Mode d'emploi | Watchguard WSM v10.1 Manuel utilisateur

Ajouter à Mes manuels
730 Des pages
Mode d'emploi | Watchguard WSM v10.1 Manuel utilisateur | Fixfr
WatchGuard System Manager
Guide de l’utilisateur
WatchGuard System Manager v10.0
Fireware v10.0
Fireware Pro v10.0
Note aux utilisateurs
Les informations figurant dans ce guide peuvent faire l’objet de modifications sans préavis. Les exemples de sociétés, de
noms et de données mentionnés ici sont fictifs, sauf mention contraire. Aucune partie de ce guide ne peut être reproduite
ou retransmise sous quelque format ou par quelque moyen que ce soit (électronique ou mécanique), pour tout objet, sans
l’autorisation écrite expresse de WatchGuard Technologies, Inc.
Guide révisé le : 15/01/2008
Informations sur le copyright, les marques déposées et les brevets
Copyright © 1998 - 2008 WatchGuard Technologies, Inc. Tous droits réservés. Toutes les marques déposées ou les noms
commerciaux mentionnés ici, le cas échéant, appartiennent à leurs propriétaires respectifs.
Vous pouvez trouver la totalité des informations sur le copyright, les marques déposées, les brevets et les licences dans le
Reference Guide (Guide de référence), disponible en ligne : http://www.watchguard.com/help/documentation/.
Ce produit est destiné à une utilisation intérieure uniquement.
Abréviations utilisées dans le Guide
3DES
Triple Data Encryption
Standard
IPSec
Internet Protocol Security
SSL
Secure Sockets Layer
BOVPN
Branch Office Virtual
Private Network
ISP
Fournisseur(s) de services
Internet
TCP
Transfer Control Protocol
DES
Data Encryption
Standard
MAC
Media Access Control
UDP
User Datagram Protocol
DNS
Domain Name Service
NAT
Traduction d’adresses réseau
(Network Address
Translation)
URL
Uniform Resource
Locator
DHCP
Dynamic Host
Configuration
Protocol
PPP
Point-to-Point Protocol
VPN
Réseau privé virtuel
DSL
Digital Subscriber Line
PPTP
Point-to-Point Tunneling
Protocol
WAN
Réseau étendu (WAN)
IP
Internet Protocol
PPPoE
Point-to-Point Protocol
over Ethernet
WSM
WatchGuard System
Manager
À propos de WatchGuard
WatchGuard est l’un des principaux fournisseurs de solutions de sécurité réseau pour les
petites et moyennes entreprises partout dans le monde. Il propose des produits et
services intégrés qui se caractérisent par leur solidité et leur simplicité d’achat, de
déploiement et de gestion. La famille de produits Firebox X, périphériques de sécurité
intégrés extensibles, est conçue pour être totalement mise à niveau en fonction de
l’évolution d’une organisation et présente la meilleure offre du marché en termes de
sécurité, de performances, d’interface intuitive et de valeur. L’architecture ILS (Intelligent
Layered Security) de WatchGuard constitue une réelle protection contre les menaces
émergentes et procure la flexibilité nécessaire pour intégrer les fonctionnalités et services
de sécurité supplémentaires offerts par WatchGuard. Tous les produits WatchGuard sont
livrés avec un abonnement initial aux services LiveSecurity pour permettre à nos clients
de se tenir au courant de l’actualité en matière de sécurité grâce aux alertes de
vulnérabilité, mises à jour logicielles, instructions de sécurité des experts et à un service
d’assistance client de premier choix. Pour plus d’informations, appelez le (206) 613 6600
ou visitez notre site www.watchguard.com.
ii
ADRESSE
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
SUPPORT TECHNIQUE
www.watchguard.com/support
États-Unis et Canada +877.232.3531
Tous les autres pays +1.206.613.0895
VENTES
États-Unis et Canada +1.800.734.9905
Tous les autres pays +1.206.613.0895
WatchGuard System Manager
Sommaire
Chapitre 1
Introduction aux réseaux et à la sécurité des réseaux .......................................................... 1
À propos des réseaux et de leur sécurité ......................................................................................................
Adresses et passerelles privées...............................................................................................................
À propos des masques de sous-réseau................................................................................................
À propos de la saisie des adresses IP .........................................................................................................
Adresses IP statiques et dynamiques ........................................................................................................
À propos de DHCP .......................................................................................................................................
À propos de PPPoE ......................................................................................................................................
À propos du DNS (Domain Name Service)...............................................................................................
À propos des ports.......................................................................................................................................
Chapitre 2
1
2
2
3
3
4
4
4
5
Introduction à WatchGuard System Manager (WSM) et à Fireware .................................... 7
Introduction à WatchGuard System Manager............................................................................................. 7
Outils WatchGuard System Manager.................................................................................................... 8
À propos de Fireware ......................................................................................................................................... 10
Fireware et Fireware Pro.......................................................................................................................... 10
À propos de WatchGuard System Manager et WatchGuard Firebox System........................... 10
Chapitre 3
Prise en main .......................................................................................................................... 11
Avant de commencer......................................................................................................................................... 11
Vérifier les composants de base ........................................................................................................... 11
Obtenir une clé de fonctionnalité Firebox........................................................................................ 11
Recueillir des adresses réseau ............................................................................................................... 12
Déterminer l’emplacement d’installation du logiciel serveur ................................................... 13
Sauvegarder votre configuration précédente................................................................................. 14
Télécharger le logiciel WatchGuard System Manager.................................................................. 14
À propos des niveaux de chiffrement logiciel...................................................................................... 15
À propos de l’Assistant Quick Setup Wizard .............................................................................................. 15
Après l’exécution de l’Assistant ............................................................................................................ 17
Assistant Quick Setup Wizard (non web) ............................................................................................... 17
Après l’exécution de l’Assistant ............................................................................................................ 18
Personnaliser votre stratégie de sécurité .......................................................................................... 19
Démarrer WatchGuard System Manager .................................................................................................... 20
Se connecter à Firebox.................................................................................................................................. 20
Se déconnecter de Firebox..................................................................................................................... 21
Se déconnecter de tous les périphériques Firebox ....................................................................... 21
Démarrer des applications de sécurité ................................................................................................... 21
Guide de l’utilisateur
iii
Policy Manager............................................................................................................................................ 21
HostWatch .................................................................................................................................................... 22
LogViewer..................................................................................................................................................... 22
Rapports WatchGuard.............................................................................................................................. 22
Assistant Quick Setup Wizard ................................................................................................................ 22
CA Manager.................................................................................................................................................. 23
Mettre à niveau vers une nouvelle version de Fireware........................................................................ 23
Rétrogradation vers WSM 9.1.x ou version antérieure........................................................................... 24
Si vous possédez un fichier de sauvegarde...................................................................................... 24
Si vous ne possédez pas de fichier de sauvegarde ........................................................................ 24
Installer WSM et conserver une version antérieure............................................................................ 25
Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feu de Bureau ........... 25
Configuration d’insertion............................................................................................................................. 26
Ajouter des réseaux secondaires à votre configuration ................................................................... 27
Utiliser l’Assistant Quick Setup Wizard............................................................................................... 28
Ajouter un réseau secondaire une fois l’installation de Firebox terminée............................ 28
Prise en charge IP dynamique sur l’interface externe ....................................................................... 28
À propos de la connexion des câbles Firebox ...................................................................................... 28
Chapitre 4
Maintenance et support ........................................................................................................ 29
À propos du support technique de WatchGuard .................................................................................... 29
À propos des solutions LiveSecurity ........................................................................................................ 29
Réponses aux menaces, alertes et conseils d’experts................................................................... 29
Simplification des mises à jour logicielles......................................................................................... 29
Accès au support technique et à la formation ................................................................................ 29
Diffusions LiveSecurity.................................................................................................................................. 30
Outils de support autonome du service LiveSecurity........................................................................ 31
Activer le service LiveSecurity......................................................................................................................... 32
WatchGuard Users Forum................................................................................................................................. 32
Utiliser WatchGuard Users Forum........................................................................................................ 32
Documentation produit .................................................................................................................................... 33
Formation et certification ................................................................................................................................. 33
À propos du support technique de WatchGuard .................................................................................... 33
Support technique du service LiveSecurity........................................................................................... 33
LiveSecurity Gold ............................................................................................................................................ 34
Service d’installation de Firebox ............................................................................................................... 34
Service d’installation d’un VPN .................................................................................................................. 34
Chapitre 5
Surveillance de l’état de Firebox .......................................................................................... 35
À propos de Firebox System Manager (FSM) ............................................................................................ 35
Menus, icônes et boutons de Firebox System Manager................................................................... 36
Menus de Firebox System Manager.................................................................................................... 37
Icônes de Firebox System Manager .................................................................................................... 38
Boutons de Firebox System Manager................................................................................................. 38
Démarrer Firebox System Manager .............................................................................................................. 38
Définir l’intervalle d’actualisation et la mise en pause de l’affichage .......................................... 38
Intervalle d’actualisation ......................................................................................................................... 39
Pause/Continuer......................................................................................................................................... 39
Avertissements ........................................................................................................................................... 40
Développer et fermer les arborescences........................................................................................... 40
Affichage en triangle ................................................................................................................................ 41
État de Firebox ................................................................................................................................................. 43
Détails sur Firebox, High Availability et l’interface ........................................................................ 44
Certificats et leur état actuel .................................................................................................................. 45
iv
WatchGuard System Manager
État des services de sécurité .................................................................................................................. 47
Définir le nombre maximum de messages des journaux............................................................ 49
Afficher les noms de champs du journal ........................................................................................... 49
Utiliser la couleur pour les messages des journaux....................................................................... 50
Copier les messages dans une autre application ................................................................................ 51
En savoir plus sur un message ................................................................................................................... 51
Activer la notification des messages spécifiques ................................................................................ 51
Affichage visuel de l’utilisation de la bande passante
(Onglet Mesure de la bande passante) ........................................................................................................ 52
Modifier l’échelle........................................................................................................................................ 53
Ajouter et supprimer des lignes ........................................................................................................... 53
Changer les couleurs ................................................................................................................................ 53
Changer le mode d’affichage des interfaces.................................................................................... 54
Affichage visuel de l’utilisation des stratégies (Onglet Suivi du service)......................................... 54
Modifier l’échelle........................................................................................................................................ 55
Afficher la bande passante utilisée par une stratégie................................................................... 55
Changer les couleurs ................................................................................................................................ 56
Changer le mode d’affichage des noms de stratégie ................................................................... 56
Afficher les connexions par stratégie ou règle................................................................................ 56
Statistiques de trafic et de performances ................................................................................................... 57
Utilisateurs authentifiés..................................................................................................................................... 59
Afficher ou modifier la liste des sites bloqués........................................................................................... 60
Ajouter et supprimer des sites .............................................................................................................. 60
Services de sécurité............................................................................................................................................. 61
Statistiques Gateway AntiVirus.................................................................................................................. 61
Statistiques du service Intrusion Prevention Service .................................................................... 62
Statistiques de spamBlocker....................................................................................................................... 62
À propos d’HostWatch....................................................................................................................................... 63
Fenêtre HostWatch.................................................................................................................................... 63
Résolution DNS et HostWatch............................................................................................................... 63
Démarrer HostWatch ................................................................................................................................ 63
Suspendre HostWatch.............................................................................................................................. 63
Sélectionner les connexions et les interfaces à analyser .................................................................. 64
Sélectionner une nouvelle interface à gérer .................................................................................... 64
Filtrer le contenu d’une fenêtre HostWatch.......................................................................................... 65
Modifier les propriétés visuelles d’HostWatch ..................................................................................... 66
À propos de Performance Console ............................................................................................................... 67
Démarrer Performance Console ........................................................................................................... 67
Créer des graphiques avec Performance Console ......................................................................... 67
Arrêter l’analyse ou fermer la fenêtre ................................................................................................. 68
Définir les compteurs de performances ................................................................................................. 68
Ajouter des graphiques ou modifier les intervalles d’interrogation ............................................ 71
Ajouter un nouveau graphique ............................................................................................................ 71
Modifier l’intervalle d’interrogation .................................................................................................... 71
Supprimer un graphique......................................................................................................................... 71
Afficher et gérer les certificats Firebox ........................................................................................................ 72
Consulter les certificats actuels............................................................................................................. 72
Supprimer un certificat ............................................................................................................................ 73
Récupérer la CRL sur un serveur LDAP ............................................................................................... 75
Afficher et synchroniser les clés de fonctionnalité.................................................................................. 76
Synchroniser les clés de fonctionnalité.............................................................................................. 77
Journal des communications .......................................................................................................................... 77
Effectuer des opérations dans Firebox System Manager...................................................................... 78
Guide de l’utilisateur
v
Synchroniser l’heure ...................................................................................................................................... 78
Effacer le cache ARP ....................................................................................................................................... 78
Afficher et synchroniser les clés de fonctionnalité ............................................................................. 79
Synchroniser les clés de fonctionnalité.............................................................................................. 80
Effacer les alarmes .......................................................................................................................................... 80
Renouveler la clé des tunnels BOVPN...................................................................................................... 80
Pour renouveler la clé de tous les tunnels BOVPN......................................................................... 81
Contrôler High Availability .......................................................................................................................... 81
Modifier les mots de passe dans Firebox System Manager............................................................. 81
Chapitre 6
Administration et paramètres globaux de Firebox ............................................................ 83
À propos des clés de fonctionnalité.............................................................................................................. 83
Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active....................... 83
Vérifier la conformité à la clé de fonctionnalité .............................................................................. 83
Obtenir une clé de fonctionnalité active........................................................................................... 84
Obtenir une clé de fonctionnalité............................................................................................................. 84
Importer une clé de fonctionnalité dans Firebox................................................................................ 85
Supprimer une clé de fonctionnalité .................................................................................................. 86
Afficher les détails d’une clé de fonctionnalité .................................................................................... 86
Télécharger une clé de fonctionnalité .................................................................................................... 86
Affecter un nom convivial ................................................................................................................................ 88
Interrogations SNMP................................................................................................................................. 90
Demandes d’informations et interruptions SNMP......................................................................... 90
Activer l’interrogation SNMP ...................................................................................................................... 91
Activer les interruptions ou les demandes d’informations SNMP................................................. 92
Faire en sorte que Firebox envoie une interruption pour une stratégie ............................... 92
À propos des bases d’informations MIB (Management Information Base) ............................... 93
Membres de l’alias ..................................................................................................................................... 95
Créer un alias .................................................................................................................................................... 96
Pour ajouter une adresse, une plage d’adresses, un nom DNS ou
un autre alias à l’alias ................................................................................................................................ 97
Pour ajouter un utilisateur ou un groupe autorisé à l’alias......................................................... 97
Définir les paramètres globaux de Firebox ................................................................................................ 98
Définir les paramètres globaux de gestion des erreurs ICMP.................................................... 99
Activer le contrôle TCP SYN.................................................................................................................... 99
Définir les paramètres globaux d’ajustement de taille de segment maximum TCP ...... 100
Désactiver la gestion de trafic et QoS.............................................................................................. 100
À propos des paramètres globaux VPN.................................................................................................... 100
Activer le transit IPSec ........................................................................................................................... 100
Activer le type de service (TOS) pour IPSec ................................................................................... 101
Activer le serveur LDAP pour la vérification du certificat......................................................... 101
Notification BOVPN ................................................................................................................................ 101
Créer des calendriers pour les actions Firebox ...................................................................................... 102
Chapitre 7
Fichiers de configuration .................................................................................................... 107
À propos des fichiers de configuration Firebox..................................................................................... 107
Ouvrir un fichier de configuration ......................................................................................................... 107
Ouvrir le fichier de configuration avec WatchGuard System Manager............................... 108
Ouvrir le fichier de configuration avec Policy Manager............................................................ 108
Ouvrir un fichier de configuration local.......................................................................................... 109
Créer un fichier de configuration ........................................................................................................... 110
Enregistrer le fichier de configuration.................................................................................................. 110
Enregistrer une configuration dans Firebox ................................................................................. 111
Enregistrer une configuration sur un disque dur local.............................................................. 111
vi
WatchGuard System Manager
Restaurer une image de sauvegarde Firebox.........................................................................................
Rétablir une configuration antérieure d’un périphérique Firebox ou créer une
nouvelle configuration ...................................................................................................................................
Réinitialiser un périphérique Firebox X e-Series..........................................................................
Réinitialiser un périphérique Firebox X Core ou Peak (n’appartenant pas à la
gamme e-Series)......................................................................................................................................
Réinitialiser manuellement un périphérique n’appartenant pas à la gamme e-Series .
Chapitre 8
113
113
113
113
114
Journalisation et notification ............................................................................................. 117
À propos de la journalisation et des fichiers journaux........................................................................ 117
Serveurs Log Server................................................................................................................................ 117
Journalisation et notification dans les applications et sur les serveurs............................... 118
À propos des messages de journal................................................................................................... 118
Types de messages de journal ................................................................................................................ 118
Messages de journal de type Trafic .................................................................................................. 118
Messages de journal de type Alarme............................................................................................... 119
Messages de journal de type Événement ...................................................................................... 119
Messages de journal de type Débogage ........................................................................................ 119
Messages de journal de type Statistiques...................................................................................... 119
Configurer Log Server pour la notification .................................................................................... 120
Définir la destination des messages des journaux envoyés par Firebox...................................... 121
Ajouter un serveur Log Server................................................................................................................. 122
Utiliser la boîte de dialogue Ajouter un processeur d’événements ..................................... 123
Enregistrer les modifications et vérifier la journalisation ......................................................... 123
Définir la priorité d’un serveur Log Server .......................................................................................... 123
Désactiver la journalisation des statistiques de performances................................................... 125
Activer les diagnostics avancés .............................................................................................................. 126
Configurer la journalisation et la notification pour une stratégie .................................................. 128
Définir les préférences de journalisation et de notification ......................................................... 129
Configurer Log Server ..................................................................................................................................... 131
À propos des mots de passe ............................................................................................................... 131
Installer Log Server ................................................................................................................................. 132
Configurer les paramètres du système ........................................................................................... 133
Paramètres de la base de données et du serveur SMTP d’un serveur Log Server........... 135
Paramètres de serveur SMTP .............................................................................................................. 136
Paramètres d’expiration d’un serveur Log Server....................................................................... 137
Paramètres de suppression de journal............................................................................................ 137
Paramètres de sauvegarde de base de données......................................................................... 138
Configuration de la notification......................................................................................................... 138
Paramètres de journalisation et d’analyse d’un serveur Log Server .................................... 139
État de Firebox ......................................................................................................................................... 139
Chemin d’accès........................................................................................................................................ 140
Restaurer un fichier journal de sauvegarde ....................................................................................... 140
Importer un fichier journal sur un serveur Log Server.................................................................... 141
Déplacer le répertoire de données de journal .................................................................................. 142
Démarrer et arrêter Log Server ............................................................................................................... 142
Récupérer l’espace disponible à partir de la base de données Log Server............................. 143
Utiliser LogViewer pour afficher les fichiers journaux......................................................................... 144
Ouvrir LogViewer .................................................................................................................................... 144
Se connecter à un périphérique ........................................................................................................ 144
Barres d’outils de LogViewer ................................................................................................................... 147
Ouvrir les journaux du serveur Log Server principal....................................................................... 148
Définir les préférences utilisateur de LogViewer.............................................................................. 148
Paramètres généraux............................................................................................................................. 149
Guide de l’utilisateur
vii
Paramètres d’affichage ......................................................................................................................... 150
Détails des messages du journal ............................................................................................................ 151
Utiliser le Gestionnaire de recherche.................................................................................................... 152
Ouvrir le Gestionnaire de recherche ................................................................................................ 153
Créer une requête de recherche........................................................................................................ 153
Enregistrer une recherche ................................................................................................................... 153
Supprimer une recherche .................................................................................................................... 154
Modifier une recherche......................................................................................................................... 154
Exécuter une recherche ........................................................................................................................ 154
Effacer l’historique des recherches................................................................................................... 154
Paramètres de Paramètres de recherche ....................................................................................... 154
Exécuter des tâches de diagnostic locales.......................................................................................... 156
Importer et exporter des données dans LogViewer ....................................................................... 157
Importer des données ........................................................................................................................... 157
Exporter des données............................................................................................................................ 157
Imprimer, enregistrer ou envoyer les messages des journaux par e-mail .............................. 157
Envoyer un message de journal par e-mail ................................................................................... 157
Imprimer un message de journal ...................................................................................................... 157
Enregistrer un message de journal................................................................................................... 158
Chapitre 9
Installation et configuration d’un réseau .......................................................................... 159
À propos de la configuration d’interface réseau...................................................................................
Configurer les interfaces Firebox ................................................................................................................
Configurer Firebox en tant que serveur DHCP..................................................................................
Configurer Firebox en tant qu’agent de relais DHCP......................................................................
Configurer les interfaces externes..............................................................................................................
Si l’adresse IP est statique ....................................................................................................................
Si l’adresse IP est attribuée à l’aide de PPPoE ...............................................................................
Si l’adresse IP est attribuée à l’aide de DHCP ................................................................................
Configurer Firebox pour le DNS dynamique .....................................................................................
Configurer Firebox pour le DNS dynamique.................................................................................
Ajouter des adresses de serveurs WINS et DNS .....................................................................................
Configurer un réseau secondaire................................................................................................................
Ajouter un route statique ..............................................................................................................................
À propos des paramètres d’interface avancés .......................................................................................
Paramètres de carte réseau......................................................................................................................
Définir la bande passante de l’interface en sortie............................................................................
Activer le marquage QoS pour une interface ....................................................................................
Configurer le bit DF pour IPSec...............................................................................................................
Paramètre PMTU pour IPSec ....................................................................................................................
Utiliser la liaison d’adresse MAC statique............................................................................................
À propos des réseaux locaux virtuels (VLAN) .........................................................................................
Configuration logicielle requise pour les VLAN et restrictions associées...........................
Définir un nouveau VLAN .........................................................................................................................
Utiliser DHCP sur un VLAN...................................................................................................................
Utiliser le relais DHCP sur un VLAN...................................................................................................
Attribuer des interfaces à un VLAN .......................................................................................................
159
160
162
164
165
165
165
167
167
167
169
170
172
173
173
174
175
176
176
177
180
180
181
183
183
184
Chapitre 10 Configuration d’un réseau avec plusieurs interfaces externes ........................................ 187
À propos de l’utilisation de plusieurs interfaces externes .................................................................
Configurations logicielles et conditions requises pour le mode multi-WAN....................
Multi-WAN et DNS ..................................................................................................................................
À propos des options multi-WAN ...............................................................................................................
À propos de l’option de tourniquet du mode ..............................................................................
viii
187
187
188
188
188
WatchGuard System Manager
À propos de l’option de basculement WAN.................................................................................. 188
À propos de l’option de dépassement de capacité d’interface ............................................. 189
À propos de l’option de table de routage du mode multi-WAN ........................................... 189
Avant de commencer ............................................................................................................................ 190
Configurer les interfaces....................................................................................................................... 190
À propos de la table de routage de Firebox....................................................................................... 191
Cas d’utilisation de l’option de table de routage ............................................................................. 191
Option de table de routage et équilibrage de charge ................................................................... 192
Avant de commencer ............................................................................................................................ 193
Configurer les interfaces....................................................................................................................... 193
Avant de commencer ............................................................................................................................ 195
Configurer les interfaces....................................................................................................................... 195
Avant de commencer ............................................................................................................................ 197
Configurer les interfaces....................................................................................................................... 197
À propos des paramètres multi-WAN avancés ...................................................................................... 199
À propos des connexions persistantes............................................................................................ 199
Définir une durée de connexion persistante globale ................................................................ 199
Définir l’action de restauration .......................................................................................................... 200
À propos de l’état des interfaces WAN...................................................................................................... 201
Définir un hôte de contrôle des liaisons ......................................................................................... 201
Chapitre 11 À propos de la traduction d’adresses réseau statique ...................................................... 203
À propos de la traduction d’adresses réseau..........................................................................................
À propos de la traduction d’adresses réseau dynamique..................................................................
Réorganiser les entrées de traduction d’adresses réseau dynamique ................................
Désactiver la traduction d’adresses réseau dynamique pour une stratégie .....................
Configurer NAT un à un pour un pare-feu..........................................................................................
Activation de la règle NAT un à un pour une stratégie .............................................................
Désactivation de la règle NAT un à un pour une stratégie ......................................................
À propos de la traduction d’adresses réseau statique ........................................................................
À propos de l’équilibrage de charge côté serveur................................................................................
Configurer l’équilibrage de charge côté serveur..............................................................................
203
204
206
208
210
212
212
212
214
215
Chapitre 12 Authentification ................................................................................................................... 219
À propos de l’authentification des utilisateurs ...................................................................................... 219
Comment les utilisateurs s’authentifient ....................................................................................... 220
Fermeture d’une session ...................................................................................................................... 220
Fermeture d’une session utilisateur par l’administrateur ........................................................ 220
Utiliser l’authentification via une passerelle Firebox ................................................................. 222
Définir des valeurs d’authentification globale....................................................................................... 222
Définir des délais d’authentification globale................................................................................ 223
Autoriser plusieurs connexions simultanées ................................................................................ 223
Utiliser une page de démarrage par défaut personnalisée ..................................................... 223
Activer Single Sign-On .......................................................................................................................... 224
Avant de commencer ............................................................................................................................ 225
Activer et configurer SSO ..................................................................................................................... 225
À propos des exceptions SSO............................................................................................................. 226
Installer l’agent WatchGuard Single Sign-On (SSO) ........................................................................ 226
Télécharger le logiciel agent SSO...................................................................................................... 226
Avant l’installation .................................................................................................................................. 226
À propos de l’utilisation de serveurs d’authentification tierce ................................................... 228
Utiliser un serveur d’authentification de sauvegarde .................................................................... 228
Configurer Firebox en tant que serveur d’authentification .............................................................. 229
Types d’authentification Firebox ........................................................................................................... 229
Guide de l’utilisateur
ix
Authentification d’accès au pare-feu............................................................................................... 229
Connexions Mobile VPN with PPTP.................................................................................................. 230
Définir un nouvel utilisateur pour l’authentification Firebox ...................................................... 232
Définir un nouveau groupe pour l’authentification Firebox........................................................ 234
Configurer l’authentification SecurID ....................................................................................................... 239
Configurer l’authentification LDAP ............................................................................................................ 241
À propos des paramètres LDAP facultatifs .................................................................................... 242
Utiliser les paramètres Active Directory ou LDAP facultatifs ....................................................... 243
Avant de commencer ............................................................................................................................ 243
Spécifier les paramètres LDAP ou Active Directory facultatifs ............................................... 243
Configurer l’authentification Active Directory....................................................................................... 245
À propos des paramètres Active Directory facultatifs ............................................................... 246
Utiliser les paramètres Active Directory ou LDAP facultatifs ....................................................... 247
Avant de commencer ............................................................................................................................ 247
Spécifier les paramètres LDAP ou Active Directory facultatifs ............................................... 247
Utiliser un compte d’utilisateur local pour l’authentification........................................................... 249
Utiliser les utilisateurs et groupes autorisés dans les stratégies...................................................... 249
Définir des utilisateurs et des groupes pour l’authentification Firebox.............................. 249
Définir des utilisateurs et des groupes pour l’authentification tierce ................................. 250
Ajouter des utilisateurs et des groupes aux définitions des stratégies............................... 251
Chapitre 13 Firewall Threat Protection .................................................................................................. 253
À propos de Default Threat Protection..................................................................................................... 253
Définir des options de journalisation et de notification ........................................................... 255
À propos des attaques d’usurpation..................................................................................................... 255
À propos des attaques d’route source des adresses IP .................................................................. 255
À propos des attaques Flood................................................................................................................... 256
À propos du paramètre des attaques SYN Flood ........................................................................ 256
À propos des paquets non gérés ........................................................................................................... 257
Consulter les statistiques sur les paquets non gérés ................................................................. 257
À propos des attaques de refus de service distribué ...................................................................... 257
Sites bloqués de façon permanente ................................................................................................ 258
Liste des sites automatiquement bloqués/sites bloqués de façon temporaire............... 258
Bloquer un site de façon permanente ou bloquer des sites de logiciel espion .................... 259
Configurer la journalisation pour les sites bloqués .................................................................... 260
Bloquer des sites de logiciel espion ................................................................................................. 260
Utiliser une liste externe de sites bloqués .......................................................................................... 261
Créer des exceptions à la liste des sites bloqués .............................................................................. 261
Utiliser une liste externe d’exceptions aux sites bloqués......................................................... 262
Bloquer temporairement des sites grâce aux paramètres de stratégie................................... 262
Ports bloqués par défaut...................................................................................................................... 263
Bloquer un port............................................................................................................................................. 264
Bloquer des adresses IP tentant d’utiliser des ports bloqués ................................................. 264
Définir la journalisation et la notification pour les ports bloqués......................................... 264
Chapitre 14 Stratégies ............................................................................................................................. 265
À propos des stratégies ..................................................................................................................................
À propos de l’utilisation de stratégies sur votre réseau............................................................
À propos de Policy Manager.........................................................................................................................
Fenêtre Policy Manager ........................................................................................................................
Icônes de stratégie..................................................................................................................................
Ouvrir Policy Manager................................................................................................................................
Modifier l’affichage de Policy Manager................................................................................................
Modifier les couleurs utilisées pour le texte de Policy Manager.................................................
x
265
265
266
266
266
267
267
269
WatchGuard System Manager
Rechercher une stratégie par adresse, port ou protocole ............................................................ 271
Voir la liste des modèles de stratégie ................................................................................................... 273
Ajouter une stratégie à partir de la liste des modèles .................................................................... 275
Ajouter plusieurs stratégies du même type ....................................................................................... 276
Afficher les détails d’un modèle et modifier des modèles de stratégie................................... 276
Désactiver une stratégie............................................................................................................................ 277
Supprimer une stratégie....................................................................................................................... 277
Créer ou modifier un modèle de stratégie personnalisée ............................................................ 278
Importer et exporter des modèles de stratégie personnalisée................................................... 280
À propos des propriétés de stratégie ........................................................................................................ 281
Onglet Stratégie ...................................................................................................................................... 281
Onglet Propriétés.................................................................................................................................... 281
Paramètres des actions de proxy (stratégies de proxy uniquement) .................................. 281
Onglet Avancé.......................................................................................................................................... 282
Définir les règles d’accès pour une stratégie ..................................................................................... 282
Ajouter de nouveaux membres aux définitions de stratégie ................................................. 284
Configurer la journalisation et la notification pour une stratégie.............................................. 285
Bloquer temporairement des sites grâce aux paramètres de stratégie................................... 286
Définir un calendrier d’application........................................................................................................ 287
Configurer le routage basé sur stratégie............................................................................................. 288
Ajouter un routage basé sur stratégie à une stratégie.............................................................. 289
À propos de l’utilisation de la traduction d’adresses réseau statique dans une stratégie 291
À propos de l’utilisation de la traduction d’adresses réseau statique avec le protocole
SMTP ............................................................................................................................................................ 291
Appliquer une action de gestion de trafic à une stratégie ........................................................... 292
Utiliser les actions de gestion de trafic dans un environnement à
plusieurs réseaux WAN ......................................................................................................................... 292
À propos de l’équilibrage de charge côté serveur pour une stratégie..................................... 293
Définir la priorité de trafic pour une stratégie................................................................................... 293
Configurer la gestion des erreurs ICMP ............................................................................................... 293
NAT un à un............................................................................................................................................... 294
NAT dynamique....................................................................................................................................... 294
Utiliser le marquage QoS pour une stratégie .................................................................................... 294
Ajouter une durée de connexion persistante à une stratégie..................................................... 295
Utiliser l’ordre automatique ................................................................................................................ 296
Définir la priorité manuellement....................................................................................................... 296
Chapitre 15 Stratégies de proxy .............................................................................................................. 297
À propos des stratégies de proxy ...............................................................................................................
Types de proxies......................................................................................................................................
À propos de l’utilisation des règles et des ensembles de règles ...........................................
Vues simple et avancée.........................................................................................................................
Ajouter des règles ...................................................................................................................................
Ajouter des règles (vue simple) .........................................................................................................
Couper et coller les définitions de règles .......................................................................................
Modifier l’ordre des règles ...................................................................................................................
Modifier la règle par défaut.................................................................................................................
Importer ou exporter des actions de proxy...................................................................................
À propos des actions de proxy prédéfinies et définies par l’utilisateur ...................................
Ajouter une stratégie de proxy à votre configuration Firebox....................................................
À propos du proxy DNS ..................................................................................................................................
Onglet Stratégie ......................................................................................................................................
Onglet Propriétés....................................................................................................................................
Onglet Avancé..........................................................................................................................................
Guide de l’utilisateur
297
297
298
298
298
299
301
301
302
304
304
304
307
307
307
308
xi
Proxy DNS : OPcodes .................................................................................................................................. 310
Ajouter une nouvelle règle OPCodes .............................................................................................. 310
Proxy DNS : Types de requêtes ............................................................................................................... 311
Ajouter une nouvelle règle de types de requêtes....................................................................... 311
Proxy DNS : Noms des requêtes.............................................................................................................. 312
Prévention des intrusions dans les définitions de proxy............................................................... 312
Alarmes de proxy et d’antivirus .............................................................................................................. 313
Terminer et enregistrer la configuration ............................................................................................. 313
À propos du proxy FTP.................................................................................................................................... 314
Onglet Stratégie ...................................................................................................................................... 314
Onglet Propriétés.................................................................................................................................... 314
Paramètres des actions de proxy ...................................................................................................... 315
Onglet Avancé.......................................................................................................................................... 315
Proxy FTP : Paramètres généraux........................................................................................................... 316
Proxy FTP : Transfert et téléchargement de contenu ..................................................................... 319
Configurer les actions de Gateway AntiVirus .................................................................................... 319
Prévention des intrusions dans les définitions de proxy............................................................... 322
Alarmes de proxy et d’antivirus .............................................................................................................. 323
Terminer et enregistrer la configuration ............................................................................................. 324
À propos du proxy H.323 ............................................................................................................................... 324
Définition des paramètres des actions de proxy H.323 ............................................................ 325
À propos du proxy HTTP ................................................................................................................................ 325
HTTP et WebBlocker............................................................................................................................... 325
Onglet Propriétés.................................................................................................................................... 326
Paramètres des actions de proxy ...................................................................................................... 326
Onglet Avancé.......................................................................................................................................... 327
Requêtes HTTP : Paramètres généraux ................................................................................................ 327
Requêtes HTTP : Méthodes de requête................................................................................................ 328
Requêtes HTTP : Chemins d’URL............................................................................................................. 330
Requêtes HTTP : Autorisation .................................................................................................................. 331
Réponses HTTP : Paramètres généraux................................................................................................ 332
Réponses HTTP : Types de contenus..................................................................................................... 333
Réponses HTTP : Cookies........................................................................................................................... 334
Changer les paramètres des cookies ............................................................................................... 334
Réponses HTTP : Types de contenus du corps .................................................................................. 335
Exceptions de proxy HTTP ........................................................................................................................ 335
Paramètres de proxy ignorés.............................................................................................................. 335
Paramètres de proxy non ignorés..................................................................................................... 335
Définir des exceptions........................................................................................................................... 336
Créer des alarmes ou entrées de journal pour les actions antivirus..................................... 339
Proxy HTTP : Message de refus................................................................................................................ 340
Prévention des intrusions dans les définitions de proxy............................................................... 341
Alarmes de proxy et d’antivirus .............................................................................................................. 342
À propos du Proxy HTTPS .............................................................................................................................. 343
HTTPS et WebBlocker ............................................................................................................................ 343
Onglet Stratégie ...................................................................................................................................... 343
Paramètres des actions de proxy ...................................................................................................... 344
Onglet Avancé.......................................................................................................................................... 344
Proxy HTTPS : Noms de domaine ........................................................................................................... 345
Alarmes de proxy et d’antivirus .............................................................................................................. 346
Onglet Stratégie ...................................................................................................................................... 347
Onglet Propriétés.................................................................................................................................... 347
Onglet Avancé.......................................................................................................................................... 348
xii
WatchGuard System Manager
Proxy POP3 : Paramètres généraux ....................................................................................................... 349
Proxy POP3 : Types de contenus ............................................................................................................ 352
Proxy POP3 : Noms de fichiers................................................................................................................. 354
Proxy POP3 : En-têtes ................................................................................................................................. 355
Configurer les actions de Gateway AntiVirus .................................................................................... 356
Créer des alarmes ou entrées de journal pour les actions antivirus..................................... 358
Proxy POP3 : Message de refus ............................................................................................................... 359
Prévention des intrusions dans les définitions de proxy............................................................... 361
Terminer et enregistrer la configuration ............................................................................................. 363
À propos du Proxy SMTP................................................................................................................................ 365
Onglet Stratégie ...................................................................................................................................... 365
Onglet Propriétés.................................................................................................................................... 365
Paramètres des actions de proxy ...................................................................................................... 366
Onglet Avancé.......................................................................................................................................... 366
Proxy SMTP : paramètres généraux....................................................................................................... 367
Proxy SMTP : règles d’accueil................................................................................................................... 369
Proxy SMTP : paramètres ESMTP ............................................................................................................ 370
Proxy SMTP : Authentification................................................................................................................. 371
Ajouter des types de contenu courants.......................................................................................... 373
Proxy SMTP : noms de fichier................................................................................................................... 373
Proxy SMTP : en-têtes ................................................................................................................................. 375
Configurer les actions de Gateway AntiVirus .................................................................................... 375
Prévention des intrusions dans les définitions de proxy............................................................... 380
Proxy SMTP : spamBlocker........................................................................................................................ 380
Configurer le proxy SMTP pour mettre en quarantaine le courrier ........................................... 381
Terminer et enregistrer la configuration ............................................................................................. 382
À propos du proxy TCP-UDP......................................................................................................................... 382
Onglet Stratégie ...................................................................................................................................... 382
Onglet Propriétés.................................................................................................................................... 382
Paramètres des actions de proxy ...................................................................................................... 383
Onglet Avancé.......................................................................................................................................... 383
Proxy TCP-UDP : paramètres généraux................................................................................................ 383
Proxy TCP-UDP : blocage de l’application........................................................................................... 384
Terminer et enregistrer la configuration ............................................................................................. 385
À propos du proxy TFTP ................................................................................................................................. 385
Onglet Stratégie ...................................................................................................................................... 386
Onglet Propriétés.................................................................................................................................... 386
Paramètres des actions de proxy ...................................................................................................... 386
Onglet Avancé.......................................................................................................................................... 386
Proxy TFTP : paramètres généraux ........................................................................................................ 387
Proxy TFTP : transférer et télécharger du contenu .......................................................................... 387
Importer et exporter des actions de proxy définies par l’utilisateur ......................................... 389
Importer et exporter des ensembles de règles ................................................................................. 390
Chapitre 16 Installation et administration de Management Server .................................................... 391
À propos de WatchGuard Management Server .................................................................................... 391
Installer Management Server.............................................................................................................. 391
Mot de passe principal .......................................................................................................................... 392
Mot de passe de gestion des serveurs............................................................................................. 392
Fichiers de mot de passe et de clé .................................................................................................... 392
Configurer Management Server.................................................................................................................. 393
Configurer l’autorité de certification sur Management Server ........................................................ 395
Définir les propriétés de l’autorité de certification ..................................................................... 395
Guide de l’utilisateur
xiii
Définir les propriétés des certificats clients................................................................................... 396
Définir les propriétés de la liste de révocation de certificats .................................................. 396
Envoyer les messages du journal de diagnostic de l’autorité de certification.................. 396
Modifier la configuration de Management Server ............................................................................... 397
Ajouter ou supprimer une licence Management Server .......................................................... 398
Configurer la notification ..................................................................................................................... 398
Contrôler les paramètres de journalisation et de modification de la configuration ...... 398
Définir les comptes d’utilisateurs de Management Server................................................................ 399
Modifier les paramètres de journalisation............................................................................................... 399
Activer ou désactiver la journalisation ............................................................................................ 399
Ajouter des serveurs Log Server ou définir des priorités pour ces serveurs...................... 399
Envoyer les messages à l’Observateur d’événements Windows ........................................... 400
Envoyer les messages vers un fichier............................................................................................... 400
Sauvegarder ou restaurer la configuration de Management Server ............................................. 400
Sauvegarder Management Server en vue du dépannage ....................................................... 400
Déplacer WatchGuard Management Server sur un nouvel ordinateur ........................................ 401
Se connecter à Management Server.......................................................................................................... 401
Déconnexion de Management Server ............................................................................................ 402
Chapitre 17 Rapports WatchGuard ......................................................................................................... 403
À propos de Report Server ............................................................................................................................ 403
Installer Report Server ................................................................................................................................ 403
À propos des mots de passe ............................................................................................................... 403
Installer Report Server ........................................................................................................................... 403
Exécuter l’Assistant d’installation...................................................................................................... 404
Configurer Report Server .......................................................................................................................... 404
Paramètres du serveur .......................................................................................................................... 405
Paramètres du serveur SMTP .............................................................................................................. 406
Paramètres d’expiration ....................................................................................................................... 407
Paramètres de génération de rapports........................................................................................... 408
Paramètres de journalisation.............................................................................................................. 410
Réclamer l’espace libre de la base de données Report Server ............................................... 411
À propos de Report Manager ....................................................................................................................... 412
Barre d’outils de Report Manager .......................................................................................................... 413
Ouvrir Report Manager .............................................................................................................................. 415
Se connecter à un autre Report Server............................................................................................ 415
Liste de rapports prédéfinis ..................................................................................................................... 416
Sélectionner les rapports à générer ...................................................................................................... 418
Paramètres de la boîte de dialogue Créer le rapport................................................................. 418
Sélectionner les paramètres de rapport .............................................................................................. 419
Créer des groupes de périphériques ............................................................................................... 419
Spécifier une plage de dates............................................................................................................... 419
Afficher un rapport...................................................................................................................................... 420
Rechercher un rapport dans la liste.................................................................................................. 420
Rechercher des détails dans un rapport ......................................................................................... 420
Modifier le type de rapport ...................................................................................................................... 420
Envoyer par courrier électronique, imprimer ou enregistrer un rapport ................................ 421
Envoyer un rapport par e-mail ........................................................................................................... 421
Imprimer un rapport .............................................................................................................................. 421
Enregistrer un rapport........................................................................................................................... 421
xiv
WatchGuard System Manager
Chapitre 18 Périphériques et réseaux VPN dans WatchGuard System Manager ................................ 423
Utiliser la fenêtre WatchGuard System Manager .................................................................................. 423
État du périphérique.............................................................................................................................. 423
Gestion des périphériques : navigation générale ....................................................................... 424
Afficher des informations sur les périphériques gérés................................................................... 425
Accéder à la page gestion des périphériques pour un périphérique ....................................... 426
À propos de la préparation des périphériques pour la gestion....................................................... 426
Configurer un périphérique Firebox exécutant Fireware en tant que client géré.................... 427
Préparer un nouveau périphérique Firebox X Edge pour la gestion ........................................ 433
Configurer un périphérique Firebox exécutant Fireware en tant que client géré............... 434
Préparer un périphérique Firebox X Edge installé pour la gestion............................................ 437
Configurer un Firebox SOHO 6 en tant que client géré................................................................. 439
Ajouter des périphériques gérés à Management Server.................................................................... 440
Définir les propriétés de gestion des périphériques............................................................................ 443
Paramètres de connexion .................................................................................................................... 443
Préférences du tunnel IPSec ............................................................................................................... 445
Informations de contact ....................................................................................................................... 446
Supprimer un périphérique ................................................................................................................ 448
Démarrer les outils Firebox et Edge........................................................................................................... 449
Tunnels VPN........................................................................................................................................................ 449
Ajouter une ressource VPN.................................................................................................................. 450
Configurer les paramètres réseau (périphériques Edge uniquement) ......................................... 450
Utiliser la section de stratégie de Firebox X Edge ....................................................................... 450
Chapitre 19 Firebox X Edge - Centralized Management ....................................................................... 451
À propos d’Edge Centralized Management............................................................................................
Planifier les mises à jour du microprogramme
Firebox X Edge...................................................................................................................................................
Afficher et supprimer des mises à jour de microprogramme......................................................
Ajouter une stratégie personnalisée à l’aide de l’Assistant Add Policy wizard .....................
Cloner un modèle de configuration Edge ..........................................................................................
Appliquer les modèles de configuration Edge aux périphériques ............................................
Application du modèle par glisser-déplacer.................................................................................
Application de la stratégie aux périphériques répertoriés dans la liste
de périphériques .....................................................................................................................................
Supprimer un périphérique Edge de la liste de périphériques...................................................
Donner des noms aux alias.......................................................................................................................
Définir des alias sur un périphérique Firebox X Edge.....................................................................
451
452
454
458
459
459
459
460
461
462
464
Chapitre 20 Tunnels BOVPN gérés .......................................................................................................... 467
À propos des tunnels BOVPN gérés ...........................................................................................................
Options de tunnel...................................................................................................................................
Basculement VPN....................................................................................................................................
État du tunnel BOVPN ...........................................................................................................................
Renouveler la clé des tunnels BOVPN..............................................................................................
Ajouter des ressources VPN ..........................................................................................................................
Récupérer les ressources actuelles d’un périphérique..............................................................
Créer une ressource VPN ......................................................................................................................
Ajouter un hôte ou un réseau.............................................................................................................
Ajouter des modèles de sécurité.................................................................................................................
Supprimer un tunnel..............................................................................................................................
Supprimer un périphérique ................................................................................................................
État des tunnels Mobile VPN...............................................................................................................
État des services de sécurité ...............................................................................................................
Guide de l’utilisateur
467
468
468
469
469
469
470
470
471
473
478
478
480
480
xv
Chapitre 21 Tunnels BOVPN manuels ..................................................................................................... 481
À propos des tunnels BOVPN manuels..................................................................................................... 481
Comment créer un tunnel BOVPN manuel.................................................................................... 481
Stratégies de tunnel personnalisées................................................................................................ 481
Tunnels unidirectionnels...................................................................................................................... 482
Basculement VPN.................................................................................................................................... 482
Paramètres VPN globaux...................................................................................................................... 482
État du tunnel BOVPN ........................................................................................................................... 482
Renouveler la clé des tunnels BOVPN.............................................................................................. 482
Modifier et supprimer des passerelles............................................................................................. 485
Définir la méthode d’informations d’identification......................................................................... 485
Si vous avez sélectionné la clé pré-partagée ................................................................................ 485
Si vous avez sélectionné le certificat Firebox IPSec.................................................................... 485
Définir les points de terminaison de passerelle................................................................................ 486
Définir un tunnel .......................................................................................................................................... 492
Modifier et supprimer un tunnel ....................................................................................................... 494
Ajouter une proposition existante.................................................................................................... 499
Créer une proposition ........................................................................................................................... 500
Modifier ou cloner une proposition ................................................................................................. 500
Changer l’ordre des tunnels..................................................................................................................... 501
Définir une stratégie de tunnel personnalisée....................................................................................... 501
Choisissez un nom pour les stratégies ............................................................................................ 501
Sélectionnez le type de stratégie ...................................................................................................... 501
Sélectionnez les tunnels BOVPN........................................................................................................ 501
Créez un alias pour les tunnels........................................................................................................... 501
Fin de l’Assistant BOVPN Policy Wizard........................................................................................... 502
Configurer la traduction d’adresses réseau dynamique pour le trafic sortant via
un tunnel BOVPN .............................................................................................................................................. 502
Forcer le renouvellement de la clé d’un tunnel BOVPN ..................................................................... 506
Pour renouveler une clé pour un tunnel BOVPN, procédez comme suit : ......................... 506
Pour renouveler la clé de tous les tunnels BOVPN, procédez comme suit : ...................... 506
État des services de sécurité ............................................................................................................... 508
Chapitre 22 Certificats et autorité de certification ................................................................................ 509
À propos des certificats ..................................................................................................................................
Autorités de certification et demandes de signatures ..............................................................
Durée de vie des certificats et listes de révocation de certificats (CRL) ..............................
Créer un certificat avec FSM ou Management Server .........................................................................
Créer un certificat à l’aide de FSM.....................................................................................................
Créer un certificat avec CA Manager................................................................................................
Envoyer la demande de certificat......................................................................................................
Délivrer le certificat ................................................................................................................................
Télécharger le certificat ........................................................................................................................
Importer un certificat ......................................................................................................................................
Utiliser des certificats pour l’authentification ........................................................................................
Utiliser des certificats pour l’authentification d’un tunnel Mobile VPN with IPSec .............
Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN....................................
Configurer le certificat de serveur Web pour l’authentification de Firebox...........................
Afficher et gérer les certificats Firebox .....................................................................................................
Consulter les certificats actuels..........................................................................................................
Supprimer un certificat .........................................................................................................................
Importer une liste de révocation de certificats (CRL) à partir d’un fichier..........................
Récupérer la CRL sur un serveur LDAP ............................................................................................
xvi
509
509
509
510
510
512
513
513
513
514
515
515
516
516
518
518
519
519
520
WatchGuard System Manager
Examiner et gérer les certificats Management Serveur ...................................................................... 521
Utiliser l’application Web CA Manager............................................................................................ 521
Gérer des certificats à l’aide de WSM ............................................................................................... 522
Chapitre 23 Mobile VPN with PPTP ......................................................................................................... 523
À propos de Mobile VPN with PPTP ........................................................................................................... 523
Spécifications du client................................................................................................................................... 524
Niveaux de chiffrement ........................................................................................................................ 525
Configurer des serveurs WINS et DNS....................................................................................................... 526
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN ............................................ 527
VPN de l’itinéraire par défaut.............................................................................................................. 527
VPN avec tunneling fractionné .......................................................................................................... 527
Configuration d’un client VPN de l’itinéraire par défaut (Mobile VPN with
PPTP uniquement).................................................................................................................................. 527
Activer Mobile VPN with PPTP ..................................................................................................................... 529
Activer l’authentification RADIUS ou VASCO................................................................................ 530
Définir le chiffrement pour les tunnels PPTP ................................................................................ 530
Définir les paramètres de délai pour les tunnels PPTP .............................................................. 530
Ajouter des adresses IP pour des sessions Mobile VPN ...................................................................... 531
Ajouter de nouveaux utilisateurs au groupe d’authentification PPTP_Users............................. 532
Configurer des stratégies pour autoriser le trafic Mobile VPN ............................................... 533
Préparer les ordinateurs clients................................................................................................................... 534
Préparer un ordinateur client Windows NT ou 2000 : installer l’Accès réseau à distance de
Microsoft et les Service Packs ............................................................................................................. 534
Créer une connexion PPTP .................................................................................................................. 535
Établir la connexion PPTP..................................................................................................................... 535
Créer le Mobile VPN PPTP .................................................................................................................... 536
Se connecter avec Mobile VPN PPTP ............................................................................................... 536
Créer le Mobile VPN PPTP .................................................................................................................... 537
Se connecter avec Mobile VPN PPTP ............................................................................................... 537
Chapitre 24 Mobile VPN with IPSec ......................................................................................................... 539
Configuration de Mobile VPN with IPSec pour Firebox...................................................................... 539
Configurer une connexion Mobile VPN with IPSec ......................................................................... 539
Spécifications du client......................................................................................................................... 540
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN........................................ 540
VPN de l’itinéraire par défaut.............................................................................................................. 540
VPN avec tunneling fractionné .......................................................................................................... 540
Configuration d’un client VPN de l’itinéraire par défaut (Mobile VPN with
PPTP uniquement).................................................................................................................................. 541
À propos des fichiers de configuration du client Mobile VPN..................................................... 541
Configurer le serveur d’authentification ........................................................................................ 546
Options ....................................................................................................................................................... 555
Définir des paramètres de phase 2 avancés.................................................................................. 556
Router l’accès à Internet par le biais de tunnels Mobile VPN.................................................. 557
Verrouiller le profil d’un utilisateur final .............................................................................................. 559
Configurer des stratégies pour filtrer le trafic Mobile VPN ........................................................... 559
Ajouter des stratégies individuelles ................................................................................................. 560
Modifier l’affichage................................................................................................................................. 560
Utiliser la stratégie Tout........................................................................................................................ 560
Recréation des profils d’utilisateurs finaux......................................................................................... 561
Enregistrer le profil dans Firebox ........................................................................................................... 561
Distribuer les logiciels et les profils ....................................................................................................... 561
Rubriques supplémentaires sur Mobile VPN ..................................................................................... 562
Guide de l’utilisateur
xvii
Établir des connexions IPSec sortantes derrière un système Firebox.................................. 562
Mettre fin aux connexions IPSec ....................................................................................................... 562
Paramètres VPN globaux...................................................................................................................... 562
Afficher le nombre de licences Mobile VPN .................................................................................. 562
Acheter des licences Mobile VPN supplémentaires ................................................................... 562
Ajouter des clés de fonctionnalité .................................................................................................... 562
Configurations logicielles requises pour le client ...................................................................... 564
Importer le profil d’utilisateur final................................................................................................... 565
Sélectionner un certificat et entrer le PIN ...................................................................................... 566
Désinstaller le client Mobile VPN....................................................................................................... 566
Connecter et déconnecter le client Mobile VPN............................................................................... 567
Déconnecter le client Mobile VPN .................................................................................................... 567
Contrôler le comportement de connexion.................................................................................... 568
Icône du client Mobile User VPN ....................................................................................................... 569
Afficher les messages du journal Mobile VPN ................................................................................... 569
Sécuriser votre ordinateur à l’aide du pare-feu Mobile VPN ........................................................ 569
À propos du pare-feu de bureau ....................................................................................................... 570
Activer le pare-feu de bureau............................................................................................................. 571
Définir des réseaux connus ................................................................................................................. 572
Créer des règles de pare-feu ............................................................................................................... 572
Onglet Général......................................................................................................................................... 573
Onglet Local.............................................................................................................................................. 574
Onglet Applications ............................................................................................................................... 576
Chapitre 25 Mobile VPN with SSL ............................................................................................................ 577
À propos de Mobile VPN with SSL .............................................................................................................. 577
Avant de commencer ............................................................................................................................ 577
Étapes nécessaires à la configuration des tunnels...................................................................... 577
Options des tunnels Mobile VPN with SSL..................................................................................... 577
Spécifications du client.............................................................................................................................. 578
Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN........................................ 578
VPN de l’itinéraire par défaut.............................................................................................................. 578
VPN avec tunneling fractionné .......................................................................................................... 578
Configuration d’un client VPN de l’itinéraire par défaut (Mobile VPN with
PPTP uniquement).................................................................................................................................. 579
Configurer Firebox pour Mobile VPN with SSL ...................................................................................... 580
Définir des paramètres avancés pour Mobile VPN with SSL ........................................................ 582
Ajouter des utilisateurs distants aux groupes d’authentification .............................................. 584
Si vous utilisez Firebox en tant que serveur d’authentification ............................................. 584
Si vous utilisez un serveur d’authentification tierce................................................................... 584
Distribuer le logiciel client ........................................................................................................................ 584
Télécharger le logiciel client .................................................................................................................... 585
Windows Vista et Windows XP........................................................................................................... 586
Mac OS X .................................................................................................................................................... 586
Windows Vista et Windows XP........................................................................................................... 587
Mac OS X .................................................................................................................................................... 587
Contrôles du client Mobile VPN with SSL....................................................................................... 588
Désinstaller le client Mobile VPN with SSL..................................................................................... 588
Client Mobile VPN with SSL pour Windows Vista et Windows XP......................................... 588
Client Mobile VPN with SSL pour Mac OS X................................................................................... 588
xviii
WatchGuard System Manager
Chapitre 26 WebBlocker .......................................................................................................................... 589
À propos de WebBlocker ............................................................................................................................... 589
Télécharger la base de données WebBlocker.................................................................................... 590
Automatiser les téléchargements de la base de données WebBlocker .............................. 591
Exécuter l’Assistant Activate WebBlocker Wizard ............................................................................ 591
Identifier les serveurs WebBlocker Server...................................................................................... 592
Sélectionner des catégories à bloquer............................................................................................ 592
Utiliser des règles d’exception pour limiter l’accès à des sites Web..................................... 592
À propos des catégories WebBlocker .............................................................................................. 592
Configurer WebBlocker .................................................................................................................................. 593
Ajouter un serveur .................................................................................................................................. 595
Modifier l’ordre des serveurs .............................................................................................................. 595
Modifier les catégories à bloquer........................................................................................................... 595
Envoyer une alarme lorsqu’un site est refusé............................................................................... 595
Consigner les actions de WebBlocker.............................................................................................. 596
Définir des options WebBlocker avancées.......................................................................................... 597
Taille du cache.......................................................................................................................................... 597
Définir des alarmes WebBlocker............................................................................................................. 598
À propos de l’autorisation des sites à contourner WebBlocker....................................................... 599
Définir l’action à entreprendre pour les sites qui ne correspondent pas
aux exceptions ......................................................................................................................................... 599
Composants des règles d’exception ................................................................................................ 599
Exceptions avec une partie d’une URL ............................................................................................ 600
Ajouter des exceptions .............................................................................................................................. 600
Modifier l’ordre des règles d’exception ............................................................................................... 602
Importer ou exporter des règles d’exception.................................................................................... 603
Écrire des ensembles de règles dans un fichier ASCII................................................................ 603
Exporter des règles vers un fichier ASCII ........................................................................................ 604
Utiliser des actions WebBlocker dans des définitions de proxy ...................................................... 605
Définir des actions WebBlocker supplémentaires ...................................................................... 605
Ajouter des actions WebBlocker à une stratégie......................................................................... 605
Planifier les actions WebBlocker........................................................................................................ 606
Chapitre 27 spamBlocker ......................................................................................................................... 607
À propos de spamBlocker..............................................................................................................................
Actions, indicateurs et catégories de spamBlocker.........................................................................
Catégories spamBlocker.......................................................................................................................
Appliquer les paramètres spamBlocker à vos stratégies ..........................................................
À propos de l’utilisation de spamBlocker avec plusieurs proxies...............................................
Configurer spamBlocker.................................................................................................................................
À propos des exceptions spamBlocker ................................................................................................
Ajouter des règles d’exception spamBlocker ...............................................................................
Modifier l’ordre des exceptions .........................................................................................................
Rédiger des ensembles de règles dans un fichier ASCII............................................................
Exporter des règles dans un fichier ASCII.......................................................................................
Consigner les exceptions .....................................................................................................................
Configurer spamBlocker pour mettre en quarantaine le courrier .............................................
Définir les paramètres globaux de spamBlocker ..................................................................................
Utiliser un serveur proxy HTTP pour spamBlocker ..........................................................................
Activer VOD (Virus Outbreak Detection) et définir ses paramètres...........................................
Guide de l’utilisateur
607
608
609
610
611
612
614
615
615
616
617
617
618
619
620
621
xix
Créer des règles pour votre lecteur de messagerie électronique ...................................................
Envoyer le courrier indésirable et les e-mails en masse dans des dossiers
Outlook spécifiques ....................................................................................................................................
Signaler les faux positifs et les faux négatifs...........................................................................................
Statistiques de spamBlocker.........................................................................................................................
622
622
623
623
Chapitre 28 Quarantine Server ................................................................................................................ 625
À propos de Quarantine Server ................................................................................................................... 625
Démarrer Quarantine Server ........................................................................................................................ 626
Installer les composants serveur ............................................................................................................ 626
Exécuter l’Assistant Setup Wizard.......................................................................................................... 626
Si vous avez déjà configuré un serveur........................................................................................... 626
Définir l’emplacement du serveur ......................................................................................................... 627
Configurer Quarantine Server...................................................................................................................... 628
Définir les paramètres de serveur généraux ...................................................................................... 628
Modifier les paramètres d’expiration et les domaines d’utilisateurs ........................................ 630
Modifier les paramètres de notification............................................................................................... 631
Modifier les paramètres de journalisation .......................................................................................... 633
Activer ou désactiver la journalisation ............................................................................................ 633
Ajouter des serveurs Log Server ou définir des priorités pour ces serveurs...................... 633
Envoyer les messages à l’Observateur d’événements Windows ........................................... 633
Envoyer les messages vers un fichier............................................................................................... 633
Modifier les règles de Quarantine Server ............................................................................................ 634
Ouvrir la boîte de dialogue des messages ..................................................................................... 636
Définir les options d’affichage............................................................................................................ 637
Enregistrer les messages ou les envoyer dans la boîte de réception d’un utilisateur ... 637
Supprimer des messages manuellement....................................................................................... 637
Ajouter des utilisateurs ......................................................................................................................... 640
Supprimer des utilisateurs................................................................................................................... 640
Modifier l’option de notification pour un utilisateur ................................................................. 640
Obtenir des statistiques sur l’activité de Quarantine Server............................................................. 641
Afficher les statistiques pour des dates spécifiques................................................................... 641
Afficher des types de messages spécifiques ................................................................................. 641
Grouper les statistiques par mois, semaine ou jour ................................................................... 641
Exporter et imprimer les statistiques ............................................................................................... 641
Chapitre 29 Services de sécurité basée sur signature ........................................................................... 643
À propos de Gateway AntiVirus et Intrusion Prevention ................................................................... 643
Installer et mettre à niveau Gateway AV/IPS................................................................................. 644
À propos de Gateway AntiVirus/Intrusion Prevention et des stratégies de proxies ...... 644
Activer Gateway AV à l’aide d’un Assistant......................................................................................... 645
Appliquer les paramètres Gateway AntiVirus à vos stratégies............................................... 646
Activer Gateway AV à partir des définitions de proxy .................................................................... 648
Configurer les actions de Gateway AntiVirus ......................................................................................... 649
Créer des alarmes ou entrées de journal pour les actions antivirus..................................... 652
Déverrouiller un fichier verrouillé par Gateway AntiVirus ............................................................ 652
Configurer Gateway AntiVirus pour mettre en quarantaine le courrier .................................. 653
Sélectionner les stratégies de proxy à activer .............................................................................. 655
Définir les paramètres d’Intrusion Prevention Service (IPS) ......................................................... 658
Configurer les exceptions de signatures ............................................................................................. 659
Copier les paramètres d’IPS vers d’autres stratégies ...................................................................... 659
Activer et configurer Intrusion Prevention Service pour TCP-UDP ................................................ 660
Mettre à jour Gateway AntiVirus/IPS et afficher l’état ......................................................................... 660
Configurer le serveur de mise à jour Gateway AV/IPS.................................................................... 662
xx
WatchGuard System Manager
Se connecter au serveur de mise à jour via un serveur proxy HTTP .....................................
Afficher l’état des services....................................................................................................................
Afficher l’historique des mises à jour ...............................................................................................
Mettre à jour les services manuellement .......................................................................................
663
664
665
665
Chapitre 30 Routage dynamique ............................................................................................................ 667
À propos du routage dynamique ...............................................................................................................
À propos du protocole RIP (Routing Information Protocol)..............................................................
Commandes RIP Version 1........................................................................................................................
Configurer Fireware ou Fireware Pro pour utiliser le protocole RIP v1 ....................................
Autoriser le trafic RIP v1 via Firebox......................................................................................................
Configurer Fireware pour utiliser le protocole RIP v2.....................................................................
Autoriser le trafic RIP v2 via Firebox......................................................................................................
Commandes OSPF .......................................................................................................................................
Configurer Fireware Pro pour utiliser le protocole OSPF ..............................................................
Autoriser le trafic OSPF via Firebox .......................................................................................................
À propos du protocole BGP (Border Gateway Protocol) ....................................................................
Commandes BGP .........................................................................................................................................
Configurer Fireware Pro pour utiliser le protocole BGP.................................................................
Autoriser le trafic BGP via Firebox..........................................................................................................
667
668
669
671
672
673
674
675
679
680
680
681
683
684
Chapitre 31 Gestion du trafic et QoS ....................................................................................................... 685
À propos de la gestion du trafic et de QoS..............................................................................................
Limiter la bande passante....................................................................................................................
Marquage QoS .........................................................................................................................................
Priorité du trafic .......................................................................................................................................
Définir la bande passante de l’interface en sortie.................................................................................
Définir une action de gestion de trafic .....................................................................................................
Appliquer une action de gestion de trafic à une stratégie ...........................................................
Utiliser les actions de gestion de trafic dans un environnement à
plusieurs réseaux WAN .........................................................................................................................
Définir une priorité de trafic dans une stratégie ..............................................................................
Définir des limites de connexion et des limites de bande passante..............................................
À propos du marquage QoS .........................................................................................................................
Marquage QoS par interface et par stratégie ....................................................................................
Activer le marquage QoS pour une interface ....................................................................................
Activer le marquage QoS pour une stratégie ....................................................................................
Marquage QoS et trafic IPSec ..................................................................................................................
685
686
686
686
687
688
689
690
690
691
692
692
694
695
696
Chapitre 32 High Availability .................................................................................................................. 697
À propos de WatchGuard High Availability ............................................................................................ 697
Conditions et restrictions liées à High Availability...................................................................... 698
À propos d’High Availability et des sessions de proxy .............................................................. 698
À propos d’High Availability et de l’équilibrage de charge côté serveur ........................... 698
État High Availability (haute disponibilité).................................................................................... 698
Configurer High Availability ......................................................................................................................... 699
Définir les interfaces HA........................................................................................................................ 700
Sélectionner les interfaces à contrôler ............................................................................................ 700
Définir une notification......................................................................................................................... 700
Définir les paramètres de chiffrement et d’ID de groupe HA ................................................. 700
Fin de la configuration .......................................................................................................................... 700
Installer le matériel HA .......................................................................................................................... 701
Synchroniser la configuration ............................................................................................................ 701
Guide de l’utilisateur
xxi
Créer une image de sauvegarde d’un Firebox dans une paire HA ................................................. 701
Contrôler manuellement High Availability ............................................................................................. 702
Mettre à niveau le logiciel dans une configuration HA....................................................................... 703
Chapitre 33 Emplacement des fichiers WatchGuard ............................................................................. 705
Emplacements des fichiers de WatchGuard System Manager......................................................... 705
Emplacements des fichiers créés par l’utilisateur ................................................................................. 706
Policy Manager pour le logiciel système WFS .............................................................................. 707
Gestion du disque flash pour le logiciel système WFS .............................................................. 707
Report Manager....................................................................................................................................... 708
LogViewer.................................................................................................................................................. 708
xxii
WatchGuard System Manager
1
Introduction aux réseaux et
à la sécurité des réseaux
À propos des réseaux et de leur sécurité
Un réseau est un groupe d’ordinateurs et de périphériques connectés les uns aux autres. Il peut s’agir de deux
ordinateurs connectés par un câble série ou de nombreux ordinateurs aux quatre coins du monde connectés
entre eux via Internet. Les ordinateurs faisant partie du même réseau peuvent fonctionner ensemble et
partager des données.
Internet vous donne accès à un large éventail d’informations et d’opportunités commerciales, mais il rend
votre réseau accessible aux personnes malveillantes. Une stratégie de sécurité du réseau efficace vous permet
de détecter et d’empêcher les attaques contre votre ordinateur ou réseau.
Les attaques sont coûteuses. Les ordinateurs peuvent nécessiter des réparations ou un remplacement. Les
ressources et le temps des employés sont consacrés à la résolution de problèmes résultant des attaques. Des
informations précieuses peuvent être subtilisées sur le réseau.
Beaucoup de gens pensent que leur ordinateur ne détient pas d’informations cruciales. Ils ne réalisent pas que
leur ordinateur est une cible pour un pirate informatique. La réalité en est tout autrement. Un pirate
informatique peut utiliser votre ordinateur en tant que plate-forme d’attaque contre d’autres ordinateurs ou
réseaux, ou utiliser vos informations de compte pour envoyer du courrier indésirable, ou des attaques. Vos
informations personnelles et de compte sont également vulnérables et précieuses pour les pirates
informatiques.
Guide de l’utilisateur
1
Introduction aux réseaux et à la sécurité des réseaux
À propos des adresses IP
Pour envoyer un courrier normal à quelqu’un, vous devez connaître son adresse postale. Pour qu’un
ordinateur puisse envoyer des données à un autre ordinateur via Internet, le premier ordinateur doit connaître
l’adresse du deuxième. L’adresse d’un ordinateur est appelée adresse IP (Internet Protocol). Tous les
périphériques sur Internet ont une adresse IP unique, qui permet aux autres périphériques également
sur Internet de les trouver et d’interagir avec eux.
Une adresse IP se compose de quatre octets (séquences binaires de 8 bits) au format décimal et séparés par
des points. Chaque nombre entre les points doit être compris dans la plage 0-255. Voici des exemples
d’adresses IP :
ƒ
ƒ
ƒ
206.253.208.100 = WatchGuard.com
4.2.2.2 = serveur DNS principal
10.0.4.1 = IP privée
Adresses et passerelles privées
De nombreuses sociétés créent des réseaux privés dotés de leur propre espace d’adresses. Les adresses en
10.x.x.x et 192.168.x.x sont réservées aux adresses IP privées. Les ordinateurs sur Internet ne peuvent pas
utiliser ces adresses. Si votre ordinateur est sur un réseau privé, vous vous connectez à Internet via un
périphérique de passerelle doté d’une adresse IP publique.
La passerelle par défaut correspond généralement au routeur situé entre votre réseau et Internet. Après
l’installation de Firebox sur votre réseau, il devient la passerelle par défaut de tous les ordinateurs connectés
à ses interfaces approuvées ou facultatives.
À propos des masques de sous-réseau
Dans un souci de sécurité et de performance, les réseaux sont souvent divisés en parties plus petites appelées
sous-réseaux. Tous les périphériques d’un sous-réseau ont des adresses IP similaires. Par exemple, tous les
périphériques ayant des adresses IP dont les trois premiers octets sont 50.50.50 appartiennent au même sousréseau.
Le masque de sous-réseau de l’adresse IP d’un réseau, ou masque réseau, est une chaîne de bits qui masque
des sections de l’adresse IP pour indiquer combien d’adresses sont disponibles et combien sont déjà utilisées.
Par exemple, un masque de sous-réseau du réseau étendu pourrait ressembler à ceci : 255.255.0.0. Chaque
zéro indique qu’une plage des adresses IP de 1 à 255 est disponible. Chaque décimale de 255 correspond à
une plage d’adresses IP déjà utilisée. Dans un réseau avec un masque de sous réseau de 255.255.0.0, 65 025
adresses IP sont disponibles. Le masque de sous-réseau d’un réseau plus petit est 255.255.255.0. Seules
254 adresses IP sont disponibles.
2
WatchGuard System Manager
Introduction aux réseaux et à la sécurité des réseaux
À propos de la notation de barre oblique
Firebox utilise les barres obliques à de nombreuses fins, y compris la configuration de stratégies. Les barres
obliques permettent d’afficher de manière compacte le masque de sous-réseau d’un réseau. Pour utiliser des
barres obliques dans un masque de sous-réseau :
1. Premièrement, recherchez la représentation binaire du masque de sous-réseau.
Par exemple, la représentation binaire de 255.255.255.0 est 11111111.11111111.11111111.00000000.
2. Comptez tous les « 1 » du masque de sous-réseau.
Cet exemple comporte vingt-quatre « 1 ».
3. Ajoutez le nombre de l’étape deux à l’adresse IP, séparé par une barre oblique (/).
L’adresse IP 192.168.42.23/24 équivaut à une adresse IP de 192.168.42.23 avec un masque de réseau de
255.255.255.0.
Ce tableau affiche les masques de réseau courants et leurs équivalents avec des barres obliques.
Masque de réseau
Équivalent avec des barres obliques
255.0.0.0
/8
255.255.0.0
/16
255.255.255.0
/24
255.255.255.128
/25
255.255.255.192
/26
255.255.255.224
/27
255.255.255.240
/28
255.255.255.248
/29
255.255.255.252
/30
À propos de la saisie des adresses IP
Lorsque vous entrez des adresses IP dans l’Assistant Quick Setup Wizard ou dans les boîtes de dialogue
du logiciel de gestion Firebox, entrez les chiffres et les points dans le bon ordre. N’utilisez pas la touche
TABULATION, les touches de direction, la barre d’espacement ou la souris pour placer votre curseur après
les points.
Si, par exemple, vous entrez l’adresse IP 172.16.1.10, n’entrez pas d’espace après « 16 ». N’essayez pas de placer
votre curseur après le point suivant pour entrer « 1 ». Entrez un point directement après « 16 », puis entrez
« 1.10 ». Appuyez sur la touche barre oblique (/) pour passer au masque réseau.
Adresses IP statiques et dynamiques
Les fournisseurs de services Internet attribuent une adresse IP à chaque périphérique de leur réseau. Cette
adresse IP peut être statique ou dynamique.
Une adresse IP statique est une adresse IP qui reste toujours la même. Si votre serveur Web, votre serveur FTP
ou une autre ressource Internet doit avoir une adresse qui ne peut pas changer, votre fournisseur de services
Internet peut vous fournir une adresse IP statique. Une adresse IP statique est généralement plus chère qu’une
adresse IP dynamique et certains fournisseurs de services Internet ne fournissent pas d’adresse IP statique.
Vous devez configurer une adresse IP statique manuellement.
Une adresse IP dynamique est une adresse IP que le fournisseur de services Internet vous permet d’utiliser de
façon temporaire. Si une adresse dynamique n’est pas utilisée, elle peut être attribuée automatiquement à un
autre périphérique. Les adresses IP dynamiques sont attribuées à l’aide de DHCP ou de PPPoE.
Guide de l’utilisateur
3
Introduction aux réseaux et à la sécurité des réseaux
À propos de DHCP
DHCP (Dynamic Host Configuration Protocol) est un protocole Internet que les ordinateurs d’un réseau
utilisent pour obtenir des adresses IP et d’autres informations telles que la passerelle par défaut. Lorsque vous
vous connectez à Internet, un ordinateur configuré comme serveur DHCP chez le fournisseur de services
Internet vous attribue automatiquement une adresse IP. Il peut s’agir de l’adresse IP que vous aviez avant ou
d’une nouvelle. Lorsque vous fermez une connexion Internet qui utilise une adresse IP dynamique, le
fournisseur de services Internet peut attribuer cette adresse IP à un autre client.
Vous pouvez configurer Firebox en tant que serveur DHCP pour des réseaux derrière Firebox. Vous pouvez
attribuer une plage d’adresses dans laquelle le serveur DHCP peut en choisir une.
À propos de PPPoE
Certains fournisseurs de services Internet attribuent leurs adresses IP via PPPoE (Point-to-Point Protocol
over Ethernet). PPPoE développe une connexion d’accès à distance standard pour ajouter certaines des
fonctionnalités d’Ethernet et PPP. Ce protocole réseau permet au fournisseur de services Internet d’utiliser les
systèmes de facturation, d’authentification et de sécurité de leur infrastructure distante avec des produits de
type modem DSL et modem câble.
À propos du DNS (Domain Name Service)
Si vous ne connaissez pas l’adresse de quelqu’un, vous pouvez généralement la trouver dans un annuaire
téléphonique. Sur Internet, l’équivalent d’un annuaire téléphonique est le DNS (Domain Name Service).
Chaque site Web a un nom de domaine (tel que « monsite.com ») qui correspond à une adresse IP. Lorsque
vous entrez un nom de domaine pour afficher un site Web, votre ordinateur obtient l’adresse IP à partir d’un
serveur DNS.
Une URL (Uniform Resource Locator) inclut un nom de domaine et un protocole. Exemple d’URL :
http://www.watchguard.com/.
En bref, le DNS correspond au système qui traduit les noms de domaine Internet en adresses IP. Un serveur
DNS est un serveur qui effectue cette traduction.
4
WatchGuard System Manager
Introduction aux réseaux et à la sécurité des réseaux
À propos des services et des stratégies
Vous utilisez un service pour envoyer différents types de données (notamment des e-mails, des fichiers ou des
commandes) d’un ordinateur à l’autre, au sein du réseau ou vers un autre réseau. Ces services utilisent des
protocoles. Les services Internet fréquemment utilisés sont les suivants :
ƒ
ƒ
ƒ
ƒ
ƒ
l’accès World Wide Web utilise le protocole HTTP (Hypertext Transfer Protocol) ;
l’e-mail utilise le protocole SMTP (Simple Mail Transfer Protocol) ou POP3 (Post Office Protocol) ;
le transfert de fichiers utilise le protocole FTP (File Transfer Protocol) ;
la conversion d’un nom de domaine en adresse Internet utilise le service DNS (Domain Name Service) ;
l’accès à un terminal distant utilise Telnet ou SSH (Secure Shell).
Lorsque vous autorisez ou refusez un service, vous devez ajouter une stratégie à votre configuration Firebox.
Chaque stratégie ajoutée peut également engendrer un risque de sécurité. Pour envoyer et recevoir des
données, vous devez « ouvrir une porte » dans votre ordinateur, ce qui expose votre réseau à des risques.
Il est conseillé d’ajouter uniquement des stratégies indispensables à votre société.
À propos des ports
En général, un port est un point de connexion qui, par le biais d’un connecteur et de câbles, permet de
connecter des périphériques. Les ordinateurs disposent également de ports qui ne sont pas des
emplacements physiques. Ces ports permettent aux programmes de transmettre des données.
Certains protocoles, tels que HTTP, comportent des ports avec des numéros attribués. Par exemple, bon
nombre d’ordinateurs transmettent les e-mails via le port 110 car le protocole POP3 est attribué au port 110.
D’autres programmes reçoivent un numéro de port dynamique à chaque connexion. L’IANA (Internet
Assigned Numbers Authority) détient une liste des ports connus. Vous pouvez consulter cette liste à l’adresse
suivante : http://www.iana.org/assignments/port-numbers.
La plupart des stratégies se voient attribuer un numéro de port compris entre 0 et 1 024, mais la plage de
numéros de port peut aller de 0 à 65 535.
Guide de l’utilisateur
5
Introduction aux réseaux et à la sécurité des réseaux
6
WatchGuard System Manager
2
Introduction à WatchGuard
System Manager (WSM) et
à Fireware
Introduction à WatchGuard System Manager
WatchGuard System Manager offre une méthode simple et efficace pour gérer et protéger votre réseau.
À l’aide d’un ordinateur utilisé comme station de gestion, vous pouvez afficher, gérer et contrôler chaque
périphérique Firebox de votre réseau.
Les composants de base de WatchGuard System Manager sont la fenêtre WatchGuard System Manager et les
cinq composants du serveur WSM. WatchGuard System Manager fournit également un accès à d’autres outils
WatchGuard, y compris Policy Manager et Firebox System Manager. Le schéma ci-après représente les
composants de WatchGuard System Manager. Il indique comment vous pouvez y accéder et les consulter.
Guide de l’utilisateur
7
Introduction à WatchGuard System Manager (WSM) et à Fireware
Outils WatchGuard System Manager
Lorsque vous achetez WatchGuard Firebox X Core ou Peak, vous bénéficiez d’une suite complète d’outils
d’analyse et de gestion.
WatchGuard System Manager
WatchGuard System Manager (WSM) est votre principale application de connexion et de gestion des
périphériques Firebox, et des serveurs WatchGuard Management Server. WSM prend en charge des
environnements mixtes. Vous pouvez gérer divers périphériques Firebox qui utilisent des versions
différentes du logiciel. Pour plus d’informations sur WSM, voir Utiliser la fenêtre WatchGuard System
Manager.
Vous pouvez également gérer les périphériques Firebox X Edge. (Edge doit être configuré pour la
fonction Centralized Management si vous voulez utiliser WSM pour le gérer et modifier sa stratégie
de sécurité.)
Policy Manager
Policy Manager est l’interface utilisateur des tâches de configuration du pare-feu. Policy Manager
comprend un jeu complet de proxies et de filtres de paquets prédéfinis. Vous pouvez également
créer un filtre de paquets personnalisé dans lequel vous définissez les ports, les protocoles et d’autres
paramètres. Les autres fonctionnalités de Policy Manager vous permettent d’arrêter des attaques
SYN Flood, les attaques d’usurpation et les exploration de l’espace d’adresses. Pour plus
d’informations, voir À propos de Policy Manager.
Firebox System Manager
Firebox System Manager vous offre une interface pour analyser tous les composants de Firebox. Dans
Firebox System Manager, vous pouvez afficher l’état en temps réel de Firebox et de sa configuration.
Pour plus d’informations, voir À propos de Firebox System Manager (FSM).
8
WatchGuard System Manager
Introduction à WatchGuard System Manager (WSM) et à Fireware
À propos des serveurs WatchGuard
La barre d’outils WatchGuard permet de démarrer, d’arrêter et de configurer les cinq types de logiciels serveur
WatchGuard :
ƒ
ƒ
ƒ
ƒ
ƒ
Log Server
Management Server
Quarantine Server
Report Server
WebBlocker Server
La barre d’outils WatchGuard est l’une des barres d’état système Windows, située dans l’angle inférieur droit
de l’écran de votre ordinateur. (Si vous n’avez installé aucun logiciel serveur WatchGuard sur votre station de
gestion, cette barre ne s’affiche pas.)
Vous pouvez utiliser les icônes de la barre d’outils (de gauche à droite) pour démarrer, configurer et gérer ces
serveurs.
Log Server
Le serveur Log Server collecte les messages des journaux de chaque système WatchGuard Firebox.
Les messages des journaux sont chiffrés lorsqu’ils sont envoyés au serveur Log Server. Le format d’un
message du journal est XML (texte brut). Les informations collectées sur les périphériques de parefeu comprennent les messages des journaux de trafic, les messages des journaux d’événements, les
alarmes et les messages de diagnostic.
Pour plus d’informations sur les serveurs Log Server, voir Configurer Log Server.
Management Server
Le serveur Management Server fonctionne sous Windows. À l’aide de ce serveur, vous pouvez gérer
tous les périphériques de pare-feu et créer des tunnels de réseau privé virtuel (VPN) en utilisant une
simple fonction glisser-déplacer. Les fonctions de base de Management Server sont les suivantes :
o autorité de certification de distribution de certificats pour les tunnels de sécurité de protocole
Internet (IPSec, Internet Protocol Security) ;
o gestion centralisée des configurations de tunnel VPN ;
o gestion centralisée de plusieurs périphériques Firebox et Firebox X Edge.
Pour plus d’informations sur Management Server, voir À propos de WatchGuard Management Server.
Quarantine Server
Le serveur Quarantine Server collecte et isole les e-mails susceptibles d’être du courrier indésirable
à l’aide de spamBlocker. Pour plus d’informations sur Quarantine Server, voir À propos de Quarantine
Server.
Report Server
Le serveur Report Server consolide périodiquement des données collectées par les serveurs Log
Server sur vos périphériques Firebox et génère régulièrement des rapports. Lorsque les données sont
sur le serveur Report Server, vous pouvez les afficher à l’aide de Report Manager. Pour plus
d’informations sur les rapports et Report Server, voir À propos de Report Server. Pour plus
d’informations sur Report Manager, voir À propos de Report Manager.
WebBlocker Server
Le serveur WebBlocker Server utilise le proxy HTTP de Firebox pour refuser l’accès utilisateur à des
catégories spécifiques de sites Web. Au cours de la configuration de Firebox, l’administrateur définit
les catégories de sites Web à autoriser ou à bloquer. Pour plus d’informations sur WebBlocker et le
serveur WebBlocker Server, voir À propos de WebBlocker.
Guide de l’utilisateur
9
Introduction à WatchGuard System Manager (WSM) et à Fireware
À propos de Fireware
WatchGuard Fireware fait partie de la nouvelle génération de logiciels système de sécurité disponibles chez
WatchGuard. Le logiciel système est stocké dans la mémoire de votre pare-feu matériel. Firebox fonctionne
avec le logiciel système et un fichier de configuration.
La stratégie de sécurité de votre organisation est un ensemble de règles définissant la protection de votre
réseau informatique et les informations circulant dans ce réseau. Le logiciel système Fireware offre des
fonctionnalités avancées pour gérer les stratégies de sécurité des réseaux les plus complexes.
Fireware et Fireware Pro
Deux versions de Fireware sont disponibles pour les clients de WatchGuard :
ƒ
ƒ
Fireware - Il s’agit du logiciel système par défaut des périphériques Firebox X Core e-Series. Ce logiciel
système nouvelle génération permet à WatchGuard d’augmenter le nombre de fonctionnalités
disponibles pour les clients de Firebox X.
Fireware Pro - Il s’agit du logiciel système par défaut des appareils Firebox X Peak e-Series. Il permet
aux clients disposant de réseaux complexes de mieux protéger leurs réseaux. Une version mise à jour
de Fireware Pro est disponible pour les périphériques antérieurs à Firebox X Core. Les fonctionnalités
suivantes sont disponibles uniquement avec Fireware Pro :
o High Availability
o Gestion du trafic/Qualité du service (QoS)
o VLAN
o Route dynamique
o Route basé sur la stratégie
o Équilibrage de charge côté serveur
o Options de configuration Multi-WAN : tourniquet pondéré et dépassement de capacité
d’interface
À propos de WatchGuard System Manager et WatchGuard
Firebox System
WatchGuard System Manager inclut également les outils système dont vous devez disposer pour configurer
et gérer un périphérique Firebox X qui utilise le logiciel système WFS. WFS est le logiciel système par défaut
qui est livré avec les versions antérieures de Firebox X Core et Peak. Pour plus d’informations sur le logiciel
système WFS, voir le Guide de l’utilisateur de WFS.
Une fois que Firebox est intégré à la gestion WSM, le logiciel identifie automatiquement le logiciel système
utilisé par Firebox. Si vous sélectionnez Firebox et cliquez sur une icône de la barre d’outils, il démarre l’outil
de gestion approprié. Ces outils sont les suivants :
ƒ
ƒ
ƒ
Firebox System Manager
Policy Manager
HostWatch
Si, par exemple, vous ajoutez Firebox X700 qui fonctionne avec le logiciel système WFS dans l’onglet
Périphériques de WFS, puis cliquez sur l’icône Policy Manager dans la barre d’outils de WSM, Policy Manager
pour WFS démarre automatiquement. Si vous ajoutez Firebox X700 qui fonctionne avec le logiciel système
Fireware et cliquez sur l’icône Policy Manager, Policy Manager pour Fireware démarre.
10
WatchGuard System Manager
3
Prise en main
Avant de commencer
Avant de commencer le processus d’installation, assurez-vous d’effectuer les tâches décrites ci-dessous.
Dans ces instructions d’installation, nous supposons qu’une interface approuvée, une interface
externe et une interface facultative Firebox sont configurées. Pour configurer des interfaces
supplémentaires sur Firebox, utilisez les outils et procédures de configuration décrits dans les
rubriques relatives à la configuration réseau.
Vérifier les composants de base
Assurez-vous de disposer des éléments suivants :
ƒ
ƒ
ƒ
ƒ
ƒ
Périphérique de sécurité WatchGuard Firebox
Un câble série (bleu)
Un câble Ethernet inverseur (rouge)
Un câble Ethernet droit (vert)
Câble d’alimentation
Obtenir une clé de fonctionnalité Firebox
Lorsque vous mettez en service un nouveau périphérique Firebox, vous devez l’activer sur le site Web
LiveSecurity et obtenir une clé de fonctionnalité. Celle-ci active les fonctionnalités Firebox. Si vous procédez à
l’enregistrement de votre Firebox avant d’utiliser l’Assistant Quick Setup Wizard, vous pouvez coller une copie
de votre clé de fonctionnalité dans l’Assistant. L’Assistant l’applique ensuite à votre Firebox. Si vous ne collez
pas votre clé de fonctionnalité dans l’Assistant, vous pouvez le fermer ; mais tant que vous n’aurez pas ajouté
votre clé de fonctionnalité, une seule connexion à Internet sera autorisée.
Vous recevez une nouvelle clé de fonctionnalité pour tout produit facultatif lors de votre achat. Après
l’enregistrement de votre Firebox ou de toute nouvelle fonctionnalité, vous pouvez synchroniser votre clé de
fonctionnalité Firebox avec celles conservées sur le site LiveSecurity dans votre profil d’enregistrement à tout
moment depuis l’interface utilisateur WSM. Pour plus d’informations sur les clés de fonctionnalité,
voir À propos des clés de fonctionnalité ou Importer une clé de fonctionnalité dans Firebox.
Guide de l’utilisateur
11
Prise en main
Recueillir des adresses réseau
Nous vous conseillons de rédiger deux tableaux lors de la configuration de votre Firebox. Utilisez le premier
tableau pour vos adresses IP réseau avant la mise en service de Firebox.
WatchGuard utilise la notation de barre oblique pour indiquer le masque de sous-réseau. Pour plus
d’informations, voir À propos de la notation de barre oblique. Pour plus d’informations sur les adresses IP,
voir À propos des adresses IP.
Tableau 1 : adresses IP réseau sans Firebox
Réseau étendu (WAN)
_____._____._____._____ / ____
Passerelle par défaut
_____._____._____._____
Réseau local (LAN)
_____._____._____._____ / ____
Réseau secondaire (le cas échéant)
_____._____._____._____ / ____
Serveur(s) public(s) (le cas échéant)
_____._____._____._____
_____._____._____._____
_____._____._____._____
Utilisez le deuxième tableau pour vos adresses IP réseau après la mise en service de Firebox.
Interface externe
Assure la connexion au réseau externe (en général Internet) non approuvé.
Interface approuvée
Assure la connexion au réseau local privé ou au réseau interne que vous voulez protéger.
Interface(s) facultative(s)
Assurent généralement la connexion à la DMZ ou à la zone d’approbation mixte de votre réseau.
Utilisez des interfaces facultatives pour créer des zones sur votre réseau disposant de différents
niveaux d’accès.
Tableau 2 : adresses IP réseau avec Firebox
12
Passerelle par défaut
_____._____._____._____
Interface externe
_____._____._____._____/ ____
Interface approuvée
_____._____._____._____ / ____
Interface facultative
_____._____._____._____ / ____
Réseau secondaire (le cas échéant)
_____._____._____._____ / ____
WatchGuard System Manager
Prise en main
Sélectionner un mode de configuration de pare-feu
Vous devez décider du mode d’installation de Firebox sur votre réseau avant d’installer WatchGuard System
Manager. Le mode d’installation de Firebox détermine la configuration des interfaces. Pour installer Firebox
sur votre réseau, sélectionnez le mode de configuration (routé ou d’insertion) qui correspond aux besoins de
votre réseau actuel.
De nombreux réseaux fonctionnent de manière optimale avec une configuration routée, mais nous
recommandons le mode d’insertion dans les cas suivants :
ƒ
ƒ
Vous avez déjà affecté un grand nombre d’adresses IP statiques et vous ne souhaitez pas modifier votre
configuration réseau.
Vous ne pouvez pas configurer avec des adresses IP privées les ordinateurs sur vos réseaux approuvés
et facultatifs qui ont des adresses IP publiques.
Ce tableau et les descriptions qui suivent illustrent trois conditions qui peuvent vous aider à sélectionner un
mode de configuration de pare-feu.
Configuration routée
Configuration d’insertion
Toutes les interfaces Firebox sont sur différents
réseaux.
Toutes les interfaces Firebox sont sur le même
réseau et ont la même adresse IP.
Les interfaces approuvées et facultatives doivent
être sur différents réseaux. Chaque interface
possède une adresse IP sur son réseau.
Les ordinateurs des interfaces approuvées ou
facultatives peuvent avoir une adresse IP
publique.
Utilisez la traduction d’adresses réseau (NAT)
statique pour mapper les adresses publiques aux
adresses privées derrière les interfaces
approuvées ou facultatives.
Les ordinateurs qui ont un accès public ayant des
adresses IP publiques, aucune traduction NAT
n’est nécessaire.
Pour plus d’informations sur ces deux modes, voir Configuration routée et Configuration d’insertion.
Déterminer l’emplacement d’installation du logiciel serveur
Durant l’installation, vous pouvez installer la station de gestion et les composants serveur WatchGuard System
Manager sur le même ordinateur. Ou vous pouvez utiliser la même procédure d’installation pour installer les
composants Management Server, Log Server, Report Server, WebBlocker Server ou Quarantine Server sur
d’autres ordinateurs afin de distribuer la charge serveur ou de disposer d’une redondance. Management
Server ne fonctionne pas correctement sur un ordinateur sur lequel le logiciel WSM n’est pas installé. Pour
déterminer l’emplacement d’installation du logiciel serveur, vous devez examiner la capacité de votre station
de gestion et sélectionner la méthode d’installation correspondant à vos besoins.
Si vous installez un logiciel serveur sur un ordinateur avec un pare-feu de bureau actif autre que le Pare-feu
Windows, vous devez ouvrir les ports nécessaires à la connexion des serveurs à travers le pare-feu. Les
utilisateurs du Pare-feu Windows n’ont pas besoin de modifier leur configuration de pare-feu de bureau car le
programme d’installation ouvre les ports nécessaires automatiquement. Pour plus d’informations, voir
Installer les serveurs WatchGuard sur des ordinateurs équipés de pare-feu de Bureau.
Vous pouvez maintenant commencer le processus d’installation. La première étape consiste à Configurer la
station de gestion.
Guide de l’utilisateur
13
Prise en main
Configurer la station de gestion
Vous installez le logiciel WatchGuard System Manager (WSM) sur un ordinateur désigné comme station de
gestion. Vous pouvez utiliser des outils sur la station de gestion pour accéder à des informations concernant
Firebox, telles que l’état des connexions et des tunnels, des statistiques sur le trafic et des messages de
journaux.
Désignez un ordinateur Windows sur votre réseau comme station de gestion et installez le logiciel de gestion.
Pour installer le logiciel WatchGuard System Manager, vous devez disposer des privilèges d’administrateur sur
l’ordinateur station de gestion. Après l’installation, vous pouvez opérer avec des privilèges d’utilisateur avec
pouvoir Windows XP ou Windows 2003.
Vous pouvez installer plusieurs versions de WatchGuard System Manager sur la même station de gestion.
Vous pouvez installer une seule version des logiciels serveurs à la fois sur un ordinateur.
Sauvegarder votre configuration précédente
Si vous avez une version antérieure de WatchGuard System Manager, effectuez une sauvegarde de votre
configuration de stratégie de sécurité avant d’installer une nouvelle version. Pour effectuer une sauvegarde
de votre configuration, voir Créer une sauvegarde de l’image Firebox.
Télécharger le logiciel WatchGuard System Manager
Vous pouvez télécharger la version la plus récente du logiciel WatchGuard System Manager à tout moment
à partir du site Web à l’adresse https://www.watchguard.com/archive/softwarecenter.asp. Vous devez ouvrir
une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity. Si vous êtes un nouvel
utilisateur, créez un profil utilisateur et activez votre produit à l’adresse http://www.watchguard.com/activate
avant d’essayer de télécharger le logiciel WSM. Pour plus d’informations, voir Activer le service LiveSecurity.
Si vous installez l’un des serveurs WSM sur un ordinateur doté d’un pare-feu personnel autre que le
Pare-feu Microsoft Windows, vous devez ouvrir certains ports pour que les serveurs puissent se
connecter à travers le pare-feu. Pour autoriser les connexions à WebBlocker Server, ouvrez le port
UDP 5003. Il n’est pas nécessaire de modifier votre configuration si vous utilisez le pare-feu
Microsoft Windows. Pour plus d’informations, voir la rubrique Installer les serveurs WatchGuard sur
des ordinateurs dotés de pare-feu de Bureau.
1. Sur l’ordinateur que vous utiliserez comme station de gestion, téléchargez le logiciel WatchGuard
System Manager (WSM) le plus récent.
Pour plus d’informations sur les niveaux de chiffrement, voir À propos des niveaux de chiffrement
logiciel.
2. Sur le même ordinateur, téléchargez le logiciel système Fireware le plus récent. Assurez-vous
de prendre note du nom et du chemin d’accès des fichiers lorsque vous les enregistrez sur votre
disque dur.
3. Ouvrez le fichier et utilisez les instructions d’installation. Le programme d’installation inclut un écran
sur lequel vous sélectionnez les composants des logiciels ou les mises à niveau à installer. Une autre
licence est nécessaire lorsque vous installez certains composants logiciels.
Si votre station de gestion fonctionne actuellement avec une barre d’outils Windows, vous devrez
peut-être redémarrer la barre d’outils pour afficher les nouveaux composants installés pour
WatchGuard Management System.
14
WatchGuard System Manager
Prise en main
Vous êtes maintenant prêt à exécuter l’Assistant Quick Setup Wizard. Cet Assistant s’exécute à partir du Web
ou en tant qu’application Windows.
ƒ
ƒ
Pour plus d’informations sur la façon d’exécuter l’Assistant à partir du Web, voir Assistant Quick Setup
Wizard Web.
Pour plus d’informations sur la façon d’exécuter l’Assistant en tant qu’application Windows, voir
Assistant Quick Setup Wizard (non-web).
À propos des niveaux de chiffrement logiciel
Le logiciel de station de gestion est disponible en deux niveaux de chiffrement.
De base
Prend en charge le chiffrement 40 bits pour tunnels Mobile VPN with PPTP. Vous ne pouvez pas créer
de tunnel VPN IPSec avec ce niveau de chiffrement.
Renforcé
Prend en charge le chiffrement 40 bits et 128 bits pour Mobile VPN with PPTP. Prend également en
charge le chiffrement DES 56 bits et 168 bits, ainsi que le chiffrement AES 128 bits, 192 bits et 256 bits.
Pour utiliser la mise en réseau privé virtuel avec IPSec, vous devez télécharger le logiciel de chiffrement
renforcé.
Des restrictions d’exportation rigoureuses sont applicables au logiciel de chiffrement renforcé. Il est possible
qu’il ne soit pas disponible au téléchargement dans votre région.
À propos de l’Assistant Quick Setup Wizard
Vous pouvez utiliser l’Assistant Quick Setup Wizard pour créer une configuration de base pour Firebox X.
Firebox utilise ce fichier de configuration de base lors de son premier démarrage. Firebox peut ainsi
fonctionner comme un pare-feu de base. Vous pouvez appliquer cette même procédure chaque fois que vous
souhaitez réinitialiser Firebox avec une nouvelle configuration de base à des fins de récupération ou autre.
Lorsque vous configurez Firebox avec l’Assistant Quick Setup Wizard, vous définissez uniquement les
stratégies de base (trafic sortant TCP et UDP, filtre de paquets FTP, ping et WatchGuard) et les adresses IP des
interfaces. Si vous avez d’autres applications logicielles et davantage de trafic réseau que Firebox doit
inspecter, vous devez :
ƒ
ƒ
ƒ
Configurer les stratégies sur Firebox pour que suffisamment de trafic circule.
Définir les hôtes approuvés et les propriétés pour chaque stratégie.
Trouver un équilibre entre les besoins en sécurité de votre réseau et les besoins de vos utilisateurs en
termes d’accès aux ressources externes.
L’Assistant Quick Setup Wizard s’exécute à partir du Web ou en tant qu’application Windows.
ƒ
ƒ
Pour plus d’informations sur la façon d’exécuter l’Assistant à partir du Web, voir Assistant Quick Setup
Wizard Web.
Pour plus d’informations sur la façon d’exécuter l’Assistant en tant qu’application Windows, voir
Assistant Quick Setup Wizard (non-web).
Guide de l’utilisateur
15
Prise en main
Assistant Quick Setup Wizard Web
Vous pouvez utiliser l’Assistant Quick Setup Wizard Web avec tous les modèles de Firebox X Core ou Peak.
Si vous avez déjà configuré un périphérique Firebox X Core ou X Peak par le passé, vous devez savoir que
l’Assistant Quick Setup Wizard Web opère différemment de l’Assistant Quick Setup Wizard fourni avec les
modèles de matériel Firebox X précédents. Avec les périphériques Firebox X Core et Peak précédents,
l’Assistant Quick Setup Wizard utilisait la détection de périphérique pour rechercher un périphérique à
configurer sur le réseau. Avec l’Assistant Quick Setup Wizard Web, vous devez établir une connexion réseau
directe à Firebox et utiliser un navigateur Web pour démarrer l’Assistant. Firebox utilise le protocole DHCP sur
son interface 1 pour attribuer une nouvelle adresse IP à la station de gestion utilisée lors de la configuration.
Avant de démarrer l’Assistant Quick Setup Wizard Web, assurez-vous d’avoir :
ƒ
ƒ
ƒ
ƒ
Enregistré votre Firebox auprès des services LiveSecurity
Stocké une copie de votre clé de fonctionnalité Firebox dans un fichier texte sur votre station de
gestion
Téléchargé les logiciels WSM et Fireware à partir du site Web des services LiveSecurity sur votre station
de gestion
Installé le fichier exécutable Fireware sur votre station de gestion
La connexion HTTP établie avec Firebox lorsque vous utilisez l’Assistant Quick Setup Wizard Web n’est pas
chiffrée. Nous vous conseillons de connecter votre station de gestion directement à Firebox lorsque vous
utilisez l’Assistant Quick Setup Wizard Web, car les mots de passe sont envoyés en texte clair.
Pour exécuter l’Assistant Quick Setup Wizard Web :
1. Raccordez le câble Ethernet inverseur rouge fourni avec Firebox entre le port Ethernet de votre station
de gestion et l’interface 1 de Firebox.
2. Branchez le câble d’alimentation dans l’entrée d’alimentation Firebox et dans une source
d’alimentation.
3. Sur la face avant de Firebox X, appuyez sur le bouton fléché Bas pendant que vous mettez le
périphérique sous tension.
Firebox X s’amorce en mode sans échec. Dans ce mode usine par défaut, l’affichage LCD indique le
numéro de modèle suivi du mot « safe » en caractères minuscules.
4. Assurez-vous que votre station de gestion est configurée pour accepter les adresses IP affectées par le
biais du protocole DHCP.
Par exemple, si votre station de gestion utilise Windows XP : Dans le menu Démarrer de Windows,
sélectionnez Tous les programmes > Connexions réseau > Connexion au réseau local. Cliquez sur
Propriétés. Sélectionnez Protocole Internet (TCP/IP) et cliquez sur Propriétés. Assurez-vous que
l’option Obtenir une adresse IP automatiquement est sélectionnée.
5. Ouvrez un navigateur Web et tapez l’adresse suivante : http://10.0.1.1:8080/
Assurez-vous de taper le préfixe « http:// » si vous utilisez Internet Explorer. Une connexion HTTP est
alors établie entre votre station de gestion et le périphérique Firebox X.
L’Assistant Quick Setup Wizard Web démarre automatiquement. Parcourez les écrans et fournissez les
informations requises. Si vous laissez l’Assistant Quick Setup Wizard Web inactif pendant plus de
15 minutes, vous devez revenir à l’étape 3 et recommencer.
16
WatchGuard System Manager
Prise en main
Si vous rencontrez des problèmes avec l’Assistant
Si l’Assistant Quick Setup Wizard Web ne parvient pas à installer le logiciel système Fireware sur le
périphérique Firebox, son exécution s’interrompt après un délai d’attente de six minutes. Si vous rencontrez
des problèmes avec l’Assistant, vérifiez les points suivants :
ƒ
ƒ
Il est possible que le fichier du logiciel d’application Fireware que vous avez téléchargé à partir du site
Web LiveSecurity soit endommagé. Si l’image logicielle est endommagée, un message s’affiche parfois
sur l’interface LCD : « File Truncate Error » (Erreur - Fichier tronqué). Téléchargez de nouveau le logiciel
et réessayez d’exécuter l’Assistant.
Si vous utilisez Internet Explorer 6, effacez le cache de fichiers dans votre navigateur Web et réessayez.
Pour effacer le cache, dans la barre d’outils Internet Explorer, sélectionnez Outils > Options Internet >
Supprimer les fichiers.
Après l’exécution de l’Assistant
Une fois l’Assistant Quick Setup Wizard terminé, vous devrez peut-être patienter une minute ou deux avant
que Firebox ne soit prêt. Cela est valable particulièrement pour les modèles Firebox X Peak 5500e, 6500e,
8500e et 8500e-F.
Une fois que vous en avez terminé avec tous les écrans de l’Assistant, Firebox est configuré avec une
configuration de base qui inclut quatre stratégies (trafic TCP sortant, filtre de paquets FTP, ping et
WatchGuard) et les adresses IP d’interface que vous avez spécifiées. Vous pouvez utiliser Policy Manager pour
étendre ou modifier la configuration Firebox.
ƒ
ƒ
Pour plus d’informations sur la façon de rendre Firebox opérationnel une fois l’Assistant Quick Setup
Wizard terminé, voir Après l’installation.
Pour démarrer WatchGuard System Manager et commencer à utiliser ses outils, voir Démarrer
WatchGuard System Manager.
Assistant Quick Setup Wizard (non web)
L’Assistant Quick Setup Wizard s’exécute en tant qu’application Windows afin de vous aider à créer un fichier
de configuration de base. Vous pouvez utiliser l’Assistant Quick Setup Wizard avec tous les modèles de Firebox
X Core ou Peak. Firebox utilise ce fichier de configuration de base lors de son premier démarrage. Firebox peut
ainsi fonctionner comme un pare-feu de base.
Une fois cette configuration de base appliquée à Firebox, vous pouvez utiliser Policy Manager pour étendre
ou modifier la configuration Firebox.
L’Assistant Quick Setup Wizard utilise une procédure de détection de périphérique pour déterminer le modèle
Firebox X que vous configurez. Cette procédure utilise une multidiffusion UDP. Les pare-feu logiciels, y
compris le pare-feu Microsoft Windows XP SP2, peuvent provoquer des problèmes lors de la détection de
périphérique.
Vous pouvez démarrer l’Assistant Quick Setup Wizard à partir du Bureau Windows ou de WatchGuard System
Manager. À partir du Bureau, sélectionnez :
Démarrer > Tous les programmes > WatchGuard System Manager 10.0 > Quick Setup Wizard
À partir de WatchGuard System Manager, sélectionnez :
Outils > Quick Setup Wizard
L’Assistant Quick Setup Wizard démarre. Parcourez les écrans et fournissez les informations requises.
Guide de l’utilisateur
17
Prise en main
À propos de la définition de la clé de chiffrement du journal
Dans l’Assistant Quick Setup Wizard, vous devez définir un mot de passe d’état et de configuration pour
Firebox. Lorsque vous êtes prêt à configurer Log Server pour recueillir des messages de journal à partir de
Firebox, utilisez le mot de passe d’état que vous avez défini dans l’Assistant Quick Setup Wizard comme clé de
chiffrement du journal par défaut. Une fois votre serveur Log Server configuré, vous pouvez Modifier la clé de
chiffrement du serveur Log Server.
Après l’exécution de l’Assistant
Une fois l’Assistant Quick Setup Wizard terminé, vous devrez peut-être patienter une minute ou deux avant
que Firebox ne soit prêt. Cela est valable particulièrement pour les modèles Firebox X Peak 5500e, 6500e,
8500e et 8500e-F.
Une fois que vous en avez terminé avec tous les écrans de l’Assistant, Firebox est configuré avec une
configuration de base qui inclut quatre stratégies (trafic UDP et TCP sortant, filtre de paquets FTP, ping et
WatchGuard) et les adresses IP d’interface que vous avez spécifiées. Vous pouvez utiliser Policy Manager pour
étendre ou modifier la configuration Firebox.
ƒ
ƒ
18
Pour plus d’informations sur la façon de rendre Firebox opérationnel une fois l’Assistant Quick Setup
Wizard terminé, voir Après l’installation.
Pour démarrer WatchGuard System Manager et commencer à utiliser ses outils, voir Démarrer
WatchGuard System Manager.
WatchGuard System Manager
Prise en main
Après l’installation
Après en avoir terminé avec la version Web ou non-Web de l’Assistant Quick Setup Wizard, vous devez
effectuer les tâches suivantes pour rendre Firebox opérationnel sur votre réseau :
1. Placer Firebox à son emplacement physique permanent.
2. Vous assurer que la station de gestion et le reste du réseau approuvé utilisent l’adresse IP de l’interface
approuvée Firebox comme passerelle.
3. Dans WatchGuard System Manager, sélectionnez Fichier > Se connecter au périphérique pour
connecter la station de gestion à Firebox.
4. Si vous utilisez une configuration routée, modifiez la passerelle par défaut sur tous les ordinateurs que
vous connectez à l’adresse IP approuvée Firebox.
Si vous installez un logiciel serveur WatchGuard (Management Server, Quarantine Server, et ainsi
de suite) sur un ordinateur avec un pare-feu de bureau actif autre que le Pare-feu Windows, vous
devez ouvrir les ports nécessaires à la connexion des serveurs à travers le pare-feu. Les utilisateurs
du Pare-feu Windows n’ont pas besoin de modifier leur configuration. Pour plus d’informations,
voir Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feu de Bureau.
Voici d’autres tâches de configuration qui peuvent s’avérer nécessaires :
ƒ
ƒ
ƒ
ƒ
ƒ
Configurer Management Server. Pour plus d’informations, voir les rubriques relatives à la configuration
et l’administration de Management Server.
Configurer Log Server et Report Server de sorte qu’ils commencent à enregistrer les messages des
journaux et créent des rapports pour ces messages. Pour plus d’informations, voir les rubriques
relatives à la journalisation, à la notification et aux rapports.
Configurer WebBlocker Server. Pour plus d’informations, voir les rubriques relatives à WebBlocker.
Configurer Quarantine Server. Pour plus d’informations, voir les rubriques relatives à Quarantine
Server.
Ouvrir Policy Manager afin de personnaliser la configuration en fonction des exigences
professionnelles et de sécurité de votre entreprise.
Personnaliser votre stratégie de sécurité
Votre stratégie de sécurité contrôle qui peut accéder aux différents emplacements de votre réseau et qui peut
sortir du réseau. Le fichier de configuration Firebox crée la stratégie de sécurité.
Le fichier de configuration que vous créez à l’aide de l’Assistant Quick Setup Wizard ne constitue qu’une
configuration de base. Vous pouvez créer un fichier de configuration qui adapte votre stratégie de sécurité à
vos propres exigences. Pour cela, ajoutez des stratégies de filtre de paquets et de proxy afin de définir ce qui
est autorisé à pénétrer et à sortir de votre réseau. Chaque stratégie peut avoir un effet sur votre réseau. Les
stratégies qui augmentent la sécurité du réseau peuvent diminuer les possibilités d’accès au réseau.
Les stratégies qui augmentent les possibilités d’accès au réseau peuvent rendre le réseau plus vulnérable.
Lorsque vous sélectionnez ces stratégies, vous devez sélectionner une gamme de stratégies équilibrées en
fonction de votre organisation et de l’équipement informatique que vous protégez. Pour une nouvelle
installation, nous recommandons d’utiliser uniquement des stratégies de filtre de paquets, jusqu’à ce que tous
vos systèmes fonctionnent correctement. Si nécessaire, vous pouvez ajouter des stratégies de proxy.
Guide de l’utilisateur
19
Prise en main
À propos du service LiveSecurity
Firebox inclut un abonnement au service LiveSecurity. Votre abonnement vous permet :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
De vous assurer que vous bénéficiez de la protection réseau la plus à jour avec les mises à niveau
logicielles les plus récentes
De trouver des solutions à vos problèmes, grâce à un accès complet aux ressources de support
technique
D’éviter les interruptions de service avec des messages et une aide sur la configuration pour les
problèmes de sécurité les plus récents
D’en savoir plus sur la sécurité réseau grâce aux ressources de formation
D’étendre la sécurité de votre réseau à l’aide de logiciels et autres fonctionnalités
D’étendre la garantie de votre matériel avec un remplacement avancé
Démarrer WatchGuard System Manager
À partir du Bureau Windows, sélectionnez :
Démarrer > Tous les programmes > WatchGuard System Manager 10.0 > WatchGuard System Manager.
Pour obtenir des informations de base sur WatchGuard System Manager, voir Introduction à WatchGuard
System Manager (WSM). Vous pouvez accéder à toutes les fonctionnalités de WatchGuard System Manager
par le biais de cette fenêtre principale, comme décrit dans ce manuel. À noter que vous pouvez utiliser des
procédures de copier/coller standard dans la plupart des champs de WatchGuard System Manager.
Se connecter à Firebox
1. Si ce n’est déjà fait, démarrez WatchGuard System Manager.
2. Cliquez sur .
Ou sélectionnez Fichier > Se connecter au périphérique.
Ou cliquez n’importe où dans la fenêtre WSM (onglet État du périphérique) et sélectionnez
Se connecter au périphérique.
La boîte de dialogue Se connecter à Firebox apparaît.
20
WatchGuard System Manager
Prise en main
3. Dans la liste déroulante Firebox, tapez le nom ou l’adresse IP de votre Firebox. Lors des connexions
ultérieures, vous pouvez sélectionner le nom ou l’adresse IP Firebox dans la liste déroulante Firebox.
Vous pouvez également taper l’adresse IP ou le nom d’hôte. N’oubliez pas d’entrer tous les numéros et
les points. N’utilisez pas la touche de tabulation ni les touches de direction.
