réseau approuvé et d’un accès total à Internet, conformément aux règles que vous avez
configurées pour le trafic sortant sur Edge.
Si vous autorisez l’accès sans fil via l’interface approuvée, il est vivement conseillé d’activer et d’utiliser la
fonctionnalité de restriction MAC décrite dans la rubrique suivante pour autoriser l’accès via Edge
uniquement aux périphériques qui ont été ajoutés à la liste Adresses MAC autorisées.
Pour configurer Edge de manière à autoriser des connexions sans fil à accéder à l’interface approuvée, voir
Autoriser des connexions sans fil au réseau approuvé.
À propos de la restriction d’accès à une interface à l’aide d’une
adresse MAC
Vous pouvez contrôler l’accès à une interface Firebox X Edge e-Series à l’aide de l’adresse MAC du matériel. Si
cette fonctionnalité est activée alors que l’adresse MAC d’un ordinateur essayant de se connecter au réseau
Edge n’est pas incluse dans cette configuration, la connexion échoue. Si vous choisissez de restreindre l’accès
à Edge à l’aide de l’adresse MAC, n’oubliez pas d’inclure l’adresse MAC de l’ordinateur qui sert à gérer Edge.
80
Firebox X Edge e-Series
Paramètres réseau
Restreindre l’accès à l’interface approuvée à l’aide d’une adresse MAC
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Approuvé et cliquez sur l’onglet Adresses MAC
autorisées.
3. Activez la case à cocher Restreindre l’accès par l’adresse MAC du matériel.
Guide de l’utilisateur
81
Paramètres réseau
4. Cliquez sur Analyser pour qu’Edge détecte toutes les adresses matérielles sur le réseau. Pour qu’Edge
essaie de résoudre les noms d’hôtes de tous les ordinateurs Windows détectés au cours de l’analyse,
assurez-vous que la case à cocher Essayer de résoudre les noms d’hôtes Windows pendant
l’analyse est activée. Dans ce cas, l’analyse peut durer plus longtemps.
La boîte de dialogue Analyser le contrôle d’adresse autorisée s’affiche.
5. Sélectionnez un ou plusieurs périphériques à ajouter à la liste des adresses MAC autorisées pour cette
interface. Assurez-vous que le type de support identifié est correct, car un ordinateur doté de plusieurs
cartes réseau peut avoir plusieurs adresses MAC. Cliquez sur OK pour ajouter les périphériques à la liste
d’adresses MAC autorisées.
Maintenez enfoncée la touche CTRL pour sélectionner plusieurs périphériques. La sélection peut porter sur
plusieurs colonnes à la fois.
6. Pour ajouter manuellement à votre configuration une adresse matérielle et son nom d’hôte, cliquez sur
Ajouter.
La boîte de dialogue Ajouter un contrôle d’adresse autorisée s’affiche.
82
Firebox X Edge e-Series
Paramètres réseau
7. Activez la case à cocher Consigner les tentatives d’accès des adresses MAC ne figurant pas dans la
liste pour qu’Edge génère un message du journal à chaque fois qu’un ordinateur dont l’adresse
matérielle ne figure pas dans la liste essaie d’y accéder.
8. Cliquez sur Envoyer.
À propos de la configuration du réseau facultatif
Le réseau facultatif est un réseau isolé contenant des ressources publiques moins sécurisées. Par défaut,
Firebox X Edge ne permet pas au trafic du réseau facultatif d’atteindre le réseau approuvé. Seul le trafic du
réseau approuvé vers le réseau facultatif est autorisé par défaut, mais vous pouvez le restreindre. Pour plus
d’informations, voir À propos des stratégies du réseau facultatif.
Le trafic n’étant généralement pas autorisé entre le réseau facultatif et le réseau approuvé, vous pouvez
utiliser le réseau facultatif pour les serveurs auxquels d’autres ordinateurs peuvent se connecter sur Internet,
comme les serveurs de messagerie, Web ou FTP. Il est conseillé d’isoler le réseau privé des serveurs auxquels
le public peut accéder. Le réseau que vous créez pour accueillir ces serveurs publics et qui est isolé de votre
réseau privé est parfois désigné « DMZ » (zone démilitarisée). Si un serveur du réseau facultatif est attaqué sur
Internet, l’intrus ne peut pas s’en servir pour se connecter aux ordinateurs du réseau approuvé. Le réseau
approuvé est incontestablement le plus sûr pour accueillir votre réseau privé.
Si votre ordinateur se trouve sur le réseau facultatif, vous pouvez vous connecter aux pages de configuration
système de Firebox X Edge à l’aide de l’adresse IP de l’interface facultative. L’URL par défaut de la page État du
système du réseau facultatif est :
https://192.168.112.1
Vous pouvez utiliser le serveur DHCP de Firebox X Edge ou les adresses IP statiques pour les ordinateurs du
réseau facultatif ou encore modifier la plage d’adresses IP de ce dernier.
Guide de l’utilisateur
83
Paramètres réseau
Activer le réseau facultatif
1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi
de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Facultatif.
La page Configuration du réseau facultatif s’affiche.
3. Activez la case à cocher Activer le réseau facultatif. Vous pouvez modifier l’adresse du réseau
facultatif, le cas échéant. L’adresse IP par défaut de l’interface facultative étant 192.168.112.1, le réseau
approuvé et le réseau facultatif se trouvent sur deux sous-réseaux différents. L’adresse IP du réseau
facultatif ne peut pas être sur le même sous-réseau que le réseau approuvé.
4. Cliquez sur Envoyer.
84
Firebox X Edge e-Series
Paramètres réseau
Activer le serveur DHCP sur le réseau facultatif
L’option Serveur DHCP permet à Firebox X Edge d’attribuer des adresses IP aux ordinateurs du réseau
facultatif. Lorsqu’il reçoit une requête DHCP d’un ordinateur du réseau facultatif, Edge lui attribue une adresse
IP. Par défaut, l’option Serveur DHCP de l’interface facultative est désactivée.
Pour utiliser DHCP sur le réseau facultatif :
1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez
Réseau > Facultatif.
La page Configuration du réseau facultatif s’affiche.
2. Activez la case à cocher Activer le serveur DHCP sur le réseau facultatif.
3. Entrez la première et la dernière adresses IP disponibles pour le réseau facultatif.
Les adresses IP doivent être sur le même réseau que l’adresse IP facultative. Par exemple, si l’adresse IP
facultative est 192.168.112.1, les adresses IP peuvent être comprises entre 192.168.112.2 et
192.168.112.254.
4. Dans les zones de contrôle de valeur Jours/Heures/Minutes, définissez la durée de chaque bail DHCP
fourni par Edge.
5. Si vous disposez d’un serveur WINS ou DNS, entrez l’Adresse du serveur WINS, l’Adresse principale
du serveur DNS, l’Adresse secondaire du serveur DNS et le Suffixe de domaine DNS dans les
champs appropriés. Si vous n’entrez pas de valeurs, Firebox X Edge utilise celles du réseau externe.
6. Cliquez sur Envoyer.
Guide de l’utilisateur
85
Paramètres réseau
Définir les réservations d’adresse DHCP du réseau facultatif
Vous pouvez attribuer manuellement une adresse IP à un ordinateur du réseau facultatif. Firebox X Edge
identifie l’ordinateur par son adresse MAC.
1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez
Réseau > Facultatif.
La page Configuration du réseau facultatif s’affiche.
2. Cliquez sur le bouton Réservations DHCP.
La page Réservations d’adresse DHCP s’affiche.
3. Entrez une adresse IP statique dans le champ Adresse IP. L’adresse IP doit être sur le réseau facultatif.
Par exemple, si le réseau facultatif commence par 192.168.112.1, vous pouvez entrer des valeurs comprises entre
192.168.112.2 et 192.168.112.251.
4. Entrez l’adresse MAC de l’ordinateur du réseau facultatif dans le champ Adresse MAC. L’adresse MAC
doit comporter 12 chiffres héxadécimaux, mais pas d’espaces, de tirets ni de points-virgules. Cliquez
sur Ajouter.
5. Cliquez sur Envoyer.
86
Firebox X Edge e-Series
Paramètres réseau
À propos des agents de relais DHCP
Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les
ordinateurs des réseaux approuvés ou facultatifs.
Firebox peut envoyer une requête DHCP, via un tunnel VPN, d’un client DHCP à un serveur DHCP sur un site
différent. Les ordinateurs du réseau approuvé ou facultatif reçoivent la réponse. Les ordinateurs installés dans
différents bureaux peuvent ainsi utiliser la même plage d’adresses réseau. Dans cette procédure, Firebox est
un agent de relais DHCP.
Vous devez configurer un tunnel VPN entre le système Edge et le serveur DHCP.
Configurer Firebox en tant qu’agent de relais DHCP
Pour configurer Firebox X Edge en tant qu’agent de relais DHCP pour l’interface facultative :
1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez
Réseau > Facultatif.
La page Configuration du réseau facultatif s’affiche.
2. Activez la case à cocher Activer le relais DHCP sur le réseau facultatif.
3. Entrez l’adresse IP du serveur DHCP dans la zone de texte adjacente.
4. Cliquez sur Envoyer. Vous devez redémarrer Firebox X Edge pour que la nouvelle configuration soit
prise en compte.
Si Firebox X Edge ne peut pas se connecter au serveur DHCP au bout de 30 secondes, il utilise son
propre serveur DHCP pour attribuer les adresses IP aux ordinateurs du réseau facultatif. Vous devez
activer le serveur DHCP sur le réseau facultatif pour que la fonction de relais DHCP soit
opérationnelle.
Utiliser des adresses IP statiques pour les ordinateurs facultatifs
Vous pouvez utiliser des adresses IP statiques pour une partie ou la totalité des ordinateurs du réseau
facultatif. Si vous désactivez le serveur DHCP et qu’aucun serveur DHCP ne figure sur votre réseau facultatif,
vous devez configurer manuellement l’adresse IP et le masque de sous-réseau de chaque ordinateur. Vous
pouvez également configurer certains périphériques avec une adresse IP statique (serveur Web ou
imprimante réseau, par exemple). Les adresses IP statiques doivent être sur le même réseau que l’interface
facultative de Firebox X Edge. Les ordinateurs dont les adresses IP statiques se trouvent sur le réseau facultatif
doivent utiliser l’adresse IP de l’interface facultative d’Edge comme passerelle ou routeur par défaut. L’accès
au réseau externe ou à Internet est généralement refusé aux ordinateurs qui n’utilisent pas Edge pour la
passerelle par défaut.
Pour désactiver le serveur DHCP de Firebox X Edge, désactivez la case à cocher Activer le serveur DHCP sur
le réseau facultatif dans la page Configuration du réseau facultatif et cliquez sur Envoyer.
Guide de l’utilisateur
87
Paramètres réseau
Ajouter des ordinateurs au réseau facultatif
Comme il n’existe qu’un port Ethernet facultatif, vous ne pouvez connecter qu’un seul ordinateur directement
à l’interface facultative de Firebox X Edge e-Series. Pour connecter plusieurs ordinateurs à l’interface
facultative, utilisez un concentrateur ou un commutateur Ethernet 10/100 BaseT doté de connecteurs RJ-45.
Les ordinateurs du réseau facultatif ne doivent pas obligatoirement utiliser le même système d’exploitation.
Pour ajouter plusieurs ordinateurs au réseau facultatif :
1. Assurez-vous que chacun des ordinateurs dispose d’une carte Ethernet opérationnelle.
2. Configurez-les pour qu’ils puissent utiliser DHCP. Pour plus d’informations, voir Configurer l’ordinateur
pour le connecter à Edge.
3. Connectez chaque ordinateur au réseau. Pour plus d’informations, voir Connecter Edge à plus de
quatre périphériques.
4. Redémarrez chaque ordinateur.
Autoriser des connexions sans fil à l’interface facultative
Firebox X Edge e-Series Wireless peut être configuré en tant que point d’accès sans fil avec trois zones de
sécurité différentes. Vous pouvez activer les périphériques sans fil pour vous connecter à Edge Wireless en tant
que membre du réseau approuvé ou du réseau facultatif. Vous pouvez également activer un réseau invité de
services sans fil pour les utilisateurs d’Edge. Lorsque vous autorisez des connexions sans fil à accéder à
l’interface facultative d’Edge, les périphériques sans fil disposent d’un accès total à tous les ordinateurs du
réseau facultatif et d’un accès total à Internet, conformément aux règles que vous avez configurées pour le
trafic sortant sur Edge.
Pour configurer Edge de manière à autoriser des connexions sans fil via l’interface facultative, voir À propos
de la configuration sans fil.
À propos de la restriction d’accès à une interface à l’aide d’une
adresse MAC
Vous pouvez contrôler l’accès à une interface Firebox X Edge e-Series à l’aide de l’adresse MAC du matériel. Si
cette fonctionnalité est activée alors que l’adresse MAC d’un ordinateur essayant de se connecter au réseau
Edge n’est pas incluse dans cette configuration, la connexion échoue. Si vous choisissez de restreindre l’accès
à Edge à l’aide de l’adresse MAC, n’oubliez pas d’inclure l’adresse MAC de l’ordinateur qui sert à gérer Edge.
Restreindre l’accès à l’interface facultative à l’aide d’une adresse MAC
À propos des routes statiques
Un route correspond à l’ensemble des périphériques que le trafic réseau traverse de la source à la destination.
Un routeur est un périphérique de cet route qui détecte le point réseau suivant au travers duquel le trafic
réseau est acheminé vers sa destination. Chaque routeur est connecté à deux réseaux au minimum. Un paquet
peut traverser plusieurs points réseau avec des routeurs avant d’atteindre sa destination.
Firebox permet de créer des routes statiques pour acheminer le trafic vers des hôtes ou des réseaux
spécifiques. Le routeur peut ensuite envoyer le trafic à la destination appropriée en suivant l’route spécifié. Si
vous n’ajoutez aucun route à un réseau distant, tout le trafic qui lui est destiné est envoyé à la passerelle par
défaut de Firebox.
Le WatchGuard Users Forum est une mine précieuse d’informations sur les routes réseau et les routeurs.
88
Firebox X Edge e-Series
Paramètres réseau
Ajouter un route statique
1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi
de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Routes.
La page Routes s’affiche.
3. Cliquez sur Ajouter.
La page Ajouter un route s’affiche.
4. Dans la liste déroulante Type, sélectionnez Hôte ou Réseau.
Sélectionnez Réseau si un réseau complet se trouve derrière un routeur sur votre réseau local.
Sélectionnez Hôte si un hôte uniquement se trouve derrière le routeur ou si vous souhaitez acheminer
le trafic vers un seul hôte.
5. Entrez l’adresse IP de destination et la passerelle dans les champs appropriés.
La passerelle est l’adresse IP de l’interface locale du routeur. L’adresse IP de la passerelle doit être
comprise dans la plage du réseau approuvé, facultatif ou externe de Firebox X Edge.
6. Cliquez sur Envoyer.
Pour supprimer un route statique, cliquez sur l’adresse IP puis sur Supprimer.
Guide de l’utilisateur
89
Paramètres réseau
À propos du service DNS dynamique
Vous pouvez enregistrer l’adresse IP externe de Firebox auprès du service DNS dynamique « DynDNS.org ».
Grâce à ce type de service, vous êtes sûr que l’adresse IP associée à votre nom de domaine change dès que
votre fournisseur de services Internet attribue une nouvelle adresse IP à Firebox. Au démarrage, Firebox
obtient l’adresse IP auprès de members.dyndns.org. Il vérifie qu’elle est valide à chaque redémarrage et tous
les vingt jours. Si vous modifiez votre configuration DynDNS sur Firebox ou si vous changez l’adresse IP de la
passerelle par défaut configurée sur votre périphérique Firebox, DynDNS.com est automatiquement mis à
jour.
Pour plus d’informations sur le DNS dynamique, rendez-vous sur le site http://www.dyndns.com.
WatchGuard n’est pas une filiale de DynDNS.com.
Créer un compte DynDNS
Pour créer votre compte, consultez le site Web DynDNS à l’adresse http://www.dyndns.com.
Suivez les instructions pour activer votre compte. Vous devez le faire avant de configurer Firebox pour le DNS
dynamique.
Configurer Firebox X Edge pour le DNS dynamique
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > DNS dynamique.
La page du client DNS dynamique s’affiche.
3. Activez la case à cocher Activer le client DNS dynamique.
4. Entrez les Domaine, Nom et Mot de passe dans les champs appropriés.
90
Firebox X Edge e-Series
Paramètres réseau
5. Dans la liste déroulante Système, sélectionnez le système à utiliser dans le cadre de cette mise à jour.
Pour obtenir une explication de chaque option, rendez-vous sur le site http://www.dyndns.com/
services/.
o L’option dyndns envoie des mises à jour pour un nom d’hôte DNS dynamique. Utilisez dyndns
si votre adresse IP est dynamique ou si elle change régulièrement, par exemple.
o L’option statdns envoie des mises à jour pour un nom d’hôte DNS statique. Un hôte DNS
statique est une adresse IP obtenue dynamiquement qui ne change pas (en cas d’association à
une adresse MAC, à un ID d’hôte DHCP ou à une adresse/connexion IP statique PPPoE, par
exemple).
o L’option personnalisé envoie des mises à jour pour un nom d’hôte DNS personnalisé. Les
entreprises qui paient pour enregistrer leur domaine auprès de dyndns.com font souvent appel
à cette option.
6. Vous pouvez entrer les options suivantes dans le champ Options et en utiliser une ou plusieurs,
comme indiqué dans l’exemple ci-dessous :
Pour plus d’informations, rendez-vous sur le site http://www.dyndns.com/developers/specs/
syntax.html.
o L’option mx=mailexchanger& indique quel Mail eXchanger (MX) utiliser avec le nom
d’hôte.
o L’option backmx=YES|NO& permet de configurer le MX du paramètre précédent comme MX
de secours en incluant l’hôte en tant que MX d’une valeur de préférence inférieure.
o L’option wildcard=ON|OFF|NOCHG& active ou désactive les caractères génériques pour cet
hôte (ON permet de les activer).
o L’option offline=YES|NO définit le nom d’hôte en mode hors ligne. Vous pouvez combiner
une ou plusieurs de ces options à l’aide du signe &, comme suit :
&mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON
7. Cliquez sur Envoyer.
Firebox X Edge ne fonctionne qu’avec le service DNS dynamique DynDNS.com.
Guide de l’utilisateur
91
Paramètres réseau
Configurer Firebox pour qu’il utilise BIDS
En Australie, les clients de Telstra doivent utiliser un logiciel client pour se connecter au réseau BigPond.
Firebox X Edge e-Series utilise BIDS pour établir cette connexion. Si vous ne vous connectez pas au réseau
BigPond, il est inutile d’utiliser BIDS.
Pour configurer Firebox de sorte qu’il se connecte au réseau BigPond avec BIDS :
1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi
de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > BIDS.
La page Client BIDS s’ouvre.
3. Pour utiliser BIDS, activez la case à cocher Activer(WAN1).
4. Entrez les informations de connexion dans les zones de texte Nom d’utilisateur et Mot de passe.
5. Cliquez sur Envoyer.
À propos de l’utilisation de plusieurs interfaces externes
Avec Firebox, vous pouvez bénéficier d’une redondance pour l’interface externe. Les entreprises ont recours
à cette option si elles doivent être constamment connectées à Internet.
Si vous disposez d’une licence Edge Pro pour Firebox X Edge et d’une seconde connexion Internet, vous
pouvez configurer une seconde interface externe sur Edge. Si vous disposez d’une seconde connexion haut
débit, libre à vous de configurer Edge avec l’option de basculement WAN ou l’option d’équilibrage de charge
de type tourniquet. Si votre seconde connexion Internet est un modem série avec une connexion Internet
d’accès à distance, vous devez utiliser l’option de basculement WAN.
Si vous souhaitez acheter une mise à niveau Edge Pro pour votre périphérique Firebox X Edge, contactez votre
revendeur ou visitez la boutique en ligne de WatchGuard à l’adresse suivante :
https://www.watchguard.com/store.
Il n’est pas nécessaire de configurer de nouvelles stratégies si vous faites appel à une seconde interface
externe. La seconde interface utilise les mêmes stratégies et propriétés réseau que l’interface externe
principale.
92
Firebox X Edge e-Series
Paramètres réseau
Options de configuration de plusieurs WAN
Si vous disposez d’un logiciel Edge Pro pour Firebox X Edge e-Series, vous pouvez configurer une seconde
interface externe pour Edge. Vous pouvez choisir parmi deux options de configuration pour contrôler la façon
dont Edge achemine le trafic via la seconde interface externe.
Basculement WAN
Lorsque vous configurez Edge avec un basculement WAN, il envoie l’ensemble du trafic via l’interface externe
principale. Si cette dernière n’est pas active, Edge achemine le trafic via la seconde interface externe. Firebox
X Edge e-Series fait appel à deux procédures pour déterminer si l’interface externe est fonctionnelle :
ƒ
ƒ
L’état de la liaison entre l’interface externe et le périphérique auquel elle est connectée (en principe un
routeur)
Une requête ping envoyée à une adresse particulière
Firebox X Edge envoie une requête ping à la passerelle par défaut ou à l’ordinateur spécifié par
l’administrateur. Si aucune réponse n’est obtenue, Edge bascule sur l’interface externe secondaire WAN2.
Lorsque vous activez l’option de basculement WAN, Firebox X Edge e-Series se comporte comme suit :
ƒ
ƒ
ƒ
Si la connexion de l’interface WAN1 est inactive, Edge utilise l’interface WAN2.
Si la connexion de l’interface WAN2 est inactive, Edge utilise l’interface WAN1.
Si la connexion de l’interface WAN1 et celle de l’interface WAN2 sont toutes les deux inactives, Edge
tente d’utiliser les deux interfaces jusqu’à ce qu’il établisse une connexion.
Lorsque l’interface WAN2 est utilisée, Firebox X Edge surveille l’interface principale WAN1. Si la connexion de
l’interface WAN1 redevient active, Edge bascule automatiquement sur l’interface WAN1.
Multi-WAN
Lorsque vous configurez Edge pour qu’il fonctionne en mode multi-WAN avec l’option d’équilibrage de
charge de type tourniquet, Firebox inspecte sa table de routage interne afin de rechercher un route spécifique
pour chaque connexion. Si aucun route n’est trouvé, Firebox répartit la charge de trafic entre ses
deux interfaces externes. Si vous sélectionnez Équilibrage de charge de tourniquet pondéré, servez-vous
du curseur pour définir le pourcentage de trafic qui devra être acheminé via chaque interface.
Lorsque vous configurez Edge pour qu’il fonctionne en mode multi-WAN avec l’option d’équilibrage de
charge de type tourniquet, Edge continue à surveiller l’état de chaque interface. Si l’une des interfaces n’est
pas active, Edge achemine l’ensemble du trafic via l’autre interface.
À propos du mode multi-WAN et de DNS
Si vous configurez plusieurs interfaces externes sur votre périphérique Edge, il est préférable d’entrer deux
adresses de serveur DNS lorsque vous définissez les paramètres du réseau approuvé et du réseau facultatif.
Certains fournisseurs de services Internet (FSI) n’autorisent des requêtes sur leurs serveurs DNS que si elles
proviennent du réseau du FSI. Si vous ne remplissez pas les informations de serveur DNS dans les paramètres
DHCP du réseau approuvé, Edge continue à utiliser le serveur DNS de WAN1 après avoir basculé sur WAN2. Si
le FSI de WAN2 refuse ce serveur DNS, le basculement WAN ne fonctionne pas. Pour résoudre ce problème,
entrez l’adresse du serveur DNS pour le FSI de WAN1 en tant qu’adresse principale. Entrez l’adresse du serveur
DNS pour le FSI de WAN2 en tant qu’adresse secondaire. Lorsque Edge bascule de WAN1 vers WAN2, il
interroge le serveur DNS utilisé par le FSI de l’interface WAN1. S’il est refusé, Edge utilise le serveur DNS
secondaire.
Guide de l’utilisateur
93
Paramètres réseau
Configurer une seconde interface externe pour une connexion haut débit
1. Si vous utilisez une connexion statique à Internet, sélectionnez Configuration manuelle dans la liste
déroulante Mode de configuration.
Si vous utilisez DHCP pour vous connecter au réseau externe, sélectionnez Client DHCP dans la liste
déroulante Mode de configuration.
Si vous utilisez PPPoE pour vous connecter à Internet, sélectionnez Client PPPoE dans la liste
déroulante Mode de configuration.
2. Ajoutez les informations requises pour le type de connexion que vous utilisez. Pour plus
d’informations, voir Si votre FSI utilise DHCP, Si votre FSI utilise des adresses IP statiques ou Si votre FSI
utilise PPPoE.
3. Cliquez sur Envoyer.
Configurer les paramètres WAN2 avancés
Vous pouvez configurer d’autres paramètres pour la seconde interface WAN (WAN2) dans l’onglet Avancé
situé en dessous de WAN2.
1. Dans la liste déroulante Vitesse de la connexion, sélectionnez Automatique pour qu’Edge
sélectionne la vitesse réseau la plus élevée. Vous pouvez également sélectionner l’une des vitesses
semi-duplex ou duplex intégral si l’une ou l’autre est compatible avec votre système. Il est fortement
recommandé de ne pas changer ce paramètre sauf si le service de support technique vous l’a conseillé.
Si vous définissez manuellement la vitesse de connexion, un conflit risque de se produire avec la carte
réseau au cours de la restauration. Dans ce cas, l’interface WAN1 ne pourra plus se reconnecter.
2. À l’aide du contrôle de valeur Unité maximale de transmission (MTU), sélectionnez la taille maximale
de paquet, en octets, prise en charge par l’interface. Il est conseillé d’utiliser la valeur par défaut
(1 500 octets), sauf si votre matériel de réseau requiert une taille de paquet différente.
94
Firebox X Edge e-Series
Paramètres réseau
3. Pour remplacer l’adresse MAC, activez la case à cocher Activer l’adresse MAC de remplacement, puis
entrez la nouvelle adresse MAC dans le champ Adresse MAC de remplacement.
Certains FSI utilisent une adresse MAC pour identifier les ordinateurs présents sur leur réseau. Chaque
adresse MAC obtient une adresse IP statique. Si votre FSI fait appel à cette méthode pour identifier
votre ordinateur, vous devez modifier l’adresse MAC de l’interface externe de Firebox X Edge. Utilisez
l’adresse MAC du modem câble, du modem ADSL ou du routeur qui s’est directement connecté au FSI
dans la configuration d’origine.
Configurer Edge de sorte qu’il utilise l’équilibrage de charge de type
tourniquet
1. Dans la barre de navigation, sélectionnez Réseau > Externe. Si vous disposez d’une licence Edge Pro,
vous pouvez voir les options permettant de configurer Edge en mode multi-WAN.
2. Activez la case à cocher Utiliser multi-WAN.
3. Sélectionnez la méthode qu’Edge devra utiliser pour router le trafic entre les deux interfaces externes.
Si vous sélectionnez Équilibrage de charge de tourniquet, Edge tente d’équilibrer, dans des
proportions égales, le trafic entre les deux interfaces. Si vous sélectionnez Équilibrage de charge de
tourniquet pondéré, servez-vous du curseur pour définir le pourcentage de trafic qui devra être routé
via chaque interface.
4. Configurez la seconde interface externe comme décrit dans Configurer une seconde interface externe
pour une connexion haut débit.
5. En dessous des Paramètres multi-WAN, entrez les adresses IP des hôtes auxquels vous souhaitez
envoyer des requêtes ping pour tester les interfaces WAN1 (externe) et WAN2 (de basculement).
Firebox X Edge envoie des requêtes ping aux adresses IP que vous entrez ici. Si les requêtes ping
envoyées à l’hôte de ce réseau échouent, Edge bascule sur l’autre WAN. C’est vous qui déterminez la
fréquence d’envoi de requêtes ping dans les champs ci-dessous.
6. Entrez le nombre de secondes entre deux envois de requêtes ping et le nombre de secondes
correspondant au délai d’attente d’une réponse.
Guide de l’utilisateur
95
Paramètres réseau
7. Entrez le nombre maximal de requêtes ping avant expiration du délai d’attente dans le champ
Nombre de réponses max..
8. Entrez le nombre minimal de requêtes ping devant être réussies avant que Firebox X Edge ne rebascule
sur l’interface WAN1 dans le champ Réponses ping nécessaires à la restauration.
Configurer le basculement WAN
Si vous disposez d’une licence Edge Pro, vous pouvez configurer votre périphérique Firebox X Edge de sorte
qu’il fonctionne en mode de basculement WAN et utiliser une seconde interface externe pour une connexion
Internet haut débit. Pour configurer le réseau de basculement WAN :
1. Connectez l’une des extrémités d’un câble Ethernet à l’interface WAN2. Connectez l’autre extrémité au
périphérique qui fournit la connexion réseau externe secondaire. Il peut s’agit d’un modem câble ou
d’un concentrateur.
2. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi
de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
3. Configurez le réseau de basculement à l’aide de l’Assistant WAN Failover Setup Wizard ou depuis la
page Réseau des pages de configuration, de la manière décrite dans les rubriques Activer le
basculement WAN à l’aide de l’Assistant Setup Wizard et Configurer les paramètres de basculement.
Activer le basculement WAN dans l’Assistant Setup Wizard
1. Dans la barre de navigation, sélectionnez Assistants.
2. En regard de la zone Configurez la fonction de basculement WAN automatique de votre
périphérique Firebox Edge, cliquez sur OK.
3. Suivez les instructions à l’écran.
L’Assistant WAN Failover Setup Wizard comporte les étapes suivantes :
Bienvenue
Le premier écran vous présente l’Assistant.
Sélectionnez l’interface secondaire.
Dans cet écran, définissez l’interface secondaire que votre périphérique Firebox X Edge utilise.
Configurez l’interface modem ou haut débit.
Utilisez cet écran pour configurer l’interface secondaire.
Identifiez les ordinateurs à connecter.
Entrez les adresses IP des ordinateurs auxquels Firebox X Edge peut se connecter.
L’Assistant WAN Failover Setup Wizard est terminé.
Vous devez redémarrer Firebox X Edge pour activer la fonctionnalité de basculement WAN.
96
Firebox X Edge e-Series
Paramètres réseau
Utilisez les paramètres de basculement pour définir les adresses IP des ordinateurs auxquels Edge doit
envoyer des requêtes ping pour déterminer si les interfaces WAN sont actives ou non.
1. Dans la barre de navigation, sélectionnez Réseau > Externe. Si vous disposez d’une licence Edge Pro,
vous pouvez voir les paramètres de basculement au bas de la page.
2. Activez la case à cocher Activer le basculement à l’aide de l’interface Ethernet (WAN2).
3. Entrez les adresses IP des hôtes auxquels vous souhaitez envoyer une requête ping pour tester les
interfaces WAN1 (externe) et WAN2 (de basculement).
Firebox X Edge envoie des requêtes ping aux adresses IP que vous entrez ici. Si les requêtes ping
envoyées à l’hôte de ce réseau échouent, le basculement est déclenché. C’est vous qui déterminez la
fréquence d’envoi des requêtes ping dans les champs ci-dessous.
4. Entrez le nombre de secondes entre deux envois de requête ping et le nombre de secondes
correspondant au délai d’attente d’une réponse.
5. Entrez le nombre maximal de requêtes ping avant expiration du délai d’attente dans le champ
Nombre de réponses max..
6. Entrez le nombre minimal de requêtes ping qui doivent réussir avant que Firebox X Edge ne rebascule
sur l’interface WAN1 dans le champ Réponses ping nécessaires à la restauration.
Configurer Edge pour qu’il prenne en charge le basculement vers un modem
série
1. Dans la barre de navigation, sélectionnez Réseau > Externe. Si vous disposez d’une licence Edge Pro,
vous pouvez voir les options permettant de configurer Edge en mode multi-WAN.
2. Activez la case à cocher Utiliser le basculement multi-WAN.
3. Une fois que vous avez configuré WAN1, dans la liste Basculer vers cette interface, sélectionnez
Modem.
4. Définissez les paramètres de configuration du modem (port série) comme décrit dans les rubriques de
cette section.
Guide de l’utilisateur
97
Paramètres réseau
5. Pour vérifier la connectivité de l’interface, Edge envoie régulièrement des requêtes ping à l’adresse IP
que vous spécifiez. En dessous de la zone Paramètres de basculement, entrez les adresses IP
auxquelles Edge doit envoyer des requêtes ping pour les interfaces WAN1 (externe) et WAN2 (de
basculement) dans les champs correspondants.
6. Dans la zone de texte Intervalle ping, entrez la fréquence à laquelle Firebox doit envoyer des requêtes
ping pour vérifier la connectivité des interfaces.
7. Dans la zone de texte Expiration du temps de réponse, entrez la durée en secondes pendant laquelle
Edge doit attendre pour obtenir une réponse. Si aucune réponse n’est renvoyée dans le délai imparti,
la requête ping échoue.
8. Dans la zone de texte Nombre de réponses max., entrez le nombre de requêtes ping en échec avant
l’expiration du délai de réponse. Lorsque cette limite est atteinte, le basculement WAN est déclenché.
9. Dans la zone de texte Réponses ping nécessaires à la restauration, entrez le nombre minimal de
requêtes ping devant être réussies avant que Firebox X Edge ne rebascule sur l’interface WAN1.
Configurer le modem pour qu’il fonctionne avec un basculement WAN
Utilisez les paramètres disponibles dans la zone Configuration du modem (port série) de la page Réseau >
Externe pour configurer votre modem externe de sorte qu’il prenne en charge le basculement. Edge a été
testé avec les modems suivants :
ƒ
ƒ
ƒ
ƒ
ƒ
Modem fax série Hayes 56K V.90
Zoom FaxModem 56K modèle 2949
Modem externe U.S. Robotics 5686
Modem série Creative Modem Blaster V.92
MultiTech 56K Data/Fax Modem International
Paramètres du compte d’accès à distance
1. Dans la zone de texte Téléphone, entrez le numéro de téléphone de votre fournisseur de services
Internet (FSI). Si vous disposez d’un autre numéro de téléphone, entrez-le en dessous du numéro
principal.
2. Dans la zone de texte Nom de compte, entrez le nom du compte d’accès à distance.
3. Si vous vous connectez à votre compte avec un nom de domaine (par ex. msn.com), entrez-le dans la
zone de texte Domaine du compte.
4. Dans la zone de texte Mot de passe du compte, entrez le mot de passe que vous utilisez pour vous
connecter à votre compte d’accès à distance.
98
Firebox X Edge e-Series
Paramètres réseau
5. N’activez la case à cocher Activer le modem et la trace de débogage PPP que si vous rencontrez des
difficultés à vous connecter. Lorsque cette option est sélectionnée, Edge envoie des journaux détaillés
pour la fonctionnalité de basculement vers un modem série dans le fichier journal des événements.
6. Cliquez sur Envoyer ou sélectionnez un autre onglet pour modifier d’autres paramètres.
Paramètres DNS
Si votre FSI d’accès à distance n’attribue pas d’adresses IP de serveur DNS ou si vous devez utiliser un autre
serveur DNS, vous pouvez entrer vous-même les adresses IP du serveur DNS qui sera utilisé en cas de
basculement.
1. Activez la case à cocher Configurer manuellement les adresses IP du serveur DNS.
2. Dans la zone de texte Serveur DNS principal, entrez l’adresse IP du serveur DNS principal. Si vous
disposez d’un serveur DNS secondaire, entrez son adresse dans la zone de texte Serveur DNS
secondaire.
3. Si nécessaire, modifiez le paramètre MTU. La plupart des utilisateurs n’ont pas besoin de modifier ce
paramètre.
4. Cliquez sur Envoyer ou sélectionnez un autre onglet pour modifier d’autres paramètres.
Guide de l’utilisateur
99
Paramètres réseau
Paramètres d’accès à distance
1. Dans la zone de texte Délai d’attente de l’appel, entrez le nombre de secondes avant expiration du
délai d’attente si votre modem ne parvient pas à se connecter.
2. Dans la zone de texte Tentatives de rappel, entrez le nombre de fois qu’Edge tente de rappeler le
numéro si votre modem ne parvient pas à se connecter.
3. Dans la zone de texte Délai d’inactivité, entrez la durée en minutes avant l’expiration du délai si aucun
trafic n’accède au modem.
4. Utilisez le contrôle Volume du haut-parleur pour définir le volume de votre haut-parleur.
5. Cliquez sur Envoyer ou sélectionnez un autre onglet pour modifier d’autres paramètres.
À propos des réseaux locaux virtuels (VLAN)
Un VLAN (réseau local virtuel) 802.1Q est un ensemble d’ordinateurs appartenant à un LAN ou à des LAN
regroupés indépendamment de leur emplacement physique. Lorsque vous créez un VLAN, vous créez une
interface réseau logicielle que vous pouvez utiliser dans vos configurations.
Les VLAN permettent de :
ƒ
ƒ
ƒ
ƒ
Regrouper des périphériques par caractéristiques de trafic et non pas par proximité
Scinder votre réseau en segments logiques et hiérarchiques
Contrôler les caractéristiques du trafic réseau
Améliorer les performances et l’évolutivité du réseau
Étant donné que vous pouvez créer plusieurs VLAN sur votre réseau, chacun des commutateurs du réseau doit
être en mesure d’identifier le VLAN associé à chaque paquet réseau. Un commutateur prenant en charge les
VLAN insère quatre octets de données, appelés indicateur, dans l’en-tête Ethernet des paquets qui proviennent
d’un VLAN. Les autres commutateurs du réseau peuvent utiliser ces indicateurs pour envoyer des paquets à la
bonne destination.
Si vous disposez d’une licence Edge Pro pour votre périphérique Firebox X Edge e-Series, vous pouvez
configurer Edge de sorte à insérer des indicateurs VLAN pour les paquets envoyés à un commutateur prenant
en charge les VLAN sur une ou plusieurs interfaces réseau.
100
Firebox X Edge e-Series
Paramètres réseau
Ajouter un indicateur VLAN à l’interface externe
Pour marquer le trafic envoyé à l’interface externe sur Edge comme appartenant à un VLAN :
1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi
de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Externe.
La page Configuration du réseau externe s’ouvre.
3. Cliquez sur l’onglet Avancé.
4. Activez la case à cocher Activer le trafic VLAN.
Vous devez disposer d’une licence Edge Pro pour pouvoir utiliser la fonctionnalité de marquage VLAN.
5. Entrez l’ID du VLAN que vous souhaitez utiliser dans la zone de texte ID d’indicateur VLAN.
6. Cliquez sur Envoyer pour enregistrer les modifications.
Ajouter un indicateur VLAN à l’interface approuvée ou à l’interface
facultative
Pour marquer le trafic envoyé à l’interface approuvée ou à l’interface facultative sur Edge comme appartenant
à un VLAN :
1. Pour accéder à la page État du système, entrez https:// dans la barre d’adresses du navigateur, suivi
de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Approuvé ou Réseau > Facultatif.
La page Configuration du réseau approuvé ou facultatif s’ouvre.
3. Activez la case à cocher Activer le trafic VLAN.
Vous devez disposer d’une licence Edge Pro pour pouvoir utiliser la fonctionnalité de marquage VLAN.
4. Entrez l’ID du VLAN que vous souhaitez utiliser dans la zone de texte ID d’indicateur VLAN.
5. Cliquez sur Envoyer pour enregistrer les modifications.
Guide de l’utilisateur
101
Paramètres réseau
102
Firebox X Edge e-Series
6
Configuration sans fil
À propos de la configuration sans fil
Firebox X Edge e-Series sans fil peut être configuré en tant que point d’accès sans fil avec trois zones de
sécurité différentes. Vous pouvez activer les périphériques sans fil pour vous connecter à Edge sans fil en tant
que membre du réseau approuvé ou du réseau facultatif. Vous pouvez également activer un réseau invité de
services sans fil pour les utilisateurs d’Edge. Les ordinateurs se connectent au réseau invité par le biais d’Edge
mais ne peuvent pas accéder aux ordinateurs sur les réseaux approuvé ou facultatif.
Avant de commencer
Edge sans fil est conforme aux normes 802.11b et 802.11g définies par l’IEEE (Institute of Electrical and
Electronics Engineers). Précautions à prendre lors de l’installation de Firebox X Edge e-Series sans fil :
ƒ
ƒ
ƒ
ƒ
Veillez à installer Firebox X Edge sans fil à un minimum de 20 centimètres de toute personne. Il s’agit
d’une exigence de la FCC (Federal Communications Commission) concernant les émetteurs de faible
puissance.
Il apparaît judicieux d’éloigner Edge sans fil des antennes ou des émetteurs pour réduire les
interférences.
L’algorithme d’authentification sans fil par défaut configuré pour chaque zone de sécurité sans fil
n’offre pas la solution la plus sécurisée. Il est recommandé d’augmenter le niveau d’authentification à
WPA2 si vous êtes sûr que les périphériques sans fil qui se connectent à Edge peuvent fonctionner
correctement avec WPA2.
Un client sans fil qui se connecte à Edge à partir d’un réseau approuvé ou facultatif peut faire partie de
n’importe quel tunnel VPN de succursale dans lequel le composant de réseau local des paramètres de
phase 2 inclut des adresses IP de réseau facultatif ou approuvé. Pour contrôler l’accès au tunnel VPN,
vous pouvez forcer les utilisateurs de Firebox X Edge à s’authentifier.
Pour configurer les utilisateurs sans fil comme appartenant à votre réseau approuvé ou facultatif, suivez les
instructions figurant dans ce chapitre. Si vous souhaitez configurer un réseau invité sans fil, voir Activer un
réseau invité sans fil manuellement ou utilisez l’Assistant Wireless Guest Setup Wizard dans la page dédiée aux
Assistants.
Guide de l’utilisateur
103
Configuration sans fil
À propos des paramètres de configuration sans fil
Lorsque vous activez l’accès sans fil au réseau invité approuvé, facultatif ou sans fil, certains paramètres de
configuration sont communs aux trois zones de sécurité.
Modifier l’identificateur SSID
L’identificateur SSID (Service Set Identifier) est le nom unique de votre réseau sans fil. Pour utiliser le réseau
sans fil à partir d’un ordinateur client, la carte réseau sans fil de l’ordinateur doit posséder le même
identificateur SSID que le réseau Firebox X Edge e-Series sans fil auquel l’ordinateur se connecte.
Edge attribue automatiquement un identificateur SSID à chaque réseau sans fil. Cet identificateur SSID utilise
un format qui contient le nom de l’interface et une partie du numéro de série d’Edge (du 5e au 9e chiffre). Pour
modifier l’identificateur SSID d’une interface Edge, tapez un nouveau nom dans le champ SSID pour identifier
de manière unique votre réseau sans fil.
Activer/Désactiver les diffusions SSID
Les ordinateurs équipés de cartes réseau sans fil envoient des requêtes pour vérifier s’il existe des points d’accès
sans fil auxquels ils peuvent se connecter. Pour configurer une interface sans fil Edge dans le but d’envoyer ces
requêtes et d’y répondre, activez la case à cocher Diffuser l’identification SSID et répondre aux requêtes
SSID. Pour des raisons de sécurité, activez cette option uniquement lorsque vous configurez des ordinateurs
sur votre réseau afin de les connecter à Edge. Désactivez cette option une fois que tous les clients sont
configurés. Si vous utilisez la fonction des services invités sans fil, il peut être nécessaire d’autoriser les
diffusions SSID au cours d’une opération standard.
104
Firebox X Edge e-Series
Configuration sans fil
Enregistrer les événements d’authentification
Un événement d’authentification se produit lorsqu’un ordinateur sans fil tente de se connecter à une interface
sans fil Edge. Pour qu’Edge enregistre ces événements dans le fichier journal, activez la case à cocher
Enregistrer les événements d’authentification.
Modifier le seuil de fragmentation
Firebox X Edge e-Series sans fil vous permet de définir la taille maximale de la trame pouvant être envoyée
sans être fragmentée. Il s’agit du seuil de fragmentation. Ce paramètre change rarement. Il est défini par
défaut sur la taille maximale de trame de 2 346, ce qui signifie qu’aucune trame envoyée à des clients sans fil
n’est fragmentée. Il s’agit de la configuration la plus adaptée à la plupart des environnements.
Pour plus d’informations concernant le paramètre de seuil de fragmentation, consultez le forum aux
questions à l’adresse : https://www.watchguard.com/support/faqs/edge. Vous devez vous connecter à votre
compte LiveSecurity pour consulter ce forum aux questions.
Modifier le seuil RTS
RTS/CTS (Request To Send/Clear To Send) est une fonction qui permet d’éviter les problèmes susceptibles de
se produire lorsque des clients sans fil reçoivent des signaux provenant de plusieurs points d’accès sans fil sur
le même canal. Ce problème est parfois connu sous le nom de « nSud masqué ».
Il est déconseillé de modifier le seuil RTS par défaut. Attribuer au seuil RTS la valeur par défaut 2 346 revient
en fait à désactiver RTS/CTS.
Si vous devez modifier le seuil RTS, ajustez-le de manière incrémentielle. Commencez par le diminuer un peu
à chaque fois. Après chaque diminution, attendez le temps nécessaire pour déterminer si les performances
réseau ont été améliorées avant de modifier le seuil une nouvelle fois. Diminuer cette valeur de manière
excessive risque d’accroître la latence du réseau. En effet, si les demandes d’envoi sont trop nombreuses,
le support partagé est sollicité plus souvent que nécessaire.
Guide de l’utilisateur
105
Configuration sans fil
À propos des paramètres de sécurité sans fil
Firebox X Edge e-Series sans fil utilise trois normes de protocoles de sécurité pour protéger les réseaux sans
fil. Il s’agit de WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) et WPA2. Chaque norme de
protocole peut chiffrer les transmissions sur le réseau local (LAN) sans fil entre les ordinateurs et les points
d’accès. Elles peuvent également empêcher l’accès non autorisé au point d’accès sans fil.
Les normes WEP et WPA utilisent des clés pré-partagées, alors que les normes WPA et WPA2 utilisent un
algorithme pour modifier la clé de chiffrement à intervalles réguliers. Les données transmises via une
connexion sans fil sont ainsi plus sécurisées.
Pour protéger la confidentialité, vous pouvez associer ces fonctionnalités à d’autres mécanismes de sécurité
LAN, tels que la protection par mot de passe, les tunnels VPN et l’authentification utilisateur.
Définir la méthode d’authentification sans fil
Firebox X Edge e-Series sans fil propose cinq méthodes d’authentification. Il est recommandé d’utiliser WPA2
si possible car il s’agit de la méthode la plus sécurisée. Voici les cinq méthodes disponibles (de la moins
sécurisée à la plus sécurisée) :
Système ouvert
L’authentification à système ouvert permet à tout utilisateur de s’authentifier auprès du point
d’accès. Cette méthode peut être appliquée sans chiffrement ou avec un chiffrement WEP.
Clé partagée
Dans l’authentification à clé partagée, seuls les clients sans fil qui disposent de la clé partagée
peuvent se connecter. L’authentification à clé partagée ne peut être utilisée qu’avec le chiffrement
WEP.
WPA UNIQUEMENT (PSK)
Lorsque vous utilisez l’authentification WPA (Wi-Fi Protected Access) avec des clés pré-partagées,
chaque utilisateur sans fil se voit attribuer le même mot de passe pour s’authentifier auprès du point
d’accès sans fil.
WPA/WPA2 (PSK)
Lorsque vous sélectionnez l’authentification WPA/WPA2 (PSK), Edge accepte les connexions
provenant de périphériques sans fil configurés pour utiliser WPA ou WPA2.
WPA2 UNIQUEMENT (PSK)
La méthode d’authentification WPA2 avec clés pré-partagées implémente l’intégralité de la norme
802.11i et offre la meilleure sécurité. Elle ne fonctionne pas avec certaines cartes réseau sans fil plus
anciennes.
Définir le niveau de chiffrement
Dans la liste déroulante Chiffrement, sélectionnez le niveau de chiffrement de vos connexions sans fil. Les
options varient en fonction des différents mécanismes d’authentification que vous utilisez. Edge crée
automatiquement pour vous une clé de chiffrement aléatoire, si nécessaire. Vous pouvez vous en servir ou la
remplacer par une clé de votre choix. Tous les clients sans fil doivent utiliser cette même clé lorsqu’ils se
connectent à Edge.
106
Firebox X Edge e-Series
Configuration sans fil
Authentification à clé partagée et à système ouvert
Les options de chiffrement pour l’authentification à système ouvert et à clé partagée sont WEP 64 bits
hexadécimal, WEP 40 bits ASCII, WEP 128 bits hexadécimal et WEP 128 bits ASCII. Si vous choisissez
l’authentification à système ouvert, vous pouvez également ne sélectionner aucun chiffrement.
1. Si vous utilisez le chiffrement WEP, tapez des caractères hexadécimaux ou ASCII dans les zones de texte
Clé. Certains pilotes de carte réseau sans fil ne prennent pas en charge les caractères ASCII. Vous
disposez de quatre clés au maximum.
o Une clé WEP 64 bits hexadécimale doit comporter 10 caractères hexadécimaux (0-f).
o Une clé WEP 40 bits ASCII doit comporter 5 caractères.
o Une clé WEP 128 bits hexadécimale doit comporter 26 caractères hexadécimaux (0-f).
o Une clé WEP 128 bits ASCII doit comporter 13 caractères.
2. Si vous avez tapé plusieurs clés, cliquez sur celle à utiliser par défaut dans la liste déroulante Index de clé.
Firebox X Edge e-Series sans fil ne peut utiliser qu’une seule clé à la fois. Si vous sélectionnez une clé
autre que la première de la liste, vous devez également configurer le client sans fil pour qu’il utilise la
même clé.
Authentification WPA-PSK et WPA2-PSK
Les options de chiffrement pour l’authentification WPA-PSK et WPA2-PSK sont TKIP, AES et Auto. Il est
recommandé de définir l’option de chiffrement sur Auto pour que Firebox X Edge e-Series sans fil accepte les
paramètres TKIP et AES.
Guide de l’utilisateur
107
Configuration sans fil
À propos des connexions sans fil à l’interface approuvée
Si vous activez les connexions sans fil à l’interface approuvée, il est recommandé d’activer et d’utiliser la
fonction d’Edge qui vous permet de restreindre l’accès à l’interface approuvée par le biais de l’adresse MAC.
Cette fonction empêche les utilisateurs de se connecter à Edge à partir d’ordinateurs non autorisés qui
pourraient contenir des virus ou des logiciels espions. Pour plus d’informations sur la liste des adresses MAC
autorisées, voir Restreindre l’accès à l’interface approuvée par le biais de l’adresse MAC.
Autoriser les connexions sans fil à l’interface approuvée
1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur et
l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Approuvé. Sélectionnez l’onglet Sans fil.
3. Activez la case à cocher Activer le pont sans fil sur le réseau approuvé pour activer l’interface
approuvée Edge en tant que point d’accès sans fil. Tous les clients sans fil sur le réseau approuvé
bénéficient de l’accès complet aux ordinateurs sur les réseaux approuvé et facultatif et de l’accès à
Internet défini dans les règles de pare-feu sortantes sur Edge. Si le client sans fil définit l’adresse IP sur
sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP sur le réseau approuvé Edge doit être
actif et configuré.
4. Pour configurer l’interface sans fil Edge dans le but d’envoyer des requêtes SSID et d’y répondre,
activez la case à cocher Diffuser l’identification SSID et répondre aux requêtes SSID.
5. Activez la case à cocher Enregistrer les événements d’authentification si vous souhaitez qu’Edge
envoie un message au fichier journal chaque fois qu’un ordinateur sans fil tente de se connecter à
l’interface approuvée Edge.
6. Dans la zone de texte Nom du réseau (SSID), tapez un nom unique pour le réseau approuvé sans fil
Edge ou utilisez le nom par défaut.
7. Pour modifier le seuil de fragmentation, tapez une valeur dans le champ Seuil de fragmentation. Les
valeurs possibles sont comprises entre 256 et 2 346. Il est déconseillé de modifier ce paramètre.
108
Firebox X Edge e-Series
Configuration sans fil
8. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les
connexions sans fil à l’interface approuvée. Il est conseillé d’utiliser le mode d’authentification WPA2 si
les périphériques sans fil du réseau le prennent en charge.
9. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion
sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous
sélectionnez une option de chiffrement avec des clés pré-partagées, une clé pré-partagée aléatoire est
générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé.
10. Pour n’autoriser que les utilisateurs sans fil qui se servent de VPN mobile with IPSec, activez la case à
cocher Exiger des connexions VPN mobile with IPSec chiffrées pour les clients sans fil.
11. Cliquez sur Envoyer pour enregistrer votre configuration dans Firebox X Edge e-Series sans fil.
Guide de l’utilisateur
109
Configuration sans fil
Autoriser les connexions sans fil à l’interface facultative
1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur
et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Facultatif. Sélectionnez l’onglet Sans fil.
3. Activez la case à cocher Activer le pont sans fil sur le réseau facultatif pour activer l’interface
facultative Edge en tant que point d’accès sans fil. Tous les clients sans fil sur le réseau facultatif
bénéficient de l’accès complet aux ordinateurs du réseau facultatif et de l’accès à Internet défini dans
les règles de pare-feu sortantes sur Edge.
Si le client sans fil définit l’adresse IP sur sa carte réseau sans fil avec le protocole DHCP, le serveur DHCP sur le
réseau facultatif Edge doit être actif et configuré.
4. Pour configurer l’interface sans fil Edge dans le but d’envoyer des requêtes SSID et d’y répondre,
activez la case à cocher Diffuser l’identification SSID et répondre aux requêtes SSID.
5. Activez la case à cocher Enregistrer les événements d’authentification si vous souhaitez qu’Edge
envoie un message au fichier journal chaque fois qu’un ordinateur sans fil tente de se connecter à
l’interface facultative Edge.
110
Firebox X Edge e-Series
Configuration sans fil
6. Dans la zone de texte Nom de réseau (SSID), tapez un nom unique pour le réseau facultatif sans fil
Edge ou utilisez le nom par défaut.
7. Pour modifier le seuil de fragmentation, tapez une valeur dans le champ Seuil de fragmentation. Les
valeurs possibles sont comprises entre 256 et 2 346. Il est déconseillé de modifier ce paramètre.
8. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les
connexions sans fil à l’interface facultative. Il est conseillé d’utiliser le mode d’authentification WPA2 si
les périphériques sans fil du réseau le prennent en charge.
9. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement à utiliser pour la connexion
sans fil et ajoutez les clés ou les mots de passe requis pour le type de chiffrement choisi. Lorsque vous
sélectionnez une option de chiffrement avec des clés pré-partagées, une clé pré-partagée aléatoire est
générée pour vous. Vous pouvez utiliser cette clé ou entrer votre propre clé.
10. Cliquez sur Envoyer pour enregistrer les modifications de la configuration.
Activer un réseau invité sans fil manuellement
Vous pouvez également utiliser l’Assistant Wireless Guest Network Configuration Wizard disponible
dans la page des Assistants du menu de configuration Edge.
1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur
et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Invité sans fil.
Guide de l’utilisateur
111
Configuration sans fil
3. Sous l’onglet Paramètres, activez la case à cocher Activer le réseau invité sans fil pour autoriser les
connexions sans fil à Internet via Edge selon les règles configurées pour l’accès sortant sur Edge. Ces
ordinateurs ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou facultatif.
4. Edge doit assigner le réseau invité sans fil, l’adresse IP et le masque de sous-réseau. L’adresse IP par
défaut est 192.168.113.1. Il est inutile de modifier cette adresse IP sauf si vous utilisez déjà l’adresse
réseau 192.168.113.0/24 sur des périphériques configurés en tant qu’éléments du réseau approuvé ou
facultatif. Si vous la modifiez, vous devez alors sélectionner une autre adresse IP privée qui n’est pas
déjà utilisée sur l’un de vos réseaux.
5. Si vous souhaitez configurer Edge en tant que serveur DHCP lorsqu’un périphérique sans fil tente
d’établir une connexion, activez la case à cocher Activer le serveur DHCP sur le réseau invité sans
fil. Pour en savoir plus sur la configuration des paramètres du serveur DHCP, voir Activer le serveur
DHCP sur le réseau approuvé.
6. Pour configurer Edge dans le but d’envoyer des requêtes DHCP à un serveur DHCP externe à Edge,
activez la case à cocher Activer le relais DHCP. Pour plus d’informations sur cette fonctionnalité, voir
Convertir Firebox en relais DHCP.
7. Si vous utilisez WebBlocker et souhaitez appliquer un profil WebBlocker à toutes les connexions sans
fil qui utilisent le réseau invité sans fil, sélectionnez le profil à appliquer dans la liste déroulante Profil
WebBlocker.
8. Sous l’onglet Sans fil, sélectionnez les paramètres de sécurité du réseau invité sans fil. Vous devez
déterminer si vous autorisez ou non les utilisateurs sans fil à échanger du trafic lorsqu’ils sont
connectés au réseau invité sans fil. Pour permettre aux utilisateurs invités sans fil d’échanger du trafic,
veillez à désactiver la case à cocher Interdire le trafic de réseau sans fil d’un client à l’autre. D’autres
options de configuration sont décrites plus haut dans ce chapitre.
9. Utilisez l’onglet Adresses MAC autorisées si vous souhaitez restreindre les connexions sans fil pour
que seuls les périphériques sans fil associés à une adresse MAC que vous ajoutez à la configuration
Edge puissent se connecter au réseau invité sans fil Edge. Pour plus d’informations sur la manière de
restreindre l’accès à l’aide de l’adresse MAC, voir Restreindre l’accès à l’interface approuvée par le biais
de l’adresse MAC.
10. Cliquez sur Envoyer pour enregistrer la configuration dans Edge.
112
Firebox X Edge e-Series
Configuration sans fil
À propos des paramètres radio sans fil
Firebox X Edge e-Series sans fil utilise des signaux de fréquence radio pour envoyer et recevoir le trafic des
ordinateurs équipés de cartes Ethernet sans fil. Plusieurs paramètres sont spécifiques à la sélection du canal
Edge. Vous pouvez afficher et modifier ces paramètres si vous vous connectez à Edge sans fil et que vous
sélectionnez Réseau > Paramètres radio dans la barre de navigation gauche. La plupart des utilisateurs ne
modifient pas ces paramètres.
Définir la région et le canal de fonctionnement
Pour la région de fonctionnement, vous pouvez choisir entre neuf options : Amériques, Asie, Australie, EMEA,
France, Israël, Japon, Taïwan et République Populaire de Chine. Ce paramètre est configuré à l’aide de
l’Assistant Quick Setup Wizard et ne peut plus être modifié une fois qu’il a été défini. Cette option de Firebox
X Edge e-Series peut être définie au cours de la fabrication.
L’ensemble des canaux disponibles pour chaque région de fonctionnement s’affiche dans la liste déroulante
Canal. Lorsque l’ensemble des canaux est défini sur Auto, Firebox X Edge e-Series sans fil sélectionne
automatiquement le canal avec le signal le plus puissant disponible dans sa zone géographique.
Définir le mode de fonctionnement sans fil
La plupart des cartes sans fil fonctionnent uniquement en mode 802.11b (jusqu’à 11 Mo/seconde) ou en mode
802.11g (54 Mo/seconde). Pour définir le mode de fonctionnement de Firebox X Edge e-Series sans fil,
sélectionnez une option dans la liste déroulante Mode sans fil. Il existe trois modes sans fil :
802.11b uniquement
Ce mode force Edge à se connecter à des périphériques uniquement en mode 802.11b.
802.11g uniquement
Ce mode force Edge à se connecter à des périphériques uniquement en mode 802.11g.
802.11g et 802.11b
Il s’agit du mode par défaut. Ce mode permet à Edge de se connecter à des périphériques qui utilisent
802.11b ou 802.11g. Edge fonctionne en mode 802.11g uniquement si toutes les cartes sans fil
connectées à Edge utilisent 802.11g. Si un client 802.11b se connecte à Edge, toutes les connexions
passent automatiquement en mode 802.11b.
Guide de l’utilisateur
113
Configuration sans fil
Configurer la carte sans fil d’un ordinateur
Ces instructions concernent le système d’exploitation Windows XP avec Service Pack 2. Pour consulter les
instructions d’installation des autres systèmes d’exploitation, reportez-vous à la documentation ou aux
fichiers d’aide appropriés.
1. Sélectionnez Démarrer > Paramètres > Panneau de configuration > Connexions réseau.
La boîte de dialogue Connexions réseau s’affiche.
2. Cliquez avec le bouton droit sur Connexion réseau sans fil et sélectionnez Propriétés.
La boîte de dialogue Connexion réseau sans fil s’affiche.
3. Sélectionnez l’onglet Configuration réseaux sans fil.
4. Sous Réseaux favoris, cliquez sur Ajouter.
La boîte de dialogue Propriétés de Connexion réseau sans fil s’affiche.
5. Tapez le SSID dans la zone de texte Nom réseau (SSID).
6. Sélectionnez les méthodes d’authentification réseau et de chiffrement de données dans les listes
déroulantes. Le cas échéant, désactivez la case à cocher nommée La clé m’est fournie
automatiquement et tapez la clé réseau à deux reprises.
7. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Connexion réseau sans fil.
8. Cliquez sur le bouton Afficher les réseaux sans fil.
Toutes les connexions sans fil disponibles s’affichent dans la zone de texte Réseaux disponibles.
9. Sélectionnez le SSID du réseau sans fil et cliquez sur Connecter. Si le réseau utilise le chiffrement, tapez la clé
réseau deux fois dans la boîte de dialogue Connexion réseau sans fil et cliquez à nouveau sur Connecter.
10. Configurez l’ordinateur sans fil pour qu’il utilise le protocole DHCP.
114
Firebox X Edge e-Series
7
Stratégies de pare-feu
À propos des stratégies
Firebox utilise deux catégories de stratégie pour filtrer le trafic réseau : les filtres de paquets et les proxies. Un
filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet. Si les informations d’en-tête du paquet
sont légitimes, Firebox autorise le paquet. Dans le cas contraire, il l’abandonne. Un proxy examine non
seulement les en-têtes, mais également le contenu. Lorsque vous activez un proxy, Firebox utilise une
inspection avancée des paquets pour garantir la sécurité des connexions. Il ouvre chaque paquet l’un à la suite
de l’autre, extrait l’en-tête de la couche réseau et inspecte l’entrée Payload du paquet. Enfin, le proxy retourne
les informations réseau au paquet et l’envoie à sa destination.
Firebox comprend de nombreux filtres de paquets et proxies prédéfinis que vous pouvez ajouter à votre
configuration. Par exemple, si vous souhaitez appliquer un filtre de paquets à l’ensemble du trafic Telnet,
ajoutez une stratégie Telnet prédéfinie que vous pourrez ensuite modifier selon vos besoins. Vous pouvez
également personnaliser une stratégie en définissant ses ports, ses protocoles et d’autres paramètres.
Ensemble, les filtres de paquets et proxies forment ce que l’on appelle des stratégies. Sauf indication contraire,
les informations sur les stratégies renvoient à des proxies et à des filtres de paquets.
À propos de l’utilisation de stratégies sur votre réseau
La politique de sécurité de votre entreprise correspond à un ensemble de règles qui définissent la façon dont
vous protégez votre réseau informatique et les informations qui le traversent. Firebox refuse tous les paquets
qui ne sont pas spécifiquement autorisés. Cette politique de sécurité permet de protéger votre réseau contre :
ƒ
ƒ
les attaques qui utilisent de nouveaux protocoles IP ou d’autres protocoles IP ;
les applications inconnues.
Lorsque vous configurez Firebox X Edge à l’aide de l’Assistant Quick Setup Wizard, Edge autorise uniquement
une connectivité sortante limitée. Si Edge doit inspecter d’autres applications logicielles et davantage de trafic
réseau, vous devez :
ƒ
ƒ
ƒ
Configurer les stratégies sur Edge pour que suffisamment de trafic circule.
Définir les hôtes approuvés et les propriétés pour chaque stratégie.
Trouver un équilibre entre les besoins en sécurité de votre réseau et les besoins de vos utilisateurs en
termes d’accès aux ressources externes.
Il est conseillé de définir des limites pour le trafic sortant lorsque vous configurez Firebox.
Guide de l’utilisateur
115
Stratégies de pare-feu
Voici un exemple d’utilisation d’une stratégie : supposons que l’administrateur réseau d’une société souhaite
activer une connexion de services de terminal Windows au serveur Web public de sa société, via l’interface
approuvée de Firebox. Il gère de manière régulière le serveur Web avec une connexion Remote Desktop.
Parallèlement, il souhaite s’assurer qu’aucun autre utilisateur du réseau ne pourra accéder aux services de
terminal RDP via Firebox. Pour ce faire, l’administrateur réseau ajoute une stratégie qui autorise les
connexions RDP uniquement pour l’adresse IP de son propre PC à l’adresse IP du serveur Web public.
Règles de stratégie
Une stratégie Firebox X Edge regroupe une ou plusieurs règles qui, conjuguées, permettent de surveiller et de
contrôler le trafic. Ces règles définissent les actions de pare-feu d’une stratégie :
ƒ
ƒ
ƒ
Autoriser laisse les données ou une connexion transiter via Edge.
Refuser empêche les données ou une connexion de transiter via Edge et envoie une réponse à la
source.
Aucune règle désactive la règle.
Il n’est pas toujours facile de décider si vous devez sélectionner Refuser ou Aucune règle pour une stratégie.
Lorsque vous affectez la valeur Aucune règle à la règle, l’action entreprise par Edge pour ce paquet dépend
des règles de priorité inférieures de cette stratégie. S’il n’existe aucune autre règle pour la stratégie, Edge
refuse le paquet par défaut.
Utilisez la règle Refuser si une règle de priorité plus faible a la valeur Autoriser, mais que vous souhaitez
refuser les paquets provenant d’une adresse IP ou d’un réseau spécifique. Par exemple, si vous souhaitez
autoriser la plupart du trafic HTTP, vous devez affecter la valeur Autoriser à la stratégie de filtre de paquets
commune. Si vous souhaitez refuser le trafic HTTP provenant d’une adresse IP spécifique, créez un filtre de
paquets personnalisé pour cette adresse IP et affectez la valeur Refuser à la règle. Lorsque vous sélectionnez
Refuser, la stratégie utilise des ressources réseau légèrement supérieures. Une ou deux règles Refuser
n’affectent pas les performances du système, mais si vous définissez toutes les règles de filtre de paquets
communes sur Refuser plutôt que d’utiliser la règle par défaut Aucune règle, les performances du système
peuvent en être profondément affectées.
Trafic entrant et sortant
Le trafic en provenance du réseau externe constitue le trafic entrant. Le trafic à destination du réseau externe
constitue le trafic sortant. Par défaut, les périphériques Firebox X Edge e-Series refusent le trafic entrant afin
de protéger vos réseaux approuvés et facultatifs.
La configuration par défaut d’Edge autorise le trafic suivant :
ƒ
ƒ
ƒ
Du réseau approuvé vers le réseau externe
Du réseau approuvé vers le réseau facultatif
Du réseau facultatif vers le réseau externe
La configuration par défaut d’Edge refuse le trafic suivant :
ƒ
ƒ
ƒ
Du réseau externe vers le réseau approuvé
Du réseau facultatif vers le réseau approuvé
Du réseau externe vers le réseau facultatif
Les filtres de paquets sont définis séparément pour les stratégies entrantes et sortantes.
116
Firebox X Edge e-Series
Stratégies de pare-feu
À propos du routage basé sur stratégie
Pour envoyer le trafic réseau, un routeur inspecte en principe l’adresse de destination du paquet, puis
recherche la destination du saut suivant dans sa table de routage. Dans certains cas, il est préférable que le
trafic emprunte un autre route que celui par défaut indiqué dans la table de routage. Pour ce faire, il convient
de configurer une stratégie avec une interface externe spécifique à utiliser pour l’ensemble du trafic sortant
conforme à cette stratégie. C’est ce que l’on appelle le routage basé sur stratégie.
Si vous disposez d’une licence Edge Pro pour Firebox X Edge et que vous avez configuré le multi-WAN en
mode d’équilibrage de charge de tourniquet, vous pouvez appliquer un routage basé sur stratégie aux règles
du pare-feu. Lorsque vous activez le routage basé sur stratégie, l’ensemble du trafic contrôlé par une stratégie
traverse toujours la même interface externe, même si votre configuration multi-WAN prévoit l’envoi du trafic
en mode de tourniquet.
À propos de l’utilisation des stratégies communes de
filtrage de paquets
Vous pouvez contrôler le trafic entre les réseaux approuvé, facultatif et externe à l’aide de stratégies de filtrage
de paquets. Firebox X Edge fournit une liste des stratégies les plus utilisées, appelées « stratégies
communes », que vous pouvez appliquer pour autoriser ou refuser les catégories de trafic les plus répandues.
Vous pouvez utiliser les paramètres par défaut des filtres de paquets ou les modifier selon vos besoins.
N’oubliez pas de configurer séparément les stratégies de filtrage de paquets de trafic entrant et sortant. Par
défaut, la stratégie commune de filtrage des paquets pour le trafic sortant est définie sur Autoriser. Avec la
stratégie de trafic sortant, vous pouvez autoriser les utilisateurs de votre réseau approuvé à établir des
connexions à Internet, par exemple, à naviguer sur le Web et à utiliser la messagerie, sans avoir à créer une
stratégie pour chaque type de connexion. Par défaut, l’ensemble du trafic entrant est défini sur Refuser. Soyez
prudent lorsque vous définissez des stratégies de trafic entrant sur Autoriser. En effet, ce faisant, vous ouvrez
les réseaux protégés derrière Firebox X Edge et laissez entrer davantage de trafic, ce qui augmentent les
risques d’intrusion.
Guide de l’utilisateur
117
Stratégies de pare-feu
Pour configurer les stratégies de filtrage des paquets :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Pare-feu > Entrant ou Pare-feu > Sortant pour les
stratégies de trafic sortant. Vous pouvez modifier le trafic entrant et le trafic sortant dans chacune des
pages.
La page Filtrage du trafic s’ouvre.
3. Identifiez la stratégie commune que vous souhaitez autoriser ou refuser. Dans la liste déroulante Filtre
adjacente au nom de la stratégie, sélectionnez Autoriser, Refuser ou Aucune règle.
Si vous sélectionnez Aucune règle, cette stratégie est désactivée, et Edge utilise le paramètre par
défaut qui refuse le trafic entrant et autorise le trafic sortant. Pour plus d’informations sur les règles,
voir Règles de stratégie.
118
Firebox X Edge e-Series
Stratégies de pare-feu
Modifier des stratégies communes de filtrage de paquets
Vous pouvez modifier certains des paramètres par défaut d’une stratégie commune de filtrage des paquets.
Dans l’onglet Entrant, vous pouvez définir un hôte de service, rediriger le port, activer la journalisation ou
limiter les adresses IP du réseau externe qui peuvent se connecter à un ordinateur derrière Firebox X Edge eSeries. Dans l’onglet Sortant, vous pouvez activer la journalisation et limiter les adresses IP du réseau
approuvé et du réseau facultatif autorisées à se connecter au réseau externe avec cette stratégie, dans le
champ De. Dans le champ À, vous pouvez également limiter les adresses IP externes auxquelles les
ordinateurs du réseau approuvé et du réseau facultatif peuvent se connecter.
Pour modifier les stratégies de filtrage des paquets :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Pare-feu > Entrant ou Pare-feu > Sortant. Vous pouvez
modifier le trafic entrant et le trafic sortant dans chacune des pages.
La page Filtrage du trafic s’ouvre.
3. Identifiez la stratégie commune de filtrage des paquets que vous souhaitez modifier, puis cliquez sur
Modifier.
Guide de l’utilisateur
119
Stratégies de pare-feu
Définir les options de contrôle d’accès (entrant)
1. Dans la page Modifier les stratégies, sélectionnez l’onglet Entrant.
L’onglet Entrant s’affiche.
2. Dans la liste déroulante Filtre entrant, sélectionnez la règle à appliquer. Cette règle affecte
uniquement le trafic entrant.
3. Si la stratégie a la valeur Autoriser, entrez l’adresse IP de l’ordinateur qui doit recevoir le trafic dans le
champ Hôte de stratégie, ou sélectionnez NAT un à un et sélectionnez la paire d’adresses IP que
vous souhaitez associer à la stratégie dans la liste déroulante adjacente. Pour plus d’informations sur
NAT 1-1, voir Activer NAT un à un.
4. Pour utiliser la traduction d’adresses de port, entrez le nouveau numéro de port dans la zone
Redirection de port. Avec la traduction d’adresses de port, le port de destination indiqué dans
l’en-tête de paquet initial est remplacé par un port de destination différent lorsque le paquet transite
via Edge.
5. Sélectionnez Adresse IP de l’hôte, Adresse IP du réseau, Plage d’hôtes ou Alias dans la liste
déroulante afin de spécifier des adresses IP ou un alias pour le réseau externe qui peut utiliser cette
stratégie. Tapez l’adresse IP ou la plage d’adresses IP à autoriser, puis cliquez sur Ajouter. Vous pouvez
entrer plusieurs adresses.
Tapez les adresses IP du réseau avec la notation de barre oblique. Pour plus d’informations, voir À propos de la
notation de barre oblique.
6. Pour que le périphérique Firebox enregistre les messages des journaux de cette stratégie dans le
fichier journal, activez la case à cocher Consigner le trafic entrant.
7. Cliquez sur Envoyer.
Définir les options de contrôle d’accès (sortant)
1. Dans la page Modifier les stratégies, sélectionnez l’onglet Sortant.
2. Dans la liste déroulante Filtre sortant, sélectionnez la règle à appliquer. Cette règle affecte
uniquement le trafic sortant.
120
Firebox X Edge e-Series
Stratégies de pare-feu
3. Pour spécifier quels ordinateurs de votre réseau approuvé ou facultatif peuvent utiliser cette stratégie,
dans la zone De, sélectionnez Tout, puis cliquez sur Supprimer. Sélectionnez Adresse IP de l’hôte,
Adresse IP du réseau, Plage d’hôtes ou Alias dans la liste déroulante. Entrez ensuite l’adresse IP ou
la plage d’adresses IP à autoriser, puis cliquez sur Ajouter. Vous pouvez ajouter plus d’une adresse. Si
vous sélectionnez Alias, vous pouvez effectuer une sélection parmi Réseau approuvé, Réseau
facultatif, Réseau invité sans fil ou dans des groupes d’utilisateurs de Mobile VPN.
Tapez les adresses IP du réseau avec la notation de barre oblique. Pour plus d’informations, voir À propos de la
notation de barre oblique.
4. Pour limiter les ordinateurs du réseau externe qui peuvent se connecter aux ordinateurs des réseaux
approuvés ou facultatifs avec cette stratégie, dans le champ À, sélectionnez Tout, puis cliquez sur
Supprimer. Sélectionnez Adresse IP de l’hôte, Adresse IP du réseau ou Plage d’hôtes dans la liste
déroulante. Entrez ensuite l’adresse IP ou la plage d’adresses IP à autoriser, puis cliquez sur Ajouter.
Vous pouvez ajouter plusieurs adresses.
5. Si votre périphérique Firebox utilise le logiciel système Edge Pro et que vous avez configuré une
seconde interface externe pour votre périphérique Firebox définie pour l’équilibrage de charge de
tourniquet Multi-WAN, vous pouvez appliquer le routage basé sur la stratégie à cette stratégie. Utilisez
la liste déroulante Interface de routage basée sur la stratégie pour sélectionner l’interface externe à
utiliser pour tout le trafic géré par cette stratégie. Pour plus d’informations sur le routage basé sur la
stratégie, voir À propos du routage basé sur stratégie.
6. Pour que le périphérique Firebox enregistre les messages des journaux de cette stratégie dans le
fichier journal, activez la case à cocher Consigner le trafic sortant.
7. Cliquez sur Envoyer.
À propos des stratégies personnalisées
Vous pouvez définir une stratégie personnalisée pour le trafic si vous souhaitez mettre en Suvre un protocole
qui n’est pas prévu par défaut en tant qu’option de configuration de Firebox.
Une stratégie personnalisée est également nécessaire dans les circonstances suivantes :
ƒ
ƒ
Vous devez créer un filtre de paquets supplémentaire pour une stratégie.
Vous devez modifier le port ou le protocole d’une stratégie.
Vous pouvez ajouter une stratégie personnalisée qui utilise :
ƒ
ƒ
ƒ
Des ports TCP
Des port UDP
Un protocole IP qui n’est ni TCP ni UDP, tel que GRE, AH, ESP, ICMP, IGMP ou OSPF. Vous déterminez si
un protocole IP n’est ni TCP ni UDP grâce à son numéro de protocole IP.
Guide de l’utilisateur
121
Stratégies de pare-feu
Ajouter une stratégie personnalisée à l’aide de l’Assistant
1. Dans la barre de navigation, cliquez sur Assistants.
2. En regard de la zone Définir une stratégie personnalisée, cliquez sur OK.
3. Pour ouvrir une stratégie personnalisée, suivez les instructions données dans l’Assistant.
L’Assistant Traffic Filter Wizard comporte les étapes suivantes :
Bienvenue
Le premier écran est une présentation de l’Assistant et des informations dont vous devez disposer
pour réaliser toutes les étapes.
Nom de la stratégie
Entrez un nom permettant d’identifier la stratégie.
Protocoles et ports
Définissez les ports et les protocoles à attribuer à ce filtre de trafic.
Sens du trafic
Indiquez s’il s’agit d’une stratégie de trafic entrant ou sortant.
Action stratégie
Configurez Edge de manière à autoriser ou à refuser ce type de trafic à traverser le pare-feu.
Limiter aux ordinateurs distants
Pour limiter le champ d’action de la stratégie, ajoutez les adresses IP des ordinateurs ou réseaux situés
en dehors du pare-feu auxquels cette stratégie s’applique.
Limiter aux ordinateurs locaux
Pour limiter le champ d’action de la stratégie, ajoutez les adresses IP des ordinateurs ou réseaux situés
dans l’enceinte du pare-feu auxquels cette stratégie s’applique.
122
Firebox X Edge e-Series
Stratégies de pare-feu
Ajouter manuellement une stratégie personnalisée
Vous pouvez ajouter une stratégie personnalisée sans recourir à l’Assistant.
1. Pour vous connecter à la page d’état du système, entrez https://dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Pare-feu > Entrant pour le trafic entrant ou Sortant pour le
trafic sortant.
La page Filtrage du trafic s’ouvre.
3. Faites défiler la page vers le bas.
4. Sous Stratégies de filtrage des paquets personnalisées, cliquez sur Ajouter une stratégie de
filtrage des paquets.
La page Stratégie personnalisée s’ouvre.
5. Dans la zone de texte, Nom de la stratégie, entrez le nom de la stratégie.
6. Dans la liste déroulante Paramètres du protocole, sélectionnez Port TCP, Port UDP ou Protocole.
7. Dans la zone de texte adjacente à la liste déroulante Port/Protocole, entrez un numéro de port ou de
protocole. Pour utiliser un seul port, entrez son numéro dans la première zone de texte. Pour utiliser
une plage de ports, entrez le plus petit numéro de port dans la première zone de texte, puis le plus
grand dans la seconde.
Un numéro de protocole IP n’est pas la même chose qu’un numéro de port TCP ou UDP. TCP est le
numéro de protocole 6 et UDP 17. Si vous utilisez un protocole IP qui n’est ni TCP ni UDP, vous devez
entrer son numéro. Les numéros de protocole IP sont 47 pour GRE (Generic Routing Encapsulation)
et 50 pour ESP (Encapsulated Security Payload). Les numéros TCP ou UDP sont les plus utilisés. Vous
trouverez la liste des numéros de protocole à l’adresse http://www.iana.org/assignments/protocolnumbers.
8. Cliquez sur Ajouter.
9. Répétez les étapes 6, 7 et 8 jusqu’à ce que vous obteniez une liste de tous les ports et protocoles que
cette stratégie utilise. Vous pouvez ajouter plusieurs ports et plusieurs protocoles à une stratégie
personnalisée. Plus le réseau utilise de ports et de protocoles, moins il est sécurisé. N’ajoutez-en que
s’ils sont absolument nécessaires au réseau de votre entreprise.
Guide de l’utilisateur
123
Stratégies de pare-feu
Filtrer le trafic entrant pour une stratégie personnalisée
Ces étapes limitent le trafic entrant pour une stratégie à certains ordinateurs derrière le pare-feu. Pour plus
d’informations sur la façon de contrôler le trafic sortant, voir Filtrer le trafic sortant pour une stratégie
personnalisée.
1. Dans la liste déroulante Filtre entrant, sélectionnez Autoriser ou Refuser.
2. Si vous définissez le filtre de trafic entrant sur Autoriser, entrez l’adresse IP de l’hôte de service. Il s’agit
de l’ordinateur qui reçoit le trafic.
3. Pour rediriger le trafic géré par cette stratégie vers un autre port, entrez le numéro du port en question,
dans la zone de texte en regard de l’option Redirection de port.
Pour plus d’informations, voir À propos de la traduction d’adresses réseau statique.
4. Pour limiter le trafic entrant en provenance du réseau externe vers l’hôte de service, sélectionnez
Adresse IP de l’hôte, Adresse IP du réseau ou Plage d’hôtes à l’aide de la liste déroulante.
5. Dans les zones de texte des adresses, entrez l’adresse IP du réseau ou de l’hôte ou entrez la plage des
adresses IP qui identifient les ordinateurs du réseau externe, autorisés à envoyer du trafic à l’hôte de
service.
Vous devez entrer les adresses IP réseau avec des barres obliques. Pour plus d’informations, voir À propos de la
notation de barre oblique.
6. Cliquez sur Ajouter. La zone De contient la plage d’hôtes, l’adresse IP de l’hôte ou l’adresse IP du
réseau que vous avez entrées.
7. Répétez les étapes 4, 5 et 6 jusqu’à ce que toutes les informations d’adresse relatives à cette stratégie
personnalisée soient définies. La zone De peut contenir plusieurs entrées.
8. Si cette stratégie ne s’applique qu’au trafic entrant, conservez la valeur Aucune règle du filtre de trafic
sortant.
9. Cliquez sur Envoyer.
124
Firebox X Edge e-Series
Stratégies de pare-feu
Filtrer le trafic sortant pour une stratégie personnalisée
Ces étapes permettent de limiter le trafic qui traverse Firebox X Edge. Pour plus d’informations sur la limitation
du trafic entrant, voir Filtrer le trafic entrant pour une stratégie personnalisée.
1. Dans la zone de liste déroulante Filtre sortant, sélectionnez Autoriser ou Refuser.
Pour autoriser l’ensemble du trafic sortant du réseau approuvé ou du réseau facultatif qui applique cette
stratégie, passez à l’étape 10.
2. Pour limiter les ordinateurs du réseau approuvé ou du réseau facultatif autorisés à envoyer du trafic
vers le réseau externe en appliquant cette stratégie, sélectionnez Adresse IP de l’hôte, Adresse IP du
réseau, Plage d’hôtes ou Alias, à l’aide de la liste déroulante De. Si vous sélectionnez Alias, vous
pouvez choisir parmi les valeurs Réseau approuvé, Réseau facultatif ou Réseau invité sans fil.
Pour limiter les ordinateurs qui reçoivent du trafic, passez à l’étape 6.
3. Dans les zones de texte adjacentes, entrez l’adresse IP du réseau ou de l’hôte ou entrez la plage des
adresses IP qui identifient les ordinateurs du réseau approuvé ou du réseau externe, autorisés à
appliquer cette stratégie pour envoyer du trafic au réseau externe.
Entrez les adresses IP réseau à l’aide de barres obliques.
4. Cliquez sur Ajouter. La zone De contient les adresses IP que vous avez ajoutées.
5. Répétez les étapes 2, 3 et 4 jusqu’à ce que toutes les informations d’adresse relatives à cette stratégie
personnalisée soient définies. La zone De peut contenir plusieurs entrées.
6. Pour limiter les ordinateurs du réseau externe autorisés à recevoir du trafic en appliquant cette
stratégie, sélectionnez Adresse IP de l’hôte, Adresse IP du réseau ou Plage d’hôtes à l’aide de la liste
déroulante À.
7. Dans les zones de texte adjacentes, entrez l’adresse IP du réseau ou de l’hôte ou entrez la plage des
adresses IP qui identifient les ordinateurs du réseau externe auxquels les ordinateurs peuvent se
connecter en appliquant cette stratégie.
Vous devez entrer les adresses IP réseau avec des barres obliques.
8. Cliquez sur Ajouter. La zone À contient les adresses IP que vous avez ajoutées.
9. Répétez les étapes 6, 7 et 8 jusqu’à ce que toutes les informations d’adresse relatives à cette stratégie
personnalisée soient définies. La zone À peut contenir plusieurs entrées.
10. Si cette stratégie ne s’applique qu’au trafic sortant, conservez la valeur Aucune règle du filtre de trafic
entrant.
11. Cliquez sur Envoyer.
Guide de l’utilisateur
125
Stratégies de pare-feu
À propos des stratégies du réseau facultatif
Par défaut, Firebox X Edge e-Series autorise l’ensemble du trafic qui part du réseau approuvé pour essayer
d’accéder au réseau facultatif, puis refuse l’ensemble du trafic qui part du réseau facultatif pour essayer
d’accéder au réseau approuvé.
Voici quelques exemples d’utilisation du réseau facultatif :
ƒ
ƒ
ƒ
Vous pouvez utiliser le réseau facultatif pour les serveurs qui acceptent des connexions entrantes
depuis le réseau externe. Cela vous permet de protéger le réseau approuvé dans la mesure où le trafic
provenant du réseau facultatif n’est pas autorisé à accéder au réseau approuvé, lorsque le mode de
configuration de Firebox X Edge est celui par défaut. Lorsque les ordinateurs sont accessibles depuis
le réseau externe, ils sont plus vulnérables à des attaques. Si votre serveur Web public ou FTP situé sur
le réseau facultatif est piraté ou mis en danger, le pirate n’a aucun moyen d’accéder à votre réseau
approuvé.
Le réseau facultatif permet également de sécuriser un réseau sans fil. Les réseaux sans fil sont en
principe moins sécurisés que les réseaux filaires. Si vous disposez d’un point d’accès sans fil (WAP) ou
de Firebox X Edge sans fil, vous pouvez renforcer la sécurité de votre réseau approuvé en conservant
ce WAP sur le réseau facultatif.
Vous pouvez utiliser le réseau facultatif pour disposer d’une autre plage d’adresses IP réseau autorisées
à communiquer avec le réseau approuvé. Pour plus d’informations, voir Désactiver les filtres de trafic
entre le réseau approuvé et le réseau facultatif.
Contrôler le trafic du réseau approuvé vers le réseau facultatif
Procédez comme suit pour contrôler le trafic du réseau approuvé vers le réseau facultatif :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Pare-feu > Facultatif.
La page Filtrer le trafic sortant vers le réseau facultatif s’affiche.
3. Pour autoriser tout le trafic depuis le réseau approuvé, recherchez la stratégie Sortant, puis
sélectionnez Autoriser dans la liste déroulante Filtre.
4. Pour refuser tout le trafic depuis le réseau approuvé, recherchez la stratégie Sortant, puis sélectionnez
Refuser dans la liste déroulante Filtre.
5. Pour refuser une partie du trafic seulement du réseau approuvé vers le réseau facultatif et autoriser le
reste, recherchez la stratégie Sortant, puis sélectionnez Refuser dans la liste déroulante Filtre. Ensuite,
pour chaque stratégie autorisée, sélectionnez Autoriser dans la liste déroulante Filtre. Si vous
souhaitez refuser le trafic et créer une entrée de journal chaque fois que le trafic est refusé, sélectionnez
Aucune règle.
6. Cliquez sur Envoyer.
126
Firebox X Edge e-Series
Stratégies de pare-feu
Désactiver les filtres de trafic entre les réseaux approuvés et facultatifs
Pour autoriser le trafic réseau entre le réseau facultatif et le réseau approuvé, vous devez autoriser tout le trafic
entre les réseaux approuvés et facultatifs. Activez la case à cocher Désactiver les filtres de trafic pour
autoriser tout le trafic entrant et sortant entre les interfaces approuvées et facultatives.
Lorsque vous activez la case à cocher Désactiver les filtres de trafic, le réseau approuvé n’est pas
protégé du réseau facultatif. Tout le trafic peut s’écouler entre les réseaux facultatifs et approuvés.
Guide de l’utilisateur
127
Stratégies de pare-feu
À propos de la priorité des stratégies
La priorité correspond à la séquence dans laquelle le périphérique Firebox examine le trafic réseau et applique
une règle de stratégie. Le périphérique Firebox trie automatiquement les stratégies de la plus spécifique à la
plus générale. Il compare les informations du paquet à la liste de règles de la première stratégie. La première
règle de la liste qui correspond aux conditions du paquet est appliquée à ce paquet. Si le niveau de détails de
deux stratégies est identique, une stratégie de proxy a toujours priorité sur une stratégie de filtre de paquets.
Par exemple, si vous souhaitez refuser la plupart du trafic FTP, mais souhaitez autoriser ce trafic à partir d’une
adresse IP spécifique, vous devez affecter la valeur Aucune règle au filtre de paquets commun pour FTP. Dans
la mesure où il n’y a pas de priorité plus faible, l’action par défaut consiste à refuser le paquet. Vous pouvez
ensuite créer un nouveau filtre de paquets FTP qui s’applique uniquement à cette adresse IP et affecter la
valeur Autoriser à cette règle. Dans la mesure où le nouveau filtre de paquets s’applique uniquement à une
adresse IP spécifique, il est plus détaillé et a donc une priorité plus élevée.
128
Firebox X Edge e-Series
8
Paramètres de proxy
À propos des stratégies de proxy
Toutes les stratégies WatchGuard, aussi bien les stratégies de filtrage de paquets que les stratégies de proxy,
constituent des outils importants en matière de sécurité du réseau. Un filtre de paquets inspecte l’en-tête IP
et TCP/UDP de chaque paquet, tandis qu’un proxy surveille et analyse les connexions entières. Un proxy
examine les commandes utilisées pour la connexion afin de s’assurer que leur syntaxe et leur ordre sont
corrects. Il procède également à une inspection très poussée des paquets pour garantir la sécurité des
connexions.
Un proxy ouvre chaque paquet l’un à la suite de l’autre, extrait l’en-tête de la couche réseau et inspecte
l’entrée Payload du paquet. Il retourne ensuite les informations réseau au paquet et envoie celui-ci vers sa
destination. En conséquence, un proxy peut trouver du contenu interdit caché dans les entrées de données
Payload ou intégré à ces dernières. Par exemple, un proxy SMTP recherche dans la totalité des paquets SMTP
entrants (e-mails) du contenu interdit, tel que des programmes ou fichiers exécutables écrits en langages de
script. Les personnes malveillantes ont souvent recours à ces méthodes pour envoyer des virus informatiques.
Le proxy SMTP peut mettre en oeuvre une stratégie qui interdit ce type de contenu ; en revanche, un filtre de
paquets ne peut pas détecter le contenu non autorisé dans les entrées de données Payload du paquet.
Si vous avez souscrit, puis activé des abonnements supplémentaires aux services de sécurité (Gateway
AntiVirus, Intrusion Prevention Service, spamBlocker, WebBlocker), les proxies WatchGuard peuvent
appliquer les services correspondants.
Guide de l’utilisateur
129
Paramètres de proxy
À propos de l’ajout et de la configuration de stratégies
de proxy
Lors de l’ajout d’une stratégie de proxy à votre configuration Firebox, vous précisez les types de contenus que
le proxy doit rechercher au moment du filtrage du trafic. Si le contenu correspond (ou non) aux critères de la
définition du proxy, ce dernier autorise (ou refuse) le trafic réseau.
Vous pouvez, pour chaque stratégie de proxy, conserver les paramètres par défaut ou bien définir des
paramètres personnalisés répondant à vos besoins. Il vous est également possible de créer des stratégies de
proxy supplémentaires pour chacun des protocoles en vue de procéder à un filtrage à divers endroits du
réseau.
N’oubliez pas qu’un filtre de proxy implique un travail plus important pour le pare-feu pour le même volume
de trafic réseau qu’un filtre de paquets. Toutefois, un proxy a recours à des méthodes que les filtres de paquets
ne peuvent pas utiliser pour intercepter les paquets dangereux. Chaque stratégie de proxy inclut un ensemble
de paramètres que vous pouvez personnaliser de manière à créer un équilibre entre vos besoins de sécurité
et vos objectifs de performances.
Si vous mettez à niveau une ancienne version du microprogramme Edge (par exemple 8.0 ou 8.5)
vers la version 8.6, et si WebBlocker est activé, le proxy HTTP est activé par défaut. WebBlocker utilise
le proxy HTTP pour filtrer le contenu.
Pour ajouter une stratégie de proxy à votre configuration, vous devez au préalable l’activer. Voir la procédure
décrite dans la rubrique Activer une stratégie de proxy commune.
Activer une stratégie de proxy commune
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est la suivante : https://192.168.111.1.
2. Dans la barre de navigation, sélectionnez Pare-feu > Sortant ou Pare-feu > Entrant.
La page Filtrer le trafic sortant ou Filtrer le trafic entrant apparaît.
3. Sous Stratégies de proxy communes, recherchez le proxy que vous souhaitez activer, puis choisissez
l’option Autoriser dans la liste déroulante.
4. Cliquez sur Envoyer.
130
Firebox X Edge e-Series
Paramètres de proxy
Ajouter ou modifier une stratégie de proxy
Pour ajouter ou modifier les propriétés d’une stratégie de proxy, sélectionnez Pare-feu > Sortant ou
Pare-feu > Entrant dans le menu de navigation. Si vous voulez créer une stratégie de proxy, cliquez sur
Nouvelle stratégie de proxy personnalisée. Pour modifier une stratégie existante, cliquez sur le bouton
Modifier adjacent au nom du proxy concerné.
Lors de l’ajout ou de la modification d’une stratégie de proxy, vérifiez bien toutes les zones de la page de
configuration. Selon la stratégie de proxy, trois ou quatre onglets sont disponibles :
ƒ
ƒ
ƒ
Entrant ou Sortant : ce premier onglet vous permet de définir des informations générales concernant
la stratégie de proxy, et notamment d’indiquer si le trafic auquel celle-ci s’applique est autorisé ou
refusé. Pour certains types de stratégies de proxy, vous pouvez par ailleurs préciser les ordinateurs
pouvant envoyer ou recevoir ce type de trafic réseau ou l’adresse IP de l’hôte de la stratégie.
Propriétés ou Paramètres : ce deuxième onglet comprend des informations sur le port et le protocole
gérés par la stratégie de proxy. Vous ne pouvez pas modifier son contenu.
Contenu : les troisième et/ou quatrième onglets pour une stratégie de proxy comportent les
paramètres qui concernent uniquement ce type de stratégie. Par exemple, pour une stratégie de proxy
POP3, deux onglets sont disponibles : Paramètres POP3 et Contenu POP3. Vous pouvez utiliser ces
derniers pour créer un message de refus affiché à l’intention des utilisateurs en cas de rejet d’un e-mail
ou pour fournir la liste des types de pièce jointe que vous considérez comme dangereux.
Pour ajouter ou modifier une stratégie de proxy personnalisée :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est la suivante : https://192.168.111.1.
2. Dans la barre de navigation, sélectionnez Paramètres de pare-feu > Sortant.
3. Dans la section Stratégies de proxy personnalisées, cliquez sur Ajouter une stratégie de proxy.
La page Ajouter une stratégie - Stratégie personnalisée apparaît.
4. Dans la zone de texte Nom de la stratégie, saisissez un nom désignant la stratégie de proxy
personnalisée.
5. Dans la liste déroulante Protocole, sélectionnez le protocole à gérer.
Définir les options de contrôle d’accès
Dans l’onglet Sortant ou Entrant, vous avez la possibilité de définir des règles de filtrage des adresses IP, des
adresses réseau ou des plages d’hôtes. Cette fonctionnalité est identique à celle disponible pour les stratégies
de filtrage de paquets.
1. Cliquez sur l’onglet Sortant.
2. Dans la liste déroulante Filtre sortant, sélectionnez Refuser, Autoriser ou Aucune règle.
3. Utilisez la liste déroulante De pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des
ordinateurs du réseau approuvé ou facultatif, ou encore un alias auquel s’applique cette stratégie.
Entrez les adresses IP réseau sur la base de la notation de barre oblique (également dénommée « notation de
routage inter-domaine sans classes » (CIDR)). Pour plus d’informations, voir À propos de la notation de barre
oblique.
4. Cliquez sur Ajouter. Les adresses IP que vous avez ajoutées figurent à présent dans la zone de texte
De. Cette zone peut contenir plusieurs entrées.
5. Utilisez la liste déroulante À pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des
ordinateurs du réseau externe, ou encore l’alias auquel s’applique cette stratégie.
Entrez les adresses IP réseau sur la base de la notation de barre oblique.
6. Cliquez sur Ajouter.
Pour ajouter d’autres adresses IP, renouvelez les opérations 3 à 6.
Guide de l’utilisateur
131
Paramètres de proxy
Utiliser une stratégie pour la gestion du trafic réseau VPN manuel
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est la suivante : https://192.168.111.1.
2. Dans la barre de navigation, sélectionnez Pare-feu > Sortant ou Pare-feu > Entrant.
La page Filtrer le trafic sortant ou Filtrer le trafic entrant apparaît.
3. Créez une stratégie ou cliquez sur le bouton Modifier situé en regard de la stratégie existante que vous
voulez modifier.
4. Activez la case à cocher Appliquer à un Manual VPN.
5. Pour appliquer la stratégie à un tunnel VPN unique, sélectionnez-le dans la liste déroulante adjacente.
Si vous préférez l’appliquer à l’ensemble des tunnels VPN, sélectionnez l’option Toutes les
passerelles.
6. Cliquez sur Envoyer pour enregistrer les modifications.
À propos du proxy HTTP
Le protocole HTTP (Hyper Text Transfer Protocol ) est un protocole de requête/réponse entre clients et
serveurs. Le client HTTP est en principe un navigateur Internet. Le serveur HTTP est une ressource distante qui
stocke ou crée des fichiers HTML, des images et d’autres types de contenus. Lorsque le client HTTP lance une
requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 80. Un serveur HTTP attend
de recevoir les requêtes qui transitent via ce port. Lorsque cela arrive, il répond en renvoyant le fichier
demandé, un message d’erreur ou d’autres informations.
Le proxy HTTP est un filtre de contenu ultra performant. Il examine le trafic Web afin d’identifier les contenus
suspects pouvant véhiculer des virus ou tout autre type d’intrusion. Il peut également protéger votre serveur
Web face aux attaques du réseau externe.
Pour activer le proxy HTTP, voir Activer un proxy. Si vous le souhaitez, vous pouvez ensuite modifier la
définition du proxy. Voir la procédure décrite dans la rubrique Ajouter ou modifier une stratégie de proxy.
Proxy HTTP : Limites de proxy
Dans l’onglet Paramètres HTTP, vous pouvez modifier le délai d’expiration et la longueur maximale des
requêtes et réponses HTTP. Ainsi, le proxy HTTP cesse d’utiliser un trop grand nombre de ressources réseau et
certains types d’attaques peuvent être évités. Vous pouvez en outre personnaliser le message de refus affiché
à l’intention des utilisateurs qui tentent de se connecter à un site Web bloqué par le proxy HTTP et ajouter les
adresses IP des sites que le proxy doit autoriser.
132
Firebox X Edge e-Series
Paramètres de proxy
Requêtes HTTP : Paramètres généraux
Délai d’attente des connexions inactives
Ce paramètre détermine le délai pendant lequel le proxy HTTP attend que le client effectue une
demande une fois la connexion au serveur établie. Si ledit client n’effectue aucune demande dans le
délai imparti, le proxy met fin à la connexion. De cette façon, il est en mesure de réutiliser les
ressources réseau. La valeur par défaut est de 10 minutes.
Lorsqu’un utilisateur clique sur un lien hypertexte ou entre une adresse URL dans son navigateur, une
requête HTTP d’extraction du contenu est envoyée à un serveur distant. Dans la plupart des
navigateurs, la barre d’état indique alors « Site contacté... » ou un message similaire. Si le serveur
distant met du temps à répondre, le client HTTP patiente jusqu’à ce qu’il reçoive une réponse ou que
le délai de la requête arrive à expiration. Dans cet intervalle, le proxy HTTP continue à surveiller la
connexion et emploie des ressources réseau fiables.
Longueur maximale de l’URL
Ce paramètre définit la longueur maximale du chemin d’accès dans une adresse URL. La partie
« http:// » ou le nom de l’hôte n’est pas pris(e) en compte. La limite de longueur applicable aux
adresses URL permet d’empêcher les attaques de dépassement de mémoire tampon à l’encontre des
ressources de serveur Web. Il peut s’avérer nécessaire de choisir une valeur plus élevée pour les sites
Web CGI qui utilisent de longues adresses URL.
Réponses HTTP : Paramètres généraux
Lorsque le serveur HTTP distant accepte la demande de connexion émise par le client HTTP, le message
suivant apparaît généralement dans la barre d’état du navigateur : « Site contacté. En attente d’une
réponse... ». Le serveur HTTP envoie ensuite la réponse adéquate au client. Il s’agit en principe d’un fichier ou
d’un ensemble de fichiers. Le proxy utilise des ressources réseau fiables pour analyser la connexion réseau au
serveur Web. Il peut s’avérer nécessaire de limiter ou d’étendre la façon dont la stratégie de proxy utilise ces
ressources sur votre réseau.
Délai
Ce paramètre définit la durée pendant laquelle le proxy HTTP attend que le serveur Web envoie la
page Web. Une fois le délai d’inactivité écoulé, vous êtes sûr que le proxy pourra utiliser les ressources
du réseau. La valeur par défaut est de 10 minutes.
Longueur maximale de la ligne
Ce paramètre définit la longueur maximale autorisée pour une ligne de caractères dans les en-têtes
de réponse HTTP. Cette limite permet d’éviter les attaques de dépassement de mémoire tampon.
Proxy HTTP : Message de refus
Firebox fournit un message de refus par défaut qui remplace le contenu refusé. Vous pouvez remplacer ce
message de refus par un message que vous rédigez. Vous pouvez personnaliser le message de refus avec du
HTML standard. Vous pouvez également utiliser des caractères Unicode (UTF-8) dans le message de refus. La
première ligne du message de refus est un composant de l’en-tête HTTP. Vous devez entrer une ligne vide
entre la première ligne et le corps du message.
Guide de l’utilisateur
133
Paramètres de proxy
Un message de refus est généré dans votre navigateur Web par Firebox lorsque vous effectuez une demande
que le proxy HTTP n’autorise pas. Un message de refus est également généré lorsque votre demande est
autorisée mais que le proxy HTTP refuse la réponse depuis le serveur Web distant. Par exemple, si un
utilisateur essaie de télécharger un fichier « .exe » et que vous avez bloqué ce type de fichier, l’utilisateur voit
un message de refus dans le navigateur Web. Si l’utilisateur essaie de télécharger une page Web avec un type
de contenu non reconnu et que la stratégie du proxy est configurée pour bloquer les types MIME inconnus,
l’utilisateur voit un message d’erreur dans le navigateur Web. Le message de refus par défaut apparaît dans le
champ Message de refus. Pour personnaliser ce message, utilisez les variables suivantes :
%(transaction)%
Insère « Requête » ou « Réponse » pour indiquer le côté de la transaction générant le refus du paquet.
%(raison)%
Insère la raison pour laquelle Firebox a refusé le contenu.
%(méthode)%
Insère la méthode de requête de la requête refusée.
%(hôte url)%
Insère le nom d’hôte du serveur de l’URL refusée. L’adresse IP du serveur est fournie si aucun nom
d’hôte n’a été inclus.
%(chemin url)%
Insère le composant chemin de l’URL refusée.
Configurer le message de refus de la stratégie du proxy HTTP
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est la suivante : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Pare-feu > Sortant.
La page Filtrer le trafic sortant s’affiche.
3. Dans Stratégies de proxy communes, cliquez sur le bouton Modifier en regard de l’entrée Proxy HTTP.
4. Sélectionnez l’onglet Paramètres HTTP.
5. Entrez le message de refus dans la zone de texte Message de refus.
6. Cliquez sur Envoyer pour enregistrer les modifications.
134
Firebox X Edge e-Series
Paramètres de proxy
Exceptions de proxy HTTP
Les exceptions de proxy HTTP permettent d’ignorer des règles de proxy HTTP pour certains sites Web sans
ignorer la structure du proxy. Le trafic qui correspond aux exceptions de proxy HTTP continue via la gestion
de proxy standard utilisée par le proxy HTTP. Cependant, lorsqu’une correspondance est détectée, certains
paramètres de proxy sont ignorés.
Définir des exceptions
Vous pouvez ajouter des noms d’hôtes ou des modèles comme exceptions de proxy HTTP. Par exemple, si
vous bloquez tous les sites Web se terminant par « .test » mais que vous souhaitez autoriser les utilisateurs à
accéder au site www.abc.test, vous pouvez ajouter « www.abc.test » comme exception de proxy HTTP.
Vous spécifiez l’adresse IP ou le nom de domaine des sites accessibles. Le nom de domaine (ou hôte) est la
partie de l’URL qui se termine par .com, .net, .org, .biz, .gov ou .edu. Les noms de domaine peuvent également
se terminer par un code de pays, comme .de (Allemagne) ou .jp (Japon).
Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de « http:// ». Par exemple, pour permettre
aux utilisateurs d’accéder au site Web de WatchGuard http://www.watchguard.com, entrez
www.watchguard.com. Pour autoriser tous les sous-domaines contenant « watchguard.com », vous pouvez
utiliser l’astérisque (*) comme caractère générique. Par exemple, pour autoriser les utilisateurs à accéder à
« watchguard.com », « www.watchguard.com» et « support.watchguard.com», entrez *watchguard.com.
Pour ajouter une exception de proxy HTTP :
1. À partir de la configuration du proxy HTTP, sélectionnez l’onglet Paramètres HTTP.
2. Dans la zone de texte située à gauche du bouton Ajouter, entrez l’adresse IP de l’hôte ou le nom de
domaine du site Web à autoriser.
3. Cliquez sur Ajouter.
Répétez les étapes 2 et 3 pour chaque hôte ou nom de domaine supplémentaire à ajouter.
4. Cliquez sur Envoyer.
Pour consigner un message du journal dans votre fichier journal dès lors qu’une transaction Web se produit
sur un site Web de la liste des exceptions, activez la case à cocher Consigner chaque transaction
correspondant à une exception de proxy HTTP.
Réponses HTTP : Types de contenus
Lorsqu’un serveur Web envoie du trafic HTTP, il ajoute généralement un type MIME ou un type de contenu à
l’en-tête du paquet qui indique le type de contenu du paquet. L’en-tête HTTP du flux de données contient ce
type MIME. Il est ajouté avant l’envoi des données.
Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG,
ajoutez image/jpg à la définition du proxy. Vous pouvez utiliser l’astérisque (*) en tant que caractère
générique. Pour autoriser tout format d’image, ajoutez image/*.
Certains types de contenus demandés par les utilisateurs sur les sites Web peuvent constituer une menace de
sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. Par
défaut, Firebox autorise certains types de contenus sûrs et refuse le contenu MIME n’ayant pas de type de
contenu spécifié. Certains serveurs Web fournissent des types MIME incorrects pour contourner les règles de
contenu. Si la définition de proxy par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer
ou modifier la définition.
Pour obtenir une liste de types MIME enregistrés actuels, consultez :
http://www.iana.org/assignments/media-types.
Guide de l’utilisateur
135
Paramètres de proxy
Ajouter, supprimer ou modifier des types de contenus
1. Sélectionnez l’onglet Contenu HTTP.
2. Activez la case à cocher Autoriser uniquement les types de contenus sécurisés si vous souhaitez
limiter les types de contenus autorisés via le proxy. Une liste des types MIME courants est incluse par
défaut.
3. Pour ajouter des types de contenus courants à la liste, sélectionnez le type MIME dans la colonne Type
de contenu prédéfini et cliquez sur le bouton <<.
