- Ordinateurs et électronique
- Logiciel
- Logiciels de réseaux
- Logiciel de gestion de réseau
- Watchguard
- WSM
- Mode d'emploi
▼
Scroll to page 2
of
730
WatchGuard System Manager Guide de l’utilisateur WatchGuard System Manager v10.0 Fireware v10.0 Fireware Pro v10.0 Note aux utilisateurs Les informations figurant dans ce guide peuvent faire l’objet de modifications sans préavis. Les exemples de sociétés, de noms et de données mentionnés ici sont fictifs, sauf mention contraire. Aucune partie de ce guide ne peut être reproduite ou retransmise sous quelque format ou par quelque moyen que ce soit (électronique ou mécanique), pour tout objet, sans l’autorisation écrite expresse de WatchGuard Technologies, Inc. Guide révisé le : 15/01/2008 Informations sur le copyright, les marques déposées et les brevets Copyright © 1998 - 2008 WatchGuard Technologies, Inc. Tous droits réservés. Toutes les marques déposées ou les noms commerciaux mentionnés ici, le cas échéant, appartiennent à leurs propriétaires respectifs. Vous pouvez trouver la totalité des informations sur le copyright, les marques déposées, les brevets et les licences dans le Reference Guide (Guide de référence), disponible en ligne : http://www.watchguard.com/help/documentation/. Ce produit est destiné à une utilisation intérieure uniquement. Abréviations utilisées dans le Guide 3DES Triple Data Encryption Standard IPSec Internet Protocol Security SSL Secure Sockets Layer BOVPN Branch Office Virtual Private Network ISP Fournisseur(s) de services Internet TCP Transfer Control Protocol DES Data Encryption Standard MAC Media Access Control UDP User Datagram Protocol DNS Domain Name Service NAT Traduction d’adresses réseau (Network Address Translation) URL Uniform Resource Locator DHCP Dynamic Host Configuration Protocol PPP Point-to-Point Protocol VPN Réseau privé virtuel DSL Digital Subscriber Line PPTP Point-to-Point Tunneling Protocol WAN Réseau étendu (WAN) IP Internet Protocol PPPoE Point-to-Point Protocol over Ethernet WSM WatchGuard System Manager À propos de WatchGuard WatchGuard est l’un des principaux fournisseurs de solutions de sécurité réseau pour les petites et moyennes entreprises partout dans le monde. Il propose des produits et services intégrés qui se caractérisent par leur solidité et leur simplicité d’achat, de déploiement et de gestion. La famille de produits Firebox X, périphériques de sécurité intégrés extensibles, est conçue pour être totalement mise à niveau en fonction de l’évolution d’une organisation et présente la meilleure offre du marché en termes de sécurité, de performances, d’interface intuitive et de valeur. L’architecture ILS (Intelligent Layered Security) de WatchGuard constitue une réelle protection contre les menaces émergentes et procure la flexibilité nécessaire pour intégrer les fonctionnalités et services de sécurité supplémentaires offerts par WatchGuard. Tous les produits WatchGuard sont livrés avec un abonnement initial aux services LiveSecurity pour permettre à nos clients de se tenir au courant de l’actualité en matière de sécurité grâce aux alertes de vulnérabilité, mises à jour logicielles, instructions de sécurité des experts et à un service d’assistance client de premier choix. Pour plus d’informations, appelez le (206) 613 6600 ou visitez notre site www.watchguard.com. ii ADRESSE 505 Fifth Avenue South Suite 500 Seattle, WA 98104 SUPPORT TECHNIQUE www.watchguard.com/support États-Unis et Canada +877.232.3531 Tous les autres pays +1.206.613.0895 VENTES États-Unis et Canada +1.800.734.9905 Tous les autres pays +1.206.613.0895 WatchGuard System Manager Sommaire Chapitre 1 Introduction aux réseaux et à la sécurité des réseaux .......................................................... 1 À propos des réseaux et de leur sécurité ...................................................................................................... Adresses et passerelles privées............................................................................................................... À propos des masques de sous-réseau................................................................................................ À propos de la saisie des adresses IP ......................................................................................................... Adresses IP statiques et dynamiques ........................................................................................................ À propos de DHCP ....................................................................................................................................... À propos de PPPoE ...................................................................................................................................... À propos du DNS (Domain Name Service)............................................................................................... À propos des ports....................................................................................................................................... Chapitre 2 1 2 2 3 3 4 4 4 5 Introduction à WatchGuard System Manager (WSM) et à Fireware .................................... 7 Introduction à WatchGuard System Manager............................................................................................. 7 Outils WatchGuard System Manager.................................................................................................... 8 À propos de Fireware ......................................................................................................................................... 10 Fireware et Fireware Pro.......................................................................................................................... 10 À propos de WatchGuard System Manager et WatchGuard Firebox System........................... 10 Chapitre 3 Prise en main .......................................................................................................................... 11 Avant de commencer......................................................................................................................................... 11 Vérifier les composants de base ........................................................................................................... 11 Obtenir une clé de fonctionnalité Firebox........................................................................................ 11 Recueillir des adresses réseau ............................................................................................................... 12 Déterminer l’emplacement d’installation du logiciel serveur ................................................... 13 Sauvegarder votre configuration précédente................................................................................. 14 Télécharger le logiciel WatchGuard System Manager.................................................................. 14 À propos des niveaux de chiffrement logiciel...................................................................................... 15 À propos de l’Assistant Quick Setup Wizard .............................................................................................. 15 Après l’exécution de l’Assistant ............................................................................................................ 17 Assistant Quick Setup Wizard (non web) ............................................................................................... 17 Après l’exécution de l’Assistant ............................................................................................................ 18 Personnaliser votre stratégie de sécurité .......................................................................................... 19 Démarrer WatchGuard System Manager .................................................................................................... 20 Se connecter à Firebox.................................................................................................................................. 20 Se déconnecter de Firebox..................................................................................................................... 21 Se déconnecter de tous les périphériques Firebox ....................................................................... 21 Démarrer des applications de sécurité ................................................................................................... 21 Guide de l’utilisateur iii Policy Manager............................................................................................................................................ 21 HostWatch .................................................................................................................................................... 22 LogViewer..................................................................................................................................................... 22 Rapports WatchGuard.............................................................................................................................. 22 Assistant Quick Setup Wizard ................................................................................................................ 22 CA Manager.................................................................................................................................................. 23 Mettre à niveau vers une nouvelle version de Fireware........................................................................ 23 Rétrogradation vers WSM 9.1.x ou version antérieure........................................................................... 24 Si vous possédez un fichier de sauvegarde...................................................................................... 24 Si vous ne possédez pas de fichier de sauvegarde ........................................................................ 24 Installer WSM et conserver une version antérieure............................................................................ 25 Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feu de Bureau ........... 25 Configuration d’insertion............................................................................................................................. 26 Ajouter des réseaux secondaires à votre configuration ................................................................... 27 Utiliser l’Assistant Quick Setup Wizard............................................................................................... 28 Ajouter un réseau secondaire une fois l’installation de Firebox terminée............................ 28 Prise en charge IP dynamique sur l’interface externe ....................................................................... 28 À propos de la connexion des câbles Firebox ...................................................................................... 28 Chapitre 4 Maintenance et support ........................................................................................................ 29 À propos du support technique de WatchGuard .................................................................................... 29 À propos des solutions LiveSecurity ........................................................................................................ 29 Réponses aux menaces, alertes et conseils d’experts................................................................... 29 Simplification des mises à jour logicielles......................................................................................... 29 Accès au support technique et à la formation ................................................................................ 29 Diffusions LiveSecurity.................................................................................................................................. 30 Outils de support autonome du service LiveSecurity........................................................................ 31 Activer le service LiveSecurity......................................................................................................................... 32 WatchGuard Users Forum................................................................................................................................. 32 Utiliser WatchGuard Users Forum........................................................................................................ 32 Documentation produit .................................................................................................................................... 33 Formation et certification ................................................................................................................................. 33 À propos du support technique de WatchGuard .................................................................................... 33 Support technique du service LiveSecurity........................................................................................... 33 LiveSecurity Gold ............................................................................................................................................ 34 Service d’installation de Firebox ............................................................................................................... 34 Service d’installation d’un VPN .................................................................................................................. 34 Chapitre 5 Surveillance de l’état de Firebox .......................................................................................... 35 À propos de Firebox System Manager (FSM) ............................................................................................ 35 Menus, icônes et boutons de Firebox System Manager................................................................... 36 Menus de Firebox System Manager.................................................................................................... 37 Icônes de Firebox System Manager .................................................................................................... 38 Boutons de Firebox System Manager................................................................................................. 38 Démarrer Firebox System Manager .............................................................................................................. 38 Définir l’intervalle d’actualisation et la mise en pause de l’affichage .......................................... 38 Intervalle d’actualisation ......................................................................................................................... 39 Pause/Continuer......................................................................................................................................... 39 Avertissements ........................................................................................................................................... 40 Développer et fermer les arborescences........................................................................................... 40 Affichage en triangle ................................................................................................................................ 41 État de Firebox ................................................................................................................................................. 43 Détails sur Firebox, High Availability et l’interface ........................................................................ 44 Certificats et leur état actuel .................................................................................................................. 45 iv WatchGuard System Manager État des services de sécurité .................................................................................................................. 47 Définir le nombre maximum de messages des journaux............................................................ 49 Afficher les noms de champs du journal ........................................................................................... 49 Utiliser la couleur pour les messages des journaux....................................................................... 50 Copier les messages dans une autre application ................................................................................ 51 En savoir plus sur un message ................................................................................................................... 51 Activer la notification des messages spécifiques ................................................................................ 51 Affichage visuel de l’utilisation de la bande passante (Onglet Mesure de la bande passante) ........................................................................................................ 52 Modifier l’échelle........................................................................................................................................ 53 Ajouter et supprimer des lignes ........................................................................................................... 53 Changer les couleurs ................................................................................................................................ 53 Changer le mode d’affichage des interfaces.................................................................................... 54 Affichage visuel de l’utilisation des stratégies (Onglet Suivi du service)......................................... 54 Modifier l’échelle........................................................................................................................................ 55 Afficher la bande passante utilisée par une stratégie................................................................... 55 Changer les couleurs ................................................................................................................................ 56 Changer le mode d’affichage des noms de stratégie ................................................................... 56 Afficher les connexions par stratégie ou règle................................................................................ 56 Statistiques de trafic et de performances ................................................................................................... 57 Utilisateurs authentifiés..................................................................................................................................... 59 Afficher ou modifier la liste des sites bloqués........................................................................................... 60 Ajouter et supprimer des sites .............................................................................................................. 60 Services de sécurité............................................................................................................................................. 61 Statistiques Gateway AntiVirus.................................................................................................................. 61 Statistiques du service Intrusion Prevention Service .................................................................... 62 Statistiques de spamBlocker....................................................................................................................... 62 À propos d’HostWatch....................................................................................................................................... 63 Fenêtre HostWatch.................................................................................................................................... 63 Résolution DNS et HostWatch............................................................................................................... 63 Démarrer HostWatch ................................................................................................................................ 63 Suspendre HostWatch.............................................................................................................................. 63 Sélectionner les connexions et les interfaces à analyser .................................................................. 64 Sélectionner une nouvelle interface à gérer .................................................................................... 64 Filtrer le contenu d’une fenêtre HostWatch.......................................................................................... 65 Modifier les propriétés visuelles d’HostWatch ..................................................................................... 66 À propos de Performance Console ............................................................................................................... 67 Démarrer Performance Console ........................................................................................................... 67 Créer des graphiques avec Performance Console ......................................................................... 67 Arrêter l’analyse ou fermer la fenêtre ................................................................................................. 68 Définir les compteurs de performances ................................................................................................. 68 Ajouter des graphiques ou modifier les intervalles d’interrogation ............................................ 71 Ajouter un nouveau graphique ............................................................................................................ 71 Modifier l’intervalle d’interrogation .................................................................................................... 71 Supprimer un graphique......................................................................................................................... 71 Afficher et gérer les certificats Firebox ........................................................................................................ 72 Consulter les certificats actuels............................................................................................................. 72 Supprimer un certificat ............................................................................................................................ 73 Récupérer la CRL sur un serveur LDAP ............................................................................................... 75 Afficher et synchroniser les clés de fonctionnalité.................................................................................. 76 Synchroniser les clés de fonctionnalité.............................................................................................. 77 Journal des communications .......................................................................................................................... 77 Effectuer des opérations dans Firebox System Manager...................................................................... 78 Guide de l’utilisateur v Synchroniser l’heure ...................................................................................................................................... 78 Effacer le cache ARP ....................................................................................................................................... 78 Afficher et synchroniser les clés de fonctionnalité ............................................................................. 79 Synchroniser les clés de fonctionnalité.............................................................................................. 80 Effacer les alarmes .......................................................................................................................................... 80 Renouveler la clé des tunnels BOVPN...................................................................................................... 80 Pour renouveler la clé de tous les tunnels BOVPN......................................................................... 81 Contrôler High Availability .......................................................................................................................... 81 Modifier les mots de passe dans Firebox System Manager............................................................. 81 Chapitre 6 Administration et paramètres globaux de Firebox ............................................................ 83 À propos des clés de fonctionnalité.............................................................................................................. 83 Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active....................... 83 Vérifier la conformité à la clé de fonctionnalité .............................................................................. 83 Obtenir une clé de fonctionnalité active........................................................................................... 84 Obtenir une clé de fonctionnalité............................................................................................................. 84 Importer une clé de fonctionnalité dans Firebox................................................................................ 85 Supprimer une clé de fonctionnalité .................................................................................................. 86 Afficher les détails d’une clé de fonctionnalité .................................................................................... 86 Télécharger une clé de fonctionnalité .................................................................................................... 86 Affecter un nom convivial ................................................................................................................................ 88 Interrogations SNMP................................................................................................................................. 90 Demandes d’informations et interruptions SNMP......................................................................... 90 Activer l’interrogation SNMP ...................................................................................................................... 91 Activer les interruptions ou les demandes d’informations SNMP................................................. 92 Faire en sorte que Firebox envoie une interruption pour une stratégie ............................... 92 À propos des bases d’informations MIB (Management Information Base) ............................... 93 Membres de l’alias ..................................................................................................................................... 95 Créer un alias .................................................................................................................................................... 96 Pour ajouter une adresse, une plage d’adresses, un nom DNS ou un autre alias à l’alias ................................................................................................................................ 97 Pour ajouter un utilisateur ou un groupe autorisé à l’alias......................................................... 97 Définir les paramètres globaux de Firebox ................................................................................................ 98 Définir les paramètres globaux de gestion des erreurs ICMP.................................................... 99 Activer le contrôle TCP SYN.................................................................................................................... 99 Définir les paramètres globaux d’ajustement de taille de segment maximum TCP ...... 100 Désactiver la gestion de trafic et QoS.............................................................................................. 100 À propos des paramètres globaux VPN.................................................................................................... 100 Activer le transit IPSec ........................................................................................................................... 100 Activer le type de service (TOS) pour IPSec ................................................................................... 101 Activer le serveur LDAP pour la vérification du certificat......................................................... 101 Notification BOVPN ................................................................................................................................ 101 Créer des calendriers pour les actions Firebox ...................................................................................... 102 Chapitre 7 Fichiers de configuration .................................................................................................... 107 À propos des fichiers de configuration Firebox..................................................................................... 107 Ouvrir un fichier de configuration ......................................................................................................... 107 Ouvrir le fichier de configuration avec WatchGuard System Manager............................... 108 Ouvrir le fichier de configuration avec Policy Manager............................................................ 108 Ouvrir un fichier de configuration local.......................................................................................... 109 Créer un fichier de configuration ........................................................................................................... 110 Enregistrer le fichier de configuration.................................................................................................. 110 Enregistrer une configuration dans Firebox ................................................................................. 111 Enregistrer une configuration sur un disque dur local.............................................................. 111 vi WatchGuard System Manager Restaurer une image de sauvegarde Firebox......................................................................................... Rétablir une configuration antérieure d’un périphérique Firebox ou créer une nouvelle configuration ................................................................................................................................... Réinitialiser un périphérique Firebox X e-Series.......................................................................... Réinitialiser un périphérique Firebox X Core ou Peak (n’appartenant pas à la gamme e-Series)...................................................................................................................................... Réinitialiser manuellement un périphérique n’appartenant pas à la gamme e-Series . Chapitre 8 113 113 113 113 114 Journalisation et notification ............................................................................................. 117 À propos de la journalisation et des fichiers journaux........................................................................ 117 Serveurs Log Server................................................................................................................................ 117 Journalisation et notification dans les applications et sur les serveurs............................... 118 À propos des messages de journal................................................................................................... 118 Types de messages de journal ................................................................................................................ 118 Messages de journal de type Trafic .................................................................................................. 118 Messages de journal de type Alarme............................................................................................... 119 Messages de journal de type Événement ...................................................................................... 119 Messages de journal de type Débogage ........................................................................................ 119 Messages de journal de type Statistiques...................................................................................... 119 Configurer Log Server pour la notification .................................................................................... 120 Définir la destination des messages des journaux envoyés par Firebox...................................... 121 Ajouter un serveur Log Server................................................................................................................. 122 Utiliser la boîte de dialogue Ajouter un processeur d’événements ..................................... 123 Enregistrer les modifications et vérifier la journalisation ......................................................... 123 Définir la priorité d’un serveur Log Server .......................................................................................... 123 Désactiver la journalisation des statistiques de performances................................................... 125 Activer les diagnostics avancés .............................................................................................................. 126 Configurer la journalisation et la notification pour une stratégie .................................................. 128 Définir les préférences de journalisation et de notification ......................................................... 129 Configurer Log Server ..................................................................................................................................... 131 À propos des mots de passe ............................................................................................................... 131 Installer Log Server ................................................................................................................................. 132 Configurer les paramètres du système ........................................................................................... 133 Paramètres de la base de données et du serveur SMTP d’un serveur Log Server........... 135 Paramètres de serveur SMTP .............................................................................................................. 136 Paramètres d’expiration d’un serveur Log Server....................................................................... 137 Paramètres de suppression de journal............................................................................................ 137 Paramètres de sauvegarde de base de données......................................................................... 138 Configuration de la notification......................................................................................................... 138 Paramètres de journalisation et d’analyse d’un serveur Log Server .................................... 139 État de Firebox ......................................................................................................................................... 139 Chemin d’accès........................................................................................................................................ 140 Restaurer un fichier journal de sauvegarde ....................................................................................... 140 Importer un fichier journal sur un serveur Log Server.................................................................... 141 Déplacer le répertoire de données de journal .................................................................................. 142 Démarrer et arrêter Log Server ............................................................................................................... 142 Récupérer l’espace disponible à partir de la base de données Log Server............................. 143 Utiliser LogViewer pour afficher les fichiers journaux......................................................................... 144 Ouvrir LogViewer .................................................................................................................................... 144 Se connecter à un périphérique ........................................................................................................ 144 Barres d’outils de LogViewer ................................................................................................................... 147 Ouvrir les journaux du serveur Log Server principal....................................................................... 148 Définir les préférences utilisateur de LogViewer.............................................................................. 148 Paramètres généraux............................................................................................................................. 149 Guide de l’utilisateur vii Paramètres d’affichage ......................................................................................................................... 150 Détails des messages du journal ............................................................................................................ 151 Utiliser le Gestionnaire de recherche.................................................................................................... 152 Ouvrir le Gestionnaire de recherche ................................................................................................ 153 Créer une requête de recherche........................................................................................................ 153 Enregistrer une recherche ................................................................................................................... 153 Supprimer une recherche .................................................................................................................... 154 Modifier une recherche......................................................................................................................... 154 Exécuter une recherche ........................................................................................................................ 154 Effacer l’historique des recherches................................................................................................... 154 Paramètres de Paramètres de recherche ....................................................................................... 154 Exécuter des tâches de diagnostic locales.......................................................................................... 156 Importer et exporter des données dans LogViewer ....................................................................... 157 Importer des données ........................................................................................................................... 157 Exporter des données............................................................................................................................ 157 Imprimer, enregistrer ou envoyer les messages des journaux par e-mail .............................. 157 Envoyer un message de journal par e-mail ................................................................................... 157 Imprimer un message de journal ...................................................................................................... 157 Enregistrer un message de journal................................................................................................... 158 Chapitre 9 Installation et configuration d’un réseau .......................................................................... 159 À propos de la configuration d’interface réseau................................................................................... Configurer les interfaces Firebox ................................................................................................................ Configurer Firebox en tant que serveur DHCP.................................................................................. Configurer Firebox en tant qu’agent de relais DHCP...................................................................... Configurer les interfaces externes.............................................................................................................. Si l’adresse IP est statique .................................................................................................................... Si l’adresse IP est attribuée à l’aide de PPPoE ............................................................................... Si l’adresse IP est attribuée à l’aide de DHCP ................................................................................ Configurer Firebox pour le DNS dynamique ..................................................................................... Configurer Firebox pour le DNS dynamique................................................................................. Ajouter des adresses de serveurs WINS et DNS ..................................................................................... Configurer un réseau secondaire................................................................................................................ Ajouter un route statique .............................................................................................................................. À propos des paramètres d’interface avancés ....................................................................................... Paramètres de carte réseau...................................................................................................................... Définir la bande passante de l’interface en sortie............................................................................ Activer le marquage QoS pour une interface .................................................................................... Configurer le bit DF pour IPSec............................................................................................................... Paramètre PMTU pour IPSec .................................................................................................................... Utiliser la liaison d’adresse MAC statique............................................................................................ À propos des réseaux locaux virtuels (VLAN) ......................................................................................... Configuration logicielle requise pour les VLAN et restrictions associées........................... Définir un nouveau VLAN ......................................................................................................................... Utiliser DHCP sur un VLAN................................................................................................................... Utiliser le relais DHCP sur un VLAN................................................................................................... Attribuer des interfaces à un VLAN ....................................................................................................... 159 160 162 164 165 165 165 167 167 167 169 170 172 173 173 174 175 176 176 177 180 180 181 183 183 184 Chapitre 10 Configuration d’un réseau avec plusieurs interfaces externes ........................................ 187 À propos de l’utilisation de plusieurs interfaces externes ................................................................. Configurations logicielles et conditions requises pour le mode multi-WAN.................... Multi-WAN et DNS .................................................................................................................................. À propos des options multi-WAN ............................................................................................................... À propos de l’option de tourniquet du mode .............................................................................. viii 187 187 188 188 188 WatchGuard System Manager À propos de l’option de basculement WAN.................................................................................. 188 À propos de l’option de dépassement de capacité d’interface ............................................. 189 À propos de l’option de table de routage du mode multi-WAN ........................................... 