4. Entrez le mot de passe d’état (lecture seule) de Firebox.
Vous utilisez le mot de passe d’état pour contrôler les conditions du trafic et l’état de Firebox. Vous
devez taper le mot de passe de configuration lors de l’enregistrement d’une nouvelle configuration
dans Firebox.
5. Si nécessaire, modifiez la valeur du champ Délai d’attente. Cette valeur définit la durée (en secondes)
pendant laquelle la station de gestion reste à l’écoute des données de Firebox avant d’envoyer un
message signalant qu’elle ne parvient pas à recevoir de données du périphérique.
Si votre réseau ou votre connexion Internet est lente, vous pouvez augmenter la valeur du délai. La
diminution de cette valeur réduit la durée d’attente avant réception d’un message de dépassement de
délai si vous essayez de vous connecter à un périphérique Firebox non disponible.
6. Cliquez sur Connexion.
Firebox apparaît dans la fenêtre WatchGuard System Manager.
Se déconnecter de Firebox
Cliquez sur . (Si vous êtes connecté à plusieurs périphériques Firebox, sélectionnez celui duquel vous
souhaitez vous déconnecter avant de cliquer sur l’icône.)
Ou sélectionnez Fichier > Déconnecter.
Ou cliquez n’importe où dans la fenêtre WSM (onglet État du périphérique) et sélectionnez Déconnecter.
Se déconnecter de tous les périphériques Firebox
Si vous êtes connecté à plusieurs périphériques Firebox, vous pouvez vous déconnecter de tous ceux-ci
simultanément.
Sélectionnez Fichier > Déconnecter tout.
Ou cliquez n’importe où dans la fenêtre WSM (onglet État du périphérique) et sélectionnez Déconnecter
tout.
Démarrer des applications de sécurité
Vous pouvez démarrer ces outils à partir de WatchGuard System Manager à l’aide des icônes de la barre des
tâches et des options de menu.
Policy Manager
Policy Manager vous permet d’installer, de configurer et de personnaliser une stratégie de sécurité réseau
pour un périphérique Firebox.
Pour plus d’informations sur Policy Manager, voir À propos de Policy Manager.
Pour démarrer Policy Manager, cliquez sur
Ou sélectionnez Outils > Policy Manager.
Guide de l’utilisateur
.
21
Prise en main
Firebox System Manager
WatchGuard Firebox System Manager vous permet de démarrer de nombreux outils de sécurité à partir d’une
même interface conviviale. Vous pouvez également utiliser Firebox System Manager pour analyser le trafic du
pare-feu en temps réel.
Pour plus d’informations sur Firebox System Manager, voir À propos de Firebox System Manager (FSM).
Pour démarrer Firebox System Manager, cliquez sur .
Ou sélectionnez Outils > Firebox System Manager.
HostWatch
HostWatch affiche les connexions d’un réseau approuvé vers le réseau externe (ou de et vers d’autres
interfaces ou VLAN de votre choix) qui transitent par un périphérique Firebox. Il indique les connexions
actuelles ou peut afficher l’historique des connexions enregistré dans un fichier journal.
Pour plus d’informations sur HostWatch, voir À propos d’HostWatch.
Pour démarrer HostWatch, cliquez sur
Ou sélectionnez Outils > HostWatch.
.
LogViewer
LogViewer fournit une vue statique d’un fichier journal. Il vous permet d’effectuer les tâches suivantes :
ƒ
ƒ
ƒ
Appliquer un filtre par type de données
Rechercher des mots et des champs
Imprimer et enregistrer dans un fichier
Pour plus d’informations sur l’utilisation de LogViewer, voir Utiliser LogViewer pour afficher les fichiers
journaux.
Pour démarrer LogViewer, cliquez sur .
Ou sélectionnez Outils > Journaux > LogViewer.
Rapports WatchGuard
Les rapports WatchGuard sont des résumés des données que vous avez choisi d’extraire à partir des fichiers
journaux Firebox.
Pour plus d’informations sur l’utilisation des rapports WatchGuard, voir À propos de Report Manager.
Pour démarrer Report Manager, cliquez sur
.
Ou sélectionnez Outils > Journaux > Rapports WG.
Assistant Quick Setup Wizard
Vous pouvez utiliser l’Assistant Quick Setup Wizard pour créer une configuration de base pour Firebox.
Firebox utilise ce fichier de configuration de base lors de son premier démarrage. Firebox peut ainsi
fonctionner comme un pare-feu de base. Vous pouvez appliquer cette même procédure chaque fois que vous
souhaitez réinitialiser Firebox avec une nouvelle configuration de base à des fins de récupération ou autre.
Pour plus d’informations sur l’utilisation de l’Assistant Quick Setup Wizard, voir À propos de l’Assistant Quick
Setup Wizard.
Pour démarrer l’Assistant Quick Setup Wizard, cliquez sur
Ou sélectionnez Outils > Quick Setup Wizard.
22
.
WatchGuard System Manager
Prise en main
CA Manager
Dans WatchGuard System Manager, la station de travail configurée en tant que serveur Management Server
fonctionne également en tant qu’autorité de certification (CA). L’autorité de certification transmet des
certificats aux clients Firebox gérés lorsqu’ils contactent Management Server pour recevoir des mises à jour
de configuration.
Pour pouvoir utiliser Management Server comme autorité de certification, vous devez Configurer l’autorité de
certification sur Management Server.
Pour configurer ou modifier les paramètres de l’autorité de certification, cliquez sur
Ou sélectionnez Outils > CA Manager.
.
Mettre à niveau vers une nouvelle version de Fireware
Nous mettons parfois à disposition des utilisateurs de Firebox titulaires d’abonnements LiveSecurity de
nouvelles versions de WatchGuard System Manager (WSM) et du logiciel système Fireware. Pour effectuer la
mise à niveau d’une version de WSM avec Fireware vers une nouvelle version de WSM avec Fireware :
1. Sauvegardez votre fichier de configuration Firebox et vos fichiers de configuration Management
Server actuels.
Pour plus d’informations sur la façon de créer une image de sauvegarde de votre configuration
Firebox, voir Créer une sauvegarde de l’image Firebox. Pour sauvegarder les paramètres sur votre
Management Server, voir Sauvegarder ou restaurer la configuration de Management Server.
2. Utilisez l’application Ajouter ou supprimer des programmes de Windows pour désinstaller votre
installation existante de WatchGuard System Manager et WatchGuard Fireware. Vous pouvez avoir
plusieurs versions du logiciel client WatchGuard System Manager installées sur votre station de
gestion, mais une seule version du logiciel serveur WatchGuard.
3. Lancez le ou les fichiers téléchargés à partir du site Web LiveSecurity et suivez la procédure affichée à
l’écran.
4. Pour enregistrer la mise à niveau dans le périphérique, utilisez Policy Manager pour ouvrir votre fichier
de configuration Firebox X Core ou Firebox X Peak. Suivez les instructions affichées à l’écran pour
convertir le fichier de configuration vers la nouvelle version et enregistrez-le dans Firebox.
Si les instructions ne s’affichent pas à l’écran ou si vous rencontrez des problèmes avec cette
procédure, ouvrez Policy Manager et sélectionnez Fichier > Mettre à niveau. Naviguez jusqu’au
répertoire d’installation ou jusqu’à C:\Program Files\Common
Files\WatchGuard\resources\Fireware\9.1 et sélectionnez le fichier WGU. Cliquez sur OK.
La procédure de mise à niveau peut nécessiter jusqu’à 15 minutes ; elle réamorce automatiquement Firebox.
Si au moment de la mise à niveau Firebox est opérationnel depuis quelque temps, vous devrez peut-être
redémarrer Firebox avant de commencer la mise à niveau afin d’effacer sa mémoire temporaire. Si, durant la
mise à niveau, un message d’erreur concernant \var\tmp2\cmm_upgrade_sys.tar s’affiche, réamorcez Firebox
et recommencez la mise à niveau.
Guide de l’utilisateur
23
Prise en main
Rétrogradation vers WSM 9.1.x ou version antérieure
Si vous rencontrez des problèmes lors de la mise à niveau de votre station de gestion vers la version 10, vous
pouvez rétrograder votre Firebox vers une version antérieure de Fireware. Cette opération peut s’affecter de
deux manières :
ƒ
ƒ
Si vous possédez un fichier de sauvegarde créé avec une version antérieure de Fireware, vous pouvez
le restaurer sur le périphérique Firebox. Le fichier de sauvegarde doit avoir une extension de fichier .fxi.
L’emplacement par défaut des fichiers de sauvegarde est C:\Documents and Settings\All Users\Shared
WatchGuard\backups.
Si vous ne possédez pas de fichier de sauvegarde, vous pouvez utiliser une version antérieure de WSM
pour enregistrer la version correspondante de Fireware dans Firebox, exécuter l’Assistant Quick Setup
Wizard, puis enregistrer votre configuration dans Firebox.
Si vous possédez un fichier de sauvegarde
1. Démarrez WatchGuard System Manager. La version doit correspondre à celle utilisée pour enregistrer
le fichier de sauvegarde.
2. Connectez-vous à Firebox et démarrez Policy Manager.
3. Sélectionnez Fichier > Restaurer.
4. Naviguez jusqu’au fichier .fxi et restaurez Firebox.
5. Une fois la restauration terminée, Firebox est réamorcé. La version de Fireware exécutée sera celle
utilisée au moment où le fichier de sauvegarde a été enregistré.
Si vous ne possédez pas de fichier de sauvegarde
1. Sur votre station de gestion, installez la version de Fireware qui correspond à votre version de WSM
(par exemple v9.1).
2. Ouvrez Policy Manager v9.1 et sélectionnez Fichier > Mettre à niveau pour installer Fireware v9.1.
3. Exécutez l’Assistant Quick Setup Wizard v9.1 et utilisez-le pour enregistrer une configuration de base
dans Firebox.
4. Ouvrez votre stratégie dans Policy Manager v9.1 et enregistrez-la dans Firebox.
24
WatchGuard System Manager
Prise en main
Autres rubriques sur l’installation
Installer WSM et conserver une version antérieure
Vous pouvez installer la version actuelle de WSM et conserver la version antérieure si vous supprimez le
logiciel serveur (Management Server, Log Server, Report Server, Quarantine Server et WebBlocker Server) de
la version antérieure de WSM. Étant donné qu’une seule version des serveurs peut être installée, vous devez
supprimer la version antérieure avant d’installer la version actuelle de WSM avec le logiciel serveur actuel.
Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feu
de Bureau
Les pare-feu de Bureau peuvent bloquer les ports nécessaires au fonctionnement des composants serveur
WatchGuard. Avant d’installer Management Server, Log Server, Quarantine Server, Report Server ou
WebBlocker Server sur un ordinateur doté d’un pare-feu de Bureau actif, vous devrez peut-être ouvrir les ports
nécessaires sur le pare-feu. Les utilisateurs du Pare-feu Windows n’ont pas besoin de modifier leur
configuration car le programme d’installation ouvre les ports nécessaires automatiquement.
Le tableau suivant indique les ports que vous devez ouvrir sur un pare-feu de Bureau.
Type de serveur/Logiciel système
Protocole/Port
Management Server
TCP 4109, TCP 4110, TCP 4112, TCP 4113
Log Server avec logiciel système Fireware
TCP 4115
Log Server avec logiciel système WFS
TCP 4107
WebBlocker Server
TCP 5003, UDP 5003
Quarantine Server
TCP 4119, TCP 4120
Report Server
TCP 4121, TCP 4122
Guide de l’utilisateur
25
Prise en main
Configuration routée
Utilisez la configuration routée lorsque vous avez une quantité peu élevée d’adresses IP ou lorsque votre
périphérique Firebox obtient son adresse IP externe par le biais du protocole PPPoE (Point-to-Point Protocol
over Ethernet) ou DHCP (Dynamic Host Configuration Protocol).
Dans une configuration routée, vous installez Firebox avec différents sous-réseaux sur chacune de ses
interfaces. Les serveurs publics derrière Firebox peuvent utiliser des adresses IP privées. Firebox utilise la
traduction d’adresses réseau (NAT, Network Address Translation) pour acheminer le trafic du réseau externe
vers les serveurs publics.
Les conditions suivantes s’appliquent à la configuration routée :
ƒ
ƒ
Toutes les interfaces Firebox doivent être configurées sur différents sous-réseaux. La configuration
minimale inclut les interfaces approuvées et externes. Vous pouvez également configurer une ou
plusieurs interfaces facultatives.
Tous les ordinateurs connectés aux interfaces approuvées et facultatives doivent avoir une adresse IP
de ce réseau. Par exemple, un ordinateur sur une interface approuvée de la figure précédente pourrait
avoir l’adresse IP 10.10.10.200 mais pas 192.168.10.200, qui est une adresse sur l’interface facultative.
Configuration d’insertion
Dans une configuration d’insertion, la même adresse IP est utilisée sur toutes les interfaces Firebox. Le mode
de configuration d’insertion distribue la plage d’adresses logiques du réseau à l’ensemble des interfaces
Firebox. Vous pouvez placer Firebox entre le routeur et le réseau local sans devoir modifier la configuration
sur les ordinateurs locaux. On parle de configuration d’insertion, car Firebox est « inséré » (ou distribué) dans
un réseau.
En mode d’insertion :
ƒ
ƒ
ƒ
26
La même adresse IP principale est affectée automatiquement à toutes les interfaces de Firebox
(externes, approuvées et facultatives).
Vous pouvez attribuer des réseaux secondaires sur toutes les interfaces.
Vous pouvez conserver les mêmes adresses IP et passerelles par défaut pour les hôtes de vos réseaux
approuvés et facultatifs et ajouter une adresse réseau secondaire à l’interface Firebox pour que le trafic
soit correctement acheminé vers les hôtes de ces réseaux.
WatchGuard System Manager
Prise en main
Les serveurs publics derrière Firebox peuvent continuer à utiliser les adresses IP publiques. Firebox ne fait pas
appel à la traduction d’adresses réseau pour acheminer le trafic de l’extérieur de votre réseau vers vos serveurs
publics.
Les propriétés d’une configuration d’insertion sont les suivantes :
ƒ
ƒ
ƒ
Vous devez connaître l’adresse IP externe statique à attribuer à Firebox.
Vous devez utiliser un réseau logique pour toutes les interfaces.
Le mode d’insertion ne prend pas en charge la fonctionnalité Multi-WAN en mode Tourniquet ou
Basculement. Pour plus d’informations sur ces options, voir À propos de l’utilisation de plusieurs
interfaces externes.
Il est parfois nécessaire d’Effacer le cache ARP de chaque ordinateur sur le réseau approuvé.
Ajouter des réseaux secondaires à votre configuration
Un réseau secondaire est un réseau différent connecté à une interface Firebox avec un commutateur ou un
concentrateur.
Guide de l’utilisateur
27
Prise en main
Lorsque vous ajoutez un réseau secondaire, vous mappez une deuxième adresse IP à l’interface Firebox. Vous
créez (ou ajoutez) un alias IP à l’interface réseau. Cette adresse réseau secondaire que vous définissez est la
passerelle par défaut pour tous les ordinateurs du réseau secondaire. Le réseau secondaire indique également
à Firebox qu’un réseau supplémentaire se trouve sur l’interface Firebox.
Pour ajouter un réseau secondaire, appliquez l’une des procédures suivantes :
Utiliser l’Assistant Quick Setup Wizard
Si vous configurez Firebox en mode d’insertion, vous pouvez entrer une adresse IP pour le réseau secondaire
dans l’Assistant Quick Setup Wizard. Il s’agit de la passerelle par défaut pour votre réseau privé secondaire.
Ajouter un réseau secondaire une fois l’installation de Firebox terminée
Si vous configurez Firebox en mode routé, ou à tout moment après l’utilisation d’un Assistant Quick Setup
Wizard, vous pouvez utiliser Policy Manager pour ajouter des réseaux secondaires à une interface. Pour plus
d’informations sur la façon de procéder, voir Configurer un réseau secondaire.
Prise en charge IP dynamique sur l’interface externe
Si vous utilisez des adresses IP dynamiques, vous devez configurer Firebox en mode routé lorsque vous utilisez
l’Assistant Quick Setup Wizard.
Si vous sélectionnez le protocole DHCP, Firebox demande à un serveur DHCP contrôlé par votre fournisseur
de services Internet de lui fournir ses adresse IP, passerelle et masque réseau. Ce serveur peut également
fournir des informations de serveur DNS à Firebox. S’il ne vous procure pas ces informations, vous devez les
ajouter manuellement à votre configuration. Si nécessaire, vous pouvez modifier les adresses IP fournies par
votre fournisseur de services Internet.
Vous pouvez également utiliser le protocole PPPoE. Comme avec le protocole DHCP, Firebox établit une
connexion PPPoE au serveur PPPoE de votre fournisseur de services Internet. Cette connexion configure
automatiquement vos adresse IP, passerelle et masque réseau.
Si vous utilisez le protocole PPPoE sur l’interface externe, vous devez posséder le nom d’utilisateur et le mot
de passe PPP lors de la configuration de votre réseau. Si votre fournisseur de services Internet vous donne un
nom de domaine à utiliser, tapez votre nom d’utilisateur au format « utilisateur@domaine » lors de l’utilisation
de l’Assistant Quick Setup Wizard.
Une adresse IP statique est nécessaire pour que Firebox puisse utiliser certaines fonctions. Lorsque vous
configurez Firebox de façon à recevoir des adresses IP dynamiques, il ne peut pas utiliser les fonctions
suivantes :
ƒ
ƒ
ƒ
ƒ
High Availability (non disponible sur Firebox 500)
Mode d’insertion
NAT un à un sur une interface externe
Mobile VPN with PPTP
Si votre fournisseur de services Internet utilise une connexion PPPoE pour affecter une adresse IP
statique, Firebox vous autorise à activer Mobile VPN with PPTP car l’adresse IP est statique.
À propos de la connexion des câbles Firebox
Raccordez le câble d’alimentation à l’entrée d’alimentation Firebox et à une source d’alimentation.
Nous recommandons l’utilisation d’un câble Ethernet droit (vert) pour raccorder la station de gestion à un
concentrateur ou un commutateur. Utilisez un câble Ethernet droit différent pour raccorder Firebox au même
concentrateur ou commutateur.
Vous pouvez également utiliser un câble inverseur rouge pour raccorder l’interface approuvée Firebox au port
Ethernet de la station de gestion.
28
WatchGuard System Manager
4
Maintenance et support
À propos du support technique de WatchGuard
Toute solution de sécurité Internet complète doit s’appuyer sur des mises à jour régulières et des informations
de sécurité récentes. De nouvelles menaces apparaissent tous les jours, qu’il s’agisse d’attaques perpétrées
par des pirates informatiques ou de bogues dans le système d’exploitation, et chacune d’entre elles peut
endommager vos systèmes réseau. Le service LiveSecurity vous envoie directement des solutions de sécurité
pour assurer le fonctionnement optimal de votre système de sécurité. Des services de formation et de support
technique sont disponibles sur le site Web de WatchGuard pour parfaire vos connaissances sur la sécurité
réseau et vos produits WatchGuard.
À propos des solutions LiveSecurity
Le nombre de nouveaux problèmes de sécurité et le volume d’informations sur la sécurité réseau ne cessent
de croître. Comme vous le savez, un pare-feu n’est que le premier composant d’une solution de sécurité
complète. L’équipe d’intervention d’urgence de WatchGuard est un groupe spécialisé de professionnels de la
sécurité réseau qui peut vous aider à faire le tri dans la pléthore d’informations sur la sécurité. Ce groupe
surveille les sites Web de sécurité sur Internet pour identifier les nouvelles menaces.
Réponses aux menaces, alertes et conseils d’experts
Lorsqu’une nouvelle menace est identifiée, l’équipe d’intervention d’urgence vous notifie du problème par email. Chaque message vous donne des informations complètes sur le type du problème et la procédure à
suivre pour vous assurer que votre réseau est à l’abri des attaques.
Simplification des mises à jour logicielles
Le service LiveSecurity vous fait gagner un temps précieux. Vous recevez un e-mail dès qu’une nouvelle version
du logiciel WatchGuard System Manager est publiée. Pour accélérer et faciliter l’installation, des Assistants
d’installation, des notes de publication et un lien pointant vers la mise à jour logicielle vous sont proposés.
Vous ne perdez donc pas votre temps à rechercher de nouveaux logiciels.
Accès au support technique et à la formation
Vous pouvez trouver rapidement des informations sur vos produits WatchGuard en consultant nos ressources
en ligne. Vous pouvez aussi vous entretenir directement avec l’un des membres du support technique de
WatchGuard. Utilisez nos formations en ligne disponibles sur le site Web de WatchGuard pour en savoir plus
sur le logiciel WatchGuard System Manager, Firebox et la sécurité réseau, ou pour trouver un partenaire de
formation certifié par WatchGuard dans votre région.
Guide de l’utilisateur
29
Maintenance et support
Diffusions LiveSecurity
L’équipe d’intervention d’urgence de WatchGuard envoie régulièrement par e-mail des messages et des
informations sur les logiciels directement à votre ordinateur. Ces messages sont répartis en plusieurs
catégories pour vous aider à identifier et à utiliser les informations entrantes immédiatement.
Alerte d’information
Une alerte d’information vous donne un bref aperçu des informations et des menaces les plus
récentes en matière de sécurité Internet. L’équipe d’intervention d’urgence de WatchGuard émet
fréquemment des recommandations pour vous demander de modifier une stratégie de sécurité afin
de parer à une nouvelle menace. Le cas échéant, l’alerte d’information comprend des instructions sur
la procédure à suivre.
Réponse à une menace
Si une nouvelle menace à la sécurité l’y oblige, l’équipe d’intervention d’urgence de WatchGuard
transmet une mise à jour logicielle à votre système Firebox®. La réponse à une menace inclut des
informations sur la menace, ainsi que des instructions pour télécharger une mise à jour logicielle
et l’installer sur votre système Firebox et votre station de gestion.
Mise à jour logicielle
En cas de nécessité, WatchGuard met à jour le logiciel WatchGuard System Manager. Les mises à
niveau du produit peuvent inclure des nouvelles fonctionnalités et des correctifs. Lorsque nous
publions une mise à jour logicielle, vous recevez un e-mail comprenant des instructions pour
télécharger et installer la mise à niveau.
Éditorial
Des experts en sécurité réseau se joignent régulièrement à l’équipe d’intervention d’urgence de
WatchGuard pour écrire des articles sur la sécurité réseau. Ce flux continu d’informations peut vous
être utile pour sécuriser davantage votre réseau.
Connaissances de base
L’équipe d’intervention d’urgence de WatchGuard écrit également des articles destinés
spécialement aux administrateurs de la sécurité, aux employés et à tous les membres du personnel
qui découvrent cette technologie.
Bouclage
À la fin du mois, le service LiveSecurity® vous envoie un e-mail récapitulant toutes les informations qui
vous ont été transmises au cours du mois.
Flash du support technique
Ces messages de formation concis vous permettent de mieux utiliser WatchGuard System Manager.
Ils viennent compléter les autres ressources en ligne, à savoir le forum des utilisateurs, le forum aux
questions et les problèmes connus sur la page Web du support technique.
Alerte virus
WatchGuard s’est associé avec un fournisseur antivirus pour vous donner les dernières informations
sur les virus informatiques. Vous recevrez des messages avec un résumé du trafic des virus sur
Internet. Lorsqu’un pirate informatique propage un virus dangereux sur Internet, nous vous
envoyons une alerte virus spéciale pour vous aider à sécuriser votre réseau.
Nouveautés WatchGuard
Lorsque WatchGuard lance un nouveau produit, vous êtes le premier à le savoir. Vous pouvez obtenir
des informations sur les nouveaux services et fonctionnalités, les mises à niveau de produits, les
nouveaux matériels et les promotions.
30
WatchGuard System Manager
Maintenance et support
Outils de support autonome du service LiveSecurity
Les outils de support autonome en ligne vous permettent d’optimiser les performances de vos produits
WatchGuard.
Vous devez activer le service LiveSecurity avant de pouvoir accéder aux ressources en ligne.
Instant Answers
L’outil d’aide interactif Instant Answers est conçu pour vous donner très rapidement des solutions à
des questions portant sur les produits. Cet outil vous pose des questions et vous donne la meilleure
solution en fonction de vos réponses.
Forums aux questions (FAQ) sur les produits
Les forums aux questions contiennent des informations générales sur le système Firebox®, le logiciel
WatchGuard System Manager et le logiciel système Firebox. Ils fournissent des informations
importantes sur les options de configuration et le fonctionnement des systèmes ou produits.
Known Issues
L’outil Known Issues recense les problèmes connus relatifs aux produits WatchGuard et les mises à
jour logicielles.
WatchGuard Users Forum
L’équipe du support technique de WatchGuard gère un site Web d’entraide destiné aux utilisateurs
de produits WatchGuard. Le support technique supervise ce forum pour veiller à l’exactitude des
informations.
Formation
Vous pouvez parcourir la section de formation pour en savoir plus sur la sécurité réseau et les produits
WatchGuard. Vous pouvez également utiliser les documents de formation disponibles en ligne pour
obtenir une certification WatchGuard. La formation comprend des liens vers des documents et des
sites Web variés en matière de sécurité réseau. Elle est divisée en plusieurs parties, ce qui vous permet
de consulter uniquement les documents qui vous sont utiles. Pour en savoir plus sur la formation,
accédez au site Web suivant : http://www.watchguard.com/training/.
Documentation produit
Le site Web de WatchGuard contient des copies de tous les guides de l’utilisateur des produits
WatchGuard, y compris les guides des logiciels qui ne sont plus pris en charge. Ces guides sont au
format .PDF.
Pour accéder aux outils de support autonome du service LiveSecurity :
1. Démarrez votre navigateur Web. Dans la barre d’adresses, tapez :
http://www.watchguard.com/support.
2. Sous Self Help Tools, cliquez sur l’outil de votre choix.
Vous serez invité à vous connecter au service LiveSecurity si cela n’est pas déjà fait.
Guide de l’utilisateur
31
Maintenance et support
Activer le service LiveSecurity
Pour activer le service LiveSecurity et inscrire votre service Firebox, utilisez la section d’activation des pages
Web du service LiveSecurity. Vous pouvez aussi trouver des informations sur l’activation de fonctionnalités et
l’Assistant Quick Setup Wizard dans le Guide de démarrage rapide et la rubrique À propos de l’Assistant Quick
Setup Wizard. Vous activez généralement le service LiveSecurity lorsque vous installez votre système Firebox.
Pour activer le service LiveSecurity, vous devez activer JavaScript dans votre navigateur.
1. Assurez-vous de posséder votre numéro de série Firebox. Celui-ci est nécessaire au cours de la
procédure d’activation du service LiveSecurity. Le numéro de série Firebox se trouve sur une étiquette
collée à l’arrière du système Firebox, sous le code-barres, ou bien sous le système Firebox.
2. Utilisez votre navigateur Web pour accéder au site suivant :
www.watchguard.com/account/register.asp.
La page Account s’affiche.
3. Remplissez la page LiveSecurity Activation. Utilisez la touche Tabulation ou la souris pour accéder aux
différents champs de la page.
Vous devez remplir tous les champs pour activer le service. Ces informations permettront à
WatchGuard de vous envoyer les informations et les mises à jour logicielles qui s’appliquent à vos
produits.
4. Vérifiez que votre adresse e-mail est correcte. Les e-mails du service LiveSecurity sur les mises à jour
des produits et les réponses aux menaces seront envoyés à cette adresse. Une fois la procédure
terminée, vous recevrez un e-mail indiquant que le service LiveSecurity a été correctement activé.
5. Cliquez sur Register.
WatchGuard Users Forum
WatchGuard Users Forum est un groupe de discussion en ligne qui permet aux utilisateurs de produits
WatchGuard d’échanger des informations sur les sujets suivants :
ƒ
ƒ
ƒ
Configuration
Connexion de produits WatchGuard et de produits tiers
Stratégies réseau
Ce forum comprend différentes catégories que vous pouvez utiliser pour rechercher des informations.
L’équipe du support technique supervise le forum pendant les heures ouvrées. Toutefois, vous n’obtiendrez
pas d’aide spéciale de la part du support technique si vous utilisez ce forum. Pour contacter le support
technique directement à partir du Web, connectez-vous à votre compte LiveSecurity. Cliquez sur le lien
Incidents pour envoyer un incident au support technique.
Utiliser WatchGuard Users Forum
Pour utiliser WatchGuard Users Forum, vous devez tout d’abord créer un compte. Pour les instructions à
suivre, accédez au site suivant : http://www.watchguard.com/forum.
32
WatchGuard System Manager
Maintenance et support
Documentation produit
Tous les guides de l’utilisateur des produits sont publiés sur notre site Web à l’adresse suivante :
http://www.watchguard.com/help/documentation.
Formation et certification
Des formations sur les produits WatchGuard sont disponibles par l’intermédiaire de partenaires de formation
certifiés par WatchGuard (WCTP). Vous pouvez installer et configurer les produits avec le soutien d’un
instructeur qualifié et expérimenté qui vous guidera tout au long des étapes à suivre, puis passer un examen
de certification technique WatchGuard. Pour trouver un partenaire de formation, accédez au site Web
suivant : http://www.watchguard.com/training/partners_locate.asp.
Des formations sur les produits WatchGuard sont également disponibles en ligne pour parfaire vos
connaissances sur la sécurité réseau et les produits WatchGuard. Si vous suivez une formation WSM/Fireware,
vous pouvez utiliser ces documents de formation pour préparer l’examen de certification. Pour trouver des
documents de formation, accédez au site Web suivant : http://www.watchguard.com/training/courses.asp.
Vous devez vous connecter à LiveSecurity pour pouvoir télécharger ces cours.
À propos du support technique de WatchGuard
Votre abonnement au service LiveSecurity inclut une assistance technique pour le logiciel WatchGuard
System Manager et le matériel Firebox. Pour en savoir plus sur le support technique de WatchGuard, visitez le
site Web de WatchGuard à l’adresse suivante : http://www.watchguard.com/support.
Vous devez activer le service LiveSecurity avant de pouvoir obtenir une assistance technique. Pour
plus d’informations, voir Activer le service LiveSecurity.
Support technique du service LiveSecurity
Tous les nouveaux produits Firebox sont pris en charge par le service de support technique LiveSecurity de
WatchGuard. Vous pouvez parler à un membre de l’équipe du support technique de WatchGuard lorsque vous
êtes confronté à un problème d’installation, de gestion ou de configuration lié à votre système Firebox.
Heures d’ouverture
Le centre de support technique LiveSecurity de WatchGuard est ouvert du lundi au vendredi de 6 h
à 18 h (dans votre fuseau horaire).
Numéro de téléphone
877.232.3531 (sélectionnez l’option 2) aux États-Unis et au Canada
+1.206.613.0456 dans tous les autres pays
Site Web
http://www.watchguard.com/support
Délai de service
Nous nous efforçons de répondre dans un délai de quatre heures.
Des mises à niveau SIPRU (Single Incident Priority Response Upgrade) et SIAU (Single Incident After Hours
Upgrade) sont aussi disponibles. Pour plus d’informations sur ces mises à niveau, accédez au site Web de
WatchGuard à l’adresse suivante : http://www.watchguard.com/support.
Guide de l’utilisateur
33
Maintenance et support
LiveSecurity Gold
L’option de support technique LiveSecurity Gold de WatchGuard peut s’ajouter au service LiveSecurity
standard. Nous recommandons cette mise à niveau si vous avez recours à Internet ou à des tunnels VPN dans
la plupart de vos tâches quotidiennes.
En souscrivant au support technique LiveSecurity Gold de WatchGuard, vous bénéficiez des avantages
suivants :
ƒ
ƒ
ƒ
ƒ
Support technique disponible 24 heures sur 24, 7 jours sur 7, jours fériés inclus.
Le centre de support technique est ouvert du dimanche 19h00 au vendredi 19h00 (heure de la côte
Ouest des États-Unis). Pour recevoir une assistance le week-end en cas de problème critique, un
système de garde par radiomessagerie est en place.
Nous nous efforçons de répondre dans l’heure.
Pour créer un incident, appelez le support technique LiveSecurity de WatchGuard. Un conseiller
clientèle enregistrera votre problème et vous donnera un numéro d’incident. Vous serez ensuite
contacté par téléphone par un technicien du support technique prioritaire dans les meilleurs délais.
Si vous êtes confronté à un problème critique en dehors des heures d’ouverture du centre de support
technique LiveSecurity, utilisez le numéro de téléphone du support technique LiveSecurity pour
notifier un technicien. Vous pouvez aussi envoyer un incident sur le site Web à l’adresse suivante :
http://www.watchguard.com/support/incidents/newincident.asp.
Service d’installation de Firebox
Le service d’installation de Firebox à distance de WatchGuard vous aide à installer et à configurer votre
système Firebox. Vous pouvez planifier un entretien de deux heures avec un membre de l’équipe du support
technique de WatchGuard. Le technicien pourra vous aider à effectuer les tâches suivantes :
ƒ
ƒ
ƒ
Analyser vos stratégies de réseau et de sécurité
Installer le logiciel WatchGuard System Manager et le matériel Firebox
Aligner votre configuration avec la stratégie de sécurité de votre société
Ce service n’inclut pas l’installation d’un VPN.
Service d’installation d’un VPN
Le service d’installation d’un VPN à distance de WatchGuard vous guide tout au long des étapes d’installation
d’un VPN. Vous pouvez planifier une réunion de deux heures avec l’une des équipes du support technique de
WatchGuard. Au cours de cette réunion, un technicien pourra vous aider à effectuer les tâches suivantes :
ƒ
ƒ
ƒ
Analyser votre stratégie VPN
Configurer vos tunnels VPN
Tester la configuration de votre VPN
Vous pouvez utiliser ce service après avoir correctement installé et configuré vos périphériques Firebox.
34
WatchGuard System Manager
5
Surveillance de l’état de
Firebox
À propos de Firebox System Manager (FSM)
WatchGuard Firebox System Manager (FSM) vous permet d’analyser tous les composants et toutes les tâches
de Firebox à partir d’une seule interface. Vous pouvez observer les fonctions suivantes :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
État de base du réseau et de Firebox (Onglet Panneau avant)
Messages des journaux Firebox (Onglet Moniteur du trafic)
Affichage visuel de l’utilisation de la bande passante (Onglet Mesure de la bande passante)
Affichage visuel de l’utilisation des stratégies (Onglet Suivi du service)
Statistiques du trafic et des performances (Onglet Rapport d’état)
Utilisateurs authentifiés (Onglet Liste d’authentification)
Liste des sites bloqués (Onglet Sites bloqués)
Abonnements de sécurité (Onglet Services de sécurité)
Vous pouvez également lancer ces applications à partir de Firebox System Manager :
ƒ
ƒ
ƒ
HostWatch est une interface utilisateur graphique qui affiche les connexions entre les différentes
interfaces Firebox.
Performance Console est un utilitaire Firebox qui vous permet de créer des graphiques illustrant la
manière dont les différentes parties de Firebox fonctionnent.
Journal des communications conserve les messages relatifs aux connexions entre Firebox et
Firebox System Manager.
Vous pouvez effectuer les opérations suivantes à l’aide de Firebox System Manager :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Analyser des certificats
Afficher et synchroniser les clés de fonctionnalité
Synchroniser l’heure
Effacer le cache ARP
Effacer les alarmes
Générer de nouvelles clés pour les tunnels BOVPN
Contrôler High Availability
Modifier les mots de passe
Guide de l’utilisateur
35
Surveillance de l’état de Firebox
Menus, icônes et boutons de Firebox System Manager
Les commandes de Firebox System Manager (FSM) sont regroupées dans les menus en haut de la fenêtre
principale. Les tâches les plus courantes sont également disponibles sous la forme d’icônes sur la barre d’outils
ou de boutons.
ƒ
ƒ
ƒ
36
Menus de Firebox System Manager
Icônes de Firebox System Manager
Boutons de Firebox System Manager
WatchGuard System Manager
Surveillance de l’état de Firebox
Menus de Firebox System Manager
Menu
Commande
Fonction
Fichier
Paramètres
Modifie la manière dont Firebox System Manager affiche
les informations d’état dans les affichages.
Déconnecter
Laisse Firebox System Manager ouvert mais arrête
la connexion au périphérique Firebox analysé.
Rétablir
Arrête les composants du système d’exploitation
de Firebox et les redémarre (redémarrage partiel).
Redémarrer
Redémarre le périphérique Firebox actif.
Arrêter
Arrête Firebox.
Fermer
Ferme la fenêtre de Firebox System Manager.
Certificats
Répertorie les certificats de Firebox et permet à l’utilisateur
de les consulter, d’en ajouter et d’en supprimer.
Clés de fonctionnalité
Répertorie les différentes clés de fonctionnalité de
Firebox.
Journal des
communications
Ouvre le journal des communications, qui contient des
informations comme le succès ou l’échec des connexions,
les transferts, etc. Il s’agit de connexions entre Firebox
et Firebox System Manager.
Policy Manager
Ouvre Policy Manager avec la configuration
du périphérique Firebox sélectionné.
HostWatch™
Ouvre le système HostWatch connecté au périphérique
Firebox actif.
Performance Console
Ouvre Performance Console qui affiche les graphiques
des performances du périphérique Firebox.
Synchroniser l’heure
Synchronise l’heure du périphérique Firebox avec l’heure
système.
Effacer le cache ARP
Vide le cache ARP du périphérique Firebox sélectionné.
Effacer l’alarme
Vide la liste des alarmes du périphérique Firebox
sélectionné.
Générer une nouvelle clé
pour tous les tunnels
BOVPN
Force l’expiration et la reconstruction de tous
les tunnels BOVPN.
Affichage
Outils
Synchroniser les clés de
fonctionnalité
Aide
Guide de l’utilisateur
High Availability
Vous permet de contrôler manuellement les
fonctionnalités High Availability.
Modifier les mots de
passe
Modifie les mots de passe d’état et de configuration.
Aide de
Firebox System Manager
Ouvre les fichiers d’aide en ligne de cette application.
À propos de
Affiche les informations de version et de copyright.
37
Surveillance de l’état de Firebox
Icônes de Firebox System Manager
Icône
Fonction
Redémarre l’affichage. Cette icône s’affiche uniquement lorsque vous n’êtes pas
connecté à un périphérique Firebox.
Arrête l’affichage. Cette icône s’affiche uniquement lorsque vous êtes connecté à un
périphérique Firebox.
Affiche les certificats VPN et de gestion enregistrés sur Firebox.
Affiche les clés de fonctionnalité inscrites et installées sur Firebox.
Démarre Policy Manager. Cette application vous permet de créer ou modifier un
fichier de configuration.
Démarre HostWatch qui affiche les connexions de ce périphérique Firebox.
Démarre l’utilitaire Performance Console, dans lequel vous pouvez configurer des
graphiques illustrant l’état du périphérique Firebox.
Affiche la boîte de dialogue Journal des communications qui présente les connexions
entre Firebox System Manager et le périphérique Firebox.
Boutons de Firebox System Manager
Bouton
Fonction
Renouveler
S’affiche dans la partie supérieure droite de la fenêtre de FSM lorsqu’une
fonctionnalité ou un service WSM a expiré. Pour le renouveler, cliquez sur le bouton.
Activer
S’affiche dans la partie supérieure droite de la fenêtre de FSM lorsque Firebox n’a pas
encore été activé. Pour accéder au site Web LiveSecurity et activer Firebox, cliquez sur
le bouton.
Forcer la
restauration
S’affiche dans la partie supérieure droite de la fenêtre de FSM lorsqu’une restauration
Multi-WAN se produit. Cliquez sur le bouton pour revenir à l’autre interface WAN.
Démarrer Firebox System Manager
1. Si ce n’est pas déjà fait, démarrez WatchGuard System Manager.
2. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique.
3. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager. (Si vous n’êtes pas
encore connecté à un périphérique Firebox, connectez-vous à un périphérique Firebox.)
4. Cliquez sur
ou sélectionnez Outils > Firebox System Manager.
Firebox System Manager s’affiche. Quelques instants sont parfois nécessaires pour que
Firebox System Manager se connecte à Firebox et que vous puissiez voir les informations d’état.
Définir l’intervalle d’actualisation et la mise en pause de l’affichage
Tous les onglets de Firebox System Manager contiennent, dans la partie inférieure de l’écran, une liste
déroulante permettant de définir un intervalle d’actualisation et un bouton Pause pour arrêter l’affichage.
38
WatchGuard System Manager
Surveillance de l’état de Firebox
Intervalle d’actualisation
L’intervalle d’actualisation correspond à l’intervalle d’interrogation, autrement dit au temps qui sépare
chaque actualisation de l’affichage. Vous pouvez modifier la fréquence (définie en secondes) à laquelle
Firebox System Manager recueille les informations de Firebox et envoie les mises à jour à l’interface utilisateur.
Vous devez équilibrer la fréquence de collecte des informations et la charge imposée à Firebox. Veillez à
examiner l’intervalle d’actualisation de chaque onglet. Lorsqu’un onglet obtient de nouvelles informations à
afficher, le texte « Actualisation en cours » s’affiche en regard de la liste déroulante Intervalle d’actualisation.
Un intervalle plus court améliore la précision de l’affichage, mais augmente la charge imposée à Firebox. Dans
Firebox System Manager, utilisez la liste déroulante Intervalle d’actualisation pour sélectionner une
nouvelle durée entre chaque actualisation des fenêtres. Vous pouvez sélectionner 5 secondes, 10 secondes,
30 secondes, 60 secondes, 2 minutes ou 5 minutes. Vous pouvez également y entrer une valeur personnalisée.
Pause/Continuer
Vous pouvez cliquer sur le bouton Pause pour arrêter temporairement l’actualisation de cette fenêtre par
Firebox System Manager. Lorsque vous avez cliqué sur le bouton Pause, ce dernier se transforme en bouton
Continuer. Cliquez sur Continuer pour continuer l’actualisation de la fenêtre.
Guide de l’utilisateur
39
Surveillance de l’état de Firebox
État de base du réseau et de Firebox
(onglet Panneau avant)
L’onglet Panneau avant de Firebox System Manager affiche des informations de base relatives à Firebox, au
réseau et au trafic réseau. Il affiche également des avertissements relatifs à Firebox ou à ses composants.
Pour ouvrir Firebox System Manager, procédez comme suit :
1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique.
2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager.
3. Cliquez sur .
Vous pouvez également sélectionner Outils > Firebox System Manager.
Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état
et la configuration peut prendre un certain temps.
Pour plus d’informations sur l’état du réseau et de Firebox, voir :
ƒ
ƒ
ƒ
ƒ
Affichage visuel du trafic entre les interfaces
Volume du trafic, charge du processeur et état de base
État de Firebox
État des tunnels VPN et services de sécurité
Avertissements
Tout avertissement précède les autres informations d’état :
ƒ
ƒ
Si Firebox n’a pas encore été activé, un avertissement s’affiche et le bouton Activer est visible dans le
coin supérieur droit de la fenêtre. Cliquez dessus pour accéder au site Web des services LiveSecurity et
obtenir une clé de fonctionnalité pour Firebox.
Si l’un des services WSM est sur le point d’expirer, un avertissement s’affiche et le bouton Renouveler
est visible dans le coin supérieur droit de la fenêtre. Cliquez dessus pour accéder au site Web des
services LiveSecurity et renouveler les services.
Développer et fermer les arborescences
Pour développer un élément de l’affichage, cliquez sur le signe plus (+) en regard de l’entrée ou doublecliquez sur le nom de l’entrée. Pour réduire un élément, cliquez sur le signe moins (–) en regard de l’entrée. Le
signe plus ou moins n’apparaît que si des informations supplémentaires sont disponibles.
40
WatchGuard System Manager
Surveillance de l’état de Firebox
Affichage visuel du trafic entre les interfaces
Dans le coin supérieur gauche de la fenêtre, Firebox System Manager présente un affichage visuel illustrant le
sens du trafic entre les interfaces Firebox. Cet affichage indique également si le trafic en cours est autorisé ou
refusé sur chaque interface. Il peut être représenté sous la forme d’un triangle ou d’une étoile.
Pour ouvrir Firebox System Manager, procédez comme suit :
1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique.
2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager.
3. Cliquez sur .
Vous pouvez également sélectionner Outils > Firebox System Manager.
Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état
et la configuration peut prendre un certain temps.
Les points de l’étoile et du triangle illustrent le trafic qui traverse les interfaces. Un point vert correspond au
trafic autorisé sur cette interface. Un point rouge indique que le trafic est refusé ou que l’interface refuse un
certain trafic et en autorise un autre. Chaque point représente les connexions entrantes et sortantes avec
différentes flèches. Lorsque le trafic va et vient entre deux interfaces, les flèches en indiquent la direction.
Dans le schéma de l’étoile, l’emplacement où les points se regroupent peut indiquer une des deux conditions
suivantes :
ƒ
ƒ
Rouge (refus) : Firebox refuse une connexion sur cette interface.
Vert (autorisation) : un trafic existe entre cette interface et une autre interface (mais pas le centre) de
l’étoile. Lorsqu’un trafic existe entre cette interface et le centre, le point entre les deux prend la forme
de flèches vertes clignotantes.
Dans le triangle, le trafic réseau est représenté dans les points. Ces derniers affichent uniquement la condition
inactive ou refusée, sauf lorsque le volume de trafic VPN de l’route par défaut est important. Le trafic VPN de
l’route par défaut fait référence aux paquets envoyés à travers un VPN à destination d’un périphérique Firebox
configuré comme la passerelle par défaut du réseau VPN. Dans ce cas, l’indicateur de niveau de trafic de
Firebox System Manager peut afficher un trafic très important, mais vous ne voyez aucun voyant vert alors
que le trafic VPN de l’route par défaut entrant et sortant s’intensifie sur la même interface.
Affichage en triangle
Si un périphérique Firebox compte seulement trois interfaces configurées, chaque coin du triangle représente
une interface. Si un périphérique Firebox compte plus de trois interfaces, chaque coin du triangle représente
un type d’interface. Par exemple, si vous avez six interfaces configurées dont une interface externe, une
interface approuvée et quatre interfaces facultatives, le coin « Toutes les interfaces facultatives » du triangle
représente les quatre interfaces facultatives.
Guide de l’utilisateur
41
Surveillance de l’état de Firebox
Affichage en étoile
L’étoile affiche l’intégralité du trafic entrant et sortant de l’interface centrale. Une flèche reliant l’interface
centrale et une interface de nSud indique que Firebox envoie du trafic. Le trafic entre par l’interface centrale
et sort par l’interface de nSud. Par exemple, si eth1 est au centre et eth2 à un nSud, une flèche verte indique
que le trafic transite de eth1 vers eth2. Il existe deux affichages en étoile : un pour Firebox X Core avec
6 interfaces et un pour Firebox X Peak avec 10 interfaces.
Si vous utilisez le schéma en étoile, vous pouvez personnaliser l’interface centrale. Cliquez sur le nom ou le
point de l’interface. Cette dernière passe alors au centre de l’étoile. Toutes les autres interfaces se déplacent
dans le sens des aiguilles d’une montre. Si vous déplacez une interface au centre de l’étoile, vous pouvez
observer tout le trafic qui transite entre cette interface et les autres. Par défaut, l’interface externe apparaît au
centre.
Pour changer l’affichage, cliquez dessus avec le bouton droit de la souris et sélectionnez Mode Triangle ou
Mode Étoile.
42
WatchGuard System Manager
Surveillance de l’état de Firebox
Volume du trafic, charge du processeur et état de base
Firebox System Manager affiche le volume du trafic, la charge du processeur et l’état de base du système sur
son panneau avant.
Pour ouvrir Firebox System Manager, procédez comme suit :
1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique.
2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager.
3. Cliquez sur .
Vous pouvez également sélectionner Outils > Firebox System Manager.
Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état
et la configuration peut prendre un certain temps.
Sous l’affichage du trafic de sécurité figurent l’indicateur de volume du trafic et de charge du processeur,
ainsi que des informations d’état de base (Détail). Les deux histogrammes illustrent le volume de trafic et la
capacité de Firebox.
État de Firebox
Le côté droit du panneau avant de Firebox System Manager affiche des informations d’état de base.
Pour ouvrir Firebox System Manager, procédez comme suit :
1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique.
2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager.
3. Cliquez sur .
Vous pouvez également sélectionner Outils > Firebox System Manager.
Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état
et la configuration peut prendre un certain temps.
Guide de l’utilisateur
43
Surveillance de l’état de Firebox
États et avertissements
ƒ
ƒ
État de Firebox. Inclut la version de Fireware et la chaîne de correctif.
Avertissements : s’affichent lorsque des mises à jour des services de sécurité sont disponibles ou
lorsque les services d’abonnement ou autres fonctionnalités arrivent bientôt à expiration. Pour les
renouveler, cliquez sur le bouton Renouveler qui s’affiche dans la partie supérieure droite de la fenêtre
de FSM.
Détails sur Firebox, High Availability et l’interface
Sous l’onglet Panneau avant de Firebox System Manager (visible lorsque vous démarrez FSM), développez
les entrées pour afficher les informations suivantes :
ƒ
ƒ
44
Si High Availability est configuré, si le pair HA est disponible. L’heure de la dernière mise à jour de la
configuration des périphériques principaux et secondaires s’affiche également.
L’adresse IP de chaque interface Firebox et le mode de configuration de l’interface externe.
WatchGuard System Manager
Surveillance de l’état de Firebox
Si vous développez une nouvelle fois les entrées de chaque interface, vous affichez les informations suivantes :
ƒ
ƒ
ƒ
ƒ
l’adresse IP, la passerelle et le masque de réseau de chaque interface configurée ;
l’adresse MAC (Media Access Control) de chaque interface ;
le nombre d’octets et de paquets échangés depuis le dernier redémarrage de Firebox ;
l’état du lien physique (une interface ou un lien en couleur signifie qu’il est configuré et une icône noire
indique que l’interface ou le lien est désactivé).
Certificats et leur état actuel
FSM affiche les certificats de Firebox et leur état actuel. Pour les certificats valides, FSM affiche l’empreinte et
la période de validité.
Guide de l’utilisateur
45
Surveillance de l’état de Firebox
État des tunnels VPN et services de sécurité
Le panneau avant de Firebox System Manager affiche des statistiques relatives aux tunnels VPN actifs.
Pour ouvrir Firebox System Manager, procédez comme suit :
1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique.
2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager.
3. Cliquez sur .
Vous pouvez également sélectionner Outils > Firebox System Manager.
Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état
et la configuration peut prendre un certain temps.
Sous la section État de Firebox, à droite de l’écran, figure une section consacrée aux tunnels BOVPN.
Firebox System Manager affiche l’état en cours et les informations de passerelle de chaque tunnel VPN, ainsi
que les données échangées, les informations de création et d’expiration, le type d’authentification et de
chiffrement et le nombre de renouvellements de clés.
Chaque tunnel BOVPN peut avoir l’un des trois états suivants :
Actif
Le tunnel BOVPN est opérationnel et transmet le trafic.
Inactif
Le tunnel BOVPN a été créé mais aucune négociation n’a eu lieu. Aucun trafic n’a été envoyé à travers
le tunnel VPN.
Expiré
Le tunnel BOVPN a été actif mais ne l’est plus car il n’a plus de trafic ou le lien entre les passerelles est
rompu.
Ces informations apparaissent également sous l’onglet État du périphérique dans
WatchGuard System Manager.
46
WatchGuard System Manager
Surveillance de l’état de Firebox
État des tunnels Mobile VPN
Firebox System Manager affiche le nom d’utilisateur, l’adresse IP et la quantité de paquets échangés de trois
types de tunnels Mobile VPN :
ƒ
ƒ
ƒ
Mobile VPN with IPSec
Mobile VPN with SSL
Mobile VPN with PPTP
Pour déconnecter les utilisateurs de Mobile VPN, cliquez avec le bouton droit de la souris sur un utilisateur et
sélectionnez Déconnecter l’utilisateur sélectionné.
État des services de sécurité
Sous Services de sécurité, Firebox System Manager affiche le nombre de virus détectés, le nombre
d’intrusions, le nombre de messages électroniques confirmés comme étant du courrier indésirable et le
nombre de requêtes Web refusées par WebBlocker depuis le dernier redémarrage.
Guide de l’utilisateur
47
Surveillance de l’état de Firebox
Messages des journaux Firebox (Moniteur du trafic)
Pour voir les messages des journaux Firebox, cliquez sur l’onglet Moniteur du trafic.
Cet utilitaire vous aide à résoudre les problèmes de performances réseau. Vous pouvez par exemple y
observer les stratégies les plus couramment utilisées ou si les interfaces externes sont constamment utilisées
à leur capacité maximum.
Vous pouvez personnaliser le Moniteur du trafic de différentes façons :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
48
Modifier les paramètres du Moniteur du trafic
Copier les messages dans une autre application
En savoir plus sur un message
Activer la notification des messages spécifiques
Utilisez les icônes de la partie supérieure de l’onglet Moniteur du trafic pour afficher des types de
messages de journaux spécifiques uniquement.
Lorsque vous configurez la connexion pour un périphérique Firebox, vous pouvez lui indiquer
d’afficher les messages de diagnostic dans Traffic Manager. Cela peut vous aider à diagnostiquer
rapidement un problème. Pour plus d’informations, voir Activer les diagnostics avancés.
WatchGuard System Manager
Surveillance de l’état de Firebox
Modifier les paramètres du Moniteur du trafic
Vous pouvez modifier un certain nombre de paramètres dans le Moniteur du trafic :
1. Démarrez Firebox System Manager.
2. Dans Firebox System Manager, sélectionnez Fichier > Paramètres.
La boîte de dialogue Paramètres s’affiche.
Définir le nombre maximum de messages des journaux
Vous pouvez modifier le nombre maximum de messages des journaux conservés et affichés sur le Moniteur
du trafic. Lorsque la limite est atteinte, les nouveaux messages remplacent les premières entrées. Si votre
processeur est lent ou la quantité de RAM insuffisante, une valeur élevée de ce champ peut ralentir le système
de gestion.
Si vous devez examiner un grand nombre de messages des journaux, nous vous conseillons d’utiliser
LogViewer, comme cela est décrit dans la rubrique Utiliser LogViewer pour afficher les fichiers journaux.
1. Dans Firebox System Manager, sélectionnez Fichier > Paramètres.
La boîte de dialogue Paramètres s’affiche.
2. Dans la liste déroulante Maximum de messages des journaux, sélectionnez le nombre de messages
des journaux que vous souhaitez afficher dans le Moniteur du trafic. Cliquez sur OK. La valeur entrée
indique le nombre de messages des journaux en milliers.
Afficher les noms de champs du journal
Vous pouvez paramétrer le Moniteur du trafic pour qu’il contienne des étiquettes pour les champs
des messages, comme ip_src, ip_dst et port_src.
1. Dans Firebox System Manager, sélectionnez Fichier > Paramètres.
La boîte de dialogue Paramètres s’affiche.
2. Activez la case à cocher Afficher les noms des champs du journal. Cliquez sur OK.
Guide de l’utilisateur
49
Surveillance de l’état de Firebox
Utiliser la couleur pour les messages des journaux
Dans le Moniteur du trafic, vous pouvez afficher les messages dans différentes couleurs. Ces couleurs peuvent
vous permettre de différencier les types d’informations.
1. Dans Firebox System Manager, sélectionnez Fichier > Paramètres. Cliquez sur l’onglet Moniteur du trafic.
2. Pour désactiver ou activer l’affichage des couleurs, activez ou désactivez la case à cocher Afficher les
journaux en couleur.
3. Sous l’onglet Alarme, Trafic autorisé, Trafic refusé, Événement, Déboguer ou Performances,
cliquez sur le champ devant apparaître en couleur. La zone en regard du champ Couleur du texte à
droite des onglets indique la couleur utilisée pour le champ.
4. Pour changer la couleur, cliquez sur la zone en regard de l’option Couleur du texte. Sélectionnez une
couleur. Un aperçu de la couleur s’affiche en bas de la boîte de dialogue. Cliquez sur OK pour fermer la
boîte de dialogue de sélection des couleurs ou sur Rétablir pour revenir à la couleur de texte utilisée
avant d’ouvrir cette boîte de dialogue. Cliquez une nouvelle fois sur OK pour fermer la boîte de
dialogue Paramètres.
5. Vous pouvez également sélectionner une couleur d’arrière-plan pour le Moniteur du trafic. Cliquez sur
la zone en regard de Couleur d’arrière-plan. Utilisez les procédures décrites plus haut pour changer
la couleur.
Vous pouvez annuler les changements apportés dans cette boîte de dialogue. Pour ce faire, cliquez sur
Paramètres par défaut.
50
WatchGuard System Manager
Surveillance de l’état de Firebox
Copier les messages dans une autre application
Pour copier-coller un message du journal dans une autre application logicielle, cliquez dessus avec le bouton
droit de la souris et sélectionnez Copier la sélection. Si vous sélectionnez Copier tout,
Firebox System Manager copie tous les messages des journaux. Ouvrez l’autre application et collez le ou les
messages.
Vous pouvez ouvrir le fichier journal dans LogViewer qui propose un éventail plus large de fonctionnalités
destinées aux messages des journaux. Pour plus d’informations sur LogViewer, voir Utiliser LogViewer pour
afficher les fichiers journaux et les rubriques connexes Importer et exporter les données des fichiers journaux
et Imprimer, enregistrer ou envoyer les messages des journaux par e-mail.
En savoir plus sur un message
Pour en savoir plus sur un message du journal du trafic, vous pouvez effectuer les opérations suivantes :
Exécuter la commande ping sur la source ou la destination
Pour exécuter la commande ping sur l’adresse IP source ou cible d’un message du journal du trafic,
cliquez avec le bouton droit de la souris sur le message et sélectionnez Ping. La boîte de dialogue
Tâches de diagnostic s’affiche avec l’option Ping sélectionnée dans la liste déroulante Tâches.
Entrez une adresse sur laquelle exécuter la commande ping et cliquez sur Exécuter la tâche.
Tracer l’route vers la source ou la destination
Pour tracer l’route vers l’adresse IP source ou cible d’un message du journal du trafic, cliquez avec le
bouton droit de la souris sur le message et sélectionnez Tracer l’route. La boîte de dialogue Tâches
de diagnostics s’affiche avec l’option Tracer l’route sélectionnée dans la liste déroulante Tâches.
Entrez une adresse et cliquez sur Exécuter la tâche.
Activer la notification des messages spécifiques
Pour analyser des événements Firebox spécifiques qui ne déclenchent normalement aucune notification,
vous pouvez activer la notification des messages spécifiques dans le journal du trafic. Les messages suivants
dotés du même identifiant de message déclenchent une notification.
1. Cliquez avec le bouton droit de la souris sur un message et sélectionnez Notifications d’événements.
La boîte de dialogue Notifications d’événements s’affiche. Les identifiants et descriptions de chaque
message figurent dans un tableau. Pour trier les données en fonction d’une colonne spécifique, cliquez
sur son en-tête.
2. Activez la case à cocher Notifier des messages pour lesquels vous souhaitez déclencher des
notifications.
Les paramètres de notification en bas de la boîte de dialogue s’appliquent à toutes les notifications
d’événements. Pour plus d’informations sur la manière d’utiliser ces champs, voir Définir les préférences de
journalisation et de notification.
Guide de l’utilisateur
51
Surveillance de l’état de Firebox
Affichage visuel de l’utilisation de la bande passante
(Onglet Mesure de la bande passante)
Sélectionnez l’onglet Mesure de la bande passante pour voir la bande passante en temps réel de toutes les
interfaces Firebox. L’axe des Y (vertical) représente le nombre de connexions. L’axe des X (horizontal)
représente le temps. Si vous cliquez sur n’importe quelle zone du graphique, vous ouvrez une fenêtre
contextuelle contenant des informations détaillées sur l’utilisation de la bande passante à ce moment précis.
La mesure montre les interfaces VLAN, le cas échéant, en plus des interfaces physiques.
52
WatchGuard System Manager
Surveillance de l’état de Firebox
Pour modifier le mode d’affichage de la bande passante, procédez comme suit :
Dans Firebox System Manager, sélectionnez Fichier > Paramètres. Cliquez sur l’onglet Mesure de la bande
passante.
Suivez une ou plusieurs des étapes présentées dans les sections ci-dessous.
Modifier l’échelle
Vous pouvez modifier l’échelle de l’onglet Mesure de la bande passante. Utilisez la liste déroulante Échelle
du graphique pour sélectionner la valeur correspondant le mieux à la vitesse de votre réseau. Vous pouvez
également définir une échelle personnalisée. Entrez la valeur en kilo-octets par seconde dans la zone de texte
Échelle personnalisée.
Ajouter et supprimer des lignes
Pour ajouter une ligne à l’onglet Mesure de la bande passante, sélectionnez l’interface dans la liste Masquer
de la section Paramètres des couleurs. Utilisez le contrôle Couleur du texte pour sélectionner une couleur
pour la ligne. Cliquez sur Ajouter. Le nom de l’interface s’affiche dans la liste Afficher avec la couleur
sélectionnée.
Pour supprimer une ligne de l’onglet Mesure de la bande passante, sélectionnez l’interface dans la liste
Afficher de la section Paramètres des couleurs. Cliquez sur Supprimer. Le nom de l’interface s’affiche dans la
liste Masquer.
Changer les couleurs
Vous pouvez modifier les couleurs de l’affichage de l’onglet Mesure de la bande passante. Utilisez les zones
de sélection des couleurs d’arrière-plan et de ligne de grille pour sélectionner une nouvelle couleur.
Guide de l’utilisateur
53
Surveillance de l’état de Firebox
Changer le mode d’affichage des interfaces
Vous pouvez modifier la manière dont les noms d’interface s’affichent à gauche de l’onglet Mesure de la
bande passante. Ils peuvent apparaître sous forme de liste. L’affichage peut également montrer un nom
d’interface à côté de la ligne qu’il identifie. Utilisez la liste déroulante Afficher l’interface pour sélectionner
Liste ou Indicateurs.
Affichage visuel de l’utilisation des stratégies
(Onglet Suivi du service)
Sélectionnez l’onglet Suivi du service de Firebox System Manager pour afficher un graphique des stratégies
configurées dans Policy Manager pour un périphérique Firebox. L’axe des Y (vertical) représente le nombre de
connexions. L’axe des X (horizontal) représente le temps. Si vous cliquez sur n’importe quelle zone du
graphique, vous ouvrez une fenêtre contextuelle contenant des informations détaillées sur l’utilisation des
stratégies à ce moment précis.
1. Pour modifier le mode d’affichage des stratégies, sélectionnez Fichier > Paramètres. Cliquez sur
l’onglet Suivi du service.
54
WatchGuard System Manager
Surveillance de l’état de Firebox
2. Suivez une ou plusieurs des étapes décrites dans les sections ci-dessous.
Modifier l’échelle
Vous pouvez modifier l’échelle de l’onglet Suivi du service. Utilisez la liste déroulante Échelle du graphique
pour sélectionner la valeur correspondant le mieux au volume de trafic de votre réseau. Vous pouvez
également définir une échelle personnalisée. Entrez le nombre de connexions dans la zone de texte Échelle
personnalisée.
Afficher la bande passante utilisée par une stratégie
Pour afficher les octets par seconde utilisés par une stratégie plutôt que le nombre de connexions, dans le
menu déroulant Type de graphique, sélectionnez Bande passante.
Pour afficher l’utilisation de la bande passante par interface plutôt que par stratégie, voir Affichage visuel de
l’utilisation de la bande passante (Onglet Mesure de la bande passante).
Guide de l’utilisateur
55
Surveillance de l’état de Firebox
Ajouter et supprimer des lignes
ƒ
ƒ
Pour ajouter une ligne à l’onglet Suivi du service, sélectionnez la stratégie dans la liste Masquer de la
section Paramètres des couleurs. Utilisez le contrôle Couleur du texte pour sélectionner une couleur
pour la ligne. Cliquez sur Ajouter. Le nom de l’interface s’affiche dans la liste Afficher avec la couleur
sélectionnée.
Pour supprimer une ligne de l’onglet Suivi du service, sélectionnez la stratégie dans la liste Afficher
de la section Paramètres des couleurs. Cliquez sur Supprimer. Le nom de l’interface s’affiche dans la
liste Masquer.
Changer les couleurs
Vous pouvez modifier les couleurs de l’affichage de l’onglet Suivi du service. Utilisez les zones de sélection
des couleurs d’arrière-plan et de ligne de grille pour sélectionner une nouvelle couleur.
Changer le mode d’affichage des noms de stratégie
Vous pouvez modifier la manière dont les noms de stratégies s’affichent à gauche de l’onglet Suivi du service.
Ils peuvent apparaître sous forme de liste. L’onglet peut également montrer un nom d’interface à côté de la
ligne qu’il identifie. Utilisez la liste déroulante Afficher les étiquettes de stratégie sous la forme de pour
sélectionner Liste ou Indicateurs.
Afficher les connexions par stratégie ou règle
Utilisez la liste déroulante Afficher les connexions par pour indiquer si le graphique doit afficher les
connexions par stratégie ou par règle. Si vous sélectionnez Stratégie, la partie gauche du graphique se
transforme en une liste de stratégies correspondant à celles qui apparaissent dans Policy Manager. Cela inclut
les stratégies des onglets Pare-feu et Mobile User with IPSec.
Si vous sélectionnez Règle, le graphique affiche les activités en fonction des règles définies dans Policy
Manager.
56
WatchGuard System Manager
Surveillance de l’état de Firebox
Statistiques de trafic et de performances
L’onglet Rapport d’état affiche des statistiques relatives au trafic et aux performances de Firebox.
Le rapport d’état de Firebox contient les informations suivantes :
Informations sur le temps d’activité et la version
Le temps d’activité de Firebox, la version du logiciel WatchGuard Firebox System, le modèle de
Firebox, la version du logiciel système et le correctif, le cas échéant. L’état et la version des
composants de Firebox y figurent également.
Serveurs Log Server
Adresses IP de tous les serveurs Log Server configurés.
Options de journalisation
Options des messages des journaux configurées à l’aide de l’Assistant Quick Setup Wizard ou de
Policy Manager.
Mémoire et charge moyennes
Statistiques d’utilisation de la mémoire (en octets de mémoire) et de la charge moyennes de Firebox.
La charge moyenne compte trois valeurs qui affichent généralement une moyenne sur la dernière,
les 5 et les 15 dernières minutes. Les valeurs dépassant 1,00 (100 %) indiquent la mise en file d’attente
des threads jusqu’à la libération de ressources. (Une charge système supérieure à 1,00 ne signifie pas
que le système est surchargé.)
Processus
ID, nom et état du processus.
Guide de l’utilisateur
57
Surveillance de l’état de Firebox
Configuration du réseau
Informations sur les cartes réseau de Firebox : nom de l’interface, ses adresses matérielles et
logicielles et son masque de réseau. L’affichage inclut également des informations de routage local,
les alias IP et les baux DHCP réservés.
Liste des sites bloqués, exceptions aux sites bloqués
Sites bloqués manuellement et exceptions actives. Les sites bloqués temporairement s’affichent sous
l’onglet des sites bloqués permanents.
Interfaces
Chaque interface Firebox, avec les informations relatives à son type (externe, approuvé ou facultatif),
son état et le nombre de paquets.
Routes
Table de routage des noyaux Firebox. Ces routes peuvent vous permettre d’associer une interface
Firebox à une adresse de destination. Les routes dynamiques et groupes ECMP acceptés par le
démon de routage dynamique apparaissent également.
Table ARP
Table ARP sur Firebox. Cette table permet d’associer les adresses IP aux adresses matérielles.
(Lorsqu’un système est en mode d’insertion, utilisez le contenu de la table ARP uniquement pour
réparer la connectivité vers les réseaux secondaires des interfaces.)
Entrées DNAT (Dynamic Network Address Translation) totales
Nombres d’entrées utilisées et disponibles.
État Multi-WAN
Informations relatives aux passerelles et connexions persistantes. Inclut également la table des
connexions persistantes.
Baux clients DHCP
Informations relatives aux baux clients DHCP sur Firebox.
Routage dynamique
Composants de routage dynamique utilisés sur Firebox, le cas échéant.
Serveurs DNS
Adresses des serveurs DNS.
Intervalle d’actualisation
Fréquence à laquelle cet affichage met à jour les informations.
Assistance technique
Cliquez sur Assistance technique pour ouvrir la boîte de dialogue Journaux d’assistance
technique. C’est ici que vous définissez l’emplacement d’enregistrement du fichier journal de
diagnostic. Le fichier d’assistance technique est enregistré au format .tgz. Vous créez ce fichier à des
fins de dépannage, lorsque vous y êtes invité par le responsable de l’assistance technique.
58
WatchGuard System Manager
Surveillance de l’état de Firebox
Utilisateurs authentifiés
L’onglet Liste d’authentification de Firebox System Manager contient des informations relatives à tous les
utilisateurs authentifiés auprès de Firebox. Les informations relatives à chaque utilisateur authentifié
s’affichent dans les quatre colonnes suivantes :
Utilisateur
Nom sous lequel l’utilisateur s’est authentifié.
Type
Type d’utilisateur authentifié : utilisateur se trouvant derrière un pare-feu ou itinérant.
Adresse IP
Adresse IP interne de l’utilisateur. Pour les utilisateurs itinérants, l’adresse IP présentée ici est celle qui
leur est attribuée par Firebox.
Adresse de provenance
Adresse IP de l’ordinateur à partir duquel l’utilisateur s’authentifie. Pour les utilisateurs itinérants,
l’adresse IP présentée ici est celle de l’ordinateur à partir duquel ils se sont connectés à Firebox.
Pour les utilisateurs se trouvant derrière un pare-feu, l’adresse IP et l’adresse de provenance sont les
mêmes.
Vous pouvez cliquer sur les en-têtes de colonne pour trier les utilisateurs. Vous pouvez également
déconnecter l’utilisateur de Firebox. Pour cela, cliquez avec le bouton droit sur le nom d’utilisateur, puis
arrêtez sa session d’authentification.
Guide de l’utilisateur
59
Surveillance de l’état de Firebox
Afficher ou modifier la liste des sites bloqués
L’onglet Sites bloqués de Firebox System Manager contient les adresses IP de toutes les adresses IP externes
temporairement bloquées. Plusieurs événements peuvent entraîner l’ajout d’une adresse IP à l’onglet Sites
bloqués : une exploration d’espaces de port, une attaque d’usurpation, une exploration d’espaces d’adresse
ou un événement que vous configurez.
À côté de chaque adresse IP figure l’heure à laquelle elle sort de l’onglet Sites bloqués. Utilisez la boîte de
dialogue Sites bloqués de Policy Manager pour régler la durée pendant laquelle une adresse IP reste dans la
liste.
Ajouter et supprimer des sites
Le bouton Ajouter vous permet d’ajouter temporairement un site à la liste des sites bloqués. Cliquez sur
Modifier l’expiration pour modifier l’heure à laquelle ce site est retiré de la liste. Le bouton Supprimer retire
le site de la liste des sites bloqués.
Vous pouvez retirer un site de la liste uniquement si vous ouvrez Firebox à l’aide du mot de passe de
configuration.
60
WatchGuard System Manager
Surveillance de l’état de Firebox
Services de sécurité
L’onglet Services de sécurité de Firebox System Manager affiche des statistiques du périphérique Firebox
actif sur les abonnements aux services de sécurité suivants, s’ils sont installés :
ƒ
ƒ
ƒ
Statistiques Gateway AntiVirus
Statistiques Intrusion Prevention Service
Statistiques SpamBlocker
Vous pouvez également utiliser cette page pour mettre à jour les signatures et le moteur des services Gateway
AntiVirus et Intrusion Protection Service, comme cela est décrit dans la rubrique Afficher l’état et mettre à jour
les signatures ou le moteur manuellement.
Statistiques Gateway AntiVirus
L’onglet Services de sécurité de Firebox System Manager affiche les statistiques du périphérique Firebox
actif relatives à la fonctionnalité Gateway AntiVirus.
Activité depuis le dernier redémarrage
ƒ Virus détectés : nombre de virus détectés dans les fichiers analysés depuis le dernier redémarrage
de Firebox.
ƒ Objets analysés/non analysés : nombre de fichiers analysés ou non analysés depuis le dernier
redémarrage de Firebox.
Signatures
ƒ Version installée : numéro de version des signatures installées.
ƒ Dernière mise à jour : date de la dernière mise à jour des signatures.
ƒ Version disponible : si une nouvelle version des signatures est disponible.
ƒ URL du serveur : URL consultée par Firebox pour vérifier la disponibilité d’éventuelles mises à jour
et URL à partir de laquelle les mises à jour sont téléchargées.
ƒ Historique : cliquez dessus pour afficher une liste de toutes les mises à jour de signatures. Vous
pouvez cliquer avec le bouton droit de la souris sur une mise à jour sélectionnée ou sur la liste
entière de mises à jour pour copier les informations correspondantes.
ƒ Mise à jour : cliquez dessus pour mettre à jour les signatures de virus. Ce bouton est actif
uniquement si une nouvelle version de signatures de virus est disponible.
Guide de l’utilisateur
61
Surveillance de l’état de Firebox
Moteur
ƒ Version installée : numéro de version du moteur installé.
ƒ Dernière mise à jour : date de la dernière mise à jour du moteur.
ƒ Version disponible : si une nouvelle version du moteur est disponible.
ƒ URL du serveur : URL consultée par Firebox pour vérifier la disponibilité d’éventuelles mises à jour
et URL à partir de laquelle les mises à jour sont téléchargées.
ƒ Historique : cliquez dessus pour afficher une liste de toutes les mises à jour du moteur. Vous pouvez
cliquer avec le bouton droit de la souris sur une mise à jour sélectionnée ou sur la liste entière de
mises à jour pour copier les informations correspondantes.
ƒ Mise à jour : cliquez dessus pour mettre à jour les signatures de virus.
Statistiques du service Intrusion Prevention Service
L’onglet Services de sécurité de Firebox System Manager présente les statistiques du périphérique Firebox
actif relatives à la fonctionnalité Intrusion Prevention Service pour les signatures.
Activité depuis le dernier redémarrage
ƒ Analyses effectuées : nombre de fichiers analysés depuis le dernier redémarrage de Firebox.
ƒ Intrusions détectées : nombre d’intrusions détectées dans les fichiers analysés depuis le dernier
redémarrage de Firebox. Intrusions empêchées : nombre de fichiers infectés supprimés depuis le
dernier redémarrage de Firebox.
Signatures
ƒ Version installée : numéro de version des signatures installées.
ƒ Dernière mise à jour : date de la dernière mise à jour des signatures.
ƒ Version disponible : si une nouvelle version des signatures est disponible.
ƒ URL du serveur : URL consultée par Firebox pour vérifier la disponibilité d’éventuelles mises à jour
et URL à partir de laquelle les mises à jour sont téléchargées.
ƒ Historique : cliquez dessus pour afficher une liste de toutes les mises à jour de signature.
ƒ Mettre à jour : cliquez dessus pour mettre à jour les signatures d’Intrusion Prevention. Ce bouton
est actif uniquement si une nouvelle version des signatures d’Intrusion Prevention est disponible.
ƒ Afficher : cliquez dessus pour télécharger et afficher une liste de toutes les signatures IPS actuelles.
Une fois les signatures téléchargées, vous pouvez les consulter par identifiant.
Statistiques de spamBlocker
L’onglet Service de sécurité de Firebox System Manager contient les statistiques du périphérique Firebox
actif relatives à spamBlocker.
Les informations suivantes s’affichent :
ƒ
ƒ
ƒ
le nombre de messages identifiés comme du courrier indésirable confirmé, des e-mails en masse, du
courrier indésirable présumé ou du courrier légitime depuis le dernier redémarrage ;
le nombre de messages bloqués, marqués ou envoyés au serveur Quarantine Server depuis le dernier
redémarrage ;
le nombre de messages bloqués ou autorisés depuis le dernier redémarrage à cause d’une liste
d’exceptions spamBlocker que vous avez créée. Les exceptions créées pour bloquer des sites
supplémentaires sont parfois appelées liste noire et celles qui sont créées pour autoriser des sites
supplémentaires sont parfois appelées liste blanche.
Si vous redémarrez Firebox, tous les compteurs sont remis à zéro.
62
WatchGuard System Manager
Surveillance de l’état de Firebox
À propos d’HostWatch
HostWatch est une interface utilisateur graphique qui affiche les connexions entre les différentes interfaces
Firebox. HostWatch fournit également des informations relatives aux utilisateurs, connexions, ports, état de la
connexion (normal ou bloqué), entre autres.
Fenêtre HostWatch
La partie supérieure de la fenêtre HostWatch est séparée en deux. La partie gauche permet de définir
l’interface à analyser. La partie droite affiche les connexions entrantes et sortantes de l’interface configurée
dans la partie gauche.
Les lignes qui connectent les hôtes source et cible utilisent des couleurs pour afficher le type de connexion.
Vous pouvez les modifier. Les couleurs par défaut sont les suivantes :
ƒ
ƒ
ƒ
ƒ
Rouge : Firebox refuse la connexion.
Bleu : la connexion utilise un proxy.
Vert : Firebox utilise NAT pour la connexion.
Noir : connexion normale (elle a été acceptée et n’utilise ni proxy ni NAT).
Les icônes illustrant le type de service s’affichent en regard des entrées de serveur.
Telnet
FTP
HTTP
Autre
Messagerie électronique
Résolution DNS et HostWatch
La résolution DNS (Domain name server) ne se produit pas immédiatement au démarrage d’HostWatch.
Lorsqu’HostWatch est configuré pour la résolution DNS, il remplace les adresses IP par les noms d’hôtes ou
d’utilisateurs. Si Firebox ne peut pas identifier le nom d’hôte ou d’utilisateur, l’adresse IP reste dans la fenêtre
HostWatch.
Si vous utilisez la résolution DNS avec HostWatch, la station de gestion peut envoyer un grand nombre
de paquets NetBIOS (UDP 137) via le périphérique Firebox. Pour éviter cela, la seule méthode consiste
à désactiver le NetBIOS sur TCP/IP dans Windows.
Démarrer HostWatch
Pour démarrer HostWatch, dans Firebox System Manager, cliquez sur
Vous pouvez également sélectionner Outils > HostWatch.
.
Suspendre HostWatch
Vous pouvez arrêter temporairement puis redémarrer l’affichage à l’aide des boutons Pause et Continuer de
la barre d’outils. Vous pouvez également sélectionner Fichier > Pause et Fichier > Continuer.
Guide de l’utilisateur
63
Surveillance de l’état de Firebox
Sélectionner les connexions et les interfaces à analyser
Lorsque vous démarrez HostWatch pour la première fois, les interfaces internes de Firebox s’affichent dans la
partie supérieure gauche de la fenêtre et les connexions entre ces interfaces dans la partie supérieure droite.
Double-cliquez sur un élément de la partie droite ou gauche pour ouvrir la boîte de dialogue Connexions
pour contenant les connexions impliquant cet élément. La boîte de dialogue affiche les informations relatives
à la connexion et inclut les adresses IP, le numéro de port, l’heure, le type de connexion, ainsi que la direction.
La partie inférieure de la fenêtre HostWatch affiche toutes les connexions entre toutes les interfaces. Les
informations sont répertoriées dans un tableau qui comprend :
ƒ
ƒ
ƒ
ƒ
ƒ
Source et destination
Port
Interface Firebox utilisée et type de trafic (entrant ou sortant)
Type de connexion (normale, avec proxy, bloquée)
Détails, comme l’heure de création de la connexion ou la commande utilisée pour la créer
Sélectionner une nouvelle interface à gérer
Pour sélectionner une nouvelle interface, sélectionnez Afficher > Interface, puis l’interface à analyser. Vous
pouvez également cliquer avec le bouton droit de la souris sur le nom de l’interface active et sélectionner la
nouvelle interface.
Pour spécifier le nom exact de l’interface ou utiliser une expression régulière pour extraire plusieurs interfaces,
sélectionnez Autre dans la liste des interfaces lorsque vous sélectionnez Afficher > Interface. Ceci vous
permet par exemple d’afficher les VLAN dans HostWatch.
64
WatchGuard System Manager
Surveillance de l’état de Firebox
Filtrer le contenu d’une fenêtre HostWatch
Par défaut, HostWatch affiche l’intégralité des stratégies, hôtes, ports et utilisateurs authentifiés. Vous pouvez
modifier cette fenêtre pour qu’elle affiche uniquement le contenu de votre choix. Cette fonctionnalité vous
permet par exemple d’analyser des stratégies, des hôtes, des ports ou des utilisateurs spécifiques.
1. Dans HostWatch, sélectionnez Afficher > Filtre.
2. Cliquez sur l’onglet correspondant pour analyser les éléments suivants : Liste des stratégies, Hôtes
externes principaux, Autres hôtes, Ports ou Utilisateurs authentifiés.
3. Sous l’onglet de chaque élément que vous souhaitez observer, entrez l’adresse IP, le numéro de port
ou le nom d’utilisateur à analyser. Cliquez sur Ajouter. Si vous filtrez par stratégies, activez la case à
cocher à côté de chaque stratégie à analyser. Vous pouvez également activer la case à cocher Afficher
tout de chaque onglet pour afficher tous les éléments de la catégorie.
4. Cliquez sur OK.
Guide de l’utilisateur
65
Surveillance de l’état de Firebox
Modifier les propriétés visuelles d’HostWatch
Vous pouvez modifier la manière dont HostWatch affiche les informations. Par exemple, vous pouvez
demander à HostWatch d’afficher les noms d’hôtes plutôt que les adresses.
1. Dans HostWatch, sélectionnez Afficher > Paramètres.
2. Utilisez l’onglet Affichage pour modifier le mode d’affichage des hôtes dans la fenêtre HostWatch.
3. Utilisez l’onglet Couleur des lignes pour modifier les couleurs des lignes entre les connexions NAT,
proxy, bloquées et normales.
4. Cliquez sur OK pour fermer la boîte de dialogue Paramètres.
66
WatchGuard System Manager
Surveillance de l’état de Firebox
Visiter ou bloquer un site à partir d’HostWatch
Pour visiter un site affiché dans HostWatch, dans le volet inférieur de la fenêtre, cliquez avec le bouton droit
de la souris sur le site et sélectionnez Visiter le site Web avec proxy. Dans la fenêtre contextuelle qui s’affiche,
indiquez l’adresse du site.
Vous pouvez également bloquer une adresse IP et l’ajouter à la liste Sites bloqués :
1. Dans le volet supérieur, cliquez avec le bouton droit de la souris sur une adresse IP et sélectionnez
Bloquer le site : adresse du site. Vous pouvez également cliquer avec le bouton droit de la souris sur
une connexion dans le volet inférieur et sélectionner soit Bloquer le site : adresse source soit Bloquer
le site : adresse de destination.
2. Dans la fenêtre contextuelle qui s’affiche, indiquez la durée pendant laquelle le site doit rester bloqué.
3. À l’invite, entrez le mot de passe de configuration.
Firebox bloque alors toutes les connexions réseau qui entrent ou sortent de cette adresse IP.
À propos de Performance Console
Performance Console est un utilitaire Firebox qui vous permet de créer des graphiques illustrant le
fonctionnement de différentes parties de Firebox. Pour obtenir les informations souhaitées, définissez des
compteurs qui identifient les informations utilisées pour créer le graphique.
Démarrer Performance Console
Pour démarrer Performance Console, dans Firebox System Manager, cliquez sur
Performance Console.
La fenêtre Ajouter un graphique s’affiche.
. Ou sélectionnez Outils >
Créer des graphiques avec Performance Console
Pour créer des graphiques dans Performance Console, procédez comme suit :
ƒ
ƒ
Définissez des compteurs de performances. Les compteurs sont regroupés dans les catégories
répertoriées dans la rubrique « Types de compteurs » ci-dessous.
Modifiez un graphique ou ajoutez-en un nouveau, comme cela est décrit dans la rubrique Ajouter des
graphiques ou modifier les intervalles d’interrogation.
Guide de l’utilisateur
67
Surveillance de l’état de Firebox
Types de compteurs
Vous pouvez analyser les types de compteurs de performances suivants :
Informations système
Affiche le mode d’utilisation du processeur.
Interfaces
Analyse et signale les événements des interfaces sélectionnées. Par exemple, vous pouvez définir un
compteur qui analyse le nombre de paquets reçus par une interface spécifique.
Stratégies
Analyse et signale les événements des stratégies sélectionnées. Par exemple, vous pouvez définir un
compteur qui surveille le nombre de paquets examinés par une stratégie spécifique.
Pairs VPN
Analyse et signale les événements des stratégies VPN sélectionnées.
Tunnels
Analyse et signale les événements des tunnels VPN sélectionnés.
Arrêter l’analyse ou fermer la fenêtre
Cliquez sur Arrêter l’analyse pour arrêter Performance Console. Vous pouvez arrêter le moniteur pour
économiser des ressources et le redémarrer ultérieurement.
Cliquez sur Fermer pour fermer la fenêtre du graphique.
Définir les compteurs de performances
Pour identifier un compteur d’une des catégories, procédez comme suit :
1. Dans Firebox System Manager, cliquez sur
La fenêtre Ajouter un graphique s’affiche.
, ou sélectionnez Outils > Performance Console.
2. Dans la fenêtre Ajouter un graphique, développez une des catégories de compteurs figurant sous
Compteurs disponibles.
Cliquez sur le signe + (plus) en regard du nom de la catégorie pour afficher les compteurs disponibles
pour cette dernière.
68
WatchGuard System Manager
Surveillance de l’état de Firebox
3. Cliquez sur un compteur. Par exemple, Utilisation du processeur. Les champs Configuration du
compteur sont automatiquement actualisés en fonction du compteur sélectionné.
4. Dans la liste déroulante Fenêtre du graphique, sélectionnez Nouvelle fenêtre si vous souhaitez que
le graphique s’affiche dans une nouvelle fenêtre. Ou, si des noms de fenêtres ouvertes figurent dans la
liste, cliquez sur l’un d’entre eux pour ajouter le graphique à une fenêtre ouverte.
5. Dans la liste déroulante Intervalle d’interrogation, sélectionnez une durée d’intervalle comprise
entre cinq secondes et une heure. Il s’agit de la fréquence à laquelle Performance Console recherche
les informations mises à jour sur Firebox.
6. Ajoutez les informations de configuration relatives au compteur sélectionné. Certains champs
s’affichent automatiquement en fonction du compteur choisi. Ces champs sont les suivants :
o Type : sélectionnez le type de graphique à créer dans la liste déroulante. Il peut s’agir d’un
graphique par taux, différence ou valeur brute.
Supposons que vous souhaitiez représenter un graphique de valeur_1 à heure_1, valeur_2 à
heure_2, etc. Si vous créez un graphique par taux, vous utilisez la différence de valeur divisée
par la différence d’heure : (valeur_2-valeur_1)/(heure_2-heure_1),
(valeur_3-valeur_2)/(heure_3-heure_2), etc.
Si vous spécifiez différence, vous utilisez la différence entre la nouvelle valeur et la valeur
précédente : valeur_2-valeur_1, valeur_3-valeur_2, etc.
Si vous spécifiez valeur brute, vous utilisez uniquement la valeur : valeur_1, valeur_2, etc. Les
valeurs brutes sont généralement des compteurs d’octets ou de paquets. Ils ne peuvent
qu’augmenter.
o Interface : sélectionnez dans la liste déroulante l’interface pour laquelle vous souhaitez
représenter les données dans un graphique.
o Stratégie : si vous sélectionnez un compteur de stratégies, choisissez dans la liste déroulante
une stratégie de votre configuration Firebox dont vous souhaitez représenter les données dans
un graphique. Vous pouvez mettre à jour la liste des stratégies qui s’affichent dans Performance
Console en cliquant sur le bouton Actualiser la liste des stratégies.
o IP pair : si vous sélectionnez un compteur de pairs VPN, choisissez dans la liste déroulante
l’adresse IP d’un point de terminaison VPN dont vous souhaitez représenter les données dans
un graphique. Vous pouvez mettre à jour la liste des points de terminaison VPN qui s’affichent
dans Performance Console en cliquant sur le bouton Actualiser la liste des pairs IP.
Guide de l’utilisateur
69
Surveillance de l’état de Firebox
o ID du tunnel : si vous sélectionnez un compteur de tunnels, choisissez dans la liste déroulante
le nom d’un tunnel VPN dont vous souhaitez représenter les données dans un graphique. Vous
pouvez mettre à jour la liste des tunnels VPN qui s’affichent dans Performance Console en
cliquant sur le bouton Actualiser la liste des ID de tunnel. Si vous ne connaissez pas l’ID de
votre tunnel VPN, affichez l’onglet Panneau avant de Firebox System Manager.
7. Activez la case à cocher Enregistrer les données du graphique dans un fichier pour enregistrer les
données recueillies par Performance Console dans un fichier de données XML ou un fichier de données
séparées par des virgules.
Vous pouvez par exemple ouvrir un fichier de données XML dans Microsoft Excel pour voir la valeur du
compteur enregistrée pour chaque intervalle d’interrogation. Vous pouvez utiliser d’autres outils pour
fusionner les données de plusieurs graphiques.
8. Cliquez sur OK pour commencer un graphique en temps réel de ce compteur.
Les graphiques s’affichent dans une fenêtre de graphique en temps réel. Vous pouvez afficher un
graphique dans chaque fenêtre ou plusieurs graphiques dans une même fenêtre. Les graphiques sont
automatiquement redimensionnés en fonction des données et actualisés toutes les cinq secondes.
Ce graphique de performances illustre l’utilisation du processeur. Pour créer des graphiques pour les
autres fonctions, procédez de la même manière.
70
WatchGuard System Manager
Surveillance de l’état de Firebox
Ajouter des graphiques ou modifier les intervalles d’interrogation
La fenêtre principale de Performance Console affiche un tableau contenant tous les compteurs de
performances configurés et actifs. De cette fenêtre, vous pouvez ajouter un nouveau graphique ou modifier
les intervalles d’interrogation des compteurs configurés.
Ajouter un nouveau graphique
Pour ajouter un nouveau graphique, cliquez sur le bouton + dans la barre d’outils de Performance Console
ou sélectionnez Fichier > Ajouter un graphique.
Modifier l’intervalle d’interrogation
Pour modifier l’intervalle d’interrogation d’une console Performance Console, sélectionnez le nom du
graphique dans la liste. Utilisez la liste déroulante des intervalles d’interrogation de la barre d’outils de
Performance Console pour modifier la fréquence des interrogations.
Supprimer un graphique
Pour supprimer un graphique, sélectionnez son nom dans la liste et utilisez le bouton X de la barre d’outils de
Performance Console ou sélectionnez Fichier > Supprimer le graphique.
Guide de l’utilisateur
71
Surveillance de l’état de Firebox
Afficher et gérer les certificats Firebox
À partir de Firebox System Manager, vous pouvez :
ƒ
ƒ
ƒ
ƒ
consulter une liste des certificats Firebox actuels et les détails de chacun ;
supprimer un certificat de Firebox ;
créer une demande de certificat ;
importer un certificat d’autorité de certification tierce et le stocker dans la liste de certificats approuvés.
Consulter les certificats actuels
Pour consulter la liste actuelle des certificats, dans Firebox System Manager, sélectionnez
Affichage > Certificats.
Dans cette fenêtre, vous pouvez consulter la liste de tous les certificats et de toutes les demandes de signature
de certificats. Cette liste contient les informations suivantes :
ƒ
ƒ
ƒ
72
l’état et le type du certificat ; (Le certificat marqué d’un astérisque est le certificat du serveur Web
Firebox actuellement actif.)
Pour plus d’informations sur les options du certificat de serveur Web, voir Authentification Firebox.
l’algorithme utilisé par le certificat ;
le nom de l’objet ou l’identificateur du certificat.
WatchGuard System Manager
Surveillance de l’état de Firebox
Pour consulter d’autres informations sur un certificat de la liste, sélectionnez le certificat et cliquez sur Détails.
La fenêtre Détail du certificat contient des informations relatives à l’autorité de certification ayant signé le
certificat et à l’empreinte du certificat. Utilisez ces informations à des fins de dépannage ou pour identifier les
certificats de façon unique.
Supprimer un certificat
Pour supprimer un certificat de Firebox, sélectionnez le certificat dans la boîte de dialogue Certificats et
cliquez sur Supprimer. Vous devez fournir le mot de passe (lecture/écriture) de configuration de Firebox pour
supprimer un certificat. Les certificats que vous supprimez ne peuvent plus être utilisés pour l’authentification.
Guide de l’utilisateur
73
Surveillance de l’état de Firebox
Importer une liste de révocation de certificats (CRL) à partir d’un fichier
Vous pouvez importer une liste de révocation de certificats (CRL) à partir d’un fichier situé sur votre ordinateur
local. Cette opération est utile lorsque vous devez restaurer un périphérique Firebox à partir d’une
sauvegarde.
1. Dans Firebox System Manager, sélectionnez Affichage > Certificats.
2. Dans la boîte de dialogue Certificat, cliquez sur Importer un certificat/CRL.
3. Cliquez sur l’onglet Importer une CRL. Cliquez sur Parcourir pour trouver le fichier.
4. Cliquez sur Importer la CRL.
La boîte de dialogue Importer la CRL s’affiche.
5. Tapez le mot de passe de configuration, puis cliquez sur OK.
La CRL que vous avez indiquée est ajoutée à la CRL de Firebox.
74
WatchGuard System Manager
Surveillance de l’état de Firebox
Récupérer la CRL sur un serveur LDAP
Vous pouvez récupérer une CRL sur un serveur LDAP si vous y avez accès. Vous devez avoir les informations
de compte LDAP fournies par un service d’autorité de certification tiers.
1. Dans Policy Manager, sélectionnez VPN > Paramètres VPN.
La boîte de dialogue Paramètres VPN s’affiche.
2.
3.
4.
5.
Activez la case à cocher Activer le serveur LDAP pour la vérification de certificats.
Entrez le nom ou l’adresse du serveur LDAP.
(Facultatif) Entrez le numéro de port.
Cliquez sur OK.
Firebox vérifie la CRL stockée sur le serveur LDAP lorsque l’authentification de tunnel est demandée.
Guide de l’utilisateur
75
Surveillance de l’état de Firebox
Afficher et synchroniser les clés de fonctionnalité
Pour afficher les clés de fonctionnalité installées sur Firebox, dans Firebox System Manager, sélectionnez
Afficher > Clés de fonctionnalité.
Fonctionnalité
Nom de la fonctionnalité, comme un abonnement à spamBlocker.
Valeur
Par exemple le nombre d’interfaces VLAN ou de tunnels BOVPN autorisés.
Expiration
La date d’expiration. Si la fonctionnalité n’expire pas, ce champ affiche Jamais.
État
Pour les fonctionnalités dotées de dates d’expiration, le nombre de jours restants.
76
WatchGuard System Manager
Surveillance de l’état de Firebox
Vous pouvez cliquer sur Détails pour afficher la clé de fonctionnalité.
Synchroniser les clés de fonctionnalité
Utilisez Firebox System Manager pour obtenir une clé de fonctionnalité active si vous avez déjà créé un
compte d’utilisateur LiveSecurity :
1. Dans Firebox System Manager, sélectionnez Outils > Synchroniser les clés de fonctionnalité.
2. À l’invite, entrez le mot de passe de configuration de Firebox.
Firebox contacte le site Web LiveSecurity et télécharge la clé de fonctionnalité active.
Journal des communications
Le journal des communications contient des informations comme le succès ou l’échec des connexions, les
transferts, etc. Il s’agit de connexions entre Firebox et Firebox System Manager.
Pour afficher le journal, dans Firebox System Manager, sélectionnez Affichage > Journal des
communications. Ce journal démarre au succès de la connexion initiale et affiche les informations relatives à
la session de gestion active.
Guide de l’utilisateur
77
Surveillance de l’état de Firebox
Effectuer des opérations dans Firebox System Manager
Synchroniser l’heure
Cette commande permet de synchroniser l’heure de Firebox avec l’heure système.
1. Dans Firebox System Manager, sélectionnez Outils > Synchroniser l’heure.
2. Entrez le mot de passe de configuration de Firebox. Cliquez sur OK.
Effacer le cache ARP
Le cache ARP (Address Resolution Protocol) de Firebox conserve les adresses matérielles (également appelées
adresses MAC) des hôtes TCP/IP. Avant le démarrage d’une requête ARP, le système vérifie qu’une adresse
matérielle se trouve dans le cache. Vous devez effacer le cache ARP de Firebox après l’installation lorsque le
réseau a une configuration d’insertion.
1. Dans Firebox System Manager, sélectionnez Outils > Effacer le cache ARP.
2. Entrez le mot de passe de configuration de Firebox. Cliquez sur OK.
Ce faisant, vous supprimez les entrées du cache.
Lorsque Firebox est en mode d’insertion, cette procédure efface uniquement le contenu de la table ARP et
non celui de la table MAC. Les entrées les plus anciennes de la table MAC sont supprimées si celle-ci en
contient plus de 2 000. Pour effacer la table MAC, il convient de redémarrer Firebox.
78
WatchGuard System Manager
Surveillance de l’état de Firebox
Afficher et synchroniser les clés de fonctionnalité
Pour afficher les clés de fonctionnalité installées sur Firebox, dans Firebox System Manager, sélectionnez
Afficher > Clés de fonctionnalité.
Fonctionnalité
Nom de la fonctionnalité, comme un abonnement à spamBlocker.
Valeur
Par exemple le nombre d’interfaces VLAN ou de tunnels BOVPN autorisés.
Expiration
La date d’expiration. Si la fonctionnalité n’expire pas, ce champ affiche Jamais.
État
Pour les fonctionnalités dotées de dates d’expiration, le nombre de jours restants.
Guide de l’utilisateur
79
Surveillance de l’état de Firebox
Vous pouvez cliquer sur Détails pour afficher la clé de fonctionnalité.
Synchroniser les clés de fonctionnalité
Utilisez Firebox System Manager pour obtenir une clé de fonctionnalité active si vous avez déjà créé un
compte d’utilisateur LiveSecurity :
1. Dans Firebox System Manager, sélectionnez Outils > Synchroniser les clés de fonctionnalité.
2. À l’invite, entrez le mot de passe de configuration de Firebox.
Firebox contacte le site Web LiveSecurity et télécharge la clé de fonctionnalité active.
Effacer les alarmes
Cette commande vous permet d’effacer la liste des alarmes dans Firebox.
1. Dans Firebox System Manager, sélectionnez Outils > Effacer l’alarme.
2. Entrez le mot de passe de configuration de Firebox. Cliquez sur OK.
Renouveler la clé des tunnels BOVPN
Normalement, les points de terminaison de passerelle des tunnels BOVPN doivent générer de nouvelles clés
et les échanger après un certain laps de temps ou le passage d’un certain volume de trafic. Parfois, lorsque
vous dépannez des tunnels, vous souhaiterez générer immédiatement les nouvelles clés plutôt que
d’attendre leur expiration. Les options de renouvellement de clés de Firebox System Manager font
immédiatement expirer les tunnels BOVPN. Les tunnels sont déclenchés par le trafic. Ils sont reconstruits
lorsque le trafic commence à les traverser. Si vous renouvelez une clé pour un tunnel et qu’aucun trafic ne le
traverse, il n’est pas reconstruit automatiquement.
80
WatchGuard System Manager
Surveillance de l’état de Firebox
Pour renouveler une clé pour un tunnel BOVPN
Dans le panneau avant de Firebox System Manager, sous le titre Tunnels VPN Branch Office, sélectionnez le
tunnel dont vous souhaitez renouveler la clé. Cliquez dessus avec le bouton droit de la souris et sélectionnez
Renouveler la clé du tunnel BOVPN sélectionné. À l’invite, entrez le mot de passe de configuration du
périphérique Firebox auquel Firebox System Manager est connecté.
Pour renouveler la clé de tous les tunnels BOVPN
Dans Firebox System Manager, cliquez n’importe où dans le panneau avant de la fenêtre avec le bouton droit
de la souris. Sélectionnez Renouveler la clé de tous les tunnels BOVPN. À l’invite, entrez le mot de passe de
configuration du périphérique Firebox auquel Firebox System Manager est connecté.
ou
Dans Firebox System Manager, sélectionnez Outils > Renouveler la clé de tous les tunnels BOVPN. À
l’invite, entrez le mot de passe de configuration du périphérique Firebox auquel Firebox System Manager est
connecté.
Contrôler High Availability
Vous pouvez effectuer plusieurs opérations High Availability à partir de Firebox System Manager. Pour plus
d’informations, voir Contrôler manuellement High Availability.
Modifier les mots de passe dans Firebox System Manager
Pour modifier les mots de passe Firebox dans Firebox System Manager, sélectionnez Outils > Modifier les
mots de passe.
Firebox utilise deux mots de passe :
ƒ
ƒ
Mot de passe d’état
Mot de passe en lecture seule permettant d’accéder à Firebox.
Mot de passe de configuration
Mot de passe en lecture/écriture donnant à un administrateur l’accès total à Firebox.
Pour créer un mot de passe sécurisé, suivez les recommandations ci-dessous :
ƒ
ƒ
ƒ
Utilisez une sélection de caractères en minuscules ou majuscules, de nombres et de caractères
spéciaux (par exemple, Im4e@tiN9).
N’utilisez pas de mots tirés d’un dictionnaire standard, même si vous l’utilisez dans une séquence ou
une langue différente.
N’utilisez pas de nom. Une personne malveillante peut très facilement trouver un nom d’entreprise,
familier ou encore le nom d’une personnalité.
Nous vous recommandons également de modifier régulièrement les mots de passe Firebox. Pour ce faire,
vous devez être en possession du mot de passe de configuration.
Guide de l’utilisateur
81
Surveillance de l’état de Firebox
82
WatchGuard System Manager
6
Administration et paramètres
globaux de Firebox
À propos des clés de fonctionnalité
Une clé de fonctionnalité est un jeu unique de caractères alphanumériques qui vous permet d’utiliser
différentes fonctionnalités de Firebox. Lorsque vous achetez une option ou une mise à niveau et que vous
recevez une nouvelle clé de fonctionnalité, vous améliorez les fonctionnalités de Firebox. Lors de l’achat d’une
nouvelle fonctionnalité, vérifiez que vous exécutez les étapes suivantes :
ƒ
ƒ
Obtenir une clé de fonctionnalité
Importer une clé de fonctionnalité dans Firebox
Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active
Une clé de fonctionnalité est toujours active dans Firebox. Pour afficher les fonctionnalités liées à cette clé,
sélectionnez Configurer > Clés de fonctionnalité dans Policy Manager.
La boîte de dialogue Clés de fonctionnalité Firebox apparaît. Cette boîte de dialogue affiche les éléments
suivants :
ƒ
ƒ
ƒ
ƒ
ƒ
Une liste des fonctionnalités disponibles
L’état de la fonctionnalité (activée ou désactivée)
La valeur affectée à la fonctionnalité (comme le nombre d’interfaces VLAN autorisées)
La date d’expiration de la fonctionnalité
L’état actuel de l’expiration (comme le nombre de jours restant avant l’expiration de la fonctionnalité)
Vérifier la conformité à la clé de fonctionnalité
Pour vérifier que toutes les fonctionnalités de Firebox sont activées correctement sur la clé de fonctionnalité,
procédez comme suit :
1. Dans Policy Manager, cliquez sur . La boîte de dialogue Conformité à la clé de fonctionnalité
apparaît. Le champ Description indique si toutes les fonctionnalités sont conformes à la clé de
fonctionnalité.
2. Si vous souhaitez obtenir une nouvelle clé de fonctionnalité, cliquez sur Ajouter une clé de
fonctionnalité. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. Affichez soit Importer
une clé de fonctionnalité dans Firebox soit Télécharger une clé de fonctionnalité.
Guide de l’utilisateur
83
Administration et paramètres globaux de Firebox
Obtenir une clé de fonctionnalité active
Si votre clé de fonctionnalité n’est pas active, vous pouvez télécharger une copie de n’importe quelle clé de
fonctionnalité à partir de Firebox vers votre station de gestion. Pour télécharger des clés de fonctionnalité à
partir de Firebox, cliquez sur Télécharger dans la boîte de dialogue Clés de fontionnalité Firebox. Une boîte
de dialogue dans laquelle vous devez entrer le mot de passe d’état de Firebox s’affiche.
Vous pouvez également utiliser Firebox System Manager pour obtenir une clé de fonctionnalité active. Si vous
avez déjà créé un compte d’utilisateur LiveSecurity, sélectionnez Outils > Synchroniser la clé de
fonctionnalité dans Firebox System Manager. Firebox contacte le site Web du service LiveSecurity et
télécharge la clé de fonctionnalité active.
Obtenir une clé de fonctionnalité
Avant de pouvoir activer une nouvelle fonctionnalité, vous devez avoir reçu de WatchGuard un certificat de
clé de licence qui ne soit pas déjà enregistré sur le site Web LiveSecurity.
1. Ouvrez un navigateur Web et accédez à la page : https://www.watchguard.com/activate.
2. Si vous n’êtes pas déjà connecté à LiveSecurity, vous accédez à la page de connexion au service
LiveSecurity. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity.
3. Entrez le numéro de série ou la clé de licence du produit qui figure sur le certificat imprimé, sans oublier
les tirets. Le numéro de série permet généralement d’enregistrer un nouveau périphérique Firebox et
la clé de licence permet d’enregistrer des fonctionnalités supplémentaires.
4. Cliquez sur Continuer. La page Choisir le produit à mettre à niveau apparaît.
5. Dans la liste déroulante, sélectionnez le périphérique Firebox devant faire l’objet d’une mise à niveau
ou d’un renouvellement. Si vous avez ajouté un nom de périphérique Firebox lors de l’enregistrement
de Firebox, ce nom apparaît dans la liste. Une fois le périphérique Firebox sélectionné, cliquez sur
Activer.
6. La page Récupérer la clé de fonctionnalité apparaît. Dans le menu Démarrer de Windows, ouvrez le
Bloc-notes ou toute autre application permettant de sauvegarder du texte. Copiez l’intégralité de la clé
de fonctionnalité de cette page dans un fichier texte et enregistrez-le sur votre ordinateur. Cliquez sur
Terminer.
84
WatchGuard System Manager
Administration et paramètres globaux de Firebox
Importer une clé de fonctionnalité dans Firebox
1. Dans Policy Manager, sélectionnez Configurer > Clés de fonctionnalité.
La boîte de dialogue Clés de fonctionnalité Firebox apparaît. Elle affiche les fonctionnalités
disponibles pour cette clé. Elle indique également si la fonctionnalité est activée ou désactivée et
affiche une valeur affectée à la fonctionnalité (comme le nombre d’interfaces VLAN autorisées), la date
d’expiration de la fonctionnalité et l’état actuel de l’expiration.
2. Cliquez sur Supprimer pour supprimer la clé de fonctionnalité active. Vous devez supprimer
l’intégralité de la clé de fonctionnalité avant d’installer la nouvelle clé contenant la fonctionnalité que
vous souhaitez ajouter.
3. Cliquez sur Importer.
La boîte de dialogue Importer la clé de fonctionnalité Firebox apparaît.
4. Cliquez sur Parcourir et sélectionnez la clé de fonctionnalité à importer. Vous pouvez également
utiliser la fonction Coller pour coller le contenu de la clé de fonctionnalité dans la boîte de dialogue.
5. Cliquez sur OK pour fermer toutes les boîtes de dialogue.
Dans certains cas, d’autres boîtes de dialogue et commandes de menu permettant de configurer la fonctionnalité
apparaissent dans Policy Manager.
6. Enregistrez le fichier de configuration.
La clé de fonctionnalité ne fonctionne pas sur Firebox tant que vous n’aurez pas enregistré le fichier de
configuration dans Firebox.
Guide de l’utilisateur
85
Administration et paramètres globaux de Firebox
Supprimer une clé de fonctionnalité
1. Dans Policy Manager, sélectionnez Configurer > Clés de fonctionnalité.
La boîte de dialogue Clés de fonctionnalité Firebox apparaît.
2. Développez Clés de fonctionnalité, sélectionnez la clé de fonctionnalité à supprimer et cliquez sur
Supprimer.
3. Cliquez sur OK.
4. Enregistrez le fichier de configuration.
Afficher les détails d’une clé de fonctionnalité
Pour afficher les détails d’une clé de fonctionnalité, dans la boîte de dialogue Clés de fonctionnalité Firebox,
sélectionnez la clé de fonctionnalité, puis cliquez sur Détails. La boîte de dialogue Détails de la clé de
fonctionnalité affiche le numéro de série du périphérique Firebox auquel s’applique cette clé de
fonctionnalité, ainsi que son ID et son nom, le numéro de modèle et de version du périphérique Firebox et les
fonctionnalités Firebox disponibles.
Télécharger une clé de fonctionnalité
Si votre clé de fonctionnalité n’est pas active, vous pouvez télécharger une copie de n’importe quelle clé de
fonctionnalité à partir de Firebox vers votre station de gestion. Pour ceci, sélectionnez la clé de fonctionnalité
et cliquez sur Télécharger. Une boîte de dialogue dans laquelle vous devez entrer le mot de passe d’état de
Firebox s’affiche.
86
WatchGuard System Manager
Administration et paramètres globaux de Firebox
Activer le protocole NTP et ajouter des serveurs NTP
Le protocole NTP (Network Time Protocol) permet de synchroniser l’heure des horloges des ordinateurs d’un
réseau. Firebox peut utiliser ce protocole pour récupérer automatiquement l’heure exacte sur des serveurs
NTP qui se trouvent sur Internet. Dans la mesure où Firebox indique l’heure de son horloge système dans
chacun des messages de journal qu’il génère, l’heure définie doit être correcte. Vous pouvez modifier le
serveur NTP utilisé par Firebox. Vous pouvez également ajouter ou supprimer des serveurs NTP, de même que
définir l’heure manuellement.
Pour pouvoir utiliser NTP, votre configuration Firebox doit autoriser le DNS. Celui-ci est autorisé dans la
stratégie Sortant de la configuration par défaut. Vous devez également configurer des serveurs DNS pour
l’interface externe avant de configurer le protocole NTP. Pour plus d’informations sur l’ajout de ces adresses,
voir Ajouter des adresses de serveurs WINS et DNS.
1. Dans Policy Manager, sélectionnez Configurer > NTP.
La boîte de dialogue Paramètre NTP s’affiche.
2. Activez la case à cocher Activer NTP.
3. Dans la zone située sous la liste Noms/Adresses IP du serveur NTP, tapez les adresses IP du serveur
que vous souhaitez utiliser. Cliquez sur Ajouter.
Firebox peut utiliser un maximum de trois serveurs NTP.
4. Cliquez sur OK.
Guide de l’utilisateur
87
Administration et paramètres globaux de Firebox
Affecter un nom convivial
Vous pouvez donner au périphérique Firebox un nom convivial qui sera utilisé dans les fichiers journaux et les
rapports. À défaut, ces derniers utilisent l’adresse IP de l’interface externe de Firebox. De nombreux clients
utilisent un nom de domaine complet s’ils enregistrent un tel nom sur le système DNS. Vous devez attribuer
un nom convivial au périphérique Firebox si vous utilisez Management Server pour configurer des tunnels
VPN et des certificats.
1. Dans Policy Manager, cliquez sur Configurer > Système.
La boîte de dialogue Configuration du périphérique s’affiche.
2. Si nécessaire, utilisez les listes déroulantes pour spécifier Firebox X Core ou Firebox X Peak, ainsi que le
numéro de modèle.
3. Dans la zone de texte Nom, tapez le nom convivial que vous souhaitez attribuer au périphérique.
Cliquez sur OK. Une fenêtre contextuelle de notification vous informe si vous utilisez des caractères qui
ne sont pas autorisés.
4. Dans les champs Emplacement et Contact, tapez toute information susceptible de vous aider à
identifier et à gérer Firebox.
88
WatchGuard System Manager
Administration et paramètres globaux de Firebox
Définir le fuseau horaire et les propriétés de base du
périphérique
1. Ouvrez Policy Manager. Cliquez sur Configurer > Système. La boîte de dialogue Configuration du
périphérique s’affiche.
2. Dans la liste déroulante Fuseau horaire, sélectionnez le fuseau horaire de l’emplacement physique de
Firebox. Cliquez sur OK.
Cette boîte de dialogue n’est généralement utilisée que pour définir le fuseau horaire de Firebox.
Ce paramètre contrôle la date et l’heure qui apparaissent dans le fichier journal et sur les outils tels que
LogViewer, Rapports WatchGuard et WebBlocker. Par défaut, l’heure de Greenwich est définie comme
heure système de Firebox.
Cette boîte de dialogue contient également les champs suivants :
Modèle de Firebox
La première liste déroulante indique Firebox X Core ou Firebox X Peak, ainsi que le numéro de
modèle, déterminé par l’Assistant Quick Setup Wizard. Vous n’avez généralement pas besoin de
modifier ces paramètres. Si vous ajoutez une nouvelle clé de fonctionnalité à Firebox, ces champs
sont automatiquement mis à jour.