4. Pour ajouter d’autres types de contenus, entrez-les dans le champ vide et cliquez sur Ajouter. Pour
supprimer un type de contenu, sélectionnez-le dans la liste et cliquez sur Supprimer.
Requêtes HTTP : Chemins d’URL
Une URL (Uniform Resource Locator) identifie une ressource sur un serveur distant et indique l’emplacement
du réseau sur ce serveur. Le chemin d’URL est la chaîne d’informations qui se trouve en dessous du nom de
domaine de niveau supérieur. Vous pouvez utiliser le proxy HTTP pour bloquer des sites Web qui contiennent
du texte spécifié dans le chemin d’URL. Si la définition de proxy par défaut ne répond pas à tous vos besoins,
vous pouvez ajouter, supprimer ou modifier les modèles de chemins d’URL. Les exemples suivants permettent
de bloquer du contenu utilisant des chemins d’URL de requête HTTP :
ƒ
Pour bloquer toutes les pages comportant le nom d’hôte www.test.com, entrez le modèle :
www.test.com*
ƒ
ƒ
Pour bloquer tous les chemins contenant le mot « sex », sur tous les sites Web : *sex*
Pour bloquer tous les chemins d’URL se terminant par « .test », sur tous les sites Web : *.test
1. Activez la case à cocher Refuser les modèles de nom de fichier non sécurisés pour utiliser des règles
de chemin d’URL permettant de filtrer le contenu des composants de l’hôte, du chemin et de la chaîne
de requête d’une URL.
Le nom spécifie les noms de fichiers mais aucun modèle entré ne sera appliqué à l’ensemble du chemin d’URL.
2. Pour ajouter un nouveau modèle de chemin, entrez le chemin et cliquez sur Ajouter.
3. Pour supprimer un modèle de chemin, sélectionnez le chemin et cliquez sur Supprimer.
Réponses HTTP : Cookies
Les cookies HTTP sont de petits fichiers de texte alphanumérique introduits par des serveurs Web sur les
clients Web. Les cookies contrôlent la page d’un client Web pour activer le serveur Web et envoyer plusieurs
pages dans le bon ordre. Les serveurs Web utilisent également des cookies pour collecter des informations
relatives à un utilisateur final. La plupart des sites Web utilisent des cookies comme fonction d’authentification
et autres fonctions de contrôle et ne peuvent pas fonctionner correctement sans cookies.
Le proxy recherche les paquets en fonction du domaine associé au cookie. Le domaine peut être spécifié dans
le cookie. S le cookie ne contient aucun domaine, le proxy utilise le nom d’hôte dans la première requête. Par
exemple, pour bloquer tous les cookies pour nosy-adware-site.com, utilisez le modèle : *.nosy-adwaresite.com. Si vous souhaitez refuser les cookies de tous les sous-domaines d’un site Web, utilisez le caractère
générique (*) avant et après le domaine. Par exemple, *google.com* bloque tous les sous-domaines de
google.com, tels que images.google.com et mail.google.com.
Bloquer les cookies provenant d’un site
1. Activez la case à cocher Refuser les cookies provenant de ces sites pour bloquer les cookies d’un site
particulier.
2. Entrez dans le champ le nom de domaine du site Web ou une partie du domaine avec des caractères
génériques. Cliquez sur Ajouter.
3. Cliquez sur Envoyer.
136
Firebox X Edge e-Series
Paramètres de proxy
À propos du proxy FTP
Le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers) permet d’envoyer des fichiers d’un
ordinateur vers un autre via un réseau TCP/IP. Le client FTP est en principe un ordinateur. Le serveur FTP peut
être une ressource stockant les fichiers sur le même réseau ou sur un autre réseau. Deux états sont possibles
pour le client FTP en matière de transfert de données : actif ou passif. En mode actif, le serveur établit une
connexion avec le client sur le port source 20. En mode passif, le client utilise un port précédemment négocié
pour se connecter au serveur. Le proxy FTP surveille et analyse les connexions FTP entre les utilisateurs et les
serveurs FTP auxquels ils se connectent.
Modifier le proxy FTP
Pour modifier les paramètres par défaut du proxy FTP, sélectionnez Pare-feu > Sortant dans le menu de
navigation. Recherchez le proxy FTP et cliquez sur Modifier. Vérifiez bien le contenu de tous les onglets de la
configuration du proxy FTP. L’onglet Propriétés indique le port et le protocole utilisés. Vous ne pouvez pas
modifier son contenu.
Définir les options de contrôle d’accès
Dans l’onglet Sortant ou Entrant, vous avez la possibilité de définir des règles de filtrage des adresses IP, des
adresses réseau ou des plages d’hôtes. Cette fonctionnalité est identique à celle disponible pour les stratégies
de filtrage de paquets.
1. Cliquez sur l’onglet Sortant.
2. Dans la liste déroulante Filtre sortant, sélectionnez Refuser, Autoriser ou Aucune règle.
3. Utilisez la liste déroulante De pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des
ordinateurs du réseau approuvé ou facultatif, ou encore un alias auquel s’applique cette stratégie.
Entrez les adresses IP réseau sur la base de la notation de barre oblique (également dénommée « notation de
routage inter-domaine sans classes » (CIDR)). Pour plus d’informations, voir À propos de la notation de barre
oblique.
4. Cliquez sur Ajouter. Les adresses IP que vous avez ajoutées figurent à présent dans la zone de texte
De. Cette zone peut contenir plusieurs entrées.
5. Utilisez la liste déroulante À pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des
ordinateurs du réseau externe, ou encore l’alias auquel s’applique cette stratégie.
Entrez les adresses IP réseau sur la base de la notation de barre oblique.
6. Cliquez sur Ajouter.
Pour ajouter d’autres adresses IP, renouvelez les opérations 3 à 6.
Guide de l’utilisateur
137
Paramètres de proxy
Proxy FTP : Limites de proxy
Dans l’onglet Paramètres FTP, vous avez la possibilité de définir pour le proxy les longueurs maximales
autorisées pour le nom d’utilisateur, le mot de passe, les noms de fichier et les entrées de ligne de commande.
Ces limites contribuent à protéger votre réseau contre les attaques de dépassement de mémoire tampon.
Conservez les paramètres par défaut ou entrez une nouvelle valeur en octets.
Longueur maximale du nom d’utilisateur
Permet de définir une longueur maximale pour les noms d’utilisateur employés sur les sites FTP.
Longueur maximale du mot de passe
Permet de définir une longueur maximale pour les mots de passe utilisés pour se connecter
aux sites FTP.
Longueur maximale du nom de fichier
Permet de définir une longueur maximale pour le nom des fichiers à transférer ou à télécharger.
Longueur maximale de la ligne de commande
Permet de définir une longueur maximale pour les lignes de commande utilisées sur les sites FTP.
138
Firebox X Edge e-Series
Paramètres de proxy
Proxy FTP : Transfert et téléchargement de contenu
Vous pouvez contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. Par exemple,
de nombreux pirates utilisent des fichiers exécutables pour infecter les ordinateurs avec des virus ou des vers,
c’est pourquoi vous pouvez décider de refuser les demandes de fichiers *.exe. De même, si vous ne souhaitez
pas que les utilisateurs puissent transférer des fichiers Windows Media vers un serveur FTP, il vous suffit
d’ajouter *.wmaà la définition du proxy et de préciser que les fichiers portant cette extension doivent être
rejetés. Utilisez l’astérisque (*) en tant que caractère générique.
1. Cliquez sur l’onglet Contenu FTP.
2. Pour restreindre les types de fichiers pouvant être téléchargés par les utilisateurs, dans la zone de texte
Téléchargements, activez la case à cocher Refuser ces types de fichiers.
Cette case à cocher est activée par défaut ; elle permet de limiter les types de fichiers qu’il est possible de
télécharger via le proxy FTP.
3. Si vous souhaitez refuser des fichiers ou types de fichiers supplémentaires, tapez un astérisque (*) ainsi
que le nom ou l’extension concerné(e), puis cliquez sur Ajouter.
4. Pour restreindre les types de fichiers pouvant être transférés par les utilisateurs, dans la zone de texte
Transferts, activez la case à cocher Refuser ces types de fichiers. Si vous sélectionnez ce paramètre,
les fichiers répertoriés seront rejetés.
5. Si vous souhaitez refuser des fichiers ou types de fichiers supplémentaires, tapez un astérisque (*) ainsi
que le nom ou l’extension concerné(e), puis cliquez sur Ajouter.
6. Cliquez sur Envoyer.
Guide de l’utilisateur
139
Paramètres de proxy
À propos du proxy POP3
POP3 (Post Office Protocol v.3) est un protocole qui transfère les e-mails depuis un serveur de messagerie vers
un client de messagerie via une connexion TCP sur le port 110. La plupart des comptes de messagerie basés
sur Internet utilisent POP3. Avec POP3, un client de messagerie contacte le serveur de messagerie et vérifie
tous les nouveaux e-mails. S’il détecte un nouvel e-mail, il le télécharge sur le client de messagerie local. Une
fois l’e-mail reçu par le client de messagerie, la connexion prend fin.
Modifier le proxy POP3
Pour modifier les paramètres par défaut du proxy POP3, sélectionnez Pare-feu > Sortant dans le menu de
navigation. Recherchez le proxy POP3 et cliquez sur Modifier. Vérifiez bien le contenu de tous les onglets de
la configuration du proxy POP3. L’onglet Propriétés indique le port et le protocole utilisés. Vous pouvez
modifier le port et le protocole dans cet onglet, si nécessaire.
Définir les options de contrôle d’accès
Dans l’onglet Sortant ou Entrant, vous avez la possibilité de définir des règles de filtrage des adresses IP, des
adresses réseau ou des plages d’hôtes. Cette fonctionnalité est identique à celle disponible pour les stratégies
de filtrage de paquets.
1. Cliquez sur l’onglet Sortant.
2. Dans la liste déroulante Filtre sortant, sélectionnez Refuser, Autoriser ou Aucune règle.
3. Utilisez la liste déroulante De pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des
ordinateurs du réseau approuvé ou facultatif, ou encore un alias auquel s’applique cette stratégie.
Entrez les adresses IP réseau sur la base de la notation de barre oblique (également dénommée « notation de
routage inter-domaine sans classes » (CIDR)). Pour plus d’informations, voir À propos de la notation de barre
oblique.
4. Cliquez sur Ajouter. Les adresses IP que vous avez ajoutées figurent à présent dans la zone de texte De.
Cette zone peut contenir plusieurs entrées.
5. Utilisez la liste déroulante À pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des
ordinateurs du réseau externe, ou encore l’alias auquel s’applique cette stratégie.
Entrez les adresses IP réseau sur la base de la notation de barre oblique.
6. Cliquez sur Ajouter.
Pour ajouter d’autres adresses IP, renouvelez les opérations 3 à 6.
140
Firebox X Edge e-Series
Paramètres de proxy
Proxy POP3 : Limites de proxy
Dans l’onglet Paramètres POP3, vous pouvez modifier le délai et la longueur maximale de la ligne. Ainsi, le
proxy POP3 cesse d’utiliser un trop grand nombre de ressources réseau et certains types d’attaques peuvent
être évités. Vous pouvez également personnaliser le message de refus reçu par les utilisateurs lorsque l’e-mail
qu’ils essaient de télécharger depuis un serveur de messagerie est bloqué. Pour obtenir une description
complète des actions entreprises par le proxy POP3 et des messages visualisés par les utilisateurs lorsque le
proxy POP3 détecte et bloque un contenu, consultez le Forum aux questions d’Edge à l’adresse
http://www.watchguard.com/support/faq/edge.
Délai
Utilisez ce paramètre pour limiter la durée (en secondes) pendant laquelle le client de messagerie
essaie d’ouvrir une connexion vers le serveur de messagerie avant de mettre fin à la connexion. Cela
empêche le proxy d’utiliser trop de ressources réseau lorsque le serveur de messagerie est lent ou
inaccessible.
Longueur de ligne d’e-mail maximum
Utilisez ce paramètre pour empêcher certains types d’attaques de dépassement de mémoire
tampon. Cependant, il est peu probable que vous deviez modifier ce paramètre à moins qu’il
n’empêche l’accès d’e-mails légitimes.
Message de refus
Dans la zone de texte Message de refus, écrivez un message en texte brut personnalisé qui
apparaîtra dans l’e-mail du destinataire lorsque le proxy bloquera cet e-mail. Vous pouvez utiliser les
variables suivantes :
%(type)%
Indique le type de contenu de l’e-mail.
Guide de l’utilisateur
141
Paramètres de proxy
%(nom_fichier)%
Indique le nom du fichier joint.
%(virus)%
Indique le type de virus détecté.
%(action)%
Indique l’action entreprise par la stratégie de proxy.
%(raison)%
Indique la raison pour laquelle la stratégie de proxy a refusé le contenu.
%(récupération)%
Indique si vous pouvez récupérer la pièce jointe.
Il est important de savoir comment le proxy POP3 refuse un e-mail. Lorsque le proxy bloque un message en
raison d’un en-tête, vous recevez un message de refus au lieu de l’e-mail. Lorsque le proxy bloque un message
en raison du contenu du corps de texte ou de la pièce jointe et que le poids de l’e-mail est inférieur à 100 kilooctets, vous recevez un message de refus au lieu de l’e-mail. Lorsque le proxy bloque un message en raison du
contenu du corps de texte ou de la pièce jointe et que le poids de l’e-mail est supérieur à 100 kilo-octets, vous
recevez une version tronquée de l’e-mail accompagnée du message de refus. Lorsque le proxy POP3 détecte
une anomalie de protocole ou que la longueur de ligne d’e-mail dépasse la limite maximum, le proxy bloque
le téléchargement du message et l’utilisateur ne reçoit aucune notification. Les messages de refus relatifs à
cette situation sont consignés dans les messages des journaux. Pour plus d’informations sur l’utilisation de
l’outil de message du journal, voir À propos de la journalisation et des fichiers journaux.
142
Firebox X Edge e-Series
Paramètres de proxy
Proxy POP3 : Types de contenus
Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité pour votre
réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. L’onglet Contenu
POP3 permet de limiter les types de contenus mais aussi de bloquer les URL et modèles de chemins spécifiés.
Vous pouvez utiliser l’astérisque (*) en tant que caractère générique.
Guide de l’utilisateur
143
Paramètres de proxy
Proxy POP3 : Autoriser uniquement les types de contenus sécurisés
Les en-têtes d’e-mails incluent un en-tête Type de contenu qui indique le type MIME de l’e-mail et le cas
échéant des pièces jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports
contenus dans le message. Activez la case à cocher correspondant à cette fonction pour limiter les types de
contenus que vous autorisez via le proxy. Lorsque vous activez cette case à cocher, seuls les types de contenus
indiqués dans la zone de texte sont autorisés. Le format d’un type MIME est type/sous-type. Par exemple, si
vous souhaitez autoriser des images JPEG, entrez image/jpg. Vous pouvez utiliser l’astérisque (*) en tant que
caractère générique. Pour autoriser tout format d’image, ajoutez image/* à la liste.
1. Pour ajouter des types de contenus supplémentaires à la liste par défaut, entrez le type MIME et cliquez
sur Ajouter.
2. Pour supprimer un type de contenu, sélectionnez-le dans la liste et cliquez sur Supprimer. Il est
impossible de supprimer message/* ou multipart/* car le proxy POP3 ne peut pas fonctionner sans
ces paramètres. Vous obtiendrez un message d’erreur si vous essayez de supprimer ces types de
contenus.
3. Pour ajouter des types de contenus courants à la liste, sélectionnez le type MIME dans la colonne Type
de contenu prédéfini et cliquez sur le bouton <<.
Proxy POP3 : Refuser les modèles de nom de fichier non sécurisés
Pour refuser certaines pièces jointes de nom de fichier, activez la case à cocher Refuser les modèles de nom
de fichier non sécurisés. Cette liste comporte les noms ou types de fichiers que le proxy doit bloquer. Utilisez
l’astérisque (*) en tant que caractère générique. Par exemple, pour bloquer tous les fichiers MP3, entrez *.mp3.
Si vous recevez des informations d’alerte LiveSecurity Service relatives à la vulnérabilité des fichiers
PowerPoint et que vous souhaitez les refuser jusqu’à l’installation du correctif, entrez *.ppt.
1. Pour ajouter des modèles de nom de fichier à la liste des noms bloqués, entrez le modèle et cliquez sur
Ajouter.
2. Pour supprimer un modèle de nom de fichier de la liste des noms bloqués, sélectionnez le modèle et
cliquez sur Supprimer.
3. Cliquez sur Envoyer.
À propos du Proxy SMTP
SMTP (Simple Mail Transport Protocol) est un protocole utilisé pour envoyer des e-mails entre serveurs de
messagerie mais également entre clients de messagerie et serveurs de messagerie. Il utilise généralement une
connexion TCP sur un port 25. Le proxy SMTP permet de contrôler les e-mails et leur contenu. Le proxy analyse
des messages SMTP en fonction d’un certain nombre de paramètres filtrés et les compare aux règles de la
configuration du proxy.
Si vous disposez d’un deuxième serveur de messagerie SMTP, vous devez fournir une adresse IP externe
supplémentaire au système Edge. Vous pouvez ensuite activer la NAT un à un et créer une stratégie de proxy
entrant personnalisée pour SMTP.
144
Firebox X Edge e-Series
Paramètres de proxy
Modifier le proxy SMTP
Pour modifier les paramètres par défaut du proxy SMTP, sélectionnez Pare-feu > Trafic entrant dans le
menu de navigation. Recherchez le proxy SMTP et cliquez sur Modifier. Observez tous les onglets de la
configuration du proxy SMTP. L’onglet Propriétés indique quel port et quel protocole sont utilisés par le
proxy. Vous ne pouvez pas modifier cet onglet.
Définir les options de contrôle d’accès
Dans l’onglet Sortant ou Entrant, vous avez la possibilité de définir des règles de filtrage des adresses IP, des
adresses réseau ou des plages d’hôtes. Cette fonctionnalité est identique à celle disponible pour les stratégies
de filtrage de paquets.
1. Cliquez sur l’onglet Sortant.
2. Dans la liste déroulante Filtre sortant, sélectionnez Refuser, Autoriser ou Aucune règle.
3. Utilisez la liste déroulante De pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des
ordinateurs du réseau approuvé ou facultatif, ou encore un alias auquel s’applique cette stratégie.
Entrez les adresses IP réseau sur la base de la notation de barre oblique (également dénommée « notation de
routage inter-domaine sans classes » (CIDR)). Pour plus d’informations, voir À propos de la notation de barre
oblique.
4. Cliquez sur Ajouter. Les adresses IP que vous avez ajoutées figurent à présent dans la zone de texte
De. Cette zone peut contenir plusieurs entrées.
5. Utilisez la liste déroulante À pour ajouter l’adresse IP, l’adresse réseau ou la plage d’adresses IP des
ordinateurs du réseau externe, ou encore l’alias auquel s’applique cette stratégie.
Entrez les adresses IP réseau sur la base de la notation de barre oblique.
6. Cliquez sur Ajouter.
Pour ajouter d’autres adresses IP, renouvelez les opérations 3 à 6.
Guide de l’utilisateur
145
Paramètres de proxy
Proxy SMTP : Limites du proxy
Sous l’onglet Paramètres SMTP, vous pouvez définir des limites pour les délais d’attente, la taille des e-mails
et la longueur des lignes. Ceci empêche le proxy SMTP d’utiliser trop de ressources réseau et permet d’éviter
certains types d’attaques. Vous pouvez également personnaliser le message de refus que les utilisateurs
voient lorsqu’un e-mail est bloqué par le proxy SMTP.
Délai d’attente
Définit la durée d’inactivité d’une connexion SMTP entrante avant que le proxy SMTP ne ferme la
connexion.
Taille maximale des e-mails
Par défaut, le proxy SMTP ne limite pas la taille des e-mails (ce champ est défini sur zéro). Utilisez ce
paramètre pour définir la longueur maximale des messages SMTP entrants. La plupart des e-mails
sont envoyés au format texte ASCII 7 bits. Le codage peut augmenter la longueur des fichiers d’un
tiers. Pour autoriser des messages de 1 Mo (1 024 Ko), il convient de définir ce champ sur un minimum
de 1,4 Mo (1 400 Ko) pour garantir le passage de tous les e-mails et de leurs pièces jointes.
Longueur maximale de la ligne
Définit la longueur maximale des lignes d’un message SMTP. Une longueur excessive des lignes peut
être à l’origine d’un débordement de la mémoire tampon sur certains systèmes de messagerie. La
plupart des systèmes et clients d’e-mail envoient des lignes courtes, mais certains systèmes Web en
envoient des très longues.
.
146
Firebox X Edge e-Series
Paramètres de proxy
Proxy SMTP : Message de refus
Dans le champ Message de refus, vous pouvez rédiger un message texte personnalisé qui s’affichera dans le
message électronique du destinataire lorsque le proxy bloque ce message. Vous pouvez utiliser les variables
suivantes :
%(type)%
Insère le type de contenu du message électronique.
%(nom_fichier)%
Insère le nom du fichier joint.
%(virus)%
Insère le type de virus détecté.
%(action)%
Insère l’action entreprise par la stratégie de proxy.
%(raison)%
Insère la raison pour laquelle la stratégie de proxy a refusé le contenu.
Proxy SMTP : Filtrer les e-mails par modèle d’adresse
Les options de l’onglet Adressage SMTP vous permettent de définir qui peut envoyer des e-mails au serveur
de messagerie et qui peut les recevoir.
Bloquer les courriers électroniques provenant d’expéditeurs dangereux
Activez cette case à cocher pour limiter l’accès à votre réseau aux seuls messages des expéditeurs
spécifiés. La configuration par défaut accepte le courrier électronique de tous les expéditeurs.
Guide de l’utilisateur
147
Paramètres de proxy
Limiter les destinataires d’e-mails
Activez cette case à cocher pour autoriser la réception d’e-mails à certains utilisateurs de votre réseau
uniquement. Cette fonction peut être utile pour empêcher les gens d’utiliser le serveur de messagerie
comme relais. Pour ce faire, vérifiez que tous les domaines dont les messages sont acceptés par le
serveur de messagerie figurent dans la liste de règles. Veillez à utiliser un format générique comme
*@monwatchguard.com. Tout e-mail provenant d’une adresse ne correspondant pas aux domaines
répertoriés est refusé.
Proxy SMTP : Contenu des e-mails
Certains types de contenu intégrés dans les e-mails peuvent constituer une menace à l’encontre de votre
réseau. Les autres types de contenu peuvent réduire la productivité de vos utilisateurs. Sous l’onglet Contenu
SMTP, vous pouvez limiter les types de contenu et bloquer des modèles de chemin et des URL spécifiques.
Vous pouvez utiliser l’astérisque (*) en tant que caractère générique.
À partir de cet onglet, vous pouvez effectuer les opérations suivantes :
Autoriser uniquement les types de contenu sécurisés
Ajouter ou supprimer un type de contenu
Refuser les modèles de noms de fichiers non sécurisés
Ajouter ou supprimer des modèles de noms de fichiers
Autoriser uniquement les types de contenus sécurisés
Les en-têtes des e-mails renferment un en-tête Type de contenu qui affiche le type MIME de l’e-mail et de ses
pièces jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports contenus dans
le message. Activez la case à cocher de cette fonctionnalité pour limiter les types de contenu autorisés à
traverser le proxy. Ce faisant, seuls les types de contenu affichés dans la zone de texte sont autorisés. Le format
d’un type MIME est type/sous-type. Par exemple, pour autoriser les images JPEG, ajoutez image/jpg. Vous
pouvez également utiliser l’astérisque (*) en tant que caractère générique. Pour autoriser tous les formats
d’image, ajoutez image/* à la liste.
148
Firebox X Edge e-Series
Paramètres de proxy
Ajouter ou supprimer un type de contenu
1. Pour ajouter des types de contenus supplémentaires à la liste par défaut, entrez le type MIME et cliquez
sur Ajouter.
2. Pour supprimer un type de contenu, sélectionnez-le dans la liste et cliquez sur Supprimer. Il est
impossible de supprimer message/* ou multipart/* car le proxy SMTP ne peut pas fonctionner sans
ces paramètres. Vous obtiendrez un message d’erreur si vous essayez de supprimer ces types de
contenus.
3. Pour ajouter des types de contenus courants à la liste, sélectionnez le type MIME dans la colonne Type
de contenu prédéfini et cliquez sur le bouton <<.
Ajouter ou supprimer des modèles de nom de fichier
1. Pour ajouter des modèles de nom de fichier à la liste des noms bloqués, entrez le modèle et cliquez sur
Ajouter.
2. Pour supprimer un modèle de nom de fichier de la liste des noms bloqués, sélectionnez le modèle et
cliquez sur Supprimer.
3. Cliquez sur Envoyer.
Refuser les modèles de nom de fichier non sécurisés
Pour refuser certaines pièces jointes de noms de fichiers, activez la case à cocher Refuser les modèles de nom
de fichier non sécurisés. Cette liste comporte les noms ou types de fichiers que le proxy doit bloquer. Utilisez
l’astérisque (*) en tant que caractère générique. Par exemple, pour bloquer tous les fichiers MP3, entrez *.mp3.
Si vous recevez des informations d’alerte LiveSecurity Service relatives à la vulnérabilité des fichiers
PowerPoint et que vous souhaitez les refuser jusqu’à l’installation du correctif, entrez *.ppt.
À propos du Proxy HTTPS
HTTPS (Hypertext Transfer Protocol sur Secure Socket Layer ou HTTP sur SSL) est un protocole requête/
réponse entre clients et serveurs utilisé pour sécuriser des communications et des transactions. Le protocole
HTTPS est plus sécurisé que le protocole HTTP car il utilise un certificat numérique pour chiffrer et déchiffrer
des requêtes de page utilisateur ainsi que des pages renvoyées par le serveur Web. Le client HTTPS est en
principe un navigateur Internet. Le serveur HTTPS est une ressource distante qui stocke ou crée des fichiers
HTML, des images et d’autres types de contenus.
Par défaut, lorsqu’un client HTTPS lance une requête, il établit une connexion TCP (Transmission Control
Protocol) sur le port 443. La plupart des serveurs HTTPS attendent les requêtes sur le port 443. Lorsqu’il reçoit
la requête du client, le serveur répond avec le fichier requis, un message d’erreur ou d’autres informations.
Pour activer le proxy HTTPS, voir Activer un proxy. Si vous le souhaitez, vous pouvez ensuite modifier la
définition du proxy. Voir la procédure décrite dans la rubrique Modifier le proxy HTTPS.
Guide de l’utilisateur
149
Paramètres de proxy
À propos du proxy H.323
Si, dans votre entreprise, vous faites appel à la technique de voix sur IP, vous pouvez ajouter une règle de proxy
H.323 ou SIP (Session Initiation Protocol) afin d’ouvrir les ports nécessaires à l’activation de la voix sur IP par le
biais de votre périphérique Firebox. Ces stratégies de proxy ont été conçues pour un environnement NAT et
visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et situé
derrière le périphérique Firebox.
H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est
une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls
les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et
où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des
stratégies de proxy H.323 et des stratégies de proxy SIP. Pour déterminer la stratégie de proxy à ajouter,
consultez la documentation fournie avec vos périphériques ou applications de voix sur IP.
La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants :
Connexions pair à pair
Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se
connecte à celui-ci directement.
Connexions hébergées
Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur
privé).
Avec H.323, le composant essentiel de la gestion des appels est appelé « portier ». À l’heure actuelle,
WatchGuard ne prend pas en charge les connexions H.323 hébergées par des systèmes de gestion des appels.
Dans la version actuelle, le proxy H.323 prend uniquement en charge les connexions pair à pair.
Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Il est
recommandé de vérifier que les connexions de voix sur IP fonctionnent correctement avant de tenter d’utiliser
le système avec des stratégies de proxy Firebox. Vous serez ainsi en mesure de résoudre les problèmes qui
pourraient se présenter.
Certains fabricants ont recours au protocole TFTP pour l’envoi de mises à jour périodiques au
matériel de voix sur IP géré. Si ce protocole est nécessaire aux mises à jour de votre matériel, veillez
à ajouter une stratégie TFTP à la configuration Firebox afin d’autoriser ces connexions.
Lorsque vous activez une stratégie de proxy H.323, le périphérique Firebox :
ƒ
ƒ
ƒ
répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ;
vérifie que les connexions de voix sur IP utilisent les protocoles H.323 standard ;
génère des messages de journal à des fins d’audit.
Pour activer le proxy H.323, voir Activer un proxy. Si vous le souhaitez, vous pouvez ensuite modifier la
définition du proxy. Voir la procédure décrite dans la rubrique Modifier le proxy HTTP.
150
Firebox X Edge e-Series
Paramètres de proxy
À propos du Proxy SIP
Si, dans votre entreprise, vous faites appel à la technique de voix sur IP, vous pouvez ajouter une règle de proxy
SIP (Session Initiation Protocol) ou H.323 afin d’ouvrir les ports nécessaires à l’activation de la voix sur IP par le
biais de votre périphérique Firebox. Ces stratégies de proxy ont été conçues pour un environnement NAT et
visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et situé
derrière le périphérique Firebox.
H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est
une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls
les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et
où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des
stratégies de proxy H.323 et des stratégies de proxy SIP. Pour déterminer la stratégie de proxy à ajouter,
consultez la documentation fournie avec vos périphériques ou applications de voix sur IP.
La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants :
Connexions pair à pair
Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se
connecte à celui-ci directement.
Connexions hébergées
Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur
privé).
Avec le protocole SIP standard, deux composants clés du système d’appel sont « SIP Registrar » et « SIP Proxy ».
Ces composants assurent à eux deux la fonctionnalité de H.323 Gatekeeper et fonctionnent ensemble pour
gérer des connexions reçues par le système de gestion d’appel. Le proxy SIP WatchGuard et le proxy SIP
standard sont différents. Le proxy SIP WatchGuard est un proxy transparent qui ouvre et ferme des ports pour
permettre le fonctionnement de SIP. Le proxy SIP WatchGuard peut prendre en charge le SIP Registrar et le
proxy SIP lorsqu’ils sont utilisés dans un système de gestion d’appel externe au Firebox. SIP n’est pas pris en
charge dans cette version si votre système de gestion d’appel est protégé par Firebox.
Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Il est
recommandé de vérifier que les connexions de voix sur IP fonctionnent correctement avant de tenter d’utiliser
le système avec des stratégies de proxy Firebox. Vous serez ainsi en mesure de résoudre les problèmes qui
pourraient se présenter.
Certains fabricants ont recours au protocole TFTP pour l’envoi de mises à jour périodiques au
matériel de voix sur IP géré. Si ce protocole est nécessaire aux mises à jour de votre matériel, veillez
à ajouter une stratégie TFTP à la configuration Firebox afin d’autoriser ces connexions.
Lorsque vous activez une stratégie de proxy SIP, le périphérique Firebox :
ƒ
ƒ
ƒ
répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ;
vérifie que les connexions de voix sur IP utilisent les protocoles SIP standard ;
génère des messages de journal à des fins d’audit.
Vous pouvez créer des stratégies de proxy SIP pour le trafic entrant et sortant. Pour créer une stratégie de
proxy SIP personnalisée, voir Activer un proxy. Si vous le souhaitez, vous pouvez ensuite modifier la définition
du proxy. Voir la procédure décrite dans la rubrique Ajouter ou modifier une stratégie de proxy.
Guide de l’utilisateur
151
Paramètres de proxy
À propos du proxy sortant
La stratégie pour le trafic sortant s’applique à tout le trafic réseau sortant, y compris le trafic géré par d’autres
stratégies communes telles que HTTP ou FTP. La stratégie de filtrage de paquets vous permet de limiter les
adresses IP pouvant envoyer du trafic depuis des interfaces approuvées ou facultatives vers l’interface
externe. La stratégie de proxy vous permet de définir des options spécifiques pour différents types de trafic et
de contrôler les connexions des applications de messagerie instantanée (IM) ou pair à pair (P2P). Vous pouvez
également appliquer la stratégie de trafic sortant à un tunnel VPN manuel.
Lorsque vous activez la stratégie de trafic sortant, vous pouvez :
ƒ
ƒ
ƒ
Choisir d’autoriser ou de refuser différents types de trafic réseau.
Sélectionner une stratégie de proxy HTTP, HTTPS ou SIP pour gérer ces types de trafic.
Bloquer ou consigner des paquets envoyés par des applications de messagerie instantanée
(IM) et/ou P2P.
Pour activer la stratégie de trafic sortant, voir Activer une stratégie de proxy commune. Ensuite, vous pouvez
modifier la définition de proxy tel que décrit dans Ajouter ou modifier le proxy HTTP. Les options disponibles
uniquement pour la stratégie de proxy sortant sont décrites ci-dessous.
Onglet Paramètres
Vous pouvez utiliser l’onglet Paramètres de la stratégie de proxy sortant pour gérer rapidement différents
types de trafic réseau sortant. Pour modifier la configuration d’un protocole, sélectionnez une option dans la
liste déroulante adjacente. Pour autoriser tout le trafic réseau sortant pour le protocole spécifié, sélectionnez
Autoriser. Pour bloquer tout le trafic réseau sortant pour le protocole spécifié, sélectionnez Refuser. Pour
utiliser une stratégie de proxy commune ou personnalisée afin de gérer le trafic HTTP, HTTPS ou SIP,
sélectionnez une stratégie de proxy.
Onglet Contenu
Un grand nombre d’entreprises n’autorisent pas l’utilisation des applications de messagerie instantanée (IM)
ou P2P ou bien autorisent l’utilisation d’une seule application approuvée. Vous pouvez autoriser ou bloquer
tout le trafic sortant des programmes suivants :
ƒ
ƒ
Applications de messagerie instantanée : MSN, Yahoo IM, AIM, IRC, ICQ IM
Applications pair à pair : BitTorrent, Ed2k, Gnutella, Kazaa, Napster
Pour autoriser ou bloquer une ou plusieurs applications de messagerie instantanée (IM) ou P2P, activez les
cases à cocher adjacentes, puis sélectionnez Autoriser ou Refuser dans la liste déroulante. Lorsque vous
sélectionnez Autoriser, le système Edge ajoute, dans le journal système, des informations relatives au trafic
réseau envoyé par les applications spécifiées.
152
Firebox X Edge e-Series
Paramètres de proxy
À propos des abonnements supplémentaires aux
services de sécurité pour les proxies
Il vous est possible de souscrire des abonnements supplémentaires aux services de sécurité pour les proxies
Firebox X Edge afin de renforcer la sécurité de votre réseau. Ces services d’abonnement sont fournis par
WatchGuard. Pour obtenir les informations de souscription, visitez le site Web LiveSecurity de WatchGuard,
à l’adresse http://www.watchguard.com/store, ou prenez contact avec votre revendeur WatchGuard.
À propos de Gateway AntiVirus et Intrusion Prevention
À propos de WebBlocker
À propos de spamBlocker
Guide de l’utilisateur
153
Paramètres de proxy
154
Firebox X Edge e-Series
9
Default Threat Protection
À propos de Default Threat Protection
Firebox X Edge e-Series intègre un ensemble de fonctions Default Threat Protection destinées à écarter tout
trafic réseau des systèmes qui présentent ou risquent de présenter une menace à la sécurité. Ces fonctions
sont les suivantes :
Site définitivement bloqué
La liste Sites bloqués répertorie les adresses IP que vous ajoutez manuellement à votre fichier de
configuration. Les adresses IP figurant sur la liste ne peuvent se connecter à ou via Edge sur aucun
port.
Sites bloqués automatiquement
Adresses IP ajoutées à/supprimées d’une liste de sites temporairement bloqués. Firebox utilise les
règles de gestion des paquets spécifiées pour chaque service. Par exemple, vous pouvez configurer
Firebox pour qu’il bloque automatiquement l’adresse IP source d’un ordinateur qui tente de se
connecter via Edge avec le service Telnet sur le port 23. Si un ordinateur qui tente de se connecter
obtient un refus, il ne pourra établir de connexion via Edge sur aucun port, pendant une durée que
vous définissez. Cette liste est appelée Sites bloqués temporairement.
Ports bloqués
Vous pouvez bloquer les ports susceptibles d’être utilisés pour attaquer votre réseau. Ceci permet
d’arrêter les services réseau externes spécifiés. Lorsque vous bloquez un port, vous annulez toutes les
règles de configuration du pare-feu.
Protection contre le refus de service
Un ensemble complet de règles de protection contre le refus de service vous permet de définir vos
propres seuils pour empêcher les attaques de refus de services courantes telles que les attaques SYN
Flood ou ICMP Flood. Vous pouvez également définir des limites de connexion afin de protéger le
réseau des attaques de refus de service distribué.
Options de pare-feu
Ensemble global de règles de pare-feu permettant de contrôler des fonctionnalités telles que les
règles de journalisation par défaut et l’accès FTP à Edge.
Guide de l’utilisateur
155
Default Threat Protection
À propos des sites bloqués
La fonctionnalité Sites bloqués vous permet de protéger votre réseau de systèmes connus pour présenter ou
pouvant présenter un risque de sécurité. Une fois que vous avez identifié la source du trafic suspect, vous
pouvez bloquer l’ensemble des connexions en provenance de cette adresse IP. Il vous est en outre possible de
configurer le périphérique Firebox pour qu’il envoie un message du journal chaque fois que la source tente de
se connecter à votre réseau. Les services utilisés par les sources lors de leurs attaques sont mentionnés dans
le fichier journal.
Un site bloqué est représenté par une adresse IP qui n’est pas autorisée à se connecter via le périphérique
Firebox. L’ensemble du trafic provenant d’une adresse IP bloquée est rejeté. Vous pouvez définir deux types
d’adresses IP bloquées.
Sites bloqués de façon permanente
Le trafic réseau en provenance de sites bloqués de façon permanente est systématiquement refusé. Ces
adresses IP sont stockées dans la liste des sites bloqués et doivent être ajoutées manuellement. Par exemple,
vous pouvez ajouter à la liste des sites bloqués une adresse IP qui tente constamment d’analyser votre réseau,
afin d’empêcher les analyses de port à partir de ce site.
Pour bloquer un site, voir Bloquer un site de façon permanente.
Liste des sites automatiquement bloqués/sites bloqués de façon temporaire
Les paquets issus de sites automatiquement bloqués sont refusés pour la durée choisie. Vous pouvez décider
de bloquer de manière automatique les sites responsables d’un trafic réseau non géré.
Pour connaître la procédure de blocage automatique du trafic non géré, voir Bloquer des sites de façon
temporaire.
156
Firebox X Edge e-Series
Default Threat Protection
Bloquer un site de façon permanente
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est https://192.168.111.1.
2. Dans la barre de navigation, cliquez sur Pare-feu > Intrusion Prevention. Cliquez sur l’onglet Sites
bloqués.
3. Dans la liste déroulante, sélectionnez le type d’élément que vous voulez saisir : adresse IP de l’hôte,
plage d’adresses IP ou adresse réseau. Entrez la valeur dans la zone de texte adjacente, puis cliquez sur
Ajouter. Vous ne pouvez pas ajouter d’adresses IP ou de réseau internes à la liste des sites bloqués.
4. Cliquez sur Envoyer.
Guide de l’utilisateur
157
Default Threat Protection
Bloquer des sites de façon temporaire
Pour afficher la liste des adresses IP qu’Edge bloque automatiquement, sélectionnez État du
système > Sites hostiles. Vous pouvez consulter la liste des sites bloqués de façon temporaire ainsi
que les messages des journaux pour choisir en toute connaissance de cause les adresses IP à bloquer
de manière permanente.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est https://192.168.111.1.
2. Dans la barre de navigation, cliquez sur Pare-feu > Intrusion Prevention. Cliquez sur l’onglet
Blocage automatique.
3. Activez la case à cocher Bloquer automatiquement les hôtes avec un trafic sortant refusé par la
stratégie par défaut afin d’ajouter à la liste des sites bloqués de façon temporaire les adresses IP des
sites rejetés par la stratégie de pare-feu par défaut d’Edge. Pour connaître cette stratégie, sélectionnez
Pare-feu > Entrant. Si vous activez la fonctionnalité de blocage automatique, l’adresse IP source d’un
site rejeté par Edge en raison de l’absence de règle l’autorisant est ajoutée à la liste des sites
automatiquement bloqués.
4. Vous pouvez modifier la durée de conservation d’un site dans la liste des sites automatiquement
bloqués à l’aide de la liste déroulante Durée du blocage automatique de sites. La durée par défaut
est 30 minutes.
5. Vous avez la possibilité de définir des exceptions pour les règles applicables aux sites
automatiquement bloqués. La fonctionnalité de blocage automatique n’entraîne jamais le blocage du
trafic en provenance d’une adresse IP figurant dans la liste des exceptions au blocage automatique.
Dans la liste déroulante, sélectionnez le type d’élément que vous voulez saisir : adresse IP de l’hôte,
plage d’adresses IP ou adresse réseau. Entrez la valeur dans la zone de texte adjacente, puis cliquez sur
Ajouter.
158
Firebox X Edge e-Series
Default Threat Protection
À propos des ports bloqués
Vous pouvez bloquer les ports qui sont susceptibles d’être utilisés pour déclencher une attaque sur votre
réseau. Les services réseau externes spécifiés sont alors arrêtés.
Le blocage d’un port est prioritaire sur toutes les règles définies dans le pare-feu.
Vous pouvez choisir de bloquer un port pour diverses raisons:
ƒ
ƒ
En bloquant vos ports, vous protégez vos services les plus vulnérables. Cette fonctionnalité vous
permet d’éviter des erreurs dans la configuration de Firebox.
Les explorations de services vulnérables peuvent entraîner la création d’entrées de journal
indépendantes.
Ports bloqués par défaut
Dans la configuration par défaut, le périphérique Firebox bloque certains ports de destination. En règle
générale, il est inutile de modifier cette configuration de base. Les paquets TCP et UDP sont bloqués sur les
systèmes et pour les ports suivants:
X Window System (ports 6000-6005)
La connexion au client X Window System (ou X-Windows) n’est pas chiffrée, c’est pourquoi il est
dangereux d’y avoir recours sur Internet.
X Font Server (port 7100)
De nombreuses versions de X-Windows exécutent des serveurs X Font Server. Ces derniers jouent le
rôle de super utilisateur sur certains hôtes.
Système de gestion de fichiers en réseau (NFS) (port 2049)
Le système de gestion de fichiers en réseau (NFS) est un service TCP/IP couramment utilisé
permettant à un grand nombre d’utilisateurs de manipuler les mêmes fichiers au sein d’un réseau.
Dans les nouvelles versions de ce système, d’importants problèmes d’authentification et de sécurité
ont été mis à jour. Il peut être très dangereux de fournir ce type de système sur Internet.
Le portmapper utilise fréquemment le port 2049 pour le système de gestion de fichiers en réseau. Si
vous employez ce système, vérifiez que le port 2049 lui est dédié sur l’ensemble des ordinateurs.
rlogin, rsh, rcp (ports 513 et 514)
Ces services permettent d’accéder à d’autres ordinateurs à distance. Ils constituent un risque en
matière de sécurité et de nombreux pirates les explorent.
Portmapper RPC (port 111)
Les services RPC utilisent le port 111 pour rechercher les ports employés par un serveur RPC
spécifique. Ils sont très vulnérables via Internet.
port 8000
De nombreux fournisseurs ont recours à ce port, qui pose beaucoup de problèmes de sécurité.
port 1
Le service TCPmux utilise le port 1, mais cela arrive rarement. Vous pouvez le bloquer et ainsi rendre
l’examen des ports par les outils plus difficile.
port 0
Ce port est systématiquement bloqué par Firebox. Vous ne pouvez pas autoriser le trafic entre le
port 0 et le périphérique Firebox.
Si vous devez autoriser le trafic pour les types d’applications logicielles qui ont recours à des ports
bloqués recommandés, il est conseillé de le faire uniquement par le biais d’un tunnel VPN IPSec ou
d’utiliser ssh pour accéder au port.
Guide de l’utilisateur
159
Default Threat Protection
Bloquer un port
Soyez prudent si vous bloquez des numéros de port supérieurs à 1023. Les clients utilisent
fréquemment ces numéros de port source.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est https://192.168.111.1.
2. Dans la barre de navigation, cliquez sur Pare-feu > Intrusion Prevention. Cliquez sur l’onglet Ports
bloqués.
3. Dans la zone de texte Ports, saisissez le nom du port à bloquer. Cliquez sur Ajouter.
4. Si vous souhaitez qu’Edge bloque automatiquement tout ordinateur externe tentant d’accéder à un
port bloqué, activez la case à cocher Bloquer automatiquement les sites qui tentent d’utiliser des
ports bloqués.
160
Firebox X Edge e-Series
Default Threat Protection
À propos des attaques de refus de service
Le périphérique Firebox X Edge e-Series intègre une fonctionnalité contre le refus de service qui offre une
protection contre les attaques de refus de service (DoS, Denial-of-service) et de refus de service distribué
(DDoS, Distributed Denial-of-Service) les plus courantes et les plus fréquemment utilisées sur Internet. Une
attaque DoS consiste à tenter de rendre une ressource indisponible pour les utilisateurs habituels d’un
ordinateur. Le plus souvent, les attaques DoS tentent d’empêcher un site Internet ou un service de fonctionner
correctement pendant un certain temps en utilisant une grande quantité de bande passante ou de ressources
sur le système faisant l’objet de l’attaque. Ce type d’attaque est généralement appelé « Flood ».
Lors d’une attaque de refus de service distribué (DDoS), plusieurs ordinateurs envoient du trafic à un seul
ordinateur cible à la fois. Ainsi, l’ordinateur cible qui devient trop encombré et utilise trop de ressources pour
essayer d’établir des connexions avec chaque ordinateur malveillant, ne parvient plus à gérer le trafic régulier.
Supprimer les attaques DoS Flood
Vous pouvez configurer Edge afin de vous protéger contre les attaques DoS Flood les plus courantes. Pour
chaque type d’attaque DoS Flood, configurez Edge en limitant le nombre de nouveaux paquets de connexion
par seconde autorisés à transiter via une interface. Edge abandonnera les paquets qui dépasseront la limite
configurée.
Guide de l’utilisateur
161
Default Threat Protection
Dans la page Pare-feu > Intrusion Prevention, sélectionnez l’onglet Défense DoS, puis définissez le seuil de
paquet/seconde pour les types d’attaques DoS Flood suivants :
Attaque IPSec Flood
Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec un nombre
important de connexions IPSec.
Attaque IKE Flood
Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec un nombre
important de connexions IKE (Internet Key Exchange).
Attaque ICMP Flood
Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec une requête
d’écho ICMP (paquets ping).
Attaque SYN Flood
Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec un nombre
important de requêtes SYN.
Attaque UDP Flood
Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec un nombre
important de connexions UDP (User Datagram Protocol).
162
Firebox X Edge e-Series
Default Threat Protection
Prévention des refus de service distribués
Utilisez la fonction de prévention du refus de service distribué pour définir les limites du trafic client et serveur.
Le paramètre Quota serveur permet de définir un nombre maximal de connexions entrantes simultanées
autorisées via Firebox à partir d’ordinateurs externes. Le paramètre Quota client permet de définir un nombre
maximal de connexions sortantes simultanées autorisées à partir d’ordinateurs protégés par Edge. Si le
nombre total de connexions client ou serveur par seconde dépasse la limite de connexions que vous avez
définie, les nouveaux paquets de connexion sont abandonnés.
Guide de l’utilisateur
163
Default Threat Protection
Configurer les options de pare-feu
La page Options de pare-feu vous permet de configurer des règles pour augmenter la sécurité du réseau.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, cliquez sur Pare-feu > Options de pare-feu.
La page Options de pare-feu s’affiche.
164
Firebox X Edge e-Series
Default Threat Protection
Les options de pare-feu sont préconfigurées pour répondre aux besoins d’un grand nombre de clients Edge.
Activez la case à cocher de toutes les options à activer, puis cliquez sur Envoyer pour enregistrer les
modifications dans Edge. Les options de pare-feu sont les suivantes :
Ne pas répondre aux requêtes ping
Vous pouvez configurer Firebox X Edge e-Series pour qu’il refuse les requêtes ping reçues sur le
réseau approuvé, externe ou facultatif. Cette option remplace tous les autres paramètres Edge.
Ne pas autoriser l’accès FTP à Edge
Vous pouvez configurer Firebox X Edge e-Series pour qu’il n’autorise aucune connexion FTP à partir
du réseau approuvé ou facultatif. Cette option remplace tous les autres paramètres Edge.
Lors de la mise à jour du microprogramme du périphérique Firebox X Edge avec le programme
d’installation automatique, vous devez désactiver la case à cocher Ne pas autoriser l’accès FTP à
Edge à partir du réseau approuvé. Si vous ne le faites pas, le programme de mise à jour ne pourra
pas déplacer les fichiers du microprogramme vers Edge.
Consigner tous les accès sortants autorisés
Si vous utilisez les paramètres de propriétés par défaut, Firebox X Edge e-Series n’enregistre que les
événements inhabituels. En cas de refus du trafic, Edge enregistre les informations dans le fichier
journal. Vous pouvez configurer Edge pour qu’il enregistre les informations relatives à l’ensemble du
trafic sortant dans le fichier journal. Lorsque vous enregistrez l’ensemble du trafic sortant, cela génère
un grand nombre d’enregistrements dans le journal. Nous vous recommandons donc d’enregistrer
l’ensemble du trafic sortant uniquement à titre de dépannage, sauf si vous envoyez les messages à
un serveur Log Server distant. Pour plus d’informations, voir la rubrique Consulter le journal
d’événements.
Consigner le trafic de diffusion refusé
Si vous utilisez les paramètres de propriétés par défaut, Firebox X Edge e-Series n’enregistre que les
événements inhabituels. En cas de refus du trafic, Edge enregistre les informations dans le fichier
journal. Vous pouvez configurer Edge pour qu’il enregistre les informations relatives au trafic réseau
refusé qui ont été envoyées à plusieurs destinations à la fois.
Consigner le trafic malveillant refusé
Si vous utilisez les paramètres de propriétés par défaut, Firebox X Edge e-Series n’enregistre que les
événements inhabituels. En cas de refus du trafic, Edge enregistre les informations dans le fichier
journal. Vous pouvez configurer Edge pour qu’il enregistre les informations lorsque l’adresse IP
source du trafic réseau ne correspond pas à l’adresse IP du serveur hôte à l’origine du trafic.
Consigner le trafic refusé à cause des options IP
Les options IP sont des extensions du protocole IP (Internet Protocol). Edge utilise les extensions pour
les applications logicielles spéciales ou pour le dépannage avancé. Une personne malveillante peut
utiliser les options IP de l’en-tête de paquet pour s’infiltrer dans votre réseau. Activez cette case à
cocher pour créer un message du journal en cas de refus de trafic en raison des options IP.
Consigner le trafic entrant refusé par défaut
Activez cette case à cocher pour que le système Edge envoie un message du journal au fichier journal
chaque fois qu’une connexion entrante est refusée par les règles par défaut configurées dans le
système.
Consigner le trafic sortant refusé par défaut
Activez cette case à cocher pour que le système Edge envoie un message du journal au fichier journal
chaque fois qu’une connexion sortante est refusée par les règles par défaut configurées dans le
système.
Guide de l’utilisateur
165
Default Threat Protection
166
Firebox X Edge e-Series
10
Gestion du trafic
À propos de la gestion du trafic
Firebox X Edge e-Series propose de nombreuses méthodes pour gérer le trafic sur votre réseau. Vous pouvez
limiter le taux de trafic envoyé vers l’interface externe ou IPSec en utilisant la qualité de service (QoS) par le
biais du contrôle du trafic. Vous pouvez gérer la transmission des données en accordant une bande passante
plus ou moins large aux différents types de trafic. Vous pouvez également modifier l’adresse réseau visible du
trafic entrant ou sortant pour empêcher les conflits à l’aide du protocole de traduction d’adresses réseau NAT
(Network Address Translation).
À propos du trafic réseau
La bande passante correspond à la quantité de données pouvant être envoyées via le réseau au cours d’un
laps de temps donné. Elle est habituellement exprimée en bits par seconde (bits/s), kilobits par seconde
(Kbits/s) ou mégabits par seconde (Mbits/s). Une ligne T1 fournit approximativement 1,5 Mbits/s, tandis
qu’une connexion d’accès à distance fournit environ 56 Kbits/s. La latence correspond au temps requis par un
paquet pour aller d’une source vers une destination.
Ensemble, la latence et la bande passante déterminent la vitesse et la capacité d’un réseau. Vous pouvez
améliorer la latence en configurant le contrôle du trafic. Vous devez mettre à niveau votre connexion Internet
auprès de votre fournisseur de services Internet pour augmenter la bande passante.
Lorsqu’un trop grand nombre d’utilisateurs ou d’appareils essayent d’envoyer des données au même
moment, Firebox X Edge ne peut pas envoyer toutes les données rapidement. Lorsqu’Edge gère un trafic plus
important que ce que la connexion externe peut envoyer simultanément, le fonctionnement de certains
programmes est ralenti.
Raisons d’un trafic réseau lent
De nombreux programmes utilisent une bande passante la plus large possible pour fonctionner. Si un trop
grand nombre d’utilisateurs utilisent de tels programmes, d’autres utilisateurs ne peuvent pas utiliser le
réseau. Les services pair à pair (P2P), la messagerie instantanée et les téléchargements de fichiers sont des
programmes qui utilisent souvent une bande passante très large.
Pour limiter la largeur de la bande passante que ces applications logicielles peuvent utiliser, vous devez utiliser
le contrôle du trafic. Pour refuser ou autoriser le trafic provenant de ces applications logicielles, vous devez
configurer une stratégie. Pour plus d’informations sur les stratégies, voir À propos des stratégies.
Guide de l’utilisateur
167
Gestion du trafic
Catégories de trafic
Firebox X Edge e-Series vous permet de limiter les données envoyées par le biais de stratégies et de filtres de
contrôle du trafic. Une stratégie peut autoriser ou refuser toutes les données d’un type spécifié. Le contrôle du
trafic n’autorise pas ni ne refuse de données, mais crée des « filtres » qui séparent le trafic réseau important
des autres données. Par exemple, vous pouvez créer un filtre qui identifie le trafic de messagerie (SMTP) ou les
connexions SSH (secure shell).