189 Avant de commencer ............................................................................................................................ 190 Configurer les interfaces....................................................................................................................... 190 À propos de la table de routage de Firebox....................................................................................... 191 Cas d’utilisation de l’option de table de routage ............................................................................. 191 Option de table de routage et équilibrage de charge ................................................................... 192 Avant de commencer ............................................................................................................................ 193 Configurer les interfaces....................................................................................................................... 193 Avant de commencer ............................................................................................................................ 195 Configurer les interfaces....................................................................................................................... 195 Avant de commencer ............................................................................................................................ 197 Configurer les interfaces....................................................................................................................... 197 À propos des paramètres multi-WAN avancés ...................................................................................... 199 À propos des connexions persistantes............................................................................................ 199 Définir une durée de connexion persistante globale ................................................................ 199 Définir l’action de restauration .......................................................................................................... 200 À propos de l’état des interfaces WAN...................................................................................................... 201 Définir un hôte de contrôle des liaisons ......................................................................................... 201 Chapitre 11 À propos de la traduction d’adresses réseau statique ...................................................... 203 À propos de la traduction d’adresses réseau.......................................................................................... À propos de la traduction d’adresses réseau dynamique.................................................................. Réorganiser les entrées de traduction d’adresses réseau dynamique ................................ Désactiver la traduction d’adresses réseau dynamique pour une stratégie ..................... Configurer NAT un à un pour un pare-feu.......................................................................................... Activation de la règle NAT un à un pour une stratégie ............................................................. Désactivation de la règle NAT un à un pour une stratégie ...................................................... À propos de la traduction d’adresses réseau statique ........................................................................ À propos de l’équilibrage de charge côté serveur................................................................................ Configurer l’équilibrage de charge côté serveur.............................................................................. 203 204 206 208 210 212 212 212 214 215 Chapitre 12 Authentification ................................................................................................................... 219 À propos de l’authentification des utilisateurs ...................................................................................... 219 Comment les utilisateurs s’authentifient ....................................................................................... 220 Fermeture d’une session ...................................................................................................................... 220 Fermeture d’une session utilisateur par l’administrateur ........................................................ 220 Utiliser l’authentification via une passerelle Firebox ................................................................. 222 Définir des valeurs d’authentification globale....................................................................................... 222 Définir des délais d’authentification globale................................................................................ 223 Autoriser plusieurs connexions simultanées ................................................................................ 223 Utiliser une page de démarrage par défaut personnalisée ..................................................... 223 Activer Single Sign-On .......................................................................................................................... 224 Avant de commencer ............................................................................................................................ 225 Activer et configurer SSO ..................................................................................................................... 225 À propos des exceptions SSO............................................................................................................. 226 Installer l’agent WatchGuard Single Sign-On (SSO) ........................................................................ 226 Télécharger le logiciel agent SSO...................................................................................................... 226 Avant l’installation .................................................................................................................................. 226 À propos de l’utilisation de serveurs d’authentification tierce ................................................... 228 Utiliser un serveur d’authentification de sauvegarde .................................................................... 228 Configurer Firebox en tant que serveur d’authentification .............................................................. 229 Types d’authentification Firebox ........................................................................................................... 229 Guide de l’utilisateur ix Authentification d’accès au pare-feu............................................................................................... 229 Connexions Mobile VPN with PPTP.................................................................................................. 230 Définir un nouvel utilisateur pour l’authentification Firebox ...................................................... 232 Définir un nouveau groupe pour l’authentification Firebox........................................................ 234 Configurer l’authentification SecurID ....................................................................................................... 239 Configurer l’authentification LDAP ............................................................................................................ 241 À propos des paramètres LDAP facultatifs .................................................................................... 242 Utiliser les paramètres Active Directory ou LDAP facultatifs ....................................................... 243 Avant de commencer ............................................................................................................................ 243 Spécifier les paramètres LDAP ou Active Directory facultatifs ............................................... 243 Configurer l’authentification Active Directory....................................................................................... 245 À propos des paramètres Active Directory facultatifs ............................................................... 246 Utiliser les paramètres Active Directory ou LDAP facultatifs ....................................................... 247 Avant de commencer ............................................................................................................................ 247 Spécifier les paramètres LDAP ou Active Directory facultatifs ............................................... 247 Utiliser un compte d’utilisateur local pour l’authentification........................................................... 249 Utiliser les utilisateurs et groupes autorisés dans les stratégies...................................................... 249 Définir des utilisateurs et des groupes pour l’authentification Firebox.............................. 249 Définir des utilisateurs et des groupes pour l’authentification tierce ................................. 250 Ajouter des utilisateurs et des groupes aux définitions des stratégies............................... 251 Chapitre 13 Firewall Threat Protection .................................................................................................. 253 À propos de Default Threat Protection..................................................................................................... 253 Définir des options de journalisation et de notification ........................................................... 255 À propos des attaques d’usurpation..................................................................................................... 255 À propos des attaques d’route source des adresses IP .................................................................. 255 À propos des attaques Flood................................................................................................................... 256 À propos du paramètre des attaques SYN Flood ........................................................................ 256 À propos des paquets non gérés ........................................................................................................... 257 Consulter les statistiques sur les paquets non gérés ................................................................. 257 À propos des attaques de refus de service distribué ...................................................................... 257 Sites bloqués de façon permanente ................................................................................................ 258 Liste des sites automatiquement bloqués/sites bloqués de façon temporaire............... 258 Bloquer un site de façon permanente ou bloquer des sites de logiciel espion .................... 259 Configurer la journalisation pour les sites bloqués .................................................................... 260 Bloquer des sites de logiciel espion ................................................................................................. 260 Utiliser une liste externe de sites bloqués .......................................................................................... 261 Créer des exceptions à la liste des sites bloqués .............................................................................. 261 Utiliser une liste externe d’exceptions aux sites bloqués......................................................... 262 Bloquer temporairement des sites grâce aux paramètres de stratégie................................... 262 Ports bloqués par défaut...................................................................................................................... 263 Bloquer un port............................................................................................................................................. 264 Bloquer des adresses IP tentant d’utiliser des ports bloqués ................................................. 264 Définir la journalisation et la notification pour les ports bloqués......................................... 264 Chapitre 14 Stratégies ............................................................................................................................. 265 À propos des stratégies .................................................................................................................................. À propos de l’utilisation de stratégies sur votre réseau............................................................ À propos de Policy Manager......................................................................................................................... Fenêtre Policy Manager ........................................................................................................................ Icônes de stratégie.................................................................................................................................. Ouvrir Policy Manager................................................................................................................................ Modifier l’affichage de Policy Manager................................................................................................ Modifier les couleurs utilisées pour le texte de Policy Manager................................................. x 265 265 266 266 266 267 267 269 WatchGuard System Manager Rechercher une stratégie par adresse, port ou protocole ............................................................ 271 Voir la liste des modèles de stratégie ................................................................................................... 273 Ajouter une stratégie à partir de la liste des modèles .................................................................... 275 Ajouter plusieurs stratégies du même type ....................................................................................... 276 Afficher les détails d’un modèle et modifier des modèles de stratégie................................... 276 Désactiver une stratégie............................................................................................................................ 277 Supprimer une stratégie....................................................................................................................... 277 Créer ou modifier un modèle de stratégie personnalisée ............................................................ 278 Importer et exporter des modèles de stratégie personnalisée................................................... 280 À propos des propriétés de stratégie ........................................................................................................ 281 Onglet Stratégie ...................................................................................................................................... 281 Onglet Propriétés.................................................................................................................................... 281 Paramètres des actions de proxy (stratégies de proxy uniquement) .................................. 281 Onglet Avancé.......................................................................................................................................... 282 Définir les règles d’accès pour une stratégie ..................................................................................... 282 Ajouter de nouveaux membres aux définitions de stratégie ................................................. 284 Configurer la journalisation et la notification pour une stratégie.............................................. 285 Bloquer temporairement des sites grâce aux paramètres de stratégie................................... 286 Définir un calendrier d’application........................................................................................................ 287 Configurer le routage basé sur stratégie............................................................................................. 288 Ajouter un routage basé sur stratégie à une stratégie.............................................................. 289 À propos de l’utilisation de la traduction d’adresses réseau statique dans une stratégie 291 À propos de l’utilisation de la traduction d’adresses réseau statique avec le protocole SMTP ............................................................................................................................................................ 291 Appliquer une action de gestion de trafic à une stratégie ........................................................... 292 Utiliser les actions de gestion de trafic dans un environnement à plusieurs réseaux WAN ......................................................................................................................... 292 À propos de l’équilibrage de charge côté serveur pour une stratégie..................................... 293 Définir la priorité de trafic pour une stratégie................................................................................... 293 Configurer la gestion des erreurs ICMP ............................................................................................... 293 NAT un à un............................................................................................................................................... 294 NAT dynamique....................................................................................................................................... 294 Utiliser le marquage QoS pour une stratégie .................................................................................... 294 Ajouter une durée de connexion persistante à une stratégie..................................................... 295 Utiliser l’ordre automatique ................................................................................................................ 296 Définir la priorité manuellement....................................................................................................... 296 Chapitre 15 Stratégies de proxy .............................................................................................................. 297 À propos des stratégies de proxy ............................................................................................................... Types de proxies...................................................................................................................................... À propos de l’utilisation des règles et des ensembles de règles ........................................... Vues simple et avancée......................................................................................................................... Ajouter des règles ................................................................................................................................... Ajouter des règles (vue simple) ......................................................................................................... Couper et coller les définitions de règles ....................................................................................... Modifier l’ordre des règles ................................................................................................................... Modifier la règle par défaut................................................................................................................. Importer ou exporter des actions de proxy................................................................................... À propos des actions de proxy prédéfinies et définies par l’utilisateur ................................... Ajouter une stratégie de proxy à votre configuration Firebox.................................................... À propos du proxy DNS .................................................................................................................................. Onglet Stratégie ...................................................................................................................................... Onglet Propriétés.................................................................................................................................... Onglet Avancé.......................................................................................................................................... Guide de l’utilisateur 297 297 298 298 298 299 301 301 302 304 304 304 307 307 307 308 xi Proxy DNS : OPcodes .................................................................................................................................. 310 Ajouter une nouvelle règle OPCodes .............................................................................................. 310 Proxy DNS : Types de requêtes ............................................................................................................... 311 Ajouter une nouvelle règle de types de requêtes....................................................................... 311 Proxy DNS : Noms des requêtes.............................................................................................................. 312 Prévention des intrusions dans les définitions de proxy............................................................... 312 Alarmes de proxy et d’antivirus .............................................................................................................. 313 Terminer et enregistrer la configuration ............................................................................................. 313 À propos du proxy FTP.................................................................................................................................... 314 Onglet Stratégie ...................................................................................................................................... 314 Onglet Propriétés.................................................................................................................................... 314 Paramètres des actions de proxy ...................................................................................................... 315 Onglet Avancé.......................................................................................................................................... 315 Proxy FTP : Paramètres généraux........................................................................................................... 316 Proxy FTP : Transfert et téléchargement de contenu ..................................................................... 319 Configurer les actions de Gateway AntiVirus .................................................................................... 319 Prévention des intrusions dans les définitions de proxy............................................................... 322 Alarmes de proxy et d’antivirus .............................................................................................................. 323 Terminer et enregistrer la configuration ............................................................................................. 324 À propos du proxy H.323 ............................................................................................................................... 324 Définition des paramètres des actions de proxy H.323 ............................................................ 325 À propos du proxy HTTP ................................................................................................................................ 325 HTTP et WebBlocker............................................................................................................................... 325 Onglet Propriétés.................................................................................................................................... 326 Paramètres des actions de proxy ...................................................................................................... 326 Onglet Avancé.......................................................................................................................................... 327 Requêtes HTTP : Paramètres généraux ................................................................................................ 327 Requêtes HTTP : Méthodes de requête................................................................................................ 328 Requêtes HTTP : Chemins d’URL............................................................................................................. 330 Requêtes HTTP : Autorisation .................................................................................................................. 331 Réponses HTTP : Paramètres généraux................................................................................................ 332 Réponses HTTP : Types de contenus..................................................................................................... 333 Réponses HTTP : Cookies........................................................................................................................... 334 Changer les paramètres des cookies ............................................................................................... 334 Réponses HTTP : Types de contenus du corps .................................................................................. 335 Exceptions de proxy HTTP ........................................................................................................................ 335 Paramètres de proxy ignorés.............................................................................................................. 335 Paramètres de proxy non ignorés..................................................................................................... 335 Définir des exceptions........................................................................................................................... 336 Créer des alarmes ou entrées de journal pour les actions antivirus..................................... 339 Proxy HTTP : Message de refus................................................................................................................ 340 Prévention des intrusions dans les définitions de proxy............................................................... 341 Alarmes de proxy et d’antivirus .............................................................................................................. 342 À propos du Proxy HTTPS .............................................................................................................................. 343 HTTPS et WebBlocker ............................................................................................................................ 343 Onglet Stratégie ...................................................................................................................................... 343 Paramètres des actions de proxy ...................................................................................................... 344 Onglet Avancé.......................................................................................................................................... 344 Proxy HTTPS : Noms de domaine ........................................................................................................... 345 Alarmes de proxy et d’antivirus .............................................................................................................. 346 Onglet Stratégie ...................................................................................................................................... 347 Onglet Propriétés.................................................................................................................................... 347 Onglet Avancé.......................................................................................................................................... 348 xii WatchGuard System Manager Proxy POP3 : Paramètres généraux ....................................................................................................... 349 Proxy POP3 : Types de contenus ............................................................................................................ 352 Proxy POP3 : Noms de fichiers................................................................................................................. 354 Proxy POP3 : En-têtes ................................................................................................................................. 355 Configurer les actions de Gateway AntiVirus .................................................................................... 356 Créer des alarmes ou entrées de journal pour les actions antivirus..................................... 358 Proxy POP3 : Message de refus ............................................................................................................... 359 Prévention des intrusions dans les définitions de proxy............................................................... 361 Terminer et enregistrer la configuration ............................................................................................. 363 À propos du Proxy SMTP................................................................................................................................ 365 Onglet Stratégie ...................................................................................................................................... 365 Onglet Propriétés.................................................................................................................................... 365 Paramètres des actions de proxy ...................................................................................................... 366 Onglet Avancé.......................................................................................................................................... 366 Proxy SMTP : paramètres généraux....................................................................................................... 367 Proxy SMTP : règles d’accueil................................................................................................................... 369 Proxy SMTP : paramètres ESMTP ............................................................................................................ 370 Proxy SMTP : Authentification................................................................................................................. 371 Ajouter des types de contenu courants.......................................................................................... 373 Proxy SMTP : noms de fichier................................................................................................................... 373 Proxy SMTP : en-têtes ................................................................................................................................. 375 Configurer les actions de Gateway AntiVirus .................................................................................... 375 Prévention des intrusions dans les définitions de proxy............................................................... 380 Proxy SMTP : spamBlocker........................................................................................................................ 380 Configurer le proxy SMTP pour mettre en quarantaine le courrier ........................................... 381 Terminer et enregistrer la configuration ............................................................................................. 382 À propos du proxy TCP-UDP......................................................................................................................... 382 Onglet Stratégie ...................................................................................................................................... 382 Onglet Propriétés.................................................................................................................................... 382 Paramètres des actions de proxy ...................................................................................................... 383 Onglet Avancé.......................................................................................................................................... 383 Proxy TCP-UDP : paramètres généraux................................................................................................ 383 Proxy TCP-UDP : blocage de l’application........................................................................................... 384 Terminer et enregistrer la configuration ............................................................................................. 385 À propos du proxy TFTP ................................................................................................................................. 385 Onglet Stratégie ...................................................................................................................................... 386 Onglet Propriétés.................................................................................................................................... 386 Paramètres des actions de proxy ...................................................................................................... 386 Onglet Avancé.......................................................................................................................................... 386 Proxy TFTP : paramètres généraux ........................................................................................................ 387 Proxy TFTP : transférer et télécharger du contenu .......................................................................... 387 Importer et exporter des actions de proxy définies par l’utilisateur ......................................... 389 Importer et exporter des ensembles de règles ................................................................................. 390 Chapitre 16 Installation et administration de Management Server .................................................... 391 À propos de WatchGuard Management Server .................................................................................... 391 Installer Management Server.............................................................................................................. 391 Mot de passe principal .......................................................................................................................... 392 Mot de passe de gestion des serveurs............................................................................................. 392 Fichiers de mot de passe et de clé .................................................................................................... 392 Configurer Management Server.................................................................................................................. 393 Configurer l’autorité de certification sur Management Server ........................................................ 395 Définir les propriétés de l’autorité de certification ..................................................................... 395 Guide de l’utilisateur xiii Définir les propriétés des certificats clients................................................................................... 396 Définir les propriétés de la liste de révocation de certificats .................................................. 396 Envoyer les messages du journal de diagnostic de l’autorité de certification.................. 396 Modifier la configuration de Management Server ............................................................................... 397 Ajouter ou supprimer une licence Management Server .......................................................... 398 Configurer la notification ..................................................................................................................... 398 Contrôler les paramètres de journalisation et de modification de la configuration ...... 398 Définir les comptes d’utilisateurs de Management Server................................................................ 399 Modifier les paramètres de journalisation............................................................................................... 399 Activer ou désactiver la journalisation ............................................................................................ 399 Ajouter des serveurs Log Server ou définir des priorités pour ces serveurs...................... 399 Envoyer les messages à l’Observateur d’événements Windows ........................................... 400 Envoyer les messages vers un fichier............................................................................................... 400 Sauvegarder ou restaurer la configuration de Management Server ............................................. 400 Sauvegarder Management Server en vue du dépannage ....................................................... 400 Déplacer WatchGuard Management Server sur un nouvel ordinateur ........................................ 401 Se connecter à Management Server.......................................................................................................... 401 Déconnexion de Management Server ............................................................................................ 402 Chapitre 17 Rapports WatchGuard ......................................................................................................... 403 À propos de Report Server ............................................................................................................................ 403 Installer Report Server ................................................................................................................................ 403 À propos des mots de passe ............................................................................................................... 403 Installer Report Server ........................................................................................................................... 403 Exécuter l’Assistant d’installation...................................................................................................... 404 Configurer Report Server .......................................................................................................................... 404 Paramètres du serveur .......................................................................................................................... 405 Paramètres du serveur SMTP .............................................................................................................. 406 Paramètres d’expiration ....................................................................................................................... 407 Paramètres de génération de rapports........................................................................................... 408 Paramètres de journalisation.............................................................................................................. 410 Réclamer l’espace libre de la base de données Report Server ............................................... 411 À propos de Report Manager ....................................................................................................................... 412 Barre d’outils de Report Manager .......................................................................................................... 413 Ouvrir Report Manager .............................................................................................................................. 415 Se connecter à un autre Report Server............................................................................................ 415 Liste de rapports prédéfinis ..................................................................................................................... 416 Sélectionner les rapports à générer ...................................................................................................... 418 Paramètres de la boîte de dialogue Créer le rapport................................................................. 418 Sélectionner les paramètres de rapport .............................................................................................. 419 Créer des groupes de périphériques ............................................................................................... 419 Spécifier une plage de dates............................................................................................................... 419 Afficher un rapport...................................................................................................................................... 420 Rechercher un rapport dans la liste.................................................................................................. 420 Rechercher des détails dans un rapport ......................................................................................... 420 Modifier le type de rapport ...................................................................................................................... 420 Envoyer par courrier électronique, imprimer ou enregistrer un rapport ................................ 421 Envoyer un rapport par e-mail ........................................................................................................... 421 Imprimer un rapport .............................................................................................................................. 421 Enregistrer un rapport........................................................................................................................... 421 xiv WatchGuard System Manager Chapitre 18 Périphériques et réseaux VPN dans WatchGuard System Manager ................................ 423 Utiliser la fenêtre WatchGuard System Manager .................................................................................. 423 État du périphérique.............................................................................................................................. 423 Gestion des périphériques : navigation générale ....................................................................... 424 Afficher des informations sur les périphériques gérés................................................................... 425 Accéder à la page gestion des périphériques pour un périphérique ....................................... 426 À propos de la préparation des périphériques pour la gestion....................................................... 426 Configurer un périphérique Firebox exécutant Fireware en tant que client géré.................... 427 Préparer un nouveau périphérique Firebox X Edge pour la gestion ........................................ 433 Configurer un périphérique Firebox exécutant Fireware en tant que client géré............... 434 Préparer un périphérique Firebox X Edge installé pour la gestion............................................ 437 Configurer un Firebox SOHO 6 en tant que client géré................................................................. 439 Ajouter des périphériques gérés à Management Server.................................................................... 440 Définir les propriétés de gestion des périphériques............................................................................ 443 Paramètres de connexion .................................................................................................................... 443 Préférences du tunnel IPSec ............................................................................................................... 445 Informations de contact ....................................................................................................................... 446 Supprimer un périphérique ................................................................................................................ 