Nom, Emplacement, Contact
Ces champs sont renseignés par l’Assistant Quick Setup Wizard si vous avez entré ces informations.
Elles apparaissent également sous l’onglet Panneau avant de Firebox System Manager.
Guide de l’utilisateur
89
Administration et paramètres globaux de Firebox
À propos du protocole SNMP
Le protocole SNMP (Simple Network Management Protocol) est un ensemble d’outils permettant de surveiller
et de gérer les réseaux. Il utilise des bases d’informations MIB (Management Information Bases) qui fournissent
des informations de configuration sur les périphériques gérés ou analysés par le serveur SNMP.
Firebox prend en charge les protocoles SNMPV1, SNMPV2 et SNMPv3.
Interrogations SNMP
Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP.
Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface,
le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu la
dernière modification de chaque interface Firebox.
Pour activer l’interrogation SNMP, voir Activer l’interrogation SNMP.
Demandes d’informations et interruptions SNMP
Une interruption SNMP est une notification d’événement envoyée par Firebox au système de gestion SNMP.
Elle identifie le moment auquel une condition spécifique se produit, comme une valeur dépassant un seuil
prédéfini. Vous pouvez faire en sorte que Firebox envoie une interruption pour chacune des stratégies
présentes dans Policy Manager.
Une demande d’informations SNMP est similaire à une interruption, à la différence que le destinataire envoie
une réponse. Si Firebox n’obtient pas de réponse, il envoie de nouveau la demande d’informations jusqu’à ce
que le gestionnaire SNMP envoie une réponse. Une interruption est envoyée une seule fois et le destinataire
n’envoie pas d’accusé de réception.
Une demande d’informations est plus fiable qu’une interruption dans le sens où Firebox sait s’il a été reçu.
Toutefois, les demandes d’informations nécessitent davantage de ressources. Elles sont conservées en
mémoire jusqu’à ce que l’expéditeur reçoive une réponse. Si une demande d’informations est envoyée
plusieurs fois, les nouvelles tentatives intensifient le trafic. Nous vous recommandons de bien réfléchir au fait
de savoir si ce que vous retirez de la réception de chaque notification SNMP fait le poids face à l’utilisation
accrue de la mémoire dans le routeur et à l’augmentation du trafic réseau que cela engendre.
Pour activer les demandes d’informations SNMP, vous devez utiliser SNMPV2 ou SNMPv3. SNMPv1 prend
uniquement en charge les interruptions, pas les demandes d’informations.
Pour activer les interruptions et les demandes d’informations SNMP, voir Activer les interruptions ou les
demandes d’informations SNMP.
90
WatchGuard System Manager
Administration et paramètres globaux de Firebox
Activer l’interrogation SNMP
1. Dans Policy Manager, sélectionnez Configurer > SNMP.
2. Sélectionnez la version de SNMP que vous souhaitez utiliser : v1/v2c ou v3.
Si vous choisissez v1/v2c :
tapez la Chaîne de communauté que Firebox doit utiliser lorsqu’il se connecte au serveur SNMP.
Cliquez sur OK.
Si vous choisissez v3 :
Nom d’utilisateur : tapez le nom d’utilisateur de l’authentification et de la protection de la
confidentialité SNMPv3.
o Protocole d’authentification : sélectionnez MD5 (Message Digest 5) ou SHA (Secure Hash
Algorithm).
o Mot de passe d’authentification : tapez le mot de passe d’authentification.
o Protocole de confidentialité : sélectionnez DES (Data Encryption Standard).
o Mot de passe de confidentialité : entrez un mot de passe pour chiffrer les messages sortants
et déchiffrer les messages entrants.
Guide de l’utilisateur
91
Administration et paramètres globaux de Firebox
Pour que Firebox soit en mesure de recevoir des interrogations SNMP, vous devez ajouter une stratégie SNMP
à Firebox.
1. Dans Policy Manager, sélectionnez Édition > Ajouter une stratégie (ou cliquez sur l’icône « + »),
développez Filtres de paquets, sélectionnez SNMP, puis cliquez sur Ajouter.
La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche.
2. Sous la zone De, cliquez sur Ajouter. Dans la boîte de dialogue Ajouter une adresse qui s’affiche,
cliquez sur l’onglet Ajouter autre.
La boîte de dialogue Ajouter un membre s’affiche.
3. Dans la liste déroulante Choisir le type, sélectionnez IP de l’hôte. Dans le champ Valeur, tapez
l’adresse IP de votre ordinateur serveur SNMP.
4. Cliquez sur OK à deux reprises pour revenir sous l’onglet Stratégie de la nouvelle stratégie.
5. En dessous de la liste À, cliquez sur Ajouter.
6. Dans la boîte de dialogue Ajouter une adresse qui s’affiche, sous Membres disponibles, sélectionnez
Firebox. Cliquez sur Ajouter.
7. Cliquez sur OK à deux reprises, puis sur Fermer. Enregistrez un fichier de configuration. Firebox peut
maintenant recevoir les interrogations SNMP.
Activer les interruptions ou les demandes d’informations SNMP
1. Dans Policy Manager, sélectionnez Configurer > SNMP.
2. Dans la liste déroulante Interruptions SNMP, sélectionnez la version des interruptions ou des
demandes d’informations que vous souhaitez utiliser. (SNMPv1 prend uniquement en charge les
interruptions, pas les demandes d’informations.)
3. Tapez l’adresse IP de votre station de gestion SNMP. Cliquez sur Ajouter. Répétez cette étape si vous
souhaitez ajouter d’autres stations de gestion SNMP. Cliquez sur OK.
Pour faire en sorte que Firebox soit en mesure d’envoyer des interruptions et des demandes d’informations
SNMP, vous devez ajouter une stratégie SNMP à Firebox.
1. Dans Policy Manager, sélectionnez Édition > Ajouter une stratégie (ou cliquez sur l’icône « + »),
développez Filtres de paquets, sélectionnez SNMP, puis cliquez sur Ajouter.
La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche.
2. Sous la zone De, cliquez sur Ajouter. Dans la boîte de dialogue Ajouter une adresse qui s’affiche,
cliquez sur l’onglet Ajouter autre.
La boîte de dialogue Ajouter un membre s’affiche.
3. Dans la liste déroulante Choisir le type, sélectionnez IP de l’hôte. Dans le champ Valeur, tapez
l’adresse IP de votre ordinateur serveur SNMP.
4. Cliquez sur OK à deux reprises pour revenir sous l’onglet Stratégie de la nouvelle stratégie.
5. En dessous de la liste À, cliquez sur Ajouter.
6. Dans la boîte de dialogue Ajouter une adresse qui s’affiche, sous Membres disponibles, sélectionnez
Firebox. Cliquez sur Ajouter.
7. Cliquez sur OK à deux reprises, puis sur Fermer. Enregistrez la configuration dans Firebox.
Faire en sorte que Firebox envoie une interruption pour une stratégie
Vous pouvez faire en sorte que Firebox envoie une interruption SNMP pour toute stratégie.
1. Double-cliquez sur une icône de stratégie dans Policy Manager pour modifier sa configuration.
2. Dans la boîte de dialogue Modifier les propriétés de stratégie, sélectionnez l’onglet Propriétés.
3. Cliquez sur Journalisation, puis activez la case à cocher Envoyer une interruption SNMP.
92
WatchGuard System Manager
Administration et paramètres globaux de Firebox
À propos des bases d’informations MIB (Management Information Base)
WatchGuard System Manager avec le logiciel système Fireware prend en charge deux types de bases
d’informations MIB (Management Information Base) :
ƒ
ƒ
Les bases d’informations MIB publiques utilisées dans le produit Fireware et copiées sur votre station
de gestion WatchGuard lors de l’installation de Fireware. Elles incluent les normes IETF et MIB2.
Les bases d’informations MIB privées créées par WatchGuard afin de fournir des informations d’analyse
de base pour des composants spécifiques de Firebox, notamment l’utilisation de la mémoire et du
processeur, de même que des métriques d’interface et IPSec.
Lorsque vous installez WatchGuard System Manager, les bases d’informations MIB sont installées dans Mes
documents\Mon WatchGuard\WatchGuard partagé\SNMP.
Guide de l’utilisateur
93
Administration et paramètres globaux de Firebox
Modifier les mots de passe Firebox
Firebox utilise deux mots de passe :
ƒ
ƒ
Mot de passe d’état
Mot de passe en lecture seule permettant d’accéder à Firebox.
Mot de passe de configuration
Mot de passe en lecture/écriture donnant l’accès total à Firebox à un administrateur.
Pour créer un mot de passe sécurisé, suivez les recommandations ci-dessous :
ƒ
ƒ
ƒ
Utilisez une sélection de caractères en minuscules et majuscules, de nombres et de caractères spéciaux
(par exemple, Im4e@tiN9).
N’utilisez pas de mots tirés d’un dictionnaire standard, même si vous l’utilisez dans une séquence ou
une langue différente.
N’utilisez pas de nom. Une personne malveillante peut très facilement trouver un nom d’entreprise,
familier ou encore le nom d’une personnalité.
Nous vous recommandons également de modifier régulièrement les mots de passe Firebox. Pour ce faire,
vous devez être en possession du mot de passe de configuration.
1. Dans Policy Manager, ouvrez le fichier de configuration sur Firebox.
2. Cliquez sur Fichier > Modifier les mots de passe.
La boîte de dialogue Modifier les mots de passe s’affiche.
3. Dans la liste déroulante Nom ou adresse de Firebox, sélectionnez un périphérique Firebox ou tapez
l’adresse IP ou le nom du périphérique Firebox. Tapez le mot de passe de configuration (lecture/
écriture) de Firebox.
4. Tapez et confirmez le nouveau mot de passe d’état (lecture seule) et le nouveau mot de passe de
configuration (lecture/écriture). Le mot de passe d’état et le mot de passe de configuration doivent
être différents.
5. Cliquez sur OK.
94
WatchGuard System Manager
Administration et paramètres globaux de Firebox
À propos des alias
Un alias est un raccourci permettant d’identifier un groupe d’hôtes, de réseaux ou d’interfaces. L’utilisation
d’un alias simplifie la création d’une stratégie de sécurité car Firebox vous autorise à utiliser des alias lorsque
vous créez des stratégies.
Dans Policy Manager, les alias par défaut sont les suivants :
ƒ
ƒ
ƒ
ƒ
ƒ
Les alias qui correspondent aux interfaces Firebox, par exemple Approuvé ou Externe.
Any-Trusted (Tout-Approuvé) : un alias pour toutes les interfaces Firebox définies comme interfaces
approuvées (en sélectionnant Réseau > Configuration dans Policy Manager) et pour tous les réseaux
auxquels vous pouvez accéder depuis ces interfaces.
Any-External (Tout-Externe) : un alias pour toutes les interfaces Firebox définies comme interfaces
externes (en sélectionnant Réseau > Configuration dans Policy Manager) et pour tous les réseaux
auxquels vous pouvez accéder depuis ces interfaces.
Any-Optional (Tout-Facultatif) : des alias pour toutes les interfaces Firebox définies comme interfaces
facultatives (en sélectionnant Réseau > Configuration dans Policy Manager) et pour tous les réseaux
auxquels vous pouvez accéder depuis ces interfaces.
Any-BOVPN (Tout-BOVPN) : un alias pour tous les tunnels BOVPN (IPSec). Lorsque vous utilisez
l’Assistant BOVPN Policy Wizard pour créer une stratégie autorisant le trafic à transiter par un tunnel
BOVPN, l’Assistant crée automatiquement des alias « .in » et « .out » pour les tunnels entrants et
sortants.
Il faut distinguer les noms d’alias des noms d’utilisateurs ou de groupes utilisés pour l’authentification des
utilisateurs. Lorsque vous authentifiez des utilisateurs, vous pouvez contrôler une connexion à l’aide d’un nom
et non d’une adresse IP. L’utilisateur est authentifié à l’aide d’un nom d’utilisateur et d’un mot de passe pour
accéder aux protocoles Internet. Pour en savoir plus sur l’authentification des utilisateurs, voir À propos de
l’authentification des utilisateurs.
Membres de l’alias
Vous pouvez ajouter les éléments suivants à un alias :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
IP de l’hôte
IP du réseau
Plage d’adresses IP hôte
Nom DNS d’un hôte
Adresse du tunnel : définie par un utilisateur ou groupe, une adresse et le nom du tunnel
Adresse personnalisée : définie par un utilisateur ou groupe, une adresse et l’interface Firebox
Autre alias
Utilisateur ou groupe autorisé
Guide de l’utilisateur
95
Administration et paramètres globaux de Firebox
Créer un alias
1. Dans Policy Manager, sélectionnez Configurer > Alias.
La boîte de dialogue Alias s’affiche. Les alias prédéfinis apparaissent en bleu tandis que les alias définis par
l’utilisateur apparaissent en noir.
2. Cliquez sur Ajouter.
La boîte de dialogue Ajouter un alias s’affiche.
3. Dans la zone de texte Nom d’alias, entrez un nom unique pour identifier l’alias.
Ce nom s’affiche dans les listes lorsque vous configurez une stratégie de sécurité.
4. Dans le champ Description, entrez une description de l’alias.
96
WatchGuard System Manager
Administration et paramètres globaux de Firebox
Pour ajouter une adresse, une plage d’adresses, un nom DNS ou un autre alias
à l’alias
1. Dans la boîte de dialogue Ajouter un alias, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s’affiche.
2. Dans la liste déroulante, sélectionnez le type de membre que vous souhaitez ajouter.
3. Dans le champ de texte Valeur, entrez l’adresse ou le nom. Cliquez sur OK.
Le nouveau membre apparaît désormais dans la section Membres de l’alias de la boîte de dialogue Ajouter un
alias.
4. Répétez les étapes 1 à 3 pour ajouter autant de membres que nécessaire. Pour ajouter des utilisateurs
ou des groupes, utilisez la procédure suivante. Lorsque tous les utilisateurs, groupes et membres
souhaités sont inclus dans l’alias, cliquez sur OK dans la boîte de dialogue Ajouter un alias.
Pour ajouter un utilisateur ou un groupe autorisé à l’alias
1. Cliquez sur Utilisateur.
La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche.
2. Dans la liste déroulante Type, indiquez si l’utilisateur ou le groupe que vous souhaitez ajouter est
autorisé en tant qu’utilisateur derrière un pare-feu, utilisateur PPTP ou utilisateur SSL VPN.
3. Dans la liste déroulante située à l’extrême droite de la zone Type, sélectionnez Utilisateur pour
ajouter un utilisateur ou Groupe pour ajouter un groupe.
4. Si l’utilisateur ou le groupe apparaît dans la liste en bas de la boîte de dialogue Ajouter des
utilisateurs ou groupes autorisés, sélection nez-le et cliquez sur Sélectionner.
Si l’utilisateur ou le groupe n’apparaît pas dans la liste, il n’a pas encore été défini comme utilisateur ou
groupe autorisé. L’utilisateur ou le groupe doit avoir été autorisé pour que vous puissiez l’ajouter à un
alias. Pour en savoir plus sur la procédure à suivre, voir Définir un nouvel utilisateur pour
l’authentification Firebox, Définir un nouveau groupe pour l’authentification Firebox ou Utiliser les
utilisateurs et groupes autorisés dans les stratégies.
5. Répétez les étapes 1 à 4 pour ajouter autant de membres que nécessaire. Pour ajouter une adresse, une
plage d’adresses, un nom DNS ou un autre alias à l’alias, vous pouvez également utiliser la procédure
précédente. Lorsque tous les utilisateurs, groupes et membres souhaités sont inclus dans l’alias,
cliquez sur OK dans la boîte de dialogue Ajouter un alias.
Guide de l’utilisateur
97
Administration et paramètres globaux de Firebox
Définir les paramètres globaux de Firebox
Dans Policy Manager, vous pouvez sélectionner des paramètres qui contrôlent les actions de plusieurs
fonctions Firebox. Vous pouvez définir des paramètres de base pour :
ƒ
ƒ
ƒ
ƒ
la gestion des erreurs ICMP
le contrôle TCP SYN
l’ajustement de taille maximale TCP
la gestion de trafic et QoS
1. Dans Policy Manager, sélectionnez Configurer > Paramètres globaux.
La boîte de dialogue Paramètres globaux s’affiche.
2. Configurez les différentes catégories de paramètres globaux comme indiqué dans les sections cidessous.
98
WatchGuard System Manager
Administration et paramètres globaux de Firebox
Définir les paramètres globaux de gestion des erreurs ICMP
Le protocole Internet Control Message Protocol (ICMP) contrôle les erreurs se produisant au cours des
connexions. Il est utilisé pour deux types d’opérations :
ƒ
ƒ
Informer les hôtes clients des conditions d’erreur.
Sonder un réseau pour découvrir ses caractéristiques générales.
Le périphérique Firebox envoie un message d’erreur ICMP à chaque fois qu’un événement correspondant à
l’un des paramètres que vous avez sélectionnés se produit. Ces messages constituent d’excellents outils de
dépannage mais ils peuvent aussi altérer la sécurité en exposant des informations relatives au réseau. Si vous
refusez ces messages ICMP, vous pouvez augmenter le niveau de sécurité en empêchant l’exploration du
réseau. Cette action peut cependant provoquer des retards pour des connexions incomplètes et entraîner des
problèmes d’application. Les paramètres globaux de gestion des erreurs ICMP et leurs descriptions sont les
suivants :
Fragmentation req) (PMTU)
Activez cette case à cocher pour autoriser les messages Fragmentation Req (Fragmentation req)
ICMP. Le périphérique Firebox utilise ces messages pour repérer le chemin MTU.
Délai expiré
Activez cette case à cocher pour autoriser les messages Délai expiré ICMP. Un routeur envoie
généralement ces messages en cas de boucle de route.
Réseau non joignable
Activez cette case à cocher pour autoriser les messages Réseau non joignable ICMP. Un routeur
envoie généralement ces messages en cas de rupture de liaison réseau.
Hôte non joignable
Activez cette case à cocher pour autoriser les messages Hôte non joignable ICMP. Le réseau envoie
généralement ces messages lorsqu’il ne peut pas utiliser d’hôte ou de service.
Port non joignable
Activez cette case à cocher pour autoriser les messages Port non joignable ICMP. Un hôte ou un parefeu envoie généralement ces messages lorsqu’un service réseau n’est pas disponible ou autorisé.
Protocole non joignable
Activez cette case à cocher pour autoriser les messages Protocole non joignable ICMP.
Vous pouvez ignorer les paramètres globaux ICMP pour une stratégie :
1. Dans l’onglet Avancé de la boîte de dialogue Propriétés de la nouvelle stratégie/Modifier les
propriétés de stratégie, sélectionnez Définir un paramètre dans la liste déroulante Gestion des
erreurs ICMP.
2. Cliquez sur Paramètre ICMP.
3. Dans la boîte de dialogue Paramètres de gestion des erreurs ICMP, utilisez les cases à cocher pour
indiquer les paramètres souhaités. Cliquez sur OK.
Activer le contrôle TCP SYN
Le contrôle TCP SYN permet de s’assurer que la liaison à trois voies TCP est réalisée avant que le périphérique
Firebox n’autorise une connexion de données.
Guide de l’utilisateur
99
Administration et paramètres globaux de Firebox
Définir les paramètres globaux d’ajustement de taille de segment maximum TCP
Le segment TCP peut être paramétré sur une taille définie pour une connexion d’une liaison TCP/IP supérieure
à 3 voies (par exemple, PPPoE, ESP et AH). Certains sites web seront inaccessibles aux utilisateurs si cette taille
n’est pas correctement configurée. Les paramètres globaux d’ajustement de taille de segment maximum TCP
sont les suivants :
Ajustement automatique
Le périphérique Firebox examine toutes les négociations de taille de segment maximum (MSS) et
adopte la valeur MSS applicable.
Aucun ajustement
Le périphérique Firebox ne modifie pas la valeur MSS.
Limiter à
Vous définissez une limite d’ajustement de taille.
Désactiver la gestion de trafic et QoS
Pour désactiver ces fonctions, activez la case à cocher Désactiver toutes les fonctionnalités de gestion du
trafic et de qualité de service. Vous souhaiterez peut-être désactiver ces fonctions pour effectuer des tests
de performance ou un débogage de réseau.
À propos des paramètres globaux VPN
Vous pouvez sélectionner des paramètres qui s’appliquent aux tunnels BOVPN manuels, aux tunnels BOVPN
gérés et aux tunnels Mobile VPN with IPSec :
1. Dans Policy Manager, sélectionnez VPN > Paramètres VPN.
La boîte de dialogue Paramètres VPN s’affiche.
2. Examinez les paramètres expliqués ci-dessous pour les tunnels VPN.
Activer le transit IPSec
Pour permettre à un utilisateur d’établir des connexions IPSec vers un Firebox derrière un autre Firebox, la case
à cocher Activer le transit IPSec doit rester activée pour activer la fonction de transit IPSec. Par exemple, des
employés itinérants se trouvant chez un client équipé d’un Firebox peuvent utiliser IPSec pour établir des
connexions IPSec vers leurs réseaux. Pour que le périphérique Firebox local établisse correctement la
connexion IPSec sortante, vous devez également ajouter une stratégie IPSec dans Policy Manager.
Lorsque vous spécifiez ou définissez une proposition de phase 2 et que vous projetez d’utiliser la fonction de
transit IPSec, vous devez spécifier ESP (Encapsulating Security Payload) comme méthode de proposition. La
fonction de transit IPSec prend en charge ESP mais pas AH (Authentication Header). Pour plus d’informations
sur la définition d’une proposition de phase 2, voir Ajouter une proposition de phase 2.
Lorsque vous activez la fonction de transit IPSec, une stratégie intitulée WatchGuard IPSec est
automatiquement ajoutée à Policy Manager. La stratégie autorise le trafic de Any-Trusted (Tout approuvé) et
Any-Optional (Tout optionnel), et la destination est définie sur Any (Tout). Lorsque vous désactivez la fonction
de transit IPSec, la stratégie WatchGuard IPSec est automatiquement supprimée.
100
WatchGuard System Manager
Administration et paramètres globaux de Firebox
Activer le type de service (TOS) pour IPSec
Les bits TOS constituent un ensemble d’indicateurs à quatre bits dans l’en-tête IP qui permet d’indiquer aux
périphériques de routine de fournir un datagramme IP plus ou moins prioritaire que d’autres datagrammes.
Fireware vous permet d’autoriser les tunnels IPSec à effacer ou conserver les paramètres sur les paquets TOS.
Certains fournisseurs de services Internet abandonnent tous les paquets comportant des indicateurs TOS.
Si vous n’activez pas la case à cocher Activer le type de service (TOS) pour IPSec, aucun paquet IPSec ne
comporte d’ensemble de bits TOS. Les bits TOS auparavant définis sont effacés lorsque Fireware encapsule le
paquet dans un en-tête IPSec.
Si la case à cocher Activer le type de service (TOS) pour IPSec est activée et que le paquet d’origine
comporte un ensemble de bits TOS, Fireware conserve l’ensemble de bits TOS lorsqu’il encapsule le paquet
dans l’en-tête IPSec. Si le paquet d’origine ne comporte pas d’ensemble de bits TOS, Fireware ne définit pas
les bits TOS lorsqu’il encapsule le paquet dans l’en-tête IPSec.
Prenez en compte le paramètre de cette case à cocher pour appliquer un marquage QoS au trafic IPsec.
Le marquage QoS peut impliquer le paramètre de bit TOS. Pour plus d’informations sur le marquage QoS,
voir À propos du marquage QoS.
Activer le serveur LDAP pour la vérification du certificat
Lorsque vous créez une passerelle VPN, vous spécifiez une méthode d’informations d’identification pour les
deux extrémités VPN à utiliser une fois le tunnel créé. Si vous choisissez d’utiliser un certificat Firebox IPSec,
vous pouvez identifier un serveur LDAP à utiliser pour valider le certificat. Entrez l’adresse IP pour le serveur
LDAP. Vous pouvez également spécifier un port différent du port 389.
Notification BOVPN
Cliquez pour configurer le périphérique Firebox et envoyer une notification lorsqu’un tunnel BOVPN est
inactif. Une boîte de dialogue apparaît pour vous permettre de définir des paramètres de notification. Pour
plus d’informations sur les champs de cette boîte de dialogue, voir Définir les préférences de journalisation et
de notification.
Ce paramètre ne s’applique pas aux tunnels Mobile VPN with IPSec.
Guide de l’utilisateur
101
Administration et paramètres globaux de Firebox
Créer des calendriers pour les actions Firebox
Vous pouvez automatiser certaines actions Firebox, comme les tâches WebBlocker, à l’aide de calendriers.
Vous pouvez créer un calendrier pour tous les jours de la semaine ou en créer un différent pour chaque jour
de la semaine. Vous pouvez ensuite utiliser ces calendriers dans des stratégies que vous créez. Pour plus
d’informations sur l’utilisation des calendriers dans les stratégies, voir Définir un calendrier d’application.
1. Dans Policy Manager, sélectionnez Configurer > Actions > Calendriers.
La boîte de dialogue Calendriers s’affiche.
2. Cliquez sur Ajouter.
La boîte de dialogue Nouveau calendrier s’affiche.
102
WatchGuard System Manager
Administration et paramètres globaux de Firebox
3. Entrez le nom du calendrier et une description. Le nom du calendrier s’affiche dans la boîte de dialogue
Calendriers.
Utilisez un nom facile à retenir.
4. Dans la liste déroulante Mode, sélectionnez l’incrément de temps de la planification : une heure,
30 minutes ou 15 minutes.
Le graphique à gauche de la boîte de dialogue Nouveau calendrier affiche votre entrée dans la liste déroulante.
5. Le graphique de la boîte de dialogue montre les jours de la semaine sur l’axe des x (horizontal) et les
incréments de la journée sur l’axe des y (vertical). Cliquez sur les zones du graphique pour transformer
des heures opérationnelles (pendant lesquelles la stratégie est active) en heures non opérationnelles
(pendant lesquelles la stratégie est inactive) et vice-versa.
6. Cliquez sur OK pour fermer la boîte de dialogue Nouveau calendrier. Cliquez sur Fermer pour fermer
la boîte de dialogue Calendriers.
Pour modifier un calendrier, sélectionnez son nom dans la boîte de dialogue Calendrier et cliquez sur
Modifier. Pour créer un calendrier à partir d’un calendrier existant, sélectionnez le nom du calendrier de votre
choix et cliquez sur Cloner.
Guide de l’utilisateur
103
Administration et paramètres globaux de Firebox
Gérer Firebox à partir d’un emplacement distant
Lorsque vous configurez Firebox à l’aide de l’Assistant Quick Setup Wizard, une stratégie vous autorisant à
vous connecter à Firebox à partir de tout ordinateur des réseaux approuvés ou facultatifs et à l’administrer est
créée automatiquement. Si vous souhaitez gérer Firebox à partir d’un emplacement distant (tout
emplacement externe à Firebox), vous devez alors modifier votre configuration de manière à autoriser les
connexions administratives à partir de votre emplacement distant.
La stratégie contrôlant les connexions administratives à Firebox est appelée la stratégie WatchGuard dans
Policy Manager. Cette stratégie contrôle l’accès à Firebox sur les quatre ports TCP suivants : 4103, 4105, 4117,
4118. Lorsque vous autorisez des connexions dans la stratégie WatchGuard, vous autorisez les connexions à
chacun de ces quatre ports.
Avant de modifier une stratégie afin d’autoriser les connexions à Firebox à partir d’un ordinateur extérieur
à votre réseau, il est conseillé de réfléchir à l’utilisation de l’authentification utilisateur pour limiter les
connexions à Firebox. Il est également recommandé de limiter l’accès à partir du réseau externe au plus petit
nombre possible d’ordinateurs. Par exemple, il est plus sûr d’autoriser les connexions à partir d’un seul
ordinateur qu’à partir de l’alias « Any-External ».
1. Dans Policy Manager, double-cliquez sur la stratégie WatchGuard.
Vous pouvez également cliquer avec le bouton droit sur la stratégie WatchGuard et sélectionner Modifier. La boîte
de dialogue Modifier les propriétés de stratégie s’affiche.
104
WatchGuard System Manager
Administration et paramètres globaux de Firebox
2. Sous la liste De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
3. Pour entrer l’adresse IP de l’ordinateur externe qui se connecte à Firebox, cliquez sur Ajouter autre.
Vérifiez que le type IP de l’hôte est sélectionné, puis tapez l’adresse IP.
Pour ajouter un nom d’utilisateur, dans la boîte de dialogue Ajouter une adresse, cliquez sur Ajouter un
utilisateur. La boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés s’affiche. Pour plus
d’informations sur l’utilisation de cette boîte de dialogue, voir Créer un alias.
Guide de l’utilisateur
105
Administration et paramètres globaux de Firebox
106
WatchGuard System Manager
7
Fichiers de configuration
À propos des fichiers de configuration Firebox
Un fichier de configuration Firebox inclut toutes les données de configuration, options, adresses IP et autres
informations qui constituent votre stratégie de sécurité Firebox. Les fichiers de configuration ont l’extension
.xml.
Policy Manager pour Fireware ou Fireware Pro est un outil logiciel WatchGuard qui vous permet de créer,
modifier et enregistrer des fichiers de configuration. Lorsque vous utilisez l’interface utilisateur de Policy
Manager sur l’écran de votre ordinateur, une version facile à examiner et à modifier de votre fichier de
configuration est affichée.
Dans Policy Manager, vous pouvez :
ƒ
ƒ
ƒ
ƒ
Ouvrir un fichier de configuration : soit le fichier de configuration actif dans Firebox, soit un fichier de
configuration local (un fichier de configuration enregistré sur votre disque dur mais pas en cours
d’utilisation sur Firebox)
Créer un fichier de configuration
Enregistrer un fichier de configuration
Modifier des fichiers de configuration existants, comme cela est décrit dans les rubriques du présent
fichier d’aide.
Ouvrir un fichier de configuration
Les administrateurs réseau ont souvent besoin de modifier la stratégie de sécurité de leur réseau. Votre
entreprise a par exemple acheté un nouveau logiciel et vous devez ouvrir un port et un protocole sur un
serveur se trouvant chez le fournisseur. Votre entreprise a peut-être également acheté une nouvelle
fonctionnalité pour Firebox ou embauché un nouvel employé qui doit pouvoir accéder aux ressources réseau.
Pour toutes ces tâches et pour d’autres encore, vous devez ouvrir le fichier de configuration, le modifier à l’aide
de Policy Manager, puis l’enregistrer.
Guide de l’utilisateur
107
Fichiers de configuration
Ouvrir le fichier de configuration avec WatchGuard System Manager
1. Sur le bureau Windows, sélectionnez Démarrer > Tous les programmes > WatchGuard System
Manager 10 > WatchGuard System Manager.
WatchGuard System Manager 10 est le nom par défaut du dossier des icônes du menu Démarrer. Vous
ne pouvez pas modifier le nom de ce dossier au cours de l’installation, mais vous pouvez le modifier via
l’interface Windows si vous le souhaitez.
2. Cliquez sur l’icône
.
Vous pouvez également sélectionner Fichier > Se connecter au périphérique.
La boîte de dialogue Se connecter à Firebox apparaît..
3. Choisissez un périphérique Firebox dans la liste déroulante ou entrez son adresse IP approuvée.
Entrez le mot de passe d’état (lecture seule). Cliquez sur OK.
Le périphérique apparaît dans l’onglet État du périphérique de WatchGuard System Manager.
4. Sélectionnez le périphérique Firebox dans l’onglet État du périphérique. Puis cliquez sur .
Vous pouvez également sélectionner Outils > Policy Manager.
Policy Manager s’ouvre et affiche le fichier de configuration utilisé sur le périphérique Firebox
sélectionné. Les modifications apportées à la configuration ne prennent effet qu’une fois que vous
avez enregistré la configuration sur Firebox.
Ouvrir le fichier de configuration avec Policy Manager
1. Dans Policy Manager, cliquez sur Fichier > Ouvrir > Firebox.
La boîte de dialogue Ouvrir Firebox s’affiche.
Si un message d’erreur indiquant que vous ne pouvez pas vous connecter s’affiche, essayez de nouveau.
2. Dans la liste déroulante Nom ou adresse de Firebox, sélectionnez un périphérique Firebox.
Vous pouvez également taper l’adresse IP ou le nom d’hôte.
3. Dans la zone de texte Mot de passe, entrez le mot de passe d’état (lecture seule) de Firebox.
Utilisez le mot de passe d’état. Vous devez utiliser le mot de passe de configuration pour enregistrer
une nouvelle configuration dans Firebox.
108
WatchGuard System Manager
Fichiers de configuration
4. Cliquez sur OK.
Policy Manager ouvre le fichier de configuration et affiche les paramètres.
Si vous ne parvenez pas à ouvrir Policy Manager, essayez de procéder ainsi :
ƒ
ƒ
Si la boîte de dialogue Se connecter à Firebox s’affiche à nouveau immédiatement dès que vous avez
entré le mot de passe, vérifiez que le verrouillage des majuscules n’est pas activé et que vous avez
entré le mot de passe correctement. N’oubliez pas que le mot de passe respecte la casse.
Si la boîte de dialogue Se connecter à Firebox ne s’affiche plus, vérifiez qu’il existe une liaison sur
l’interface approuvée et sur l’ordinateur. Vérifiez que vous avez entré une adresse IP correcte pour
l’interface approuvée de Firebox. Vérifiez également que l’adresse IP de votre ordinateur figure dans le
même réseau que l’interface approuvée de Firebox.
Ouvrir un fichier de configuration local
Vous pouvez ouvrir les fichiers de configuration de n’importe quelle unité réseau à laquelle votre station
de gestion peut se connecter.
Si vous souhaitez utiliser un fichier de configuration Firebox d’usine par défaut, nous vous recommandons
d’exécuter d’abord l’Assistant Quick Setup Wizard pour créer une configuration de base, puis d’ouvrir le fichier
de configuration. Toutefois, si vous ouvrez un fichier de configuration sur un système doté d’une
configuration d’usine par défaut, veillez à modifier les mots de passe d’état et de configuration.
1. Dans WatchGuard System Manager, cliquez sur .
Vous pouvez également sélectionner Outils > Policy Manager.
La fenêtre Policy Manager apparaît.
2. Cliquez sur .
Vous pouvez également sélectionner Fichier > Ouvrir > Fichier de configuration.
Une boîte de dialogue d’ouverture de fichier Windows standard apparaît.
3. Recherchez et sélectionnez le fichier de configuration à l’aide de la boîte de dialogue Ouvrir. Cliquez
sur Ouvrir.
Policy Manager ouvre le fichier de configuration et affiche les paramètres.
Guide de l’utilisateur
109
Fichiers de configuration
Créer un fichier de configuration
L’Assistant Quick Setup Wizard crée un fichier de configuration de base pour Firebox. Nous vous
recommandons d’utiliser ce fichier comme point de départ pour tous vos fichiers de configuration. Toutefois,
vous pouvez également créer un fichier de configuration contenant uniquement les propriétés de
configuration par défaut à l’aide de Policy Manager.
1. Dans WatchGuard System Manager, cliquez sur .
Vous pouvez également sélectionner Outils > Policy Manager.
2. Dans Policy Manager, sélectionnez Fichier > Nouveau.
La boîte de dialogue Sélectionner le modèle de Firebox et le nom apparaît.
3. Sélectionnez un modèle Firebox dans la liste déroulante Modèle. Certains groupes de fonctionnalités
étant uniques pour chaque modèle, sélectionnez le même modèle que celui de votre périphérique
matériel.
4. Entrez le nom du périphérique Firebox. Ce nom sera également utilisé pour le fichier de configuration.
Il permet aussi d’identifier Firebox si celui-ci est géré par un serveur WatchGuard Management Server
et il est utilisé pour la journalisation et la génération de rapports.
5. Cliquez sur OK.
Policy Manager crée un fichier de configuration portant le nom <nom>.xml, où <nom> est le nom attribué à
Firebox.
Enregistrer le fichier de configuration
Une fois que vous avez créé un fichier de configuration ou apporté des modifications au fichier de
configuration actif, vous pouvez l’enregistrer directement dans Firebox. Si vous modifiez un fichier de
configuration en cours et que vous souhaitez que les modifications s’appliquent à Firebox, vous devez
enregistrer le fichier de configuration dans Firebox.
Vous pouvez également l’enregistrer sur le disque dur local. Si vous prévoyez d’apporter une ou plusieurs
modifications importantes au fichier de configuration, nous vous recommandons de sauvegarder au
préalable l’ancien fichier sur le disque dur local. En cas de problème avec la nouvelle configuration, vous
pourrez restaurer l’ancienne.
110
WatchGuard System Manager
Fichiers de configuration
Enregistrer une configuration dans Firebox
1. Dans Policy Manager, cliquez sur Fichier > Enregistrer > Sur Firebox.
La boîte de dialogue Enregistrer sur Firebox apparaît.
2. Dans la liste déroulante Nom ou adresse de Firebox, entrez une adresse IP ou un nom, ou
sélectionnez un périphérique Firebox. Si vous entrez un nom Firebox, ce nom doit pouvoir être résolu
via DNS.
Lorsque vous entrez une adresse IP, entrez tous les chiffres et points. N’utilisez ni la touche de
tabulation ni la touche de direction.
3. Entrez le mot de passe de configuration de Firebox. Vous devez utiliser le mot de passe de
configuration pour enregistrer un fichier dans Firebox.
4. Cliquez sur OK.
Enregistrer une configuration sur un disque dur local
1. Dans Policy Manager, cliquez sur Fichier > Enregistrer > En tant que fichier.
Vous pouvez également utiliser la combinaison de touches Ctrl + S. Une boîte de dialogue d’enregistrement de
fichier Windows standard apparaît.
2. Entrez le nom du fichier.
La procédure par défaut consiste à enregistrer le fichier dans le répertoire Mesdocuments\Mon
WatchGuard\configs. Vous pouvez choisir n’importe quel dossier auquel vous avez accès à partir de
la station de gestion. Pour une sécurité optimale, nous vous recommandons d’enregistrer les fichiers
dans un dossier sûr auquel aucun autre utilisateur ne peut avoir accès.
3. Cliquez sur Enregistrer.
Le fichier de configuration est enregistré dans le répertoire indiqué.
Guide de l’utilisateur
111
Fichiers de configuration
Créer une sauvegarde de l’image Firebox
Une image de sauvegarde Firebox consiste en une copie chiffrée et enregistrée de l’image du disque flash
obtenue à partir du disque flash Firebox. Cette image inclut le logiciel système Firebox, le fichier de
configuration, les licences et les certificats. Vous pouvez enregistrer une image de sauvegarde sur votre
station de gestion ou dans un répertoire réseau.
Il est conseillé de réaliser des sauvegardes régulières de l’image Firebox. Il est également conseillé de créer
une image de sauvegarde du périphérique Firebox avant d’apporter des modifications importantes à la
configuration ou avant de mettre à jour le périphérique ou son logiciel système.
1. Dans Policy Manager, sélectionnez Fichier > Sauvegarder.
La boîte de dialogue Sauvegarder s’affiche.
2. Entrez le mot de passe de configuration de votre périphérique Firebox.
La deuxième partie de la boîte de dialogue Sauvegarder s’affiche.
3. Entrez et confirmez une clé de chiffrement.
Cette clé permet de chiffrer le fichier de sauvegarde. En cas de perte ou d’oubli de la clé de chiffrement,
vous ne serez plus en mesure de restaurer le fichier de sauvegarde.
4. Sélectionnez le répertoire dans lequel vous souhaitez enregistrer le fichier de sauvegarde.
Cliquez sur OK.
Par défaut, l’emplacement d’un fichier de sauvegarde portant une extension « .fxi » est C:\Documents and
Settings\All Users\Shared WatchGuard\backups\<adresse IP Firebox>-<date>.<version_wsm>.fxi.
112
WatchGuard System Manager
Fichiers de configuration
Restaurer une image de sauvegarde Firebox
1. Dans Policy Manager, sélectionnez Fichier > Restaurer.
La boîte de dialogue Restaurer s’affiche.
2. Entrez le mot de passe de configuration de votre périphérique Firebox. Cliquez sur OK.
3. Entrez la clé de chiffrement utilisée à la création de l’image de sauvegarde.
Le périphérique Firebox restaure l’image de sauvegarde et redémarre. Au redémarrage, l’image de sauvegarde est
utilisée. Patientez deux minutes avant de vous reconnecter au périphérique Firebox.
Si vous ne parvenez pas à restaurer l’image Firebox, vous pouvez réinitialiser le périphérique Firebox.
Rétablir une configuration antérieure d’un périphérique
Firebox ou créer une nouvelle configuration
Vous pouvez restaurer les paramètres par défaut d’un périphérique Firebox ou créer une configuration
entièrement nouvelle. Vous devez distinguer la procédure qui permet de réinitialiser un périphérique Firebox
X Core ou Peak e-Series de celle qui permet de récupérer un modèle antérieur d’un périphérique Firebox X
Core ou Peak. Assurez-vous que vous utilisez la procédure adaptée à votre périphérique Firebox.
Réinitialiser un périphérique Firebox X e-Series
Pour créer une nouvelle configuration sur un périphérique Firebox X Core ou Peak e-Series, utilisez l’Assistant
Quick Setup Wizard Web. Pour plus d’informations, voir Assistant Quick Setup Wizard Web.
Si vous utilisez l’Assistant Quick Setup Wizard Web à des fins de restauration et que vous avez acheté une mise
à niveau du modèle matériel Firebox, vous devez vous assurer que la clé de fonctionnalité entrée dans
l’Assistant correspond à la clé reçue avec la mise à niveau du modèle.
Réinitialiser un périphérique Firebox X Core ou Peak (n’appartenant pas à la
gamme e-Series)
Avec un modèle antérieur de Firebox X Core ou Peak, vous pouvez utiliser l’Assistant Quick Setup Wizard pour
créer une configuration entièrement nouvelle. Il s’agit de la méthode la plus simple pour réinitialiser un
périphérique Firebox et de la procédure la plus répandue.
Cependant, l’Assistant Quick Setup Wizard ne permet pas toujours de réinitialiser un périphérique Firebox.
Avec cet Assistant, vous devez être en mesure d’établir une connexion réseau avec le périphérique Firebox à
partir de votre station de gestion et de « découvrir » le périphérique Firebox sur le réseau. Si vous n’y parvenez
pas, vous pouvez utiliser la procédure de réinitialisation manuelle décrite dans cette rubrique. Pour en savoir
plus, reportez-vous à la section suivante.
Guide de l’utilisateur
113
Fichiers de configuration
Réinitialiser manuellement un périphérique n’appartenant pas à la
gamme e-Series
1. Désactivez le périphérique Firebox. Sur le panneau avant de Firebox, appuyez sur le bouton
Flèche haut.
2. Maintenez enfoncé le bouton Flèche haut pendant que vous activez Firebox, puis continuez à
maintenir enfoncé le bouton jusqu’à ce que l’affichage LCD indique que Firebox est exécuté en mode
sans échec. Lorsque Firebox est exécuté en mode sans échec, le mode paramètres par défaut est utilisé.
Dans ce mode, l’interface approuvée Firebox est définie sur l’adresse 10.0.1.1.
3. Connectez un câble réseau Ethernet inverseur entre votre station de gestion WatchGuard et l’interface
approuvée Firebox. L’interface approuvée est étiquetée « Interface 1 » sur Firebox.
4. Sur votre station de gestion, remplacez l’adresse IP par 10.0.1.2 (ou une autre adresse IP à partir de
laquelle vous pouvez vous connecter à l’interface approuvée Firebox à l’adresse 10.0.1.1/24). Si votre
station de gestion utilise Windows XP, sélectionnez Panneau de configuration > Connexions
réseau > Connexion au réseau local dans le menu Démarrer de Windows. Cliquez sur Propriétés.
Sélectionnez Protocole Internet (TCP/IP) et cliquez sur Propriétés.
Il est conseillé d’effectuer une commande ping sur l’interface approuvée depuis votre station de
gestion pour vous assurer que la connexion réseau est opérationnelle.
5. Ouvrez Policy Manager. Vous pouvez ouvrir un fichier de configuration existant ou en créer un. Utilisez
les options disponibles dans le menu déroulant Fichier.
6. Sélectionnez Configurer > Clés de fonctionnalité. Cliquez sur Ajouter et collez une copie de votre clé
de fonctionnalité dans la zone de texte, si nécessaire. Vous pouvez également importer une clé de
fonctionnalité Firebox en cliquant sur Importer.
114
WatchGuard System Manager
Fichiers de configuration
7. Lorsque vous êtes prêt, sélectionnez Fichier > Enregistrer > Sur Firebox. Enregistrez votre
configuration sur le périphérique Firebox à l’adresse IP 10.0.1.1, avec le mot de passe d’administration
« admin ».
8. Au redémarrage de Firebox avec la nouvelle configuration, il est conseillé de changer les mots de passe
de Firebox. Sélectionnez Fichier > Modifier les mots de passe pour définir de nouveaux mots de
passe.
9. Vous pouvez désormais rétablir Firebox sur votre réseau et vous connecter à l’aide des adresses IP et
mots de passe définis dans la nouvelle configuration.
Si l’adresse IP et le mot de passe sont restés identiques, vous pouvez vous connecter à l’adresse IP approuvée
10.0.1.1 à l’aide du mot de passe « admin ».
Guide de l’utilisateur
115
Fichiers de configuration
116
WatchGuard System Manager
8
Journalisation et notification
À propos de la journalisation et des fichiers journaux
Une fonctionnalité importante d’une stratégie de sécurité réseau de qualité consiste à rassembler les
messages provenant de vos systèmes de sécurité, à examiner souvent ces enregistrements et à les conserver
dans une archive. Vous pouvez utiliser les journaux pour analyser la sécurité et l’activité de votre réseau,
identifier tous les risques de sécurité et les traiter.
Un fichier journal est une liste d’événements contenant des informations sur ces événements. Un événement
correspond à une activité qui se produit sur Firebox. Le refus d’un paquet par Firebox est un exemple
d’événement. Votre système Firebox peut également capturer des informations sur les événements autorisés
afin de vous offrir une image plus complète de l’activité sur votre réseau.
Le système de message de journal comprend plusieurs composants.
Serveurs Log Server
Le serveur Log Server collecte les données des messages de journal de chaque système WatchGuard Firebox.
Vous pouvez installer le serveur WatchGuard Log Server sur un ordinateur que vous utilisez comme station de
gestion. Vous pouvez également installer le logiciel Log Server sur un autre ordinateur. Pour cela, utilisez le
programme d’installation de WatchGuard System Manager et choisissez d’installer uniquement le composant
Log Server. Vous pouvez également ajouter des serveurs Log Server supplémentaires à des fins de
sauvegarde.
Les messages de journal qui sont envoyés vers le serveur WatchGuard Log Server sont chiffrés. Le format d’un
message du journal est XML (texte brut). Les informations collectées à partir des périphériques de pare-feu
incluent les messages de types Trafic, Alarme, Événement, Débogage et Statistiques.
Une fois que votre serveur Log Server a collecté les données de journal provenant de vos périphériques
Firebox, le serveur Report Server consolide régulièrement les données et génère des rapports. Pour plus
d’informations sur Report Server et la visionneuse de rapports, voir À propos de Report Server et À propos de
Report Manager.
Guide de l’utilisateur
117
Journalisation et notification
LogViewer
LogViewer est un outil WatchGuard System Manager qui vous permet de consulter les données des fichiers
journaux. Vous pouvez afficher les données d’un journal page par page ou rechercher et afficher du contenu
en utilisant des mots clés ou en spécifiant des champs du journal.
Pour plus d’informations sur LogViewer et la façon d’utiliser cet outil, voir Utiliser LogViewer pour afficher les
fichiers journaux.
Journalisation et notification dans les applications et sur les serveurs
Le serveur Log Server peut recevoir les messages de journal à partir de votre système Firebox ou d’un serveur
WatchGuard. Une fois que vous avez configuré votre système Firebox et le serveur Log Server, Firebox envoie
les messages de journal vers le serveur Log Server. Vous pouvez activer la journalisation dans les différentes
applications et stratégies WSM que vous avez définies pour que Firebox contrôle le niveau des journaux que
vous voyez. Si vous choisissez d’envoyer les messages de journal à partir d’un autre serveur WatchGuard vers
le serveur Log Server, vous devez commencer par activer la journalisation sur ce serveur.
Pour plus d’informations sur l’envoi de messages de journal à partir de Firebox, voir Configurer la
journalisation et la notification pour une stratégie.
Pour plus d’informations sur l’envoi de messages de journal à partir du serveur WatchGuard, voir Paramètres
de journalisation et de surveillance.
À propos des messages de journal
Firebox envoie les messages de journal vers le serveur Log Server. Il peut également envoyer les messages de
journal vers un serveur syslog ou conserver localement les journaux sur Firebox. Vous pouvez choisir
d’envoyer les journaux à l’un et/ou à l’autre de ces emplacements.
Vous pouvez utiliser Firebox System Manager pour consulter les messages de journal sous l’onglet Moniteur
du trafic. Pour plus d’informations, voir Messages des journaux Firebox (Moniteur du trafic). Vous pouvez
également examiner les messages de journal à l’aide de LogViewer. Les messages de journal sont conservés
sur le serveur Log Server dans le répertoire WatchGuard dans un fichier de base de données SQL avec une
extension .wgl.xml.
Pour en savoir plus sur les différentes sortes de messages de journal que Firebox envoie, voir Types de
messages de journal.
Types de messages de journal
Firebox envoie cinq types de messages de journal. Le type figure dans le texte du message. Les cinq types de
messages de journal sont les suivants :
ƒ
ƒ
ƒ
ƒ
ƒ
Trafic
Alarme
Événement
Débogage
Statistiques
Messages de journal de type Trafic
Firebox envoie des messages de journal de type Trafic lorsqu’il applique des règles de filtre de paquets et
de proxy au trafic transmis via Firebox.
118
WatchGuard System Manager
Journalisation et notification
Messages de journal de type Alarme
Des messages de journal de type Alarme sont envoyés lorsqu’un événement se produit qui déclenche
l’exécution d’une commande par Firebox. Lorsque la condition d’alarme est satisfaite, Firebox envoie un
message de journal de type Alarme au Moniteur du trafic et à Log Server, puis effectue l’action spécifiée.
Vous pouvez définir certains messages de journal de type Alarme. Par exemple, vous pouvez utiliser Policy
Manager pour configurer le déclenchement d’une alarme lorsqu’une valeur spécifiée est satisfaite ou dépasse
un seuil. D’autres messages de journal de type Alarme sont définis par le logiciel système et vous ne pouvez
pas modifier la valeur. Par exemple, Firebox envoie un message de journal de type Alarme lors d’un échec de
connexion réseau sur l’une des interfaces Firebox ou lors d’une attaque de refus de service. Pour plus
d’informations sur les messages de journal de type Alarme, voir le Guide de référence.
Il existe huit catégories de messages de journal de type Alarme : Système, IPS, AV, Stratégie, Proxy, Compteur,
Refus de service et Trafic. Firebox n’envoie pas plus de 10 alarmes en 15 minutes pour les mêmes conditions.
Messages de journal de type Événement
Firebox envoie des messages de journal de type Événement en raison de l’activité des utilisateurs. Les actions
susceptibles d’entraîner l’envoi d’un message de journal de type Événement par Firebox incluent les actions
suivantes :
ƒ
ƒ
ƒ
ƒ
ƒ
Démarrage et fermeture de Firebox
Authentification Firebox et VPN
Démarrage et arrêt d’un processus
Problèmes avec les composants matériels Firebox
Toute tâche effectuée par l’administrateur Firebox
Messages de journal de type Débogage
Les messages de journal de type Débogage incluent des informations de diagnostic qui vous aideront
à résoudre les problèmes éventuels. 27 composants différents du produit peuvent envoyer des messages de
journal de type Débogage. Vous pouvez choisir si les messages de journal de type Débogage (diagnostic)
apparaissent dans le Moniteur du trafic, comme cela est décrit dans Activer les diagnostics avancés.
Messages de journal de type Statistiques
Les messages de journal de type Statistiques incluent des informations sur les performances de Firebox. Par
défaut, Firebox envoie les messages de journal relatifs aux performances de l’interface externe et aux
statistiques de bande passante VPN à votre fichier journal. Vous pouvez utiliser ces journaux pour modifier vos
paramètres Firebox d’une façon appropriée pour améliorer les performances. Pour plus d’informations sur les
messages de journal de type Statistiques, voir Configurer la journalisation sur Firebox et Désactiver la
journalisation des statistiques de performances.
Guide de l’utilisateur
119
Journalisation et notification
À propos de la notification
Une notification est un message que Firebox envoie à un administrateur lorsqu’un événement se produit qui
constitue une menace possible. La notification peut se présenter sous la forme d’un e-mail ou d’une fenêtre
contextuelle. Les notifications peuvent également être envoyées au moyen d’une interruption SNMP. (Pour
plus d’informations sur les interruptions SNMP, voir À propos du protocole SNMP.)
Par exemple, WatchGuard vous conseille de configurer des options de gestion de paquets par défaut pour
envoyer une notification lorsque Firebox trouve un sondage d’espace de port. Firebox détecte un sondage
d’espace de port en comptant le nombre de paquets envoyés à partir d’une adresse IP vers toutes les adresses
IP d’interface externe Firebox. Si ce nombre est supérieur à une valeur configurée, l’hôte de journalisation
envoie une notification à l’administrateur réseau au sujet des paquets rejetés.
Pour ce qui est des fichiers journaux, les administrateurs réseau peuvent examiner les notifications et décider
de la façon d’améliorer la sécurité du réseau d’une organisation. Pour l’exemple du sondage de l’espace de
port, voici quelques modifications possibles :
ƒ
ƒ
ƒ
Bloquer les ports sur lesquels le sondage a été utilisé
Bloquer l’adresse IP qui a envoyé les paquets
Envoyer un e-mail de notification à l’administrateur réseau
Configurer Log Server pour la notification
Firebox envoie des notifications seulement si vous les activez et les configurez sur le serveur Log Server que
Firebox utilise :
ƒ
ƒ
ƒ
120
Pour activer la notification sur le serveur Log Server, consultez Paramètres d’expiration d’un serveur
Log Server et activez la case à cocher Activer les notifications pour les événements provenant de
tout périphérique ou serveur se connectant à ce serveur Log Server.
Pour définir l’adresse e-mail qui s’affiche comme expéditeur des messages de notification, consultez
Paramètres d’expiration d’un serveur Log Server et entrez l’adresse e-mail dans le champ Envoyer un
e-mail de.
Pour définir le destinataire de messagerie, consultez Paramètres de la base de données et du serveur
SMTP d’un serveur Log Server, activez la case à cocher Envoyer un avertissement si la base de
données atteint le seuil d’avertissement et entrez l’adresse e-mail du destinataire dans le champ
Envoyer un message d’avertissement à. Utilisez le champ Objet pour définir le texte qui s’affiche
dans le champ Objet des messages de notification. Si vous ne voulez pas utiliser la fonctionnalité
d’avertissement de base de données, vous pouvez désactiver la case à cocher Envoyer un
avertissement si la base de données atteint le seuil d’avertissement.
WatchGuard System Manager
Journalisation et notification
Définir la destination des messages des journaux
envoyés par Firebox
Vous pouvez configurer votre périphérique Firebox de sorte qu’il journalise les événements qui se produisent
sur le périphérique. Vous pouvez ensuite examiner les fichiers journaux et prendre des décisions quant au
renforcement de la sécurité de votre réseau. Vous devez indiquer à Firebox où envoyer les messages des
journaux.
1. Dans Policy Manager, sélectionnez Configurer > Journalisation.
La boîte de dialogue Configurer la journalisation s’ouvre.
Guide de l’utilisateur
121
Journalisation et notification
2. Configurez les paramètres de journalisation de WatchGuard Log Server, du serveur syslog et de Firebox
Internal Storage.
Les options disponibles sont décrites ci-dessous.
WatchGuard Log Server
Activez la case à cocher Envoyer les messages des journaux vers les serveurs Log Server à ces
adresses IP pour envoyer les messages journaux à vos serveurs Log Server. Un périphérique
Firebox peut envoyer des messages des journaux à la fois à un Log Server et à un serveur syslog.
Cliquez sur Configurer pour ajouter ou modifier les adresses IP de vos serveurs Log Server. Pour
plus d’informations, voir Ajouter un serveur Log Server.
Serveur Syslog
Activez la case à cocher Envoyer les messages des journaux au serveur Syslog à cette adresse
IP pour envoyer les messages des journaux à votre serveur syslog. Un périphérique Firebox peut
envoyer des messages des journaux à la fois à un Log Server et à un serveur syslog.
Cliquez sur Configurer pour ajouter ou modifier les adresses IP de votre serveur syslog. Pour plus
d’informations, voir Configurer syslog.
Firebox Internal Storage
Activez la case à cocherEnvoyer les messages des journaux à Firebox Internal Storage pour
permettre à Firebox de stocker les messages des journaux.
Statistiques de performances
Par défaut, Firebox envoie les messages des journaux relatifs aux performances de l’interface
externe et les statistiques concernant la bande passante VPN à votre fichier journal. Pour
désactiver ce type de message du journal, voir Désactiver la journalisation des statistiques de
performances.
Diagnostic avancé
Pour définir le niveau de la journalisation de diagnostic à écrire dans votre fichier journal où dans
le moniteur du trafic pour chaque catégorie de journalisation, voir Activer les diagnostics
avancés.
Ajouter un serveur Log Server
Si vous activez la case à cocher Envoyer les messages des journaux vers les serveurs Log Server à ces
adresses IP lorsque vous définissez la destination des messages des journaux envoyés par Firebox, vous
pouvez ensuite ajouter un ou plusieurs serveurs Log Server dans Firebox.
1. Dans Policy Manager, sélectionnez Configurer > Journalisation.
La boîte de dialogue Configuration de la journalisation s’ouvre.
2. Cliquez sur Configurer. Cliquez sur Ajouter.
La boîte de dialogue Ajouter un processeur d’événements s’affiche.
122
WatchGuard System Manager
Journalisation et notification
Utiliser la boîte de dialogue Ajouter un processeur d’événements
1. Dans le champ Adresse de Log Server, tapez l’adresse IP du serveur Log Server que vous voulez
ajouter.
2. Dans les zones de texte Clé de chiffrement et Confirmer, tapez la clé de chiffrement de Log Server
que vous avez définie lors de l’utilisation de l’Assistant Log Server Configuration Wizard, comme cela
est décrit dans Configurer Log Server.
La clé de chiffrement doit comprendre entre 8 et 32 caractères. Vous pouvez utiliser tous les caractères
à l’exception des espaces et des barres obliques (/ ou \).
3. Cliquez sur OK.
La boîte de dialogue Ajouter un processeur d’événements se ferme.
Enregistrer les modifications et vérifier la journalisation
1. Cliquez sur OK pour fermer la boîte de dialogue Configurer les serveurs Log Server.
2. Cliquez sur OK pour fermer la boîte de dialogue Configuration de la journalisation.
3. Enregistrez le fichier de configuration.
Pour vérifier que Firebox effectue correctement la journalisation, dans WSM, sélectionnez Outils > Firebox
System Manager. Dans la section Détails de gauche, l’adresse IP de l’hôte de journalisation doit figurer en
regard de Log Server.
Définir la priorité d’un serveur Log Server
Vous pouvez créer une liste des priorités pour les serveurs Log Server. Si Firebox ne peut pas se connecter à
Log Server avec la priorité la plus élevée, il se connecte au serveur Log Server suivant dans la liste des priorités.
Si Firebox examine chaque serveur Log Server dans la liste et ne peut pas se connecter, il essaie à nouveau de
se connecter au premier serveur Log Server de la liste.
1. Dans Policy Manager, sélectionnez Configurer > Journalisation.
La boîte de dialogue Configuration de la journalisation s’ouvre.
2. Cliquez sur Configurer.
La boîte de dialogue Configurer les serveurs Log Server s’affiche.
3. Sélectionnez un serveur Log Server dans la liste et cliquez sur les boutons Monter et Descendre pour
modifier l’ordre.
4. Cliquez sur OK.
La boîte de dialogue Configuration de la journalisation s’affiche avec les serveurs Log Server répertoriés dans la
liste des serveurs WatchGuard Log Server dans le nouvel ordre des priorités.
Guide de l’utilisateur
123
Journalisation et notification
Configurer Syslog
Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d’autres platesformes. Vous pouvez configurer Firebox de sorte qu’il envoie des informations de journalisation à un serveur
syslog. Un périphérique Firebox peut envoyer des messages des journaux à un serveur Log Server et à un
serveur syslog, en même temps, ou à l’un ou l’autre. Les messages des journaux syslog ne sont pas chiffrés. Il
est conseillé de ne pas sélectionner un hôte syslog sur l’interface externe.
1. Dans Policy Manager, sélectionnez Configurer > Journalisation.
La boîte de dialogue Configurer la journalisation s’ouvre.
2. Activez la case à cocher Envoyer les messages des journaux au serveur Syslog à cette adresse IP.
3. Dans la zone d’adresse, entrez l’adresse IP du serveur Syslog.
4. Cliquez sur Configurer.
La boîte de dialogue Configurer Syslog s’ouvre.
5. Pour chaque type de message du journal, sélectionnez l’utilitaire syslog auquel vous souhaitez
l’attribuer.
Pour plus d’informations sur les différents types de messages, voir Types de messages de journal.
L’utilitaire Syslog fait référence à l’un des champs du paquet syslog et au fichier auquel syslog envoie
un message du journal. Utilisez Local0 pour les messages syslog à priorité élevée, tels que les alarmes.
Utilisez Local1 à Local7 pour attribuer des priorités à d’autres types de messages des journaux (les
chiffres les plus petits ayant une priorité plus élevée). Consultez votre documentation syslog pour plus
d’informations sur les utilitaires de journalisation.
6. Cliquez sur OK pour fermer la boîte de dialogue Configurer Syslog.
7. Cliquez sur OK pour fermer la boîte de dialogue Configurer la journalisation.
8. Enregistrez le fichier de configuration.
124
WatchGuard System Manager
Journalisation et notification
Désactiver la journalisation des statistiques de performances
Par défaut, Firebox envoie les messages des journaux relatifs aux performances de l’interface externe et les
statistiques concernant la bande passante VPN à votre fichier journal. Pour désactiver ce type de message du
journal :
1. Dans Policy Manager, sélectionnez Configurer > Journalisation.
La boîte de dialogue Configuration de la journalisation s’affiche.
2. Cliquez sur Statistiques de performances.
La boîte de dialogue Statistiques de performances s’affiche.
3. Désactivez la case à cocher Statistiques de l’interface externe et de la bande passante du VPN.
4. Cliquez sur OK. Enregistrez les modifications de la configuration dans Firebox.
Guide de l’utilisateur
125
Journalisation et notification
Activer les diagnostics avancés
Vous pouvez sélectionner le niveau d’inscription dans le journal de diagnostic pour écrire dans le fichier
journal ou dans le Moniteur du trafic. Nous ne vous conseillons pas de définir le niveau de journalisation le plus
élevé à moins qu’un responsable de l’assistance technique ne vous y invite lors de la résolution d’un problème.
L’utilisation du niveau le plus élevé peut entraîner la saturation rapide du fichier journal. Elle peut également
créer une charge élevée sur Firebox.
1. Dans Policy Manager, sélectionnez Configurer > Journalisation.
La boîte de dialogue Configuration de la journalisation s’ouvre.
2. Cliquez sur Diagnostics avancés.
La boîte de dialogue Diagnostics avancés s’affiche.
3. Sélectionnez une catégorie dans la liste Catégorie.
Une description de la catégorie s’affiche dans la zone Description.
4. Utilisez le curseur sous Paramètres pour définir le niveau d’information qu’un journal de chaque
catégorie inclut dans son message de journal.
Lorsque le niveau le plus bas est défini, les messages de diagnostic pour cette catégorie sont
désactivés.
Lorsque le niveau le plus élevé est défini, vous pouvez définir le niveau de détails pour les messages du
journal de diagnostic.
126
WatchGuard System Manager
Journalisation et notification
5. Pour afficher les messages de diagnostic dans Traffic Manager, activez la case à cocher Afficher les
messages de diagnostic dans le Moniteur du trafic.
Cela peut être utile pour diagnostiquer rapidement un problème. Il est possible d’envoyer les
messages de diagnostic vers le Moniteur du trafic pour toutes les catégories à l’exception du module
PMM (Policy Management Module). Les messages destinés au module PMM sont envoyés vers le
fichier journal seulement et ne peuvent pas être affichés dans le Moniteur du trafic.
6. Pour que Firebox collecte une trace de paquet pour des paquets IKE, activez la case à cocher Activer
le suivi des paquets IKE vers le stockage interne Firebox.
7. Pour afficher les informations de trace de paquet que Firebox collecte, démarrez Firebox System
Manager et cliquez sur l’onglet Rapport d’état.
8. Cliquez sur Assistance technique pour que Firebox System Manager obtienne les informations de
trace de paquet à partir de Firebox.
9. Désactivez l’inscription dans le journal de diagnostic une fois terminé.
Guide de l’utilisateur
127
Journalisation et notification
Configurer la journalisation et la notification pour
une stratégie
1. Dans Policy Manager, ajoutez une stratégie ou double-cliquez sur une icône de stratégie pour modifier
une stratégie existante.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
2. Cliquez sur l’onglet Propriétés.
128
WatchGuard System Manager
Journalisation et notification
3. Cliquez sur Journalisation.
La boîte de dialogue Journalisation et notification s’affiche.
4. Définissez les paramètres correspondant à votre stratégie de sécurité.
Pour plus d’informations sur les champs de la boîte de dialogue Journalisation et notification,
voir Définir les préférences de journalisation et de notification.
Définir les préférences de journalisation et de notification
Les paramètres de journalisation et de notification de WatchGuard System Manager, Policy Manager et des
serveurs WatchGuard sont très similaires. Pour chaque utilitaire, lorsque vous définissez des préférences de
journalisation et de notification, la plupart des champs décrits ci-dessous sont disponibles.
Guide de l’utilisateur
129
Journalisation et notification
Envoyer un message du journal
Si vous activez cette case à cocher, Firebox envoie un message du journal lorsqu’un événement se
produit.
Envoyer une interruption SNMP
Lorsque vous activez cette case à cocher, Firebox envoie une notification d’événement au système
de gestion SNMP. Le protocole SNMP (Simple Network Management Protocol) est un jeu d’outils qui
permet de surveiller et de gérer les réseaux. Une interruption SNMP est une notification d’événement
que Firebox envoie au système de gestion SNMP si un événement particulier se produit.
Pour activer les interruptions SNMP, dans Policy Manager, sélectionnez Configurer > SNMP pour
configurer les paramètres SNMP de votre périphérique Firebox. Ou, si vous activez la case à cocher
Envoyer une interruption SNMP sans avoir au préalable configuré le protocole SNMP, une boîte de
dialogue s’ouvre et vous demande de le faire. Cliquez sur Oui pour accéder à la boîte de dialogue
Paramètres SNMP.
Pour plus d’informations sur le protocole SNMP, voir À propos du protocole SNMP.
Pour activer les interruptions SNMP ou les demandes d’informations, voir Activer les interruptions ou
les demandes d’informations SNMP.
Envoyer une notification
Lorsque vous activez cette case à cocher, Firebox envoie une notification dès qu’un paquet est refusé.
Pour configurer les notifications, voir À propos de la notification. Vous pouvez demander à Firebox
d’effectuer l’une des opérations suivantes :
E-mail
Log Server envoie un e-mail lorsque l’événement se produit.
Les e-mails de notification sont au format [nom_convivial]@[nom_domaine].
Où :
ƒ
ƒ
nom_convivial = nom convivial de Firebox.
(Pour plus d’informations sur la définition ou la modification de ce paramètre, voir Affecter un
nom convivial.)
nom_domaine = nom du champ Hôte de messagerie de cette boîte de dialogue.
Fenêtre contextuelle
Firebox fait apparaître une boîte de dialogue sur la station de gestion dès que l’événement se produit.
Vous pouvez définir l’heure d’envoi de la notification, ainsi que le nombre de répétitions, de la
manière suivante :
Intervalle de lancement
Temps minimum écoulé en minutes entre deux notifications. Ce paramètre empêche l’envoi de
plusieurs notifications pour un même événement, dans un délai court.
Nombre de répétitions
Ce paramètre vous permet de connaître la fréquence de réalisation d’un événement. Dès que le
nombre d’événements atteint la valeur sélectionnée, une notification de répétition est envoyée. Elle
crée une entrée de journal de répétition pour cette notification en particulier. La notification est
envoyée une nouvelle fois, dès que le nombre d’événements est atteint.
130
WatchGuard System Manager
Journalisation et notification
Voici comment utiliser ces deux valeurs : les valeurs sont définies de la manière suivante :
1. Intervalle de lancement = 5 minutes
2. Nombre de répétitions = 4
L’exploration de l’espace de ports démarre à 10h00 et effectue une exploration toutes les minutes. Cet
événement active les mécanismes de journalisation et de notification. Voici ce que cela déclenche et à
quels horaires :
3.
4.
5.
6.
7.
10h00 : première exploration de l’espace du port (premier événement)
10h01 : première notification déclenchée (un seul événement)
10h06 : deuxième notification déclenchée (signalement de cinq événements)
10h11 : troisième notification déclenchée (signalement de cinq événements)
10h16 : quatrième notification déclenchée (signalement de cinq événements)
L’intervalle de lancement détermine le temps écoulé entre les événements 1, 2, 3, 4 et 5. Il était défini
dans notre exemple sur 5 minutes. Multipliez le nombre de répétitions par l’intervalle de lancement.
Il s’agit de l’intervalle de temps pendant lequel un événement doit continuer à se produire pour
déclencher une notification de répétition.
Configurer Log Server
Le serveur Log Server collecte les données des messages des journaux de chaque système WatchGuard
Firebox géré par WatchGuard System Manager.
Vous pouvez installer le serveur Log Server sur l’ordinateur que vous utilisez comme station de gestion. Vous
pouvez également installer le logiciel Log Server sur un autre ordinateur à l’aide du programme d’installation
de WatchGuard System Manager. Exécutez le programme d’installation et choisissez d’installer uniquement
le composant Log Server. Vous pouvez également ajouter des serveurs Log Server supplémentaires à des
fins de sauvegarde.
Si vous installez un serveur WatchGuard sur un ordinateur doté d’un pare-feu autre que le Pare-feu
Windows, vous devez ouvrir les ports requis pour que les serveurs se connectent via le pare-feu. Les
utilisateurs du Pare-feu Windows n’ont pas besoin de modifier la configuration. Pour plus
d’informations, voir Installer les serveurs WatchGuard sur des ordinateurs équipés de pare-feu de
Bureau.
À propos des mots de passe
Tous les serveurs WatchGuard partagent les mêmes mot de passe principal et mot de passe de gestion de
serveur. Si vous commencez par configurer un autre serveur, il n’est pas nécessaire de définir de nouveau le
mot de passe lorsque vous configurez Log Server. Pour plus d’informations sur les mots de passe des serveurs,
voir À propos des mots de passe des serveurs WatchGuard.
Guide de l’utilisateur
131
Journalisation et notification
Installer Log Server
Si vous exécutez l’Assistant Log Server Setup Wizard à partir d’une connexion de bureau à distance
sous une session des services Terminal Server Windows 2000 ou Windows 2003 Server, l’installation
de la base de données PostgreSQL échoue si vous n’ouvrez pas la session de bureau à distance en
tant que console ou session d’administration à distance et ne configurez pas les services Terminal
Server pour s’exécuter en mode d’administration à distance.
1. Sur l’ordinateur où est installé le logiciel Log Server, cliquez sur dans la barre d’outils WatchGuard
(dans la barre d’état système située dans la partie inférieure droite de l’écran).
Vous pouvez également cliquer avec le bouton droit sur et sélectionner l’Assistant Setup Wizard.
Si la barre d’outils WatchGuard ne s’affiche pas, cliquez avec le bouton droit dans la barre d’état
système et sélectionnez Barres d’outils > WatchGuard.
L’Assistant Log Server Configuration Wizard démarre.
2. Tapez et confirmez la clé de chiffrement à utiliser pour la connexion sécurisée entre Firebox et les
serveurs Log Server. La clé de chiffrement peut comprendre entre 8 et 32 caractères. Vous pouvez
utiliser tous les caractères à l’exception des espaces et des barres obliques (/ ou \).
Prenez garde de ne pas oublier la clé de chiffrement. Vous en aurez besoin pour ajouter ce serveur Log
Server sur Firebox ou sur le serveur Quarantine Server.
132
WatchGuard System Manager
Journalisation et notification
3. Sélectionnez le chemin d’accès au répertoire de données, où sont conservés tous les fichiers
journaux, les fichiers de rapport et les fichiers de définition de rapport.
Il est conseillé d’utiliser l’emplacement par défaut : C:\Documents and Settings\WatchGuard\logs.
Sélectionnez avec soin le chemin d’accès au répertoire de données. Une fois que vous avez
installé la base de données, vous ne pouvez pas modifier le répertoire par le biais de l’interface
utilisateur Log Server. Si vous devez modifier le chemin d’accès au répertoire de données, voir
Déplacer le répertoire de données de journal.
4. Cliquez sur Ouvrir.
L’Assistant Log Server Setup Wizard réapparaît.
5. Cliquez sur Suivant. Tapez et confirmez votre mot de passe principal. Cliquez sur Suivant.
6. Tapez et confirmez votre mot de passe de gestion de serveur. Cliquez sur Suivant.
L’Assistant installe la base de données Postgres.
7. Tapez le nom de votre organisation. Cliquez sur Suivant.
L’Assistant configure votre serveur.
8. Cliquez sur Terminer pour quitter l’Assistant.
Configurer les paramètres du système
1. Cliquez sur Démarrer > Panneau de configuration. Ouvrez Options d’alimentation. Cliquez sur
l’onglet Veille prolongée et désactivez la veille prolongée. Cela permet d’empêcher la fermeture de
Log Server quand l’ordinateur passe en veille prolongée.
2. Assurez-vous que la même heure système est définie sur Log Server et Firebox. Pour synchroniser
l’heure de Firebox avec l’heure du système, démarrez Firebox System Manager. Sélectionnez Outils >
Synchroniser l’heure.
Guide de l’utilisateur
133
Journalisation et notification
Configurer Log Server
Avant d’utiliser cette procédure, vous devez configurer Log Server. Ensuite, procédez comme suit pour
configurer le serveur :
1. Cliquez avec le bouton droit sur dans la barre d’état système et sélectionnez Configurer.
La boîte de dialogue Configuration de Log Server s’affiche.
2. Tapez le mot de passe de gestion du serveur et cliquez sur OK.
La boîte de dialogue Configuration de Log Server s’affiche.
3. Modifiez de façon appropriée les paramètres par défaut pour votre réseau. Lorsque vous avez terminé,
cliquez sur OK.
Pour modifier vos paramètres de serveur par défaut, cliquez sur l’onglet Paramètres de serveur.
Pourmodifier les paramètres de sauvegarde et de suppression des fichiers journaux et de configuration de la
notification, cliquez sur l’onglet Paramètres d’expiration.
Pour modifier les paramètres de journalisation, cliquez sur l’onglet Paramètres de journalisation/d’analyse.
134
WatchGuard System Manager
Journalisation et notification
Paramètres de la base de données et du serveur SMTP d’un serveur Log Server
Vous pouvez choisir les paramètres de la base de données et du serveur SMTP pour votre serveur Log Server
sous l’onglet Paramètres de serveur de la boîte de dialogue Configuration de Log Server.
Guide de l’utilisateur
135
Journalisation et notification
Paramètres de base de données
Taille maximale de la base de données
Tapez la taille maximale de la base de données Log Server. Lorsque le serveur vient à manquer
d’espace disque, il refuse les nouveaux messages et supprime tous les messages électroniques qu’il
reçoit ultérieurement.
La boîte de dialogue affiche la taille actuelle de la base de données et le nombre de Go actuellement disponibles.
Envoyer une notification par e-mail si la base de données atteint le seuil d’avertissement
Si vous voulez recevoir un message d’avertissement lorsque la base de données approche de sa
limite, activez cette case à cocher.
Seuil d’avertissement
Pour spécifier quand la base de données doit vous envoyer un message d’avertissement relatif à un
seuil, appuyez sur les touches de direction Haut et Bas.
Envoyer un message d’avertissement à
Tapez l’adresse de messagerie complète du compte auquel vous voulez envoyer les notifications.
Par exemple, si vous choisissez de recevoir un message d’avertissement, définissez un seuil d’avertissement
par défaut de 90 % et définissez une taille maximale de la base de données par défaut de 10 000 Mo, le serveur
Log Server envoie le message d’avertissement lorsque 9 000 Mo ont été utilisés et qu’il ne reste que 1 000 Mo
disponibles.
Paramètres de serveur SMTP
Serveur de messagerie pour courrier sortant (SMTP)
Tapez l’adresse du serveur de messagerie SMTP sortant.
Utilisez les informations de connexion pour le serveur de messagerie
Si votre serveur de messagerie requiert une authentification, activez cette case à cocher.
Nom d’utilisateur
Tape le nom d’utilisateur du serveur de messagerie. Si le nom d’utilisateur n’est pas requis pour votre
serveur SMTP, vous pouvez laisser ce champ vide.
Mot de passe
Tape le mot de passe du serveur de messagerie. Si le mot de passe n’est pas requis pour votre serveur
SMTP, vous pouvez laisser ce champ vide.
Lorsque les bases de données Log Server sont purgées régulièrement et que le nombre
d’enregistrements envoyés au serveur reste quasiment constant, l’espace libéré par le processus de
purge est simplement réutilisé par les rapports et les journaux ultérieurs. Toutefois, si l’intervalle de
purge (défini dans le champ Conserver les messages du fichier journal pendant, sous l’onglet
Paramètres d’expiration, dans la boîte de dialogue Configuration de Log Server) est réduit ou
si la journalisation du débogage est désactivée après avoir été utilisée un certain temps, il est
conseillé d’utiliser l’utilitaire de ligne de commande vacuumdb pour récupérer l’espace disponible à
partir de la base de données Log Server. Cet utilitaire permet de réduire la taille du fichier physique
de la base de données en marquant les objets purgés comme pouvant être réutilisés.
136
WatchGuard System Manager
Journalisation et notification
Paramètres d’expiration d’un serveur Log Server
Vous pouvez choisir les paramètres de suppression de journal, les paramètres de sauvegarde de base de
données et la configuration de la notification pour votre serveur Log Server sous l’onglet Paramètres
d’expiration de la boîte de dialogue Configuration de Log Server.
Paramètres de suppression de journal
Activer la suppression des messages du fichier journal
Activez cette case à cocher pour permettre au serveur Log Server de supprimer les messages des
journaux à partir de votre périphérique.
Conserver les messages du fichier journal pendant
Pour spécifier le nombre de jours pendant lesquels les messages sont conservés sur le serveur Log
Server, appuyez sur les touches de direction Haut et Bas.
La boîte de dialogue indique la date à laquelle les messages ont été supprimés pour la dernière fois.
Supprimer les messages du fichier journal expirés à
Pour définir l’heure de la journée à laquelle les messages expirés sont supprimés, appuyez sur les
touches de direction Haut et Bas.
La boîte de dialogue indique la date et l’heure de la prochaine suppression planifiée.
Guide de l’utilisateur
137
Journalisation et notification
Paramètres de sauvegarde de base de données
Sauvegarder automatiquement les messages des journaux
Activez cette case à cocher pour permettre au serveur Log Server de créer automatiquement une
copie de sauvegarde des messages des journaux.
Sauvegardez les données de journal tous les
Pour spécifier la fréquence de sauvegarde des données de journal, appuyez sur les touches de
direction Haut et Bas.
La boîte de dialogue indique la date de la dernière sauvegarde de journal.
Sauvegardez les données du journal à
Pour définir l’heure de la journée à laquelle les données de journal sont sauvegardées, appuyez sur
les touches de direction Haut et Bas.
La boîte de dialogue indique la date et l’heure de la prochaine sauvegarde planifiée.
Chemin d’accès du répertoire des fichiers de sauvegarde
Pour sélectionner le dossier d’enregistrement des fichiers de sauvegarde, cliquez sur Parcourir.
Comme le fichier de sauvegarde Log Server est sur le même ordinateur que vos fichiers journaux de
base de données, il est conseillé de configurer le serveur Log Server pour enregistrer les fichiers de
sauvegarde sur un autre lecteur que le disque dur de votre ordinateur, comme par exemple
sur un disque dur externe ou un lecteur de bande. Ensuite, si vous rencontrez un problème avec
votre ordinateur qui vous empêche d’accéder aux fichiers sur le disque dur, vous pouvez toujours
accéder à vos fichiers de sauvegarde.
Configuration de la notification
Activer les notifications pour les événements provenant de tout périphérique ou serveur se connectant à ce
serveur Log Server
Activez cette case à cocher pour activer la fonctionnalité de notification. Vous devez activer cette case
à cocher pour activer les événements de notification que vous configurez dans Policy Manager.
Envoyer un e-mail de
Tapez l’adresse de messagerie complète du compte avec lequel vous voulez envoyer les notifications.
Objet
Tapez la ligne Objet que les utilisateurs verront lorsqu’ils recevront un e-mail de notification.
138
WatchGuard System Manager
Journalisation et notification
Paramètres de journalisation et d’analyse d’un serveur Log Server
Vous pouvez choisir les paramètres d’état de Firebox, de l’Observateur d’événements Windows et de chemin
d’accès sous l’onglet Paramètres de journalisation/d’analyse de la boîte de dialogue Configuration de
Log Server.
État de Firebox
Cette fenêtre indique la liste de tous les périphériques Firebox connectés à Log Server.
Pour afficher l’état actuel des connexions, cliquez sur Actualiser.
La boîte de dialogue affiche un message si aucun périphérique Firebox n’est connecté à Log Server.
Guide de l’utilisateur
139
Journalisation et notification
Observateur d’événements Windows
Envoyer les messages des journaux à l’Observateur d’événements Windows
Activez cette case à cocher si vous voulez que Log Server envoie des messages à l’Observateur
d’événements Windows.
Sélectionnez un niveau de journal
Si vous avez activé la case à cocher Envoyer les messages des journaux à l’Observateur
d’événements Windows, vous pouvez sélectionner le niveau affecté aux messages des journaux.
ƒ
ƒ
ƒ
ƒ
Erreur
Avertissement
Informations
Débogage
Chemin d’accès
Envoyer les messages du journal vers un fichier
Activez cette case à cocher pour envoyer les messages du journal vers le fichier journal. Pour ignorer
les messages de journal, désactivez cette case à cocher.
Emplacement du fichier
Si vous avez activé la case à cocher Envoyer les messages du journal vers un fichier, vous pouvez
sélectionner l’emplacement où les messages des journaux sont envoyés et stockés.
Sélectionnez un niveau de journal
Si vous avez activé la case à cocher Envoyer les messages du journal vers un fichier, vous pouvez
sélectionner le niveau affecté aux messages des journaux.
ƒ
ƒ
ƒ
ƒ
Erreur
Avertissement
Informations
Débogage
Restaurer un fichier journal de sauvegarde
Vous pouvez restaurer un fichier de données de journal de sauvegarde sur votre serveur Log Server. Pour
pouvoir restaurer les données de journal, vous devez configurer le serveur Log Server.
Pour plus d’informations sur la configuration du serveur Log Server, voir Configurer Log Server.
Si vous autorisez le serveur Log Server à sauvegarder automatiquement les messages des journaux, le serveur
Log Server enregistre le contenu de la base de données dans un fichier CSV dans un répertoire de votre choix.
Pour chaque périphérique qui se connecte au serveur Log Server, un ensemble de quatre fichiers distincts est
créé. Lorsque vous restaurez les fichiers journaux à partir du serveur de secours, vous devez convertir
et importer l’ensemble de fichiers pour tous les périphériques, l’un après l’autre.
Pour restaurer les données de journal sur un serveur Log Server, vous devez commencer par convertir le fichier
CSV en fichier XML à l’aide de l’application wlconvert.exe. Si vous avez configuré un serveur Log Server
secondaire, les fichiers journaux des différents serveurs Log Server se trouvent dans des fichiers CSV distincts.
Pour plus d’informations sur la façon d’autoriser le serveur Log Server à sauvegarder les fichiers journaux, voir
Paramètres d’expiration d’un serveur Log Server.
140
WatchGuard System Manager
Journalisation et notification
L’application wlconvert.exe est une application de ligne de commande. Pour pouvoir exécuter wlconvert
afin de convertir les fichiers de sauvegarde, vous devez posséder les informations relatives à deux arguments
: -d (répertoire) et -f (nom de fichier). Le répertoire correspond au chemin d’accès du dossier dans lequel les
fichiers de sauvegarde ont été enregistrés et représente un argument facultatif. Le nom de fichier
correspond à la partie sn_timestamp du nom de fichier de chacun des quatre fichiers de l’ensemble, où sn est
le numéro de série du périphérique et timestamp est au format AAAAMMJJhhmmss.
Par exemple, si vos fichiers de sauvegarde Log Server se trouvent dans le répertoire C:\old_logs et que
sn_timestamp pour l’ensemble de fichiers est 209188121122_0070731000006, les données d’argument
sont :
-d C:\old_logs -f 209188121122_0070731000006.
Pour convertir l’ensemble de fichiers journaux :
1. À l’invite de commandes, exécutez l’application wlconvert.exe située dans le dossier C:\Program
Files\WatchGuard\wsm10.0\wlcollector\bin.
2. Tapez les informations pour les arguments -d et -f.
3. Appuyez sur Entrée sur le clavier.
L’ensemble des quatre fichiers journaux est converti en un fichier XML doté du sn_timestamp
provenant des quatre fichiers distincts comme nom de fichier.
Par exemple, 209188121122_0070731000006.xml.
Le nouveau fichier XML apparaît dans le dossier avec l’ensemble des quatre fichiers CSV.
Une fois que vous avez converti le fichier de données de journal du format CSV au format XML, vous pouvez
importer le fichier XML sur le serveur Log Server à l’aide de l’application wlimport.exe. Pour importer un
fichier journal, suivez la procédure détaillée dans Importer un fichier journal sur un serveur Log Server.
Importer un fichier journal sur un serveur Log Server
Vous pouvez importer des fichiers journaux XML sur votre serveur Log Server à l’aide de l’application
wlimport.exe. Si vous voulez restaurer vos fichiers journaux de sauvegarde Log Server, vous devez
commencer par convertir les fichiers CSV en fichiers XML.
Pour plus d’informations sur la façon de convertir des fichiers CSV au format XML, voir Restaurer un fichier
journal de sauvegarde.
L’application wlimport.exe est une application de ligne de commande. Avant d’exécuter wlimport pour
importer les fichiers de sauvegarde, vous devez posséder des informations pour deux arguments : -e (clé de
chiffrement de journal) et -i (nom complet du serveur Log Server).
Vous avez besoin uniquement des informations de l’argument -i pour importer des fichiers XML à
partir d’un ancien serveur Log Server sur un nouveau serveur Log Server. Si vous voulez importer les
fichiers de sauvegarde à partir de votre serveur Log Server actuel, l’argument -i n’est pas nécessaire.
Pour importer le fichier journal XML :
1. À l’invite de commandes, exécutez l’application wlimport.exe située dans le dossier C:\Program
Files\WatchGuard\wsm10.0\wlcollector\bin.
2. Tapez les informations pour les arguments -e et -i.
3. Appuyez sur Entrée sur le clavier.
Le fichier XML est importé sur votre serveur Log Server et un compteur apparaît qui indique le nombre
d’entrées importées.
L’opération prendra quelques minutes. La durée est déterminée par la taille des fichiers journaux.
Une fois l’importation des fichiers terminée, vous pouvez utiliser LogViewer pour consulter votre fichier
journal. Pour plus d’informations, voir Utiliser LogViewer pour afficher les fichiers journaux.
Guide de l’utilisateur
141
Journalisation et notification
Déplacer le répertoire de données de journal
Lorsque vous installez Log Server, vous choisissez le répertoire dans lequel vos fichiers de données de journal
sont stockés. Une fois l’installation terminée, vous ne pouvez pas modifier le répertoire dans l’application Log
Server. Si vous exécutez de nouveau l’Assistant Log Server Setup Wizard, un nouveau répertoire Log Server est
créé, mais les données contenues dans l’ancien répertoire ne sont pas déplacées vers le nouveau répertoire.
Vous pouvez déplacer manuellement le répertoire de données de journal actuel vers un nouvel emplacement,
puis créer un nouveau répertoire Log Server.
1. Arrêtez Log Server et Report Server.
2. Utilisez la boîte de dialogue Windows Ajouter ou supprimer des programmes pour désinstaller le
programme PostgreSQL.
La base de données Log Server n’est pas supprimée.
3. Copiez le répertoire de données de journal d’origine dans le nouvel emplacement. Assurez-vous
d’inclure tous les dossiers et fichiers dans le répertoire.
Par exemple, C:\Documents and Settings\WatchGuard\logs\data.
4. Démarrez l’Assistant Log Server Setup Wizard.
5. Sélectionnez le nouveau répertoire de données de journal. N’incluez pas le dossier \data dans le
champ Chemin d’accès au répertoire de données.
Par exemple, C:\Documents and Settings\WatchGuard\Log Server2\logs.
6. Terminez l’Assistant en ajoutant les informations requises.
L’Assistant réinstalle le programme PostgreSQL et crée un nouveau répertoire Log Server dans le nouvel
emplacement.
Démarrer et arrêter Log Server
Vous pouvez démarrer et arrêter manuellement le service Log Server à tout moment sans vous déconnecter
du serveur Log Server.
ƒ
Pour démarrer le service, cliquez avec le bouton droit sur dans la barre d’état système et sélectionnez
Démarrer le service.
Vous pouvez également sélectionner Fichier > Démarrer le serveur dans la boîte de dialogue
Configuration de Log Server.
L’icône de la barre d’état système devient
ƒ
Pour arrêter le service, cliquez avec le bouton droit sur dans la barre d’état système et sélectionnez
Arrêter le service.
Vous pouvez également sélectionner Fichier > Arrêter le serveur dans la boîte de dialogue
Configuration de Log Server.
L’icône de la barre d’état système devient
142
.
.
WatchGuard System Manager
Journalisation et notification
Modifier la clé de chiffrement du serveur Log Server
Cliquez avec le bouton droit sur dans la barre d’outils WatchGuard et sélectionnez Configuration.
Sélectionnez Fichier > Définir la clé de chiffrement de Log Server.
Tapez l’ancienne clé de chiffrement de journal.
Tapez deux fois la nouvelle clé de chiffrement de journal. Cliquez sur OK.
Dans Policy Manager, sélectionnez Configurer > Journalisation.
Sélectionnez l’adresse IP du serveur Log Server avec la nouvelle clé de chiffrement dans la liste des
serveurs WatchGuard Log Server et cliquez sur Configurer.
La boîte de dialogue Configurer les serveurs Log Server s’affiche.
7. Sélectionnez le nom ou l’adresse IP du serveur Log Server et cliquez sur Modifier.
8. Tapez et confirmez la nouvelle clé de chiffrement de journal à utiliser pour ce serveur Log Server.
9. Cliquez sur OK. Enregistrez le fichier de configuration.
1.
2.
3.
4.
5.
6.
Récupérer l’espace disponible à partir de la base de données Log Server
Lorsque les bases de données Log Server sont purgées régulièrement et que le nombre d’enregistrements
envoyés au serveur reste quasiment constant, l’espace libéré par le processus de purge est simplement
réutilisé par les journaux ultérieurs. Toutefois, si l’intervalle de purge (défini dans le champ Conserver les
messages du fichier journal pendant, sous l’onglet Paramètres d’expiration, dans la boîte de dialogue
Configuration de Log Server) est réduit ou si la journalisation du débogage est désactivée après avoir été
utilisée un certain temps, il est conseillé d’utiliser l’utilitaire de ligne de commande vacuumdb. Cet utilitaire
permet de réduire la taille du fichier physique de la base de données en marquant les objets purgés comme
pouvant être réutilisés.
Comme l’exécution de cet utilitaire peut s’avérer longue, il est conseillé de configurer Log Server de secours
pour vos systèmes si vous n’en avez pas déjà un.
L’utilitaire vacuumdb peut également servir à récupérer l’espace disponible à partir de la base de données
Report Server.
Pour exécuter l’utilitaire vacuumdb :
1. Arrêtez le serveur Log Server correspondant aux bases de données sur lesquelles vous voulez effectuer
cette tâche de maintenance.
2. À partir de la ligne de commande, exécutez :
C:\Program Files\WatchGuard\wsm10.0\postgresql\bin\vacuumdb –v –f –d wglog –U wguser
(Vous pouvez omettre l’option –v pour désactiver la sortie détaillée.)
3. Lorsque vous y êtes invité, entrez le mot de passe de gestion du serveur.
Selon la taille de la base de données, l’opération peut prendre entre quelques minutes et plusieurs heures.
Une fois la commande terminée, redémarrez le serveur Log Server.
Guide de l’utilisateur
143
Journalisation et notification
Utiliser LogViewer pour afficher les fichiers journaux
LogViewer est l’outil WatchGuard System Manager qui vous permet de consulter les données des fichiers
journaux. Vous pouvez afficher les données d’un journal page par page ou rechercher et afficher du contenu
en utilisant des mots clés ou en spécifiant des champs du journal.
Ouvrir LogViewer
Cliquez sur
dans la barre d’outils de WatchGuard System Manager.
Vous pouvez également sélectionner Outils > Journaux > LogViewer dans WatchGuard System Manager.
WatchGuard LogViewer s’affiche.
Se connecter à un périphérique
Vous pouvez vous connecter aux périphériques Firebox ou aux serveurs Log Server. Lorsque vous vous
connectez à Firebox, vous pouvez filtrer les données de journal en fonction du type de message du journal, de
la date et de l’heure, ainsi que des recherches de chaînes. Lorsque vous vous connectez à un serveur, vous
pouvez uniquement filtrer les données selon la date et l’heure, ou des recherches de chaînes de caractères
simples.
Pour plus d’informations sur les détails des messages des journaux, voir Définir les préférences utilisateur de
LogViewer et Détails des messages du journal.
144
WatchGuard System Manager
Journalisation et notification
Tous les serveurs WatchGuard partagent le même mot de passe principal.
1. Cliquez sur
dans la barre d’outils de LogViewer.
Vous pouvez également sélectionner Fichier > Connecter pour vous connecter à un serveur Log
Server.
La boîte de dialogue Connexion à Log Server s’affiche.
2. Tapez l’adresse IP et le mot de passe de votre serveur Log Server. Cliquez sur OK.
La boîte de dialogue Connexion à Log Server disparaît et la boîte de dialogue Sélection d’un serveur ou système
Firebox s’affiche.
Guide de l’utilisateur
145
Journalisation et notification
3. Sélectionnez Firebox ou Log Server dans la liste et cliquez sur OK.
Vous pouvez décider de vous connecter à plusieurs périphériques au même moment.
Une fenêtre de périphérique apparaît pour chaque périphérique sélectionné. L’adresse IP du périphérique
apparaît dans la barre de titre de la fenêtre. Le contenu d’une fenêtre de périphérique Firebox est différent de celui
d’une fenêtre de serveur.
4. Sélectionnez un message de journal pour consulter plus d’informations sur le message.
Les détails du message de journal sélectionné apparaissent dans le volet Détails dans la partie inférieure de la
fenêtre du périphérique.
Si le volet Détails n’est pas visible, sélectionnez Affichage > Volet Détails pour l’activer.
Pour plus d’informations sur l’affichage des données du périphérique, voir Définir les préférences utilisateur
de LogViewer.
146
WatchGuard System Manager
Journalisation et notification
Barres d’outils de LogViewer
La barre d’outil principale de LogViewer inclut des icônes qui vous permettent de parcourir l’interface.
Icône
Nom
Action
Ouvrir les journaux sur le
serveur Log Server principal
Ouvre les fichiers journaux sur le serveur Log Server
principal sans se connecter au préalable au serveur
Log Server.
Connexion à Log Server
Se connecter à Log Server.
Importer des données
Importer dans LogViewer des données provenant
d’un journal existant.
Exporter la sélection
Exporter dans un fichier de base de données des
données provenant d’un message de journal
sélectionné.
Diagnostics locaux
Afficher la boîte de dialogue Diagnostics locaux pour
exécuter des tâches de diagnostic et passer en revue
les résultats.
Gestionnaire de recherche
Ouvrir le Gestionnaire de recherche pour rechercher
des détails spécifiques dans les journaux.
Aide
Ouvrir l’aide de LogViewer.
La barre d’outils de la fenêtre Firebox de LogViewer inclut des icônes qui vous permettent de filtrer et d’affiner
l’affichage des messages des journaux.
Icône
Guide de l’utilisateur
Nom
Action
Actualiser
Mettre à jour l’affichage des journaux sélectionnés
avec les dernières données provenant du serveur Log
Server.
Tous les journaux
Afficher tous les journaux pour le périphérique
sélectionné.
Trafic
Afficher seulement les journaux de type Trafic pour
le périphérique sélectionné.
Alarmes
Afficher seulement les journaux de type Alarme pour
le périphérique sélectionné.
Événement
Afficher seulement les journaux de type Événement
pour le périphérique sélectionné.
Débogage
Afficher seulement les journaux de type Débogage
pour le périphérique sélectionné.
Statistiques
Afficher seulement les journaux de type Statistiques
pour le périphérique sélectionné.
Filtre Date-Heure
Filtrer les données sélectionnées selon la date et
l’heure.
Rechercher des
correspondances
dans les journaux
Rechercher des détails spécifiques dans les journaux
sélectionnés.
Effacer
Effacer tous les filtres appliqués.
147
Journalisation et notification
La barre d’outils de la fenêtre Serveur de LogViewer inclut des icônes qui vous permettent de filtrer les
messages des journaux.
Icône
Nom
Action
Actualiser
Mettre à jour l’affichage des journaux sélectionnés
avec les dernières données provenant du serveur Log
Server.
Filtre Date-Heure
Filtrer les données sélectionnées selon la date et
l’heure.
Rechercher des
correspondances dans les
journaux
Rechercher des détails spécifiques dans les journaux
sélectionnés.
Effacer
Effacer tous les filtres appliqués.
Ouvrir les journaux du serveur Log Server principal
Si vous avez spécifié un serveur Log Server principal, vous pouvez ouvrir les fichiers journaux pour ce serveur
à partir de la fenêtre LogViewer principale sans vous y connecter auparavant. Vous pouvez alors afficher la liste
des périphériques Firebox qui sont actuellement connectés au serveur Log Server principal. Vous devez
sélectionner un serveur Log Server principal pour activer cette option.
Pour plus d’informations sur le choix d’un serveur Log Server principal, voir Définir les préférences utilisateur
de LogViewer.
Pour ouvrir les journaux du serveur Log Server principal :
Cliquez sur
dans la barre d’outils LogViewer.
Vous pouvez également sélectionner Fichier > Ouvrir les journaux pour.
La boîte de dialogue Sélection d’un serveur ou système Firebox s’affiche avec la liste des périphériques connectés.
Définir les préférences utilisateur de LogViewer
Vous pouvez ajuster le contenu et le format de la fenêtre LogViewer.
Dans LogViewer, sélectionnez Affichage > Préférences.
La boîte de dialogue Préférences utilisateur s’affiche.
La boîte de dialogue Préférences utilisateur inclut deux onglets permettant de configurer les paramètres :
Général et Affichage. L’onglet Général inclut des options pour la définition d’un serveur Log Server principal.
L’onglet Affichage inclut des options pour la configuration des paramètres de la fenêtre du journal et la
configuration des paramètres de colonne pour les différents types de message du journal.
148
WatchGuard System Manager
Journalisation et notification
Paramètres généraux
Serveur Log Server principal
Vous pouvez spécifier un serveur Log Server auquel vous vous reconnecterez automatiquement.
Tapez l’adresse IP, le nom d’utilisateur et le mot de passe du serveur Log Server.
Paramètres de recherche
Tapez le nombre maximal de requêtes de recherche à conserver dans l’historique des recherches.
Guide de l’utilisateur
149
Journalisation et notification
Paramètres d’affichage
Type de journal par défaut
Sélectionnez les types de journaux à inclure automatiquement lorsque vous passez en revue les
messages des journaux.
Afficher les détails du message du journal
Choisissez d’inclure ou d’exclure les détails du message dans les messages des journaux.
Taille de police de l’entrée de table du journal
Sélectionnez dans la liste déroulante la taille de police que vous voulez utiliser pour les entrées de la
table du journal.
Paramètres de la colonne
Le volet Paramètres de la colonne propose un onglet pour chaque type de message du journal.
Chaque onglet inclut la liste des détails disponibles pour ce type de message. Utilisez ces onglets
pour sélectionner les colonnes de détails qui s’affichent pour chaque type de message. Vous pouvez
également cliquer sur Monter ou Descendre pour modifier l’ordre des colonnes.
Pour plus d’informations sur les types de message de journal disponibles, voir Détails des messages du journal.
150
WatchGuard System Manager
Journalisation et notification
Détails des messages du journal
Vous pouvez sélectionner les détails à afficher dans chaque type de message du journal en sélectionnant
les colonnes à inclure dans les différents types de messages du journal. Vous trouverez ci-dessous la liste
complète des colonnes disponibles. Toutes les colonnes n’apparaîtront pas pour tous les types de messages.
Colonne de message du journal
Description
Informations supplémentaires
Détails supplémentaires sur le message du journal pour les
journaux de proxy. Par exemple : nom d’hôte, nom de fichier,
nom de règle, type de contenu.
ID d’alarme
Numéro associé à l’alarme.
Nom de l’alarme
Catégorie de l’alarme (Système, IPS, AV, Stratégie, Proxy,
Sondage, Refus de service ou Trafic).
Type d’alarme
Type de l’alarme (messagerie, contextuel).
Fournisseur d’application
Nom du serveur qui fournit les données.
Octets reçus
Nombre d’octets reçus par un périphérique (WAN ou tunnel)
au cours de la période de journalisation de statistiques.
Octets envoyés
Nombre d’octets envoyés par un périphérique (WAN ou
tunnel) au cours de la période de journalisation de
statistiques.
ID de connexion
Numéro de la connexion au serveur.
Date-Heure
Date et heure sur le serveur correspondant à la réception du
message du journal.
Interface de destination
Nom de l’interface de destination.
IP de destination
Adresse IP de destination pour ce paquet.
IP-NAT de destination
Façon dont le protocole de traduction d’adresses réseau NAT
(Network Address Translation) a été traité pour l’adresse IP de
destination de ce paquet.
Port de destination
Port de destination pour ce paquet.
Port-NAT de destination
Façon dont le protocole de traduction d’adresses réseau NAT
(Network Address Translation) a été traité pour le port de
destination de ce paquet.
Message détaillé
Tous les champs de message du journal, séparés par des
virgules.
Périphérique
Nom du périphérique qui a envoyé le journal des
performances (WAN ou tunnel).
Direction
Direction de l’action. Peut être entrante ou sortante.
Disposition
Disposition des paquets. Il peut s’agir de refuser ou
d’autoriser.
Message
Champ de message.
Code de message
Code relatif au type de message.
Cachet du message (s.ms)
Cachet du message au format secondes.millisecondes.
Détails divers
Détails supplémentaires provenant des colonnes que vous
avez choisi d’inclure pour le type de message du journal. Par
exemple: RC (code de retour), Longueur de Paquet, et TTL
(durée de vie des paquets en secondes).
Guide de l’utilisateur
151
Journalisation et notification
Colonne de message du journal
Description
Stratégie
Nom de la stratégie dans Policy Manager qui a traité ce
paquet.
Priorité
Niveau de priorité du message du journal.
ID de processus
ID du processus effectué dans l’action du message du journal.
Protocole
Protocole utilisé dans ce paquet.
Colonne de message du journal
Description
Action de proxy
Nom de l’action de proxy en charge de ce paquet. Une action
de proxy est un ensemble de règles pour un proxy qui peuvent
être appliquées à plusieurs stratégies.
ID de requête
ID du processus serveur demandé dans le message du journal.
Code de retour
Code de retour pour le paquet.
Interface source
Nom que vous avez donné à l’interface source pour ce paquet
(tel que défini dans Policy Manager).
IP source
Adresse IP source de ce paquet.
IP-NAT source
Façon dont le protocole de traduction d’adresses réseau NAT
(Network Address Translation) a été traité pour l’adresse IP
source de ce paquet.
Port source
Port source pour ce paquet.
Port-NAT source
Façon dont le protocole de traduction d’adresses réseau NAT
(Network Address Translation) a été traité pour le port source
de ce paquet.
Type
Type de message du journal. Tous les journaux incluent un
type de journal dans le message : « al » pour les alarmes, « ev »
pour les événements, « db » pour le débogage, « pe » pour les
journaux de statistiques et « tr » pour le trafic
Pour plus d’informations sur le choix des détails des messages de journal, voir Définir les préférences
utilisateur de LogViewer.
Pour plus d’informations sur les différents types de messages de journal, voir Types de messages de journal.
Utiliser le Gestionnaire de recherche
Vous pouvez utiliser le Gestionnaire de recherche LogViewer pour créer des règles pour les recherches, puis
rechercher les données affichées dans LogViewer. Vous pouvez créer des recherches personnalisées et les
enregistrer de façon à pouvoir les exécuter à de nombreuses reprises. Vous pouvez également supprimer ou
modifier une recherche enregistrée et effacer l’historique des recherches.
152
WatchGuard System Manager
Journalisation et notification
Ouvrir le Gestionnaire de recherche
Cliquez sur
.
Vous pouvez également sélectionner Outils > Gestionnaire de recherche.
La boîte de dialogue Gestionnaire de recherche s’affiche.
Créer une requête de recherche
1. Cliquez sur Ajouter une recherche dans le volet Tâches.
2. Tapez un nom pour votre recherche dans le champ Nom.
3. Sélectionnez les Paramètres de recherche.
Pour plus d’informations sur les paramètres de recherche, voir Paramètres de Paramètres de recherche.
Enregistrer une recherche
Une fois que vous avez créé une requête de recherche, vous pouvez l’enregistrer afin de pouvoir l’exécuter de
nouveau.
Cliquez sur Enregistrer la recherche dans le volet Tâches.
Le nom de la recherche est répertorié dans la liste Mes recherches.
Guide de l’utilisateur
153
Journalisation et notification
Supprimer une recherche
Lorsque vous ne voulez plus inclure une recherche enregistrée dans la liste Mes recherches, vous pouvez la
supprimer.
1. Sélectionnez une recherche dans la liste Mes recherches. Vous ne pouvez supprimer qu’une seule
recherche enregistrée à la fois.
2. Cliquez sur Supprimer la recherche dans le volet Tâches.
Le nom de la recherche est supprimé de la liste Mes recherches.
Modifier une recherche
Vous pouvez modifier une recherche enregistrée pour modifier les paramètres de recherche.
1. Sélectionnez le nom de la recherche dans la liste Mes recherches.
Le nom de la recherche sélectionné s’affiche dans le champ Nom.
2. Modifiez les paramètres de recherche.
3. Cliquez sur Enregistrer la recherche dans le volet Tâches.
Le message d’enregistrement de recherche s’affiche.
Exécuter une recherche
Vous pouvez choisir d’exécuter une requête de recherche enregistrée ou une nouvelle requête.
Pour exécuter une recherche enregistrée :
1. Sélectionnez un nom de recherche dans la liste Mes recherches.
2. Cliquez sur Exécuter la recherche dans le volet Tâches.
Les messages des journaux qui correspondent aux paramètres de la requête de recherche enregistrée s’affichent
dans la fenêtre LogViewer.
Pour exécuter une nouvelle requête de recherche :
1. Suivez la procédure détaillée sous Créer une requête de recherche pour définir la requête de recherche.
2. Cliquez sur Exécuter la recherche dans le volet Tâches.
Les messages des journaux qui correspondent aux paramètres de la requête de recherche enregistrée s’affichent
dans la fenêtre LogViewer.
Effacer l’historique des recherches
Vous pouvez supprimer toutes les recherches récentes de l’historique des recherches.
Cliquez sur Effacer l’historique des recherches dans le volet Tâches.
Paramètres de Paramètres de recherche
Choisissez parmi les options disponibles pour chaque champ pour créer une requête de recherche.
154
WatchGuard System Manager
Journalisation et notification
Pour plus d’informations sur les requêtes de recherche, voir Utiliser le Gestionnaire de recherche.
Type de message de journal
Sélectionnez le type de message du journal que vous voulez rechercher.
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Tous les journaux
Trafic
Alarme
Événement
Débogage
Statistiques
Serveur
Règles
Cliquez sur Ajouter pour appliquer des règles de colonne, d’opérateur et de valeur à votre requête
de recherche.
ƒ
ƒ
ƒ
Colonne Sélectionnez dans la liste une colonne dans laquelle effectuer la recherche.
Opérateur
Sélectionnez l’opération à appliquer : ÉGAL À, NON ÉGAL À, CONTIENT.
Valeur
Tapez une valeur que l’opérateur recherchera.
Trier par
Vous pouvez décider d’afficher les résultats en fonction d’une colonne quelconque susceptible d’être
triée et disponible pour le type de journal sélectionné. Vous pouvez choisir d’afficher les résultats
dans l’ordre ascendant ou descendant.
Options
Règle — si vous choisissez AND, seuls les résultats qui satisfont toutes les règles sont affichés. Si vous
choisissez OR, les résultats qui satisfont l’une des règles sont affichés. Si votre recherche inclut une
seule règle, ce paramètre ne s’applique pas.
Correspondances — choisissez si les résultats de la requête de recherche doivent inclure ou exclure
les messages des journaux qui correspondent aux paramètres définis.
Guide de l’utilisateur
155
Journalisation et notification
Exécuter des tâches de diagnostic locales
Vous pouvez utiliser LogViewer pour exécuter des tâches de diagnostic sur une adresse IP ou un hôte
quelconque. Les tâches de diagnostic incluent Ping, Tracert ou NSLookup.
1. Cliquez sur .
Vous pouvez également sélectionner Outils > Diagnostics locaux et sélectionner une tâche.
La boîte de dialogue Diagnostics locaux s’affiche.
2. Sélectionnez une tâche dans la liste déroulante Nom de la tâche.
Tâche
Action
Test Ping
Assurez-vous qu’une adresse IP ou un hôte est actif.
Tracert
Tracez l’route vers l’adresse IP ou l’hôte et examinez la durée de transfert de l’route.
NSLookup
Vérifiez le nom du serveur et l’adresse IP réelle de l’adresse IP ou de l’hôte sélectionné.
3. Tapez une adresse IP ou un nom d’hôte dans le champ Paramètres.
4. Cliquez sur Exécuter la tâche.
Les résultats de la tâche apparaissent dans le champ Résultats.
5. Pour imprimer les résultats de la tâche, cliquez sur Imprimer les résultats.
La boîte de dialogue Imprimer s’affiche.
6. Sélectionnez les paramètres d’impression, puis cliquez sur Imprimer.
156
WatchGuard System Manager
Journalisation et notification
Importer et exporter des données dans LogViewer
Vous pouvez utiliser LogViewer pour consulter les données des fichiers journaux de base de données existants
ou pour exporter des données sélectionnées vers un fichier de base de données.
Importer des données
1. Dans la barre d’outils LogViewer, cliquez sur .
Vous pouvez également sélectionner Fichier > Importer des données.
La boîte de dialogue Importer des données s’affiche.
2. Parcourez l’arborescence pour sélectionner un fichier de base de données.
3. Cliquez sur Importer.
Les données sélectionnées apparaissent dans une nouvelle fenêtre Serveur.
Pour plus d’informations sur les fenêtres Serveur de LogViewer, voir Utiliser LogViewer pour afficher les
fichiers journaux.
Exporter des données
1. Sélectionnez les messages des journaux à exporter dans la fenêtre Firebox ou Serveur de LogViewer.
2. Dans la barre d’outils LogViewer, cliquez sur
.
Vous pouvez également sélectionner Fichier > Exporter les données sélectionnées.
La boîte de dialogue Exporter les données sélectionnées s’affiche avec le nom de fichier par défaut dans le champ
Nom de fichier.
3. Parcourez l’arborescence pour sélectionner le répertoire où vous voulez enregistrer le fichier de base
de données.
4. Si nécessaire, tapez un nouveau nom pour le fichier de base de données dans le champ Nom de
fichier.
5. Cliquez sur Exporter.
Le fichier de base de données est enregistré dans le répertoire sélectionné.