Lorsque vous créez un filtre, vous devez sélectionner la priorité pour le trafic qu’il identifiera. Il existe quatre
catégories de trafic réseau : interactif, à priorité élevée, à priorité moyenne et à basse priorité. Vous pouvez
créer jusqu’à 100 filtres de trafic dans chaque catégorie de trafic. Les filtres peuvent être basés sur le type de
protocole IP, l’adresse IP source ou de destination, et le port source ou de destination.
Le trafic interactif est routé avant tout autre trafic. La bande passante qui n’est pas utilisée pour le trafic
interactif est divisée entre le trafic à priorité élevée, moyenne et basse. La bande passante inutilisée est
automatiquement attribuée aux autres catégories. Par exemple, en l’absence de trafic interactif ou à priorité
basse, toute la bande passante est divisée entre le trafic à priorité élevée et le trafic à priorité moyenne.
Trafic interactif
Le trafic interactif est envoyé avant tout autre trafic et est limité seulement par la vitesse de votre connexion.
Utilisez la catégorie interactive pour le trafic qui doit avoir une faible latence. Telnet, Secure Shell (SSH), la
communication vidéo et les communications VoIP (Voice over Internet Protocol) sont des exemples de trafic
interactif.
Priorité élevée
Le trafic à priorité élevée obtient 75 % de la bande passante qui n’est pas utilisée par le trafic interactif. Utilisez
la catégorie à priorité élevée pour le trafic qui est très important pour votre entreprise ou qui utilise une bande
passante importante. Le trafic HTTP sécurisé (HTTPS) et le trafic des réseaux privés virtuels (VPN) sont des
exemples de trafic à priorité élevée.
Priorité moyenne
Le trafic à priorité moyenne obtient 20 % de la bande passante qui n’est pas utilisée par le trafic interactif.
Lorsque le contrôle du trafic est activé, tout trafic qui ne se trouve pas dans un autre filtre est placé
automatiquement dans la catégorie moyenne. Ce trafic est représenté par l’entrée « Tout autre trafic » dans la
page Contrôle du trafic.
Priorité basse
Le trafic à priorité basse obtient 5 % de la bande passante qui n’est pas utilisée par le trafic interactif. Utilisez
la catégorie à priorité basse pour le trafic à priorité basse qui n’utilise pas une bande passante importante ou
n’est pas important. Les transferts de fichiers pair à pair (P2P) et la messagerie instantanée (IM) sont des
exemples de trafic à priorité basse.
Pour utiliser la définition des priorités, vous devez connaître votre limite de bande passante en
amont, en kilobits par seconde (Kbits/s). Si vous ne connaissez pas votre limite de bande passante
en amont, demandez-la à votre administrateur réseau ou à votre fournisseur de services Internet.
Pour un meilleur contrôle du trafic, Edge soustrait 5 % à la limite de bande passante en amont pour
réduire la latence des paquets. Si vous entrez une limite de bande passante en amont incorrecte, le
contrôle du trafic ne fonctionne pas correctement.
168
Firebox X Edge e-Series
Gestion du trafic
Marquer le trafic
Si Firebox X Edge s’inscrit dans un réseau plus important qui utilise la qualité de service (QoS) et que votre
périphérique en amont, votre équipement de réseau local et votre service IPS la prennent en charge, vous
pouvez appliquer un marquage pour chaque catégorie de trafic réseau que vous définissez dans votre
système Edge. Edge marque alors tout le trafic qui correspond aux critères définis dans votre règle de contrôle
du trafic. Lorsque vous marquez le trafic, vous modifiez jusqu’à six bits sur les champs d’en-tête des paquets
définis à cet effet. Edge et les autres périphériques externes prenant en charge le marquage utilisent ces bits
pour contrôler la manière dont un paquet est traité lors de son envoi via un réseau.
L’utilisation des procédures de marquage sur un réseau exige de vous des efforts importants de planification.
Vous pouvez commencer par identifier la bande passante théorique disponible, puis déterminer les
applications réseau à priorité élevée, celles particulièrement sensibles à la latence et aux instabilités, ou les
deux.
Firebox X Edge prend en charge deux types de marquage de contrôle du trafic : le marquage de priorité IP et
le marquage DSCP (Differentiated Service Code Point). Le marquage de priorité IP affecte uniquement les trois
premiers bits de l’octet de type de service (ToS) IP. Le marquage DSCP étend le marquage aux six premiers bits
de l’octet ToS IP. Avec ces deux méthodes, vous pouvez décider de :
ƒ
ƒ
conserver les bits de l’en-tête, qui peuvent avoir été marqués précédemment par un périphérique
externe
ou
modifier la valeur des bits.
Les valeurs DSCP peuvent être exprimées sous une forme numérique ou par des mots clés spéciaux qui
correspondent au comportement par saut (PHB, per-hop behavior). Le comportement par saut correspond à
la priorité appliquée à un paquet lors d’un trajet d’un point à un autre dans un réseau. Le marquage DSCP
prend en charge trois types définis de comportement par saut
Best Effort
Best Effort correspond au type de service par défaut et est recommandé pour le trafic qui n’est pas
critique ni en temps réel. Tout le trafic correspond à cette classe si vous n’utilisez pas le marquage de
contrôle du trafic.
Transfert assuré (AF)
Le comportement par saut de type Transfert assuré est recommandé pour le trafic qui a besoin d’une
plus grande fiabilité que le type de service Best Effort.
Transfert expédié (EF)
Ce type a la priorité la plus élevée. Il est généralement réservé pour le trafic critique et en temps réel.
Les points de code de sélecteur de classe (CSx) sont définis de façon à assurer la compatibilité descendante
avec les valeurs de type de service. Les points de code CS1 à CS7 sont identiques aux sept dernières options
dans la liste déroulante Marquage lorsque la priorité IP est sélectionnée comme type de marquage.
Guide de l’utilisateur
169
Gestion du trafic
Le tableau ci-dessous indique les valeurs DSCP que vous pouvez sélectionner, la valeur de priorité IP
correspondante (qui est la même que la valeur CS) et la description par des mots clés PHB.
Valeur DSCP
Valeur de priorité IP équivalente
(valeurs CS)
0
8
Description : mot clé de comportement
par saut
Best Effort (identique à aucun marquage)
1
Scavenger* (bas)
10
AF Classe 1 – Bas – Bas
12
AF Classe 1 – Bas – Moyen
14
AF Classe 1 – Bas – Élevé
16
2
Bas/moy.
18
AF Classe 2 – Bas/moy.-Bas
20
AF Classe 2 – Bas/moy.-Moyen
22
22 AF Classe 2 – Bas/moy.-Élevé
24
3
Moy./Élevé
26
AF Classe 3 – Moy./Élevé-Bas
28
AF Classe 3 – Moy./Élevé-Moyen
30
AF Classe 3 – Moy./Élevé-Élevé
32
Élevé
34
4
AF Classe 4 – Élevé – Bas
36
AF Classe 4 – Élevé – Moyen
38
AF Classe 4 – Élevé – Élevé
40
5
46
Vidéo, voix
EF
48
6
Contrôle Internet (réservé)
56
7
Contrôle du réseau
* La classe Scavenger a été conçue pour le trafic de plus basse priorité, tel que les applications de
partage de fichiers multimédias ou les applications de jeu. Ce trafic a une priorité inférieure au type de
service Best Effort.
170
Firebox X Edge e-Series
Gestion du trafic
À propos des options de contrôle du trafic
Firebox X Edge e-Series propose de nombreuses options de contrôle du trafic, dont notamment :
Le contrôle du trafic est désactivé.
Edge envoie le trafic réseau dans l’ordre où il le reçoit.
Le contrôle du trafic est activé, mais la définition des priorités est désactivée.
Cette option restreint l’ensemble du trafic à la limite de la bande passante en amont.
Le contrôle du trafic et la définition des priorités sont activés.
Cette option vous permet de configurer des filtres pour toutes les catégories de trafic.
Le contrôle du trafic et le marquage du trafic sont activés.
Edge marque tout le trafic qui correspond aux critères définis dans votre règle de contrôle du trafic.
Activer le contrôle du trafic
Vous devez disposer d’au moins une stratégie de filtrage de paquets, d’une stratégie de proxy ou d’un
tunnel VPN activé pour ajouter des filtres de trafic. Vous pouvez utiliser toute stratégie activée ou tout
tunnel VPN actif comme filtre de contrôle du trafic. Les stratégies de trafic entrant et sortant sont identifiées
par les indications [Sortie] ou [Entrée] à côté du nom de la stratégie.
Le contrôle du trafic est utilisé seulement pour le trafic réseau sortant. Si vous ajoutez une stratégie de trafic
entrant à une catégorie de contrôle du trafic, Firebox applique des règles de contrôle du trafic au trafic sortant
géré par cette stratégie sur le même port. Par exemple, si vous possédez un serveur DNS dans votre réseau qui
répond aux requêtes provenant du réseau externe, vous pouvez utiliser le contrôle du trafic pour gérer la
bande passante que ces réponses utilisent. Cela est dû au fait que les requêtes et les réponses DNS utilisent le
même port réseau.
Guide de l’utilisateur
171
Gestion du trafic
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Réseau > Contrôle du trafic.
La page Contrôle du trafic s’affiche.
3. Activez la case à cocher Activer le contrôle du trafic.
La liste de trafic interactif est activée.
4. Dans la zone de texte Limite de bande passante en amont, tapez la limite de bande passante en
amont de votre connexion réseau externe (WAN1). Entrez une valeur comprise entre 19 Kbits/s et 100
000 Kbits/s. Le paramètre par défaut est 512 Kbits/s.
172
Firebox X Edge e-Series
Gestion du trafic
5. Activez la case à cocher Définition des priorités si vous voulez ajouter des filtres aux autres catégories
de trafic réseau.
Les listes de définition de priorités sont activées.
6. Pour créer des filtres pour les catégories de trafic interactif, à priorité élevée, moyenne ou basse, cliquez
sur le bouton Ajouter à côté du nom de la catégorie. Choisissez une stratégie ou un tunnel VPN, puis
cliquez sur Sélectionner. Maintenez enfoncé le bouton CTRL pour sélectionner plusieurs éléments à la
fois. Pour supprimer un filtre, cliquez sur Supprimer.
7. Si vous voulez utiliser le marquage de contrôle du trafic, sélectionnez Priorité IP ou DSCP dans la liste
déroulante Type de marquage. Vous pouvez alors sélectionner le marquage à appliquer pour chaque
catégorie de trafic à l’aide de la liste déroulante de marquage en haut de chaque catégorie de trafic.
8. Cliquez sur Envoyer.
Le contrôle du trafic est activé.
Guide de l’utilisateur
173
Gestion du trafic
À propos de la traduction d’adresses réseau
La traduction d’adresses réseau ou NAT (Network Address Translation) représente l’une des différentes formes
de traduction de ports et d’adresses IP. Dans sa forme la plus rudimentaire, NAT remplace la valeur de l’adresse
IP d’un paquet par une autre valeur.
Le principal objectif de NAT consiste à augmenter le nombre d’ordinateurs pouvant fonctionner à partir d’une
seule adresse IP routable et à masquer les adresses IP privées des hôtes sur le réseau local. Lorsque vous
utilisez NAT, l’adresse IP source est modifiée sur tous les paquets que vous envoyez.
Vous pouvez appliquer NAT en tant que paramètre général de pare-feu ou en tant que paramètre dans une
stratégie. Sachez que les paramètres NAT de pare-feu ne s’appliquent pas aux stratégies BOVPN et Mobile
VPN.
Types de NAT
Firebox prend en charge trois différentes formes de NAT. Votre configuration peut utiliser plusieurs types de
NAT en même temps. Vous appliquez certains types de NAT à l’ensemble du trafic de pare-feu, et les autres
types en tant que paramètre d’une stratégie.
Traduction d’adresses réseau dynamique
La traduction d’adresses réseau dynamique est également appelée « mascarade IP ». Firebox peut
appliquer son adresse IP publique aux paquets sortants pour toutes les connexions ou pour des
services spécifiés. Ceci permet de masquer au réseau externe l’adresse IP réelle de l’ordinateur qui est
la source du paquet. La traduction d’adresses réseau dynamique sert généralement à masquer les
adresses IP des hôtes internes lorsqu’ils accèdent aux services publics. Pour plus d’informations, voir
À propos de la traduction d’adresses réseau dynamique.
Traduction d’adresses réseau statique
La traduction d’adresses réseau statique est également désignée sous le terme de « transfert de
port » ; vous la configurez en même temps que les stratégies. La traduction d’adresses réseau
statique est une règle NAT de port à hôte. Un hôte envoie un paquet à partir du réseau externe à un
port sur une interface externe. La traduction d’adresses réseau statique change l’adresse IP en une
adresse IP et en un port se trouvant derrière le pare-feu. Pour plus d’informations, voir À propos de la
traduction d’adresses réseau statique.
NAT un à un
NAT un à un fait correspondre les adresse IP d’un réseau aux adresses IP d’un autre réseau. Ce type de
NAT est généralement utilisé pour fournir aux ordinateurs externes un accès à vos serveurs internes,
publics. Pour plus d’informations, voir À propos de NAT un à un.
Comportement NAT
Lors de la configuration de NAT :
ƒ
ƒ
ƒ
ƒ
174
Chaque interface de Firebox X Edge e-Series doit utiliser un sous-réseau TCP différent.
Vous ne pouvez disposer que d’un réseau approuvé, d’un réseau facultatif et d’un réseau externe. Vous
pouvez utiliser un routeur pour connecter plusieurs sous-réseaux à ces réseaux. Pour plus
d’informations, voir Connecter Edge à plus de quatre périphériques.
Edge utilise toujours la traduction d’adresses réseau dynamique pour le trafic qui passe du réseau
approuvé ou facultatif au réseau externe.
La traduction d’adresses réseau dynamique ne s’applique pas au trafic BOVPN ou Mobile VPN.
Firebox X Edge e-Series
Gestion du trafic
Adresses IP secondaires
Vous pouvez attribuer huit adresses IP publiques à l’interface externe principale (WAN1). Ces adresses sont
utilisées pour NAT un à un.
Lorsque vous configurez les adresses IP secondaires sur le réseau externe :
ƒ
ƒ
ƒ
L’adresse IP principale doit être une adresse IP statique. La première adresse IP est l’adresse IP
principale.
Toutes les adresses IP secondaires doivent être sur le même sous-réseau externe que l’adresse IP
principale.
Vous ne pouvez pas configurer plusieurs adresses IP pour l’interface WAN2. L’interface WAN2 doit être
sur un sous-réseau différent de celui de l’interface WAN1.
À propos de la traduction d’adresses réseau dynamique
La traduction d’adresses réseau dynamique est le type de règle NAT le plus couramment utilisé. Elle consiste
à remplacer l’adresse IP source d’une connexion sortante par l’adresse IP publique de Firebox. À l’extérieur de
Firebox, vous ne voyez que l’adresse IP de l’interface externe de Firebox sur les paquets sortants.
De nombreux ordinateurs peuvent se connecter à Internet à partir d’une adresse IP publique. La traduction
d’adresses réseau dynamique offre davantage de sécurité aux hôtes internes qui utilisent Internet, car elle
masque les adresses IP des hôtes sur le réseau. Avec la traduction d’adresses réseau dynamique, toutes les
connexions doivent démarrer derrière Firebox. Lorsque Firebox est configuré pour la traduction d’adresses
réseau dynamique, les hôtes malveillants ne peuvent pas initier de connexions aux ordinateurs derrière
Firebox.
Edge utilise automatiquement la traduction d’adresses réseau dynamique sur tout le trafic sortant. Si vous
souhaitez que le trafic sortant d’un hôte sur le réseau approuvé ou facultatif affiche une adresse IP qui soit
différente de l’adresse IP principale du réseau externe, vous devez utiliser NAT un à un. Pour plus
d’informations, voir À propos de NAT un à un.
À propos de la traduction d’adresses réseau statique
La traduction d’adresses réseau statique, également connue sous le nom de transfert de port, est une règle
NAT de port à hôte. Un hôte envoie un paquet à partir du réseau externe à un port sur une interface externe.
La traduction d’adresses réseau statique change l’adresse IP en une adresse IP et en un port se trouvant
derrière le pare-feu. Si une application logicielle utilise plusieurs ports et que ces ports sont sélectionnés de
façon dynamique, utilisez NAT un à un ou vérifiez si un proxy sur Firebox pourra gérer ce type de trafic.
Lorsque vous utilisez la traduction d’adresses réseau statique, vous utilisez en fait une adresse IP externe de
votre périphérique Firebox et non l’adresse IP d’un serveur public. Ceci est possible, car vous l’avez choisi ou
parce que votre serveur public ne possède pas d’adresse IP publique. Par exemple, vous pouvez placer votre
serveur de messagerie SMTP derrière Firebox avec une adresse IP privée et configurer la traduction d’adresses
réseau statique dans votre stratégie SMTP. Firebox reçoit les connexions sur le port 25 et s’assure que tout le
trafic SMTP est envoyé au serveur SMTP réel situé derrière lui.
Configurez la traduction d’adresses réseau statique avec les stratégies de pare-feu pour le trafic entrant. Pour
plus d’informations, voir À propos de l’utilisation des stratégies de filtrage de paquets courantes.
Guide de l’utilisateur
175
Gestion du trafic
À propos de NAT un à un
Lorsque vous activez NAT un à un, Firebox modifie et achemine tous les paquets entrants et sortants envoyés
à partir d’une plage d’adresses vers une autre plage d’adresses. Une règle NAT un à un est toujours prioritaire
sur une règle de traduction d’adresses réseau dynamique.
La règle NAT un à un est fréquemment utilisée en présence d’un groupe de serveurs internes dont les adresses
IP privées doivent être rendues publiques. Vous pouvez utiliser NAT un à un pour faire correspondre des
adresses IP publiques aux serveurs internes. Il est inutile de modifier l’adresse IP de vos serveurs internes. Dans
un groupe de serveurs identiques (par exemple, un groupe de serveurs de messagerie), il est plus simple de
configurer NAT un à un que la traduction d’adresses réseau statique.
Voici un exemple de configuration de NAT un à un :
La Société ABC possède un groupe de cinq serveurs de messagerie comportant des adresses privées situés
derrière l’interface approuvée de son périphérique Firebox. Ces adresses sont les suivantes :
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La Société ABC sélectionne cinq adresses IP publiques à partir de la même adresse réseau que l’interface
externe de son périphérique Firebox, puis crée des enregistrements DNS pour la résolution des adresses IP des
serveurs de messagerie du domaine.
Ces adresses sont les suivantes :
50.1.1.1
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La Société ABC configure une règle NAT un à un pour ses serveurs de messagerie. La règle NAT un à un génère
une relation statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a l’aspect
suivant :
10.1.1.1 <--> 50.1.1.1
10.1.1.2 <--> 50.1.1.2
10.1.1.3 <--> 50.1.1.3
10.1.1.4 <--> 50.1.1.4
10.1.1.5 <--> 50.1.1.5
Une fois la règle NAT un à un appliquée, Firebox crée le routage bidirectionnel et la relation NAT entre le pool
d’adresses IP privées et le pool d’adresses publiques.
176
Firebox X Edge e-Series
Gestion du trafic
Activer la règle NAT un à un
L’activation de la règle NAT un à un s’effectue en trois étapes :
1. Ajout d’une paire d’adresses IP. Pour plus d’informations, voir Ajouter une adresse IP externe
secondaire.
Une adresse IP externe secondaire est une adresse IP publique sur l’interface externe qui possède également une
adresse IP sur le réseau approuvé ou facultatif (privé). Vous devez posséder au moins une adresse IP externe
secondaire pour activer la règle NAT un à un.
2. Ajout ou modification d’une stratégie pour la règle NAT un à un. Pour plus d’informations, voir Ajouter
ou modifier une stratégie pour la règle NAT un à un.
Vous pouvez utiliser une stratégie existante ou ajouter une stratégie personnalisée définissant les différents types
de trafic possibles à destination ou en provenance du périphérique qui utilise l’adresse IP externe secondaire.
3. Activation d’adresses IP secondaires. Pour plus d’informations, voir Activer des adresses secondaires.
Ajouter une adresse IP externe secondaire
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Pare-feu > NAT.
La page NAT (Network Address Translation) s’affiche.
3. Tapez une adresse IP publique du réseau externe et une adresse IP privée du réseau approuvé ou
facultatif, puis cliquez sur Ajouter.
Firebox X Edge fait correspondre l’adresse IP privée que vous venez de taper à l’adresse IP externe secondaire. Vous
pouvez créer un maximum de huit (8) paires d’adresses IP pour NAT un à un.
4. Cliquez sur Envoyer pour enregistrer les modifications.
Supprimer une adresse IP externe secondaire
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Pare-feu > NAT.
La page NAT (Network Address Translation) s’affiche.
3. Sélectionnez la paire d’adresses IP que vous souhaitez supprimer, puis cliquez sur Supprimer.
L’entrée est supprimée de la liste Adresses IP secondaires.
4. Cliquez sur Envoyer pour enregistrer les modifications.
Si vous supprimez la dernière paire d’adresses IP, la règle NAT un à un est automatiquement
désactivée.
Activer des adresses secondaires
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Pare-feu > NAT.
La page NAT (Network Address Translation) s’affiche.
3. Activez la case à cocher Activer adresses IP secondaires.
4. Cliquez sur Envoyer. La règle NAT un à un est désormais activée.
Guide de l’utilisateur
177
Gestion du trafic
Ajouter ou modifier une stratégie pour la règle NAT un à un
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Pare-feu > Entrant.
La page Filtrage du trafic entrant s’affiche.
3. En regard d’une stratégie existante que vous souhaitez modifier, cliquez sur Modifier.
Pour ajouter une stratégie personnalisée de filtrage de paquets ou de proxy, cliquez sur Ajouter une
stratégie de filtrage des paquets ou sur Ajouter une stratégie de proxy.
4. Dans l’onglet Entrant, sélectionnez NAT un à un dans la liste déroulante Hôte de stratégie. Si vous
avez configuré plusieurs adresses IP externes secondaires, sélectionnez la paire d’adresses IP que vous
souhaitez associer à la stratégie dans la liste déroulante adjacente.
5. Dans le cas d’une stratégie existante, cliquez sur Envoyer.
Dans le cas d’une nouvelle stratégie personnalisée de filtrage des paquets ou de proxy, utilisez les
instructions de la rubrique Filtrer le trafic entrant pour une stratégie personnalisée ou de la rubrique
Ajouter ou modifier une stratégie de proxy pour configurer les autres paramètres.
178
Firebox X Edge e-Series
11
Journalisation
À propos de la journalisation et des fichiers journaux
Une fonctionnalité importante d’une stratégie de sécurité réseau de qualité consiste à rassembler les
messages provenant de vos systèmes de sécurité, à examiner souvent ces enregistrements et à les conserver
dans une archive. Vous pouvez utiliser les journaux pour analyser la sécurité et l’activité de votre réseau,
identifier tous les risques de sécurité et les traiter.
Un fichier journal est une liste d’événements contenant des informations sur ces événements. Un événement
correspond à une activité qui se produit sur Firebox. Le refus d’un paquet par Firebox est un exemple
d’événement. Votre système Firebox peut également capturer des informations sur les événements autorisés
afin de vous offrir une image plus complète de l’activité sur votre réseau.
Le système de message de journal comprend plusieurs composants.
Serveurs Log Server
Firebox Edge peut envoyer des données de journal vers un serveur syslog ou un serveur WatchGuard Log
Server, un composant de WatchGuard System Manager (WSM). Vous devez disposer de Firebox III, Firebox X
Core ou Firebox X Peak pour télécharger et installer WSM et le logiciel WatchGuard Log Server. Le logiciel de
serveur syslog est disponible auprès de fournisseurs tiers.
Vous pouvez installer le serveur WatchGuard Log Server sur un ordinateur que vous utilisez comme station de
gestion. Vous pouvez également installer le logiciel Log Server sur un autre ordinateur. Pour cela, utilisez le
programme d’installation de WatchGuard System Manager et choisissez d’installer uniquement le composant
Log Server. Vous pouvez également ajouter des serveurs Log Server supplémentaires à des fins de
sauvegarde.
Les messages de journal qui sont envoyés vers le serveur WatchGuard Log Server sont chiffrés. Le format d’un
message du journal est XML (texte brut). Les informations collectées à partir des périphériques de pare-feu
incluent les messages de types Trafic, Alarme, Événement, Débogage et Statistiques.
Journal d’événements et état du système Syslog
Vous pouvez afficher le journal d’événements dansla page Journalisation. Le journal d’événements contient
des données sur les activités les plus récentes sur Firebox. Vous pouvez voir les mêmes informations, sans
autres paramètres de journalisation dans État du système > Syslog. La page Syslog peut afficher en continu
les informations des journaux en temps réel. Cliquez sur le bouton Démarrer l’actualisation permanente
pour mettre à jour en temps réel les données des journaux.
Guide de l’utilisateur
179
Journalisation
Journalisation et notification dans les applications et sur les serveurs
Le serveur Log Server peut recevoir les messages de journal à partir de votre système Firebox ou d’un serveur
WatchGuard. Une fois que vous avez configuré votre système Firebox et le serveur Log Server, Firebox envoie
les messages de journal vers le serveur Log Server. Vous pouvez activer la journalisation dans les différentes
applications et stratégies WSM que vous avez définies pour que Firebox contrôle le niveau des journaux que
vous voyez. Si vous choisissez d’envoyer les messages de journal à partir d’un autre serveur WatchGuard vers
le serveur Log Server, vous devez commencer par activer la journalisation sur ce serveur.
À propos des messages de journal
Firebox envoie les messages de journal vers le serveur Log Server. Il peut également envoyer les messages de
journal vers un serveur syslog ou conserver localement les journaux sur Firebox. Vous pouvez choisir
d’envoyer les journaux à l’un et/ou à l’autre de ces emplacements.
Consulter le journal d’événements
Firebox X Edge e-Series utilise jusqu’à 640 Ko de mémoire pour les messages des journaux. Les nouvelles
informations figurent en haut du fichier. Lorsque vous entrez de nouvelles informations dans un fichier journal
complet, elles remplacent le message de journal situé dans la partie inférieure du fichier.
Le fichier journal Firebox X Edge est effacé si l’alimentation est déconnectée ou si Edge est
redémarré. Pour conserver de façon permanente les informations, vous devez configurer Log Server
ou syslog externe.
Chaque message de journal contient les informations suivantes :
Heure
Heure de l’événement qui a créé le message de journal.
Catégorie
Type du message. Par exemple, si le message provient d’une adresse IP ou d’un fichier de
configuration.
Message
Texte du message.
Pour afficher le journal d’événements
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, cliquez sur Journalisation.
La page Journalisation s’affiche avec le journal d’événements dans la partie inférieure de la page.
180
Firebox X Edge e-Series
Journalisation
À propos de la connexion à un serveur WatchGuard
Log Server
Le serveur WatchGuard Log Server (anciennement connu sous le nom de WatchGuard System Event
Processor, ou WSEP) est un composant de WatchGuard System Manager. Si vous disposez de Firebox III,
Firebox X Core ou Firebox X Peak, configurez un serveur Log Server principal pour collecter les messages de
journal provenant de Firebox X Edge e-Series. Vous pouvez également configurer Log Server de secours. Si
Firebox X Edge ne peut pas se connecter au serveur Log Server principal, il essaie de se connecter au serveur
Log Server de secours. Il envoie alors les messages des journaux au serveur de secours tant qu’il ne peut se
connecter à ce serveur. Ensuite, il essaie de nouveau de se connecter au serveur principal. Pour obtenir des
instructions sur la façon de configurer Log Server pour accepter les messages des journaux, voir le Guide de
l’utilisateur de WatchGuard System Manager.
Si vous ne l’avez pas encore fait, il est judicieux de configurer Edge avec un nom de périphérique. Ce nom
permet à Log Server de savoir de quel périphérique les messages des journaux proviennent. Le nom du
périphérique figure dans LogViewer. Si ce champ est vide, Firebox X Edge est identifié dans le fichier journal
par l’adresse IP de l’interface externe Edge. Pour attribuer un nom de périphérique à votre système Edge,
accédez à la page Web Administration.
Envoyer les journaux d’événements vers le serveur Log Server
Pour configurer Edge afin d’envoyer les journaux d’événements vers un serveur WatchGuard Log Server :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est :
https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Journalisation > Journalisation de WatchGuard.
La page Journalisation de WatchGuard s’affiche.
3. Activez la case à cocher Envoyer les journaux à WSM Log Server si vous voulez qu’Edge envoie les
messages de journal vers un serveur WatchGuard Log Server que vous spécifiez.
Guide de l’utilisateur
181
Journalisation
4. Activez la case à cocher Envoyer les journaux au format XML natif pour que les messages du journal
Edge soient envoyés vers le serveur WatchGuard Log Server dans la norme de format XML pour
Fireware v8.0 ou version ultérieure. L’installation de WSM/Log Server doit correspondre à WSM v8.3 ou
version ultérieure.
Si vous sélectionnez cette option, Edge génère des messages de journal au format natif XML, qui inclut
plus de détails pour chaque message de journal. Cela permet à l’administrateur WSM de créer des
rapports qui incluent ces détails pour Edge.
Si vous maintenez cette case à cocher désactivée, Edge envoie les messages de journal dans le format
propriétaire utilisé avec le logiciel système WFS v7.x. Log Server convertit ensuite les messages de
journal au format XML.
5. Sous Serveur Log Server principal, tapez l’adresse IP du serveur Log Server principal dans le champ
Adresse IP de Log Server.
6. Tapez un mot de passe dans le champ Clé de chiffrement du journal et confirmez le mot de passe
dans le champ Confirmer la clé.
Il convient d’utiliser le même mot de passe lorsque vous configurez Log Server pour recevoir des
messages de journal à partir de cette instance de Firebox X Edge.
7. Si vous disposez d’un serveur Log Server de secours, tapez son adresse IP et sa clé de chiffrement de
journal.
Si Firebox X Edge ne peut pas se connecter au serveur Log Server principal, il enverra les messages de
journal vers le serveur Log Server de secours jusqu’à ce que le serveur Log Server principal soit de
nouveau disponible.
8. Cliquez sur Envoyer.
182
Firebox X Edge e-Series
Journalisation
À propos de Syslog
Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d’autres platesformes. Vous pouvez configurer Firebox de sorte qu’il envoie des informations de journalisation à un serveur
syslog. Un périphérique Firebox peut envoyer des messages des journaux à un serveur Log Server et à un
serveur syslog, en même temps, ou à l’un ou l’autre. Les messages des journaux syslog ne sont pas chiffrés. Il
est conseillé de ne pas sélectionner un hôte syslog sur l’interface externe.
Envoyer des journaux à un hôte Syslog
Suivez les instructions ci-dessous pour configurer Edge de sorte qu’il envoie les messages des journaux à un
hôte syslog. Un hôte syslog doit déjà être configuré et fonctionnel pour pouvoir recevoir les messages des
journaux depuis Edge.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Journalisation > Journalisation de Syslog.
La page Journalisation de Syslog s’ouvre.
3. Activez la case à cocher Activer la sortie Syslog.
4. En regard de la zone Adresse de l’hôte Syslog, entrez l’adresse IP de l’hôte Syslog.
5. Pour inclure l’heure locale dans les messages Syslog, activez la case à cocher Inclure l’heure locale
dans le message Syslog.
6. Pour inclure le numéro de série de Firebox X Edge dans les messages Syslog, activez la case à cocher
Inclure le numéro de série dans les messages Syslog.
Ce paramètre est utile si plusieurs périphériques Firebox X Edge envoient des messages Syslog à un
même hôte Syslog.
7. Cliquez sur Envoyer.
Dans la mesure où le trafic de Syslog n’est pas chiffré, les messages syslog envoyés via Internet
représentent un risque pour la sécurité du réseau approuvé. Pour cette raison, il est plus sûr de placer
l’hôte Syslog sur votre réseau approuvé.
Guide de l’utilisateur
183
Journalisation
184
Firebox X Edge e-Series
12
Certificats
À propos des certificats
Lorsque vous utilisez l’authentification locale pour vous connecter à Firebox via le protocole HTTP sécurisé,
Firebox utilise un certificat pour sécuriser votre session. Vous pouvez également utiliser des certificats pour
l’authentification VPN.
Les certificats sont des fichiers qui utilisent une signature numérique pour faire correspondre l’identité d’une
personne ou organisation à une clé de chiffrement. Les certificats utilisent un composant de sécurité appelé
« paire de clés » qui contient deux numéros mathématiquement liés. L’utilisateur conserve un numéro, la clé
privée, qui est secrète. Il peut communiquer l’autre numéro, appelé « clé publique », à d’autres utilisateurs.
La clé privée a la capacité de « déverrouiller » les données qui ont été chiffrées à l’aide de la clé publique.
Autorités de certification et demandes de signatures
Pour obtenir un certificat, vous placez une clé privée dans une demande de signature de certificat et envoyez
cette dernière à une autorité de certification. Une autorité de certification est une organisation ou application
qui émet et révoque des certificats.
À propos des certificats et de Firebox X Edge
Vous pouvez importer 1 certificat Firebox X Edge local pour l’authentification locale, jusqu’à 25 certificats de
passerelle VPN distante (un par passerelle) et jusqu’à 10 certificats d’autorités de certification. Les certificats
que vous importez sur Firebox X Edge ne sont pas inclus dans une sauvegarde de configuration. Toutefois,
les noms uniques des certificats sélectionnés pour les tunnels VPN sont enregistrés.
Vous devez importer un certificat pour l’activer. Si vous prévoyez d’utiliser un certificat pour l’authentification
VPN sur un tunnel existant, vous devez également modifier la configuration du tunnel VPN pour qu’il utilise le
nouveau certificat. Aucune configuration supplémentaire n’est nécessaire pour les certificats d’autorités de
certification.
Pour fonctionner correctement, les certificats locaux doivent inclure une clé privée non chiffrée dans le fichier
du certificat.
Guide de l’utilisateur
185
Certificats
Utiliser OpenSSL pour générer une demande de
signature de certificat
OpenSSL est installé avec un maximum de distributions GNU/Linux. Pour télécharger le code source ou un
fichier binaire Windows, accédez au site http://www.openssl.org/ et suivez les consignes d’installation pour
votre système d’exploitation. Vous pouvez utiliser OpenSSL pour convertir des certificats et des demandes de
signature de certificat d’un format à un autre. Pour plus d’informations, voir la page principale ou la
documentation en ligne OpenSSL.
1. Ouvrez un terminal d’interface de ligne de commande.
2. Tapez :
openssl genrsa -out privkey.pem 1024 pour générer un fichier de clé privée nommé
privkey.pem dans votre répertoire de travail actuel.
3. Tapez :
openssl req -new -key privkey.pem -out request.csr
Cette commande génère une demande de signature de certificat au format PEM dans votre répertoire de travail
actuel.
4. Lorsque vous êtes invité à fournir les données d’attribut Nom commun x509, tapez votre nom de
domaine complet (FQDN). Utilisez d’autres informations, le cas échéant.
5. Suivez les instructions provenant de votre autorité de certification pour envoyer la demande de
signature de certificat.
Pour créer un certificat auto-signé temporaire en attendant que l’autorité de certification retourne votre
certificat signé, tapez la ligne de commande suivante :
openssl x509 -req -days 30 -in request.csr -key privkey.pem -out sscert.cert
Cette commande crée un certificat au sein de votre répertoire actuel qui expirera dans 30 jours.
Vous ne pouvez pas utiliser un certificat auto-signé pour l’authentification de passerelle distante
VPN. Il est conseillé d’utiliser des certificats signés par une autorité de certification tierce approuvée.
186
Firebox X Edge e-Series
Certificats
Utiliser l’autorité de certification Microsoft pour créer
un certificat
L’autorité de certification est distribuée sous la forme d’un composant de Windows Server 2003. Si elle ne
figure pas dans le dossier Outils d’administration du Panneau de configuration, suivez les instructions du
fabricant pour l’installer.
Lorsque vous utilisez cette procédure, vous agissez en tant qu’autorité de certification et signez
numériquement votre propre demande. Pour que le certificat final soit utile, nous vous recommandons
d’acquérir d’autres certificats qui connectent votre autorité de certification privée à une autorité
de certification tierce, globalement approuvée. Vous pouvez importer ces certificats supplémentaires sur la
page Certificats Firebox X Edge.
Envoyer la demande de certificat
1. Ouvrez votre navigateur Web. Dans la barre d’adresses, entrez l’adresse IP du serveur sur lequel est
installée l’autorité de certification, suivie de certsrv.
Par exemple : http://10.0.2.80/certsrv
2. Cliquez sur le lien Demander un certificat.
3. Cliquez sur le lien Demande de certificat avancée.
4. Pour envoyer une demande que vous avez créée à l’aide d’OpenSSL, cliquez sur le lien Envoyer un
certificat.
5. Collez le contenu de votre fichier de demande de signature de certificat dans la zone de texte
Demande enregistrée.
La demande doit être au format PKCS7 ou PKCS10 Base 64.
6. Fermez votre navigateur Web.
Délivrer le certificat
1. Connectez-vous au serveur sur lequel est installée l’autorité de certification, si nécessaire.
2. Dans le menu Démarrer, sélectionnez Panneau de configuration > Outils d’administration >
Autorité de certification.
3. Dans l’arborescence Autorité de certification (locale) du volet de navigation de gauche, sélectionnez
Votre nom de domaine > Demandes en attente.
4. Sélectionnez la demande de signature de certificat dans le volet de navigation de droite.
5. Dans le menu Action, sélectionnez Toutes les tâches > Délivrer.
6. Fermez la fenêtre de l’autorité de certification.
Télécharger le certificat
1. Ouvrez votre navigateur Web. Dans la barre d’adresses, entrez l’adresse IP du serveur sur lequel est
installée l’autorité de certification, suivie de certsrv.
Exemple : http://10.0.2.80/certsrv
2. Cliquez sur le lien Afficher le statut d’une requête de certificat en attente.
3. Cliquez sur la demande de certificat correspondant à la date et à l’heure de votre envoi.
4. Activez la case d’option Codé en base 64 pour sélectionner le format PKCS7.
5. Cliquez sur Télécharger le certificat pour enregistrer le certificat sur votre disque dur.
Guide de l’utilisateur
187
Certificats
À propos de l’utilisation des certificats sur
Firebox X Edge
Vous devez importer un certificat pour l’activer. Si vous prévoyez d’utiliser un certificat pour l’authentification
VPN sur un tunnel existant, vous devez également modifier la configuration du tunnel VPN pour qu’il utilise le
nouveau certificat. Aucune configuration supplémentaire n’est nécessaire pour les certificats d’autorités de
certification approuvées.
Pour fonctionner correctement, les certificats locaux doivent inclure une clé privée non chiffrée dans
le fichier du certificat.
Importer un certificat
1. À partir de la page État du système de Firebox X Edge, sélectionnez Administration > Certificats.
2. En regard du type de certificat que vous souhaitez ajouter, cliquez sur Importer.
3. Si votre certificat est au format PEM, copiez et collez son contenu dans la zone de texte ou activez la
deuxième case d’option et cliquez sur Parcourir pour sélectionner le fichier du certificat.
4. Si votre certificat est au format PKCS12, activez la dernière case d’option et cliquez sur Parcourir pour
sélectionner le fichier du certificat.
Cette option est uniquement disponible pour les certificats Firebox X Edge locaux.
5. Cliquez sur Importer.
Vous pouvez répéter les étapes 2 à 5 pour ajouter des certificats supplémentaires.
Utiliser un certificat local
1. À partir de la page État du système de Firebox X Edge, sélectionnez Administration > Sécurité du
système.
2. Sélectionnez le certificat local importé dans la liste déroulante Certificat.
3. Cliquez sur Envoyer.
Supprimer un certificat
1. À partir de la page État du système de Firebox X Edge, sélectionnez Administration > Certificats.
2. Sélectionnez le certificat à supprimer, puis cliquez sur le bouton Supprimer placé en regard du nom.
Les tunnels VPN ne fonctionnent pas correctement si vous supprimez un certificat en cours
d’utilisation. Nous vous recommandons de modifier la méthode d’authentification des tunnels VPN
avant de supprimer un certificat de passerelle VPN distante.
Examiner un certificat
Vous pouvez examiner un certificat que vous avez préalablement importé pour connaître ses propriétés,
notamment sa date d’expiration, l’autorité de certification et d’autres informations.
1. À partir de la page État du système de Firebox X Edge, sélectionnez Administration > Certificats.
2. Sélectionnez le certificat que vous souhaitez examiner, puis cliquez sur le bouton Détail placé en
regard du nom.
188
Firebox X Edge e-Series
13
Gestion des utilisateurs et
des groupes
À propos des licences d’utilisateur
Un nombre défini de licences d’utilisateur (également appelées nSuds) est activé sur votre pare-feu Firebox X
Edge. Le nombre total de sessions disponibles est déterminé par le modèle de périphérique Edge utilisé et par
les éventuelles licences de mise à niveau appliquées. Le nombre de licences limite le nombre de sessions. Pour
contrôler le nombre d’utilisateurs à tout moment, fermez une ou plusieurs sessions. Lorsque vous fermez une
session, vous mettez la licence d’utilisateur correspondante à la disposition d’un autre utilisateur. Il existe
plusieurs façons de fermer des sessions :
ƒ
ƒ
ƒ
ƒ
ƒ
Si l’authentification des utilisateurs est obligatoire, un utilisateur de Firebox peut se déconnecter et
libérer sa licence manuellement.
L’administrateur d’Edge peut fermer la session manuellement. Il peut fermer la session d’un utilisateur
spécifique ou fermer toutes les sessions.
Si l’authentification des utilisateurs est obligatoire, vous pouvez affecter un délai d’attente maximal et
un délai d’inactivité à chaque utilisateur.
L’administrateur Edge peut définir un délai d’inactivité de session maximal global.
Pour fermer toutes les sessions, vous devez redémarrer Edge.
Les mises à niveau de licences sont disponibles auprès de votre revendeur ou sur le site Web de WatchGuard
à l’adresse : http://www.watchguard.com/products/purchaseoptions.asp.
Guide de l’utilisateur
189
Gestion des utilisateurs et des groupes
Octroi de licences d’utilisateur lorsque l’authentification est nécessaire
L’octroi de licences d’utilisateur varie selon que l’authentification des utilisateurs auprès de Firebox est
nécessaire ou non pour accéder au réseau externe :
Lorsque l’authentification des utilisateurs n’est pas nécessaire pour accéder au réseau externe
Une licence d’utilisateur est utilisée lorsque l’authentification des utilisateurs n’est pas nécessaire
pour accéder au réseau externe et qu’Edge permet au trafic de passer d’un ordinateur du réseau
approuvé ou facultatif au réseau externe. Si un utilisateur navigue sur Internet, Edge ajoute
l’adresse IP de l’ordinateur à la liste des utilisateurs. Une fois la limite atteinte, toutes les autres
tentatives de connexion sont refusées.
Lorsque l’authentification des utilisateurs est nécessaire pour accéder au réseau externe.
Une licence d’utilisateur est utilisée lorsque l’authentification des utilisateurs est nécessaire pour
accéder au réseau externe et qu’un utilisateur de Firebox s’authentifie. Dans ce cas, une licence est
utilisée dès qu’un utilisateur de Firebox s’authentifie auprès d’Edge, que le trafic passe ou non de
l’ordinateur de l’utilisateur vers le réseau externe.
Si un ordinateur unique établit en même temps une connexion filaire et une connexion sans fil vers
Firebox X Edge Wireless, deux licences d’utilisateur sont utilisées lors de l’envoi du trafic vers le
réseau externe.
Octroi de licences d’utilisateur lorsque l’authentification n’est pas
nécessaire
Aucune licence d’utilisateur n’est nécessaire lorsque :
ƒ
ƒ
ƒ
Des données passent entre le réseau approuvé et le réseau facultatif.
Des données passent d’un ordinateur du réseau approuvé ou facultatif vers un ordinateur placé à
l’autre point de terminaison d’un tunnel Branch Office VPN.
Toutes les données entrantes sont transférées vers le réseau protégé par Edge.
Les données passent d’un ordinateur vers Edge lorsqu’aucune authentification n’est requise de la part des
utilisateurs pour accéder au réseau externe.
190
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
À propos de l’authentification des utilisateurs
L’authentification des utilisateurs est la procédure permettant d’identifier si un utilisateur est bien celui ou
celle qu’il déclare être. Sur Firebox, l’utilisation des mots de passe permet d’associer un nom d’utilisateur à une
adresse IP. La gestion des connexions via Firebox par l’administrateur Firebox s’en trouve facilitée.
L’authentification permet aux utilisateurs de se connecter au réseau à partir de n’importe quel ordinateur en
n’ayant accès qu’aux seuls protocoles et ports pour lesquels ils détiennent une autorisation. Toutes les
connexions établies à partir de cette adresse IP transmettent le nom de la session lors de l’authentification de
l’utilisateur.
Vous pouvez configurer Edge en tant que serveur d’authentification local, utiliser votre serveur
d’authentification Active Directory ou LDAP existant ou un serveur d’authentification RADIUS existant. En
présence d’une authentification tierce, les privilèges liés aux comptes des utilisateurs qui s’authentifient
auprès du serveur d’authentification tierce sont basés sur l’appartenance à un groupe.
La fonctionnalité d’authentification des utilisateurs de WatchGuard associe un nom d’utilisateur à une
adresse IP spécifique, ce qui vous permet d’authentifier les connexions d’un utilisateur via Firebox et d’en
assurer le suivi. Avec Firebox, la question fondamentale qui se pose lors de chaque connexion est « Dois-je
autoriser le trafic de la source X vers la destination Y ? ». Firebox permet aussi d’y répondre. La fonctionnalité
d’authentification de WatchGuard dépend de la stabilité de la relation entre l’utilisateur de l’ordinateur et
l’adresse IP de cet ordinateur pendant la durée d’authentification de cet utilisateur auprès de Firebox.
Dans la plupart des environnements, la relation entre une adresse IP et son utilisateur est suffisamment stable
pour permettre d’authentifier le trafic généré par cet utilisateur. Les environnements dans lesquels
l’association d’un utilisateur et d’une adresse IP n’est pas constante, tels que les bornes ou les réseaux centrés
sur un terminal Terminal Server, ne sont généralement pas adaptés à la fonctionnalité d’authentification des
utilisateurs qui risque de ne pas être opérationnelle. WatchGuard prend actuellement en charge
l’authentification, la gestion des comptes et le contrôle des accès dans nos pare-feux en supposant une
association stable entre adresses IP et utilisateurs.
Nous prenons également en charge l’authentification auprès d’un domaine Active Directory via Single SignOn ainsi que d’autres serveurs d’authentification répandus. De plus, nous prenons en charge les paramètres
d’inactivité et les limites de temps imposées aux sessions. Ces contrôles restreignent la durée pendant
laquelle une adresse IP est autorisée à passer des données via Firebox avant que l’utilisateur ne doive entrer
de nouveau son mot de passe.
Si vous utilisez une liste blanche pour contrôler l’accès SSO et si vous gérez les délais d’inactivité, les délais
d’expiration de sessions et les utilisateurs autorisés à s’authentifier, vous améliorerez de façon significative le
contrôle de l’authentification, de la gestion des comptes et du contrôle des accès.
Guide de l’utilisateur
191
Gestion des utilisateurs et des groupes
Définir des options d’authentification pour tous les utilisateurs
Certaines options d’authentification concernent tous les utilisateurs. Pour définir ou modifier des options
d’authentification :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Paramètres.
La page Paramètres s’affiche.
3. Utilisez les définitions ci-après pour modifier vos paramètres. Cliquez sur Envoyer.
Demander l’authentification utilisateur (activer les comptes d’utilisateurs locaux)
Lorsque vous activez cette case à cocher, tous les hôtes doivent s’authentifier auprès de Firebox
X Edge pour envoyer ou recevoir du trafic réseau. Si vous n’activez pas cette case à cocher, aucun
contrôle des utilisateurs accédant à Internet ou aux tunnels VPN n’est disponible.
Si vous configurez un service entrant et que vous activez des comptes d’utilisateurs de
Firebox, vous devez ajouter les serveurs acceptant des connexions entrantes à la liste des
hôtes approuvés. Pour plus d’informations, voir Afficher les sessions et utilisateurs actuels.
Inviter automatiquement à se connecter lors de l’accès au Web
Lorsque vous activez cette case à cocher, la boîte de dialogue d’authentification s’affiche chaque
fois qu’un utilisateur non authentifié tente d’accéder à Internet.
Réinitialiser le minuteur d’inactivité lors de l’accès au site Web intégré de Firebox X Edge
Lorsque vous activez cette case à cocher, Firebox X Edge ne déconnecte pas une session quand
le délai d’inactivité expire si la boîte de dialogue État de la connexion s’affiche sur le bureau.
Désactivez cette case à cocher pour ignorer la boîte de dialogue État de la connexion. La zone
État de la connexion envoie du trafic à Firebox X Edge à partir de l’ordinateur de l’utilisateur,
toutes les deux minutes. Si vous activez cette case à cocher, Edge réinitialise le minuteur
d’inactivité à zéro chaque fois qu’il reçoit du trafic de la zone État de la connexion.
Activer la fermeture de session automatique
Cette propriété globale s’applique à toutes les sessions et remplace toutes les autres options
d’authentification. Elle vous permet d’effacer la liste de sessions en cours et de rendre toutes les
licences d’utilisateurs de nouveau disponibles. Activez cette case à cocher pour déconnecter
toutes les sessions à l’heure spécifiée, dans la liste déroulante. Toutes les sessions sont
déconnectées en même temps. La limite de temps correspond au nombre d’heures écoulées
depuis le démarrage de Firebox X Edge, et non à la durée pendant laquelle une session est active.
192
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
À propos des comptes d’utilisateurs
Lors de la création d’un utilisateur local dans Firebox X Edge e-Series, vous sélectionnez son niveau d’accès
administratif. Vous sélectionnez le contrôle d’accès au réseau externe et au tunnel BOVPN (Branch Office VPN),
ainsi que les limites de temps applicables à cet accès. Vous pouvez également activer Mobile VPN with PPTP
et Mobile VPN with SSL, ajouter un profil WebBlocker au compte d’utilisateur et configurer les paramètres
Mobile VPN with IPSec de l’utilisateur.
Il existe trois niveaux d’accès administratif pour Firebox X Edge :
ƒ
ƒ
ƒ
Aucun : ce niveau permet aux utilisateurs de se connecter à des ressources du réseau externe. Un
utilisateur détenteur de ce niveau d’accès ne peut ni voir ni modifier les pages de configuration d’Edge.
Lecture seule : choisissez ce niveau pour les utilisateurs qui souhaitent afficher les propriétés et l’état
de la configuration d’Edge. Un utilisateur qui utilise ce niveau d’accès ne peut pas modifier le fichier de
configuration.
Complet : choisissez ce niveau pour les utilisateurs qui peuvent afficher et modifier les propriétés de
la configuration d’Edge. Vous pouvez également activer des options, déconnecter les sessions actives,
redémarrer Edge et ajouter ou modifier des comptes d’utilisateurs. Un utilisateur qui utilise ce niveau
d’accès peut modifier le mot de passe de tous les comptes d’utilisateurs.
Configurer un compte d’utilisateur individuel
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox.
La page des utilisateurs de Firebox s’affiche.
Guide de l’utilisateur
193
Gestion des utilisateurs et des groupes
3. Sous Comptes d’utilisateurs locaux, cliquez sur Ajouter.
La page Nouvel utilisateur apparaît. Elle contient l’onglet Paramètres.
4. Dans le champ Nom de compte, entrez le nom du compte. L’utilisateur entre ce nom pour
s’authentifier. Le nom de compte respecte la casse.
5. Dans le champ Nom complet, entrez le prénom et le nom de l’utilisateur. Uniquement pour
information. L’utilisateur n’utilise pas ce nom pour s’authentifier.
6. Dans le champ Description, entrez la description de l’utilisateur. Uniquement pour information.
L’utilisateur n’utilise pas cette description pour s’authentifier.
7. Dans le champ Mot de passe , entrez un mot de passe comprenant au moins huit caractères. Entrez
une combinaison de huit lettres, chiffres et symboles. Ne choisissez pas un mot dans un dictionnaire.
Pour une sécurité maximale, utilisez au moins un caractère spécial, un chiffre et une combinaison de
lettres majuscules et minuscules.
8. Entrez de nouveau le mot de passe dans le champ Confirmer le mot de passe.
9. Dans la liste déroulante Accès administratif, définissez le niveau d’affichage et de modification des
propriétés de la configuration de Firebox X Edge que vous souhaitez accorder à votre utilisateur :
Aucun, Lecture seule ou Complet.
10. Dans le champ Délai d’attente maximal de la session, définissez la durée maximale pendant laquelle
l’ordinateur peut envoyer du trafic au réseau externe ou via un tunnel Branch Office VPN. Lorsque ce
champ est défini sur (0) minute, il n’y a aucun délai d’attente de session et l’utilisateur peut rester
connecté pendant la durée de son choix.
194
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
11. Dans le champ Délai d’inactivité de session, définissez la durée pendant laquelle l’ordinateur peut
rester authentifié lorsqu’il est inactif (lorsqu’il ne transmet aucun trafic au réseau externe, via le tunnel
VPN Branch Office, ou au système Firebox X Edge lui-même). Une valeur de zéro (0) minute signifie qu’il
n’y a pas de délai d’inactivité.
12. Si vous souhaitez que cet utilisateur ait accès à Internet, activez la case à cocher Autoriser l’accès au
réseau externe. Pour que ce paramètre prenne effet, l’authentification de l’utilisateur doit être
obligatoire.
13. Si vous souhaitez que cet utilisateur ait accès aux ordinateurs situés de l’autre côte d’un tunnel VPN
Branch Office, activez la case à cocher Autoriser l’accès aux tunnels VPN gérés et manuels.ad Pour
que ce paramètre prenne effet, l’authentification utilisateur doit être obligatoire.