448 Démarrer les outils Firebox et Edge........................................................................................................... 449 Tunnels VPN........................................................................................................................................................ 449 Ajouter une ressource VPN.................................................................................................................. 450 Configurer les paramètres réseau (périphériques Edge uniquement) ......................................... 450 Utiliser la section de stratégie de Firebox X Edge ....................................................................... 450 Chapitre 19 Firebox X Edge - Centralized Management ....................................................................... 451 À propos d’Edge Centralized Management............................................................................................ Planifier les mises à jour du microprogramme Firebox X Edge................................................................................................................................................... Afficher et supprimer des mises à jour de microprogramme...................................................... Ajouter une stratégie personnalisée à l’aide de l’Assistant Add Policy wizard ..................... Cloner un modèle de configuration Edge .......................................................................................... Appliquer les modèles de configuration Edge aux périphériques ............................................ Application du modèle par glisser-déplacer................................................................................. Application de la stratégie aux périphériques répertoriés dans la liste de périphériques ..................................................................................................................................... Supprimer un périphérique Edge de la liste de périphériques................................................... Donner des noms aux alias....................................................................................................................... Définir des alias sur un périphérique Firebox X Edge..................................................................... 451 452 454 458 459 459 459 460 461 462 464 Chapitre 20 Tunnels BOVPN gérés .......................................................................................................... 467 À propos des tunnels BOVPN gérés ........................................................................................................... Options de tunnel................................................................................................................................... Basculement VPN.................................................................................................................................... État du tunnel BOVPN ........................................................................................................................... Renouveler la clé des tunnels BOVPN.............................................................................................. Ajouter des ressources VPN .......................................................................................................................... Récupérer les ressources actuelles d’un périphérique.............................................................. Créer une ressource VPN ...................................................................................................................... Ajouter un hôte ou un réseau............................................................................................................. Ajouter des modèles de sécurité................................................................................................................. Supprimer un tunnel.............................................................................................................................. Supprimer un périphérique ................................................................................................................ État des tunnels Mobile VPN............................................................................................................... État des services de sécurité ............................................................................................................... Guide de l’utilisateur 467 468 468 469 469 469 470 470 471 473 478 478 480 480 xv Chapitre 21 Tunnels BOVPN manuels ..................................................................................................... 481 À propos des tunnels BOVPN manuels..................................................................................................... 481 Comment créer un tunnel BOVPN manuel.................................................................................... 481 Stratégies de tunnel personnalisées................................................................................................ 481 Tunnels unidirectionnels...................................................................................................................... 482 Basculement VPN.................................................................................................................................... 482 Paramètres VPN globaux...................................................................................................................... 482 État du tunnel BOVPN ........................................................................................................................... 482 Renouveler la clé des tunnels BOVPN.............................................................................................. 482 Modifier et supprimer des passerelles............................................................................................. 485 Définir la méthode d’informations d’identification......................................................................... 485 Si vous avez sélectionné la clé pré-partagée ................................................................................ 485 Si vous avez sélectionné le certificat Firebox IPSec.................................................................... 485 Définir les points de terminaison de passerelle................................................................................ 486 Définir un tunnel .......................................................................................................................................... 492 Modifier et supprimer un tunnel ....................................................................................................... 494 Ajouter une proposition existante.................................................................................................... 499 Créer une proposition ........................................................................................................................... 500 Modifier ou cloner une proposition ................................................................................................. 500 Changer l’ordre des tunnels..................................................................................................................... 501 Définir une stratégie de tunnel personnalisée....................................................................................... 501 Choisissez un nom pour les stratégies ............................................................................................ 501 Sélectionnez le type de stratégie ...................................................................................................... 501 Sélectionnez les tunnels BOVPN........................................................................................................ 501 Créez un alias pour les tunnels........................................................................................................... 501 Fin de l’Assistant BOVPN Policy Wizard........................................................................................... 502 Configurer la traduction d’adresses réseau dynamique pour le trafic sortant via un tunnel BOVPN .............................................................................................................................................. 502 Forcer le renouvellement de la clé d’un tunnel BOVPN ..................................................................... 506 Pour renouveler une clé pour un tunnel BOVPN, procédez comme suit : ......................... 506 Pour renouveler la clé de tous les tunnels BOVPN, procédez comme suit : ...................... 506 État des services de sécurité ............................................................................................................... 508 Chapitre 22 Certificats et autorité de certification ................................................................................ 509 À propos des certificats .................................................................................................................................. Autorités de certification et demandes de signatures .............................................................. Durée de vie des certificats et listes de révocation de certificats (CRL) .............................. Créer un certificat avec FSM ou Management Server ......................................................................... Créer un certificat à l’aide de FSM..................................................................................................... Créer un certificat avec CA Manager................................................................................................ Envoyer la demande de certificat...................................................................................................... Délivrer le certificat ................................................................................................................................ Télécharger le certificat ........................................................................................................................ Importer un certificat ...................................................................................................................................... Utiliser des certificats pour l’authentification ........................................................................................ Utiliser des certificats pour l’authentification d’un tunnel Mobile VPN with IPSec ............. Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN.................................... Configurer le certificat de serveur Web pour l’authentification de Firebox........................... Afficher et gérer les certificats Firebox ..................................................................................................... Consulter les certificats actuels.......................................................................................................... Supprimer un certificat ......................................................................................................................... Importer une liste de révocation de certificats (CRL) à partir d’un fichier.......................... Récupérer la CRL sur un serveur LDAP ............................................................................................ xvi 509 509 509 510 510 512 513 513 513 514 515 515 516 516 518 518 519 519 520 WatchGuard System Manager Examiner et gérer les certificats Management Serveur ...................................................................... 521 Utiliser l’application Web CA Manager............................................................................................ 521 Gérer des certificats à l’aide de WSM ............................................................................................... 522 Chapitre 23 Mobile VPN with PPTP ......................................................................................................... 523 À propos de Mobile VPN with PPTP ........................................................................................................... 523 Spécifications du client................................................................................................................................... 524 Niveaux de chiffrement ........................................................................................................................ 525 Configurer des serveurs WINS et DNS....................................................................................................... 526 Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN ............................................ 527 VPN de l’itinéraire par défaut.............................................................................................................. 527 VPN avec tunneling fractionné .......................................................................................................... 527 Configuration d’un client VPN de l’itinéraire par défaut (Mobile VPN with PPTP uniquement).................................................................................................................................. 527 Activer Mobile VPN with PPTP ..................................................................................................................... 529 Activer l’authentification RADIUS ou VASCO................................................................................ 530 Définir le chiffrement pour les tunnels PPTP ................................................................................ 530 Définir les paramètres de délai pour les tunnels PPTP .............................................................. 530 Ajouter des adresses IP pour des sessions Mobile VPN ...................................................................... 531 Ajouter de nouveaux utilisateurs au groupe d’authentification PPTP_Users............................. 532 Configurer des stratégies pour autoriser le trafic Mobile VPN ............................................... 533 Préparer les ordinateurs clients................................................................................................................... 534 Préparer un ordinateur client Windows NT ou 2000 : installer l’Accès réseau à distance de Microsoft et les Service Packs ............................................................................................................. 534 Créer une connexion PPTP .................................................................................................................. 535 Établir la connexion PPTP..................................................................................................................... 535 Créer le Mobile VPN PPTP .................................................................................................................... 536 Se connecter avec Mobile VPN PPTP ............................................................................................... 536 Créer le Mobile VPN PPTP .................................................................................................................... 537 Se connecter avec Mobile VPN PPTP ............................................................................................... 537 Chapitre 24 Mobile VPN with IPSec ......................................................................................................... 539 Configuration de Mobile VPN with IPSec pour Firebox...................................................................... 539 Configurer une connexion Mobile VPN with IPSec ......................................................................... 539 Spécifications du client......................................................................................................................... 540 Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN........................................ 540 VPN de l’itinéraire par défaut.............................................................................................................. 540 VPN avec tunneling fractionné .......................................................................................................... 540 Configuration d’un client VPN de l’itinéraire par défaut (Mobile VPN with PPTP uniquement).................................................................................................................................. 541 À propos des fichiers de configuration du client Mobile VPN..................................................... 541 Configurer le serveur d’authentification ........................................................................................ 546 Options ....................................................................................................................................................... 555 Définir des paramètres de phase 2 avancés.................................................................................. 556 Router l’accès à Internet par le biais de tunnels Mobile VPN.................................................. 557 Verrouiller le profil d’un utilisateur final .............................................................................................. 559 Configurer des stratégies pour filtrer le trafic Mobile VPN ........................................................... 559 Ajouter des stratégies individuelles ................................................................................................. 560 Modifier l’affichage................................................................................................................................. 560 Utiliser la stratégie Tout........................................................................................................................ 560 Recréation des profils d’utilisateurs finaux......................................................................................... 561 Enregistrer le profil dans Firebox ........................................................................................................... 561 Distribuer les logiciels et les profils ....................................................................................................... 561 Rubriques supplémentaires sur Mobile VPN ..................................................................................... 562 Guide de l’utilisateur xvii Établir des connexions IPSec sortantes derrière un système Firebox.................................. 562 Mettre fin aux connexions IPSec ....................................................................................................... 562 Paramètres VPN globaux...................................................................................................................... 562 Afficher le nombre de licences Mobile VPN .................................................................................. 562 Acheter des licences Mobile VPN supplémentaires ................................................................... 562 Ajouter des clés de fonctionnalité .................................................................................................... 562 Configurations logicielles requises pour le client ...................................................................... 564 Importer le profil d’utilisateur final................................................................................................... 565 Sélectionner un certificat et entrer le PIN ...................................................................................... 566 Désinstaller le client Mobile VPN....................................................................................................... 566 Connecter et déconnecter le client Mobile VPN............................................................................... 567 Déconnecter le client Mobile VPN .................................................................................................... 567 Contrôler le comportement de connexion.................................................................................... 568 Icône du client Mobile User VPN ....................................................................................................... 569 Afficher les messages du journal Mobile VPN ................................................................................... 569 Sécuriser votre ordinateur à l’aide du pare-feu Mobile VPN ........................................................ 569 À propos du pare-feu de bureau ....................................................................................................... 570 Activer le pare-feu de bureau............................................................................................................. 571 Définir des réseaux connus ................................................................................................................. 572 Créer des règles de pare-feu ............................................................................................................... 572 Onglet Général......................................................................................................................................... 573 Onglet Local.............................................................................................................................................. 574 Onglet Applications ............................................................................................................................... 576 Chapitre 25 Mobile VPN with SSL ............................................................................................................ 577 À propos de Mobile VPN with SSL .............................................................................................................. 577 Avant de commencer ............................................................................................................................ 577 Étapes nécessaires à la configuration des tunnels...................................................................... 577 Options des tunnels Mobile VPN with SSL..................................................................................... 577 Spécifications du client.............................................................................................................................. 578 Options pour l’accès à Internet par le biais d’un tunnel Mobile VPN........................................ 578 VPN de l’itinéraire par défaut.............................................................................................................. 578 VPN avec tunneling fractionné .......................................................................................................... 578 Configuration d’un client VPN de l’itinéraire par défaut (Mobile VPN with PPTP uniquement).................................................................................................................................. 579 Configurer Firebox pour Mobile VPN with SSL ...................................................................................... 580 Définir des paramètres avancés pour Mobile VPN with SSL ........................................................ 582 Ajouter des utilisateurs distants aux groupes d’authentification .............................................. 584 Si vous utilisez Firebox en tant que serveur d’authentification ............................................. 584 Si vous utilisez un serveur d’authentification tierce................................................................... 584 Distribuer le logiciel client ........................................................................................................................ 584 Télécharger le logiciel client .................................................................................................................... 585 Windows Vista et Windows XP........................................................................................................... 586 Mac OS X .................................................................................................................................................... 586 Windows Vista et Windows XP........................................................................................................... 587 Mac OS X .................................................................................................................................................... 587 Contrôles du client Mobile VPN with SSL....................................................................................... 588 Désinstaller le client Mobile VPN with SSL..................................................................................... 588 Client Mobile VPN with SSL pour Windows Vista et Windows XP......................................... 588 Client Mobile VPN with SSL pour Mac OS X................................................................................... 588 xviii WatchGuard System Manager Chapitre 26 WebBlocker .......................................................................................................................... 589 À propos de WebBlocker ............................................................................................................................... 589 Télécharger la base de données WebBlocker.................................................................................... 590 Automatiser les téléchargements de la base de données WebBlocker .............................. 591 Exécuter l’Assistant Activate WebBlocker Wizard ............................................................................ 591 Identifier les serveurs WebBlocker Server...................................................................................... 592 Sélectionner des catégories à bloquer............................................................................................ 592 Utiliser des règles d’exception pour limiter l’accès à des sites Web..................................... 592 À propos des catégories WebBlocker .............................................................................................. 592 Configurer WebBlocker .................................................................................................................................. 593 Ajouter un serveur .................................................................................................................................. 595 Modifier l’ordre des serveurs .............................................................................................................. 595 Modifier les catégories à bloquer........................................................................................................... 595 Envoyer une alarme lorsqu’un site est refusé............................................................................... 595 Consigner les actions de WebBlocker.............................................................................................. 596 Définir des options WebBlocker avancées.......................................................................................... 597 Taille du cache.......................................................................................................................................... 597 Définir des alarmes WebBlocker............................................................................................................. 598 À propos de l’autorisation des sites à contourner WebBlocker....................................................... 599 Définir l’action à entreprendre pour les sites qui ne correspondent pas aux exceptions ......................................................................................................................................... 599 Composants des règles d’exception ................................................................................................ 599 Exceptions avec une partie d’une URL ............................................................................................ 600 Ajouter des exceptions .............................................................................................................................. 600 Modifier l’ordre des règles d’exception ............................................................................................... 602 Importer ou exporter des règles d’exception.................................................................................... 603 Écrire des ensembles de règles dans un fichier ASCII................................................................ 603 Exporter des règles vers un fichier ASCII ........................................................................................ 604 Utiliser des actions WebBlocker dans des définitions de proxy ...................................................... 605 Définir des actions WebBlocker supplémentaires ...................................................................... 605 Ajouter des actions WebBlocker à une stratégie......................................................................... 605 Planifier les actions WebBlocker........................................................................................................ 606 Chapitre 27 spamBlocker ......................................................................................................................... 607 À propos de spamBlocker.............................................................................................................................. Actions, indicateurs et catégories de spamBlocker......................................................................... Catégories spamBlocker....................................................................................................................... Appliquer les paramètres spamBlocker à vos stratégies .......................................................... À propos de l’utilisation de spamBlocker avec plusieurs proxies............................................... Configurer spamBlocker................................................................................................................................. À propos des exceptions spamBlocker ................................................................................................ Ajouter des règles d’exception spamBlocker ............................................................................... Modifier l’ordre des exceptions ......................................................................................................... Rédiger des ensembles de règles dans un fichier ASCII............................................................ Exporter des règles dans un fichier ASCII....................................................................................... Consigner les exceptions ..................................................................................................................... Configurer spamBlocker pour mettre en quarantaine le courrier ............................................. Définir les paramètres globaux de spamBlocker .................................................................................. Utiliser un serveur proxy HTTP pour spamBlocker .......................................................................... Activer VOD (Virus Outbreak Detection) et définir ses paramètres........................................... Guide de l’utilisateur 607 608 609 610 611 612 614 615 615 616 617 617 618 619 620 621 xix Créer des règles pour votre lecteur de messagerie électronique ................................................... Envoyer le courrier indésirable et les e-mails en masse dans des dossiers Outlook spécifiques .................................................................................................................................... Signaler les faux positifs et les faux négatifs........................................................................................... Statistiques de spamBlocker......................................................................................................................... 622 622 623 623 Chapitre 28 Quarantine Server ................................................................................................................ 625 À propos de Quarantine Server ................................................................................................................... 625 Démarrer Quarantine Server ........................................................................................................................ 626 Installer les composants serveur ............................................................................................................ 626 Exécuter l’Assistant Setup Wizard.......................................................................................................... 626 Si vous avez déjà configuré un serveur........................................................................................... 626 Définir l’emplacement du serveur ......................................................................................................... 627 Configurer Quarantine Server...................................................................................................................... 628 Définir les paramètres de serveur généraux ...................................................................................... 628 Modifier les paramètres d’expiration et les domaines d’utilisateurs ........................................ 630 Modifier les paramètres de notification............................................................................................... 631 Modifier les paramètres de journalisation .......................................................................................... 633 Activer ou désactiver la journalisation ............................................................................................ 633 Ajouter des serveurs Log Server ou définir des priorités pour ces serveurs...................... 633 Envoyer les messages à l’Observateur d’événements Windows ........................................... 633 Envoyer les messages vers un fichier............................................................................................... 633 Modifier les règles de Quarantine Server ............................................................................................ 634 Ouvrir la boîte de dialogue des messages ..................................................................................... 636 Définir les options d’affichage............................................................................................................ 637 Enregistrer les messages ou les envoyer dans la boîte de réception d’un utilisateur ... 637 Supprimer des messages manuellement....................................................................................... 637 Ajouter des utilisateurs ......................................................................................................................... 640 Supprimer des utilisateurs................................................................................................................... 640 Modifier l’option de notification pour un utilisateur ................................................................. 640 Obtenir des statistiques sur l’activité de Quarantine Server............................................................. 641 Afficher les statistiques pour des dates spécifiques................................................................... 641 Afficher des types de messages spécifiques ................................................................................. 641 Grouper les statistiques par mois, semaine ou jour ................................................................... 641 Exporter et imprimer les statistiques ............................................................................................... 641 Chapitre 29 Services de sécurité basée sur signature ........................................................................... 643 À propos de Gateway AntiVirus et Intrusion Prevention ................................................................... 643 Installer et mettre à niveau Gateway AV/IPS................................................................................. 644 À propos de Gateway AntiVirus/Intrusion Prevention et des stratégies de proxies ...... 644 Activer Gateway AV à l’aide d’un Assistant......................................................................................... 645 Appliquer les paramètres Gateway AntiVirus à vos stratégies............................................... 646 Activer Gateway AV à partir des définitions de proxy .................................................................... 648 Configurer les actions de Gateway AntiVirus ......................................................................................... 649 Créer des alarmes ou entrées de journal pour les actions antivirus..................................... 652 Déverrouiller un fichier verrouillé par Gateway AntiVirus ............................................................ 652 Configurer Gateway AntiVirus pour mettre en quarantaine le courrier .................................. 653 Sélectionner les stratégies de proxy à activer .............................................................................. 655 Définir les paramètres d’Intrusion Prevention Service (IPS) ......................................................... 658 Configurer les exceptions de signatures ............................................................................................. 659 Copier les paramètres d’IPS vers d’autres stratégies ...................................................................... 659 Activer et configurer Intrusion Prevention Service pour TCP-UDP ................................................ 660 Mettre à jour Gateway AntiVirus/IPS et afficher l’état ......................................................................... 660 Configurer le serveur de mise à jour Gateway AV/IPS.................................................................... 662 xx WatchGuard System Manager Se connecter au serveur de mise à jour via un serveur proxy HTTP ..................................... Afficher l’état des services.................................................................................................................... Afficher l’historique des mises à jour ............................................................................................... Mettre à jour les services manuellement ....................................................................................... 663 664 665 665 Chapitre 30 Routage dynamique ............................................................................................................ 667 À propos du routage dynamique ............................................................................................................... À propos du protocole RIP (Routing Information Protocol).............................................................. Commandes RIP Version 1........................................................................................................................ Configurer Fireware ou Fireware Pro pour utiliser le protocole RIP v1 .................................... Autoriser le trafic RIP v1 via Firebox...................................................................................................... Configurer Fireware pour utiliser le protocole RIP v2..................................................................... Autoriser le trafic RIP v2 via Firebox...................................................................................................... Commandes OSPF ....................................................................................................................................... Configurer Fireware Pro pour utiliser le protocole OSPF .............................................................. Autoriser le trafic OSPF via Firebox ....................................................................................................... À propos du protocole BGP (Border Gateway Protocol) .................................................................... Commandes BGP ......................................................................................................................................... Configurer Fireware Pro pour utiliser le protocole BGP................................................................. Autoriser le trafic BGP via Firebox.......................................................................................................... 667 668 669 671 672 673 674 675 679 680 680 681 683 684 Chapitre 31 Gestion du trafic et QoS ....................................................................................................... 685 À propos de la gestion du trafic et de QoS.............................................................................................. Limiter la bande passante.................................................................................................................... Marquage QoS ......................................................................................................................................... Priorité du trafic ....................................................................................................................................... Définir la bande passante de l’interface en sortie................................................................................. Définir une action de gestion de trafic ..................................................................................................... Appliquer une action de gestion de trafic à une stratégie ........................................................... Utiliser les actions de gestion de trafic dans un environnement à plusieurs réseaux WAN ......................................................................................................................... Définir une priorité de trafic dans une stratégie .............................................................................. Définir des limites de connexion et des limites de bande passante.............................................. À propos du marquage QoS ......................................................................................................................... Marquage QoS par interface et par stratégie .................................................................................... Activer le marquage QoS pour une interface .................................................................................... Activer le marquage QoS pour une stratégie .................................................................................... Marquage QoS et trafic IPSec .................................................................................................................. 685 686 686 686 687 688 689 690 690 691 692 692 694 695 696 Chapitre 32 High Availability .................................................................................................................. 697 À propos de WatchGuard High Availability ............................................................................................ 697 Conditions et restrictions liées à High Availability...................................................................... 698 À propos d’High Availability et des sessions de proxy .............................................................. 698 À propos d’High Availability et de l’équilibrage de charge côté serveur ........................... 698 État High Availability (haute disponibilité).................................................................................... 698 Configurer High Availability ......................................................................................................................... 699 Définir les interfaces HA........................................................................................................................ 700 Sélectionner les interfaces à contrôler ............................................................................................ 700 Définir une notification......................................................................................................................... 700 Définir les paramètres de chiffrement et d’ID de groupe HA ................................................. 