Imprimer, enregistrer ou envoyer les messages des journaux par e-mail
Après avoir sélectionné un ou plusieurs messages des journaux dans LogViewer, vous pouvez les envoyer par
e-mail, les imprimer ou les enregistrer.
Envoyer un message de journal par e-mail
Sélectionnez Fichier > Envoyer la sélection en tant que et choisissez parmi les options suivantes :
ƒ
ƒ
Fichier de valeurs séparées par des virgules (*.csv)
Portable Document Format (*.pdf)
Un e-mail s’ouvre avec le message de journal en pièce jointe dans le format de fichier sélectionné.
Imprimer un message de journal
1. Sélectionnez Fichier > Imprimer la sélection.
La boîte de dialogue Imprimer s’affiche.
2. Sélectionnez une imprimante et les paramètres d’impression, puis cliquez sur Imprimer.
Guide de l’utilisateur
157
Journalisation et notification
Enregistrer un message de journal
1. Sélectionnez Fichier > Enregistrer la sélection sous > et choisissez parmi les options suivantes :
o Fichier de valeurs séparées par des virgules (*.csv)
o Page Web (*.htm, *.html)
o Portable Document Format (*.pdf)
o Langage XML (Extensible Markup Language) (*.xml)
La boîte de dialogue Enregistrer s’affiche.
2. Sélectionnez un emplacement et tapez un nom de fichier. Cliquez sur Enregistrer.
158
WatchGuard System Manager
9
Installation et configuration
d’un réseau
À propos de la configuration d’interface réseau
La configuration des adresses IP d’interface réseau est un élément essentiel de la configuration de WatchGuard
Firebox. Lorsque vous exécutez l’Assistant Quick Setup Wizard, les interfaces externes et approuvées sont
configurées pour que le trafic soit acheminé via Firebox. Vous pouvez suivre les procédures décrites dans cette
section pour modifier cette configuration après avoir exécuté l’Assistant Quick Setup Wizard ou pour ajouter
d’autres composants du réseau à la configuration. Par exemple, vous pouvez configurer une interface
facultative pour des serveurs publics, comme des serveurs Web.
Les réseaux regroupés dans un réseau local sont physiquement séparés des réseaux situés sur un réseau
étendu, comme Internet, par un pare-feu. L’une des principales fonctions de ce dernier est de déplacer les
paquets de part et d’autre du pare-feu. On parle alors de « routage ». Pour acheminer correctement les
paquets, le pare-feu doit savoir quels réseaux sont accessibles sur chacune de ses interfaces.
Firebox se caractérise par trois types d’interfaces principaux :
Interfaces externes
Interfaces qui se connectent à un réseau étendu et qui peuvent avoir une adresse IP statique ou
dynamique. Pour plus d’informations sur les interfaces externes et leur configuration, voir Configurer
les interfaces externes.
Interfaces approuvées
Interfaces qui se connectent au réseau local privé ou au réseau interne que vous voulez sécuriser.
Pour configurer les interfaces approuvées, voir Configurer les interfaces Firebox.
Interfaces facultatives
Il s’agit d’environnements d’« approbation mixte » ou « DMZ » qui sont physiquement séparés du
réseau approuvé. Les serveurs Web publics, les serveurs FTP et les serveurs de messagerie sont des
exemples d’ordinateurs souvent intallés sur une interface facultative. Pour configurer les interfaces
facultatives, voir Configurer les interfaces Firebox.
Guide de l’utilisateur
159
Installation et configuration d’un réseau
Vous pouvez enrichir votre réseau d’autres composants et fonctions :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Ajouter un route statique
Configurer Firebox en tant que serveur DHCP
Configurer un réseau secondaire
Utiliser des agents de relais DHCP
Définir des paramètres d’interface avancés
Définir un réseau local virtuel (VLAN)
À propos de la configuration réseau en mode d’insertion
Lorsque vous configurez les interfaces sur Firebox, vous devez employer la notation de barre oblique pour
désigner le masque de sous-réseau. Par exemple, vous pouvez entrer la plage réseau 192.168.0.0, masque de
sous-réseau 255.255.255.0, sous la forme 192.168.0.0/24. Une interface approuvée dont l’adresse IP est
10.0.1.1/16 possède le masque de sous-réseau 255.255.0.0.
Configurer les interfaces Firebox
1. Dans Policy Manager, sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
160
WatchGuard System Manager
Installation et configuration d’un réseau
2. Sélectionnez l’interface à configurer. Cliquez sur Configurer.
La boîte de dialogue Paramètres de l’interface s’affiche.
3. Dans le champ Nom de l’interface (Alias), vous pouvez conserver le nom par défaut ou en choisir un
qui reflète mieux votre réseau et ses relations d’approbation.
Vérifiez que ce nom n’a pas été attribué à une interface, un groupe MUVPN ou un tunnel.
4. Étape facultative : entrez une description de l’interface dans le champ Description de l’interface.
5. Dans le champ Type d’interface, vous pouvez remplacer la valeur par défaut du type d’interface.
Guide de l’utilisateur
161
Installation et configuration d’un réseau
6. Si vous souhaitez modifier l’adresse IP d’interface, employez la notation de barre oblique. N’oubliez pas
d’entrer tous les numéros et les points. N’utilisez pas la touche de tabulation ni les touches de
direction.
7. Si vous configurez une interface approuvée ou facultative, sélectionnez Désactiver DHCP, Utiliser le
serveur DHCP ou Utiliser le relais DHCP.
Voir Configurer Firebox en tant que serveur DHCP et Configurer Firebox en tant qu’agent de relais
DHCP pour en savoir plus sur l’option de relais DHCP. Si vous configurez l’interface externe, voir
Configurer les interfaces externes.
8. Cliquez sur OK.
Configurer Firebox en tant que serveur DHCP
Vous pouvez configurer Firebox en tant que serveur DHCP pour des réseaux derrière Firebox.
Si un serveur DHCP est déjà configuré, il est conseillé de le conserver.
Vous ne pouvez pas utiliser cette option sur une interface pour laquelle la fonctionnalité High
Availability est activée.
1. Sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
162
WatchGuard System Manager
Installation et configuration d’un réseau
2. Sélectionnez l’interface approuvée ou une interface facultative.
3. Cliquez sur Configurer et activez la case à cocher Utiliser le serveur DHCP.
4. Ajoutez un pool d’adresses. Cliquez sur Ajouter en regard de la zone Pool d’adresses et spécifiez les
adresses IP de début et de fin sur le même sous-réseau. Cliquez sur OK.
Le pool d’adresses doit appartenir au sous-réseau IP principal ou secondaire de l’interface.
Vous pouvez configurer six plages d’adresses au maximum.
Guide de l’utilisateur
163
Installation et configuration d’un réseau
5. Pour réserver une adresse IP spécifique à un client, cliquez sur Ajouter en regard de la zone Adresses
réservées. Entrez le nom de la réservation, de l’adresse IP à réserver et de l’adresse MAC de la carte
réseau du client. Cliquez sur OK.
6. Par défaut, Firebox assigne les informations du serveur DNS configurées dans l’onglet Configuration
du réseau > WINS/DNS lorsqu’il est configuré en tant que serveur DHCP. Si vous le souhaitez, vous
pouvez spécifier un autre serveur DNS à attribuer lorsque Firebox assigne les adresses IP. Cliquez sur
Ajouter en regard de la zone Serveurs DNS pour ajouter l’adresse IP du serveur DNS que Firebox doit
utiliser.
7. Utilisez les boutons fléchés pour modifier la Durée du bail par défaut.
Il s’agit de l’intervalle de temps pendant lequel un client DHCP peut utiliser une adresse IP reçue du
serveur DHCP. Lorsque ce délai arrive à expiration, le client envoie des données au serveur DHCP pour
renouveler le bail.
Configurer Firebox en tant qu’agent de relais DHCP
Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les
ordinateurs des réseaux approuvés ou facultatifs.
Vous ne pouvez utiliser cette fonctionnalité que si vous configurez Firebox en mode d’insertion. Pour plus
d’informations, voir Configuration d’insertion.
Vous ne pouvez pas utiliser un relais DHCP sur une interface pour laquelle la fonctionnalité High
Availability est activée.
1. Sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez l’interface approuvée ou une interface facultative.
3. Cliquez sur Configurer puis sur Utiliser le relais DHCP.
4. Entrez l’adresse IP du serveur DHCP dans la zone appropriée. Ajoutez un route à un serveur DHCP, le
cas échéant.
5. Cliquez sur OK et enregistrez vos modifications dans Firebox.
164
WatchGuard System Manager
Installation et configuration d’un réseau
Configurer les interfaces externes
Lorsque vous configurez le réseau externe, définissez la méthode utilisée par votre fournisseur de services
Internet (ISP) pour attribuer une adresse IP à votre périphérique Firebox. Si vous ne connaissez pas cette
méthode, contactez votre ISP ou l’administrateur réseau de votre entreprise. Pour plus d’informations sur les
méthodes d’adressage IP, voir Adresses IP statiques et dynamiques.
Si l’adresse IP est statique
1. Sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez une interface externe. Cliquez sur Configurer.
3. Dans la boîte de dialogue Paramètres de l’interface, sélectionnez Statique.
4. Entrez l’adresse IP de l’interface.
5. Entrez l’adresse IP de la passerelle par défaut.
6. Cliquez sur OK.
Si l’adresse IP est attribuée à l’aide de PPPoE
Si votre ISP utilise PPPoE, vous devez entrer les informations correspondantes dans Firebox pour que le trafic
puisse être acheminé via l’interface externe.
1. Sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez une interface externe. Cliquez sur Configurer.
3. Dans la boîte de dialogue Paramètres de l’interface), sélectionnez PPPoE.
4. Si vous sélectionnez Utiliser une adresse IP, entrez l’adresse IP dans la zone de texte à droite.
5. Entrez les Nom d’utilisateur et Mot de passe. Vous devez entrer deux fois le mot de passe.
Les fournisseurs de services Internet utilisent généralement le format d’adresse e-mail pour définir les
noms d’utilisateur, tel que MonNom@domaineISP.net.
Guide de l’utilisateur
165
Installation et configuration d’un réseau
6. Cliquez sur Propriétés avancées pour configurer les paramètres PPPoE.
La boîte de dialogue Propriétés PPPoE s’affiche. Votre ISP peut vous contacter s’il juge nécessaire de modifier le
délai d’attente ou les valeurs LCP.
7. Indiquez quand Firebox doit se connecter au serveur PPPoE à l’aide des cases d’option suivantes :
Si vous avez sélectionné Toujours actif, utilisez les touches de direction pour définir l’intervalle de
réinitialisation de PPPoE (en secondes) dans le champ Intervalle de réinitialisation de PPPoE.
Si vous avez sélectionné Connexion à la demande, définissez la durée pendant laquelle l’utilisateur
peut rester connecté en cas d’inactivité (aucun trafic n’est acheminé au réseau externe) dans le champ
Délai d’inactivité.
8. Dans le champ Échec d’écho LCP, utilisez les touches de direction pour définir le nombre de requêtes
d’écho LCP incorrectes qui peuvent être reçues avant que la connexion PPPoE ne soit considérée
comme inactive et fermée.
9. Dans le champ Délai d’écho LCP, utilisez les touches de direction pour définir le délai d’attente, en
secondes, d’une réponse à chaque délai d’écho.
10. Dans le champ Nom du service, entrez un nom de service PPPoE. Il peut s’agir d’un nom d’ISP ou d’une
classe de service configurée sur le serveur PPPoE. Cette option n’est généralement pas utilisée. Ne
renseignez ce champ que s’il existe plusieurs concentrateurs d’accès ou si vous devez utiliser un nom
de service spécifique.
11. Dans le champ Nom du concentrateur d’accès, entrez le nom d’un concentrateur d’accès PPPoE,
également connu sous le nom de serveur PPPoE. Cette option n’est généralement pas utilisée. Utilisezla uniquement s’il existe plusieurs concentrateurs d’accès.
166
WatchGuard System Manager
Installation et configuration d’un réseau
Si l’adresse IP est attribuée à l’aide de DHCP
1. Dans la boîte de dialogue Paramètres de l’interface, sélectionnez Utiliser le client DHCP.
2. Si le serveur DHCP vous demande d’utiliser un identificateur facultatif dans votre échange DHCP,
entrez-le dans la zone de texte Nom d’hôte.
3. Sous IP de l’hôte, activez la case d’option Obtenir une adresse IP automatiquement pour que DHCP
attribue une adresse IP à Firebox. Si vous voulez attribuer manuellement une adresse IP à Firebox et
utiliser DHCP simplement pour la lui transmettre, activez la case d’option Utiliser une adresse IP et
entrez l’adresse IP dans le champ adjacent.
4. Les adresses IP attribuées par un serveur DHCP sont définies avec un bail d’un jour qui permet de les
utiliser pendant une journée. Pour modifier la durée du bail, activez la case à cocher Durée du bail et
sélectionnez une valeur dans le champ adjacent.
Configurer Firebox pour le DNS dynamique
Vous pouvez enregistrer l’adresse IP externe de Firebox auprès du service DNS dynamique « DynDNS.org ».
Grâce à ce type de service, vous êtes sûr que l’adresse IP associée à votre nom de domaine change dès que
votre fournisseur de services Internet attribue une nouvelle adresse IP à Firebox. Au démarrage, Firebox
obtient l’adresse IP auprès de members.dyndns.org. Il vérifie qu’elle est valide à chaque redémarrage et
tous les vingt jours. Si vous modifiez votre configuration DynDNS sur Firebox ou si vous changez l’adresse IP
de la passerelle par défaut configurée sur votre périphérique Firebox, DynDNS.com est automatiquement mis
à jour.
Pour plus d’informations sur le DNS dynamique, rendez-vous sur le site http://www.dyndns.com.
WatchGuard n’est pas une filiale de DynDNS.com.
Avant de commencer, vous devez créer un compte dynDNS. Pour créer votre compte, consultez le site Web
DynDNS à l’adresse http://www.dyndns.com.
Suivez les instructions pour activer votre compte. Vous devez le faire avant de configurer Firebox pour le DNS
dynamique.
Configurer Firebox pour le DNS dynamique
1. Dans Policy Manager, sélectionnez Réseau > Configuration. Cliquez sur l’onglet WIN/DNS.
2. Au moins un serveur DNS doit être défini. Si ce n’est pas le cas, suivez la procédure décrite à la rubrique
Ajouter des adresses de serveurs WINS et DNS.
3. Cliquez sur l’onglet DNS dynamique.
Guide de l’utilisateur
167
Installation et configuration d’un réseau
4. Sélectionnez l’interface externe pour laquelle vous souhaitez configurer le DNS dynamique et cliquez
sur Configurer.
La boîte de dialogue Par DNS dynamique d’interface s’affiche.
5. Pour activer le DNS dynamique, activez la case à cocher Activer le DNS dynamique.
6. Entrez les nom d’utilisateur, mot de passe et nom de domaine que vous avez utilisés pour créer votre
compte DNS dynamique.
7. Dans la liste déroulante Type de service, sélectionnez le système à utiliser dans le cadre de cette mise
à jour. Pour plus d’informations sur chacune des options suivantes, rendez-vous sur le site http://
www.dyndns.com/services/.
o dyndns envoie des mises à jour pour un nom d’hôte DNS dynamique.
o statdns envoie des mises à jour pour un nom d’hôte DNS statique.
o custom envoie des mises à jour pour un nom d’hôte DNS personnalisé.
8. Vous pouvez entrer les options ci-dessous dans le champ Options. Vous devez entrer le signe & avant
et après chaque option que vous ajoutez. Si vous en ajoutez plusieurs, vous devez les séparer par le
signe &.
Par exemple :
&backmx=NO&wildcard=ON&
mx=mailexchanger
backmx=YES|NO
wildcard=ON|OFF|NOCHG
offline=YES|NO
Pour plus d’informations sur ces options, rendez-vous sur le site :
http://www.dyndns.com/developers/specs/syntax.html.
9. À l’aide des touches de direction, définissez un intervalle de temps en jours pour forcer la mise à jour
de l’adresse IP.
168
WatchGuard System Manager
Installation et configuration d’un réseau
Ajouter des adresses de serveurs WINS et DNS
Plusieurs des fonctionnalités de Firebox partagent des adresses IP de serveurs WINS (Windows Internet Name
Server) et DNS (Domain Name System). Il s’agit de DHCP et de Mobile VPN. L’accès à ces serveurs doit être
disponible depuis l’interface approuvée de Firebox.
Ces informations sont utilisées pour deux raisons :
ƒ
ƒ
Firebox utilise le serveur DNS présenté ici pour résoudre les noms en adresses IP afin que les VPN IPSec,
le spamBlocker, Gateway AV et les fonctionnalités IPS fonctionnent correctement.
Les entrées WINS et DNS sont utilisées par les clients DHCP sur le réseau approuvé et le réseau
facultatif, ainsi que par les utilisateurs de Mobile VPN, pour résoudre les requêtes DNS.
Assurez-vous d’utiliser uniquement un serveur WINS et un serveur DNS internes pour DHCP et Mobile VPN.
Ainsi, vous aurez l’assurance de ne pas créer des stratégies dont les propriétés de configuration empêchent
les utilisateurs de se connecter au serveur DNS.
1. Dans Policy Manager, sélectionnez Réseau > Configuration. Cliquez sur l’onglet WINS/DNS.
Les informations de l’onglet correspondant s’affichent.
2. Entrez l’adresse principale et l’adresse secondaire des serveurs WINS et DNS. Vous pouvez entrer un
maximum de trois serveurs DNS. Vous pouvez également taper un suffixe de domaine dans la zone de
texte Nom de domaine pour qu’un client DHCP puisse l’utiliser avec des noms non qualifiés tels que
mail_watchguard.
Guide de l’utilisateur
169
Installation et configuration d’un réseau
Configurer un réseau secondaire
Un réseau secondaire est un réseau qui partage l’un des réseaux physiques identiques de l’une des interfaces
Firebox. Lorsque vous ajoutez un réseau secondaire, vous ajoutez un alias IP à l’interface. L’alias IP est la
passerelle par défaut de tous les ordinateurs du réseau secondaire. Le réseau secondaire avertit Firebox qu’un
réseau supplémentaire se trouve sur l’interface Firebox.
Si Firebox est configuré avec une adresse IP statique, vous pouvez ajouter une adresse IP sur le même sousréseau que l’interface externe principale en tant que réseau secondaire. Vous pouvez ensuite configurer la
traduction d’adresses réseau statique pour plusieurs types de serveurs identiques. Par exemple, configurez un
réseau secondaire externe avec une deuxième adresse IP publique si vous disposez de deux serveurs SMTP
publics et souhaitez configurer une règle de traduction d’adresses réseau statique pour chacun d’eux.
1. Sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Sélectionnez l’interface du réseau secondaire et cliquez sur Configurer.
La boîte de dialogue Paramètres de l’interface s’affiche.
3. Sélectionnez l’onglet Secondaire.
170
WatchGuard System Manager
Installation et configuration d’un réseau
4. Cliquez sur Ajouter. Entrez une adresse IP non attribuée pour le réseau secondaire.
N’oubliez pas d’entrer tous les numéros et les points. N’utilisez pas la touche de tabulation ni les touches de
direction.
5. Cliquez sur OK. Cliquez de nouveau sur OK.
Entrez correctement les adresses du réseau secondaire, car Policy Manager ne vous avertit pas en
cas d’erreur. Il est déconseillé de créer un sous-réseau comme réseau secondaire sur une interface
faisant partie d’un réseau plus étendu situé sur une interface différente. Si vous le faites, le réseau
risque d’être attaqué et de ne pas fonctionner correctement.
Guide de l’utilisateur
171
Installation et configuration d’un réseau
Ajouter un route statique
Un route correspond à l’ensemble des périphériques que le trafic réseau traverse de la source à la destination.
Un routeur est un périphérique de cet route qui détecte le point réseau suivant au travers duquel le trafic
réseau est acheminé vers sa destination. Chaque routeur est connecté à deux réseaux au minimum. Un paquet
peut traverser plusieurs points réseau avec des routeurs avant d’atteindre sa destination.
Firebox permet de créer des routes statiques pour acheminer le trafic vers des hôtes ou des réseaux
spécifiques. Le routeur peut ensuite envoyer le trafic à la destination appropriée en suivant l’route spécifié.
Ajoutez un route réseau si un réseau se trouve derrière un routeur sur votre réseau local. Si vous n’ajoutez
aucun route à un réseau distant, tout le trafic qui lui est destiné est envoyé à la passerelle par défaut de
Firebox.
Le WatchGuard Users Forum est une mine précieuse d’informations sur les routes réseau et les routeurs.
1. Dans Policy Manager, sélectionnez Réseau > Routes.
La boîte de dialogue Configurer les routes s’affiche.
2. Cliquez sur Ajouter.
La boîte de dialogue Ajouter un route s’affiche.
3. Dans la liste déroulante, sélectionnez IP du réseau si un réseau se trouve derrière un routeur sur votre
réseau local.
Sélectionnez IP de l’hôte si un hôte uniquement se trouve derrière le routeur ou si vous souhaitez
acheminer le trafic vers un seul hôte.
4. Dans la zone de texte Envoyer à, entrez l’adresse du réseau ou de l’hôte, selon que vous voulez créer
un route vers un réseau ou un hôte. Si vous entrez une adresse réseau, employez la notation de barre
oblique.
Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre oblique.
5. Dans la zone de texte Passerelle, entrez l’adresse IP du routeur. Assurez-vous que cette adresse se
trouve sur l’un des réseaux identiques de Firebox.
6. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un route.
La boîte de dialogue Configurer les routes affiche l’route réseau configuré.
7. Cliquez de nouveau sur OK pour fermer la boîte de dialogue Configurer les routes.
172
WatchGuard System Manager
Installation et configuration d’un réseau
À propos des paramètres d’interface avancés
Vous pouvez utiliser plusieurs paramètres d’interface Firebox avancés :
Paramètres Network Interface Card (NIC) : configure les paramètres de connexion (vitesse et mode duplex) des
interfaces Firebox en mode manuel ou automatique. Il est conseillé de conserver la vitesse de connexion
configurée pour la négociation automatique. Si vous choisissez l’option de configuration manuelle, assurezvous que les paramètres de connexion (vitesse et mode duplex) du périphérique auquel Firebox se connecte
sont identiques à ceux de Firebox. N’utilisez cette option que si vous devez ignorer les paramètres d’interface
automatiques de Firebox pour accéder aux autres périphériques du réseau.
Bande passante de l’interface en sortie : lorsque vous utilisez les paramètres de gestion du trafic pour garantir
la bande passante aux stratégies, ne réservez pas plus de bande passante qu’il n’en existe pour une interface.
Si vous sélectionnez ce paramètre, vous êtes sûr que la somme des paramètres de bande passante garantie
ne sature pas la connexion et qu’elle n’empêche donc pas l’acheminement du trafic non garanti.
Marquage de la qualité du service : crée différentes catégories de services pour différents types de trafic
réseau. Vous pouvez définir le comportement de marquage par défaut lorsque le trafic sort d’une interface.
Les paramètres définis pour une stratégie peuvent remplacer ces paramètres.
Bit DF pour IPSec : détermine le paramètre du bit Don’t Fragment (DF) pour IPSec.
Paramètre PMTU pour IPSec : (interfaces externes uniquement) contrôle la durée pendant laquelle Firebox
diminue l’unité maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de
fragmentation d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur Internet.
Liaison d’adresse MAC/IP statique : contrôle l’accès à une interface Firebox à l’aide d’une adresse
matérielle (MAC).
Paramètres de carte réseau
1. Sélectionnez Réseau > Configuration. Cliquez sur l’interface à configurer puis sur Configurer.
2. Sélectionnez l’onglet Avancé.
3. Dans la liste déroulante Vitesse de la connexion, sélectionnez Négociation automatique pour que
Firebox sélectionne la vitesse réseau appropriée. Vous pouvez également sélectionner l’une des
vitesses semi-duplex ou duplex intégral compatibles avec votre matériel.
Il est vivement conseillé de ne pas modifier ce paramètre, sauf si l’assistance technique vous le
demande. Lorsque vous définissez manuellement la vitesse de connexion, un conflit risque de se
produire avec la carte réseau au cours de la restauration. Dans ce cas, l’interface Firebox ne peut plus
se reconnecter.
4. Dans la zone de contrôle de valeur Unité maximale de transmission (MTU), sélectionnez la taille
maximale de paquet, en octets, prise en charge par l’interface. Il est conseillé d’utiliser la valeur par
défaut (1 500 octets), sauf si votre matériel de réseau requiert une taille de paquet différente.
Guide de l’utilisateur
173
Installation et configuration d’un réseau
Définir la bande passante de l’interface en sortie
Avant d’utiliser les fonctionnalités de gestion du trafic, vous devez affecter à chaque interface une limite de
bande passante, nommée bande passante de l’interface en sortie, pour le trafic envoyé à partir de cette
interface vers le segment réseau auquel elle est connectée. Une fois cette limite définie, Fireware refuse les
paquets qui dépassent cette limite. En outre, Policy Manager affiche un avertissement si vous allouez une
bande passante trop importante lorsque vous créez ou paramétrez des actions de gestion du trafic.
Si vous conservez pour toute interface la valeur par défaut 0 du paramètre Bande passante de l’interface en
sortie, la bande passante est définie avec la vitesse de connexion négociée automatiquement pour cette
interface.
1. Dans Policy Manager, sélectionnez Configurer > Paramètres globaux.
La boîte de dialogue Paramètres globaux s’affiche.
2. Dans la partie inférieure de la boîte de dialogue, assurez-vous que la case à cocher Désactiver toutes
les fonctionnalités de gestion du trafic et de qualité de service est désactivée. Si elle est activée,
désactivez-la.
3. Cliquez sur OK.
Vous pouvez choisir de désactiver ces fonctionnalités ultérieurement si vous effectuez un test des performances
ou un débogage du réseau.
4. Dans Policy Manager, sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
5. Sélectionnez l’interface pour laquelle vous voulez définir des limites de bande passante et cliquez sur
Configurer.
La boîte de dialogue Paramètres de l’interface s’affiche.
6. Cliquez sur l’onglet Avancé.
7. Dans le champ Bande passante de l’interface en sortie, entrez la bande passante fournie par le
réseau. Utilisez la vitesse en amont de votre connexion Internet (en Kbits/s plutôt qu’en Ko/s) comme
limite pour les interfaces externes. Définissez la bande passante de votre interface LAN en fonction de
la vitesse de connexion minimale prise en charge par votre infrastructure LAN.
174
WatchGuard System Manager
Installation et configuration d’un réseau
Activer le marquage QoS pour une interface
Utilisez cette procédure pour définir le comportement de marquage par défaut lorsque des données sortent
d’une interface. Ces paramètres peuvent être remplacés par des paramètres définis pour une stratégie.
1. Dans Policy Manager, sélectionnez Configurer > Paramètres globaux.
La boîte de dialogue Paramètres globaux s’affiche.
2. Dans la partie inférieure de la boîte de dialogue, désactivez la case à cocher Désactiver toutes les
fonctionnalités de gestion du trafic et de qualité de service et cliquez sur OK.
Vous pouvez choisir de désactiver ces fonctionnalités ultérieurement si vous effectuez un test des performances
ou un débogage du réseau.
3. Dans Policy Manager, sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
4. Sélectionnez l’interface pour laquelle vous voulez activer le marquage QoS et cliquez sur Configurer.
La boîte de dialogue Paramètres de l’interface s’affiche.
5. Cliquez sur l’onglet Avancé.
6. À partir de la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP.
7. Définissez la méthode de marquage :
o Conserver : ne pas changer la valeur actuelle du bit. Firebox définit les priorités du trafic en
fonction de cette valeur.
o Attribuer : attribuer une nouvelle valeur au bit.
o Effacer : effacer le bit (le définir à zéro).
8. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage. Si vous
choisissez le type de marquage de priorité IP, vous pouvez sélectionner des valeurs de 0 (priorité
normale) à 7 (priorité la plus élevée). Si vous avez sélectionné le type de marquage DSCP, les valeurs
sont 0 — 56.
Pour plus d’informations sur ces valeurs, voir Types et valeurs de marquage.
9. Activez la case à cocher Définir les priorités du trafic en fonction du marquage QoS.
10. Cliquez sur OK.
Guide de l’utilisateur
175
Installation et configuration d’un réseau
Configurer le bit DF pour IPSec
Lorsque vous configurez l’interface externe, activez l’une des trois cases d’option suivantes pour déterminer
le paramètre du bit Don’t Fragment (DF) pour IPSec.
Copier : les bits Type of Service (TOS) constituent un ensemble d’indicateurs à quatre bits dans l’en-tête IP. Ils
peuvent demander aux périphériques de routage d’assigner à un datagramme IP une priorité plus ou moins
élevée par rapport à d’autres datagrammes. Avec Fireware, vous pouvez autoriser les tunnels IPSec à
transmettre des paquets TOS marqués. Certains fournisseurs de services Internet ignorent les paquets
contenant des indicateurs TOS définis. Si le paquet d’origine contient des bits TOS définis alors que la case à
cocher Copier est activée, Fireware conserve cette configuration lors de l’encapsulation du paquet dans l’entête IPSec. Si ce n’est pas le cas, Fireware ne les configure pas lors de l’encapsulation. Si vous n’activez
pas la case à cocher Copier, aucun bit TOS n’est défini dans les paquets IPSec. S’ils ont déjà été définis, les bits
TOS sont supprimés lorsque Fireware encapsule le paquet dans l’en-tête IPSec.
Définir : sélectionnez Définir pour empêcher Firebox de fragmenter la trame, quel que soit le paramètre du
bit d’origine. Si un utilisateur doit établir des connexions IPSec à Firebox derrière un autre périphérique
Firebox, vous devez désactiver cette case à cocher pour activer la fonction de transmission IPSec. Par exemple,
des employés itinérants travaillant sur un site client équipé d’un périphérique Firebox peuvent se connecter
à leur réseau à l’aide d’IPSec. Pour que le périphérique Firebox local autorise les connexions IPSec sortantes,
vous devez également ajouter une stratégie IPSec dans Policy Manager.
Effacer : sélectionnez Effacer pour demander à Firebox de fragmenter la trame en plusieurs segments
pouvant tenir dans un paquet IPSec avec l’en-tête ESP ou AH, quel que soit le paramètre du bit d’origine.
Paramètre PMTU pour IPSec
Ce paramètre d’interface avancé concerne les interfaces externes uniquement.
L’unité maximale de transmission d’un chemin (PMTU) contrôle la durée pendant laquelle Firebox diminue
l’unité maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de
fragmentation d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur Internet.
Il est conseillé de conserver les paramètres par défaut pour protéger Firebox si un routeur présente un
paramètre MTU très faible sur Internet.
176
WatchGuard System Manager
Installation et configuration d’un réseau
Utiliser la liaison d’adresse MAC statique
Vous pouvez contrôler l’accès à une interface Firebox à l’aide d’une adresse matérielle (MAC). Cette
fonctionnalité peut protéger votre réseau contre les attaques ARP des pirates informatiques qui utilisent des
entrées ARP usurpées pour y accéder.
Si cette fonctionnalité est activée alors que l’adresse MAC d’un ordinateur essayant de se connecter à Firebox
n’est pas incluse dans cette configuration, la connexion échoue. Si vous choisissez de restreindre l’accès à
Firebox à l’aide de l’adresse MAC, n’oubliez pas d’inclure l’adresse MAC de l’ordinateur qui sert à gérer Firebox.
1. Sélectionnez Réseau > Configuration. Cliquez sur l’interface à configurer puis sur Configurer.
2. Sélectionnez l’onglet Avancé.
3. Cliquez sur Ajouter en regard de la table Liaison d’adresse MAC/IP statique.
4. Entrez une adresse IP et une paire d’adresses MAC. Cliquez sur OK.
5. Activez la case à cocher N’autoriser que le trafic envoyé vers/depuis ces adresses MAC/IP pour que
cette interface n’autorise que le trafic correspondant à une entrée de la table Liaison d’adresse MAC/
IP statique. Désactivez-la si vous voulez autoriser le trafic qui ne correspond à aucune entrée de la
table.
Guide de l’utilisateur
177
Installation et configuration d’un réseau
À propos de la configuration réseau en mode d’insertion
Dans une configuration d’insertion, la même adresse IP est utilisée sur toutes les interfaces Firebox. Le mode
de configuration d’insertion distribue la plage d’adresses logiques du réseau à l’ensemble des interfaces
Firebox. Vous pouvez placer Firebox entre le routeur et le réseau local sans devoir modifier la configuration
sur les ordinateurs locaux. On parle de configuration d’insertion, car Firebox est « inséré » (ou distribué) dans
un réseau.
En mode d’insertion :
ƒ
ƒ
ƒ
ƒ
Vous devez attribuer la même adresse IP principale à toutes les interfaces de Firebox (externes,
approuvées et facultatives).
Vous pouvez attribuer des réseaux secondaires sur toutes les interfaces.
Vous pouvez conserver les mêmes adresses IP et passerelles par défaut pour les hôtes de vos réseaux
approuvés et facultatifs et ajouter une adresse réseau secondaire à l’interface Firebox pour que le trafic
soit correctement acheminé vers les hôtes de ces réseaux.
Les serveurs publics derrière Firebox peuvent continuer à utiliser les adresses IP publiques. Firebox ne
fait pas appel à la traduction d’adresses réseau pour acheminer le trafic de votre réseau à vos serveurs
publics.
Les propriétés d’une configuration d’insertion sont les suivantes :
ƒ
ƒ
ƒ
Vous devez connaître l’adresse IP externe statique à attribuer à Firebox.
Vous devez utiliser un réseau logique pour toutes les interfaces.
Vous ne pouvez configurer qu’une seule interface externe lorsque Firebox est configuré en mode
d’insertion. La fonctionnalité Multi-WAN est automatiquement désactivée.
Il est parfois nécessaire de vider le cache ARP de chaque ordinateur du réseau approuvé.
Si vous déplacez une adresse IP d’un ordinateur placé derrière une interface Firebox vers un
ordinateur placé derrière une autre interface Firebox, il faudra attendre quelques minutes avant
que le trafic ne soit acheminé entre cette adresse IP et Firebox. Firebox doit mettre à jour sa table de
routage interne avant l’acheminement du trafic. Seul le trafic Firebox est concerné (connexions de
gestion Firebox, SNMP ou journalisation, par exemple).
178
WatchGuard System Manager
Installation et configuration d’un réseau
Configurer les hôtes associés
Dans une configuration d’insertion, la même adresse IP est utilisée sur chaque interface Firebox. Le mode de
configuration d’insertion distribue la plage d’adresses du réseau à l’ensemble des interfaces Firebox. Vous
devez parfois utiliser des hôtes associés si vous avez configuré Firebox en mode d’insertion et que le mappage
d’hôte automatique ne fonctionne pas correctement, en raison notamment des interférences qui se
produisent avec Firebox lorsqu’il essaie de détecter des périphériques sur une interface. Dans ce cas,
désactivez le mappage d’hôte automatique et ajoutez les entrées de l’hôte associé pour les ordinateurs qui
partagent une adresse réseau avec Firebox. Une relation de routage statique est alors créée entre l’adresse IP
de l’hôte associé et l’interface désignée pour cette adresse IP. En cas de problème avec le mappage d’hôte
dynamique/automatique, vous devez utiliser les entrées de l’hôte associé.
1. Dans Policy Manager, sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Cliquez sur Propriétés.
La boîte de dialogue Propriétés du mode d’insertion s’affiche.
3. Désactivez le mappage d’hôte automatique sur les interfaces où il ne fonctionne pas correctement.
4. Cliquez sur Ajouter. Entrez l’adresse IP de l’ordinateur pour lequel vous souhaitez définir un route
statique à partir de Firebox.
5. Cliquez sur la colonne Nom de l’interface pour sélectionner l’interface à laquelle l’hôte associé est
connecté.
6. Lorsque vous aurez ajouté toutes les entrées de l’hôte associé, cliquez sur OK. Enregistrez la
configuration dans Firebox.
Guide de l’utilisateur
179
Installation et configuration d’un réseau
À propos des réseaux locaux virtuels (VLAN)
Un VLAN (réseau local virtuel) 802.1Q est un ensemble d’ordinateurs appartenant à un LAN ou à des LAN
regroupés dans un seul domaine de diffusion, indépendamment de leur emplacement physique. Il permet de
regrouper des périphériques selon leurs caractéristiques de trafic et non pas par proximité physique. Les
membres d’un VLAN peuvent partager des ressources comme s’ils étaient connectés au même LAN. Les VLAN
servent également à diviser un commutateur en plusieurs segments. Supposons, par exemple, que votre
entreprise a des employés à plein temps et des intérimaires qui utilisent le même LAN. Il est alors souhaitable
de limiter les intérimaires à un sous-réseau de ressources utilisées par les employés à plein temps. Il est tout
aussi préférable d’utiliser une stratégie de sécurité plus restrictive pour les intérimaires. Pour ce faire, il
convient de diviser l’interface en deux VLAN.
Puisque les VLAN utilisent des ponts et des commutateurs, les diffusions sont plus efficaces dans la mesure où
elles ne sont transmises qu’aux utilisateurs connectés au VLAN, et non à tous ceux qui sont connectés. Par
conséquent, le trafic transmis sur vos routeurs s’en trouve réduit, ce qui implique une latence de routage
moins importante.
Les VLAN vous permettent de segmenter votre réseau sous la forme d’une structure hiérarchique et logique
et non pas physique. Ce regroupement logique permet de dégager le personnel informatique des restrictions
associées au modèle de réseau et à l’infrastructure de câblage. Les VLAN facilitent ainsi la conception, la mise
en Suvre et la gestion de votre réseau. Les VLAN étant basés sur des logiciels, vous pouvez facilement et
rapidement adapter votre réseau aux ajouts, déplacements et réorganisations de matériel.
Configuration logicielle requise pour les VLAN et restrictions associées
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Fireware Pro doit être installé sur votre périphérique Firebox.
Les VLAN ne sont pris en charge que depuis l’interface approuvée et l’interface facultative. L’interface
externe ne permet pas de configurer des VLAN.
La mise en Suvre des VLAN WatchGuard ne prend pas en charge le protocole de gestion des liaisons
Spanning Tree.
Si Firebox est configuré en mode d’insertion, vous ne pouvez pas utiliser les VLAN.
Une seule interface physique de Firebox peut être un membre VLAN non marqué d’un seul VLAN. Par
exemple, si l’interface eth0 est un membre non marqué d’un VLAN appelé VLAN-1, elle ne peut pas être
en même temps un membre non marqué d’un autre VLAN.
Une interface de Firebox peut envoyer des données non marquées à un seul VLAN.
Une interface de Firebox ne peut recevoir des trames de données non marquées qu’en provenance
d’un seul VLAN.
Votre modèle et licence Firebox déterminent le nombre de VLAN que vous pouvez ajouter à votre
périphérique Firebox. Pour le connaître, ouvrez Policy Manager et sélectionnez Configurer > Clés de
fonctionnalité. Localisez la ligne intitulée Nombre total d’interfaces VLAN.
Tous les segments du réseau auxquels vous souhaitez ajouter un VLAN doivent avoir des adresses IP
appartenant au réseau VLAN.
Si vous définissez des VLAN, ignorez les messages indiquant que la version 802.1d est inconnue. Ils
sont générés car la mise en Suvre des VLAN WatchGuard ne prend pas en charge le protocole de
gestion des liaisons Spanning Tree.
180
WatchGuard System Manager
Installation et configuration d’un réseau
À propos du balisage
Pour activer les VLAN, des commutateurs les prenant en charge doivent être déployés sur chaque site. Les
interfaces des commutateurs insèrent des indicateurs au niveau de la couche 2 de la trame de données. Ces
indicateurs ajoutent quatre octets à l’en-tête Ethernet pour identifier la trame comme appartenant à un VLAN
en particulier. Le balisage est spécifié par la norme IEEE 802.1Q.
La définition d’un VLAN prévoit la disposition des trames de données marquées et non marquées. Vous devez
indiquer si le VLAN reçoit des données marquées, non marquées ou pas de données depuis chacune des
interfaces activées sur votre périphérique Firebox. Firebox peut insérer des indicateurs pour les paquets
envoyés à un commutateur prenant en charge les VLAN. Firebox peut également supprimer des indicateurs
dans les paquets envoyés à un segment de réseau qui appartient à un VLAN sans commutateur.
Définir un nouveau VLAN
Avant de définir un nouveau VLAN, vous devez comprendre les concepts des VLAN et les restrictions qui leur
sont associées, en vous reportant si nécessaire à la rubrique À propos des réseaux locaux virtuels (VLAN).
1. Dans Policy Manager, sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s’affiche.
2. Cliquez sur l’onglet VLAN.
Vous voyez apparaître un tableau répertoriant les VLAN actuellement définis par les utilisateurs, ainsi
que leurs paramètres.
o Cliquez sur un en-tête de colonne pour trier le tableau en fonction des valeurs de cette colonne.
o Le tableau peut être trié dans l’ordre ascendant ou descendant.
o Les valeurs de la colonne Interface correspondent aux interfaces physiques membres du VLAN
en question.
o Le numéro d’interface en gras identifie l’interface qui envoie des données non marquées à
ce VLAN.
Guide de l’utilisateur
181
Installation et configuration d’un réseau
3. Cliquez sur Ajouter.
La boîte de dialogue Configuration d’un nouveau VLAN s’ouvre.
4. Dans le champ Nom (Alias), entrez le nom du VLAN que vous souhaitez ajouter au réseau.
5. Dans le champ Description, entrez la description du VLAN. Cette saisie est facultative et sert
uniquement de référence.
6. Utilisez les flèches du champ ID de VLAN ou entrez un nombre dans la zone de texte pour attribuer
une valeur de nombre entier au VLAN.
7. Dans le champ Zone de sécurité, sélectionnez Approuvé ou Facultatif.
Les zones de sécurité correspondent aux alias des zones de sécurité des interfaces. Par exemple, les
VLAN du type Approuvé sont gérés par des stratégies qui utilisent l’alias « any-trusted » comme source
ou destination. Vous pouvez définir un VLAN comme étant approuvé ou facultatif.
8. Entrez l’adresse de la passerelle du VLAN dans le champ Adresse IP.
182
WatchGuard System Manager
Installation et configuration d’un réseau
Utiliser DHCP sur un VLAN
Vous pouvez configurer Firebox en tant que serveur DHCP pour les ordinateurs de votre réseau VLAN.
1. Activez la case d’option Utiliser le serveur DHCP pour configurer Firebox comme serveur DHCP sur
votre réseau VLAN.
2. Pour ajouter une plage d’adresses IP, cliquez sur Ajouter et entrez la première et la dernière adresse IP
destinées à l’attribution. Cliquez sur OK.
Vous pouvez configurer un maximum de six plages d’adresses.
3. Afin de réserver une adresse IP particulière pour un client, cliquez sur Ajouter en regard de la zone
Adresses réservées. Entrez le nom de la réservation, l’adresse IP que vous souhaitez réserver, ainsi que
l’adresse MAC de la carte réseau du client. Cliquez sur OK.
4. À l’aide des boutons fléchés situés en regard de la zone Durée du bail, modifiez la durée du bail par
défaut.
Il s’agit de l’intervalle de temps pendant lequel le client DHCP peut utiliser une adresse IP qu’il obtient du serveur
DHCP. Lorsque le terme du bail est quasiment atteint, le client envoie des données au serveur DHCP pour obtenir
un nouveau bail.
Utiliser le relais DHCP sur un VLAN
1. Activez la case d’option Utiliser le relais DHCP.
2. Entrez l’adresse IP du serveur DHCP. Veillez, si nécessaire, à ajouter un route jusqu’au serveur DHCP.
Ensuite, passez à la procédure Attribuer des interfaces à un VLAN.
Guide de l’utilisateur
183
Installation et configuration d’un réseau
Attribuer des interfaces à un VLAN
Lorsque vous créez un VLAN, vous devez définir le type de données qu’il reçoit depuis les interfaces de
Firebox. Toutefois, vous pouvez aussi configurer une interface de sorte qu’elle devienne membre d’un VLAN
actuellement défini. D’autre part, vous pouvez annuler l’appartenance d’une interface à un VLAN.
1. Dans l’onglet Interfaces, cliquez sur une interface, puis sur Configurer.
La boîte de dialogue Paramètres de l’interface s’ouvre.
2. En regard de Type d’interface, sélectionnez VLAN.
Vous voyez alors apparaître un tableau récapitulant tous les VLAN actuellement définis.
184
WatchGuard System Manager
Installation et configuration d’un réseau
3. Vous devez définir le type de données que les VLAN reçoivent depuis cette interface. Pour définir les
VLAN qui envoient et reçoivent des données marquées, activez la case d’option Envoyer et recevoir
du trafic marqué pour les VLAN sélectionnés. Activez la case à cocher Membre de chaque VLAN
pour qu’il reçoive les données marquées depuis cette interface. Pour annuler l’appartenance,
désactivez la case à cocher Membre.
4. Pour que l’interface reçoive des données non marquées, sélectionnez la case d’option Cette interface
doit servir de port de commutateur non marqué. Activez la case à cocher Membre des ordinateurs
connectés à cette interface sur le LAN sélectionné. Pour annuler l’appartenance, désactivez la case à
cocher Membre.
5. Cliquez sur OK.
Guide de l’utilisateur
185
Installation et configuration d’un réseau
186
WatchGuard System Manager
10
Configuration d’un réseau
avec plusieurs interfaces
externes
À propos de l’utilisation de plusieurs interfaces externes
Avec Firebox, vous pouvez bénéficier d’une redondance pour l’interface externe. Les entreprises ont recours
à cette option si elles doivent être constamment connectées à Internet.
Avec le mode multi-WAN, vous pouvez configurer un maximum de quatre interfaces externes, chacune sur un
sous-réseau différent. Cela vous permet de connecter Firebox à plusieurs FSI. Lorsque vous configurez une
seconde interface, le mode multi-WAN est automatiquement activé.
Configurations logicielles et conditions requises pour le mode multi-WAN
Pour utiliser cette option, vous devez disposer d’une seconde connexion Internet.
Lorsque vous utilisez le mode multi-WAN, gardez à l’esprit les points ci-dessous.
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Si l’une de vos stratégies est configurée avec un alias d’interface externe individuelle, vous devez
modifier la configuration de sorte à utiliser l’alias « Any-External » ou un autre alias que vous avez
configuré pour les interfaces externes de Firebox. À défaut, une partie du trafic pourrait être refusée
par vos stratégies de pare-feu.
Les paramètres multi-WAN ne s’appliquent pas au trafic entrant. Lorsque vous configurez une stratégie
pour le trafic entrant, vous pouvez ignorer l’ensemble des paramètres multi-WAN.
Vous pouvez modifier la configuration du mode multi-WAN de n’importe quelle stratégie. Dans
l’onglet Stratégie d’une stratégie, activez la case à cocher Utiliser le routage basé sur stratégie et
définissez l’interface interne que Firebox doit utiliser. Pour plus d’informations sur le routage basé sur
stratégie, voir Configurer le routage basé sur stratégie.
Mappez le nom de domaine entièrement qualifié de votre entreprise à la plus petite adresse de la plage
des adresses IP d’interface externe. Si vous ajoutez un périphérique Firebox multi-WAN à la
configuration de Management Server, vous devez le faire en utilisant la plus petite adresse IP
d’interface externe pour l’identifier.
Vous ne pouvez pas utiliser le mode d’insertion.
Pour utiliser l’option de capacité de dépassement d’interface, vous devez disposer d’une licence
Fireware® Pro et avoir installé Fireware Pro sur votre périphérique Firebox. Vous devez également
disposer d’une licence Fireware Pro pour utiliser l’option de tourniquet et configurer les différentes
pondérations des interfaces externes de Firebox.
Guide de l’utilisateur
187
Configuration d’un réseau avec plusieurs interfaces externes
Multi-WAN et DNS
Assurez-vous que le serveur DNS est accessible depuis n’importe quel WAN. Sinon, vous devez modifier votre
stratégie DNS de la manière suivante :
ƒ
ƒ
La liste De doit contenir « Firebox ».
Sélectionnez Utiliser le routage basé sur stratégie. Si un seul WAN peut accéder au serveur DNS,
sélectionnez cette interface dans la liste déroulante adjacente.
Si plusieurs WAN peuvent accéder au serveur DNS, sélectionnez l’un deux, puis sélectionnez
Basculement, Configurer et sélectionnez toutes les interfaces qui peuvent accéder au serveur DNS.
L’ordre importe peu.
À propos des options multi-WAN
Lorsque vous configurez plusieurs interfaces externes, quatre options vous permettent de contrôler
l’interface qu’un paquet sortant utilise. Fireware Pro doit être installé sur votre périphérique Firebox pour
certaines de ces options.
À propos de l’option de tourniquet du mode
Lorsque vous configurez le mode multi-WAN avec l’option de tourniquet, Firebox inspecte sa table de routage
interne pour vérifier les informations de routage statique ou dynamique relatives à chaque connexion. Si
aucun route n’est trouvé, Firebox répartit la charge de trafic entre ses interfaces externes. Firebox utilise la
moyenne des paquets transmis et reçus pour équilibrer la charge de trafic entre toutes les interfaces externes
que vous définissez pour l’option de tourniquet. Si vous utilisez Fireware Pro, vous pouvez attribuer une
pondération à chaque interface définie pour l’option de tourniquet. Par défaut et pour tous les utilisateurs de
Fireware, chaque interface est dotée d’une pondération de 1. La pondération désigne la proportion de charge
que Firebox envoie à un serveur via une interface. Si vous disposez de Fireware Pro et affectez une
pondération de 2 à une interface, vous doublez la proportion du trafic qui traversera cette interface, en
comparaison avec une interface dont la pondération est de 1. Par exemple, si vous avez trois interfaces
externes avec une bande passante de 6, 1,5 et 0,075 M chacune et souhaitez équilibrer la charge de trafic entre
les trois, vous utiliseriez des pondérations de 8, 2 et 1. Fireware essaie de répartir les connexions de sorte que
les 8/11ème, 2/11ème et 1/11ème du trafic total soient acheminés vers chacune des trois interfaces.
À propos de l’option de basculement WAN
Lorsque vous utilisez l’option de basculement pour acheminer le trafic via les interfaces externes de Firebox,
vous sélectionnez une seule interface externe qui sera l’interface externe principale. Les autres servent
d’interfaces de sauvegardes et sont utilisées par Firebox dans l’ordre que vous indiquez. Firebox analyse
l’interface externe principale. Si elle devient inactive, Firebox envoie l’ensemble du trafic à l’interface externe
suivante définie dans sa configuration. Alors que Firebox envoie le trafic vers l’interface de sauvegarde,
il continue à analyser l’interface externe principale. Lorsque cette dernière redevient active, Firebox
recommence immédiatement à envoyer toutes les nouvelles connexions vers l’interface externe principale.
C’est vous qui définissez ce que Firebox doit faire des connexions existantes. Elle peuvent être restaurées
immédiatement, ou Firebox peut continuer à utiliser l’interface de sauvegarde jusqu’à ce que la connexion
soit terminée. Le basculement multi-WAN et High Availability (HA) sont configurés séparément.
Un basculement multi-WAN dû à un échec de connexion à un hôte de contrôle de liaisons ne déclenche pas
de basculement HA. Ce basculement a lieu uniquement lorsque l’interface physique n’est pas active ou ne
répond pas. Il est prioritaire sur le basculement multi-WAN.
188
WatchGuard System Manager
Configuration d’un réseau avec plusieurs interfaces externes
À propos de l’option de dépassement de capacité d’interface
Lorsque vous recourez à l’option de configuration multi-WAN Dépassement de capacité d’interface, vous
devez définir l’ordre dans lequel Firebox enverra le trafic via les interfaces externes et configurer chaque
interface avec une valeur seuil de bande passante. Firebox commence à envoyer le trafic via la première
interface externe définie dans sa liste de configuration Dépassement de capacité d’interface. Lorsque le trafic
routé via cette interface atteint le seuil de bande passante que vous avez défini pour cette dernière, Firebox
commence à envoyer le trafic à l’interface externe suivante, définie dans la liste de configuration
Dépassement de capacité d’interface.
Cette option de configuration multi-WAN permet de limiter, à un certain seuil de bande passante, la quantité
de trafic envoyé à chaque interface WAN. Pour déterminer la bande passante, Firebox inspecte le nombre de
paquets transmis et reçus et se base sur le plus grand nombre. Lorsque vous configurez le seuil de bande
passante d’interface pour chaque interface, prenez en compte les besoins de votre réseau de chaque interface
et définissez la valeur seuil, en fonction de ces besoins. Par exemple, si votre FSI est asymétrique et que vous
définissez le seuil de bande passante en fonction d’un taux de transmission important, le dépassement de
capacité d’interface ne sera pas déclenché par un taux de transmission important.
Si toutes les interfaces WAN ont atteint leur seuil de bande passante, Firebox utilise l’algorithme de routage
ECMP (Equal Cost MultiPath Protocol) pour rechercher le meilleur route.
Vous devez disposer d’une licence Fireware Pro pour utiliser l’option de routage multi-WAN.
À propos de l’option de table de routage du mode multi-WAN
Lorsque vous sélectionnez l’option de table de routage dans la configuration du mode multi-WAN, Firebox se
base sur les routes de sa table de routage interne ou sur les routes qu’il obtient des processus de routage
dynamique pour envoyer les paquets via l’interface externe appropriée. Afin de savoir si un route spécifique
existe pour une destination de paquets, Firebox examine sa table de routage en parcourant la liste des routes
de haut en bas. Vous pouvez voir la liste des routes figurant dans la table de routage de Firebox en accédant
à l’onglet État de Firebox System Manager. L’option de table de routage est l’option par défaut utilisée en
mode multi-WAN.
Si Firebox ne trouve pas un route spécifique, il sélectionne le meilleur route en fonction des valeurs de
hachage IP de la source et de la destination du paquet, en appliquant l’algorithme ECMP spécifié dans le
document : http://www.ietf.org/rfc/rfc2992.txt.
Avec le protocole ECMP, Firebox utilise un algorithme afin de déterminer quel saut (route) suivant il utilisera
pour envoyer chaque paquet. Cet algorithme ne tient pas compte de la charge de trafic actuelle.
ƒ
ƒ
Vous devez déterminer si l’option de table de routage est l’option multi-WAN qui répond le mieux à
vos besoins. Pour plus d’informations, voir Cas d’utilisation de l’option de table de routage.
Sachez que l’option de table de routage n’équilibre pas la charge de trafic sur les connexions à Internet.
Pour plus d’informations, voir Option de table de routage et équilibrage de charge.
Guide de l’utilisateur
189
Configuration d’un réseau avec plusieurs interfaces externes
Configurer l’option de table de routage multi-WAN
Avant de commencer
ƒ
ƒ
ƒ
ƒ
Pour pouvoir utiliser l’option multi-WAN, plusieurs interfaces externes doivent être configurées. Si
nécessaire, reportez-vous à la procédure décrite à la rubrique À propos de la configuration des
interfaces externes.
Vous devez déterminer si l’option de table de routage est l’option multi-WAN qui répond le mieux à
vos besoins. Pour plus d’informations, voir Cas d’utilisation de l’option de table de routage.
Sachez que l’option de table de routage n’équilibre pas la charge de trafic sur les connexions à Internet.
Pour plus d’informations, voir Option de table de routage et équilibrage de charge.
Veillez à bien comprendre les exigences et les concepts liés au mode multi-WAN et l’option que vous
choisissez, comme décrit dans les rubriques À propos de l’utilisation de plusieurs interfaces externes
et À propos des options multi-WAN.
Configurer les interfaces
1. Dans Policy Manager, sélectionnez Réseau > Configuration, puis cliquez sur l’onglet Multi-WAN.
190
WatchGuard System Manager
Configuration d’un réseau avec plusieurs interfaces externes
2. Dans la liste déroulante, sélectionnez Table de routage. Par défaut, les adresses IP de toutes les
interfaces externes sont comprises dans la configuration. Pour en supprimer, cliquez sur Configurer et
désactivez la case à cocher en regard de chaque interface externe que vous souhaitez exclure de la
configuration du mode multi-WAN. Vous pouvez laisser une seule interface externe dans la
configuration. Cela peut s’avérer utile si vous utilisez un routage basé sur stratégie pour un certain type
de trafic et souhaitez conserver un seul WAN pour le trafic par défaut.
3. Pour finaliser votre configuration, vous devez ajouter des informations sur le contrôle des liaisons,
comme décrit dans À propos de l’état des interfaces WAN. Pour plus d’informations sur les options de
configuration multi-WAN avancées, voir À propos des paramètres multi-WAN avancés.
À propos de la table de routage de Firebox
Lorsque vous sélectionnez l’option de configuration Table de routage, il convient de savoir comment
examiner la table de routage enregistrée dans Firebox. Depuis WatchGuard System Manager, ouvrez Firebox
System Manager, puis sélectionnez l’onglet Rapport d’état. Faites défiler le rapport jusqu’à ce que vous
voyiez la table de routage IP des noyaux. Elle présente la table de routage interne de Firebox. Les
informations du groupe ECMP apparaissent en dessous de la table de routage.
Les routes de la table de routage interne de Firebox sont les suivantes :
ƒ
ƒ
ƒ
ƒ
Les routes que Firebox obtient à partir des processus de routage dynamique exécutés sur Firebox (RIP,
OSPF et BGP) si vous activez le routage dynamique.
Les routes de réseau ou d’hôte permanents que vous ajoutez à Policy Manager depuis Réseau >
Routes.
Les routes que Firebox crée automatiquement lorsqu’il lit les informations de configuration du réseau
dans Policy Manager depuis Réseau > Configuration.
Si Firebox détecte qu’une interface externe est inactive, il supprime tous les routes statiques ou
dynamiques qui la traversent. Cela est vrai si les hôtes définis dans l’onglet Contrôle des liaisons ne
répondent plus et si la liaison Ethernet physique est inactive.
Cas d’utilisation de l’option de table de routage
Vous devez déterminer si l’option de table de routage est l’option multi-WAN qui répond le mieux à vos
besoins. L’option de table de routage est appropriée si :
ƒ
ƒ
Vous activez le routage dynamique (RIP, OSPF ou BGP) et si le routeur du réseau externe publie des
routes vers Firebox pour que Firebox puisse apprendre les meilleurs routes vers des emplacements
externes.
Vous devez obtenir un accès à un site ou à un réseau externe via un route spécifique sur un réseau
externe. Voici quelques exemples :
o Vous disposez d’un circuit privé qui utilise un routeur de relais de trames sur le réseau externe.
o Vous souhaitez que l’ensemble du trafic destiné à un emplacement externe traverse une
interface externe particulière de Firebox.
L’option de table de routage est le moyen le plus rapide d’équilibrer la charge entre plusieurs routes jusqu’à
Internet. Une fois cette option configurée, l’algorithme ECMP gère toutes les décisions de connexion. Aucune
configuration supplémentaire n’est nécessaire sur le périphérique Firebox.
Guide de l’utilisateur
191
Configuration d’un réseau avec plusieurs interfaces externes
Option de table de routage et équilibrage de charge
Gardez à l’esprit que l’option de table de routage n’équilibre pas la charge de trafic sur les connexions à
Internet. Firebox lit sa table de routage interne de haut en bas. Les routes statiques et dynamiques qui
définissent une destination sont visibles en haut de la table de routage et prioritaires sur les routes par défaut.
(Un route a pour destination 0.0.0.0/0.) Si, dans la table de routage de Firebox, il n’existe pas d’route
dynamique ou statique particulier jusqu’à une destination, le trafic qui aurait dû être acheminé vers cette
destination l’est entre les interfaces externes de Firebox à l’aide des algorithmes ECMP. Ceci peut engendrer
une répartition à proportion égale des paquets entre les différentes interfaces externes.
192
WatchGuard System Manager
Configuration d’un réseau avec plusieurs interfaces externes
Configurer l’option de dépassement de capacité
d’interface multi-WAN
Avant de commencer
ƒ
ƒ
Pour pouvoir utiliser la fonctionnalité de WAN multiple, plusieurs interfaces externes doivent être
configurées. Si nécessaire, reportez-vous à la procédure décrite à la rubrique À propos de la
configuration des interfaces externes.
Veillez à bien comprendre les exigences et les concepts liés au multi-WAN et à l’option choisie, comme
décrit dans les rubriques À propos de l’utilisation de plusieurs interfaces externes et À propos des
options multi-WAN.
Configurer les interfaces
1. Dans Policy Manager, sélectionnez Réseau > Configuration.
2. Sélectionnez l’onglet Multi-WAN. Dans la liste déroulante, sélectionnez Dépassement de capacité
d’interface.
Guide de l’utilisateur
193
Configuration d’un réseau avec plusieurs interfaces externes
3. Cliquez sur Configurer. Dans la colonne Inclure, activez la case à cocher correspondant à chaque
interface que vous souhaitez utiliser dans la configuration.
4. Pour configurer le seuil de bande passante d’une interface externe, sélectionnez une interface dans la
liste et cliquez sur Configurer. Dans la liste déroulante, sélectionnez Mbit/s ou Kbit/s comme unité de
mesure pour le paramètre de bande passante, puis entrez la valeur seuil à appliquer à l’interface.
Gardez toujours à l’esprit que Firebox calcule la bande passante en fonction de la plus grande valeur
des paquets envoyés ou reçus. Cliquez sur OK.
5. Pour finaliser votre configuration, vous devez ajouter d’autres informations, comme décrit dans
À propos de l’état des interfaces WAN. Pour plus d’informations sur les options de configuration
multi-WAN avancées, voir À propos des paramètres multi-WAN avancés.
194
WatchGuard System Manager
Configuration d’un réseau avec plusieurs interfaces externes
Configurer l’option de basculement multi-WAN
Avant de commencer
ƒ
ƒ
Pour pouvoir utiliser la fonctionnalité de WAN multiple, plusieurs interfaces externes doivent être
configurées. Si nécessaire, reportez-vous à la procédure décrite à la rubrique À propos de la
configuration des interfaces externes.
Vérifiez que vous comprenez les exigences et les concepts liés au multi-WAN et à la méthode choisie,
comme décrit dans les rubriques À propos de l’utilisation de plusieurs interfaces externes et À propos
des options multi-WAN.
Configurer les interfaces
1. Dans Policy Manager, sélectionnez Réseau > Configuration.
2. Sélectionnez l’onglet Multi-WAN. Dans la liste déroulante, sélectionnez Basculement.
Guide de l’utilisateur
195
Configuration d’un réseau avec plusieurs interfaces externes
3. Cliquez sur Configurer pour définir une interface externe principale et sélectionnez les interfaces
externes de sauvegarde (secours). Dans la colonne Inclure, activez la case à cocher correspondant à
chaque interface que vous souhaitez utiliser dans la configuration du basculement. Utilisez les
boutons Monter et Descendre pour définir l’ordre du basculement. La première interface de la liste
est l’interface principale.
4. Cliquez sur OK.
5. Pour finaliser votre configuration, vous devez ajouter des informations sur le contrôle des liaisons,
comme décrit dans la rubrique À propos de l’état des interfaces WAN. Pour plus d’informations sur les
options de configuration multi-WAN avancées, consultez À propos des paramètres multi-WAN
avancés.
196
WatchGuard System Manager
Configuration d’un réseau avec plusieurs interfaces externes
Configurer l’option de tourniquet multi-WAN
Avant de commencer
ƒ
ƒ
Pour pouvoir utiliser l’option multi-WAN, plusieurs interfaces externes doivent être configurées. Si
nécessaire, reportez-vous à la procédure décrite à la rubrique À propos de la configuration des
interfaces externes.
Veillez à bien comprendre les exigences et les concepts liés au mode multi-WAN et l’option que vous
choisissez, comme décrit dans les rubriques À propos de l’utilisation de plusieurs interfaces externes
et À propos des options multi-WAN.
Configurer les interfaces
1. Dans Policy Manager, sélectionnez Réseau > Configuration.
2. Sélectionnez l’onglet Multi-WAN. Dans la liste déroulante, sélectionnez Tourniquet.
Guide de l’utilisateur
197
Configuration d’un réseau avec plusieurs interfaces externes
3. En regard de la liste déroulante, cliquez sur Configurer. Dans la colonne Inclure, activez la case à
cocher correspondant à chaque interface que vous souhaitez utiliser pour l’option de tourniquet. Il est
inutile d’inclure toutes les interfaces externes. Par exemple, vous pourriez utiliser plusieurs interfaces
pour le routage basé sur stratégie sans pour autant les inclure dans la configuration de l’option de
tourniquet.
4. Si vous utilisez le logiciel Fireware Pro pour votre périphérique Firebox et souhaitez modifier les
pondérations attribuées à une ou à plusieurs interfaces, cliquez sur Configurer. À l’aide du contrôle
de valeur, définissez une pondération d’interface. Cette dernière détermine la charge
(en pourcentage) du trafic acheminé via Firebox que cette interface supportera. Lorsque vous
avez terminé, cliquez sur OK.
Vous pouvez modifier la valeur par défaut de pondération (égale à 1) uniquement si vous disposez
d’une licence Fireware Pro. Sinon, vous verrez s’afficher une erreur à la fermeture de la boîte de
dialogue Configuration du réseau.
5. Cliquez sur OK.
6. Pour finaliser la configuration, vous devez ajouter des informations sur le contrôle des liaisons, comme
décrit dans la rubrique Vérifier l’état des interfaces WAN. Pour plus d’informations sur les options de
configuration multi-WAN avancées, consultez À propos des paramètres multi-WAN avancés.
198
WatchGuard System Manager
Configuration d’un réseau avec plusieurs interfaces externes
À propos des paramètres multi-WAN avancés
À l’aide de l’onglet Avancé de la configuration multi-WAN, définissez vos préférences pour les connexions
persistantes, le rétablissement et la notification d’événements multi-WAN. Certaines options de configuration
ne sont pas disponibles pour toutes les options de configuration multi-WAN. Si un paramètre ne s’applique
pas à l’option de configuration multi-WAN que vous avez sélectionnée, les champs correspondants ne
peuvent pas être définis.
À propos des connexions persistantes
Une connexion persistante est une connexion qui continue à utiliser la même interface WAN pendant un
intervalle de temps défini. Vous pouvez définir les paramètres des connexions persistantes si vous utilisez les
options de tourniquet et de dépassement de capacité d’interface du mode multi-WAN. La persistance permet
de s’assurer que si un paquet traverse une interface externe, tous les autres paquets suivants entre la paire
d’adresses source et de destination passeront par cette même interface, pendant un intervalle de temps
défini. Par défaut, les connexions persistantes utilisent la même interface pendant 3 minutes.
Si une définition de stratégie contient un paramètre de connexion persistante, ce dernier peut remplacer
toute autre durée de connexion persistante globale.
Définir une durée de connexion persistante globale
Utilisez l’onglet Avancé pour configurer une durée de connexion persistante dans le cadre de connexions
TCP, UDP et d’autres connexions basées sur d’autres protocoles.
Guide de l’utilisateur
199
Configuration d’un réseau avec plusieurs interfaces externes
Si vous définissez une durée de connexion persistante dans une stratégie, vous pouvez remplacer la durée de
connexion persistante globale. Pour plus d’informations, voir Ajouter une durée de connexion persistante à
une stratégie.
Définir l’action de restauration
À l’aide de la liste déroulante de la zone Restauration pour les connexions actives, indiquez ce que Firebox
doit faire si un événement de restauration s’est produit et que l’interface externe principale redevient active.
Lorsque c’est le cas, toutes les nouvelles connexions sont immédiatement restaurées sur l’interface externe
principale. Vous sélectionnez la méthode que vous souhaitez appliquer aux connexions actives au moment
de la restauration. Sélectionnez Restauration immédiate pour que Firebox mettent fin immédiatement à
l’ensemble des connexions existantes. Sélectionnez Restauration progressive afin que Firebox continue à
utiliser l’interface de basculement pour les connexions existantes jusqu’à ce que chaque connexion soit
terminée.
Ce paramètre de restauration s’applique également à la configuration du routage basé sur stratégie que vous
avez définie pour utiliser les interfaces externes de basculement.
200
WatchGuard System Manager
Configuration d’un réseau avec plusieurs interfaces externes
À propos de l’état des interfaces WAN
Dans l’onglet Contrôle des liaisons, définissez la méthode que Firebox doit utiliser pour vérifier l’état de
chaque interface WAN et la fréquence à laquelle il doit le faire. Si vous ne configurez pas de méthode, il envoie
une requête ping à la passerelle par défaut de l’interface pour vérifier l’état de cette dernière.
Si l’un des hôtes de contrôle des liaisons ne répond pas, il faut compter entre 40 et 60 secondes pour que
Firebox mette à jour sa table de routage. Lorsque le même hôte de contrôle des liaisons recommence à
répondre, il faut compter entre 1 et 60 secondes pour que Firebox mette à jour sa table de routage. Ce
processus est plus long que si Firebox détecte une déconnexion physique du port Ethernet. En effet, dès qu’il
en détecte une, Firebox met immédiatement à jour sa table de routage. Lorsque Firebox détecte que la
connexion Ethernet est de nouveau rétablie, il met à jour sa table de routage dans les 20 secondes qui suivent.
Définir un hôte de contrôle des liaisons
1. Sélectionnez l’interface dans la colonne Interface externe. Les informations sous Paramètres
changent dynamiquement de manière à afficher les paramètres actuels de cette interface.
2. Activez la case à cocher Ping pour ajouter une adresse IP ou un nom de domaine auquel/à laquelle
Firebox enverra une requête ping pour vérifier l’état de leur interface. Éventuellement, activez la case
à cocher TCP pour ajouter l’adresse IP ou le nom de domaine d’un ordinateur avec lequel Firebox peut
négocier une liaison TCP pour vérifier l’état de l’interface WAN. Activez la case à cocher La requête
ping et la liaison TCP doivent réussir pour définir l’interface comme active pour que l’interface soit
considérée comme active, à moins qu’à la fois la requête ping et la négociation de la liaison TCP
échouent.
Guide de l’utilisateur
201
Configuration d’un réseau avec plusieurs interfaces externes
Sachez que si l’une des interfaces externes est un pair dans une configuration High Availability, tout
basculement multi-WAN dû à un échec de connexion à un hôte de contrôle de liaisons ne déclenche
pas de basculement High Availability. Ce basculement a lieu uniquement lorsque l’interface physique
est inactive ou ne répond pas. Si vous ajoutez un nom de domaine auquel Firebox doit envoyer des
requêtes ping et que l’une des interfaces externes de Firebox a une adresse IP statique, vous devez
configurer un serveur DNS, de la manière décrite dans Ajouter des adresses de serveurs WINS et DNS.
3. Utilisez le paramètre Intervalle d’exploration pour configurer la fréquence à laquelle Firebox doit
vérifier l’état de l’interface. Par défaut, Firebox le vérifie toutes les 15 secondes.
4. Utilisez le paramètre Désactiver après pour modifier le nombre d’échecs d’exploration consécutifs
qui doivent survenir avant le déclenchement d’un basculement. Par défaut, après trois échecs
d’exploration, Firebox envoie le trafic à l’interface suivante définie dans la liste de basculement
multi-WAN.
5. Utilisez le paramètre Réactiver après pour modifier le nombre de réussites d’exploration consécutives
d’une interface avant qu’une interface inactive ne redevienne active.
6. Répétez ces étapes pour chaque interface externe.
7. Cliquez sur OK. Enregistrez vos modifications dans Firebox.
202
WatchGuard System Manager
11
À propos de la traduction
d’adresses réseau statique
À propos de la traduction d’adresses réseau
La traduction d’adresses réseau ou NAT (Network Address Translation) représente l’une des différentes formes
de traduction de ports et d’adresses IP. Dans sa forme la plus rudimentaire, NAT remplace la valeur de l’adresse
IP d’un paquet par une autre valeur.
Le principal objectif de NAT consiste à augmenter le nombre d’ordinateurs pouvant fonctionner à partir d’une
seule adresse IP routable et à masquer les adresses IP privées des hôtes sur le réseau local. Lorsque vous
utilisez NAT, l’adresse IP source est modifiée sur tous les paquets que vous envoyez.
Vous pouvez appliquer NAT en tant que paramètre général de pare-feu ou en tant que paramètre dans une
stratégie. Sachez que les paramètres NAT de pare-feu ne s’appliquent pas aux stratégies BOVPN et Mobile
VPN.
Si vous disposez de Fireware Pro, vous pouvez utiliser la fonctionnalité Équilibrage de charge côté serveur
dans le cadre d’une règle de traduction d’adresses réseau statique. Cette fonctionnalité est conçue pour
augmenter l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics
protégés par Firebox. Grâce à l’équilibrage de charge côté serveur, vous pouvez faire en sorte que Firebox
contrôle le nombre de sessions établies vers un maximum de dix serveurs pour chaque stratégie de pare-feu
que vous configurez. Firebox contrôle la charge en fonction du nombre de sessions en cours sur chaque
serveur. Aucune mesure ou comparaison de la bande passante utilisée par chaque serveur n’est effectuée par
Firebox.
Pour plus d’informations sur l’équilibrage de charge côté serveur, voir À propos de l’équilibrage de charge
côté serveur.
Guide de l’utilisateur
203
À propos de la traduction d’adresses réseau statique
Types de NAT
Firebox prend en charge trois différentes formes de NAT. Votre configuration peut utiliser plusieurs types de
NAT en même temps. Vous appliquez certains types de NAT à l’ensemble du trafic de pare-feu, et les autres
types en tant que paramètre d’une stratégie.
Traduction d’adresses réseau dynamique
La traduction d’adresses réseau dynamique est également appelée « mascarade IP ». Firebox peut
appliquer son adresse IP publique aux paquets sortants pour toutes les connexions ou pour des
services spécifiés. Ceci permet de masquer au réseau externe l’adresse IP réelle de l’ordinateur qui est
la source du paquet. La traduction d’adresses réseau dynamique sert généralement à masquer les
adresses IP des hôtes internes lorsqu’ils accèdent aux services publics. Pour plus d’informations, voir
À propos de la traduction d’adresses réseau dynamique.
Traduction d’adresses réseau statique
La traduction d’adresses réseau statique est également désignée sous le terme de « transfert de
port » ; vous la configurez en même temps que les stratégies. La traduction d’adresses réseau statique
est une règle NAT de port à hôte. Un hôte envoie un paquet à partir du réseau externe à un port sur
une interface externe. La traduction d’adresses réseau statique change l’adresse IP en une adresse IP
et en un port se trouvant derrière le pare-feu. Pour plus d’informations, voir À propos de la traduction
d’adresses réseau statique.
NAT un à un
NAT un à un fait correspondre les adresse IP d’un réseau aux adresses IP d’un autre réseau. Ce type de
NAT est généralement utilisé pour fournir aux ordinateurs externes un accès à vos serveurs internes,
publics. Pour plus d’informations, voir À propos de NAT un à un.
À propos de la traduction d’adresses réseau dynamique
La traduction d’adresses réseau dynamique est le type de règle NAT le plus couramment utilisé. Elle consiste
à remplacer l’adresse IP source d’une connexion sortante par l’adresse IP publique de Firebox. À l’extérieur de
Firebox, vous ne voyez que l’adresse IP de l’interface externe de Firebox sur les paquets sortants.
De nombreux ordinateurs peuvent se connecter à Internet à partir d’une adresse IP publique. La traduction
d’adresses réseau dynamique offre davantage de sécurité aux hôtes internes qui utilisent Internet, car elle
masque les adresses IP des hôtes sur le réseau. Avec la traduction d’adresses réseau dynamique, toutes les
connexions doivent démarrer derrière Firebox. Lorsque Firebox est configuré pour la traduction d’adresses
réseau dynamique, les hôtes malveillants ne peuvent pas initier de connexions aux ordinateurs derrière
Firebox.
Dans la plupart des réseaux, la stratégie de sécurité recommandée consiste à appliquer NAT à tous les paquets
sortants. Avec Fireware, la règle de traduction d’adresses réseau dynamique est activée par défaut dans la
boîte de dialogue Réseau > NAT. Elle est également activée par défaut dans chaque stratégie que vous créez.
Vous pouvez remplacer le paramètre de pare-feu de la traduction d’adresses réseau dynamique dans chacune
de vos stratégies, comme cela est indiqué dans la rubrique Appliquer des règles NAT.
204
WatchGuard System Manager
À propos de la traduction d’adresses réseau statique
Ajouter des entrées de traduction d’adresses réseau dynamique pour le
pare-feu
La configuration par défaut de la traduction d’adresses réseau dynamique active cette dernière à partir de
toutes les adresses IP privées vers le réseau externe. Les entrées par défaut sont les suivantes :
192.168.0.0/16 - Any-External
172.16.0.0/12 - Any-External
10.0.0.0/8 - Any-External
Ces trois adresses réseau qui correspondent aux réseaux privés réservés par le groupe de travail IETF (Internet
Engineering Task Force) sont généralement utilisées pour les adresses IP sur les réseaux locaux. Pour activer
la traduction d’adresses réseau dynamique pour des adresses IP privées autres que celles-ci, vous devez leur
ajouter une entrée. Firebox applique les règles de traduction d’adresses réseau dynamique dans l’ordre dans
lequel elles apparaissent dans la liste Entrées de traduction d’adresses réseau dynamique. Nous vous
recommandons de placer les règles dans un ordre correspondant au volume de trafic auquel ces règles
s’appliquent.
1. Dans Policy Manager, sélectionnez Réseau > NAT.
La boîte de dialogue Configuration de NAT s’affiche.
Guide de l’utilisateur
205
À propos de la traduction d’adresses réseau statique
2. Dans l’onglet Traduction d’adresses réseau dynamique de la boîte de dialogue Configuration de
NAT, cliquez sur Ajouter.
La boîte de dialogue Ajouter la traduction d’adresses réseau dynamique s’affiche.
3. Dans liste déroulante De, sélectionnez la source des paquets sortants.
Par exemple, utilisez l’alias de l’hôte approuvé pour activer NAT à partir de l’ensemble du réseau approuvé. Pour
plus d’informations sur les alias intégrés à Firebox, voir À propos des alias.
4. Dans la liste déroulante À, sélectionnez la destination des paquets sortants.
5. Pour ajouter une adresse hôte ou IP réseau, cliquez sur
. Sélectionnez le type d’adresse dans la
liste déroulante. Tapez l’adresse IP ou la plage d’adresses IP. Tapez une adresse réseau en utilisant les
barres obliques.
Lorsque vous tapez une adresse IP, tapez tous les nombres et les points. N’utilisez ni la touche de
tabulation ni la touche de direction.
6. Cliquez sur OK.
La nouvelle entrée s’affiche dans la liste Entrées de traduction d’adresses réseau dynamique.
Vous ne pouvez pas modifier une entrée de traduction d’adresses réseau dynamique existante. En cas de
modification nécessaire, supprimez l’entrée à l’aide du bouton Supprimer. Cliquez sur Ajouter pour l’entrer
de nouveau.
Réorganiser les entrées de traduction d’adresses réseau dynamique
Pour modifier l’ordre des entrées de traduction d’adresses réseau dynamique, sélectionnez une entrée pour
la modifier. Cliquez ensuite sur Monter ou sur Descendre.
206
WatchGuard System Manager
À propos de la traduction d’adresses réseau statique
Configurer la traduction d’adresses réseau dynamique pour une stratégie
Avec ce type de NAT, Firebox fait correspondre des adresses IP privées avec des adresses IP publiques.
L’activation de la traduction d’adresses réseau dynamique s’effectue dans la configuration par défaut de
chaque stratégie.
Afin que la traduction d’adresses réseau dynamique pour une stratégie fonctionne correctement, utilisez
l’onglet Stratégie de la boîte de dialogue Modifier les propriétés de stratégie pour vous assurer que la
stratégie est configurée de sorte à n’autoriser le trafic sortant que par une seule interface Firebox.
Les règles NAT un à un ont une priorité plus élevée que les règles de traduction d’adresses réseau dynamique.
1. À partir de Policy Manager, cliquez sur une stratégie avec le bouton droit de la souris et sélectionnez
Modifier la stratégie.
La boîte de dialogue Modifier les propriétés de stratégie apparaît.
2. Cliquez sur l’onglet Avancé.
3. Sélectionnez Utiliser les paramètres NAT du réseau pour employer les règles de traduction
d’adresses réseau dynamique définies pour Firebox.
Sélectionnez L’ensemble du trafic de cette stratégie pour appliquer NAT à l’ensemble du trafic de
cette stratégie.
Guide de l’utilisateur
207
À propos de la traduction d’adresses réseau statique
4. Si vous avez sélectionné L’ensemble du trafic de cette stratégie, vous pouvez définir une adresse IP
source de traduction d’adresses réseau dynamique pour toutes les stratégies qui utilisent la traduction
d’adresses réseau dynamique. Pour ce faire, activez la case à cocher Définir l’IP source. Ceci permet
de garantir que tout le trafic qui fait appel à cette stratégie affiche une adresse spécifiée provenant de
votre plage d’adresses IP publiques ou externes comme étant la source. Cette procédure s’effectue
généralement pour forcer le trafic SMTP sortant à afficher l’adresse de l’enregistrement MX de votre
domaine lorsque l’adresse IP sur l’interface externe de Firebox est différente de l’adresse IP de
l’enregistrement MX. Cette adresse source doit être sur le même sous-réseau que l’interface que vous
avez spécifiée pour le trafic sortant.
Si vous n’activez pas la case à cocher Définir l’IP source, Firebox remplace l’adresse IP source de
chaque paquet par l’adresse IP de l’interface émettrice du paquet.
Nous vous recommandons de ne pas utiliser l’option Définir l’IP source si plusieurs interfaces externes
sont configurées sur Firebox.
5. Cliquez sur OK. Enregistrez les modifications dans Firebox.
Désactiver la traduction d’adresses réseau dynamique pour une stratégie
1. À partir de Policy Manager, cliquez sur une stratégie avec le bouton droit de la souris et sélectionnez
Modifier la stratégie.
La boîte de dialogue Modifier les propriétés de stratégie apparaît.
2. Cliquez sur l’onglet Avancé.
3. Désactivez la case à cocher située en regard de Traduction d’adresses réseau dynamique pour
désactiver NAT pour le trafic contrôlé par cette stratégie.
4. Cliquez sur OK. Enregistrez le fichier de configuration.
208
WatchGuard System Manager
À propos de la traduction d’adresses réseau statique
À propos de NAT un à un
Lorsque vous activez NAT un à un, Firebox modifie et achemine tous les paquets entrants et sortants envoyés
à partir d’une plage d’adresses vers une autre plage d’adresses. Une règle NAT un à un est toujours prioritaire
sur une règle de traduction d’adresses réseau dynamique.
La règle NAT un à un est fréquemment utilisée en présence d’un groupe de serveurs internes dont les adresses
IP privées doivent être rendues publiques. Vous pouvez utiliser NAT un à un pour faire correspondre des
adresses IP publiques aux serveurs internes. Il est inutile de modifier l’adresse IP de vos serveurs internes. Dans
un groupe de serveurs identiques (par exemple, un groupe de serveurs de messagerie), il est plus simple de
configurer NAT un à un que la traduction d’adresses réseau statique.
Voici un exemple de configuration de NAT un à un :
La Société ABC possède un groupe de cinq serveurs de messagerie comportant des adresses privées situés
derrière l’interface approuvée de son périphérique Firebox. Ces adresses sont les suivantes :
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La Société ABC sélectionne cinq adresses IP publiques à partir de la même adresse réseau que l’interface
externe de son périphérique Firebox, puis crée des enregistrements DNS pour la résolution des adresses IP des
serveurs de messagerie du domaine.
Ces adresses sont les suivantes :
50.1.1.1
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La Société ABC configure une règle NAT un à un pour ses serveurs de messagerie. La règle NAT un à un génère
une relation statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a l’aspect
suivant :
10.1.1.1 <--> 50.1.1.1
10.1.1.2 <--> 50.1.1.2
10.1.1.3 <--> 50.1.1.3
10.1.1.4 <--> 50.1.1.4
10.1.1.5 <--> 50.1.1.5
Une fois la règle NAT un à un appliquée, Firebox crée le routage bidirectionnel et la relation NAT entre le pool
d’adresses IP privées et le pool d’adresses publiques.
Guide de l’utilisateur
209
À propos de la traduction d’adresses réseau statique
Configurer NAT un à un pour un pare-feu
1. Dans Policy Manager, cliquez sur Réseau > NAT. Cliquez sur l’onglet NAT un à un.
2. Cliquez sur Ajouter.
La boîte de dialogue Mappage 1-1 s’affiche.
3. Dans la liste déroulante Type de Mappage, sélectionnez Adresse IP unique, Plage IP ou Sous-réseau
IP selon que vous souhaitez établir une correspondance avec un seul hôte, une plage d’hôtes ou un
sous-réseau. Si vous sélectionnez Plage IP ou Sous-réseau IP, spécifiez un maximum de 256 adresses
IP dans la plage ou le sous-réseau. Si vous possédez plus de 256 adresses IP auxquelles vous souhaitez
appliquer la règle NAT un à un, il vous faudra créer plusieurs règles.
4. Indiquez toutes les informations dans la section Configuration de la boîte de dialogue. Pour plus
d’informations sur l’utilisation de ces champs, voir la section « Définir une règle NAT un à un », plus loin
dans cette rubrique. Cliquez sur OK.
5. Lorsque vous avez terminé, cliquez sur OK pour fermer la boîte de dialogue Configuration de NAT.
Enregistrez les modifications dans Firebox.
6. Après avoir configuré une règle NAT un à un globale, configurez les adresses IP de base NAT dans les
stratégies appropriées. Dans l’exemple indiqué ci-dessus, nous devons configurer notre stratégie
SMTP pour autoriser le trafic SMTP à partir de Tout jusqu’à 50.50.50.55-10.0.1.55.
Pour vous connecter à un ordinateur situé sur une autre interface Firebox qui fait appel à la règle
NAT un à un, vous devez utiliser l’adresse IP (base NAT) privée de cet ordinateur. Si cela pose un
problème, vous pouvez désactiver la règle NAT un à un pour utiliser la traduction d’adresses réseau
statique.
210
WatchGuard System Manager
À propos de la traduction d’adresses réseau statique
Définir une règle NAT un à un
Dans chaque règle NAT un à un, vous pouvez configurer un hôte, une plage d’hôtes ou un sous-réseau. Vous
devez également configurer :
Interface
Nom de l’interface Firebox Ethernet sur laquelle la règle NAT un à un est appliquée. Firebox
appliquera la règle NAT un à un aux paquets envoyés à l’interface et depuis cette dernière. Dans notre
exemple ci-dessus, la règle est appliquée à l’interface externe.
Base NAT
Lorsque vous configurez une règle NAT un à un, vous configurez cette dernière avec une plage
d’adresses IP « de » et une plage d’adresses IP « à ». La base NAT est la première adresse IP disponible
de la plage d’adresses « à ». L’adresse IP de base NAT est l’adresse qui devient une adresse IP de base
réelle soumise à la règle NAT un à un. Vous ne pouvez pas utiliser l’adresse IP de l’une de vos
interfaces Firebox en tant que base NAT. Dans notre exemple ci-dessus, la base NAT est 50.50.50.55.
Base réelle
Lors de la configuration d’une règle NAT un à un, vous configurez cette dernière avec une plage
d’adresses IP « de » et une plage d’adresses IP « à ». La base réelle est la première adresse IP disponible
de la plage d’adresses « de ». Il s’agit de l’adresse IP attribuée à l’interface Ethernet physique de
l’ordinateur auquel vous appliquez la stratégie NAT un à un. Lorsque les paquets provenant d’un
ordinateur associé à une adresse de base réelle transitent par l’interface spécifiée, l’action un à un
s’applique. Dans notre exemple ci-dessus, la base réelle est 10.0.1.50.
Nombre d’hôtes soumis à la règle NAT (pour plages IP uniquement)
Nombre d’adresses IP d’une plage auquel s’applique la règle NAT un à un. La première adresse IP de
base réelle est traduite en première adresse IP de base NAT lors de l’application de la règle NAT un à
un. La deuxième adresse IP de base réelle de la plage est traduite en deuxième adresse IP de base NAT
lors de l’application de la règle NAT un à un. Et ainsi de suite, jusqu’à ce que le « Nombre d’hôtes
soumis à la règle NAT » soit atteint. Dans notre exemple ci-dessus, le nombre d’hôtes auquel
appliquer la règle NAT est cinq.
Vous pouvez également faire appel à la règle NAT un à un lors de la création d’un tunnel VPN entre deux
réseaux qui utilisent une même adresse réseau privée. En effet, lorsque vous créez un tunnel VPN, les réseaux
à chaque extrémité du tunnel doivent avoir différentes plages d’adresses réseau. Si la plage d’adresses réseau
sur le réseau distant est la même que sur le réseau local, vous pouvez configurer les deux passerelles pour
qu’elles utilisent la règle NAT un à un. Ensuite, vous pouvez créer le tunnel VPN sans modifier les adresses IP à
une extrémité du tunnel. Vous devez configurer la règle NAT un à un pour un tunnel VPN lors de la
configuration du tunnel VPN et non dans la boîte de dialogue Réseau > NAT.
Guide de l’utilisateur
211
À propos de la traduction d’adresses réseau statique
Configurer la règle NAT un à un pour une stratégie
Avec ce type de NAT, Firebox utilise les plages IP publiques et privées que vous avez définies lorsque vous avez
configuré la règle NAT un à un globale, mais les règles s’appliquent à une stratégie individuelle. L’activation
de la règle NAT un à un s’effectue dans la configuration par défaut de chaque stratégie. Si le trafic correspond
à la fois à une stratégie NAT un à un et une stratégie de traduction d’addresses réseau dynamique, c’est la
stratégie NAT un à un qui est prioritaire.
Activation de la règle NAT un à un pour une stratégie
L’activation de la règle NAT un à un pour une stratégie étant la valeur par défaut, il est inutile de l’activer.
Désactivation de la règle NAT un à un pour une stratégie
1. À partir de Policy Manager, cliquez sur une stratégie avec le bouton droit de la souris et sélectionnez
Modifier la stratégie.
La boîte de dialogue Modifier les propriétés de stratégie apparaît.
2. Cliquez sur l’onglet Avancé.
3. Désactivez la case à cocher NAT un à un afin de désactiver NAT un à un pour le trafic contrôlé par cette
stratégie.
4. Cliquez sur OK. Enregistrez le fichier de configuration.
À propos de la traduction d’adresses réseau statique
La traduction d’adresses réseau statique, également connue sous le nom de transfert de port, est une règle
NAT de port à hôte. Un hôte envoie un paquet à partir du réseau externe à un port sur une interface externe.
La traduction d’adresses réseau statique change l’adresse IP en une adresse IP et en un port se trouvant
derrière le pare-feu. Si une application logicielle utilise plusieurs ports et que ces ports sont sélectionnés de
façon dynamique, utilisez NAT un à un ou vérifiez si un proxy sur Firebox pourra gérer ce type de trafic.
Lorsque vous utilisez la traduction d’adresses réseau statique, vous utilisez en fait une adresse IP externe de
votre périphérique Firebox et non l’adresse IP d’un serveur public. Ceci est possible, car vous l’avez choisi ou
parce que votre serveur public ne possède pas d’adresse IP publique. Par exemple, vous pouvez placer votre
serveur de messagerie SMTP derrière Firebox avec une adresse IP privée et configurer la traduction d’adresses
réseau statique dans votre stratégie SMTP. Firebox reçoit les connexions sur le port 25 et s’assure que tout le
trafic SMTP est envoyé au serveur SMTP réel situé derrière lui.
En raison de son fonctionnement, la traduction d’adresses réseau statique n’est disponible que pour les
stratégies qui utilisent un port TCP ou UDP spécifié. Les stratégies qui utilisent un autre protocole ne peuvent
pas faire appel à la traduction d’adresses réseau statique pour le trafic entrant. Si une de vos stratégies utilise
un protocole autre que TCP ou UDP, le bouton NAT de la boîte de dialogue Propriétés de la stratégie de
cette stratégie est désactivé. Vous ne pouvez pas non plus utiliser la traduction d’adresses réseau statique
avec la stratégie Tout.
212
WatchGuard System Manager
À propos de la traduction d’adresses réseau statique
Configurer la traduction d’adresses réseau statique
1. Double-cliquez sur une icône de stratégie dans la fenêtre Policy Manager.
2. Dans la liste déroulante Connexions, sélectionnez Autorisé.
Pour utiliser la traduction d’adresses réseau statique, la stratégie doit laisser passer le trafic entrant.
3. Sous la liste À, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
4. Cliquez sur Ajouter NAT.
La boîte de dialogue Ajouter la traduction d’adresses réseau statique/l’équilibrage de charge côté serveur
s’affiche.
En raison de son fonctionnement, la traduction d’adresses réseau statique n’est disponible que pour
les stratégies qui utilisent un port spécifié, parmi lesquels TCP et UDP. Une stratégie faisant appel à
un autre protocole ne peut pas utiliser la traduction d’adresses réseau statique pour le trafic entrant.
Le bouton NAT de la boîte de dialogue Propriétés de cette stratégie ne fonctionne pas. Vous ne
pouvez pas non plus utiliser la traduction d’adresses réseau statique avec la stratégie Tout.
5. Assurez-vous que la valeur de la liste déroulante Type est Traduction d’adresses réseau statique.
6. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP publique à utiliser pour ce
service.
7. Tapez l’adresse IP interne. L’adresse IP interne représente la destination sur le réseau approuvé ou
facultatif.
8. Si nécessaire, activez la case à cocher Configurer le port interne sur un port autre que celui de cette
stratégie. Cette option active la traduction d’adresses de port (PAT, Port Address Translation).
De manière générale, vous n’utilisez pas cette fonctionnalité. Elle vous permet de modifier la
destination des paquets non seulement vers un hôte interne spécifié, mais également vers un autre
port. Si vous activez cette case à cocher, tapez le numéro de port ou utilisez les boutons fléchés de la
zone Port interne.
9. Cliquez sur OK pour fermer la boîte de dialogue Ajouter la traduction d’adresses réseau statique.
L’route de la traduction d’adresses réseau statique s’affiche dans la liste Membres et adresses.
10. Cliquez sur OK pour fermer la boîte de dialogue Ajouter une adresse. Cliquez sur OK pour fermer la
boîte de dialogue Propriétés de la stratégie.
Guide de l’utilisateur
213
À propos de la traduction d’adresses réseau statique
À propos de l’équilibrage de charge côté serveur
Vous devez disposer de Fireware Pro pour utiliser la fonctionnalité d’équilibrage de charge côté
serveur.
La fonctionnalité d’équilibrage de charge côté serveur dans Fireware Pro est conçue pour augmenter
l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics. Grâce à
l’équilibrage de charge côté serveur, vous pouvez faire en sorte que Firebox contrôle le nombre de sessions
établies vers un maximum de 10 serveurs pour chaque stratégie de pare-feu que vous configurez. Firebox
contrôle la charge en fonction du nombre de sessions en cours sur chaque serveur. Aucune mesure ou
comparaison de la bande passante utilisée par chaque serveur n’est effectuée par Firebox.
Vous configurez l’équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses réseau
statique. Firebox peut équilibrer les connexions parmi vos serveurs à l’aide de deux algorithmes différents.
Lorsque vous configurez l’équilibrage de charge côté serveur, vous devez choisir l’algorithme que vous
souhaitez que Firebox applique.
Tourniquet
Si vous sélectionnez cette option, Firebox distribue les sessions entrantes parmi les serveurs que vous
spécifiez dans la stratégie, à tour de rôle. La première connexion est envoyée au premier serveur
spécifié dans la stratégie. La connexion suivante est envoyée au serveur suivant dans la stratégie, et
ainsi de suite.
Connexion minimale
Si vous sélectionnez cette option, Firebox envoie chaque nouvelle session au serveur de la liste
présentant à ce moment-là le moins de connexions ouvertes à Firebox. Firebox ne peut pas
déterminer le nombre de connexions ouvertes du serveur sur d’autres interfaces. Si vous le souhaitez,
vous pouvez appliquer des pondérations à vos serveurs dans la configuration de l’équilibrage de
charge côté serveur afin de garantir que la charge la plus lourde est attribuée à vos serveurs les plus
puissants. Par défaut, chaque interface présente une pondération de 1. La pondération désigne la
proportion de charge que Firebox envoie à un serveur. Si vous attribuez une pondération de 2 à un
serveur, vous doublez le nombre de sessions que Firebox envoie à ce serveur par rapport à un serveur
doté d’une pondération de 1.
Lors de la configuration de l’équilibrage de charge côté serveur, il est important de savoir que :
ƒ
ƒ
ƒ
ƒ
214
Vous pouvez configurer l’équilibrage de charge côté serveur pour toutes les stratégies auxquelles vous
appliquez la traduction d’adresses réseau statique.
Si vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous ne pouvez pas définir un
routage basé sur stratégie ou d’autres règles NAT dans la même stratégie.
Lorsque vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous pouvez ajouter
jusqu’à 10 serveurs à la stratégie.
Si vous utilisez la fonctionnalité High Availability et l’équilibrage de charge côté serveur, aucune
synchronisation en temps réel ne se produit en cas de basculement. Dans ce cas, le périphérique
Firebox secondaire envoie des connexions à tous les serveurs de la liste d’équilibrage de charge côté
serveur pour déterminer ceux qui sont disponibles. Ensuite, il applique l’algorithme d’équilibrage de
charge côté serveur à tous les serveurs disponibles.
WatchGuard System Manager
À propos de la traduction d’adresses réseau statique
Configurer l’équilibrage de charge côté serveur
1. Dans Policy Manager, recherchez la stratégie à laquelle vous souhaitez appliquer l’équilibrage de
charge côté serveur et double-cliquez dessus afin de l’ouvrir pour la modifier.
Ou affichez la stratégie en surbrillance et sélectionnez Edition > Modifier la stratégie. Pour créer une
stratégie et activer l’équilibrage de charge côté serveur dans cette stratégie, sélectionnez Edition >
Ajouter une stratégie.
Guide de l’utilisateur
215
À propos de la traduction d’adresses réseau statique
2. Sous le champ À, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
3. Cliquez sur Ajouter NAT.
La boîte de dialogue Ajouter la traduction d’adresses réseau statique/l’équilibrage de charge côté serveur
s’affiche.
216
WatchGuard System Manager
À propos de la traduction d’adresses réseau statique
4. Dans la liste déroulante Type, sélectionnez Équilibrage de charge côté serveur.
5. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP externe ou l’alias que vous
souhaitez utiliser dans cette stratégie. Par exemple, vous pouvez faire en sorte que Firebox applique
l’équilibrage de charge côté serveur à cette stratégie pour les paquets reçus uniquement sur une seule
adresse IP externe. Firebox peut également appliquer l’équilibrage de charge côté serveur pour les
paquets reçus sur toutes les adresses IP externes, si vous sélectionnez l’alias Any-External.
6. Dans la liste déroulante Méthode, sélectionnez l’algorithme que Firebox doit utiliser pour l’équilibrage
de charge côté serveur. Vous avez le choix entre Tourniquet et Connexion minimale.
7. Cliquez sur Ajouter pour ajouter les adresses IP de vos serveurs internes pour cette stratégie. Vous
pouvez ajouter un maximum de 10 serveurs dans une stratégie. Vous pouvez également ajouter une
pondération au serveur. Par défaut, chaque interface présente une pondération de 1. La pondération
désigne la proportion de charge que Firebox envoie à un serveur. Si vous attribuez une pondération
de 2 à un serveur, vous doublez le nombre de sessions que Firebox envoie à ce serveur par rapport à
un serveur doté d’une pondération de 1.
Guide de l’utilisateur
217
À propos de la traduction d’adresses réseau statique
8. Une connexion persistante est une connexion qui continue à utiliser un même serveur pendant une
durée définie. La persistance garantit que tous les paquets situés entre une paire d’adresses source et
de destination sont envoyés à un même serveur pendant une durée que vous spécifiez. Activez la case
à cocher Activer la connexion persistante si vous souhaitez configurer des connexions persistantes
pour vos serveurs internes.
9. Cliquez sur OK. Enregistrez le fichier de configuration.
218
WatchGuard System Manager
12
Authentification
À propos de l’authentification des utilisateurs
L’authentification des utilisateurs est la procédure permettant d’identifier si un utilisateur est bien celui ou
celle qu’il déclare être. Sur Firebox, l’utilisation des mots de passe permet d’associer un nom d’utilisateur à une
adresse IP. La gestion des connexions via Firebox par l’administrateur Firebox s’en trouve facilitée.
L’authentification permet aux utilisateurs de se connecter au réseau à partir de n’importe quel ordinateur en
n’ayant accès qu’aux seuls protocoles et ports pour lesquels ils détiennent une autorisation. Toutes les
connexions établies à partir de cette adresse IP transmettent le nom de la session lors de l’authentification de
l’utilisateur.
Vous pouvez indiquer des utilisateurs et des groupes dans vos stratégies de pare-feu auxquels vous donnerez
accès aux ressources réseau spécifiées. Ceci peut être utile dans les environnements de réseau où différents
utilisateurs partagent un même ordinateur ou une même adresse IP.
La fonctionnalité d’authentification des utilisateurs de WatchGuard associe un nom d’utilisateur à une
adresse IP spécifique, ce qui vous permet d’authentifier les connexions d’un utilisateur via Firebox et d’en
assurer le suivi. Avec Firebox, la question fondamentale qui se pose lors de chaque connexion est « Dois-je
autoriser le trafic de la source X vers la destination Y ? ». Firebox permet aussi d’y répondre. La fonctionnalité
d’authentification de WatchGuard dépend de la stabilité de la relation entre l’utilisateur de l’ordinateur et
l’adresse IP de cet ordinateur pendant la durée d’authentification de cet utilisateur auprès de Firebox.
Dans la plupart des environnements, la relation entre une adresse IP et son utilisateur est suffisamment stable
pour permettre d’authentifier le trafic généré par cet utilisateur. Les environnements dans lesquels
l’association d’un utilisateur et d’une adresse IP n’est pas constante, tels que les bornes ou les réseaux centrés
sur un terminal Terminal Server, ne sont généralement pas adaptés à la fonctionnalité d’authentification des
utilisateurs qui risque de ne pas être opérationnelle. WatchGuard prend actuellement en charge
l’authentification, la gestion des comptes et le contrôle des accès dans nos pare-feux en supposant une
association stable entre adresses IP et utilisateurs.
Nous prenons également en charge l’authentification auprès d’un domaine Active Directory via Single SignOn ainsi que d’autres serveurs d’authentification répandus. De plus, nous prenons en charge les paramètres
d’inactivité et les limites de temps imposées aux sessions. Ces contrôles restreignent la durée pendant
laquelle une adresse IP est autorisée à passer des données via Firebox avant que l’utilisateur ne doive entrer
de nouveau son mot de passe.
Si vous utilisez une liste blanche pour contrôler l’accès SSO et si vous gérez les délais d’inactivité, les délais
d’expiration de sessions et les utilisateurs autorisés à s’authentifier, vous améliorerez de façon significative le
contrôle de l’authentification, de la gestion des comptes et du contrôle des accès.
Guide de l’utilisateur
219
Authentification
Comment les utilisateurs s’authentifient
Un serveur HTTPS est opérationnel sur Firebox pour accepter les requêtes d’authentification. Pour
s’authentifier, l’utilisateur doit se connecter à la page Web d’authentification de Firebox. L’adresse est la
suivante :
ƒ
https://Adresse IP d’une interface Firebox : 4100/
ou
ƒ
https://Nom d’hôte de Firebox :4100
Un formulaire d’authentification Web apparaît. L’utilisateur doit entrer son nom d’utilisateur et son mot de
passe et, si plusieurs types d’authentification sont configurés, sélectionner le serveur d’authentification dans
la liste déroulante. Firebox envoie le nom et le mot de passe au serveur d’authentification à l’aide du protocole
PAP (Password Authentication Protocol). Une fois l’utilisateur authentifié, il est autorisé à utiliser les ressources
du réseau approuvé.
Étant donné que Fireware utilise un certificat auto-signé, un avertissement de sécurité s’affiche
dans votre navigateur Web lors de l’authentification. Vous pouvez l’ignorer. Pour supprimer cet
avertissement, vous pouvez utiliser un certificat tiers ou créer un certificat personnalisé qui
correspond à l’IP et au nom de domaine utilisés pour l’authentification. Pour plus d’informations,
voir Configurer le certificat de serveur Web pour l’authentification de Firebox.
Fermeture d’une session
Pour fermer une session authentifiée avant l’expiration du délai, l’utilisateur peut cliquer sur Déconnexion
dans la page Web d’authentification. Si elle est fermée, l’utilisateur doit la réouvrir pour se déconnecter. Pour
empêcher un utilisateur de s’authentifier, l’administrateur doit désactiver le compte de cet utilisateur sur le
serveur d’authentification.
Fermeture d’une session utilisateur par l’administrateur
L’administrateur peut fermer la session d’un utilisateur en cliquant avec le bouton droit de la souris sur le nom
de l’utilisateur dans l’onglet Utilisateurs authentifiés de Firebox System Manager. Pour plus d’informations,
voir Afficher les utilisateurs authentifiés.
220
WatchGuard System Manager
Authentification
Utiliser l’authentification pour restreindre le trafic entrant
L’une des fonctions de l’outil d’authentification est d’authentifier le trafic sortant. Vous pouvez également
l’utiliser pour limiter le trafic réseau entrant. Lorsque vous disposez d’un compte sur Firebox, vous pouvez
toujours vous authentifier auprès de Firebox à partir d’un ordinateur externe à Firebox. Par exemple, vous
pouvez entrer l’adresse suivante dans votre navigateur à domicile :
https://Adresse IP d’interface Firebox externe : 4100/
Après vous être authentifié, utilisez les stratégies configurées pour vous sur Firebox.
Utilisez cette procédure pour permettre à un utilisateur distant de s’authentifier à partir d’un réseau externe.
Cela permet à la personne d’utiliser des ressources via Firebox.
1. Dans Policy Manager, double-cliquez sur l’icône de stratégie Authentification WatchGuard. Cette
stratégie s’affiche lorsque vous avez ajouté un utilisateur ou un groupe à la configuration d’une
stratégie.
Il vous est conseillé d’être prudent lorsque vous modifiez une stratégie configurée automatiquement.
2. Dans la liste déroulante Les connexions d’authentification WG sont, assurez-vous que l’option
Autorisé est activée.
3. Sous la zone De, cliquez sur Ajouter. Sélectionnez Tout dans la liste et cliquez sur Ajouter. Cliquez
sur OK.
4. La zone À doit contenir Firebox. Si ce n’est pas le cas, cliquez sur Ajouter sous la zone À. Sélectionnez
Firebox dans la liste et cliquez sur Ajouter. Cliquez sur OK .
Guide de l’utilisateur
221
Authentification
Utiliser l’authentification via une passerelle Firebox
Pour envoyer une requête d’authentification, via une passerelle Firebox vers un autre périphérique Firebox, il
est parfois nécessaire d’ajouter une stratégie autorisant le trafic d’authentification sur la passerelle Firebox. Si
le trafic d’authentification est refusé sur la passerelle Firebox, utilisez Policy Manager pour ajouter la stratégie
d’authentification WatchGuard. Cette stratégie contrôle le trafic sur le port TCP 4 100. Configurez la stratégie
pour autoriser le trafic vers l’adresse IP du Firebox de destination.
Définir des valeurs d’authentification globale
Pour définir les valeurs d’authentification globale, sélectionnez Configurer > Authentification > Paramètres
d’authentification. La boîte de dialogue Paramètres d’authentification s’affiche.
222
WatchGuard System Manager
Authentification
Définir des délais d’authentification globale
Les utilisateurs demeurent authentifiés pendant un certain temps après avoir fermé leur dernière connexion
authentifiée. Ce délai est défini ici ou dans la boîte de dialogue Configuration d’utilisateur Firebox décrite
dans la rubrique Définir un nouvel utilisateur pour l’authentification Firebox. Le paramètre d’utilisateur
Firebox remplace le paramètre global. Le paramètre global est utilisé uniquement si aucune valeur Utilisateur
de Firebox n’est définie.
Pour les utilisateurs authentifiés par des serveurs tiers, les délais définis sur ces serveurs remplacent
également les délais d’authentification globale.
Les valeurs de délais d’authentification ne s’appliquent pas aux utilisateurs de Mobile VPN with PPTP.
Délai d’expiration de la session
Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous entrez
dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai
d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi longtemps qu’il le
souhaite.
Délai d’inactivité
Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (sans
passer de trafic au réseau externe). Si vous entrez dans ce champ zéro (0) seconde, minute, heure ou
jour, aucun délai d’inactivité n’est utilisé et l’utilisateur peut rester inactif aussi longtemps qu’il le
souhaite.
Autoriser plusieurs connexions simultanées
Dans la boîte de dialogue Paramètres d’authentification, activez la case à cocher Autoriser plusieurs
connexions simultanées d’authentification au pare-feu à partir d’un même compte pour autoriser
plusieurs utilisateurs à s’authentifier simultanément avec les mêmes informations d’identification auprès d’un
serveur d’authentification. Cette option est utile pour les comptes invités ou les environnements de
laboratoire.
Cette fonctionnalité est prise en charge uniquement si vous utilisez Firebox en tant que serveur
d’authentification.
Pour les utilisateurs de Mobile VPN with IPSec et Mobile VPN with SSL, les connexions actuelles à partir du
même compte sont toujours prises en charge que cette case à cocher soit ou non activée. Ces utilisateurs
doivent se connecter avec des adresses IP différentes s’ils veulent établir des connexions simultanées, ce qui
signifie qu’ils ne peuvent pas utiliser le même compte pour se connecter s’ils se trouvent derrière un
périphérique Firebox utilisant NAT. Les utilisateurs Mobile VPN with PPTP ne sont pas concernés par cette
restriction.
Utiliser une page de démarrage par défaut personnalisée
En général, la page d’authentification Web de Firebox s’affiche en tant que page de démarrage de votre
navigateur Web. Si vous voulez que le navigateur accède à une page différente une fois vos utilisateurs
connectés, utilisez la boîte de dialogue Paramètres d’authentification pour définir une redirection. Activez
la case à cocher Envoyer une redirection au navigateur après l’authentification et entrez l’URL dans le
champ ci-après.
Guide de l’utilisateur
223
Authentification
Activer Single Sign-On
L’agent SSO doit être installé sur un ordinateur avec une adresse statique, membre du domaine Windows et
utilisant Windows XP ou Windows Vista. Vous pouvez l’installer sur votre contrôleur de domaine ou sur un
autre ordinateur. Pour plus d’informations, voir À propos de Single Sign-On (SSO).
1. Activez la case à cocher Activer Single Sign-On (SSO) avec Active Directory.
2. Entrez l’adresse IP de votre agent SSO dans le champ Adresse IP de l’agent SSO.
3. Sélectionnez la durée pendant laquelle l’agent SSO met des données en cache dans le champ Mettre
les données en cache pendant.
4. Ajouter ou supprimer des exceptions SSO pour les adresses IP qui ne nécessitent pas
d’authentification, telles que les serveurs réseau. (Pour plus d’informations sur les exceptions SSO, voir
À propos de Single Sign-On (SSO).)
Vous pouvez entrer l’adresse IP d’un hôte, une adresse IP réseau avec la notation de barre oblique ou
une plage d’adresses IP.
5. Cliquez sur OK pour enregistrer vos modifications.
224
WatchGuard System Manager
Authentification
À propos de Single Sign-On (SSO)
Lorsque les utilisateurs se connectent à un ordinateur à l’aide de l’authentification Active Directory, ils doivent
entrer un ID utilisateur et un mot de passe. Si vous utilisez Firebox pour restreindre le trafic réseau sortant aux
utilisateurs ou aux groupes spécifiés, les utilisateurs doivent se connecter de nouveau pour accéder aux
ressources réseau telles qu’Internet. Vous pouvez utiliser Single Sign-On (SSO) pour que les utilisateurs des
réseaux approuvé et facultatif soient automatiquement authentifiés auprès de Firebox lorsqu’ils se
connectent à leur ordinateur.
SSO n’est pas recommandé pour les environnements dans lesquels plusieurs utilisateurs partagent
un même ordinateur ou une même adresse IP ou dans lesquels les utilisateurs se connectent à l’aide
de Mobile VPN. Lorsque plusieurs utilisateurs sont associés à une adresse IP, les autorisations réseau
risquent de ne pas fonctionner correctement. Ceci peut constituer un risque pour la sécurité.