14. Si vous souhaitez que cet utilisateur puisse utiliser Mobile VPN with PPTP pour un accès distant sécurisé
à Edge, activez la case à cocher Autoriser l’accès distant avec Mobile VPN with PPTP. Pour que
Mobile VPN with PPTP soit opérationnel, vous devez également activer PPTP sur la page VPN >
Mobile VPN.
15. Si vous souhaitez que cet utilisateur puisse utiliser Mobile VPN with SSL pour un accès distant sécurisé
à Edge, activez la case à cocher Autoriser l’accès distant avec Mobile VPN with SSL. Vous devez
également activer WatchGuard Mobile VPN with SSL dans la page VPN > Mobile VPN with SSL.
16. Cliquez sur Envoyer.
Demander aux utilisateurs de s’authentifier auprès d’Edge
Lorsque vous configurez l’authentification des utilisateurs, vous pouvez choisir de permettre aux utilisateurs
d’afficher automatiquement la boîte de dialogue de connexion lorsqu’ils ouvrent leur navigateur Web. Si vous
n’utilisez pas ce paramètre, les utilisateurs doivent utiliser la procédure suivante pour s’authentifier :
1. Ouvrez un navigateur Web. Vous pouvez utiliser Mozilla Firefox, Microsoft Internet Explorer ou
Netscape Navigator. Vous pouvez utiliser d’autres navigateurs Web mais ils ne sont pas pris en charge.
Vous devez activer JavaScript et autoriser les fenêtres contextuelles de Firebox X Edge dans votre
navigateur Web pour vous authentifier.
2. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
3. Une boîte de dialogue de sécurité s’affiche. Acceptez l’avertissement pour continuer.
4. Entrez votre nom d’utilisateur et votre mot de passe. Si vous utilisez un serveur d’authentification
tierce, comme Active Directory ou RADIUS, vous devez entrer le nom d’utilisateur selon le format
suivant : domaine\utilisateur
Guide de l’utilisateur
195
Gestion des utilisateurs et des groupes
Authentifier une session sans accès administratif
Si vous nécessitez une authentification auprès d’Edge pour qu’un utilisateur puisse accéder à des ressources
telles que le réseau externe, il doit se connecter à l’adresse IP de l’interface approuvée d’Edge à l’aide du
protocole HTTPS et entrer un nom d’utilisateur, ainsi qu’un mot de passe. L’URL par défaut de l’adresse IP de
l’interface approuvée d’Edge est https://192.168.111.1. Si l’accès administratif de l’utilisateur est défini sur
aucun, il ne peut pas afficher la page État du système. Il affiche la page État de la connexion.
Si vous utilisez l’authentification locale, vous devez entrer votre nom tel qu’il s’affiche dans la liste des
utilisateurs de Firebox. Si vous utilisez un serveur RADIUS, Active Directory ou LDAP pour l’authentification via
Firebox X Edge, vous devez inclure le nom du domaine. Si, par exemple, un utilisateur s’authentifie à l’aide de
la liste des utilisateurs de Firebox locaux, il ou elle entre jsmith. Si l’utilisateur administrateur s’authentifie avec
un serveur d’authentification LDAP ou RADIUS via Edge, l’administrateur doit entrer MaSociete\jsmith.
Lorsque vous vous authentifiez avec Firebox X Edge et établissez une connexion Internet, votre nom
d’utilisateur s’affiche dans la section Sessions actives de la page Utilisateur de Firebox.
La page État de la connexion s’affiche à tout moment lorsque l’utilisateur retourne à l’URL d’Edge. Sur cette
page, l’utilisateur peut :
ƒ
ƒ
ƒ
afficher la durée d’activité de sa session ;
afficher le délai d’inactivité possible avant l’expiration de la session ;
modifier son mot de passe.
Créer un compte administratif en lecture seule
Vous pouvez créer un compte d’utilisateur local avec accès à l’affichage des pages de configuration de
Firebox X Edge e-Series. Lorsque vous ouvrez une session en tant qu’administrateur en lecture seule, vous ne
pouvez pas :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
cliquer sur le bouton Redémarrer de la page État du système ;
changer le mode de configuration dans la page Externe ;
cliquer sur les boutons Réinitialiser le journal d’événements et Synchroniser l’heure avec le
navigateur maintenant dans la page Journalisation ;
cliquer sur le bouton Synchroniser maintenant dans la page Heure du système ;
cliquer sur le bouton Régénérer les clés IPSec dans la page VPN ;
modifier le mode de configuration dans la page Managed VPN ;
exécuter les Assistants de configuration à partir de la page Assistant.
Lorsque vous tentez d’effectuer ces tâches, vous obtenez un message qui vous informe que vous disposez
d’un accès en lecture seule et que vous ne pouvez pas modifier le fichier de configuration.
Pour créer un compte d’utilisateur en lecture seule, modifiez le compte de l’utilisateur. Utilisez la liste
déroulante Accès administratif pour sélectionner Lecture seule.
196
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
Utiliser le compte d’administrateur intégré
Firebox X Edge e-Series dispose d’un compted’administrateur intégré qui ne peut être supprimé. Vous pouvez
modifier certains des paramètres de comptes d’administrateur. Dans la page Utilisateurs de Firebox, cliquez
sur l’icône dans la colonne Modifier du compte d’administrateur.
Veillez à conserver le nom de l’administrateur et le mot du passe en lieu sûr. Vous devez disposer de ces
informations pour afficher les pages de configuration. Si le nom de l’administrateur et le mot de passe du
système sont inconnus, vous devez réinitialiser Firebox X Edge aux paramètres usine par défaut. Pour plus
d’informations, voir À propos des paramètres usine par défaut.
Il est conseillé de changer le mot de passe d’administrateur régulièrement. Utilisez un mot de passe composé
d’au moins huit lettres, nombres et symboles. N’utilisez pas un mot d’un dictionnaire anglais ou autre. Utilisez
un ou plusieurs symboles, un nombre, ainsi qu’un mélange de majuscules et de minuscules pour plus de
sécurité.
Définir le profil WebBlocker d’un utilisateur
Un profil WebBlocker est un ensemble unique de restrictions que vous pouvez appliquer aux utilisateurs de
votre réseau.
Pour appliquer un profil WebBlocker à un compte d’utilisateur :
1. Cliquez sur l’onglet WebBlocker.
2. Sélectionnez un profil dans la liste déroulante. Vous devez sélectionner un profil même si vous ne
disposez que d’un profil WebBlocker. Les nouveaux utilisateurs et les nouveaux groupes sont
paramétrés par défaut de façon à ignorer WebBlocker.
3. Cliquez sur Envoyer.
Si vous souhaitez utiliser un profil WebBlocker différent pour chaque groupe, vous devez d’abord créer ces
profils dans la zone WebBlocker > Profils des pages de configuration de Firebox X Edge. Pour plus
d’informations sur les profils WebBlocker, voir Créer un profil WebBlocker.
Guide de l’utilisateur
197
Gestion des utilisateurs et des groupes
Modifier le nom ou le mot de passe d’un compte d’utilisateur
Vous pouvez modifier le nom d’un compte ou le mot de passe d’un compte. Si vous modifiez le nom d’un
compte, vous devez indiquer le mot de passe de ce compte.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox.
La page Utilisateurs de Firebox s’affiche.
3. Sous Comptes d’utilisateurs locaux, cliquez sur Modifier pour modifier le mot de passe du compte
concerné.
La page Modifier l’utilisateur s’affiche avec l’onglet Paramètres visible.
4. Cliquez sur Modifier l’identification.
5. Entrez le nouveau nom de compte ou laissez le champ vide pour conserver le nom actuel. Entrez le
nouveau mot de passe. Confirmez le nouveau mot de passe.
6. Cliquez sur Envoyer.
198
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
À propos de l’authentification LDAP/Active Directory
Si vous utilisez l’authentification LDAP, il n’est pas nécessaire de conserver une base de données d’utilisateurs
séparée sur Firebox X Edge. Vous pouvez configurer Edge pour qu’il transfère des requêtes d’authentification
d’utilisateur sur un serveur LDAP ou Active Directory générique. Vous pouvez utiliser l’authentification LDAP
et l’authentification Firebox locale simultanément.
À l’aide de l’authentification LDAP, les privilèges d’utilisateurs sont contrôlés par groupe. Vous pouvez ajouter
les noms de vos groupes d’utilisateurs LDAP ou Active Directory existants à la configuration de Firebox X Edge
et attribuer des privilèges, et un profil WebBlocker. Lorsque des utilisateurs s’authentifient auprès d’Edge, ils
font précéder leur nom d’utilisateur de leur nom de domaine LDAP dans la boîte de dialogue
d’authentification (domaine\nom d’utilisateur). Si vous utilisez le serveur d’authentification Active Directory,
les utilisateurs peuvent également s’authentifier en utilisant leur nom de domaine complet
([email protected]).
À propos de l’utilisation de serveurs d’authentification tierce
Si vous utilisez un serveur d’authentification tierce, il n’est pas nécessaire de conserver une base de données
d’utilisateurs séparée sur Firebox. Configurez un serveur tiers à l’aide des instructions de son fabricant,
installez le serveur avec l’accès à Firebox et placez-le derrière Firebox pour des raisons de sécurité. Ensuite,
configurez Firebox pour transférer les demandes d’authentification des utilisateurs à ce serveur. Si vous créez
sur Firebox un groupe d’utilisateurs qui s’authentifie auprès d’un serveur tiers, assurez-vous de créer un
groupe sur le serveur qui a le même nom que le groupe d’utilisateurs sur Firebox.
Guide de l’utilisateur
199
Gestion des utilisateurs et des groupes
Configurer le service d’authentification LDAP/Active Directory
Lorsque vous activez l’authentification LDAP, vous définissez un serveur d’authentification, ainsi que ses
propriétés. Pour activer l’authentification LDAP :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Paramètres.
La page Paramètres d’utilisateur Firebox s’affiche.
3. Cliquez sur l’onglet LDAP.
4. Activez la case à cocher Activer l’authentification LDAP. Si l’authentification des utilisateurs n’est pas
activée dans la section supérieure de cette page de configuration, la section Service d’authentification
LDAP n’est pas activée.
5. Dans la zone de texte, Nom de domaine, entrez le nom du domaine LDAP. N’incluez pas le domaine
de premier niveau.
6. Dans la liste déroulante Type de serveur LDAP, sélectionnez le type d’implémentation LDAP à utiliser
dans votre organisation : Active Directory ou LDAP standard.
7. Dans la zone de texte Adresse du serveur LDAP, entrez l’adresse IP du serveur LDAP que Firebox X
Edge utilise pour des requêtes d’authentification. Le serveur LDAP peut se trouver sur n’importe quelle
interface Edge ou peut être disponible via un tunnel VPN.
200
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
8. Dans la zone de texte Port du serveur LDAP, entrez le numéro du port que Firebox X Edge utilise pour
les connexions au serveur LDAP. Le numéro de port du serveur LDAP par défaut est 389. En général, il
n’est pas nécessaire de modifier ce numéro.
9. Utilisez la liste déroulante Délai d’attente LDAP pour sélectionner le nombre de secondes à utiliser
comme délai d’attente pour toute opération LDAP.
10. Dans la zone de texte Base de recherche, entrez la base du répertoire LDAP dans laquelle commencer
la recherche des entrées de comptes d’utilisateurs. Il doit s’agir d’un nom unique LDAP légitime. Un
nom unique est un nom qui identifie de manière unique une entrée dans le répertoire LDAP. Un nom
unique inclut autant de qualificateurs que nécessaire pour rechercher une entrée dans le répertoire.
Par exemple, un nom unique peut avoir l’aspect suivant : ou=comptes
d’utilisateurs,dc=masociété,dc=com
Pour plus d’informations sur la recherche de votre base de recherche, visitez www.watchguard.com/
support/faq.
11. Si vous sélectionnez LDAP standard comme type de serveur LDAP, vous devez entrer un nom
d’attribut de connexion et un nom d’attribut de groupe dans les zones de texte appropriées. Ces
zones de texte ne s’affichent pas si vous sélectionnez Active Directory comme type de serveur LDAP.
Le nom d’attribut de connexion est le nom de l’attribut de nom de connexion des entrées utilisateur
dans le répertoire LDAP.
Le nom d’attribut de groupe est le nom de l’attribut d’appartenance au groupe des entrées
utilisateur dans le répertoire LDAP.
12. Activez la case à cocher Activer Single Sign-On (SSO). Pour plus d’informations sur SSO, voir À propos
de Single Sign-On.
13. Cliquez sur Envoyer.
Utiliser la fonctionnalité de test d’authentification LDAP
Une fois Firebox X Edge e-Series configuré pour utiliser l’authentification LDAP, vous pouvez utiliser la
fonctionnalité de test d’authentification LDAP pour vérifier qu’Edge peut se connecter au serveur LDAP. Vous
pouvez utiliser le test sur un compte d’utilisateur spécifique pour vérifier qu’Edge peut envoyer et recevoir
correctement des requêtes d’authentification pour l’utilisateur en question.
Pour utiliser la fonctionnalité de test, cliquez sur Tester le compte LDAP, puis entrez le nom et le mot de passe
du compte de l’utilisateur LDAP. Le nom d’utilisateur doit être entré selon le format domaine\utilisateur,
comme masociete\admin.
Les résultats des tentatives d’authentification s’affichent à l’écran. Si l’authentification s’effectue
correctement, la section Autorisations utilisateur affiche les droits d’accès de ce compte d’utilisateur.
Configurer des groupes pour l’authentification LDAP
Les privilèges de compte pour les utilisateurs qui s’authentifient auprès d’un serveur LDAP sont définis en
fonction de l’appartenance au groupe. Le groupe auquel l’utilisateur appartient définit tous ses privilèges, à
l’exception de ceux associés à Mobile VPN with IPSec. Les privilèges du client Mobile VPN with IPSec doivent
être définis au niveau utilisateur.
Le nom que vous donnez à un groupe sur Firebox X Edge doit correspondre au nom du groupe affecté aux
entrées utilisateur dans le répertoire LDAP. Dans Edge, il existe un groupe intégré par défaut. Les paramètres
du groupe par défaut s’appliquent à tous les utilisateurs LDAP qui n’appartiennent à aucun des groupes
configurés dans Edge. Vous pouvez modifier les propriétés du groupe par défaut, mais vous ne pouvez pas
supprimer ce groupe.
Guide de l’utilisateur
201
Gestion des utilisateurs et des groupes
Si un utilisateur appartient à plusieurs groupes, ses privilèges sont définis sur les paramètres les moins
restrictifs de tous les groupes auxquels il appartient. Dans WebBlocker, le profil le moins restrictif est celui doté
du plus petit nombre de catégories bloquées. Pour obtenir un exemple plus général, le groupe « admins »
(administrateurs) permet un accès administratif, mais le groupe « powerusers » (utilisateurs avec pouvoir)
fournit un accès en lecture seule et le groupe « everyone » (tout le monde) n’attribue aucun accès
administratif. Un utilisateur qui appartient aux trois groupes obtient l’accès administratif car il s’agit du
paramètre le moins restrictif parmi les trois.
Ajouter un groupe pour l’authentification LDAP
1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur
et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Nouveau groupe.
La page Nouveau groupe d’utilisateurs de Firebox s’affiche.
3. Dans la zone de texte, Nom de compte, entrez le nom du nouveau groupe. Ce nom doit correspondre
au nom d’un groupe du répertoire LDAP. Ce nom ne doit contenir que des lettres, des nombres et des
traits de soulignement (_) ou des tirets (-). Il ne peut pas contenir d’espaces.
4. Dans la zone de texte Description, entrez une description du groupe. Ce champ est facultatif.
5. Dans la liste déroulante Accès administratif, sélectionnez le niveau d’accès administratif Firebox X
Edge à attribuer au groupe. Vous pouvez sélectionner :
o Aucun — Les membres du groupe n’ont aucun accès aux fonctions d’administration de Firebox
X Edge.
o Lecture seule — Les membres de ce groupe peuvent afficher la configuration et l’état de
Firebox X Edge mais ne peuvent pas les modifier.
o Complet — Les membres de ce groupe disposent de tous les privilèges administratifs de
Firebox X Edge.
202
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
6. Utilisez la zone de texte Délai d’attente maximal de la session pour définir le nombre de minutes
durant lesquelles une session utilisateur démarrée par un membre de ce groupe est autorisée à rester
active. Lorsque la limite est atteinte, Firebox X Edge ferme la session.
7. Utilisez la zone de texte Délai d’inactivité de la session pour définir le nombre de minutes durant
lesquelles une session utilisateur démarrée par un membre de ce groupe peut demeurer inactive avant
d’être automatiquement fermée par Firebox X Edge.
8. Activez la case à cocher Autoriser l’accès au réseau externe pour autoriser les membres de ce groupe
à accéder au réseau externe via Firebox X Edge.
9. Activez la case à cocher Autoriser l’accès aux tunnels VPN gérés et manuels pour autoriser les
membres de ce groupe à accéder aux tunnels VPN via Firebox X Edge.
10. Activez la case à cocher Autoriser l’accès distant via Mobile VPN with PPTP pour autoriser les
membres de ce groupe à établir des connexions PPTP avec Edge à partir d’emplacements distants.
11. Activez la case à cocher Autoriser l’accès distant via Mobile VPN with SSL pour autoriser les
membres de ce groupe à établir des connexions VPN SSL avec Edge.
12. Cliquez sur Envoyer.
Définir un profil WebBlocker pour un groupe LDAP
Un profil WebBlocker est un ensemble unique de restrictions que vous pouvez appliquer aux utilisateurs de
votre réseau pour contrôler l’accès aux sites Web externes. Pour appliquer un profil WebBlocker à un groupe,
cliquez sur l’onglet WebBlocker dans la page Nouveau groupe d’utilisateurs de Firebox ou Modifier le groupe,
puis sélectionnez un profil dans la liste déroulante. Vous devez d’abord créer des profils WebBlocker dans la
zone WebBlocker > Profils des pages de configuration de Firebox X Edge. Si aucun profil n’est attribué, les
utilisateurs du groupe concerné disposent de l’accès total à tous les sites Web. Pour plus d’informations sur les
profils WebBlocker, voir la rubrique Créer un profil WebBlocker.
Authentification LDAP et Mobile VPN with IPSec
Étant donné que les paramètres de Mobile VPN with IPSec ne peuvent pas être attribués au niveau groupe,
vous devez créer un compte d’utilisateur Firebox local pour l’utilisateur et ajouter des paramètres Mobile VPN
pour l’utilisateur dans l’onglet MOVPN.
Pour plus d’informations, voir À propos de Mobile VPN with IPSec.
À propos de Single Sign-On (SSO)
Lorsque les utilisateurs se connectent à un ordinateur à l’aide de l’authentification Active Directory, ils doivent
entrer un ID utilisateur et un mot de passe. Si vous utilisez Firebox pour restreindre le trafic réseau sortant aux
utilisateurs ou aux groupes spécifiés, les utilisateurs doivent se connecter de nouveau pour accéder aux
ressources réseau telles qu’Internet. Vous pouvez utiliser Single Sign-On (SSO) pour que les utilisateurs des
réseaux approuvé et facultatif soient automatiquement authentifiés auprès de Firebox lorsqu’ils se
connectent à leur ordinateur.
SSO n’est pas recommandé pour les environnements dans lesquels plusieurs utilisateurs partagent
un même ordinateur ou une même adresse IP ou dans lesquels les utilisateurs se connectent à l’aide
de Mobile VPN. Lorsque plusieurs utilisateurs sont associés à une adresse IP, les autorisations réseau
risquent de ne pas fonctionner correctement. Ceci peut constituer un risque pour la sécurité.
Guide de l’utilisateur
203
Gestion des utilisateurs et des groupes
Pour utiliser SSO, vous devez installer le logiciel WatchGuard Authentication Gateway, également appelé
logiciel agent SSO, sur un ordinateur du domaine de votre réseau. Lorsqu’un utilisateur se connecte à un
ordinateur, l’agent SSO rassemble toutes les informations entrées par l’utilisateur et les envoie à Firebox.
Firebox les compare aux stratégies définies pour cet utilisateur ou ce groupe d’utilisateurs en une fois. L’agent
SSO met ces données en cache pour une durée d’environ 10 minutes par défaut, pour ne pas avoir à générer
de requête pour chaque paquet. Pour plus d’informations sur l’installation de l’agent SSO, voir Installer l’agent
WatchGuard SSO.
Avant de commencer
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Un serveur Active Directory doit être configuré sur votre réseau approuvé ou facultatif. Des serveurs
DHCP et DNS doivent également être configurés sur le même domaine que le serveur Active Directory.
Firebox doit être configuré de façon à utiliser l’authentification Active Directory. Pour plus
d’informations, voir À propos de l’authentification LDAP/Active Directory.
Un compte doit être défini pour chaque utilisateur sur le serveur Active Directory.
Pour être opérationnel, chaque utilisateur doit se connecter à un compte de domaine Single Sign-On
(SSO). Si les utilisateurs se connectent à un compte qui n’existe que sur leur ordinateur local, les
informations d’identification ne sont pas vérifiées et Firebox ne reconnaît pas ces utilisateurs.
Si vous utilisez un pare-feu tiers sur les ordinateurs de votre réseau, vérifiez que le port TCP 445 (réseau
Samba/Windows) est ouvert sur chaque client.
Vérifiez que l’impression et le partage de fichiers sont activés sur tous les ordinateurs à partir desquels
les utilisateurs s’identifient à l’aide de SSO.
Vérifiez que les ports NetBIOS et SMB ne sont bloqués sur aucun des ordinateurs à partir desquels les
utilisateurs s’authentifient à l’aide de SSO. NetBIOS utilise les ports TCP/UDP 137, 138, 139 et SMB
utilise le port TCP 445.
Vérifiez que tous les ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO sont
membres du domaine auquel sont associées les relations d’approbation ininterrompues.
Activer et configurer SSO
Pour activer SSO sur Firebox, voir Activer Single Sign-On.
À propos des exceptions SSO
Si votre réseau contient des périphériques dont les adresses IP ne requièrent pas d’authentification, tels que
des serveurs de réseau ou d’impression, il est judicieux de les ajouter à la liste des exceptions SSO de la
configuration SSO. Chaque fois qu’une connexion est établie à partir de l’un de ces périphériques et que
l’adresse IP du périphérique ne figure pas dans la liste des exceptions, Firebox contacte l’agent SSO pour
tenter d’associer l’adresse IP à un nom d’utilisateur. Cette opération prend environ 10 secondes. Pour éviter ce
temps de traitement de 10 secondes supplémentaires à chaque connexion et ne pas générer de trafic réseau
superflu, utilisez la liste des exceptions.
Pour plus d’informations sur l’ajout d’exceptions SSO, voir Activer Single Sign-On.
204
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
Activer Single Sign-On
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Paramètres.
La page Paramètres d’utilisateur Firebox s’affiche.
3. Vérifiez que la case à cocher Demander l’authentification utilisateur (activer les comptes
d’utilisateur locaux) est activée.
4. Sélectionnez si nécessaire d’autres options d’accès. Pour plus d’informations, voir Définir des options
d’authentification pour tous les utilisateurs.
5. Activez la case à cocher ActiverSingle Sign-On (SSO).
6. Entrez l’adresse IP de l’agent SSO dans la zone de texte adjacente. Il s’agit de l’adresse IP de
l’ordinateur sur lequel vous avez installé le logiciel WatchGuard Authentication Gateway.
7. Dans la zone de texte Délai d’attente du cache de l’agent, entrez le nombre de secondes devant
s’écouler avant que l’agent SSO doive vérifier de nouveau l’état de la connexion d’un utilisateur. Si vous
utilisez des durées de bail DHCP courtes, nous vous recommandons de choisir une valeur peu élevée.
8. Ajoutez ou supprimez les exceptions SSO des adresses IP dans lesquelles Firebox ne recherchera pas
d’informations utilisateur, comme les ordinateurs sur lesquels travaillent plusieurs utilisateurs, qui sont
connectés à plusieurs serveurs et qui ne font pas partie de votre domaine Active Directory. Si ces
périphériques sont référencés par leur nom dans vos stratégies, ils doivent s’authentifier auprès de
Firebox à l’aide d’un navigateur Web.
Vous pouvez entrer une adresse IP d’hôte, une adresse IP de réseau en notation de barre oblique ou une plage
d’adresses IP.
9. Cliquez sur Envoyer pour enregistrer les modifications.
Installer l’agent WatchGuard Single Sign-On (SSO)
Pour utiliser Single Sign-On (SSO), vous devez installer l’agent WatchGuard SSO. L’agent SSO est un service qui
reçoit des demandes d’authentification Firebox et vérifie l’état de l’utilisateur auprès du serveur Active
Directory. Ce service s’exécute sous le nom WatchGuard Authentication Gateway sur l’ordinateur sur lequel
vous installez le logiciel agent SSO. Microsoft .NET Framework 2.0 doit également être installé sur cet
ordinateur.
Pour utiliser Single Sign-On avec Firebox, vous devez installer l’agent SSO sur un ordinateur du
domaine ayant une adresse IP statique. Nous vous conseillons d’installer l’agent SSO sur votre
contrôleur de domaine.
Télécharger le logiciel agent SSO
1.
2.
3.
4.
5.
À l’aide de votre navigateur, accédez à : http://www.watchguard.com/.
Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity.
Cliquez sur le lien Software Downloads.
Sélectionnez le type et le numéro de modèle de votre périphérique Firebox.
Téléchargez le logiciel WatchGuard Authentication Gateway et enregistrez le fichier à l’emplacement de
votre choix.
Guide de l’utilisateur
205
Gestion des utilisateurs et des groupes
Avant l’installation
Le service agent SSO doit être exécuté sous un compte d’utilisateur. Nous vous recommandons de créer un
compte d’utilisateur à cet effet. Pour que le service agent SSO fonctionne correctement, configurez le compte
d’utilisateur avec les propriétés suivantes :
ƒ
ƒ
ƒ
ƒ
Ajoutez le compte au groupe Admins du domaine.
Activez le groupe Admins du domaine comme groupe principal.
Autorisez le compte à ouvrir une session en tant que service.
Configurez le mot de passe pour qu’il n’expire jamais.
Installer le service agent SSO
Double-cliquez sur WG-Authentication-Gateway.exe pour démarrer l’Assistant Authentication Gateway
Setup Wizard. Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le
programme d’installation sur certains systèmes d’exploitation. Suivez les instructions pour installer le logiciel :
Installation – Authentication Gateway
Cliquez sur Suivant pour démarrer l’Assistant.
Sélectionnez l’emplacement de destination.
Tapez ou sélectionnez un emplacement d’installation pour le logiciel, puis cliquez sur Suivant.
Sélectionnez le dossier Menu Démarrer.
Tapez ou sélectionnez un emplacement dans le Menu Démarrer pour ajouter des raccourcis de
programmes. Si vous ne souhaitez pas ajouter de raccourcis de programmes au Menu Démarrer,
activez la case à cocher Ne pas créer de dossier dans le Menu Démarrer. Lorsque vous
avez terminé, cliquez sur Suivant.
Connexion d’utilisateur de domaine
Tapez le nom d’utilisateur de domaine et le mot de passe d’un utilisateur ayant un compte actif
dans votre domaine LDAP ou Active Directory actuel. Vous devez entrer ce nom d’utilisateur au
format suivant : domaine\nom_utilisateur. Notez que vous ne devez pas spécifier la partie .com
ou .net du nom de domaine. Par exemple, si votre domaine est mywatchguard.com et que vous
utilisez le compte de domaine ssoagent, entrez le nom d’utilisateur mywatchguard\ssoagent.
Cliquez sur Suivant.
Si le compte d’utilisateur que vous spécifiez ne dispose pas de privilèges suffisants, certains
utilisateurs ne pourront pas utiliser SSO et devront s’authentifier auprès de Firebox manuellement.
Nous vous conseillons de suivre les instructions de la section précédente pour créer un compte
d’utilisateur pour le service agent SSO.
Prêt pour l’installation
Examinez vos paramètres, puis cliquez sur Installer pour installer le service sur votre ordinateur.
Installation – Authentication Gateway
Cliquez sur Terminer pour fermer l’Assistant. Le service WatchGuard Authentication Gateway
démarre automatiquement une fois l’Assistant terminé et démarre chaque fois que l’ordinateur
redémarre.
206
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
Activer l’authentification RADIUS
Lorsque vous activez l’authentification RADIUS, vous définissez un serveur d’authentification, ainsi que ses
propriétés. Lorsque vous configurez votre serveur RADIUS, vous devez vous assurer que lorsqu’il envoie un
message à Firebox un utilisateur est authentifié et qu’il envoie aussi une chaîne FilterID, par exemple
« engineeringGroup » ou « financeGroup ». La chaîne FilterID est l’attribut RADIUS 11. Ces informations sont
ensuite utilisées pour le contrôle d’accès et doivent correspondre au nom de compte d’un groupe configuré
sur la page Utilisateurs de Firebox.
Pour activer l’authentification RADIUS :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Paramètres. Cliquez sur l’onglet RADIUS.
La page Paramètres d’utilisateur Firebox s’affiche.
3. Pour activer le serveur RADIUS, ainsi que les champs de cette boîte de dialogue, activez la case à cocher
Activer l’authentification RADIUS.
4. Dans la zone de texte Adresse IP du serveur RADIUS, entrez l’adresse IP de votre serveur RADIUS.
5. Dans la zone de texte Port du serveur RADIUS, assurez-vous que le numéro du port RADIUS utilisé
pour l’authentification s’affiche. Le numéro de port par défaut est 1 812. Il se peut que des serveurs
RADIUS plus anciens utilisent le port 1 645.
6. Dans la zone de texte de secret du serveur RADIUS, entrez le secret partagé entre Firebox et le serveur
RADIUS. Le secret partagé respecte la casse et doit être le même sur le serveur Edge et sur le serveur
RADIUS.
7. Pour définir la valeur du délai d’attente, utilisez le contrôle de valeur Délai d’attente et définissez la
valeur désirée. La valeur du délai d’attente correspond à la durée pendant laquelle Edge attend une
réponse du serveur d’authentification avant de réessayer de se connecter.
8. Afin de vérifier que Firebox se connecte correctement au serveur RADIUS pour vérifier les informations
d’identification de l’utilisateur, cliquez sur le bouton Test du compte RADIUS.
9. Cliquez sur Envoyer.
Guide de l’utilisateur
207
Gestion des utilisateurs et des groupes
Afficher les sessions et les utilisateurs actifs
La page Utilisateurs de Firebox affiche des informations sur les utilisateurs actuellement en ligne.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox.
La page Utilisateurs de Firebox s’affiche.
Paramètres d’utilisateur Firebox
Sous Paramètres d’utilisateur Firebox, les valeurs actuelles de tous les paramètres globaux de session et
d’utilisateur s’affichent.
Sessions actives
Une session est créée lorsque des données passent d’un ordinateur du réseau approuvé ou facultatif vers un
ordinateur du réseau externe. Par exemple, lorsqu’un utilisateur de votre réseau approuvé ouvre un
navigateur pour accéder à un site Web, une session démarre sur Firebox X Edge.
Si des comptes d’utilisateurs locaux sont activés, la section Sessions actives de la page Utilisateurs de Firebox
affiche des informations relatives à toutes les sessions actives, y compris le nom et l’adresse IP de l’utilisateur
qui a démarré la session.
Si aucun compte d’utilisateur local n’est activé, chaque session active affiche l’adresse IP des hôtes ayant
démarré des sessions. Le nom d’utilisateur affiché est « Anonymous ».
208
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
Arrêter une session
Firebox X Edge e-Series gère et enregistre les propriétés de chaque session utilisateur.
Si le délai de fermeture automatique de session est atteint pour toutes les sessions ou si Firebox X Edge
redémarre, toutes les sessions sont arrêtées en même temps. L’administrateur d’Edge peut également
interrompre une session via la page Utilisateurs de Firebox.
Pour arrêter une session manuellement :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox.
La page Utilisateurs de Firebox apparaît.
3. Dans la liste Sessions actives, cliquez sur le bouton Fermer en regard de la session à arrêter. Pour
arrêter toutes les sessions, cliquez sur le bouton Fermer tout .
Si l’authentification des utilisateurs est activée pour les connexions réseau externes, une session est fermée
lorsque l’un des événements suivants se produit :
ƒ
ƒ
ƒ
Le délai maximal d’inactivité défini pour ce compte est atteint.
La durée maximale définie pour ce compte est atteinte.
L’utilisateur authentifié ferme la session manuellement. Pour fermer la session, l’utilisateur clique sur
le bouton Déconnexion de la boîte de dialogue État de la connexion et ferme toutes les fenêtres
ouvertes du navigateur.
Guide de l’utilisateur
209
Gestion des utilisateurs et des groupes
Comptes d’utilisateurs locaux
Sous Comptes d’utilisateurs locaux, apparaissent les informations sur les utilisateurs que vous avez
configurés :
ƒ
ƒ
ƒ
Nom : nom donné à l’utilisateur. L’utilisateur Admin fait partie de la configuration par défaut et ne peut
pas être supprimé.
Niveau Administrateur : vous pouvez définir les autorisations utilisateur sur Complet, Aucun ou
Lecture seule.
Options : vous pouvez configurer un utilisateur pour qu’il utilise WebBlocker, MOVPN (Mobile VPN
with IPSec), PPTP (Mobile VPN with PPTP) et SSL (Mobile VPN with SSL).
Si les comptes d’utilisateurs locaux sont activés, des informations sur les droits d’accès à Internet et VPN
apparaissent également.
Modification d’un compte d’utilisateur
Pour modifier un compte d’utilisateur, cliquez sur l’icône Modifier. Pour obtenir des descriptions de champs
configurables, voir À propos des comptes d’utilisateurs.
Suppression d’un compte d’utilisateur
Pour supprimer un compte d’utilisateur, cliquez sur X en regard du nom du compte. Une boîte de dialogue
s’affiche. Cliquez sur Oui pour supprimer le compte. Vous ne pouvez pas supprimer le compte « admin ».
210
Firebox X Edge e-Series
Gestion des utilisateurs et des groupes
Autoriser des périphériques internes pour ignorer
l’authentification des utilisateurs
Vous pouvez établir une liste de périphériques internes qui ignorent les paramètres d’authentification des
utilisateurs. Si un périphérique est sur cette liste, son utilisateur n’a pas besoin de s’authentifier pour accéder
à Internet. Aucune règle WebBlocker ne s’applique au trafic Web provenant de périphériques de cette liste.
1. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Hôtes approuvés.
La page des hôtes approuvés des utilisateurs de Firebox s’affiche.
2. Dans la zone de texte Adresse IP de l’hôte, entrez l’adresse IP du périphérique de votre réseau
approuvé ou facultatif pour autoriser les utilisateurs à parcourir Internet sans restriction
d’authentification.
3. Cliquez sur Ajouter.
4. Répétez les étapes 2 et 3 pour d’autres périphériques approuvés.
5. Pour supprimer un périphérique de la liste, sélectionnez l’adresse et cliquez sur Supprimer.
6. Cliquez sur Envoyer pour enregistrer vos modifications dans Firebox.
Guide de l’utilisateur
211
Gestion des utilisateurs et des groupes
212
Firebox X Edge e-Series
14
WebBlocker
À propos de WebBlocker
Si vous accordez aux utilisateurs un accès illimité aux sites Web, votre entreprise risque de connaître une perte
de productivité et un encombrement de la bande passante. Une navigation incontrôlée sur Internet peut
également accroître les risques au niveau de la sécurité et de votre responsabilité juridique. Avec
l’abonnement de sécurité WebBlocker, vous contrôlez les sites Web auxquels les utilisateurs peuvent accéder.
WebBlocker utilise une base de données d’adresses de sites Web contrôlée par SurfControl, société leader
dans le domaine du filtrage Web. Lorsqu’un utilisateur de votre réseau essaie de se connecter à un site Web,
Firebox examine la base de données WebBlocker. Si le site Web ne figure pas dans la base de données ou n’est
pas bloqué, la page s’ouvre. S’il s’y trouve et qu’il est bloqué, une notification apparaît et le site Web n’est pas
affiché.
WebBlocker travaille avec les proxies HTTP et HTTPS pour filtrer la navigation sur le Web. Si vous n’avez pas
configuré de proxy HTTP ou HTTPS, un proxy est automatiquement configuré et activé lorsque vous activez
WebBlocker.
Vous devez acheter la mise à niveau de WebBlocker pour pouvoir utiliser cette fonctionnalité.
Pour plus d’informations, visitez le site Web des services LiveSecurity de WatchGuard à l’adresse
http://www.watchguard.com/store.
Configurer les paramètres WebBlocker globaux
La première page WebBlocker des pages de configuration de Firebox X Edge e-Series est la page Paramètres
de WebBlocker. Utilisez cette page pour effectuer les actions suivantes :
ƒ
ƒ
ƒ
ƒ
ƒ
Activer WebBlocker
Définir le mot de passe d’accès complet
Définir le délai d’inactivité
Définir une action si Edge ne parvient pas à se connecter au serveur WebBlocker
Définir une action si la licence WebBlocker arrive à expiration
Guide de l’utilisateur
213
WebBlocker
Pour configurer WebBlocker, procédez comme suit :
1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du
navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est https://192.168.111.1
2. Dans la barre de navigation, sélectionnez WebBlocker > Paramètres.
La page Paramètres de WebBlocker s’affiche.
3. Activez la case à cocher Activer WebBlocker pour activer WebBlocker pour HTTP ou HTTPS.
4. Si vous souhaitez autoriser les utilisateurs à contourner WebBlocker s’ils connaissent le mot de passe
d’accès complet, activez la case à cocher Activer le remplacement de WebBlocker. Tapez un mot de
passe dans le champ Mot de passe d’accès complet, puis tapez ce même mot de passe dans le champ
Confirmer le mot de passe.
Le mot de passe d’accès complet donne accès à tous les sites Web jusqu’à ce que le délai d’inactivité soit atteint
ou jusqu’à ce qu’un utilisateur authentifié se déconnecte. Cette fonctionnalité n’est utilisée qu’avec les stratégies
de proxy HTTP.
5. Tapez un nombre, en minutes, dans le champ Délai d’inactivité.
Le champ Délai d’inactivité indique la durée pendant laquelle le mot de passe d’accès complet est
actif si aucune navigation sur le Web n’est enregistrée. Si un utilisateur tape le mot de passe d’accès
complet et qu’aucun trafic HTTP ou HTTPS n’est envoyé depuis l’ordinateur de l’utilisateur pendant la
durée définie dans le champ Délai d’inactivité, les règles WebBlocker s’appliquent de nouveau. La
valeur peut être comprise entre 1 et 1 440 minutes.
214
Firebox X Edge e-Series
WebBlocker
6. Utilisez la liste déroulante Lorsque le serveur WebBlocker Server est indisponible, l’accès à tous
les sites est pour indiquer si Firebox X Edge doit autoriser ou refuser tout le trafic lorsqu’il ne parvient
pas à se connecter à WebBlocker Server.
Si vous autorisez le trafic Web lorsque WebBlocker Server n’est pas disponible, chaque utilisateur qui
envoie une requête Web doit attendre 45 secondes pour que Firebox X Edge essaie de se connecter à
WebBlocker Server et dépasse le délai d’attente. À l’issue de ces 45 secondes, Edge autorise l’accès au
site Web. Une fois qu’Edge peut de nouveau se connecter à WebBlocker Server, il réapplique
automatiquement les règles WebBlocker.
7. Utilisez la liste déroulante Lorsque la licence WebBlocker a expiré, l’accès à tous les sites est pour
indiquer si Firebox X Edge doit autoriser ou refuser tout le trafic Web si l’abonnement à WebBlocker est
arrivé à expiration.
Si l’abonnement à WebBlocker est renouvelé, Firebox X Edge conserve la configuration précédente et applique de
nouveau les règles WebBlocker.
8. Par défaut, WebBlocker se connecte à un serveur WebBlocker Server géré par WatchGuard afin de
vérifier si un site Web correspond à une catégorie WebBlocker. Si vous préférez, vous pouvez installer
et maintenir votre propre serveur WebBlocker Server sur votre ordinateur local. Si vous avez installé
WebBlocker Server sur un ordinateur de votre réseau local, activez la case à cocher Utiliser un serveur
WebBlocker Server personnalisé. Tapez l’adresse IP du serveur dans la zone de texte adjacente.
Pour obtenir des instructions sur l’installation de votre propre serveur WebBlocker Server, voir Installer
Quarantine Server et WebBlocker Server.
9. Cliquez sur Envoyer.
WebBlocker affiche un message de refus aux utilisateurs lorsqu’il bloque l’accès à un site Web. Vous
pouvez personnaliser ce message lorsque vous configurez votre stratégie de proxy HTTP. Pour plus
d’informations, voir Proxy HTTP : message de refus.
Installer Quarantine Server et WebBlocker Server
Pour utiliser la fonctionnalité de mise en quarantaine de spamBlocker ou Gateway AntiVirus, ou si vous
souhaitez installer et maintenir votre propre WebBlocker Server, vous devez télécharger et installer
WatchGuard Quarantine Server et WebBlocker Server. Vous pouvez installer le logiciel serveur sur un
ordinateur exécutant Windows 2003, Windows XP ou Windows Vista. Nous recommandons au moins 512 Mo
de RAM, un processeur 2,0 GHz et 60 Go d’espace disque si vous prévoyez d’installer les deux serveurs sur le
même ordinateur.
Télécharger le logiciel serveur
1.
2.
3.
4.
5.
À l’aide de votre navigateur, accédez à : http://www.watchguard.com/.
Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity.
Cliquez sur le lien Software Downloads.
Sélectionnez le type et le numéro de modèle de votre périphérique Firebox.
Téléchargez les logiciels WatchGuard Quarantine Server et WebBlocker Server for Edge et enregistrez
le fichier à l’emplacement de votre choix.
Guide de l’utilisateur
215
WebBlocker
Installer Quarantine Server et WebBlocker Server
Double-cliquez sur WGEdge10QWB.exe pour démarrer l’Assistant d’installation. Vous devrez peut-être taper
un mot de passe d’administrateur local pour exécuter le programme d’installation sur certains systèmes
d’exploitation. Suivez les instructions pour installer le logiciel :
Installation de WatchGuard WebBlocker et Quarantine Server pour Edge
Cliquez sur Suivant pour démarrer l’Assistant.
Lisez le contrat de licence.
Activez la case d’option Accepter, puis cliquez sur Suivant.
Définissez le dossier de destination.
Cliquez sur Parcourir pour sélectionner l’emplacement d’installation du logiciel ou cliquez sur
Suivant.
Sélectionnez les composants à installer.
Les deux serveurs sont installés par défaut. Si vous ne souhaitez pas installer un serveur, désactivez la
case à cocher correspondante. Lorsque vous avez terminé, cliquez sur Suivant.
Configurez la barre d’outils WatchGuard.
Suivez les instructions affichées à l’écran pour activer votre barre d’outils WatchGuard. Lorsque vous
avez terminé, cliquez sur Suivant. Après l’installation, vous pouvez démarrer et arrêter WebBlocker
Server ou Quarantine Server à l’aide des icônes WebBlocker Server et Quarantine Server dans votre
barre d’outils WatchGuard.
Installation de WatchGuard WebBlocker et Quarantine Server pour Edge
Cliquez sur Terminer pour fermer l’Assistant.
À propos des profils WebBlocker
Un profil WebBlocker est un ensemble de restrictions que vous appliquez aux utilisateurs ou groupes
d’utilisateurs de votre réseau. Vous pouvez créer différents profils avec différents groupes de restrictions. Par
exemple, vous pouvez créer un profil pour les nouveaux employés avec davantage de restrictions que pour
les autres employés. Il n’est pas nécessaire de créer des profils WebBlocker si vous n’utilisez qu’un seul
ensemble de règles WebBlocker pour tous vos utilisateurs.
Après avoir créé des profils, vous devez les appliquer lorsque vous configurez des comptes d’utilisateurs
Firebox X Edge. Même si vous n’utilisez qu’un seul ensemble de règles WebBlocker, vous devez choisir
d’appliquer les règles WebBlocker à chaque nouvel utilisateur ou groupe que vous créez comme décrit dans
Créer un profil WebBlocker.
Créer un profil WebBlocker
1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du
navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est https://192.168.111.1
2. Dans la barre de navigation, cliquez sur WebBlocker > Profils.
La page Profils s’affiche.
216
Firebox X Edge e-Series
WebBlocker
3. Cliquez sur Nouveau.
La page Nouveau profil s’affiche.
Guide de l’utilisateur
217
WebBlocker
4. Dans le champ Nom de profil, tapez un nom évocateur.
Utilisez ce nom pour identifier le profil pendant la configuration. Par exemple, donnez le nom
« 90 jours » à un groupe d’employés qui ont travaillé dans votre société pendant moins de 90 jours.
5. Dans Catégories bloquées, sélectionnez les catégories de sites Web à bloquer en activant la case à
cocher en regard du nom de catégorie.
Pour plus d’informations sur les catégories, voir À propos des catégories WebBlocker. Si vous activez la
case à cocher en regard d’un groupe de catégories, toutes les catégories de ce groupe sont
automatiquement sélectionnées. Si vous désactivez la case à cocher en regard d’un groupe de
catégories, toutes les catégories de ce groupe sont automatiquement désélectionnées.
6. Cliquez sur Envoyer.
Pour supprimer un profil, dans la page Profils WebBlocker, sélectionnez le profil dans la liste déroulante Profil.
Cliquez sur Supprimer.
Si vous n’utilisez pas l’authentification des utilisateurs, le profil WebBlocker par défaut est appliqué
à tous les utilisateurs. Pour plus d’informations sur l’authentification des utilisateurs, voir les
rubriques sous Gestion des groupes et des utilisateurs dans le Sommaire.
À propos des catégories WebBlocker
La base de données WebBlocker contient neuf groupes de catégories, avec 54 catégories de sites Web.
Un site Web est ajouté à une catégorie son contenu répond aux critères de cette catégorie. Les sites d’opinion
ou d’informations éducatives sur le sujet de la catégorie ne sont pas inclus. Par exemple, la catégorie Drogues
illégales refuse les sites expliquant comment utiliser la marijuana. Elle ne refuse pas les sites donnant des
informations sur l’histoire de l’utilisation de la marijuana.
La catégorie Autre contient les nouveaux sites et les nouvelles catégories diffusés par SurfControl qui ne font
pas encore partie d’une mise à jour du logiciel de Firebox X Edge. La catégorie N’appartenant à aucune
catégorie inclut les sites ne répondant aux critères d’aucune autre catégorie.
218
Firebox X Edge e-Series
WebBlocker
Vérifier si un site appartient à une catégorie
Pour vérifier si WebBlocker refuse l’accès à un site Web dans le cadre d’un blocage de catégorie, allez dans le
formulaire Filter Testing and Submissions du site Web SurfControl.
1. À l’aide de votre navigateur, accédez à : http://mtas.surfcontrol.com/mtas/WatchGuardTest-a-Site.asp.
La page WatchGuard Test-a-Site s’affiche.
2. Tapez l’URL ou l’adresse IP du site à vérifier.
3. Cliquez sur Test site.
La page WatchGuard Test-a-Site Results s’affiche.
Guide de l’utilisateur
219
WebBlocker
Ajouter, supprimer ou modifier une catégorie
Si vous recevez un message indiquant que l’URL entrée ne figure pas dans la liste SurfControl, vous pouvez la
soumettre sur la page Résultats de test.
1. Cliquez sur Soumettre un site.
La page Soumettre un site s’affiche.
2. Choisissez si vous voulez ajouter un site, supprimer un site ou modifier la catégorie.
3. Entrez l’URL du site.
4. Si vous voulez que la catégorie affectée à un site soit modifiée, sélectionnez la nouvelle catégorie dans
le menu déroulant.
5. Cliquez sur Envoyer.
220
Firebox X Edge e-Series
WebBlocker
À propos de l’autorisation des sites à contourner
WebBlocker
WebBlocker peut refuser un site Web dont vous pouvez avoir besoin. Vous pouvez neutraliser WebBlocker en
définissant un site Web normalement refusé par WebBlocker comme une exception afin de permettre aux
utilisateurs d’y accéder. Supposons par exemple que les employés de votre société utilisent fréquemment des
sites Web contenant des informations médicales. Certains de ces sites sont interdits par WebBlocker car ils
appartiennent à la catégorie Éducation sexuelle. Pour neutraliser WebBlocker, vous devez entrer l’adresse IP
du site Web ou son nom de domaine. Vous pouvez également refuser des sites normalement autorisés par
WebBlocker.
Les exceptions WebBlocker s’appliquent uniquement au trafic HTTP. Si vous refusez un site avec WebBlocker,
ce site n’est pas automatiquement ajouté à la liste des sites bloqués.
Pour ajouter des exceptions WebBlocker, voir Ajouter un site autorisé et Ajouter un site refusé.
Ajouter un site autorisé
1. Dans la barre de navigation, sélectionnez WebBlocker > Sites autorisés.
La page Sites autorisés de WebBlocker s’affiche.
2. Dans la liste déroulante, sélectionnez l’adresse IP et le nom de domaine de l’hôte.
3. Tapez l’adresse IP ou le nom de domaine de l’hôte du site Web à autoriser.
Guide de l’utilisateur
221
WebBlocker
4. Répétez l’étape 3 pour chaque nom d’hôte ou de domaine supplémentaire que vous voulez ajouter à
la liste des sites autorisés.
Le nom de domaine (ou d’hôte) fait partie d’une URL qui se termine par .com, .net, .org, .biz, .gov ou
.edu. Les noms de domaine peuvent également se terminer par un code de pays, comme .de
(Allemagne) ou .jp (Japon). Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de
« http:// ». Par exemple, pour autoriser l’accès au site Web de Google, choisissez d’ajouter un nom de
domaine, puis entrez google.com. Si le site contient un sous-domaine qui se traduit par une adresse
IP différente, vous devez entrer ce sous-domaine pour l’autoriser. Par exemple, si « www.site.com » et
« site.com » se trouvent sur des serveurs différents, vous devez ajouter ces deux entrées.
5. Cliquez sur Ajouter.
Le site est ajouté à la liste des sites autorisés.
6. Cliquez sur Envoyer.
Pour supprimer un élément de la liste Sites autorisés, sélectionnez l’adresse, puis cliquez sur Supprimer et sur
Envoyer.
Ajouter un site refusé
1. Dans la barre de navigation, sélectionnez WebBlocker > Sites refusés.
La page Sites refusés de WebBlocker s’affiche.
2. Dans la liste déroulante, sélectionnez Adresse IP de l’hôte ou URL/Nom de domaine.
3. Tapez l’adresse IP ou le nom de domaine de l’hôte du site Web refusé.
222
Firebox X Edge e-Series
WebBlocker
4. Répétez l’étape 3 pour chaque hôte, adresse IP ou nom de domaine supplémentaire que vous voulez
ajouter à la liste des sites refusés.
Le nom de domaine (ou d’hôte) fait partie d’une URL qui se termine par .com, .net, .org, .biz, .gov ou
.edu. Les noms de domaine peuvent également se terminer par un code de pays, comme .de
(Allemagne) ou .jp (Japon). Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de
« http:// ». Par exemple, pour autoriser l’accès au site Web de Playboy, choisissez d’ajouter un nom de
domaine, puis entrez playboy.com.
Si le site contient un sous-domaine qui se traduit par une adresse IP différente, vous devez entrer ce
sous-domaine pour le refuser. Par exemple, si « www.site.com » et « site.com » se trouvent sur des
serveurs différents, vous devez ajouter ces deux entrées.
5. Cliquez sur Ajouter.
Le site est ajouté à la liste des sites refusés.
6. Cliquez sur Envoyer.
Pour supprimer un élément de la liste Sites refusés, sélectionnez l’adresse, cliquez sur Supprimer, puis sur
Envoyer.
Guide de l’utilisateur
223
WebBlocker
Autoriser des hôtes internes à contourner WebBlocker
Vous pouvez établir une liste d’hôtes internes qui contournent WebBlocker. Les hôtes internes figurant dans
cette liste ignorent également les paramètres d’authentification des utilisateurs. Un utilisateur figurant dans
cette liste n’a pas besoin de s’authentifier pour accéder à Internet. Aucune règle WebBlocker ne s’applique aux
utilisateurs de cette liste.
1. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Hôtes approuvés.
La page Hôtes approuvés des utilisateurs de Firebox s’affiche.
2. Dans la zone de texte Adresse IP de l’hôte, tapez l’adresse IP de l’ordinateur de votre réseau approuvé
ou facultatif qui autorise les utilisateurs à naviguer sur Internet sans restrictions d’authentification.
3. Cliquez sur Ajouter.
4. Répétez l’étape 2 pour les autres ordinateurs approuvés.
5. Cliquez sur Envoyer.
Pour supprimer un ordinateur de la liste, sélectionnez l’adresse, puis cliquez sur Supprimer.
224
Firebox X Edge e-Series
15
spamBlocker
À propos de spamBlocker
Les courriers indésirables (ou spams) remplissent votre boîte de réception à une allure incroyable. Une trop
grande quantité de courriers indésirables limite la bande passante, affecte la productivité des employés et
gaspille les ressources du réseau. L’option spamBlocker de WatchGuard utilise la technologie de détection des
signatures de Commtouch, leader sur le marché, pour bloquer le courrier indésirable au niveau de votre
passerelle Internet et l’empêcher d’accéder à votre serveur de messagerie.
Les filtres de courriers électroniques disponibles sur le marché utilisent diverses méthodes pour repérer les
courriers indésirables. Les listes noires répertorient les domaines qui sont utilisés par des sources connues ou
des relais de courriers indésirables. Les filtres de contenu recherchent la présence de mots clés dans l’en-tête
et le corps des e-mails. La détection des URL compare une liste de domaines utilisés par des sources connues
de courriers indésirables avec le lien publicitaire présent dans le corps de l’e-mail. Cependant, toutes ces
procédures analysent individuellement chaque e-mail. Les personnes malveillantes peuvent facilement
contourner ces algorithmes. Elles peuvent notamment masquer l’adresse de l’expéditeur pour ne pas êtres
détectées par les listes noires, modifier les mots clés, intégrer des mots dans des images ou utiliser plusieurs
langues. Elles peuvent également créer une chaîne de proxies afin de camoufler l’URL publicitaire.
spamBlocker utilise RPD (Recurrent-Pattern Detection), la solution de détection des signatures récurrentes
créée par Commtouch, pour identifier les attaques de courriers indésirables difficiles à repérer. RPD est une
technologie de pointe qui recherche en temps réel les déclenchements de courriers indésirables sur Internet.