700 Fin de la configuration .......................................................................................................................... 700 Installer le matériel HA .......................................................................................................................... 701 Synchroniser la configuration ............................................................................................................ 701 Guide de l’utilisateur xxi Créer une image de sauvegarde d’un Firebox dans une paire HA ................................................. 701 Contrôler manuellement High Availability ............................................................................................. 702 Mettre à niveau le logiciel dans une configuration HA....................................................................... 703 Chapitre 33 Emplacement des fichiers WatchGuard ............................................................................. 705 Emplacements des fichiers de WatchGuard System Manager......................................................... 705 Emplacements des fichiers créés par l’utilisateur ................................................................................. 706 Policy Manager pour le logiciel système WFS .............................................................................. 707 Gestion du disque flash pour le logiciel système WFS .............................................................. 707 Report Manager....................................................................................................................................... 708 LogViewer.................................................................................................................................................. 708 xxii WatchGuard System Manager 1 Introduction aux réseaux et à la sécurité des réseaux À propos des réseaux et de leur sécurité Un réseau est un groupe d’ordinateurs et de périphériques connectés les uns aux autres. Il peut s’agir de deux ordinateurs connectés par un câble série ou de nombreux ordinateurs aux quatre coins du monde connectés entre eux via Internet. Les ordinateurs faisant partie du même réseau peuvent fonctionner ensemble et partager des données. Internet vous donne accès à un large éventail d’informations et d’opportunités commerciales, mais il rend votre réseau accessible aux personnes malveillantes. Une stratégie de sécurité du réseau efficace vous permet de détecter et d’empêcher les attaques contre votre ordinateur ou réseau. Les attaques sont coûteuses. Les ordinateurs peuvent nécessiter des réparations ou un remplacement. Les ressources et le temps des employés sont consacrés à la résolution de problèmes résultant des attaques. Des informations précieuses peuvent être subtilisées sur le réseau. Beaucoup de gens pensent que leur ordinateur ne détient pas d’informations cruciales. Ils ne réalisent pas que leur ordinateur est une cible pour un pirate informatique. La réalité en est tout autrement. Un pirate informatique peut utiliser votre ordinateur en tant que plate-forme d’attaque contre d’autres ordinateurs ou réseaux, ou utiliser vos informations de compte pour envoyer du courrier indésirable, ou des attaques. Vos informations personnelles et de compte sont également vulnérables et précieuses pour les pirates informatiques. Guide de l’utilisateur 1 Introduction aux réseaux et à la sécurité des réseaux À propos des adresses IP Pour envoyer un courrier normal à quelqu’un, vous devez connaître son adresse postale. Pour qu’un ordinateur puisse envoyer des données à un autre ordinateur via Internet, le premier ordinateur doit connaître l’adresse du deuxième. L’adresse d’un ordinateur est appelée adresse IP (Internet Protocol). Tous les périphériques sur Internet ont une adresse IP unique, qui permet aux autres périphériques également sur Internet de les trouver et d’interagir avec eux. Une adresse IP se compose de quatre octets (séquences binaires de 8 bits) au format décimal et séparés par des points. Chaque nombre entre les points doit être compris dans la plage 0-255. Voici des exemples d’adresses IP : 206.253.208.100 = WatchGuard.com 4.2.2.2 = serveur DNS principal 10.0.4.1 = IP privée Adresses et passerelles privées De nombreuses sociétés créent des réseaux privés dotés de leur propre espace d’adresses. Les adresses en 10.x.x.x et 192.168.x.x sont réservées aux adresses IP privées. Les ordinateurs sur Internet ne peuvent pas utiliser ces adresses. Si votre ordinateur est sur un réseau privé, vous vous connectez à Internet via un périphérique de passerelle doté d’une adresse IP publique. La passerelle par défaut correspond généralement au routeur situé entre votre réseau et Internet. Après l’installation de Firebox sur votre réseau, il devient la passerelle par défaut de tous les ordinateurs connectés à ses interfaces approuvées ou facultatives. À propos des masques de sous-réseau Dans un souci de sécurité et de performance, les réseaux sont souvent divisés en parties plus petites appelées sous-réseaux. Tous les périphériques d’un sous-réseau ont des adresses IP similaires. Par exemple, tous les périphériques ayant des adresses IP dont les trois premiers octets sont 50.50.50 appartiennent au même sousréseau. Le masque de sous-réseau de l’adresse IP d’un réseau, ou masque réseau, est une chaîne de bits qui masque des sections de l’adresse IP pour indiquer combien d’adresses sont disponibles et combien sont déjà utilisées. Par exemple, un masque de sous-réseau du réseau étendu pourrait ressembler à ceci : 255.255.0.0. Chaque zéro indique qu’une plage des adresses IP de 1 à 255 est disponible. Chaque décimale de 255 correspond à une plage d’adresses IP déjà utilisée. Dans un réseau avec un masque de sous réseau de 255.255.0.0, 65 025 adresses IP sont disponibles. Le masque de sous-réseau d’un réseau plus petit est 255.255.255.0. Seules 254 adresses IP sont disponibles. 2 WatchGuard System Manager Introduction aux réseaux et à la sécurité des réseaux À propos de la notation de barre oblique Firebox utilise les barres obliques à de nombreuses fins, y compris la configuration de stratégies. Les barres obliques permettent d’afficher de manière compacte le masque de sous-réseau d’un réseau. Pour utiliser des barres obliques dans un masque de sous-réseau : 1. Premièrement, recherchez la représentation binaire du masque de sous-réseau. Par exemple, la représentation binaire de 255.255.255.0 est 11111111.11111111.11111111.00000000. 2. Comptez tous les « 1 » du masque de sous-réseau. Cet exemple comporte vingt-quatre « 1 ». 3. Ajoutez le nombre de l’étape deux à l’adresse IP, séparé par une barre oblique (/). L’adresse IP 192.168.42.23/24 équivaut à une adresse IP de 192.168.42.23 avec un masque de réseau de 255.255.255.0. Ce tableau affiche les masques de réseau courants et leurs équivalents avec des barres obliques. Masque de réseau Équivalent avec des barres obliques 255.0.0.0 /8 255.255.0.0 /16 255.255.255.0 /24 255.255.255.128 /25 255.255.255.192 /26 255.255.255.224 /27 255.255.255.240 /28 255.255.255.248 /29 255.255.255.252 /30 À propos de la saisie des adresses IP Lorsque vous entrez des adresses IP dans l’Assistant Quick Setup Wizard ou dans les boîtes de dialogue du logiciel de gestion Firebox, entrez les chiffres et les points dans le bon ordre. N’utilisez pas la touche TABULATION, les touches de direction, la barre d’espacement ou la souris pour placer votre curseur après les points. Si, par exemple, vous entrez l’adresse IP 172.16.1.10, n’entrez pas d’espace après « 16 ». N’essayez pas de placer votre curseur après le point suivant pour entrer « 1 ». Entrez un point directement après « 16 », puis entrez « 1.10 ». Appuyez sur la touche barre oblique (/) pour passer au masque réseau. Adresses IP statiques et dynamiques Les fournisseurs de services Internet attribuent une adresse IP à chaque périphérique de leur réseau. Cette adresse IP peut être statique ou dynamique. Une adresse IP statique est une adresse IP qui reste toujours la même. Si votre serveur Web, votre serveur FTP ou une autre ressource Internet doit avoir une adresse qui ne peut pas changer, votre fournisseur de services Internet peut vous fournir une adresse IP statique. Une adresse IP statique est généralement plus chère qu’une adresse IP dynamique et certains fournisseurs de services Internet ne fournissent pas d’adresse IP statique. Vous devez configurer une adresse IP statique manuellement. Une adresse IP dynamique est une adresse IP que le fournisseur de services Internet vous permet d’utiliser de façon temporaire. Si une adresse dynamique n’est pas utilisée, elle peut être attribuée automatiquement à un autre périphérique. Les adresses IP dynamiques sont attribuées à l’aide de DHCP ou de PPPoE. Guide de l’utilisateur 3 Introduction aux réseaux et à la sécurité des réseaux À propos de DHCP DHCP (Dynamic Host Configuration Protocol) est un protocole Internet que les ordinateurs d’un réseau utilisent pour obtenir des adresses IP et d’autres informations telles que la passerelle par défaut. Lorsque vous vous connectez à Internet, un ordinateur configuré comme serveur DHCP chez le fournisseur de services Internet vous attribue automatiquement une adresse IP. Il peut s’agir de l’adresse IP que vous aviez avant ou d’une nouvelle. Lorsque vous fermez une connexion Internet qui utilise une adresse IP dynamique, le fournisseur de services Internet peut attribuer cette adresse IP à un autre client. Vous pouvez configurer Firebox en tant que serveur DHCP pour des réseaux derrière Firebox. Vous pouvez attribuer une plage d’adresses dans laquelle le serveur DHCP peut en choisir une. À propos de PPPoE Certains fournisseurs de services Internet attribuent leurs adresses IP via PPPoE (Point-to-Point Protocol over Ethernet). PPPoE développe une connexion d’accès à distance standard pour ajouter certaines des fonctionnalités d’Ethernet et PPP. Ce protocole réseau permet au fournisseur de services Internet d’utiliser les systèmes de facturation, d’authentification et de sécurité de leur infrastructure distante avec des produits de type modem DSL et modem câble. À propos du DNS (Domain Name Service) Si vous ne connaissez pas l’adresse de quelqu’un, vous pouvez généralement la trouver dans un annuaire téléphonique. Sur Internet, l’équivalent d’un annuaire téléphonique est le DNS (Domain Name Service). Chaque site Web a un nom de domaine (tel que « monsite.com ») qui correspond à une adresse IP. Lorsque vous entrez un nom de domaine pour afficher un site Web, votre ordinateur obtient l’adresse IP à partir d’un serveur DNS. Une URL (Uniform Resource Locator) inclut un nom de domaine et un protocole. Exemple d’URL : http://www.watchguard.com/. En bref, le DNS correspond au système qui traduit les noms de domaine Internet en adresses IP. Un serveur DNS est un serveur qui effectue cette traduction. 4 WatchGuard System Manager Introduction aux réseaux et à la sécurité des réseaux À propos des services et des stratégies Vous utilisez un service pour envoyer différents types de données (notamment des e-mails, des fichiers ou des commandes) d’un ordinateur à l’autre, au sein du réseau ou vers un autre réseau. Ces services utilisent des protocoles. Les services Internet fréquemment utilisés sont les suivants : l’accès World Wide Web utilise le protocole HTTP (Hypertext Transfer Protocol) ; l’e-mail utilise le protocole SMTP (Simple Mail Transfer Protocol) ou POP3 (Post Office Protocol) ; le transfert de fichiers utilise le protocole FTP (File Transfer Protocol) ; la conversion d’un nom de domaine en adresse Internet utilise le service DNS (Domain Name Service) ; l’accès à un terminal distant utilise Telnet ou SSH (Secure Shell). Lorsque vous autorisez ou refusez un service, vous devez ajouter une stratégie à votre configuration Firebox. Chaque stratégie ajoutée peut également engendrer un risque de sécurité. Pour envoyer et recevoir des données, vous devez « ouvrir une porte » dans votre ordinateur, ce qui expose votre réseau à des risques. Il est conseillé d’ajouter uniquement des stratégies indispensables à votre société. À propos des ports En général, un port est un point de connexion qui, par le biais d’un connecteur et de câbles, permet de connecter des périphériques. Les ordinateurs disposent également de ports qui ne sont pas des emplacements physiques. Ces ports permettent aux programmes de transmettre des données. Certains protocoles, tels que HTTP, comportent des ports avec des numéros attribués. Par exemple, bon nombre d’ordinateurs transmettent les e-mails via le port 110 car le protocole POP3 est attribué au port 110. D’autres programmes reçoivent un numéro de port dynamique à chaque connexion. L’IANA (Internet Assigned Numbers Authority) détient une liste des ports connus. Vous pouvez consulter cette liste à l’adresse suivante : http://www.iana.org/assignments/port-numbers. La plupart des stratégies se voient attribuer un numéro de port compris entre 0 et 1 024, mais la plage de numéros de port peut aller de 0 à 65 535. Guide de l’utilisateur 5 Introduction aux réseaux et à la sécurité des réseaux 6 WatchGuard System Manager 2 Introduction à WatchGuard System Manager (WSM) et à Fireware Introduction à WatchGuard System Manager WatchGuard System Manager offre une méthode simple et efficace pour gérer et protéger votre réseau. À l’aide d’un ordinateur utilisé comme station de gestion, vous pouvez afficher, gérer et contrôler chaque périphérique Firebox de votre réseau. Les composants de base de WatchGuard System Manager sont la fenêtre WatchGuard System Manager et les cinq composants du serveur WSM. WatchGuard System Manager fournit également un accès à d’autres outils WatchGuard, y compris Policy Manager et Firebox System Manager. Le schéma ci-après représente les composants de WatchGuard System Manager. Il indique comment vous pouvez y accéder et les consulter. Guide de l’utilisateur 7 Introduction à WatchGuard System Manager (WSM) et à Fireware Outils WatchGuard System Manager Lorsque vous achetez WatchGuard Firebox X Core ou Peak, vous bénéficiez d’une suite complète d’outils d’analyse et de gestion. WatchGuard System Manager WatchGuard System Manager (WSM) est votre principale application de connexion et de gestion des périphériques Firebox, et des serveurs WatchGuard Management Server. WSM prend en charge des environnements mixtes. Vous pouvez gérer divers périphériques Firebox qui utilisent des versions différentes du logiciel. Pour plus d’informations sur WSM, voir Utiliser la fenêtre WatchGuard System Manager. Vous pouvez également gérer les périphériques Firebox X Edge. (Edge doit être configuré pour la fonction Centralized Management si vous voulez utiliser WSM pour le gérer et modifier sa stratégie de sécurité.) Policy Manager Policy Manager est l’interface utilisateur des tâches de configuration du pare-feu. Policy Manager comprend un jeu complet de proxies et de filtres de paquets prédéfinis. Vous pouvez également créer un filtre de paquets personnalisé dans lequel vous définissez les ports, les protocoles et d’autres paramètres. Les autres fonctionnalités de Policy Manager vous permettent d’arrêter des attaques SYN Flood, les attaques d’usurpation et les exploration de l’espace d’adresses. Pour plus d’informations, voir À propos de Policy Manager. Firebox System Manager Firebox System Manager vous offre une interface pour analyser tous les composants de Firebox. Dans Firebox System Manager, vous pouvez afficher l’état en temps réel de Firebox et de sa configuration. Pour plus d’informations, voir À propos de Firebox System Manager (FSM). 8 WatchGuard System Manager Introduction à WatchGuard System Manager (WSM) et à Fireware À propos des serveurs WatchGuard La barre d’outils WatchGuard permet de démarrer, d’arrêter et de configurer les cinq types de logiciels serveur WatchGuard : Log Server Management Server Quarantine Server Report Server WebBlocker Server La barre d’outils WatchGuard est l’une des barres d’état système Windows, située dans l’angle inférieur droit de l’écran de votre ordinateur. (Si vous n’avez installé aucun logiciel serveur WatchGuard sur votre station de gestion, cette barre ne s’affiche pas.) Vous pouvez utiliser les icônes de la barre d’outils (de gauche à droite) pour démarrer, configurer et gérer ces serveurs. Log Server Le serveur Log Server collecte les messages des journaux de chaque système WatchGuard Firebox. Les messages des journaux sont chiffrés lorsqu’ils sont envoyés au serveur Log Server. Le format d’un message du journal est XML (texte brut). Les informations collectées sur les périphériques de parefeu comprennent les messages des journaux de trafic, les messages des journaux d’événements, les alarmes et les messages de diagnostic. Pour plus d’informations sur les serveurs Log Server, voir Configurer Log Server. Management Server Le serveur Management Server fonctionne sous Windows. À l’aide de ce serveur, vous pouvez gérer tous les périphériques de pare-feu et créer des tunnels de réseau privé virtuel (VPN) en utilisant une simple fonction glisser-déplacer. Les fonctions de base de Management Server sont les suivantes : o autorité de certification de distribution de certificats pour les tunnels de sécurité de protocole Internet (IPSec, Internet Protocol Security) ; o gestion centralisée des configurations de tunnel VPN ; o gestion centralisée de plusieurs périphériques Firebox et Firebox X Edge. Pour plus d’informations sur Management Server, voir À propos de WatchGuard Management Server. Quarantine Server Le serveur Quarantine Server collecte et isole les e-mails susceptibles d’être du courrier indésirable à l’aide de spamBlocker. Pour plus d’informations sur Quarantine Server, voir À propos de Quarantine Server. Report Server Le serveur Report Server consolide périodiquement des données collectées par les serveurs Log Server sur vos périphériques Firebox et génère régulièrement des rapports. Lorsque les données sont sur le serveur Report Server, vous pouvez les afficher à l’aide de Report Manager. Pour plus d’informations sur les rapports et Report Server, voir À propos de Report Server. Pour plus d’informations sur Report Manager, voir À propos de Report Manager. WebBlocker Server Le serveur WebBlocker Server utilise le proxy HTTP de Firebox pour refuser l’accès utilisateur à des catégories spécifiques de sites Web. Au cours de la configuration de Firebox, l’administrateur définit les catégories de sites Web à autoriser ou à bloquer. Pour plus d’informations sur WebBlocker et le serveur WebBlocker Server, voir À propos de WebBlocker. Guide de l’utilisateur 9 Introduction à WatchGuard System Manager (WSM) et à Fireware À propos de Fireware WatchGuard Fireware fait partie de la nouvelle génération de logiciels système de sécurité disponibles chez WatchGuard. Le logiciel système est stocké dans la mémoire de votre pare-feu matériel. Firebox fonctionne avec le logiciel système et un fichier de configuration. La stratégie de sécurité de votre organisation est un ensemble de règles définissant la protection de votre réseau informatique et les informations circulant dans ce réseau. Le logiciel système Fireware offre des fonctionnalités avancées pour gérer les stratégies de sécurité des réseaux les plus complexes. Fireware et Fireware Pro Deux versions de Fireware sont disponibles pour les clients de WatchGuard : Fireware - Il s’agit du logiciel système par défaut des périphériques Firebox X Core e-Series. Ce logiciel système nouvelle génération permet à WatchGuard d’augmenter le nombre de fonctionnalités disponibles pour les clients de Firebox X. Fireware Pro - Il s’agit du logiciel système par défaut des appareils Firebox X Peak e-Series. Il permet aux clients disposant de réseaux complexes de mieux protéger leurs réseaux. Une version mise à jour de Fireware Pro est disponible pour les périphériques antérieurs à Firebox X Core. Les fonctionnalités suivantes sont disponibles uniquement avec Fireware Pro : o High Availability o Gestion du trafic/Qualité du service (QoS) o VLAN o Route dynamique o Route basé sur la stratégie o Équilibrage de charge côté serveur o Options de configuration Multi-WAN : tourniquet pondéré et dépassement de capacité d’interface À propos de WatchGuard System Manager et WatchGuard Firebox System WatchGuard System Manager inclut également les outils système dont vous devez disposer pour configurer et gérer un périphérique Firebox X qui utilise le logiciel système WFS. WFS est le logiciel système par défaut qui est livré avec les versions antérieures de Firebox X Core et Peak. Pour plus d’informations sur le logiciel système WFS, voir le Guide de l’utilisateur de WFS. Une fois que Firebox est intégré à la gestion WSM, le logiciel identifie automatiquement le logiciel système utilisé par Firebox. Si vous sélectionnez Firebox et cliquez sur une icône de la barre d’outils, il démarre l’outil de gestion approprié. Ces outils sont les suivants : Firebox System Manager Policy Manager HostWatch Si, par exemple, vous ajoutez Firebox X700 qui fonctionne avec le logiciel système WFS dans l’onglet Périphériques de WFS, puis cliquez sur l’icône Policy Manager dans la barre d’outils de WSM, Policy Manager pour WFS démarre automatiquement. Si vous ajoutez Firebox X700 qui fonctionne avec le logiciel système Fireware et cliquez sur l’icône Policy Manager, Policy Manager pour Fireware démarre. 10 WatchGuard System Manager 3 Prise en main Avant de commencer Avant de commencer le processus d’installation, assurez-vous d’effectuer les tâches décrites ci-dessous. Dans ces instructions d’installation, nous supposons qu’une interface approuvée, une interface externe et une interface facultative Firebox sont configurées. Pour configurer des interfaces supplémentaires sur Firebox, utilisez les outils et procédures de configuration décrits dans les rubriques relatives à la configuration réseau. Vérifier les composants de base Assurez-vous de disposer des éléments suivants : Périphérique de sécurité WatchGuard Firebox Un câble série (bleu) Un câble Ethernet inverseur (rouge) Un câble Ethernet droit (vert) Câble d’alimentation Obtenir une clé de fonctionnalité Firebox Lorsque vous mettez en service un nouveau périphérique Firebox, vous devez l’activer sur le site Web LiveSecurity et obtenir une clé de fonctionnalité. Celle-ci active les fonctionnalités Firebox. Si vous procédez à l’enregistrement de votre Firebox avant d’utiliser l’Assistant Quick Setup Wizard, vous pouvez coller une copie de votre clé de fonctionnalité dans l’Assistant. L’Assistant l’applique ensuite à votre Firebox. Si vous ne collez pas votre clé de fonctionnalité dans l’Assistant, vous pouvez le fermer ; mais tant que vous n’aurez pas ajouté votre clé de fonctionnalité, une seule connexion à Internet sera autorisée. Vous recevez une nouvelle clé de fonctionnalité pour tout produit facultatif lors de votre achat. Après l’enregistrement de votre Firebox ou de toute nouvelle fonctionnalité, vous pouvez synchroniser votre clé de fonctionnalité Firebox avec celles conservées sur le site LiveSecurity dans votre profil d’enregistrement à tout moment depuis l’interface utilisateur WSM. Pour plus d’informations sur les clés de fonctionnalité, voir À propos des clés de fonctionnalité ou Importer une clé de fonctionnalité dans Firebox. Guide de l’utilisateur 11 Prise en main Recueillir des adresses réseau Nous vous conseillons de rédiger deux tableaux lors de la configuration de votre Firebox. Utilisez le premier tableau pour vos adresses IP réseau avant la mise en service de Firebox. WatchGuard utilise la notation de barre oblique pour indiquer le masque de sous-réseau. Pour plus d’informations, voir À propos de la notation de barre oblique. Pour plus d’informations sur les adresses IP, voir À propos des adresses IP. Tableau 1 : adresses IP réseau sans Firebox Réseau étendu (WAN) _____._____._____._____ / ____ Passerelle par défaut _____._____._____._____ Réseau local (LAN) _____._____._____._____ / ____ Réseau secondaire (le cas échéant) _____._____._____._____ / ____ Serveur(s) public(s) (le cas échéant) _____._____._____._____ _____._____._____._____ _____._____._____._____ Utilisez le deuxième tableau pour vos adresses IP réseau après la mise en service de Firebox. Interface externe Assure la connexion au réseau externe (en général Internet) non approuvé. Interface approuvée Assure la connexion au réseau local privé ou au réseau interne que vous voulez protéger. Interface(s) facultative(s) Assurent généralement la connexion à la DMZ ou à la zone d’approbation mixte de votre réseau. Utilisez des interfaces facultatives pour créer des zones sur votre réseau disposant de différents niveaux d’accès. Tableau 2 : adresses IP réseau avec Firebox 12 Passerelle par défaut _____._____._____._____ Interface externe _____._____._____._____/ ____ Interface approuvée _____._____._____._____ / ____ Interface facultative _____._____._____._____ / ____ Réseau secondaire (le cas échéant) _____._____._____._____ / ____ WatchGuard System Manager Prise en main Sélectionner un mode de configuration de pare-feu Vous devez décider du mode d’installation de Firebox sur votre réseau avant d’installer WatchGuard System Manager. Le mode d’installation de Firebox détermine la configuration des interfaces. Pour installer Firebox sur votre réseau, sélectionnez le mode de configuration (routé ou d’insertion) qui correspond aux besoins de votre réseau actuel. De nombreux réseaux fonctionnent de manière optimale avec une configuration routée, mais nous recommandons le mode d’insertion dans les cas suivants : Vous avez déjà affecté un grand nombre d’adresses IP statiques et vous ne souhaitez pas modifier votre configuration réseau. Vous ne pouvez pas configurer avec des adresses IP privées les ordinateurs sur vos réseaux approuvés et facultatifs qui ont des adresses IP publiques. Ce tableau et les descriptions qui suivent illustrent trois conditions qui peuvent vous aider à sélectionner un mode de configuration de pare-feu. Configuration routée Configuration d’insertion Toutes les interfaces Firebox sont sur différents réseaux. Toutes les interfaces Firebox sont sur le même réseau et ont la même adresse IP. Les interfaces approuvées et facultatives doivent être sur différents réseaux. Chaque interface possède une adresse IP sur son réseau. Les ordinateurs des interfaces approuvées ou facultatives peuvent avoir une adresse IP publique. Utilisez la traduction d’adresses réseau (NAT) statique pour mapper les adresses publiques aux adresses privées derrière les interfaces approuvées ou facultatives. Les ordinateurs qui ont un accès public ayant des adresses IP publiques, aucune traduction NAT n’est nécessaire. Pour plus d’informations sur ces deux modes, voir Configuration routée et Configuration d’insertion. Déterminer l’emplacement d’installation du logiciel serveur Durant l’installation, vous pouvez installer la station de gestion et les composants serveur WatchGuard System Manager sur le même ordinateur. Ou vous pouvez utiliser la même procédure d’installation pour installer les composants Management Server, Log Server, Report Server, WebBlocker Server ou Quarantine Server sur d’autres ordinateurs afin de distribuer la charge serveur ou de disposer d’une redondance. Management Server ne fonctionne pas correctement sur un ordinateur sur lequel le logiciel WSM n’est pas installé. Pour déterminer l’emplacement d’installation du logiciel serveur, vous devez examiner la capacité de votre station de gestion et sélectionner la méthode d’installation correspondant à vos besoins. Si vous installez un logiciel serveur sur un ordinateur avec un pare-feu de bureau actif autre que le Pare-feu Windows, vous devez ouvrir les ports nécessaires à la connexion des serveurs à travers le pare-feu. Les utilisateurs du Pare-feu Windows n’ont pas besoin de modifier leur configuration de pare-feu de bureau car le programme d’installation ouvre les ports nécessaires automatiquement. Pour plus d’informations, voir Installer les serveurs WatchGuard sur des ordinateurs équipés de pare-feu de Bureau. Vous pouvez maintenant commencer le processus d’installation. La première étape consiste à Configurer la station de gestion. Guide de l’utilisateur 13 Prise en main Configurer la station de gestion Vous installez le logiciel WatchGuard System Manager (WSM) sur un ordinateur désigné comme station de gestion. Vous pouvez utiliser des outils sur la station de gestion pour accéder à des informations concernant Firebox, telles que l’état des connexions et des tunnels, des statistiques sur le trafic et des messages de journaux. Désignez un ordinateur Windows sur votre réseau comme station de gestion et installez le logiciel de gestion. Pour installer le logiciel WatchGuard System Manager, vous devez disposer des privilèges d’administrateur sur l’ordinateur station de gestion. Après l’installation, vous pouvez opérer avec des privilèges d’utilisateur avec pouvoir Windows XP ou Windows 2003. Vous pouvez installer plusieurs versions de WatchGuard System Manager sur la même station de gestion. Vous pouvez installer une seule version des logiciels serveurs à la fois sur un ordinateur. Sauvegarder votre configuration précédente Si vous avez une version antérieure de WatchGuard System Manager, effectuez une sauvegarde de votre configuration de stratégie de sécurité avant d’installer une nouvelle version. Pour effectuer une sauvegarde de votre configuration, voir Créer une sauvegarde de l’image Firebox. Télécharger le logiciel WatchGuard System Manager Vous pouvez télécharger la version la plus récente du logiciel WatchGuard System Manager à tout moment à partir du site Web à l’adresse https://www.watchguard.com/archive/softwarecenter.asp. Vous devez ouvrir une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity. Si vous êtes un nouvel utilisateur, créez un profil utilisateur et activez votre produit à l’adresse http://www.watchguard.com/activate avant d’essayer de télécharger le logiciel WSM. Pour plus d’informations, voir Activer le service LiveSecurity. Si vous installez l’un des serveurs WSM sur un ordinateur doté d’un pare-feu personnel autre que le Pare-feu Microsoft Windows, vous devez ouvrir certains ports pour que les serveurs puissent se connecter à travers le pare-feu. Pour autoriser les connexions à WebBlocker Server, ouvrez le port UDP 5003. Il n’est pas nécessaire de modifier votre configuration si vous utilisez le pare-feu Microsoft Windows. Pour plus d’informations, voir la rubrique Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feu de Bureau. 1. Sur l’ordinateur que vous utiliserez comme station de gestion, téléchargez le logiciel WatchGuard System Manager (WSM) le plus récent. Pour plus d’informations sur les niveaux de chiffrement, voir À propos des niveaux de chiffrement logiciel. 2. Sur le même ordinateur, téléchargez le logiciel système Fireware le plus récent. Assurez-vous de prendre note du nom et du chemin d’accès des fichiers lorsque vous les enregistrez sur votre disque dur. 3. Ouvrez le fichier et utilisez les instructions d’installation. Le programme d’installation inclut un écran sur lequel vous sélectionnez les composants des logiciels ou les mises à niveau à installer. Une autre licence est nécessaire lorsque vous installez certains composants logiciels. Si votre station de gestion fonctionne actuellement avec une barre d’outils Windows, vous devrez peut-être redémarrer la barre d’outils pour afficher les nouveaux composants installés pour WatchGuard Management System. 14 WatchGuard System Manager Prise en main Vous êtes maintenant prêt à exécuter l’Assistant Quick Setup Wizard. Cet Assistant s’exécute à partir du Web ou en tant qu’application Windows. Pour plus d’informations sur la façon d’exécuter l’Assistant à partir du Web, voir Assistant Quick Setup Wizard Web. Pour plus d’informations sur la façon d’exécuter l’Assistant en tant qu’application Windows, voir Assistant Quick Setup Wizard (non-web). À propos des niveaux de chiffrement logiciel Le logiciel de station de gestion est disponible en deux niveaux de chiffrement. De base Prend en charge le chiffrement 40 bits pour tunnels Mobile VPN with PPTP. Vous ne pouvez pas créer de tunnel VPN IPSec avec ce niveau de chiffrement. Renforcé Prend en charge le chiffrement 40 bits et 128 bits pour Mobile VPN with PPTP. Prend également en charge le chiffrement DES 56 bits et 168 bits, ainsi que le chiffrement AES 128 bits, 192 bits et 256 bits. Pour utiliser la mise en réseau privé virtuel avec IPSec, vous devez télécharger le logiciel de chiffrement renforcé. Des restrictions d’exportation rigoureuses sont applicables au logiciel de chiffrement renforcé. Il est possible qu’il ne soit pas disponible au téléchargement dans votre région. À propos de l’Assistant Quick Setup Wizard Vous pouvez utiliser l’Assistant Quick Setup Wizard pour créer une configuration de base pour Firebox X. Firebox utilise ce fichier de configuration de base lors de son premier démarrage. Firebox peut ainsi fonctionner comme un pare-feu de base. Vous pouvez appliquer cette même procédure chaque fois que vous souhaitez réinitialiser Firebox avec une nouvelle configuration de base à des fins de récupération ou autre. Lorsque vous configurez Firebox avec l’Assistant Quick Setup Wizard, vous définissez uniquement les stratégies de base (trafic sortant TCP et UDP, filtre de paquets FTP, ping et WatchGuard) et les adresses IP des interfaces. Si vous avez d’autres applications logicielles et davantage de trafic réseau que Firebox doit inspecter, vous devez : Configurer les stratégies sur Firebox pour que suffisamment de trafic circule. Définir les hôtes approuvés et les propriétés pour chaque stratégie. Trouver un équilibre entre les besoins en sécurité de votre réseau et les besoins de vos utilisateurs en termes d’accès aux ressources externes. L’Assistant Quick Setup Wizard s’exécute à partir du Web ou en tant qu’application Windows. Pour plus d’informations sur la façon d’exécuter l’Assistant à partir du Web, voir Assistant Quick Setup Wizard Web. Pour plus d’informations sur la façon d’exécuter l’Assistant en tant qu’application Windows, voir Assistant Quick Setup Wizard (non-web). Guide de l’utilisateur 15 Prise en main Assistant Quick Setup Wizard Web Vous pouvez utiliser l’Assistant Quick Setup Wizard Web avec tous les modèles de Firebox X Core ou Peak. Si vous avez déjà configuré un périphérique Firebox X Core ou X Peak par le passé, vous devez savoir que l’Assistant Quick Setup Wizard Web opère différemment de l’Assistant Quick Setup Wizard fourni avec les modèles de matériel Firebox X précédents. Avec les périphériques Firebox X Core et Peak précédents, l’Assistant Quick Setup Wizard utilisait la détection de périphérique pour rechercher un périphérique à configurer sur le réseau. Avec l’Assistant Quick Setup Wizard Web, vous devez établir une connexion réseau directe à Firebox et utiliser un navigateur Web pour démarrer l’Assistant. Firebox utilise le protocole DHCP sur son interface 1 pour attribuer une nouvelle adresse IP à la station de gestion utilisée lors de la configuration. Avant de démarrer l’Assistant Quick Setup Wizard Web, assurez-vous d’avoir : Enregistré votre Firebox auprès des services LiveSecurity Stocké une copie de votre clé de fonctionnalité Firebox dans un fichier texte sur votre station de gestion Téléchargé les logiciels WSM et Fireware à partir du site Web des services LiveSecurity sur votre station de gestion Installé le fichier exécutable Fireware sur votre station de gestion La connexion HTTP établie avec Firebox lorsque vous utilisez l’Assistant Quick Setup Wizard Web n’est pas chiffrée. Nous vous conseillons de connecter votre station de gestion directement à Firebox lorsque vous utilisez l’Assistant Quick Setup Wizard Web, car les mots de passe sont envoyés en texte clair. Pour exécuter l’Assistant Quick Setup Wizard Web : 1. Raccordez le câble Ethernet inverseur rouge fourni avec Firebox entre le port Ethernet de votre station de gestion et l’interface 1 de Firebox. 2. Branchez le câble d’alimentation dans l’entrée d’alimentation Firebox et dans une source d’alimentation. 3. Sur la face avant de Firebox X, appuyez sur le bouton fléché Bas pendant que vous mettez le périphérique sous tension. Firebox X s’amorce en mode sans échec. Dans ce mode usine par défaut, l’affichage LCD indique le numéro de modèle suivi du mot « safe » en caractères minuscules. 4. Assurez-vous que votre station de gestion est configurée pour accepter les adresses IP affectées par le biais du protocole DHCP. Par exemple, si votre station de gestion utilise Windows XP : Dans le menu Démarrer de Windows, sélectionnez Tous les programmes > Connexions réseau > Connexion au réseau local. Cliquez sur Propriétés. Sélectionnez Protocole Internet (TCP/IP) et cliquez sur Propriétés. Assurez-vous que l’option Obtenir une adresse IP automatiquement est sélectionnée. 5. Ouvrez un navigateur Web et tapez l’adresse suivante : http://10.0.1.1:8080/ Assurez-vous de taper le préfixe « http:// » si vous utilisez Internet Explorer. Une connexion HTTP est alors établie entre votre station de gestion et le périphérique Firebox X. L’Assistant Quick Setup Wizard Web démarre automatiquement. Parcourez les écrans et fournissez les informations requises. Si vous laissez l’Assistant Quick Setup Wizard Web inactif pendant plus de 15 minutes, vous devez revenir à l’étape 3 et recommencer. 16 WatchGuard System Manager Prise en main Si vous rencontrez des problèmes avec l’Assistant Si l’Assistant Quick Setup Wizard Web ne parvient pas à installer le logiciel système Fireware sur le périphérique Firebox, son exécution s’interrompt après un délai d’attente de six minutes. Si vous rencontrez des problèmes avec l’Assistant, vérifiez les points suivants : Il est possible que le fichier du logiciel d’application Fireware que vous avez téléchargé à partir du site Web LiveSecurity soit endommagé. Si l’image logicielle est endommagée, un message s’affiche parfois sur l’interface LCD : « File Truncate Error » (Erreur - Fichier tronqué). Téléchargez de nouveau le logiciel et réessayez d’exécuter l’Assistant. Si vous utilisez Internet Explorer 6, effacez le cache de fichiers dans votre navigateur Web et réessayez. Pour effacer le cache, dans la barre d’outils Internet Explorer, sélectionnez Outils > Options Internet > Supprimer les fichiers. Après l’exécution de l’Assistant Une fois l’Assistant Quick Setup Wizard terminé, vous devrez peut-être patienter une minute ou deux avant que Firebox ne soit prêt. Cela est valable particulièrement pour les modèles Firebox X Peak 5500e, 6500e, 8500e et 8500e-F. Une fois que vous en avez terminé avec tous les écrans de l’Assistant, Firebox est configuré avec une configuration de base qui inclut quatre stratégies (trafic TCP sortant, filtre de paquets FTP, ping et WatchGuard) et les adresses IP d’interface que vous avez spécifiées. Vous pouvez utiliser Policy Manager pour étendre ou modifier la configuration Firebox. Pour plus d’informations sur la façon de rendre Firebox opérationnel une fois l’Assistant Quick Setup Wizard terminé, voir Après l’installation. Pour démarrer WatchGuard System Manager et commencer à utiliser ses outils, voir Démarrer WatchGuard System Manager. Assistant Quick Setup Wizard (non web) L’Assistant Quick Setup Wizard s’exécute en tant qu’application Windows afin de vous aider à créer un fichier de configuration de base. Vous pouvez utiliser l’Assistant Quick Setup Wizard avec tous les modèles de Firebox X Core ou Peak. Firebox utilise ce fichier de configuration de base lors de son premier démarrage. Firebox peut ainsi fonctionner comme un pare-feu de base. Une fois cette configuration de base appliquée à Firebox, vous pouvez utiliser Policy Manager pour étendre ou modifier la configuration Firebox. L’Assistant Quick Setup Wizard utilise une procédure de détection de périphérique pour déterminer le modèle Firebox X que vous configurez. Cette procédure utilise une multidiffusion UDP. Les pare-feu logiciels, y compris le pare-feu Microsoft Windows XP SP2, peuvent provoquer des problèmes lors de la détection de périphérique. Vous pouvez démarrer l’Assistant Quick Setup Wizard à partir du Bureau Windows ou de WatchGuard System Manager. À partir du Bureau, sélectionnez : Démarrer > Tous les programmes > WatchGuard System Manager 10.0 > Quick Setup Wizard À partir de WatchGuard System Manager, sélectionnez : Outils > Quick Setup Wizard L’Assistant Quick Setup Wizard démarre. Parcourez les écrans et fournissez les informations requises. Guide de l’utilisateur 17 Prise en main À propos de la définition de la clé de chiffrement du journal Dans l’Assistant Quick Setup Wizard, vous devez définir un mot de passe d’état et de configuration pour Firebox. Lorsque vous êtes prêt à configurer Log Server pour recueillir des messages de journal à partir de Firebox, utilisez le mot de passe d’état que vous avez défini dans l’Assistant Quick Setup Wizard comme clé de chiffrement du journal par défaut. Une fois votre serveur Log Server configuré, vous pouvez Modifier la clé de chiffrement du serveur Log Server. Après l’exécution de l’Assistant Une fois l’Assistant Quick Setup Wizard terminé, vous devrez peut-être patienter une minute ou deux avant que Firebox ne soit prêt. Cela est valable particulièrement pour les modèles Firebox X Peak 5500e, 6500e, 8500e et 8500e-F. Une fois que vous en avez terminé avec tous les écrans de l’Assistant, Firebox est configuré avec une configuration de base qui inclut quatre stratégies (trafic UDP et TCP sortant, filtre de paquets FTP, ping et WatchGuard) et les adresses IP d’interface que vous avez spécifiées. Vous pouvez utiliser Policy Manager pour étendre ou modifier la configuration Firebox. 18 Pour plus d’informations sur la façon de rendre Firebox opérationnel une fois l’Assistant Quick Setup Wizard terminé, voir Après l’installation. Pour démarrer WatchGuard System Manager et commencer à utiliser ses outils, voir Démarrer WatchGuard System Manager. WatchGuard System Manager Prise en main Après l’installation Après en avoir terminé avec la version Web ou non-Web de l’Assistant Quick Setup Wizard, vous devez effectuer les tâches suivantes pour rendre Firebox opérationnel sur votre réseau : 1. Placer Firebox à son emplacement physique permanent. 2. Vous assurer que la station de gestion et le reste du réseau approuvé utilisent l’adresse IP de l’interface approuvée Firebox comme passerelle. 3. Dans WatchGuard System Manager, sélectionnez Fichier > Se connecter au périphérique pour connecter la station de gestion à Firebox. 