Pour utiliser SSO, vous devez installer le logiciel WatchGuard Authentication Gateway, également appelé
logiciel agent SSO, sur un ordinateur du domaine de votre réseau. Lorsqu’un utilisateur se connecte à un
ordinateur, l’agent SSO rassemble toutes les informations entrées par l’utilisateur et les envoie à Firebox.
Firebox les compare aux stratégies définies pour cet utilisateur ou ce groupe d’utilisateurs en une fois. L’agent
SSO met ces données en cache pour une durée d’environ 10 minutes par défaut, pour ne pas avoir à générer
de requête pour chaque paquet. Pour plus d’informations sur l’installation de l’agent SSO, voir Installer l’agent
WatchGuard SSO.
Avant de commencer
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Un serveur Active Directory doit être configuré sur votre réseau approuvé ou facultatif. Des serveurs
DHCP et DNS doivent également être configurés sur le même domaine que le serveur Active Directory.
Firebox doit être configuré de façon à utiliser l’authentification Active Directory. Pour plus
d’informations, voir À propos de l’authentification LDAP/Active Directory.
Un compte doit être défini pour chaque utilisateur sur le serveur Active Directory.
Pour être opérationnel, chaque utilisateur doit se connecter à un compte de domaine Single Sign-On
(SSO). Si les utilisateurs se connectent à un compte qui n’existe que sur leur ordinateur local, les
informations d’identification ne sont pas vérifiées et Firebox ne reconnaît pas ces utilisateurs.
Si vous utilisez un pare-feu tiers sur les ordinateurs de votre réseau, vérifiez que le port TCP 445 (réseau
Samba/Windows) est ouvert sur chaque client.
Vérifiez que l’impression et le partage de fichiers sont activés sur tous les ordinateurs à partir desquels
les utilisateurs s’identifient à l’aide de SSO.
Vérifiez que les ports NetBIOS et SMB ne sont bloqués sur aucun des ordinateurs à partir desquels les
utilisateurs s’authentifient à l’aide de SSO. NetBIOS utilise les ports TCP/UDP 137, 138, 139 et SMB
utilise le port TCP 445.
Vérifiez que tous les ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO sont
membres du domaine auquel sont associées les relations d’approbation ininterrompues.
Activer et configurer SSO
Pour activer SSO sur Firebox, voir Définir des valeurs d’authentification globale.
Guide de l’utilisateur
225
Authentification
À propos des exceptions SSO
Si votre réseau contient des périphériques dont les adresses IP ne requièrent pas d’authentification, tels que
des serveurs de réseau ou d’impression, il est judicieux de les ajouter à la liste des exceptions SSO de la
configuration SSO. Chaque fois qu’une connexion est établie à partir de l’un de ces périphériques et que
l’adresse IP du périphérique ne figure pas dans la liste des exceptions, Firebox contacte l’agent SSO pour
tenter d’associer l’adresse IP à un nom d’utilisateur. Cette opération prend environ 10 secondes. Pour éviter ce
temps de traitement de 10 secondes supplémentaires à chaque connexion et ne pas générer de trafic réseau
superflu, utilisez la liste des exceptions.
Installer l’agent WatchGuard Single Sign-On (SSO)
Pour utiliser Single Sign-On (SSO), vous devez installer l’agent WatchGuard SSO. L’agent SSO est un service qui
reçoit des demandes d’authentification Firebox et vérifie l’état de l’utilisateur auprès du serveur Active
Directory. Ce service s’exécute sous le nom WatchGuard Authentication Gateway sur l’ordinateur sur lequel
vous installez le logiciel agent SSO. Microsoft .NET Framework 2.0 doit également être installé sur cet
ordinateur.
Pour utiliser Single Sign-On avec Firebox, vous devez installer l’agent SSO sur un ordinateur du
domaine ayant une adresse IP statique. Nous vous conseillons d’installer l’agent SSO sur votre
contrôleur de domaine.
Télécharger le logiciel agent SSO
1.
2.
3.
4.
5.
À l’aide de votre navigateur, accédez à : http://www.watchguard.com/.
Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity.
Cliquez sur le lien Software Downloads.
Sélectionnez le type et le numéro de modèle de votre périphérique Firebox.
Téléchargez le logiciel WatchGuard Authentication Gateway et enregistrez le fichier à l’emplacement
de votre choix.
Avant l’installation
Le service agent SSO doit être exécuté sous un compte d’utilisateur. Nous vous recommandons de créer un
compte d’utilisateur à cet effet. Pour que le service agent SSO fonctionne correctement, configurez le compte
d’utilisateur avec les propriétés suivantes :
ƒ
ƒ
ƒ
ƒ
226
Ajoutez le compte au groupe Admins du domaine.
Activez le groupe Admins du domaine comme groupe principal.
Autorisez le compte à ouvrir une session en tant que service.
Configurez le mot de passe pour qu’il n’expire jamais.
WatchGuard System Manager
Authentification
Installer le service agent SSO
Double-cliquez sur WG-Authentication-Gateway.exe pour démarrer l’Assistant Authentication Gateway
Setup Wizard. Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le
programme d’installation sur certains systèmes d’exploitation. Suivez les instructions pour installer le logiciel :
Installation - Authentication Gateway
Cliquez sur Suivant pour démarrer l’Assistant.
Sélectionnez l’emplacement de destination.
Tapez ou sélectionnez un emplacement d’installation pour le logiciel, puis cliquez sur Suivant.
Sélectionnez le dossier Menu Démarrer.
Tapez ou sélectionnez un emplacement dans le Menu Démarrer pour ajouter des raccourcis de
programmes. Si vous ne souhaitez pas ajouter de raccourcis de programmes au Menu Démarrer,
activez la case à cocher Ne pas créer de dossier dans le Menu Démarrer. Lorsque vous
avez terminé, cliquez sur Suivant.
Connexion d’utilisateur de domaine
Tapez le nom d’utilisateur de domaine et le mot de passe d’un utilisateur ayant un compte actif
dans votre domaine LDAP ou Active Directory actuel. Vous devez entrer ce nom d’utilisateur au
format suivant : domaine\nom_utilisateur. Notez que vous ne devez pas spécifier la partie .com
ou .net du nom de domaine. Par exemple, si votre domaine est mywatchguard.com et que vous
utilisez le compte de domaine ssoagent, entrez le nom d’utilisateur mywatchguard\ssoagent.
Cliquez sur Suivant.
Si le compte d’utilisateur que vous spécifiez ne dispose pas de privilèges suffisants, certains
utilisateurs ne pourront pas utiliser SSO et devront s’authentifier auprès de Firebox manuellement.
Nous vous conseillons de suivre les instructions de la section précédente pour créer un compte
d’utilisateur pour le service agent SSO.
Prêt pour l’installation
Examinez vos paramètres, puis cliquez sur Installer pour installer le service sur votre ordinateur.
Installation - Authentication Gateway
Cliquez sur Terminer pour fermer l’Assistant. Le service WatchGuard Authentication Gateway
démarre automatiquement une fois l’Assistant terminé et démarre chaque fois que l’ordinateur
redémarre.
Guide de l’utilisateur
227
Authentification
Types de serveurs d’authentification
Fireware prend en charge six méthodes d’authentification :
Firebox en tant que serveur d’authentification
Authentification sur le serveur RADIUS
Authentification sur le serveur VASCO
Authentification SecurID
Authentification LDAP
Authentification Active Directory
Vous pouvez configurer un ou plusieurs types de serveurs d’authentification pour Firebox. Si vous utilisez
plusieurs types de serveurs d’authentification, les utilisateurs doivent sélectionner un type de serveur
d’authentification dans la liste déroulante lorsqu’ils s’authentifient.
À propos de l’utilisation de serveurs d’authentification tierce
Si vous utilisez un serveur d’authentification tierce, il n’est pas nécessaire de conserver une base de données
d’utilisateurs séparée sur Firebox. Configurez un serveur tiers à l’aide des instructions de son fabricant,
installez le serveur avec l’accès à Firebox et placez-le derrière Firebox pour des raisons de sécurité. Ensuite,
configurez Firebox pour transférer les demandes d’authentification des utilisateurs à ce serveur. Si vous créez
sur Firebox un groupe d’utilisateurs qui s’authentifie auprès d’un serveur tiers, assurez-vous de créer un
groupe sur le serveur qui a le même nom que le groupe d’utilisateurs sur Firebox.
Pour configurer Firebox pour des serveurs d’authentification tierce, voir :
Configurer l’authentification sur le serveur RADIUS
Configurer l’authentification sur le serveur VASCO
Configurer l’authentification SecurID
Configurer l’authentification LDAP
Configurer l’authentification Active Directory
Utiliser un serveur d’authentification de sauvegarde
Quel que soit le type d’authentification tierce utilisée, vous pouvez configurer un serveur d’authentification
principal et un serveur d’authentification de sauvegarde. Si Firebox ne parvient pas à se connecter au serveur
d’authentification principal après trois tentatives, le serveur principal est marqué comme inactif et un
message d’alarme est généré. Firebox se connecte alors au serveur d’authentification de sauvegarde.
Si Firebox ne parvient pas à se connecter au serveur d’authentification de sauvegarde, il essaie à nouveau de
se connecter au serveur d’authentification principal après dix minutes. Une fois le délai d’inactivité écoulé, le
serveur inactif est marqué comme actif.
228
WatchGuard System Manager
Authentification
Configurer Firebox en tant que serveur d’authentification
Si vous n’utilisez pas de serveur d’authentification tierce, vous pouvez utiliser Firebox en tant que serveur
d’authentification. Cette procédure divise votre société en groupes et utilisateurs pour l’authentification. Le
groupe auquel vous attribuez une personne est contrôlé par les tâches qu’il exécute et les informations qu’il
utilise. Par exemple, vous pouvez disposer d’un groupe de comptabilité, de marketing, ainsi que d’un groupe
de recherche et développement. Vous pouvez également avoir un groupe de nouveaux employés doté d’un
accès contrôlé à Internet.
Dans un groupe, vous définissez la procédure d’authentification pour les utilisateurs, le type de système et les
informations auxquelles ils ont accès. Un utilisateur peut être un réseau ou un ordinateur. Si votre société
change, vous pouvez ajouter ou supprimer des utilisateurs, ou des systèmes de vos groupes.
Le serveur d’authentification Firebox est activé par défaut. Aucune action n’est requise pour l’activer avant
d’ajouter des utilisateurs et des groupes.
Types d’authentification Firebox
Vous pouvez configurer Firebox afin d’authentifier des utilisateurs pour quatre types différents
d’authentification :
ƒ
ƒ
ƒ
ƒ
l’authentification d’accès au pare-feu ;
les connexions Mobile VPN with PPTP ;
les connexions Mobile VPN with IPSec ;
les connexions Mobile VPN with SSL.
Lorsque l’authentification s’effectue correctement, Firebox procède à un mappage des éléments suivants :
ƒ
ƒ
ƒ
ƒ
nom de l’utilisateur ;
groupe (ou groupes) d’utilisateurs de Firebox duquel l’utilisateur est membre ;
adresse IP sur l’ordinateur de l’utilisateur lorsqu’il s’authentifie ;
adresse IP virtuelle sur l’ordinateur de l’utilisateur si celui-ci est connecté avec Mobile VPN.
Authentification d’accès au pare-feu
Lorsqu’un utilisateur s’authentifie sur Firebox, les informations d’identification de l’utilisateur et l’adresse IP de
l’ordinateur de l’utilisateur sont utilisées pour vérifier qu’une stratégie s’applique au trafic en provenance ou
à destination de l’ordinateur de cet utilisateur.
Pour créer un compte d’utilisateur de Firebox, voir Définir un nouvel utilisateur pour l’authentification Firebox.
Après avoir créé le compte d’utilisateur, vous pouvez définir un nouveau groupe pour l’authentification
Firebox et inclure l’utilisateur dans ce groupe.
Ensuite, créez une stratégie qui autorise le trafic uniquement à destination ou en provenance d’une liste des
noms d’utilisateurs de Firebox ou d’une liste de groupes Firebox. Cette stratégie s’applique uniquement si un
paquet provient de ou est destiné à l’adresse IP de l’utilisateur authentifié.
Un utilisateur s’authentifie sur Firebox avec une connexion HTTPS sur le port 4 100 en entrant :
https://Adresse IP d’une interface Firebox:4 100/
Guide de l’utilisateur
229
Authentification
Si le nom de l’utilisateur et son mot de passe sont valides, l’utilisateur est authentifié.
Connexions Mobile VPN with PPTP
Vous pouvez configurer Firebox pour héberger des sessions Mobile VPN with PPTP.
Lorsque Firebox est configuré avec une connexion Mobile VPN with PPTP, les utilisateurs inclus dans le groupe
Mobile VPN with PPTP peuvent utiliser la fonctionnalité PPTP intégrée à leur système d’exploitation pour
établir une connexion PPTP.
Étant donné que Firebox autorise la connexion PPTP de n’importe quel utilisateur de Firebox qui fournit des
informations d’identification correctes, il est important que vous élaboriez une stratégie pour les sessions
PPTP qui inclut uniquement les utilisateurs que vous voulez autoriser à envoyer du trafic via PPTP. Vous
pouvez également ajouter ces utilisateurs à un groupe d’utilisateurs de Firebox et élaborer une stratégie qui
autorise le trafic provenant uniquement de ce groupe. Firebox crée un groupe prédéfini appelé Utilisateurs
PPTP à cette fin.
Pour configurer une connexion Mobile VPN with PPTP :
1. Dans Policy Manager, sélectionnez VPN > Mobile VPN > PPTP.
2. Désactivez la case à cocher Utiliser l’authentification Radius pour authentifier les utilisateurs
Mobile VPN with PPTP pour permettre à Firebox d’authentifier la session PPTP.
Firebox vérifie si le nom d’utilisateur et le mot de passe indiqués par l’utilisateur dans la zone de
connexion VPN correspondent aux nom et mot de passe d’utilisateur dans la base de données des
utilisateurs de Firebox.
Si les informations d’identification de l’utilisateur correspondent à un compte de la base de données des
utilisateurs de Firebox, l’utilisateur est authentifié pour une session PPTP.
3. Créez une stratégie qui autorise le trafic uniquement à partir de ou vers une liste de noms d’utilisateurs
de Firebox ou une liste de groupes de Firebox.
Firebox ne tient pas compte de cette stratégie sauf si le trafic provient de ou est destiné à l’adresse IP virtuelle de
l’utilisateur authentifié.
230
WatchGuard System Manager
Authentification
Configurer une connexion Mobile VPN with IPSec
Vous pouvez configurer Firebox pour héberger des sessions Mobile VPN with IPSec. Dans Policy Manager,
sélectionnez VPN > Mobile VPN > IPSec.
Pour en savoir plus sur le client Mobile VPN with IPSec, voir À propos du client Mobile VPN with IPSec.
Pour en savoir plus sur l’installation du client Mobile VPN with IPSec, voir Installer le client Mobile VPN
with IPSec.
Créez le groupe Mobile VPN à l’aide de l’Assistant Add Mobile VPN with IPSec.
Lorsque l’Assistant est terminé, Policy Manager effectue deux opérations :
ƒ
ƒ
Il crée un profil de la configuration du client (appelé fichier .wgx) et le place sur l’ordinateur de la
station de gestion qui a créé le compte Mobile VPN. L’utilisateur doit disposer du fichier .wgx pour
configurer l’ordinateur client Mobile VPN.
Il ajoute automatiquement une stratégie « Tout » à l’onglet Mobile VPN afin d’autoriser le trafic dans
les deux sens avec l’utilisateur Mobile VPN authentifié.
Lorsque l’ordinateur de l’utilisateur est correctement configuré, celui-ci établit la connexion Mobile VPN. Si le
nom d’utilisateur et le mot de passe indiqués par l’utilisateur dans la boîte de dialogue d’authentification
Mobile VPN correspondent à une entrée de la base de données des utilisateurs de Firebox et si l’utilisateur fait
partie d’un groupe Mobile VPN que vous créez, la session Mobile VPN est authentifiée. Policy Manager établit
automatiquement une stratégie qui autorise tout le trafic provenant de l’utilisateur authentifié. Pour limiter le
nombre de ports auxquels le client Mobile VPN peut accéder, supprimez la stratégie Tout et ajoutez des
stratégies pour ces ports dans l’onglet Mobile VPN with IPSec.
Pour savoir comment ajouter des stratégies, voir À propos de Policy Manager.
Guide de l’utilisateur
231
Authentification
Définir un nouvel utilisateur pour l’authentification Firebox
1. Dans Manager Policy, sélectionnez Configurer > Authentification > Serveurs d’authentification.
La boîte de dialogue Serveurs d’authentification s’affiche.
232
WatchGuard System Manager
Authentification
2. Dans l’onglet Firebox de la boîte de dialogue Serveurs d’authentification, cliquez sur Ajouter sous
la liste Utilisateurs.
La boîte de dialogue Configuration d’utilisateur Firebox s’affiche.
3. Entrez le nom et une description (facultatif) pour le nouvel utilisateur.
4. Entrez, et entrez de nouveau pour confirmer, le mot de passe que vous voulez que la personne utilise
pour s’authentifier auprès de Firebox.
Une fois le mot de passe défini, vous ne pouvez plus l’afficher en texte simple. Si vous oubliez le mot
de passe, vous devez en définir un nouveau.
5. Dans le champ Délai d’expiration de la session, définissez la durée maximale durant laquelle
l’utilisateur peut envoyer du trafic au réseau externe. Si vous entrez dans ce champ un nombre de
secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’expiration de la session n’est
utilisé et l’utilisateur peut rester connecté aussi longtemps qu’il le souhaite.
6. Dans le champ Délai d’inactivité, définissez la durée durant laquelle l’utilisateur peut rester
authentifié tout en étant inactif (pas d’envoi de trafic au réseau externe). Si vous entrez dans ce champ
zéro (0) seconde, minute, heure ou jour, aucun délai d’inactivité n’est utilisé et l’utilisateur peut rester
inactif aussi longtemps qu’il le souhaite.
Pour les deux champs de délai, les délais d’authentification globale pour Firebox sont utilisés si les
valeurs ne sont pas définies dans cette boîte de dialogue. Pour définir une valeur de délai globale, voir
Définir des valeurs d’authentification globale.
7. Pour ajouter l’utilisateur à un groupe, sélectionnez son nom dans la liste Disponible. Cliquez sur la
flèche double qui pointe vers la gauche pour déplacer le nom de la liste Membre.
Vous pouvez également double-cliquer sur le nom du groupe.
8. Après avoir ajouté l’utilisateur dans les groupes sélectionnés, cliquez sur OK.
L’utilisateur est ajouté à la liste des utilisateurs. Vous pouvez alors ajouter d’autres utilisateurs.
9. Pour fermer la boîte de dialogue Configuration d’utilisateur Firebox, cliquez sur OK.
L’onglet Utilisateurs de Firebox s’affiche avec un liste des nouveaux utilisateurs.
Guide de l’utilisateur
233
Authentification
Définir un nouveau groupe pour l’authentification Firebox
1. Dans l’onglet Firebox de la boîte de dialogue Serveurs d’authentification, cliquez sur Ajouter sous
la liste Groupes d’utilisateurs.
La boîte de dialogue Configuration de groupe Firebox s’affiche.
2. Entrez le nom du groupe voulu.
3. (Facultatif) Entrez une description pour le nouveau groupe.
4. Pour ajouter un utilisateur au groupe, sélectionnez le nom de l’utilisateur dans la liste Disponible.
Cliquez sur la flèche double qui pointe vers la gauche pour déplacer le nom de la liste Membre.
Vous pouvez également double-cliquer sur le nom du groupe.
5. Après avoir ajouté tous les utilisateurs nécessaires au groupe, cliquez sur OK.
Maintenant, vous pouvez utiliser les utilisateurs et les groupes pour configurer des stratégies et
l’authentification, comme cela est décrit dans la rubrique Utiliser les utilisateurs et groupes autorisés dans les
stratégies.
234
WatchGuard System Manager
Authentification
Configurer l’authentification sur le serveur RADIUS
Le service RADIUS (Remote Authentication Dial-In User Service) permet d’authentifier les utilisateurs locaux et
distants sur un réseau d’entreprise. Il s’agit d’un système client/serveur qui regroupe dans une base de
données centrale les informations relatives à l’authentification des utilisateurs, des serveurs d’accès distants,
des passerelles VPN et autres ressources.
Les messages d’authentification en provenance et à destination du serveur RADIUS utilisent toujours une clé
d’authentification. Cette clé d’authentification, ou secret partagé, doit être identique sur le client et sur le
serveur RADIUS. Sans cette clé, les pirates ne peuvent pas avoir accès aux messages d’authentification. Notez
que RADIUS envoie une clé et non un mot de passe pendant l’authentification. Pour les authentifications sur
le Web et les authentifications Mobile VPN with IPSec ou Mobile VPN with SSL, RADIUS prend en charge
uniquement l’authentification PAP (et non l’authentification CHAP). Pour les authentifications Mobile VPN
with PPTP, RADIUS prend en charge uniquement MSCHAPv2.
Pour utiliser l’authentification sur un serveur RADIUS avec Firebox, vous devez :
ƒ
ƒ
Ajouter l’adresse IP de Firebox au serveur RADIUS, comme cela est décrit dans la documentation du
fournisseur de RADIUS. Activer et spécifier le serveur RADIUS dans la configuration de Firebox.
Ajouter les noms d’utilisateurs ou les noms de groupes RADIUS à vos stratégies.
1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification.
Cliquez sur l’onglet Serveur RADIUS.
Guide de l’utilisateur
235
Authentification
2. Pour activer le serveur RADIUS et activer les champs de cette boîte de dialogue, activez la case à cocher
Activer le serveur RADIUS.
3. Dans la zone Adresse IP, entrez l’adresse IP du serveur RADIUS.
4. Dans la zone Port, vérifiez que le numéro de port utilisé par RADIUS pour l’authentification apparaît.
Le numéro de port par défaut est 1812. Il se peut que des serveurs RADIUS plus anciens utilisent le
port 1645.
5. Dans la zone Secret, entrez le secret partagé entre Firebox et le serveur RADIUS. Entrez à nouveau le
secret partagé dans la zone Confirmer le secret.
Le secret partagé respecte la casse et il doit être identique sur Firebox et sur le serveur RADIUS.
6. Pour définir la valeur du délai d’attente, choisissez une valeur dans la zone de contrôle de valeur Délai.
La valeur du délai d’attente correspond à la durée pendant laquelle Firebox attend une réponse du
serveur d’authentification avant de réessayer de se connecter.
7. Pour définir le nombre de tentatives de connexion effectuées par Firebox, choisissez un nombre dans
la zone de contrôle de valeur Nouvelles tentatives. Il correspond au nombre de tentatives de
connexion de Firebox auprès du serveur d’authentification (en fonction du délai spécifié ci-dessus)
avant que Firebox ne signale un échec de connexion lors d’une tentative d’authentification.
8. La zone de contrôle de valeur Attribut de groupe vous permet de définir un attribut de groupe.
L’attribut de groupe par défaut est FilterID qui correspond à l’attribut 11 de RADIUS.
La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives
au groupe d’utilisateurs. Vous devez configurer le serveur RADIUS de sorte qu’une chaîne FilterID, telle
que « engineerGroup » ou « financeGroup » soit également envoyée lors de l’envoi d’un message
signalant l’authentification d’un utilisateur à Firebox. Ces informations sont utilisées pour contrôler les
accès. Elles établissent une correspondance entre la chaîne ID_filtre et le nom du groupe configuré
dans les stratégies Firebox.
9. Pour définir le délai au bout duquel un serveur inactif est marqué comme de nouveau actif, entrez ce
délai dans le champ Délai d’inactivité.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme
inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas
défini comme de nouveau actif.
10. Pour ajouter un serveur RADIUS de sauvegarde, sélectionnez l’onglet Paramètres du serveur
secondaire et activez la case à cocher Activer un serveur RADIUS secondaire. Entrez les
informations dans les champs requis. Vérifiez que le secret partagé est le même sur le serveur RADIUS
de sauvegarde et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur
d’authentification de sauvegarde.
11. Cliquez sur OK. Enregistrez le fichier de configuration.
236
WatchGuard System Manager
Authentification
Configurer l’authentification sur le serveur VASCO
L’authentification sur le serveur VASCO fait appel au logiciel middleware VACMAN pour authentifier les
utilisateurs distants d’un réseau d’entreprise via un environnement de serveur RADIUS ou de serveur Web.
VASCO prend également en charge les environnements comprenant plusieurs serveurs d’authentification. Le
système de jetons à mot de passe à usage unique de VASCO vous permet d’éliminer le maillon faible de votre
infrastructure de sécurité : les mots de passe statiques.
Pour utiliser l’authentification sur un serveur VASCO avec Firebox, vous devez :
ƒ
ƒ
ƒ
Ajouter l’adresse IP de Firebox au serveur middleware VACMAN, comme cela est décrit dans la
documentation du fournisseur de VASCO.
Activer et spécifier le serveur middleware VACMAN dans la configuration de Firebox.
Ajouter des noms d’utilisateurs ou des noms de groupes dans les stratégies de Policy Manager.
Les paramètres du serveur RADIUS permettent de configurer l’authentification sur un serveur VASCO. La boîte
de dialogue Serveurs d’authentification ne contient pas d’onglet distinct pour les serveurs middleware
VACMAN.
1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification.
Cliquez sur l’onglet RADIUS.
2. Pour activer le serveur middleware VACMAN et activer les champs de cette boîte de dialogue, activez
la case à cocher Activer le serveur RADIUS.
Guide de l’utilisateur
237
Authentification
3. Dans la zone Adresse IP , entrez l’adresse IP du serveur middleware VACMAN.
4. Dans la zone Port , vérifiez que le numéro de port utilisé par VASCO pour l’authentification apparaît. La
valeur par défaut est 1812.
5. Dans la zone Secret , entrez le secret partagé entre Firebox et le serveur middleware VACMAN.
Entrez à nouveau le secret partagé dans la zone Confirmer le secret.
Le secret partagé respecte la casse et il doit être identique sur Firebox et sur le serveur RADIUS.
6. Pour définir la valeur du délai d’attente, choisissez une valeur dans la zone de contrôle de valeur Délai.
Cette valeur correspond à la durée pendant laquelle Firebox attend une réponse du serveur
d’authentification avant d’essayer à nouveau de se connecter.
7. Pour définir le nombre de tentatives de connexion effectuées par Firebox, choisissez un nombre dans
la zone de contrôle Nouvelles tentatives.
Ce nombre correspond au nombre de tentatives de connexion de Firebox auprès du serveur
d’authentification (en fonction du délai spécifié ci-dessus) avant que Firebox ne signale un échec de
connexion lors de la tentative d’authentification.
8. Pour définir l’attribut de groupe, choisissez un attribut dans la zone de contrôle Attribut de groupe.
L’attribut de groupe par défaut est FilterID, qui correspond à l’attribut 11 de VASCO.
La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives
au groupe d’utilisateurs. Vous devez configurer le serveur VASCO de sorte qu’une chaîne FilterID, telle
que « engineerGroup » ou « financeGroup » soit également envoyée lors de l’envoi d’un message
signalant l’authentification d’un utilisateur à Firebox. Ces informations sont utilisées pour contrôler les
accès. Elles établissent une correspondance entre la chaîne ID_filtre et le nom du groupe configuré
dans les stratégies Firebox.
9. Pour définir le délai au bout duquel un serveur inactif est marqué comme de nouveau actif, entrez ce
délai dans le champ Délai d’inactivité.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme
inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas
défini comme de nouveau actif.
10. Pour ajouter un serveur middleware VACMAN de sauvegarde, sélectionnez l’onglet Paramètres du
serveur secondaire et activez la case à cocher Activer un serveur RADIUS secondaire.
Entrez les informations dans les champs requis. Vérifiez que le secret partagé est le même sur le serveur
middleware VACMAN de sauvegarde et sur le serveur principal. Pour plus d’informations, voir Utiliser
un serveur d’authentification de sauvegarde.
11. Cliquez sur OK. Enregistrez le fichier de configuration.
238
WatchGuard System Manager
Authentification
Configurer l’authentification SecurID
Pour utiliser l’authentification SecurID, vous devez configurer correctement les serveurs RADIUS, VASCO et
ACE/Server. Les utilisateurs doivent également disposer d’un jeton SecurID approuvé et d’un code
confidentiel. Pour plus d’informations, reportez-vous aux instructions relatives à RSA SecurID.
1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification.
Cliquez sur l’onglet Serveur SecurID.
2. Pour activer le serveur SecurID et activer les champs de cette boîte de dialogue, activez la case à cocher
Activer le serveur SecurID.
3. Dans la zone Adresse IP , entrez l’adresse IP du serveur SecurID.
4. Dans la zone Port , choisissez un numéro de port pour l’authentification SecurID à l’aide du contrôle
de valeur.
La valeur par défaut est 1812.
5. Dans la zone Secret, entrez le secret partagé entre Firebox et le serveur SecurID. Le secret partagé
respecte la casse et il doit être le même sur Firebox et sur le serveur SecurID.
6. Pour définir la valeur du délai d’attente, choisissez une valeur dans la zone de contrôle de valeur Délai.
Cette valeur correspond à la durée pendant laquelle Firebox attend une réponse du serveur
d’authentification avant d’essayer à nouveau de se connecter.
Guide de l’utilisateur
239
Authentification
7. Pour définir le nombre de tentatives de connexion effectuées par Firebox, utilisez le contrôle de valeur
Nouvelle tentative.
Il correspond au nombre de tentatives de connexion de Firebox auprès du serveur d’authentification
(en fonction du délai spécifié ci-dessus) avant que Firebox ne signale un échec de connexion lors d’une
tentative d’authentification.
8. Sélectionnez l’attribut de groupe. Nous vous recommandons de ne pas modifier cette valeur.
La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives
au groupe d’utilisateurs. Lorsque le serveur SecurID envoie un message signalant l’authentification
d’un utilisateur à Firebox, il envoie également une chaîne User Group (groupe d’utilisateurs) comme
« engineerGroup » ou « financeGroup ». Ces informations sont alors utilisées pour le contrôle d’accès.
9. Pour définir le délai au bout duquel un serveur inactif est défini comme de nouveau actif, entrez ce
délai dans le champ Délai d’inactivité. Lorsqu’un serveur d’authentification ne répond pas au bout
d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne
s’appliquent pas à ce serveur tant qu’il n’est pas marqué comme de nouveau actif une fois le délai
d’inactivité écoulé.
10. Pour ajouter un serveur SecurID de sauvegarde, sélectionnez l’onglet Paramètres du serveur
secondaire et activez la case à cocher Activer un serveur SecurID secondaire. Entrez les
informations dans les champs requis. Vérifiez que le secret partagé est le même sur le serveur SecurID
de sauvegarde et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur
d’authentification de sauvegarde.
11. Cliquez sur OK. Enregistrez le fichier de configuration.
240
WatchGuard System Manager
Authentification
Configurer l’authentification LDAP
Vous pouvez utiliser un serveur d’authentification LDAP pour authentifier vos utilisateurs auprès de Firebox.
LDAP est un protocole standard ouvert pour utiliser les services d’annuaire en ligne. Il fonctionne avec des
protocoles de transport Internet, tels que TCP. Avant de configurer Firebox pour l’authentification LDAP,
vérifiez la documentation de votre fournisseur LDAP pour savoir si votre installation nécessite des attributs
respectant la casse.
1. Dans Manager Policy, sélectionnez Configurer > Authentification > Serveurs d’authentification.
Sélectionnez l’onglet LDAP.
2. Pour activer le serveur LDAP, ainsi que les champs de cette boîte de dialogue, activez la case à cocher
Activer le serveur LDAP.
3. Dans la zone Adresse IP, entrez l’adresse IP du serveur LDAP principal que Firebox doit contacter avec
des requêtes d’authentification.
Le serveur LDAP peut être placé sur n’importe quelle interface Firebox. Vous pouvez également
configurer Firebox pour qu’il utilise un serveur LDAP via un tunnel VPN.
4. Dans la liste déroulante Port, sélectionnez le numéro du port TCP que Firebox doit utiliser pour se
connecter au serveur LDAP. Le numéro de port par défaut est 389.
LDAP n’est pas pris en charge sur TLS.
Guide de l’utilisateur
241
Authentification
5. Identifiez la Base de recherche. Le format standard du paramètre de base de recherche est le suivant :
ou = unité d’organisation, dc = première partie du nom unique du serveur, dc = une partie du nom
unique du serveur qui apparaît après le point.
Définissez une base de recherche pour appliquer des limites aux répertoires du serveur
d’authentification que Firebox explore pour établir une correspondance d’authentification. Si, par
exemple, vos comptes d’utilisateur sont dans une unité d’organisation que vous nommez « comptes »
et que votre nom de domaine est mywatchguard.com, votre base de recherche est :
« ou=comptes,dc=monwatchguard,dc=com ».
6. Entrez la Chaîne de groupe.
Cette chaîne d’attributs conserve des informations de groupe d’utilisateurs sur le serveur LDAP. Sur
beaucoup de serveurs LDAP, la chaîne de groupe par défaut est « uniqueMember »
(« Membreunique »), tandis que sur les autres serveurs, c’est « member »(« membre »).
7. Dans le champ Nom unique de l’utilisateur qui effectue la recherche, entrez le nom unique d’une
opération de recherche. Vous pouvez entrer un nom unique, comme « Administrateur », doté du
privilège de recherche dans LDAP/Active Directory. Un nom unique d’utilisateur plus faible doté
uniquement du privilège de recherche est généralement suffisant. Certains administrateurs créent
dans ce champ un utilisateur doté de privilèges de recherche mais avec des autorisations limitées.
8. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche, entrez le mot de passe
associé au nom unique d’une opération de recherche.
9. Dans le champ Attribut de connexion, entrez l’attribut de connexion LDAP à utiliser pour
l’authentification. Cet attribut est le nom utilisé pour la liaison avec la base de données LDAP.
L’attribut de connexion par défaut est uid. Si vous utilisez uid, les champs Nom unique de l’utilisateur
qui effectue la recherche et Mot de passe de l’utilisateur qui effectue la recherche peuvent être
vides.
10. Pour définir le délai au bout duquel un serveur inactif est défini comme de nouveau actif, entrez ce
délai dans le champ Délai d’inactivité.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est considéré
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il
n’est pas défini comme de nouveau actif.
11. Pour ajouter un serveur LDAP de sauvegarde, sélectionnez l’onglet Paramètres du serveur de
sauvegarde et activez la case à cocher Activer un serveur LDAP secondaire. Entrez les informations
dans les champs requis. Vérifiez que le secret partagé est le même sur le serveur LDAP de sauvegarde
que sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de
sauvegarde.
À propos des paramètres LDAP facultatifs
Fireware peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory)
lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet
d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires à la session de l’utilisateur
authentifié, notamment des délais d’attente et des adresses Mobile VPN with IPSec. Étant donné que les
données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous pouvez définir ces
paramètres pour chaque utilisateur individuel au lieu de vous limiter aux paramètres globaux de Policy
Manager.
Pour plus d’informations, voir Utiliser les paramètres Active Directory ou LDAP facultatifs.
242
WatchGuard System Manager
Authentification
Utiliser les paramètres Active Directory ou LDAP facultatifs
Fireware peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory)
lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet
d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires à la session de l’utilisateur
authentifié, notamment des délais d’attente et des adresses Mobile VPN. Étant donné que les données
proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous pouvez définir ces paramètres
pour chaque utilisateur individuel au lieu de vous limiter aux paramètres globaux de Policy Manager.
Avant de commencer
Vous devez suivre plusieurs étapes pour utiliser ces paramètres facultatifs :
ƒ
ƒ
ƒ
développer le schéma d’annuaire pour ajouter de nouveaux attributs à ces éléments ;
rendre les nouveaux attributs disponibles pour la classe d’objet à laquelle les comptes d’utilisateurs
appartiennent ;
donner des valeurs aux attributs pour les objets utilisateur qui doivent les utiliser.
Vous devez effectuer des planifications et des tests précis avant de développer le schéma d’annuaire. Les
ajouts au schéma d’Active Directory, par exemple, sont en général irrémédiables. Utilisez le site Web Microsoft
afin d’obtenir des ressources pour planifier, tester et implémenter des modifications dans un schéma d’Active
Directory. Consultez la documentation de votre fournisseur LDAP avant d’étendre le schéma pour
d’autres annuaires.
Spécifier les paramètres LDAP ou Active Directory facultatifs
Pour spécifier des attributs supplémentaires que Fireware doit rechercher dans la réponse à la recherche du
serveur d’annuaire, cliquez sur Paramètres facultatifs dans l’onglet LDAP ou sur l’onglet Active Directory
dans Configuration > Authentification > Serveurs d’authentification.
Fireware recherche les attributs indiqués, dans cette boîte de dialogue, dans la liste d’attributs résultant de la
recherche et utilise la valeur d’attribut comme suit :
Chaîne d’attributs IP
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer une adresse IP virtuelle au client
Mobile VPN. Cet attribut doit comporter une seule valeur. Cette valeur doit être une adresse IP au
format décimal avec points standard. L’adresse IP doit faire partie du pool d’adresses IP virtuelles que
vous spécifiez lorsque vous créez le groupe Mobile VPN.
Si Firebox ne trouve pas l’attribut IP dans la réponse à la recherche ou si vous ne spécifiez pas
d’attribut dans Police Manager, il attribue au client Mobile VPN une adresse IP virtuelle du pool
d’adresses IP virtuelles que vous créez lorsque vous définissez le groupe Mobile VPN.
Guide de l’utilisateur
243
Authentification
Chaîne d’attributs de masque réseau
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer un masque de sous-réseau à
l’adresse IP virtuelle du client Mobile VPN. Cet attribut doit comporter une seule valeur. Cette valeur
doit être un masque de sous-réseau au format décimal avec points standard.
Le logiciel Mobile VPN attribue automatiquement un masque réseau si Firebox ne trouve pas
l’attribut de masque réseau dans la réponse à la recherche ou si vous n’en spécifiez aucun dans Policy
Manager.
Chaîne d’attributs DNS
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer une ou plusieurs adresses DNS au
client Mobile VPN durant la session Mobile VPN. Cet attribut peut être un attribut à valeurs multiples.
Toutes les valeurs de l’attribut doivent être des adresses IP au format décimal avec points standard.
Si Firebox ne trouve pas l’attribut DNS dans la réponse à la recherche ou si vous ne spécifiez pas
d’attribut dans Policy Manager, il utilise les adresses WINS que vous entrez lorsque vous configurez
des serveurs WINS et DNS.
Chaîne d’attributs WINS
Elle s’applique uniquement aux clients Mobile VPN.. Entrez le nom de l’attribut que Fireware doit
utiliser pour attribuer une ou plusieurs adresses WINS au client Mobile VPN durant la session Mobile
VPN. Cet attribut peut être un attribut à valeurs multiples. Toutes les valeurs de l’attribut doivent être
des adresses IP au format décimal avec points standard. Si Firebox ne trouve pas l’attribut WINS dans
la réponse à la recherche ou si vous ne spécifiez pas d’attribut dans Policy Manager, il utilise les
adresses WINS que vous entrez lorsque vous configurez des serveurs WINS et DNS.
Chaîne d’attributs de la durée du bail
Elle s’applique aux clients Mobile VPN et aux clients qui utilisent l’authentification d’accès au parefeu. Entrez le nom de l’attribut que Fireware doit utiliser pour contrôler la durée absolue pendant
laquelle un utilisateur peut rester authentifié (délai d’expiration de la session). Une fois cette durée
expirée, Fireware supprime l’utilisateur de sa liste d’utilisateurs authentifiés. Cet attribut doit
comporter une seule valeur. Fireware interprète la valeur de l’attribut comme un nombre décimal de
secondes. Il interprète zéro comme jamais inactif.
Chaîne d’attributs de délai d’inactivité
Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu.
Entrez le nom de l’attribut que Fireware doit utiliser pour contrôler la durée pendant laquelle un
utilisateur peut rester authentifié sans qu’aucun trafic à destination de Firebox ne provienne
de l’utilisateur (délai d’inactivité). En l’absence de trafic vers Firebox pendant cette durée, Fireware
supprime l’utilisateur de sa liste d’utilisateurs authentifiés. Cet attribut doit comporter une seule
valeur. Fireware interprète la valeur de l’attribut comme un nombre décimal de secondes.
Il interprète zéro comme jamais inactif.
244
WatchGuard System Manager
Authentification
Configurer l’authentification Active Directory
Vous pouvez utiliser un serveur d’authentification Active Directory pour authentifier vos utilisateurs de
Firebox. Vous devez configurer les serveurs Firebox et Active Directory.
1. Dans Manager Policy, sélectionnez Configurer > Authentification > Serveurs d’authentification.
Sélectionnez l’onglet Active Directory.
2. Activez la case à cocher Activer le serveur Active Directory.
3. Entrez l’adresse IP du serveur Active Directory principal. Le serveur Active Directory peut être placé
dans n’importe quelle interface Firebox. Vous pouvez également configurer Firebox pour qu’il utilise
un serveur Active Directory disponible via un tunnel VPN.
4. Sélectionnez le numéro de port TCP que Firebox doit utiliser pour se connecter au serveur Active
Directory. Le numéro de port par défaut est 389.
Si votre serveur Active Directory est un serveur de catalogue global, il est conseillé de modifier le port
par défaut. Pour plus d’informations, voir la section relative à l’authentification dans le Forum aux
questions consacré à Fireware, à l’adressse suivante : www.watchguard.com/support/faqs.
Guide de l’utilisateur
245
Authentification
5. Dans le champ Base de recherche, entrez le point de départ de la recherche dans le répertoire. Le
format standard du paramètre de base de recherche est le suivant : ou = unité d’organisation, dc =
première partie du nom unique du serveur, dc = une partie du nom unique du serveur qui apparaît
après le point.
Définissez une base de recherche pour appliquer des limites aux répertoires du serveur
d’authentification que Firebox explore pour établir une correspondance d’authentification. Si, par
exemple, vos comptes d’utilisateur sont dans une unité d’organisation que vous nommez « comptes »
et que votre nom de domaine est HQ_main.com, votre base de recherche est :
« ou=comptes,dc=HQ_main,dc=com ».
6. Dans le champ Chaîne de groupe, entrez la chaîne d’attributs utilisée pour conserver des informations
de groupe d’utilisateurs sur le serveur Active Directory. Si vous ne modifiez pas le schéma Active
Directory, la chaîne de groupe est toujours « memberOf » (« MembreDe »).
7. Dans le champ Nom unique de l’utilisateur qui effectue la recherche, entrez le nom unique d’une
opération de recherche. Il n’est pas nécessaire d’entrer une valeur dans cette zone de texte si vous
conservez l’attribut de connexion ofsAMAccountName. Si vous modifiez l’attribut de connexion, vous
devez ajouter un Nom unique de l’utilisateur qui effectue la recherche à votre configuration. Vous
pouvez entrer un nom unique, comme « Administrateur », doté du privilège de recherche dans LDAP/
Active Directory. Cependant, un nom unique d’utilisateur plus faible doté uniquement du privilège de
recherche est généralement suffisant.
8. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche, entrez le mot de passe
associé au nom unique d’une opération de recherche.
9. Dans le champ Attribut de connexion, entrez un attribut de connexion Active Directory à utiliser pour
l’authentification. Cet attribut est le nom utilisé pour la liaison avec la base de données Active
Directory.
L’attribut de connexion par défaut est sAMAccountName. Si vous utilisez sAMAccountName, les
champs Nom unique de l’utilisateur qui effectue la recherche et Mot de passe de l’utilisateur qui
effectue la recherche peuvent être vides.
10. Pour définir le délai au bout duquel un serveur inactif est défini comme de nouveau actif, entrez ce
délai dans le champ Délai d’inactivité.
Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est considéré
comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il
n’est pas défini comme de nouveau actif.
11. Pour ajouter un serveur Active Directory de sauvegarde, sélectionnez l’onglet Paramètres du serveur
de sauvegarde et activez la case à cocher Activer un serveur Active Directory secondaire. Entrez les
informations dans les champs requis. Vérifiez que le secret partagé est le même sur le serveur de
sauvegarde Active Directory que sur le serveur principal. Pour plus d’informations, voir Utiliser un
serveur d’authentification de sauvegarde.
À propos des paramètres Active Directory facultatifs
Fireware peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory)
lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet
d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires à la session de l’utilisateur
authentifié, notamment des délais d’attente et des adresses MUVPN. Étant donné que les données
proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous pouvez définir ces paramètres
pour chaque utilisateur individuel au lieu de vous limiter aux paramètres globaux de Policy Manager.
Pour plus d’informations, voir Utiliser les paramètres Active Directory ou LDAP facultatifs.
246
WatchGuard System Manager
Authentification
Utiliser les paramètres Active Directory ou LDAP facultatifs
Fireware peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory)
lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet
d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires à la session de l’utilisateur
authentifié, notamment des délais d’attente et des adresses Mobile VPN. Étant donné que les données
proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous pouvez définir ces paramètres
pour chaque utilisateur individuel au lieu de vous limiter aux paramètres globaux de Policy Manager.
Avant de commencer
Vous devez suivre plusieurs étapes pour utiliser ces paramètres facultatifs :
ƒ
ƒ
ƒ
développer le schéma d’annuaire pour ajouter de nouveaux attributs à ces éléments ;
rendre les nouveaux attributs disponibles pour la classe d’objet à laquelle les comptes d’utilisateurs
appartiennent ;
donner des valeurs aux attributs pour les objets utilisateur qui doivent les utiliser.
Vous devez effectuer des planifications et des tests précis avant de développer le schéma d’annuaire. Les
ajouts au schéma d’Active Directory, par exemple, sont en général irrémédiables. Utilisez le site Web Microsoft
afin d’obtenir des ressources pour planifier, tester et implémenter des modifications dans un schéma d’Active
Directory. Consultez la documentation de votre fournisseur LDAP avant d’étendre le schéma pour
d’autres annuaires.
Spécifier les paramètres LDAP ou Active Directory facultatifs
Pour spécifier des attributs supplémentaires que Fireware doit rechercher dans la réponse à la recherche du
serveur d’annuaire, cliquez sur Paramètres facultatifs dans l’onglet LDAP ou sur l’onglet Active Directory
dans Configuration > Authentification > Serveurs d’authentification.
Fireware recherche les attributs indiqués, dans cette boîte de dialogue, dans la liste d’attributs résultant de la
recherche et utilise la valeur d’attribut comme suit :
Chaîne d’attributs IP
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer une adresse IP virtuelle au client
Mobile VPN. Cet attribut doit comporter une seule valeur. Cette valeur doit être une adresse IP au
format décimal avec points standard. L’adresse IP doit faire partie du pool d’adresses IP virtuelles que
vous spécifiez lorsque vous créez le groupe Mobile VPN.
Si Firebox ne trouve pas l’attribut IP dans la réponse à la recherche ou si vous ne spécifiez pas
d’attribut dans Police Manager, il attribue au client Mobile VPN une adresse IP virtuelle du pool
d’adresses IP virtuelles que vous créez lorsque vous définissez le groupe Mobile VPN.
Guide de l’utilisateur
247
Authentification
Chaîne d’attributs de masque réseau
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer un masque de sous-réseau à
l’adresse IP virtuelle du client Mobile VPN. Cet attribut doit comporter une seule valeur. Cette valeur
doit être un masque de sous-réseau au format décimal avec points standard.
Le logiciel Mobile VPN attribue automatiquement un masque réseau si Firebox ne trouve pas
l’attribut de masque réseau dans la réponse à la recherche ou si vous n’en spécifiez aucun dans Policy
Manager.
Chaîne d’attributs DNS
Ce champ concerne uniquement les clients Mobile VPN.
Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer une ou plusieurs adresses DNS au
client Mobile VPN durant la session Mobile VPN. Cet attribut peut être un attribut à valeurs multiples.
Toutes les valeurs de l’attribut doivent être des adresses IP au format décimal avec points standard.
Si Firebox ne trouve pas l’attribut DNS dans la réponse à la recherche ou si vous ne spécifiez pas
d’attribut dans Policy Manager, il utilise les adresses WINS que vous entrez lorsque vous configurez
des serveurs WINS et DNS.
Chaîne d’attributs WINS
Elle s’applique uniquement aux clients Mobile VPN.. Entrez le nom de l’attribut que Fireware doit
utiliser pour attribuer une ou plusieurs adresses WINS au client Mobile VPN durant la session Mobile
VPN. Cet attribut peut être un attribut à valeurs multiples. Toutes les valeurs de l’attribut doivent être
des adresses IP au format décimal avec points standard. Si Firebox ne trouve pas l’attribut WINS dans
la réponse à la recherche ou si vous ne spécifiez pas d’attribut dans Policy Manager, il utilise les
adresses WINS que vous entrez lorsque vous configurez des serveurs WINS et DNS.
Chaîne d’attributs de la durée du bail
Elle s’applique aux clients Mobile VPN et aux clients qui utilisent l’authentification d’accès au parefeu. Entrez le nom de l’attribut que Fireware doit utiliser pour contrôler la durée absolue pendant
laquelle un utilisateur peut rester authentifié (délai d’expiration de la session). Une fois cette durée
expirée, Fireware supprime l’utilisateur de sa liste d’utilisateurs authentifiés. Cet attribut doit
comporter une seule valeur. Fireware interprète la valeur de l’attribut comme un nombre décimal de
secondes. Il interprète zéro comme jamais inactif.
Chaîne d’attributs de délai d’inactivité
Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu.
Entrez le nom de l’attribut que Fireware doit utiliser pour contrôler la durée pendant laquelle un
utilisateur peut rester authentifié sans qu’aucun trafic à destination de Firebox ne provienne
de l’utilisateur (délai d’inactivité). En l’absence de trafic vers Firebox pendant cette durée, Fireware
supprime l’utilisateur de sa liste d’utilisateurs authentifiés. Cet attribut doit comporter une seule
valeur. Fireware interprète la valeur de l’attribut comme un nombre décimal de secondes.
Il interprète zéro comme jamais inactif.
248
WatchGuard System Manager
Authentification
Utiliser un compte d’utilisateur local pour
l’authentification
Tous les utilisateurs peuvent s’authentifier en tant qu’utilisateur du pare-feu, utilisateur PPTP ou utilisateur
Mobile VPN et ouvrir un tunnel PPTP ou un tunnel Mobile VPN si PPTP ou Mobile VPN est activé sur Firebox.
Cependant, une fois l’authentification ou le tunnel établi, les utilisateurs peuvent envoyer le trafic via le tunnel
VPN uniquement si une stratégie de Firebox autorise le trafic. Par exemple, un utilisateur n’utilisant que
Mobile VPN peut envoyer des données via un tunnel Mobile VPN et non via un tunnel PPTP, même s’il peut
s’authentifier et afficher un tunnel PPTP.
Si vous utilisez l’authentification Active Directory et que l’appartenance d’un utilisateur à un groupe ne
correspond pas à votre stratégie Mobile VPN, un message d’erreur signalant que le trafic déchiffré ne
correspond à aucune stratégie s’affiche. Si ce message s’affiche, vérifiez que l’utilisateur fait partie d’un groupe
dont le nom est identique à celui de votre groupe Mobile VPN.
Voir également
Ajouter des stratégies à votre configuration
Utiliser les utilisateurs et groupes autorisés dans les stratégies
Types de serveurs d’authentification
Utiliser les utilisateurs et groupes autorisés dans les
stratégies
Lorsque vous configurez Firebox pour qu’il utilise un serveur d’authentification, commencez par utiliser des
noms d’utilisateurs et de groupes spécifiés quand vous créez des stratégies dans Policy Manager. Vous
pouvez, par exemple, définir toutes les stratégies de sorte que les connexions soient autorisées uniquement
pour les utilisateurs authentifiés. Vous pouvez également limiter les connexions à une stratégie à des
utilisateurs particuliers.
Le terme utilisateurs et groupes autorisés fait référence aux utilisateurs et aux groupes qui sont autorisés à
accéder aux ressources réseau.
Définir des utilisateurs et des groupes pour l’authentification Firebox
Si vous utilisez Firebox en tant que serveur d’authentification et que vous voulez définir des utilisateurs, ainsi
que des groupes qui s’authentifient via Firebox, voir Définir un nouvel utilisateur pour l’authentification
Firebox et Définir un nouveau groupe pour l’authentification Firebox.
Guide de l’utilisateur
249
Authentification
Définir des utilisateurs et des groupes pour l’authentification tierce
1. Créez un groupe sur votre serveur d’authentification tierce qui contienne tous les comptes
d’utilisateurs de votre système.
2. Dans Manager Policy, sélectionnez Configurer > Authentification > Utilisateurs/groupes autorisés.
La boîte de dialogue Utilisateurs et groupes autorisés s’affiche.
3. Cliquez sur Ajouter.
La boîte de dialogue Définir un nouvel utilisateur ou groupe autorisé.
4.
5.
6.
7.
250
Entrez un nom d’utilisateur ou de groupe que vous avez créé sur le serveur d’authentification.
(Facultatif) Entrez une description de l’utilisateur ou du groupe.
Sélectionnez la case d’option Groupe ou Utilisateur.
Dans la liste déroulante Serveur d’authentification, sélectionnez RADIUS (pour une authentification
via un serveur médiateur RADIUS ou VACMAN), ou Tout (en cas d’authentification via tout autre type
de serveur). Cliquez sur OK.
WatchGuard System Manager
Authentification
Ajouter des utilisateurs et des groupes aux définitions des stratégies
Tout utilisateur ou groupe que vous voulez utiliser dans vos définitions de stratégie doit être ajouté en tant
qu’utilisateur autorisé. Tous les utilisateurs et groupes que vous créez pour l’authentification Firebox, et tous
les utilisateurs Mobile VPN sont automatiquement ajoutés à la liste des utilisateurs et groupes autorisés dans
la boîte de dialogue Utilisateurs et groupes autorisés. Vous pouvez ajouter n’importe quel utilisateur ou
groupe de serveurs d’authentification tierce à la liste des utilisateurs et des groupes autorisés à l’aide de la
procédure ci-dessus. Vous êtes alors prêt à ajouter des utilisateurs et des groupes à la configuration de votre
stratégie.
1. Dans Policy Manager, double-cliquez sur l’icône de définition de la stratégie.
La boîte de dialogue Modifier les propriétés de stratégie apparaît.
2. Sous la zone De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s’affiche.
3. Cliquez sur Ajouter un utilisateur.
La boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés s’affiche.
4. Dans la zone Type, choisissez si l’utilisateur ou le groupe est autorisé en tant qu’utilisateur de pare-feu
ou utilisateur PPTP.
Pour plus d’informations sur ces types d’authentification, voir Types d’authentification.
5. Dans la liste déroulante située à droite de la zone Type sélectionnez Utilisateur ou Groupe.
6. Si votre utilisateur ou groupe s’affiche dans la liste ci-après, sélectionnez-le et cliquez sur Sélectionner.
La boîte de dialogue Ajouter une adresse s’affiche de nouveau avec l’utilisateur ou le groupe dans la
zone Membres ou adresses sélectionnées. Cliquez sur OK pour fermer la boîte de dialogue Modifier
les propriétés de stratégie.
Si votre utilisateur ou groupe ne s’affiche pas dans la liste de la boîte de dialogue Ajouter des
utilisateurs ou des groupes autorisés, voir Définir un nouvel utilisateur pour l’authentification
Firebox, Définir un nouveau groupe pour l’authentification Firebox ou la procédure « Définir des
utilisateurs et des groupes pour l’authentification tierce » ci-dessus.
Une fois que vous avez ajouté un utilisateur ou un groupe à la configuration d’une stratégie, WatchGuard
System Manager ajoute automatiquement une stratégie d’authentification WatchGuard à votre configuration
Firebox. Utilisez cette stratégie pour contrôler l’accès à la page Web d’authentification. Pour plus
d’informations sur la modification de cette stratégie, voir Utiliser l’authentification pour restreindre le trafic
entrant.
Guide de l’utilisateur
251
Authentification
252
WatchGuard System Manager
13
Firewall Threat Protection
À propos de Default Threat Protection
WatchGuard Fireware et les stratégies que vous créez dans Policy Manager vous permettent de contrôler
rigoureusement l’accès à votre réseau. Une stratégie d’accès stricte permet de protéger votre réseau des
pirates. En revanche, il existe d’autres types d’attaques qu’une simple stratégie stricte n’est pas en mesure de
déjouer. Une configuration rigoureuse des options Default Threat Protection de Firebox permet d’arrêter
différents types d’attaques (par exemple, les attaques SYN Flood, d’usurpation ou d’exploration des espaces
de ports et d’adresses).
Avec Default Threat Protection, un pare-feu examine la source et la destination de chaque paquet qu’il reçoit.
Il vérifie l’adresse IP et le numéro de port et surveille les paquets à la recherche de modèles indiquant un
danger pour votre réseau. En cas de danger, vous pouvez configurer Firebox pour qu’il se bloque
automatiquement contre l’attaque éventuelle. Cette méthode proactive de détection des intrusions permet
de protéger votre réseau des personnes malveillantes.
Pour configurer Default Threat Protection, voir :
ƒ
ƒ
ƒ
À propos des options de gestion des paquets par défaut
À propos des sites bloqués
À propos des ports bloqués
Vous pouvez également acheter une mise à niveau de Firebox pour utiliser la fonctionnalité Intrusion
Prevention basée sur les signatures. Pour plus d’informations, voir À propos de Gateway AntiVirus et Intrusion
Prevention.
Guide de l’utilisateur
253
Firewall Threat Protection
À propos des options de gestion des paquets par défaut
Le pare-feu examine la source et la destination de chaque paquet qu’il reçoit. Il vérifie l’adresse IP et le numéro
de port. Il surveille également les paquets à la recherche de modèles susceptibles de présenter un danger pour
votre réseau.
Gestion des paquets par défaut :
ƒ
ƒ
ƒ
ƒ
ƒ
rejet des paquets présentant un risque de sécurité, notamment des paquets répertoriés comme faisant
partie d’éventuelles attaques d’usurpation ou SYN flood ;
possibilité de bloquer automatiquement tout le trafic à destination et en provenance d’une adresse IP
source ;
ajout d’un événement au fichier journal ;
envoi d’une interruption SNMP au serveur Management Server SNMP ;
envoi d’une notification de risques de sécurité potentiels.
Définissez toutes les options de gestion des paquets par défaut dans la boîte de dialogue Gestion des
paquets par défaut.
1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Gestion des paquets
par défaut.
Ou, cliquez sur l’icône de gestion des paquets par défaut dans la barre d’outils de Policy Manager.
La boîte de dialogue Gestion des paquets par défaut s’affiche.
254
WatchGuard System Manager
Firewall Threat Protection
2. Activez les cases à cocher correspondant aux modèles de trafic contre lesquels vous souhaitez vous
protéger, comme cela est indiqué dans les rubriques suivantes :
ƒ À propos des attaques d’usurpation
ƒ À propos des attaques d’route source des adresses IP
ƒ À propos des attaques d’espaces de port et d’adresses
ƒ À propos des attaques Flood
ƒ À propos des paquets non gérés
ƒ À propos des attaques de refus de service distribué
Définir des options de journalisation et de notification
La configuration par défaut indique à Firebox d’envoyer un message de journal dès que l’un des événements
spécifiés dans la boîte de dialogue Gestion des paquets par défaut se produit. Pour configurer une
interruption SNMP ou une notification pour la gestion des paquets par défaut, cliquez sur Journalisation.
Pour plus d’informations sur les paramètres de cette boîte de dialogue, voir Définir les préférences de
journalisation et de notification.
À propos des attaques d’usurpation
Une des méthodes utilisées par les personnes malveillantes pour accéder à un réseau consiste à créer une
« fausse identité électronique ». Cette « usurpation d’adresse IP » leur permet d’envoyer un paquet TCP/IP qui
utilise une adresse IP différente de celle de l’hôte qui l’a envoyé en premier.
Lorsque la protection contre l’usurpation est activée, Firebox s’assure que l’adresse IP source d’un paquet
provient bien d’un réseau sur cette interface.
Pour vous protéger contre les attaques d’usurpation, activez la case à cocher Supprimer les attaques
d’usurpation dans la boîte de dialogue Gestion des paquets par défaut.
À propos des attaques d’route source des adresses IP
Les personnes malveillantes utilisent les attaques d’route source des adresses IP pour envoyer un paquet IP
afin de découvrir l’route emprunté par le paquet sur le réseau. Elles peuvent ainsi voir la réponse envoyée aux
paquets et obtenir des informations sur le système d’exploitation de l’ordinateur cible ou du périphérique
réseau.
Pour vous protéger contre les attaques d’route source des adresses IP, activez la case à cocher Supprimer
l’route source des adresses IP dans la boîte de dialogue Gestion des paquets par défaut.
Guide de l’utilisateur
255
Firewall Threat Protection
À propos des attaques d’espaces de ports et d’espaces d’adresses
Les personnes malveillantes utilisent des explorations pour rechercher des informations sur les réseaux et
leurs hôtes. Les explorations de l’espace de ports examinent un hôte pour trouver les services qu’il utilise. Les
explorations de l’espace d’addresses examinent un réseau pour déterminer les hôtes situés sur ce réseau.
Firebox détecte les explorations des espaces de ports et d’adresses uniquement sur les interfaces
dont le type est configuré sur Externe.
Pour vous protéger des attaques d’espaces de ports et d’adresses, activez les cases à cocher Bloquer les
explorations de l’espace de ports et Bloquer les explorations de l’espace d’adresses dans la boîte de
dialogue Gestion des paquets par défaut. Vous pouvez ensuite utiliser les touches de direction pour
sélectionner le nombre maximal autorisé d’adresses rnja ou d’explorations de ports par seconde pour chaque
adresse IP source.
Par exemple, si vous entrez 8 dans le champ Ports de dest./IP srce des explorations de l’espace de ports, une
source est bloquée si elle initie des connexions à huit ports différents en une seconde sur un même hôte. Si
vous entrez 8 dans le champ IP de dest./IP srce des explorations de l’espace d’adresses, une source est
bloquée si elle initie des connexions à huit hôtes en une seconde.
À propos des attaques Flood
Lors d’une attaque Flood, des personnes malveillantes envoient un volume très important de trafic à un
système l’empêchant ainsi de l’examiner et d’autoriser le trafic réseau légitime. Par exemple, une attaque
ICMP Flood se produit lorsqu’un système reçoit un nombre de commandes ping ICMP tel qu’il est obligé
d’utiliser toutes ses ressources pour envoyer des commandes de réponse. Firebox offre une protection contre
les types d’attaques Flood suivants :
ƒ
ƒ
ƒ
ƒ
ƒ
Attaques IPSec Flood
Attaques IKE Flood
Attaques ICMP Flood
Attaques SYN Flood
Attaques UDP Flood
Les attaques Flood sont également appelées attaques de refus de service (DoS, Denial of Service). La boîte de
dialogue Gestion des paquets par défaut vous permet de configurer Firebox de sorte à vous protéger contre
ces attaques. Activez les cases à cocher correspondant aux attaques Flood que vous souhaitez empêcher.
Utilisez les flèches pour sélectionner le nombre maximal de paquets autorisé par seconde.
À propos du paramètre des attaques SYN Flood
Pour les attaques SYN Flood, vous définissez le seuil auquel Firebox signale la possibilité d’une telle attaque.
Aucun paquet n’est abandonné lorsque ce nombre de paquets est reçu. Lorsque le double du seuil défini est
atteint, tous les paquets SYN sont abandonnés. À tout moment entre le seuil que vous avez défini et le double
de ce seuil, si les valeurs src_IP, dst_IP et total_length d’un paquet sont identiques à celles du paquet
précédent, ce paquet est abandonné ; sinon, 25 pour cent des nouveaux paquets reçus sont abandonnés.
Supposez, par exemple, que vous définissez le seuil à 18 paquets par seconde. Une fois cette quantité atteinte,
Firebox vous avertit de l’éventualité d’une attaque SYN Flood, mais n’abandonne aucun paquet. Si vous
recevez 20 paquets par seconde, Firebox abandonne 25 % des paquets (soit, 5 paquets). Si vous recevez au
moins 36 paquets, les derniers 18 paquets sont abandonnés.
256
WatchGuard System Manager
Firewall Threat Protection
À propos des paquets non gérés
Un paquet non géré est un paquet qui ne correspond à aucune règle créée dans Policy Manager. Firebox
refuse toujours les paquets non gérés, mais vous pouvez prendre des mesures supplémentaires pour protéger
votre réseau :
Bloquer automatiquement la source de paquets non gérés : Sélectionnez l’option permettant de bloquer
automatiquement la source des paquets non gérés. Firebox ajoute l’adresse IP qui a envoyé le paquet à la liste
Sites bloqués temporairement.
Envoyer un message d’erreur aux clients dont les connexions sont désactivées : Sélectionnez l’option
permettant de renvoyer une réinitialisation TCP ou une erreur ICMP au client lorsque Firebox reçoit un paquet
non géré.
Consulter les statistiques sur les paquets non gérés
Vous pouvez consulter les statistiques sur les paquets non gérés par Firebox dans l’onglet Suivi du service de
Firebox System Manager. Utilisez la liste déroulante Afficher les connexions par pour afficher les connexions
par règle plutôt que par stratégie.
À propos des attaques de refus de service distribué
Les attaques de refus de service distribué (DDoS, Distributed Denial of Service) sont quasiment identiques aux
attaques Flood. Lors d’une attaque DDoS, un grand nombre de clients et serveurs différents envoient des
connexions à un ordinateur pour tenter d’inonder le système et d’empêcher les utilisateurs habituels d’utiliser
le système cible. La boîte de dialogue Gestion des paquets par défaut vous permet de configurer Firebox de
sorte à vous protéger contre les attaques DDoS. Utilisez les touches de direction pour définir le nombre
maximal de connexions par seconde autorisé à partir d’une adresse IP source protégée par l’option Firebox
(Quota par client) ou vers une adresse IP de destination protégée par l’option Firebox (Quota par serveur).
Les connexions qui dépassent ce quota sont abandonnées.
Guide de l’utilisateur
257
Firewall Threat Protection
À propos des sites bloqués
La fonctionnalité Sites bloqués vous permet de protéger votre réseau de systèmes connus pour présenter ou
pouvant présenter un risque de sécurité. Une fois que vous avez identifié la source du trafic suspect, vous
pouvez bloquer l’ensemble des connexions en provenance de cette adresse IP. Il vous est en outre possible de
configurer le périphérique Firebox pour qu’il envoie un message du journal chaque fois que la source tente de
se connecter à votre réseau. Les services utilisés par les sources lors de leurs attaques sont mentionnés dans
le fichier journal.
Un site bloqué est représenté par une adresse IP qui n’est pas autorisée à se connecter via le périphérique
Firebox. L’ensemble du trafic provenant d’une adresse IP bloquée est rejeté. Vous pouvez définir deux types
d’adresses IP bloquées.
Sites bloqués de façon permanente
Le trafic réseau en provenance de sites bloqués de façon permanente est systématiquement refusé. Ces
adresses IP sont stockées dans la liste des sites bloqués et doivent être ajoutées manuellement. Par exemple,
vous pouvez ajouter à la liste des sites bloqués une adresse IP qui tente constamment d’analyser votre réseau,
afin d’empêcher les analyses de port à partir de ce site.
Pour bloquer un site, voir Bloquer un site de façon permanente.
Liste des sites automatiquement bloqués/sites bloqués de façon temporaire
Les paquets issus de sites automatiquement bloqués sont refusés pour la durée choisie. Pour déterminer si un
site doit être bloqué, le périphérique Firebox se base sur les règles de traitement des paquets spécifiées dans
chaque stratégie. Par exemple, si vous créez une stratégie visant à rejeter l’intégralité du trafic qui transite par
le port 23 (Telnet), toute adresse IP essayant de faire circuler des données Telnet par le biais de ce port est
automatiquement bloquée pour la durée spécifiée.
Pour savoir comment bloquer automatiquement les sites dont le trafic est refusé, voir Bloquer
temporairement des sites grâce aux paramètres de stratégie.
Par ailleurs, vous avez la possibilité de bloquer automatiquement les sites fournissant des paquets qui ne
correspondent à aucune des règles créées dans Policy Manager. Pour plus d’informations, voir À propos des
paquets non gérés.
258
WatchGuard System Manager
Firewall Threat Protection
Bloquer un site de façon permanente ou bloquer des sites de logiciel
espion
1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Sites bloqués.
La boîte de dialogue Configuration des sites bloqués apparaît.
2. Cliquez sur Ajouter.
La boîte de dialogue Ajouter un site s’affiche.
3. Dans la liste déroulante Choisir un type, sélectionnez la méthode utilisée pour identifier le site bloqué.
Les méthodes disponibles sont les suivantes : IP de l’hôte, IP du réseau, Plage d’hôtes et Nom de
l’hôte (recherche DNS).
Guide de l’utilisateur
259
Firewall Threat Protection
4. Entrez la valeur.
Celle-ci indique s’il s’agit d’une adresse IP ou d’une plage d’adresses IP. Lorsque vous entrez une
adresse IP, tapez tous les chiffres sans oublier le point. N’utilisez pas la touche de tabulation ni la
touche de direction. Vous ne pouvez pas ajouter d’adresses IP ou de réseau internes à la liste des sites
bloqués. Si vous devez bloquer une plage d’adresses incluant une ou plusieurs adresses IP internes,
commencez par inclure ces adresses IP dans la liste des exceptions aux sites bloqués. (Pour savoir
comment ajouter des exceptions, voir Créer des exceptions à la liste des sites bloqués.)
5. (Facultatif) Saisissez des informations sur le site ou entrez un commentaire expliquant pour quelle
raison vous souhaitez le bloquer.
6. Cliquez sur OK.
Le nouveau site est ajouté à la liste des sites bloqués.
Configurer la journalisation pour les sites bloqués
Vous pouvez configurer Firebox pour qu’une entrée de journal soit créée lorsqu’un hôte tente d’accéder à un
site bloqué. Pour signaler ce type de tentative, vous pouvez également définir une notification. Pour ce faire,
cliquez sur Journalisation. Pour plus d’informations sur les paramètres de cette boîte de dialogue, voir Définir
les préférences de journalisation et de notification.
Bloquer des sites de logiciel espion
Vous avez la possibilité de bloquer les hôtes représentant des sites de logiciel espion reconnus en configurant
des catégories de logiciels espions à bloquer. Cette fonctionnalité est proposée dans le produit de base. Vous
n’avez pas besoin d’acquérir Intrusion Prevention Service pour pouvoir l’utiliser.
1. Dans la boîte de dialogue Configuration des sites bloqués, activez la case à cocher Activer le
blocage avec liste de blocage anti-logiciels espions. Cliquez sur Configurer.
2. Activez ou désactivez les cases à cocher ci-après afin d’activer ou de désactiver le blocage anti-logiciels
espions pour les catégories correspondantes. Pour activer ou désactiver l’intégralité des catégories,
activez ou désactivez la case à cocher Toutes les catégories de logiciels espions :
Logiciels publicitaires
Application logicielle dans laquelle apparaissent, en cours d’exécution, des bannières publicitaires.
Ce type d’application inclut parfois du code destiné à enregistrer les informations personnelles d’un
utilisateur et à les envoyer à des tiers, sans le consentement ou à l’insu de cet utilisateur.
Numéroteur
Application logicielle pouvant prendre le contrôle du modem d’un utilisateur et composer des
numéros payants donnant accès à des sites Web inappropriés.
Téléchargeur
Programme qui extrait et installe d’autres fichiers. La plupart des téléchargeurs sont configurés pour
récupérer des fichiers sur un site Web ou FTP donné.
Pirate
Type de programme malveillant modifiant les paramètres de votre navigateur et vous redirigeant
vers des sites Web que vous n’aviez pas l’intention de visiter.
Logiciels de suivi
Tout logiciel utilisant la connexion Internet configurée sur un ordinateur pour envoyer des
informations personnelles sans l’autorisation de l’utilisateur concerné.
260
WatchGuard System Manager
Firewall Threat Protection
Utiliser une liste externe de sites bloqués
Si vous gérez plusieurs systèmes Firebox et souhaitez bloquer les mêmes sites pour chacun d’eux, répertoriez
ces sites à bloquer dans un fichier externe, que vous importerez ensuite sur chaque système. Le fichier doit
être au format texte (.txt). Les adresses IP que vous y indiquez doivent être séparées par des espaces ou des
sauts de ligne. Pour préciser les réseaux, utilisez des barres obliques. Pour indiquer une plage d’adresses,
fournissez la première adresse de la plage, suivie d’un tiret, puis la dernière adresse. Un fichier texte importé
peut, par exemple, se présenter ainsi :
2.2.2.2 5.5.5.0/24
3.3.3.3-3.3.3.8
6.6.6.6 7.7.7.7
Pour importer le fichier sur le périphérique Firebox actuel, procédez comme suit :
1. Dans la boîte de dialogue Configuration des sites bloqués, cliquez sur Importer.
2. Recherchez le fichier. Double-cliquez dessus, ou sélectionnez-le et cliquez sur Ouvrir.
Les sites inclus dans le fichier sont affichés dans la liste des sites bloqués.
Créer des exceptions à la liste des sites bloqués
Un hôte considéré comme une exception aux sites bloqués n’apparaît pas dans la liste des sites bloqués. Il
n’est pas concerné par les règles automatiques.
1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Sites bloqués. Cliquez
sur l’onglet Exceptions aux sites bloqués.
2. Cliquez sur Ajouter.
3. Dans la liste déroulante Choisir un type, sélectionnez un type de membre. Les options disponibles
sont les suivantes : IP de l’hôte, IP du réseau, Plage d’hôtes et Nom de l’hôte (recherche DNS).
4. Entrez la valeur du membre.
Le type de membre indique s’il s’agit d’une adresse IP ou d’une plage d’adresses IP. Lorsque vous entrez une
adresse IP, tapez tous les chiffres sans oublier le point. N’utilisez pas la touche de tabulation ni la touche de
direction.
5. Cliquez sur OK.
Guide de l’utilisateur
261
Firewall Threat Protection
Utiliser une liste externe d’exceptions aux sites bloqués
Si vous gérez plusieurs systèmes Firebox et souhaitez utiliser les mêmes exceptions aux sites bloqués pour
chacun d’eux, répertoriez ces exceptions dans un fichier externe, que vous importerez ensuite sur chaque
système. La procédure est identique à celle pour les sites bloqués et est décrite dans la rubrique Utiliser une
liste externe de sites bloqués.
Bloquer temporairement des sites grâce aux paramètres de stratégie
Pour bloquer des sites tentant d’utiliser un service refusé, vous pouvez recourir à la configuration d’une
stratégie :
1. Dans Policy Manager, double-cliquez sur l’icône de stratégie.
La boîte de dialogue Modifier les propriétés de stratégie apparaît.
2. Dans l’onglet Stratégie, dans la liste déroulante Connexions, choisissez l’option Refusé ou Refusé
(envoi réinitialisation).
3. Dans l’onglet Propriétés, activez la case à cocher Bloquer automatiquement les sites qui tentent de
se connecter. Les adresses IP des paquets refusés sont ajoutées à la liste des sites bloqués de façon
temporaire, pour une durée de 20 minutes (par défaut). Vous pouvez modifier cette durée dans
l’onglet Blocage auto. de la boîte de dialogue Configuration des sites bloqués.
4. Vous pouvez utiliser la liste des sites bloqués de façon temporaire ainsi que les messages des journaux
pour choisir en toute connaissance de cause les adresses IP à bloquer de manière permanente. Dans la
définition de stratégie, cliquez sur l’onglet Propriétés, puis sur le bouton Journalisation et définissez
les préférences de journalisation et de notification.
262
WatchGuard System Manager
Firewall Threat Protection
À propos des ports bloqués
Vous pouvez bloquer les ports qui sont susceptibles d’être utilisés pour déclencher une attaque sur votre
réseau. Les services réseau externes spécifiés sont alors arrêtés.
Le blocage d’un port est prioritaire sur toutes les définitions de stratégie que vous créez dans Policy Manager.
Pour connaître la procédure de blocage, voir Bloquer un port.
Vous pouvez choisir de bloquer un port pour diverses raisons:
ƒ
ƒ
En bloquant vos ports, vous protégez vos services les plus vulnérables. Cette fonctionnalité vous
permet d’éviter des erreurs dans la configuration de Firebox.
Les explorations de services vulnérables peuvent entraîner la création d’entrées de journal
indépendantes.
Ports bloqués par défaut
Dans la configuration par défaut, le périphérique Firebox bloque certains ports de destination. En règle
générale, il est inutile de modifier cette configuration de base. Les paquets TCP et UDP sont bloqués sur les
systèmes et pour les ports suivants:
X Window System (ports 6000-6005)
La connexion au client X Window System (ou X-Windows) n’est pas chiffrée, c’est pourquoi il est
dangereux d’y avoir recours sur Internet.
X Font Server (port 7100)
De nombreuses versions de X-Windows exécutent des serveurs X Font Server. Ces derniers jouent le
rôle de super utilisateur sur certains hôtes.
Système de gestion de fichiers en réseau (NFS) (port 2049)
Le système de gestion de fichiers en réseau (NFS) est un service TCP/IP couramment utilisé
permettant à un grand nombre d’utilisateurs de manipuler les mêmes fichiers au sein d’un réseau.
Dans les nouvelles versions de ce système, d’importants problèmes d’authentification et de sécurité
ont été mis à jour. Il peut être très dangereux de fournir ce type de système sur Internet.
Le portmapper utilise fréquemment le port 2049 pour le système de gestion de fichiers en réseau.
Si vous employez ce système, vérifiez que le port 2049 lui est dédié sur l’ensemble des ordinateurs.
rlogin, rsh, rcp (ports 513 et 514)
Ces services permettent d’accéder à d’autres ordinateurs à distance. Ils constituent un risque en
matière de sécurité et de nombreux pirates les explorent.
Portmapper RPC (port 111)
Les services RPC utilisent le port 111 pour rechercher les ports employés par un serveur RPC
spécifique. Ils sont très vulnérables via Internet.
port 8000
De nombreux fournisseurs ont recours à ce port, qui pose beaucoup de problèmes de sécurité.
port 1
Le service TCPmux utilise le port 1, mais cela arrive rarement. Vous pouvez le bloquer et ainsi rendre
l’examen des ports par les outils plus difficile.
port 0
Ce port est systématiquement bloqué par Firebox. Vous ne pouvez pas autoriser le trafic entre le
port 0 et le périphérique Firebox.
Si vous devez autoriser le trafic pour les types d’applications logicielles qui ont recours à des ports
bloqués recommandés, il est conseillé de le faire uniquement par le biais d’un tunnel VPN IPSec ou
d’utiliser ssh pour accéder au port.
Guide de l’utilisateur
263
Firewall Threat Protection
Bloquer un port
Soyez prudent si vous bloquez des numéros de port supérieurs à 1023. Les clients utilisent
fréquemment ces numéros de port source.
1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Ports bloqués.
La boîte de dialogue Ports bloqués apparaît.
2. Entrez le numéro du port. Cliquez sur Ajouter.
Le nouveau numéro de port est alors inclus dans la liste des ports bloqués.
Bloquer des adresses IP tentant d’utiliser des ports bloqués
Vous pouvez configurer Firebox de sorte à bloquer automatiquement un hôte externe tentant d’accéder à un
port bloqué. Dans la boîte de dialogue Ports bloqués, activez la case à cocher Bloquer automatiquement
les sites qui tentent d’utiliser des ports bloqués.
Définir la journalisation et la notification pour les ports bloqués
Vous pouvez configurer Firebox de sorte qu’une entrée de journal soit créée lorsqu’un hôte tente d’accéder à
un port bloqué. Pour signaler ce type de tentative, vous pouvez également définir une notification. Pour ce
faire, cliquez sur Journalisation. Pour plus d’informations sur les paramètres de cette boîte de dialogue,
voir Définir les préférences de journalisation et de notification.
264
WatchGuard System Manager
14
Stratégies
À propos des stratégies
Firebox utilise deux catégories de stratégie pour filtrer le trafic réseau : les filtres de paquets et les proxies. Un
filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet. Si les informations d’en-tête du paquet
sont légitimes, Firebox autorise le paquet. Dans le cas contraire, il l’abandonne. Un proxy examine non
seulement les en-têtes, mais également le contenu. Lorsque vous activez un proxy, Firebox utilise une
inspection avancée des paquets pour garantir la sécurité des connexions. Il ouvre chaque paquet l’un à la suite
de l’autre, extrait l’en-tête de la couche réseau et inspecte l’entrée Payload du paquet. Enfin, le proxy retourne
les informations réseau au paquet et l’envoie à sa destination.
Firebox comprend de nombreux filtres de paquets et proxies prédéfinis que vous pouvez ajouter à votre
configuration. Par exemple, si vous souhaitez appliquer un filtre de paquets à l’ensemble du trafic Telnet,
ajoutez une stratégie Telnet prédéfinie que vous pourrez ensuite modifier selon vos besoins. Vous pouvez
également personnaliser une stratégie en définissant ses ports, ses protocoles et d’autres paramètres.
Ensemble, les filtres de paquets et proxies forment ce que l’on appelle des stratégies. Sauf indication contraire,
les informations sur les stratégies renvoient à des proxies et à des filtres de paquets.
À propos de l’utilisation de stratégies sur votre réseau
La politique de sécurité de votre entreprise correspond à un ensemble de règles qui définissent la façon dont
vous protégez votre réseau informatique et les informations qui le traversent. Firebox refuse tous les paquets
qui ne sont pas spécifiquement autorisés. Cette politique de sécurité permet de protéger votre réseau contre :
ƒ
ƒ
les attaques qui utilisent de nouveaux protocoles IP ou d’autres protocoles IP ;
les applications inconnues.
Lorsque vous configurez Firebox avec l’Assistant Quick Setup Wizard, ce dernier ajoute uniquement quatre
stratégies simples (trafic sortant TCP/UDP, filtre de paquets FTP, ping et WatchGuard), ainsi que les adresses
IP des interfaces. Si Edge doit inspecter d’autres applications logicielles et davantage de trafic réseau, vous
devez :
ƒ
ƒ
ƒ
Configurer les stratégies sur Firebox pour que suffisamment de trafic circule.
Définir les hôtes approuvés et les propriétés pour chaque stratégie.
Trouver un équilibre entre les besoins en sécurité de votre réseau et les besoins de vos utilisateurs en
termes d’accès aux ressources externes.
Il est conseillé de définir des limites pour le trafic sortant lorsque vous configurez Firebox.
Guide de l’utilisateur
265
Stratégies
Voici un exemple d’utilisation d’une stratégie : supposons que l’administrateur réseau d’une société souhaite
activer une connexion de services de terminal Windows au serveur Web public de sa société, via l’interface
approuvée de Firebox. Il gère de manière régulière le serveur Web avec une connexion Remote Desktop.
Parallèlement, il souhaite s’assurer qu’aucun autre utilisateur du réseau ne pourra accéder aux services de
terminal RDP via Firebox. Pour ce faire, l’administrateur réseau ajoute une stratégie qui autorise les
connexions RDP uniquement pour l’adresse IP de son propre PC à l’adresse IP du serveur Web public.
À propos de Policy Manager
Policy Manager pour Fireware ou Fireware Pro est un outil logiciel WatchGuard qui vous permet de créer,
modifier et enregistrer des fichiers de configuration. Lorsque vous utilisez l’interface utilisateur de Policy
Manager sur l’écran de votre ordinateur, une version facile à examiner et à modifier de votre fichier de
configuration est affichée.
Pour ouvrir Policy Manager, voir Ouvrir Policy Manager.
Fenêtre Policy Manager
Cette fenêtre est constituée de deux onglets. L’onglet Pare-feu indique les stratégies qui sont utilisées pour
le trafic de pare-feu général sur le périphérique Firebox. Cet onglet indique également les stratégies BOVPN
afin que vous puissiez voir l’ordre dans lequel Firebox examine le trafic réseau et applique une règle de
stratégie. (Pour modifier cet ordre, voir À propos de la priorité des stratégies.) L’onglet Mobile VPN with IPSec
indique les stratégies qui sont utilisées avec les tunnels Mobile VPN with IPSec.
L’interface utilisateur de Policy Manager peut afficher soit des icônes qui représentent chaque stratégie de
votre configuration (mode Grandes icônes, qui est le mode d’affichage par défaut), soit une liste de stratégies
(mode Détails). Pour basculer entre ces deux modes, voir Modifier l’affichage de Policy Manager.
Icônes de stratégie
La fenêtre Policy Manager contient des icônes pour les stratégies qui sont définies sur le périphérique Firebox.
Vous pouvez double-cliquer sur ces icônes pour modifier les propriétés de cette stratégie. L’apparence des
icônes indique leur statut et leur type :
ƒ
ƒ
ƒ
ƒ
Les stratégies activées qui autorisent le trafic sont affichées avec une barre verte et une coche.
Les stratégies activées qui refusent le trafic sont affichées avec une barre rouge et un X.
Les stratégies désactivées ont une barre noire.
Une icône contenant un symbole de bouclier sur le côté gauche est une stratégie de proxy. Les autres
sont des stratégies de filtre de paquets.
Les noms des stratégies apparaissent en couleur en fonction du type de stratégie :
ƒ
ƒ
ƒ
ƒ
Les stratégies gérées sont affichées en gris sur fond blanc.
Les stratégies BOVPN (comme BOVPN-allow.out) sont affichées en vert sur fond blanc.
Les stratégies mixtes BOVPN et pare-feu (comme ping ou Any-PPTP) sont affichées en bleu sur fond
blanc.
Toutes les autres stratégies sont affichées en noir sur fond blanc.
Pour modifier ces couleurs par défaut, voir Modifier les couleurs utilisées dans le texte de Policy Manager.
Pour rechercher une stratégie spécifique dans Policy Manager, voir Rechercher une stratégie par adresse, port
ou protocole.
266
WatchGuard System Manager
Stratégies
Ouvrir Policy Manager
Pour ouvrir Policy Manager, procédez comme suit dans la fenêtre WatchGuard System Manager :
ƒ
Sélectionnez le périphérique Firebox dont vous voulez ouvrir le gestionnaire Policy Manager, puis
cliquez sur
ou
ƒ
.
Sélectionnez Outils > Policy Manager.
Si le périphérique Firebox sélectionné est un périphérique géré, Policy Manager place un verrou sur celui-ci
dans WatchGuard System Manager pour éviter les modifications simultanées de sa définition dans
WatchGuard System Manager. Le verrou est libéré lorsque vous fermez Policy Manager ou si vous l’ouvrez
pour un autre périphérique.
Modifier l’affichage de Policy Manager
Mode Grandes icônes
Guide de l’utilisateur
267
Stratégies
Policy Manager possède deux modes d’affichage : Grandes icônes et Détails. Le mode Grandes icônes par
défaut affiche chaque stratégie sous la forme d’une icône. Pour passer en mode Détails, sélectionnez Détails
dans le menu Affichage. En mode Détails, chaque stratégie est représentée par une ligne d’informations
divisée en plusieurs colonnes. Vous pouvez voir les informations de configuration, notamment la source et la
destination, de même que les paramètres de journalisation et de notification.
Mode Détails
Les informations suivantes sont affichées pour chaque stratégie :
Ordre
Ordre dans lequel les stratégies sont triées et le trafic s’écoule au travers des stratégies. Policy
Manager trie automatiquement les stratégies de la plus spécifique à la plus générale. Si vous
souhaitez passer en mode de classement manuel, sélectionnez Affichage > Mode de classement
automatique de manière à faire disparaître la coche. Sélectionnez ensuite la stratégie dont vous
voulez modifier l’ordre et faites-la glisser à son nouvel emplacement.
Action
Action entreprise par la stratégie pour le trafic qui correspond à la spécification. Le symbole affiché
dans ce champ indique également si la stratégie est une stratégie de filtre de paquets ou une
stratégie de proxy.
Coche verte = la stratégie est une stratégie de filtre de paquets et le trafic est autorisé.
X rouge = la stratégie est une stratégie de filtre de paquets et le trafic est refusé.
Cercle avec ligne = la stratégie est une stratégie de filtre de paquets et l’action de ce trafic n’est pas
configurée.
Bouclier vert avec coche = la stratégie est une stratégie de proxy et le trafic est autorisé.
Bouclier rouge avec coche = la stratégie est une stratégie de proxy et le trafic est autorisé.
Bouclier gris = la stratégie est une stratégie de proxy et l’action de ce trafic n’est pas configurée.
Nom de la stratégie
Nom de la stratégie, comme défini dans le champ Nom de la boîte de dialogue Nouvelles
propriétés/Modifier les propriétés de stratégie. (Pour plus d’informations, voir Ajouter une
stratégie à partir de la liste des modèles.)
Type de stratégie
Les stratégies de filtre de paquets sont répertoriées par leur nom. Les stratégies de proxy sont
répertoriées par leur nom suivi de la mention « -proxy ».
Type de trafic
Type de trafic examiné par la stratégie : pare-feu ou VPN.
Journal
Indique si la journalisation est activée pour la stratégie.
268
WatchGuard System Manager
Stratégies
Alarme
Indique si des alarmes sont configurées pour la stratégie.
De
Adresses à partir desquelles le trafic de cette stratégie s’applique (adresses sources).
À
Adresses vers lesquelles le trafic de cette stratégie s’applique (adresses de destination).
Routage basé sur la stratégie (PBR)
Indique si la stratégie utilise le routage basé sur la stratégie. Si c’est le cas et que le basculement n’est
pas activé, le numéro de l’interface s’affiche. Si le routage basé sur la stratégie et le basculement sont
activés, une liste de numéros d’interface s’affiche. L’interface principale est indiquée en premier. Pour
plus d’informations sur le routage basé sur la stratégie, voir Configurer le routage basé sur stratégie.
Port
Protocoles et ports utilisés par la stratégie.
Modifier les couleurs utilisées pour le texte de Policy Manager
La configuration par défaut de Policy Manager fait apparaître les noms des stratégies (ou la ligne entière en
mode d’affichage Détails) en surbrillance et dans une certaine couleur selon le type de trafic :
ƒ
ƒ
ƒ
ƒ
les stratégies gérées apparaissent en gris sur fond blanc ;
les stratégies BOVPN (telles que BOVPN-allow.out) apparaissent en vert sur fond blanc ;
les stratégies BOVPN et de pare-feu mixtes (telles que Ping ou Any-PPTP) apparaissent en bleu sur fond
blanc ;
toutes les autres stratégies (normales) ne sont pas mises en surbrillance. Elles apparaissent en noir.
Vous pouvez utiliser les couleurs par défaut ou en sélectionner d’autres. Vous pouvez aussi désactiver la mise
en surbrillance des stratégies.
1. Dans Policy Manager, sélectionnez Affichage > Mise en surbrillance des stratégies.
La boîte de dialogue Mise en surbrillance des stratégies s’ouvre.
Guide de l’utilisateur
269
Stratégies
2. Pour activer ou désactiver la mise en surbrillance des stratégies, activez ou désactivez la case à cocher
Mettre en surbrillance les stratégies selon le type de trafic.
3. Afin de sélectionner d’autres couleurs de texte ou d’arrière-plan pour les noms des stratégies normales,
gérées, BOVPN ou mixtes, cliquez sur le bloc en regard de la zone Couleur du texte ou Couleur
d’arrière-plan.
La boîte de dialogue Sélectionner la couleur du texte ou Sélectionner la couleur de l’arrière-plan s’ouvre.
4. Utilisez les trois onglets, Échantillons, TSL ou RVB pour définir la couleur souhaitée :
o Échantillons : cliquez sur l’un des petits échantillons de couleurs disponibles.
o TSL : activez la case d’option T (teinte), S (saturation) ou L (luminosité), puis utilisez le curseur
ou entrez des nombres dans les champs adjacents.
o RVB : utilisez les curseurs Rouge, Vert ou Bleu ou entrez des valeurs dans les champs adjacents.
Lorsque vous définissez une couleur, un aperçu est visible dans la zone Aperçu au bas de la
boîte de dialogue. Lorsque la couleur vous convient, cliquez sur OK.
5. Cliquez sur OK dans la boîte de dialogue Mise en surbrillance des stratégies pour que les
modifications soient appliquées.
270
WatchGuard System Manager
Stratégies
Rechercher une stratégie par adresse, port ou protocole
1. Dans Policy Manager, sélectionnez Edition > Rechercher.
La boîte de dialogue Rechercher des stratégies s’ouvre.
2. Activez la case d’option Adresse, Numéro de port ou Protocole pour définir le critère selon lequel
vous souhaitez rechercher la stratégie.
3. En regard de la zone Rechercher toutes les stratégies pour, entrez la chaîne en question. Pour des
recherches par adresse et protocole, Policy Manager réalise une recherche sur une partie de la chaîne.
Vous pouvez entrer uniquement une partie de la chaîne, et Policy Manager présente toutes les
stratégies qui la contiennent.
4. Cliquez sur Rechercher.
Policy Manager présente les stratégies qui répondent aux critères dans la zone Stratégies trouvées.
5. Pour modifier une stratégie renvoyée par la recherche, double-cliquez sur son nom.
Guide de l’utilisateur
271
Stratégies
Ajouter des stratégies à votre configuration
Pour ajouter une stratégie, choisissez-en une dans la liste des modèles de stratégie de Policy Manager. Un
modèle de stratégie contient le nom et une brève description de la stratégie, ainsi que le protocole/port
qu’elle utilise.
ƒ
ƒ
ƒ
ƒ
Pour consulter la liste des modèles proposés, voir Voir la liste des modèles de stratégie.
Pour savoir comment ajouter l’une des stratégies de la liste à votre configuration, voir Ajouter une
stratégie à partir de la liste des modèles.
Pour voir ou modifier la définition d’un modèle de stratégie, voir Afficher les détails d’un modèle et
modifier des modèles de stratégie.
Si vous gérez plusieurs périphériques Firebox avec des stratégies personnalisées, vous pouvez utiliser
la fonction d’importation/exportation de stratégie pour copier les stratégies d’un périphérique Firebox
vers un autre. Pour plus d’informations, voir Importer et exporter des modèles de stratégie.
Après avoir ajouté une stratégie à votre configuration, il convient de définir des règles pour :
ƒ
ƒ
ƒ
ƒ
Définir des sources et destinations de trafic autorisées.
Créer des règles de filtrage.
Activer ou désactiver la stratégie.
Configurer des propriétés telles que la gestion du trafic, la traduction d’adresses réseau, les calendriers
et la journalisation.
Pour plus d’informations sur les options disponibles lors de la définition des propriétés d’une stratégie,
voir À propos des propriétés de stratégie.
272
WatchGuard System Manager
Stratégies
Voir la liste des modèles de stratégie
1. Dans Policy Manager, cliquez sur le signe plus (+) situé dans la barre d’outils du gestionnaire.
Éventuellement, sélectionnez Edition > Ajouter des stratégies. La boîte de dialogue Ajouter des stratégies s’ouvre.
2. Cliquez sur le signe plus (+) à gauche du dossier pour développer les dossiers Filtres de paquets ou
Proxies.
Une liste des modèles de filtres de paquets ou de proxies apparaît.
Guide de l’utilisateur
273
Stratégies
Pour voir les informations de base sur un modèle de stratégie, sélectionnez-le. L’icône de stratégie est visible
dans la zone située en dessous des boutons du volet droit de la boîte de dialogue. De plus, une zone Détails
présente des informations détaillées sur la stratégie.
274
WatchGuard System Manager
Stratégies
Ajouter une stratégie à partir de la liste des modèles
1. Si ce n’est déjà fait, dans la boîte de dialogue Ajouter des stratégies, développez les dossiers Filtres
de paquets ou Proxies.
Une liste des modèles de filtres de paquets ou de proxies vous est présentée.
2. Sélectionnez le nom de la stratégie que vous souhaitez ajouter. Cliquez sur Ajouter.
La boîte de dialogue Propriétés de la nouvelle stratégie s’ouvre.
3. Vous pouvez modifier le nom de la stratégie ici. Ces informations sont présentées dans le volet de
détails de Policy Manager. Pour modifier le nom, entrez-le dans la zone de texte Nom.
4. Définissez les règles d’accès de la stratégie, de la manière décrite à la rubrique Définir les règles d’accès
pour une stratégie.
5. Cliquez sur OK pour fermer la boîte de dialogue Propriétés.
Vous pouvez ajouter d’autres stratégies tant que la boîte de dialogue Stratégies est ouverte.
6. Cliquez sur Fermer.
La nouvelle stratégie figure à présent dans Policy Manager.
Guide de l’utilisateur
275
Stratégies
Ajouter plusieurs stratégies du même type
Si la politique de sécurité de votre entreprise l’exige, vous pouvez ajouter la même stratégie plusieurs fois. Par
exemple, vous pouvez limiter l’accès Web pour la majorité des utilisateurs et accorder un accès Web total aux
membres de la direction. Pour ce faire, créez deux stratégies différentes avec des propriétés différentes :
1. Ajoutez la première stratégie.
2. Remplacez le nom actuel de la stratégie par un nom qui soit représentatif de votre stratégie de sécurité,
puis ajoutez les informations qui y sont associées.
Si nous reprenons notre exemple, nommons la première stratégie accès_web_limité.
3. Cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’ouvre. Les paramètres de
stratégie par défaut conviennent à la plupart des installations. En revanche, vous pouvez les modifier
de manière à répondre à vos besoins spécifiques ou si vous préférez inclure des propriétés de stratégie
spéciales, telles que des actions de gestion du trafic et des calendriers d’application. Pour plus
d’informations sur les propriétés de stratégie, voir À propos des propriétés de stratégie.
4. Ajoutez la seconde stratégie.
5. Cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’ouvre. Pour savoir
comment modifier les propriétés de stratégie par défaut, voir À propos des propriétés de stratégie.
Afficher les détails d’un modèle et modifier des modèles de stratégie
Pour afficher un modèle de stratégie, sélectionnez-le dans la boîte de dialogue Ajouter des stratégies, puis
cliquez sur Modifier. Vous n’avez généralement pas besoin d’afficher le modèle réel car les informations
pertinentes du modèle apparaissent dans la zone Détails lorsque vous sélectionnez un modèle de stratégie
dans la boîte de dialogue Ajouter des stratégies.
Dans les modèles prédéfinis (ceux définis sous Filtres de paquets et proxies dans la boîte de dialogue Ajouter
des stratégies), vous ne pouvez modifier que le champ Description. De même, vous ne pouvez pas
supprimer des stratégies prédéfinies. Vous pouvez en revanche effectuer ces deux opérations sur les modèles
de stratégie personnalisés. Pour plus d’informations sur les stratégies personnalisées, voir À propos des
stratégies personnalisées.
276
WatchGuard System Manager
Stratégies
Désactiver une stratégie
Pour désactiver une stratégie, vous pouvez cliquer dessus avec le bouton droit de la souris dans la fenêtre
Policy Manager et sélectionner Désactiver la stratégie. Lorsqu’une stratégie est désactivée, l’option de menu
est remplacée par Activer la stratégie. Vous pouvez utiliser cette option pour réactiver la stratégie.
Vous pouvez également désactiver la case à cocher Activer en haut de la boîte de dialogue Modifier les
propriétés de stratégie pour désactiver une stratégie. Si vous souhaitez réactiver la stratégie, activez la case
à cocher Activer.
Supprimer une stratégie
Suite aux modifications de votre stratégie de sécurité, vous devrez parfois supprimer une ou plusieurs
stratégies. Pour supprimer une stratégie, vous devez commencer par la supprimer de Policy Manager. Vous
pourrez ensuite enregistrer la nouvelle configuration sur le périphérique Firebox.
1. Dans Policy Manager, cliquez sur la stratégie.
2. Dans Policy Manager, cliquez sur le bouton X dans la barre d’outils Policy Manager. Vous pouvez
également sélectionner Modifier > Supprimer la stratégie.
3. Lorsque vous êtes invité à confirmer la suppression, cliquez sur Oui.
4. Enregistrez la configuration sur le périphérique Firebox, puis redémarrez-le. Sélectionnez Fichier >
Enregistrer > Sur Firebox. Tapez le mot de passe de configuration. Activez la case à cocher
Enregistrer sur Firebox. Cliquez sur Enregistrer.
Guide de l’utilisateur
277
Stratégies
À propos des stratégies personnalisées
Vous pouvez définir une stratégie personnalisée pour le trafic si vous souhaitez mettre en Suvre un protocole
qui n’est pas prévu par défaut en tant qu’option de configuration de Firebox.
Vous pouvez ajouter une stratégie personnalisée qui utilise :
ƒ
ƒ
ƒ
Des ports TCP
Des port UDP
Un protocole IP qui n’est ni TCP ni UDP, tel que GRE, AH, ESP, ICMP, IGMP ou OSPF. Vous déterminez si
un protocole IP n’est ni TCP ni UDP grâce à son numéro de protocole IP.
Pour créer une stratégie personnalisée, voir Créer un modèle de stratégie personnalisée. Sinon, commencez
par un modèle personnalisé existant. Pour ajouter une stratégie personnalisée au Policy Manager, suivez la
même procédure que pour une stratégie prédéfinie, de la manière décrite dans la rubrique Ajouter une
stratégie à partir de la liste des modèles.
Créer ou modifier un modèle de stratégie personnalisée
Pour créer une stratégie, il convient d’abord de réaliser un modèle sur lequel elle sera basée. Le modèle est
ensuite ajouté au dossier Personnalisé dans la boîte de dialogue Ajouter des stratégies. Vous pouvez
ensuite ajouter la stratégie et la configurer comme une stratégie prédéfinie.
Vous pouvez également suivre cette procédure pour modifier un modèle de stratégie existant. À l’étape 2,
cliquez sur le bouton Modifier.
1. Dans Policy Manager, cliquez sur le signe plus (+) situé dans la barre d’outils du Gestionnaire.
Éventuellement, sélectionnez Edition > Ajouter des stratégies. La boîte de dialogue Ajouter des stratégies s’ouvre.
2. Cliquez sur Nouveau.
La boîte de dialogue Nouveau modèle de stratégie s’ouvre.
278
WatchGuard System Manager
Stratégies
3. Dans la zone de texte Nom, entrez le nom de la stratégie personnalisée. Le nom figure à présent dans
Policy Manager comme type de stratégie. Un nom unique permet de facilement retrouver une
stratégie si vous souhaitez la modifier ou la supprimer. Ce nom doit être différent de ceux figurant dans
la liste de la boîte de dialogue Ajouter une stratégie.
4. Dans la zone de texte Description, entrez la description de la stratégie.
Elle est visible dans le volet de détails lorsque vous cliquez sur le nom de la stratégie dans la liste des filtres
utilisateur.
5. Sélectionnez le type de stratégie : Filtre de paquets ou Proxy.
6. Pour associer des protocoles à cette stratégie, cliquez sur Ajouter.
La boîte de dialogue Ajouter un protocole s’ouvre.
7. Dans la liste déroulante Type, sélectionnez Port unique ou Plage de ports.
8. Dans la liste déroulante Protocole, sélectionnez le protocole à associer à cette nouvelle stratégie. Pour
plus d’informations sur les protocoles réseau, voir le Guide de référence ou l’aide en ligne.
Si vous sélectionnez Port unique, vous avez le choix entre les types suivants :
o TCP
o UDP
o GRE
o AH
o ESP
o ICMP
o IGMP
o OSPF
o IP
o Tout
Si vous sélectionnez Plage de ports, vous avez le choix entre les types suivants :
o TCP
o UDP
Guide de l’utilisateur
279
Stratégies
Lorsque vous ajoutez une stratégie IGMP à la configuration de Fireware, ce dernier ne transmet pas le trafic
multidiffusion IGMP via Firebox ni entre les interfaces de Firebox. Il achemine le trafic multidiffusion IGMP
entre une interface et le périphérique Firebox. Si vous sélectionnez Plage de ports, vous avez le choix entre
les types de port TCP ou UDP.
1. Dans la liste déroulante Port du serveur, sélectionnez le port à associer à cette nouvelle stratégie. Si
vous avez sélectionné Plage de ports, choisissez un port serveur de début et un port serveur de fin.
2. Cliquez sur OK.
Policy Manager ajoute les valeurs à la boîte de dialogue Nouveau modèle de stratégie. Assurez-vous
que le nom, les informations et la configuration de cette stratégie sont corrects. Si nécessaire, cliquez
sur Ajouter pour associer d’autres ports à cette stratégie. Répétez les étapes 6, 7, 8, 9 et 10 jusqu’à ce
que vous ayez configuré tous les ports associés à cette stratégie.
3. Cliquez sur OK.
La boîte de dialogue Ajouter une stratégie s’ouvre et présente la nouvelle stratégie dans le dossier Personnalisé.
4. Vous pouvez à présent utiliser le modèle de stratégie personnalisée pour ajouter une stratégie
personnalisée à votre configuration. Suivez la même procédure que pour un modèle prédéfini (décrite
à la rubrique Ajouter une stratégie à partir de la liste des modèles). La seule différence est qu’à l’étape 1,
la stratégie est visible dans le dossier Personnalisé et non pas dans les dossiers Filtres de paquets ou
Proxies.
Importer et exporter des modèles de stratégie personnalisée
Si vous gérez plusieurs périphériques Firebox et leur appliquez des stratégies personnalisées, vous pouvez
utiliser la fonction importer/exporter pour gagner du temps. Vous pouvez définir les modèles sur un
périphérique Firebox, les exporter dans un fichier ASCII, puis les importer sur un autre périphérique Firebox.
Le périphérique Firebox sur lequel vous créez les stratégies doivent exécuter la même version de WSM que la
version de Policy Manager que vous utilisez pour importer les stratégies. Vous ne pouvez pas importer un
modèle d’une version précédente vers la version actuelle.
1. Sur le premier périphérique Firebox, définissez des modèles de stratégie personnalisée pour les
stratégies dont vous avez besoin.
2. Cliquez sur Exporter.
Vous n’avez pas besoin de sélectionner les stratégies personnalisées. La fonction d’exportation
exporte automatiquement toutes les stratégies personnalisées quelle que soit celle qui est
sélectionnée.
3. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous voulez enregistrer le
fichier de modèles de stratégie. Tapez un nom pour le fichier, puis cliquez sur Enregistrer.
L’emplacement par défaut est Mes documents > Mon WatchGuard.
4. Dans le gestionnaire Policy Manager d’un autre périphérique Firebox, dans la boîte de dialogue
Ajouter des stratégies, cliquez sur Importer.
5. Recherchez le fichier que vous avez créé à l’étape 3, puis cliquez sur Ouvrir.
6. Si des modèles de stratégie personnalisée sont déjà définis dans le gestionnaire Policy Manager actuel,
vous êtes invité à indiquer si vous souhaitez remplacer les modèles existants ou ajouter les modèles
importés aux modèles existants. Cliquez sur Remplacer ou sur Ajouter.
Si vous cliquez sur Remplacer, les modèles existants sont supprimés et remplacés par les nouveaux
modèles.
Si vous cliquez sur Ajouter, les modèles existants et les modèles importés sont répertoriés par ordre
alphabétique sous Personnalisé.
280
WatchGuard System Manager
Stratégies
À propos des propriétés de stratégie
Le périphérique Firebox comprend une définition par défaut pour chaque stratégie incluse dans la
configuration Firebox. La définition par défaut regroupe des paramètres qui peuvent s’appliquer à la plupart
des installations. Toutefois, vous pouvez les modifier pour répondre à vos besoins spécifiques ou pour inclure
des propriétés de stratégie spéciales, comme des actions de gestion du trafic et des planifications d’opération.
Pour définir les propriétés d’une stratégie, double-cliquez sur l’icône de la stratégie ou sur son nom dans la
fenêtre Policy Manager de manière à ouvrir la boîte de dialogue Modifier les propriétés de stratégie. Ou, si
vous venez d’ajouter une stratégie à votre configuration, la zone Propriétés de la nouvelle stratégie
s’affiche automatiquement afin que vous puissiez définir les propriétés de la stratégie.
Consultez les rubriques suivantes pour plus d’informations sur les propriétés de stratégie que vous pouvez
définir :
Onglet Stratégie
Pour plus d’informations sur la liste déroulante Les connexions à nom_stratégie sont et les champs De et À,
voir Définir les règles d’accès pour une stratégie.
Configurer le routage basé sur stratégie
Configurer la traduction d’adresses réseau statique ou À propos de l’utilisation de la traduction d’adresses
réseau statique dans une stratégie
Configurer l’équilibrage de charge côté serveur ou À propos de l’équilibrage de charge côté serveur
Onglet Propriétés
À propos des actions de proxy (stratégies de proxy uniquement)
Définir les préférences de journalisation et de notification
Bloquer temporairement les sites avec des paramètres de stratégie
Définir un délai d’inactivité personnalisé
Paramètres des actions de proxy (stratégies de proxy uniquement)
Les proxys WatchGuard possèdent des ensembles de règles prédéfinis qui fournissent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les
ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy
(la première
icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la
partie gauche de la boîte de dialogue. Pour plus d’informations, voir À propos des règles et des ensembles de
règles, ainsi que la rubrique « À propos de » du type de stratégie spécifique :
À propos du proxy DNS
À propos du proxy POP3
À propos du proxy FTP
À propos du proxy SIP
À propos du proxy H.323
À propos du proxy SMTP
À propos du proxy HTTP
À propos du proxy TCP/UDP
À propos du proxy HTTPS
À propos du proxy TFTP
Guide de l’utilisateur
281
Stratégies
Onglet Avancé
Définir une planification d’opération
Appliquer les actions de gestion de trafic à une stratégie
Définir une priorité de trafic dans une stratégie
Définir la gestion des erreurs ICMP
Appliquer les règles NAT
Activer le marquage QoS pour une stratégie
Définir les règles d’accès pour une stratégie
Utilisez l’onglet Stratégie de la boîte de dialogue Modifier les propriétés de stratégie pour configurer les
règles d’accès d’une stratégie donnée.
Le champ Connexions nom_stratégie détermine si le trafic conforme aux règles du proxy est autorisé ou
refusé. Utilisez ces paramètres pour définir la manière dont le trafic est traité :
Autorisé
Firebox autorise le trafic qui applique cette stratégie s’il est conforme aux règles que vous avez
définies pour la stratégie.
Refusé
Firebox refuse l’ensemble du trafic qui n’est pas conforme aux règles de cette stratégie. Vous pouvez
configurer Firebox de sorte qu’il enregistre un message du journal dès qu’un ordinateur tente
d’utiliser cette stratégie. La stratégie peut également ajouter un ordinateur ou un réseau à la liste des
sites bloqués si celui-ci tente d’établir une connexion avec cette stratégie (pour plus d’informations,
voir Bloquer temporairement les sites avec les paramètres de stratégie).
Refusé (envoi réinitialisation)
Firebox refuse l’ensemble du trafic qui n’est pas conforme aux règles de cette stratégie. Vous pouvez
configurer Firebox de sorte qu’il enregistre un message du journal dès qu’un ordinateur tente
d’utiliser cette stratégie. La stratégie peut également ajouter un ordinateur ou un réseau à la liste des
sites bloqués si celui-ci tente d’établir une connexion avec cette stratégie (pour plus d’informations,
voir Bloquer temporairement les sites avec les paramètres de stratégie). Firebox envoie également un
paquet RST de réinitialisation pour indiquer au client que la session est refusée et fermée.
L’onglet Stratégie contient également les éléments suivants :
ƒ
ƒ
282
Une liste De qui détermine qui peut envoyer ou non du trafic réseau avec cette stratégie.
Une liste À qui détermine vers qui Firebox peut router le trafic lorsqu’il est conforme ou non aux règles
d’une stratégie.
WatchGuard System Manager
Stratégies
Par exemple, vous pourriez configurer un filtre de paquets ping pour autoriser le trafic ping en provenance de
tous les ordinateurs du réseau externe vers un serveur Web de votre réseau facultatif. Sachez toutefois que le
réseau de destination devient plus vulnérable dès lors que vous autorisez des connexions sur le ou les ports
que la stratégie contrôle. Soyez donc très prudent lorsque vous configurez des stratégies.
1. Pour ajouter des membres à vos définitions d’accès, cliquez sur Ajouter dans la liste des membres
De ou À.
La boîte de dialogue Ajouter une adresse s’ouvre.
2. La liste Membres disponibles contient les alias que vous pouvez ajouter aux listes De ou À.
Sélectionnez un alias, puis cliquez sur Ajouter ou double-cliquez sur un alias dans cette fenêtre.
Pour ajouter, à la stratégie, des hôtes, des utilisateurs, des alias ou des tunnels ne figurant pas dans la
liste Membres disponibles, voir Ajouter de nouveaux membres aux définitions de stratégie.
3. Répétez l’étape précédente pour ajouter d’autres membres et adresses. Votre stratégie peut
comporter plusieurs éléments dans le champ De ou le champ À. Cliquez sur OK.