Cette solution identifie les signatures du déclenchement et non pas la signature des seuls messages
indésirables. Le contenu ou l’en-tête du message n’étant pas utilisés lors de ce processus, les courriers
indésirables peuvent être identifiés quels que soient la langue, le format ou le codage. Pour découvrir l’analyse
d’un déclenchement de courriers indésirables en temps réel, visitez le centre de détection des
déclenchements de Commtouch à l’adresse suivante (en anglais) : http://www.commtouch.com/Site/
ResearchLab/map.asp.
Par ailleurs, spamBlocker intègre des fonctionnalités en option de détection des déclenchements de virus.
Pour plus d’informations, voir À propos de VOD (Virus Outbreak Detection).
Guide de l’utilisateur
225
spamBlocker
Spécifications de spamBlocker
Avant d’installer spamBlocker, vous devez disposer des éléments suivants :
ƒ
ƒ
ƒ
Une clé de fonctionnalité spamBlocker. Pour obtenir une clé de fonctionnalité, contactez votre
revendeur WatchGuard ou consultez le site Web WatchGuard LiveSecurity à l’adresse suivante :
http://www.watchguard.com/store.
Un serveur de messagerie POP3 ou SMTP. spamBlocker utilise les proxies SMTP entrant et POP3 de
WatchGuard pour analyser vos e-mails. Si vous n’avez pas configuré le proxy POP3 ou SMTP, ils sont
activés lorsque vous configurez le service spamBlocker. Si vous disposez de plusieurs stratégies de
proxy pour POP3 ou pour SMTP, spamBlocker les utilise toutes.
Une connexion à Internet.
À propos de VOD (Virus Outbreak Detection)
VOD (Virus Outbreak Detection) est une technologie qui permet de détecter l’apparition de virus dans le
monde entier en quelques minutes. Fourni par Commtouch, leader dans la protection contre les virus et le
courrier indésirable, VOD est intégré au service de sécurité spamBlocker. VOD utilise la technologie d’analyse
du trafic pour fournir une protection en temps réel contre les virus. Si vous utilisez à la fois spamBlocker et
Gateway AntiVirus, ces deux fonctionnalités travaillent ensemble pour préserver votre réseau des virus.
La fonctionnalité VOD peut être utilisée sur le trafic d’e-mails SMTP et POP3. Si VOD détecte un virus dans un
e-mail POP3, ce virus est automatiquement extrait du message et Edge génère un message du journal pour
vous indiquer qu’un virus a été détecté en temps réel. Si VOD détecte un virus dans un e-mail SMTP, vous
pouvez configurer Edge de sorte qu’il extraie automatiquement le virus ou qu’il place l’e-mail en quarantaine.
Actions, indicateurs et catégories de spamBlocker
Le périphérique Firebox utilise les actions de spamBlocker pour appliquer des décisions relatives à la
distribution des e-mails. Lorsqu’un message est attribué à une catégorie, l’action associée est appliquée.
Toutes les actions ne sont pas prises en charge lorsque vous utilisez spamBlocker avec le proxy POP3.
Autoriser
L’e-mail peut accéder normalement au périphérique Firebox.
Ajouter un indicateur d’objet
L’e-mail peut accéder au périphérique Firebox, mais du texte est inséré dans sa ligne d’objet pour le
signaler comme courrier indésirable ou courrier indésirable présumé. Vous pouvez conserver les
indicateurs par défaut ou les personnaliser, comme cela est décrit dans la section « Indicateurs
spamBlocker ». Vous pouvez également créer des règles dans votre lecteur de messagerie
électronique pour trier automatiquement le courrier indésirable, comme cela est décrit dans la
rubrique Créer des règles pour votre lecteur de messagerie électronique.
Quarantaine (SMTP uniquement)
L’e-mail est envoyé au serveur Quarantine Server. Notez que l’option Quarantaine est uniquement
prise en charge si vous utilisez spamBlocker avec le proxy SMTP. Le proxy POP3 ne prend pas en
charge cette option.
Refuser (SMTP uniquement)
Permet d’empêcher la transmission de l’e-mail au serveur de messagerie. Le périphérique envoie ce
message SMTP 571 au serveur de messagerie émetteur : Transmission non autorisée, message refusé.
L’option Refuser est uniquement prise en charge si vous utilisez spamBlocker avec le proxy SMTP. Le
proxy POP3 ne prend pas en charge cette option.
226
Firebox X Edge e-Series
spamBlocker
Indicateurs spamBlocker
Si vous sélectionnez l’action spamBlocker qui consiste à ajouter un indicateur à certains e-mails, le
périphérique Firebox ajoute une chaîne de texte à la ligne d’objet du message. Vous pouvez utiliser les
indicateurs par défaut ou créer un indicateur personnalisé.
L’exemple ci-dessous illustre la ligne d’objet d’un e-mail qui s’est avéré être un courrier indésirable.
L’indicateur ajouté est l’indicateur par défaut : ***COURRIER INDÉSIRABLE***.
Objet : ***COURRIER INDÉSIRABLE*** Devis gratuit d’assurance auto
Cet exemple illustre un indicateur personnalisé : [COURRIER INDÉSIRABLE]
Objet : [COURRIER INDÉSIRABLE] Votre demande a été acceptée !
Catégories spamBlocker
La solution de détection des signatures récurrentes RPD (Recurrent-Pattern Detection) de Commtouch classe
les attaques de courriers indésirables dans la base de données de son centre de détection des courriers
indésirables en fonction du niveau de sévérité. spamBlocker interroge la base de données et attribue une
catégorie à chaque e-mail.
spamBlocker possède trois catégories :
La catégorie Confirmé comprend des e-mails émis par des expéditeurs de courriers indésirables connus. Il est
conseillé d’utiliser l’action Refuser pour ce type d’e-mail si vous utilisez spamBlocker avec le proxy SMTP ou
Ajouter un indicateurd’objet si vous utilisez spamBlocker avec le proxy POP3.
La catégorie Masse comprend des e-mails qui ne sont pas émis par des expéditeurs de courriers indésirables
connus mais dont la signature correspond à celle d’une structure de courrier indésirable connue. Il est
conseillé d’utiliser l’action Ajouter un indicateur d’objet pour ce type d’e-mail ou l’action Quarantaine si
vous utilisez spamBlocker avec le proxy SMTP.
La catégorie Suspect comprend des e-mails qui pourraient être associés à une nouvelle attaque de courriers
indésirables. Très souvent, ces messages sont légitimes. Il est conseillé de considérer un e-mail suspect
comme un faux positif et non comme un courrier indésirable tant que vous n’avez pas procédé aux
vérifications nécessaires. Il est également conseillé d’utiliser l’action Autoriser pour les e-mails suspects.
Guide de l’utilisateur
227
spamBlocker
Activer spamBlocker
1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du navigateur
et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez spamBlocker > Paramètres.
La page Paramètres spamBlocker s’affiche.
3. Pour activer spamBlocker pour POP3, activez la case à cocher Activer spamBlocker pour les
stratégies de proxy POP3.
Pour activer spamBlocker pour SMTP, activez la case à cocher Activer spamBlocker pour les
stratégies de proxy SMTP.
Configurer spamBlocker
1. Vous définissez de façon semblable les actions entreprises par spamBlocker sur les e-mails POP3 et sur
les e-mails SMTP. Pour définir les actions affectant les e-mails POP3, utilisez l’onglet POP3 ; pour définir
celles qui affectent les e-mails SMTP, utilisez l’onglet SMTP.
2. En haut de la page, assurez-vous que les cases à cocher Activer spamBlocker pour les stratégies de
proxy POP3/SMTP sont activées.
3. Pour analyser les e-mails entrants et sortants à la recherche de nouveaux virus risquant de ne pas
figurer dans la base de données Gateway AntiVirus, activez la case à cocher Activer VOD (Virus
Outbreak Detection) pour POP3 et SMTP.
Pour plus d’informations sur Virus Outbreak Detection, voir À propos de VOD (Virus Outbreak Detection).
4. Par défaut, VOD analyse les e-mails entrants jusqu’à une limite de 40 kilo-octets. Vous pouvez
augmenter ou diminuer cette limite dans la zone de texte Limiter l’analyse de VOD aux premiers. Si
vous définissez une limite plus élevée pour spamBlocker (voir l’étape 5), cette limite plus élevée est
utilisée.
Si la valeur entrée est très élevée, le débit de votre réseau peut s’en trouver ralenti. Il est conseillé de ne pas dépasser
la limite des 50 kilo-octets (Ko).
5. Si VOD (intégré à spamBlocker) détecte un virus dans un message POP3, celui-ci est automatiquement
enlevé. Dans la liste déroulante Un virus a été détecté (SMTP seulement), sélectionnez l’action que
spamBlocker doit entreprendre si un virus est détecté dans un message SMTP.
228
Firebox X Edge e-Series
spamBlocker
6. En bas de la page, vous pouvez définir le nombre d’octets vérifiés par spamBlocker dans un e-mail dans
la zone de texte Limiter l’analyse aux premiers.
Si la valeur entrée est très élevée, le débit de votre réseau peut s’en trouver ralenti. Il est conseillé de ne pas dépasser
la limite des 50 kilo-octets (Ko).
Définir les actions à entreprendre sur les e-mails POP3
1. Dans la liste déroulante Confirmé, sélectionnez Autoriser ou Ajouter un indicateur d’objet. Par
défaut, l’action est Autoriser. Si vous choisissez Ajouter un indicateur d’objet, une zone de texte
s’affiche avec l’indicateur par défaut ***COURRIER INDÉSIRABLE***. Vous pouvez remplacer cet
indicateur par un texte de votre choix.
2. Dans la liste déroulante Masse, sélectionnez Autoriser ou Ajouter un indicateur d’objet. Par défaut,
l’action est Autoriser. Par défaut, l’indicateur est ***MASSE***. Vous pouvez remplacer cet indicateur
par un texte de votre choix.
Guide de l’utilisateur
229
spamBlocker
3. Dans la liste déroulante Suspect, sélectionnez Autoriser ou Ajouter un indicateur d’objet. Par
défaut, l’action est Autoriser. Par défaut, l’indicateur est ***SUSPECT***. Vous pouvez remplacer cet
indicateur par un texte de votre choix.
4. Dans la liste déroulante Lorsque le serveur spamBlocker est indisponible, l’accès à la messagerie
POP3 est, indiquez si le périphérique Firebox X Edge doit autoriser ou refuser tout le trafic POP3 si la
connexion au serveur spamBlocker est impossible. Par défaut, l’action est Autoriser.
Si vous configurez Edge de façon à ce que les e-mails POP3 soient refusés lorsque le serveur
spamBlocker ne peut pas être contacté, vous créez un conflit avec Microsoft Outlook.
Lorsqu’Outlook établit une connexion avec le serveur de messagerie électronique, spamBlocker
tente de contacter le serveur spamBlocker. Si le serveur spamBlocker n’est pas disponible,
spamBlocker interrompt le téléchargement de l’e-mail. Dans un tel cas, un cycle démarre. Outlook
tente de télécharger l’e-mail et spamBlocker interrompt le téléchargement. Ce processus se répète
jusqu’à ce qu’Edge parvienne à se connecter au serveur spamBlocker, jusqu’à l’abandon de la
requête en raison de l’expiration du délai du proxy ou jusqu’à ce que vous annuliez la requête.
5. Activez la case à cocher Envoyer un message journal pour chaque e-mail qui ne correspond à
aucune des catégories ci-dessus pour activer cette option de journalisation.
Définir les actions à entreprendre sur les e-mails SMTP
1. Dans la zone de texte IP d’hôte entrant, tapez l’adresse IP du serveur de messagerie SMTP utilisé pour
votre réseau.
2. Dans la liste déroulante Confirmé, sélectionnez Autoriser, Ajouter un indicateur d’objet, Refuser ou
Quarantaine. Par défaut, l’action est Autoriser. Si vous choisissez Ajouter un indicateur d’objet, une
zone de texte s’affiche avec l’indicateur par défaut ***COURRIER INDÉSIRABLE***. Vous pouvez
remplacer cet indicateur par un texte de votre choix.
3. Dans la liste déroulante Masse, sélectionnez Autoriser, Ajouter un indicateur d’objet, Refuser ou
Quarantaine. Par défaut, l’action est Autoriser. Par défaut, l’indicateur est ***MASSE***. Vous
pouvez remplacer cet indicateur par un texte de votre choix.
4. Dans la liste déroulante Suspect, sélectionnez Autoriser, Ajouter un indicateur d’objet, Refuser ou
Quarantaine. Par défaut, l’action est Autoriser. Par défaut, l’indicateur est ***SUSPECT***. Vous
pouvez remplacer cet indicateur par un texte de votre choix.
5. Dans la liste déroulante Lorsque le serveur spamBlocker est indisponible, l’accès à la messagerie
SMTP est, indiquez si le périphérique Firebox X Edge doit autoriser ou refuser tout le trafic SMTP si la
connexion au serveur spamBlocker est impossible. Par défaut, l’action est Autoriser.
Si vous configurez Edge de façon à ce que le courrier SMTP soit refusé lorsque le serveur spamBlocker
ne peut pas être contacté, vous créez un conflit avec Microsoft Outlook. Lorsqu’Outlook établit une
connexion avec le serveur de messagerie électronique, spamBlocker tente de contacter le serveur
spamBlocker. Si le serveur spamBlocker n’est pas disponible, spamBlocker interrompt le
téléchargement de l’e-mail. Dans un tel cas, un cycle démarre. Outlook tente de télécharger l’e-mail
et spamBlocker interrompt le téléchargement. Ce processus se répète jusqu’à ce qu’Edge parvienne
à se connecter au serveur spamBlocker, jusqu’à l’abandon de la requête en raison de l’expiration du
délai du proxy ou jusqu’à ce que vous annuliez la requête.
6. Activez la case à cocher Envoyer un message journal pour chaque e-mail qui n’entre pas dans la
catégorie des courriers indésirables pour activer cette option de journalisation.
7. Si vous avez sélectionné l’action Quarantaine pour l’une des catégories d’e-mails ci-dessus, entrez
l’adresse IP de votre serveur Quarantine Server dans la zone de texte Adresse IP.
230
Firebox X Edge e-Series
spamBlocker
À propos des exceptions spamBlocker
Vous pouvez créer une liste d’exceptions pour les actions générales de spamBlocker, basée sur l’adresse de
l’expéditeur. Par exemple, si vous souhaitez autoriser un bulletin d’informations identifié par spamBlocker
comme un e-mail en masse, vous pouvez ajouter l’expéditeur à la liste d’exceptions et utiliser l’action
Autoriser quelle que soit la catégorie spamBlocker à laquelle appartient l’expéditeur. Vous pouvez
également, si vous souhaitez appliquer un indicateur à un expéditeur identifié par spamBlocker comme étant
sûr, l’ajouter à la liste des exceptions.
Veillez à utiliser l’adresse réelle de l’expéditeur figurant dans le champ « Message de » de l’en-tête de l’e-mail,
qui ne correspond pas nécessairement à l’adresse du champ « De : » qui s’affiche en haut de l’e-mail. Pour
obtenir l’adresse réelle afin de l’ajouter à la liste des exceptions, affichez l’en-tête complet de l’e-mail (dans
Microsoft Outlook, ouvrez le message et sélectionnez Affichage > Options et consultez la zone En-têtes
Internet). Les adresses de l’expéditeur et du destinataire apparaissent dans les lignes suivantes :
Message X-WatchGuard de :
Destinataires du message X-WatchGuard :
Soyez prudent lorsque vous ajoutez des caractères génériques à une exception. Les expéditeurs de courriers
indésirables peuvent usurper les informations d’en-tête. Plus les adresses de votre liste d’exceptions sont
spécifiques, plus il est difficile de les usurper.
Pour modifier l’ordre des règles répertoriées dans la boîte de dialogue, voir Modifier l’ordre des exceptions.
Créer des exceptions
Pour ajouter des exceptions (expéditeurs ou destinataires) aux actions spamBlocker :
1. Dans la liste déroulante sous la colonne Action, sélectionnez Autoriser ou Ajouter un indicateur
d’objet.
2. Dans la zone de texte sous la colonne Expéditeur, tapez l’adresse e-mail de l’expéditeur. Vous pouvez
utiliser l’astérisque (*) en tant que caractère générique. Par exemple, si vous tapez
*@watchguard.com, l’exception porte sur toutes les adresses e-mail en provenance du domaine
WatchGuard. Vous pouvez également entrer uniquement un astérisque dans la zone de texte si
l’exception s’applique à tous les expéditeurs.
3. Dans la zone de texte sous la colonne Destinataire, tapez l’adresse e-mail du destinataire. Vous
pouvez utiliser l’astérisque (*) en tant que caractère générique. Par exemple, si vous tapez
*@watchguard.com, l’exception porte sur toutes les adresses e-mail à destination du domaine
WatchGuard. Vous pouvez également entrer uniquement un astérisque dans la zone de texte si
l’exception s’applique à tous les destinataires.
4. Si vous sélectionnez l’action Ajouter un indicateur d’objet, entrez un indicateur dans la zone de texte
sous la colonne Indicateur d’objet. Cet indicateur est ajouté à la ligne d’objet des e-mails qui
correspondent à cette exception.
5. Cliquez sur Ajouter pour entrer l’exception.
6. Vous pouvez mettre en surbrillance une exception et cliquer sur Supprimer pour supprimer
l’exception.
7. Vous pouvez modifier la priorité de la liste d’exceptions. Pour cela, sélectionnez une exception, puis
cliquez sur Monter ou Descendre pour définir la priorité de cette exception. Pour plus d’informations,
voir Modifier l’ordre des exceptions.
8. Cliquez sur Envoyer.
Guide de l’utilisateur
231
spamBlocker
Modifier l’ordre des exceptions
L’ordre de classement des règles d’exception dans la boîte de dialogue détermine l’ordre dans lequel les emails sont comparés aux règles. Le proxy compare les messages à la première règle de la liste et poursuit dans
l’ordre, du haut vers le bas. Lorsqu’un message correspond à une règle, le périphérique Firebox applique
l’action associée. Aucune autre action n’est réalisée, même si le message correspond à une ou plusieurs règles
figurant plus bas dans la liste.
Pour modifier l’ordre des règles, sélectionnez la règle que vous souhaitez déplacer. Cliquez sur le bouton
Monter ou Descendre pour déplacer la règle plus haut ou plus bas dans la liste.
À propos de l’utilisation de spamBlocker avec plusieurs proxies
Vous pouvez configurer l’utilisation de spamBlocker par plusieurs services de proxy SMTP ou POP3, ce qui
vous permet de créer des règles personnalisées pour différents groupes d’une même organisation. Par
exemple, vous pouvez autoriser tous les e-mails destinés à la direction et utiliser un indicateur de courrier
indésirable pour l’équipe marketing.
Si vous souhaitez utiliser plusieurs services de proxy avec spamBlocker, votre réseau doit utiliser l’une des
configurations suivantes :
ƒ
ƒ
Chaque stratégie de proxy doit envoyer les e-mails à un serveur de messagerie interne distinct.
ou
Vous devez définir la ou les sources externes qui peuvent envoyer les e-mails pour chaque stratégie de
proxy.
Créer des règles pour votre lecteur de messagerie
électronique
Pour utiliser l’action Indicateur dans spamBlocker, il est conseillé de configurer votre lecteur de messagerie
électronique pour qu’il trie les messages. La plupart des lecteurs de messagerie électronique, comme Outlook,
Thunderbird et Mac Mail, vous permettent de définir des règles pour envoyer automatiquement les e-mails
comportant des indicateurs vers un sous-dossier. Certains vous permettent également de créer une règle
pour supprimer automatiquement le message.
Dans la mesure où vous pouvez utiliser un indicateur différent pour chaque catégorie spamBlocker, une règle
différente peut être définie pour chacune d’elle. Par exemple, vous pouvez définir une règle pour déplacer
tous les messages possédant l’indicateur ***MASSE*** dans la ligne Objet vers un sous-dossier Courrier de
masse de votre boîte de réception. Vous pouvez définir une autre règle pour supprimer tous les messages
possédant l’indicateur ***COURRIER INDÉSIRABLE*** dans la ligne Objet.
Pour obtenir des instructions sur la configuration du client de messagerie Microsoft Outlook, voir Envoyer le
courrier indésirable et le courrier de masse dans des dossiers Outlook spécifiques. Pour des informations sur
l’utilisation de cette procédure pour d’autres clients de messagerie, voir la documentation utilisateur associée.
Si vous utilisez spamBlocker avec le proxy SMTP, vous pouvez envoyer le courrier indésirable vers le
serveur Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos
de Quarantine Server.
232
Firebox X Edge e-Series
spamBlocker
Envoyer le courrier indésirable et les e-mails en masse dans des dossiers
Outlook spécifiques
Cette procédure décrit la marche à suivre pour créer des règles pour le courrier indésirable présumé (ou spam)
et les e-mails en masse dans Microsoft Outlook. Vous pouvez envoyer les e-mails possédant les indicateurs
« Courrier indésirable » ou « Masse » directement dans des dossiers Outlook spécifiques. En créant ces
dossiers, vous supprimez le courrier indésirable présumé de vos dossiers Outlook habituels, mais vous pouvez
tout de même le consulter si cela est nécessaire.
Avant de commencer, veillez à configurer spamBlocker pour qu’il ajoute un indicateur pour le courrier
indésirable et les e-mails en masse. Vous pouvez utiliser les indicateurs par défaut ou créer des indicateurs
personnalisés. Les étapes ci-dessous décrivent comment procéder pour créer des dossiers avec les indicateurs
par défaut.
1. Dans votre boîte de réception Outlook, sélectionnez Outils > Règles et alertes.
2. Cliquez sur Nouvelle règle pour lancer l’Assistant Règles. Sélectionnez Démarrer à partir d’une règle
vide.
3. Sélectionnez Vérifier les messages à leur arrivée. Cliquez sur Suivant.
4. Cochez la condition : contenant des mots spécifiques dans l’objet. Ensuite, dans le volet inférieur,
modifiez la description de la règle en cliquant sur spécifique.
5. Dans la boîte de dialogue Rechercher le texte, entrez l’indicateur du courrier indésirable
***COURRIER INDÉSIRABLE***. Si vous souhaitez utiliser un indicateur personnalisé, entrez-le ici.
6. Cliquez sur Ajouter et sur OK.
7. Cliquez sur Suivant.
8. L’Assistant vous demande l’action que vous souhaitez effectuer sur le message. Cochez la case le
déplacer dans le dossier spécifié. Ensuite, dans le volet inférieur, cliquez sur spécifié pour
sélectionner le dossier de destination.
9. Dans la boîte de dialogue Sélectionner un dossier, cliquez sur Nouveau.
10. Dans le champ du nom de dossier, entrez Courrier indésirable. Cliquez sur OK.
11. Cliquez deux fois sur Suivant.
12. Pour terminer la configuration, attribuez un nom à votre règle et cliquez sur Terminer.
13. Cliquez sur Appliquer.
Répétez ces étapes pour créer une règle pour les e-mails en masse, à l’aide de l’indicateur d’e-mails en masse.
Vous pouvez envoyer les e-mails en masse vers le même dossier ou créer un autre dossier.
Signaler les faux positifs et les faux négatifs
Un faux positif est un e-mail légitime identifié à tort comme un courrier indésirable par spamBlocker. Un faux
négatif est un courrier indésirable identifié à tort comme un e-mail légitime par spamBlocker. Si vous
découvrez une faux positif ou un faux négatif, vous pouvez signaler l’erreur de classification directement à
Commtouch. Pour signaler l’erreur, vous devez avoir accès à l’e-mail.
Pour des informations sur le signalement d’un faux positif ou d’un faux négatif, voir la section consacrée à
spamBlocker dans le Forum aux questions suivant (en anglais) :
www.watchguard.com/support/faqs/fireware/.
Vous devez vous connecter avec votre nom d’utilisateur et votre mot de passe des services LiveSecurity.
Guide de l’utilisateur
233
spamBlocker
Ajouter des redirecteurs d’e-mails approuvés pour
améliorer la précision du score de probabilité de courrier
indésirable
Une partie du score de probabilité de courrier indésirable d’un e-mail est calculée à partir de l’adresse IP du
serveur depuis lequel le message a été reçu. Si un service de transfert d’e-mails est utilisé, l’adresse IP du
serveur de transfert permet de calculer le score de probabilité de courrier indésirable. Dans la mesure où le
serveur de transfert n’est pas le serveur de messagerie source initial, le score de probabilité de courrier
indésirable peut être inexact.
Pour améliorer la précision du score de probabilité de courrier indésirable, vous pouvez entrer un ou plusieurs
noms d’hôtes ou noms de domaine de serveurs de messagerie auxquels vous faites confiance pour transférer
les e-mails vers votre serveur de messagerie. Une fois que vous avez ajouté un ou plusieurs redirecteurs d’emails approuvés, spamBlocker les ignore dans les en-têtes des e-mails. Le score de probabilité de courrier
indésirable est calculé à partir de l’adresse IP du serveur de messagerie source.
Ajouter des redirecteurs d’e-mails approuvés
Dans l’onglet Standard de la page Paramètres spamBlocker, vous pouvez entrer un ou plusieurs noms
d’hôtes ou noms de domaine de serveurs de messagerie auxquels vous faites confiance pour transférer les emails vers votre serveur de messagerie.
234
Firebox X Edge e-Series
16
Quarantine Server
À propos de Quarantine Server
WatchGuard Quarantine Server fournit un mécanisme de quarantaine sécurisé et complet pour tous les emails soupçonnés d’être indésirables ou de contenir des virus. Ce référentiel reçoit les e-mails à partir du proxy
SMTP et les messages sont filtrés par spamBlocker. Un contrôle détaillé vous permet de configurer des
préférences quant à la disposition du courrier, aux allocations de stockage et à d’autres paramètres.
Pour mettre en quarantaine le courrier indésirable, Quarantine Server utilise uniquement le proxy
SMTP et spamBlocker. Si vous n’utilisez pas spamBlocker, ou si vous utilisez spamBlocker avec le
proxy POP3 et non pas le proxy SMTP, vous ne pouvez pas utiliser Quarantine Server. Pour mettre en
quarantaine le courrier qui contient des virus, Quarantine Server utilise uniquement le proxy SMTP
et Gateway AntiVirus.
Quarantine Server fournit des outils à la fois pour les utilisateurs et les administrateurs. Les utilisateurs
reçoivent des notifications d’e-mails périodiques à partir de Quarantine Server, indiquant qu’ils possèdent des
messages stockés sur Quarantine Server. Les utilisateurs peuvent alors cliquer sur une URL dans l’e-mail pour
accéder à Quarantine Server. Sur Quarantine Server, l’expéditeur et l’objet des e-mails suspects sont affichés.
Dans le cas de courrier indésirable, ils peuvent libérer tous les messages électroniques de leur choix dans leur
boîte de réception et supprimer les autres messages. Les administrateurs peuvent configurer Quarantine
Server pour qu’il supprime automatiquement les futurs messages provenant d’un domaine ou d’un
expéditeur spécifique, ou ceux dont la ligne Objet contient une expression spécifique.
Vous pouvez afficher des statistiques sur l’activité de Quarantine Server, telles que le nombre de messages mis
en quarantaine au cours d’une plage de dates spécifique ou le nombre de messages soupçonnés d’être
indésirables.
Quarantine Server propose plusieurs classifications possibles pour les messages mis en quarantaine :
ƒ
ƒ
ƒ
ƒ
ƒ
Courrier indésirable présumé : il peut s’agir de courrier indésirable, mais les informations sont
insuffisantes et ne permettent pas de conclure.
Courrier indésirable confirmé : courrier indésirable.
Courrier de masse : le message fait partie d’un envoi de masse de courrier commercial.
Virus : le message présente une haute probabilité de contenir un virus.
Virus possible : le message peut contenir un virus.
Guide de l’utilisateur
235
Quarantine Server
Installer Quarantine Server et WebBlocker Server
Pour utiliser la fonctionnalité de mise en quarantaine de spamBlocker ou Gateway AntiVirus, ou si vous
souhaitez installer et maintenir votre propre WebBlocker Server, vous devez télécharger et installer
WatchGuard Quarantine Server et WebBlocker Server. Vous pouvez installer le logiciel serveur sur un
ordinateur exécutant Windows 2003, Windows XP ou Windows Vista. Nous recommandons au moins 512 Mo
de RAM, un processeur 2,0 GHz et 60 Go d’espace disque si vous prévoyez d’installer les deux serveurs sur le
même ordinateur.
Télécharger le logiciel serveur
1.
2.
3.
4.
5.
À l’aide de votre navigateur, accédez à : http://www.watchguard.com/.
Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity.
Cliquez sur le lien Software Downloads.
Sélectionnez le type et le numéro de modèle de votre périphérique Firebox.
Téléchargez les logiciels WatchGuard Quarantine Server et WebBlocker Server for Edge et enregistrez
le fichier à l’emplacement de votre choix.
Installer Quarantine Server et WebBlocker Server
Double-cliquez sur WGEdge10QWB.exe pour démarrer l’Assistant d’installation. Vous devrez peut-être taper
un mot de passe d’administrateur local pour exécuter le programme d’installation sur certains systèmes
d’exploitation. Suivez les instructions pour installer le logiciel :
Installation de WatchGuard WebBlocker et Quarantine Server pour Edge.
Cliquez sur Suivant pour démarrer l’Assistant.
Lisez le contrat de licence.
Activez la case d’option Accepter, puis cliquez sur Suivant.
Définissez le dossier de destination.
Cliquez sur Parcourir pour sélectionner l’emplacement d’installation du logiciel ou cliquez sur
Suivant.
Sélectionnez les composants à installer.
Les deux serveurs sont installés par défaut. Si vous ne souhaitez pas installer un serveur, désactivez la
case à cocher correspondante. Lorsque vous avez terminé, cliquez sur Suivant.
Configurez la barre d’outils WatchGuard.
Suivez les instructions affichées à l’écran pour activer votre barre d’outils WatchGuard. Lorsque vous
avez terminé, cliquez sur Suivant. Après l’installation, vous pouvez démarrer et arrêter WebBlocker
Server ou Quarantine Server à l’aide des icônes WebBlocker Server et Quarantine Server dans votre
barre d’outils WatchGuard.
Installation de WatchGuard WebBlocker et Quarantine Server pour Edge
Cliquez sur Terminer pour fermer l’Assistant.
236
Firebox X Edge e-Series
Quarantine Server
Démarrer Quarantine Server
Pour démarrer Quarantine Server, vous devez :
ƒ
ƒ
ƒ
Installer Quarantine Server
Exécuter l’Assistant Setup Wizard
Définir l’emplacement du serveur
Installer les composants serveur
Vous pouvez installer Quarantine Server en tant que partie intégrante de WatchGuard System Manager ou
dans le cadre d’une installation spéciale pour les utilisateurs de Firebox X Edge. Lorsque vous exécutez le
programme d’installation, vous êtes invité à spécifier les composants clients et serveur que vous voulez
installer. Dans la section Composants serveur, assurez-vous de sélectionner Quarantine Server.
Si vous avez déjà exécuté le programme d’installation de Quarantine Server et de WebBlocker Server, mais
n’avez pas installé Quarantine Server, vous pouvez exécuter de nouveau le programme d’installation. Pour
plus d’informations, voir Installer Quarantine Server et WebBlocker Server.
Une fois que vous avez installé Quarantine Server, exécutez l’Assistant Quarantine Server Setup Wizard. Pour
plus d’informations, voir Exécuter l’Assistant Setup Wizard.
Exécuter l’Assistant Setup Wizard
Cliquez avec le bouton droit sur l’icône de Quarantine Server (icône du milieu) dans la barre d’état système et
sélectionnez Démarrer le service.
L’Assistant Quarantine Server Setup Wizard démarre.
Parcourez l’Assistant et ajoutez les informations requises.
Créez un mot de passe principal.
Le mot de passe principal chiffre toutes les données du serveur.
Créez un mot de passe de gestion de serveur.
Vous serez invité à fournir ce mot de passe chaque fois que vous cliquerez sur une option de menu
pour configurer le serveur et ses utilisateurs.
Identifiez le nom de votre organisation.
L’Assistant Quarantine Server Setup Wizard est terminé.
Vous pouvez définir à présent l’emplacement du serveur, comme cela est décrit dans Définir
l’emplacement du serveur.
Définir l’emplacement du serveur
Vous devez indiquer à Firebox l’emplacement de Quarantine Server. Firebox enverra les e-mails vers cet
emplacement pour les mettre en quarantaine.
Si vous utilisez Quarantine Server pour mettre en quarantaine les messages indésirables détectés par
spamBlocker, ajoutez l’adresse IP de Quarantine Server dans la page spamBlocker > Paramètres, sous
l’onglet SMTP.
Si vous utilisez Quarantine Server pour mettre en quarantaine les e-mails contenant des virus détectés par
Gateway AntiVirus, ajoutez l’adresse IP de Quarantine Server dans la page Gateway AV/IPS > Paramètres.
Guide de l’utilisateur
237
Quarantine Server
Configurer Quarantine Server
Lorsque vous configurez Quarantine Server, les options suivantes s’offrent à vous :
ƒ
ƒ
ƒ
ƒ
ƒ
Définir les paramètres de serveur généraux
Modifier les paramètres d’expiration et de domaine d’utilisateur : quand supprimer ou combien de
temps conserver les messages, ainsi qu’ajouter et supprimer des domaines d’utilisateurs. Seuls les
messages des utilisateurs des domaines qui figurent dans cette liste peuvent être envoyés vers
Quarantine Server.
Modifier les paramètres de notification : le message envoyé aux utilisateurs qui leur indique qu’ils ont
des messages sur Quarantine Server.
Modifier les paramètres de journalisation
Modifier les règles de Quarantine Server : ajouter, modifier ou supprimer les règles qui déterminent les
messages que Quarantine Server supprimera automatiquement.
Définir les paramètres de serveur généraux
1. Pour ouvrir la boîte de dialogue Configuration de Quarantine Server, cliquez avec le bouton droit
sur
et sélectionnez Configurer.
2. Entrez le mot de passe de gestion du serveur. Il s’agit du mot de passe de gestion du serveur que vous
avez créé dans le deuxième écran de l’Assistant Quarantine Server Setup Wizard ou lorsque vous avez
configuré Management Server.
La boîte de dialogue Configuration de Quarantine Server s’affiche.
238
Firebox X Edge e-Series
Quarantine Server
3. Pour modifier la taille maximale de la base de données par défaut de 10 000 Mo, tapez une nouvelle
valeur dans le champ Taille maximale de la base de données. La taille actuelle de la base de données
et l’espace disponible sont affichés à droite de ce champ. Lorsque Quarantine Server vient à manquer
d’espace disque, il refuse les nouveaux messages et supprime tous les messages électroniques qu’il
reçoit ultérieurement.
4. Vous pouvez spécifier que vous voulez être averti lorsque la base de données approche de sa limite.
Activez la case à cocher Envoyer un avertissement si la base de données atteint le seuil
d’avertissement. Utilisez les flèches pour spécifier le seuil d’avertissement et tapez l’adresse e-mail de
la personne qui doit recevoir l’avertissement dans le champ Envoyer un message d’avertissement à.
Par exemple, si vous activez la case à cocher, utilisez le seuil d’avertissement par défaut de 90 % et
utilisez la taille maximale de la base de données par défaut de 10 000 Mo (10 Go), Quarantine Server
envoie le message d’avertissement lorsque 9 000 Mo ont été utilisés et qu’il ne reste que 1 000 Mo
disponibles.
5. Dans le champ Serveur de messagerie sortant, tapez l’adresse du serveur de messagerie SMTP
sortant.
6. Si votre serveur de messagerie requiert une authentification, activez la case à cocher Utilisez les
informations de connexion pour le serveur de messagerie et tapez le nom d’utilisateur et le mot de
passe pour le serveur de messagerie. Si le nom d’utilisateur et le mot de passe ne sont pas requis pour
votre serveur SMTP, ne remplissez pas ces champs.
Guide de l’utilisateur
239
Quarantine Server
Modifier les paramètres d’expiration et les domaines d’utilisateurs
1. Pour ouvrir la boîte de dialogue Configuration de Quarantine Server : cliquez avec le bouton droit
sur
et sélectionnez Configurer. Entrez le mot de passe de gestion du serveur. Il s’agit du mot de
passe de gestion du serveur que vous avez créé dans le deuxième écran de l’Assistant Quarantine
Server Setup Wizard ou lorsque vous avez configuré Management Server.
La boîte de dialogue Configuration de Quarantine Server s’ouvre.
2. Dans la boîte de dialogue Configuration de Quarantine Server, cliquez sur l’onglet Paramètres
d’expiration.
3. Dans le champ Conservez les messages pendant, spécifiez le nombre de jours qu’il convient de
conserver les messages sur Quarantine Server.
4. Dans le champ Supprimez les messages expirés à, entrez l’heure de la journée à laquelle il convient
de supprimer les messages expirés après la période de temps indiquée dans le champ précédent.
240
Firebox X Edge e-Series
Quarantine Server
Ajouter ou supprimer des domaines d’utilisateurs
L’onglet Paramètres d’expiration de la boîte de dialogue Configuration de Quarantine Server indique les
noms des domaines pour lesquels Quarantine Server acceptera les e-mails. Seuls les messages des utilisateurs
des domaines qui figurent dans la liste peuvent être envoyés vers Quarantine Server. Les messages envoyés à
des utilisateurs qui ne figurent pas dans l’un de ces domaines sont supprimés.
1. Pour ajouter ou supprimer un nom de domaine à partir du serveur, cliquez sur Mettre à jour.
La boîte de dialogue Ajouter des domaines s’affiche.
2. Pour ajouter un domaine, tapez son nom dans le champ supérieur et cliquez sur Ajouter.
3. Pour supprimer un domaine, sélectionnez-le dans la liste et cliquez sur Supprimer.
Guide de l’utilisateur
241
Quarantine Server
Modifier les paramètres de notification
Les utilisateurs reçoivent des e-mails périodiques sur leur client de messagerie qui incluent une liste des
messages actuellement stockés pour eux sur Quarantine Server. Vous pouvez spécifier le compte à partir
duquel ces messages sont envoyés. Vous pouvez également spécifier le titre et le corps du message. Vous
pouvez configurer l’intervalle selon lequel Quarantine Server envoie des notifications, lequel ne doit pas
dépasser une fois par jour. Vous pouvez également définir l’heure et les minutes de la journée.
1. Pour ouvrir la boîte de dialogue Configuration de Quarantine Server, cliquez avec le bouton droit
sur
et sélectionnez Configurer.
2. Entrez le mot de passe de gestion du serveur. Il s’agit du mot de passe de gestion du serveur que vous
avez créé dans le deuxième écran de l’Assistant Quarantine Server Setup Wizard ou lorsque vous avez
configuré Management Server.
La boîte de dialogue Configuration de Quarantine Server s’affiche.
3. Dans la boîte de dialogue Configuration de Quarantine Server, cliquez sur l’onglet Paramètres de
notification d’utilisateur.
4. Pour activer ou désactiver les notifications (et les champs de cette boîte de dialogue), utilisez la case à
cocher Envoyer une notification aux utilisateurs.
5. Dans le champ Envoyer un e-mail de, tapez l’adresse e-mail complète du compte à partir duquel vous
voulez effectuer l’envoi.
6. Dans le champ Objet, tapez un nom pour l’objet des messages de notification. Par défaut, l’objet
correspond à Notification de WatchGuard Quarantine Server.
242
Firebox X Edge e-Series
Quarantine Server
7. Dans le champ Corps, tapez le corps du message de notification. Vous pouvez utiliser un format texte
ou HTML pour spécifier le corps du message.
8. En regard de Envoyer une notification d’utilisateur, entrez un intervalle de temps pour les
notifications, ainsi que l’heure de la journée à laquelle les notifications doivent être envoyées. Si
vous voulez envoyer immédiatement les notifications à tous les utilisateurs, cliquez sur Envoyer
maintenant.
Certains lecteurs de messagerie électronique peuvent marquer le message de notification envoyé
par Quarantine Server en tant que scam ou tentative d’hameçonnage. Cela est dû au fait que ces
lecteurs classent comme suspecte toute URL qui utilise une adresse IP. L’URL qui permet aux
utilisateurs d’accéder à Quarantine Server inclut l’adresse IP de Quarantine Server à la place d’un
nom d’hôte.
Modifier les paramètres de journalisation
Vous pouvez activer ou désactiver la journalisation pour le serveur et définir l’emplacement où le serveur
enverra les messages des journaux.
Pour ouvrir la boîte de dialogue de configuration :
1. Cliquez avec le bouton droit sur l’icône du serveur et sélectionnez Configurer.
2. Entrez le mot de passe de Management Server lorsque vous y êtes invité.
3. Dans la boîte de dialogue qui s’affiche, cliquez sur l’onglet Journalisation.
Activer ou désactiver la journalisation
Si vous voulez que le serveur envoie les messages des journaux à un ou plusieurs serveurs WatchGuard Log
Servers, activez la case à cocher Activer les messages du journal pour WatchGuard Log Server.
Ajouter des serveurs Log Server ou définir des priorités pour ces serveurs.
1. Pour ajouter des serveurs Log Server pour le serveur, cliquez sur Ajouter.
2. Vous pouvez créer une liste des priorités pour les serveurs Log Server. Si Firebox ne peut pas se
connecter à Log Server avec la priorité la plus élevée, il se connecte au serveur Log Server suivant dans
la liste des priorités. Si Firebox examine chaque serveur Log Server dans la liste et ne peut pas se
connecter, il essaie à nouveau de se connecter au premier serveur Log Server de la liste. Pour modifier
la liste des priorités, sélectionnez un serveur Log Server dans la liste et cliquez sur les boutons Monter
et Descendre.
3. La liste déroulante Sélectionnez un niveau de journal vous permet d’attribuer un niveau aux
messages des journaux envoyés par le serveur : Erreur, Avertissement, Informations ou Débogage.
Envoyer les messages à l’Observateur d’événements Windows
L’Observateur d’événements est un programme Windows qui conserve l’enregistrement des événements qui
se produisent dans les applications qui s’exécutent sur votre ordinateur. Pour contrôler si le serveur envoie des
messages à ce programme, utilisez la case à cocher Envoyer des messages du fichier journal à
l’Observateur d’événements Windows.
Utilisez la liste déroulante Sélectionnez un niveau de journal pour attribuer un niveau aux messages des
journaux envoyés par le serveur à l’Observateur d’événements : Erreur, Avertissement, Informations ou
Débogage.
Guide de l’utilisateur
243
Quarantine Server
Envoyer les messages vers un fichier
Pour contrôler si le serveur envoie les messages des journaux vers un fichier, utilisez la case à cocher Envoyer
les messages du journal vers un fichier. Définissez l’emplacement du fichier qui recevra le message du
journal et utilisez la liste déroulante Sélectionnez un niveau de journal pour attribuer un niveau aux
messages des journaux.
Modifier les règles de Quarantine Server
Vous définissez des règles pour supprimer automatiquement certains messages s’ils proviennent d’un
domaine ou d’un expéditeur spécifique, ou si leur ligne Objet contient des chaînes de caractères spécifiques.
1. Pour ouvrir la boîte de dialogue Configuration de Quarantine Server, cliquez avec le bouton droit
sur
et sélectionnez Configurer.
2. Entrez le mot de passe de gestion du serveur. Il s’agit du mot de passe de gestion du serveur que vous
avez créé dans le deuxième écran de l’Assistant Quarantine Server Setup Wizard ou lorsque vous avez
configuré Management Server.
La boîte de dialogue Configuration de Quarantine Server s’ouvre.
3. Dans la boîte de dialogue Configuration de Quarantine Server, cliquez sur l’onglet Règles.
4. Pour modifier une règle, sélectionnez-la.
La description de la règle s’affiche dans le bloc Description de la règle.
244
Firebox X Edge e-Series
Quarantine Server
5. Cliquez sur les mots soulignés dans la règle pour ajouter un domaine, un expéditeur ou une chaîne de
caractères dans la ligne Objet spécifique.
La boîte de dialogue Modifier la règle de suppression automatique s’affiche.
6. Pour ajouter un domaine, un expéditeur ou une chaîne, tapez cet élément dans la zone supérieure et
cliquez sur Ajouter.
7. Pour supprimer un domaine, un expéditeur ou une chaîne, sélectionnez l’élément dans la zone
inférieure et cliquez sur Supprimer.
Notez les restrictions suivantes concernant la modification des règles :
ƒ
ƒ
ƒ
Les règles ne prennent pas en charge les caractères génériques. Par exemple, vous ne pouvez pas
entrer la règle « Supprimer automatiquement les messages de *.gov » pour supprimer
automatiquement tous les domaines présentant l’extension .gov.
Lorsque vous supprimez un domaine, un expéditeur ou une chaîne, Quarantine Server supprime
uniquement les e-mails ultérieurs qui correspondent à cette règle. Il ne supprime pas les messages
actuels dans la base de données.
Les règles qui bloquent automatiquement les messages contenant une chaîne de caractères
spécifique s’appliquent uniquement au texte de la ligne Objet. Si le texte spécifié figure dans le corps
du message, mais pas dans la ligne Objet, le message n’est pas supprimé.
Guide de l’utilisateur
245
Quarantine Server
Gérer les messages
Vous pouvez voir tous les messages sur Quarantine Server dans une boîte de dialogue. Vous pouvez trier les
messages par utilisateur, statut de quarantaine, expéditeur, objet et date/heure de réception.
Une seule boîte de dialogue de Quarantine Server peut être ouverte à la fois. Lorsque vous avez
terminé d’utiliser la boîte de dialogue de Quarantine Server, fermez celle-ci avant d’en ouvrir une
nouvelle.
Ouvrir la boîte de dialogue des messages
1. Cliquez avec le bouton droit sur
et sélectionnez Gérer les messages.
2. Tapez le mot de passe de gestion de serveur.
La boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server s’affiche.
246
Firebox X Edge e-Series
Quarantine Server
Définir les options d’affichage
Vous pouvez utiliser la liste déroulante Filtrer par pour afficher tous les messages ou seulement ceux qui
possèdent un statut de quarantaine particulier.
Pour afficher le corps d’un message, activez la case à cocher Afficher le corps du message. Sélectionnez un
message quelconque. Un second volet apparaît dans la partie inférieure de la boîte de dialogue et affiche le
corps du message. Vous pouvez également sélectionner un message quelconque et cliquer sur Edition >
Afficher le corps du message ou cliquer avec le bouton droit sur un message quelconque et sélectionner
Afficher le corps du message.
Enregistrer les messages ou les envoyer dans la boîte de réception d’un
utilisateur
Si vous voulez conserver un message sur Quarantine Server, vous devez l’enregistrer dans un fichier.
1. Sous l’onglet Messages de la boîte de dialogue Gestion des utilisateurs et des messages de
Quarantine Server, sélectionnez le message à enregistrer. Vous pouvez enregistrer un seul message
à la fois.
2. Cliquez sur .
Ou, sélectionnez Fichier > Enregistrer sous.
Ou, cliquez avec le bouton droit sur le message et sélectionnez Enregistrer sous.
3. Tapez ou sélectionnez l’emplacement où vous voulez enregistrer le fichier. Cliquez sur Enregistrer.
Pour envoyer un message vers la boîte de réception d’un utilisateur, sélectionnez Fichier > Envoyer un
message.
Seuls les courriers indésirables peuvent être libérés vers des utilisateurs. Les messages qui contiennent ou
sont susceptibles de contenir des virus ne peuvent pas être libérés vers des utilisateurs.
Supprimer des messages manuellement
1. Sous l’onglet Messages de la boîte de dialogue Gestion des utilisateurs et des messages de
Quarantine Server, sélectionnez le ou les messages à supprimer.
o Pour sélectionner une série de messages, cliquez sur le premier message de la série, appuyez
sur la touche Maj et cliquez sur le dernier message de la série.
o Pour sélectionner plusieurs messages qui ne se suivent pas, maintenez enfoncée la touche
Ctrl et sélectionnez les messages.
o Pour sélectionner tous les messages, cliquez sur Edition > Sélectionner tout. Ou, cliquez avec
le bouton droit sur un message quelconque et sélectionnez Sélectionner tout.
2. Cliquez sur .
Ou, cliquez sur Edition > Supprimer.
Guide de l’utilisateur
247
Quarantine Server
Supprimer des messages automatiquement
Vous pouvez spécifier la suppression automatique de tous les messages électroniques futurs provenant d’un
domaine ou d’un expéditeur spécifique, ou dont la ligne Objet contient une expression particulière. Tous les
messages ultérieurs destinés à un utilisateur quelconque, qui présentent cette caractéristique, sont
automatiquement supprimés avant leur envoi vers Quarantine Server.
1. Sous l’onglet Messages de la boîte de dialogue Gestion des utilisateurs et des messages de
Quarantine Server, sélectionnez le ou les messages associés à la caractéristique que vous voulez
supprimer automatiquement.
o Pour sélectionner une série de messages, cliquez sur le premier message de la série, appuyez
sur la touche Maj et cliquez sur le dernier message de la série.
o Pour sélectionner plusieurs messages qui ne se suivent pas, maintenez enfoncée la touche Ctrl
et sélectionnez les messages.
o Pour sélectionner tous les messages, cliquez sur Edition > Sélectionner tout. Ou, cliquez avec
le bouton droit sur un message quelconque et sélectionnez Sélectionner tout.
2. Choisissez les options de suppression appropriées.
o Dans le menu Edition, sélectionnez Supprimer automatiquement > Domaine de
l’expéditeur, Supprimer automatiquement > Expéditeur ou Supprimer
automatiquement > Objet. Ces options sont également disponibles dans le menu contextuel
(clic droit).
o Vous pouvez également utiliser les icônes équivalentes pour sélectionner ces options.
248
Firebox X Edge e-Series
Quarantine Server
Ouvrir la boîte de dialogue des messages
Une seule boîte de dialogue de Quarantine Server peut être ouverte à la fois. Lorsque vous avez
terminé d’utiliser la boîte de dialogue de Quarantine Server, fermez celle-ci avant d’en ouvrir une
nouvelle.
1. Cliquez avec le bouton droit sur l’icône Quarantine Server et sélectionnez Gérer les messages.
2. Tapez le mot de passe de gestion de serveur.
La boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server s’affiche.
Guide de l’utilisateur
249
Quarantine Server
À propos de la gestion des utilisateurs
Vous pouvez ajouter, supprimer et configurer des utilisateurs sous l’onglet Utilisateurs de la boîte de
dialogue Gestion des utilisateurs et des messages de Quarantine Server. Cette boîte de dialogue affiche
les éléments suivants :
ƒ
ƒ
ƒ
ƒ
250
Adresses de messagerie des utilisateurs dont les e-mails peuvent être envoyés vers Quarantine Server.
Si les utilisateurs sont notifiés ou non lorsqu’ils possèdent des messages électroniques sur Quarantine
Server.
Si les utilisateurs sont validés ou non validés. Un utilisateur est validé lorsqu’il reçoit un message dans
un client de messagerie concernant des messages sur Quarantine Server, et que l’utilisateur clique sur
le lien permettant d’accéder à Quarantine Server. De nombreux « utilisateurs » affichés sur Quarantine
Server ne seront jamais validés parce que l’adresse de messagerie est créée par un expéditeur de
courrier indésirable et ne correspond pas à un utilisateur réel.
Nombre de messages actuellement sur Quarantine Server qui sont adressés à cet utilisateur. Si vous
voulez afficher uniquement les utilisateurs validés ou non validés, dans la liste déroulante Filtrer par,
sélectionnez Utilisateurs validés ou Utilisateurs non validés.
Firebox X Edge e-Series
Quarantine Server
Ajouter des utilisateurs
Les utilisateurs sont ajoutés automatiquement lorsque des messages qui leur sont adressés sont envoyés vers
Quarantine Server. Utilisez la procédure suivante pour ajouter manuellement des utilisateurs :
1. Dans la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server, cliquez
sur l’onglet Utilisateurs. Cliquez sur Edition > Ajouter un utilisateur.
La boîte de dialogue Ajouter un utilisateur s’affiche.
2. Tapez l’adresse e-mail complète de l’utilisateur, comme par exemple [email protected].
3. Activez la case d’option Envoyer une notification à cet utilisateur ou Ne pas envoyer de
notification pour spécifier si vous voulez que l’utilisateur soit notifié chaque fois que Quarantine
Server reçoit un message qui lui est adressé.
4. Cliquez sur OK.
Supprimer des utilisateurs
Lorsque vous supprimez un utilisateur, tous les e-mails stockés sur Quarantine Server pour cet utilisateur sont
également supprimés.
1. Dans la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server, cliquez
sur l’onglet Utilisateurs.
2. Sélectionnez l’utilisateur à supprimer et cliquez sur
Ou, cliquez sur Edition > Supprimer.
.
Modifier l’option de notification pour un utilisateur
Vous pouvez spécifier ou modifier l’option visant à notifier les utilisateurs lorsqu’ils possèdent des messages
électroniques sur le serveur.
1. Dans la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server, cliquez
sur l’onglet Utilisateurs.
2. Pour activer la notification pour un utilisateur, sélectionnez l’utilisateur et cliquez sur
Ou, cliquez sur Edition > Notifier l’utilisateur > Oui.
3. Pour désactiver la notification pour un utilisateur, sélectionnez l’utilisateur et cliquez sur
Ou, cliquez sur Edition > Notifier l’utilisateur > Non.
Guide de l’utilisateur
.
.
251
Quarantine Server
Obtenir des statistiques sur l’activité de
Quarantine Server
Les statistiques de Quarantine Server incluent les messages qui ont été supprimés, manuellement ou
automatiquement.