4. Si vous utilisez une configuration routée, modifiez la passerelle par défaut sur tous les ordinateurs que vous connectez à l’adresse IP approuvée Firebox. Si vous installez un logiciel serveur WatchGuard (Management Server, Quarantine Server, et ainsi de suite) sur un ordinateur avec un pare-feu de bureau actif autre que le Pare-feu Windows, vous devez ouvrir les ports nécessaires à la connexion des serveurs à travers le pare-feu. Les utilisateurs du Pare-feu Windows n’ont pas besoin de modifier leur configuration. Pour plus d’informations, voir Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feu de Bureau. Voici d’autres tâches de configuration qui peuvent s’avérer nécessaires : Configurer Management Server. Pour plus d’informations, voir les rubriques relatives à la configuration et l’administration de Management Server. Configurer Log Server et Report Server de sorte qu’ils commencent à enregistrer les messages des journaux et créent des rapports pour ces messages. Pour plus d’informations, voir les rubriques relatives à la journalisation, à la notification et aux rapports. Configurer WebBlocker Server. Pour plus d’informations, voir les rubriques relatives à WebBlocker. Configurer Quarantine Server. Pour plus d’informations, voir les rubriques relatives à Quarantine Server. Ouvrir Policy Manager afin de personnaliser la configuration en fonction des exigences professionnelles et de sécurité de votre entreprise. Personnaliser votre stratégie de sécurité Votre stratégie de sécurité contrôle qui peut accéder aux différents emplacements de votre réseau et qui peut sortir du réseau. Le fichier de configuration Firebox crée la stratégie de sécurité. Le fichier de configuration que vous créez à l’aide de l’Assistant Quick Setup Wizard ne constitue qu’une configuration de base. Vous pouvez créer un fichier de configuration qui adapte votre stratégie de sécurité à vos propres exigences. Pour cela, ajoutez des stratégies de filtre de paquets et de proxy afin de définir ce qui est autorisé à pénétrer et à sortir de votre réseau. Chaque stratégie peut avoir un effet sur votre réseau. Les stratégies qui augmentent la sécurité du réseau peuvent diminuer les possibilités d’accès au réseau. Les stratégies qui augmentent les possibilités d’accès au réseau peuvent rendre le réseau plus vulnérable. Lorsque vous sélectionnez ces stratégies, vous devez sélectionner une gamme de stratégies équilibrées en fonction de votre organisation et de l’équipement informatique que vous protégez. Pour une nouvelle installation, nous recommandons d’utiliser uniquement des stratégies de filtre de paquets, jusqu’à ce que tous vos systèmes fonctionnent correctement. Si nécessaire, vous pouvez ajouter des stratégies de proxy. Guide de l’utilisateur 19 Prise en main À propos du service LiveSecurity Firebox inclut un abonnement au service LiveSecurity. Votre abonnement vous permet : De vous assurer que vous bénéficiez de la protection réseau la plus à jour avec les mises à niveau logicielles les plus récentes De trouver des solutions à vos problèmes, grâce à un accès complet aux ressources de support technique D’éviter les interruptions de service avec des messages et une aide sur la configuration pour les problèmes de sécurité les plus récents D’en savoir plus sur la sécurité réseau grâce aux ressources de formation D’étendre la sécurité de votre réseau à l’aide de logiciels et autres fonctionnalités D’étendre la garantie de votre matériel avec un remplacement avancé Démarrer WatchGuard System Manager À partir du Bureau Windows, sélectionnez : Démarrer > Tous les programmes > WatchGuard System Manager 10.0 > WatchGuard System Manager. Pour obtenir des informations de base sur WatchGuard System Manager, voir Introduction à WatchGuard System Manager (WSM). Vous pouvez accéder à toutes les fonctionnalités de WatchGuard System Manager par le biais de cette fenêtre principale, comme décrit dans ce manuel. À noter que vous pouvez utiliser des procédures de copier/coller standard dans la plupart des champs de WatchGuard System Manager. Se connecter à Firebox 1. Si ce n’est déjà fait, démarrez WatchGuard System Manager. 2. Cliquez sur . Ou sélectionnez Fichier > Se connecter au périphérique. Ou cliquez n’importe où dans la fenêtre WSM (onglet État du périphérique) et sélectionnez Se connecter au périphérique. La boîte de dialogue Se connecter à Firebox apparaît. 20 WatchGuard System Manager Prise en main 3. Dans la liste déroulante Firebox, tapez le nom ou l’adresse IP de votre Firebox. Lors des connexions ultérieures, vous pouvez sélectionner le nom ou l’adresse IP Firebox dans la liste déroulante Firebox. Vous pouvez également taper l’adresse IP ou le nom d’hôte. N’oubliez pas d’entrer tous les numéros et les points. N’utilisez pas la touche de tabulation ni les touches de direction. 4. Entrez le mot de passe d’état (lecture seule) de Firebox. Vous utilisez le mot de passe d’état pour contrôler les conditions du trafic et l’état de Firebox. Vous devez taper le mot de passe de configuration lors de l’enregistrement d’une nouvelle configuration dans Firebox. 5. Si nécessaire, modifiez la valeur du champ Délai d’attente. Cette valeur définit la durée (en secondes) pendant laquelle la station de gestion reste à l’écoute des données de Firebox avant d’envoyer un message signalant qu’elle ne parvient pas à recevoir de données du périphérique. Si votre réseau ou votre connexion Internet est lente, vous pouvez augmenter la valeur du délai. La diminution de cette valeur réduit la durée d’attente avant réception d’un message de dépassement de délai si vous essayez de vous connecter à un périphérique Firebox non disponible. 6. Cliquez sur Connexion. Firebox apparaît dans la fenêtre WatchGuard System Manager. Se déconnecter de Firebox Cliquez sur . (Si vous êtes connecté à plusieurs périphériques Firebox, sélectionnez celui duquel vous souhaitez vous déconnecter avant de cliquer sur l’icône.) Ou sélectionnez Fichier > Déconnecter. Ou cliquez n’importe où dans la fenêtre WSM (onglet État du périphérique) et sélectionnez Déconnecter. Se déconnecter de tous les périphériques Firebox Si vous êtes connecté à plusieurs périphériques Firebox, vous pouvez vous déconnecter de tous ceux-ci simultanément. Sélectionnez Fichier > Déconnecter tout. Ou cliquez n’importe où dans la fenêtre WSM (onglet État du périphérique) et sélectionnez Déconnecter tout. Démarrer des applications de sécurité Vous pouvez démarrer ces outils à partir de WatchGuard System Manager à l’aide des icônes de la barre des tâches et des options de menu. Policy Manager Policy Manager vous permet d’installer, de configurer et de personnaliser une stratégie de sécurité réseau pour un périphérique Firebox. Pour plus d’informations sur Policy Manager, voir À propos de Policy Manager. Pour démarrer Policy Manager, cliquez sur Ou sélectionnez Outils > Policy Manager. Guide de l’utilisateur . 21 Prise en main Firebox System Manager WatchGuard Firebox System Manager vous permet de démarrer de nombreux outils de sécurité à partir d’une même interface conviviale. Vous pouvez également utiliser Firebox System Manager pour analyser le trafic du pare-feu en temps réel. Pour plus d’informations sur Firebox System Manager, voir À propos de Firebox System Manager (FSM). Pour démarrer Firebox System Manager, cliquez sur . Ou sélectionnez Outils > Firebox System Manager. HostWatch HostWatch affiche les connexions d’un réseau approuvé vers le réseau externe (ou de et vers d’autres interfaces ou VLAN de votre choix) qui transitent par un périphérique Firebox. Il indique les connexions actuelles ou peut afficher l’historique des connexions enregistré dans un fichier journal. Pour plus d’informations sur HostWatch, voir À propos d’HostWatch. Pour démarrer HostWatch, cliquez sur Ou sélectionnez Outils > HostWatch. . LogViewer LogViewer fournit une vue statique d’un fichier journal. Il vous permet d’effectuer les tâches suivantes : Appliquer un filtre par type de données Rechercher des mots et des champs Imprimer et enregistrer dans un fichier Pour plus d’informations sur l’utilisation de LogViewer, voir Utiliser LogViewer pour afficher les fichiers journaux. Pour démarrer LogViewer, cliquez sur . Ou sélectionnez Outils > Journaux > LogViewer. Rapports WatchGuard Les rapports WatchGuard sont des résumés des données que vous avez choisi d’extraire à partir des fichiers journaux Firebox. Pour plus d’informations sur l’utilisation des rapports WatchGuard, voir À propos de Report Manager. Pour démarrer Report Manager, cliquez sur . Ou sélectionnez Outils > Journaux > Rapports WG. Assistant Quick Setup Wizard Vous pouvez utiliser l’Assistant Quick Setup Wizard pour créer une configuration de base pour Firebox. Firebox utilise ce fichier de configuration de base lors de son premier démarrage. Firebox peut ainsi fonctionner comme un pare-feu de base. Vous pouvez appliquer cette même procédure chaque fois que vous souhaitez réinitialiser Firebox avec une nouvelle configuration de base à des fins de récupération ou autre. Pour plus d’informations sur l’utilisation de l’Assistant Quick Setup Wizard, voir À propos de l’Assistant Quick Setup Wizard. Pour démarrer l’Assistant Quick Setup Wizard, cliquez sur Ou sélectionnez Outils > Quick Setup Wizard. 22 . WatchGuard System Manager Prise en main CA Manager Dans WatchGuard System Manager, la station de travail configurée en tant que serveur Management Server fonctionne également en tant qu’autorité de certification (CA). L’autorité de certification transmet des certificats aux clients Firebox gérés lorsqu’ils contactent Management Server pour recevoir des mises à jour de configuration. Pour pouvoir utiliser Management Server comme autorité de certification, vous devez Configurer l’autorité de certification sur Management Server. Pour configurer ou modifier les paramètres de l’autorité de certification, cliquez sur Ou sélectionnez Outils > CA Manager. . Mettre à niveau vers une nouvelle version de Fireware Nous mettons parfois à disposition des utilisateurs de Firebox titulaires d’abonnements LiveSecurity de nouvelles versions de WatchGuard System Manager (WSM) et du logiciel système Fireware. Pour effectuer la mise à niveau d’une version de WSM avec Fireware vers une nouvelle version de WSM avec Fireware : 1. Sauvegardez votre fichier de configuration Firebox et vos fichiers de configuration Management Server actuels. Pour plus d’informations sur la façon de créer une image de sauvegarde de votre configuration Firebox, voir Créer une sauvegarde de l’image Firebox. Pour sauvegarder les paramètres sur votre Management Server, voir Sauvegarder ou restaurer la configuration de Management Server. 2. Utilisez l’application Ajouter ou supprimer des programmes de Windows pour désinstaller votre installation existante de WatchGuard System Manager et WatchGuard Fireware. Vous pouvez avoir plusieurs versions du logiciel client WatchGuard System Manager installées sur votre station de gestion, mais une seule version du logiciel serveur WatchGuard. 3. Lancez le ou les fichiers téléchargés à partir du site Web LiveSecurity et suivez la procédure affichée à l’écran. 4. Pour enregistrer la mise à niveau dans le périphérique, utilisez Policy Manager pour ouvrir votre fichier de configuration Firebox X Core ou Firebox X Peak. Suivez les instructions affichées à l’écran pour convertir le fichier de configuration vers la nouvelle version et enregistrez-le dans Firebox. Si les instructions ne s’affichent pas à l’écran ou si vous rencontrez des problèmes avec cette procédure, ouvrez Policy Manager et sélectionnez Fichier > Mettre à niveau. Naviguez jusqu’au répertoire d’installation ou jusqu’à C:\Program Files\Common Files\WatchGuard\resources\Fireware\9.1 et sélectionnez le fichier WGU. Cliquez sur OK. La procédure de mise à niveau peut nécessiter jusqu’à 15 minutes ; elle réamorce automatiquement Firebox. Si au moment de la mise à niveau Firebox est opérationnel depuis quelque temps, vous devrez peut-être redémarrer Firebox avant de commencer la mise à niveau afin d’effacer sa mémoire temporaire. Si, durant la mise à niveau, un message d’erreur concernant \var\tmp2\cmm_upgrade_sys.tar s’affiche, réamorcez Firebox et recommencez la mise à niveau. Guide de l’utilisateur 23 Prise en main Rétrogradation vers WSM 9.1.x ou version antérieure Si vous rencontrez des problèmes lors de la mise à niveau de votre station de gestion vers la version 10, vous pouvez rétrograder votre Firebox vers une version antérieure de Fireware. Cette opération peut s’affecter de deux manières : Si vous possédez un fichier de sauvegarde créé avec une version antérieure de Fireware, vous pouvez le restaurer sur le périphérique Firebox. Le fichier de sauvegarde doit avoir une extension de fichier .fxi. L’emplacement par défaut des fichiers de sauvegarde est C:\Documents and Settings\All Users\Shared WatchGuard\backups. Si vous ne possédez pas de fichier de sauvegarde, vous pouvez utiliser une version antérieure de WSM pour enregistrer la version correspondante de Fireware dans Firebox, exécuter l’Assistant Quick Setup Wizard, puis enregistrer votre configuration dans Firebox. Si vous possédez un fichier de sauvegarde 1. Démarrez WatchGuard System Manager. La version doit correspondre à celle utilisée pour enregistrer le fichier de sauvegarde. 2. Connectez-vous à Firebox et démarrez Policy Manager. 3. Sélectionnez Fichier > Restaurer. 4. Naviguez jusqu’au fichier .fxi et restaurez Firebox. 5. Une fois la restauration terminée, Firebox est réamorcé. La version de Fireware exécutée sera celle utilisée au moment où le fichier de sauvegarde a été enregistré. Si vous ne possédez pas de fichier de sauvegarde 1. Sur votre station de gestion, installez la version de Fireware qui correspond à votre version de WSM (par exemple v9.1). 2. Ouvrez Policy Manager v9.1 et sélectionnez Fichier > Mettre à niveau pour installer Fireware v9.1. 3. Exécutez l’Assistant Quick Setup Wizard v9.1 et utilisez-le pour enregistrer une configuration de base dans Firebox. 4. Ouvrez votre stratégie dans Policy Manager v9.1 et enregistrez-la dans Firebox. 24 WatchGuard System Manager Prise en main Autres rubriques sur l’installation Installer WSM et conserver une version antérieure Vous pouvez installer la version actuelle de WSM et conserver la version antérieure si vous supprimez le logiciel serveur (Management Server, Log Server, Report Server, Quarantine Server et WebBlocker Server) de la version antérieure de WSM. Étant donné qu’une seule version des serveurs peut être installée, vous devez supprimer la version antérieure avant d’installer la version actuelle de WSM avec le logiciel serveur actuel. Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feu de Bureau Les pare-feu de Bureau peuvent bloquer les ports nécessaires au fonctionnement des composants serveur WatchGuard. Avant d’installer Management Server, Log Server, Quarantine Server, Report Server ou WebBlocker Server sur un ordinateur doté d’un pare-feu de Bureau actif, vous devrez peut-être ouvrir les ports nécessaires sur le pare-feu. Les utilisateurs du Pare-feu Windows n’ont pas besoin de modifier leur configuration car le programme d’installation ouvre les ports nécessaires automatiquement. Le tableau suivant indique les ports que vous devez ouvrir sur un pare-feu de Bureau. Type de serveur/Logiciel système Protocole/Port Management Server TCP 4109, TCP 4110, TCP 4112, TCP 4113 Log Server avec logiciel système Fireware TCP 4115 Log Server avec logiciel système WFS TCP 4107 WebBlocker Server TCP 5003, UDP 5003 Quarantine Server TCP 4119, TCP 4120 Report Server TCP 4121, TCP 4122 Guide de l’utilisateur 25 Prise en main Configuration routée Utilisez la configuration routée lorsque vous avez une quantité peu élevée d’adresses IP ou lorsque votre périphérique Firebox obtient son adresse IP externe par le biais du protocole PPPoE (Point-to-Point Protocol over Ethernet) ou DHCP (Dynamic Host Configuration Protocol). Dans une configuration routée, vous installez Firebox avec différents sous-réseaux sur chacune de ses interfaces. Les serveurs publics derrière Firebox peuvent utiliser des adresses IP privées. Firebox utilise la traduction d’adresses réseau (NAT, Network Address Translation) pour acheminer le trafic du réseau externe vers les serveurs publics. Les conditions suivantes s’appliquent à la configuration routée : Toutes les interfaces Firebox doivent être configurées sur différents sous-réseaux. La configuration minimale inclut les interfaces approuvées et externes. Vous pouvez également configurer une ou plusieurs interfaces facultatives. Tous les ordinateurs connectés aux interfaces approuvées et facultatives doivent avoir une adresse IP de ce réseau. Par exemple, un ordinateur sur une interface approuvée de la figure précédente pourrait avoir l’adresse IP 10.10.10.200 mais pas 192.168.10.200, qui est une adresse sur l’interface facultative. Configuration d’insertion Dans une configuration d’insertion, la même adresse IP est utilisée sur toutes les interfaces Firebox. Le mode de configuration d’insertion distribue la plage d’adresses logiques du réseau à l’ensemble des interfaces Firebox. Vous pouvez placer Firebox entre le routeur et le réseau local sans devoir modifier la configuration sur les ordinateurs locaux. On parle de configuration d’insertion, car Firebox est « inséré » (ou distribué) dans un réseau. En mode d’insertion : 26 La même adresse IP principale est affectée automatiquement à toutes les interfaces de Firebox (externes, approuvées et facultatives). Vous pouvez attribuer des réseaux secondaires sur toutes les interfaces. Vous pouvez conserver les mêmes adresses IP et passerelles par défaut pour les hôtes de vos réseaux approuvés et facultatifs et ajouter une adresse réseau secondaire à l’interface Firebox pour que le trafic soit correctement acheminé vers les hôtes de ces réseaux. WatchGuard System Manager Prise en main Les serveurs publics derrière Firebox peuvent continuer à utiliser les adresses IP publiques. Firebox ne fait pas appel à la traduction d’adresses réseau pour acheminer le trafic de l’extérieur de votre réseau vers vos serveurs publics. Les propriétés d’une configuration d’insertion sont les suivantes : Vous devez connaître l’adresse IP externe statique à attribuer à Firebox. Vous devez utiliser un réseau logique pour toutes les interfaces. Le mode d’insertion ne prend pas en charge la fonctionnalité Multi-WAN en mode Tourniquet ou Basculement. Pour plus d’informations sur ces options, voir À propos de l’utilisation de plusieurs interfaces externes. Il est parfois nécessaire d’Effacer le cache ARP de chaque ordinateur sur le réseau approuvé. Ajouter des réseaux secondaires à votre configuration Un réseau secondaire est un réseau différent connecté à une interface Firebox avec un commutateur ou un concentrateur. Guide de l’utilisateur 27 Prise en main Lorsque vous ajoutez un réseau secondaire, vous mappez une deuxième adresse IP à l’interface Firebox. Vous créez (ou ajoutez) un alias IP à l’interface réseau. Cette adresse réseau secondaire que vous définissez est la passerelle par défaut pour tous les ordinateurs du réseau secondaire. Le réseau secondaire indique également à Firebox qu’un réseau supplémentaire se trouve sur l’interface Firebox. Pour ajouter un réseau secondaire, appliquez l’une des procédures suivantes : Utiliser l’Assistant Quick Setup Wizard Si vous configurez Firebox en mode d’insertion, vous pouvez entrer une adresse IP pour le réseau secondaire dans l’Assistant Quick Setup Wizard. Il s’agit de la passerelle par défaut pour votre réseau privé secondaire. Ajouter un réseau secondaire une fois l’installation de Firebox terminée Si vous configurez Firebox en mode routé, ou à tout moment après l’utilisation d’un Assistant Quick Setup Wizard, vous pouvez utiliser Policy Manager pour ajouter des réseaux secondaires à une interface. Pour plus d’informations sur la façon de procéder, voir Configurer un réseau secondaire. Prise en charge IP dynamique sur l’interface externe Si vous utilisez des adresses IP dynamiques, vous devez configurer Firebox en mode routé lorsque vous utilisez l’Assistant Quick Setup Wizard. Si vous sélectionnez le protocole DHCP, Firebox demande à un serveur DHCP contrôlé par votre fournisseur de services Internet de lui fournir ses adresse IP, passerelle et masque réseau. Ce serveur peut également fournir des informations de serveur DNS à Firebox. S’il ne vous procure pas ces informations, vous devez les ajouter manuellement à votre configuration. Si nécessaire, vous pouvez modifier les adresses IP fournies par votre fournisseur de services Internet. Vous pouvez également utiliser le protocole PPPoE. Comme avec le protocole DHCP, Firebox établit une connexion PPPoE au serveur PPPoE de votre fournisseur de services Internet. Cette connexion configure automatiquement vos adresse IP, passerelle et masque réseau. Si vous utilisez le protocole PPPoE sur l’interface externe, vous devez posséder le nom d’utilisateur et le mot de passe PPP lors de la configuration de votre réseau. Si votre fournisseur de services Internet vous donne un nom de domaine à utiliser, tapez votre nom d’utilisateur au format « utilisateur@domaine » lors de l’utilisation de l’Assistant Quick Setup Wizard. Une adresse IP statique est nécessaire pour que Firebox puisse utiliser certaines fonctions. Lorsque vous configurez Firebox de façon à recevoir des adresses IP dynamiques, il ne peut pas utiliser les fonctions suivantes : High Availability (non disponible sur Firebox 500) Mode d’insertion NAT un à un sur une interface externe Mobile VPN with PPTP Si votre fournisseur de services Internet utilise une connexion PPPoE pour affecter une adresse IP statique, Firebox vous autorise à activer Mobile VPN with PPTP car l’adresse IP est statique. À propos de la connexion des câbles Firebox Raccordez le câble d’alimentation à l’entrée d’alimentation Firebox et à une source d’alimentation. Nous recommandons l’utilisation d’un câble Ethernet droit (vert) pour raccorder la station de gestion à un concentrateur ou un commutateur. Utilisez un câble Ethernet droit différent pour raccorder Firebox au même concentrateur ou commutateur. Vous pouvez également utiliser un câble inverseur rouge pour raccorder l’interface approuvée Firebox au port Ethernet de la station de gestion. 28 WatchGuard System Manager 4 Maintenance et support À propos du support technique de WatchGuard Toute solution de sécurité Internet complète doit s’appuyer sur des mises à jour régulières et des informations de sécurité récentes. De nouvelles menaces apparaissent tous les jours, qu’il s’agisse d’attaques perpétrées par des pirates informatiques ou de bogues dans le système d’exploitation, et chacune d’entre elles peut endommager vos systèmes réseau. Le service LiveSecurity vous envoie directement des solutions de sécurité pour assurer le fonctionnement optimal de votre système de sécurité. Des services de formation et de support technique sont disponibles sur le site Web de WatchGuard pour parfaire vos connaissances sur la sécurité réseau et vos produits WatchGuard. À propos des solutions LiveSecurity Le nombre de nouveaux problèmes de sécurité et le volume d’informations sur la sécurité réseau ne cessent de croître. Comme vous le savez, un pare-feu n’est que le premier composant d’une solution de sécurité complète. L’équipe d’intervention d’urgence de WatchGuard est un groupe spécialisé de professionnels de la sécurité réseau qui peut vous aider à faire le tri dans la pléthore d’informations sur la sécurité. Ce groupe surveille les sites Web de sécurité sur Internet pour identifier les nouvelles menaces. Réponses aux menaces, alertes et conseils d’experts Lorsqu’une nouvelle menace est identifiée, l’équipe d’intervention d’urgence vous notifie du problème par email. Chaque message vous donne des informations complètes sur le type du problème et la procédure à suivre pour vous assurer que votre réseau est à l’abri des attaques. Simplification des mises à jour logicielles Le service LiveSecurity vous fait gagner un temps précieux. Vous recevez un e-mail dès qu’une nouvelle version du logiciel WatchGuard System Manager est publiée. Pour accélérer et faciliter l’installation, des Assistants d’installation, des notes de publication et un lien pointant vers la mise à jour logicielle vous sont proposés. Vous ne perdez donc pas votre temps à rechercher de nouveaux logiciels. Accès au support technique et à la formation Vous pouvez trouver rapidement des informations sur vos produits WatchGuard en consultant nos ressources en ligne. Vous pouvez aussi vous entretenir directement avec l’un des membres du support technique de WatchGuard. Utilisez nos formations en ligne disponibles sur le site Web de WatchGuard pour en savoir plus sur le logiciel WatchGuard System Manager, Firebox et la sécurité réseau, ou pour trouver un partenaire de formation certifié par WatchGuard dans votre région. Guide de l’utilisateur 29 Maintenance et support Diffusions LiveSecurity L’équipe d’intervention d’urgence de WatchGuard envoie régulièrement par e-mail des messages et des informations sur les logiciels directement à votre ordinateur. Ces messages sont répartis en plusieurs catégories pour vous aider à identifier et à utiliser les informations entrantes immédiatement. Alerte d’information Une alerte d’information vous donne un bref aperçu des informations et des menaces les plus récentes en matière de sécurité Internet. L’équipe d’intervention d’urgence de WatchGuard émet fréquemment des recommandations pour vous demander de modifier une stratégie de sécurité afin de parer à une nouvelle menace. Le cas échéant, l’alerte d’information comprend des instructions sur la procédure à suivre. Réponse à une menace Si une nouvelle menace à la sécurité l’y oblige, l’équipe d’intervention d’urgence de WatchGuard transmet une mise à jour logicielle à votre système Firebox®. La réponse à une menace inclut des informations sur la menace, ainsi que des instructions pour télécharger une mise à jour logicielle et l’installer sur votre système Firebox et votre station de gestion. Mise à jour logicielle En cas de nécessité, WatchGuard met à jour le logiciel WatchGuard System Manager. Les mises à niveau du produit peuvent inclure des nouvelles fonctionnalités et des correctifs. Lorsque nous publions une mise à jour logicielle, vous recevez un e-mail comprenant des instructions pour télécharger et installer la mise à niveau. Éditorial Des experts en sécurité réseau se joignent régulièrement à l’équipe d’intervention d’urgence de WatchGuard pour écrire des articles sur la sécurité réseau. Ce flux continu d’informations peut vous être utile pour sécuriser davantage votre réseau. Connaissances de base L’équipe d’intervention d’urgence de WatchGuard écrit également des articles destinés spécialement aux administrateurs de la sécurité, aux employés et à tous les membres du personnel qui découvrent cette technologie. Bouclage À la fin du mois, le service LiveSecurity® vous envoie un e-mail récapitulant toutes les informations qui vous ont été transmises au cours du mois. Flash du support technique Ces messages de formation concis vous permettent de mieux utiliser WatchGuard System Manager. Ils viennent compléter les autres ressources en ligne, à savoir le forum des utilisateurs, le forum aux questions et les problèmes connus sur la page Web du support technique. Alerte virus WatchGuard s’est associé avec un fournisseur antivirus pour vous donner les dernières informations sur les virus informatiques. Vous recevrez des messages avec un résumé du trafic des virus sur Internet. Lorsqu’un pirate informatique propage un virus dangereux sur Internet, nous vous envoyons une alerte virus spéciale pour vous aider à sécuriser votre réseau. Nouveautés WatchGuard Lorsque WatchGuard lance un nouveau produit, vous êtes le premier à le savoir. Vous pouvez obtenir des informations sur les nouveaux services et fonctionnalités, les mises à niveau de produits, les nouveaux matériels et les promotions. 30 WatchGuard System Manager Maintenance et support Outils de support autonome du service LiveSecurity Les outils de support autonome en ligne vous permettent d’optimiser les performances de vos produits WatchGuard. Vous devez activer le service LiveSecurity avant de pouvoir accéder aux ressources en ligne. Instant Answers L’outil d’aide interactif Instant Answers est conçu pour vous donner très rapidement des solutions à des questions portant sur les produits. Cet outil vous pose des questions et vous donne la meilleure solution en fonction de vos réponses. Forums aux questions (FAQ) sur les produits Les forums aux questions contiennent des informations générales sur le système Firebox®, le logiciel WatchGuard System Manager et le logiciel système Firebox. Ils fournissent des informations importantes sur les options de configuration et le fonctionnement des systèmes ou produits. Known Issues L’outil Known Issues recense les problèmes connus relatifs aux produits WatchGuard et les mises à jour logicielles. WatchGuard Users Forum L’équipe du support technique de WatchGuard gère un site Web d’entraide destiné aux utilisateurs de produits WatchGuard. Le support technique supervise ce forum pour veiller à l’exactitude des informations. Formation Vous pouvez parcourir la section de formation pour en savoir plus sur la sécurité réseau et les produits WatchGuard. Vous pouvez également utiliser les documents de formation disponibles en ligne pour obtenir une certification WatchGuard. La formation comprend des liens vers des documents et des sites Web variés en matière de sécurité réseau. Elle est divisée en plusieurs parties, ce qui vous permet de consulter uniquement les documents qui vous sont utiles. Pour en savoir plus sur la formation, accédez au site Web suivant : http://www.watchguard.com/training/. Documentation produit Le site Web de WatchGuard contient des copies de tous les guides de l’utilisateur des produits WatchGuard, y compris les guides des logiciels qui ne sont plus pris en charge. Ces guides sont au format .PDF. Pour accéder aux outils de support autonome du service LiveSecurity : 1. Démarrez votre navigateur Web. Dans la barre d’adresses, tapez : http://www.watchguard.com/support. 2. Sous Self Help Tools, cliquez sur l’outil de votre choix. Vous serez invité à vous connecter au service LiveSecurity si cela n’est pas déjà fait. Guide de l’utilisateur 31 Maintenance et support Activer le service LiveSecurity Pour activer le service LiveSecurity et inscrire votre service Firebox, utilisez la section d’activation des pages Web du service LiveSecurity. Vous pouvez aussi trouver des informations sur l’activation de fonctionnalités et l’Assistant Quick Setup Wizard dans le Guide de démarrage rapide et la rubrique À propos de l’Assistant Quick Setup Wizard. Vous activez généralement le service LiveSecurity lorsque vous installez votre système Firebox. Pour activer le service LiveSecurity, vous devez activer JavaScript dans votre navigateur. 1. Assurez-vous de posséder votre numéro de série Firebox. Celui-ci est nécessaire au cours de la procédure d’activation du service LiveSecurity. Le numéro de série Firebox se trouve sur une étiquette collée à l’arrière du système Firebox, sous le code-barres, ou bien sous le système Firebox. 2. Utilisez votre navigateur Web pour accéder au site suivant : www.watchguard.com/account/register.asp. La page Account s’affiche. 3. Remplissez la page LiveSecurity Activation. Utilisez la touche Tabulation ou la souris pour accéder aux différents champs de la page. Vous devez remplir tous les champs pour activer le service. Ces informations permettront à WatchGuard de vous envoyer les informations et les mises à jour logicielles qui s’appliquent à vos produits. 4. Vérifiez que votre adresse e-mail est correcte. Les e-mails du service LiveSecurity sur les mises à jour des produits et les réponses aux menaces seront envoyés à cette adresse. Une fois la procédure terminée, vous recevrez un e-mail indiquant que le service LiveSecurity a été correctement activé. 5. Cliquez sur Register. WatchGuard Users Forum WatchGuard Users Forum est un groupe de discussion en ligne qui permet aux utilisateurs de produits WatchGuard d’échanger des informations sur les sujets suivants : Configuration Connexion de produits WatchGuard et de produits tiers Stratégies réseau Ce forum comprend différentes catégories que vous pouvez utiliser pour rechercher des informations. L’équipe du support technique supervise le forum pendant les heures ouvrées. Toutefois, vous n’obtiendrez pas d’aide spéciale de la part du support technique si vous utilisez ce forum. Pour contacter le support technique directement à partir du Web, connectez-vous à votre compte LiveSecurity. Cliquez sur le lien Incidents pour envoyer un incident au support technique. Utiliser WatchGuard Users Forum Pour utiliser WatchGuard Users Forum, vous devez tout d’abord créer un compte. Pour les instructions à suivre, accédez au site suivant : http://www.watchguard.com/forum. 32 WatchGuard System Manager Maintenance et support Documentation produit Tous les guides de l’utilisateur des produits sont publiés sur notre site Web à l’adresse suivante : http://www.watchguard.com/help/documentation. Formation et certification Des formations sur les produits WatchGuard sont disponibles par l’intermédiaire de partenaires de formation certifiés par WatchGuard (WCTP). Vous pouvez installer et configurer les produits avec le soutien d’un instructeur qualifié et expérimenté qui vous guidera tout au long des étapes à suivre, puis passer un examen de certification technique WatchGuard. Pour trouver un partenaire de formation, accédez au site Web suivant : http://www.watchguard.com/training/partners_locate.asp. Des formations sur les produits WatchGuard sont également disponibles en ligne pour parfaire vos connaissances sur la sécurité réseau et les produits WatchGuard. Si vous suivez une formation WSM/Fireware, vous pouvez utiliser ces documents de formation pour préparer l’examen de certification. Pour trouver des documents de formation, accédez au site Web suivant : http://www.watchguard.com/training/courses.asp. Vous devez vous connecter à LiveSecurity pour pouvoir télécharger ces cours. À propos du support technique de WatchGuard Votre abonnement au service LiveSecurity inclut une assistance technique pour le logiciel WatchGuard System Manager et le matériel Firebox. Pour en savoir plus sur le support technique de WatchGuard, visitez le site Web de WatchGuard à l’adresse suivante : http://www.watchguard.com/support. Vous devez activer le service LiveSecurity avant de pouvoir obtenir une assistance technique. Pour plus d’informations, voir Activer le service LiveSecurity. Support technique du service LiveSecurity Tous les nouveaux produits Firebox sont pris en charge par le service de support technique LiveSecurity de WatchGuard. Vous pouvez parler à un membre de l’équipe du support technique de WatchGuard lorsque vous êtes confronté à un problème d’installation, de gestion ou de configuration lié à votre système Firebox. Heures d’ouverture Le centre de support technique LiveSecurity de WatchGuard est ouvert du lundi au vendredi de 6 h à 18 h (dans votre fuseau horaire). Numéro de téléphone 877.232.3531 (sélectionnez l’option 2) aux États-Unis et au Canada +1.206.613.0456 dans tous les autres pays Site Web http://www.watchguard.com/support Délai de service Nous nous efforçons de répondre dans un délai de quatre heures. Des mises à niveau SIPRU (Single Incident Priority Response Upgrade) et SIAU (Single Incident After Hours Upgrade) sont aussi disponibles. Pour plus d’informations sur ces mises à niveau, accédez au site Web de WatchGuard à l’adresse suivante : http://www.watchguard.com/support. Guide de l’utilisateur 33 Maintenance et support LiveSecurity Gold L’option de support technique LiveSecurity Gold de WatchGuard peut s’ajouter au service LiveSecurity standard. Nous recommandons cette mise à niveau si vous avez recours à Internet ou à des tunnels VPN dans la plupart de vos tâches quotidiennes. En souscrivant au support technique LiveSecurity Gold de WatchGuard, vous bénéficiez des avantages suivants : Support technique disponible 24 heures sur 24, 7 jours sur 7, jours fériés inclus. Le centre de support technique est ouvert du dimanche 19h00 au vendredi 19h00 (heure de la côte Ouest des États-Unis). Pour recevoir une assistance le week-end en cas de problème critique, un système de garde par radiomessagerie est en place. Nous nous efforçons de répondre dans l’heure. Pour créer un incident, appelez le support technique LiveSecurity de WatchGuard. Un conseiller clientèle enregistrera votre problème et vous donnera un numéro d’incident. Vous serez ensuite contacté par téléphone par un technicien du support technique prioritaire dans les meilleurs délais. Si vous êtes confronté à un problème critique en dehors des heures d’ouverture du centre de support technique LiveSecurity, utilisez le numéro de téléphone du support technique LiveSecurity pour notifier un technicien. Vous pouvez aussi envoyer un incident sur le site Web à l’adresse suivante : http://www.watchguard.com/support/incidents/newincident.asp. Service d’installation de Firebox Le service d’installation de Firebox à distance de WatchGuard vous aide à installer et à configurer votre système Firebox. Vous pouvez planifier un entretien de deux heures avec un membre de l’équipe du support technique de WatchGuard. Le technicien pourra vous aider à effectuer les tâches suivantes : Analyser vos stratégies de réseau et de sécurité Installer le logiciel WatchGuard System Manager et le matériel Firebox Aligner votre configuration avec la stratégie de sécurité de votre société Ce service n’inclut pas l’installation d’un VPN. Service d’installation d’un VPN Le service d’installation d’un VPN à distance de WatchGuard vous guide tout au long des étapes d’installation d’un VPN. Vous pouvez planifier une réunion de deux heures avec l’une des équipes du support technique de WatchGuard. Au cours de cette réunion, un technicien pourra vous aider à effectuer les tâches suivantes : Analyser votre stratégie VPN Configurer vos tunnels VPN Tester la configuration de votre VPN Vous pouvez utiliser ce service après avoir correctement installé et configuré vos périphériques Firebox. 34 WatchGuard System Manager 5 Surveillance de l’état de Firebox À propos de Firebox System Manager (FSM) WatchGuard Firebox System Manager (FSM) vous permet d’analyser tous les composants et toutes les tâches de Firebox à partir d’une seule interface. Vous pouvez observer les fonctions suivantes : État de base du réseau et de Firebox (Onglet Panneau avant) Messages des journaux Firebox (Onglet Moniteur du trafic) Affichage visuel de l’utilisation de la bande passante (Onglet Mesure de la bande passante) Affichage visuel de l’utilisation des stratégies (Onglet Suivi du service) Statistiques du trafic et des performances (Onglet Rapport d’état) Utilisateurs authentifiés (Onglet Liste d’authentification) Liste des sites bloqués (Onglet Sites bloqués) Abonnements de sécurité (Onglet Services de sécurité) Vous pouvez également lancer ces applications à partir de Firebox System Manager : HostWatch est une interface utilisateur graphique qui affiche les connexions entre les différentes interfaces Firebox. Performance Console est un utilitaire Firebox qui vous permet de créer des graphiques illustrant la manière dont les différentes parties de Firebox fonctionnent. Journal des communications conserve les messages relatifs aux connexions entre Firebox et Firebox System Manager. Vous pouvez effectuer les opérations suivantes à l’aide de Firebox System Manager : Analyser des certificats Afficher et synchroniser les clés de fonctionnalité Synchroniser l’heure Effacer le cache ARP Effacer les alarmes Générer de nouvelles clés pour les tunnels BOVPN Contrôler High Availability Modifier les mots de passe Guide de l’utilisateur 35 Surveillance de l’état de Firebox Menus, icônes et boutons de Firebox System Manager Les commandes de Firebox System Manager (FSM) sont regroupées dans les menus en haut de la fenêtre principale. Les tâches les plus courantes sont également disponibles sous la forme d’icônes sur la barre d’outils ou de boutons. 36 Menus de Firebox System Manager Icônes de Firebox System Manager Boutons de Firebox System Manager WatchGuard System Manager Surveillance de l’état de Firebox Menus de Firebox System Manager Menu Commande Fonction Fichier Paramètres Modifie la manière dont Firebox System Manager affiche les informations d’état dans les affichages. Déconnecter Laisse Firebox System Manager ouvert mais arrête la connexion au périphérique Firebox analysé. Rétablir Arrête les composants du système d’exploitation de Firebox et les redémarre (redémarrage partiel). Redémarrer Redémarre le périphérique Firebox actif. Arrêter Arrête Firebox. Fermer Ferme la fenêtre de Firebox System Manager. Certificats Répertorie les certificats de Firebox et permet à l’utilisateur de les consulter, d’en ajouter et d’en supprimer. Clés de fonctionnalité Répertorie les différentes clés de fonctionnalité de Firebox. Journal des communications Ouvre le journal des communications, qui contient des informations comme le succès ou l’échec des connexions, les transferts, etc. Il s’agit de connexions entre Firebox et Firebox System Manager. Policy Manager Ouvre Policy Manager avec la configuration du périphérique Firebox sélectionné. HostWatch™ Ouvre le système HostWatch connecté au périphérique Firebox actif. Performance Console Ouvre Performance Console qui affiche les graphiques des performances du périphérique Firebox. Synchroniser l’heure Synchronise l’heure du périphérique Firebox avec l’heure système. Effacer le cache ARP Vide le cache ARP du périphérique Firebox sélectionné. Effacer l’alarme Vide la liste des alarmes du périphérique Firebox sélectionné. Générer une nouvelle clé pour tous les tunnels BOVPN Force l’expiration et la reconstruction de tous les tunnels BOVPN. Affichage Outils Synchroniser les clés de fonctionnalité Aide Guide de l’utilisateur High Availability Vous permet de contrôler manuellement les fonctionnalités High Availability. Modifier les mots de passe Modifie les mots de passe d’état et de configuration. Aide de Firebox System Manager Ouvre les fichiers d’aide en ligne de cette application. À propos de Affiche les informations de version et de copyright. 37 Surveillance de l’état de Firebox Icônes de Firebox System Manager Icône Fonction Redémarre l’affichage. Cette icône s’affiche uniquement lorsque vous n’êtes pas connecté à un périphérique Firebox. Arrête l’affichage. Cette icône s’affiche uniquement lorsque vous êtes connecté à un périphérique Firebox. Affiche les certificats VPN et de gestion enregistrés sur Firebox. Affiche les clés de fonctionnalité inscrites et installées sur Firebox. Démarre Policy Manager. Cette application vous permet de créer ou modifier un fichier de configuration. Démarre HostWatch qui affiche les connexions de ce périphérique Firebox. Démarre l’utilitaire Performance Console, dans lequel vous pouvez configurer des graphiques illustrant l’état du périphérique Firebox. Affiche la boîte de dialogue Journal des communications qui présente les connexions entre Firebox System Manager et le périphérique Firebox. Boutons de Firebox System Manager Bouton Fonction Renouveler S’affiche dans la partie supérieure droite de la fenêtre de FSM lorsqu’une fonctionnalité ou un service WSM a expiré. Pour le renouveler, cliquez sur le bouton. Activer S’affiche dans la partie supérieure droite de la fenêtre de FSM lorsque Firebox n’a pas encore été activé. Pour accéder au site Web LiveSecurity et activer Firebox, cliquez sur le bouton. Forcer la restauration S’affiche dans la partie supérieure droite de la fenêtre de FSM lorsqu’une restauration Multi-WAN se produit. Cliquez sur le bouton pour revenir à l’autre interface WAN. Démarrer Firebox System Manager 1. Si ce n’est pas déjà fait, démarrez WatchGuard System Manager. 2. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique. 3. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager. (Si vous n’êtes pas encore connecté à un périphérique Firebox, connectez-vous à un périphérique Firebox.) 4. Cliquez sur ou sélectionnez Outils > Firebox System Manager. Firebox System Manager s’affiche. Quelques instants sont parfois nécessaires pour que Firebox System Manager se connecte à Firebox et que vous puissiez voir les informations d’état. Définir l’intervalle d’actualisation et la mise en pause de l’affichage Tous les onglets de Firebox System Manager contiennent, dans la partie inférieure de l’écran, une liste déroulante permettant de définir un intervalle d’actualisation et un bouton Pause pour arrêter l’affichage. 38 WatchGuard System Manager Surveillance de l’état de Firebox Intervalle d’actualisation L’intervalle d’actualisation correspond à l’intervalle d’interrogation, autrement dit au temps qui sépare chaque actualisation de l’affichage. Vous pouvez modifier la fréquence (définie en secondes) à laquelle Firebox System Manager recueille les informations de Firebox et envoie les mises à jour à l’interface utilisateur. Vous devez équilibrer la fréquence de collecte des informations et la charge imposée à Firebox. Veillez à examiner l’intervalle d’actualisation de chaque onglet. Lorsqu’un onglet obtient de nouvelles informations à afficher, le texte « Actualisation en cours » s’affiche en regard de la liste déroulante Intervalle d’actualisation. Un intervalle plus court améliore la précision de l’affichage, mais augmente la charge imposée à Firebox. Dans Firebox System Manager, utilisez la liste déroulante Intervalle d’actualisation pour sélectionner une nouvelle durée entre chaque actualisation des fenêtres. Vous pouvez sélectionner 5 secondes, 10 secondes, 30 secondes, 60 secondes, 2 minutes ou 5 minutes. Vous pouvez également y entrer une valeur personnalisée. Pause/Continuer Vous pouvez cliquer sur le bouton Pause pour arrêter temporairement l’actualisation de cette fenêtre par Firebox System Manager. Lorsque vous avez cliqué sur le bouton Pause, ce dernier se transforme en bouton Continuer. Cliquez sur Continuer pour continuer l’actualisation de la fenêtre. Guide de l’utilisateur 39 Surveillance de l’état de Firebox État de base du réseau et de Firebox (onglet Panneau avant) L’onglet Panneau avant de Firebox System Manager affiche des informations de base relatives à Firebox, au réseau et au trafic réseau. Il affiche également des avertissements relatifs à Firebox ou à ses composants. Pour ouvrir Firebox System Manager, procédez comme suit : 1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique. 2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager. 3. Cliquez sur . Vous pouvez également sélectionner Outils > Firebox System Manager. Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état et la configuration peut prendre un certain temps. Pour plus d’informations sur l’état du réseau et de Firebox, voir : Affichage visuel du trafic entre les interfaces Volume du trafic, charge du processeur et état de base État de Firebox État des tunnels VPN et services de sécurité Avertissements Tout avertissement précède les autres informations d’état : Si Firebox n’a pas encore été activé, un avertissement s’affiche et le bouton Activer est visible dans le coin supérieur droit de la fenêtre. Cliquez dessus pour accéder au site Web des services LiveSecurity et obtenir une clé de fonctionnalité pour Firebox. Si l’un des services WSM est sur le point d’expirer, un avertissement s’affiche et le bouton Renouveler est visible dans le coin supérieur droit de la fenêtre. Cliquez dessus pour accéder au site Web des services LiveSecurity et renouveler les services. Développer et fermer les arborescences Pour développer un élément de l’affichage, cliquez sur le signe plus (+) en regard de l’entrée ou doublecliquez sur le nom de l’entrée. Pour réduire un élément, cliquez sur le signe moins (–) en regard de l’entrée. Le signe plus ou moins n’apparaît que si des informations supplémentaires sont disponibles. 40 WatchGuard System Manager Surveillance de l’état de Firebox Affichage visuel du trafic entre les interfaces Dans le coin supérieur gauche de la fenêtre, Firebox System Manager présente un affichage visuel illustrant le sens du trafic entre les interfaces Firebox. Cet affichage indique également si le trafic en cours est autorisé ou refusé sur chaque interface. Il peut être représenté sous la forme d’un triangle ou d’une étoile. Pour ouvrir Firebox System Manager, procédez comme suit : 1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique. 2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager. 3. Cliquez sur . Vous pouvez également sélectionner Outils > Firebox System Manager. Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état et la configuration peut prendre un certain temps. Les points de l’étoile et du triangle illustrent le trafic qui traverse les interfaces. Un point vert correspond au trafic autorisé sur cette interface. Un point rouge indique que le trafic est refusé ou que l’interface refuse un certain trafic et en autorise un autre. Chaque point représente les connexions entrantes et sortantes avec différentes flèches. Lorsque le trafic va et vient entre deux interfaces, les flèches en indiquent la direction. Dans le schéma de l’étoile, l’emplacement où les points se regroupent peut indiquer une des deux conditions suivantes : Rouge (refus) : Firebox refuse une connexion sur cette interface. Vert (autorisation) : un trafic existe entre cette interface et une autre interface (mais pas le centre) de l’étoile. Lorsqu’un trafic existe entre cette interface et le centre, le point entre les deux prend la forme de flèches vertes clignotantes. Dans le triangle, le trafic réseau est représenté dans les points. Ces derniers affichent uniquement la condition inactive ou refusée, sauf lorsque le volume de trafic VPN de l’route par défaut est important. Le trafic VPN de l’route par défaut fait référence aux paquets envoyés à travers un VPN à destination d’un périphérique Firebox configuré comme la passerelle par défaut du réseau VPN. Dans ce cas, l’indicateur de niveau de trafic de Firebox System Manager peut afficher un trafic très important, mais vous ne voyez aucun voyant vert alors que le trafic VPN de l’route par défaut entrant et sortant s’intensifie sur la même interface. Affichage en triangle Si un périphérique Firebox compte seulement trois interfaces configurées, chaque coin du triangle représente une interface. Si un périphérique Firebox compte plus de trois interfaces, chaque coin du triangle représente un type d’interface. Par exemple, si vous avez six interfaces configurées dont une interface externe, une interface approuvée et quatre interfaces facultatives, le coin « Toutes les interfaces facultatives » du triangle représente les quatre interfaces facultatives. Guide de l’utilisateur 41 Surveillance de l’état de Firebox Affichage en étoile L’étoile affiche l’intégralité du trafic entrant et sortant de l’interface centrale. Une flèche reliant l’interface centrale et une interface de nSud indique que Firebox envoie du trafic. Le trafic entre par l’interface centrale et sort par l’interface de nSud. Par exemple, si eth1 est au centre et eth2 à un nSud, une flèche verte indique que le trafic transite de eth1 vers eth2. Il existe deux affichages en étoile : un pour Firebox X Core avec 6 interfaces et un pour Firebox X Peak avec 10 interfaces. Si vous utilisez le schéma en étoile, vous pouvez personnaliser l’interface centrale. Cliquez sur le nom ou le point de l’interface. Cette dernière passe alors au centre de l’étoile. Toutes les autres interfaces se déplacent dans le sens des aiguilles d’une montre. Si vous déplacez une interface au centre de l’étoile, vous pouvez observer tout le trafic qui transite entre cette interface et les autres. Par défaut, l’interface externe apparaît au centre. Pour changer l’affichage, cliquez dessus avec le bouton droit de la souris et sélectionnez Mode Triangle ou Mode Étoile. 42 WatchGuard System Manager Surveillance de l’état de Firebox Volume du trafic, charge du processeur et état de base Firebox System Manager affiche le volume du trafic, la charge du processeur et l’état de base du système sur son panneau avant. Pour ouvrir Firebox System Manager, procédez comme suit : 1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique. 2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager. 3. Cliquez sur . Vous pouvez également sélectionner Outils > Firebox System Manager. Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état et la configuration peut prendre un certain temps. Sous l’affichage du trafic de sécurité figurent l’indicateur de volume du trafic et de charge du processeur, ainsi que des informations d’état de base (Détail). Les deux histogrammes illustrent le volume de trafic et la capacité de Firebox. État de Firebox Le côté droit du panneau avant de Firebox System Manager affiche des informations d’état de base. Pour ouvrir Firebox System Manager, procédez comme suit : 1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique. 2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager. 3. Cliquez sur . Vous pouvez également sélectionner Outils > Firebox System Manager. Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état et la configuration peut prendre un certain temps. Guide de l’utilisateur 43 Surveillance de l’état de Firebox États et avertissements État de Firebox. Inclut la version de Fireware et la chaîne de correctif. Avertissements : s’affichent lorsque des mises à jour des services de sécurité sont disponibles ou lorsque les services d’abonnement ou autres fonctionnalités arrivent bientôt à expiration. Pour les renouveler, cliquez sur le bouton Renouveler qui s’affiche dans la partie supérieure droite de la fenêtre de FSM. Détails sur Firebox, High Availability et l’interface Sous l’onglet Panneau avant de Firebox System Manager (visible lorsque vous démarrez FSM), développez les entrées pour afficher les informations suivantes : 44 Si High Availability est configuré, si le pair HA est disponible. L’heure de la dernière mise à jour de la configuration des périphériques principaux et secondaires s’affiche également. L’adresse IP de chaque interface Firebox et le mode de configuration de l’interface externe. WatchGuard System Manager Surveillance de l’état de Firebox Si vous développez une nouvelle fois les entrées de chaque interface, vous affichez les informations suivantes : l’adresse IP, la passerelle et le masque de réseau de chaque interface configurée ; l’adresse MAC (Media Access Control) de chaque interface ; le nombre d’octets et de paquets échangés depuis le dernier redémarrage de Firebox ; l’état du lien physique (une interface ou un lien en couleur signifie qu’il est configuré et une icône noire indique que l’interface ou le lien est désactivé). Certificats et leur état actuel FSM affiche les certificats de Firebox et leur état actuel. Pour les certificats valides, FSM affiche l’empreinte et la période de validité. Guide de l’utilisateur 45 Surveillance de l’état de Firebox État des tunnels VPN et services de sécurité Le panneau avant de Firebox System Manager affiche des statistiques relatives aux tunnels VPN actifs. Pour ouvrir Firebox System Manager, procédez comme suit : 1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique. 2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager. 3. Cliquez sur . Vous pouvez également sélectionner Outils > Firebox System Manager. Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état et la configuration peut prendre un certain temps. Sous la section État de Firebox, à droite de l’écran, figure une section consacrée aux tunnels BOVPN. Firebox System Manager affiche l’état en cours et les informations de passerelle de chaque tunnel VPN, ainsi que les données échangées, les informations de création et d’expiration, le type d’authentification et de chiffrement et le nombre de renouvellements de clés. Chaque tunnel BOVPN peut avoir l’un des trois états suivants : Actif Le tunnel BOVPN est opérationnel et transmet le trafic. Inactif Le tunnel BOVPN a été créé mais aucune négociation n’a eu lieu. Aucun trafic n’a été envoyé à travers le tunnel VPN. Expiré Le tunnel BOVPN a été actif mais ne l’est plus car il n’a plus de trafic ou le lien entre les passerelles est rompu. Ces informations apparaissent également sous l’onglet État du périphérique dans WatchGuard System Manager. 46 WatchGuard System Manager Surveillance de l’état de Firebox État des tunnels Mobile VPN Firebox System Manager affiche le nom d’utilisateur, l’adresse IP et la quantité de paquets échangés de trois types de tunnels Mobile VPN : Mobile VPN with IPSec Mobile VPN with SSL Mobile VPN with PPTP Pour déconnecter les utilisateurs de Mobile VPN, cliquez avec le bouton droit de la souris sur un utilisateur et sélectionnez Déconnecter l’utilisateur sélectionné. État des services de sécurité Sous Services de sécurité, Firebox System Manager affiche le nombre de virus détectés, le nombre d’intrusions, le nombre de messages électroniques confirmés comme étant du courrier indésirable et le nombre de requêtes Web refusées par WebBlocker depuis le dernier redémarrage. Guide de l’utilisateur 47 Surveillance de l’état de Firebox Messages des journaux Firebox (Moniteur du trafic) Pour voir les messages des journaux Firebox, cliquez sur l’onglet Moniteur du trafic. Cet utilitaire vous aide à résoudre les problèmes de performances réseau. Vous pouvez par exemple y observer les stratégies les plus couramment utilisées ou si les interfaces externes sont constamment utilisées à leur capacité maximum. Vous pouvez personnaliser le Moniteur du trafic de différentes façons : 48 Modifier les paramètres du Moniteur du trafic Copier les messages dans une autre application En savoir plus sur un message Activer la notification des messages spécifiques Utilisez les icônes de la partie supérieure de l’onglet Moniteur du trafic pour afficher des types de messages de journaux spécifiques uniquement. Lorsque vous configurez la connexion pour un périphérique Firebox, vous pouvez lui indiquer d’afficher les messages de diagnostic dans Traffic Manager. Cela peut vous aider à diagnostiquer rapidement un problème. Pour plus d’informations, voir Activer les diagnostics avancés. WatchGuard System Manager Surveillance de l’état de Firebox Modifier les paramètres du Moniteur du trafic Vous pouvez modifier un certain nombre de paramètres dans le Moniteur du trafic : 1. Démarrez Firebox System Manager. 2. Dans Firebox System Manager, sélectionnez Fichier > Paramètres. La boîte de dialogue Paramètres s’affiche. Définir le nombre maximum de messages des journaux Vous pouvez modifier le nombre maximum de messages des journaux conservés et affichés sur le Moniteur du trafic. Lorsque la limite est atteinte, les nouveaux messages remplacent les premières entrées. Si votre processeur est lent ou la quantité de RAM insuffisante, une valeur élevée de ce champ peut ralentir le système de gestion. Si vous devez examiner un grand nombre de messages des journaux, nous vous conseillons d’utiliser LogViewer, comme cela est décrit dans la rubrique Utiliser LogViewer pour afficher les fichiers journaux. 1. Dans Firebox System Manager, sélectionnez Fichier > Paramètres. La boîte de dialogue Paramètres s’affiche. 2. Dans la liste déroulante Maximum de messages des journaux, sélectionnez le nombre de messages des journaux que vous souhaitez afficher dans le Moniteur du trafic. Cliquez sur OK. La valeur entrée indique le nombre de messages des journaux en milliers. Afficher les noms de champs du journal Vous pouvez paramétrer le Moniteur du trafic pour qu’il contienne des étiquettes pour les champs des messages, comme ip_src, ip_dst et port_src. 1. Dans Firebox System Manager, sélectionnez Fichier > Paramètres. La boîte de dialogue Paramètres s’affiche. 2. Activez la case à cocher Afficher les noms des champs du journal. Cliquez sur OK. Guide de l’utilisateur 49 Surveillance de l’état de Firebox Utiliser la couleur pour les messages des journaux Dans le Moniteur du trafic, vous pouvez afficher les messages dans différentes couleurs. Ces couleurs peuvent vous permettre de différencier les types d’informations. 1. Dans Firebox System Manager, sélectionnez Fichier > Paramètres. Cliquez sur l’onglet Moniteur du trafic. 2. Pour désactiver ou activer l’affichage des couleurs, activez ou désactivez la case à cocher Afficher les journaux en couleur. 3. Sous l’onglet Alarme, Trafic autorisé, Trafic refusé, Événement, Déboguer ou Performances, cliquez sur le champ devant apparaître en couleur. La zone en regard du champ Couleur du texte à droite des onglets indique la couleur utilisée pour le champ. 4. Pour changer la couleur, cliquez sur la zone en regard de l’option Couleur du texte. Sélectionnez une couleur. Un aperçu de la couleur s’affiche en bas de la boîte de dialogue. Cliquez sur OK pour fermer la boîte de dialogue de sélection des couleurs ou sur Rétablir pour revenir à la couleur de texte utilisée avant d’ouvrir cette boîte de dialogue. Cliquez une nouvelle fois sur OK pour fermer la boîte de dialogue Paramètres. 5. Vous pouvez également sélectionner une couleur d’arrière-plan pour le Moniteur du trafic. Cliquez sur la zone en regard de Couleur d’arrière-plan. Utilisez les procédures décrites plus haut pour changer la couleur. Vous pouvez annuler les changements apportés dans cette boîte de dialogue. Pour ce faire, cliquez sur Paramètres par défaut. 50 WatchGuard System Manager Surveillance de l’état de Firebox Copier les messages dans une autre application Pour copier-coller un message du journal dans une autre application logicielle, cliquez dessus avec le bouton droit de la souris et sélectionnez Copier la sélection. Si vous sélectionnez Copier tout, Firebox System Manager copie tous les messages des journaux. Ouvrez l’autre application et collez le ou les messages. Vous pouvez ouvrir le fichier journal dans LogViewer qui propose un éventail plus large de fonctionnalités destinées aux messages des journaux. Pour plus d’informations sur LogViewer, voir Utiliser LogViewer pour afficher les fichiers journaux et les rubriques connexes Importer et exporter les données des fichiers journaux et Imprimer, enregistrer ou envoyer les messages des journaux par e-mail. En savoir plus sur un message Pour en savoir plus sur un message du journal du trafic, vous pouvez effectuer les opérations suivantes : Exécuter la commande ping sur la source ou la destination Pour exécuter la commande ping sur l’adresse IP source ou cible d’un message du journal du trafic, cliquez avec le bouton droit de la souris sur le message et sélectionnez Ping. La boîte de dialogue Tâches de diagnostic s’affiche avec l’option Ping sélectionnée dans la liste déroulante Tâches. Entrez une adresse sur laquelle exécuter la commande ping et cliquez sur Exécuter la tâche. Tracer l’route vers la source ou la destination Pour tracer l’route vers l’adresse IP source ou cible d’un message du journal du trafic, cliquez avec le bouton droit de la souris sur le message et sélectionnez Tracer l’route. La boîte de dialogue Tâches de diagnostics s’affiche avec l’option Tracer l’route sélectionnée dans la liste déroulante Tâches. Entrez une adresse et cliquez sur Exécuter la tâche. Activer la notification des messages spécifiques Pour analyser des événements Firebox spécifiques qui ne déclenchent normalement aucune notification, vous pouvez activer la notification des messages spécifiques dans le journal du trafic. Les messages suivants dotés du même identifiant de message déclenchent une notification. 1. Cliquez avec le bouton droit de la souris sur un message et sélectionnez Notifications d’événements. La boîte de dialogue Notifications d’événements s’affiche. Les identifiants et descriptions de chaque message figurent dans un tableau. Pour trier les données en fonction d’une colonne spécifique, cliquez sur son en-tête. 2. Activez la case à cocher Notifier des messages pour lesquels vous souhaitez déclencher des notifications. Les paramètres de notification en bas de la boîte de dialogue s’appliquent à toutes les notifications d’événements. Pour plus d’informations sur la manière d’utiliser ces champs, voir Définir les préférences de journalisation et de notification. Guide de l’utilisateur 51 Surveillance de l’état de Firebox Affichage visuel de l’utilisation de la bande passante (Onglet Mesure de la bande passante) Sélectionnez l’onglet Mesure de la bande passante pour voir la bande passante en temps réel de toutes les interfaces Firebox. L’axe des Y (vertical) représente le nombre de connexions. L’axe des X (horizontal) représente le temps. Si vous cliquez sur n’importe quelle zone du graphique, vous ouvrez une fenêtre contextuelle contenant des informations détaillées sur l’utilisation de la bande passante à ce moment précis. La mesure montre les interfaces VLAN, le cas échéant, en plus des interfaces physiques. 52 WatchGuard System Manager Surveillance de l’état de Firebox Pour modifier le mode d’affichage de la bande passante, procédez comme suit : Dans Firebox System Manager, sélectionnez Fichier > Paramètres. Cliquez sur l’onglet Mesure de la bande passante. Suivez une ou plusieurs des étapes présentées dans les sections ci-dessous. Modifier l’échelle Vous pouvez modifier l’échelle de l’onglet Mesure de la bande passante. Utilisez la liste déroulante Échelle du graphique pour sélectionner la valeur correspondant le mieux à la vitesse de votre réseau. Vous pouvez également définir une échelle personnalisée. Entrez la valeur en kilo-octets par seconde dans la zone de texte Échelle personnalisée. Ajouter et supprimer des lignes Pour ajouter une ligne à l’onglet Mesure de la bande passante, sélectionnez l’interface dans la liste Masquer de la section Paramètres des couleurs. Utilisez le contrôle Couleur du texte pour sélectionner une couleur pour la ligne. Cliquez sur Ajouter. Le nom de l’interface s’affiche dans la liste Afficher avec la couleur sélectionnée. Pour supprimer une ligne de l’onglet Mesure de la bande passante, sélectionnez l’interface dans la liste Afficher de la section Paramètres des couleurs. Cliquez sur Supprimer. Le nom de l’interface s’affiche dans la liste Masquer. Changer les couleurs Vous pouvez modifier les couleurs de l’affichage de l’onglet Mesure de la bande passante. Utilisez les zones de sélection des couleurs d’arrière-plan et de ligne de grille pour sélectionner une nouvelle couleur. Guide de l’utilisateur 53 Surveillance de l’état de Firebox Changer le mode d’affichage des interfaces Vous pouvez modifier la manière dont les noms d’interface s’affichent à gauche de l’onglet Mesure de la bande passante. Ils peuvent apparaître sous forme de liste. L’affichage peut également montrer un nom d’interface à côté de la ligne qu’il identifie. Utilisez la liste déroulante Afficher l’interface pour sélectionner Liste ou Indicateurs. Affichage visuel de l’utilisation des stratégies (Onglet Suivi du service) Sélectionnez l’onglet Suivi du service de Firebox System Manager pour afficher un graphique des stratégies configurées dans Policy Manager pour un périphérique Firebox. L’axe des Y (vertical) représente le nombre de connexions. L’axe des X (horizontal) représente le temps. Si vous cliquez sur n’importe quelle zone du graphique, vous ouvrez une fenêtre contextuelle contenant des informations détaillées sur l’utilisation des stratégies à ce moment précis. 1. Pour modifier le mode d’affichage des stratégies, sélectionnez Fichier > Paramètres. Cliquez sur l’onglet Suivi du service. 54 WatchGuard System Manager Surveillance de l’état de Firebox 2. Suivez une ou plusieurs des étapes décrites dans les sections ci-dessous. Modifier l’échelle Vous pouvez modifier l’échelle de l’onglet Suivi du service. Utilisez la liste déroulante Échelle du graphique pour sélectionner la valeur correspondant le mieux au volume de trafic de votre réseau. Vous pouvez également définir une échelle personnalisée. Entrez le nombre de connexions dans la zone de texte Échelle personnalisée. Afficher la bande passante utilisée par une stratégie Pour afficher les octets par seconde utilisés par une stratégie plutôt que le nombre de connexions, dans le menu déroulant Type de graphique, sélectionnez Bande passante. Pour afficher l’utilisation de la bande passante par interface plutôt que par stratégie, voir Affichage visuel de l’utilisation de la bande passante (Onglet Mesure de la bande passante). Guide de l’utilisateur 55 Surveillance de l’état de Firebox Ajouter et supprimer des lignes Pour ajouter une ligne à l’onglet Suivi du service, sélectionnez la stratégie dans la liste Masquer de la section Paramètres des couleurs. Utilisez le contrôle Couleur du texte pour sélectionner une couleur pour la ligne. Cliquez sur Ajouter. Le nom de l’interface s’affiche dans la liste Afficher avec la couleur sélectionnée. Pour supprimer une ligne de l’onglet Suivi du service, sélectionnez la stratégie dans la liste Afficher de la section Paramètres des couleurs. Cliquez sur Supprimer. Le nom de l’interface s’affiche dans la liste Masquer. Changer les couleurs Vous pouvez modifier les couleurs de l’affichage de l’onglet Suivi du service. Utilisez les zones de sélection des couleurs d’arrière-plan et de ligne de grille pour sélectionner une nouvelle couleur. Changer le mode d’affichage des noms de stratégie Vous pouvez modifier la manière dont les noms de stratégies s’affichent à gauche de l’onglet Suivi du service. Ils peuvent apparaître sous forme de liste. L’onglet peut également montrer un nom d’interface à côté de la ligne qu’il identifie. Utilisez la liste déroulante Afficher les étiquettes de stratégie sous la forme de pour sélectionner Liste ou Indicateurs. Afficher les connexions par stratégie ou règle Utilisez la liste déroulante Afficher les connexions par pour indiquer si le graphique doit afficher les connexions par stratégie ou par règle. Si vous sélectionnez Stratégie, la partie gauche du graphique se transforme en une liste de stratégies correspondant à celles qui apparaissent dans Policy Manager. Cela inclut les stratégies des onglets Pare-feu et Mobile User with IPSec. Si vous sélectionnez Règle, le graphique affiche les activités en fonction des règles définies dans Policy Manager. 56 WatchGuard System Manager Surveillance de l’état de Firebox Statistiques de trafic et de performances L’onglet Rapport d’état affiche des statistiques relatives au trafic et aux performances de Firebox. Le rapport d’état de Firebox contient les informations suivantes : Informations sur le temps d’activité et la version Le temps d’activité de Firebox, la version du logiciel WatchGuard Firebox System, le modèle de Firebox, la version du logiciel système et le correctif, le cas échéant. L’état et la version des composants de Firebox y figurent également. Serveurs Log Server Adresses IP de tous les serveurs Log Server configurés. Options de journalisation Options des messages des journaux configurées à l’aide de l’Assistant Quick Setup Wizard ou de Policy Manager. Mémoire et charge moyennes Statistiques d’utilisation de la mémoire (en octets de mémoire) et de la charge moyennes de Firebox. La charge moyenne compte trois valeurs qui affichent généralement une moyenne sur la dernière, les 5 et les 15 dernières minutes. Les valeurs dépassant 1,00 (100 %) indiquent la mise en file d’attente des threads jusqu’à la libération de ressources. (Une charge système supérieure à 1,00 ne signifie pas que le système est surchargé.) Processus ID, nom et état du processus. Guide de l’utilisateur 57 Surveillance de l’état de Firebox Configuration du réseau Informations sur les cartes réseau de Firebox : nom de l’interface, ses adresses matérielles et logicielles et son masque de réseau. L’affichage inclut également des informations de routage local, les alias IP et les baux DHCP réservés. Liste des sites bloqués, exceptions aux sites bloqués Sites bloqués manuellement et exceptions actives. Les sites bloqués temporairement s’affichent sous l’onglet des sites bloqués permanents. Interfaces Chaque interface Firebox, avec les informations relatives à son type (externe, approuvé ou facultatif), son état et le nombre de paquets. Routes Table de routage des noyaux Firebox. Ces routes peuvent vous permettre d’associer une interface Firebox à une adresse de destination. Les routes dynamiques et groupes ECMP acceptés par le démon de routage dynamique apparaissent également. Table ARP Table ARP sur Firebox. Cette table permet d’associer les adresses IP aux adresses matérielles. (Lorsqu’un système est en mode d’insertion, utilisez le contenu de la table ARP uniquement pour réparer la connectivité vers les réseaux secondaires des interfaces.) Entrées DNAT (Dynamic Network Address Translation) totales Nombres d’entrées utilisées et disponibles. État Multi-WAN Informations relatives aux passerelles et connexions persistantes. Inclut également la table des connexions persistantes. Baux clients DHCP Informations relatives aux baux clients DHCP sur Firebox. Routage dynamique Composants de routage dynamique utilisés sur Firebox, le cas échéant. Serveurs DNS Adresses des serveurs DNS. Intervalle d’actualisation Fréquence à laquelle cet affichage met à jour les informations. Assistance technique Cliquez sur Assistance technique pour ouvrir la boîte de dialogue Journaux d’assistance technique. C’est ici que vous définissez l’emplacement d’enregistrement du fichier journal de diagnostic. Le fichier d’assistance technique est enregistré au format .tgz. Vous créez ce fichier à des fins de dépannage, lorsque vous y êtes invité par le responsable de l’assistance technique. 58 WatchGuard System Manager Surveillance de l’état de Firebox Utilisateurs authentifiés L’onglet Liste d’authentification de Firebox System Manager contient des informations relatives à tous les utilisateurs authentifiés auprès de Firebox. Les informations relatives à chaque utilisateur authentifié s’affichent dans les quatre colonnes suivantes : Utilisateur Nom sous lequel l’utilisateur s’est authentifié. Type Type d’utilisateur authentifié : utilisateur se trouvant derrière un pare-feu ou itinérant. Adresse IP Adresse IP interne de l’utilisateur. Pour les utilisateurs itinérants, l’adresse IP présentée ici est celle qui leur est attribuée par Firebox. Adresse de provenance Adresse IP de l’ordinateur à partir duquel l’utilisateur s’authentifie. Pour les utilisateurs itinérants, l’adresse IP présentée ici est celle de l’ordinateur à partir duquel ils se sont connectés à Firebox. Pour les utilisateurs se trouvant derrière un pare-feu, l’adresse IP et l’adresse de provenance sont les mêmes. Vous pouvez cliquer sur les en-têtes de colonne pour trier les utilisateurs. Vous pouvez également déconnecter l’utilisateur de Firebox. Pour cela, cliquez avec le bouton droit sur le nom d’utilisateur, puis arrêtez sa session d’authentification. Guide de l’utilisateur 59 Surveillance de l’état de Firebox Afficher ou modifier la liste des sites bloqués L’onglet Sites bloqués de Firebox System Manager contient les adresses IP de toutes les adresses IP externes temporairement bloquées. Plusieurs événements peuvent entraîner l’ajout d’une adresse IP à l’onglet Sites bloqués : une exploration d’espaces de port, une attaque d’usurpation, une exploration d’espaces d’adresse ou un événement que vous configurez. À côté de chaque adresse IP figure l’heure à laquelle elle sort de l’onglet Sites bloqués. Utilisez la boîte de dialogue Sites bloqués de Policy Manager pour régler la durée pendant laquelle une adresse IP reste dans la liste. Ajouter et supprimer des sites Le bouton Ajouter vous permet d’ajouter temporairement un site à la liste des sites bloqués. Cliquez sur Modifier l’expiration pour modifier l’heure à laquelle ce site est retiré de la liste. Le bouton Supprimer retire le site de la liste des sites bloqués. Vous pouvez retirer un site de la liste uniquement si vous ouvrez Firebox à l’aide du mot de passe de configuration. 60 WatchGuard System Manager Surveillance de l’état de Firebox Services de sécurité L’onglet Services de sécurité de Firebox System Manager affiche des statistiques du périphérique Firebox actif sur les abonnements aux services de sécurité suivants, s’ils sont installés : Statistiques Gateway AntiVirus Statistiques Intrusion Prevention Service Statistiques SpamBlocker Vous pouvez également utiliser cette page pour mettre à jour les signatures et le moteur des services Gateway AntiVirus et Intrusion Protection Service, comme cela est décrit dans la rubrique Afficher l’état et mettre à jour les signatures ou le moteur manuellement. Statistiques Gateway AntiVirus L’onglet Services de sécurité de Firebox System Manager affiche les statistiques du périphérique Firebox actif relatives à la fonctionnalité Gateway AntiVirus. Activité depuis le dernier redémarrage Virus détectés : nombre de virus détectés dans les fichiers analysés depuis le dernier redémarrage de Firebox. Objets analysés/non analysés : nombre de fichiers analysés ou non analysés depuis le dernier redémarrage de Firebox. Signatures Version installée : numéro de version des signatures installées. Dernière mise à jour : date de la dernière mise à jour des signatures. Version disponible : si une nouvelle version des signatures est disponible. URL du serveur : URL consultée par Firebox pour vérifier la disponibilité d’éventuelles mises à jour et URL à partir de laquelle les mises à jour sont téléchargées. Historique : cliquez dessus pour afficher une liste de toutes les mises à jour de signatures. Vous pouvez cliquer avec le bouton droit de la souris sur une mise à jour sélectionnée ou sur la liste entière de mises à jour pour copier les informations correspondantes. Mise à jour : cliquez dessus pour mettre à jour les signatures de virus. Ce bouton est actif uniquement si une nouvelle version de signatures de virus est disponible. Guide de l’utilisateur 61 Surveillance de l’état de Firebox Moteur Version installée : numéro de version du moteur installé. Dernière mise à jour : date de la dernière mise à jour du moteur. Version disponible : si une nouvelle version du moteur est disponible. URL du serveur : URL consultée par Firebox pour vérifier la disponibilité d’éventuelles mises à jour et URL à partir de laquelle les mises à jour sont téléchargées. Historique : cliquez dessus pour afficher une liste de toutes les mises à jour du moteur. Vous pouvez cliquer avec le bouton droit de la souris sur une mise à jour sélectionnée ou sur la liste entière de mises à jour pour copier les informations correspondantes. Mise à jour : cliquez dessus pour mettre à jour les signatures de virus. Statistiques du service Intrusion Prevention Service L’onglet Services de sécurité de Firebox System Manager présente les statistiques du périphérique Firebox actif relatives à la fonctionnalité Intrusion Prevention Service pour les signatures. Activité depuis le dernier redémarrage Analyses effectuées : nombre de fichiers analysés depuis le dernier redémarrage de Firebox. Intrusions détectées : nombre d’intrusions détectées dans les fichiers analysés depuis le dernier redémarrage de Firebox. Intrusions empêchées : nombre de fichiers infectés supprimés depuis le dernier redémarrage de Firebox. Signatures Version installée : numéro de version des signatures installées. Dernière mise à jour : date de la dernière mise à jour des signatures. Version disponible : si une nouvelle version des signatures est disponible. URL du serveur : URL consultée par Firebox pour vérifier la disponibilité d’éventuelles mises à jour et URL à partir de laquelle les mises à jour sont téléchargées. Historique : cliquez dessus pour afficher une liste de toutes les mises à jour de signature. Mettre à jour : cliquez dessus pour mettre à jour les signatures d’Intrusion Prevention. Ce bouton est actif uniquement si une nouvelle version des signatures d’Intrusion Prevention est disponible. Afficher : cliquez dessus pour télécharger et afficher une liste de toutes les signatures IPS actuelles. Une fois les signatures téléchargées, vous pouvez les consulter par identifiant. Statistiques de spamBlocker L’onglet Service de sécurité de Firebox System Manager contient les statistiques du périphérique Firebox actif relatives à spamBlocker. Les informations suivantes s’affichent : le nombre de messages identifiés comme du courrier indésirable confirmé, des e-mails en masse, du courrier indésirable présumé ou du courrier légitime depuis le dernier redémarrage ; le nombre de messages bloqués, marqués ou envoyés au serveur Quarantine Server depuis le dernier redémarrage ; le nombre de messages bloqués ou autorisés depuis le dernier redémarrage à cause d’une liste d’exceptions spamBlocker que vous avez créée. Les exceptions créées pour bloquer des sites supplémentaires sont parfois appelées liste noire et celles qui sont créées pour autoriser des sites supplémentaires sont parfois appelées liste blanche. Si vous redémarrez Firebox, tous les compteurs sont remis à zéro. 62 WatchGuard System Manager Surveillance de l’état de Firebox À propos d’HostWatch HostWatch est une interface utilisateur graphique qui affiche les connexions entre les différentes interfaces Firebox. HostWatch fournit également des informations relatives aux utilisateurs, connexions, ports, état de la connexion (normal ou bloqué), entre autres. Fenêtre HostWatch La partie supérieure de la fenêtre HostWatch est séparée en deux. La partie gauche permet de définir l’interface à analyser. La partie droite affiche les connexions entrantes et sortantes de l’interface configurée dans la partie gauche. Les lignes qui connectent les hôtes source et cible utilisent des couleurs pour afficher le type de connexion. Vous pouvez les modifier. Les couleurs par défaut sont les suivantes : Rouge : Firebox refuse la connexion. Bleu : la connexion utilise un proxy. Vert : Firebox utilise NAT pour la connexion. Noir : connexion normale (elle a été acceptée et n’utilise ni proxy ni NAT). Les icônes illustrant le type de service s’affichent en regard des entrées de serveur. Telnet FTP HTTP Autre Messagerie électronique Résolution DNS et HostWatch La résolution DNS (Domain name server) ne se produit pas immédiatement au démarrage d’HostWatch. Lorsqu’HostWatch est configuré pour la résolution DNS, il remplace les adresses IP par les noms d’hôtes ou d’utilisateurs. Si Firebox ne peut pas identifier le nom d’hôte ou d’utilisateur, l’adresse IP reste dans la fenêtre HostWatch. Si vous utilisez la résolution DNS avec HostWatch, la station de gestion peut envoyer un grand nombre de paquets NetBIOS (UDP 137) via le périphérique Firebox. Pour éviter cela, la seule méthode consiste à désactiver le NetBIOS sur TCP/IP dans Windows. Démarrer HostWatch Pour démarrer HostWatch, dans Firebox System Manager, cliquez sur Vous pouvez également sélectionner Outils > HostWatch. . Suspendre HostWatch Vous pouvez arrêter temporairement puis redémarrer l’affichage à l’aide des boutons Pause et Continuer de la barre d’outils. Vous pouvez également sélectionner Fichier > Pause et Fichier > Continuer. Guide de l’utilisateur 63 Surveillance de l’état de Firebox Sélectionner les connexions et les interfaces à analyser Lorsque vous démarrez HostWatch pour la première fois, les interfaces internes de Firebox s’affichent dans la partie supérieure gauche de la fenêtre et les connexions entre ces interfaces dans la partie supérieure droite. Double-cliquez sur un élément de la partie droite ou gauche pour ouvrir la boîte de dialogue Connexions pour contenant les connexions impliquant cet élément. La boîte de dialogue affiche les informations relatives à la connexion et inclut les adresses IP, le numéro de port, l’heure, le type de connexion, ainsi que la direction. La partie inférieure de la fenêtre HostWatch affiche toutes les connexions entre toutes les interfaces. Les informations sont répertoriées dans un tableau qui comprend : Source et destination Port Interface Firebox utilisée et type de trafic (entrant ou sortant) Type de connexion (normale, avec proxy, bloquée) Détails, comme l’heure de création de la connexion ou la commande utilisée pour la créer Sélectionner une nouvelle interface à gérer Pour sélectionner une nouvelle interface, sélectionnez Afficher > Interface, puis l’interface à analyser. Vous pouvez également cliquer avec le bouton droit de la souris sur le nom de l’interface active et sélectionner la nouvelle interface. Pour spécifier le nom exact de l’interface ou utiliser une expression régulière pour extraire plusieurs interfaces, sélectionnez Autre dans la liste des interfaces lorsque vous sélectionnez Afficher > Interface. Ceci vous permet par exemple d’afficher les VLAN dans HostWatch. 64 WatchGuard System Manager Surveillance de l’état de Firebox Filtrer le contenu d’une fenêtre HostWatch Par défaut, HostWatch affiche l’intégralité des stratégies, hôtes, ports et utilisateurs authentifiés. Vous pouvez modifier cette fenêtre pour qu’elle affiche uniquement le contenu de votre choix. Cette fonctionnalité vous permet par exemple d’analyser des stratégies, des hôtes, des ports ou des utilisateurs spécifiques. 1. Dans HostWatch, sélectionnez Afficher > Filtre. 2. Cliquez sur l’onglet correspondant pour analyser les éléments suivants : Liste des stratégies, Hôtes externes principaux, Autres hôtes, Ports ou Utilisateurs authentifiés. 3. Sous l’onglet de chaque élément que vous souhaitez observer, entrez l’adresse IP, le numéro de port ou le nom d’utilisateur à analyser. Cliquez sur Ajouter. Si vous filtrez par stratégies, activez la case à cocher à côté de chaque stratégie à analyser. Vous pouvez également activer la case à cocher Afficher tout de chaque onglet pour afficher tous les éléments de la catégorie. 4. Cliquez sur OK. Guide de l’utilisateur 65 Surveillance de l’état de Firebox Modifier les propriétés visuelles d’HostWatch Vous pouvez modifier la manière dont HostWatch affiche les informations. Par exemple, vous pouvez demander à HostWatch d’afficher les noms d’hôtes plutôt que les adresses. 1. Dans HostWatch, sélectionnez Afficher > Paramètres. 2. Utilisez l’onglet Affichage pour modifier le mode d’affichage des hôtes dans la fenêtre HostWatch. 3. Utilisez l’onglet Couleur des lignes pour modifier les couleurs des lignes entre les connexions NAT, proxy, bloquées et normales. 4. Cliquez sur OK pour fermer la boîte de dialogue Paramètres. 66 WatchGuard System Manager Surveillance de l’état de Firebox Visiter ou bloquer un site à partir d’HostWatch Pour visiter un site affiché dans HostWatch, dans le volet inférieur de la fenêtre, cliquez avec le bouton droit de la souris sur le site et sélectionnez Visiter le site Web avec proxy. Dans la fenêtre contextuelle qui s’affiche, indiquez l’adresse du site. Vous pouvez également bloquer une adresse IP et l’ajouter à la liste Sites bloqués : 1. Dans le volet supérieur, cliquez avec le bouton droit de la souris sur une adresse IP et sélectionnez Bloquer le site : adresse du site. Vous pouvez également cliquer avec le bouton droit de la souris sur une connexion dans le volet inférieur et sélectionner soit Bloquer le site : adresse source soit Bloquer le site : adresse de destination. 2. Dans la fenêtre contextuelle qui s’affiche, indiquez la durée pendant laquelle le site doit rester bloqué. 3. À l’invite, entrez le mot de passe de configuration. Firebox bloque alors toutes les connexions réseau qui entrent ou sortent de cette adresse IP. À propos de Performance Console Performance Console est un utilitaire Firebox qui vous permet de créer des graphiques illustrant le fonctionnement de différentes parties de Firebox. Pour obtenir les informations souhaitées, définissez des compteurs qui identifient les informations utilisées pour créer le graphique. Démarrer Performance Console Pour démarrer Performance Console, dans Firebox System Manager, cliquez sur Performance Console. La fenêtre Ajouter un graphique s’affiche. . Ou sélectionnez Outils > Créer des graphiques avec Performance Console Pour créer des graphiques dans Performance Console, procédez comme suit : Définissez des compteurs de performances. Les compteurs sont regroupés dans les catégories répertoriées dans la rubrique « Types de compteurs » ci-dessous. Modifiez un graphique ou ajoutez-en un nouveau, comme cela est décrit dans la rubrique Ajouter des graphiques ou modifier les intervalles d’interrogation. Guide de l’utilisateur 67 Surveillance de l’état de Firebox Types de compteurs Vous pouvez analyser les types de compteurs de performances suivants : Informations système Affiche le mode d’utilisation du processeur. Interfaces Analyse et signale les événements des interfaces sélectionnées. Par exemple, vous pouvez définir un compteur qui analyse le nombre de paquets reçus par une interface spécifique. Stratégies Analyse et signale les événements des stratégies sélectionnées. Par exemple, vous pouvez définir un compteur qui surveille le nombre de paquets examinés par une stratégie spécifique. Pairs VPN Analyse et signale les événements des stratégies VPN sélectionnées. Tunnels Analyse et signale les événements des tunnels VPN sélectionnés. Arrêter l’analyse ou fermer la fenêtre Cliquez sur Arrêter l’analyse pour arrêter Performance Console. Vous pouvez arrêter le moniteur pour économiser des ressources et le redémarrer ultérieurement. Cliquez sur Fermer pour fermer la fenêtre du graphique. Définir les compteurs de performances Pour identifier un compteur d’une des catégories, procédez comme suit : 1. Dans Firebox System Manager, cliquez sur La fenêtre Ajouter un graphique s’affiche. , ou sélectionnez Outils > Performance Console. 2. Dans la fenêtre Ajouter un graphique, développez une des catégories de compteurs figurant sous Compteurs disponibles. Cliquez sur le signe + (plus) en regard du nom de la catégorie pour afficher les compteurs disponibles pour cette dernière. 68 WatchGuard System Manager Surveillance de l’état de Firebox 3. Cliquez sur un compteur. Par exemple, Utilisation du processeur. Les champs Configuration du compteur sont automatiquement actualisés en fonction du compteur sélectionné. 4. Dans la liste déroulante Fenêtre du graphique, sélectionnez Nouvelle fenêtre si vous souhaitez que le graphique s’affiche dans une nouvelle fenêtre. Ou, si des noms de fenêtres ouvertes figurent dans la liste, cliquez sur l’un d’entre eux pour ajouter le graphique à une fenêtre ouverte. 5. Dans la liste déroulante Intervalle d’interrogation, sélectionnez une durée d’intervalle comprise entre cinq secondes et une heure. Il s’agit de la fréquence à laquelle Performance Console recherche les informations mises à jour sur Firebox. 