La source et la destination peuvent être une adresse IP d’hôte, une plage d’hôtes, un nom d’hôte, une adresse
réseau, un nom d’utilisateur, un alias, un tunnel VPN ou une combinaison de ces éléments. Pour plus
d’informations sur les alias qui se présentent sous forme d’options dans la liste De ou le champ À, voir À
propos des alias.
Pour savoir comment créer des alias, voir Créer un alias.
Guide de l’utilisateur
283
Stratégies
Ajouter de nouveaux membres aux définitions de stratégie
1. Si vous souhaitez ajouter un utilisateur ou un groupe à la liste Membres disponibles, cliquez sur
Ajouter un utilisateur. Si vous souhaitez ajouter des hôtes, des alias ou des tunnels à la liste Membres
disponibles, cliquez sur Ajouter autre.
2. Si vous avez sélectionné Ajouter autre, la boîte de dialogue Ajouter un membre s’affiche. Dans la liste
déroulante Choisir le type, sélectionnez la plage d’hôtes, l’adresse IP de l’hôte ou l’adresse IP du
réseau à ajouter. Dans la zone de texte Valeur, tapez l’adresse réseau, la plage ou l’adresse IP correcte.
Cliquez sur OK.
Le membre ou l’adresse apparaît dans la liste Membres et adresses sélectionnés.
3. Si vous avez sélectionné Ajouter un utilisateur, la boîte de dialogue Ajouter des utilisateurs ou des
groupes autorisés s’affiche. Sélectionnez le type d’utilisateur ou de groupe, ainsi que le serveur
d’authentification et indiquez si vous souhaitez ajouter un utilisateur ou un groupe. Cliquez sur OK.
4. Si l’utilisateur ou le groupe à ajouter n’apparaît pas dans la liste, il n’est pas encore défini en tant
qu’utilisateur ou groupe autorisé. Pour définir un nouvel utilisateur ou groupe autorisé, voir Utiliser les
utilisateurs et groupes autorisés dans les stratégies.
284
WatchGuard System Manager
Stratégies
Configurer la journalisation et la notification pour une stratégie
1. Dans Policy Manager, ajoutez une stratégie ou double-cliquez sur une icône de stratégie pour modifier
une stratégie existante.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche.
2. Cliquez sur l’onglet Propriétés.
Guide de l’utilisateur
285
Stratégies
3. Cliquez sur Journalisation.
La boîte de dialogue Journalisation et notification s’affiche.
4. Définissez les paramètres correspondant à votre stratégie de sécurité.
Pour plus d’informations sur les champs de la boîte de dialogue Journalisation et notification, voir
Définir les préférences de journalisation et de notification.
Bloquer temporairement des sites grâce aux paramètres de stratégie
Pour bloquer des sites tentant d’utiliser un service refusé, vous pouvez recourir à la configuration d’une
stratégie :
1. Dans Policy Manager, double-cliquez sur l’icône de stratégie.
La boîte de dialogue Modifier les propriétés de stratégie apparaît.
2. Dans l’onglet Stratégie, dans la liste déroulante Connexions, choisissez l’option Refusé ou Refusé
(envoi réinitialisation).
3. Dans l’onglet Propriétés, activez la case à cocher Bloquer automatiquement les sites qui tentent de
se connecter. Les adresses IP des paquets refusés sont ajoutées à la liste des sites bloqués de façon
temporaire, pour une durée de 20 minutes (par défaut). Vous pouvez modifier cette durée dans
l’onglet Blocage auto. de la boîte de dialogue Configuration des sites bloqués.
4. Vous pouvez utiliser la liste des sites bloqués de façon temporaire ainsi que les messages des journaux
pour choisir en toute connaissance de cause les adresses IP à bloquer de manière permanente. Dans la
définition de stratégie, cliquez sur l’onglet Propriétés, puis sur le bouton Journalisation et définissez
les préférences de journalisation et de notification.
286
WatchGuard System Manager
Stratégies
Définir un délai d’inactivité
Le délai d’inactivité correspond à l’intervalle de temps maximal durant lequel l’utilisateur peut rester
authentifié tout en étant inactif (pas d’envoi de trafic au réseau externe). Si vous définissez la valeur de ce
champ sur zéro (0) seconde, minute, heure ou jour, aucun délai d’inactivité n’est appliqué, et l’utilisateur peut
rester inactif pour une durée indéfinie.
Le délai d’inactivité est habituellement déterminé par le délai d’attente d’authentification globale décrit à la
rubrique Définir des valeurs d’authentification globale, dans la boîte de dialogue Configuration d’utilisateur
Firebox décrite à la rubrique Définir un nouvel utilisateur pour l’authentification Firebox ou, pour les
utilisateurs authentifiés sur des serveurs tiers, par les délais d’inactivité définis sur ces serveurs. (Les délais
d’inactivité des serveurs Firebox et tiers remplacent les délais d’authentification globale). Vous pouvez définir
un délai d’inactivité qui s’appliquera à une stratégie particulière uniquement. Ce dernier remplace tous les
autres délais d’inactivité :
1. Dans l’onglet Propriétés de la boîte de dialogue Propriétés de la stratégie, cliquez sur Définir un
délai d’inactivité personnalisé.
2. Cliquez sur les flèches pour définir le nombre de secondes du délai.
Définir un calendrier d’application
Vous pouvez définir un calendrier d’application pour une stratégie. Servez-vous des modèles de calendrier
proposés dans la liste déroulante Planifier ou créez un calendrier que vous personnaliserez. Pour savoir
comment créer un calendrier, voir Créer des calendriers pour les actions de Firebox.
Sachez que plusieurs stratégies peuvent partager des calendriers.
Guide de l’utilisateur
287
Stratégies
Configurer le routage basé sur stratégie
Pour envoyer le trafic réseau, un routeur inspecte en principe l’adresse de destination du paquet, puis
recherche la destination du saut suivant dans sa table de routage. Dans certains cas, il est préférable que le
trafic emprunte un autre route que celui par défaut indiqué dans la table de routage. Pour ce faire, il convient
de configurer une stratégie avec une interface externe spécifique à utiliser pour l’ensemble du trafic sortant
conforme à cette stratégie. Cette technique s’appelle le routage basé sur stratégie.
Le basé sur stratégie a lieu d’être mis en Suvre si vous disposez de plusieurs interfaces externes et avez
configuré Firebox pour le multi-WAN. Avec le routage basé sur stratégie, vous avez la garantie que l’ensemble
du trafic contrôlé par une stratégie traverse toujours la même interface externe, même si votre configuration
multi-WAN prévoit l’envoi du trafic en mode de tourniquet. Lorsque vous utilisez le routage basé sur stratégie
avec le basculement multi-WAN, vous pouvez indiquer si le trafic conforme à la stratégie doit ou non utiliser
une autre interface externe lorsque le basculement a lieu. Par défaut, le trafic est abandonné jusqu’à ce que
l’interface soit de nouveau disponible.
Le routage basé sur stratégie est prioritaire sur les paramètres multi-WAN. De plus, les paramètres de
rétablissement (définis dans l’onglet Multi-WAN de la boîte de dialogue Configuration du réseau
s’appliquent au routage basé sur stratégie. Si un basculement a lieu et que l’interface d’origine devient par la
suite disponible, Firebox peut envoyer les connexions actives à l’interface de basculement ou peut retourner
à l’interface d’origine. Les nouvelles connexions sont envoyées à l’interface d’origine.
Prenez connaissance des restrictions suivantes qui s’appliquent au routage basé sur stratégie :
ƒ
ƒ
288
Le routage basé sur stratégie n’est disponible que si le mode multi-WAN est activé. Si vous activez le
mode multi-WAN, la boîte de dialogue Modifier les propriétés de stratégie contient
automatiquement les champs permettant de configurer le routage basé sur stratégie. Par défaut, le
routage basé sur stratégie n’est pas activé.
Il ne s’applique pas au trafic IPSec ni au trafic destiné au réseau approuvé ou au réseau facultatif (trafic
entrant).
WatchGuard System Manager
Stratégies
Ajouter un routage basé sur stratégie à une stratégie
1. Dans Policy Manager, double-cliquez sur l’icône de la stratégie pour laquelle vous souhaitez définir un
routage basé sur stratégie.
La boîte de dialogue Modifier les propriétés de stratégie apparaît.
2. En bas de la boîte de dialogue Modifier les propriétés de stratégie, activez la case à cocher Utiliser
le routage basé sur stratégie pour activer ce type de routage.
3. Pour définir l’interface qui envoie le trafic sortant conforme à la stratégie, sélectionnez le nom de
l’interface dans la liste déroulante adjacente. Assurez-vous que l’interface sélectionnée est un membre
de l’alias ou du réseau que vous avez défini dans le champ À de votre stratégie.
4. (Facultatif) Configurez le routage basé sur stratégie avec un basculement multi-WAN, de la manière
décrite ci-dessous.
5. Cliquez sur OK.
Guide de l’utilisateur
289
Stratégies
Configurer le routage basé sur stratégie avec basculement
1. Dans la boîte de dialogue Modifier les propriétés de stratégie, sélectionnez Basculement afin de
définir l’interface que vous avez spécifiée pour cette stratégie comme interface principale et vous
servir des autres interfaces externes comme interfaces de sauvegarde pour le trafic non-IPSec.
Si vous ne sélectionnez pas Basculement et que l’interface que vous avez définie pour cette stratégie
n’est pas active, le trafic est abandonné tant que l’analyse des liaisons n’a pas établi que l’interface est
de nouveau disponible.
2. Cliquez sur Configurer afin de définir les interfaces de sauvegarde pour cette stratégie. Si l’interface
principale que vous avez définie pour cette stratégie n’est pas active, le trafic est envoyé aux interfaces
de sauvegarde que vous indiquez ici.
La boîte de dialogue Configuration du basculement de stratégie s’ouvre.
3. Dans la colonne Inclure, activez la case à cocher correspondant à chaque interface que vous souhaitez
utiliser dans la configuration du basculement. Utilisez les boutons Monter et Descendre pour définir
l’ordre du basculement. La première interface de la liste est l’interface principale.
4. Une fois les interfaces sélectionnées et l’ordre de basculement défini, cliquez sur OK.
5. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie.
6. Enregistrez le fichier de configuration.
290
WatchGuard System Manager
Stratégies
À propos de l’utilisation de la traduction d’adresses réseau statique dans
une stratégie
La traduction d’adresses réseau statique est également appelée transfert de port. Il s’agit d’une traduction
d’adresses réseau port à hôte. Un hôte envoie un paquet du réseau externe vers une adresse ou un port public
spécifique. La traduction d’adresses réseau statique change cette adresse en une adresse et en un port se
trouvant derrière le pare-feu.
Pour plus d’informations sur la traduction d’adresses réseau statique, voir À propos de la traduction d’adresses
réseau statique.
Pour utiliser la traduction d’adresses réseau statique dans une stratégie, voir Configurer la traduction
d’adresses réseau statique.
En raison de son fonctionnement, la traduction d’adresses réseau statique n’est disponible que pour les
stratégies utilisant un port spécifique, notamment TCP et UDP.
À propos de l’utilisation de la traduction d’adresses réseau statique avec le
protocole SMTP
Pour aider à lutter contre le courrier indésirable, de nombreux serveurs de réception de courrier électronique
effectuent une recherche inversée de l’adresse IP source d’où provient le courrier. Le serveur de réception
vérifie ainsi que le serveur d’expédition (le serveur qui envoie le courrier) est un serveur de messagerie
autorisé pour ce domaine. C’est pourquoi nous vous recommandons d’utiliser l’adresse IP externe de votre
périphérique Firebox comme enregistrement MX de votre domaine. Un enregistrement MX, ou Mail
exchange, est un type d’enregistrement DNS qui définit la manière dont le courrier électronique est acheminé
via Internet. Les enregistrements MX indiquent les serveurs auxquels envoyer un message et le premier
serveur auquel envoyer un message, par ordre de priorité.
En règle générale, les connexions débutant sur un réseau approuvé ou facultatif et accédant à Internet
affichent l’adresse IP externe du périphérique Firebox comme adresse IP source des paquets. Si l’adresse IP
externe du périphérique Firebox n’est pas l’adresse IP de l’enregistrement MX de votre domaine, certains
serveurs distants rejettent le courrier électronique que vous envoyez. En effet, la session SMTP n’indique pas
votre enregistrement MX comme adresse IP source de la connexion. Si votre périphérique Firebox n’utilise pas
l’adresse IP de l’enregistrement MX comme adresse IP externe, vous pouvez utiliser le mappage NAT un à un
pour que les connexions de courrier sortant affichent l’adresse IP source correcte. Pour plus d’informations,
voir À propos de NAT un à un.
Pour configurer NAT un à un pour une stratégie, voir Configurer NAT un à un pour une stratégie.
Guide de l’utilisateur
291
Stratégies
Appliquer une action de gestion de trafic à une stratégie
Une fois que vous avez créé des actions de gestion de trafic ou si des actions ont déjà été créées dans Firebox,
vous pouvez les appliquer aux stratégies que vous avez configurées dans Policy Manager. Pour appliquer une
action de gestion de trafic :
1. Dans Policy Manager, double-cliquez sur l’icône de la stratégie pour laquelle vous voulez garantir une
bande passante minimale. Cliquez sur l’onglet Avancé.
2. Dans la liste déroulante Gestion du trafic, sélectionnez une action de gestion de trafic à appliquer à la
stratégie.
3. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie. Enregistrez les
modifications dans Firebox.
Un message d’avertissement s’affiche si la somme de toutes les bandes passantes garanties pour une
interface s’approche de la limite de bande passante que vous avez définie pour l’interface ou la
dépasse.
La nouvelle action apparaît dans la boîte de dialogue Actions de gestion du trafic.
Si vous voulez effectuer le suivi de la bande passante utilisée par une stratégie, affichez l’onglet Suivi du
service de Firebox System Manager et spécifiez Bande passante à la place de Connexions. Pour plus
d’informations, voir Affichage visuel de l’utilisation des stratégies.
Utiliser les actions de gestion de trafic dans un environnement à plusieurs
réseaux WAN
Lorsqu’une action de gestion de trafic est appliquée sur une stratégie à plusieurs réseaux WAN avec la
fonctionnalité Multi-WAN configurée en mode tourniquet, les paramètres maximaux de bande passante et de
vitesse de connexion dans l’action de gestion de trafic contrôlent le débit total et la vitesse de connexion sur
l’ensemble des interfaces. Cela inclut toutes les interfaces externes configurées pour router le trafic.
292
WatchGuard System Manager
Stratégies
À propos de l’équilibrage de charge côté serveur pour une stratégie
Si vous êtes équipé du périphérique Fireware Pro, vous pouvez utiliser la fonctionnalité d’équilibrage de
charge côté serveur pour vous aider à accroître l’évolutivité et les performances d’un réseau à fort trafic
comportant plusieurs serveurs publics protégés à l’aide de votre périphérique Firebox. Avec cette
fonctionnalité, le périphérique Firebox peut contrôler le nombre de sessions lancées sur 10 serveurs au
maximum pour chaque stratégie de pare-feu configurée. Firebox contrôle la charge en fonction du nombre
de sessions en cours sur chaque serveur. Pour plus d’informations sur la configuration de l’équilibrage de
charge de serveur, voir Configurer l’équilibrage de charge côté serveur.
Définir la priorité de trafic pour une stratégie
La priorité du trafic peut être définie au niveau de l’interface, mais vous pouvez remplacer ce paramétrage
pour des stratégies individuelles :
1. Pour remplacer le paramétrage au niveau de l’interface, activez la case à cocher Remplacer les
paramètres par interface.
2. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez Marquage QoS
ou Valeur personnalisée.
3. Si vous choisissez Valeur personnalisée, dans le champ Valeur, sélectionnez une valeur comprise
entre 0 (Meilleur effort) et 7 (Priorité la plus élevée).
Configurer la gestion des erreurs ICMP
Vous pouvez définir les paramètres de gestion des erreurs ICMP associés à une stratégie. Ces derniers
remplacent les paramètres globaux de gestion des erreurs ICMP.
Dans la liste déroulante Gestion des erreurs ICMP, sélectionnez :
Utiliser le paramètre global
Utilisez le paramètre global de gestion des erreurs ICMP pour Firebox. Pour plus d’informations sur
ce paramètre global, voir Définir les paramètres globaux de Firebox.
Définir un paramètre
Configurez un paramètre qui remplace le paramètre global. Cliquez sur Paramètre ICMP. Dans la
boîte de dialogue Paramètres de gestion des erreurs ICMP, activez les cases à cocher
correspondant à chacun des paramètres. Pour plus d’informations sur ces paramètres, voir Définir les
paramètres globaux de Firebox.
Guide de l’utilisateur
293
Stratégies
Appliquer des règles NAT
Vous pouvez appliquer des règles de traduction d’adresses réseau (NAT) à une stratégie. Dans l’onglet Avancé
de la boîte de dialogue Modifier les propriétés de stratégie, sélectionnez l’une des options suivantes :
NAT un à un
Avec ce type de NAT, Firebox utilise les plages d’adresses IP privées et publiques que vous avez définies, de la
manière décrite dans la rubrique Utiliser NAT 1 à 1.
NAT dynamique
Avec ce type de NAT, Firebox mappe les adresses IP privées aux adresses IP publiques. La traduction
d’adresses réseau dynamique est par défaut activée pour toutes les stratégies. Sélectionnez Utiliser les
paramètres NAT du réseau pour appliquer les règles de NAT dynamique définies pour Firebox. Sélectionnez
L’ensemble du trafic de cette stratégie pour appliquer le service NAT à l’ensemble du trafic de cette
stratégie.
Utilisez le champ Définir l’IP source afin de définir une adresse IP source de NAT dynamique pour les
stratégies qui utilisent la traduction d’adresses réseau dynamique. Vous vous assurez ainsi que l’ensemble du
trafic auquel cette stratégie s’applique présente, comme source, une adresse définie de votre plage d’adresses
IP publiques ou externes. Vous serez souvent obligé de définir une adresse IP source pour forcer le trafic SMTP
sortant à afficher l’adresse d’enregistrement MX de votre domaine lorsque l’adresse IP de l’interface externe
de Firebox est différente de celle de l’enregistrement MX. Les règles NAT 1 à 1 sont prioritaires sur les règles
de NAT dynamique.
Utiliser le marquage QoS pour une stratégie
Le marquage QoS crée différentes classes de service pour différents types de trafic réseau sortant. Lorsque
vous marquez le trafic, vous modifiez jusqu’à six bits dans les champs d’en-tête de paquet définis à cet effet.
Les périphériques externes compatibles avec la qualité de service (QoS) peuvent utiliser ce marquage et gérer
correctement un paquet au cours de son transit d’un point à un autre sur un réseau.
Vous pouvez utiliser le marquage QoS pour une interface ou pour une stratégie. Lorsque vous définissez le
marquage de la qualité du service (QoS) pour une interface, les paquets qui sortent de cette interface sont
marqués. Le marquage de la qualité du service pour une stratégie évalue le trafic qui utilise cette stratégie.
1. Dans la boîte de dialogue Modifier les propriétés de stratégie, cliquez sur l’onglet Avancé.
2. Environ au milieu de la boîte de dialogue, sélectionnez l’onglet QoS.
3. Activez la case à cocher Remplacer les paramètres par interface pour que le marquage QoS d’une
stratégie remplace tout marquage QoS défini sur une interface.
Pour plus d’informations sur l’utilisation du marquage QoS, voir À propos du marquage QoS.
294
WatchGuard System Manager
Stratégies
Ajouter une durée de connexion persistante à une stratégie
L’onglet Connexions persistantes s’affiche uniquement si Multi-WAN est activé.
Les paramètres de connexion persistante d’une stratégie remplacent les paramètres de connexion persistante
globaux décrits dans À propos des paramètres Multi-WAN avancés.
1. Sous l’onglet Avancé de la boîte de dialogue Propriétés de la stratégie, cliquez sur l’onglet
Connexion persistante.
2. Laissez la case à cocher Remplacer le paramètre de connexion persistante Multi-WAN désactivée
si vous souhaitez que les connexions persistantes configurées sous l’onglet Réseau > Configuration >
Multi-WAN soient appliquées. Activez cette case à cocher si vous souhaitez définir une connexion
persistante personnalisée pour cette stratégie.
3. Si vous souhaitez définir une connexion persistante personnalisée pour cette stratégie, activez la case
à cocher Activer la connexion persistante.
4. Entrez la durée de maintien de la connexion.
Guide de l’utilisateur
295
Stratégies
À propos de la priorité des stratégies
La priorité correspond à la séquence dans laquelle le périphérique Firebox examine le trafic réseau et applique
une règle de stratégie. Le périphérique Firebox trie automatiquement les stratégies de la plus spécifique à la
plus générale. Il compare les informations du paquet à la liste de règles de la première stratégie. La première
règle de la liste qui correspond aux conditions du paquet est appliquée à ce paquet. Si le niveau de détails de
deux stratégies est identique, une stratégie de proxy a toujours priorité sur une stratégie de filtre de paquets.
Utiliser l’ordre automatique
À moins que vous ne définissiez manuellement la priorité, Policy Manager donne la priorité la plus élevée aux
stratégies les plus spécifiques et la plus faible à la moins spécifique. Policy Manager examine la spécificité des
critères suivants dans cet ordre. S’il ne peut pas déterminer la priorité à partir du premier critère, il passe au
deuxième et ainsi de suite.
1. La stratégie elle-même. Par exemple, une stratégie Tout est moins spécifique que les stratégies qui
autorisent uniquement un trafic spécifique.
2. Les protocoles définis pour le type de stratégie. Par exemple, une stratégie qui spécifie de nombreux
ports pour un protocole donné est moins spécifique qu’une stratégie spécifiant moins de ports.
3. Les règles de trafic du champ À. De la plus spécifique à la moins spécifique : règles spécifiant des plages
d’adresses IP, des utilisateurs, des groupes, des interfaces.
4. Les règles de trafic du champ De. De la plus spécifique à la moins spécifique : règles spécifiant des
plages d’adresses IP, des utilisateurs, des groupes, des interfaces.
5. L’action de pare-feu appliquée aux stratégies. De la plus spécifique à la moins spécifique : Refusé ou
Refusé (envoi réinitialisation), Autorisé (stratégie de proxy), Autorisé (stratégie de filtre de paquets).
6. Les planifications appliquées aux stratégies. De la plus spécifique à la moins spécifique : Toujours
désactivé, Parfois activé, Toujours activé.
7. La séquence alphanumérique basée sur le type de stratégie.
8. La séquence alphanumérique basée sur un nom de stratégie.
Définir la priorité manuellement
Si vous souhaitez passer en mode de classement manuel, sélectionnez Affichage > Mode classement
automatique de manière à faire disparaître la coche. Vous êtes invité à confirmer que vous souhaitez passer
en mode de classement manuel. Si vous basculez en mode de classement manuel, la fenêtre Policy Manager
passe en mode Détails. Vous pouvez modifier l’ordre des stratégies si vous êtes en mode Grandes icônes.
Pour modifier l’ordre d’une stratégie, sélectionnez-la et faites-la glisser vers son nouvel emplacement.
296
WatchGuard System Manager
15
Stratégies de proxy
À propos des stratégies de proxy
Toutes les stratégies WatchGuard, aussi bien les stratégies de filtrage de paquets que les stratégies de proxy,
constituent des outils importants en matière de sécurité du réseau. Un filtre de paquets inspecte l’en-tête IP
et TCP/UDP de chaque paquet, tandis qu’un proxy surveille et analyse les connexions entières. Un proxy
examine les commandes utilisées pour la connexion afin de s’assurer que leur syntaxe et leur ordre sont
corrects. Il procède également à une inspection très poussée des paquets pour garantir la sécurité des
connexions.
Un proxy ouvre chaque paquet l’un à la suite de l’autre, extrait l’en-tête de la couche réseau et inspecte
l’entrée Payload du paquet. Il retourne ensuite les informations réseau au paquet et envoie celui-ci vers sa
destination. En conséquence, un proxy peut trouver du contenu interdit caché dans les entrées de données
Payload ou intégré à ces dernières. Par exemple, un proxy SMTP recherche dans la totalité des paquets SMTP
entrants (e-mails) du contenu interdit, tel que des programmes ou fichiers exécutables écrits en langages de
script. Les personnes malveillantes ont souvent recours à ces méthodes pour envoyer des virus informatiques.
Le proxy SMTP peut mettre en oeuvre une stratégie qui interdit ce type de contenu ; en revanche, un filtre de
paquets ne peut pas détecter le contenu non autorisé dans les entrées de données Payload du paquet.
Si vous avez souscrit, puis activé des abonnements supplémentaires aux services de sécurité (Gateway
AntiVirus, Intrusion Prevention Service, spamBlocker, WebBlocker), les proxies WatchGuard peuvent
appliquer les services correspondants.
Types de proxies
Les concepts essentiels relatifs aux proxies sont les suivants :
ƒ
ƒ
ƒ
les règles et ensembles de règles ;
les actions de proxy ;
les actions de proxy prédéfinies et définies par l’utilisateur.
Guide de l’utilisateur
297
Stratégies de proxy
À propos des règles et des ensembles de règles
Une partie importante du travail de configuration d’une stratégie de proxy consiste à créer ou modifier les
règles, qui sont des ensembles de critères utilisés comme référence par le proxy pour l’analyse du trafic. Une
règle est représentée par un type de contenu, de modèle ou d’expression, ainsi que par l’action réalisée par le
périphérique Firebox en cas de correspondance d’un composant du paquet avec ce contenu, ce modèle ou
cette expression. Les règles incluent en outre des paramètres déterminant le moment où le périphérique
Firebox envoie les alarmes et l’enregistrement éventuel des événements dans le fichier journal. Un ensemble
de règles se compose de plusieurs règles répondant à une fonctionnalité donnée d’un proxy, telle que les
types de contenus ou les noms de fichier des pièces jointes aux e-mails. La procédure de création et de
modification des règles est identique pour l’intégralité des proxies Fireware.
Le périphérique Firebox comprend des ensembles de règles par défaut pour chaque stratégie de proxy incluse
dans la configuration Firebox. Des ensembles de règles distincts sont fournis pour les clients et les serveurs,
afin de protéger à la fois les utilisateurs dignes de confiance et les serveurs publics. Vous pouvez utiliser ces
règles en l’état ou bien les personnaliser en fonction de vos besoins.
À propos de l’utilisation des règles et des ensembles de règles
Lors de la configuration d’un proxy, vous pouvez afficher ses ensembles de règles dans la liste Catégories. Les
ensembles de règles affichés diffèrent selon l’action de proxy choisie dans l’onglet Propriétés de la fenêtre de
configuration de proxy. Par exemple, les paramètres associés aux règles relatives à l’action FTP-Client ne sont
pas les mêmes que ceux associés aux règles relatives à l’action FTP-Server.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la
sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles.
Vues simple et avancée
Vous pouvez afficher les règles des définitions de proxy de deux manières. La vue simple est utilisée pour
configurer une correspondance avec un modèle basé sur des caractères génériques à l’aide d’expressions
régulières simples.
Pour afficher les règles actives en vue avancée, cliquez sur Modifier l’affichage. La vue avancée indique
l’action correspondant à chaque règle. Elle comporte également des boutons permettant de modifier, de
cloner (créer une définition de règle à partir d’une définition existante), de supprimer ou de réinitialiser les
règles. Utilisez la vue avancée pour configurer les correspondances exactes et les expressions régulières
compatibles Perl.
Pour revenir à la vue simple, cliquez de nouveau sur Modifier l’affichage. Sachez toutefois que vous ne
pourrez pas revenir à cette vue si les paramètres d’action, d’alarme ou de journal des règles activées sont
différents. Vous devrez continuer à utiliser la vue avancée. Par exemple, si la plupart des règles sont
paramétrées sur Autoriser et qu’une seule d’entre elles est paramétrée sur Refuser, il vous faudra utiliser la
vue avancée.
Ajouter des règles
Vous pouvez recourir soit à la vue simple, soit à la vue avancée de l’ensemble de règles pour ajouter des règles.
Utilisez la vue simple si vous souhaitez configurer une correspondance avec un modèle basé sur des
caractères génériques à l’aide d’expressions régulières simples. Utilisez la vue avancée pour configurer les
correspondances exactes et les expressions régulières compatibles Perl. Cette vue indique l’action
correspondant à chaque règle et comporte des boutons permettant de modifier, de cloner (créer une
définition de règle à partir d’une définition existante), de supprimer ou de réinitialiser les règles.
Pour passer d’une vue à l’autre, cliquez sur Modifier l’affichage.
298
WatchGuard System Manager
Stratégies de proxy
Ajouter des règles (vue simple)
Pour ajouter de nouvelles règles dans la vue simple, effectuez les opérations suivantes :
1. Dans la zone de texte Modèle, entrez un modèle utilisant une syntaxe d’expression régulière simple.
Le caractère générique remplaçant zéro ou plusieurs caractères est « * ».Le caractère générique remplaçant un
seul caractère est « ? ».
2. Cliquez sur Ajouter.
La nouvelle règle est affichée dans la zone Règles.
3. Dans la section Actions à entreprendre, la liste déroulante En cas de correspondance définit l’action
à exécuter si le contenu d’un paquet est conforme à l’une des règles de la liste. La liste déroulante
Aucune correspondance définit l’action à exécuter si le contenu d’un paquet n’est pas conforme à
une règle de la liste. Les autres actions possibles figurent au-dessous. Les actions disponibles diffèrent
selon le proxy ou la fonction de proxy utilisé(e). Par exemple, les actions Enlever et Verrouiller ne sont
exécutées que dans le cadre de la prévention des intrusions basée sur les signatures.
Autoriser
La connexion est autorisée.
Refuser
La demande spécifique est refusée, mais la connexion est conservée dans la mesure du possible.
Une réponse est envoyée à l’expéditeur.
Abandonner
La demande spécifique est refusée et la connexion est fermée. Aucune réponse n’est envoyée à
l’expéditeur.
Bloquer
La demande est refusée, la connexion est fermée et l’hôte source est ajouté à la liste des sites
bloqués. Pour plus d’informations sur les sites bloqués, voir À propos des sites bloqués.
Enlever
Une pièce jointe est retirée d’un paquet et mise de côté. Les autres éléments du paquet sont
envoyés vers leur destination via le périphérique Firebox.
Verrouiller
Une pièce jointe est verrouillée, puis encapsulée pour que l’utilisateur ne puisse pas l’ouvrir. Seul
l’administrateur est en mesure de déverrouiller le fichier.
Analyse AV
La pièce jointe est analysée afin de détecter d’éventuels virus. Si vous sélectionnez cette option,
Gateway AntiVirus est activé pour la règle.
4. Une alarme est un mécanisme permettant de prévenir les utilisateurs qu’une règle de proxy s’applique
au trafic réseau. Pour configurer une alarme pour l’événement, activez la case à cocher Alarme. Pour
définir les options de l’alarme, ouvrez une fenêtre de configuration de proxy et, dans la liste Catégories
située dans la partie gauche, sélectionnez Alarme proxy. Vous pouvez envoyer une interruption SNMP
ou un e-mail, ou bien ouvrir une fenêtre contextuelle.
5. Pour enregistrer un message relatif à cet événement dans le journal du trafic, activez la case à cocher
Journal.
Guide de l’utilisateur
299
Stratégies de proxy
Ajouter des règles (vue avancée)
Utilisez la vue avancée pour configurer les correspondances exactes et les expressions régulières compatibles
Perl. Pour plus d’informations concernant l’utilisation d’expressions régulières dans les règles de proxy,
consultez les forums aux questions sur les produits, sur le site Web du support produits :
http://www.watchguard.com/support/faqs/fireware.
1. Dans la boîte de dialogue Configuration de l’action de proxy, cliquez sur Ajouter.
La boîte de dialogue Nouvelle règle <type de règle> apparaît.
2. Configurez les champs comme suit :
Nom de la règle
Nom de la règle. Ce champ est vide en cas d’ajout de règle ; vous pouvez le modifier si vous clonez
une règle, mais pas si vous modifiez une règle.
Paramètres de règles
Pour rechercher une correspondance exacte avec le texte de la règle, sélectionnez l’option
Correspondance exacte dans la liste déroulante. Pour rechercher une correspondance avec un
modèle de texte basé sur des caractères génériques, sélectionnez Correspondance de modèle.
Enfin, pour rechercher une correspondance avec un modèle de texte à l’aide d’une expression
régulière, choisissez Expression régulière.
Texte de la règle
Saisissez le texte de la règle. Si vous avez sélectionné le paramètre de règle Correspondance de
modèle, utilisez un astérisque (*), un point (.) ou un point d’interrogation (?) comme caractère
générique.
Action, Alarme, Journal
Définissez ces champs selon la procédure décrite dans la section relative aux règles simples cidessus.
300
WatchGuard System Manager
Stratégies de proxy
Couper et coller les définitions de règles
Vous pouvez copier et coller le texte des champs modifiables d’une définition de proxy dans une autre
définition. Supposons, par exemple, que vous écriviez un message de refus personnalisé pour le proxy POP3.
Vous pouvez sélectionner ce message, le copier, puis le coller dans la zone Message de refus applicable au
proxy SMTP.
Lorsque vous copiez un champ d’une définition de proxy dans une autre définition, vous devez vous assurer
que celui-ci est compatible avec le proxy de destination.
Seuls les ensembles de règles faisant partie des quatre groupes répertoriés ci-dessous peuvent être copiés
entre les proxies ou les catégories. Les autres combinaisons ne sont pas possibles.
Types de contenus
Noms de fichier
Adresses
Authentification
Types de contenus HTTP
Téléchargement FTP
E-mails SMTP source
Authentification SMTP
Types de contenus SMTP
Transfert FTP
E-mails SMTP cible
Authentification POP3
Types de contenus POP3
Chemins d’adresses URL
HTTP
Noms de fichier SMTP
Noms de fichier POP3
Modifier l’ordre des règles
L’ordre d’affichage des règles dans la liste Règles est semblable à celui utilisé pour la comparaison du trafic
avec ces dernières. Le proxy compare le trafic à la première règle de la liste et continue dans l’ordre du haut
vers le bas de la liste. Lorsque le trafic est conforme à une règle, le périphérique Firebox exécute l’action
correspondante. Aucune autre action n’est réalisée, et ce même si une autre règle plus bas dans la liste
s’applique également au trafic.
Pour modifier l’ordre des règles, vous devez utiliser la vue avancée :
1. Pour afficher les règles en vue avancée, cliquez sur Modifier l’affichage.
2. Sélectionnez la règle que vous voulez déplacer. Cliquez sur le bouton Monter ou Descendre afin de la
déplacer vers le haut ou le bas de la liste.
Guide de l’utilisateur
301
Stratégies de proxy
Modifier la règle par défaut
Si le trafic n’est conforme à aucune des règles que vous avez définies pour une catégorie de proxy, le
périphérique Firebox emploie la règle par défaut. Cette règle figure au bas de chaque liste de règles en vue
avancée.
Pour modifier la règle par défaut :
1. Sélectionnez la règle et cliquez sur Modifier.
La boîte de dialogue Modifier la règle par défaut apparaît.
2. Vous pouvez choisir une autre action pour la règle par défaut et préciser si cette action déclenche une
alarme ou un message du journal. En revanche, il vous est impossible de modifier le nom « Par défaut »
ou le positionnement de la règle, qui doit demeurer en fin de liste.
3. Cliquez sur OK.
302
WatchGuard System Manager
Stratégies de proxy
À propos des actions de proxy
Une action de proxy est un groupe de paramètres ou d’ensembles de règles relatif à un type de proxy. Votre
configuration peut inclure plusieurs instances de chaque proxy ; par conséquent, vous devez lier chacune
d’elles à une action de proxy spécifique. En règle générale, deux actions de proxy sont disponibles pour
chaque proxy : l’une pour les clients, l’autre pour les serveurs. Par exemple, vous pouvez utiliser une action de
proxy pour les paquets envoyés à un serveur POP3 protégé par le périphérique Firebox et une autre action de
proxy qui sera appliquée aux e-mails récupérés par les clients POP3.
Vous pouvez créer plusieurs actions de proxy pour chaque type de proxy, mais vous ne pouvez en affecter
qu’une seule à chaque règle de proxy. Par exemple, une icône représentant un proxy POP3 affichée dans la
fenêtre principale de Policy Manager est liée à une seule action de proxy, comme une action POP3-Client. Si
vous souhaitez créer un proxy POP3 pour un serveur POP3 ou une stratégie supplémentaire pour des clients
POP3, il vous faut ajouter une stratégie POP3 dans Policy Manager.
Pour configurer une action de proxy dans une définition de proxy : Dans l’onglet Propriétés de la boîte de
dialogue Ajouter/Modifier les propriétés de stratégie, choisissez, dans la liste déroulante Action de proxy,
l’action de proxy pour une définition de stratégie de proxy.
Vous pouvez en outre modifier, supprimer ou cloner (copier) une définition d’action de proxy directement à
partir de la fenêtre de Policy Manager :
1. Sélectionnez Tâches > Actions de proxy.
2. Dans la boîte de dialogue Actions de proxy, choisissez l’action de proxy à modifier, supprimer ou
cloner. Cliquez sur Modifier, Supprimer ou Cloner. Il est impossible de supprimer les actions de proxy
prédéfinies (affichées en noir). Seules les actions de proxy définies par l’utilisateur (affichées en bleu)
peuvent l’être.
Guide de l’utilisateur
303
Stratégies de proxy
Pour modifier ou cloner une action de proxy, et obtenir plus d’informations sur les paramètres applicables aux
actions de proxy, voir la rubrique « À propos de » correspondant au type de proxy que vous utilisez :
À propos du proxy DNS
À propos du proxy POP3
À propos du proxy FTP
À propos du proxy SIP
À propos du proxy H.323
À propos du proxy SMTP
À propos du proxy HTTP
À propos du proxy TCP-UDP
À propos du proxy HTTPS
À propos du proxy TFTP
Importer ou exporter des actions de proxy
Si vous gérez plusieurs périphériques Firebox et avez défini pour ceux-ci des actions de proxy, vous pouvez
utiliser la fonction d’importation/exportation de stratégie pour gagner du temps. Vous pouvez définir les
actions de proxy sur un périphérique Firebox, les exporter vers un fichier ASCII, puis les importer dans un autre
périphérique Firebox. Pour plus d’informations, voir la procédure relative aux modèles de stratégie : Importer
et exporter des modèles de stratégie personnalisée.
À propos des actions de proxy prédéfinies et définies par l’utilisateur
Sur les périphériques Firebox, des actions de proxy client et serveur sont prédéfinies pour chaque proxy. Ces
actions sont configurées en vue d’équilibrer les exigences d’accessibilité d’une entreprise standard et les
besoins de protection contre les attaques de vos biens informatiques. Vous ne pouvez pas modifier les
paramètres des actions de proxy prédéfinies. Si vous souhaitez changer la configuration, vous devez cloner
(copier) la définition existante et l’enregistrer en tant qu’action de proxy définie par l’utilisateur.
Par exemple, pour modifier un paramètre de l’action de proxy HTTP-Client, vous devez l’enregistrer sous un
autre nom, comme HTTP-Client.1. Cette opération est nécessaire uniquement si vous modifiez des ensembles
de règles. Si vous éditez des paramètres généraux tels que les sources ou destinations autorisées ou les
paramètres NAT d’une stratégie, il est inutile d’enregistrer le paramètre sous un nouveau nom.
Ajouter une stratégie de proxy à votre configuration Firebox
Lors de l’ajout d’une stratégie de proxy à votre configuration Firebox, vous précisez les types de contenus que
le proxy doit rechercher au moment du filtrage du trafic. Si le contenu correspond (ou non) aux critères de la
définition du proxy, ce dernier autorise (ou refuse) le trafic réseau.
Vous pouvez, pour chaque stratégie de proxy, conserver les paramètres par défaut ou bien définir des
paramètres personnalisés répondant à vos besoins. Il vous est également possible de créer des stratégies de
proxy supplémentaires pour chacun des protocoles en vue de procéder à un filtrage à divers endroits du
réseau.
N’oubliez pas qu’un filtre de proxy implique un travail plus important pour le pare-feu pour le même volume
de trafic réseau qu’un filtre de paquets. Toutefois, un proxy a recours à des méthodes que les filtres de paquets
ne peuvent pas utiliser pour intercepter les paquets dangereux. Chaque stratégie de proxy inclut un ensemble
de paramètres que vous pouvez personnaliser de manière à créer un équilibre entre vos besoins de sécurité
et vos objectifs de performances.
1. Dans Policy Manager, cliquez sur le signe plus (+) situé dans la barre d’outils.
Vous pouvez aussi sélectionner Edition > Ajouter des stratégies.
La boîte de dialogue Ajouter des stratégies s’affiche.
2. Pour développer le dossier Proxies, cliquez sur le signe plus (+) situé à sa gauche.
La liste des proxies apparaît.
304
WatchGuard System Manager
Stratégies de proxy
3. Cliquez sur le nom du proxy que vous souhaitez ajouter, puis cliquez sur Ajouter.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
4. Modifiez au besoin le nom de la stratégie de proxy. Pour cela, entrez un nouveau nom dans la zone de
texte Nom.
Guide de l’utilisateur
305
Stratégies de proxy
5. Cliquez sur l’onglet Propriétés.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Pour modifier la définition de stratégie de proxy par défaut en fonction des besoins de votre entreprise, voir
À propos des propriétés de stratégie.
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la
sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour plus d’informations, voir À
propos des règles et des ensembles de règles.
306
WatchGuard System Manager
Stratégies de proxy
À propos du proxy DNS
DNS (Domain Name System) est un système réseau de serveurs qui traduit des adresses IP numériques en
adresses Internet hiérarchiques, lisibles. DNS permet à votre réseau d’ordinateurs de comprendre, par
exemple, que vous souhaitez atteindre le serveur situé à l’adresse 200.253.208.100 lorsque vous tapez dans le
navigateur le nom de domaine www.watchguard.com. Avec Fireware, vous avez le choix entre deux
méthodes différentes pour contrôler le trafic DNS via votre pare-feu : le filtre de paquets DNS et la stratégie de
proxy DNS. Il est important de comprendre que les paramètres de proxy DNS ne sont utiles que si la demande
DNS est acheminée via le pare-feu.
Lorsque vous créez un fichier de configuration, le fichier inclut automatiquement une stratégie de filtrage de
paquets « Sortant » qui autorise toutes les connexions TCP et UDP provenant de vos réseaux approuvé et
facultatif vers l’extérieur. Ceci permet à vos utilisateurs de se connecter à un serveur DNS externe à l’aide des
ports TCP 53 et UDP 53 standard. Étant donné que « Sortant » est un filtre de paquets, il ne peut pas protéger
contre les chevaux de Troie du trafic sortant UDP, les failles de sécurité DNS et autres problèmes courants qui
se produisent lorsque vous ouvrez l’ensemble du trafic UDP sortant à partir de vos réseaux approuvés. L’action
du proxy DNS-Sortant présente des fonctionnalités qui protègent votre réseau de ces menaces. Si vous utilisez
des serveurs DNS externes pour votre réseau, l’ensemble des règles DNS-Sortant fournit des méthodes
supplémentaires permettant de contrôler les services disponibles pour votre communauté de réseaux.
Pour ajouter le proxy DNS à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox.
Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la
boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie pour modifier la définition.
Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus,
l’onglet Propriétés contient une icône permettant de configurer l’action de proxy.
Onglet Stratégie
ƒ
Les connexions du proxy DNS sont : Spécifiez si les connexions ont le statut Autorisé, Refusé ou
Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet Stratégie
de la définition du proxy). Voir Définir les règles d’accès pour une stratégie.
Onglet Propriétés
ƒ
ƒ
ƒ
ƒ
Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client
ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et sur Définir les préférences
de journalisation et de notification.
Si vous définissez la liste déroulante Les connexions du proxy DNS sont (dans l’onglet Stratégie) sur
Refusé (ou sur Refusé (envoi réinitialisation)), vous pouvez bloquer les sites qui tentent d’utiliser DNS.
Voir Bloquer temporairement des sites grâce aux paramètres de stratégie.
Si vous souhaitez utiliser une durée d’inactivité autre que celle définie par le serveur d’authentification
ou Firebox, vous devez Définir un délai d’inactivité personnalisé.
Guide de l’utilisateur
307
Stratégies de proxy
Paramètres des actions de proxy
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui assurent un bon équilibre entre la
sécurité et l’accessibilité à la plupart des installations. Si l’ensemble de règles par défaut ne répond pas à tous
vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les
ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy
(la première
icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la
partie gauche de la boîte de dialogue :
Proxy DNS : Paramètres généraux
Proxy DNS : OPcodes
Proxy DNS : Types de requêtes
Proxy DNS : Noms de requêtes
Proxy DNS : Intrusion prevention
Alarmes de proxy et d’antivirus. Les interruptions et la notification SNMP sont désactivées par défaut.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition du proxy :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
308
Définir un calendrier d’application
Appliquer les actions de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer des règles NAT (Les règles NAT 1-à-1 et NAT dynamique sont activées par défaut dans toutes
les stratégies.)
Activer le marquage QoS pour une stratégie
Définir une propriété de trafic dans une stratégie
Ajouter une durée de connexion persistante à une stratégie
WatchGuard System Manager
Stratégies de proxy
Proxy DNS : Paramètres généraux
La page Général (la première page qui s’affiche lorsque vous cliquez sur l’icône Afficher/Modifier le proxy)
vous permet de modifier les paramètres de deux règles de détection des anomalies de protocoles. Nous vous
recommandons de ne pas modifier les paramètres par défaut.
N’appartient pas à la classe Internet
Sélectionnez l’action à effectuer lorsque le proxy analyse le trafic DNS qui n’appartient pas à la classe
Internet (IN). L’action par défaut consiste à refuser le trafic. Nous vous recommandons de ne pas
modifier l’action par défaut.
Requête formatée de façon incorrecte
Sélectionnez l’action à effectuer lorsque le proxy analyse le trafic DNS qui n’utilise pas le format
correct.
Alarme
Une alarme est un mécanisme qui consiste à avertir les utilisateurs dès qu’une règle de proxy
s’applique au trafic réseau. Activez la case à cocher Alarme pour configurer une alarme pour
l’événement. Pour définir les options de l’alarme, sélectionnez Alarme proxy dans la liste Catégories
sur le côté gauche de la fenêtre Configuration du proxy. Vous pouvez envoyer une interruption SNMP
ou un e-mail, ou ouvrir une fenêtre contextuelle.
Journal
Activez cette case à cocher pour écrire un message dans le journal du trafic pour cet événement.
Activer la journalisation des rapports
Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal
volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si
vous n’activez pas cette case à cocher, vous ne verrez pas les informations détaillées sur les
connexions de proxy HTTP dans les rapports.
Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce
document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez
modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour
plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et
définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK.
Guide de l’utilisateur
309
Stratégies de proxy
Proxy DNS : OPcodes
Les OPcodes (codes d’opération) DNS sont des commandes envoyées au serveur DNS pour lui indiquer
d’effectuer certaines actions, telles qu’une requête (Query), une requête inverse (IQuery) ou une demande
d’état du serveur (STATUS). Ces codes fonctionnent sur des éléments comme les registres, les valeurs en
mémoire, les valeurs stockées sur la pile, les ports d’E/S, et le bus. Si l’ensemble de règles par défaut ne répond
pas à tous les besoins de votre entreprise, vous pouvez ajouter, supprimer ou modifier des règles. Vous pouvez
autoriser, refuser, supprimer ou bloquer des OPcodes DNS spécifiques.
1. Dans la section Catégories, sélectionnez OPCodes.
2. Pour les règles répertoriées, activez la case à cocher Activé pour activer une règle. Désactiver la case à
cocher Activé pour désactiver une règle.
Si vous utilisez Active Directory et que votre configuration Active Directory nécessite des mises à jour
dynamiques, vous devez autoriser les OPCodes dynamiques dans vos règles d’action de proxy de
trafic entrant DNS. Bien que cette action constitue un risque pour la sécurité, elle est nécessaire pour
que le service Active Directory fonctionne correctement.
Ajouter une nouvelle règle OPCodes
1. Cliquez sur Ajouter.
La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche.
2. Tapez le nom de la règle.
Les règles doivent comporter un maximum de 31 caractères.
3. Les OPCodes DNS possèdent un entier. Définissez la valeur des OPCodes à l’aide des flèches.
Pour plus d’informations sur les entiers des OPCodes DNS, voir la RFC 1035.
4. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
5. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche.
310
WatchGuard System Manager
Stratégies de proxy
Proxy DNS : Types de requêtes
Un type de requête DNS peut configurer un enregistrement de ressource par type (par exemple, un
enregistrement CNAME ou TXT) ou en tant que type personnalisé d’opération de requête (par exemple, une
zone de transfert AXFR Full). Si l’ensemble de règles par défaut du type de requête ne répond pas à tous vos
besoins, vous pouvez ajouter, supprimer ou modifier des règles. Vous pouvez autoriser, refuser, supprimer ou
bloquer des types de requêtes DNS spécifiques.
1. Dans la section Catégories, sélectionnez Types de requêtes.
2. Pour activer une règle, activez la case à cocher Activé située en regard de l’action et du nom de la règle.
Ajouter une nouvelle règle de types de requêtes
1. Pour ajouter une nouvelle règle de types de requêtes, cliquez sur Ajouter.
La boîte de dialogue Nouvelle règle de types de requêtes s’affiche.
2. Tapez le nom de la règle.
Les règles doivent comporter un maximum de 31 caractères.
3. Les types de requêtes DNS possèdent une valeur d’enregistrement de ressource. Utilisez les flèches
pour définir la valeur.
Pour plus d’informations sur les valeurs des types de requêtes DNS, voir la RFC 1035.
4. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos des règles et des
ensembles de règles.
5. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche.
Guide de l’utilisateur
311
Stratégies de proxy
Proxy DNS : Noms des requêtes
Un nom de requête DNS désigne un nom de domaine DNS spécifique, affiché sous un nom de domaine
complet. Si l’ensemble de règles par défaut du nom de la requête ne répond pas à tous vos besoins, vous
pouvez ajouter, supprimer ou modifier des règles.
1. Dans la section Catégories, sélectionnez Noms des requêtes.
2. Pour ajouter des noms ou pour en supprimer ou en modifier, voir À propos de l’utilisation des règles et
des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche.
Prévention des intrusions dans les définitions de proxy
Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre
réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue
d’attaquer des réseaux tiers.
Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention
Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS
et TCP-UDP.
Vous pouvez activer et configurer IPS de deux manières :
Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager
Pour plus d’informations, voir Activer Intrusion Prevention Service (IPS).
Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy
1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au
périphérique Firebox.
2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un
proxy existant.
312
WatchGuard System Manager
Stratégies de proxy
3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de
stratégie, cliquez sur l’icône Afficher/Modifier le proxy
(première icône à droite de la liste
déroulante Action de proxy).
4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie
droite, définissez les paramètres d’Intrusion Prevention Service (IPS).
Alarmes de proxy et d’antivirus
Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un
administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut
survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action
autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance
situé sous Actions à entreprendre dans les définitions d’ensemble de règles.
Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de
fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez
préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait
de cette règle.
Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se
produit.
1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus.
2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une
notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un
e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de
gestion de ce dernier.
Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences
de journalisation et de notification.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Terminer et enregistrer la configuration
1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la
boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie.
2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur
Firebox.
La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration.
Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez.
3. Cliquez sur Enregistrer.
4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK.
Guide de l’utilisateur
313
Stratégies de proxy
À propos du proxy FTP
Le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers) permet d’envoyer des fichiers d’un
ordinateur vers un autre via un réseau TCP/IP. Le client FTP est en principe un ordinateur. Le serveur FTP peut
être une ressource stockant les fichiers sur le même réseau ou sur un autre réseau. Deux états sont possibles
pour le client FTP en matière de transfert de données : actif ou passif. En mode actif, le serveur établit une
connexion avec le client sur le port source 20. En mode passif, le client utilise un port précédemment négocié
pour se connecter au serveur. Le proxy FTP surveille et analyse les connexions FTP entre les utilisateurs et les
serveurs FTP auxquels ils se connectent.
Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy FTP utilise
un port autre que le port 20, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le proxy TCP/
UDP, voir À propos du proxy TCP/UDP.
Pour ajouter le proxy FTP à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox.
Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la
boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie. Les champs de cette boîte de
dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient
une icône vous permettant de configurer l’action de proxy.
Onglet Stratégie
ƒ
ƒ
Les connexions du proxy FTP sont : Autorisé, Refusé ou Refusé (envoi réinitialisation). Définissez
qui apparaît dans les listes De et À (dans l’onglet Stratégie de la définition du proxy). Voir Définir les
règles d’accès pour une stratégie.
Utiliser le routage basé sur stratégie: pour utiliser le routage basé sur stratégie dans la définition de
proxy, voir Configurer le routage basé sur stratégie.
Onglet Propriétés
ƒ
ƒ
ƒ
ƒ
314
Dans la liste déroulante Action de proxy, choisissez si vous voulez ou non définir une action pour un
client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de
proxy.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et définissez les préférences
de journalisation et de notification.
Si vous choisissez, dans la liste déroulante Les connexions du proxy FTP sont, située dans l’onglet
Stratégie, l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au protocole
FTP seront bloqués. Voir Bloquer temporairement les sites avec des paramètres de stratégie.
Si vous voulez utiliser une durée d’inactivité autre que celle définie par le serveur d’authentification ou
Firebox, définissez une durée d’inactivité personnalisée.
WatchGuard System Manager
Stratégies de proxy
Paramètres des actions de proxy
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la
sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles.
Pour modifier les paramètres et les ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/
Modifier le proxy
(la première icône à droite de la liste déroulante Action de proxy) et sélectionnez une
catégorie de paramètres dans la partie gauche de la boîte de dialogue :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Proxy FTP : Paramètres généraux
Proxy FTP : Commandes. Par défaut, toutes les commandes sont autorisées pour le client proxy FTP. Le
serveur proxy FTP par défaut autorise l’exécution des commandes ci-après :
ABOR*
HELP*
PASS*
REST*
STAT*
USER*
APPE*
LIST*
PASV*
RETR*
STOR*
XCUP*
CDUP*
MKD*
PORT*
RMD*
STOU*
XCWD*
CWD*
NLST*
PWD*
RNFR*
SYST*
XMKD*
DELE*
NOOP*
QUIT*
RNTO*
TYPE*
XRMD*
Proxy FTP : Transfert et téléchargement de contenu. Par défaut, le téléchargement des fichiers suivants
est refusé pour le client proxy FTP : fichiers .cab, .com, .dll, .exe et .zip. Le serveur proxy FTP autorise le
téléchargement de tous les fichiers. Les client et serveur proxy autorisent tous deux le transfert de tout
type de fichier.
Proxy FTP : Réponses antivirus. Lorsque Gateway AV est activé pour le proxy FTP, par défaut, les
connexions sont abandonnées en cas de détection de virus ou d’erreur d’analyse.
Proxy FTP : Protection contre les intrusions. Lorsqu’Intrusion Prevention est activé pour le proxy FTP, le
paramètre par défaut consiste à refuser le trafic correspondant à une signature IPS.
Alarme de proxy et d’antivirus. Les interruptions et la notification SNMP sont désactivées par défaut.
Onglet Avancé
Vous pouvez effectuer plusieurs autres opérations avec la définition du proxy :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Définir un calendrier d’application
Appliquer des actions de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer des règles NAT (La NAT un à un et la NAT dynamique sont activées par défaut dans toutes
les stratégies.)
Activer le marquage QoS pour une stratégie
Définir une priorité de trafic dans une stratégie
Ajouter une durée de connexion persistante à une stratégie
Guide de l’utilisateur
315
Stratégies de proxy
Proxy FTP : Paramètres généraux
Dans la page Général (première page affichée une fois que vous avez cliqué sur l’icône Afficher/Modifier le
proxy), vous pouvez définir les paramètres FTP de base, notamment la longueur maximale du nom
d’utilisateur.
1. Dans la section Catégories, sélectionnez Général.
2. Pour définir des limites pour les paramètres FTP, activez les cases à cocher de votre choix. Ces
paramètres contribuent à protéger votre réseau contre les attaques de dépassement de mémoire
tampon. Utilisez les flèches pour modifier les limites suivantes :
Définir la longueur de nom d’utilisateur maximum à
Permet de définir la longueur maximale des noms d’utilisateur employés sur les sites FTP.
Définir la longueur de mot de passe maximum à
Permet de définir la longueur maximale des mots de passe utilisés pour se connecter aux
sites FTP.
Définir la longueur de nom de fichier maximum à
Permet de définir la longueur maximale des noms de fichier à transférer ou à télécharger.
Définir la longueur de ligne de commande maximum à
Permet de définir la longueur maximale des lignes de commande utilisées sur les sites FTP.
Définir le nombre maximum d’échecs de connexion par connexion à
Permet de limiter le nombre de tentatives de connexion infructueuses à votre site FTP. Ainsi, vous
protégez votre site contre les attaques en force.
316
WatchGuard System Manager
Stratégies de proxy
3. Vous pouvez, pour chaque paramètre, activer ou désactiver la case à cocher Blocage automatique
correspondante. Si un utilisateur tente de se connecter à un site FTP et dépasse une limite pour
laquelle l’option Blocage automatique est sélectionnée, l’ordinateur qui a émis les commandes est
ajouté à la liste des sites bloqués de façon temporaire.
4. Pour qu’un message de journal soit créé pour chaque transaction réalisée, activez la case à cocher
Activer la journalisation des rapports. Vous devez sélectionner cette option afin d’obtenir des
rapports détaillés sur le trafic FTP avec Rapports WatchGuard.
5. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
317
Stratégies de proxy
Proxy FTP : Commandes
Un certain nombre de commandes permettant de gérer les fichiers est associé au protocole FTP. Vous avez la
possibilité de définir des règles destinées à limiter certaines commandes FTP.
Utilisez l’action de proxy FTP-Server pour restreindre les commandes qui peuvent être exécutées sur un
serveur FTP protégé par le périphérique Firebox. Avec la configuration par défaut, cette action de proxy
bloque les commandes ci-après :
ABOR*
HELP*
PASS*
REST*
STAT*
USER*
APPE*
LIST*
PASV*
RETR*
STOR*
XCUP*
CDUP*
MKD*
PORT*
RMD*
STOU*
XCWD*
CWD*
NLST*
PWD*
RNFR*
SYST*
XMKD*
DELE*
NOOP*
QUIT*
RNTO*
TYPE*
XRMD*
Utilisez l’action de proxy FTP-Client pour restreindre les commandes que les utilisateurs protégés par le
périphérique Firebox peuvent exécuter lorsqu’ils sont connectés à des serveurs FTP externes. Par défaut, cette
action de proxy autorise toutes les commandes FTP.
Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou
modifier des règles. Il est recommandé de ne pas bloquer ces commandes, car elles sont nécessaires au bon
fonctionnement du protocole FTP.
Commande du protocole
Commande du client
Description
USER
n/d
Envoyée avec le nom de connexion
PASS
n/d
Envoyée avec le mot de passe
PASV
pasv
Sélection du mode passif pour le transfert de
données
SYST
syst
Impression du nom et de la version du
système d’exploitation installé sur le serveur.
Les clients FTP se servent de ces
informations pour interpréter et afficher les
réponses du serveur en conséquence.
1. Dans la section Catégories, sélectionnez Commandes.
2. Ajoutez, supprimez ou modifiez des règles en suivant la procédure décrite dans la rubrique À propos
des règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
318
WatchGuard System Manager
Stratégies de proxy
Proxy FTP : Transfert et téléchargement de contenu
Vous pouvez contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. Par exemple,
de nombreux pirates utilisent des fichiers exécutables pour infecter les ordinateurs avec des virus ou des vers,
c’est pourquoi vous pouvez décider de refuser les demandes de fichiers *.exe. De même, si vous ne souhaitez
pas que les utilisateurs puissent transférer des fichiers Windows Media vers un serveur FTP, il vous suffit
d’ajouter *.wmaà la définition du proxy et de préciser que les fichiers portant cette extension doivent être
rejetés. Utilisez l’astérisque (*) en tant que caractère générique.
Utilisez l’action de proxy FTP-Server pour déterminer les règles applicables à un serveur FTP protégé par le
périphérique Firebox. Utilisez l’action de proxy FTP-Client pour définir les règles relatives aux utilisateurs qui
se connectent à des serveurs FTP externes.
1. Dans la section Catégories, sélectionnez Transférer ou Télécharger.
2. Ajoutez, supprimez ou modifiez des règles en suivant la procédure décrite dans la rubrique À propos
des règles et des ensembles de règles.
3. Si vous voulez que Gateway AntiVirus procède à une analyse antivirus sur les fichiers transférés,
paramétrez au moins l’un des champs Actions à entreprendre sur Analyse AV.
4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez aux
rubriques concernant la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Configurer les actions de Gateway AntiVirus
Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à déclencher en cas de détection de virus
ou d’erreur dans un message électronique (proxies SMTP ou POP3), une page Web (proxy HTTP) ou un fichier
transféré ou téléchargé (proxy FTP). Les options des actions antivirus sont :
Autoriser
Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus.
Refuser (proxy FTP uniquement)
Refuse le fichier et envoie un message de refus.
Verrouiller (proxies SMTP et POP3 uniquement)
Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par
Firebox. Un fichier verrouillé ne peut pas être ouvert facilement par l’utilisateur. Seul l’administrateur
peut le déverrouiller. L’administrateur peut utiliser un autre outil antivirus pour analyser le fichier et
examiner le contenu de la pièce jointe. Pour plus d’informations sur la façon de déverrouiller un
fichier verrouillé par Gateway AntiVirus, voir Déverrouiller un fichier verrouillé par Gateway AntiVirus.
Quarantaine (proxy SMTP uniquement)
Lorsque vous utilisez le proxy SMTP avec l’abonnement aux services de sécurité spamBlocker, vous
pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur
Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de
Quarantine Server. Pour plus d’informations sur la façon de configurer Gateway AntiVirus pour qu’il
fonctionne avec Quarantine Server, voir Configurer Gateway AntiVirus pour mettre en quarantaine le
courrier.
Guide de l’utilisateur
319
Stratégies de proxy
Supprimer (proxies SMTP et POP3 uniquement)
Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire.
Abandonner (non pris en charge sur le proxy POP3)
Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message.
Bloquer (non pris en charge sur le proxy POP3)
Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués.
Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est moins sécurisée.
1. Dans Policy Manager, sélectionnez Tâches > Gateway AntiVirus > Configurer.
La boîte de dialogue Gateway AntiVirus s’affiche et répertorie les proxies qui ont déjà été créés.
320
WatchGuard System Manager
Stratégies de proxy
2. Sélectionnez la stratégie à configurer et cliquez sur Configurer.
La page Paramètres généraux de Gateway Antivirus correspondant à cette stratégie s’affiche.
Sinon, plutôt que d’exécuter les étapes 1 et 2, vous pouvez accéder à la même page à partir des écrans
de définition d’un proxy. Dans la section Catégories de la définition de proxy, sélectionnez AntiVirus.
3. Dans la liste déroulante Quand un virus est détecté, définissez l’action que Firebox doit déclencher
s’il détecte un virus dans un e-mail, un fichier ou une page Web. Voir le début de cette section pour
obtenir une description des actions du proxy.
4. Dans la liste déroulante Quand une erreur d’analyse se produit, définissez l’action que Firebox doit
déclencher lorsqu’il ne peut pas analyser un objet ou une pièce jointe. Parmi les pièces jointes qui ne
peuvent pas être analysées, on trouve les messages au format BinHex, certains fichiers chiffrés ou des
fichiers dont le type de compression n’est pas pris en charge, tels que les fichiers compressés protégés
par mot de passe. Voir le début de cette section pour obtenir une description des actions du proxy.
5. (Proxy FTP uniquement) Vous pouvez limiter l’analyse des fichiers à un nombre de kilo-octets précis.
Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser
partiellement les fichiers très volumineux sans trop perturber les performances. Entrez la limite dans le
champ Limiter l’analyse aux premiers.
Guide de l’utilisateur
321
Stratégies de proxy
Créer des alarmes ou entrées de journal pour les actions antivirus
Une alarme est un mécanisme permettant d’indiquer aux utilisateurs qu’une règle de proxy s’applique au
trafic réseau. Utilisez la case à cocher Alarme de la page AntiVirus d’une définition de proxy pour créer une
alarme lorsque l’action adjacente se produit. Si vous ne voulez pas définir d’alarme pour l’action antivirus,
désactivez la case à cocher Alarme pour cette action.
Pour utiliser correctement la fonctionnalité d’alarme, vous devez également configurer le type d’alarme à
utiliser dans chaque stratégie de proxy. Pour configurer le type d’alarme à utiliser, utilisez la catégorie Alarmes
de proxy et d’antivirus pour le proxy. Pour plus d’informations sur les paramètres de cette catégorie, voir
Définir les préférences de journalisation et de notification.
Si vous souhaitez enregistrer les messages du journal correspondant à une action de proxy, activez la case à
cocher Journal pour la réponse antivirus. Si vous ne souhaitez pas enregistrer les messages du journal pour
une réponse antivirus, désactivez la case à cocher Journal.
Prévention des intrusions dans les définitions de proxy
Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre
réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue
d’attaquer des réseaux tiers.
Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention
Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS
et TCP-UDP.
322
WatchGuard System Manager
Stratégies de proxy
Vous pouvez activer et configurer IPS de deux manières :
Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager
Pour plus d’informations, voir Activer Intrusion Prevention Service (IPS).
Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy
1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au
périphérique Firebox.
2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un
proxy existant.
3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de
stratégie, cliquez sur l’icône Afficher/Modifier le proxy
(première icône à droite de la liste
déroulante Action de proxy).
4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie
droite, définissez les paramètres d’Intrusion Prevention Service (IPS).
Alarmes de proxy et d’antivirus
Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un
administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut
survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action
autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance
situé sous Actions à entreprendre dans les définitions d’ensemble de règles.
Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de
fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez
préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait
de cette règle.
Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se
produit.
1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus.
2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une
notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme
d’un e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station
de gestion de ce dernier.
Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences
de journalisation et de notification.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
323
Stratégies de proxy
Terminer et enregistrer la configuration
1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la
boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie.
2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur
Firebox.
La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration.
Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez.
3. Cliquez sur Enregistrer.
4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK.
À propos du proxy H.323
Si, dans votre entreprise, vous faites appel à la technique de voix sur IP, vous pouvez ajouter une règle de proxy
H.323 ou SIP (Session Initiation Protocol) afin d’ouvrir les ports nécessaires à l’activation de la voix sur IP par le
biais de votre périphérique Firebox. Ces stratégies de proxy ont été conçues pour un environnement NAT et
visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et situé
derrière le périphérique Firebox.
H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est
une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls
les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et
où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des
stratégies de proxy H.323 et des stratégies de proxy SIP. Pour déterminer la stratégie de proxy à ajouter,
consultez la documentation fournie avec vos périphériques ou applications de voix sur IP.
La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants :
Connexions pair à pair
Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se
connecte à celui-ci directement.
Connexions hébergées
Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur
privé).
Avec H.323, le composant essentiel de la gestion des appels est appelé « portier ». À l’heure actuelle,
WatchGuard ne prend pas en charge les connexions H.323 hébergées par des systèmes de gestion des appels.
Dans la version actuelle, le proxy H.323 prend uniquement en charge les connexions pair à pair.
Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Il est
recommandé de vérifier que les connexions de voix sur IP fonctionnent correctement avant de tenter d’utiliser
le système avec des stratégies de proxy Firebox. Vous serez ainsi en mesure de résoudre les problèmes qui
pourraient se présenter.
Certains fabricants ont recours au protocole TFTP pour l’envoi de mises à jour périodiques au
matériel de voix sur IP géré. Si ce protocole est nécessaire aux mises à jour de votre matériel, veillez
à ajouter une stratégie TFTP à la configuration Firebox afin d’autoriser ces connexions.
324
WatchGuard System Manager
Stratégies de proxy
Lorsque vous activez une stratégie de proxy H.323, le périphérique Firebox :
ƒ
ƒ
ƒ
répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ;
vérifie que les connexions de voix sur IP utilisent les protocoles H.323 standard ;
génère des messages de journal à des fins d’audit.
Pour ajouter le proxy H.323 à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox.
Définition des paramètres des actions de proxy H.323
Le proxy H.323 possède un seul ensemble de règles (Général), qui contient lui-même un seul paramètre :
Activer la journalisation des rapports : ce paramètre permet de créer, pour chaque transaction, un message
dans le journal du trafic. La journalisation des rapports est activée par défaut. Cette option est susceptible de
créer un fichier journal volumineux, mais ces informations sont très importantes en cas d’attaque contre votre
pare-feu. Si vous désactivez cette case à cocher, les connexions établies via le proxy H.323 ne sont pas
détaillées dans les rapports WatchGuard.
À propos du proxy HTTP
Le protocole HTTP (Hyper Text Transfer Protocol ) est un protocole de requête/réponse entre clients et
serveurs. Le client HTTP est en principe un navigateur Internet. Le serveur HTTP est une ressource distante qui
stocke ou crée des fichiers HTML, des images et d’autres types de contenus. Lorsque le client HTTP lance une
requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 80. Un serveur HTTP attend
de recevoir les requêtes qui transitent via ce port. Lorsque cela arrive, il répond en renvoyant le fichier
demandé, un message d’erreur ou d’autres informations.
Le proxy HTTP est un filtre de contenu ultra performant. Il examine le trafic Web afin d’identifier les contenus
suspects pouvant véhiculer des virus ou tout autre type d’intrusion. Il peut également protéger votre serveur
Web face aux attaques du réseau externe.
Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy HTTP utilise
un port autre que le port 80, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le proxy TCP/
UDP, voir À propos du proxy TCP/UDP.
Pour ajouter le proxy HTTP à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox.
Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la
boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie. Les champs de cette boîte de
dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient
une icône vous permettant de configurer l’action de proxy.
HTTP et WebBlocker
Vous pouvez combiner le proxy HTTP avec l’abonnement au service de sécurité WebBlocker. Pour plus
d’informations, voir À propos de WebBlocker.
Guide de l’utilisateur
325
Stratégies de proxy
Onglet Stratégie
ƒ
ƒ
ƒ
Les connexions du proxy HTTP sont : Autorisé, Refusé ou Refusé (envoi réinitialisation).
Définissez qui apparaît dans les listes De et À (dans l’onglet Stratégie de la définition du proxy). Voir
Définir les règles d’accès pour une stratégie.
Utiliser le routage basé sur stratégie :pour utiliser le routage basé sur stratégie dans la définition de
proxy, voir Configurer le routage basé sur stratégie.
Vous pouvez également configurer la traduction d’adresses réseau statique ou configurer l’équilibrage
de charge côté serveur.
Onglet Propriétés
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Dans la liste déroulante Action de proxy, choisissez si vous voulez ou non définir une action pour un
client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de
proxy.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et définissez les préférences
de journalisation et de notification.
Si vous choisissez, dans la liste déroulante Les connexions du proxy HTTP sont située dans l’onglet
Stratégie, l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au protocole
HTTP seront bloqués. Voir Bloquer temporairement les sites avec des paramètres de stratégie.
Proxy HTTP : Intrusion Prevention
Alarmes de proxy et d’antivirus
Si vous voulez appliquer une durée d’inactivité autre que celle définie par le serveur d’authentification
ou Firebox, définissez une durée d’inactivité personnalisée.
Paramètres des actions de proxy
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la
sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les
ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy
(la première
icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la
partie gauche de la boîte de dialogue :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
326
Requêtes HTTP : Paramètres généraux
Requêtes HTTP : Méthodes de requête
Requêtes HTTP : Chemins d’URL
Requêtes HTTP : Champs d’en-tête
Requêtes HTTP : Autorisation
Réponses HTTP : Paramètres généraux
Réponses HTTP : Champs d’en-tête
Réponses HTTP : Types de contenus
Réponses HTTP : Cookies
Réponses HTTP : Types de contenus du corps
Proxy HTTP : Exceptions
Proxy HTTP : Réponses antivirus
Proxy HTTP : Message de refus
Proxy HTTP : Intrusion Prevention
Alarmes de proxy et d’antivirus
WatchGuard System Manager
Stratégies de proxy
Onglet Avancé
Vous pouvez effectuer plusieurs autres opérations avec la définition du proxy :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Définir un calendrier d’application
Appliquer des actions de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer des règles NAT (La NAT un à un et la NAT dynamique sont activées par défaut dans toutes
les stratégies.)
Activer le marquage QoS pour une stratégie
Définir une priorité de trafic dans une stratégie
Ajouter une durée de connexion persistante à une stratégie
Requêtes HTTP : Paramètres généraux
Dans la page Paramètres généraux (première page affichée une fois que vous avez cliqué sur l’icône Afficher/
Modifier le proxy), vous pouvez définir des paramètres HTTP de base tels que la durée d’inactivité et la
longueur de l’URL.
Guide de l’utilisateur
327
Stratégies de proxy
Définir le délai d’inactivité des connexions
Activez cette case à cocher pour contrôler le temps d’attente du proxy HTTP afin de permettre au
client Web d’effectuer une requête depuis le serveur Web externe après avoir démarré une
connexion TCP/IP ou après une requête antérieure, le cas échéant, pour la même connexion.
Si le délai dépasse ce paramètre, le proxy HTTP ferme la connexion. Dans le champ adjacent, entrez
le nombre de minutes s’écoulant avant la déconnexion du proxy.
Définir la longueur maximum du chemin URL à
Sélectionnez cette option pour définir la longueur maximum du chemin d’une URL. Cela n’inclut pas
« http:\\ » ou le nom d’hôte. Le contrôle de la longueur de l’URL peut permettre d’éviter le
dépassement de mémoire tampon. Dans le champ adjacent, entrez le nombre d’octets définissant la
longueur de l’URL maximum.
Autoriser des requêtes de plages non modifiées
Sélectionnez cette option pour autoriser des requêtes de plages via Firebox. Les requêtes de plages
permettent à un client d’effectuer une requête de sous-ensembles d’octets d’une ressource Web au
lieu de l’intégralité du contenu. Par exemple, si vous souhaitez obtenir uniquement certaines sections
d’un fichier volumineux Adobe et non l’ensemble du fichier, le téléchargement s’effectue plus
rapidement et évite le chargement des pages inutiles si vous êtes en mesure de demander
uniquement ce dont vous avez besoin. Cependant, les requêtes de plages peuvent également
constituer un risque pour votre réseau. Si vous autorisez des requêtes de plages via Firebox et que
vous téléchargez un fichier infecté par un virus dont la signature est répartie sur deux pages, le
logiciel antivirus ne pourra pas détecter le virus.
Sélectionnez Consigner cette action si vous souhaitez ajouter un message du journal du trafic
lorsque le proxy effectue l’action mentionnée dans la case à cocher pour les requêtes de plages.
Activer la journalisation des rapports
Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal
volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si
vous n’activez pas cette case à cocher, vous ne verrez pas les informations détaillées
sur les connexions de proxy HTTPS dans les rapports WatchGuard.
Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur
OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier)
vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur
prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom
de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Requêtes HTTP : Méthodes de requête
La plupart des requêtes HTTP de navigateur se situent dans l’une des deux catégories suivantes : opérations
GET et POST. Les navigateurs utilisent généralement des opérations GET pour télécharger des objets tels que
des graphiques, des données HTML ou des données Flash. Plusieurs opérations GET sont généralement
envoyées par un ordinateur client pour chaque page car les pages Web contiennent en principe de nombreux
éléments différents. Les éléments sont rassemblés afin de constituer une seule page pour l’utilisateur final.
Les navigateurs utilisent généralement des opérations POST pour envoyer des données à un site Web. Un
grand nombre de pages Web rassemblent des informations provenant de l’utilisateur final comme
l’emplacement, l’adresse électronique et le nom. Si vous désactivez la commande POST, Firebox refuse toutes
les opérations POST vers les serveurs Web sur le réseau externe. Cette fonction peut empêcher les utilisateurs
d’envoyer des informations vers un site Web sur le réseau externe.
328
WatchGuard System Manager
Stratégies de proxy
Si les extensions webDAV (décrites ci-dessous) ne sont pas activées, le proxy HTTP prend en charge les
méthodes de requête : HEAD, GET, POST, OPTIONS, PUT et DELETE. Pour le serveur HTTP, le proxy prend en
charge les méthodes de requête suivantes par défaut : HEAD, GET et POST. OPTIONS, PUT et DELETE sont
ajoutées mais sont désactivées par défaut.
1. Dans la section Catégories, sélectionnez Méthodes de requête.
2. Web-based Distributed Authoring and Versioning (webDAV) est un ensemble d’extensions HTTP qui
permet aux utilisateurs de modifier et de gérer des fichiers sur des serveurs Web distants. WebDAV est
compatible avec Outlook Web Access (OWA). Activez la case à cocher Activer webDAV si vous
souhaitez autoriser les utilisateurs à utiliser ces extensions.
Plusieurs extensions sont également disponibles pour le protocole webDAV de base. Si vous activez
webDAV, à l’aide de la case à cocher adjacente, indiquez si vous souhaitez activer uniquement les
extensions décrites dans RFC 2518 ou si vous souhaitez inclure un ensemble supplémentaire
d’extensions pour optimiser l’interopérabilité.
3. Ajoutez, supprimez ou modifiez des règles comme indiqué dans la rubrique À propos de l’utilisation
des règles et des ensembles de règles.
4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
329
Stratégies de proxy
Requêtes HTTP : Chemins d’URL
Une URL (Uniform Resource Locator) identifie une ressource sur un serveur distant et indique l’emplacement
du réseau sur ce serveur. Le chemin d’URL est la chaîne d’informations qui se trouve en dessous du nom de
domaine de niveau supérieur. Vous pouvez utiliser le proxy HTTP pour bloquer des sites Web qui contiennent
du texte spécifié dans le chemin d’URL. Si la définition de proxy par défaut ne répond pas à tous vos besoins,
vous pouvez ajouter, supprimer ou modifier les modèles de chemins d’URL. Les exemples suivants permettent
de bloquer du contenu utilisant des chemins d’URL de requête HTTP :
ƒ
Pour bloquer toutes les pages comportant le nom d’hôte www.test.com, entrez le modèle :
www.test.com*
ƒ
ƒ
Pour bloquer tous les chemins contenant le mot « sex », sur tous les sites Web : *sex*
Pour bloquer tous les chemins d’URL se terminant par « .test », sur tous les sites Web : *.test
En règle générale, si vous filtrez des URL avec l’ensemble de règles de chemin d’URL de requête HTTP,
vous devez configurer un modèle complexe utilisant une syntaxe d’expressions régulières de la vue
avancée de l’ensemble de règles. Cette méthode est plus simple et fournit de meilleurs résultats pour
un filtrage basé sur un en-tête ou un type de contenu du corps que sur un filtrage par chemin d’URL.
1. Dans la section Catégories, sélectionnez Chemins d’URL.
2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la
rubrique relative à la catégorie suivante que vous souhaitez modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
330
WatchGuard System Manager
Stratégies de proxy
Requêtes HTTP : Champs d’en-tête
Cet ensemble de règles fournit un filtrage de contenu pour l’intégralité de l’en-tête HTTP. Par défaut, le proxy
HTTP utilise des règles de correspondance exactes pour exclure des en-têtes Via et De et autoriser tous les
autres en-têtes. Cet ensemble de règles recherche la correspondance par rapport à l’intégralité de l’en-tête,
pas uniquement sur le nom. Par conséquent, pour obtenir une correspondance de toutes les valeurs d’un entête, entrez le modèle : « [nom en-tête] :* ». Pour obtenir uniquement une correspondance de certaines
valeurs d’un en-tête, remplacez l’astérisque (*) par un modèle. Si votre modèle ne commence pas par un
astérisque (*), insérez un espace entre les deux-points et le modèle lors de la saisie dans la zone de texte
Modèle. Par exemple, entrez : [nom en-tête] : [modèle] et non [nom en-tête]:[modèle].
À noter que les règles par défaut n’excluent pas l’en-tête Référenceur mais intègrent une règle désactivée
pour exclure cet en-tête. Pour activer cette règle, sélectionnez Modifier l’affichage. Certains navigateurs Web
et certaines applications logicielles doivent utiliser l’en-tête Référenceur pour fonctionner correctement.
1. Dans la section Catégories, sélectionnez Champs d’en-tête.
2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Requêtes HTTP : Autorisation
Cette règle définit les critères de filtrage de contenu des champs d’autorisation d’en-tête de requête HTTP.
Lorsqu’un serveur Web exécute un challenge « WWW-Authenticate », il envoie des informations relatives aux
méthodes d’authentification qu’il peut utiliser. Le proxy pose des limites au type d’authentification envoyé
dans une requête. Il utilise uniquement des méthodes d’authentification acceptées par le serveur Web. Dans
une configuration par défaut, Firebox autorise l’authentification Basic, Digest, NTLM et Passport1.4 et exclut
toutes les autres authentifications. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous
pouvez ajouter, supprimer ou modifier des règles :
1. Dans la section Catégories, sélectionnez Autorisation.
2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
331
Stratégies de proxy
Réponses HTTP : Paramètres généraux
Le champ Paramètres généraux permet de configurer des paramètres HTTP de base tels que le délai
d’inactivité ou les limites de longueur totale et de ligne.
1. Dans la section Catégories, sélectionnez Paramètres généraux.
2. Pour définir des limites pour les paramètres HTTP, activez les cases à cocher de votre choix. Utilisez les
flèches pour définir les limites suivantes :
Définir un délai d’attente
Définit le temps d’attente du proxy HTTP Firebox avant l’envoi de la page Web par le serveur.
Lorsqu’un utilisateur clique sur un lien hypertexte ou entre une adresse URL dans son navigateur,
une requête HTTP d’extraction du contenu est envoyée à un serveur distant. Dans la plupart des
navigateurs, la barre d’état indique alors « Site contacté... » ou un message similaire. Si le serveur
distant ne répond pas, le client HTTP continue d’envoyer la requête jusqu’à réception d’une
réponse ou jusqu’à expiration du délai de requête. Dans cet intervalle, le proxy HTTP continue à
surveiller la connexion et emploie des ressources réseau fiables.
Définir la longueur maximum du chemin URL à
Définit la longueur maximale autorisée pour une ligne de caractères dans les en-têtes de réponse
HTTP. Utilisez cette propriété pour protéger vos ordinateurs contre les attaques de dépassement
de mémoire tampon. Dans la mesure où la longueur des URL de la plupart des sites marchands
ne cesse d’augmenter avec le temps, vous devrez peut-être ajuster cette valeur ultérieurement.
Définir la longueur totale maximum
Définit la longueur maximum des en-têtes de réponse HTTP. Si la longueur totale d’en-tête est
supérieure à cette limite, la réponse HTTP est refusée.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si
l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
332
WatchGuard System Manager
Stratégies de proxy
Réponses HTTP : Champs d’en-tête
Cet ensemble de règles contrôle les champs d’en-tête de réponse HTTP autorisés par le périphérique Firebox.
Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou
modifier des règles.
RFC 2616 décrit un grand nombre d’en-têtes de réponse HTTP autorisés dans la configuration par défaut. Pour
plus d’informations, voir : http://www.ietf.org/rfc/rfc2616.txt.
1. Dans la section Catégories, sélectionnez Champs d’en-tête.
2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Réponses HTTP : Types de contenus
Lorsqu’un serveur Web envoie du trafic HTTP, il ajoute généralement un type MIME ou un type de contenu à
l’en-tête du paquet qui indique le type de contenu du paquet. L’en-tête HTTP du flux de données contient ce
type MIME. Il est ajouté avant l’envoi des données.
Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG,
ajoutez image/jpg à la définition du proxy. Vous pouvez utiliser l’astérisque (*) en tant que caractère
générique. Pour autoriser tout format d’image, ajoutez image/*.
Certains types de contenus demandés par les utilisateurs sur les sites Web peuvent constituer une menace de
sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. Par
défaut, Firebox autorise certains types de contenus sûrs et refuse le contenu MIME n’ayant pas de type de
contenu spécifié. Certains serveurs Web fournissent des types MIME incorrects pour contourner les règles de
contenu. Si la définition de proxy par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer
ou modifier la définition.
Pour obtenir une liste de types MIME enregistrés actuels, consultez : http://www.iana.org/assignments/
media-types.
Guide de l’utilisateur
333
Stratégies de proxy
Ajouter, supprimer ou modifier des types de contenus
1. Dans la section Catégories, sélectionnez Types de contenus.
2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Le proxy HTTP inclut une liste de types de contenus communément utilisés que vous pouvez ajouter
à l’ensemble de règles. Pour ajouter des types de contenus, cliquez sur le bouton Prédéfini. La boîte
de dialogue Sélectionner le type de contenu s’affiche. Sélectionnez les types à ajouter et cliquez sur
OK. Les nouveaux types apparaissent dans la zone Règles.
4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la
rubrique relative à la catégorie suivante que vous souhaitez modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Réponses HTTP : Cookies
Les cookies HTTP sont de petits fichiers de texte alphanumérique introduits par des serveurs Web sur les
clients Web. Les cookies contrôlent la page d’un client Web pour activer le serveur Web et envoyer plusieurs
pages dans le bon ordre. Les serveurs Web utilisent également des cookies pour collecter des informations
relatives à un utilisateur final. La plupart des sites Web utilisent des cookies comme fonction d’authentification
et autres fonctions de contrôle et ne peuvent pas fonctionner correctement sans cookies.
Le proxy HTTP vous permet de contrôler les cookies des réponses HTTP. Vous pouvez configurer des règles
pour exclure des cookies en fonction des exigences de votre réseau. La règle par défaut pour l’action de proxy
serveur HTTP et client HTTP autorise tous les cookies. Si l’ensemble de règles par défaut ne répond pas à tous
vos besoins, vous pouvez ajouter, supprimer ou modifier des règles.
Le proxy recherche les paquets en fonction du domaine associé au cookie. Le domaine peut être spécifié dans
le cookie. S le cookie ne contient aucun domaine, le proxy utilise le nom d’hôte dans la première requête. Par
exemple, pour bloquer tous les cookies pour nosy-adware-site.com, utilisez le modèle : *.nosy-adwaresite.com. Si vous souhaitez refuser les cookies de tous les sous-domaines d’un site Web, utilisez le caractère
générique (*) avant et après le domaine. Par exemple, *.google.com* bloque tous les sous-domaines de
google.com, tels que images.google.com et mail.google.com.
Changer les paramètres des cookies
1. Dans la section de gauche Catégories, sélectionnez Cookies.
2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez aux
rubriques concernant la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
334
WatchGuard System Manager
Stratégies de proxy
Réponses HTTP : Types de contenus du corps
Cet ensemble de règles vous permet de contrôler le contenu d’une réponse HTTP. Le périphérique Firebox est
configuré pour refuser des codes Java, des archives Zip, des fichiers EXE/DLL Windows et des fichiers CAB
Windows. L’action de proxy par défaut pour les requêtes HTTP sortantes (client HTTP) autorise tous les autres
types de contenus du corps de réponse. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins,
vous pouvez ajouter, supprimer ou modifier des règles. Nous vous recommandons d’examiner les types de
fichiers utilisés au sein de votre établissement et d’autoriser uniquement les types de fichiers nécessaires à
votre réseau.
1. Dans la section Catégories , sélectionnez Types de contenus du corps.
2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Exceptions de proxy HTTP
Les exceptions de proxy HTTP permettent d’ignorer des règles de proxy HTTP pour certains sites Web sans
ignorer la structure du proxy. Le trafic qui correspond aux exceptions de proxy HTTP continue via la gestion
de proxy standard utilisée par le proxy HTTP. Cependant, lorsqu’une correspondance est détectée, certains
paramètres de proxy sont ignorés.
Paramètres de proxy ignorés
Les paramètres suivants sont ignorés :
ƒ
ƒ
Requête HTTP : requêtes de plages, longueur du chemin URL, toutes les méthodes de requête, tous les
chemins URL, en-têtes de requête*, correspondance du modèle d’autorisation
Réponse HTTP : en-têtes de réponse*, types de contenus, cookies, types de contenus du corps
* Les en-têtes de requête et les en-têtes de réponse sont analysés par le proxy HTTP même si le trafic
correspond à l’exception de proxy HTTP. Si aucune erreur d’analyse ne se produit, tous les en-têtes sont
autorisés. De même, les fonctions d’analyse antivirus, d’analyse IPS et de WebBlocker ne sont pas appliquées
au trafic qui correspond à une exception de proxy HTTP.
Paramètres de proxy non ignorés
Les paramètres suivants ne sont pas ignorés :
ƒ
ƒ
Requête HTTP : délai d’inactivité
Réponse HTTP : délai d’inactivité, longueur maximale de la ligne, longueur maximale totale
Toutes les analyses codage-transfert restent appliquées pour autoriser le proxy à déterminer le type de
codage. Le proxy HTTP refuse tous les codages de transfert non valides ou incorrects.
Guide de l’utilisateur
335
Stratégies de proxy
Définir des exceptions
Vous pouvez ajouter des noms d’hôtes ou des modèles comme exceptions de proxy HTTP. Par exemple, si
vous bloquez tous les sites Web se terminant par « .test » mais que vous souhaitez autoriser les utilisateurs à
accéder au site www.abc.test, vous pouvez ajouter « www.abc.test » comme exception de proxy HTTP.
Vous spécifiez l’adresse IP ou le nom de domaine des sites accessibles. Le nom de domaine (ou hôte) est la
partie de l’URL qui se termine par .com, .net, .org, .biz, .gov ou .edu. Les noms de domaine peuvent également
se terminer par un code de pays, comme .de (Allemagne) ou .jp (Japon).
Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de « http:// ». Par exemple, pour permettre
aux utilisateurs d’accéder au site Web de WatchGuard http://www.watchguard.com, entrez
www.watchguard.com. Pour autoriser tous les sous-domaines contenant « watchguard.com », vous pouvez
utiliser l’astérisque (*) comme caractère générique. Par exemple, pour autoriser les utilisateurs à accéder à
« watchguard.com », « www.watchguard.com» et « support.watchguard.com», entrez *.watchguard.com.
1. Dans la section Catégories , sélectionnez Exceptions de proxy HTTP.
2. Dans le champ situé à gauche du bouton Ajouter, entrez le nom d’hôte ou le modèle de nom d’hôte.
Cliquez sur Ajouter. Répétez la procédure pour toutes les exceptions supplémentaires à ajouter.
3. Pour ajouter un message du journal du trafic chaque fois que le proxy HTTP exécute une action sur une
exception de proxy, activez la case à cocher Consigner chaque transaction correspondant à une
exception de proxy HTTP.
4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la
rubrique relative à la catégorie suivante que vous souhaitez modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
336
WatchGuard System Manager
Stratégies de proxy
Configurer les actions de Gateway AntiVirus
Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à déclencher en cas de détection de
virus ou d’erreur dans un message électronique (proxies SMTP ou POP3), une page Web (proxy HTTP) ou un
fichier transféré ou téléchargé (proxy FTP). Les options des actions antivirus sont :
Autoriser
Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus.
Refuser (proxy FTP uniquement)
Refuse le fichier et envoie un message de refus.
Verrouiller (proxies SMTP et POP3 uniquement)
Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par
Firebox. Un fichier verrouillé ne peut pas être ouvert facilement par l’utilisateur. Seul l’administrateur
peut le déverrouiller. L’administrateur peut utiliser un autre outil antivirus pour analyser le fichier et
examiner le contenu de la pièce jointe. Pour plus d’informations sur la façon de déverrouiller un
fichier verrouillé par Gateway AntiVirus, voir Déverrouiller un fichier verrouillé par Gateway AntiVirus.
Quarantaine (proxy SMTP uniquement)
Lorsque vous utilisez le proxy SMTP avec l’abonnement aux services de sécurité spamBlocker, vous
pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur
Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de
Quarantine Server. Pour plus d’informations sur la façon de configurer Gateway AntiVirus pour qu’il
fonctionne avec Quarantine Server, voir Configurer Gateway AntiVirus pour mettre en quarantaine le
courrier.
Supprimer (proxies SMTP et POP3 uniquement)
Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire.
Abandonner (non pris en charge sur le proxy POP3)
Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message.
Bloquer (non pris en charge sur le proxy POP3)
Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués.
Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est moins sécurisée.
Guide de l’utilisateur
337
Stratégies de proxy
1. Dans Policy Manager, sélectionnez Tâches > Gateway AntiVirus > Configurer.
La boîte de dialogue Gateway AntiVirus s’affiche et répertorie les proxies qui ont déjà été créés.
2. Sélectionnez la stratégie à configurer et cliquez sur Configurer.
La page Paramètres généraux de Gateway Antivirus correspondant à cette stratégie s’affiche.
Sinon, plutôt que d’exécuter les étapes 1 et 2, vous pouvez accéder à la même page à partir des écrans
de définition d’un proxy. Dans la section Catégories de la définition de proxy, sélectionnez AntiVirus.
338
WatchGuard System Manager
Stratégies de proxy
3. Dans la liste déroulante Quand un virus est détecté, définissez l’action que Firebox doit déclencher
s’il détecte un virus dans un e-mail, un fichier ou une page Web. Voir le début de cette section pour
obtenir une description des actions du proxy.
4. Dans la liste déroulante Quand une erreur d’analyse se produit, définissez l’action que Firebox doit
déclencher lorsqu’il ne peut pas analyser un objet ou une pièce jointe. Parmi les pièces jointes qui ne
peuvent pas être analysées, on trouve les messages au format BinHex, certains fichiers chiffrés ou des
fichiers dont le type de compression n’est pas pris en charge, tels que les fichiers compressés protégés
par mot de passe. Voir le début de cette section pour obtenir une description des actions du proxy.
5. (Proxy FTP uniquement) Vous pouvez limiter l’analyse des fichiers à un nombre de kilo-octets précis.
Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser
partiellement les fichiers très volumineux sans trop perturber les performances. Entrez la limite dans le
champ Limiter l’analyse aux premiers.
Créer des alarmes ou entrées de journal pour les actions antivirus
Une alarme est un mécanisme permettant d’indiquer aux utilisateurs qu’une règle de proxy s’applique au
trafic réseau. Utilisez la case à cocher Alarme de la page AntiVirus d’une définition de proxy pour créer une
alarme lorsque l’action adjacente se produit. Si vous ne voulez pas définir d’alarme pour l’action antivirus,
désactivez la case à cocher Alarme pour cette action.
Pour utiliser correctement la fonctionnalité d’alarme, vous devez également configurer le type d’alarme à
utiliser dans chaque stratégie de proxy. Pour configurer le type d’alarme à utiliser, utilisez la catégorie Alarmes
de proxy et d’antivirus pour le proxy. Pour plus d’informations sur les paramètres de cette catégorie, voir
Définir les préférences de journalisation et de notification.
Si vous souhaitez enregistrer les messages du journal correspondant à une action de proxy, activez la case à
cocher Journal pour la réponse antivirus. Si vous ne souhaitez pas enregistrer les messages du journal pour
une réponse antivirus, désactivez la case à cocher Journal.
Guide de l’utilisateur
339
Stratégies de proxy
Proxy HTTP : Message de refus
Firebox fournit un message de refus par défaut qui remplace le contenu refusé. Vous pouvez remplacer ce
message de refus par un message que vous rédigez. Vous pouvez personnaliser le message de refus avec du
HTML standard. Vous pouvez également utiliser des caractères Unicode (UTF-8) dans le message de refus. La
première ligne du message de refus est un composant de l’en-tête HTTP. Vous devez entrer une ligne vide
entre la première ligne et le corps du message.
Un message de refus est généré dans votre navigateur Web par Firebox lorsque vous effectuez une demande
que le proxy HTTP n’autorise pas. Un message de refus est également généré lorsque votre demande est
autorisée mais que le proxy HTTP refuse la réponse depuis le serveur Web distant. Par exemple, si un utilisateur
essaie de télécharger un fichier « .exe » et que vous avez bloqué ce type de fichier, l’utilisateur voit un message
de refus dans le navigateur Web. Si l’utilisateur essaie de télécharger une page Web avec un type de contenu
non reconnu et que la stratégie du proxy est configurée pour bloquer les types MIME inconnus, l’utilisateur
voit un message d’erreur dans le navigateur Web. Le message de refus par défaut apparaît dans le champ
Message de refus. Pour personnaliser ce message, utilisez les variables suivantes :
%(transaction)%
Insère « Requête » ou « Réponse » pour indiquer le côté de la transaction générant le refus du paquet.
%(raison)%
Insère la raison pour laquelle Firebox a refusé le contenu.
%(méthode)%
Insère la méthode de requête de la requête refusée.
%(hôte url)%
Insère le nom d’hôte du serveur de l’URL refusée. L’adresse IP du serveur est fournie si aucun nom
d’hôte n’a été inclus.
%(chemin url)%
Insère le composant chemin de l’URL refusée.
340
WatchGuard System Manager
Stratégies de proxy
1. Dans la section Catégories , sélectionnez Message de refus.
2. Entrez le message de refus dans la zone de texte Message de refus.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la
rubrique concernant la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Prévention des intrusions dans les définitions de proxy
Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre
réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue
d’attaquer des réseaux tiers.
Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention
Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS
et TCP-UDP.
Vous pouvez activer et configurer IPS de deux manières :
Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager Pour
plus d’informations, voir Activer Intrusion Prevention Service (IPS).
Guide de l’utilisateur
341
Stratégies de proxy
Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy
1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au
périphérique Firebox.
2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un
proxy existant.
3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de
stratégie, cliquez sur l’icône Afficher/Modifier le proxy
(première icône à droite de la liste
déroulante Action de proxy).
4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie
droite, définissez les paramètres d’Intrusion Prevention Service (IPS).
Alarmes de proxy et d’antivirus
Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un
administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut
survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action
autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance
situé sous Actions à entreprendre dans les définitions d’ensemble de règles.
Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de
fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez
préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait
de cette règle.
Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se
produit.
1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus.
2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une
notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un
e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de
gestion de ce dernier.
Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences
de journalisation et de notification.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
342
WatchGuard System Manager
Stratégies de proxy
Terminer et enregistrer la configuration
1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la
boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie.
2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur Firebox.
La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration.
Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez.
3. Cliquez sur Enregistrer.
4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK.
À propos du Proxy HTTPS
HTTPS (Hypertext Transfer Protocol sur Secure Socket Layer ou HTTP sur SSL) est un protocole requête/
réponse entre clients et serveurs utilisé pour sécuriser des communications et des transactions. Le protocole
HTTPS est plus sécurisé que le protocole HTTP car il utilise un certificat numérique pour chiffrer et déchiffrer
des requêtes de page utilisateur ainsi que des pages renvoyées par le serveur Web. Le client HTTPS est en
principe un navigateur Internet. Le serveur HTTPS est une ressource distante qui stocke ou crée des fichiers
HTML, des images et d’autres types de contenus.
Par défaut, lorsqu’un client HTTPS lance une requête, il établit une connexion TCP (Transmission Control
Protocol) sur le port 443. La plupart des serveurs HTTPS attendent les requêtes sur le port 443. Lorsqu’il reçoit
la requête du client, le serveur répond avec le fichier requis, un message d’erreur ou d’autres informations.
Lorsqu’un client HTTPS ou un serveur utilise un port différent du port 443 au sein de votre entreprise, vous
pouvez utiliser le proxy TCP/UDP pour relayer le trafic vers le proxy HTTPS. Pour plus d’informations sur le
proxy TCP/UDP, voir À propos du proxy TCP/UDP.
Pour ajouter le proxy HTTPS à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox.
Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la
boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie. Les champs de cette boîte de
dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient
une icône vous permettant de configurer l’action de proxy.
HTTPS et WebBlocker
Vous pouvez combiner le proxy HTTPS avec l’abonnement au service de sécurité WebBlocker. Pour plus
d’informations, voir À propos de WebBlocker. À noter que vous pouvez utiliser les paramètres Proxy HTTPS :
Noms de domaine pour filtrer des sites avant qu’ils ne soient comparés à la base de données WebBlocker.
Onglet Stratégie
ƒ
ƒ
Les connexions du proxy HTTPS sont : Autorisé, Refusé ou Refusé (envoi réinitialisation).
Définissez qui apparaît dans les listes De et À (dans l’onglet Stratégie de la définition du proxy). Voir
Définir les règles d’accès pour une stratégie.
Utiliser le routage basé sur stratégie: pour utiliser le routage basé sur stratégie dans la définition de
proxy, voir Configurer le routage basé sur stratégie.
Guide de l’utilisateur
343
Stratégies de proxy
Onglet Propriétés
ƒ
ƒ
ƒ
ƒ
Dans la liste déroulante Action de proxy, choisissez si vous voulez ou non définir une action pour un
client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de
proxy.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et définissez les préférences
de journalisation et de notification.
Si vous choisissez, dans la liste déroulante Les connexions du proxy HTTPS sont située dans l’onglet
Stratégie, l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au protocole
HTTPS seront bloqués. Voir Bloquer temporairement les sites avec des paramètres de stratégie.
Si vous voulez appliquer une durée d’inactivité autre que celle définie par le serveur d’authentification
ou Firebox, définissez une durée d’inactivité personnalisée.
Paramètres des actions de proxy
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la
sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les
ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy
(la première
icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la
partie gauche de la boîte de dialogue :
Proxy HTTPS : Paramètres généraux
Proxy HTTPS : Noms de domaine
Alarmes de proxy et d’antivirus
Onglet Avancé
Vous pouvez effectuer plusieurs autres opérations avec la définition du proxy :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
344
Définir un calendrier d’application
Appliquer des actions de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer des règles NAT (La NAT un à un et la NAT dynamique sont activées par défaut dans toutes
les stratégies.)
Activer le marquage QoS pour une stratégie
Définir une priorité de trafic dans une stratégie
Ajouter une durée de connexion persistante à une stratégie
WatchGuard System Manager
Stratégies de proxy
Proxy HTTPS : Paramètres généraux
Dans la page Paramètres généraux (première page affichée une fois que vous avez cliqué sur l’icône Afficher/
Modifier le proxy), vous pouvez définir la durée d’inactivité et indiquer si la journalisation est activée ou
désactivée.
Définir le délai d’inactivité des connexions
Activez cette case à cocher pour contrôler le temps d’attente du proxy HTTPS afin de permettre au
client Web d’effectuer une requête depuis le serveur Web externe après avoir démarré une
connexion TCP/IP ou après une requête antérieure, le cas échéant, pour la même connexion. Si le
délai dépasse ce paramètre, le proxy HTTPS ferme la connexion. Dans le champ adjacent, entrez le
nombre de minutes s’écoulant avant la déconnexion du proxy.
Activer la journalisation des rapports
Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal
volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si
vous n’activez pas cette case à cocher, vous ne verrez pas les informations détaillées
sur les connexions de proxy HTTPS dans les rapports WatchGuard.
Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la rubrique
concernant la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si
l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres
dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des
actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Proxy HTTPS : Noms de domaine
Les noms de domaine permettent de filtrer le contenu d’un site entier. La différence entre les noms de
domaine et les règles de chemin URL que vous utilisez avec le proxy HTTP est que les noms de domaine
s’appliquent à tous les protocoles et types de clients. Les chemins URL sont utilisés uniquement pour les
connexions Web.
Par exemple, si vous souhaitez refuser un trafic provenant d’un site de domaine abc.com, vous devrez ajouter
une règle de nom de domaine avec le modèle *.abc.com.
1. Dans la section Catégories , sélectionnez Noms de domaine.
2. Ajouter, supprimer ou modifier des règles comme décrit à la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la
rubrique concernant la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
Guide de l’utilisateur
345
Stratégies de proxy
Alarmes de proxy et d’antivirus
Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un
administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut
survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action
autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance
situé sous Actions à entreprendre dans les définitions d’ensemble de règles.
Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de
fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez
préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait
de cette règle.
Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se
produit.
1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus.
2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une
notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un
e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de
gestion de ce dernier.
Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences
de journalisation et de notification.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
346
WatchGuard System Manager
Stratégies de proxy
À propos du proxy POP3
POP3 (Post Office Protocol v.3) est un protocole qui transfère les e-mails depuis un serveur de messagerie vers
un client de messagerie via une connexion TCP sur le port 110. La plupart des comptes de messagerie basés
sur Internet utilisent POP3. Avec POP3, un client de messagerie contacte le serveur de messagerie et vérifie
tous les nouveaux e-mails. S’il détecte un nouvel e-mail, il le télécharge sur le client de messagerie local. Une
fois l’e-mail reçu par le client de messagerie, la connexion prend fin.
Pour ajouter le proxy POP3 à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox.
Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la
boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie. Les champs de cette boîte de
dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient
une icône vous permettant de configurer l’action de proxy.
Onglet Stratégie
ƒ
ƒ
Les connexions du proxy POP3 sont : Autorisé, Refusé ou Refusé (envoi réinitialisation).
Définissez qui apparaît dans les listes De et À (dans l’onglet Stratégie de la définition du proxy). Voir
Définir les règles d’accès pour une stratégie.
Utiliser le routage basé sur stratégie :pour utiliser le routage basé sur stratégie dans la définition de
proxy, voir Configurer le routage basé sur stratégie.
Onglet Propriétés
ƒ
ƒ
ƒ
ƒ
Dans la liste déroulante Action de proxy, choisissez si vous voulez ou non définir une action pour un
client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de
proxy.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et définissez les préférences
de journalisation et de notification.
Si vous choisissez, dans la liste déroulante Les connexions du proxy POP3 sont située dans l’onglet
Stratégie, l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au protocole
POP3 seront bloqués. Voir Bloquer temporairement les sites avec des paramètres de stratégie.
Si vous voulez appliquer une durée d’inactivité autre que celle définie par le serveur d’authentification
ou Firebox, définissez une durée d’inactivité personnalisée.
Guide de l’utilisateur
347
Stratégies de proxy
Paramètres des actions de proxy
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la
sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les
ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy
(la première
icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la
partie gauche de la boîte de dialogue :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Proxy POP3 : Paramètres généraux
Proxy POP3 : Authentification
Proxy POP3 : Types de contenus
Proxy POP3 : Noms de fichiers
Proxy POP3 : En-têtes
Proxy POP3 : Réponses antivirus
Proxy POP3 : Message de refus
Proxy POP3 : Intrusion Prevention
Proxy POP3 : spamBlocker
Alarmes de proxy et d’antivirus
Onglet Avancé
Vous pouvez effectuer plusieurs autres opérations avec la définition du proxy :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
348
Définir un calendrier d’application
Appliquer des actions de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer des règles NAT (La NAT un à un et la NAT dynamique sont activées par défaut dans toutes
les stratégies.)
Activer le marquage QoS pour une stratégie
Définir une priorité de trafic dans une stratégie
Ajouter une durée de connexion persistante à une stratégie
WatchGuard System Manager
Stratégies de proxy
Proxy POP3 : Paramètres généraux
Dans la page Paramètres généraux (première page affichée une fois que vous avez cliqué sur l’icône Afficher/
Modifier le proxy), vous pouvez définir le délai d’attente et les limites de longueur de ligne ainsi que d’autres
paramètres généraux pour le proxy POP3 :
1. Si cette page n’est pas déjà affichée, dans la section Catégories, sélectionnez Paramètres généraux.
2. Modifiez ces paramètres à votre convenance :
Définir un délai d’attente
Utilisez ce paramètre pour limiter la durée (en minutes) pendant laquelle le client de messagerie
essaie d’ouvrir une connexion vers le serveur de messagerie avant de mettre fin à la connexion. Cela
empêche le proxy d’utiliser trop de ressources réseau lorsque le serveur POP3 est lent ou
inaccessible.
Définir la longueur de ligne d’e-mail maximum à
Utilisez ce paramètre pour empêcher certains types d’attaques de dépassement de mémoire
tampon. Une longueur excessive des lignes peut être à l’origine d’un dépassement de mémoire
tampon sur certains systèmes de messagerie. La plupart des systèmes et clients de messagerie
envoient des lignes relativement courtes, mais certains systèmes de messagerie basés sur le Web
envoient des lignes très longues. Cependant, il est peu probable que vous deviez modifier ce
paramètre à moins qu’il n’empêche l’accès d’e-mails légitimes.
Masquer les réponses serveur
Activez cette case à cocher pour remplacer les chaînes de salutation POP3 dans les e-mails. Les pirates
informatiques utilisent ces chaînes pour identifier le fournisseur et la version du serveur POP3.
Guide de l’utilisateur
349
Stratégies de proxy
Autoriser des pièces jointes codées UU
Activez cette case à cocher pour que le proxy POP3 autorise les pièces jointes codées UU dans les emails. Cet ancien programme permet d’envoyer des fichiers binaires au format ASCII sur Internet. Les
pièces jointes codées UU peuvent présenter des risques de sécurité car elles apparaissent comme
fichiers texte ASCII mais peuvent en fait contenir des fichiers exécutables.
Autoriser des pièces jointes BinHex
Activez cette case à cocher pour que le proxy POP3 autorise les pièces jointes BinHex dans les e-mails.
BinHex, contraction de binaire-à-hexadécimal, est un utilitaire qui convertit un fichier binaire au
format ASCII.
Activer la journalisation des rapports
Activez cette case à cocher pour que le proxy POP3 envoie un message du journal à chaque demande
de connexion via le POP3. Si vous souhaitez utiliser WatchGuard Reports pour créer des rapports sur
le trafic POP3, vous devez activer cette case à cocher.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
350
WatchGuard System Manager
Stratégies de proxy
Proxy POP3 : Authentification
Un client POP3 doit s’authentifier auprès d’un serveur POP3 avant que ces derniers puissent échanger des
informations. Dans la page Authentification, vous pouvez définir les types d’authentification pour autoriser
le proxy et l’action à entreprendre pour les types ne répondant pas aux critères. Si l’ensemble de règles par
défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles :
1. Dans la section Catégories, sélectionnez Authentification.
2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Une fois l’ensemble de règles modifié, cliquez sur OK. Si l’action de proxy que vous avez modifiée est
une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. Entrez le
nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
351
Stratégies de proxy
Proxy POP3 : Types de contenus
Les en-têtes d’e-mails incluent un en-tête Type de contenu qui indique le type MIME de l’e-mail et des pièces
jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports contenus dans le
message. Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité pour
votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs.
Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou
modifier des règles. Dans la page Types de contenus, vous pouvez définir des valeurs de filtrage de contenu
et l’action à entreprendre pour les types de contenus ne répondant pas aux critères. Pour l’action de proxy de
serveur POP3, vous définissez des valeurs de filtrage de contenu entrant. Pour l’action de proxy de client POP3,
vous définissez des valeurs de filtrage de contenu sortant.
1. Dans la section Catégories, sélectionnez Types de contenus.
2. Activez la case à cocher Activer la détection automatique du type de contenu pour que le proxy
POP3 examine le contenu et détermine son type. Sinon, le proxy POP3 utilise la valeur indiquée dans
l’en-tête d’e-mail, que les clients définissent parfois de façon incorrecte.
Par exemple, un fichier .pdf joint peut avoir un type de contenu indiqué comme application/flux
d’octets. Si vous activez la détection automatique du type de contenu, le proxy POP3 reconnaît le
fichier .pdf et utilise le type de contenu réel, application/pdf. Si le proxy ne reconnaît pas le type de
contenu une fois le contenu examiné, il utilise la valeur indiquée dans l’en-tête d’e-mail, comme il le
ferait si la détection automatique du type de contenu n’était pas activée.
Dans la mesure où les pirates informatiques essaient toujours de masquer des fichiers exécutables sous
d’autres types de contenus, nous vous recommandons d’activer la détection automatique du type de
contenu pour sécuriser davantage votre installation.
3. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
4. Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images
JPEG, ajoutez image/jpg. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Pour
autoriser tout format d’image, ajoutez /* à la liste.
5. Vous pouvez ajouter plusieurs types de contenus prédéfinis. Cliquez sur le bouton Prédéfini pour
afficher une liste des types de contenus ainsi qu’une brève description de ces types de contenus.
6. Une fois l’ensemble de règles modifié, cliquez sur OK. Si l’action de proxy que vous avez modifiée est
une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. Entrez le
nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
352
WatchGuard System Manager
Stratégies de proxy
7. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
353
Stratégies de proxy
Proxy POP3 : Noms de fichiers
Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy
de serveur POP3 pour les pièces jointes d’e-mails entrants. Cet ensemble de règles permet de fixer des limites
sur les noms de fichiers dans le cadre d’une action de proxy de client POP3 pour les pièces jointes d’e-mails
sortants. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer
ou modifier des règles.