Une seule boîte de dialogue de Quarantine Server peut être affichée à la fois dans cette version de
WatchGuard System Manager. Lorsque vous avez terminé d’utiliser la boîte de dialogue de
Quarantine Server, fermez celle-ci avant d’en ouvrir une nouvelle.
1. Cliquez avec le bouton droit sur
et sélectionnez Afficher les statistiques.
2. Entrez le mot de passe de gestion du serveur.
La boîte de dialogue Statistiques de Quarantine Server s’affiche.
Afficher les statistiques pour des dates spécifiques
Vous pouvez limiter les statistiques à une plage de dates spécifique :
1. Dans la boîte de dialogue Statistiques de Quarantine Server, activez la case d’option Sélectionnez
des dates.
2. Tapez les dates de début et de fin dans les champs De et À.
Afficher des types de messages spécifiques
Vous pouvez spécifier si vous souhaitez afficher seulement les statistiques des messages indésirables
présumés, indésirables confirmés, faisant partie d’un envoi de masse, contenant des virus ou pouvant contenir
des virus. Activez la case d’option Sélectionnez uniquement les messages suivants, puis sélectionnez le ou
les types de messages à afficher.
Grouper les statistiques par mois, semaine ou jour
Par défaut, seules des données de synthèse sont affichées. Vous pouvez spécifier que vous voulez grouper les
données par mois, semaine ou jour.
1. Dans la boîte de dialogue Statistiques de Quarantine Server, activez la case d’option Séparer les
données en groupes.
2. Activez la case d’option Par mois, Par semaine ou Par jour, au choix.
Exporter et imprimer les statistiques
Pour exporter les statistiques de Quarantine Server vers une feuille de calcul Microsoft Excel (format .xls) :
Dans la boîte de dialogue Statistiques de Quarantine Server, cliquez sur Fichier > Exporter au
format Excel.
Pour exporter les statistiques de Quarantine Server au format CSV (valeurs séparées par des virgules) :
Dans la boîte de dialogue Statistiques de Quarantine Server, cliquez sur Fichier > Exporter au
format CSV.
Pour imprimer les statistiques de Quarantine Server :
Dans la boîte de dialogue Statistiques de Quarantine Server, cliquez sur Fichier > Imprimer.
252
Firebox X Edge e-Series
17
Gateway AntiVirus et
Intrusion Prevention Service
À propos de Gateway AntiVirus et Intrusion Prevention
Les pirates font appel à de nombreuses méthodes pour attaquer les ordinateurs sur Internet. Les deux
principales catégories d’attaques sont les virus et les intrusions.
Les virus, y compris les vers et les chevaux de Troie, sont des programmes informatiques malveillants qui
s’autopropagent et placent des copies d’eux-mêmes dans d’autres documents ou codes exécutables sur votre
ordinateur. Lorsqu’un ordinateur est infecté, le virus peut détruire des fichiers ou enregistrer des séquences
de touches.
Les intrusions sont des attaques directes sur votre ordinateur. Généralement, une attaque exploite une
vulnérabilité dans une application. Ces attaques sont créées pour endommager votre réseau, obtenir des
informations confidentielles ou utiliser vos ordinateurs pour attaquer d’autres réseaux.
Pour vous aider à protéger votre réseau contre les virus et intrusions, vous pouvez acheter Gateway AntiVirus/
Intrusion Prevention Service (Gateway
AV/IPS) en option pour Firebox afin d’identifier et de prévenir les attaques. Intrusion Prevention Service et
Gateway AntiVirus fonctionnent avec les proxies SMTP, POP3, HTTP, FTP et TCP-UDP. Lorsqu’une nouvelle
attaque est identifiée, les caractéristiques uniques du virus ou de l’intrusion sont enregistrées. Ces
caractéristiques enregistrées sont appelées « la signature ». Gateway AV/IPS utilise ces signatures pour
détecter les virus et intrusions lors de l’analyse par le proxy.
WatchGuard ne peut pas garantir que Gateway AV/IPS arrête tous les virus ou toutes les intrusions,
ni qu’il empêche l’endommagement de vos systèmes ou réseaux par un virus ou une intrusion.
Vous devez acheter la mise à niveau Gateway AV/IPS pour utiliser ces services. Pour plus d’informations, visitez
le site Web WatchGuard LiveSecurity à l’adresse : http://www.watchguard.com/store ou contactez votre
revendeur WatchGuard.
Vous pouvez afficher les statistiques relatives à l’activité actuelle de Gateway AntiVirus et d’Intrusion
Prevention Service sur la page Gateway AV/IPS, et afficher les rapports de tendances pour Gateway AV/IPS sur
la page État du système > Services de sécurité.
De nouveaux virus et modes d’intrusion apparaissent fréquemment sur Internet. Pour vous assurer que
Gateway AV/IPS offre la meilleure protection possible, vous devez mettre à jour les signatures fréquemment.
Vous pouvez configurer Firebox pour qu’il mette à jour les signatures automatiquement à partir de
WatchGuard, comme cela est décrit dans la section Mettre à jour Gateway AV/IPS.
Guide de l’utilisateur
253
Gateway AntiVirus et Intrusion Prevention Service
À propos des paramètres de Gateway AntiVirus
WatchGuard Gateway AntiVirus (Gateway AV) arrête les virus avant qu’ils n’accèdent aux ordinateurs de votre
réseau. Gateway AV fonctionne avec les proxies SMTP, POP3, HTTP et FTP de WatchGuard. Lorsque vous
activez Gateway AV, les proxies SMTP, POP3, HTTP et FTP examinent plusieurs types de trafic et effectuent une
action que vous précisez.
Gateway AntiVirus analyse différents types de trafic selon le ou les proxies avec lesquels vous utilisez la
fonctionnalité :
ƒ
ƒ
ƒ
Si vous activez Gateway AntiVirus avec le proxy SMTP ou POP3, il détecte les virus codés à l’aide des
méthodes de pièces jointes fréquemment utilisées. Il s’agit, par exemple, des codages base64, binaire,
7 bits, 8 bits et UU. Vous pouvez également utiliser Gateway AV et le proxy SMTP pour envoyer le
courrier infecté par un virus au serveur Quarantine Server.
Si vous activez Gateway AntiVirus avec le proxy HTTP, il détecte les virus contenus dans les pages Web
que les utilisateurs essaient de télécharger.
Si vous activez Gateway AntiVirus avec le proxy FTP, il détecte les virus dans les fichiers transférés et
téléchargés.
Messages de refus du proxy POP3 et Gateway AV/IPS
Il est important que vous sachiez ce que vos utilisateurs voient lorsqu’un e-mail est bloqué par le proxy POP3.
Vous trouverez une description complète des actions déclenchées par le proxy POP3 dans un Forum aux
questions dont l’adresse est la suivante : http://www.watchguard.com/support/faqs/edge/.
Les actions peuvent, par exemple, consister à :
o Envoyer un message indiquant qu’un e-mail a été refusé lorsqu’il bloque un message en raison
d’un problème d’en-tête ou à cause du contenu du corps ou de la pièce jointe, et que la taille
du message est inférieure à 100 kilo-octets.
o Tronquer un e-mail lorsqu’il bloque un message en raison d’un problème de contenu dans le
corps ou la pièce jointe, et que la taille du message est supérieure à 100 kilo-octets.
o Bloquer un e-mail sans en avertir l’utilisateur lorsque ce message présente une anomalie de
protocole.
Vous pouvez consulter les messages de refus de tous les e-mails bloqués dans les messages du journal. Pour
plus d’informations sur l’utilisation de l’outil que représentent les messages des journaux, voir Pour afficher le
journal d’événements.
Les signatures de Gateway AV ne sont pas automatiquement mises à jour par défaut. Pour vous
assurer que Gateway AV dispose des dernières signatures, voir Mettre à jour Gateway AV/IPS.
254
Firebox X Edge e-Series
Gateway AntiVirus et Intrusion Prevention Service
Configurer Gateway AV
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Gateway AV/IPS > Paramètres.
3. Activez la case à cocher Activer Gateway AntiVirus pour SMTP pour effectuer une analyse virale des
e-mails envoyés à un serveur de messagerie par votre périphérique Edge.
4. Activez la case à cocher Activer Gateway AntiVirus pour POP3 pour effectuer une analyse virale des
e-mails téléchargés à partir du serveur de messagerie.
5. Activez la case à cocher Activer Gateway AntiVirus pour FTP pour effectuer une analyse virale du
trafic de transferts de fichiers.
6. Activez la case à cocher Activer Gateway AntiVirus pour HTTP pour effectuer une analyse virale du
contenu HTTP.
7. Si vous activez Gateway AntiVirus pour SMTP, utilisez la liste déroulante Un virus a été détecté (SMTP
seulement) pour choisir si vous souhaitez qu’Edge supprime (enlève) les virus des e-mails lors de leur
détection ou qu’il mette en quarantaine les messages en question. Pour pouvoir utiliser l’option
Quarantaine, WatchGuard Quarantine Server doit être installé.
8. Les formats de fichiers utilisés sur Internet sont très nombreux. Utilisez la liste déroulante En cas
d’erreur pour choisir l’action que Gateway AV doit déclencher lorsqu’il ne parvient pas à analyser un
fichier. L’action par défaut est Supprimer.
Guide de l’utilisateur
255
Gateway AntiVirus et Intrusion Prevention Service
9. Activez la case à cocher Limitez l’analyse si vous souhaitez que le service Gateway AV arrête l’analyse
de chaque fichier lorsqu’il a examiné le nombre de kilo-octets précisé. Les performances d’Edge s’en
trouvent améliorées. La plupart des virus sont petits et se trouvent dans les premiers cent kilo-octets
d’un fichier. L’idéal est de choisir l’équilibre approprié entre performances et sécurité pour votre
réseau.
10. Si vous avez téléchargé, installé et configuré un serveur WatchGuard Quarantine Server, tapez
l’adresse IP de l’ordinateur Quarantine Server. Pour plus d’informations sur la façon d’installer
Quarantine Server, voir Installer Quarantine Server et WebBlocker Server.
11. Lorsque vous activez Gateway AV/IPS pour SMTP, vous devez indiquer l’adresse IP de votre serveur de
messagerie SMTP dans le champ Adresse IP du serveur de messagerie vers le bas de la page. Edge
crée une stratégie qui vous permet d’autoriser le trafic SMTP entrant vers cette adresse IP.
Gateway AV n’analyse pas les formats de fichiers d’archives tels que le format .zip ou les exécutables
compressés.
À propos des paramètres d’Intrusion Prevention Service
Intrusion Prevention Service inclut un jeu de signatures associées à des commandes spécifiques ou à du texte
détecté dans des commandes qui pourraient être dangereuses. Intrusion Prevention Service fonctionne avec
les proxies SMTP, POP3, HTTP et FTP. Si vous n’avez pas configuré ces proxies, ils le sont automatiquement
lorsque vous activez Gateway AV ou IPS pour le protocole en question.
Dans les enregistrements du journal, vous pouvez afficher le nom d’une intrusion qu’IPS a bloquée.
Sélectionnez Journalisation dans le menu de la barre latérale. Vous pouvez également consulter les
statistiques générales de Gateway AV/IPS sur la page Gateway AV/IPS et les rapports de tendances de Gateway
AV/IPS dans État du système > Services de sécurité.
256
Firebox X Edge e-Series
Gateway AntiVirus et Intrusion Prevention Service
Configurer Intrusion Prevention Service
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur, puis l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Gateway AV/IPS > Paramètres.
3. Activez une ou plusieurs cases à cocher pour activer IPS pour SMTP, POP3, FTP, HTTP ou le service
sortant de votre périphérique Edge. Si vous activez IPS pour HTTP ou le service sortant, vous pouvez
également activer la fonctionnalité supplémentaire de protection contre les logiciels espions qui
protège automatiquement votre réseau contre les applications de logiciels espions, comme les
logiciels publicitaires et les logiciels de suivi ou contre les attaques de numéroteurs ou de pirates.
4. Lorsque vous activez Gateway AV/IPS pour SMTP, vous devez indiquer l’adresse IP de votre serveur de
messagerie SMTP dans le champ Adresse IP du serveur de messagerie vers le bas de la page. Edge
crée une stratégie qui vous permet d’autoriser le trafic SMTP entrant vers cette adresse IP.
Mettre à jour Gateway AV/IPS
De nouveaux virus et de nouveaux modes d’intrusion apparaissent fréquemment sur Internet. Le service
Gateway AV/IPS utilise une base de données de signatures pour vérifier la présence de virus et d’intrusions.
WatchGuard publie fréquemment des mises à jour de la base de données de signatures pour ses clients, au fur
et à mesure que de nouvelles signatures sont connues. Généralement, de nouvelles signatures Gateway AV
sont publiées plusieurs fois chaque jour. Les nouvelles signatures IPS, quant à elles, sont publiées un peu
moins fréquemment. Pour vous assurer que Gateway AV/IPS offre la meilleure protection possible, vous devez
souvent mettre à jour les signatures sur Firebox X Edge. Par défaut, Firebox X Edge e-Series vérifie les
mises à jour de signatures automatiquement. Vous pouvez modifier ce paramètre si vous souhaitez mettre à
jour les signatures manuellement.
Guide de l’utilisateur
257
Gateway AntiVirus et Intrusion Prevention Service
Pour mettre à jour vos signatures Gateway AV/IPS manuellement :
1. Dans la barre de navigation, sélectionnez Gateway AV/IPS > Mettre à jour.
La page Mettre à jour Gateway AV/IPS s’affiche.
2. Décidez si vous souhaitez mettre à jour automatiquement ou manuellement. Si vous souhaitez mettre
à jour manuellement, désactivez la case à cocher Activer les mises à jour automatiques.
3. Si vous souhaitez mettre à jour les signatures manuellement, comparez la version de la base de
données de signatures actuelle avec celle qui est disponible au téléchargement. Si une version plus
récente est disponible, cliquez sur Mettre à jour. La nouvelle base de données de signatures est
téléchargée et s’installe automatiquement.
258
Firebox X Edge e-Series
18
Réseaux BOVPN (Branch
Office Virtual Private
Network)
À propos de Branch Office Virtual Private Networks
(BOVPN)
Un VPN (réseau privé virtuel) crée une connexion sécurisée entre des ordinateurs ou des réseaux situés à des
emplacements différents. Cette connexion est appelée un tunnel. Lorsqu’un tunnel VPN est créé, les deux
points de terminaison du tunnel sont authentifiés. Les données du tunnel sont chiffrées. Seuls l’expéditeur et
le destinataire du message peuvent les lire.
Les réseaux BOVPN (Branch Office Virtual Private Networks) permettent aux entreprises de fournir une
connectivité sécurisée et chiffrée entre des agences séparées géographiquement. Les réseaux et les hôtes
d’un tunnel VPN peuvent être des sièges sociaux, des succursales, des utilisateurs distants ou des
télétravailleurs. Ces communications contiennent souvent les types de données critiques échangés au sein du
pare-feu de l’entreprise. Dans ce scénario, un réseau BOVPN fournit des connexions confidentielles entre ces
bureaux, ce qui rationalise la communication, réduit le coût des lignes dédiées et préserve la sécurité à chaque
extrémité.
Procédure de création d’un tunnel
Procédez comme suit pour créer un tunnel BOVPN :
1. Assurez-vous de bien comprendre les exigences des réseaux VPN Firebox X Edge, décrites dans la
rubrique Comment créer un réseau privé virtuel (VPN).
2. Configurez Firebox X Edge pour être le point de terminaison d’un tunnel VPN créé et géré par un
serveur WatchGuard Firebox X Core ou Peak Management Server. Cette procédure est différente en
fonction de la version du logiciel système de WatchGuard System Manager qui est installée sur Firebox
X Core ou Peak.
Ou
Configurez Manual VPN sur Edge, comme cela est expliqué dans la rubrique Créer des tunnels Manual
VPN sur votre système Edge.
3. (Facultatif) Utilisez les fonctionnalités de contrôle du trafic avec les tunnels VPN.
Guide de l’utilisateur
259
Réseaux BOVPN (Branch Office Virtual Private Network)
Comment créer un réseau privé virtuel (VPN)
Avant de configurer votre réseau VPN WatchGuard Firebox X Edge, lisez les conditions suivantes :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Vous devez avoir deux périphériques Firebox X Edge ou bien un périphérique Firebox X Edge et un
deuxième périphérique qui utilise les normes IPSec. Il peut s’agir par exemple de Firebox III, Firebox X
Core, Firebox X Peak ou Firebox SOHO 6. Vous devez activer l’option VPN sur cet autre périphérique si
elle n’est pas déjà active.
Vous devez disposer d’une connexion Internet.
Le fournisseur de services Internet de chaque périphérique VPN doit laisser IPSec traverser ses réseaux.
Certains fournisseurs de services Internet ne vous permettent pas de créer de tunnels VPN sur leurs
réseaux à moins de passer à un niveau de service Internet qui prenne en charge les tunnels VPN.
Contactez le fournisseur de services Internet pour vous assurer que vous pouvez utiliser les ports et
protocoles suivants :
o Port UDP 500 (IKE ou Internet Key Exchange)
o Port UDP 4500 (parcours NAT)
o Protocole IP 50 (ESP ou Encapsulating Security Payload)
Si de l’autre côté du tunnel VPN se trouve un périphérique WatchGuard Firebox X et que chaque
périphérique Firebox est géré par WatchGuard System Manager, vous pouvez utiliser l’option
Managed VPN. L’option Managed VPN est plus facile à configurer que Manual VPN. Pour utiliser cette
option, vous devez obtenir des informations auprès de l’administrateur du périphérique Firebox X de
l’autre côté du tunnel VPN.
Vous devez savoir si l’adresse IP attribuée à l’interface externe de Firebox X Edge est statique ou
dynamique. Pour en savoir plus sur les adresses IP, voir À propos des adresses IP.
Le modèle Firebox X Edge e-Series dont vous disposez vous indique le nombre de tunnels VPN que
vous pouvez créer sur votre périphérique Edge. Vous pouvez acheter une mise à niveau de modèle
pour votre périphérique Edge afin de créer un plus grand nombre de tunnels VPN, comme cela est
expliqué dans la rubrique Mettre à niveau le modèle Firebox X Edge.
Si vous connectez deux réseaux Microsoft Windows NT, ils doivent se trouver dans le même domaine
Microsoft Windows ou il doit s’agir de domaines approuvés. Ceci est un problème de réseau Microsoft,
et non une limitation de Firebox X Edge e-Series.
Si vous voulez utiliser les serveurs DNS et WINS du réseau qui se trouve de l’autre côté du tunnel VPN,
vous devez connaître leurs adresses IP.
Firebox X Edge peut donner les adresses IP des serveurs WINS et DNS aux ordinateurs du réseau
approuvé si ces ordinateurs obtiennent leurs adresses IP auprès du périphérique Edge à l’aide de
DHCP.
Si vous voulez donner aux ordinateurs les adresses IP des serveurs WINS et DNS de l’autre côté du VPN,
vous pouvez taper ces adresses dans les paramètres DHCP de la configuration du réseau approuvé.
Pour savoir comment configurer Edge pour donner des adresses DHCP, voir Activer le serveur DHCP
sur le réseau approuvé.
Vous devez connaître l’adresse réseau des réseaux privés (approuvés) qui se trouvent derrière le
périphérique Firebox X Edge e-Series et celle du réseau qui se trouve derrière l’autre périphérique VPN,
ainsi que leurs masques de sous-réseau.
Les adresses IP privées des ordinateurs situés derrière Firebox X Edge ne peuvent pas être les mêmes
que les adresses IP des ordinateurs situés de l’autre côté du tunnel VPN. Si votre réseau approuvé
utilise les mêmes adresses IP que le bureau vers lequel il va créer un tunnel VPN, votre réseau et
l’autre réseau doivent modifier leur adressage IP pour empêcher les conflits d’adresses IP.
260
Firebox X Edge e-Series
Réseaux BOVPN (Branch Office Virtual Private Network)
À propos du basculement VPN
Le basculement est une fonction importante des réseaux qui demande un haut niveau de disponibilité. Si un
système échoue ou cesse d’être disponible, le basculement transfère automatiquement les fonctionnalités du
système défaillant ou non disponible à un système de sauvegarde. Dans Firebox X Edge e-Series, vous pouvez
définir jusqu’à huit passerelles distantes multiples pour le point de terminaison VPN. Edge utilise la
technologie de détection DPD (Dead Peer Detection) pour vérifier l’intégrité de la passerelle distante. Il utilise
la prochaine passerelle distante disponible s’il ne peut pas envoyer ou recevoir de trafic par le biais de la
passerelle distante principale. La première passerelle distante de la liste est la passerelle distante principale.
Un basculement WAN entraîne également un basculement VPN.
À propos des réseaux VPN gérés
Vous pouvez configurer un tunnel VPN sur Firebox X Edge e-Series à l’aide de deux procédures : Managed VPN
et Manual VPN. Pour plus d’informations sur la création d’un tunnel Manual VPN, voir Créer manuellement des
tunnels VPN sur votre système Edge.
WatchGuard Management Server (précédemment appelé DVCP Server) utilise le protocole DVCP (Dynamic
VPN Configuration Protocol) pour conserver la configuration du tunnel VPN. DVCP est le protocole
WatchGuard qui permet de créer facilement des tunnels IPSec. Management Server gère le tunnel VPN et
envoie la configuration VPN à Firebox X Edge d’où le nom Managed VPN. Un administrateur d’Edge ne doit
taper qu’une petite quantité d’informations dans les pages de configuration d’Edge.
Vous devez installer WatchGuard System Manager et Firebox III, Firebox X Core ou Firebox X Peak pour
disposer de Management Server. Lorsque Firebox X Edge récupère sa configuration VPN de Management
Server, votre système Edge est un client de Management Server dans une relation client-serveur. Edge obtient
l’intégralité de sa configuration VPN de Management Server.
Pour configurer Firebox X Edge pour qu’il autorise l’accès à WatchGuard System Manager afin de créer des
tunnels VPN, voir À propos de l’accès WatchGuard System Manager.
Guide de l’utilisateur
261
Réseaux BOVPN (Branch Office Virtual Private Network)
Configurer des tunnels VPN manuels
Pour créer manuellement un tunnel VPN vers un autre périphérique Firebox X Edge ou vers un périphérique
Firebox III ou Firebox X, ou pour configurer un tunnel VPN vers un périphérique qui n’est pas un périphérique
WatchGuard, vous devez utiliser l’option Manual VPN. Utilisez cette section pour configurer Manual VPN
sur Edge.
Ce dont vous avez besoin pour Manual VPN
Outre les exigences relatives au VPN décrites au début de ce chapitre, vous devez disposer des informations
suivantes pour créer un tunnel Manual VPN :
ƒ
ƒ
ƒ
ƒ
Vous devez savoir si l’adresse IP attribuée à l’autre périphérique VPN est statique ou dynamique. Si
l’autre périphérique VPN est dynamique, Firebox X Edge doit le localiser par son nom de domaine et
l’autre périphérique doit utiliser le service DNS dynamique.
Vous devez connaître la clé partagée (mot de passe) du tunnel. La même clé partagée doit être utilisée
par les deux périphériques.
Vous devez connaître la méthode de chiffrement utilisée pour le tunnel (DES, 3DES, AES 128 bits,
AES 192 bits ou AES 256 bits). Les deux périphériques VPN doivent utiliser la même méthode.
Vous devez connaître la méthode d’authentification utilisée à chaque extrémité du tunnel (MD5 ou
SHA1). Les deux périphériques VPN doivent utiliser la même méthode d’authentification.
Nous vous recommandons de consigner par écrit la configuration de Firebox X Edge et les informations
connexes relatives à l’autre périphérique. Consultez l’exemple de table d’informations d’adressage VPN pour
enregistrer ces informations.
262
Firebox X Edge e-Series
Réseaux BOVPN (Branch Office Virtual Private Network)
Exemple de table d’informations d’adressage VPN
Élément
Description
Attribué par
Adresse IP
externe
Adresse IP qui identifie le périphérique compatible avec IPSec sur
Internet. Exemple :
Site A : 207.168.55.2
Site B : 68.130.44.15
FSI
Adresse de
réseau local
Adresse utilisée pour identifier un réseau local. Il s’agit des adresses IP
des ordinateurs situés de chaque côté qui sont autorisés à envoyer
du trafic dans le tunnel VPN. Nous vous recommandons d’utiliser une
adresse comprise dans l’une des plages réservées :
10.0.0.0/8 – 255.0.0.0
172.16.0.0/12 – 255.240.0.0
192.168.0.0/16 – 255.255.0.0
Les chiffres après la barre oblique désignent les masques de
sous-réseau. /24 signifie que le masque de sous-réseau du réseau
approuvé est 255.255.255.0. Pour plus d’informations sur la saisie
des adresses IP en notation de barre oblique, voir le forum aux
questions suivant :
https://www.watchguard.com/support/advancedfaqs/
general_slash.asp (en anglais) Exemple :
Site A : 192.168.111.0/24
Site B : 192.168.222.0/24
Vous
Clé partagée
La clé partagée est un mot de passe utilisé par deux périphériques
compatibles avec IPSec pour chiffrer et déchiffrer les données qui
traversent le tunnel VPN. Les deux périphériques utilisent le même
mot de passe. S’ils n’ont pas le même mot de passe, ils ne peuvent
pas chiffrer et déchiffrer correctement les données.
Pour plus de sécurité, utilisez un mot de passe combinant des chiffres,
des symboles, des minuscules et des majuscules. Par exemple,
« Gu4c4mo!3 » est préférable à « guacamole ».
Exemple :
Site A : NotreSecretPartagé
Site B : NotreSecretPartagé
Vous
Méthode
de chiffrement
DES utilise le chiffrement 56 bits. 3DES utilise le chiffrement 168 bits.
Le chiffrement AES est disponible en 128 bits, 192 bits et 256 bits.
AES 256 bits est le chiffrement le plus sécurisé qui soit. Les deux
périphériques doivent utiliser la même méthode de chiffrement.
Exemple :
Site A : 3DES ; Site B : 3DES
Vous
Authentification
Les deux périphériques doivent utiliser la même méthode
d’authentification.
Exemple :
Site A : MD5 (ou SHA1)
Site B : MD5 (ou SHA1)
Vous
Guide de l’utilisateur
263
Réseaux BOVPN (Branch Office Virtual Private Network)
Créer des tunnels Manual VPN sur votre système Edge
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez VPN > Manual VPN.
La page Manual VPN s’affiche.
3. Cliquez sur Ajouter.
La page Ajouter une passerelle s’affiche.
4. Tapez un nom pour le tunnel. Ce nom n’est utilisé qu’à des fins d’identification.
5. La Méthode d’informations d’identification est définie sur Clé partagée et peut uniquement être
modifiée si vous avez importé un certificat de passerelle VPN distante. Pour plus d’informations sur les
certificats tiers, voir À propos des certificats.
La clé partagée est un mot de passe que les périphériques utilisent pour chiffrer et déchiffrer les
données dans le tunnel VPN. Les deux périphériques doivent utiliser le même mot de passe sans quoi
ils ne pourront pas chiffrer et déchiffrer correctement les données.
264
Firebox X Edge e-Series
Réseaux BOVPN (Branch Office Virtual Private Network)
Paramètres de phase 1
IKE (Internet Key Exchange) est un protocole utilisé avec les tunnels VPN pour gérer automatiquement les clés.
IKE négocie et modifie les clés. La phase 1 authentifie les deux côtés et crée une association de sécurité de
gestion de clés pour protéger les données du tunnel.
Les paramètres par défaut de la phase 1 sont les mêmes pour tous les périphériques Firebox X Edge.
De nombreux utilisateurs conservent les paramètres d’usine par défaut.
Assurez-vous que la configuration de phase 1 est la même sur les deux périphériques.
Guide de l’utilisateur
265
Réseaux BOVPN (Branch Office Virtual Private Network)
Pour modifier la configuration de phase 1 :
1. Sélectionnez le mode de négociation dans la liste déroulante Mode. Vous ne pouvez utiliser le mode
principal que si les deux périphériques possèdent des adresses IP statiques. Si l’un des périphériques
ou les deux possèdent des adresses IP externes qui sont attribuées dynamiquement, vous devez
utiliser le mode agressif.
2. Entrez l’ID local et l’ID distant. Sélectionnez les types d’ID dans les listes déroulantes : Adresse IP ou
Nom de domaine. Assurez-vous que cette configuration est la même que celle du périphérique
distant.
Notez que le type d’ID local et le type d’ID distant sont inversés sur l’autre périphérique.
o Si le périphérique Firebox X Edge ou le périphérique VPN distant possède une adresse IP
externe statique, définissez le type d’ID local sur Adresse IP. Tapez l’adresse IP externe du
périphérique Edge ou du périphérique distant en tant qu’ID local.
o Si le périphérique Firebox X Edge ou le périphérique VPN distant possède une adresse IP
externe dynamique, vous devez sélectionner Mode agressif et le périphérique doit utiliser le
DNS dynamique. Pour plus d’informations, voir À propos du service DNS dynamique. Définissez
le type d’ID local sur Nom de domaine. Entrez le nom de domaine DynDNS du périphérique en
tant qu’ID local.
Si l’interface externe de Firebox X Edge possède une adresse IP privée au lieu d’une adresse IP
publique, votre fournisseur de services Internet ou le périphérique d’accès à Internet qui est
connecté à l’interface externe (modem ou routeur) d’Edge assure la traduction d’adresses réseau
(NAT). Consultez la rubrique Si votre système Edge se trouve derrière un périphérique NAT si
l’interface externe de votre périphérique Edge possède une adresse IP privée.
3. Sélectionnez le type d’authentification dans la liste déroulante Algorithme d’authentification. Les
options proposées sont MD5-HMAC (authentification 128 bits) ou SHA1-HMAC (authentification
160 bits). SHA1-HMAC est la plus sécurisée des deux.
4. Dans la liste déroulante Algorithme de chiffrement, sélectionnez le type de chiffrement. Les options
proposées, de la moins sécurisée à la plus sécurisée, sont DES-CBC, 3DES-CBC, AES (128 bits),
AES (192 bits) et AES (256 bits).
5. Tapez le nombre de kilo-octets et le nombre d’heures avant l’expiration de la négociation IKE. Pour que
la négociation n’expire jamais, entrez zéro (0). Par exemple, 24 heures et zéro (0) kilo-octet signifient
que la clé de phase 1 est négociée toutes les 24 heures quel que soit le volume de données transmis.
6. Sélectionnez le numéro de groupe dans la liste déroulante Groupe Diffie-Hellman. Edge prend en
charge les groupes Diffie-Hellman 1, 2 et 5. Les groupes Diffie-Hellman permettent de négocier en
toute sécurité des clés secrètes sur un réseau public. Les groupes Diffie-Hellman 2 et 5 utilisent de plus
grands modules de clés et sont plus sécurisés, mais ils demandent plus de temps processeur. Chaque
côté du tunnel VPN doit utiliser le même groupe Diffie-Hellman.
7. Activez la case à cocher Envoyer des messages de conservation d’activité IKE pour savoir si le
tunnel fonctionne ou pas. Lorsque cette case à cocher est activée, Edge envoie des paquets courts
à travers le tunnel à intervalles réguliers. Cela permet aux deux périphériques de savoir si le tunnel
fonctionne bien. Si les paquets de conservation d’activité ne reçoivent aucune réponse au bout de trois
tentatives, Firebox X Edge redémarre le tunnel.
8. Activez la case à cocher Activer la détection DPD pour vérifier l’état de la passerelle distante lorsque
vous voulez utiliser le basculement VPN. Pendant une vérification DPD, Firebox exécute la commande
ping sur la passerelle distante et attend une réponse. S’il n’y en a pas, le basculement VPN a lieu et
Firebox utilise la prochaine passerelle distante disponible. Vous pouvez configurer le délai d’attente de
la commande ping en secondes et le nombre maximal de tentatives.
266
Firebox X Edge e-Series
Réseaux BOVPN (Branch Office Virtual Private Network)
Si votre système Edge se trouve derrière un périphérique NAT
Firebox X Edge e-Series peut utiliser le parcours NAT. Cela signifie que vous pouvez créer des tunnels VPN si
votre fournisseur de services Internet assure la traduction d’adresses réseau (NAT, Network Address
Translation) ou si l’interface externe d’Edge est connectée à un périphérique assurant la traduction d’adresses
réseau. Il est recommandé que l’interface externe de Firebox X Edge ait une adresse IP publique. Si cela n’est
pas possible, utilisez cette section pour en savoir plus.
Les périphériques NAT sont fréquemment dotés de fonctionnalités de pare-feu de base intégrées. Pour créer
un tunnel VPN vers le système Firebox X Edge e-Series lorsque celui-ci se trouve derrière un périphérique NAT,
le périphérique NAT doit laisser passer le trafic. Les ports et protocoles suivants doivent être ouverts sur le
périphérique NAT :
ƒ
ƒ
ƒ
Port UDP 500 (IKE)
Port UDP 4500 (parcours NAT)
Protocole IP 50 (ESP)
Contactez le fabricant du périphérique NAT pour savoir comment ouvrir ces ports et protocoles sur le
périphérique NAT.
Si l’interface externe de Firebox X Edge e-Series possède une adresse IP privée, vous ne pouvez pas utiliser une
adresse IP comme type d’ID local dans les paramètres de phase 1. Étant donné que les adresses IP privées ne
peuvent pas accéder à Internet, l’autre périphérique ne peut pas trouver l’adresse IP externe privée du
système Edge sur Internet.
ƒ
ƒ
Si le périphérique NAT auquel Firebox X Edge est connecté possède une adresse IP publique
dynamique :
o Commencez par configurer le périphérique en mode pont. En mode pont, l’adresse IP publique
est transmise à l’interface externe d’Edge. Contactez le fabricant du périphérique NAT pour en
savoir plus.
o Configurez le DNS dynamique sur Firebox X Edge. Pour plus d’informations, voir À propos du
service DNS dynamique. Dans les paramètres de phase 1 de Manual VPN, définissez le type d’ID
local sur Nom de domaine. Entrez le nom de domaine DynDNS en tant qu’ID local. Le
périphérique distant doit identifier le système Edge par nom de domaine et doit utiliser le nom
de domaine DynDNS du système Edge dans sa configuration de phase 1.
Si le périphérique NAT auquel Firebox X Edge est connecté possède une adresse IP publique statique :
o Dans les paramètres de phase 1 de Manual VPN, définissez le type d’ID local sur Nom de
domaine dans la liste déroulante. Entrez l’adresse IP publique attribuée à l’interface externe du
périphérique NAT en tant qu’ID local. Le périphérique distant doit identifier le système Firebox
X Edge par nom de domaine et doit utiliser la même adresse IP publique que le nom de
domaine dans sa configuration de phase 1.
Guide de l’utilisateur
267
Réseaux BOVPN (Branch Office Virtual Private Network)
Paramètres de phase 2
La phase 2 négocie l’association de sécurité de gestion de données pour le tunnel. Le tunnel utilise cette phase
pour créer des tunnels IPSec et pour regrouper des paquets de données.
Vous pouvez utiliser les paramètres de phase 2 par défaut pour faciliter la configuration.
Assurez-vous que la configuration de phase 2 est la même sur les deux périphériques.
Pour modifier les paramètres de phase 2 :
1. Sélectionnez la méthode d’authentification dans la liste déroulante Algorithme d’authentification.
2. Sélectionnez l’algorithme de chiffrement dans la liste déroulante Algorithme de chiffrement.
3. Les bits TOS constituent un ensemble d’indicateurs à quatre bits dans l’en-tête IP qui peuvent indiquer
aux périphériques de routage de donner la priorité à un certain trafic VPN. Certains fournisseurs de
services Internet abandonnent tous les paquets comportant des indicateurs TOS. Si vous activez la
case à cocher Activer le type de service (TOS) pour IPSEC, Edge conserve les bits TOS existants dans
les paquets de trafic VPN. Si cette case à cocher n’est pas activée, Edge supprime les bits TOS.
4. Pour utiliser la confidentialité de transmission parfaite, activez la case à cocher Activer PFS (Perfect
Forward Secrecy). Cette option garantit que chaque nouvelle clé provient d’un nouvel échange DiffieHellman. Elle rend la négociation plus sécurisée, mais utilise plus de temps et de ressources
informatiques.
268
Firebox X Edge e-Series
Réseaux BOVPN (Branch Office Virtual Private Network)
5. Tapez le nombre de kilo-octets et le nombre d’heures avant l’expiration de la clé de phase 2. Pour que
la clé n’expire pas, entrez zéro (0). Par exemple, 24 heures et zéro (0) kilo-octet signifient que la clé de
phase 2 est renégociée toutes les 24 heures quel que soit le volume de données transmis.
6. Tapez l’adresse IP du réseau local et des réseaux distants qui vont envoyer du trafic chiffré sur le VPN.
Vous devez entrer les adresses réseau en notation de « barre oblique » (également appelée notation
CIDR ou Classless Inter Domain Routing). Pour plus d’informations sur la saisie des adresses IP en
notation de barre oblique, voir le forum aux questions suivant :
http://www.watchguard.com/support/advancedfaqs/general_slash.asp (en anglais)
7. Cliquez sur Ajouter.
8. Répétez l’étape 5 si vous devez ajouter des réseaux supplémentaires.
9. Cliquez sur Envoyer.
Guide de l’utilisateur
269
Réseaux BOVPN (Branch Office Virtual Private Network)
Configurer la conservation d’activité VPN
Pour garder le tunnel VPN ouvert lorsqu’il n’est traversé par aucune connexion, vous pouvez utiliser l’adresse
IP d’un ordinateur se trouvant à l’autre extrémité du tunnel en tant qu’hôte d’écho. Firebox X Edge e-Series
envoie une requête ping toutes les minutes à l’hôte spécifié. Utilisez l’adresse IP d’un hôte qui est toujours en
ligne et qui peut répondre aux messages ping. Vous pouvez entrer l’adresse IP de l’interface approuvée du
périphérique Firebox qui se trouve à l’autre extrémité du tunnel. Vous pouvez également spécifier plusieurs
adresses IP pour que le périphérique Edge puisse envoyer une requête ping à plusieurs hôtes à travers
différents tunnels.
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez VPN > Conservation d’activité.
La page Conservation d’activité VPN s’affiche.
3. Tapez l’adresse IP d’un hôte d’écho. Cliquez sur Ajouter.
4. Répétez l’étape 3 pour ajouter des hôtes d’écho supplémentaires.
5. Cliquez sur Envoyer.
Afficher les statistiques VPN
Vous pouvez analyser le trafic VPN de Firebox X Edge e-Series et dépanner la configuration VPN à partir de la
page Statistiques VPN.
Pour afficher la page Statistiques VPN :
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez État du système > Statistiques VPN.
La page Statistiques VPN s’affiche.
270
Firebox X Edge e-Series
Réseaux BOVPN (Branch Office Virtual Private Network)
Forum aux questions
Pourquoi avez-vous besoin d’une adresse externe statique ?
Pour établir une connexion VPN, chaque périphérique doit connaître l’adresse IP de l’autre périphérique. Si
l’adresse d’un périphérique est dynamique, l’adresse IP peut changer. Si l’adresse IP change, les connexions
entre les périphériques ne peuvent pas être établies sauf si les deux périphériques savent comment se trouver.
Vous pouvez utiliser le service DNS dynamique si vous ne pouvez pas vous procurer d’adresse IP externe
statique. Pour plus d’informations, voir À propos du service DNS dynamique.
Comment obtenir une adresse IP externe statique ?
Vous pouvez vous procurer l’adresse IP externe de votre ordinateur ou de votre réseau auprès de votre
fournisseur de services Internet ou d’un administrateur réseau. De nombreux fournisseurs de services Internet
utilisent des adresses IP dynamiques pour faciliter la configuration et l’utilisation de leurs réseaux avec un
grand nombre d’utilisateurs. La plupart d’entre eux peuvent vous fournir une adresse IP statique en option.
Comment dépanner la connexion ?
Si vous pouvez envoyer une requête ping à l’interface approuvée du périphérique Firebox X Edge distant et
aux ordinateurs du réseau distant, le tunnel VPN fonctionne. La configuration du logiciel réseau ou les
applications logicielles sont des causes possibles d’autres problèmes.
Guide de l’utilisateur
271
Réseaux BOVPN (Branch Office Virtual Private Network)
Pourquoi le test ping ne fonctionne-t-il pas ?
Si vous ne parvenez pas à envoyer une requête ping à l’adresse IP de l’interface locale du périphérique Firebox
X Edge distant, procédez comme suit :
1. Exécutez la commande ping sur l’adresse externe du périphérique Firebox X Edge distant.
Par exemple, à partir du site A, exécutez la commande ping sur l’adresse IP du site B. Si le paquet ping
ne revient pas, assurez-vous que les paramètres de réseau externe du site B sont corrects. (Le site B doit
être configuré pour répondre aux requêtes ping sur cette interface.) Si les paramètres sont corrects,
assurez-vous que les ordinateurs du site B ont accès à Internet. Si les ordinateurs du site B n’ont pas
accès à Internet, contactez votre fournisseur de services Internet ou votre administrateur réseau.
2. Si vous réussissez à envoyer une requête ping à l’adresse externe de chaque périphérique Firebox X
Edge, essayez d’exécuter la commande ping sur une adresse locale du réseau distant.
À partir d’un ordinateur du site A, exécutez la commande ping sur l’adresse IP de l’interface interne du
périphérique Firebox X Edge distant. Si le tunnel VPN fonctionne, le périphérique Edge distant renvoie
le paquet ping. Si le paquet ping ne revient pas, assurez-vous que la configuration locale est correcte.
Vérifiez que les plages d’adresses DHCP locales des deux réseaux connectés par le tunnel VPN
n’utilisent aucune adresse IP en commun. Les deux réseaux connectés par le tunnel ne doivent pas
utiliser les mêmes adresses IP.
Comment définir plus de tunnels VPN que le nombre autorisé sur un
périphérique Edge ?
Le nombre de tunnels VPN que vous pouvez créer sur votre périphérique Firebox X Edge e-Series est
déterminé par le modèle Edge dont vous disposez. Vous pouvez acheter une mise à niveau de modèle pour
votre périphérique Edge afin de créer un plus grand nombre de tunnels VPN. Vous pouvez acheter une mise
à niveau de modèle Firebox X Edge auprès d’un revendeur ou sur le site Web de WatchGuard à l’adresse
suivante : http://www.watchguard.com/products/purchaseoptions.asp.
272
Firebox X Edge e-Series
19
À propos de Mobile VPN
with PPTP
Il est possible d’utiliser le protocole PPTP (Point-to-Point Tunneling Protocol) pour créer des tunnels VPN
sécurisés. Vous pouvez configurer Firebox X Edge e-Series en tant que point de terminaison VPN PPTP et
permettre à dix utilisateurs au maximum d’établir des connexions sécurisées simultanées à Edge et d’accéder
aux réseaux protégés par Edge.
Pour permettre aux utilisateurs distants de se connecter à Firebox avec PPTP, vous devez :
ƒ
ƒ
Configurer Edge avec la première adresse d’une séquence de dix adresses IP actuellement disponibles
sur le réseau approuvé ou facultatif. Edge doit être en mesure de donner ces adresses IP aux utilisateurs
distants lorsqu’ils tentent de se connecter avec PPTP.
Activer les connexions PPTP dans le profil utilisateur du pare-feu de chaque utilisateur distant.
Lorsqu’un utilisateur établit une connexion PPTP à Edge, l’utilisateur reçoit alors un accès total au
réseau approuvé ou facultatif.
Guide de l’utilisateur
273
À propos de Mobile VPN with PPTP
Activer l’accès PPTP pour les utilisateurs d’un pare-feu
Lorsque vous activez Mobile VPN with PPTP sur Edge, vous devez activer l’accès PPTP pour chaque utilisateur
distant qui utilise le protocole PPTP pour se connecter à Edge.
1. Pour vous connecter à la page État du système, tapez https:// et l’adresse IP de l’interface approuvée
de Firebox X Edge dans la barre d’adresses du navigateur.
L’URL par défaut est https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox.
La page Utilisateurs de Firebox s’affiche.
3. Sous Comptes d’utilisateurs locaux, cliquez sur le bouton Modifier pour modifier un compte
d’utilisateur existant ou sur le bouton Ajouter pour ajouter un nouveau compte d’utilisateur.
4. Dans la page Nouveau ou Modifier qui s’affiche, activez la case à cocher Autoriser l’accès distant via
Mobile VPN with PPTP.
274
Firebox X Edge e-Series
À propos de Mobile VPN with PPTP
Activer PPTP sur Edge
1. Pour vous connecter à la page État du système, tapez https:// et l’adresse IP de l’interface approuvée
de Firebox X Edge dans la barre d’adresses du navigateur.
L’URL par défaut est https://192.168.111.1
2. Dans la barre de navigation, sélectionnez VPN > Mobile VPN.
La page Utilisateur itinérant s’affiche.
3. Pour activer PPTP, activez la case à cocher Activez Remote User VPN avec Mobile VPN with PPTP.
4. Activez la case à cocher Autoriser le chiffrement de 128 bits à 40 bits pour permettre aux tunnels de
passer du chiffrement 128 bits au chiffrement 40 bits pour les connexions moins fiables.
Firebox X Edge tente toujours d’utiliser le chiffrement 128 bits en premier. Le chiffrement 40 bits est
employé si le client ne peut pas utiliser la connexion chiffrée en 128 bits. En général, seuls les clients
résidant hors des États-Unis ont recours à cette case à cocher.
Guide de l’utilisateur
275
À propos de Mobile VPN with PPTP
5. Activez la case à cocher Consigner tout le trafic PPTP autorisé pour qu’Edge enregistre un message
du journal pour tout le trafic PPTP.
6. Lorsqu’un utilisateur PPTP se connecte à Edge, ce dernier doit attribuer à l’ordinateur de cet utilisateur
une adresse IP disponible à partir du réseau auquel l’utilisateur souhaite se connecter. Tapez la
première adresse IP dans le pool d’adresses pouvant être utilisé par Edge pour attribuer des adresses
IP aux utilisateurs PPTP dans le champ Début du pool d’adresses IP. Edge donne cette adresse IP au
premier utilisateur PPTP qui se connecte. Edge incrémente ensuite l’adresse IP d’une unité et attribue
une adresse à chaque nouvel utilisateur PPTP qui se connecte (jusqu’à 10 utilisateurs).
L’adresse IP que vous définissez comme adresse de début du pool d’adresses IP doit être la première
adresse d’une séquence de dix adresses IP disponibles et doit être identifiée sur Edge comme faisant
partie du réseau approuvé ou facultatif.
Configurer les paramètres DNS et WINS
Le service DNS (Domain Name Service) change les noms d’hôtes en adresses IP. Le service WINS (Windows
Internet Naming Service) change les noms NetBIOS en adresses IP. Par défaut, les utilisateurs PPTP qui se
connectent à Edge utilisent les serveurs WINS et DNS identifiés sur la page Réseau > Approuvé de votre
configuration Edge.
Si vous souhaitez spécifier un serveur WINS ou DNS différent, ajoutez-le dans les zones de texte Serveur DNS
et Adresse IP du serveur WINS dans la dernière section de la page Utilisateur itinérant.
Préparer les ordinateurs clients
Vous devez vous assurer que les ordinateurs des utilisateurs distants sont configurés pour l’utilisation du
protocole PPTP. Chaque ordinateur doit avoir accès à Internet et doit posséder la version requise de l’Accès
réseau à distance de Microsoft et tous les Service Packs nécessaires. Certains systèmes d’exploitation peuvent
nécessiter un adaptateur VPN. Les mises à niveau et les Service Packs Microsoft sont disponibles dans le Centre
de téléchargement Microsoft à l’adresse suivante :
http://www.microsoft.com/downloads/search.aspx?displaylang=fr.
Pour préparer un ordinateur client Windows Vista, vous devez configurer la connexion PPTP.
Sur le Bureau Windows de l’ordinateur client :
1. Sélectionnez Démarrer > Paramètres > Panneau de configuration.
Le Panneau de configuration s’affiche.
2. Cliquez sur Réseau et Internet.
3. Dans la colonne de gauche, sous Tâches, cliquez sur Connexion à un réseau.
L’Assistant Nouvelle connexion démarre.
4. Cliquez sur Connexion à votre espace de travail. Cliquez sur Suivant.
La fenêtre Connexion à votre espace de travail s’affiche.
5. Cliquez sur Non, créer une nouvelle connexion. Cliquez sur Suivant.
La fenêtre Comment voulez-vous vous connecter ? s’affiche.
6. Cliquez sur Utiliser ma connexion Internet (VPN).
La fenêtre Entrez l’adresse Internet à laquelle vous souhaitez vous connecter s’affiche.
7. Dans la zone de texte Adresse Internet, tapez le nom d’hôte ou l’adresse IP de l’interface externe Edge.
8. Dans la zone de texte Nom de la destination, tapez un nom (p. ex. « PPTP vers Edge »).
9. Indiquez si vous souhaitez que d’autres personnes puissent utiliser cette connexion.
10. Activez la case à cocher Ne pas me connecter maintenant, mais tout préparer pour une connexion
ultérieure pour que l’ordinateur client ne tente pas de se connecter à ce stade.
276
Firebox X Edge e-Series
À propos de Mobile VPN with PPTP
11. Cliquez sur Suivant.
La fenêtre Entrez votre nom d’utilisateur et votre mot de passe s’affiche.
12. Tapez le Nom d’utilisateur et le Mot de passe pour ce client.
13. Cliquez sur Créer.
La fenêtre La connexion est prête à être utilisée s’affiche.
14. Pour vous connecter avec votre nouvelle connexion VPN, sélectionnez Démarrer > Paramètres >
Connexions réseau > [nom de la connexion].
15. Tapez le nom d’utilisateur et le mot de passe pour la connexion, puis cliquez sur Connecter.
16. Si c’est la première fois que vous vous connectez, vous devez sélectionner un emplacement réseau.
Sélectionnez Lieu public.
Créer et connecter un VPN PPTP à partir d’un client Windows XP
Pour préparer un hôte distant Windows XP, vous devez configurer la connexion réseau.
Sur le Bureau Windows de l’ordinateur client :
1. Sélectionnez Démarrer > Panneau de configuration > Connexions réseau.
L’Assistant Connexion réseau démarre.
2. Cliquez sur Créer une nouvelle connexion dans le menu de gauche. L’Assistant Nouvelle connexion
démarre. Cliquez sur Suivant.
3. Cliquez sur Connexion au réseau d’entreprise. Cliquez sur Suivant.
4. Cliquez sur Connexion réseau privé virtuel. Cliquez sur Suivant.
5. Donnez un nom à la nouvelle connexion, p. ex. « Connexion avec RUVPN ». Cliquez sur Suivant.
6. Vous pouvez indiquer soit de ne pas établir la connexion initiale (pour une connexion haut débit), soit
d’établir cette connexion initiale automatiquement (pour une connexion par modem). Cliquez sur
Suivant.
Cet écran s’affiche si vous utilisez Windows XP SP2. Tous les utilisateurs de Windows XP ne voient pas cet écran.
7. Tapez le nom d’hôte ou l’adresse IP de l’interface externe Firebox X Edge. Cliquez sur Suivant.
8. Indiquez les personnes autorisées à utiliser ce profil de connexion. Cliquez sur Suivant.
9. Sélectionnez Ajouter un raccourci vers cette connexion sur mon Bureau. Cliquez sur Terminer.
10. Pour vous connecter avec votre nouvelle connexion VPN, établissez tout d’abord une connexion
Internet par le biais d’un réseau distant ou, directement, via un réseau local (LAN) ou étendu (WAN).
11. Double-cliquez sur le raccourci de la nouvelle connexion sur votre Bureau.
Ou sélectionnez Panneau de configuration > Connexions réseau et recherchez la connexion que
vous avez créée dans la liste Réseau privé virtuel (VPN).
12. Tapez le nom d’utilisateur et le mot de passe pour la connexion.
13. Cliquez sur Connexion.
Guide de l’utilisateur
277
À propos de Mobile VPN with PPTP
Créer et connecter un VPN PPTP à partir d’un client Windows 2000
Pour préparer un hôte distant Windows 2000, vous devez configurer la connexion réseau.
Sur le Bureau Windows de l’ordinateur client :
1. Sélectionnez Démarrer > Paramètres > Connexions réseau > Créer une nouvelle connexion.
L’Assistant Nouvelle connexion démarre.
2. Cliquez sur Suivant.
3. Sélectionnez Connexion au réseau d’entreprise. Cliquez sur Suivant.
4. Cliquez sur Connexion réseau privé virtuel.
5. Donnez un nom à la nouvelle connexion, p. ex. « Connexion avec Mobile VPN ». Cliquez sur Suivant.
6. Vous pouvez indiquer soit de ne pas établir la connexion initiale (pour une connexion haut débit), soit
d’établir cette connexion initiale automatiquement (pour une connexion par modem). Cliquez sur
Suivant.
7. Tapez le nom d’hôte ou l’adresse IP de l’interface externe Edge. Cliquez sur Suivant.
8. Sélectionnez Ajouter un raccourci vers cette connexion sur mon Bureau. Cliquez sur Terminer.
9. Pour vous connecter avec votre nouvelle connexion VPN, établissez tout d’abord une connexion
Internet par le biais d’un réseau distant ou, directement, via un réseau local (LAN) ou étendu (WAN).
10. Double-cliquez sur le raccourci de la nouvelle connexion sur votre Bureau.
Ou sélectionnez Panneau de configuration > Connexions réseau et recherchez la connexion que
vous avez créée dans la liste Réseau privé virtuel (VPN).
11. Tapez le nom d’utilisateur et le mot de passe pour la connexion.
12. Cliquez sur Connexion.
Utiliser PPTP et accéder à Internet
Vous pouvez autoriser des utilisateurs distants à accéder à Internet par le biais d’un tunnel PPTP. Lorsque vous
procédez ainsi, toutes les stratégies de pare-feu sont appliquées à l’utilisateur distant. Par exemple, si vous
avez configuré WebBlocker pour le trafic sortant, vos règles WebBlocker s’appliquent au trafic qui entre par le
tunnel PPTP et qui est envoyé à Internet.