6. Ajoutez les informations de configuration relatives au compteur sélectionné. Certains champs s’affichent automatiquement en fonction du compteur choisi. Ces champs sont les suivants : o Type : sélectionnez le type de graphique à créer dans la liste déroulante. Il peut s’agir d’un graphique par taux, différence ou valeur brute. Supposons que vous souhaitiez représenter un graphique de valeur_1 à heure_1, valeur_2 à heure_2, etc. Si vous créez un graphique par taux, vous utilisez la différence de valeur divisée par la différence d’heure : (valeur_2-valeur_1)/(heure_2-heure_1), (valeur_3-valeur_2)/(heure_3-heure_2), etc. Si vous spécifiez différence, vous utilisez la différence entre la nouvelle valeur et la valeur précédente : valeur_2-valeur_1, valeur_3-valeur_2, etc. Si vous spécifiez valeur brute, vous utilisez uniquement la valeur : valeur_1, valeur_2, etc. Les valeurs brutes sont généralement des compteurs d’octets ou de paquets. Ils ne peuvent qu’augmenter. o Interface : sélectionnez dans la liste déroulante l’interface pour laquelle vous souhaitez représenter les données dans un graphique. o Stratégie : si vous sélectionnez un compteur de stratégies, choisissez dans la liste déroulante une stratégie de votre configuration Firebox dont vous souhaitez représenter les données dans un graphique. Vous pouvez mettre à jour la liste des stratégies qui s’affichent dans Performance Console en cliquant sur le bouton Actualiser la liste des stratégies. o IP pair : si vous sélectionnez un compteur de pairs VPN, choisissez dans la liste déroulante l’adresse IP d’un point de terminaison VPN dont vous souhaitez représenter les données dans un graphique. Vous pouvez mettre à jour la liste des points de terminaison VPN qui s’affichent dans Performance Console en cliquant sur le bouton Actualiser la liste des pairs IP. Guide de l’utilisateur 69 Surveillance de l’état de Firebox o ID du tunnel : si vous sélectionnez un compteur de tunnels, choisissez dans la liste déroulante le nom d’un tunnel VPN dont vous souhaitez représenter les données dans un graphique. Vous pouvez mettre à jour la liste des tunnels VPN qui s’affichent dans Performance Console en cliquant sur le bouton Actualiser la liste des ID de tunnel. Si vous ne connaissez pas l’ID de votre tunnel VPN, affichez l’onglet Panneau avant de Firebox System Manager. 7. Activez la case à cocher Enregistrer les données du graphique dans un fichier pour enregistrer les données recueillies par Performance Console dans un fichier de données XML ou un fichier de données séparées par des virgules. Vous pouvez par exemple ouvrir un fichier de données XML dans Microsoft Excel pour voir la valeur du compteur enregistrée pour chaque intervalle d’interrogation. Vous pouvez utiliser d’autres outils pour fusionner les données de plusieurs graphiques. 8. Cliquez sur OK pour commencer un graphique en temps réel de ce compteur. Les graphiques s’affichent dans une fenêtre de graphique en temps réel. Vous pouvez afficher un graphique dans chaque fenêtre ou plusieurs graphiques dans une même fenêtre. Les graphiques sont automatiquement redimensionnés en fonction des données et actualisés toutes les cinq secondes. Ce graphique de performances illustre l’utilisation du processeur. Pour créer des graphiques pour les autres fonctions, procédez de la même manière. 70 WatchGuard System Manager Surveillance de l’état de Firebox Ajouter des graphiques ou modifier les intervalles d’interrogation La fenêtre principale de Performance Console affiche un tableau contenant tous les compteurs de performances configurés et actifs. De cette fenêtre, vous pouvez ajouter un nouveau graphique ou modifier les intervalles d’interrogation des compteurs configurés. Ajouter un nouveau graphique Pour ajouter un nouveau graphique, cliquez sur le bouton + dans la barre d’outils de Performance Console ou sélectionnez Fichier > Ajouter un graphique. Modifier l’intervalle d’interrogation Pour modifier l’intervalle d’interrogation d’une console Performance Console, sélectionnez le nom du graphique dans la liste. Utilisez la liste déroulante des intervalles d’interrogation de la barre d’outils de Performance Console pour modifier la fréquence des interrogations. Supprimer un graphique Pour supprimer un graphique, sélectionnez son nom dans la liste et utilisez le bouton X de la barre d’outils de Performance Console ou sélectionnez Fichier > Supprimer le graphique. Guide de l’utilisateur 71 Surveillance de l’état de Firebox Afficher et gérer les certificats Firebox À partir de Firebox System Manager, vous pouvez : consulter une liste des certificats Firebox actuels et les détails de chacun ; supprimer un certificat de Firebox ; créer une demande de certificat ; importer un certificat d’autorité de certification tierce et le stocker dans la liste de certificats approuvés. Consulter les certificats actuels Pour consulter la liste actuelle des certificats, dans Firebox System Manager, sélectionnez Affichage > Certificats. Dans cette fenêtre, vous pouvez consulter la liste de tous les certificats et de toutes les demandes de signature de certificats. Cette liste contient les informations suivantes : 72 l’état et le type du certificat ; (Le certificat marqué d’un astérisque est le certificat du serveur Web Firebox actuellement actif.) Pour plus d’informations sur les options du certificat de serveur Web, voir Authentification Firebox. l’algorithme utilisé par le certificat ; le nom de l’objet ou l’identificateur du certificat. WatchGuard System Manager Surveillance de l’état de Firebox Pour consulter d’autres informations sur un certificat de la liste, sélectionnez le certificat et cliquez sur Détails. La fenêtre Détail du certificat contient des informations relatives à l’autorité de certification ayant signé le certificat et à l’empreinte du certificat. Utilisez ces informations à des fins de dépannage ou pour identifier les certificats de façon unique. Supprimer un certificat Pour supprimer un certificat de Firebox, sélectionnez le certificat dans la boîte de dialogue Certificats et cliquez sur Supprimer. Vous devez fournir le mot de passe (lecture/écriture) de configuration de Firebox pour supprimer un certificat. Les certificats que vous supprimez ne peuvent plus être utilisés pour l’authentification. Guide de l’utilisateur 73 Surveillance de l’état de Firebox Importer une liste de révocation de certificats (CRL) à partir d’un fichier Vous pouvez importer une liste de révocation de certificats (CRL) à partir d’un fichier situé sur votre ordinateur local. Cette opération est utile lorsque vous devez restaurer un périphérique Firebox à partir d’une sauvegarde. 1. Dans Firebox System Manager, sélectionnez Affichage > Certificats. 2. Dans la boîte de dialogue Certificat, cliquez sur Importer un certificat/CRL. 3. Cliquez sur l’onglet Importer une CRL. Cliquez sur Parcourir pour trouver le fichier. 4. Cliquez sur Importer la CRL. La boîte de dialogue Importer la CRL s’affiche. 5. Tapez le mot de passe de configuration, puis cliquez sur OK. La CRL que vous avez indiquée est ajoutée à la CRL de Firebox. 74 WatchGuard System Manager Surveillance de l’état de Firebox Récupérer la CRL sur un serveur LDAP Vous pouvez récupérer une CRL sur un serveur LDAP si vous y avez accès. Vous devez avoir les informations de compte LDAP fournies par un service d’autorité de certification tiers. 1. Dans Policy Manager, sélectionnez VPN > Paramètres VPN. La boîte de dialogue Paramètres VPN s’affiche. 2. 3. 4. 5. Activez la case à cocher Activer le serveur LDAP pour la vérification de certificats. Entrez le nom ou l’adresse du serveur LDAP. (Facultatif) Entrez le numéro de port. Cliquez sur OK. Firebox vérifie la CRL stockée sur le serveur LDAP lorsque l’authentification de tunnel est demandée. Guide de l’utilisateur 75 Surveillance de l’état de Firebox Afficher et synchroniser les clés de fonctionnalité Pour afficher les clés de fonctionnalité installées sur Firebox, dans Firebox System Manager, sélectionnez Afficher > Clés de fonctionnalité. Fonctionnalité Nom de la fonctionnalité, comme un abonnement à spamBlocker. Valeur Par exemple le nombre d’interfaces VLAN ou de tunnels BOVPN autorisés. Expiration La date d’expiration. Si la fonctionnalité n’expire pas, ce champ affiche Jamais. État Pour les fonctionnalités dotées de dates d’expiration, le nombre de jours restants. 76 WatchGuard System Manager Surveillance de l’état de Firebox Vous pouvez cliquer sur Détails pour afficher la clé de fonctionnalité. Synchroniser les clés de fonctionnalité Utilisez Firebox System Manager pour obtenir une clé de fonctionnalité active si vous avez déjà créé un compte d’utilisateur LiveSecurity : 1. Dans Firebox System Manager, sélectionnez Outils > Synchroniser les clés de fonctionnalité. 2. À l’invite, entrez le mot de passe de configuration de Firebox. Firebox contacte le site Web LiveSecurity et télécharge la clé de fonctionnalité active. Journal des communications Le journal des communications contient des informations comme le succès ou l’échec des connexions, les transferts, etc. Il s’agit de connexions entre Firebox et Firebox System Manager. Pour afficher le journal, dans Firebox System Manager, sélectionnez Affichage > Journal des communications. Ce journal démarre au succès de la connexion initiale et affiche les informations relatives à la session de gestion active. Guide de l’utilisateur 77 Surveillance de l’état de Firebox Effectuer des opérations dans Firebox System Manager Synchroniser l’heure Cette commande permet de synchroniser l’heure de Firebox avec l’heure système. 1. Dans Firebox System Manager, sélectionnez Outils > Synchroniser l’heure. 2. Entrez le mot de passe de configuration de Firebox. Cliquez sur OK. Effacer le cache ARP Le cache ARP (Address Resolution Protocol) de Firebox conserve les adresses matérielles (également appelées adresses MAC) des hôtes TCP/IP. Avant le démarrage d’une requête ARP, le système vérifie qu’une adresse matérielle se trouve dans le cache. Vous devez effacer le cache ARP de Firebox après l’installation lorsque le réseau a une configuration d’insertion. 1. Dans Firebox System Manager, sélectionnez Outils > Effacer le cache ARP. 2. Entrez le mot de passe de configuration de Firebox. Cliquez sur OK. Ce faisant, vous supprimez les entrées du cache. Lorsque Firebox est en mode d’insertion, cette procédure efface uniquement le contenu de la table ARP et non celui de la table MAC. Les entrées les plus anciennes de la table MAC sont supprimées si celle-ci en contient plus de 2 000. Pour effacer la table MAC, il convient de redémarrer Firebox. 78 WatchGuard System Manager Surveillance de l’état de Firebox Afficher et synchroniser les clés de fonctionnalité Pour afficher les clés de fonctionnalité installées sur Firebox, dans Firebox System Manager, sélectionnez Afficher > Clés de fonctionnalité. Fonctionnalité Nom de la fonctionnalité, comme un abonnement à spamBlocker. Valeur Par exemple le nombre d’interfaces VLAN ou de tunnels BOVPN autorisés. Expiration La date d’expiration. Si la fonctionnalité n’expire pas, ce champ affiche Jamais. État Pour les fonctionnalités dotées de dates d’expiration, le nombre de jours restants. Guide de l’utilisateur 79 Surveillance de l’état de Firebox Vous pouvez cliquer sur Détails pour afficher la clé de fonctionnalité. Synchroniser les clés de fonctionnalité Utilisez Firebox System Manager pour obtenir une clé de fonctionnalité active si vous avez déjà créé un compte d’utilisateur LiveSecurity : 1. Dans Firebox System Manager, sélectionnez Outils > Synchroniser les clés de fonctionnalité. 2. À l’invite, entrez le mot de passe de configuration de Firebox. Firebox contacte le site Web LiveSecurity et télécharge la clé de fonctionnalité active. Effacer les alarmes Cette commande vous permet d’effacer la liste des alarmes dans Firebox. 1. Dans Firebox System Manager, sélectionnez Outils > Effacer l’alarme. 2. Entrez le mot de passe de configuration de Firebox. Cliquez sur OK. Renouveler la clé des tunnels BOVPN Normalement, les points de terminaison de passerelle des tunnels BOVPN doivent générer de nouvelles clés et les échanger après un certain laps de temps ou le passage d’un certain volume de trafic. Parfois, lorsque vous dépannez des tunnels, vous souhaiterez générer immédiatement les nouvelles clés plutôt que d’attendre leur expiration. Les options de renouvellement de clés de Firebox System Manager font immédiatement expirer les tunnels BOVPN. Les tunnels sont déclenchés par le trafic. Ils sont reconstruits lorsque le trafic commence à les traverser. Si vous renouvelez une clé pour un tunnel et qu’aucun trafic ne le traverse, il n’est pas reconstruit automatiquement. 80 WatchGuard System Manager Surveillance de l’état de Firebox Pour renouveler une clé pour un tunnel BOVPN Dans le panneau avant de Firebox System Manager, sous le titre Tunnels VPN Branch Office, sélectionnez le tunnel dont vous souhaitez renouveler la clé. Cliquez dessus avec le bouton droit de la souris et sélectionnez Renouveler la clé du tunnel BOVPN sélectionné. À l’invite, entrez le mot de passe de configuration du périphérique Firebox auquel Firebox System Manager est connecté. Pour renouveler la clé de tous les tunnels BOVPN Dans Firebox System Manager, cliquez n’importe où dans le panneau avant de la fenêtre avec le bouton droit de la souris. Sélectionnez Renouveler la clé de tous les tunnels BOVPN. À l’invite, entrez le mot de passe de configuration du périphérique Firebox auquel Firebox System Manager est connecté. ou Dans Firebox System Manager, sélectionnez Outils > Renouveler la clé de tous les tunnels BOVPN. À l’invite, entrez le mot de passe de configuration du périphérique Firebox auquel Firebox System Manager est connecté. Contrôler High Availability Vous pouvez effectuer plusieurs opérations High Availability à partir de Firebox System Manager. Pour plus d’informations, voir Contrôler manuellement High Availability. Modifier les mots de passe dans Firebox System Manager Pour modifier les mots de passe Firebox dans Firebox System Manager, sélectionnez Outils > Modifier les mots de passe. Firebox utilise deux mots de passe : Mot de passe d’état Mot de passe en lecture seule permettant d’accéder à Firebox. Mot de passe de configuration Mot de passe en lecture/écriture donnant à un administrateur l’accès total à Firebox. Pour créer un mot de passe sécurisé, suivez les recommandations ci-dessous : Utilisez une sélection de caractères en minuscules ou majuscules, de nombres et de caractères spéciaux (par exemple, Im4e@tiN9). N’utilisez pas de mots tirés d’un dictionnaire standard, même si vous l’utilisez dans une séquence ou une langue différente. N’utilisez pas de nom. Une personne malveillante peut très facilement trouver un nom d’entreprise, familier ou encore le nom d’une personnalité. Nous vous recommandons également de modifier régulièrement les mots de passe Firebox. Pour ce faire, vous devez être en possession du mot de passe de configuration. Guide de l’utilisateur 81 Surveillance de l’état de Firebox 82 WatchGuard System Manager 6 Administration et paramètres globaux de Firebox À propos des clés de fonctionnalité Une clé de fonctionnalité est un jeu unique de caractères alphanumériques qui vous permet d’utiliser différentes fonctionnalités de Firebox. Lorsque vous achetez une option ou une mise à niveau et que vous recevez une nouvelle clé de fonctionnalité, vous améliorez les fonctionnalités de Firebox. Lors de l’achat d’une nouvelle fonctionnalité, vérifiez que vous exécutez les étapes suivantes : Obtenir une clé de fonctionnalité Importer une clé de fonctionnalité dans Firebox Afficher les fonctionnalités disponibles avec la clé de fonctionnalité active Une clé de fonctionnalité est toujours active dans Firebox. Pour afficher les fonctionnalités liées à cette clé, sélectionnez Configurer > Clés de fonctionnalité dans Policy Manager. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. Cette boîte de dialogue affiche les éléments suivants : Une liste des fonctionnalités disponibles L’état de la fonctionnalité (activée ou désactivée) La valeur affectée à la fonctionnalité (comme le nombre d’interfaces VLAN autorisées) La date d’expiration de la fonctionnalité L’état actuel de l’expiration (comme le nombre de jours restant avant l’expiration de la fonctionnalité) Vérifier la conformité à la clé de fonctionnalité Pour vérifier que toutes les fonctionnalités de Firebox sont activées correctement sur la clé de fonctionnalité, procédez comme suit : 1. Dans Policy Manager, cliquez sur . La boîte de dialogue Conformité à la clé de fonctionnalité apparaît. Le champ Description indique si toutes les fonctionnalités sont conformes à la clé de fonctionnalité. 2. Si vous souhaitez obtenir une nouvelle clé de fonctionnalité, cliquez sur Ajouter une clé de fonctionnalité. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. Affichez soit Importer une clé de fonctionnalité dans Firebox soit Télécharger une clé de fonctionnalité. Guide de l’utilisateur 83 Administration et paramètres globaux de Firebox Obtenir une clé de fonctionnalité active Si votre clé de fonctionnalité n’est pas active, vous pouvez télécharger une copie de n’importe quelle clé de fonctionnalité à partir de Firebox vers votre station de gestion. Pour télécharger des clés de fonctionnalité à partir de Firebox, cliquez sur Télécharger dans la boîte de dialogue Clés de fontionnalité Firebox. Une boîte de dialogue dans laquelle vous devez entrer le mot de passe d’état de Firebox s’affiche. Vous pouvez également utiliser Firebox System Manager pour obtenir une clé de fonctionnalité active. Si vous avez déjà créé un compte d’utilisateur LiveSecurity, sélectionnez Outils > Synchroniser la clé de fonctionnalité dans Firebox System Manager. Firebox contacte le site Web du service LiveSecurity et télécharge la clé de fonctionnalité active. Obtenir une clé de fonctionnalité Avant de pouvoir activer une nouvelle fonctionnalité, vous devez avoir reçu de WatchGuard un certificat de clé de licence qui ne soit pas déjà enregistré sur le site Web LiveSecurity. 1. Ouvrez un navigateur Web et accédez à la page : https://www.watchguard.com/activate. 2. Si vous n’êtes pas déjà connecté à LiveSecurity, vous accédez à la page de connexion au service LiveSecurity. Entrez votre nom d’utilisateur et votre mot de passe LiveSecurity. 3. Entrez le numéro de série ou la clé de licence du produit qui figure sur le certificat imprimé, sans oublier les tirets. Le numéro de série permet généralement d’enregistrer un nouveau périphérique Firebox et la clé de licence permet d’enregistrer des fonctionnalités supplémentaires. 4. Cliquez sur Continuer. La page Choisir le produit à mettre à niveau apparaît. 5. Dans la liste déroulante, sélectionnez le périphérique Firebox devant faire l’objet d’une mise à niveau ou d’un renouvellement. Si vous avez ajouté un nom de périphérique Firebox lors de l’enregistrement de Firebox, ce nom apparaît dans la liste. Une fois le périphérique Firebox sélectionné, cliquez sur Activer. 6. La page Récupérer la clé de fonctionnalité apparaît. Dans le menu Démarrer de Windows, ouvrez le Bloc-notes ou toute autre application permettant de sauvegarder du texte. Copiez l’intégralité de la clé de fonctionnalité de cette page dans un fichier texte et enregistrez-le sur votre ordinateur. Cliquez sur Terminer. 84 WatchGuard System Manager Administration et paramètres globaux de Firebox Importer une clé de fonctionnalité dans Firebox 1. Dans Policy Manager, sélectionnez Configurer > Clés de fonctionnalité. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. Elle affiche les fonctionnalités disponibles pour cette clé. Elle indique également si la fonctionnalité est activée ou désactivée et affiche une valeur affectée à la fonctionnalité (comme le nombre d’interfaces VLAN autorisées), la date d’expiration de la fonctionnalité et l’état actuel de l’expiration. 2. Cliquez sur Supprimer pour supprimer la clé de fonctionnalité active. Vous devez supprimer l’intégralité de la clé de fonctionnalité avant d’installer la nouvelle clé contenant la fonctionnalité que vous souhaitez ajouter. 3. Cliquez sur Importer. La boîte de dialogue Importer la clé de fonctionnalité Firebox apparaît. 4. Cliquez sur Parcourir et sélectionnez la clé de fonctionnalité à importer. Vous pouvez également utiliser la fonction Coller pour coller le contenu de la clé de fonctionnalité dans la boîte de dialogue. 5. Cliquez sur OK pour fermer toutes les boîtes de dialogue. Dans certains cas, d’autres boîtes de dialogue et commandes de menu permettant de configurer la fonctionnalité apparaissent dans Policy Manager. 6. Enregistrez le fichier de configuration. La clé de fonctionnalité ne fonctionne pas sur Firebox tant que vous n’aurez pas enregistré le fichier de configuration dans Firebox. Guide de l’utilisateur 85 Administration et paramètres globaux de Firebox Supprimer une clé de fonctionnalité 1. Dans Policy Manager, sélectionnez Configurer > Clés de fonctionnalité. La boîte de dialogue Clés de fonctionnalité Firebox apparaît. 2. Développez Clés de fonctionnalité, sélectionnez la clé de fonctionnalité à supprimer et cliquez sur Supprimer. 3. Cliquez sur OK. 4. Enregistrez le fichier de configuration. Afficher les détails d’une clé de fonctionnalité Pour afficher les détails d’une clé de fonctionnalité, dans la boîte de dialogue Clés de fonctionnalité Firebox, sélectionnez la clé de fonctionnalité, puis cliquez sur Détails. La boîte de dialogue Détails de la clé de fonctionnalité affiche le numéro de série du périphérique Firebox auquel s’applique cette clé de fonctionnalité, ainsi que son ID et son nom, le numéro de modèle et de version du périphérique Firebox et les fonctionnalités Firebox disponibles. Télécharger une clé de fonctionnalité Si votre clé de fonctionnalité n’est pas active, vous pouvez télécharger une copie de n’importe quelle clé de fonctionnalité à partir de Firebox vers votre station de gestion. Pour ceci, sélectionnez la clé de fonctionnalité et cliquez sur Télécharger. Une boîte de dialogue dans laquelle vous devez entrer le mot de passe d’état de Firebox s’affiche. 86 WatchGuard System Manager Administration et paramètres globaux de Firebox Activer le protocole NTP et ajouter des serveurs NTP Le protocole NTP (Network Time Protocol) permet de synchroniser l’heure des horloges des ordinateurs d’un réseau. Firebox peut utiliser ce protocole pour récupérer automatiquement l’heure exacte sur des serveurs NTP qui se trouvent sur Internet. Dans la mesure où Firebox indique l’heure de son horloge système dans chacun des messages de journal qu’il génère, l’heure définie doit être correcte. Vous pouvez modifier le serveur NTP utilisé par Firebox. Vous pouvez également ajouter ou supprimer des serveurs NTP, de même que définir l’heure manuellement. Pour pouvoir utiliser NTP, votre configuration Firebox doit autoriser le DNS. Celui-ci est autorisé dans la stratégie Sortant de la configuration par défaut. Vous devez également configurer des serveurs DNS pour l’interface externe avant de configurer le protocole NTP. Pour plus d’informations sur l’ajout de ces adresses, voir Ajouter des adresses de serveurs WINS et DNS. 1. Dans Policy Manager, sélectionnez Configurer > NTP. La boîte de dialogue Paramètre NTP s’affiche. 2. Activez la case à cocher Activer NTP. 3. Dans la zone située sous la liste Noms/Adresses IP du serveur NTP, tapez les adresses IP du serveur que vous souhaitez utiliser. Cliquez sur Ajouter. Firebox peut utiliser un maximum de trois serveurs NTP. 4. Cliquez sur OK. Guide de l’utilisateur 87 Administration et paramètres globaux de Firebox Affecter un nom convivial Vous pouvez donner au périphérique Firebox un nom convivial qui sera utilisé dans les fichiers journaux et les rapports. À défaut, ces derniers utilisent l’adresse IP de l’interface externe de Firebox. De nombreux clients utilisent un nom de domaine complet s’ils enregistrent un tel nom sur le système DNS. Vous devez attribuer un nom convivial au périphérique Firebox si vous utilisez Management Server pour configurer des tunnels VPN et des certificats. 1. Dans Policy Manager, cliquez sur Configurer > Système. La boîte de dialogue Configuration du périphérique s’affiche. 2. Si nécessaire, utilisez les listes déroulantes pour spécifier Firebox X Core ou Firebox X Peak, ainsi que le numéro de modèle. 3. Dans la zone de texte Nom, tapez le nom convivial que vous souhaitez attribuer au périphérique. Cliquez sur OK. Une fenêtre contextuelle de notification vous informe si vous utilisez des caractères qui ne sont pas autorisés. 4. Dans les champs Emplacement et Contact, tapez toute information susceptible de vous aider à identifier et à gérer Firebox. 88 WatchGuard System Manager Administration et paramètres globaux de Firebox Définir le fuseau horaire et les propriétés de base du périphérique 1. Ouvrez Policy Manager. Cliquez sur Configurer > Système. La boîte de dialogue Configuration du périphérique s’affiche. 2. Dans la liste déroulante Fuseau horaire, sélectionnez le fuseau horaire de l’emplacement physique de Firebox. Cliquez sur OK. Cette boîte de dialogue n’est généralement utilisée que pour définir le fuseau horaire de Firebox. Ce paramètre contrôle la date et l’heure qui apparaissent dans le fichier journal et sur les outils tels que LogViewer, Rapports WatchGuard et WebBlocker. Par défaut, l’heure de Greenwich est définie comme heure système de Firebox. Cette boîte de dialogue contient également les champs suivants : Modèle de Firebox La première liste déroulante indique Firebox X Core ou Firebox X Peak, ainsi que le numéro de modèle, déterminé par l’Assistant Quick Setup Wizard. Vous n’avez généralement pas besoin de modifier ces paramètres. Si vous ajoutez une nouvelle clé de fonctionnalité à Firebox, ces champs sont automatiquement mis à jour. Nom, Emplacement, Contact Ces champs sont renseignés par l’Assistant Quick Setup Wizard si vous avez entré ces informations. Elles apparaissent également sous l’onglet Panneau avant de Firebox System Manager. Guide de l’utilisateur 89 Administration et paramètres globaux de Firebox À propos du protocole SNMP Le protocole SNMP (Simple Network Management Protocol) est un ensemble d’outils permettant de surveiller et de gérer les réseaux. Il utilise des bases d’informations MIB (Management Information Bases) qui fournissent des informations de configuration sur les périphériques gérés ou analysés par le serveur SNMP. Firebox prend en charge les protocoles SNMPV1, SNMPV2 et SNMPv3. Interrogations SNMP Vous pouvez configurer Firebox de sorte qu’il accepte les interrogations SNMP à partir d’un serveur SNMP. Firebox communique des informations au serveur SNMP, comme le volume de trafic sur chaque interface, le temps d’activité du périphérique, le nombre de paquets TCP reçus et envoyés et le moment où a eu lieu la dernière modification de chaque interface Firebox. Pour activer l’interrogation SNMP, voir Activer l’interrogation SNMP. Demandes d’informations et interruptions SNMP Une interruption SNMP est une notification d’événement envoyée par Firebox au système de gestion SNMP. Elle identifie le moment auquel une condition spécifique se produit, comme une valeur dépassant un seuil prédéfini. Vous pouvez faire en sorte que Firebox envoie une interruption pour chacune des stratégies présentes dans Policy Manager. Une demande d’informations SNMP est similaire à une interruption, à la différence que le destinataire envoie une réponse. Si Firebox n’obtient pas de réponse, il envoie de nouveau la demande d’informations jusqu’à ce que le gestionnaire SNMP envoie une réponse. Une interruption est envoyée une seule fois et le destinataire n’envoie pas d’accusé de réception. Une demande d’informations est plus fiable qu’une interruption dans le sens où Firebox sait s’il a été reçu. Toutefois, les demandes d’informations nécessitent davantage de ressources. Elles sont conservées en mémoire jusqu’à ce que l’expéditeur reçoive une réponse. Si une demande d’informations est envoyée plusieurs fois, les nouvelles tentatives intensifient le trafic. Nous vous recommandons de bien réfléchir au fait de savoir si ce que vous retirez de la réception de chaque notification SNMP fait le poids face à l’utilisation accrue de la mémoire dans le routeur et à l’augmentation du trafic réseau que cela engendre. Pour activer les demandes d’informations SNMP, vous devez utiliser SNMPV2 ou SNMPv3. SNMPv1 prend uniquement en charge les interruptions, pas les demandes d’informations. Pour activer les interruptions et les demandes d’informations SNMP, voir Activer les interruptions ou les demandes d’informations SNMP. 90 WatchGuard System Manager Administration et paramètres globaux de Firebox Activer l’interrogation SNMP 1. Dans Policy Manager, sélectionnez Configurer > SNMP. 2. Sélectionnez la version de SNMP que vous souhaitez utiliser : v1/v2c ou v3. Si vous choisissez v1/v2c : tapez la Chaîne de communauté que Firebox doit utiliser lorsqu’il se connecte au serveur SNMP. Cliquez sur OK. Si vous choisissez v3 : Nom d’utilisateur : tapez le nom d’utilisateur de l’authentification et de la protection de la confidentialité SNMPv3. o Protocole d’authentification : sélectionnez MD5 (Message Digest 5) ou SHA (Secure Hash Algorithm). o Mot de passe d’authentification : tapez le mot de passe d’authentification. o Protocole de confidentialité : sélectionnez DES (Data Encryption Standard). o Mot de passe de confidentialité : entrez un mot de passe pour chiffrer les messages sortants et déchiffrer les messages entrants. Guide de l’utilisateur 91 Administration et paramètres globaux de Firebox Pour que Firebox soit en mesure de recevoir des interrogations SNMP, vous devez ajouter une stratégie SNMP à Firebox. 1. Dans Policy Manager, sélectionnez Édition > Ajouter une stratégie (ou cliquez sur l’icône « + »), développez Filtres de paquets, sélectionnez SNMP, puis cliquez sur Ajouter. La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche. 2. Sous la zone De, cliquez sur Ajouter. Dans la boîte de dialogue Ajouter une adresse qui s’affiche, cliquez sur l’onglet Ajouter autre. La boîte de dialogue Ajouter un membre s’affiche. 3. Dans la liste déroulante Choisir le type, sélectionnez IP de l’hôte. Dans le champ Valeur, tapez l’adresse IP de votre ordinateur serveur SNMP. 4. Cliquez sur OK à deux reprises pour revenir sous l’onglet Stratégie de la nouvelle stratégie. 5. En dessous de la liste À, cliquez sur Ajouter. 6. Dans la boîte de dialogue Ajouter une adresse qui s’affiche, sous Membres disponibles, sélectionnez Firebox. Cliquez sur Ajouter. 7. Cliquez sur OK à deux reprises, puis sur Fermer. Enregistrez un fichier de configuration. Firebox peut maintenant recevoir les interrogations SNMP. Activer les interruptions ou les demandes d’informations SNMP 1. Dans Policy Manager, sélectionnez Configurer > SNMP. 2. Dans la liste déroulante Interruptions SNMP, sélectionnez la version des interruptions ou des demandes d’informations que vous souhaitez utiliser. (SNMPv1 prend uniquement en charge les interruptions, pas les demandes d’informations.) 3. Tapez l’adresse IP de votre station de gestion SNMP. Cliquez sur Ajouter. Répétez cette étape si vous souhaitez ajouter d’autres stations de gestion SNMP. Cliquez sur OK. Pour faire en sorte que Firebox soit en mesure d’envoyer des interruptions et des demandes d’informations SNMP, vous devez ajouter une stratégie SNMP à Firebox. 1. Dans Policy Manager, sélectionnez Édition > Ajouter une stratégie (ou cliquez sur l’icône « + »), développez Filtres de paquets, sélectionnez SNMP, puis cliquez sur Ajouter. La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche. 2. Sous la zone De, cliquez sur Ajouter. Dans la boîte de dialogue Ajouter une adresse qui s’affiche, cliquez sur l’onglet Ajouter autre. La boîte de dialogue Ajouter un membre s’affiche. 3. Dans la liste déroulante Choisir le type, sélectionnez IP de l’hôte. Dans le champ Valeur, tapez l’adresse IP de votre ordinateur serveur SNMP. 4. Cliquez sur OK à deux reprises pour revenir sous l’onglet Stratégie de la nouvelle stratégie. 5. En dessous de la liste À, cliquez sur Ajouter. 6. Dans la boîte de dialogue Ajouter une adresse qui s’affiche, sous Membres disponibles, sélectionnez Firebox. Cliquez sur Ajouter. 7. Cliquez sur OK à deux reprises, puis sur Fermer. Enregistrez la configuration dans Firebox. Faire en sorte que Firebox envoie une interruption pour une stratégie Vous pouvez faire en sorte que Firebox envoie une interruption SNMP pour toute stratégie. 1. Double-cliquez sur une icône de stratégie dans Policy Manager pour modifier sa configuration. 2. Dans la boîte de dialogue Modifier les propriétés de stratégie, sélectionnez l’onglet Propriétés. 3. Cliquez sur Journalisation, puis activez la case à cocher Envoyer une interruption SNMP. 92 WatchGuard System Manager Administration et paramètres globaux de Firebox À propos des bases d’informations MIB (Management Information Base) WatchGuard System Manager avec le logiciel système Fireware prend en charge deux types de bases d’informations MIB (Management Information Base) : Les bases d’informations MIB publiques utilisées dans le produit Fireware et copiées sur votre station de gestion WatchGuard lors de l’installation de Fireware. Elles incluent les normes IETF et MIB2. Les bases d’informations MIB privées créées par WatchGuard afin de fournir des informations d’analyse de base pour des composants spécifiques de Firebox, notamment l’utilisation de la mémoire et du processeur, de même que des métriques d’interface et IPSec. Lorsque vous installez WatchGuard System Manager, les bases d’informations MIB sont installées dans Mes documents\Mon WatchGuard\WatchGuard partagé\SNMP. Guide de l’utilisateur 93 Administration et paramètres globaux de Firebox Modifier les mots de passe Firebox Firebox utilise deux mots de passe : Mot de passe d’état Mot de passe en lecture seule permettant d’accéder à Firebox. Mot de passe de configuration Mot de passe en lecture/écriture donnant l’accès total à Firebox à un administrateur. Pour créer un mot de passe sécurisé, suivez les recommandations ci-dessous : Utilisez une sélection de caractères en minuscules et majuscules, de nombres et de caractères spéciaux (par exemple, Im4e@tiN9). N’utilisez pas de mots tirés d’un dictionnaire standard, même si vous l’utilisez dans une séquence ou une langue différente. N’utilisez pas de nom. Une personne malveillante peut très facilement trouver un nom d’entreprise, familier ou encore le nom d’une personnalité. Nous vous recommandons également de modifier régulièrement les mots de passe Firebox. Pour ce faire, vous devez être en possession du mot de passe de configuration. 1. Dans Policy Manager, ouvrez le fichier de configuration sur Firebox. 2. Cliquez sur Fichier > Modifier les mots de passe. La boîte de dialogue Modifier les mots de passe s’affiche. 3. Dans la liste déroulante Nom ou adresse de Firebox, sélectionnez un périphérique Firebox ou tapez l’adresse IP ou le nom du périphérique Firebox. Tapez le mot de passe de configuration (lecture/ écriture) de Firebox. 4. Tapez et confirmez le nouveau mot de passe d’état (lecture seule) et le nouveau mot de passe de configuration (lecture/écriture). Le mot de passe d’état et le mot de passe de configuration doivent être différents. 5. Cliquez sur OK. 94 WatchGuard System Manager Administration et paramètres globaux de Firebox À propos des alias Un alias est un raccourci permettant d’identifier un groupe d’hôtes, de réseaux ou d’interfaces. L’utilisation d’un alias simplifie la création d’une stratégie de sécurité car Firebox vous autorise à utiliser des alias lorsque vous créez des stratégies. Dans Policy Manager, les alias par défaut sont les suivants : Les alias qui correspondent aux interfaces Firebox, par exemple Approuvé ou Externe. Any-Trusted (Tout-Approuvé) : un alias pour toutes les interfaces Firebox définies comme interfaces approuvées (en sélectionnant Réseau > Configuration dans Policy Manager) et pour tous les réseaux auxquels vous pouvez accéder depuis ces interfaces. Any-External (Tout-Externe) : un alias pour toutes les interfaces Firebox définies comme interfaces externes (en sélectionnant Réseau > Configuration dans Policy Manager) et pour tous les réseaux auxquels vous pouvez accéder depuis ces interfaces. Any-Optional (Tout-Facultatif) : des alias pour toutes les interfaces Firebox définies comme interfaces facultatives (en sélectionnant Réseau > Configuration dans Policy Manager) et pour tous les réseaux auxquels vous pouvez accéder depuis ces interfaces. Any-BOVPN (Tout-BOVPN) : un alias pour tous les tunnels BOVPN (IPSec). Lorsque vous utilisez l’Assistant BOVPN Policy Wizard pour créer une stratégie autorisant le trafic à transiter par un tunnel BOVPN, l’Assistant crée automatiquement des alias « .in » et « .out » pour les tunnels entrants et sortants. Il faut distinguer les noms d’alias des noms d’utilisateurs ou de groupes utilisés pour l’authentification des utilisateurs. Lorsque vous authentifiez des utilisateurs, vous pouvez contrôler une connexion à l’aide d’un nom et non d’une adresse IP. L’utilisateur est authentifié à l’aide d’un nom d’utilisateur et d’un mot de passe pour accéder aux protocoles Internet. Pour en savoir plus sur l’authentification des utilisateurs, voir À propos de l’authentification des utilisateurs. Membres de l’alias Vous pouvez ajouter les éléments suivants à un alias : IP de l’hôte IP du réseau Plage d’adresses IP hôte Nom DNS d’un hôte Adresse du tunnel : définie par un utilisateur ou groupe, une adresse et le nom du tunnel Adresse personnalisée : définie par un utilisateur ou groupe, une adresse et l’interface Firebox Autre alias Utilisateur ou groupe autorisé Guide de l’utilisateur 95 Administration et paramètres globaux de Firebox Créer un alias 1. Dans Policy Manager, sélectionnez Configurer > Alias. La boîte de dialogue Alias s’affiche. Les alias prédéfinis apparaissent en bleu tandis que les alias définis par l’utilisateur apparaissent en noir. 2. Cliquez sur Ajouter. La boîte de dialogue Ajouter un alias s’affiche. 3. Dans la zone de texte Nom d’alias, entrez un nom unique pour identifier l’alias. Ce nom s’affiche dans les listes lorsque vous configurez une stratégie de sécurité. 4. Dans le champ Description, entrez une description de l’alias. 96 WatchGuard System Manager Administration et paramètres globaux de Firebox Pour ajouter une adresse, une plage d’adresses, un nom DNS ou un autre alias à l’alias 1. Dans la boîte de dialogue Ajouter un alias, cliquez sur Ajouter. La boîte de dialogue Ajouter un membre s’affiche. 2. Dans la liste déroulante, sélectionnez le type de membre que vous souhaitez ajouter. 3. Dans le champ de texte Valeur, entrez l’adresse ou le nom. Cliquez sur OK. Le nouveau membre apparaît désormais dans la section Membres de l’alias de la boîte de dialogue Ajouter un alias. 4. Répétez les étapes 1 à 3 pour ajouter autant de membres que nécessaire. Pour ajouter des utilisateurs ou des groupes, utilisez la procédure suivante. Lorsque tous les utilisateurs, groupes et membres souhaités sont inclus dans l’alias, cliquez sur OK dans la boîte de dialogue Ajouter un alias. Pour ajouter un utilisateur ou un groupe autorisé à l’alias 1. Cliquez sur Utilisateur. La boîte de dialogue Ajouter des utilisateurs ou groupes autorisés s’affiche. 2. Dans la liste déroulante Type, indiquez si l’utilisateur ou le groupe que vous souhaitez ajouter est autorisé en tant qu’utilisateur derrière un pare-feu, utilisateur PPTP ou utilisateur SSL VPN. 3. Dans la liste déroulante située à l’extrême droite de la zone Type, sélectionnez Utilisateur pour ajouter un utilisateur ou Groupe pour ajouter un groupe. 4. Si l’utilisateur ou le groupe apparaît dans la liste en bas de la boîte de dialogue Ajouter des utilisateurs ou groupes autorisés, sélection nez-le et cliquez sur Sélectionner. Si l’utilisateur ou le groupe n’apparaît pas dans la liste, il n’a pas encore été défini comme utilisateur ou groupe autorisé. L’utilisateur ou le groupe doit avoir été autorisé pour que vous puissiez l’ajouter à un alias. Pour en savoir plus sur la procédure à suivre, voir Définir un nouvel utilisateur pour l’authentification Firebox, Définir un nouveau groupe pour l’authentification Firebox ou Utiliser les utilisateurs et groupes autorisés dans les stratégies. 5. Répétez les étapes 1 à 4 pour ajouter autant de membres que nécessaire. Pour ajouter une adresse, une plage d’adresses, un nom DNS ou un autre alias à l’alias, vous pouvez également utiliser la procédure précédente. Lorsque tous les utilisateurs, groupes et membres souhaités sont inclus dans l’alias, cliquez sur OK dans la boîte de dialogue Ajouter un alias. Guide de l’utilisateur 97 Administration et paramètres globaux de Firebox Définir les paramètres globaux de Firebox Dans Policy Manager, vous pouvez sélectionner des paramètres qui contrôlent les actions de plusieurs fonctions Firebox. Vous pouvez définir des paramètres de base pour : la gestion des erreurs ICMP le contrôle TCP SYN l’ajustement de taille maximale TCP la gestion de trafic et QoS 1. Dans Policy Manager, sélectionnez Configurer > Paramètres globaux. La boîte de dialogue Paramètres globaux s’affiche. 2. Configurez les différentes catégories de paramètres globaux comme indiqué dans les sections cidessous. 98 WatchGuard System Manager Administration et paramètres globaux de Firebox Définir les paramètres globaux de gestion des erreurs ICMP Le protocole Internet Control Message Protocol (ICMP) contrôle les erreurs se produisant au cours des connexions. Il est utilisé pour deux types d’opérations : Informer les hôtes clients des conditions d’erreur. Sonder un réseau pour découvrir ses caractéristiques générales. Le périphérique Firebox envoie un message d’erreur ICMP à chaque fois qu’un événement correspondant à l’un des paramètres que vous avez sélectionnés se produit. Ces messages constituent d’excellents outils de dépannage mais ils peuvent aussi altérer la sécurité en exposant des informations relatives au réseau. Si vous refusez ces messages ICMP, vous pouvez augmenter le niveau de sécurité en empêchant l’exploration du réseau. Cette action peut cependant provoquer des retards pour des connexions incomplètes et entraîner des problèmes d’application. Les paramètres globaux de gestion des erreurs ICMP et leurs descriptions sont les suivants : Fragmentation req) (PMTU) Activez cette case à cocher pour autoriser les messages Fragmentation Req (Fragmentation req) ICMP. Le périphérique Firebox utilise ces messages pour repérer le chemin MTU. Délai expiré Activez cette case à cocher pour autoriser les messages Délai expiré ICMP. Un routeur envoie généralement ces messages en cas de boucle de route. Réseau non joignable Activez cette case à cocher pour autoriser les messages Réseau non joignable ICMP. Un routeur envoie généralement ces messages en cas de rupture de liaison réseau. Hôte non joignable Activez cette case à cocher pour autoriser les messages Hôte non joignable ICMP. Le réseau envoie généralement ces messages lorsqu’il ne peut pas utiliser d’hôte ou de service. Port non joignable Activez cette case à cocher pour autoriser les messages Port non joignable ICMP. Un hôte ou un parefeu envoie généralement ces messages lorsqu’un service réseau n’est pas disponible ou autorisé. Protocole non joignable Activez cette case à cocher pour autoriser les messages Protocole non joignable ICMP. Vous pouvez ignorer les paramètres globaux ICMP pour une stratégie : 1. Dans l’onglet Avancé de la boîte de dialogue Propriétés de la nouvelle stratégie/Modifier les propriétés de stratégie, sélectionnez Définir un paramètre dans la liste déroulante Gestion des erreurs ICMP. 2. Cliquez sur Paramètre ICMP. 3. Dans la boîte de dialogue Paramètres de gestion des erreurs ICMP, utilisez les cases à cocher pour indiquer les paramètres souhaités. Cliquez sur OK. Activer le contrôle TCP SYN Le contrôle TCP SYN permet de s’assurer que la liaison à trois voies TCP est réalisée avant que le périphérique Firebox n’autorise une connexion de données. Guide de l’utilisateur 99 Administration et paramètres globaux de Firebox Définir les paramètres globaux d’ajustement de taille de segment maximum TCP Le segment TCP peut être paramétré sur une taille définie pour une connexion d’une liaison TCP/IP supérieure à 3 voies (par exemple, PPPoE, ESP et AH). Certains sites web seront inaccessibles aux utilisateurs si cette taille n’est pas correctement configurée. Les paramètres globaux d’ajustement de taille de segment maximum TCP sont les suivants : Ajustement automatique Le périphérique Firebox examine toutes les négociations de taille de segment maximum (MSS) et adopte la valeur MSS applicable. Aucun ajustement Le périphérique Firebox ne modifie pas la valeur MSS. Limiter à Vous définissez une limite d’ajustement de taille. Désactiver la gestion de trafic et QoS Pour désactiver ces fonctions, activez la case à cocher Désactiver toutes les fonctionnalités de gestion du trafic et de qualité de service. Vous souhaiterez peut-être désactiver ces fonctions pour effectuer des tests de performance ou un débogage de réseau. À propos des paramètres globaux VPN Vous pouvez sélectionner des paramètres qui s’appliquent aux tunnels BOVPN manuels, aux tunnels BOVPN gérés et aux tunnels Mobile VPN with IPSec : 1. Dans Policy Manager, sélectionnez VPN > Paramètres VPN. La boîte de dialogue Paramètres VPN s’affiche. 