1. Dans la section Catégories, sélectionnez Noms de fichiers.
2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Une fois l’ensemble de règles modifié, cliquez sur OK. Si l’action de proxy que vous avez modifiée est
une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. Entrez le
nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
354
WatchGuard System Manager
Stratégies de proxy
Proxy POP3 : En-têtes
Le proxy POP3 examine les en-têtes d’e-mail pour rechercher les modèles communs aux « faux » e-mails ainsi
que ceux des expéditeurs légitimes. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous
pouvez ajouter, supprimer ou modifier des règles :
1. Dans la section Catégories, sélectionnez En-têtes.
2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
4. Pour modifier les paramètres d’une autre catégorie, voir la section relative à cette catégorie dans ce
document.
Guide de l’utilisateur
355
Stratégies de proxy
Configurer les actions de Gateway AntiVirus
Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à déclencher en cas de détection de
virus ou d’erreur dans un message électronique (proxies SMTP ou POP3), une page Web (proxy HTTP) ou un
fichier transféré ou téléchargé (proxy FTP). Les options des actions antivirus sont :
Autoriser
Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus.
Refuser (proxy FTP uniquement)
Refuse le fichier et envoie un message de refus.
Verrouiller (proxies SMTP et POP3 uniquement)
Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par
Firebox. Un fichier verrouillé ne peut pas être ouvert facilement par l’utilisateur. Seul l’administrateur
peut le déverrouiller. L’administrateur peut utiliser un autre outil antivirus pour analyser le fichier et
examiner le contenu de la pièce jointe. Pour plus d’informations sur la façon de déverrouiller un
fichier verrouillé par Gateway AntiVirus, voir Déverrouiller un fichier verrouillé par Gateway AntiVirus.
Quarantaine (proxy SMTP uniquement)
Lorsque vous utilisez le proxy SMTP avec l’abonnement aux services de sécurité spamBlocker, vous
pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur
Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de
Quarantine Server. Pour plus d’informations sur la façon de configurer Gateway AntiVirus pour qu’il
fonctionne avec Quarantine Server, voir Configurer Gateway AntiVirus pour mettre en quarantaine le
courrier.
Supprimer (proxies SMTP et POP3 uniquement)
Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire.
Abandonner (non pris en charge sur le proxy POP3)
Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message.
Bloquer (non pris en charge sur le proxy POP3)
Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués.
Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est moins sécurisée.
356
WatchGuard System Manager
Stratégies de proxy
1. Dans Policy Manager, sélectionnez Tâches > Gateway AntiVirus > Configurer.
La boîte de dialogue Gateway AntiVirus s’affiche et répertorie les proxies qui ont déjà été créés.
2. Sélectionnez la stratégie à configurer et cliquez sur Configurer.
La page Paramètres généraux de Gateway Antivirus correspondant à cette stratégie s’affiche.
Sinon, plutôt que d’exécuter les étapes 1 et 2, vous pouvez accéder à la même page à partir des écrans
de définition d’un proxy. Dans la section Catégories de la définition de proxy, sélectionnez AntiVirus.
Guide de l’utilisateur
357
Stratégies de proxy
3. Dans la liste déroulante Quand un virus est détecté, définissez l’action que Firebox doit déclencher
s’il détecte un virus dans un e-mail, un fichier ou une page Web. Voir le début de cette section pour
obtenir une description des actions du proxy.
4. Dans la liste déroulante Quand une erreur d’analyse se produit, définissez l’action que Firebox doit
déclencher lorsqu’il ne peut pas analyser un objet ou une pièce jointe. Parmi les pièces jointes qui ne
peuvent pas être analysées, on trouve les messages au format BinHex, certains fichiers chiffrés ou des
fichiers dont le type de compression n’est pas pris en charge, tels que les fichiers compressés protégés
par mot de passe. Voir le début de cette section pour obtenir une description des actions du proxy.
5. (Proxy FTP uniquement) Vous pouvez limiter l’analyse des fichiers à un nombre de kilo-octets précis.
Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser
partiellement les fichiers très volumineux sans trop perturber les performances. Entrez la limite dans le
champ Limiter l’analyse aux premiers.
Créer des alarmes ou entrées de journal pour les actions antivirus
Une alarme est un mécanisme permettant d’indiquer aux utilisateurs qu’une règle de proxy s’applique au
trafic réseau. Utilisez la case à cocher Alarme de la page AntiVirus d’une définition de proxy pour créer une
alarme lorsque l’action adjacente se produit. Si vous ne voulez pas définir d’alarme pour l’action antivirus,
désactivez la case à cocher Alarme pour cette action.
Pour utiliser correctement la fonctionnalité d’alarme, vous devez également configurer le type d’alarme à
utiliser dans chaque stratégie de proxy. Pour configurer le type d’alarme à utiliser, utilisez la catégorie Alarmes
de proxy et d’antivirus pour le proxy. Pour plus d’informations sur les paramètres de cette catégorie, voir
Définir les préférences de journalisation et de notification.
Si vous souhaitez enregistrer les messages du journal correspondant à une action de proxy, activez la case à
cocher Journal pour la réponse antivirus. Si vous ne souhaitez pas enregistrer les messages du journal pour
une réponse antivirus, désactivez la case à cocher Journal.
358
WatchGuard System Manager
Stratégies de proxy
Proxy POP3 : Message de refus
Firebox fournit un message de refus par défaut qui remplace le contenu refusé. Vous pouvez remplacer ce
message de refus par un message que vous rédigez. La première ligne du message de refus est une partie de
l’en-tête HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message.
1. Dans la section Catégories, sélectionnez Message de refus.
2. Dans la zone de texte Message de refus, écrivez un message en texte brut personnalisé avec du HTML
standard qui apparaîtra dans l’e-mail du destinataire lorsque le proxy bloquera cet e-mail. Vous pouvez
utiliser les variables suivantes :
%(raison)%
Indique la raison pour laquelle Firebox refuse le contenu. %(type)% Indique le type de contenu
refusé.
%(nom_fichier)%
Indique le nom de fichier du contenu refusé.
%(virus)%
Indique le nom ou le statut d’un virus, pour les utilisateurs de Gateway AntiVirus uniquement.
%(action)%
Indique le nom de l’action entreprise : verrouiller, exclure, etc.
%(récupération)%
Indique si vous pouvez récupérer la pièce jointe.
Guide de l’utilisateur
359
Stratégies de proxy
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
360
WatchGuard System Manager
Stratégies de proxy
Prévention des intrusions dans les définitions de proxy
Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre
réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue
d’attaquer des réseaux tiers.
Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention
Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS
et TCP-UDP.
Vous pouvez activer et configurer IPS de deux manières :
Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager Pour
plus d’informations, voir Activer Intrusion Prevention Service (IPS).
Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy
1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au
périphérique Firebox.
2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un
proxy existant.
3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de
stratégie, cliquez sur l’icône Afficher/Modifier le proxy
(première icône à droite de la liste
déroulante Action de proxy).
4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie
droite, définissez les paramètres d’Intrusion Prevention Service (IPS).
Guide de l’utilisateur
361
Stratégies de proxy
Proxy POP3 : spamBlocker
Les courriers indésirables (ou spams) remplissent votre boîte de réception à une allure incroyable. Une trop
grande quantité de courriers indésirables limite la bande passante, affecte la productivité des employés et
gaspille les ressources du réseau. L’option WatchGuard spamBlocker augmente votre capacité à bloquer les
spams à l’entrée du réseau, lorsqu’ils tentent de s’introduire dans votre système. Si vous avez acquis et activé
la fonctionnalité spamBlocker, les champs de la catégorie spamBlocker définissent les actions nécessaires à
l’identification des e-mails en tant que courrier indésirable.
Même si vous pouvez utiliser les écrans de définition du proxy pour activer et configurer spamBlocker, il est
plus simple d’utiliser le menu Tâches de Policy Manager. Pour plus d’informations sur cette opération ou pour
utiliser les écrans spamBlocker dans la définition du proxy, voir À propos de spamBlocker.
362
WatchGuard System Manager
Stratégies de proxy
Alarmes de proxy et d’antivirus
Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un
administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut
survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action
autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance
situé sous Actions à entreprendre dans les définitions d’ensemble de règles.
Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de
fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez
préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait
de cette règle.
Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se
produit.
1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus.
2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une
notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un
e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de
gestion de ce dernier.
Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences
de journalisation et de notification.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Terminer et enregistrer la configuration
1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la
boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie.
2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur
Firebox.
La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration.
Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez.
3. Cliquez sur Enregistrer.
4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK.
Guide de l’utilisateur
363
Stratégies de proxy
À propos du Proxy SIP
Si, dans votre entreprise, vous faites appel à la technique de voix sur IP, vous pouvez ajouter une règle de proxy
SIP (Session Initiation Protocol) ou H.323 afin d’ouvrir les ports nécessaires à l’activation de la voix sur IP par le
biais de votre périphérique Firebox. Ces stratégies de proxy ont été conçues pour un environnement NAT et
visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et situé
derrière le périphérique Firebox.
H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est
une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls
les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et
où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des
stratégies de proxy H.323 et des stratégies de proxy SIP. Pour déterminer la stratégie de proxy à ajouter,
consultez la documentation fournie avec vos périphériques ou applications de voix sur IP.
La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants :
Connexions pair à pair
Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se
connecte à celui-ci directement.
Connexions hébergées
Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur
privé).
Avec le protocole SIP standard, deux composants clés du système d’appel sont « SIP Registrar » et « SIP Proxy ».
Ces composants assurent à eux deux la fonctionnalité de H.323 Gatekeeper et fonctionnent ensemble pour
gérer des connexions reçues par le système de gestion d’appel. Le proxy SIP WatchGuard et le proxy SIP
standard sont différents. Le proxy SIP WatchGuard est un proxy transparent qui ouvre et ferme des ports pour
permettre le fonctionnement de SIP. Le proxy SIP WatchGuard peut prendre en charge le SIP Registrar et le
proxy SIP lorsqu’ils sont utilisés dans un système de gestion d’appel externe au Firebox. SIP n’est pas pris en
charge dans cette version si votre système de gestion d’appel est protégé par Firebox.
Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Il est recommandé de
vérifier que les connexions de voix sur IP fonctionnent correctement avant de tenter d’utiliser le système avec des
stratégies de proxy Firebox. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se présenter.
Certains fabricants ont recours au protocole TFTP pour l’envoi de mises à jour périodiques au
matériel de voix sur IP géré. Si ce protocole est nécessaire aux mises à jour de votre matériel, veillez
à ajouter une stratégie TFTP à la configuration Firebox afin d’autoriser ces connexions.
Lorsque vous activez une stratégie de proxy SIP, le périphérique Firebox :
ƒ
ƒ
ƒ
répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ;
vérifie que les connexions de voix sur IP utilisent les protocoles SIP standard ;
génère des messages de journal à des fins d’audit.
Pour ajouter le proxy SIP à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox.
364
WatchGuard System Manager
Stratégies de proxy
Définition des paramètres des actions de proxy SIP
Le proxy SIP possède un seul ensemble de règles (Général), qui contient lui-même un seul paramètre :
Activer la journalisation des rapports : ce paramètre permet de créer, pour chaque transaction, un message
dans le journal du trafic. La journalisation des rapports est activée par défaut. Cette option est susceptible de
créer un fichier journal volumineux, mais ces informations sont très importantes en cas d’attaque contre votre
pare-feu. Si vous désactivez cette case à cocher, les connexions établies via le proxy SIP ne sont pas détaillées
dans les rapports WatchGuard.
À propos du Proxy SMTP
SMTP (Simple Mail Transport Protocol) est un protocole utilisé pour envoyer des e-mails entre serveurs de
messagerie mais également entre clients de messagerie et serveurs de messagerie. Il utilise généralement une
connexion TCP sur un port 25. Le proxy SMTP permet de contrôler les e-mails et leur contenu. Le proxy analyse
des messages SMTP en fonction d’un certain nombre de paramètres filtrés et les compare aux règles de la
configuration du proxy.
Lorsque vous utilisez une NAT statique avec le SMTP, vous pouvez voir des paquets provenant d’un serveur
de messagerie distant refusés avec le port de destination 113. Le cas échéant, vous pouvez ajouter une
stratégie IDENT dans Policy Manager. Configurez IDENT pour autoriser les connexions entrantes vers :
Firebox. Vous autorisez ainsi les e-mails sortants derrière le périphérique Firebox à accéder aux quelques
serveurs SMTP sur Internet qui utilisent IDENT.
Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le protocole SMTP
utilise un port différent du port 25, le proxy TCP/UDP transfère le trafic vers le proxy SMTP. Pour plus
d’informations sur le proxy TCP/UDP, voir À propos du proxy TCP/UDP.
Pour ajouter le proxy SMTP à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox.
Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la
boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie pour modifier la définition.
Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus,
l’onglet Propriétés contient une icône permettant de configurer l’action de proxy.
Onglet Stratégie
ƒ
Les connexions du proxy SMTP sont : Spécifiez si les connexions ont l’état Autorisé, Refusé ou
Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet Stratégie
de la définition du proxy). Voir Définir les règles d’accès pour une stratégie.
Onglet Propriétés
ƒ
ƒ
ƒ
ƒ
Dans la liste déroulante Action de proxy, indiquez si vous voulez ou non définir une action pour un
client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de
proxy.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification.
Si vous paramétrez la liste déroulante Les connexions du proxy SMTP sont (de l’onglet Stratégie) sur
Refusé ou Refusé (envoi réinitialisation), vous pouvez bloquer des sites qui tentent d’utiliser SMTP. Voir
Bloquer temporairement les sites avec des paramètres de stratégie.
Si vous voulez utiliser une durée d’inactivité autre que celle définie par le serveur d’authentification ou
Firebox, voir Définir un délai d’inactivité personnalisé.
Guide de l’utilisateur
365
Stratégies de proxy
Paramètres des actions de proxy
Les proxys WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la
sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les
ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy
(la première
icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la
partie gauche de la boîte de dialogue.
Proxy SMTP : Paramètres généraux
Proxy SMTP : Règles de salutation
Proxy SMTP : Paramètres ESMTP
Proxy SMTP : Authentification
Proxy SMTP : Types de contenus
Proxy SMTP : Noms de fichiers
Proxy SMTP : E-mail de/e-mail à
Proxy SMTP : En-têtes
Proxy SMTP : Réponses antivirus
Proxy SMTP : Message de refus
Proxy SMTP : Intrusion Prevention
Proxy SMTP : spamBlocker
Alarmes de proxy et d’antivirus
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition du proxy :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
366
Définir un calendrier d’application
Appliquer les actions de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer des règles NAT (La NAT un à un et la NAT dynamique sont activées par défaut dans toutes
les stratégies.)
Activer le marquage QoS pour une stratégie
Définir une propriété de trafic dans une stratégie
Ajouter une durée de connexion persistante à une stratégie
WatchGuard System Manager
Stratégies de proxy
Proxy SMTP : paramètres généraux
Sur la page Paramètres généraux (la page qui s’affiche lorsque vous cliquez sur l’icône Afficher/Modifier le
proxy, vous pouvez définir des paramètres de proxy SMTP de base tels que le délai d’inactivité et les limites de
messages.
Délai d’inactivité
Vous pouvez définir la durée d’inactivité d’une connexion SMTP entrante avant qu’elle n’expire. La
valeur par défaut est de 10 minutes.
Nombre maximum de destinataires du courrier
Avec la case à cocher Définir le nombre de destinataires d’e-mail maximum, vous pouvez définir
le nombre maximum de destinataires auxquels un message peut être envoyé. Le Firebox compte et
autorise le passage du nombre spécifié d’adresses, puis ignore les autres adresses. Par exemple, si
vous définissez la valeur sur 50 et si un message est destiné à 52 adresses, les 50 premières adresses
reçoivent le message. Les deux dernières adresses ne le reçoivent pas. Une liste de distribution
s’affiche sous forme d’adresse e-mail SMTP (par exemple, assistance@watchguard.com). Le Firebox la
compte comme une seule adresse. Vous pouvez utiliser cette fonctionnalité pour diminuer le volume
de courrier indésirable car ce dernier inclut généralement un grand nombre de destinataires. Soyez
toutefois prudent car vous pouvez également refuser du courrier légitime.
Longueur maximale de l’adresse
Avec la case à cocher Définir la longueur d’adresse maximum, vous pouvez définir la longueur
maximale des adresses e-mail.
Guide de l’utilisateur
367
Stratégies de proxy
Taille maximale des e-mails
Avec la case à cocher Définir la taille d’e-mail maximum, vous pouvez définir la longueur maximale
d’un message SMTP entrant. La plupart des e-mails sont envoyés au format texte ASCII 7 bits. Les
exceptions sont les formats MIME binaire et MIME 8 bits. Le contenu MIME 8 bits (par exemple, les
pièces jointes MIME) est codé à l’aide d’algorithmes standard (codage de type Base64 ou quoteprintable) afin de pouvoir être envoyé à travers les systèmes d’e-mails 7 bits. Le codage peut
augmenter la longueur des fichiers d’un tiers. Pour autoriser des messages de 10 Ko, il convient de
définir ce champ sur un minimum de 1 334 octets pour garantir le passage de tous les e-mails.
Longueur de ligne d’e-mail maximum
Avec la case à cocher Définir la longueur de ligne d’e-mail maximum à, vous pouvez définir la
longueur maximale des lignes d’un message SMTP. Une longueur excessive des lignes peut être à
l’origine d’un débordement de la mémoire tampon sur certains systèmes de messagerie. La plupart
des systèmes et clients d’e-mail envoient des lignes courtes, mais certains systèmes Web en envoient
des très longues.
Masquer le serveur de messagerie
Activez les cases à cocher ID de message et Réponses de serveur pour remplacer les chaînes de
limites MIME et d’annonces SMTP dans les messages. Ces dernières sont utilisées par les pirates pour
identifier le fournisseur et la version du serveur SMTP.
Si vous possédez un serveur de messagerie et utilisez l’action de proxy SMTP entrant, vous pouvez
indiquer au proxy SMTP de remplacer le domaine qui s’affiche dans la bannière du serveur SMTP par
le nom de domaine de votre choix. Pour ce faire, en regard de Réécrire le domaine de bannière,
entrez le nom de domaine à utiliser dans votre bannière dans la zone de texte qui s’affiche. Pour que
cela se produise, vous devez également activer la case à cocher Réponses de serveur.
Si vous utilisez l’action de proxy SMTP sortant, vous pouvez indiquer au proxy SMTP de remplacer le
domaine qui apparaît dans les annonces HELO ou EHLO. Ces annonces constituent la première partie
d’une transaction SMTP, lorsque le serveur de messagerie s’annonce auprès d’un serveur de
messagerie récepteur. Pour ce faire, en regard de Réécrire le domaine HELO, entrez le nom de
domaine à utiliser dans votre annonce HELO ou EHLO dans la zone de texte qui s’affiche.
Autoriser des pièces jointes codées UU
Activez cette case à cocher pour que le proxy SMTP autorise les pièches jointes uuencodées aux emails. Uuencode est un programme de génération précédente utilisé pour envoyer des fichiers
binaires au format texte ASCII sur Internet. Les pièces jointes en Uuencode peuvent présenter des
risques de sécurité car elles apparaissent sous forme de fichiers texte ASCII mais peuvent en fait
contenir des exécutables.
Autoriser des pièces jointes BinHex
Activez cette case à cocher pour que le proxy SMTP autorise les pièches jointes BinHex aux e-mails.
BinHex, abréviation de binaire-à-hexadécimal, est un utilitaire qui convertit un fichier du format
binaire au format ASCII.
Blocage automatique de la source des commandes non valides
Activez cette case à cocher pour ajouter les expéditeurs de commandes SMTP non valides à la liste
Sites bloqués. Des commandes SMTP non valides indiquent souvent une attaque contre le serveur
SMTP.
Activer la journalisation des rapports
Activez cette case à cocher pour envoyer un message de journal pour chaque demande de connexion
via SMTP. Il convient d’activer cette case à cocher pour que WatchGuard Reports crée des rapports
précis sur le trafic SMTP.
368
WatchGuard System Manager
Stratégies de proxy
Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce
document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si
l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres
dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des
actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Proxy SMTP : règles d’accueil
Le proxy examine les réponses HELO/EHLO initiales lors de l’initialisation de la session SMTP. Les règles par
défaut de l’action de proxy SMTP entrant s’assurent que les paquets avec des messages d’accueil trop longs
ou contenant des caractères incorrects ou inattendus sont refusés. Si l’ensemble de règles par défaut ne
répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles :
1. Dans la section Catégories, sélectionnez Règles de salutation.
2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
369
Stratégies de proxy
Proxy SMTP : paramètres ESMTP
Les champs Paramètres ESMTP permettent de définir le filtrage du contenu ESMTP. Bien que le protocole
SMTP soit largement reconnu et utilisé, quelques acteurs de la communauté Internet ont éprouvé le besoin
de le développer pour en augmenter la fonctionnalité. ESMTP permet d’ajouter des extensions fonctionnelles
à SMTP et d’identifier les serveurs et clients qui prennent en charge les fonctionnalités étendues.
1. Dans la section Catégories, sélectionnez Paramètres ESMTP.
Activer ESMTP
Activez cette case à cocher pour activer les champs ci-dessous. Dans le cas contraire, toutes les
cases à cocher ci-dessous sont désactivées. Cependant, leurs paramètres sont enregistrés et ils
sont restockés si vous réactivez cette case à cocher.
Autoriser BDAT/CHUNKING
Activez cette case à cocher pour autoriser BDAT/CHUNKING. Ceci permet d’envoyer des
messages volumineux plus facilement à travers les connexions SMTP.
Autoriser ETRN (Remote Message Queue Starting)
Il s’agit d’une extension du protocole SMTP qui permet à un client et un serveur SMTP d’interagir
pour démarrer l’échange des files d’attente de messages d’un hôte donné.
Autoriser le MIME 8 bits
Activez cette case à cocher pour autoriser le MIME 8 bits, si le client et l’hôte prennent en charge
l’extension. Cette extension permet à un client et un hôte d’échanger des messages constitués
de texte dont les octets ne font pas partie de la plage d’octets (hex 00-7F ou ASCII 7 bits) utilisée
par le jeu de caractères US-ASCII.
370
WatchGuard System Manager
Stratégies de proxy
Autoriser le MIME binaire
Activez cette case à cocher pour autoriser l’extension MIME binaire, si l’expéditeur et le
destinataire l’acceptent. Le MIME binaire empêche la surcharge du codage base64 et quotedprintable des objets binaires envoyés utilisant le format de message MIME avec SMTP. Nous
déconseillons l’activation de cette option car elle peut présenter des risques de sécurité.
Consigner les options ESMTP refusées
Activez cette case à cocher pour activer, ou désactivez-la pour désactiver, la journalisation des
options ESMTP inconnues enlevées par le proxy SMTP.
2. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Proxy SMTP : Authentification
Cet ensemble de règles autorise les types d’authentification ESMTP suivants : DIGEST- MD5, CRAM-MD5,
PLAIN, LOGIN, LOGIN (ancien style), NTLM et GSSAPI. La règle par défaut refuse tout autre type
d’authentification. Le RFC décrivant l’extension d’authentification SMTP est le RFC 2554.
Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou
modifier des règles :
1. Dans la section Catégories, sélectionnez Authentification.
2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions d’utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
371
Stratégies de proxy
Proxy SMTP : types de contenu
Certains types de contenu intégrés dans les e-mails peuvent constituer une menace à l’encontre de votre
réseau. Les autres types de contenu peuvent réduire la productivité de vos utilisateurs. L’ensemble de règles
de l’action de proxy SMTP entrant permet de définir des valeurs pour le filtrage de contenu SMTP entrant.
L’ensemble de règles de l’action de proxy SMTP sortant permet de définir des valeurs pour le filtrage de
contenu SMTP sortant. Le proxy SMTP autorise les types de contenu suivants : texte/*, image/*, multipartie/*
et message/*. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter,
supprimer ou modifier des règles :
1. Dans la section Catégories, sélectionnez Types de contenu.
Activez la case à cocher Activer la détection automatique du type de contenu pour que le
proxy SMTP examine le contenu afin d’en déterminer le type. Sinon, le proxy SMTP utilise la valeur
mentionnée dans l’en-tête de l’e-mail, que les clients définissent parfois de manière incorrecte. Par
exemple, le type de contenu d’un fichier .pdf joint peut être défini sur application/flux d’octets. Si vous
activez la détection automatique du type de contenu, le proxy SMTP reconnaît le fichier .pdf et utilise
le type de contenu adéquat, à savoir application/pdf. Si le proxy ne reconnaît pas le type du contenu
après l’avoir examiné, il utilise la valeur incluse dans l’en-tête de l’e-mail, comme il le ferait si la
détection automatique n’était pas activée. Étant donné que les pirates tentent souvent de maquiller
des fichiers exécutables sous d’autres types de contenu, nous vous conseillons d’activer la détection
automatique du type de contenu pour renforcer la sécurité de votre installation.
2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions d’utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
372
WatchGuard System Manager
Stratégies de proxy
Ajouter des types de contenu courants
1. Afin de vous faciliter la tâche, la définition de proxy contient plusieurs types de contenu que vous
pouvez ajouter facilement à l’ensemble de règles Type de contenu. Pour afficher la liste des types de
contenu courants, cliquez sur le bouton Prédéfini.
La boîte de dialogue Sélectionner le type de contenu s’affiche.
2. Pour ajouter un type de contenu à l’ensemble de règles, sélectionnez-le et cliquez sur OK.
Pour sélectionner une plage de types de contenu, cliquez sur le premier de la plage, appuyez sur la touche Maj et
cliquez sur le dernier type de contenu de la plage.
Pour sélectionner plusieurs types de contenu non contigus, maintenez la touche Ctrl enfoncée tout en
sélectionnant les types.
Proxy SMTP : noms de fichier
L’ensemble de règles de l’action de proxy SMTP entrant permet d’établir des limites sur les noms de fichier des
pièces jointes aux e-mails entrants. L’ensemble de règles de l’action de proxy SMTP sortant permet d’établir
des limites sur les noms de fichier des pièces jointes aux e-mails sortants. Si l’ensemble de règles par défaut ne
répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles :
1. Dans la section Catégories, sélectionnez Noms de fichiers.
2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
373
Stratégies de proxy
Proxy SMTP : E-mail de/E-mail à
L’ensemble de règles E-mail de permet d’autoriser l’entrée dans votre réseau des e-mails provenant des seuls
expéditeurs spécifiés. La configuration par défaut accepte les e-mails de tous les expéditeurs. Si l’ensemble de
règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles.
L’ensemble de règles E-mail à permet de limiter le courrier électronique sortant de votre réseau aux seuls
destinataires spécifiés. La configuration par défaut autorise l’envoi d’e-mail à tous les destinataires en dehors
de votre réseau. Sur une action de proxy SMTP entrant, vous pouvez utiliser l’ensemble de règles E-mail à pour
empêcher l’utilisation de votre serveur de messagerie comme relais. Pour ce faire, vérifiez que tous les
domaines dont les messages sont acceptés par le serveur de messagerie figurent dans la liste de règles.
Ensuite, s’il n’y a Aucune correspondance, vérifiez que l’Action à entreprendre est définie sur Refuser. Tout
e-mail provenant d’une adresse ne correspondant pas aux domaines répertoriés est refusé.
Vous pouvez utiliser la fonctionnalité Remplacer par incluse dans cette boîte de dialogue de configuration
des règles pour que le Firebox remplace les composants De et À de votre adresse e-mail par une autre valeur.
Cette fonctionnalité est également appelée « mascarade SMTP ».
Deux options supplémentaires sont disponibles dans les ensembles de règles E-mail de et E-mail à :
Bloquer les adresses avec routage à la source
Activez cette case à cocher pour bloquer un message lorsque l’adresse de l’expéditeur ou du
destinataire contient des routes source. Un route source identifie le chemin qu’un message doit
parcourir pour aller d’un hôte à un autre. L’route peut identifier les routeurs de messagerie et les sites
« dorsaux » à utiliser. Par exemple, @backbone.com:freddyb@quelconque.com signifie que l’hôte
appelé Backbone.com doit faire office d’hôte relais pour distribuer l’e-mail à
freddyb@quelconque.com. Par défaut, cette option est activée pour les paquets SMTP entrants et
désactivée pour les paquets SMTP sortants.
Bloquer les caractères 8 bits
Activez cette case à cocher pour bloquer un message dont l’expéditeur ou le destinataire a un nom
d’utilisateur contenant des caractères 8 bits. Ceci autorise les accents sur un caractère alphabétique.
Par défaut, cette option est activée pour les paquets SMTP entrants et désactivée pour les paquets
SMTP sortants.
1. Dans la section Catégories, sélectionnez E-mail de ou E-mail à.
2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
374
WatchGuard System Manager
Stratégies de proxy
Proxy SMTP : en-têtes
Les ensembles de règles des en-têtes vous permettent de définir des valeurs pour le filtrage des en-têtes SMTP
entrants et sortants. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter,
supprimer ou modifier des règles :
1. Dans la section Catégories, sélectionnez En-têtes.
2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions d’utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Configurer les actions de Gateway AntiVirus
Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à déclencher en cas de détection de
virus ou d’erreur dans un message électronique (proxies SMTP ou POP3), une page Web (proxy HTTP) ou un
fichier transféré ou téléchargé (proxy FTP). Les options des actions antivirus sont :
Autoriser
Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus.
Refuser (proxy FTP uniquement)
Refuse le fichier et envoie un message de refus.
Verrouiller (proxies SMTP et POP3 uniquement)
Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par
Firebox. Un fichier verrouillé ne peut pas être ouvert facilement par l’utilisateur. Seul l’administrateur
peut le déverrouiller. L’administrateur peut utiliser un autre outil antivirus pour analyser le fichier et
examiner le contenu de la pièce jointe. Pour plus d’informations sur la façon de déverrouiller un
fichier verrouillé par Gateway AntiVirus, voir Déverrouiller un fichier verrouillé par Gateway AntiVirus.
Quarantaine (proxy SMTP uniquement)
Lorsque vous utilisez le proxy SMTP avec l’abonnement aux services de sécurité spamBlocker, vous
pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur
Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de
Quarantine Server. Pour plus d’informations sur la façon de configurer Gateway AntiVirus pour qu’il
fonctionne avec Quarantine Server, voir Configurer Gateway AntiVirus pour mettre en quarantaine le
courrier.
Supprimer (proxies SMTP et POP3 uniquement)
Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire.
Abandonner (non pris en charge sur le proxy POP3)
Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message.
Bloquer (non pris en charge sur le proxy POP3)
Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués.
Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est moins sécurisée.
Guide de l’utilisateur
375
Stratégies de proxy
1. Dans Policy Manager, sélectionnez Tâches > Gateway AntiVirus > Configurer.
La boîte de dialogue Gateway AntiVirus s’affiche et répertorie les proxies qui ont déjà été créés.
376
WatchGuard System Manager
Stratégies de proxy
2. Sélectionnez la stratégie à configurer et cliquez sur Configurer.
La page Paramètres généraux de Gateway Antivirus correspondant à cette stratégie s’affiche.
Sinon, plutôt que d’exécuter les étapes 1 et 2, vous pouvez accéder à la même page à partir des écrans
de définition d’un proxy. Dans la section Catégories de la définition de proxy, sélectionnez AntiVirus.
3. Dans la liste déroulante Quand un virus est détecté, définissez l’action que Firebox doit déclencher
s’il détecte un virus dans un e-mail, un fichier ou une page Web. Voir le début de cette section pour
obtenir une description des actions du proxy.
4. Dans la liste déroulante Quand une erreur d’analyse se produit, définissez l’action que Firebox doit
déclencher lorsqu’il ne peut pas analyser un objet ou une pièce jointe. Parmi les pièces jointes qui ne
peuvent pas être analysées, on trouve les messages au format BinHex, certains fichiers chiffrés ou des
fichiers dont le type de compression n’est pas pris en charge, tels que les fichiers compressés protégés
par mot de passe. Voir le début de cette section pour obtenir une description des actions du proxy.
5. (Proxy FTP uniquement) Vous pouvez limiter l’analyse des fichiers à un nombre de kilo-octets précis.
Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser
partiellement les fichiers très volumineux sans trop perturber les performances. Entrez la limite dans le
champ Limiter l’analyse aux premiers.
Guide de l’utilisateur
377
Stratégies de proxy
Créer des alarmes ou entrées de journal pour les actions antivirus
Une alarme est un mécanisme permettant d’indiquer aux utilisateurs qu’une règle de proxy s’applique au
trafic réseau. Utilisez la case à cocher Alarme de la page AntiVirus d’une définition de proxy pour créer une
alarme lorsque l’action adjacente se produit. Si vous ne voulez pas définir d’alarme pour l’action antivirus,
désactivez la case à cocher Alarme pour cette action.
Pour utiliser correctement la fonctionnalité d’alarme, vous devez également configurer le type d’alarme à
utiliser dans chaque stratégie de proxy. Pour configurer le type d’alarme à utiliser, utilisez la catégorie Alarmes
de proxy et d’antivirus pour le proxy. Pour plus d’informations sur les paramètres de cette catégorie, voir
Définir les préférences de journalisation et de notification.
Si vous souhaitez enregistrer les messages du journal correspondant à une action de proxy, activez la case à
cocher Journal pour la réponse antivirus. Si vous ne souhaitez pas enregistrer les messages du journal pour
une réponse antivirus, désactivez la case à cocher Journal.
378
WatchGuard System Manager
Stratégies de proxy
Proxy SMTP : Message de refus
Le Firebox affiche un message de refus par défaut qui remplace le contenu refusé. Vous pouvez remplacer ce
message de refus par un message rédigé par vous. La première ligne du message de refus correspond à une
section de l’en-tête HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message.
1. Dans la section Catégories, sélectionnez Message de refus.
2. Dans la zone Message de refus, vous pouvez rédiger un message texte personnalisé au format HTML
standard qui s’affichera dans le message électronique du destinataire lorsque le proxy bloque ce
message. Vous pouvez utiliser les variables suivantes :
%(raison)%
Insère la raison pour laquelle le Firebox a refusé le contenu.
%(type)%
Insère le type de contenu refusé.
%(nom_fichier)%
Insère le nom de fichier du contenu refusé.
%(virus)%
Insère le nom ou l’état d’un virus, pour les utilisateurs Gateway AntiVirus uniquement.
%(action)%
Insère le nom de l’action entreprise : verrouillage, suppression, etc.
%(récupération)%
Indique si vous pouvez récupérer la pièce jointe.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
379
Stratégies de proxy
Prévention des intrusions dans les définitions de proxy
Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre
réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue
d’attaquer des réseaux tiers.
Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention
Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS
et TCP-UDP.
Vous pouvez activer et configurer IPS de deux manières :
Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager
Pour plus d’informations, voir Activer Intrusion Prevention Service (IPS).
Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy
1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au
périphérique Firebox.
2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un
proxy existant.
3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de
stratégie, cliquez sur l’icône Afficher/Modifier le proxy
(première icône à droite de la liste
déroulante Action de proxy).
4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie
droite, définissez les paramètres d’Intrusion Prevention Service (IPS).
Proxy SMTP : spamBlocker
Les courriers indésirables (ou spam) remplissent une boîte de réception moyenne à une allure incroyable. Une
trop grande quantité de courriers indésirables limite la bande passante, affecte la productivité des employés
et gaspille les ressources du réseau. L’option WatchGuard spamBlocker augmente votre capacité à attraper le
courrier indésirable à la lisière de votre réseau alors qu’il tente de pénétrer dans votre système. Si vous avez
acquis et activé la fonctionnalité spamBlocker, les champs de la catégorie spamBlocker définissent les actions
entreprises sur les e-mails identifiés comme du courrier indésirable.
Bien que vous puissiez activer et configurer spamBlocker par le biais des écrans de définition du proxy, il est
plus simple d’utiliser le menu Tâches de Policy Manager. Pour plus d’informations sur la manière de procéder
ou sur l’utilisation des écrans spamBlocker dans la définition du proxy, voir la rubrique À propos de
spamBlocker.
380
WatchGuard System Manager
Stratégies de proxy
Alarmes de proxy et d’antivirus
Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un
administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut
survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action
autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance
situé sous Actions à entreprendre dans les définitions d’ensemble de règles.
Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de
fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez
préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait
de cette règle.
Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se
produit.
1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus.
2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une
notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme
d’un e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station
de gestion de ce dernier.
Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences
de journalisation et de notification.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Configurer le proxy SMTP pour mettre en quarantaine le courrier
Le WatchGuard Quarantine Server fournit un mécanisme de quarantaine sécurisé et complet pour tous les
messages électroniques supposés être indésirables ou contenir des virus. Ce référentiel reçoit les messages
électroniques à partir du proxy SMTP et les messages sont filtrés par spamBlocker.
Pour configurer le proxy SMTP pour mettre en quarantaine le courrier, procédez comme suit :
1. Ajoutez le proxy SMTP à votre configuration et activez spamBlocker à partir de la définition de proxy.
Ou activez spamBlocker et choisissez de l’activer pour le proxy SMTP.
2. Lorsque vous définissez les actions que spamBlocker applique aux différentes catégories d’e-mail (tel
que décrit à la rubrique Configurer spamBlocker), assurez-vous de sélectionner l’action Quarantaine
pour au moins l’une des catégories. Lorsque vous sélectionnez cette action, vous êtes invité à
configurer le Quarantine Server, le cas échéant.
Vous pouvez également sélectionner l’action Quarantaine pour les messages électroniques identifiés par
VOD comme contenant des virus. Pour plus d’informations, voir Configurer les actions VOD (Virus Outbreak
Detection).
Guide de l’utilisateur
381
Stratégies de proxy
Terminer et enregistrer la configuration
1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la
boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie.
2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur
Firebox.
La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration.
Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez.
3. Cliquez sur Enregistrer.
4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK.
À propos du proxy TCP-UDP
Le proxy TCP-UDP est disponible pour les protocoles suivants des ports non standard : HTTP, HTTPS, SIP et FTP.
Pour ces protocoles, le proxy TCP-UDP relaie le traffic vers les proxies corrects des protocoles ou permet
d’autoriser ou de refuser le trafic. Pour les autres protocoles, vous pouvez choisir d’autoriser ou de refuser le
trafic.
Pour ajouter le proxy TCP-UDP à la configuration Firebox, voir Ajouter un proxy à la configuration Firebox.
Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la
boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie pour modifier la définition.
Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus,
l’onglet Propriétés contient une icône pour configurer l’action de proxy.
Onglet Stratégie
ƒ
ƒ
Les connexions du proxy TCP-UDP sont : Spécifiez si les connexions sont autorisées, refusées ou
refusées (envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet de
stratégie de la définition du proxy). Voir Définir les règles d’accès pour une stratégie.
Utiliser le routage basé sur stratégie :Si vous voulez utiliser le routage basé sur stratégie dans la
définition de proxy, voir Configurer le routage basé sur stratégie.
Onglet Propriétés
ƒ
ƒ
ƒ
ƒ
382
Dans la liste déroulante Action de proxy, sélectionnez si vous voulez ou non définir une action pour
un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de
proxy.
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification.
Si vous définissez la liste déroulante Les connexions du proxy TCP-UDP sont (sous l’onglet
Stratégie) sur Refusé ou Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent
d’utiliser TCP-UDP. Voir Bloquer temporairement les sites avec des paramètres de stratégie.
Si vous voulez utiliser une durée d’inactivité autre que celle définie par le serveur d’authentification ou
Firebox, définissez un délai d’inactivité personnalisé.
WatchGuard System Manager
Stratégies de proxy
Paramètres des actions de proxy
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui fournissent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les
ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy
(la première
icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la
partie gauche de la boîte de dialogue.
ƒ
ƒ
ƒ
ƒ
Proxy TCP-UDP : paramètres généraux
Proxy TCP-UDP : blocage de l’application
Proxy TCP-UDP : prévention des intrusions
Alarme du proxy. Les interruptions et la notification SNMP sont désactivées par défaut.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition du proxy :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Définir une planification d’opération
Appliquer les actions de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer des règles NAT (de 1-à-1 NAT et NAT dynamiques sont activés par défaut dans toutes les
stratégies.)
Activer le marquage QoS pour une stratégie
Définir une propriété du trafic dans une stratégie
Ajouter une durée de connexion persistante à une stratégie
Proxy TCP-UDP : paramètres généraux
Sur la page Général (la page qui s’affiche lorsque vous cliquez sur l’icône Afficher/Modifier le proxy), vous
pouvez définir des paramètres de base pour le proxy TCP-UDP.
HTTP
Choisissez, pour les connexions TCP-UDP identifiées comme du trafic HTTP, de les autoriser ou
refuser, ou l’action de proxy HTTP à utiliser.
HTTPS
Choisissez, pour les connexions TCP-UDP identifiées comme du trafic HTTPS, de les autoriser ou
refuser, ou l’action de proxy HTTPS à utiliser.
SIP
Choisissez, pour les connexions TCP-UDP identifiées comme du trafic SIP, de les autoriser ou refuser,
ou l’action de proxy SIP à utiliser.
FTP
Choisissez, pour les connexions TCP-UDP identifiées comme du trafic FTP, de les autoriser ou refuser,
ou l’action de proxy FTP à utiliser.
Autres protocoles
Choisissez d’autoriser ou de réfuser les connexions TCP-UDP identifiées comme autres protocoles.
Activer la journalisation des rapports
Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal
volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si
vous n’activez pas cette case à cocher, vous ne voyez aucune information détaillée sur ces
connexions de proxy dans WatchGuard Reports.
Guide de l’utilisateur
383
Stratégies de proxy
Proxy TCP-UDP : blocage de l’application
Cet ensemble de règles permet de définir les actions effectuées par le Firebox lorsque le proxy TCP-UDP
détecte des services de messagerie instantanée ou Pair à Pair. Le proxy TCP-UDP détecte les services de
messagerie instantanée suivants : AOL Instant Messenger (AIM), ICQ, IRC, MSN Messenger et Yahoo!
Messenger. Il détecte les types de services Pair à Pair suivants : BitTorrent, eDonkey2000 (Ed2k), Gnutella,
Kazaa, Napster et Phatbot.
Il n’est pas utile d’acquérir Intrusion Prevention Service pour utiliser cette fonctionnalité de blocage des
applications.
1. Dans la section Catégories du proxy TCP-UDP, sélectionnez Blocage de l’application.
2. Sous l’onglet Messagerie instantanée, utilisez la liste déroulante pour sélectionner l’action du Firebox
lorsqu’il détecte l’utilisation d’une messagerie instantanée :
Autoriser
Autorise l’acheminement du paquet vers le destinataire, même si le contenu correspond à une
signature.
Refuser
Abandonne le paquet et envoie un paquet de réinitialisation TCP à l’expéditeur.
3. Utilisez ces cases à cocher pour sélectionner les applications de messagerie instantanée pour
lesquelles le Firebox doit agir sur le trafic. Pour sélectionner toutes les applications de messagerie
instantanée, sélectionnez Toutes les catégories. Toutes les applications sont alors automatiquement
sélectionnées. Le cas échéant, vous pouvez désactiver la case à cocher correspondant aux applications
pour lesquelles vous ne souhaitez pas appliquer de restrictions.
4. Pour définir des actions pour les applications Pair à Pair, cliquez sur l’onglet Pair à Pair. Utilisez les
informations des étapes 2 et 3 ci-dessus pour définir les actions et les catégories.
5. Cliquez sur Journalisation et notification pour configurer les options de journalisation et de
notification pour IPS. Pour plus d’informations relatives à la boîte de dialogue qui s’affiche, voir Définir
les préférences de journalisation et de notification.
6. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
384
WatchGuard System Manager
Stratégies de proxy
Prévention des intrusions dans les définitions de proxy
Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre
réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue
d’attaquer des réseaux tiers.
Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention
Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS
et TCP-UDP.
Vous pouvez activer et configurer IPS de deux manières :
Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager
Pour plus d’informations, voir Activer Intrusion Prevention Service (IPS).
Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy
1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au
périphérique Firebox.
2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un
proxy existant.
3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de
stratégie, cliquez sur l’icône Afficher/Modifier le proxy
(première icône à droite de la liste
déroulante Action de proxy).
4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie
droite, définissez les paramètres d’Intrusion Prevention Service (IPS).
Terminer et enregistrer la configuration
1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la
boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie.
2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur
Firebox.
La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration.
Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez.
3. Cliquez sur Enregistrer.
4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK.
À propos du proxy TFTP
Le protocole TFTP (Trivial File Transfer Protocol) est une forme simple de FTP qui utilise un petit volume de
mémoire. Il permet de transférer des fichiers de petite taille entre les hôtes du même réseau. Certains
fabricants utilisent le protocole TFTP pour envoyer des mises à jour régulières de leur équipement VoIP sous
gestion. Si TFTP est nécessaire pour les mises à jour de votre matériel, veillez à ajouter une stratégie TFTP à la
configuration Firebox afin d’autoriser ces connexions.
Pour ajouter le proxy TFTP à la configuration Firebox, voir Ajouter un proxy à la configuration Firebox. Ensuite,
si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la boîte de
dialogue Nouvelles propriétés/Modifier les propriétés de stratégie pour modifier la définition. Les champs
de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet
Propriétés contient une icône pour configurer l’action de proxy.
Guide de l’utilisateur
385
Stratégies de proxy
Onglet Stratégie
ƒ
ƒ
Les connexions du proxy TFTP sont: Spécifiez si les connexions sont autorisées, refusées ou
refusées (envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet de
stratégie de la définition du proxy). Voir Définir les règles d’accès pour une stratégie.
Utiliser le routage basé sur stratégie: Si vous voulez utiliser le routage basé sur stratégie dans la
définition de proxy, voir Configurer le routage basé sur stratégie.
Onglet Propriétés
Dans la liste déroulante Action de proxy, sélectionnez si vous voulez ou non définir une action pour un client
ou un serveur. Le proxy TFTP est doté d’une seule action de proxy prédéfinie : TFTP-Client. Pour plus
d’informations sur les actions de proxy, voir À propos des actions de proxy.
ƒ
ƒ
ƒ
Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de
journalisation et de notification.
Si vous définissez la liste déroulante Les connexions du proxy TFTP sont (sous l’onglet Stratégie) sur
Refusé ou Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser TFTP. Voir
Bloquer temporairement les sites avec des paramètres de stratégie.
Si vous voulez utiliser une durée d’inactivité autre que celle définie par le serveur d’authentification ou
Firebox, définissez un délai d’inactivité personnalisé).
Paramètres des actions de proxy
Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui fournissent un bon équilibre entre
la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas
à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les
ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy
(la première
icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la
partie gauche de la boîte de dialogue.
ƒ
ƒ
ƒ
Proxy TFTP : paramètres généraux
Proxy TFTP : transférer et télécharger du contenu
Alarmes de proxy et d’antivirus. Les interruptions et la notification SNMP sont désactivées par défaut.
Onglet Avancé
Vous pouvez utiliser plusieurs autres options dans la définition du proxy :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
386
Définir une planification d’opération
Appliquer les actions de gestion de trafic à une stratégie
Définir la gestion des erreurs ICMP
Appliquer des règles NAT (de 1-à-1 NAT et NAT dynamiques sont activés par défaut dans toutes les
stratégies.)
Activer le marquage QoS pour une stratégie
Définir une propriété du trafic dans une stratégie
Ajouter une durée de connexion persistante à une stratégie
WatchGuard System Manager
Stratégies de proxy
Proxy TFTP : paramètres généraux
Sur la page Général (la page qui s’affiche lorsque vous cliquez sur l’icône Afficher/Modifier le proxy), vous
pouvez définir des paramètres de base pour le proxy TFTP.
1. Dans la section Catégories, sélectionnez Général.
2. Pour créer un message de journal pour chaque transaction, activez la case à cocher Activer la
journalisation des rapports. Vous devez activer cette option pour obtenir des rapports détaillés sur
le trafic TFTP avec WatchGuard Reports.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions d’utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Proxy TFTP : transférer et télécharger du contenu
Vous pouvez contrôler le type de fichiers dont le transfert et le téléchargement est autorisé par le proxy TFTP.
Par exemple, étant donné que nombre de pirates utilisent les fichiers exécutables pour déployer les virus ou
les vers sur un ordinateur, vous pouvez choisir de refuser les demandes pour les fichiers *.exe. Ou, si vous ne
voulez pas que les utilisateurs puissent transférer des fichiers Windows Media sur un serveur TFTP, vous
pouvez ajouter *.wma à la définition de proxy et spécifier que ces fichiers sont refusés. Utilisez l’astérisque (*)
en tant que caractère générique.
Le proxy TFTP est doté d’une seule action de proxy prédéfinie : TFTP-Client. Utilisez-la pour définir des règles
pour les utilisateurs se connectant à des serveurs TFTP externes.
1. Dans la section Catégories, sélectionnez Transférer ou Télécharger.
2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des
règles et des ensembles de règles.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez aux
rubriques relatives à la catégorie suivante que vous souhaitez modifier.
ou
Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions d’utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
Guide de l’utilisateur
387
Stratégies de proxy
Alarmes de proxy et d’antivirus
Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un
administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut
survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action
autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance
situé sous Actions à entreprendre dans les définitions d’ensemble de règles.
Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de
fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez
préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait
de cette règle.
Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se
produit.
1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus.
2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une
notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un
e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de
gestion de ce dernier.
Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences
de journalisation et de notification.
3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans
ce document à la section relative à la prochaine catégorie à modifier.
ou
Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK.
Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos
paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies,
voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle
action et cliquez sur OK.
La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
388
WatchGuard System Manager
Stratégies de proxy
À propos des fonctions d’importation et d’exportation
pour les proxies
Les proxies WatchGuard prennent en charge plusieurs fonctions d’importation et d’exportation :
À propos des actions de proxy prédéfinies et définies par l’utilisateur : si vous gérez plusieurs périphériques
Firebox auxquels sont associées des actions de proxy définies par l’utilisateur, vous pouvez définir des actions
de proxy personnalisées sur un périphérique Firebox, les exporter vers un fichier ASCII, puis les importer dans
un autre périphérique Firebox.
Importation et exportation d’ensembles de règles : si vous souhaitez copier des ensembles de règles d’un
proxy vers un autre ou au sein d’un même proxy, il vous suffit de définir une seule fois les règles applicables à
un proxy ou une catégorie, de les exporter vers un fichier XML, puis de les importer dans le nouveau proxy ou
dans la nouvelle catégorie.
Importer et exporter des actions de proxy définies par l’utilisateur
Si vous gérez plusieurs périphériques Firebox auxquels sont associées des actions de proxy définies par
l’utilisateur, vous pouvez utiliser la fonction d’importation/exportation d’action de stratégie pour gagner du
temps. Vous pouvez définir des actions de proxy personnalisées sur un périphérique Firebox, les exporter vers
un fichier ASCII, puis les importer dans un autre périphérique Firebox.
Le périphérique Firebox pour lequel vous avez créé les stratégies doit exécuter la même version de WSM que
la version de Policy Manager que vous utilisez pour importer les actions de proxy. Vous ne pouvez pas
importer une action de proxy d’une version précédente dans la version actuelle.
1. Sur le premier périphérique Firebox, créez les actions de proxy définies par l’utilisateur dont vous avez
besoin.
2. Dans la boîte de dialogue Actions de proxy, cliquez sur Exporter. Il est inutile de sélectionner les
actions définies par l’utilisateur. La fonction d’exportation exporte automatiquement toutes les actions
de proxy personnalisées quelle que soit celle qui est sélectionnée.
3. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous souhaitez enregistrer le
fichier des actions de proxy. Tapez un nom pour le fichier, puis cliquez sur Enregistrer.
L’emplacement par défaut est Mes documents > Mon WatchGuard.
4. Sur un autre périphérique Firebox, dans la boîte de dialogue Actions de proxy de Policy Manager,
cliquez sur Importer.
5. Recherchez le fichier que vous avez créé à l’étape 3, puis cliquez sur Ouvrir.
6. Si des actions de proxy définies par l’utilisateur sont déjà configurées dans Policy Manager, le système
vous demande si vous voulez les remplacer ou ajouter les actions importées aux actions existantes.
Cliquez sur Remplacer ou sur Ajouter.
Si vous cliquez sur Remplacer, les actions de proxy définies par l’utilisateur existantes sont supprimées
et remplacées par les nouvelles.
En revanche, si vous cliquez sur Ajouter, les actions existantes et celles importées sont incluses
conjointement dans la boîte de dialogue.
Guide de l’utilisateur
389
Stratégies de proxy
Importer et exporter des ensembles de règles
Si vous souhaitez copier des ensembles de règles d’un proxy vers un autre ou au sein d’un même proxy, il vous
suffit de définir une seule fois les règles applicables à un proxy ou une catégorie, de les exporter vers un fichier
XML, puis de les importer dans le nouveau proxy ou dans la nouvelle catégorie. Par exemple, vous pouvez
exporter l’ensemble de règles Types de contenus d’une action de proxy HTTP, puis l’importer dans l’ensemble
de règles du même nom d’une action de proxy SMTP. De même, vous pouvez exporter l’ensemble de règles
E-mails SMTP source vers l’ensemble de règles E-mails SMTP cible.
Seuls les ensembles de règles faisant partie des quatre groupes répertoriés ci-dessous peuvent être copiés
entre les proxies ou les catégories. Les autres combinaisons ne sont pas possibles.
Types de contenus
Noms de fichier
Adresses
Authentification
Types de contenus HTTP
Téléchargement FTP
E-mails SMTP source
Authentification SMTP
Types de contenus SMTP
Transfert FTP
E-mails SMTP cible
Authentification POP3
Types de contenus POP3
Chemins d’adresses URL
HTTP
Noms de fichier SMTP
Noms de fichier POP3
1. Créez les ensembles de règles nécessaires pour un proxy ou une catégorie.
2. Au besoin, cliquez sur Modifier l’affichage pour afficher l’ensemble de règles en vue avancée. Cliquez
sur Exporter.
3. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous voulez enregistrer le
fichier XML. Tapez un nom pour le fichier, puis cliquez sur Enregistrer.
L’emplacement par défaut est Mes documents > Mon WatchGuard.
4. À partir du nouveau proxy ou de la nouvelle catégorie, cliquez sur Importer.
5. Recherchez le fichier que vous avez créé à l’étape 2, puis cliquez sur Ouvrir.
6. Si des règles sont déjà définies pour la nouvelle catégorie ou le nouveau proxy, le système commence
par vous demander si vous souhaitez supprimer l’ancien ensemble de règles.
Si vous cliquez sur Oui, les règles existantes sont supprimées et remplacées par les nouvelles.
Si vous cliquez sur Non, les règles existantes et celles importées sont incluses conjointement dans
l’ensemble de règles.
390
WatchGuard System Manager
16
Installation et administration
de Management Server
À propos de WatchGuard Management Server
WatchGuard Management Server vous permet de gérer de manière centralisée les différents systèmes Firebox
et tunnels VPN d’une entreprise distribuée à partir d’une interface de gestion facile à utiliser. Vous pouvez
gérer différents types de périphériques Firebox : Firebox X Core, Firebox X Peak, Firebox III, Firebox X Edge et
SOHO 6.
La station de travail configurée en tant que Management Server joue également le rôle d’autorité de
certification. L’autorité de certification donne des certificats aux clients Firebox gérés lorsqu’ils contactent
Management Server pour recevoir des mises à jour de configuration.
Installer Management Server
Lorsque vous exécutez le programme d’installation du logiciel WatchGuard System Manager, vous devez
indiquer quels composants clients et serveur vous souhaitez installer. Sous la section Composants serveur,
veillez à sélectionner Management Server.
Si vous avez déjà exécuté le programme d’installation de WatchGuard System Manager et n’avez pas installé
Management Server, vous pouvez exécuter de nouveau le programme d’installation. Activez la case à cocher
Management Server. N’activez pas la case à cocher des composants que vous avez déjà installés.
Il n’est pas nécessaire d’installer Management Server sur l’ordinateur utilisé comme station de gestion. Vous
pouvez l’installer sur un autre ordinateur exécutant le système d’exploitation Windows. Nous vous
recommandons d’installer le logiciel Management Server sur un ordinateur doté d’une adresse IP statique qui
se trouve derrière un périphérique Firebox avec une adresse IP externe. Dans le cas contraire, Management
Server risque de ne pas fonctionner correctement.
Guide de l’utilisateur
391
Installation et administration de Management Server
À propos des mots de passe des serveurs WatchGuard
Les cinq serveurs WatchGuard System Manager (Management Server, Log Server, Quarantine Server, Report
Server et WebBlocker Server) utilisent des mots de passe pour protéger les informations sensibles et sécuriser
les données des systèmes clients. Lors de la première exécution de l’Assistant Setup Wizard pour configurer
l’un de ces serveurs, vous créez deux mots de passe dont vous aurez besoin pour utiliser les cinq serveurs :
ƒ
ƒ
Mot de passe principal
Mot de passe de Management Server
Mot de passe principal
Le premier mot de passe défini dans l’Assistant Setup Wizard est le mot de passe principal. Celui-ci est utilisé
pour chiffrer le mot de passe de Management Server. Cela empêche toute personne ayant accès au disque dur
et au contenu archivé d’obtenir les mots de passe et de les utiliser pour accéder à d’autres informations
sensibles sur le disque dur.
Le mot de passe principal n’est pas souvent utilisé. Vous l’utilisez dans les situations suivantes :
ƒ
ƒ
ƒ
Pour migrer les données de Management Server sur un nouveau système
Pour restaurer un fichier de clé principale perdu ou endommagé
Pour modifier le mot de passe principal
Veillez à ce que le mot de passe principal et le mot de passe de Management Server ne soient pas identiques.
Nous vous recommandons d’écrire le mot de passe principal et de le conserver en lieu sûr.
Mot de passe de gestion des serveurs
Le second mot de passe que l’Assistant Setup Wizard vous invite à définir est le mot de passe de gestion des
serveurs. Celui-ci est fréquemment utilisé par l’administrateur. Vous l’utilisez pour vous connecter à tous les
serveurs WatchGuard System Manager.
Fichiers de mot de passe et de clé
Le mot de passe de Management Server et tous les mots de passe créés automatiquement sont conservés
dans un fichier de mot de passe. Les données de mot de passe de ce fichier sont protégées par le mot de passe
principal. Le mot de passe principal n’est pas conservé sur le disque dur. Une clé de chiffrement est créée à
partir du mot de passe principal.
Emplacements par défaut du fichier de mot de passe et de la clé de chiffrement :
ƒ
ƒ
C:\Documents and Settings\WatchGuard\wgauth\wgauth.ini
C:\Documents and Settings\WatchGuard\wgauth\wgauth.key
Ces fichiers sont utilisés par le logiciel Management Server et ne doivent pas être modifiés directement.
392
WatchGuard System Manager
Installation et administration de Management Server
Utilitaire Microsoft SysKey
Le fichier de mot de passe est protégé par la clé principale. Cette clé est protégée par une clé de chiffrement,
elle-même protégée par la clé système Windows.
Les systèmes d’exploitation Windows utilisent une clé système pour protéger la base de données SAM
(Security Accounts Management). Il s’agit de la base de données des comptes et mots de passe Windows sur
l’ordinateur. Par défaut, les données de la clé système sont cachées dans le Registre. Le système est protégé
et la clé système est créée à partir du Registre au cours de la procédure de démarrage. Si vous souhaitez un
système plus sécurisé, vous pouvez supprimer les données de la clé système du Registre afin que ces données
sensibles ne soient plus du tout présentes sur le système.
Vous pouvez utiliser l’utilitaire SysKey pour effectuer les actions suivantes :
ƒ
ƒ
ƒ
Placer la clé système sur une disquette
Demander à ce que l’administrateur tape un mot de passe au démarrage
Copier la clé système de la disquette sur le système
Si vous déplacez la clé de démarrage sur une disquette, cette disquette doit être insérée dans le lecteur pour
que le système puisse démarrer. Si vous demandez que l’administrateur tape un mot de passe de démarrage,
celui-ci doit le taper à chaque démarrage du système.
Pour configurer les options de l’utilitaire SysKey, cliquez sur Démarrer > Exécuter, tapez syskey, puis cliquez
sur OK.
Configurer Management Server
L’Assistant Management Server Setup Wizard permet de créer un serveur Management Server sur votre
station de travail. Si vous utilisiez jusque-là des versions antérieures de WatchGuard System Manager et de
VPN Manager, vous pouvez également utiliser cet Assistant pour migrer un serveur DVCP installé sur un
périphérique Firebox vers un nouveau serveur Management Server sur une station de travail. Pour déplacer
un serveur Management Server en dehors d’un périphérique Firebox, reportez-vous au Guide de migration
WFS vers Fireware Pro.
Quarantine Server, Report Server, Log Server et WatchGuard Management Server partagent le
même mot de passe principal et le même mot de passe de gestion des serveurs. Si vous commencez
par configurer l’un des autres serveurs, il n’est pas nécessaire de configurer de nouveau les mots de
passe lorsque vous configurez Management Server.
Pour configurer un nouveau serveur Management Server :
1. Cliquez avec le bouton droit sur l’icône de Management Server (deuxième à partir de la gauche) dans
la barre d’outils WatchGuard de la barre des tâches Windows.
Cette icône n’est pas affichée si vous n’avez pas installé Management Server.
Pour plus d’informations sur l’installation, voir À propos de WatchGuard Management Server.
2. Sélectionnez Démarrer le service.
3. L’Assistant Management Server Setup Wizard démarre. Cliquez sur Suivant.
Guide de l’utilisateur
393
Installation et administration de Management Server
4. Si vous n’avez pas encore exécuté l’Assistant Setup Wizard d’un autre serveur WSM, vous êtes invité à
entrer un mot de passe principal. Celui-ci est nécessaire pour contrôler l’accès à la station de gestion
WatchGuard. Tapez un mot de passe de huit caractères minimum et tapez-le de nouveau pour le
confirmer. Cliquez sur Suivant.
Pour plus d’informations sur le mot de passe principal, voir À propos des mots de passe des serveurs
WatchGuard.
Veillez à conserver ce mot de passe en lieu sûr.
5. Si vous n’avez pas encore exécuté l’Assistant Setup Wizard d’un autre serveur WSM, vous êtes invité à
entrer un mot de passe de gestion des serveurs. Ce mot de passe est utilisé pour configurer et contrôler
WatchGuard Management Server. Utilisez un mot de passe de huit caractères minimum et tapez-le de
nouveau pour le confirmer. Cliquez sur Suivant.
Pour plus d’informations sur le mot de passe de gestion des serveurs, voir À propos des mots de passe
des serveurs WatchGuard.
6. Si vous disposez d’une passerelle Firebox pour Management Server, tapez l’adresse IP externe et les
mots de passe du périphérique Firebox. Nous vous recommandons d’utiliser une passerelle Firebox
pour protéger Management Server d’Internet. Lorsque vous ajoutez une adresse IP, l’Assistant effectue
trois actions :
o L’Assistant utilise cette adresse IP pour configurer la passerelle Firebox et autoriser les
connexions à Management Server. Si vous ne tapez d’adresse IP ici, vous devez configurer tout
pare-feu entre Management Server et Internet de manière à autoriser les connexions à
Management Server sur les ports TCP 4110, 4112 et 4113.
o Si vous possédez une version antérieure de WatchGuard System Manager et un périphérique
Firebox configuré en tant que serveur DVCP, l’Assistant obtient les informations relatives au
serveur DVCP auprès de la passerelle Firebox et déplace ces paramètres vers votre serveur
Management Server.
Pour plus d’informations, consultez le Guide de migration.
o L’Assistant définit l’adresse IP de la liste de révocation de certificats. Les périphériques ajoutés
en tant que clients gérés utilisent cette adresse IP pour se connecter à Management Server.
Cette adresse IP doit être l’adresse IP publique affichée par Management Server sur Internet.
Si vous ne tapez pas d’adresse IP ici, l’Assistant utilise l’adresse IP actuelle de votre ordinateur
Management Server comme adresse IP de la liste de révocation de certificats. S’il ne s’agit pas
de l’adresse IP affichée par votre ordinateur sur Internet car elle se trouve derrière un
périphérique qui effectue une traduction d’adresses réseau, vous devez modifier la liste de
révocation de certificats et taper l’adresse IP publique utilisée par Management Server.
Pour plus d’informations, voir Modifier la configuration de Management Server.
7. Tapez la clé de licence Management Server. Cliquez sur Suivant.
Pour plus d’informations sur les clés de licence Management Server, reportez-vous à la section portant
sur Management Server dans le Forum aux questions consacré à Fireware à l’adresse suivante :
www.watchguard.com/support/faqs/fireware/.
8. Tapez le nom de votre organisation. Cliquez sur Suivant.
Ce nom est utilisé pour l’autorité de certification sur Management Server.
9. Un écran d’informations relatives à votre serveur s’affiche. Cliquez sur Suivant.
L’Assistant configure le serveur.
10. Cliquez sur Terminer.
Lorsqu’une interface dont l’adresse IP est liée à Management Server échoue puis redémarre, nous
vous recommandons de redémarrer Management Server.
394
WatchGuard System Manager
Installation et administration de Management Server
Configurer l’autorité de certification sur
Management Server
Vous pouvez configurer l’autorité de certification sur WatchGuard Management Server.
Définir les propriétés de l’autorité de certification
En règle générale, les administrateurs Firebox ne modifient pas les propriétés du certificat d’autorité de
certification. Si vous devez modifier ces paramètres :
1. Sur l’ordinateur configuré en tant que Management Server, cliquez avec le bouton droit sur l’icône de
Management Server dans la barre d’outils WatchGuard, puis sélectionnez Configurer.
2. Cliquez sur l’onglet Certificats.
Guide de l’utilisateur
395
Installation et administration de Management Server
3. Dans le champ Nom commun, tapez le nom qui doit apparaître dans le certificat d’autorité de
certification.
4. Dans le champ Organisation, tapez un nom d’organisation pour le certificat d’autorité de certification.
5. Dans le champ Durée de vie du certificat, tapez le nombre de jours au-delà duquel le certificat
d’autorité de certification expirera.
Plus la durée de vie du certificat est longue, plus les personnes mal intentionnées ont le temps de
l’attaquer.
6. Dans la liste déroulante Bits de la clé, sélectionnez la force à appliquer au certificat. Plus ce nombre est
élevé, plus la cryptographie protégeant la clé est forte.
Définir les propriétés des certificats clients
1. Dans la section Client de la boîte de dialogue, dans le champ Durée de vie du certificat, tapez le
nombre de jours au-delà duquel le certificat client expirera.
Plus la durée de vie du certificat est longue, plus les personnes mal intentionnées ont le temps de
l’attaquer.
2. Dans la liste déroulante Bits de la clé, sélectionnez la force à appliquer au certificat.
Plus ce nombre est élevé, plus la cryptographie protégeant la clé est forte.
Définir les propriétés de la liste de révocation de certificats
1. Dans la section Liste de révocation de certificats de la boîte de dialogue, la zone Adresse IP de
distribution contient une liste d’adresses IP. Vous pouvez sélectionner une adresse dans la liste ou
cliquer sur Ajouter pour ajouter une nouvelle adresse.
Vous pouvez également sélectionner une adresse et cliquer sur Supprimer si vous n’en avez plus
besoin.
Par défaut, l’adresse IP de distribution est l’adresse de la passerelle Firebox. Il s’agit également de
l’adresse IP utilisée par les clients Firebox gérés distants pour se connecter à Management Server. Si
l’adresse IP externe de votre périphérique Firebox change, vous devez modifier cette valeur.
2. Dans le champ Intervalle de publication, tapez l’intervalle de publication de la liste de révocation de
certificats (en heures). Il s’agit de la période après laquelle la liste de révocation de certificats est
automatiquement publiée.
Le paramètre par défaut est (0), ce qui signifie que la liste de révocation est publiée toutes les 720
heures (30 jours). Cette liste est également mise à jour dès lors qu’un certificat est révoqué.
Envoyer les messages du journal de diagnostic de l’autorité de certification
Pour que Management Server envoie les messages du journal de diagnostic à l’Observateur d’événements
Windows, activez la case à cocher Déboguer les messages du journal du service de l’autorité de
certification.
Pour afficher les messages des journaux, ouvrez l’Observateur d’événements Windows :
1. Sur le bureau Windows, sélectionnez Démarrer > Exécuter.
2. Tapez eventvwr.
Les messages des journaux apparaissent dans la section Application de l’Observateur d’événements.
396
WatchGuard System Manager
Installation et administration de Management Server
Modifier la configuration de Management Server
L’Assistant Management Server Setup Wizard permet de configurer Management Server. Par la suite, vous
n’aurez généralement besoin d’apporter aucune modification aux propriétés de la configuration de
Management Server. Si vous devez modifier la configuration de Management Server, vous pouvez accéder
aux propriétés de la configuration sur Management Server lui-même.
Sur l’ordinateur configuré en tant que Management Server, cliquez avec le bouton droit sur l’icône de
Management Server dans la barre d’outils WatchGuard, puis sélectionnez Configurer. La boîte de dialogue
Configuration de Management Server s’affiche.
Guide de l’utilisateur
397
Installation et administration de Management Server
Ajouter ou supprimer une licence Management Server
Pour ajouter une licence Management Server :
1. Cliquez sur l’onglet Gestion.
2. Tapez ou collez la clé de licence Management Server dans le champ Clé de licence.
3. Cliquez sur Ajouter.
Pour supprimer une licence Management Server :
1. Cliquez sur l’onglet Gestion.
2. Sélectionnez la licence à supprimer, puis cliquez sur Supprimer.
Une fois la configuration terminée, cliquez sur OK.
Pour plus d’informations sur les clés de licence Management Server, reportez-vous à la section portant sur
Management Server dans le Forum aux questions consacré à Fireware à l’adresse suivante :
www.watchguard.com/support/faqs/fireware/.
Configurer la notification
Vous pouvez faire en sorte que le périphérique Firebox envoie une notification lorsqu’il ne parvient pas à
contacter le serveur.
Pour plus d’informations sur les champs de cette boîte de dialogue, voir Définir les préférences de
journalisation et de notification.
Contrôler les paramètres de journalisation et de modification de la configuration
Vous pouvez définir plusieurs paramètres de configuration généraux pour contrôler les messages des
journaux qui sont envoyés de Management Server vers Log Server.
Déboguer les messages du journal de Management Server Service
Activez cette case à cocher pour que Management Server envoie les messages du journal de
diagnostic à l’Observateur d’événements Windows. Vous pouvez également contrôler la
journalisation de Management Server sous l’onglet Journalisation.
Pour afficher les messages du journal de diagnostic, ouvrez l’Observateur d’événements Windows :
1. Sur le bureau Windows, sélectionnez Démarrer > Exécuter.
2. Tapez eventvwr.
Les messages des journaux apparaissent dans la section Application de l’Observateur
d’événements.
Consigner les informations d’audit au démarrage
Activez cette case à cocher si vous souhaitez qu’au démarrage Management Server consigne des
informations sur les périphériques gérés, les ressources VPN, les modèles de stratégie de pare-feu
VPN, la sécurité, les modèles de gestion centralisée Edge et les tunnels VPN gérés. Vous devez activer
cette case à cocher pour obtenir des informations précises dans le gestionnaire Report Manager pour
les périphériques Firebox gérés.
Forcer les utilisateurs à entrer un commentaire lors de l’enregistrement sur des périphériques Fireware
Activez cette case à cocher pour demander aux utilisateurs de taper un commentaire avant
d’enregistrer des modifications sur un périphérique Firebox à partir du gestionnaire Policy Manager
d’un périphérique Firebox géré.
398
WatchGuard System Manager
Installation et administration de Management Server
Définir les comptes d’utilisateurs de Management Server
Vous pouvez définir des comptes sur Management Server de manière à ce que plusieurs utilisateurs puissent
accéder simultanément au serveur.
Un compte d’administration par défaut est créé pour vous lors de l’installation du logiciel Management Server.
Le mot de passe de ce compte est identique à celui du serveur de gestion.
1. Sur l’ordinateur configuré en tant que Management Server, cliquez avec le bouton droit sur l’icône de
Management Server dans la barre d’outils WatchGuard, puis sélectionnez Configurer.
La boîte de dialogue Configuration de Management Server s’affiche.
2. Cliquez sur l’onglet Utilisateurs.
3. Pour ajouter un compte, cliquez sur Ajouter.
4. Entrez le nom et le mot de passe de l’utilisateur dans la boîte de dialogue Ajouter un utilisateur.
5. Activez la case d’option Privilèges d’administration, Privilèges de lecture/écriture ou Privilèges de
lecture seule pour définir le niveau de privilèges de l’utilisateur. Cliquez sur OK.
Modifier les paramètres de journalisation
Vous pouvez activer ou désactiver la journalisation pour le serveur et définir l’emplacement où le serveur
enverra les messages des journaux.
Pour ouvrir la boîte de dialogue de configuration :
1. Cliquez avec le bouton droit sur l’icône du serveur et sélectionnez Configurer.
2. Entrez le mot de passe de Management Server lorsque vous y êtes invité.
3. Dans la boîte de dialogue qui s’affiche, cliquez sur l’onglet Journalisation.
Activer ou désactiver la journalisation
Si vous voulez que le serveur envoie les messages des journaux à un ou plusieurs serveurs WatchGuard Log
Servers, activez la case à cocher Activer les messages du journal pour WatchGuard Log Server.
Ajouter des serveurs Log Server ou définir des priorités pour ces serveurs
1. Pour ajouter des serveurs Log Server pour le serveur, cliquez sur Ajouter.
Pour plus d’informations sur l’utilisation de la boîte de dialogue Ajouter un processeur
d’événements qui s’affiche, voir Ajouter Log Server.
2. Vous pouvez créer une liste des priorités pour les serveurs Log Server. Si Firebox ne peut pas se
connecter à Log Server avec la priorité la plus élevée, il se connecte au serveur Log Server suivant dans
la liste des priorités. Si Firebox examine chaque serveur Log Server dans la liste et ne peut pas se
connecter, il essaie à nouveau de se connecter au premier serveur Log Server de la liste. Pour modifier
la liste des priorités, sélectionnez un serveur Log Server dans la liste et cliquez sur les boutons Monter
et Descendre.
3. La liste déroulante Sélectionnez un niveau de journal vous permet d’attribuer un niveau aux
messages des journaux envoyés par le serveur : Erreur, Avertissement, Informations ou Débogage.
Guide de l’utilisateur
399
Installation et administration de Management Server
Envoyer les messages à l’Observateur d’événements Windows
L’Observateur d’événements est un programme Windows qui conserve l’enregistrement des événements qui
se produisent dans les applications qui s’exécutent sur votre ordinateur. Pour contrôler si le serveur envoie des
messages à ce programme, utilisez la case à cocher Envoyer des messages du fichier journal à
l’Observateur d’événements Windows.
Utilisez la liste déroulante Sélectionnez un niveau de journal pour attribuer un niveau aux messages des
journaux envoyés par le serveur à l’Observateur d’événements : Erreur, Avertissement, Informations ou
Débogage.
Envoyer les messages vers un fichier
Pour contrôler si le serveur envoie les messages des journaux vers un fichier, utilisez la case à cocher Envoyer
les messages du journal vers un fichier. Définissez l’emplacement du fichier qui recevra le message du
journal et utilisez la liste déroulante Sélectionnez un niveau de journal pour attribuer un niveau aux
messages des journaux.
Sauvegarder ou restaurer la configuration de
Management Server
Management Server contient les informations de configuration de tous les périphériques Firebox X Edge et
tunnels VPN gérés. Il est conseillé d’effectuer de fréquentes sauvegardes de Management Server et de
conserver les fichiers de sauvegarde dans un endroit sûr. Ces fichiers pourront être utilisés pour restaurer
Management Server en cas de panne matérielle. Ils serviront également lors du transfert de Management
Server sur un nouvel ordinateur. Pour pouvoir utiliser un fichier de sauvegarde, vous devez connaître la clé
principale. Celle-ci est définie lors de la configuration initiale de Management Server.
1. Dans la barre d’outils Windows, cliquez avec le bouton droit sur l’icône de Management Server, puis
sélectionnez Arrêter le service.
2. Dans la barre d’outils Windows, cliquez avec le bouton droit sur l’icône de Management Server, puis
sélectionnez Sauvegarder/Restaurer.
L’Assistant Management Server Backup/Restore Wizard démarre. Utilisez les instructions affichées à
l’écran pour créer un fichier de sauvegarde ou pour restaurer une configuration de Management
Server à partir d’un fichier de sauvegarde.
3. Une fois la procédure terminée, dans la barre d’outils Windows, cliquez avec le bouton droit sur l’icône
de Management Server, puis sélectionnez Démarrer le service.
Sauvegarder Management Server en vue du dépannage
Utilisez l’option Fichier > Exporter vers un fichier pour créer une version en texte brut de la configuration de
Management Server, qui inclut toutes les informations sur les périphériques gérés et les modèles. Ce fichier
ne doit être utilisé que lors du dépannage d’un problème avec le support technique.
400
WatchGuard System Manager
Installation et administration de Management Server
Déplacer WatchGuard Management Server sur un nouvel
ordinateur
Pour déplacer Management Server sur un nouvel ordinateur, vous devez connaître la clé principale. Vous
devez également vérifier que l’adresse IP attribuée au nouveau Management Server est la même que celle du
serveur précédent.
1. Utilisez l’Assistant Management Server Backup/Restore Wizard pour créer un fichier de sauvegarde de
la configuration du serveur Management Server actuel.
2. Utilisez le fichier d’installation de WatchGuard System Manager et installez le logiciel Management
Server sur le nouveau serveur Management Server.
3. Exécutez l’Assistant Restore Wizard et sélectionnez le fichier sauvegardé.
4. Dans la barre d’outils Windows, cliquez avec le bouton droit sur l’icône de Management Server et
sélectionnez Démarrer le service.
Se connecter à Management Server
Pour se connecter à Management Server depuis WSM :
1. Cliquez sur .
Vous pouvez également sélectionner Fichier > Se connecter au serveur ou cliquer avec le bouton
droit n’importe où dans la fenêtre WatchGuard System Manager et sélectionner Se connecter à >
Serveur.
2. Dans la liste déroulante Management Server, sélectionnez un serveur par son nom d’hôte ou son
adresse IP.
Vous pouvez également taper l’adresse IP ou le nom d’hôte si nécessaire. Lorsque vous tapez une
adresse IP, tapez tous les chiffres et points. N’utilisez pas les touches TAB ni les touches de direction.
3. Tapez ou sélectionnez le nom d’utilisateur associé à votre compte d’utilisateur sur Management
Server.
4. Tapez le mot de passe de votre compte d’utilisateur. Si vous utilisez le compte d’administration par
défaut, le mot de passe est le mot de passe de gestion du serveur.
Guide de l’utilisateur
401
Installation et administration de Management Server
5. Si nécessaire, modifiez la valeur du champ Délai d’attente. Cette valeur définit la durée (en secondes)
pendant laquelle Watchguard System Manager attend des données de Management Server avant
d’envoyer un message indiquant qu’il ne peut pas se connecter.
Si votre réseau ou votre connexion Internet est lente, vous pouvez augmenter la valeur du délai. Si vous
réduisez cette valeur, cela réduit la durée d’attente avant réception d’un message de dépassement de
délai si vous essayez de vous connecter à un serveur Management Server qui n’est pas disponible.
6. Cliquez sur Connexion.
Le serveur apparaît dans la fenêtre WatchGuard System Manager.
Dans certaines versions antérieures des produits de sécurité WatchGuard, WatchGuard
Management Server était appelé serveur DVCP.
Déconnexion de Management Server
Sélectionnez Management Server dans l’arborescence WSM. Cliquez sur
Management Server, puis sélectionnez Fichier > Déconnecter.
402
ou cliquez sur le nom du serveur
WatchGuard System Manager
17
Rapports WatchGuard
À propos de Report Server
Report Server consolide les données collectées par les serveurs Log Server sur les périphériques Firebox et
génère régulièrement des rapports à partir de ces données. Lorsque les données sont sur Report Server, vous
pouvez afficher les rapports disponibles à l’aide de Report Manager.
Pour plus d’informations sur Report Manager, voir À propos de Report Manager.
Pour plus d’informations sur les rapports disponibles, voir Liste des rapports prédéfinis.
Installer Report Server
Utilisez le programme d’installation de WatchGuard System Manager pour installer Report Server sur
l’ordinateur utilisé comme station de gestion. Vous pouvez également l’installer sur un autre ordinateur. Vous
pouvez ajouter d’autres serveurs Report Server à des fins de sauvegarde.
Si vous installez Report Server sur un ordinateur équipé d’un pare-feu autre que le pare-feu Windows, vous
devez ouvrir les ports nécessaires aux serveurs pour se connecter à travers le pare-feu. Pour les utilisateurs du
pare-feu Windows, il est inutile de modifier leur configuration de pare-feu. Pour plus d’informations, voir
Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feu de Bureau.
À propos des mots de passe
Tous les serveurs WatchGuard partagent les mêmes mots de passe principal et de gestion de serveur. Si vous
commencez par configurer un autre serveur, il n’est pas nécessaire de configurer de nouveau le mot de passe
lorsque vous configurez Report Server.
Si vous avez déjà exécuté le Report Server Setup Wizard, il configure Report Server sans que vous
n’ayez à intervenir.
Installer Report Server
Vous pouvez installer Report Server sur votre station de gestion ou sur un autre ordinateur.
Exécutez le programme d’installation de WatchGuard System Manager et sélectionnez uniquement le
composant Report Server.
Guide de l’utilisateur
403
Rapports WatchGuard
Exécuter l’Assistant d’installation
Si vous exécutez le Report Server Setup Wizard à partir d’une connexion de bureau distante à une session
Terminal Server Windows 2000 ou Windows 2003 Server, l’installation de la base de données PostgreSQL
échoue si vous n’ouvrez pas la session de bureau distante en tant que session d’administration distante ou de
console et n’exécutez pas les services Terminal Server en mode d’administration distante.
1. Cliquez avec le bouton droit de la souris
dans la barre d’état système et sélectionnez Assistant
Setup Wizard.
Le Report Server Setup Wizard s’affiche.
2. Si vous avez déjà configuré un serveur WatchGuard, le Report Server Setup Wizard affiche uniquement
un écran indiquant qu’il configure le serveur.
Si vous n’avez pas encore exécuté l’Assistant, il affiche les écrans suivants :
o Créez un mot de passe principal
Le mot de passe principal chiffre toutes les données de Management Server.
o Créez un mot de passe de gestion du serveur
Vous êtes invité à fournir ce mot de passe lorsque vous cliquez sur un élément de menu permettant de
configurer le serveur et ses utilisateurs.
Sélectionnez le Chemin d’accès au répertoire de données avec attention. Une fois la base de
données installée, vous ne pouvez plus modifier l’emplacement du répertoire via l’interface
utilisateur de Report Server.
o Identifiez le nom de votre organisation
o Le Report Server Setup Wizard est terminé.
3. Parcourez l’Assistant et ajoutez les informations requises.
Pour modifier les paramètres par défaut de Report Server et les adapter aux besoins de votre installation, voir
Configurer Report Server.
Configurer Report Server
Vous ne pouvez pas configurer Report Server s’il n’est pas encore installé. Installez Report Server et suivez les
étapes ci-dessous pour configurer le serveur.
1. Cliquez avec le bouton droit de la souris
dans la barre d’état système et sélectionnez Configurer.
Entrez le mot de passe de gestion du serveur.
La boîte de dialogue Configuration de Report Server s’affiche.
2. Le cas échéant, adaptez les paramètres par défaut aux besoins de votre réseau. Lorsque vous avez
terminé, cliquez sur OK.
404
WatchGuard System Manager
Rapports WatchGuard
Paramètres du serveur
Vous pouvez configurer des paramètres pour la base de données Report Server et le serveur SMTP.
Guide de l’utilisateur
405
Rapports WatchGuard
Paramètres de base de données
Taille maximale de la base de données
Entrez la taille maximale autorisée pour la base de données Report Server.
La boîte de dialogue affiche la taille actuelle de la base de données et le nombre de Go disponibles.
Envoyer un avertissement si la base de données atteint le seuil d’avertissement
Activez cette case à cocher pour recevoir un message d’avertissement lorsque la base de données
approche de sa limite.
Seuil d’avertissement
Pour définir le moment où la base de données envoie un message d’avertissement, appuyez sur les
flèches vers le haut ou vers le bas.
Envoyer un message d’avertissement à
Entrez l’adresse e-mail à laquelle envoyer le message d’avertissement.
Par exemple, si vous choisissez de recevoir un message d’avertissement, utilisez le seuil d’avertissement par
défaut de 90 % et la taille maximale de la base de données par défaut de 10 000 Mo, Report Server envoie le
message d’avertissement lorsque 9 000 Mo ont été utilisés et qu’il ne reste que 1 000 Mo disponibles.
Lorsque la base de données Report Server est régulièrement purgée et que le nombre
d’enregistrements envoyés au serveur reste constant, l’espace libéré par le processus de purge est
simplement réutilisé par les rapports suivants. Cependant, si l’intervalle de purge (défini dans le
champ Conserver les messages du fichier journal pendant de l’onglet Paramètres d’expiration
de la boîte de dialogue Configuration de Report Server) est diminué ou si la journalisation du
débogage est désactivée après avoir été utilisée pendant un certain temps, nous vous conseillons
d’utiliser l’utilitaire de ligne de commande vacuumdb pour réclamer l’espace libre de la base de
données Report Server.
Paramètres du serveur SMTP
Serveur de messagerie sortant (SMTP)
Entrez l’adresse du serveur de messagerie SMTP sortant.
Utilisez les informations de connexion pour le serveur de messagerie
Activez cette case à cocher si votre serveur requiert une authentification.
Nom d’utilisateur
Entrez le nom d’utilisateur du serveur de messagerie.
Mot de passe
Entrez le mot de passe du serveur de messagerie.
Si le nom d’utilisateur et le mot de passe ne sont pas requis pour votre serveur SMTP, ne remplissez
pas ces champs.
406
WatchGuard System Manager
Rapports WatchGuard
Paramètres d’expiration
Vous pouvez configurer des paramètres de suppression de rapports et de configuration de la notification pour
Report Server.
Paramètres de suppression de rapports
Conservez les messages de rapport pendant
Pour spécifier le nombre de jour qu’il convient de conserver les messages sur Report Server, appuyez
sur la flèche vers le bas ou vers le haut.
La boîte de dialogue affiche la date de la dernière suppression des messages.
Supprimez les messages de rapport expirés à
Pour définir l’heure de la journée à laquelle les messages expirés sont supprimés, appuyez sur les
flèches vers le haut ou vers le bas.
La boîte de dialogue affiche la date et l’heure de la prochaine suppression programmée.
Guide de l’utilisateur
407
Rapports WatchGuard
Configuration de la notification
Activer la notification
Activez cette case à cocher pour activer les notifications d’e-mails.
Envoyer un e-mail de
Entrez l’adresse e-mail complète du compte à partir duquel vous souhaitez envoyer des notifications.
Objet
Entrez la ligne d’objet qui s’affiche aux yeux des utilisateurs lorsqu’ils reçoivent un e-mail de
notification.
Corps
Entrez le message destiné aux utilisateurs. Vous pouvez utiliser un format texte ou HTML pour entrer
le corps du message.
Paramètres de génération de rapports
Vous pouvez configurer les paramètres de génération de rapports de Report Server.
Ces options s’appliquent uniquement aux données de rapports de synthèse.
Chaque rapport de synthèse doit contenir
Entrez le nombre d’enregistrements à inclure dans les rapports de synthèse.
Ce paramètre s’applique uniquement aux rapports de synthèse.
408
WatchGuard System Manager
Rapports WatchGuard
Commencer à générer des rapports hebdomadaires le
Pour définir le jour de la génération du rapport, cliquez sur la liste déroulante et sélectionnez un jour.
Pour définir l’heure de la journée à laquelle le rapport doit commencer, appuyez sur les flèches vers
le haut ou vers le bas.
Sélectionnez le type de rapport
Pour spécifier les rapports à inclure dans la liste, activez la case à cocher en regard de chaque rapport
à afficher lors de la génération des rapports.
Exécuter maintenant
Cliquez sur ce bouton pour générer immédiatement tous les rapports sélectionnés.
Une fois que vous avez cliqué sur le bouton Exécuter maintenant, un message s’affiche pour
indiquer que la génération des rapports est en cours et peut prendre quelques minutes. Lorsque
l’opération est terminée, un autre message s’affiche pour indiquer que le rapport est prêt. Cliquez une
nouvelle fois sur Exécuter maintenant pour afficher le rapport.
Étant donné que les journaux du Log Server et du Report Server ne sont pas toujours synchronisés,
jusqu’à 15 minutes peuvent être nécessaires à la génération des rapports.
Ajouter le(s) serveur(s) Log Server
Report Server peut recueillir les données de plusieurs serveurs Log Server. Cliquez sur Ajouter pour
ajouter un Log Server à la liste. Entrez l’adresse IP et le mot de passe du Log Server.
Chemin d’accès au répertoire de rapports
Indiquez le répertoire des fichiers de rapport.
Guide de l’utilisateur
409
Rapports WatchGuard
Paramètres de journalisation
Activer les messages du journal pour WatchGuard Log Server
Activez cette case à cocher pour permettre au Log Server de recueillir des données de journalisation
à partir des périphériques Firebox.
Sélectionner un niveau de journal
Si vous avez activé la case à cocher Activer les messages du journal pour WatchGuard Log Server,
vous pouvez sélectionner le niveau affecté aux messages de journal.
ƒ
ƒ
ƒ
ƒ
Erreur
Avertissement
Informations
Débogage
Envoyer des messages du fichier journal à l’Observateur d’événements Windows
Activez cette case à cocher pour permettre au Log Server d’envoyer des messages à l’Observateur
d’événements.
Sélectionner un niveau de journal
Si vous avez activé la case à cocher Envoyer des messages du fichier journal à l’Observateur
d’événements Windows, vous pouvez sélectionner le niveau affecté aux messages de journal.
ƒ
ƒ
ƒ
ƒ
410
Erreur
Avertissement
Informations
Débogage
WatchGuard System Manager
Rapports WatchGuard
Envoyer les messages du journal vers un fichier
Cette case à cocher est activée par défaut. Vous pouvez la désactiver pour ignorer les messages de
journal.
Emplacement du fichier
Si vous avez activé la case à cocher Envoyer les messages du journal vers un fichier, vous pouvez
sélectionner l’emplacement de stockage des messages du journal.
Sélectionner un niveau de journal
Si vous avez activé la case à cocher Envoyer les messages du journal vers un fichier, vous pouvez
sélectionner le niveau affecté aux messages de journal.
ƒ
ƒ
ƒ
ƒ
Erreur
Avertissement
Informations
Débogage
Réclamer l’espace libre de la base de données Report Server
Lorsque la base de données du Report Server est régulièrement purgée et que le nombre d’enregistrements
envoyés au serveur reste constant, l’espace libéré par le processus de purge est simplement réutilisé par les
rapports suivants. Cependant, si l’intervalle de purge (défini dans le champ Conserver les messages du
fichier journal pendant de l’onglet Paramètres d’expiration de la boîte de dialogue Configuration de
Report Server) est diminué ou si la journalisation du débogage est désactivée après avoir été utilisée pendant
un certain temps, nous vous conseillons d’utiliser l’utilitaire de ligne de commande vacuumdb. Cet utilitaire
permet de réduire la taille du fichier physique de la base de données en marquant les objets purgés comme
pouvant être réutilisés.
L’utilitaire vacuumdb permet également de réclamer l’espace libre de la base de données Log Server.
Pour exécuter l’utilitaire vacuumdb :
1. Arrêtez Report Server.
2. Dans la ligne de commande, exécutez
C:\Program Files\WatchGuard\wsm10.0\postgresql\bin\vacuumdb –v –f –d wgrep –U wguser
(Vous pouvez ignorer l’option –v pour désactiver la sortie en clair.)
3. À l’invite, entrez le mot de passe de gestion du serveur.
En fonction de la taille de la base de données, l’exécution de l’opération peut durer de quelques minutes à
plusieurs heures. Une fois la commande terminée, redémarrez Report Server.
Guide de l’utilisateur
411
Rapports WatchGuard
Démarrer ou arrêter Report Server
Vous pouvez démarrer ou arrêter le service Report Server à tout moment sans vous déconnecter de Report
Server.
Pour démarrer le service, cliquez avec le bouton droit de la souris sur
dans la barre d’état système et
sélectionnez Démarrer le service.
Vous pouvez également sélectionner Fichier > Démarrer le serveur dans la boîte de dialogue Configuration
de Report Server.
L’icône de la barre d’état système se transforme en .
Pour arrêter le service, cliquez avec le bouton droit de la souris sur
dans la barre d’état système et
sélectionnez Arrêter le service.
Vous pouvez également sélectionner Fichier > Arrêter le serveur dans la boîte de dialogue Configuration de
Report Server.
L’icône de la barre d’état système se transforme en
.
À propos de Report Manager
Report Manager permet de consulter les données collectées par les serveurs Log Server de tous les
périphériques Firebox. Dans Report Manager, vous pouvez voir les rapports WatchGuard disponibles pour un
Firebox ou une sélection des périphériques Firebox.
Les rapports WatchGuard sont des synthèses des données de journal que vous avez choisi de collecter à partir
des fichiers de journal Firebox.Report Manager consolide les données de journal dans une série de rapports
prédéfinis afin que vous puissiez localiser et vérifier rapidement les actions et événements des Firebox. Pour
plus d’informations sur les rapports prédéfinis, voir Liste des rapports prédéfinis.
Avec les fonctionnalités avancées de Report Manager, vous pouvez effectuer les tâches suivantes :
ƒ
ƒ
ƒ
ƒ
Définir les options des rapports comme la couleur de fond, le nombre maximum d’enregistrements par
fichier et le répertoire de stockage des rapports.
Sélectionner les paramètres des rapports comme les plages de date des rapports et les groupes de
Firebox pour lesquels créer des rapports.
Modifier le type de rapport du format HTML au format PDF et inversement.
Envoyer par courrier électronique, imprimer ou enregistrer un rapport
Pour utiliser WatchGuard Reports, vous devez être équipé d’Internet Explorer 6.0 ou version
ultérieure.
412
WatchGuard System Manager
Rapports WatchGuard
Barre d’outils de Report Manager
La barre d’outils de Report Manager comprend des icônes qui vous permettent de parcourir l’interface.
Icône
Guide de l’utilisateur
Nom
Action
Connexion à Report Server
Permet de se connecter à un Report Server.
Envoyer le rapport par e-mail
Permet d’ouvrir un e-mail avec le format de rapport
sélectionné en pièce jointe.
Imprimer le rapport
Permet d’ouvrir la boîte de dialogue d’impression afin
de sélectionner les paramètres d’impression.
Enregistrer sous
Permet d’enregistrer le rapport au format PDF, HTML
ou CSV.
Afficher le rapport au format HTML
Permet d’afficher le rapport au format HTML.
Afficher le rapport au format PDF
Permet d’afficher le rapport au format PDF.
Précédent
Permet de revenir à la page précédente.
Suivant
Permet de retourner à la page précédemment
sélectionnée.
Actualiser
Permet d’actualiser la vue active.
Arrêter
Permet d’arrêter l’action en cours.
Options
Permet d’ouvrir la boîte de dialogue Options
permettant de définir les options de Report Manager.
Aide
Permet d’ouvrir l’Aide de Report Manager.
413
Rapports WatchGuard
Définir les options de rapport
Vous pouvez modifier les paramètres par défaut de la sortie des rapports et le modèle de rapport par défaut.
Dans la barre d’outils Report Manager, cliquez sur
Sinon, sélectionnez Afficher > Options.
La boîte de dialogue Options s’affiche.
.
Utiliser un arrière-plan noir pour les graphiques et les boîtes de dialogue
Cette option est sélectionnée par défaut. Désactivez la case à cocher correspondante pour utiliser un
arrière-plan clair dans tous les graphiques et boîtes de dialogue.
Spécifiez le répertoire des fichiers de rapport
Chaque fois que vous consultez un rapport, Report Manager place le fichier de rapport sur votre
disque dur local. Vous pouvez indiquer le dossier dans lequel placer ce fichier.
Type de fichier de rapport
Sélectionnez l’affichage par défaut pour la sortie des rapports. Report Manager affiche
automatiquement les rapports dans ce format.
Nombre maximal d’enregistrements par fichier HTML
Cliquez sur la flèche vers le haut ou vers le bas pour définir le nombre maximal d’enregistrements à
inclure dans chaque fichier HTML.
414
WatchGuard System Manager
Rapports WatchGuard
Toujours recréer le fichier de rapport à son ouverture
Désactivez cette case à cocher pour permettre à Report Manager d’ouvrir les versions existantes des
rapports sélectionnés. La génération de rapports volumineux peut prendre du temps. Désactivez
cette option pour réduire le temps nécessaire à l’affichage d’un rapport. Les informations figurant
dans les rapports précédemment créés peuvent ne pas être les plus récentes.
Sélectionnez cette option si vous souhaitez que Report Manager crée toujours un nouveau rapport.
Cette option peut prendre davantage de temps, mais elle permet l’affichage des données les plus
récentes.
Toujours supprimer les fichiers de rapport que j’ai créés à la fermeture de Report Manager
Pour laisser les fichiers de rapport sur votre disque dur, désactivez cette case à cocher.
Me demander confirmation avant de supprimer des fichiers de rapport
Si vous souhaitez que Report Manager supprime les fichiers de rapport sans vous en avertir,
désactivez cette case à cocher.
Spécifiez le répertoire des fichiers de définition de rapport
Sélectionnez le répertoire dans lequel les fichiers de définition de rapport sont enregistrés.
Ouvrir Report Manager
Vous ouvrez Report Manager depuis l’interface WSM (WatchGuard System Manager) principale.
1. Dans la barre d’outils WSM, cliquez sur
.
Vous pouvez également sélectionner Outils > Journaux > Report Manager.
WatchGuard Report Manager et la boîte de dialogue Connexion à Report Server s’affichent.
2. Entrez l’adresse IP, le nom d’utilisateur et le mot de passe de Report Server.
Tous les serveurs WatchGuard partagent le même mot de passe principal.
3. Cliquez sur Connexion.
Report Manager se connecte au serveur de rapports et les données s’affichent dans la fenêtre de navigation
gauche de WatchGuard Reports.
La première fois que vous vous connectez à un Report Server, une boîte de dialogue Validation du certificat
s’affiche. Vous devez valider le certificat pour continuer.
Se connecter à un autre Report Server
Pour se connecter à un autre Report Server lorsque Report Manager est ouvert, il convient d’abord
de se déconnecter du Report Server actif.
Sélectionnez Fichier> Déconnecter.
Guide de l’utilisateur
415
Rapports WatchGuard
Liste de rapports prédéfinis
Report Manager inclut des rapports prédéfinis que vous pouvez sélectionner pour afficher les données
collectées par le Firebox.
Type de rapport
Nom du rapport
Description
Résumé du trafic Web
Tendance de l’activité Web
Tendances, clients actifs, domaines les plus
populaires, informations WebBlocker et
sites Web bloqués par des règles de proxy.
Des graphiques sont inclus pour les
rapports les plus détaillés. Cliquez sur un
graphique pour afficher le rapport détaillé.
Résumé des tendances Web
Données des tendances horaires
Clients les plus actifs
50 premiers clients par le nombre de
connexions Web
Domaines les plus
populaires
50 sites Web les plus visités par les clients
Service WebBlocker
Statistiques et sites Web bloqués par le
service WebBlocker
Détails des URL par heure
Toutes les URL dans l’ordre chronologique
Détails des URL par client
Toutes les URL classées par client
Détails des URL par
domaine
Toutes les URL classées par domaine
Audit de l’activité Web
Inclut les sites Web autorisés pour les
connexions HTTP, si vous activez le
marqueur d’audit pour HTTP dans Policy
Manager.
Résumé Intrusion
Prevention
Toutes les actions de prévention d’intrusion
Détails par protocole
Détails du résumé de la prévention par
protocole
Détails par sévérité
Détails du résumé de la prévention par
sévérité
Détails par adresse IP source
Détails du résumé de la prévention par
adresse IP source
Détails par signature
Détails du résumé de la prévention par
signature
Résumé de l’antivirus
Résumé des actions de l’antivirus
Détails par protocole
Détails des actions de l’antivirus par
protocole
Détails par hôte (HTTP)
Détails des actions de l’antivirus par hôte
Détails par virus
Détails des actions de l’antivirus par virus
Détails par expéditeur d’email
Détails des actions de l’antivirus par
expéditeur d’e-mail
Disponible pour SMTP ou POP3
Résumé Intrusion
Prevention
Résumé de l’antivirus
416
WatchGuard System Manager
Rapports WatchGuard
Type de rapport
Nom du rapport
Description
Résumé spamBlocker
Résumé spamBlocker
Statistiques par type de courrier indésirable,
action et premiers expéditeurs et
destinataires de courrier indésirable
spamBlocker par expéditeur
Statistiques par expéditeur
Résumé des proxies
Résumé de l’hôte
Résumé de l’action de proxy
Résumé du proxy SMTP
Résumé du serveur SMTP
Résumé de l’activité du serveur SMTP (pour
les comptes de messagerie internes et
externes)
Résumé de la messagerie
SMTP
Résumé de l’activité de la messagerie SMTP
(pour les serveurs internes et externes)
Détails du proxy SMTP
Enregistrements des actions du proxy
SMTP par heure
Résumé du compte de
messagerie
Comptes de messagerie internes et
externes
Résumé du serveur de
messagerie
Serveurs internes et externes
Détails du POP3
Tous les enregistrements par heure
Résumé filtré par
paquet
Résumé de l’hôte
Résumé de toutes les données filtrées par
paquet
Statistiques Firebox
Statistiques Firebox
Statistiques de bande passante Firebox
pour toutes les interfaces
Bande passante de
l’interface externe
Résumé des statistiques de bande passante
(pour les interfaces externes)
L’intervalle d’échantillonnage des données
est basé sur l’intervalle de temps du
rapport. L’intervalle minimum est 1 minute.
Le rapport publié échantillonne les
données toutes les 10 minutes.
Bande passante du
tunnel VPN
Résumé du trafic du tunnel VPN
Résumé des paquets refusés
Résumé journal de tous les paquets refusés
Détails des paquets entrants
refusés
Journal détaillé de chaque action entrante
Détails des paquets sortants
refusés
Journal détaillé de chaque action sortante
Alarmes
Tous les enregistrements d’alarme
Résumé d’audit du serveur
Résumé des détails d’audit du serveur
Détails d’audit du serveur
Tous les détails d’audit du serveur
Rapport d’authentification
de serveur
Tous les échecs d’authentification des
serveurs
Zones sous le rapport de
gestion
Résumé des détails de tous les
périphériques Firebox connectés à
Management Server.
Proxy POP3
Exceptions
Audit de Management
Server
Rapports de gestion
Guide de l’utilisateur
417
Rapports WatchGuard
Sélectionner les rapports à générer
Vous pouvez sélectionner les types de rapports à inclure lorsque vous générez des rapports WatchGuard.
1. Sélectionnez Modifier > Créer des rapports.
La boîte de dialogue Créer le rapport s’affiche.
2. Sélectionnez un Type de fichier de rapport.
3. Dans la liste des rapports, activez la case à cocher correspondant aux rapports à générer. Pour
sélectionner tous les rapports de la liste, activez la case à cocher Les rapports disponibles se trouvent
sur le serveur.
4. Cliquez sur Démarrer.
Report Manager génère les rapports sélectionnés.
Paramètres de la boîte de dialogue Créer le rapport
Spécifiez le répertoire des fichiers de rapport
Sélectionnez le répertoire dans lequel les fichiers de rapport sont enregistrés.
Type de fichier de rapport
Sélectionnez l’affichage par défaut pour la sortie des rapports. Report Manager affiche
automatiquement les rapports dans ce format.
Fermez automatiquement cette boîte de dialogue une fois tous les rapports générés.
Désactivez cette case à cocher si vous souhaitez que la boîte de dialogue Créer le rapport reste
ouverte une fois tous les rapports générés.
418
WatchGuard System Manager
Rapports WatchGuard
Sélectionner les paramètres de rapport
Une fois connecté à votre serveur Report Server, vous pouvez utiliser Report Manager pour consulter les
données du journal. Pour afficher les rapports, vous devez d’abord sélectionner les périphériques Firebox et
la plage de dates à inclure dans le rapport.
Dans votre rapport, vous pouvez choisir d’inclure un périphérique Firebox ou un groupe de périphériques
Firebox.
1. Sélectionnez un périphérique Firebox devant faire l’objet d’un rapport dans la liste déroulante
Sélectionnez un périphérique.
Pour obtenir des instructions sur la création d’un groupe de périphériques Firebox, voir la section suivante.
2. Sélectionnez une plage de dates pour le rapport dans la liste déroulante Sélectionnez une plage.
Pour obtenir des instructions sur l’affichage de rapports correspondant à des plages de dates et heures
spécifiques, voir Spécifier une plage de dates.
Créer des groupes de périphériques
Vous pouvez choisir d’afficher des rapports pour plusieurs périphériques Firebox d’une liste. Vous ne pouvez
pas modifier un groupe de périphériques après l’avoir créé. Si vous souhaitez le modifier, vous devez définir
un nouveau groupe.
1. Sélectionnez Définir un groupe dans la liste déroulante Sélectionnez un périphérique.
Sinon, sélectionnez Modifier > Définir un groupe.
La boîte de dialogue Créer un groupe s’affiche.
2. Tapez un nom dans le champ Nom de groupe pour la liste des périphériques Firebox.
3. Dans la liste Périphériques disponibles, activez la case à cocher de chaque périphérique Firebox à
inclure dans le groupe. Pour sélectionner tous les périphériques répertoriés, activez la case à cocher
Nom du périphérique.
4. Cliquez sur OK.
Le nom de groupe s’affiche dans le champ Sélectionnez un périphérique et les données de rapport disponibles
apparaissent dans la liste Rapports WatchGuard.
Les groupes de périphériques ne peuvent pas être enregistrés d’une session à une autre. Lorsque
vous fermez Report Manager, tous les groupes de périphériques disparaissent.
Spécifier une plage de dates
Pour affiner les données de vos rapports, vous pouvez choisir d’afficher les rapports pour des plages de dates
et heures spécifiques dans une liste de rapports.
1. Sélectionner Spécifiez une plage dans la liste déroulante Sélectionnez une plage.
Sinon, sélectionnez Modifier > Spécifiez une plage.
La boîte de dialogue Spécifiez une plage s’affiche.
2. Sélectionnez une date et une heure de début dans la section Début.
3. Sélectionnez une date et une heure de fin dans la section Fin.
4. Cliquez sur OK.
La plage s’affiche dans le champ Sélectionnez un périphérique.
Les plages de dates spécifiées ne peuvent pas être enregistrées d’une session à une autre. Lorsque
vous fermez Report Manager, toutes les plages spécifiées disparaissent.
Guide de l’utilisateur
419
Rapports WatchGuard
Afficher un rapport
Après avoir sélectionné les paramètres de vos rapports et les rapports à générer, vous pouvez afficher les
rapports. Pour plus d’informations sur le choix des paramètres de rapport, voir Sélectionner les paramètres de
rapport.
Pour plus d’informations sur le choix des rapports à générer, voir Sélectionner les rapports à générer. Les
rapports sont regroupés par date, puis par type de rapport pour tous les périphériques sélectionnés.
ƒ
ƒ
Pour afficher un rapport, cliquez sur un nom de rapport dans la liste Rapports WatchGuard du volet de
navigation de gauche.
La boîte de dialogue Progression s’affiche, puis le rapport sélectionné apparaît sur la droite.
Pour les rapports intégrant des liens vers des données concernant des périphériques, cliquez sur un lien
pour afficher ces données.
Les données sur le périphérique s’affichent.
ƒ
Pour arrêter la génération d’un rapport, cliquez sur
ƒ
Pour actualiser le rapport sélectionné, cliquez sur .
Sinon, sélectionnez Modifier > Mettre à jour la liste de rapports.
.
Rechercher un rapport dans la liste
Vous pouvez utiliser le champ Rechercher pour rechercher un rapport spécifique dans la liste.
1. Sélectionnez une section des rapports à inclure dans la recherche.
Par exemple, pour effectuer une recherche dans tous les rapports affichés, cliquez sur Rapports WatchGuard en
haut de la liste.
2. Dans le champ Rechercher au bas de Report Manager, tapez une expression à rechercher dans les
rapports répertoriés.Cliquez sur .
Sinon, appuyez sur la touche Entrée de votre clavier.
Si l’expression figure dans les rapports affichés, le premier rapport de la liste est mis en surbrillance, puis le rapport
s’affiche.
3. Cliquez à nouveau sur
pour effectuer la recherche dans d’autres rapports de la liste.
Si l’expression ne figure pas dans les rapports affichés, le message « Expression introuvable » s’affiche sous le
champ Rechercher.
Rechercher des détails dans un rapport
Vous pouvez utiliser la fonction de recherche de Windows pour trouver des détails dans un rapport.
1. Sélectionnez un rapport dans la liste Rapports WatchGuard.
Les données du rapport s’affichent.
2. Appuyez sur les touches Ctrl + f de votre clavier.
La boîte de dialogue Rechercher s’affiche.
3. Tapez une expression à rechercher dans le champ Rechercher.
4. Cliquez sur Rechercher.
Modifier le type de rapport
Vous pouvez afficher les rapports au format HTML ou PDF.
420
ƒ
Pour afficher le rapport au format HTML, cliquez sur
ƒ
Pour afficher le rapport au format PDF, cliquez sur
.
.
WatchGuard System Manager
Rapports WatchGuard
Envoyer par courrier électronique, imprimer ou enregistrer un rapport
Après avoir sélectionné un rapport, vous pouvez l’envoyer par courrier électronique, l’imprimer ou
l’enregistrer directement à partir de Report Manager.
Envoyer un rapport par e-mail
Cliquez sur .
Vous pouvez également sélectionner Fichier > Envoyer à.
Si le rapport est au format HTML, un e-mail s’ouvre avec un lien vers le fichier HTML.
Si le rapport est au format PDF, un e-mail s’ouvre avec le type de fichier sélectionné en pièce jointe.
Imprimer un rapport
Cliquez sur .
Vous pouvez également sélectionner Fichier > Imprimer.
Si le rapport est au format HTML, la boîte de dialogue Imprimer s’affiche. Sélectionnez les paramètres
d’impression et cliquez sur Imprimer.
Si le rapport est au format PDF, le rapport s’affiche dans une fenêtre distincte. Imprimez à partir de cette
nouvelle fenêtre d’application.
Enregistrer un rapport
Cliquez sur .
Vous pouvez également sélectionner Fichier > Enregistrer sous.
La boîte de dialogue d’enregistrement s’affiche.
Sélectionnez un emplacement, un nom et un type de fichier. Cliquez sur Enregistrer.
Guide de l’utilisateur
421
Rapports WatchGuard
422
WatchGuard System Manager
18
Périphériques et réseaux VPN dans WatchGuard System Manager
Périphériques et réseaux VPN
dans WatchGuard System
Manager
Utiliser la fenêtre WatchGuard System Manager
La fenêtre WatchGuard System Manager contient des menus et des icônes que vous pouvez utiliser pour
démarrer d’autres outils.
Cette fenêtre présente également deux onglets que vous pouvez utiliser pour analyser et gérer votre
environnement et vos périphériques Firebox : État du périphérique et Gestion des périphériques.
État du périphérique
Les informations relatives à un périphérique auquel vous vous connectez s’affichent dans l’onglet État du
périphérique de WatchGuard System Manager. Ces informations incluent l’état, l’adresse IP, l’adresse MAC de
chaque interface Ethernet, ainsi que les certificats installés. Elles présentent également l’état de tous les
tunnels VPN (Virtual Private Network, réseau privé virtuel) configurés dans WSM.
Les informations détaillées de chaque périphérique Firebox incluent l’adresse IP et le masque de sous-réseau
de chaque interface Firebox. Elles incluent également :
ƒ
ƒ
ƒ
l’adresse IP et le masque réseau de la passerelle par défaut (pour les interfaces externes uniquement) ;
l’adresse MAC (Media Access Control, contrôle d’accès au média) de l’interface ;
le nombre de paquets envoyés et reçus sur chaque interface depuis le dernier redémarrage de Firebox.
Chaque périphérique peut présenter l’un des quatre états possibles, identifié par l’apparence du périphérique
dans la fenêtre :
ƒ
ƒ
ƒ
ƒ
Icône normale : fonctionnement normal. Le périphérique envoie correctement les données à
WatchGuard System Manager.
Point d’interrogation jaune : le périphérique a une adresse IP dynamique et n’a pas encore contacté
Management Server.