Lorsque vous configurez votre connexion sur l’ordinateur client, dans la boîte de dialogue Paramètres TCP/
IP avancés, activez la case à cocher Utiliser la passerelle par défaut pour le réseau distant. Si cette case à
cocher n’est pas activée, le trafic Internet envoyé par l’utilisateur PPTP ne passe pas par le VPN.
Pour ouvrir la boîte de dialogue Paramètres TCP/IP avancés sur Windows XP, Windows Vista ou
Windows 2000 :
1. Cliquez avec le bouton droit sur la connexion VPN dans Panneau de configuration > Connexions
réseau.
2. Sélectionnez Propriétés, puis l’onglet Gestion de réseau.
3. Sélectionnez Protocole Internet (TCP/IP) dans la zone de liste et cliquez sur Propriétés.
4. Sous l’onglet Général, cliquez sur Avancé.
La boîte de dialogue Paramètres TCP/IP avancés s’affiche.
5. Activez la case à cocher Utiliser la passerelle par défaut pour le réseau distant.
6. Cliquez sur OK.
278
Firebox X Edge e-Series
20
À propos de Mobile VPN
with IPSec
WatchGuard Mobile VPN with IPSec est une application logicielle installée sur un ordinateur distant. Le client
établit une connexion sécurisée entre l’ordinateur distant et votre réseau protégé via un réseau non sécurisé.
Le client Mobile VPN utilise Internet Protocol Security (IPSec) pour sécuriser la connexion.
Spécifications du client
Avant d’installer le client, veillez à bien noter les conditions ci-après :
Vous pouvez installer le logiciel client Mobile VPN with IPSec sur tout ordinateur doté des systèmes
d’exploitation suivants :
ƒ
ƒ
ƒ
Windows 2000 Professionnel
Windows XP (32 bits)
Windows Vista (32 et 64 bits)
Avant d’installer le logiciel client, vérifiez qu’aucun autre logiciel client IPSec Mobile User VPN n’est installé sur
l’ordinateur distant. Vous devez également désinstaller tout logiciel de pare-feu de bureau (autre que le
logiciel de pare-feu Microsoft) de chaque ordinateur distant.
Guide de l’utilisateur
279
À propos de Mobile VPN with IPSec
Activer Mobile VPN pour un compte d’utilisateur Firebox
1. Pour vous connecter à la page État du système d’Edge, tapez https:// dans la barre d’adresses du
navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Pour ajouter un nouvel utilisateur de Firebox, sélectionnez Utilisateurs de Firebox > Nouvel
utilisateur.
Vous pouvez également modifier les propriétés d’un utilisateur existant. Accédez à la page principale Utilisateurs
de Firebox et recherchez le nom du compte d’utilisateur à modifier.
3. Dans l’onglet Paramètres, entrez un Nom de compte pour l’utilisateur, puis son mot de passe.
Celui-ci est différent du secret partagé que vous allez entrer à l’étape 7 ci-dessous.
Les champs Nom complet et Description sont facultatifs.
4. Cliquez sur l’onglet MOVPN.
5. Activez la case à cocher Activer Mobile VPN with IPSec pour ce compte.
6. Entrez une clé partagée dans le champ Clé partagée.
Le fichier .wgx est chiffré avec cette clé. Ne communiquez cette clé qu’aux personnes autorisées à
utiliser ce compte d’utilisateur de Firebox.
7. Entrez l’adresse IP virtuelle dans le champ approprié.
Les adresses IP virtuelles doivent être disponibles sur le réseau approuvé ou facultatif de Firebox X
Edge et ne doivent être comprises dans aucune des plages d’adresses DHCP attribuées par Edge.
Les ordinateurs distants font appel à cette adresse pour se connecter à Firebox X Edge.
8. Le cas échéant, modifiez les paramètres Algorithme d’authentification ou Algorithme de
chiffrement.
280
Firebox X Edge e-Series
À propos de Mobile VPN with IPSec
9. Définissez le délai d’expiration de la clé Mobile VPN en kilo-octets et/ou en heures. Les valeurs par
défaut sont 8192 Ko et 24 heures.
Si vous ne souhaitez spécifier ni la taille, ni le délai d’expiration, entrez une valeur nulle (0).
10. Vous devez sélectionner Utilisateur itinérant dans la liste déroulante Type de client VPN si vous
utilisez un ordinateur de bureau, un ordinateur portatif ou un ordinateur de poche Windows.
11. Activez la case à cocher L’ensemble du trafic utilise le tunnel (sous-réseau IP 0.0.0.0/0) si le client
distant envoie tout le trafic (y compris le trafic Web habituel) à Firebox X Edge via le tunnel VPN.
Le client Mobile VPN peut également se connecter à d’autres réseaux auxquels Edge a accès.
Si vous n’activez pas cette case à cocher, l’utilisateur distant peut uniquement se connecter au réseau
approuvé de Firebox X Edge. Vous devez activer cette case à cocher pour permettre aux utilisateurs
distants de se connecter :
o aux réseaux situés de l’autre côté d’un tunnel Branch Office VPN auquel Edge s’est connecté ;
o aux ordinateurs du réseau facultatif d’Edge ;
o aux réseaux situés derrière un route statique sur l’interface approuvée ou facultative.
12. Cliquez sur Envoyer.
Activer Mobile VPN pour un groupe
1. Pour vous connecter à la page État du système d’Edge, tapez https:// dans la barre d’adresses du
navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1
2. Pour ajouter un nouveau groupe d’utilisateurs de Firebox, sélectionnez Utilisateurs de Firebox >
Nouveau groupe.
Vous pouvez également modifier les propriétés d’un groupe existant. Accédez à la page principale Utilisateurs de
Firebox et recherchez le nom du groupe à modifier.
3. Dans l’onglet Paramètres, entrez un Nom de compte pour le groupe. Si vous faites appel à
l’authentification LDAP ou RADIUS, le nom de compte doit être identique au nom de groupe sur le
serveur d’authentification.
Le champ Description est facultatif.
4. Cliquez sur l’onglet MOVPN.
5. Activez la case à cocher Activer Mobile VPN with IPSec pour ce compte.
6. Entrez une clé partagée dans le champ Clé partagée.
Le fichier .wgx est chiffré avec cette clé. Ne communiquez cette clé qu’aux utilisateurs du groupe.
7. Le cas échéant, modifiez les paramètres Algorithme d’authentification ou Algorithme de
chiffrement.
8. Définissez le délai d’expiration de la clé Mobile VPN en kilo-octets et/ou en heures. Les valeurs par
défaut sont 8192 Ko et 24 heures.
Si vous ne souhaitez spécifier ni la taille, ni le délai d’expiration, entrez une valeur nulle (0).
9. Activez la case à cocher Effacer le type de service (ToS) pour qu’Edge supprime le paramètre du bit TOS
des paquets qui ne sont pas transmis via le tunnel VPN.
Guide de l’utilisateur
281
À propos de Mobile VPN with IPSec
10. Activez la case à cocher L’ensemble du trafic utilise le tunnel (sous-réseau IP 0.0.0.0/0) si le client
distant envoie tout le trafic (y compris le trafic Web habituel) à Firebox X Edge via le tunnel VPN. Le
client Mobile VPN peut également se connecter à d’autres réseaux auxquels Edge a accès.
Si vous n’activez pas cette case à cocher, l’utilisateur distant peut uniquement se connecter au réseau
approuvé de Firebox X Edge. Vous devez activer cette case à cocher pour permettre aux utilisateurs
distants de se connecter :
o aux réseaux situés de l’autre côté d’un tunnel Branch Office VPN auquel Edge s’est connecté ;
o aux ordinateurs du réseau facultatif d’Edge ;
o aux réseaux situés derrière un route statique sur l’interface approuvée ou facultative.
11. Entrez les adresses IP de début et de fin dans les zones de texte Plage d’adresses IP virtuelles. Les
adresses IP virtuelles doivent être disponibles sur le réseau approuvé ou facultatif de Firebox X Edge et
ne doivent être comprises dans aucune des plages d’adresses DHCP attribuées par Edge. Les
ordinateurs distants font appel à ces adresses IP pour se connecter à Firebox X Edge.
12. Cliquez sur Envoyer.
À propos des fichiers de configuration du client
Mobile VPN
Mobile VPN with IPSec permet à l’administrateur de Firebox X Edge de contrôler les profils de l’utilisateur final.
Faites appel à l’interface de configuration Web d’Edge pour définir le nom de l’utilisateur final et créer un
fichier de configuration client, ou profil, portant l’extension .wgx. Ce fichier contient la clé partagée,
l’identification de l’utilisateur, les adresses IP et les paramètres utilisés pour créer un tunnel sécurisé entre
l’ordinateur distant et Edge. Il est chiffré avec une clé composée de huit caractères au moins qui doit être
connue de l’administrateur et de l’utilisateur distant. Lorsque le client distant importe le fichier .wgx, la clé sert
à déchiffrer le fichier à utiliser dans le logiciel client.
Firebox X Edge crée un fichier .wgx lorsque le compte d’un utilisateur de Firebox est configuré pour
Mobile VPN.
Pour verrouiller les profils d’utilisateurs itinérants et les définir en lecture seule, voir Configurer les paramètres
globaux du client Mobile VPN with IPSec.
282
Firebox X Edge e-Series
À propos de Mobile VPN with IPSec
Configurer les paramètres globaux du client Mobile VPN with IPSec
Certains paramètres du client Mobile VPN s’appliquent à toutes les connexions Mobile VPN with IPSec de
Firebox X Edge. Sélectionnez VPN > Mobile VPN pour définir ces options.
Définir la stratégie de sécurité du client Mobile VPN with IPSec en lecture seule
Activez cette case à cocher pour définir le fichier .wgx en lecture seule et empêcher l’utilisateur de
modifier le fichier de stratégie de sécurité.
Adaptateur virtuel
Le paramètre par défaut est Désactivé. Ne le modifiez pas.
Comme le client Mobile VPN with IPSec utilise toujours un adaptateur virtuel, ne modifiez pas le
paramètre Adaptateur virtuel. Ce paramètre s’applique uniquement aux versions Mobile User
VPN antérieures à 10.0. Les versions logicielles 10.0 et ultérieures de Mobile VPN with IPSec utilisent
toujours un adaptateur virtuel, quelle que soit l’option sélectionnée dans ce champ.
Paramètres WINS/DNS pour VPN Mobile with IPSec
Les clients Mobile VPN utilisent les adresses de serveurs partagés Windows Internet Naming Service (WINS) et
Domain Name System (DNS). DNS change les noms d’hôtes en adresses IP, tandis que WINS change les noms
NetBIOS en adresses IP. L’interface approuvée d’Edge doit avoir accès à ces serveurs.
Adresse IP du serveur DNS
Entrez une adresse IP de serveur DNS pour que DNS puisse modifier les noms d’hôtes en adresses IP.
Adresse IP du serveur WINS
Entrez une adresse IP de serveur WINS pour que WINS puisse modifier les noms NetBIOS en
adresses IP.
Guide de l’utilisateur
283
À propos de Mobile VPN with IPSec
Télécharger le fichier .wgx de l’utilisateur
Firebox X Edge crée un fichier de configuration client (.wgx) Mobile VPN with IPSec pour chaque utilisateur de
Firebox autorisé. Pour télécharger le fichier .wgx d’un utilisateur :
1. Connectez-vous à la page État du système. Dans la barre d’adresses du navigateur, entrez https://,
suivi de l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est : https://192.168.111.1.
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox.
3. Sous Fichiers de configuration du client Mobile VPN with IPSec sécurisés, sélectionnez le fichier
.wgx à télécharger en cliquant sur le lien username.wgx où username est le nom de l’utilisateur de
Firebox.
4. Lorsque vous y êtes invité, enregistrez le fichier .wgx sur votre ordinateur.
Distribuer les logiciels et les profils
WatchGuard conseille de distribuer les profils des utilisateurs finaux par e-mail chiffré ou toute autre méthode
sécurisée. Les éléments suivants doivent être installés sur chaque ordinateur client :
ƒ
ƒ
ƒ
ƒ
Package d’installation logicielle
Les packages figurent sur le site Web des services WatchGuard LiveSecurity à l’adresse suivante :
http://www.watchguard.com/support.
Utilisez vos nom d’utilisateur et mot de passe des services LiveSecurity pour vous connecter au site.
Cliquez sur le lien Latest Software puis sur Add-ons/Upgrades à gauche et cliquez sur le lien Mobile
VPN with IPSec.
Profil de l’utilisateur final
Ce fichier contient le nom d’utilisateur, la clé partagée et les paramètres qui permettent à un
ordinateur distant de se connecter en toute sécurité sur Internet à un réseau privé protégé. Pour plus
d’informations sur l’obtention du profil à partir d’Edge, voir Télécharger le fichier .wgx de l’utilisateur.
Documentation utilisateur
La documentation aide l’utilisateur distant à installer le client Mobile VPN et à importer le fichier de
configuration. Elle est disponible à la rubrique À propos du client Mobile VPN with IPSec.
Clé partagée
Pour importer le profil de l’utilisateur final, l’utilisateur est invité à entrer une clé partagée. Cette clé
déchiffre le fichier et importe la stratégie de sécurité dans le client Mobile VPN. Elle est définie lorsque
vous autorisez le compte de l’utilisateur de Firebox à utiliser Mobile VPN with IPSec.
La clé partagée, le nom d’utilisateur et le mot de passe sont des informations confidentielles. Pour
des raisons de sécurité, il est déconseillé d’envoyer ces informations par e-mail. Comme l’envoi par
e-mail n’est pas sécurisé, un utilisateur non autorisé peut intercepter ces informations et les utiliser
pour accéder à votre réseau interne. Par conséquent, communiquez-les oralement ou faites appel à
toute autre méthode empêchant les personnes non autorisées de les intercepter.
284
Firebox X Edge e-Series
À propos de Mobile VPN with IPSec
À propos du client Mobile VPN with IPSec
Le client WatchGuard Mobile VPN with IPSec est installé sur l’ordinateur d’un utilisateur qui souhaite se
connecter à distance. Celui-ci utilise une connexion Internet standard et active le client Mobile VPN.
Le client Mobile VPN crée ensuite un tunnel chiffré vers vos réseaux approuvés et facultatifs protégés par
WatchGuard Firebox. Le client Mobile VPN permet d’accéder à distance à vos réseaux internes sans
compromettre leur sécurité.
Configurations logicielles requises pour le client
Avant d’installer le client, assurez-vous de prendre connaissance des configurations logicielles requises et des
recommandations suivantes.
Vous devez configurer Firebox de sorte qu’il fonctionne avec Mobile VPN with IPSec. Si ce n’est déjà fait, lisez
les rubriques concernant la configuration de Firebox avec Mobile VPN.
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Vous pouvez installer le logiciel client Mobile VPN with IPSec sur n’importe quel ordinateur exécutant
Windows 2000 Professionnel, XP (32 bits) ou Windows Vista (32 ou 64 bits). Avant d’installer le logiciel
client, vérifiez qu’aucun autre logiciel client de VPN mobile IPSec n’est déjà installé sur l’ordinateur
distant. De plus, désinstallez le ou les logiciels de pare-feu de bureau (autre(s) que les logiciels pare-feu
Microsoft) sur chaque ordinateur distant.
Si l’ordinateur client fonctionne sous Windows XP, connectez-vous à l’aide d’un compte disposant de
droits d’administrateur pour installer le logiciel client Mobile VPN et pour importer le fichier de
configuration .wgx. Une fois le client installé et configuré, vous n’avez plus besoin de droits
d’administrateur.
Si l’ordinateur client fonctionne sous Windows Vista, connectez-vous à l’aide d’un compte disposant
de droits d’administrateur pour installer le logiciel client Mobile VPN. Une fois le client installé, vous
n’avez plus besoin de droits d’administrateur pour importer le fichier .wgx.
Il est conseillé de vérifier que tous les services packs disponibles sont installés avant d’installer le
logiciel client Mobile VPN.
Les paramètres WINS et DNS du client Mobile VPN sont contenus dans le profil client que vous
importez lorsque vous configurez votre client Mobile VPN.
Il est conseillé de ne pas modifier la configuration des paramètres du client Mobile VPN qui ne sont pas
décrits explicitement dans cette documentation.
Guide de l’utilisateur
285
À propos de Mobile VPN with IPSec
Importer le profil d’utilisateur final
Lorsque l’ordinateur redémarre, la boîte de dialogue WatchGuard Mobile VPN Connection Monitor s’ouvre. Si
le logiciel démarre pour la première fois après son installation, vous voyez apparaître le message :
Aucun profil pour l’accès à distance VPN. Souhaitez-vous utiliser l’Assistant de
configuration pour générer un profil ?
Cliquez sur Non.
Désactivez la fonctionnalité de démarrage automatique de Connection Monitor, sélectionnez Windows >
Démarrage automatique > Pas de démarrage automatique.
Pour importer un fichier .wgx de configuration de Mobile VPN :
1. Sélectionnez Configuration > Importation de profil.
L’Assistant Profile Import Wizard démarre.
2. Dans l’écran Sélectionner le profil d’utilisateur, parcourez l’arborescence jusqu’à l’emplacement du
fichier de configuration .wgx fourni par votre administrateur système. Cliquez sur Suivant.
3. Dans l’écran Déchiffrer le profil utilisateur, entrez la clé partagée ou le mot de passe fourni par votre
administrateur système. La clé partagée respecte la casse. Cliquez sur Suivant.
4. Dans l’écran Écraser le profil ou en ajouter un, vous pouvez écraser un profil en conservant le même
nom. Cela peut être utile si votre administrateur réseau vous fournit un nouveau fichier .wgs et que
vous devez le réimporter. Cliquez sur Suivant.
5. Si vous vous connectez à un périphérique Firebox X Edge, cliquez sur Terminer.
Si vous vous connectez à un périphérique Firebox exécutant un logiciel Fireware, cliquez sur Suivant.
6. Dans l’écran Authentification, indiquez si vous voulez entrer le nom d’utilisateur et le mot de passe
que vous utilisez pour authentifier le tunnel VPN. Si vous laissez ces champs vides, vous serez invité à
les renseigner chaque fois que vous vous connecterez au VPN.
Si vous entrez le nom d’utilisateur et le mot de passe ici, Firebox les enregistre de sorte que vous
n’aurez plus besoin de les entrer à chaque connexion. Toutefois, cela présente un risque de sécurité.
L’autre option consiste à entrer votre nom d’utilisateur et à laisser le champ Mot de passe vide. Cela
permet de réduire la quantité de données nécessaire à la connexion VPN.
Cliquez sur Suivant.
Si le mot de passe que vous utilisez est votre mot de passe sur un serveur Active Directory ou LDAP
et que vous décidez de l’enregistrer, le mot de passe n’est plus valide s’il est modifié sur le serveur
d’authentification.
7. Cliquez sur Terminer.
Vous pouvez désormais utiliser Mobile VPN with IPSec sur l’ordinateur.
Sélectionner un certificat et entrer le PIN
Si vous utilisez des certificats pour l’authentification, vous devez sélectionner le certificat approprié pour la
connexion.
1. Sélectionnez Configuration > Certificats.
2. Dans l’onglet Certificat utilisateur, sélectionnez Depuis le fichier PKS#12 dans la liste déroulante
Certificat.
3. En regard de la zone de texte Nom du fichier PKS#12, cliquez sur le bouton et parcourez l’arborescence
jusqu’à l’emplacement du fichier .p12 fourni par votre administrateur réseau. Cliquez sur OK.
4. Sélectionnez Connexion > Entrer le PIN.
5. Entrez le PIN et cliquez sur OK.
Le PIN correspond au mot de passe entré pour chiffrer le fichier lorsque vous exécutez l’Assistant Add Mobile User
VPN Wizard.
286
Firebox X Edge e-Series
À propos de Mobile VPN with IPSec
Désinstaller le client Mobile VPN
Si vous devez désinstaller le client Mobile VPN, il est conseillé d’utiliser l’outil Ajout/suppression de
programmes de Windows. Lorsque vous installez le logiciel client Mobile VPN pour la première fois et que
vous souhaitez le mettre à niveau, vous n’êtes pas obligé de le désinstaller.
Avant de commencer, déconnectez tous les tunnels et fermez Mobile VPN Connection Monitor. Ensuite, sur le
bureau Windows :
1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.
Le Panneau de configuration s’affiche.
2. Double-cliquez sur l’icône Ajout/Suppression de programmes.
La fenêtre Ajouter ou supprimer des programmes s’affiche.
3. Sélectionnez WatchGuard Mobile VPN et cliquez sur Modifier/Supprimer.
L’Assistant InstallShield s’affiche.
4. Cliquez sur Supprimer puis sur Suivant.
La boîte de dialogue de confirmation de la suppression du fichier s’affiche.
5. Cliquez sur OK pour supprimer tous les composants. Si vous n’activez pas la case de suppression de
toutes les données privées à la fin de la procédure de désinstallation, les paramètres de connexion de
cette installation seront réutilisés lors de la prochaine installation du logiciel Mobile VPN.
Connecter et déconnecter le client Mobile VPN
Le logiciel client WatchGuard Mobile VPN with IPSec établit une connexion sécurisée entre un ordinateur
distant et votre réseau protégé sur Internet. Pour activer cette connexion, vous devez vous connecter à
Internet et utiliser le client Mobile VPN pour établir la connexion au réseau protégé.
Connectez-vous à Internet par le biais d’un réseau distant ou local. Respectez les instructions suivantes ou
sélectionnez votre profil, connectez-vous puis déconnectez-vous en cliquant avec le bouton droit sur l’icône
Mobile VPN de la barre d’outils Windows.
1. Sur le bureau Windows, sélectionnez
Démarrer > Tous les programmes > WatchGuard Mobile VPN > Mobile VPN Monitor.
2. Dans la liste déroulante Profil, sélectionnez le nom du profil que vous avez créé pour les connexions
Mobile VPN à Firebox. Cliquez sur Connecter.
Guide de l’utilisateur
287
À propos de Mobile VPN with IPSec
Déconnecter le client Mobile VPN
Dans Mobile VPN Monitor, cliquez sur Déconnecter.
Contrôler le comportement de connexion
Pour chacun des profils que vous importez, vous pouvez définir le comportement du logiciel client Mobile
VPN en cas d’inactivité du tunnel VPN pour une raison ou une autre. Pour ce faire :
1. Depuis WatchGuard Mobile VPN Connection Monitor, sélectionnez Configuration > Paramètres
de profil.
2. Sélectionnez le nom du profil et cliquez sur Configurer.
3. Dans le volet gauche, sélectionnez Gestion des lignes.
288
Firebox X Edge e-Series
À propos de Mobile VPN with IPSec
4. Dans la liste déroulante Mode de connexion, définissez un comportement de connexion pour
ce profil.
o Manuel - Si vous sélectionnez le mode de connexion manuel, le client n’essaie pas de
redémarrer automatiquement le tunnel VPN s’il devient inactif. Pour le redémarrer, vous devez
cliquer sur le bouton Connecter de Connection Monitor ou cliquer avec le bouton droit sur
l’icône Mobile VPN dans la barre d’outils du bureau de Windows, puis cliquer sur Connecter.
o Automatique - Si vous sélectionnez le mode de connexion automatique, le client tente de
lancer la connexion dès que votre ordinateur envoie du trafic à une destination accessible
depuis le VPN. Le client tente également de redémarrer automatiquement le tunnel VPN en cas
d’inactivité.
o Variable - Si vous sélectionnez le mode de connexion variable, le client tente de redémarrer
automatiquement le tunnel VPN tant que vous ne cliquez pas sur Déconnecter. Le client ne
tente pas de redémarrer le tunnel VPN jusqu’à ce que vous cliquiez sur Connecter.
5. Cliquez sur OK.
Icône du client Mobile User VPN
L’icône Mobile User VPN qui figure dans la barre d’état système du bureau Windows affiche l’état du pare-feu
de bureau complet, du pare-feu de liaison et du réseau VPN. Vous pouvez cliquer sur l’icône avec le bouton
droit pour connecter/déconnecter facilement votre Mobile VPN et savoir quel profil est utilisé.
Afficher les messages du journal Mobile VPN
Vous pouvez utiliser le fichier journal du client Mobile VPN pour résoudre les problèmes de négociation qui se
produisent lors de la connexion du client VPN.
Pour accéder aux messages du journal Mobile VPN, sélectionnez Journal > Fichier journal dans Connection
Monitor.
La boîte de dialogue Fichier journal s’affiche.
Guide de l’utilisateur
289
À propos de Mobile VPN with IPSec
Sécuriser votre ordinateur à l’aide du pare-feu Mobile VPN
Le client WatchGuard Mobile VPN with IPSec comprend les deux pare-feu suivants :
Pare-feu de liaison
Le pare-feu de liaison est par défaut désactivé. S’il est activé, votre ordinateur rejette tous les paquets
qu’il reçoit d’autres ordinateurs. Vous pouvez choisir d’activer le pare-feu de liaison en permanence
ou uniquement lorsqu’un tunnel Mobile VPN est actif.
Pare-feu de bureau
Ce pare-feu complet peut surveiller l’ensemble des connexions depuis et vers votre ordinateur. Vous
pouvez définir des réseaux connus et des règles d’accès distinctes pour les réseaux connus et
inconnus.
Activer le pare-feu de liaison
Lorsque le pare-feu de liaison est activé, le logiciel client Mobile VPN abandonne tous les paquets envoyés par
d’autres hôtes à votre ordinateur. Seuls les paquets envoyés à votre ordinateur en réponse à ceux qu’il a émis
sont acceptés. Par exemple, si vous envoyez une requête de votre ordinateur à un serveur HTTP via le tunnel,
les réponses HTTP sont autorisées. Toute requête HTTP qu’un hôte essaie d’envoyer à votre ordinateur via le
tunnel est refusée.
Pour activer le pare-feu de liaison :
1. Dans WatchGuard Mobile VPN Connection Monitor, sélectionnez Configuration > Paramètres de
profil.
2. Sélectionnez le profil pour lequel vous souhaitez activer le pare-feu de liaison et choisissez Configurer.
3. Dans le volet gauche, sélectionnez Pare-feu de liaison.
4. Dans la liste déroulante Filtrage de paquets avec état, sélectionnez à la connexion ou toujours. Si
vous sélectionnez l’option à la connexion, le pare-feu de liaison ne fonctionne que lorsque le
tunnel VPN est actif pour ce profil.
Si vous sélectionnez toujours, le pare-feu de liaison reste actif, que le tunnel VPN le soit ou non.
5. Cliquez sur OK.
290
Firebox X Edge e-Series
À propos de Mobile VPN with IPSec
À propos du pare-feu de bureau
Lorsque vous activez une règle dans vos configurations de pare-feu, vous devez définir le type de réseau
auquel la règle s’applique. Dans le client Mobile VPN, il y a trois différents types de réseau :
Les réseaux VPN
Réseaux définis pour le client dans le profil client qu’ils importent.
Les réseaux inconnus
Tout réseau non défini dans le pare-feu.
Les réseaux connus
Tout réseau défini dans le pare-feu en tant que réseau connu.
Pour plus d’informations sur l’activation du pare-feu de bureau, voir Activer le pare-feu de bureau.
Activer le pare-feu de bureau
Pour activer le pare-feu de bureau (sécurité complète) :
1. Depuis WatchGuard Mobile VPN Connection Monitor, sélectionnez Configuration > Paramètres de
profil.
Par défaut, le pare-feu est désactivé.
2. Lorsque vous activez le pare-feu, vous devez choisir entre les deux modes proposés :
o Paramètres de base – Verrouillé : lorsque vous activez ce mode, le pare-feu refuse toutes les
connexions depuis ou vers votre ordinateur sauf si vous avez créé une règle qui autorise
spécifiquement telle ou telle connexion.
o Paramètres de base – Ouvert : lorsque vous activez ce mode, le pare-feu autorise toutes les
connexions sauf si vous avez créé une règle qui refuse spécifiquement telle ou telle connexion.
3. Cliquez sur OK.
Une fois le pare-feu de bureau activé, configurez ses paramètres.
Pour plus d’informations sur la définition des réseaux connus et la création de règles de pare-feu, voir Définir
des réseaux connus et Créer des règles de pare-feu.
Guide de l’utilisateur
291
À propos de Mobile VPN with IPSec
Définir des réseaux connus
Vous pouvez générer un ensemble de règles de pare-feu pour autoriser le trafic provenant de certains réseaux
connus. Par exemple, pour utiliser le client Mobile VPN sur un réseau local où votre ordinateur doit être
accessible à tous les autres ordinateurs du réseau, il vous suffit d’ajouter l’adresse réseau du LAN en question
en tant que réseau connu. Cela permet de séparer les règles de pare-feu pour ce LAN des règles de pare-feu
que vous créez pour les connexions à Internet et aux réseaux VPN distants.
1. Dans la boîte de dialogue Paramètres de pare-feu, cliquez sur l’onglet Réseaux connus.
2. Cliquez sur Nouveau pour ajouter un réseau connu.
La fonctionnalité de détection automatique de réseaux connus n’est pas active dans cette version du logiciel
client Mobile VPN with IPSec.
Créer des règles de pare-feu
Vous pouvez créer des exceptions aux règles de pare-feu que vous avez définies lorsque vous avez activé le
pare-feu dans l’onglet Règles de pare-feu de la boîte de dialogue Paramètres de pare-feu. Par exemple,
lorsque vous avez activé le pare-feu, si vous avez sélectionné Paramètres de base – Verrouillé, les règles
créées par cette définition autorisent le trafic. Si vous avez sélectionné Paramètres de base – Ouvert, les
règles créées par cette définition rejettent le trafic. Les règles de pare-feu peuvent inclure plusieurs numéros
de port pour un seul protocole.
Activez ou désactivez les cases à cocher situées en dessous de la zone Paramètres d’affichage pour afficher
ou masquer les catégories de règles de pare-feu.
Pour créer une règle, cliquez sur Nouveau. Dans les quatre onglets de la boîte de dialogue Entrée de la règle
du pare-feu, définissez le trafic que vous souhaitez contrôler :
292
ƒ
Onglet Général
ƒ
Onglet Distant
ƒ
Onglet ocal
ƒ
Onglet Applications
Firebox X Edge e-Series
À propos de Mobile VPN with IPSec
Onglet Général
Vous pouvez définir les propriétés de base de vos règles de pare-feu dans l’onglet Général de la boîte de
dialogue Entrée de la règle du pare-feu.
Nom de règle
Entrez un nom représentatif de cette règle. Par exemple, vous pouvez créer une règle intitulée
« Navigation sur Internet » qui inclut le trafic sur les ports TCP 80 (HTTP), 8080 (HTTP auxiliaire) et 443
(HTTPS).
État
Pour désactiver une règle, sélectionnez Désactivé. De nouvelles règles sont activées par défaut.
Direction
Pour appliquer la règle au trafic émis par votre ordinateur, sélectionnez sortant. Pour appliquer la
règle au trafic envoyé à votre ordinateur, sélectionnez entrant. Pour appliquer la règle à tout le trafic,
sélectionnez bidirectionnel.
Attribuer la règle à
Activez les cases à cocher en regard des types de réseaux auxquels s’applique cette règle.
Protocole
Utilisez cette liste déroulante pour sélectionner le type de trafic réseau que vous souhaitez contrôler.
Guide de l’utilisateur
293
À propos de Mobile VPN with IPSec
Onglet Local
Vous pouvez définir tous les ports et adresses IP locaux contrôlés par votre pare-feu dans l’onglet Local de la
boîte de dialogue Entrée de la règle du pare-feu. Quelle que soit la règle sélectionnée, il est conseillé de
configurer le paramètre Adresses IP locales pour activer la case d’option Toute adresse IP. Si vous
configurez une stratégie entrante, vous pouvez ajouter les ports qu’elle doit contrôler dans les paramètres
Ports locaux. Pour contrôler plusieurs ports à l’aide de la même stratégie, sélectionnez Plusieurs ports ou
plages. Cliquez sur Nouveau pour ajouter chaque port.
Si vous activez la case d’option Adresse IP explicite, n’oubliez pas de spécifier une adresse IP.
L’adresse IP 0.0.0.0. n’est pas acceptée.
294
Firebox X Edge e-Series
À propos de Mobile VPN with IPSec
Onglet Distant
Vous pouvez définir tous les ports et adresses IP distants contrôlés par cette règle dans l’onglet Distant de la
boîte de dialogue Entrée de la règle du pare-feu.
Par exemple, si votre pare-feu refuse l’ensemble du trafic et que vous voulez créer une règle autorisant les
connexions POP3 sortantes, ajoutez l’adresse IP de votre serveur POP3 comme Adresse IP explicite dans la
section Adresses IP distantes. Ensuite, dans la section Ports distants, utilisez le port 110 comme Port
explicite pour cette règle.
Si vous activez la case d’option Adresse IP explicite, n’oubliez pas de spécifier une adresse IP.
L’adresse IP 0.0.0.0. n’est pas acceptée.
Guide de l’utilisateur
295
À propos de Mobile VPN with IPSec
Onglet Applications
Vous pouvez restreindre votre règle de pare-feu de sorte qu’elle s’applique uniquement à une application
spécifique.
1. Dans l’onglet Applications de la boîte de dialogue Entrée de la règle du pare-feu, activez la case à
cocher Associer une règle à l’application ci-dessous.
2. Cliquez sur Sélectionner une application pour rechercher les applications disponibles sur votre
ordinateur local.
3. Cliquez sur OK.
296
Firebox X Edge e-Series
21
À propos de Mobile VPN
with SSL
Le client WatchGuard Mobile VPN with SSL est installé sur l’ordinateur d’un utilisateur pour lui permettre de
travailler partout (à son domicile ou en déplacement). Il lui suffit d’ouvrir une connexion Internet standard et
d’activer le client Mobile VPN.
Le client Mobile VPN crée alors un tunnel chiffré vers vos réseaux approuvé et facultatif qui sont protégés par
WatchGuard Firebox. Le client Mobile VPN vous permet de fournir un accès distant à vos réseaux internes sans
compromettre la sécurité.
Le client Mobile VPN with SSL fait appel au protocole SSL (Secure Sockets Layer) pour sécuriser la connexion.
Avant de commencer
ƒ
ƒ
Assurez-vous que votre client correspond aux Spécifications du client.
Déterminez si le trafic Internet des utilisateurs distants doit être envoyé via le tunnel VPN à Firebox.
Pour plus d’informations, voir Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN.
Étapes nécessaires à la configuration des tunnels
1. Configurer Firebox pour Mobile VPN with SSL. Ce processus crée automatiquement un groupe
d’authentification Firebox appelé SSLVPN-Users. Il crée également des fichiers à télécharger par les
utilisateurs.
2. Ajouter des utilisateurs distants aux groupes d’authentification. Si vous souhaitez utiliser Firebox en
tant que serveur d’authentification, ajoutez des utilisateurs au groupe SSLVPN-Users. Si vous souhaitez
utiliser un serveur d’authentification tierce, utilisez les instructions figurant dans la documentation du
fournisseur.
3. Invitez vos utilisateurs distants à Télécharger le logiciel client de votre périphérique Firebox.
4. Invitez vos utilisateurs distants à Installer le logiciel client sur leurs ordinateurs.
Les utilisateurs distants peuvent désormais Se connecter à Firebox à l’aide du client Mobile VPN with SSL.
Options des tunnels Mobile VPN with SSL
Si votre réseau a des besoins spécifiques en matière de sécurité, vous pouvez modifier les paramètres avancés
des tunnels Mobile VPN with SSL.
Guide de l’utilisateur
297
À propos de Mobile VPN with SSL
Spécifications du client
Le produit WatchGuard Mobile VPN with SSL fournit un client VPN à tous les périphériques Firebox X e-Series.
En revanche, il n’offre pas la sécurité des points de terminaison.
Vous pouvez installer le logiciel client Mobile VPN with SSL sur des ordinateurs exécutant les systèmes
d’exploitation suivants :
ƒ
ƒ
ƒ
ƒ
Microsoft Windows Vista (32 bits)
Microsoft Windows XP (32 bits)
Microsoft Windows 2000
Mac OS X (de la version 10.3 jusqu’à la version Leopard)
Si l’ordinateur client exécute Windows Vista ou Windows XP, vous devez vous connecter via un compte
disposant de droits d’administrateur pour installer le logiciel client Mobile VPN. En revanche, vous n’avez pas
besoin des droits d’administrateur pour vous connecter, une fois le client installé et configuré.
Si l’ordinateur client exécute Mac OS X, vous n’avez pas besoin des droits d’administrateur pour installer ou
exécuter le client.
Activer Mobile VPN with SSL pour un utilisateur Firebox
Lorsque vous activez Mobile VPN with SSL sur Edge, vous devez activer l’accès pour chaque utilisateur distant
qui utilise le protocole SSL pour se connecter à Edge.
1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du
navigateur, ainsi que l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox.
La page des utilisateurs de Firebox s’affiche.
3. Sous Comptes d’utilisateurs locaux, cliquez sur le bouton Modifier pour modifier un compte
d’utilisateur existant ou sur le bouton Ajouter pour ajouter un nouveau compte d’utilisateur.
4. Dans la page Nouveau ou Modifier qui s’affiche, activez la case à cocher Autoriser l’accès distant avec
Mobile VPN with SSL.
298
Firebox X Edge e-Series
À propos de Mobile VPN with SSL
Activer Mobile VPN with SSL pour un groupe
Lorsque vous activez Mobile VPN with SSL sur votre système Edge, assurez-vous d’activer l’accès pour chaque
utilisateur ou groupe distant qui utilise SSL pour se connecter à Edge. Si vous utilisez l’authentification
étendue, vous devez configurer le nom de groupe pour qu’il corresponde exactement au nom de groupe
défini sur votre serveur d’authentification. Firebox prend en charge l’authentification étendue vers un serveur
d’authentification LDAP/Active Directory ou RADIUS.
1. Pour vous connecter à la page État du système, tapez https:// dans la barre d’adresses du
navigateur, ainsi que l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Utilisateurs de Firebox > Nouveau groupe.
La page Nouveau groupe s’affiche.
3. Dans la zone de texte Nom de compte, tapez le nom du groupe. Si vous utilisez l’authentification
étendue vers un serveur d’authentification LDAP, Active Directory ou RADIUS, assurez-vous de taper
exactement le même nom de groupe que celui qui a été défini pour le serveur d’authentification.
4. Dans le champ Description, entrez la description de l’utilisateur. Uniquement pour information.
L’utilisateur n’a pas besoin de cette description au cours de l’authentification
5. Dans la liste déroulante Accès administratif, définissez le niveau auquel les membres de ce groupe
peuvent afficher et modifier les propriétés de configuration de Firebox X Edge : Aucun, Lecture seule
ou Complet.
6. Dans le champ Délai d’attente maximal de session, définissez la durée maximale pendant laquelle
les ordinateurs de ce groupe peuvent envoyer du trafic au réseau externe ou par le biais d’un tunnel
Branch Office VPN. Lorsque ce champ est défini sur (0) minute, il n’y a aucun délai d’attente de session
et l’utilisateur peut rester connecté pendant la durée de son choix.
Guide de l’utilisateur
299
À propos de Mobile VPN with SSL
7. Dans le champ Délai d’inactivité de session, définissez la durée pendant laquelle les ordinateurs de
ce groupe peuvent rester authentifiés lorsqu’ils sont inactifs (lorsqu’ils ne transmettent aucun trafic au
réseau externe, via le tunnel Branch Office VPN, ou au périphérique Firebox X Edge lui-même). Une
valeur de zéro (0) minute signifie qu’il n’y a pas de délai d’inactivité.
8. Si vous souhaitez que les utilisateurs de ce groupe disposent d’un accès à Internet, activez la case à
cocher Autoriser l’accès au réseau externe.
9. Si vous souhaitez que les ordinateurs de ce groupe disposent d’un accès aux ordinateurs situés de
l’autre côté d’un tunnel Branch Office VPN, activez la case à cocher Autoriser l’accès aux tunnels VPN
manuels et gérés.
10. Si vous souhaitez que les utilisateurs de ce groupe puissent utiliser Mobile VPN with PPTP pour un
accès distant sécurisé à Edge, activez la case à cocher Autoriser l’accès distant avec Mobile VPN with
PPTP.
11. Si vous souhaitez que les utilisateurs de ce groupe puissent utiliser Mobile VPN with SSL pour un accès
distant sécurisé à Edge, activez la case à cocher Autoriser l’accès distant avec Mobile VPN with SSL.
12. Cliquez sur Envoyer.
Activer Edge pour utiliser Mobile VPN with SSL
1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du
navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
L’URL par défaut est https://192.168.111.1
2. Dans la barre de navigation, sélectionnez VPN > Mobile VPN with SSL.
La page VPN SSL s’affiche.
3. Pour activer Mobile VPN with SSL, activez la case à cocher Activer Mobile VPN with SSL.
4. Configurez les paramètres dans les onglets Général et Avancé. Chaque paramètre est décrit
ci-dessous.
300
Firebox X Edge e-Series
À propos de Mobile VPN with SSL
Onglet Général de la page VPN SSL
Passerelle
La passerelle est l’adresse IP publique à laquelle les clients Mobile VPN se connectent. Vous devez
taper une adresse IP attribuée à l’interface externe de votre système Edge. Si vous avez configuré
plusieurs adresses IP pour votre interface externe, ou si vous avez configuré le basculement WAN
avec le port WAN2 de votre système Edge, ajoutez cette adresse IP dans la zone de texte Secondaire.
Edge tentera de se connecter à l’adresse IP secondaire s’il ne parvient pas à se connecter à l’adresse
IP principale.
Si vous utilisez le service dynDNS, car votre périphérique Firebox possède une adresse IP dynamique,
vous pouvez taper le nom de domaine au lieu d’une adresse IP dans ces champs.
Routes
Sélectionnez Forcer tout le trafic à passer par le tunnel si vous souhaitez que tout le trafic client
soit acheminé via le tunnel Mobile VPN. Si cette case à cocher est désactivée, seul le trafic envoyé aux
réseaux approuvé et facultatif sera acheminé via le tunnel.
Plage d’adresses IP virtuelles
Lorsqu’un utilisateur Mobile VPN se connecte au système Edge, ce dernier doit attribuer à l’ordinateur
de l’utilisateur une adresse IP disponible à partir d’un réseau situé derrière Edge. Tapez la première
adresse IP dans le pool d’adresses pouvant être utilisé par Edge pour attribuer des connexions Mobile
VPN dans le champ Début du pool d’adresses IP. Edge attribue cette adresse IP au premier client
Mobile VPN with SSL qui se connecte. Edge incrémente l’adresse IP de 1 et attribue une adresse à
chaque client Mobile VPN suivant qui se connecte.
Si la plage d’adresses IP virtuelles que vous spécifiez provient du réseau approuvé, les clients Mobile
VPN with SSL sont reliés au réseau approuvé. Si la plage d’adresses IP virtuelles que vous spécifiez
provient du réseau facultatif, les clients sont reliés au réseau facultatif.
Guide de l’utilisateur
301
À propos de Mobile VPN with SSL
Onglet Avancé de la page VPN SSL
Authentification
Dans la liste déroulante Authentification, sélectionnez l’algorithme d’authentification à utiliser.
Chiffrement
Dans la liste déroulante Chiffrement, sélectionnez l’algorithme de chiffrement à utiliser.
Protocole et port
Par défaut, le trafic SSL utilise le protocole TCP sur le port 443. La plupart des utilisateurs conservent
ce paramètre. Vous devez configurer Mobile VPN with SSL pour utiliser un autre port et protocole si
vous avez une stratégie de pare-feu qui autorise le trafic HTTPS entrant. Edge ne peut pas appliquer
la NAT statique pour autoriser le trafic HTTPS entrant et les connexions Mobile VPN with SSL sur le
même port.
Conservation d’activité
L’intervalle d’activité détermine la fréquence à laquelle Edge envoie le trafic dans le tunnel pour
conserver ce dernier en activité en cas d’absence de trafic dans le tunnel. En cas de non réponse avant
l’expiration du délai d’attente, le tunnel est abandonné.
Serveurs DNS et WINS
Le service DNS (Domain Name Service) change les noms d’hôtes en adresses IP. WINS résout les noms
NetBIOS en adresses IP. Par défaut, les utilisateurs VPN SSL qui se connectent à Edge utilisent les
serveurs WINS et DNS identifiés sur la page Réseau > Approuvé de votre configuration Edge. Si vous
souhaitez spécifier un autre serveur WINS ou DNS, ajoutez-le dans les zones de texte Adresse IP du
serveur DNS et Adresse IP du serveur WINS dans le bas de la page Utilisateur itinérant.
Si votre fournisseur de service DNS le demande, spécifiez un nom de recherche pour votre domaine.
Activer la journalisation du débogage
Activez cette case à cocher pour augmenter le niveau de détails des messages du journal pour Mobile
VPN with SSL. Ceci peut s’avérer utile lorsque vous devez résoudre un problème.
302
Firebox X Edge e-Series
À propos de Mobile VPN with SSL
Télécharger le logiciel client
Pour télécharger le logiciel client Mobile VPN, connectez-vous à Firebox à l’aide d’un navigateur Web.
Chaque utilisateur doit entrer :
https://Adresse IP d’une interface Firebox:4100/
ou
https://Nom d’hôte du Firebox:4100/
Le logiciel client est également disponible dans la section Software Downloads du site Web LiveSecurity.
Une fois connecté et authentifié, vous pouvez télécharger une version du logiciel client. Deux versions sont
disponibles : Windows et Mac OS X. Si vous n’êtes pas défini en tant qu’utilisateur Mobile VPN with SSL, la boîte
de dialogue d’authentification standard s’affiche.
Une fois le logiciel client Mobile VPN téléchargé et installé, il se connecte automatiquement à Firebox pour
obtenir sa configuration. À chaque fois que vous vous connecterez à Firebox, le logiciel client vérifiera les
mises à jour de configuration pour s’assurer que la configuration du client est bien à jour.
Guide de l’utilisateur
303
À propos de Mobile VPN with SSL
À propos du client Mobile VPN with SSL
Le client WatchGuard Mobile VPN with SSL est installé sur l’ordinateur d’un utilisateur pour lui permettre de
travailler partout (à son domicile ou en déplacement). Il lui suffit de disposer d’une connexion Internet
standard et d’activer le client Mobile VPN. Le client Mobile VPN crée alors un tunnel chiffré vers les réseaux
approuvé et facultatif qui sont protégés par WatchGuard Firebox.
En tant qu’utilisateur distant, vous devez effectuer les étapes suivantes pour configurer le client VPN with SSL
sur votre ordinateur :
1. Télécharger le logiciel client.
2. Installer le logiciel client sur votre ordinateur.
Vous pouvez désormais vous Connecter à Firebox à l’aide du client Mobile VPN with SSL.
Installer le logiciel client Mobile VPN with SSL (Windows Vista et
Windows XP)
Une fois Mobile VPN with SSL activé sur Firebox et les utilisateurs ajoutés au groupe SSL-VPN Users, les clients
distants peuvent installer le logiciel client.
1. Ouvrez un navigateur Web sur l’ordinateur client distant pour vous connecter et vous authentifier
auprès de Firebox.
Pour plus d’informations sur la connexion et l’authentification auprès de Firebox, voir À propos du logiciel
client.
2. Cliquez sur le bouton Télécharger correspondant au fichier WG-MVPN-SSL.exe.
3. Enregistrez le fichier sur le disque dur de l’ordinateur client.
Si Mobile VPN with SSL n’est pas activé sur Firebox ou si l’utilisateur ne fait pas partie du groupe SSL-VPN Users,
le bouton Télécharger n’apparaît pas.
4. Double cliquez sur le fichier WG-MVPN-SSL.exe.
L’Assistant Mobile VPN with SSL client Setup Wizard démarre.
5. Acceptez les paramètres par défaut de l’Assistant.
6. Si vous souhaitez ajouter une icône de Bureau ou une icône de Lancement rapide, activez la case à
cocher correspondante dans l’Assistant.
Les icônes de Bureau ou de Lancement rapide ne sont pas obligatoires. L’icône du client est ajoutée au menu
Démarrer Windows.
7. Terminez puis quittez l’Assistant.
Il est inutile de redémarrer l’ordinateur pour exécuter le logiciel client.
304
Firebox X Edge e-Series
À propos de Mobile VPN with SSL
Installer le logiciel client Mobile VPN with SSL (Mac OS X)
Une fois Mobile VPN with SSL activé sur Firebox et les utilisateurs ajoutés au groupe SSL-VPN Users, les clients
distants peuvent installer le logiciel client.
1. Ouvrez un navigateur Web sur l’ordinateur client distant pour vous connecter et vous authentifier
auprès de Firebox.
Pour plus d’informations sur la connexion et l’authentification auprès de Firebox, voir À propos du logiciel
client.
2. Cliquez sur le bouton Télécharger correspondant au fichier WG-MVPN-SSL.dmg.
3. Enregistrez le fichier sur le disque dur de l’ordinateur client.
Si Mobile VPN with SSL n’est pas activé sur Firebox ou si l’utilisateur ne fait pas partie du groupe SSL-VPN Users, le
bouton Télécharger n’apparaît pas.
4. Double cliquez sur le fichier WG-MVPN-SSL.dmg.
Un volume portant le nom WatchGuard Mobile VPN est créé.
5. Dans le volume WatchGuard Mobile VPN, double-cliquez sur WatchGuard Mobile VPN with SSL
Installer V15.mpkg.
Le programme d’installation du client démarre.
6. Acceptez les paramètres par défaut du programme d’installation.
7. Terminez puis quittez le programme d’installation.
Il est inutile de redémarrer l’ordinateur pour exécuter le logiciel client.
Se connecter à Firebox à l’aide du client Mobile VPN with SSL (Windows
Vista et Windows XP)
Une fois le client Mobile VPN with SSL installé, vous pouvez vous connecter à Firebox.
1. Utilisez l’une des trois méthodes suivantes pour démarrer le logiciel client :
o Sélectionnez Démarrer > Tous les programmes > WatchGuard > Client Mobile VPN with
SSL > Client Mobile VPN with SSL.
o Double-cliquez sur l’icône du client Mobile VPN with SSL sur le Bureau.
o Cliquez sur l’icône de Lancement rapide du client Mobile VPN with SSL.
2. Tapez les informations relatives au périphérique Firebox auquel vous vous connectez, ainsi que le nom
d’utilisateur et le mot de passe de l’utilisateur.
Le Serveur est l’adresse IP de l’interface externe principale de Firebox.
3. Cliquez sur Connexion.
Se connecter à Firebox à l’aide du client Mobile VPN with SSL (Mac OS X)
Une fois le client Mobile VPN with SSL installé, vous pouvez vous connecter à Firebox.
1. Ouvrez une fenêtre Finder et accédez à Applications > WatchGuard, puis double-cliquez sur
WatchGuard Mobile VPN with SSL.app.
Le logo WatchGuard s’affiche dans la barre de menus.
2. Cliquez sur l’icône et sélectionnez Connexion.
3. Tapez les informations relatives au périphérique Firebox auquel vous vous connectez, ainsi que le nom
d’utilisateur et le mot de passe de l’utilisateur.
Le Serveur est l’adresse IP de l’interface externe principale de Firebox.
4. Cliquez sur Connexion.
Guide de l’utilisateur
305
À propos de Mobile VPN with SSL
Contrôles du client Mobile VPN with SSL
Lorsque le client Mobile VPN with SSL est en cours d’exécution, l’icône du logo WatchGuard est affichée dans
la barre d’état du système (Win) ou sur la droite de la barre de menus (Mac). L’état de la connexion VPN est
affiché dans la loupe de l’icône.
ƒ
ƒ
ƒ
Le client est en cours d’exécution, mais la connexion VPN n’est pas établie.
La connexion VPN a été établie. Vous pouvez vous connecter en toute sécurité aux ressources
derrière Firebox.
Le client est en cours de connexion ou de déconnexion de VPN SSL.
Pour afficher la liste des contrôles du client, cliquez avec le bouton droit de la souris (Win) ou cliquez (Mac) sur
l’icône du logo WatchGuard.
Connecter ou déconnecter
Ouvrez ou fermez la connexion VPN SSL.
Afficher les journaux
Ouvre LogViewer pour déterminer quels sont les fichiers journaux disponibles.
Propriétés
Windows – Sélectionnez Lancer le programme au démarrage pour lancer le client au démarrage
de Windows. Tapez un nombre dans la zone Niveau de journal pour modifier le niveau de détails
inclus dans les journaux.
Mac OS X – Affichez des informations détaillées concernant la connexion VPN SSL. Vous pouvez
également définir le niveau de journal.
À propos de
La boîte de dialogue WatchGuard Mobile VPN s’ouvre en affichant des informations sur le logiciel
client.
Quitter (Windows ou Mac)
Déconnectez toutes les connexions VPN SSL et arrêtez le client.
306
Firebox X Edge e-Series
À propos de Mobile VPN with SSL
Désinstaller le client Mobile VPN with SSL
Vous pouvez utiliser le programme de désinstallation pour désinstaller le client Mobile VPN with SSL.
Client Mobile VPN with SSL pour Windows Vista et Windows XP
1. Sélectionnez Démarrer > Tous les programmes > WatchGuard > Client Mobile VPN with SSL >
Désinstaller le client Mobile VPN with SSL.
Le programme de désinstallation du client Mobile VPN with SSL démarre.
2. Cliquez sur Oui pour supprimer le client Mobile VPN with SSL et tous ses composants.
3. Une fois la désinstallation terminée, cliquez sur OK.
Client Mobile VPN with SSL pour Mac OS X
1. Ouvrez une fenêtre Finder et accédez à Applications > WatchGuard. Double-cliquez sur Désinstaller
WG SSL VPN.app.
2. Cliquez sur OK dans la boîte de dialogue Avertissement.
3. Cliquez sur OK dans la boîte de dialogue Terminé.
4. Faites glisser le dossier Applications > WatchGuard vers la corbeille.
Le programme de désinstallation ne peut pas se supprimer lui-même, ni le dossier dans lequel il se trouve. Si vous
ne faites pas glisser le dossier vers la corbeille, il ne sera pas supprimé.
Guide de l’utilisateur
307
À propos de Mobile VPN with SSL
308
Firebox X Edge e-Series
">