Point d’exclamation rouge et icône grise : WatchGuard System Manager ne parvient pas à établir de
connexion réseau avec le périphérique pour l’instant.
Aucun point d’exclamation et icône grise : le périphérique est contacté pour la première fois ou n’a pas
encore été contacté.
L’onglet État du périphérique inclut également des informations sur les tunnels BOVPN (Branch Office VPN,
réseau privé virtuel de filiale) et sur les tunnels VPN mobiles.
Guide de l’utilisateur
423
Périphériques et réseaux VPN dans WatchGuard System Manager
Gestion des périphériques : navigation générale
L’onglet Gestion des périphériques présente un volet de navigation à gauche et un volet d’informations à
droite. Le volet de navigation présente les différents serveurs WatchGuard Management Server connectés et
leurs périphériques, les VPN gérés, les modèles de stratégies de pare-feu VPN, les modèles de sécurité, les
modèles de configuration Firebox X Edge et les mises à jour du microprogramme planifiées. Si vous
développez la liste d’un périphérique, vous pouvez voir les ressources VPN (réseaux) derrière celui-ci.
Le volet d’informations présente des informations plus détaillées sur tout élément que vous choisissez dans
le volet de navigation.
Si vous cliquez sur le serveur Management Server dans le volet de navigation, le volet d’informations vous permet
de voir ou de modifier les informations suivantes relatives à Management Server :
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Nom d’utilisateur et adresse IP
Alias pour les périphériques Edge
Licences de serveur
Clients. Vous pouvez modifier la liste des contacts, comme cela est décrit dans Définir les propriétés de
gestion des périphériques.
Serveurs Report Server analysés
Liste des périphériques gérés, tunnels VPN et modèles de configuration Edge
Alertes WatchGuard : les diffusions LiveSecurity récentes représentant des alertes d’informations. Si
vous cliquez sur une alerte, vous devez vous connecter au service LiveSecurity pour consulter le texte
intégral de l’alerte.
Démarrer les outils Firebox et Edge
Afficher et supprimer les mises à jour du microprogramme
Si vous cliquez sur l’en-tête Périphériques du volet de navigation, vous pouvez consulter une liste des
périphériques gérés pour le serveur.
Si vous cliquez sur un périphérique dans le volet de navigation, vous pouvez consulter la page Gestion des
périphériques pour un périphérique.
Si vous cliquez sur un VPN géré dans le volet de navigation, vous pouvez consulter la boîte de dialogue des
propriétés VPN et les paramètres VPN. Vous pouvez également ajouter un tunnel ou une ressource VPN à
partir de cette section.
424
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
Afficher des informations sur les périphériques gérés
Lorsque vous sélectionnez les dossiers se trouvant sous Périphériques, sur le côté gauche de l’onglet Gestion
des périphériques de WSM, vous pouvez consulter une liste des périphériques, ainsi que les informations
suivantes pour chacun d’eux.
Nom
Nom du périphérique Firebox géré.
Type
Type de périphérique ou de logiciel système installé sur le périphérique Firebox géré.
Adresse IP
Adresse IP utilisée pour identifier le périphérique Firebox. Si le périphérique Firebox n’a pas été
identifié sur le serveur, le champ indique n/d.
Durée du bail
La durée du bail de Management Server est l’intervalle temporel qui sépare chaque interrogation du
serveur Management Server par le client géré, à la recherche de mises à jour. La valeur par défaut est
de 60 minutes. La durée du bail est configurée dans le cadre des Propriétés du périphérique, sous
l’onglet Paramètres de connexion.
Pour plus d’informations, voir Définir les propriétés de gestion des périphériques.
Dernier téléchargement
Heure de la mise à jour la plus récente du périphérique géré à partir de Management Server. Ce
champ peut également indiquer Jamais s’il n’a jamais été mis à jour ou En attente si une mise à jour
est en cours.
Dernière modification
Heure de la modification du fichier de configuration la plus récente sur Firebox. Ce champ peut
également indiquer Jamais s’il n’a jamais été mis à jour ou En attente si une mise à jour est en cours.
Guide de l’utilisateur
425
Périphériques et réseaux VPN dans WatchGuard System Manager
Accéder à la page gestion des périphériques pour un périphérique
Vous pouvez utiliser la page de gestion des périphériques pour configurer les paramètres de gestion sur le
périphérique.
1. Développez Périphériques sur le côté gauche de l’onglet Gestion des périphériques de
WatchGuard System Manager.
Une liste des périphériques gérés s’affiche.
2. Sélectionnez un périphérique. La page de gestion du périphérique s’affiche sur le côté droit de la
fenêtre WatchGuard System Manager.
Dans la page de gestion du périphérique, vous pouvez :
ƒ
ƒ
ƒ
ƒ
ƒ
Vérifier si un autre compte d’utilisateur Management Server a verrouillé la définition du périphérique
en l’ouvrant dans Policy Manager. Cette alerte s’affiche en haut de la page. Vous ne pouvez pas
modifier la définition du périphérique tant que cet utilisateur ne le débloque pas. Pour cela, il doit
fermer Policy Manager et l’ouvrir pour un autre périphérique.
Consulter des informations générales sur le périphérique.
Voir les tunnels VPN auxquels le périphérique participe et ajouter, modifier ou supprimer des tunnels.
Pour plus d’informations sur l’utilisation de cette section de la page, voir Tunnels VPN.
Voir les ressources VPN du périphérique et ajouter, modifier ou supprimer des ressources.
Lancer des outils que vous utilisez pour analyser, définir ou gérer le périphérique.
À propos de la préparation des périphériques pour
la gestion
Après avoir installé et configuré le serveur Management Server, vous pouvez l’utiliser pour gérer plusieurs
périphériques Firebox. Pour gérer un périphérique Firebox à l’aide de Management Server, vous devez :
ƒ
ƒ
ƒ
vous assurer que Firebox autorise les connexions de gestion à partir de Management Server ;
activer manuellement Firebox en tant que client géré pour tout périphérique Firebox ayant une
adresse IP externe dynamique ;
ajouter Firebox à la configuration de Management Server.
Les procédures à suivre varient si vous utilisez un logiciel système Firebox ou un modèle Firebox différent. Ces
instructions peuvent également être différentes si le client Firebox géré a une adresse IP dynamique. Veillez à
consulter la rubrique qui correspond à votre modèle et à votre configuration Firebox :
ƒ
ƒ
ƒ
426
Configurer un périphérique Firebox exécutant Fireware en tant que client géré
Configurer un périphérique Firebox III ou Firebox X Core exécutant WFS en tant que client géré
À propos de la configuration des produits Edge et SOHO en tant que clients gérés
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
Configurer un périphérique Firebox exécutant Fireware
en tant que client géré
1. Ouvrez Policy Manager pour le périphérique Firebox que vous voulez activer en tant que client géré.
2. Double-cliquez sur la stratégie WatchGuard pour l’ouvrir et la modifier.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche pour la stratégie WatchGuard.
3. Vérifiez que la liste déroulante Les connexions WG-Firebox-Mgmt sont a la valeur Autorisé.
4. Sous la boîte de dialogue De, cliquez sur Ajouter. Cliquez sur Ajouter autre.
5. Vérifiez que la liste déroulante Choisir le type a bien la valeur IP de l’hôte. Dans le champ Valeur,
tapez l’adresse IP de l’interface externe de la passerelle Firebox ou de l’emplacement à partir duquel
l’ordinateur exécute WSM.
Si aucune passerelle Firebox ne protège le serveur Management Server d’Internet, tapez l’adresse IP
statique de votre serveur Management Server.
6. Cliquez sur OK. Cliquez de nouveau sur OK.
Guide de l’utilisateur
427
Périphériques et réseaux VPN dans WatchGuard System Manager
7. Vérifiez que la boîte de dialogue À inclut une entrée Firebox ou Tout.
Si le périphérique Firebox que vous souhaitez gérer a une adresse IP statique sur son interface
externe ou s’il est dynamique et que vous connaissez l’adresse IP actuelle, vous pouvez vous arrêter
ici. Enregistrez la configuration dans Firebox. Vous pouvez maintenant ajouter le périphérique à la
configuration de Management Server en consultant la section Ajouter des périphériques gérés à
Management Server. Lorsque vous ajoutez ce périphérique Firebox à la configuration de
Management Server, ce dernier se connecte automatiquement à l’adresse IP statique et configure le
périphérique Firebox en tant que client Firebox géré. Si le périphérique Firebox que vous souhaitez
gérer a une adresse IP dynamique, mais que vous ne connaissez pas l’adresse IP actuelle, passez à
l’étape 8.
8. Dans Policy Manager, sélectionnez VPN > Client géré.
La boîte de dialogue Configuration du client géré s’affiche.
9. Pour configurer un périphérique Firebox en tant que périphérique géré, activez la case à cocher
Activer ce périphérique Firebox en tant que client géré.
10. Dans le champ Nom du client, tapez le nom que vous souhaitez donner à Firebox lors de son ajout à
la configuration du serveur Management Server. Ce nom respecte la casse et doit correspondre à celui
que vous utilisez lorsque vous ajoutez le périphérique à la configuration du serveur Management
Server.
428
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
11. Pour permettre au client géré d’envoyer des messages de journaux au serveur Log Server, activez la
case à cocher Activer les journaux de diagnostic. (Nous vous recommandons d’utiliser cette option
uniquement à des fins de dépannage.)
12. Dans la zone d’adresse Management Server, sélectionnez l’adresse IP de Management Server s’il
possède une adresse IP publique. Sinon, sélectionnez l’adresse IP publique du périphérique Firebox
qui protège le serveur Management Server. Si vous devez ajouter une adresse, cliquez sur Ajouter.
Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les
ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management
Server configuré. Lorsque vous utilisez l’Assistant Management Server Setup Wizard, celui-ci ajoute
une stratégie WG-Mgmt-Server à votre configuration pour gérer ces connexions. Si vous n’avez pas
utilisé l’Assistant Management Server Setup Wizard sur le serveur Management Server ou si vous avez
ignoré l’étape « Passerelle Firebox » de cet Assistant, vous devez ajouter manuellement la stratégie
WG-Mgmt-Server à la configuration de votre passerelle Firebox.
13. Dans la zone Secret partagé, tapez le secret partagé. Tapez-le à nouveau pour confirmer. Le secret
partagé que vous tapez ici doit correspondre à celui que vous tapez lorsque vous ajoutez le
périphérique Firebox à la configuration du serveur Management Server.
14. Cliquez sur le bouton Importer et importez le fichier CA-Admin.pem en tant que certificat. Ce fichier
se trouve sous \Mes documents\Mon WatchGuard\certs\[ip_firebox].
15. Cliquez sur OK.
Lorsque vous enregistrez la configuration sur le périphérique Firebox, celui-ci est activé en tant que client
géré. Le client Firebox géré essaie de se connecter à l’adresse IP du serveur Management Server sur le port
TCP 4110. Les connexions de gestion sont autorisées à partir du serveur Management Server vers ce client
Firebox géré.
Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la
section Ajouter des périphériques gérés à Management Server.
Guide de l’utilisateur
429
Périphériques et réseaux VPN dans WatchGuard System Manager
Configurer un périphérique Firebox III ou Firebox X Core
exécutant WFS en tant que client géré
1. Ouvrez Policy Manager pour le périphérique Firebox que vous voulez activer en tant que client géré.
2. Double-cliquez sur le service WatchGuard pour l’ouvrir et le modifier.
La boîte de dialogue Modifier les propriétés du service s’affiche pour la stratégie WatchGuard.
3. Sous l’onglet Entrant, vérifiez que les connexions WatchGuard entrantes sont définies sur Activé et
autorisé.
4. Dans la boîte de dialogue De, cliquez sur Ajouter. Cliquez sur Ajouter autre.
5. Vérifiez que la liste déroulante Choisir le type a bien la valeur Adresse IP de l’hôte. Dans le champ
Valeur, tapez l’adresse IP de l’interface externe de la passerelle Firebox qui protège Management
Server d’Internet.
Si aucune passerelle Firebox ne protège Management Server d’Internet, tapez l’adresse IP statique de
votre serveur Management Server.
6. Cliquez sur OK. Cliquez de nouveau sur OK.
7. Vérifiez que la boîte de dialogue À inclut une entrée Firebox ou Tout.
Si le périphérique Firebox que vous souhaitez gérer a une adresse IP statique sur son interface
externe, vous pouvez vous arrêter ici. Enregistrez la configuration dans Firebox. Vous pouvez
maintenant ajouter le périphérique à la configuration de Management Server. Lorsque vous
ajoutez ce périphérique Firebox à la configuration de Management Server, ce dernier se connecte
automatiquement à l’adresse IP statique et configure le périphérique Firebox en tant que client
Firebox géré. Si le périphérique Firebox que vous souhaitez gérer a une adresse IP dynamique,
passez à l’étape 8.
8. Dans Policy Manager, sélectionnez Réseau > Client DVCP.
9. Activez la case à cocher Activer ce Firebox en tant que client DVCP.
10. Dans le champ Nom du système Firebox, tapez le nom du système Firebox.
Le nom du système Firebox respecte la casse. Le nom que vous tapez ici doit correspondre à celui que
vous tapez lorsque vous ajoutez ce périphérique Firebox à la configuration du serveur Management
Server.
11. Pour envoyer des messages de journaux pour le client géré, activez la case à cocher Activer les
messages du journal de débogage pour le client DVCP. (WatchGuard vous recommande d’utiliser
cette option uniquement à des fins de dépannage.)
430
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
12. Cliquez sur Ajouter pour ajouter le serveur Management Server auquel Firebox se connecte.
13. Dans la zone d’adresse Serveur DVCP, tapez l’adresse IP du serveur Management Server si celui-ci
possède une adresse IP publique. Sinon, tapez l’adresse IP publique du périphérique Firebox qui
protège le serveur Management Server.
14. Tapez le Secret partagé à utiliser pour se connecter à Firebox. Le secret partagé que vous tapez ici doit
correspondre à celui que vous tapez lorsque vous ajoutez ce périphérique à la configuration du serveur
Management Server. Un périphérique Firebox ne peut être client que d’un seul serveur Management
Server.
Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les ports
utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management Server configuré.
Le périphérique Firebox qui protège le serveur Management Server est configuré à cette fin lorsque vous
exécutez l’Assistant Management Server Setup Wizard.
Si vous n’avez pas utilisé l’Assistant Management Server Setup Wizard sur le serveur Management Server ou
si vous avez ignoré l’étape Passerelle Firebox de l’Assistant, configurez la passerelle Firebox pour qu’elle
transmette les ports TCP 4110, 4112 et 4113 à l’adresse IP privée du serveur Management Server. Cliquez
sur OK.
Lorsque vous enregistrez la configuration sur le périphérique Firebox, celui-ci est activé en tant que client
géré. Le client Firebox géré essaie de se connecter à l’adresse IP du serveur Management Server sur le port
TCP 4110. Les connexions de gestion sont autorisées à partir du serveur Management Server vers ce client
Firebox géré.
Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la
section Ajouter des périphériques gérés à Management Server.
Guide de l’utilisateur
431
Périphériques et réseaux VPN dans WatchGuard System Manager
À propos de la configuration des produits Edge et SOHO
en tant que clients gérés
Vous pouvez utiliser WatchGuard Management Server pour configurer et gérer de nombreux périphériques
Firebox X Edge et SOHO. Pour les périphériques Firebox X Edge, vous pouvez activer Centralized
Management à l’aide de WatchGuard System Manager, autrement dit vous pouvez gérer les stratégies, mises
à jour et VPN pour de nombreux périphériques Edge à partir d’un même emplacement. Quant aux
périphériques Edge et SOHO, vous pouvez les utiliser en tant que points de terminaison pour les tunnels
BOVPN gérés.
Chaque périphérique Firebox X Edge et SOHO doit être configuré pour être géré par Management Server.
Vous devez ensuite Insérer ou Ajouter les périphériques dans Management Server.
Vous pouvez Importer dans Management Server un ou plusieurs périphériques Firebox X Edge ayant déjà été
configurés à l’aide de l’Assistant Quick Setup. Cette procédure est la plus rapide pour configurer et ajouter un
groupe de périphériques Firebox X Edge à Management Server.
Vous pouvez Ajouter un périphérique Firebox X Edge déjà configuré ou installé à l’aide de l’Assistant Add
Device Wizard. Vous devez configurer les valeurs pour identifier le périphérique sur Management Server. Vous
ne pouvez ajouter qu’un seul périphérique à la fois.
ƒ
ƒ
Pour obtenir un périphérique Firebox X Edge nouveau ou configuré sur les paramètres d’usine, utilisez
la procédure Préparer un périphérique Firebox X Edge nouveau ou configuré sur les paramètres
d’usine pour la gestion. Ensuite, importez le périphérique à l’aide de la procédure Importer des
périphériques Firebox X Edge dans Management Server.
Dans le cas d’un périphérique Firebox X Edge déjà installé, configurez le périphérique pour la gestion
à l’aide de la procédure Préparer un périphérique Firebox X Edge installé pour la gestion. Ensuite,
ajoutez le périphérique à Management Server à l’aide de la procédure Ajouter des périphériques gérés
à Management Server.
Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la
section Ajouter des périphériques gérés à Management Server.
Utilisez le filtre de paquets WG-SmallOffice-Mgmt pour permettre des connexions entre
Management Server et les périphériques Firebox X Edge gérés. Si vous disposez d’un autre pare-feu,
assurez-vous que vous détenez une stratégie qui autorise le trafic à partir des périphériques Edge
gérés sur le port TCP 4109.
432
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
Préparer un nouveau périphérique Firebox X Edge pour la gestion
Pour préparer un périphérique Firebox X Edge nouveau ou configuré sur les paramètres usine par défaut à des
opérations de gestion avec Management Server, vous devez pouvoir le connecter physiquement à une
interface Ethernet de votre ordinateur.
Pour préparer Firebox X Edge :
1. Sur l’ordinateur qui exécute WatchGuard System Manager, remplacez l’adresse IP par 192.168.111.x/
24.
2. Démarrez WatchGuard System Manager et sélectionnez Outils > Assistant Quick Setup Wizard.
L’Assistant Quick Setup Wizard démarre.
3. Lisez la page de bienvenue et cliquez sur Suivant.
4. Sélectionnez Firebox X Edge comme type de périphérique Firebox et cliquez sur Suivant.
5. Connectez l’interface réseau de votre ordinateur à un port LAN de Firebox X Edge, puis cliquez sur
Suivant.
Utilisez un des câbles Ethernet verts accompagnant Firebox X Edge. (Si aucun câble vert ne vous a été
fourni avec Firebox X Edge, essayez le câble rouge.)
6. Suivez les instructions de la page suivante de l’Assistant pour démarrer Firebox X Edge en mode sans
échec.
7. Suivez les instructions de la page de l’Assistant, puis cliquez sur Suivant.
8. Suivez les instructions des pages Patientez pendant le démarrage de Firebox et L’Assistant a
détecté Firebox. Cliquez sur Suivant après chaque page.
9. Acceptez le contrat de licence et cliquez sur Suivant.
10. Configurez l’interface externe (WAN 1) Firebox X Edge. Sélectionnez DHCP, PPPoE ou Adressage IP
statique, puis cliquez sur Suivant. (Pour plus d’informations sur la configuration des interfaces Edge,
voir le Guide de l’utilisateur Firebox X Edge.)
11. Cliquez sur Suivant après avoir configuré l’interface.
12. Configurez l’interface interne d’Edge et cliquez sur Suivant.
13. Créez un mot de passe d’état et un mot de passe de configuration pour votre périphérique Edge et
cliquez sur Suivant.
Vous devez taper chaque mot de passe deux fois. Il s’agit du mot de passe utilisé par WatchGuard
System Manager pour se connecter au périphérique et le configurer.
14. Tapez un nom d’utilisateur et un mot de passe pour le périphérique et cliquez sur Suivant.
Vous devez taper le mot de passe deux fois. Il s’agit du nom d’utilisateur et du mot de passe que vous
pouvez utiliser pour vous connecter au périphérique et le configurer à l’aide d’un navigateur Web.
15. Sélectionnez les paramètres de fuseau horaire et cliquez sur Suivant.
16. Configurez les paramètres de Management Server. Tapez l’adresse IP de la passerelle Firebox qui
protège Management Server, le nom permettant d’identifier Firebox sur l’interface Management
Server et la clé partagée. Cliquez sur Suivant.
La clé partagée est utilisée par Management Server pour créer des tunnels VPN entre les périphériques
Firebox. Vous n’avez pas à la retenir.
17. Vérifiez la configuration d’Edge et cliquez sur Suivant.
18. Pour configurer un autre périphérique Edge, activez la case à cocher. Cliquez sur Terminer.
Si vous activez cette case, l’Assistant Quick Setup Wizard renseigne les champs avec les mêmes valeurs
que cette configuration pour que vous puissiez facilement configurer des périphériques Edge
similaires.
Vous pouvez maintenant ajouter le périphérique à la configuration de votre serveur Management
Server conformément à la section Ajouter des périphériques gérés à Management Server.
Guide de l’utilisateur
433
Périphériques et réseaux VPN dans WatchGuard System Manager
Configurer un périphérique Firebox exécutant Fireware en tant que
client géré
1. Ouvrez Policy Manager pour le périphérique Firebox que vous voulez activer en tant que client géré.
2. Double-cliquez sur la stratégie WatchGuard pour l’ouvrir et la modifier.
La boîte de dialogue Modifier les propriétés de stratégie s’affiche pour la stratégie WatchGuard.
3. Vérifiez que la liste déroulante Les connexions WG-Firebox-Mgmt sont a la valeur Autorisé.
4. Dans la boîte de dialogue De, cliquez sur Ajouter. Cliquez sur Ajouter autre.
5. Vérifiez que la liste déroulante Choisir le type a bien la valeur IP de l’hôte. Dans le champ Valeur,
tapez l’adresse IP de l’interface externe de la passerelle Firebox ou de l’emplacement à partir duquel
l’ordinateur exécute WSM.
Si aucune passerelle Firebox ne protège Management Server d’Internet, tapez l’adresse IP statique de
votre serveur Management Server.
6. Cliquez sur OK. Cliquez de nouveau sur OK.
434
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
7. Vérifiez que la boîte de dialogue À inclut une entrée Firebox ou Tout.
Si le périphérique Firebox que vous souhaitez gérer a une adresse IP statique sur son interface
externe ou s’il est dynamique et que vous connaissez l’adresse IP actuelle, vous pouvez vous arrêter
ici. Enregistrez la configuration dans Firebox. Vous pouvez maintenant ajouter le périphérique
à la configuration de Management Server en consultant la section Ajouter des périphériques gérés
à Management Server. Lorsque vous ajoutez ce périphérique Firebox à la configuration de
Management Server, ce dernier se connecte automatiquement à l’adresse IP statique et configure
le périphérique Firebox en tant que client Firebox géré. Si le périphérique Firebox que vous souhaitez
gérer a une adresse IP dynamique, mais que vous ne connaissez pas l’adresse IP actuelle, passez à
l’étape 8.
8. Dans Policy Manager, sélectionnez VPN > Client géré.
La boîte de dialogue Configuration du client géré s’affiche.
9. Pour configurer un périphérique Firebox en tant que périphérique géré, activez la case à cocher
Activer ce périphérique Firebox en tant que client géré.
10. Dans le champ Nom du client, tapez le nom que vous souhaitez donner à Firebox lors de son ajout à
la configuration du serveur Management Server. Ce nom respecte la casse et doit correspondre à celui
que vous utilisez lorsque vous ajoutez le périphérique à la configuration du serveur Management
Server.
Guide de l’utilisateur
435
Périphériques et réseaux VPN dans WatchGuard System Manager
11. Pour permettre au client géré d’envoyer des messages de journaux au serveur Log Server, activez la
case à cocher Activer les journaux de diagnostic. (Nous vous recommandons d’utiliser cette option
uniquement à des fins de dépannage.)
12. Dans la zone d’adresse Management Server, sélectionnez l’adresse IP de Management Server s’il
possède une adresse IP publique. Sinon, sélectionnez l’adresse IP publique du périphérique Firebox
qui protège le serveur Management Server. Si vous devez ajouter une adresse, cliquez sur Ajouter.
Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les
ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management
Server configuré. Lorsque vous utilisez l’Assistant Management Server Setup Wizard, celui-ci ajoute
une stratégie WG-Mgmt-Server à votre configuration pour gérer ces connexions. Si vous n’avez pas
utilisé l’Assistant Management Server Setup Wizard sur le serveur Management Server ou si vous avez
ignoré l’étape « Passerelle Firebox » de cet Assistant, vous devez ajouter manuellement la stratégie
WG-Mgmt-Server à la configuration de votre passerelle Firebox.
13. Dans la zone Secret partagé, tapez le secret partagé. Tapez-le à nouveau pour confirmer. Le secret
partagé que vous tapez ici doit correspondre à celui que vous tapez lorsque vous ajoutez le
périphérique Firebox à la configuration du serveur Management Server.
14. Cliquez sur le bouton Importer et importez le fichier CA-Admin.pem en tant que certificat. Ce fichier
se trouve sous \Mes documents\Mon WatchGuard\certs\[ip_firebox].
15. Cliquez sur OK.
Lorsque vous enregistrez la configuration sur le périphérique Firebox, celui-ci est activé en tant que client
géré. Le client Firebox géré essaie de se connecter à l’adresse IP du serveur Management Server sur le port
TCP 4110. Les connexions de gestion sont autorisées à partir du serveur Management Server vers ce client
Firebox géré.
Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la
section Ajouter des périphériques gérés à Management Server.
436
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
Préparer un périphérique Firebox X Edge installé pour la gestion
1. Pour vous connecter à la page État du système Firebox X Edge, entrez https:// dans la barre
d’adresses du navigateur et l’adresse IP de l’interface approuvée d’Edge.
L’URL par défaut est : https://192.168.111.1
2. Dans la barre de navigation, sélectionnez Administration > Accès WSM.
La page Accès à la gestion WatchGuard s’affiche.
3. Activez la case Activer la gestion à distance.
4. Dans la liste déroulante Type de gestion, sélectionnez WatchGuard Management System.
5. Pour activer la gestion centralisée d’Edge via WatchGuard System Manager, activez la case à cocher
Utiliser Centralized Management.
Lorsque Firebox X Edge est sous gestion centralisée, l’accès aux pages de configuration d’Edge est
défini en lecture seule. La seule exception concerne l’accès à la page de configuration Accès WSM. Si
vous désactivez la fonctionnalité de gestion à distance, vous retrouvez l’accès en lecture-écriture à la
configuration Edge.
N’activez pas la case Utiliser Centralized Management si vous utilisez WatchGuard System Manager
seulement pour gérer des tunnels VPN.
6. Dans les champs appropriés, tapez un mot de passe d’état pour Firebox X Edge, puis retapez-le pour le
confirmer.
Guide de l’utilisateur
437
Périphériques et réseaux VPN dans WatchGuard System Manager
7. Dans les champs appropriés, tapez un mot de passe de configuration pour Firebox X Edge, puis
retapez-le pour le confirmer.
Ces mots de passe doivent correspondre aux mots de passe que vous utilisez lorsque vous ajoutez le
périphérique à Management Server, sinon la connexion échouera.
Si le périphérique Firebox X Edge que vous souhaitez gérer a une adresse IP statique sur son
interface externe, vous pouvez vous arrêter ici. Enregistrez la configuration dans Firebox. Vous
pouvez maintenant ajouter le périphérique à la configuration de Management Server. Lorsque
vous ajoutez ce périphérique Edge à la configuration de Management Server, ce dernier se connecte
automatiquement à l’adresse IP statique et configure le périphérique Edge en tant que client
Firebox géré. Si le périphérique Edge que vous souhaitez gérer a une adresse IP dynamique, passez
à l’étape 7.
8. Dans la zone de texte Adresse de Management Server, tapez l’adresse IP du serveur Management
Server si celui-ci possède une adresse IP publique. Si le serveur Management Server a une adresse IP
privée, tapez l’adresse IP publique du périphérique Firebox qui le protège.
Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les
ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management
Server configuré. Aucune configuration spéciale n’est nécessaire à cette fin.
9. Tapez le Nom du client pour identifier Edge dans la configuration de Management Server.
Ce nom respecte la casse et doit correspondre au nom que vous utilisez pour Edge lorsque vous
l’ajoutez à la configuration de Management Server.
10. Tapez la Clé partagée.
La clé partagée permet de chiffrer la connexion entre le serveur Management Server et le périphérique
Firebox X Edge. Cette clé partagée doit être identique sur Edge et Management Server. Vous devez
vous procurer la clé partagée auprès de votre administrateur Management Server.
11. Cliquez sur Envoyer pour enregistrer la configuration dans Edge.
Lorsque vous enregistrez la configuration sur le périphérique Edge, celui-ci est activé en tant que client
géré. Le client Firebox géré essaie de se connecter à l’adresse IP de Management Server. Les
connexions de gestion sont autorisées à partir du serveur Management Server vers ce client Firebox
géré.
Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la
section Ajouter des périphériques gérés à Management Server.
438
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
Configurer un Firebox SOHO 6 en tant que client géré
1. Démarrez votre navigateur Web. Tapez l’adresse IP de SOHO 6.
2. Si SOHO 6 doit avoir un identifiant de connexion et un mot de passe, tapez-les.
3. Sous Administration, cliquez sur Accès à VPN Manager.
La page Accès à VPN Manager s’affiche.
4. Dans le volet de navigation de gauche, sous VPN, cliquez sur Managed VPN. Activez la case Activer
l’accès à VPN Manager.
5. Tapez le mot de passe d’état donnant accès à VPN Manager. Tapez à nouveau le mot de passe d’état
pour le confirmer.
6. Tapez le mot de passe de configuration donnant accès à VPN Manager. Tapez à nouveau le mot de
passe de configuration pour le confirmer.
Si le périphérique Firebox SOHO que vous souhaitez gérer a une adresse IP statique sur son interface
externe, vous pouvez vous arrêter ici. Cliquez sur Envoyer pour enregistrer votre configuration dans
SOHO. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server.
Lorsque vous ajoutez ce périphérique SOHO à la configuration de Management Server, ce dernier
se connecte automatiquement à l’adresse IP statique et configure le périphérique SOHO en tant que
client Firebox géré. Si le périphérique SOHO que vous souhaitez gérer a une adresse IP dynamique,
passez à l’étape 7.
7. Activez la case Activer Managed VPN.
8. Dans la liste déroulante Mode de configuration, sélectionnez SOHO.
9. Dans la zone de texte Adresse du serveur DVCP, tapez l’adresse IP du serveur Management Server si
celui-ci possède une adresse IP publique. Si le serveur Management Server a une adresse IP privée,
tapez l’adresse IP publique du périphérique Firebox qui le protège.
Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les
ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management
Server configuré. Aucune configuration spéciale n’est nécessaire à cette fin.
10. Tapez le Nom du client à donner à votre périphérique Firebox SOHO.
Ce nom respecte la casse et doit correspondre au nom que vous attribuez au périphérique lorsque
vous l’ajoutez à la configuration de Management Server.
Guide de l’utilisateur
439
Périphériques et réseaux VPN dans WatchGuard System Manager
11. Dans le champ Clé partagée, tapez la clé utilisée pour chiffrer la connexion entre Management Server
et le périphérique Firebox SOHO. Cette clé partagée doit être identique sur SOHO et Management
Server. Vous devez vous procurer la clé partagée auprès de votre administrateur Management Server.
12. Cliquez sur Envoyer.
Lorsque vous enregistrez la configuration sur le périphérique Firebox SOHO, celui-ci est activé en tant
que client géré. Le client SOHO géré essaie de se connecter à l’adresse IP de Management Server. Les
connexions de gestion sont autorisées à partir du serveur Management Server vers ce client SOHO
géré.
Vous pouvez maintenant ajouter le périphérique à la configuration du serveur Management Server en
consultant la section Ajouter des périphériques gérés à Management Server.
Ajouter des périphériques gérés à Management Server
Vous pouvez utiliser Management Server pour gérer des périphériques Firebox, notamment des
périphériques Firebox III et Firebox X Core utilisant le logiciel système WFS, des périphériques Firebox X
utilisant le logiciel système Fireware, des périphériques Firebox X Edge et des périphériques Firebox SOHO.
Un périphérique avec une adresse IP dynamique doit également être configuré en tant que client géré pour
le périphérique à partir de Policy Manager. Pour obtenir des instructions sur cette étape, voir les sections
précédentes.
Si votre périphérique possède plusieurs interfaces externes, ne modifiez pas la configuration de l’interface
après avoir ajouté le périphérique à Management Server.
1. Dans WatchGuard System Manager, connectez-vous à Management Server.
2. Sélectionnez Fichier > Se connecter au serveur.
Sinon, sélectionnez l’onglet État du périphérique.
Ou alors, cliquez avec le bouton droit dans la fenêtre et sélectionnez Se connecter à > Serveur.
3. Tapez ou sélectionnez l’adresse IP de Management Server, tapez le mot de passe de configuration, puis
cliquez sur Connexion.
4. Cliquez sur l’onglet Gestion des périphériques.
440
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
5. Sélectionnez le serveur Management Server dans la liste se trouvant dans la partie gauche de la
fenêtre.
La page Management Server s’affiche.
6. Sous Périphériques, dans le dossier qui correspond au type de périphérique que vous souhaitez
ajouter, sélectionnez Modifier > Insérer un périphérique ou cliquez avec le bouton droit dans le
cadre de gauche de cette fenêtre et sélectionnez Insérer un périphérique.
L’Assistant Add Device Wizard démarre.
Guide de l’utilisateur
441
Périphériques et réseaux VPN dans WatchGuard System Manager
7. Cliquez sur Suivant pour consulter le premier écran de configuration.
8. Si le périphérique est statique ou dynamique et que vous connaissez son adresse IP, tapez-la (ou tapez
le nom d’hôte) avec les mots de passe d’état et de configuration. Si le périphérique a une adresse IP
dynamique, mais qu’il n’utilise pas le service DNS dynamique, tapez un nom unique pour le
périphérique. Le nom que vous tapez ici doit correspondre à celui que vous entrez dans Policy
Manager pour ce périphérique (s’il s’agit de Firebox III, Firebox X Core ou Firebox X Peak). Si le
périphérique est de type Firebox X Edge, ce nom doit correspondre à celui que vous donnez au
périphérique lorsque vous l’activez en tant que client géré avec le gestionnaire de configuration Web.
Si vous ne connaissez pas l’adresse IP du périphérique, cliquez sur la case d’option appropriée. Après
avoir utilisé l’Assistant, vous pouvez à tout moment configurer manuellement le périphérique pour la
gestion. Lorsque le périphérique est configuré pour la gestion, il contacte Management Server.
9. Cliquez sur Suivant.
L’Assistant procède à la découverte de périphériques.
10. Attribuez un nom au périphérique, si vous souhaitez utiliser un autre nom que celui par défaut. Tapez
le secret partagé. Le nom et le secret partagé doivent correspondre au nom que vous donnez au
périphérique lorsque vous l’activez en tant que client géré. Dans la liste déroulante Type de
périphérique, sélectionnez le type de périphérique. Cliquez sur Suivant.
11. Tapez les mots de passe d’état et de configuration du périphérique. Cliquez sur Suivant.
12. Authentifiez le périphérique. Cliquez sur Suivant.
13. Cliquez sur Suivant.
L’écran Configurer le périphérique s’affiche.
14. Cliquez sur Suivant pour configurer le périphérique avec les nouveaux paramètres de gestion et
l’ajouter à Management Server. Si le périphérique est déjà géré par un autre serveur ou déjà configuré
pour être géré par ce serveur, une boîte de dialogue d’avertissement s’affiche.
15. Cliquez sur Oui pour continuer.
16. Cliquez sur Fermer pour fermer l’Assistant Add Device Wizard.
Si le trafic est très dense, l’Assistant Add Device Wizard ne peut pas se connecter en raison d’un délai
d’attente SSL. Réessayez ultérieurement lorsque la charge du système sera moins importante.
442
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
Définir les propriétés de gestion des périphériques
Vous pouvez configurer trois catégories de propriétés de gestion Firebox : les paramètres de connexion, les
préférences de tunnel IPSec et les informations de contact.
Paramètres de connexion
1. Sur la page Gestion des périphériques pour un périphérique, sous Informations sur le périphérique,
cliquez sur Configurer.
La boîte de dialogue Propriétés du périphérique s’affiche.
2. Dans le champ Nom complet, tapez le nom du périphérique tel qu’il s’affichera dans WSM.
3. Dans la liste déroulante Type de Firebox, sélectionnez le matériel du périphérique et, le cas échéant,
le logiciel système dont il est équipé.
4. Si le périphérique a une adresse IP statique, sélectionnez ou tapez l’entrée correspondant à votre
périphérique dans la zone Nom d’hôte/adresse IP. Cette zone contient les adresses IP externes de
tous les périphériques gérés par Management Server.
Guide de l’utilisateur
443
Périphériques et réseaux VPN dans WatchGuard System Manager
5. Si le périphérique a une adresse IP dynamique, activez la case à cocher Le périphérique comporte
une adresse IP externe dynamique. Dans le champ Nom du client, tapez le nom du périphérique.
(Pour plus d’informations sur la façon de configurer un périphérique manuellement pour la gestion,
voir À propos de la préparation des périphériques pour la gestion.)
6. Tapez les mots de passe d’état et de configuration pour le périphérique Firebox.
7. Dans le champ Secret partagé, tapez le secret partagé entre le périphérique et le serveur
Management Server.
8. Utilisez les boutons fléchés en regard de la zone Durée du bail pour modifier la durée du bail du
serveur Management Server. Il s’agit de l’intervalle temporel qui sépare chaque interrogation du
serveur Management Server par le client géré à la recherche de mises à jour. La valeur par défaut est
de 60 minutes.
444
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
Préférences du tunnel IPSec
1. Dans la boîte de dialogue Propriétés du périphérique, cliquez sur l’onglet Préférences du
tunnel IPSec.
2. (Ne s’affiche pas pour Edge) Dans la liste déroulante Authentification du tunnel, sélectionnez Clé
partagée ou Certificat Firebox IPSec. La seconde option utilise le certificat pour le périphérique
Firebox. Pour plus d’informations sur les certificats, voir Utiliser un certificat pour l’authentification
d’un tunnel BOVPN.
3. Tapez les adresses principale et secondaire des serveurs WINS et DNS si vous souhaitez que votre client
géré obtienne ses paramètres WINS et DNS via le tunnel BOVPN IPSec. Sinon, ne renseignez pas ces
champs. Vous pouvez également taper un suffixe de domaine dans la zone de texte Nom de domaine
pour qu’un client DHCP puisse l’utiliser avec des noms non qualifiés tels que kunstler_mail.
Guide de l’utilisateur
445
Périphériques et réseaux VPN dans WatchGuard System Manager
Informations de contact
1. Dans la boîte de dialogue Propriétés du périphérique, sélectionnez l’onglet Informations de
contact.
Une liste d’informations de contact sur les périphériques distants s’affiche.
2. Pour ajouter des informations à la liste des contacts ou modifier une entrée existante, cliquez sur Liste
des contacts.
La liste des contacts s’affiche.
446
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
3. Cliquez sur Ajouter ou sélectionnez une entrée à modifier ou à supprimer.
La boîte de dialogue Informations de contact s’affiche.
4. Apportez les modifications nécessaires, puis cliquez sur OK.
Guide de l’utilisateur
447
Périphériques et réseaux VPN dans WatchGuard System Manager
Mettre à jour un périphérique
1. Sur la page de gestion des périphériques, cliquez sur Mettre à jour le périphérique.
La boîte de dialogue Mettre à jour le périphérique s’affiche.
2. Activez la case à cocher Télécharger les stratégies du réseau facultatif et approuvé pour
télécharger les stratégies du périphérique géré vers le serveur Management Server pour les réseaux
approuvé et facultatif. Nous vous recommandons d’activer cette case pour vous assurer que vous
disposez des dernières stratégies lorsque vous modifiez la configuration du périphérique alors que
vous ne vous êtes pas connecté à ce dernier depuis un certain temps.
3. Si le périphérique ne reçoit pas la mise à jour, actualisez la configuration de Management Server :
activez la case à cocher Rétablir la configuration du serveur pour actualiser l’adresse IP, le nom
d’hôte, le secret partagé et la durée du bail de Management Server. Si vous avez modifié les propriétés
du périphérique, veillez à activer cette case.
4. Activez la case Mettre fin au bail pour mettre fin au bail de Management Server pour le client géré et
télécharger toutes les modifications apportées à la configuration ou au VPN.
5. (Ne s’affiche pas pour Edge) Activez la case Émettre/Réémettre un certificat IPSec de Firebox et le
certificat de l’autorité de certification pour émettre ou réémettre le certificat IPSec pour Firebox et
le certificat de l’autorité de certification.
6. Cliquez sur OK.
Supprimer un périphérique
Pour supprimer un périphérique de sorte qu’il ne soit plus géré par le serveur Management Server et qu’il
n’apparaisse plus dans la fenêtre de Management Server :
1. Sur le côté gauche de la fenêtre du serveur Management Server, cliquez sur l’icône du périphérique
que vous souhaitez supprimer, puis sélectionnez Modifier > Supprimer.
2. Dans la boîte de dialogue de confirmation, cliquez sur Oui.
3. Accédez à Policy Manager pour ce périphérique, sélectionnez VPN > Client géré, puis désactivez la
case Activer ce périphérique Firebox en tant que client géré.
448
WatchGuard System Manager
Périphériques et réseaux VPN dans WatchGuard System Manager
Démarrer les outils Firebox et Edge
L’onglet Gestion des périphériques vous permet de démarrer d’autres outils de configuration et d’analyse
des périphériques.
Pour les périphériques Firebox, vous pouvez démarrer :
ƒ
ƒ
ƒ
ƒ
Policy Manager
Firebox System Manager
HostWatch
Ping
Pour les périphériques Edge, vous pouvez démarrer :
ƒ
ƒ
ƒ
ƒ
ƒ
Edge Web Manager (Firebox X Edge uniquement). Utilisez Internet Explorer 6.0 ou une version
ultérieure. Ce lien permet un accès Web sécurisé à l’interface utilisateur Web du périphérique sans
avoir à ouvrir aucun de ses ports.
Policy Manager (SOHO 6 uniquement)
Firebox System Manager
HostWatch
Ping
Tunnels VPN
Dans la section Tunnels, vous pouvez consulter tous les tunnels incluant le périphérique. Dans cette section,
vous pouvez également ajouter un tunnel VPN.
1. Sur la page de gestion de Firebox X Edge ou de SOHO, accédez à la section Tunnels VPN.
Cette section présente tous les tunnels dans lesquels ce périphérique est un point de terminaison VPN.
2. Cliquez sur Ajouter pour ajouter un tunnel VPN.
L’Assistant Add VPN wizard démarre. Configurez le VPN selon vos besoins.
Pour plus d’informations sur l’Assistant Add VPN wizard, voir Créer des tunnels gérés entre les périphériques.
Guide de l’utilisateur
449
Périphériques et réseaux VPN dans WatchGuard System Manager
Ajouter une ressource VPN
Pour un VPN, vous pouvez configurer (et leur imposer des limites) les réseaux disposant d’un accès via le
tunnel. Vous pouvez créer un VPN entre des hôtes ou des réseaux. Pour configurer les réseaux disponibles via
un périphérique VPN donné, définissez des ressources VPN.
L’onglet Gestion des périphériques répertorie les ressources VPN actuellement définies. Pour ajouter
d’autres ressources VPN, voir Ajouter des ressources VPN.
Configurer les paramètres réseau (périphériques Edge
uniquement)
Avec WatchGuard Management Server, vous pouvez configurer les paramètres réseau d’un groupe de
périphériques Firebox X Edge. Vous pouvez utiliser WatchGuard System Manager pour configurer les
paramètres réseau uniques de chaque Firebox X Edge. Notez que cette procédure charge les paramètres
réseau actuels du périphérique Edge et permet sa gestion centrale.
Tous les paramètres réseau de Firebox X Edge peuvent être configurés à l’aide de l’interface Web
Edge. Pour plus d’informations sur ces options de configuration, voir l’aide ou la documentation de
Firebox X Edge.
1. Sélectionnez l’onglet Gestion des périphériques de WatchGuard System Manager.
2. Sous Périphériques, développez le dossier Systèmes Edge et sélectionnez un périphérique
Firebox X Edge.
La configuration d’Edge apparaît dans le volet droit.
3. Sous Paramètres réseau, cliquez sur Configurer.
La boîte de dialogue Paramètres réseau s’affiche.
4. Pour configurer les paramètres réseau, cliquez sur chaque catégorie de paramètres dans le volet
gauche de la boîte de dialogue et renseignez les champs qui apparaissent. Pour plus d’informations sur
ces champs et leur configuration, voir la documentation de Firebox X Edge.
Utiliser la section de stratégie de Firebox X Edge
La page de gestion d’un périphérique SOHO 6 ne contient pas de section Stratégie.
Cette section présente le modèle de configuration Edge auquel ce périphérique Firebox X Edge est abonné.
Si aucun modèle n’est appliqué, vous pouvez faire glisser le périphérique vers un des modèles de
configuration Edge. Vous pouvez utiliser le lien Configurer de cette section pour configurer un modèle de
configuration Edge existant. Pour plus d’informations sur les modèles de configuration Edge, voir Créer et
appliquer des modèles de configuration Edge.
450
WatchGuard System Manager
19
Firebox X Edge - Centralized
Management
À propos d’Edge Centralized Management
Un périphérique Firebox X Edge peut être configuré pour la gestion centralisée. WatchGuard System Manager
peut alors être utilisé à la place des pages de configuration des périphériques Edge individuels pour gérer et
configurer les périphériques Edge. WatchGuard System Manager propose différentes fonctionnalités
spécifiques à la gestion centralisée des périphériques Firebox X Edge. Vous pouvez facilement gérer de
nombreux périphériques Edge, modifier la stratégie de sécurité de plusieurs périphériques Edge
simultanément, tout en conservant un contrôle individuel sur la configuration de chaque périphérique Edge.
Avec Management Server, vous pouvez également effectuer les tâches suivantes :
ƒ
ƒ
ƒ
Gérer les mises à jour du microprogramme Firebox X Edge. Ces mises à jour peuvent être planifiées et
installées par Management Server.
Créer des modèles de configuration Edge, qui sont des jeux de paramètres de configuration
s’appliquant à un groupe de périphériques Firebox X Edge. Vous créez un modèle de configuration sur
Management Server et l’installez sur plusieurs périphériques Firebox X Edge. Si vous modifiez la
configuration, celle-ci est automatiquement mise à jour sur tous les périphériques Firebox X Edge qui
l’appliquent.
Utiliser des alias afin de définir une destination commune pour la configuration de stratégies sur des
périphériques Firebox X Edge individuels.
Vous pouvez également gérer des périphériques Firebox SOHO 6 et SOHO 5 à partir de WatchGuard System
Manager, mais vous ne pouvez pas les configurer pour la gestion centralisée. Vous ne pouvez pas créer de
modèles de configuration pour les périphériques Firebox SOHO.
Cette section de rubriques décrit comment utiliser WatchGuard System Manager pour gérer les
périphériques Firebox X Edge, mais elle ne décrit pas les paramètres de configuration Edge
individuels. Pour obtenir des informations détaillées sur la configuration des périphériques Firebox
X Edge, consultez la documentation de Firebox X Edge.
Guide de l’utilisateur
451
Firebox X Edge - Centralized Management
Planifier les mises à jour du microprogramme
Firebox X Edge
Les mises à jour du microprogramme des périphériques Firebox X Edge doivent être installées sur
Management Server. Vous pouvez ensuite mettre à jour en une seule opération le microprogramme de
groupes de périphériques Edge, soit immédiatement, soit à un moment que vous aurez planifié.
L’état actuel des mises à jour du microprogramme est indiqué dans la section État de la mise à jour du
microprogramme de l’onglet Gestion des périphériques.
Vous pouvez obtenir les mises à jour du microprogramme via LiveSecurity. Vous pouvez télécharger les mises
à jour du microprogramme Edge à chaque mise à jour du logiciel WSM.
1. Sous l’onglet Gestion des périphériques de WatchGuard System Manager, sélectionnez
Management Server.
La page Paramètres de Management Server s’affiche.
2. Recherchez la section État de la mise à jour du microprogramme à droite.
Les mises à jour planifiées du microprogramme sont indiquées ici.
3. Cliquez sur Planifier la mise à jour du microprogramme.
L’Assistant Update Firmware wizard démarre.
4. Lisez l’écran de bienvenue, puis cliquez sur Suivant.
452
WatchGuard System Manager
Firebox X Edge - Centralized Management
5. Sélectionnez le type de périphérique dans la liste, puis cliquez sur Suivant.
Dans cette version de WatchGuard System Manager, les seuls types de périphériques que vous
pouvez sélectionner sont Firebox X Edge et Firebox X Edge e-Series.
6. Activez la case à cocher en regard de chaque périphérique Firebox X Edge à mettre à jour. Cliquez sur
Suivant.
7. Sélectionnez la version du microprogramme à utiliser. Cliquez sur Suivant.
La page Sélectionner l’heure et la date s’affiche.
8. Pour mettre immédiatement à jour le microprogramme, sélectionnez Mettre immédiatement à jour
le microprogramme. Pour planifier la mise à jour à une heure ultérieure, sélectionnez Planifier la
mise à jour du microprogramme.
9. Si vous avez sélectionné Planifier la mise à jour du microprogramme, sélectionnez la date dans le
champ Date et définissez l’heure dans le champ Heure.
10. Cliquez sur Suivant.
11. Cliquez sur Suivant. Cliquez sur Fermer.
Le microprogramme est mis à jour si vous avez sélectionné Mettre immédiatement à jour le microprogramme ou
sa mise à jour est planifiée si vous avez sélectionné Planifier la mise à jour du microprogramme.
Guide de l’utilisateur
453
Firebox X Edge - Centralized Management
Afficher et supprimer des mises à jour de microprogramme
Sous l’onglet Gestion des périphériques, cliquez sur Mises à jour du microprogramme planifiées.
La page Mises à jour du microprogramme planifiées s’affiche.
Toutes les mises à jour planifiées du microprogramme sont affichées. Ces mises à jour sont affichées
distinctement pour chaque périphérique, même si plusieurs périphériques ont fait l’objet d’une même mise à
jour du microprogramme. Ainsi, lorsque vous sélectionnez un périphérique, tous les périphériques inclus dans
cette mise à jour planifiée du microprogramme sont également sélectionnés.
ƒ
ƒ
ƒ
454
Pour supprimer une mise à jour planifiée du microprogramme, cliquez avec le bouton droit sur un
périphérique, puis sélectionnez
Supprimer la mise à jour planifiée.
Tous les périphériques inclus dans cette tâche de mise à jour du microprogramme sont supprimés de
la planification.
Pour annuler une mise à jour planifiée du microprogramme, cliquez avec le bouton droit sur un
périphérique, puis sélectionnez
Annuler la mise à jour planifiée.
La tâche est conservée dans la planification, mais elle prend le statut Annulé.
Pour ajouter une mise à jour planifiée du microprogramme, cliquez sur Ajouter. Vous pouvez
également cliquer avec le bouton droit et sélectionner
Ajouter la mise à jour planifiée.
L’Assistant Update Firmware wizard démarre.
WatchGuard System Manager
Firebox X Edge - Centralized Management
Créer et appliquer des modèles de configuration Edge
Un modèle de configuration Edge est un ensemble de paramètres de configuration qui peuvent être utilisés
par plusieurs périphériques Edge. Si vous utilisez des périphériques Firebox X Edge avec WatchGuard
Management Server, vous pouvez créer des modèles de configuration Edge sur Management Server, puis les
appliquer aux périphériques Edge. Les modèles de configuration Edge facilitent la configuration de filtres de
pare-feu standard, de même que la modification de la liste des sites bloqués, de votre configuration
WebBlocker ou des autres paramètres de stratégie d’un ou de plusieurs périphériques Edge gérés.
Les restrictions suivantes s’appliquent aux modèles de configuration Edge :
ƒ
ƒ
ƒ
Les modèles de configuration Edge ne peuvent être utilisés qu’avec Firebox X Edge.
Chaque périphérique Edge ne peut avoir qu’un seul modèle de configuration Edge.
La version 7.5 ou ultérieure du microprogramme doit être installée sur Edge pour qu’il puisse utiliser
les modèles de configuration Edge. Vous devez utiliser des modèles distincts pour les périphériques
Edge qui exécutent les versions 7.5, 8.0, 8.5, 8.6 ou 10.0 du microprogramme.
Vous pouvez à tout moment modifier un modèle de configuration Edge ou la liste des périphériques auxquels
la stratégie est appliquée. Management Server apporte automatiquement ces modifications.
1. Démarrez WatchGuard System Manager et connectez-vous à Management Server.
2. Cliquez sur l’onglet Gestion des périphériques.
Vous pouvez développer la liste des modèles de configuration Edge de manière à afficher tous les
modèles de configuration Edge qui ont été créés. Si vous n’avez créé aucun modèle de configuration
Edge, cette liste est vide.
3. Cliquez avec le bouton droit sur l’en-tête Modèles de configuration Edge.
4. Sélectionnez Insérer le modèle de configuration Edge.
La boîte de dialogue Version du produit s’affiche.
Guide de l’utilisateur
455
Firebox X Edge - Centralized Management
5. Sélectionnez la gamme et la version du produit dans la liste déroulante. Cliquez sur OK.
La fenêtre Configuration Edge : Modèle Edge s’affiche.
6. Tapez un nom pour le modèle.
7. Pour configurer la stratégie, cliquez sur chaque catégorie de paramètres dans le volet de gauche de la
boîte de dialogue, puis tapez les informations dans les champs qui s’affichent. Les catégories
répertoriées dépendent de la version du périphérique Edge pour lequel vous définissez le modèle.
Pour plus d’informations sur les champs qui s’affichent, consultez le Guide de l’utilisateur Firebox X Edge
e-Series.
8. Cliquez sur OK pour fermer le modèle de configuration Edge.
Le modèle est enregistré sur Management Server et une mise à jour est envoyée à tous les périphériques Firebox X
Edge auxquels ce modèle s’applique.
456
WatchGuard System Manager
Firebox X Edge - Centralized Management
Ajouter une stratégie prédéfinie à l’aide de l’Assistant Add Policy wizard
1. Sous l’onglet Gestion des périphériques à gauche de l’écran, cliquez avec le bouton droit sur
Modèles de configuration Edge et sélectionnez Insérer le modèle de configuration Edge.
La boîte de dialogue Version du produit s’affiche.
2. Sélectionnez la gamme et la version du produit dans la liste déroulante. Cliquez sur OK.
La fenêtre Configuration Edge : Modèle Edge s’affiche.
3. Sur la gauche du modèle, sélectionnez Stratégies de pare-feu, puis cliquez sur Ajouter. L’Assistant
Add Policy wizard démarre.
4. La page de bienvenue s’affiche. Cliquez sur Suivant.
La page Sélectionner un type de stratégie s’affiche.
5. Pour utiliser une stratégie prédéfinie, sélectionnez Choisir une stratégie prédéfinie dans la liste, puis
sélectionnez la stratégie à utiliser dans la liste.
6. Cliquez sur Suivant.
7. Si vous utilisez une stratégie prédéfinie, sélectionnez la direction du trafic.
8. Choisissez de refuser ou d’autoriser le trafic pour cette stratégie et cette direction. Les zones De et À
définissent les sources et les destinations de la stratégie. Si vous devez ajouter une nouvelle ressource,
cliquez sur Ajouter sous les zones De ou À et ajoutez les informations requises.
Guide de l’utilisateur
457
Firebox X Edge - Centralized Management
Ajouter une stratégie personnalisée à l’aide de l’Assistant
Add Policy wizard
1. Démarrez l’Assistant Add Policy wizard. Pour ce faire, dans la page Stratégies de pare-feu, cliquez sur
Ajouter dans la boîte de dialogue Configuration Edge.
2. La page de bienvenue s’affiche. Cliquez sur Suivant.
3. Pour créer et utiliser une stratégie personnalisée, sélectionnez Créer et utiliser une nouvelle
stratégie personnalisée.
4. Cliquez sur Suivant.
La page Spécifier les protocoles s’affiche.
5. Tapez un nom de protocole.
6. Pour ajouter un protocole, cliquez sur Ajouter.
La boîte de dialogue Ajouter protocole s’affiche.
7. Filtrez le protocole TCP, UDP ou IP.
8. Sélectionnez un port ou une plage de ports.
9. Tapez le ou les numéros de ports, ou le numéro du protocole IP. Cliquez sur OK pour ajouter le
protocole.
10. Cliquez sur Ajouter pour ajouter un autre protocole. Cliquez sur Suivant une fois tous les protocoles
de la stratégie ajoutés.
11. Sélectionnez la direction du trafic. Sélectionnez Entrant, Sortant ou Facultatif.
12. Sélectionnez Autoriser ou Refuser pour l’action de filtre.
Si l’action est Autoriser, ajoutez les destinations De et À requises.
13. Cliquez sur Suivant.
14. Cliquez sur Terminer pour terminer l’Assistant et revenir à la boîte de dialogue Configuration Edge.
458
WatchGuard System Manager
Firebox X Edge - Centralized Management
Cloner un modèle de configuration Edge
Cloner (copier) un modèle peut s’avérer utile lorsque plusieurs périphériques utilisent des configurations
similaires ne présentant que quelques variations mineures. Vous pouvez créer un modèle de configuration
Edge, cloner cette stratégie pour chaque variation et apporter des modifications aux modèles clonés.
1. Développez Modèles de configuration Edge dans le volet Gestion des périphériques.
2. Cliquez avec le bouton droit sur le modèle de configuration Edge à cloner, puis sélectionnez Cloner.
Une copie du modèle de configuration Edge s’affiche dans la liste des modèles.
3. Modifiez la stratégie clonée.
Appliquer les modèles de configuration Edge aux périphériques
Vous pouvez appliquer un modèle de configuration Edge à autant de périphériques Firebox X Edge que vous
le souhaitez. Par contre, vous ne pouvez pas appliquer plus d’un modèle de configuration Edge au même
périphérique Edge.
Application du modèle par glisser-déplacer
Vous pouvez ajouter un modèle de configuration Edge à un périphérique Firebox X Edge par glisser-déplacer.
Cliquez sur le périphérique Edge dans la liste des périphériques, puis faites-le glisser sur le modèle de
configuration Edge dans la liste des modèles de configuration Edge, et déposez-le sur la stratégie. Vous
pouvez également faire glisser un modèle et le déposer sur un périphérique. La stratégie est alors ajoutée au
périphérique Edge.
Si vous avez un dossier regroupant des périphériques, vous pouvez faire glisser ce dossier sur le modèle de
configuration Edge de manière à appliquer ce modèle à tous les périphériques Edge présents dans le dossier.
Tous les autres périphériques sont ignorés.
Guide de l’utilisateur
459
Firebox X Edge - Centralized Management
Application de la stratégie aux périphériques répertoriés dans la liste de
périphériques
1. Sous l’onglet Gestion des périphériques de WatchGuard System Manager, développez la liste des
modèles de configuration Edge.
2. Sélectionnez le modèle à ajouter à un périphérique.
Le modèle s’affiche dans le cadre de droite de la fenêtre.
3. Cliquez sur le lien Configurer sous la section Périphériques.
La boîte de dialogue Gérer la liste de périphériques s’affiche.
460
WatchGuard System Manager
Firebox X Edge - Centralized Management
4. Cliquez sur Ajouter.
La boîte de dialogue Sélectionner des périphériques s’affiche.
5. Sélectionnez un ou plusieurs périphériques dans la liste.
6. Cliquez sur OK. Cliquez de nouveau sur OK.
Les périphériques gérés sélectionnés appliquent le modèle de configuration Edge.
Supprimer un périphérique Edge de la liste de périphériques
1. Pour supprimer un périphérique Edge de la liste de périphériques, sous l’onglet Gestion des
périphériques de WatchGuard System Manager, développez la liste des modèles de configuration
Edge.
2. Cliquez sur le lien Configurer sous la section Périphériques.
La boîte de dialogue Gérer la liste de périphériques s’affiche.
3. Sélectionnez le périphérique à supprimer, puis cliquez sur Supprimer.
Le périphérique est supprimé de la liste et de la gestion centralisée par WSM.
Guide de l’utilisateur
461
Firebox X Edge - Centralized Management
À propos des alias et des périphériques Edge
Les alias sont utilisés avec les périphériques Firebox X Edge gérés afin de définir une destination commune
pour une configuration de stratégie sur Management Server. Ainsi, les alias vous permettent par exemple de
créer un modèle de configuration Edge pour un serveur de messagerie et de définir que cette stratégie doit
s’appliquer à votre serveur de messagerie. Dans la mesure où le serveur de messagerie peut avoir une adresse
IP différente sur chaque réseau Firebox X Edge, vous créez un alias nommé ServeurMessagerie sur
Management Server. Lorsque vous créez le modèle de configuration Edge pour le serveur de messagerie, vous
utilisez cet alias comme destination. Vous définissez ensuite cet alias comme source ou destination, selon
la direction de la stratégie. Dans cet exemple, vous pouvez configurer une stratégie autorisant le flux SMTP
entrant avec ServeurMessagerie comme destination.
Pour faire en sorte que le modèle de configuration Edge fonctionne correctement sur les périphériques Edge
qui utilisent cette stratégie, vous devez configurer l’alias ServeurMessagerie dans les paramètres réseau de
chaque périphérique Firebox X Edge.
La configuration des alias est réalisée en deux étapes :
ƒ
ƒ
Donner des noms aux alias
Définir des alias sur un périphérique Firebox X Edge
Donner des noms aux alias
1. Sous l’onglet Gestion des périphériques de WatchGuard System Manager, sélectionnez
Management Server.
La page Paramètres de Management Server s’affiche.
462
WatchGuard System Manager
Firebox X Edge - Centralized Management
2. Cliquez sur Gérer les alias.
La boîte de dialogue Alias s’affiche.
3.
4.
5.
6.
Sélectionnez un alias, puis cliquez sur Modifier pour modifier son nom.
Tapez le nom de l’alias, puis cliquez sur OK.
Répétez cette procédure pour tous les alias à définir.
Cliquez sur OK une fois tous les alias configurés.
Guide de l’utilisateur
463
Firebox X Edge - Centralized Management
Définir des alias sur un périphérique Firebox X Edge
1. Sous l’onglet Gestion des périphériques de WatchGuard System Manager, sélectionnez un
périphérique Firebox X Edge.
La page Paramètres de Management Server s’affiche.
2. Cliquez sur Configurer sous la section Paramètres réseau.
La boîte de dialogue Paramètres réseau s’affiche.
464
WatchGuard System Manager
Firebox X Edge - Centralized Management
3. Cliquez sur Alias.
Les alias s’affichent. Les alias que vous avez nommés sur Management Server s’affichent avec ces noms dans cette
boîte de dialogue.
4. Sélectionnez un alias à définir, puis cliquez sur Modifier.
La boîte de dialogue Configuration de l’alias local apparaît.
5. Tapez l’adresse IP de l’alias local sur le réseau de ce périphérique Firebox X Edge. Cliquez sur OK.
6. Répétez cette procédure pour chaque alias à définir.
7. Cliquez sur OK après avoir défini tous les alias nécessaires.
Guide de l’utilisateur
465
Firebox X Edge - Centralized Management
466
WatchGuard System Manager
20
Tunnels BOVPN gérés
À propos des tunnels BOVPN gérés
Un réseau privé virtuel (VPN, Virtual Private Network) crée des connexions sécurisées entre des ordinateurs ou
des réseaux situés à des emplacements différents. Chaque connexion est appelée un tunnel. Lorsqu’un tunnel
VPN est créé, les deux points de terminaison du tunnel sont authentifiés. Les données du tunnel sont chiffrées.
Seuls l’expéditeur et le destinataire du message peuvent les lire.
Les réseaux BOVPN permettent aux entreprises de fournir une connectivité sécurisée et chiffrée entre des
agences séparées géographiquement. Les réseaux et les hôtes d’un tunnel VPN peuvent être des sièges
sociaux, des succursales, des utilisateurs distants ou des télétravailleurs. Ces communications contiennent
souvent les types de données critiques échangées à l’intérieur du pare-feu de l’entreprise. Dans ce scénario,
un réseau BOVPN fournit des connexions confidentielles entre ces bureaux, ce qui rationalise la
communication, réduit le coût des lignes dédiées et préserve la sécurité à chaque extrémité.
WatchGuard System Manager vous permet de créer en quelques minutes des tunnels IPSec qui utilisent
l’authentification et le chiffrement. Vous avez la garantie que ces tunnels fonctionneront avec d’autres tunnels
et stratégies de sécurité. Ces tunnels s’appellent des tunnels BOVPN gérés. Les tunnels BOVPN manuels
constituent un autre type de tunnel BOVPN que vous pouvez définir à l’aide de boîtes de dialogue. Pour plus
d’informations sur ce type de tunnel, voir À propos des tunnels BOVPN manuels.
Guide de l’utilisateur
467
Tunnels BOVPN gérés
Comment créer un tunnel BOVPN géré
La procédure de base pour créer un tunnel manuel entre des périphériques est très facile. Elle nécessite la
fonction glisser-déplacer et un simple Assistant, tel qu’indiqué dans Créer des tunnels gérés entre les
périphériques.
Toutefois, vous ne devez pas oublier d’effectuer les procédures suivantes avant de créer des tunnels gérés :
1. Configurez WatchGuard Management Server et une autorité de certification, tel qu’indiqué dans
Configurer Management Server et Configurer l’autorité de certification sur Management Server.
2. Ajoutez à Management Server les périphériques Firebox ou Firebox X Edge qui seront les points de
terminaison du tunnel, tel que décrit dans Ajouter des périphériques gérés à Management Server. Si
un de ces périphériques est un périphérique dynamique, il doit être configuré en tant que client géré,
tel que décrit dans À propos de la préparation des périphériques pour la gestion. Comme WSM ne peut
pas entrer en contact avec des périphériques dynamiques, il ne met pas à jour les ressources
automatiquement. Vous devez par conséquent télécharger les ressources actuelles du périphérique
dynamique ou ajouter les réseaux derrière le périphérique dynamique en tant que ressources VPN,
tel que décrit dans Ajouter des ressources VPN.
Options de tunnel
Vous disposez de plusieurs options pour personnaliser des tunnels VPN gérés :
ƒ
ƒ
ƒ
Si le réseau approuvé derrière l’un des périphériques comporte de nombreux réseaux routés ou
secondaires que vous souhaitez autoriser à transiter par le tunnel, vous pouvez les ajouter
manuellement en tant que ressources VPN du périphérique, tel que décrit dans Ajouter des ressources
VPN.
Si vous souhaitez restreindre les types de trafic que vous autorisez à transiter par le réseau BOVPN géré
ou qui envoient des messages de journal à Log Server, vous devez utiliser un modèle de stratégie de
pare-feu VPN. Vous pouvez également utiliser un modèle déjà défini sur Management Server. Pour
plus d’informations, voir Ajouter des modèles de stratégie de pare-feu VPN.
L’Assistant qui permet de créer des tunnels BOVPN gérés vous propose de choisir entre plusieurs
paramètres associés aux types de chiffrement disponibles. Ces paramètres sont compatibles avec la
plupart des tunnels. Cependant, si votre réseau nécessite une configuration spéciale, vous pouvez
créer vos propres paramètres, tel que décrit dans Ajouter des modèles de sécurité.
Basculement VPN
Le basculement VPN, décrit dans Configurer le basculement VPN, est pris en charge par les tunnels BOVPN
gérés. Si vous appliquez une configuration Multi-WAN et créez des tunnels gérés, WSM configure
automatiquement des paires de passerelles qui incluent des interfaces externes à chaque extrémité du tunnel.
Aucune autre configuration n’est nécessaire.
468
WatchGuard System Manager
Tunnels BOVPN gérés
Paramètres VPN globaux
Les paramètres VPN globaux de Firebox s’appliquent aux tunnels BOVPN manuels, aux tunnels gérés et aux
tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour :
ƒ
ƒ
ƒ
ƒ
activer le transit IPSec ;
désactiver ou conserver les paramètres des paquets contenant des bits de type de service (TOS)
définis ;
utiliser un serveur LDAP pour vérifier les certificats ;
forcer Firebox à envoyer une notification lorsqu’un tunnel BOVPN est défectueux (uniquement les
tunnels BOVPN).
Pour modifier ces paramètres, dans Policy Manager, sélectionnez VPN > Paramètres VPN. Pour plus
d’informations sur ces paramètres, voir À propos des paramètres globaux VPN.
État du tunnel BOVPN
Firebox System Manager vous permet de consulter l’état actuel des tunnels BOVPN. Ces informations figurent
également sous l’onglet État du périphérique de WatchGuard System Manager. Pour plus d’informations,
voir État des tunnels VPN et services de sécurité.
Renouveler la clé des tunnels BOVPN
Firebox System Manager vous permet de générer immédiatement de nouvelles clés pour les tunnels BOVPN
au lieu d’attendre leur expiration. Pour plus d’informations, voir Renouveler la clé des tunnels BOVPN.
Ajouter des ressources VPN
Une ressource VPN est un réseau autorisé à se connecter par le biais d’un tunnel VPN donné. Si un
périphérique de terminaison VPN possède une adresse IP statique, tous les réseaux approuvés derrière ce
périphérique sont automatiquement autorisés à se connecter. Management Server crée une ressource VPN
par défaut pour le périphérique qui inclut tous les réseaux approuvés.
Cependant, si le réseau approuvé derrière un périphérique contient de nombreux réseaux routés ou
secondaires que vous souhaitez autoriser à transiter par le tunnel, vous devez les ajouter manuellement en
tant que ressources VPN du périphérique. Si un périphérique de terminaison possède une adresse IP
dynamique, vous devez récupérer ses ressources actuelles, tel qu’indiqué ci-dessous, ou ajouter les réseaux
derrière ce périphérique en tant que ressources VPN. Management Server ne crée pas automatiquement de
ressources VPN à leur intention.
Guide de l’utilisateur
469
Tunnels BOVPN gérés
Récupérer les ressources actuelles d’un périphérique
Si un périphérique de terminaison possède une adresse IP dynamique, récupérez les stratégies qui
s’appliquent déjà aux réseaux situés derrière ce périphérique. Vous pouvez aussi ignorer cette procédure et
ajouter à la place les réseaux en tant que ressources VPN.
1. Dans WatchGuard System Manager, sous l’onglet Gestion des périphériques, sélectionnez un
périphérique géré, puis sélectionnez Modifier > Mettre à jour le périphérique.
La boîte de dialogue Mettre à jour le périphérique s’affiche.
2. Activez la case à cocher Télécharger les stratégies du réseau facultatif et approuvé.
3. Cliquez sur OK.
Créer une ressource VPN
Pour créer une ressource VPN, sous l’onglet Gestion des périphériques :
1. Sélectionnez le périphérique pour lequel vous souhaitez configurer une ressource VPN et
cliquez sur
.
Ou, cliquez avec le bouton droit sur le périphérique et sélectionnez Insérer une ressource VPN.
La boîte de dialogue Ressource VPN du périphérique s’affiche.
470
WatchGuard System Manager
Tunnels BOVPN gérés
2. Renseignez la zone Nom de la stratégie. Ce nom s’affiche dans la fenêtre Gestion des périphériques
et dans l’Assistant Add VPN Wizard.
3. Si vous souhaitez créer une ressource VPN pour un périphérique Firebox X Core, Firebox X Peak ou
WFS, le champ Disposition s’affiche. Dans la liste déroulante Disposition, sélectionnez les options
suivantes :
sécuriser
Chiffre le trafic vers et à partir de cette ressource. Il s’agit de l’option la plus couramment utilisée.
ignorer
Achemine le trafic en texte clair. Vous pouvez utiliser cette option si Firebox est en mode
d’insertion et que le tunnel achemine le trafic vers le réseau d’insertion. Dans ce cas, l’adresse IP
d’insertion doit être ignorée mais pas bloquée sinon le tunnel ne peut pas négocier.
bloquer
N’autorise pas le trafic à transiter par le réseau VPN. Vous pouvez activer cette option pour
interdire à une ou plusieurs adresses IP d’utiliser un réseau VPN qui autorise l’accès à un sousréseau complet, mais uniquement si vous bénéficiez d’une priorité supérieure au sous-réseau
complet.
Si vous souhaitez créer une ressource VPN pour Firebox X Edge, le champ Disposition ne s’affiche
pas car seule l’option sécuriser est prise en charge.
4. Ajouter, modifier ou supprimer des ressources. Cliquez sur Ajouter pour ajouter une adresse IP ou une
adresse réseau. Cliquez sur Modifier pour modifier une ressource sélectionnée dans la liste.
Sélectionnez une ressource dans la liste Ressources, puis cliquez sur Supprimer pour la supprimer.
5. Cliquez sur OK.
Ajouter un hôte ou un réseau
1. Dans la boîte de dialogue Ressource VPN, cliquez sur Ajouter.
La boîte de dialogue Ressource s’affiche.
2. Dans la liste déroulante Autoriser vers/à partir de, sélectionnez le type de ressource, puis tapez
l’adresse IP ou réseau dans la zone d’adresse adjacente.
3. Cliquez sur OK.
Guide de l’utilisateur
471
Tunnels BOVPN gérés
Ajouter des modèles de stratégie de pare-feu VPN
Les modèles de stratégie de pare-feu VPN permettent de créer un ensemble d’une ou plusieurs stratégies de
pare-feu bidirectionnelles qui restreignent le type de trafic transitant par un réseau VPN. Notez que les
modèles de stratégie ne prennent pas en charge les stratégies de proxy.
Si vous appliquez la stratégie de pare-feu VPN par défaut « Tout », un message du journal est généré pour tout
trafic qui passe par le tunnel VPN géré. Si vous souhaitez contrôler le type de trafic consigné dans les journaux,
vous devez créer votre propre modèle de stratégie de pare-feu VPN et activer la case à cocher Activer la
journalisation pour ce trafic. Vous ne pouvez pas désactiver la journalisation de la stratégie de pare-feu VPN
par défaut « Tout » ni la modifier en aucune façon.
1. Dans la partie gauche (l’arborescence) de l’onglet Gestion des périphériques, développez VPN gérés
et cliquez sur Modèles de stratégie de pare-feu VPN.
Une liste de modèles de stratégie définis actuellement, s’ils existent, s’affiche à droite de l’écran.
2. Dans le coin supérieur droit de l’écran, cliquez sur Ajouter.
La boîte de dialogue Modèle de stratégie de pare-feu VPN s’affiche.
3. Dans le champ Nom, tapez un nom pour le modèle de stratégie. Ce nom s’affiche dans l’arborescence
Gestion des périphériques et dans l’Assistant Add VPN Wizard.
4. Pour ajouter une stratégie au modèle, cliquez sur Ajouter.
L’Assistant Add Policy Wizard démarre.
5. Faites votre sélection dans une liste de stratégies prédéfinies ou créez une stratégie personnalisée. Si
vous choisissez de créer une stratégie personnalisée, dans l’écran suivant de l’Assistant, tapez un nom
et sélectionnez un port et un protocole pour la stratégie.
6. Après avoir ajouté la stratégie, vous pouvez répéter la procédure pour ajouter des stratégies
supplémentaires, le cas échéant. Cliquez sur OK lorsque vous avez terminé.
472
WatchGuard System Manager
Tunnels BOVPN gérés
Ajouter des modèles de sécurité
Un modèle de sécurité est un ensemble d’informations de configuration utilisé lors de la création de tunnels.
Lorsque vous appliquez des modèles de sécurité, vous n’avez pas besoin de créer des paramètres
individuellement chaque fois que vous créez un tunnel. Ces modèles incluent des paramètres de phase 1 et
de phase 2. Pour plus d’informations sur ces paramètres, voir Configurer le mode et les transformations
(paramètres de phase 1) et Configurer les paramètres de phase 2.
Des modèles de sécurité par défaut sont fournis pour les types de chiffrement disponibles. Vous pouvez vous
servir de ces paramètres pour créer des tunnels sécurisés qui fonctionnent correctement avec la plupart des
réseaux. Cependant, si votre réseau nécessite une configuration spéciale, vous pouvez modifier les modèles
existants ou en créer de nouveaux. Pour créer un modèle de sécurité :
1. Sous l’onglet Gestion des périphériques, cliquez avec le bouton droit dans la fenêtre, puis
sélectionnez Insérer un modèle de sécurité ou cliquez sur l’icône Insérer un modèle de sécurité
.
La boîte de dialogue Modèle de sécurité s’affiche.
2. Renseignez la zone Nom du modèle. Ce nom s’affiche dans l’arborescence Gestion des périphériques
et dans l’Assistant Add VPN Wizard.
Guide de l’utilisateur
473
Tunnels BOVPN gérés
3. Cliquez sur l’onglet Paramètres de phase 1.
4. Pour que Firebox envoie des messages à son pair IKE pour garder le tunnel VPN ouvert, activez la case
à cocher Conservation d’activité IKE. Pour définir le paramètre Intervalle entre les messages, tapez
le nombre de secondes ou utilisez le contrôle de valeur pour sélectionner le nombre de secondes
souhaité.
5. Pour définir le nombre maximal de fois que Firebox doit tenter d’envoyer un message de conservation
d’activité IKE avant d’essayer à nouveau de négocier la phase 1, tapez le nombre souhaité dans la zone
Nombre d’échecs max..
6. Dans les listes déroulantes Authentification et Chiffrement, sélectionnez les méthodes
d’authentification et de chiffrement.
7. Dans la liste déroulante Groupe de clés, sélectionnez le groupe Diffie-Hellman souhaité. Les groupes
Diffie-Hellman déterminent la force de la clé principale utilisée dans le processus d’échange de clés.
Plus le numéro de groupe est élevé, meilleure est la sécurité mais plus le délai de création des clés est
long.
8. Pour modifier la durée de vie de l’association de sécurité (SA), tapez un nombre dans les champs SA
Life pour définir le délai ou le trafic devant s’écouler avant l’expiration de l’association de sécurité.
Entrez la valeur zéro pour ne définir aucune limite.
474
WatchGuard System Manager
Tunnels BOVPN gérés
9. Cliquez sur l’onglet Paramètres de phase 2.
10. Dans la liste déroulante Authentification, sélectionnez la méthode d’authentification de la phase 2.
11. Dans la liste déroulante Chiffrement, sélectionnez la méthode de chiffrement.
12. Pour forcer la clé à expirer, activez la case à cocher Forcer l’expiration de la clé. Dans les champs situés
en dessous, entrez la durée et le nombre d’octets au bout desquels la clé doit expirer.
Si l’option Forcer l’expiration de la clé est désactivée, ou si elle est activée et que les paramètres de
temps et de kilo-octets ont la valeur zéro, Firebox tente d’utiliser la durée d’expiration de la clé définie
pour le pair. Si cette option est également désactivée ou définie sur zéro, Firebox utilise une durée
d’expiration de la clé de huit heures.
Vous pouvez définir la durée sur un an maximum.
13. Cliquez sur OK.
Guide de l’utilisateur
475
Tunnels BOVPN gérés
Créer des tunnels gérés entre les périphériques
L’Assistant Add VPN Wizard permet de configurer un tunnel.
Cette procédure nécessite que les réseaux des périphériques dynamiques Firebox et Firebox X Edge soient
configurés au préalable. Vous devez également obtenir les stratégies de tous les nouveaux périphériques
dynamiques avant de configurer des tunnels. Voir Ajouter des ressources VPN.
Sous l’onglet Gestion des périphériques :
1. Au niveau d’un des points de terminaison du tunnel, cliquez sur le nom du périphérique. Faites glisser
ce nom vers le nom du périphérique sur l’autre point de terminaison du tunnel.
L’Assistant Add VPN Wizard démarre.
Ou, sous l’onglet Gestion des périphériques, sélectionnez Modifier > Créer un VPN ou cliquez sur
l’icône Créer un VPN
.
L’Assistant Add VPN Wizard démarre.
2. Cliquez sur Suivant.
3. Si vous avez appliqué la procédure glisser-déplacer à l’étape 1, l’écran montre les deux périphériques
de terminaison sélectionnés à l’aide de la fonction glisser-déplacer et la ressource VPN utilisée par le
tunnel. Si vous n’avez pas utilisé la fonction glisser-déplacer, sélectionnez les points de terminaison
dans la liste déroulante.
4. Dans la liste déroulante, sélectionnez une ressource VPN pour chaque périphérique. (Pour plus
d’informations sur les ressources VPN, voir la description au début de la rubrique Ajouter des
ressources VPN.) Cliquez sur Suivant.
Sélectionnez Réseau de concentrateurs pour créer un tunnel VPN dont l’route a la valeur null afin de
forcer l’ensemble du trafic à transiter par un réseau VPN. Utilisez ce paramètre en tant que ressource
VPN pour le périphérique qui héberge le réseau VPN dont l’route est null. Le périphérique distant
envoie ensuite l’intégralité du trafic à travers le réseau VPN jusqu’au périphérique dont la ressource
locale est un réseau de concentrateurs.
5. Sélectionnez le modèle de sécurité applicable au type de sécurité et au type d’authentification à
utiliser pour ce tunnel. Pour plus d’informations sur les modèles de sécurité, voir Ajouter des modèles
de sécurité. Activez les cases à cocher pour spécifier les serveurs DNS et WINS à utiliser. Cliquez sur
Suivant.
6. Sélectionnez le modèle de stratégie de pare-feu VPN applicable au type de trafic que vous souhaitez
autoriser à transiter via ce tunnel. Si aucun modèle de stratégie de pare-feu VPN n’a été défini, la
stratégie par défaut « Tout » est appliquée au tunnel. Pour plus d’informations sur les modèles de
stratégie de pare-feu VPN, voir Ajouter des modèles de stratégie de pare-feu VPN.
7. Cliquez sur Suivant.
L’Assistant affiche la configuration.
8. Activez la case à cocher Redémarrez les périphériques maintenant pour télécharger la
configuration VPN. Cliquez sur Terminer pour redémarrer les périphériques et déployer le
tunnel VPN.
476
WatchGuard System Manager
Tunnels BOVPN gérés
Modifier la définition d’un tunnel
Tous les tunnels sont répertoriés sous l’onglet Gestion des périphériques de WatchGuard System Manager
(WSM). WSM vous permet de modifier le nom, le modèle de sécurité, les points de terminaison et la stratégie
d’un tunnel.
Si vous souhaitez modifier le modèle de stratégie ou le modèle de sécurité d’un tunnel, vous pouvez faire
glisser le nom du modèle dans l’arborescence située à gauche de l’onglet Gestion des périphériques
jusqu’au nom du réseau VPN dans cette même arborescence. Le nouveau modèle est appliqué. Pour apporter
d’autres modifications ou pour modifier un modèle à l’aide d’une boîte de dialogue, procédez comme suit :
1. Sous l’onglet Gestion des périphériques, développez l’arborescence pour afficher le périphérique à
modifier et sa stratégie.
2. Sélectionnez le tunnel à modifier.
3. Cliquez avec le bouton droit et sélectionnez Propriétés.
La boîte de dialogue Propriétés VPN s’affiche.
4. Apportez les modifications souhaitées au tunnel. Les champs de cette boîte de dialogue sont expliqués
dans les sections précédentes.
5. Cliquez sur OK pour enregistrer les modifications.
Lorsque le tunnel est renégocié, les modifications sont appliquées.
Guide de l’utilisateur
477
Tunnels BOVPN gérés
Supprimer des tunnels et des périphériques
Pour supprimer un périphérique de WatchGuard System Manager (WSM), vous devez d’abord supprimer les
tunnels auxquels ce périphérique sert de point de terminaison.
Supprimer un tunnel
1.
2.
3.
4.
5.
Dans WSM, cliquez sur l’onglet Gestion des périphériques.
Développez le dossier VPN gérés pour afficher le tunnel à supprimer.
Cliquez avec le bouton droit sur le tunnel.
Sélectionnez Supprimer. Cliquez sur Oui pour confirmer.
Vous devrez peut-être redémarrer les périphériques qui utilisent le tunnel à supprimer. Cliquez sur Oui.
Supprimer un périphérique
1. Dans System Manager, cliquez sur l’onglet État du périphérique ou Gestion des périphériques.
2. Si vous utilisez l’onglet Gestion des périphériques, développez le dossier Périphériques pour
afficher le périphérique à supprimer.
3. Cliquez avec le bouton droit sur le périphérique.
4. Sélectionnez Supprimer. Cliquez sur Oui.
478
WatchGuard System Manager
Tunnels BOVPN gérés
État des tunnels VPN et services de sécurité
Le panneau avant de Firebox System Manager affiche des statistiques relatives aux tunnels VPN actifs.
Pour ouvrir Firebox System Manager, procédez comme suit :
1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique.
2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager.
3. Cliquez sur .
Vous pouvez également sélectionner Outils > Firebox System Manager.
Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état
et la configuration peut prendre un certain temps.
Sous la section État de Firebox, à droite de l’écran, figure une section consacrée aux tunnels BOVPN.
Firebox System Manager affiche l’état en cours et les informations de passerelle de chaque tunnel VPN, ainsi
que les données échangées, les informations de création et d’expiration, le type d’authentification et de
chiffrement et le nombre de renouvellements de clés.
Chaque tunnel BOVPN peut avoir l’un des trois états suivants :
Actif
Le tunnel BOVPN est opérationnel et transmet le trafic.
Inactif
Le tunnel BOVPN a été créé mais aucune négociation n’a eu lieu. Aucun trafic n’a été envoyé à travers
le tunnel VPN.
Expiré
Le tunnel BOVPN a été actif mais ne l’est plus car il n’a plus de trafic ou le lien entre les passerelles est
rompu.
Ces informations apparaissent également sous l’onglet État du périphérique dans WatchGuard System
Manager.
Guide de l’utilisateur
479
Tunnels BOVPN gérés
État des tunnels Mobile VPN
Firebox System Manager affiche le nom d’utilisateur, l’adresse IP et la quantité de paquets échangés de trois
types de tunnels Mobile VPN :
ƒ
ƒ
ƒ
Mobile VPN with IPSec
Mobile VPN with SSL
Mobile VPN with PPTP
Pour déconnecter les utilisateurs de Mobile VPN, cliquez avec le bouton droit de la souris sur un utilisateur et
sélectionnez Déconnecter l’utilisateur sélectionné.
État des services de sécurité
Sous Services de sécurité, Firebox System Manager affiche le nombre de virus détectés, le nombre
d’intrusions, le nombre de messages électroniques confirmés comme étant du courrier indésirable et le
nombre de requêtes Web refusées par WebBlocker depuis le dernier redémarrage.
480
WatchGuard System Manager
21
Tunnels BOVPN manuels
À propos des tunnels BOVPN manuels
Un réseau privé virtuel (VPN, Virtual Private Network) crée des connexions sécurisées entre des ordinateurs ou
des réseaux situés à des emplacements différents. Chaque connexion est appelée un tunnel. Lorsqu’un tunnel
VPN est créé, les deux points de terminaison du tunnel sont authentifiés. Les données du tunnel sont chiffrées.
Seuls l’expéditeur et le destinataire du message peuvent les lire.
Les réseaux BOVPN permettent aux entreprises de fournir une connectivité sécurisée et chiffrée entre des
agences séparées géographiquement. Les réseaux et les hôtes d’un tunnel VPN peuvent être des sièges
sociaux, des succursales, des utilisateurs distants ou des télétravailleurs. Ces communications contiennent
souvent les types de données critiques échangés au sein du pare-feu de l’entreprise. Dans ce scénario, un
réseau BOVPN fournit des connexions confidentielles entre ces bureaux, ce qui rationalise la communication,
réduit le coût des lignes dédiées et préserve la sécurité à chaque extrémité.
Les tunnels BOVPNmanuels sont ceux qui sont créés à l’aide de boîtes de dialogue qui fournissent de
nombreuses options pour personnaliser la définition des tunnels. Un tunnel BOVPN géré est un autre type de
tunnel BOVPN que vous créez à l’aide de la fonction glisser-déplacer, d’un Assistant et de modèles. Pour plus
d’informations sur ce type de tunnel, voir À propos des tunnels BOVPN gérés.
Comment créer un tunnel BOVPN manuel
La procédure de base pour créer un tunnel manuel nécessite les étapes suivantes :
1. Configurer des passerelles : des points de connexion situés aux extrémités locale et distante du tunnel.
2. Créer des tunnels entre des points de terminaison de passerelle : configurer des routes pour le tunnel,
spécifier comment les périphériques contrôlent la sécurité et créer une stratégie pour le tunnel.
Les sections ci-dessous présentent d’autres options disponibles pour la création de tunnels BOVPN.
Stratégies de tunnel personnalisées
Le système Firebox ajoute automatiquement de nouveaux tunnels VPN aux stratégies BOVPN-Allow.in et
BOVPN-Allow.out. L’ensemble du trafic est ainsi autorisé à passer par le tunnel. Si vous préférez ne pas utiliser
cette stratégie, vous pouvez créer à la place une stratégie VPN personnalisée pour autoriser des types de
stratégies spécifiques à emprunter le tunnel. Pour plus d’informations, voir Définir une stratégie de tunnel
personnalisée.
Guide de l’utilisateur
481
Tunnels BOVPN manuels
Tunnels unidirectionnels
Configurer la traduction d’adresses réseau dynamique pour le trafic sortant via un tunnel BOVPN si vous
souhaitez garder le tunnel VPN ouvert dans un seul sens. Cela peut s’avérer utile lorsque vous créez un tunnel
vers un site distant où tout le trafic VPN provient d’une adresse IP publique.
Basculement VPN
Les tunnels VPN basculent automatiquement sur l’interface WAN de sauvegarde au cours d’un basculement
WAN. Pour plus d’informations sur le basculement VPN, voir Configurer le basculement VPN.
Vous pouvez configurer des tunnels BOVPN pour qu’ils basculent sur un point de terminaison pair de
sauvegarde si le point de terminaison principal devient indisponible. Pour cela, vous devez définir au moins
un point de terminaison de sauvegarde, tel que décrit dans Configurer le basculement VPN.
Paramètres VPN globaux
Les paramètres VPN globaux de Firebox s’appliquent aux tunnels BOVPN manuels, aux tunnels gérés et aux
tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour :
ƒ
ƒ
ƒ
ƒ
activer le transit IPSec ;
désactiver ou conserver les paramètres des paquets contenant des bits de type de service (TOS) définis
;
utiliser un serveur LDAP pour vérifier les certificats ;
forcer le système Firebox à envoyer une notification lorsqu’un tunnel BOVPN est défectueux
(uniquement les tunnels BOVPN).
Pour modifier ces paramètres, dans Policy Manager, sélectionnez VPN > Paramètres VPN. Pour plus
d’informations sur ces paramètres, voir À propos des paramètres globaux VPN.
État du tunnel BOVPN
Firebox System Manager vous permet de consulter l’état actuel des tunnels BOVPN. Ces informations figurent
également sous l’onglet État du périphérique de WatchGuard System Manager. Pour plus d’informations,
voir État des tunnels VPN et services de sécurité.
Renouveler la clé des tunnels BOVPN
Firebox System Manager vous permet de générer immédiatement de nouvelles clés pour les tunnels BOVPN
au lieu d’attendre leur expiration. Pour plus d’informations, voir Renouveler la clé des tunnels BOVPN.
482
WatchGuard System Manager
Tunnels BOVPN manuels
Configurer les passerelles
Une passerelle est un point de connexion d’un ou plusieurs tunnels. Pour créer un tunnel, vous devez
configurer des passerelles sur les périphériques locaux et distants. Pour configurer ces passerelles, vous devez
spécifier les éléments suivants :
ƒ
ƒ
ƒ
Méthode d’informations d’identification : soit des clés pré-partagées, soit un certificat Firebox IPSec.
Pour plus d’informations sur les certificats pour l’authentification BOVPN, voir Utiliser un certificat pour
l’authentification d’accès au tunnel BOVPN.
Emplacement des points de terminaison de passerelle locaux et distants, soit par l’adresse IP, soit par
les informations de domaine.
Paramètres de phase 1 de la négociation IKE (Internet Key Exchange). Cette phase définit l’association
de sécurité (les protocoles et paramètres que les points de terminaison de passerelle utilisent pour
communiquer) pour protéger les données en transit au cours de la négociation.
1. Dans Policy Manager, cliquez sur VPN > Passerelles de filiale.
La boîte de dialogue Passerelles s’affiche.
Guide de l’utilisateur
483
Tunnels BOVPN manuels
2. Pour ajouter une passerelle, cliquez sur Ajouter.
La boîte de dialogue Nouvelle passerelle s’affiche.
3. Dans la zone de texte Nom de la passerelle, tapez un nom pour identifier cette passerelle dans Policy
Manager pour ce périphérique Firebox.
4. Normalement, les tunnels BOVPN démarrent automatiquement en même temps que Firebox. Si vous
ne souhaitez pas que les tunnels qui utilisent cette passerelle démarrent automatiquement, désactivez
la case à cocher Démarrer le tunnel de phase 1 au démarrage de Firebox en bas de l’écran. Lorsque
cette case à cocher est désactivée, les tunnels démarrent uniquement lorsque le trafic est prêt à être
envoyé par leur biais.
5. Vous pouvez désormais définir la méthode d’informations d’identification ou définir des points de
terminaison de passerelle.
484
WatchGuard System Manager
Tunnels BOVPN manuels
Modifier et supprimer des passerelles
Pour modifier la définition d’une passerelle, sélectionnez VPN > Passerelles de filiale. Ou, cliquez avec le
bouton droit sur l’icône d’un tunnel sous l’onglet BOVPN de Policy Manager, puis sélectionnez Propriété de
la passerelle.
1. Sélectionnez la passerelle souhaitée, puis cliquez sur Modifier.
La boîte de dialogue Modifier la passerelle s’affiche.
2. Procédez aux modifications, puis cliquez sur OK.
Pour supprimer une passerelle, sélectionnez-la, puis cliquez sur Supprimer. Vous pouvez également
sélectionner plusieurs passerelles et cliquer sur Supprimer pour les supprimer simultanément.
Définir la méthode d’informations d’identification
Dans la boîte de dialogue Nouvelle passerelle, sélectionnez Utiliser la clé pré-partagée ou Utiliser le
certificat Firebox IPSec pour identifier la procédure d’authentification à utiliser.
Si vous avez sélectionné la clé pré-partagée
Tapez ou collez la clé partagée. Vous devez utiliser la même clé partagée sur le périphérique distant. Cette clé
partagée doit uniquement contenir des caractères ASCII standard.
Si vous avez sélectionné le certificat Firebox IPSec
Le tableau situé sous la case d’option montre les certificats actuels sur le système Firebox. Sélectionnez le
certificat à utiliser pour la passerelle.
Si vous utilisez un certificat pour l’authentification BOVPN :
ƒ
ƒ
ƒ
ƒ
Le certificat doit être reconnu en tant que certificat de type « IPSec » par Firebox System Manager. Pour
le vérifier, démarrez Firebox System Manager, sélectionnez Afficher > Certificats, puis vérifiez que «
IPSec » ou « IPSec/Web » apparaît dans la colonne Type de la boîte de dialogue Certificats.
Vérifiez que les certificats des périphériques situés à chaque point de terminaison de passerelle
utilisent le même algorithme. Tous les deux doivent utiliser DSS ou RSA. L’algorithme des certificats
apparaît dans le tableau de la boîte de dialogue Nouvelle passerelle et dans la boîte de dialogue
Certificats de Firebox System Manager.
Vous devez démarrer l’autorité de certification sur Management Server si vous sélectionnez une
authentification par certificat. Pour plus d’informations à ce sujet, voir Configurer l’autorité de
certification sur Management Server.
Vous devez utiliser WatchGuard Log Server pour les messages des journaux.
Après avoir défini la méthode d’informations d’identification, vous pouvez définir les points de terminaison
de passerelle pour le tunnel.
Guide de l’utilisateur
485
Tunnels BOVPN manuels
Définir les points de terminaison de passerelle
Un ensemble de points de terminaison de passerelle est appelé paire de passerelles.
1. Dans la section Points de terminaison de passerelle de la boîte de dialogue Nouvelle passerelle,
cliquez sur Ajouter.
La boîte de dialogue Paramètres de points de terminaison de la nouvelle passerelle s’affiche.
486
WatchGuard System Manager
Tunnels BOVPN manuels
2. Spécifiez l’emplacement de la passerelle locale.
Si vous souhaitez utiliser l’adresse IP
o Activez la case d’option Par adresse IP.
o Sélectionnez l’adresse dans la liste déroulante Adresse IP. Toutes les adresses IP configurées de
Firebox figurent dans la liste.
o Dans le champ Interface externe, sélectionnez l’interface externe principale ou de sauvegarde.
Cliquez sur OK.
Si vous souhaitez utiliser les informations de domaine
o Activez la case d’option Par informations de domaine. Cliquez sur Configurer.
o Dans la boîte de dialogue Configurer le domaine pour l’ID de passerelle qui s’affiche,
sélectionnez Par nom de domaine, Par ID d’utilisateur sur le domaine ou Par nom X500
pour spécifier la méthode de configuration du domaine et les interfaces externes pour
l’authentification de passerelle de tunnel.
o Tapez soit le nom de domaine, soit le nom d’utilisateur suivi du nom de domaine
(Nom_Utilisateur@Nom_Domaine), ou le nom x500 en fonction de la case d’option
sélectionnée à l’étape précédente. Cliquez sur OK.
L’option X500 n’est disponible que si Fireware Pro est installé sur votre périphérique Firebox.
3. Dans le champ Interface externe, sélectionnez l’interface externe principale ou de sauvegarde.
Cliquez sur OK.
‘
4. Spécifiez la manière dont la passerelle distante obtient une adresse IP.
Si elle possède une adresse IP statique
o Activez la case d’option Adresse IP statique.
o Sélectionnez l’adresse dans la liste déroulante Adresse IP ou tapez-la dans le champ.
Si elle possède une adresse IP dynamique : Activez la case d’option Adresse IP dynamique.
Guide de l’utilisateur
487
Tunnels BOVPN manuels
5. Spécifiez l’emplacement de la passerelle distante pour l’authentification d’accès au tunnel.
Si vous souhaitez utiliser l’adresse IP
o Activez la case d’option Par adresse IP.
o Sélectionnez l’adresse dans la liste déroulante Adresse IP. Toutes les adresses IP configurées de
Firebox figurent dans la liste.
Si vous souhaitez utiliser les informations de domaine
o Vérifiez que Firebox est configuré avec des serveurs DNS capables de résoudre le nom de
domaine.
o Activez la case d’option Par informations de domaine. Cliquez sur Configurer.
o Dans la boîte de dialogue Configurer le domaine pour l’ID de passerelle qui s’affiche,
sélectionnez Par nom de domaine, Par ID d’utilisateur sur le domaine ou Par nom X500
pour spécifier la méthode de configuration de domaine et les interfaces externes de
l’authentification de passerelle de tunnel.
o Tapez soit le nom de domaine, soit le nom d’utilisateur suivi du nom de domaine
(Nom_Utilisateur@Nom_Domaine), ou le nom x500 en fonction de la case d’option
sélectionnée à l’étape précédente. Cliquez sur OK.
Si le point de terminaison VPN distant utilise le protocole DHCP ou PPPoE pour obtenir son adresse
IP externe, définissez le type d’ID de la passerelle distante sur Nom de domaine. Attribuez au champ
de nom du pair le nom de domaine complet du point de terminaison VPN distant. Firebox utilise
l’adresse IP et le nom de domaine pour rechercher le point de terminaison VPN. Vérifiez que le
serveur DNS utilisé par Firebox peut identifier le nom.
6. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de points de terminaison de la nouvelle
passerelle.
La boîte de dialogue Nouvelle Passerelle s’affiche. La paire de passerelles que vous avez définie figure dans la liste
des points de terminaison de passerelle.
7. Consultez Configurer le mode et les transformations (paramètres de phase 1) si vous ne souhaitez pas
utiliser les paramètres de phase 1 définis par défaut. Sinon, cliquez sur OK.
488
WatchGuard System Manager
Tunnels BOVPN manuels
Configurer le mode et les transformations (Paramètres de phase 1)
La phase 1 de l’établissement d’une connexion IPSec désigne le stade où deux pairs créent un canal sécurisé
et authentifié pour communiquer. Il s’agit de l’association de sécurité (SA) ISAKMP.
Un échange de phase 1 peut utiliser le mode principal ou le mode agressif. Le mode détermine le type et le
nombre d’échanges de messages qui se produisent au cours de cette phase.
Une transformation est un ensemble de protocoles et d’algorithmes de sécurité servant à protéger les
données. Au cours de la négociation IKE, les pairs s’entendent sur l’utilisation d’une transformation donnée.
Vous pouvez définir un tunnel de sorte qu’il offre à un pair plusieurs transformations pour la négociation, voir
Ajouter une transformation de phase 1.
1. Dans la boîte de dialogue Nouvelle passerelle, sélectionnez l’onglet Paramètres de phase 1.
Guide de l’utilisateur
489
Tunnels BOVPN manuels
2. Dans la liste déroulante Mode, sélectionnez Principal, Agressif ou Principal ou Agressif en cas
d’échec.
Mode principal
Il s’agit d’un mode sécurisé qui utilise trois échanges de messages distincts (six messages au
total). Les deux premiers négocient la stratégie, les deux suivants échangent des données DiffieHellman et les deux derniers authentifient l’échange Diffie-Hellman. Le mode principal prend
en charge les groupes Diffie-Hellman 1, 2 et 5. Il vous permet également d’utiliser plusieurs
transformations, tel qu’indiqué dans Ajouter une transformation de phase 1.
Mode agressif
Ce mode est plus rapide car il n’utilise que trois messages, qui échangent des données DiffieHellman et identifient les deux points de terminaison VPN. En revanche, cela rend le mode
agressif moins sécurisé.
Principal ou Agressif en cas d’échec
Firebox tente un échange de phase 1 en mode principal. En cas d’échec de la négociation, il utilise
le mode agressif.
3. Si vous souhaitez créer un tunnel BOVPN entre Firebox et un autre périphérique situé derrière un
périphérique NAT, activez la case à cocher Parcours NAT. Le parcours NAT ou l’encapsulation UDP
permet au trafic de parvenir aux destinations correctes.
4. Pour que Firebox envoie des messages à son pair IKE afin de garder le tunnel VPN ouvert, activez la case
à cocher Conservation d’activité IKE. Pour définir le paramètre Intervalle entre les messages, tapez
le nombre de secondes ou utilisez le contrôle de valeur pour sélectionner le nombre de secondes
souhaité.
5. Pour définir le nombre maximal de fois que Firebox doit tenter d’envoyer un message de conservation
d’activité IKE avant d’essayer à nouveau de négocier la phase 1, tapez le nombre souhaité dans la zone
Nombre d’échecs max.
6. Utilisez la case à cocher Détection DPD pour activer ou désactiver la détection DPD basée sur le trafic.
Lorsque vous activez la détection DPD, Firebox n’interroge un pair que si aucun trafic n’est reçu de ce
dernier pendant une durée définie et qu’un paquet attend de lui être envoyé. Cette méthode de
recherche de pairs IPSec inactifs est plus évolutive que les messages de conservation d’activité IKE.
Si vous souhaitez modifier les paramètres par défaut de Firebox, entrez la durée, en secondes, dans le
champ Délai d’inactivité du trafic avant de transmettre la requête. Dans le champ Nombre maximal
de tentatives, entrez le nombre de fois que le pair doit être interrogé avant d’être déclaré inactif.
7. Firebox contient une transformation par défaut définie, qui figure dans la liste Paramètres de
transformation. Cette transformation spécifie l’authentification SHA1, le chiffrement 3DES et le
groupe Diffie-Hellman 1.
Vous pouvez choisir l’une des actions suivantes :
o Utiliser ce paramètre par défaut.
o Le supprimer et le remplacer par un nouveau.
o Ajouter un paramètre supplémentaire, tel qu’indiqué dans Ajouter une transformation de
phase 1.
490
WatchGuard System Manager
Tunnels BOVPN manuels
Ajouter une transformation de phase 1
Vous pouvez définir un tunnel de sorte qu’il offre à un pair plusieurs transformations pour la négociation. Par
exemple, une transformation peut regrouper SHA1-DES-DF1 ([méthode d’authentification]-[méthode de
chiffrement]-[groupe de clés]) et une seconde transformation peut contenir MD5-3DES-DF2, la transformation
SHA1-DES-DF1 bénéficiant d’une priorité supérieure à MD5-3DES-DF2. Lorsque le trafic traverse le tunnel,
l’association de sécurité peut utiliser SHA1-DES-DF1 (première priorité) ou MD5-3DES-DF2 (deuxième priorité)
selon que l’une ou l’autre correspond à la transformation du pair.
Vous pouvez inclure neuf transformations au maximum. Vous devez spécifier Mode principal à l’étape 2 de la
procédure précédente pour utiliser plusieurs transformations.
1. Sous l’onglet Paramètres de phase 1 de la boîte de dialogue Nouvelle passerelle, allez dans la zone
Paramètres de transformation dans la partie inférieure de la boîte de dialogue. Cliquez sur Ajouter.
La boîte de dialogue Transformation de phase 1 s’affiche.
2. Dans la liste déroulante Authentification, sélectionnez le type d’authentification SHA1 ou MD5.
3. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement AES (128 bits), AES (192
bits), AES (256 bits), DES ou 3DES.
4. Pour modifier la durée de vie de l’association de sécurité, tapez un nombre dans le champ SA Life, puis
sélectionnez Heure ou Minute dans la liste déroulante.
5. Dans la liste déroulante Groupe de clés, sélectionnez le groupe Diffie-Hellman souhaité. WatchGuard
prend en charge les groupes 1, 2 et 5.
Les groupes Diffie-Hellman déterminent la force de la clé principale utilisée dans le processus
d’échange de clés. Plus le numéro de groupe est élevé, meilleure est la sécurité mais plus le délai de
création des clés est long.
6. Vous pouvez ajouter neuf transformations au maximum. Vous pouvez sélectionner une
transformation, puis appuyez sur la touche Monter ou Descendre pour modifier sa priorité.
7. Cliquez sur OK.
Guide de l’utilisateur
491
Tunnels BOVPN manuels
Créer des tunnels entre des points de terminaison de
passerelle
Après avoir défini des points de terminaison de passerelle, vous pouvez créer des tunnels entre elles. Pour
créer un tunnel, procédez comme suit :
ƒ
ƒ
Définissez un tunnel.
Configurez les paramètres de phase 2 pour la négociation IKE (Internet Key Exchange). Cette phase
configure des associations de sécurité pour le chiffrement des paquets de données.
Définir un tunnel
1. Dans Policy Manager, sélectionnez VPN > Tunnels de la filiale.
La boîte de dialogue Tunnels IPSec de filiale s’affiche.
492
WatchGuard System Manager
Tunnels BOVPN manuels
2. Cliquez sur Ajouter.
La boîte de dialogue Nouveau tunnel s’affiche.
3. Dans la zone Nom du tunnel, tapez un nom pour le tunnel.
Assurez-vous que ce nom n’a pas déjà été attribué à un tunnel, à un groupe Mobile VPN ou à une
interface.
4. Dans la liste Passerelle, sélectionnez la passerelle que ce tunnel va utiliser.
Si vous souhaitez modifier des passerelles existantes, sélectionnez leur nom et cliquez sur le bouton
Modifier.
.
Suivez les procédures décrites dans Configurer les passerelles
Si vous souhaitez ajouter une nouvelle passerelle, cliquez sur le bouton Nouveau. Suivez la procédure
décrite dans Configurer les passerelles
Guide de l’utilisateur
.
493
Tunnels BOVPN manuels
5. Activez la case à cocher Ajouter ce tunnel aux stratégies d’autorisation BOVPN-Allow en bas de la
boîte de dialogue si vous voulez ajouter le tunnel aux stratégies BOVPN-Allow.in et BOVPN-Allow.out.
Ces stratégies autorisent tout le trafic correspondant aux routes du tunnel. Si vous souhaitez
restreindre le trafic dans le tunnel, désactivez cette case à cocher et utilisez l’Assistant BOVPN Policy
Wizard conformément à ce qui est expliqué dans Définir une stratégie de tunnel personnalisée pour
créer des stratégies pour des types de trafic que vous voulez autoriser à passer par le tunnel.
Vous pouvez maintenant Ajouter des routes à un tunnel ou Configurer les paramètres de phase 2.
Modifier et supprimer un tunnel
Pour modifier un tunnel, sélectionnez VPN > Tunnels de la filiale. Sinon, cliquez avec le bouton droit sur une
icône de tunnel sous l’onglet Branch Office VPN de Policy Manager et sélectionnez Propriété du tunnel.
1. Sélectionnez le tunnel et cliquez sur Modifier.
La boîte de dialogue Modifier le tunnel s’affiche.
2. Effectuez les modifications et cliquez sur OK.
Pour supprimer un tunnel de la boîte de dialogue Tunnels IPSec de filiale, sélectionnez le tunnel et cliquez
sur Supprimer. Vous pouvez également sélectionner plusieurs tunnels et cliquer sur Supprimer pour les
supprimer simultanément.
494
WatchGuard System Manager
Tunnels BOVPN manuels
Ajouter des routes à un tunnel
1. Dans la boîte de dialogue Nouveau tunnel, cliquez sur Ajouter.
La boîte de dialogue Paramètres d’route de tunnel s’affiche.
2. Dans la liste déroulante Local, sélectionnez l’adresse locale de votre choix.
Vous pouvez également cliquer sur le bouton en regard de la liste déroulante Local pour entrer une
adresse IP d’hôte, une adresse réseau, une plage d’adresses IP d’hôte ou un nom DNS.
3. Dans la zone Distant, tapez l’adresse du réseau distant.
Vous pouvez également cliquer sur le bouton adjacent pour entrer une adresse IP d’hôte, une adresse
réseau, une plage d’adresses IP d’hôte ou un nom DNS.
4. Dans la liste déroulante Direction, sélectionnez le sens du tunnel. Le sens du tunnel détermine quel
point de terminaison du tunnel VPN peut démarrer une connexion VPN à travers le tunnel.
5. Vous pouvez activer la traduction d’adresses réseau (NAT) un à un ou la traduction d’adresses réseau
(NAT) dynamique pour le tunnel en fonction des types d’adresses et du sens du tunnel que vous avez
sélectionnés. Activez la case à cocher NAT un à un ou la case à cocher DNAT.
6. Si vous avez activé la case à cocher NAT un à un, cliquez sur le bouton adjacent pour entrer l’adresse
que vous souhaitez modifier. Vous pouvez spécifier une adresse IP d’hôte, une adresse réseau, une
plage d’adresses IP d’hôte ou un nom DNS.
Si vous voulez utiliser la traduction d’adresses réseau dynamique, vous devez définir un tunnel
unidirectionnel du LAN1 au LAN2, dans lequel vous voulez que tous les serveurs du LAN1 se
connectent aux serveurs du LAN2, mais qu’ils ne soient représentés que par une seule adresse IP sur le
LAN2. Pour plus d’informations sur la façon de procéder, voir Configurer la traduction d’adresses
réseau dynamique pour le trafic sortant via un tunnel BOVPN.
7. Cliquez sur OK.
Guide de l’utilisateur
495
Tunnels BOVPN manuels
Configurer les paramètres de phase 2
Les paramètres de phase 2 comprennent les paramètres d’une association de sécurité (AS) qui définit la
manière dont les paquets de données sont sécurisés lorsqu’ils sont transmis entre deux points de terminaison.
L’association de sécurité conserve toutes les informations nécessaires pour que Firebox sache comment
traiter le trafic entre les points de terminaison. Les paramètres de l’association de sécurité peuvent
comprendre les éléments suivants :
ƒ
ƒ
ƒ
ƒ
ƒ
algorithmes de chiffrement et d’authentification utilisés ;
durée de vie de l’association de sécurité (en secondes ou en nombre d’octets, ou les deux) ;
adresse IP du périphérique pour lequel l’association de sécurité est établie (à savoir le périphérique qui
gère le chiffrement et le déchiffrement IPSec de l’autre côté du VPN, et non l’ordinateur situé derrière
qui envoie ou reçoit du trafic) ;
adresses IP source et de destination du trafic auquel l’association de sécurité s’applique ;
sens du trafic auquel l’association de sécurité s’applique (il y a une association de sécurité pour chaque
sens, c’est-à-dire pour le trafic entrant et pour le trafic sortant).
1. Dans la boîte de dialogue Nouveau tunnel, cliquez sur l’onglet Paramètres de phase 2.
496
WatchGuard System Manager
Tunnels BOVPN manuels
2. Activez la case à cocher PFS

Manuels associés