2. Examinez les paramètres expliqués ci-dessous pour les tunnels VPN. Activer le transit IPSec Pour permettre à un utilisateur d’établir des connexions IPSec vers un Firebox derrière un autre Firebox, la case à cocher Activer le transit IPSec doit rester activée pour activer la fonction de transit IPSec. Par exemple, des employés itinérants se trouvant chez un client équipé d’un Firebox peuvent utiliser IPSec pour établir des connexions IPSec vers leurs réseaux. Pour que le périphérique Firebox local établisse correctement la connexion IPSec sortante, vous devez également ajouter une stratégie IPSec dans Policy Manager. Lorsque vous spécifiez ou définissez une proposition de phase 2 et que vous projetez d’utiliser la fonction de transit IPSec, vous devez spécifier ESP (Encapsulating Security Payload) comme méthode de proposition. La fonction de transit IPSec prend en charge ESP mais pas AH (Authentication Header). Pour plus d’informations sur la définition d’une proposition de phase 2, voir Ajouter une proposition de phase 2. Lorsque vous activez la fonction de transit IPSec, une stratégie intitulée WatchGuard IPSec est automatiquement ajoutée à Policy Manager. La stratégie autorise le trafic de Any-Trusted (Tout approuvé) et Any-Optional (Tout optionnel), et la destination est définie sur Any (Tout). Lorsque vous désactivez la fonction de transit IPSec, la stratégie WatchGuard IPSec est automatiquement supprimée. 100 WatchGuard System Manager Administration et paramètres globaux de Firebox Activer le type de service (TOS) pour IPSec Les bits TOS constituent un ensemble d’indicateurs à quatre bits dans l’en-tête IP qui permet d’indiquer aux périphériques de routine de fournir un datagramme IP plus ou moins prioritaire que d’autres datagrammes. Fireware vous permet d’autoriser les tunnels IPSec à effacer ou conserver les paramètres sur les paquets TOS. Certains fournisseurs de services Internet abandonnent tous les paquets comportant des indicateurs TOS. Si vous n’activez pas la case à cocher Activer le type de service (TOS) pour IPSec, aucun paquet IPSec ne comporte d’ensemble de bits TOS. Les bits TOS auparavant définis sont effacés lorsque Fireware encapsule le paquet dans un en-tête IPSec. Si la case à cocher Activer le type de service (TOS) pour IPSec est activée et que le paquet d’origine comporte un ensemble de bits TOS, Fireware conserve l’ensemble de bits TOS lorsqu’il encapsule le paquet dans l’en-tête IPSec. Si le paquet d’origine ne comporte pas d’ensemble de bits TOS, Fireware ne définit pas les bits TOS lorsqu’il encapsule le paquet dans l’en-tête IPSec. Prenez en compte le paramètre de cette case à cocher pour appliquer un marquage QoS au trafic IPsec. Le marquage QoS peut impliquer le paramètre de bit TOS. Pour plus d’informations sur le marquage QoS, voir À propos du marquage QoS. Activer le serveur LDAP pour la vérification du certificat Lorsque vous créez une passerelle VPN, vous spécifiez une méthode d’informations d’identification pour les deux extrémités VPN à utiliser une fois le tunnel créé. Si vous choisissez d’utiliser un certificat Firebox IPSec, vous pouvez identifier un serveur LDAP à utiliser pour valider le certificat. Entrez l’adresse IP pour le serveur LDAP. Vous pouvez également spécifier un port différent du port 389. Notification BOVPN Cliquez pour configurer le périphérique Firebox et envoyer une notification lorsqu’un tunnel BOVPN est inactif. Une boîte de dialogue apparaît pour vous permettre de définir des paramètres de notification. Pour plus d’informations sur les champs de cette boîte de dialogue, voir Définir les préférences de journalisation et de notification. Ce paramètre ne s’applique pas aux tunnels Mobile VPN with IPSec. Guide de l’utilisateur 101 Administration et paramètres globaux de Firebox Créer des calendriers pour les actions Firebox Vous pouvez automatiser certaines actions Firebox, comme les tâches WebBlocker, à l’aide de calendriers. Vous pouvez créer un calendrier pour tous les jours de la semaine ou en créer un différent pour chaque jour de la semaine. Vous pouvez ensuite utiliser ces calendriers dans des stratégies que vous créez. Pour plus d’informations sur l’utilisation des calendriers dans les stratégies, voir Définir un calendrier d’application. 1. Dans Policy Manager, sélectionnez Configurer > Actions > Calendriers. La boîte de dialogue Calendriers s’affiche. 2. Cliquez sur Ajouter. La boîte de dialogue Nouveau calendrier s’affiche. 102 WatchGuard System Manager Administration et paramètres globaux de Firebox 3. Entrez le nom du calendrier et une description. Le nom du calendrier s’affiche dans la boîte de dialogue Calendriers. Utilisez un nom facile à retenir. 4. Dans la liste déroulante Mode, sélectionnez l’incrément de temps de la planification : une heure, 30 minutes ou 15 minutes. Le graphique à gauche de la boîte de dialogue Nouveau calendrier affiche votre entrée dans la liste déroulante. 5. Le graphique de la boîte de dialogue montre les jours de la semaine sur l’axe des x (horizontal) et les incréments de la journée sur l’axe des y (vertical). Cliquez sur les zones du graphique pour transformer des heures opérationnelles (pendant lesquelles la stratégie est active) en heures non opérationnelles (pendant lesquelles la stratégie est inactive) et vice-versa. 6. Cliquez sur OK pour fermer la boîte de dialogue Nouveau calendrier. Cliquez sur Fermer pour fermer la boîte de dialogue Calendriers. Pour modifier un calendrier, sélectionnez son nom dans la boîte de dialogue Calendrier et cliquez sur Modifier. Pour créer un calendrier à partir d’un calendrier existant, sélectionnez le nom du calendrier de votre choix et cliquez sur Cloner. Guide de l’utilisateur 103 Administration et paramètres globaux de Firebox Gérer Firebox à partir d’un emplacement distant Lorsque vous configurez Firebox à l’aide de l’Assistant Quick Setup Wizard, une stratégie vous autorisant à vous connecter à Firebox à partir de tout ordinateur des réseaux approuvés ou facultatifs et à l’administrer est créée automatiquement. Si vous souhaitez gérer Firebox à partir d’un emplacement distant (tout emplacement externe à Firebox), vous devez alors modifier votre configuration de manière à autoriser les connexions administratives à partir de votre emplacement distant. La stratégie contrôlant les connexions administratives à Firebox est appelée la stratégie WatchGuard dans Policy Manager. Cette stratégie contrôle l’accès à Firebox sur les quatre ports TCP suivants : 4103, 4105, 4117, 4118. Lorsque vous autorisez des connexions dans la stratégie WatchGuard, vous autorisez les connexions à chacun de ces quatre ports. Avant de modifier une stratégie afin d’autoriser les connexions à Firebox à partir d’un ordinateur extérieur à votre réseau, il est conseillé de réfléchir à l’utilisation de l’authentification utilisateur pour limiter les connexions à Firebox. Il est également recommandé de limiter l’accès à partir du réseau externe au plus petit nombre possible d’ordinateurs. Par exemple, il est plus sûr d’autoriser les connexions à partir d’un seul ordinateur qu’à partir de l’alias « Any-External ». 1. Dans Policy Manager, double-cliquez sur la stratégie WatchGuard. Vous pouvez également cliquer avec le bouton droit sur la stratégie WatchGuard et sélectionner Modifier. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 104 WatchGuard System Manager Administration et paramètres globaux de Firebox 2. Sous la liste De, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 3. Pour entrer l’adresse IP de l’ordinateur externe qui se connecte à Firebox, cliquez sur Ajouter autre. Vérifiez que le type IP de l’hôte est sélectionné, puis tapez l’adresse IP. Pour ajouter un nom d’utilisateur, dans la boîte de dialogue Ajouter une adresse, cliquez sur Ajouter un utilisateur. La boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés s’affiche. Pour plus d’informations sur l’utilisation de cette boîte de dialogue, voir Créer un alias. Guide de l’utilisateur 105 Administration et paramètres globaux de Firebox 106 WatchGuard System Manager 7 Fichiers de configuration À propos des fichiers de configuration Firebox Un fichier de configuration Firebox inclut toutes les données de configuration, options, adresses IP et autres informations qui constituent votre stratégie de sécurité Firebox. Les fichiers de configuration ont l’extension .xml. Policy Manager pour Fireware ou Fireware Pro est un outil logiciel WatchGuard qui vous permet de créer, modifier et enregistrer des fichiers de configuration. Lorsque vous utilisez l’interface utilisateur de Policy Manager sur l’écran de votre ordinateur, une version facile à examiner et à modifier de votre fichier de configuration est affichée. Dans Policy Manager, vous pouvez : Ouvrir un fichier de configuration : soit le fichier de configuration actif dans Firebox, soit un fichier de configuration local (un fichier de configuration enregistré sur votre disque dur mais pas en cours d’utilisation sur Firebox) Créer un fichier de configuration Enregistrer un fichier de configuration Modifier des fichiers de configuration existants, comme cela est décrit dans les rubriques du présent fichier d’aide. Ouvrir un fichier de configuration Les administrateurs réseau ont souvent besoin de modifier la stratégie de sécurité de leur réseau. Votre entreprise a par exemple acheté un nouveau logiciel et vous devez ouvrir un port et un protocole sur un serveur se trouvant chez le fournisseur. Votre entreprise a peut-être également acheté une nouvelle fonctionnalité pour Firebox ou embauché un nouvel employé qui doit pouvoir accéder aux ressources réseau. Pour toutes ces tâches et pour d’autres encore, vous devez ouvrir le fichier de configuration, le modifier à l’aide de Policy Manager, puis l’enregistrer. Guide de l’utilisateur 107 Fichiers de configuration Ouvrir le fichier de configuration avec WatchGuard System Manager 1. Sur le bureau Windows, sélectionnez Démarrer > Tous les programmes > WatchGuard System Manager 10 > WatchGuard System Manager. WatchGuard System Manager 10 est le nom par défaut du dossier des icônes du menu Démarrer. Vous ne pouvez pas modifier le nom de ce dossier au cours de l’installation, mais vous pouvez le modifier via l’interface Windows si vous le souhaitez. 2. Cliquez sur l’icône . Vous pouvez également sélectionner Fichier > Se connecter au périphérique. La boîte de dialogue Se connecter à Firebox apparaît.. 3. Choisissez un périphérique Firebox dans la liste déroulante ou entrez son adresse IP approuvée. Entrez le mot de passe d’état (lecture seule). Cliquez sur OK. Le périphérique apparaît dans l’onglet État du périphérique de WatchGuard System Manager. 4. Sélectionnez le périphérique Firebox dans l’onglet État du périphérique. Puis cliquez sur . Vous pouvez également sélectionner Outils > Policy Manager. Policy Manager s’ouvre et affiche le fichier de configuration utilisé sur le périphérique Firebox sélectionné. Les modifications apportées à la configuration ne prennent effet qu’une fois que vous avez enregistré la configuration sur Firebox. Ouvrir le fichier de configuration avec Policy Manager 1. Dans Policy Manager, cliquez sur Fichier > Ouvrir > Firebox. La boîte de dialogue Ouvrir Firebox s’affiche. Si un message d’erreur indiquant que vous ne pouvez pas vous connecter s’affiche, essayez de nouveau. 2. Dans la liste déroulante Nom ou adresse de Firebox, sélectionnez un périphérique Firebox. Vous pouvez également taper l’adresse IP ou le nom d’hôte. 3. Dans la zone de texte Mot de passe, entrez le mot de passe d’état (lecture seule) de Firebox. Utilisez le mot de passe d’état. Vous devez utiliser le mot de passe de configuration pour enregistrer une nouvelle configuration dans Firebox. 108 WatchGuard System Manager Fichiers de configuration 4. Cliquez sur OK. Policy Manager ouvre le fichier de configuration et affiche les paramètres. Si vous ne parvenez pas à ouvrir Policy Manager, essayez de procéder ainsi : Si la boîte de dialogue Se connecter à Firebox s’affiche à nouveau immédiatement dès que vous avez entré le mot de passe, vérifiez que le verrouillage des majuscules n’est pas activé et que vous avez entré le mot de passe correctement. N’oubliez pas que le mot de passe respecte la casse. Si la boîte de dialogue Se connecter à Firebox ne s’affiche plus, vérifiez qu’il existe une liaison sur l’interface approuvée et sur l’ordinateur. Vérifiez que vous avez entré une adresse IP correcte pour l’interface approuvée de Firebox. Vérifiez également que l’adresse IP de votre ordinateur figure dans le même réseau que l’interface approuvée de Firebox. Ouvrir un fichier de configuration local Vous pouvez ouvrir les fichiers de configuration de n’importe quelle unité réseau à laquelle votre station de gestion peut se connecter. Si vous souhaitez utiliser un fichier de configuration Firebox d’usine par défaut, nous vous recommandons d’exécuter d’abord l’Assistant Quick Setup Wizard pour créer une configuration de base, puis d’ouvrir le fichier de configuration. Toutefois, si vous ouvrez un fichier de configuration sur un système doté d’une configuration d’usine par défaut, veillez à modifier les mots de passe d’état et de configuration. 1. Dans WatchGuard System Manager, cliquez sur . Vous pouvez également sélectionner Outils > Policy Manager. La fenêtre Policy Manager apparaît. 2. Cliquez sur . Vous pouvez également sélectionner Fichier > Ouvrir > Fichier de configuration. Une boîte de dialogue d’ouverture de fichier Windows standard apparaît. 3. Recherchez et sélectionnez le fichier de configuration à l’aide de la boîte de dialogue Ouvrir. Cliquez sur Ouvrir. Policy Manager ouvre le fichier de configuration et affiche les paramètres. Guide de l’utilisateur 109 Fichiers de configuration Créer un fichier de configuration L’Assistant Quick Setup Wizard crée un fichier de configuration de base pour Firebox. Nous vous recommandons d’utiliser ce fichier comme point de départ pour tous vos fichiers de configuration. Toutefois, vous pouvez également créer un fichier de configuration contenant uniquement les propriétés de configuration par défaut à l’aide de Policy Manager. 1. Dans WatchGuard System Manager, cliquez sur . Vous pouvez également sélectionner Outils > Policy Manager. 2. Dans Policy Manager, sélectionnez Fichier > Nouveau. La boîte de dialogue Sélectionner le modèle de Firebox et le nom apparaît. 3. Sélectionnez un modèle Firebox dans la liste déroulante Modèle. Certains groupes de fonctionnalités étant uniques pour chaque modèle, sélectionnez le même modèle que celui de votre périphérique matériel. 4. Entrez le nom du périphérique Firebox. Ce nom sera également utilisé pour le fichier de configuration. Il permet aussi d’identifier Firebox si celui-ci est géré par un serveur WatchGuard Management Server et il est utilisé pour la journalisation et la génération de rapports. 5. Cliquez sur OK. Policy Manager crée un fichier de configuration portant le nom <nom>.xml, où <nom> est le nom attribué à Firebox. Enregistrer le fichier de configuration Une fois que vous avez créé un fichier de configuration ou apporté des modifications au fichier de configuration actif, vous pouvez l’enregistrer directement dans Firebox. Si vous modifiez un fichier de configuration en cours et que vous souhaitez que les modifications s’appliquent à Firebox, vous devez enregistrer le fichier de configuration dans Firebox. Vous pouvez également l’enregistrer sur le disque dur local. Si vous prévoyez d’apporter une ou plusieurs modifications importantes au fichier de configuration, nous vous recommandons de sauvegarder au préalable l’ancien fichier sur le disque dur local. En cas de problème avec la nouvelle configuration, vous pourrez restaurer l’ancienne. 110 WatchGuard System Manager Fichiers de configuration Enregistrer une configuration dans Firebox 1. Dans Policy Manager, cliquez sur Fichier > Enregistrer > Sur Firebox. La boîte de dialogue Enregistrer sur Firebox apparaît. 2. Dans la liste déroulante Nom ou adresse de Firebox, entrez une adresse IP ou un nom, ou sélectionnez un périphérique Firebox. Si vous entrez un nom Firebox, ce nom doit pouvoir être résolu via DNS. Lorsque vous entrez une adresse IP, entrez tous les chiffres et points. N’utilisez ni la touche de tabulation ni la touche de direction. 3. Entrez le mot de passe de configuration de Firebox. Vous devez utiliser le mot de passe de configuration pour enregistrer un fichier dans Firebox. 4. Cliquez sur OK. Enregistrer une configuration sur un disque dur local 1. Dans Policy Manager, cliquez sur Fichier > Enregistrer > En tant que fichier. Vous pouvez également utiliser la combinaison de touches Ctrl + S. Une boîte de dialogue d’enregistrement de fichier Windows standard apparaît. 2. Entrez le nom du fichier. La procédure par défaut consiste à enregistrer le fichier dans le répertoire Mesdocuments\Mon WatchGuard\configs. Vous pouvez choisir n’importe quel dossier auquel vous avez accès à partir de la station de gestion. Pour une sécurité optimale, nous vous recommandons d’enregistrer les fichiers dans un dossier sûr auquel aucun autre utilisateur ne peut avoir accès. 3. Cliquez sur Enregistrer. Le fichier de configuration est enregistré dans le répertoire indiqué. Guide de l’utilisateur 111 Fichiers de configuration Créer une sauvegarde de l’image Firebox Une image de sauvegarde Firebox consiste en une copie chiffrée et enregistrée de l’image du disque flash obtenue à partir du disque flash Firebox. Cette image inclut le logiciel système Firebox, le fichier de configuration, les licences et les certificats. Vous pouvez enregistrer une image de sauvegarde sur votre station de gestion ou dans un répertoire réseau. Il est conseillé de réaliser des sauvegardes régulières de l’image Firebox. Il est également conseillé de créer une image de sauvegarde du périphérique Firebox avant d’apporter des modifications importantes à la configuration ou avant de mettre à jour le périphérique ou son logiciel système. 1. Dans Policy Manager, sélectionnez Fichier > Sauvegarder. La boîte de dialogue Sauvegarder s’affiche. 2. Entrez le mot de passe de configuration de votre périphérique Firebox. La deuxième partie de la boîte de dialogue Sauvegarder s’affiche. 3. Entrez et confirmez une clé de chiffrement. Cette clé permet de chiffrer le fichier de sauvegarde. En cas de perte ou d’oubli de la clé de chiffrement, vous ne serez plus en mesure de restaurer le fichier de sauvegarde. 4. Sélectionnez le répertoire dans lequel vous souhaitez enregistrer le fichier de sauvegarde. Cliquez sur OK. Par défaut, l’emplacement d’un fichier de sauvegarde portant une extension « .fxi » est C:\Documents and Settings\All Users\Shared WatchGuard\backups\<adresse IP Firebox>-<date>.<version_wsm>.fxi. 112 WatchGuard System Manager Fichiers de configuration Restaurer une image de sauvegarde Firebox 1. Dans Policy Manager, sélectionnez Fichier > Restaurer. La boîte de dialogue Restaurer s’affiche. 2. Entrez le mot de passe de configuration de votre périphérique Firebox. Cliquez sur OK. 3. Entrez la clé de chiffrement utilisée à la création de l’image de sauvegarde. Le périphérique Firebox restaure l’image de sauvegarde et redémarre. Au redémarrage, l’image de sauvegarde est utilisée. Patientez deux minutes avant de vous reconnecter au périphérique Firebox. Si vous ne parvenez pas à restaurer l’image Firebox, vous pouvez réinitialiser le périphérique Firebox. Rétablir une configuration antérieure d’un périphérique Firebox ou créer une nouvelle configuration Vous pouvez restaurer les paramètres par défaut d’un périphérique Firebox ou créer une configuration entièrement nouvelle. Vous devez distinguer la procédure qui permet de réinitialiser un périphérique Firebox X Core ou Peak e-Series de celle qui permet de récupérer un modèle antérieur d’un périphérique Firebox X Core ou Peak. Assurez-vous que vous utilisez la procédure adaptée à votre périphérique Firebox. Réinitialiser un périphérique Firebox X e-Series Pour créer une nouvelle configuration sur un périphérique Firebox X Core ou Peak e-Series, utilisez l’Assistant Quick Setup Wizard Web. Pour plus d’informations, voir Assistant Quick Setup Wizard Web. Si vous utilisez l’Assistant Quick Setup Wizard Web à des fins de restauration et que vous avez acheté une mise à niveau du modèle matériel Firebox, vous devez vous assurer que la clé de fonctionnalité entrée dans l’Assistant correspond à la clé reçue avec la mise à niveau du modèle. Réinitialiser un périphérique Firebox X Core ou Peak (n’appartenant pas à la gamme e-Series) Avec un modèle antérieur de Firebox X Core ou Peak, vous pouvez utiliser l’Assistant Quick Setup Wizard pour créer une configuration entièrement nouvelle. Il s’agit de la méthode la plus simple pour réinitialiser un périphérique Firebox et de la procédure la plus répandue. Cependant, l’Assistant Quick Setup Wizard ne permet pas toujours de réinitialiser un périphérique Firebox. Avec cet Assistant, vous devez être en mesure d’établir une connexion réseau avec le périphérique Firebox à partir de votre station de gestion et de « découvrir » le périphérique Firebox sur le réseau. Si vous n’y parvenez pas, vous pouvez utiliser la procédure de réinitialisation manuelle décrite dans cette rubrique. Pour en savoir plus, reportez-vous à la section suivante. Guide de l’utilisateur 113 Fichiers de configuration Réinitialiser manuellement un périphérique n’appartenant pas à la gamme e-Series 1. Désactivez le périphérique Firebox. Sur le panneau avant de Firebox, appuyez sur le bouton Flèche haut. 2. Maintenez enfoncé le bouton Flèche haut pendant que vous activez Firebox, puis continuez à maintenir enfoncé le bouton jusqu’à ce que l’affichage LCD indique que Firebox est exécuté en mode sans échec. Lorsque Firebox est exécuté en mode sans échec, le mode paramètres par défaut est utilisé. Dans ce mode, l’interface approuvée Firebox est définie sur l’adresse 10.0.1.1. 3. Connectez un câble réseau Ethernet inverseur entre votre station de gestion WatchGuard et l’interface approuvée Firebox. L’interface approuvée est étiquetée « Interface 1 » sur Firebox. 4. Sur votre station de gestion, remplacez l’adresse IP par 10.0.1.2 (ou une autre adresse IP à partir de laquelle vous pouvez vous connecter à l’interface approuvée Firebox à l’adresse 10.0.1.1/24). Si votre station de gestion utilise Windows XP, sélectionnez Panneau de configuration > Connexions réseau > Connexion au réseau local dans le menu Démarrer de Windows. Cliquez sur Propriétés. Sélectionnez Protocole Internet (TCP/IP) et cliquez sur Propriétés. Il est conseillé d’effectuer une commande ping sur l’interface approuvée depuis votre station de gestion pour vous assurer que la connexion réseau est opérationnelle. 5. Ouvrez Policy Manager. Vous pouvez ouvrir un fichier de configuration existant ou en créer un. Utilisez les options disponibles dans le menu déroulant Fichier. 6. Sélectionnez Configurer > Clés de fonctionnalité. Cliquez sur Ajouter et collez une copie de votre clé de fonctionnalité dans la zone de texte, si nécessaire. Vous pouvez également importer une clé de fonctionnalité Firebox en cliquant sur Importer. 114 WatchGuard System Manager Fichiers de configuration 7. Lorsque vous êtes prêt, sélectionnez Fichier > Enregistrer > Sur Firebox. Enregistrez votre configuration sur le périphérique Firebox à l’adresse IP 10.0.1.1, avec le mot de passe d’administration « admin ». 8. Au redémarrage de Firebox avec la nouvelle configuration, il est conseillé de changer les mots de passe de Firebox. Sélectionnez Fichier > Modifier les mots de passe pour définir de nouveaux mots de passe. 9. Vous pouvez désormais rétablir Firebox sur votre réseau et vous connecter à l’aide des adresses IP et mots de passe définis dans la nouvelle configuration. Si l’adresse IP et le mot de passe sont restés identiques, vous pouvez vous connecter à l’adresse IP approuvée 10.0.1.1 à l’aide du mot de passe « admin ». Guide de l’utilisateur 115 Fichiers de configuration 116 WatchGuard System Manager 8 Journalisation et notification À propos de la journalisation et des fichiers journaux Une fonctionnalité importante d’une stratégie de sécurité réseau de qualité consiste à rassembler les messages provenant de vos systèmes de sécurité, à examiner souvent ces enregistrements et à les conserver dans une archive. Vous pouvez utiliser les journaux pour analyser la sécurité et l’activité de votre réseau, identifier tous les risques de sécurité et les traiter. Un fichier journal est une liste d’événements contenant des informations sur ces événements. Un événement correspond à une activité qui se produit sur Firebox. Le refus d’un paquet par Firebox est un exemple d’événement. Votre système Firebox peut également capturer des informations sur les événements autorisés afin de vous offrir une image plus complète de l’activité sur votre réseau. Le système de message de journal comprend plusieurs composants. Serveurs Log Server Le serveur Log Server collecte les données des messages de journal de chaque système WatchGuard Firebox. Vous pouvez installer le serveur WatchGuard Log Server sur un ordinateur que vous utilisez comme station de gestion. Vous pouvez également installer le logiciel Log Server sur un autre ordinateur. Pour cela, utilisez le programme d’installation de WatchGuard System Manager et choisissez d’installer uniquement le composant Log Server. Vous pouvez également ajouter des serveurs Log Server supplémentaires à des fins de sauvegarde. Les messages de journal qui sont envoyés vers le serveur WatchGuard Log Server sont chiffrés. Le format d’un message du journal est XML (texte brut). Les informations collectées à partir des périphériques de pare-feu incluent les messages de types Trafic, Alarme, Événement, Débogage et Statistiques. Une fois que votre serveur Log Server a collecté les données de journal provenant de vos périphériques Firebox, le serveur Report Server consolide régulièrement les données et génère des rapports. Pour plus d’informations sur Report Server et la visionneuse de rapports, voir À propos de Report Server et À propos de Report Manager. Guide de l’utilisateur 117 Journalisation et notification LogViewer LogViewer est un outil WatchGuard System Manager qui vous permet de consulter les données des fichiers journaux. Vous pouvez afficher les données d’un journal page par page ou rechercher et afficher du contenu en utilisant des mots clés ou en spécifiant des champs du journal. Pour plus d’informations sur LogViewer et la façon d’utiliser cet outil, voir Utiliser LogViewer pour afficher les fichiers journaux. Journalisation et notification dans les applications et sur les serveurs Le serveur Log Server peut recevoir les messages de journal à partir de votre système Firebox ou d’un serveur WatchGuard. Une fois que vous avez configuré votre système Firebox et le serveur Log Server, Firebox envoie les messages de journal vers le serveur Log Server. Vous pouvez activer la journalisation dans les différentes applications et stratégies WSM que vous avez définies pour que Firebox contrôle le niveau des journaux que vous voyez. Si vous choisissez d’envoyer les messages de journal à partir d’un autre serveur WatchGuard vers le serveur Log Server, vous devez commencer par activer la journalisation sur ce serveur. Pour plus d’informations sur l’envoi de messages de journal à partir de Firebox, voir Configurer la journalisation et la notification pour une stratégie. Pour plus d’informations sur l’envoi de messages de journal à partir du serveur WatchGuard, voir Paramètres de journalisation et de surveillance. À propos des messages de journal Firebox envoie les messages de journal vers le serveur Log Server. Il peut également envoyer les messages de journal vers un serveur syslog ou conserver localement les journaux sur Firebox. Vous pouvez choisir d’envoyer les journaux à l’un et/ou à l’autre de ces emplacements. Vous pouvez utiliser Firebox System Manager pour consulter les messages de journal sous l’onglet Moniteur du trafic. Pour plus d’informations, voir Messages des journaux Firebox (Moniteur du trafic). Vous pouvez également examiner les messages de journal à l’aide de LogViewer. Les messages de journal sont conservés sur le serveur Log Server dans le répertoire WatchGuard dans un fichier de base de données SQL avec une extension .wgl.xml. Pour en savoir plus sur les différentes sortes de messages de journal que Firebox envoie, voir Types de messages de journal. Types de messages de journal Firebox envoie cinq types de messages de journal. Le type figure dans le texte du message. Les cinq types de messages de journal sont les suivants : Trafic Alarme Événement Débogage Statistiques Messages de journal de type Trafic Firebox envoie des messages de journal de type Trafic lorsqu’il applique des règles de filtre de paquets et de proxy au trafic transmis via Firebox. 118 WatchGuard System Manager Journalisation et notification Messages de journal de type Alarme Des messages de journal de type Alarme sont envoyés lorsqu’un événement se produit qui déclenche l’exécution d’une commande par Firebox. Lorsque la condition d’alarme est satisfaite, Firebox envoie un message de journal de type Alarme au Moniteur du trafic et à Log Server, puis effectue l’action spécifiée. Vous pouvez définir certains messages de journal de type Alarme. Par exemple, vous pouvez utiliser Policy Manager pour configurer le déclenchement d’une alarme lorsqu’une valeur spécifiée est satisfaite ou dépasse un seuil. D’autres messages de journal de type Alarme sont définis par le logiciel système et vous ne pouvez pas modifier la valeur. Par exemple, Firebox envoie un message de journal de type Alarme lors d’un échec de connexion réseau sur l’une des interfaces Firebox ou lors d’une attaque de refus de service. Pour plus d’informations sur les messages de journal de type Alarme, voir le Guide de référence. Il existe huit catégories de messages de journal de type Alarme : Système, IPS, AV, Stratégie, Proxy, Compteur, Refus de service et Trafic. Firebox n’envoie pas plus de 10 alarmes en 15 minutes pour les mêmes conditions. Messages de journal de type Événement Firebox envoie des messages de journal de type Événement en raison de l’activité des utilisateurs. Les actions susceptibles d’entraîner l’envoi d’un message de journal de type Événement par Firebox incluent les actions suivantes : Démarrage et fermeture de Firebox Authentification Firebox et VPN Démarrage et arrêt d’un processus Problèmes avec les composants matériels Firebox Toute tâche effectuée par l’administrateur Firebox Messages de journal de type Débogage Les messages de journal de type Débogage incluent des informations de diagnostic qui vous aideront à résoudre les problèmes éventuels. 27 composants différents du produit peuvent envoyer des messages de journal de type Débogage. Vous pouvez choisir si les messages de journal de type Débogage (diagnostic) apparaissent dans le Moniteur du trafic, comme cela est décrit dans Activer les diagnostics avancés. Messages de journal de type Statistiques Les messages de journal de type Statistiques incluent des informations sur les performances de Firebox. Par défaut, Firebox envoie les messages de journal relatifs aux performances de l’interface externe et aux statistiques de bande passante VPN à votre fichier journal. Vous pouvez utiliser ces journaux pour modifier vos paramètres Firebox d’une façon appropriée pour améliorer les performances. Pour plus d’informations sur les messages de journal de type Statistiques, voir Configurer la journalisation sur Firebox et Désactiver la journalisation des statistiques de performances. Guide de l’utilisateur 119 Journalisation et notification À propos de la notification Une notification est un message que Firebox envoie à un administrateur lorsqu’un événement se produit qui constitue une menace possible. La notification peut se présenter sous la forme d’un e-mail ou d’une fenêtre contextuelle. Les notifications peuvent également être envoyées au moyen d’une interruption SNMP. (Pour plus d’informations sur les interruptions SNMP, voir À propos du protocole SNMP.) Par exemple, WatchGuard vous conseille de configurer des options de gestion de paquets par défaut pour envoyer une notification lorsque Firebox trouve un sondage d’espace de port. Firebox détecte un sondage d’espace de port en comptant le nombre de paquets envoyés à partir d’une adresse IP vers toutes les adresses IP d’interface externe Firebox. Si ce nombre est supérieur à une valeur configurée, l’hôte de journalisation envoie une notification à l’administrateur réseau au sujet des paquets rejetés. Pour ce qui est des fichiers journaux, les administrateurs réseau peuvent examiner les notifications et décider de la façon d’améliorer la sécurité du réseau d’une organisation. Pour l’exemple du sondage de l’espace de port, voici quelques modifications possibles : Bloquer les ports sur lesquels le sondage a été utilisé Bloquer l’adresse IP qui a envoyé les paquets Envoyer un e-mail de notification à l’administrateur réseau Configurer Log Server pour la notification Firebox envoie des notifications seulement si vous les activez et les configurez sur le serveur Log Server que Firebox utilise : 120 Pour activer la notification sur le serveur Log Server, consultez Paramètres d’expiration d’un serveur Log Server et activez la case à cocher Activer les notifications pour les événements provenant de tout périphérique ou serveur se connectant à ce serveur Log Server. Pour définir l’adresse e-mail qui s’affiche comme expéditeur des messages de notification, consultez Paramètres d’expiration d’un serveur Log Server et entrez l’adresse e-mail dans le champ Envoyer un e-mail de. Pour définir le destinataire de messagerie, consultez Paramètres de la base de données et du serveur SMTP d’un serveur Log Server, activez la case à cocher Envoyer un avertissement si la base de données atteint le seuil d’avertissement et entrez l’adresse e-mail du destinataire dans le champ Envoyer un message d’avertissement à. Utilisez le champ Objet pour définir le texte qui s’affiche dans le champ Objet des messages de notification. Si vous ne voulez pas utiliser la fonctionnalité d’avertissement de base de données, vous pouvez désactiver la case à cocher Envoyer un avertissement si la base de données atteint le seuil d’avertissement. WatchGuard System Manager Journalisation et notification Définir la destination des messages des journaux envoyés par Firebox Vous pouvez configurer votre périphérique Firebox de sorte qu’il journalise les événements qui se produisent sur le périphérique. Vous pouvez ensuite examiner les fichiers journaux et prendre des décisions quant au renforcement de la sécurité de votre réseau. Vous devez indiquer à Firebox où envoyer les messages des journaux. 1. Dans Policy Manager, sélectionnez Configurer > Journalisation. La boîte de dialogue Configurer la journalisation s’ouvre. Guide de l’utilisateur 121 Journalisation et notification 2. Configurez les paramètres de journalisation de WatchGuard Log Server, du serveur syslog et de Firebox Internal Storage. Les options disponibles sont décrites ci-dessous. WatchGuard Log Server Activez la case à cocher Envoyer les messages des journaux vers les serveurs Log Server à ces adresses IP pour envoyer les messages journaux à vos serveurs Log Server. Un périphérique Firebox peut envoyer des messages des journaux à la fois à un Log Server et à un serveur syslog. Cliquez sur Configurer pour ajouter ou modifier les adresses IP de vos serveurs Log Server. Pour plus d’informations, voir Ajouter un serveur Log Server. Serveur Syslog Activez la case à cocher Envoyer les messages des journaux au serveur Syslog à cette adresse IP pour envoyer les messages des journaux à votre serveur syslog. Un périphérique Firebox peut envoyer des messages des journaux à la fois à un Log Server et à un serveur syslog. Cliquez sur Configurer pour ajouter ou modifier les adresses IP de votre serveur syslog. Pour plus d’informations, voir Configurer syslog. Firebox Internal Storage Activez la case à cocherEnvoyer les messages des journaux à Firebox Internal Storage pour permettre à Firebox de stocker les messages des journaux. Statistiques de performances Par défaut, Firebox envoie les messages des journaux relatifs aux performances de l’interface externe et les statistiques concernant la bande passante VPN à votre fichier journal. Pour désactiver ce type de message du journal, voir Désactiver la journalisation des statistiques de performances. Diagnostic avancé Pour définir le niveau de la journalisation de diagnostic à écrire dans votre fichier journal où dans le moniteur du trafic pour chaque catégorie de journalisation, voir Activer les diagnostics avancés. Ajouter un serveur Log Server Si vous activez la case à cocher Envoyer les messages des journaux vers les serveurs Log Server à ces adresses IP lorsque vous définissez la destination des messages des journaux envoyés par Firebox, vous pouvez ensuite ajouter un ou plusieurs serveurs Log Server dans Firebox. 1. Dans Policy Manager, sélectionnez Configurer > Journalisation. La boîte de dialogue Configuration de la journalisation s’ouvre. 2. Cliquez sur Configurer. Cliquez sur Ajouter. La boîte de dialogue Ajouter un processeur d’événements s’affiche. 122 WatchGuard System Manager Journalisation et notification Utiliser la boîte de dialogue Ajouter un processeur d’événements 1. Dans le champ Adresse de Log Server, tapez l’adresse IP du serveur Log Server que vous voulez ajouter. 2. Dans les zones de texte Clé de chiffrement et Confirmer, tapez la clé de chiffrement de Log Server que vous avez définie lors de l’utilisation de l’Assistant Log Server Configuration Wizard, comme cela est décrit dans Configurer Log Server. La clé de chiffrement doit comprendre entre 8 et 32 caractères. Vous pouvez utiliser tous les caractères à l’exception des espaces et des barres obliques (/ ou \). 3. Cliquez sur OK. La boîte de dialogue Ajouter un processeur d’événements se ferme. Enregistrer les modifications et vérifier la journalisation 1. Cliquez sur OK pour fermer la boîte de dialogue Configurer les serveurs Log Server. 2. Cliquez sur OK pour fermer la boîte de dialogue Configuration de la journalisation. 3. Enregistrez le fichier de configuration. Pour vérifier que Firebox effectue correctement la journalisation, dans WSM, sélectionnez Outils > Firebox System Manager. Dans la section Détails de gauche, l’adresse IP de l’hôte de journalisation doit figurer en regard de Log Server. Définir la priorité d’un serveur Log Server Vous pouvez créer une liste des priorités pour les serveurs Log Server. Si Firebox ne peut pas se connecter à Log Server avec la priorité la plus élevée, il se connecte au serveur Log Server suivant dans la liste des priorités. Si Firebox examine chaque serveur Log Server dans la liste et ne peut pas se connecter, il essaie à nouveau de se connecter au premier serveur Log Server de la liste. 1. Dans Policy Manager, sélectionnez Configurer > Journalisation. La boîte de dialogue Configuration de la journalisation s’ouvre. 2. Cliquez sur Configurer. La boîte de dialogue Configurer les serveurs Log Server s’affiche. 3. Sélectionnez un serveur Log Server dans la liste et cliquez sur les boutons Monter et Descendre pour modifier l’ordre. 4. Cliquez sur OK. La boîte de dialogue Configuration de la journalisation s’affiche avec les serveurs Log Server répertoriés dans la liste des serveurs WatchGuard Log Server dans le nouvel ordre des priorités. Guide de l’utilisateur 123 Journalisation et notification Configurer Syslog Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d’autres platesformes. Vous pouvez configurer Firebox de sorte qu’il envoie des informations de journalisation à un serveur syslog. Un périphérique Firebox peut envoyer des messages des journaux à un serveur Log Server et à un serveur syslog, en même temps, ou à l’un ou l’autre. Les messages des journaux syslog ne sont pas chiffrés. Il est conseillé de ne pas sélectionner un hôte syslog sur l’interface externe. 1. Dans Policy Manager, sélectionnez Configurer > Journalisation. La boîte de dialogue Configurer la journalisation s’ouvre. 2. Activez la case à cocher Envoyer les messages des journaux au serveur Syslog à cette adresse IP. 3. Dans la zone d’adresse, entrez l’adresse IP du serveur Syslog. 4. Cliquez sur Configurer. La boîte de dialogue Configurer Syslog s’ouvre. 5. Pour chaque type de message du journal, sélectionnez l’utilitaire syslog auquel vous souhaitez l’attribuer. Pour plus d’informations sur les différents types de messages, voir Types de messages de journal. L’utilitaire Syslog fait référence à l’un des champs du paquet syslog et au fichier auquel syslog envoie un message du journal. Utilisez Local0 pour les messages syslog à priorité élevée, tels que les alarmes. Utilisez Local1 à Local7 pour attribuer des priorités à d’autres types de messages des journaux (les chiffres les plus petits ayant une priorité plus élevée). Consultez votre documentation syslog pour plus d’informations sur les utilitaires de journalisation. 6. Cliquez sur OK pour fermer la boîte de dialogue Configurer Syslog. 7. Cliquez sur OK pour fermer la boîte de dialogue Configurer la journalisation. 8. Enregistrez le fichier de configuration. 124 WatchGuard System Manager Journalisation et notification Désactiver la journalisation des statistiques de performances Par défaut, Firebox envoie les messages des journaux relatifs aux performances de l’interface externe et les statistiques concernant la bande passante VPN à votre fichier journal. Pour désactiver ce type de message du journal : 1. Dans Policy Manager, sélectionnez Configurer > Journalisation. La boîte de dialogue Configuration de la journalisation s’affiche. 2. Cliquez sur Statistiques de performances. La boîte de dialogue Statistiques de performances s’affiche. 3. Désactivez la case à cocher Statistiques de l’interface externe et de la bande passante du VPN. 4. Cliquez sur OK. Enregistrez les modifications de la configuration dans Firebox. Guide de l’utilisateur 125 Journalisation et notification Activer les diagnostics avancés Vous pouvez sélectionner le niveau d’inscription dans le journal de diagnostic pour écrire dans le fichier journal ou dans le Moniteur du trafic. Nous ne vous conseillons pas de définir le niveau de journalisation le plus élevé à moins qu’un responsable de l’assistance technique ne vous y invite lors de la résolution d’un problème. L’utilisation du niveau le plus élevé peut entraîner la saturation rapide du fichier journal. Elle peut également créer une charge élevée sur Firebox. 1. Dans Policy Manager, sélectionnez Configurer > Journalisation. La boîte de dialogue Configuration de la journalisation s’ouvre. 2. Cliquez sur Diagnostics avancés. La boîte de dialogue Diagnostics avancés s’affiche. 3. Sélectionnez une catégorie dans la liste Catégorie. Une description de la catégorie s’affiche dans la zone Description. 4. Utilisez le curseur sous Paramètres pour définir le niveau d’information qu’un journal de chaque catégorie inclut dans son message de journal. Lorsque le niveau le plus bas est défini, les messages de diagnostic pour cette catégorie sont désactivés. Lorsque le niveau le plus élevé est défini, vous pouvez définir le niveau de détails pour les messages du journal de diagnostic. 126 WatchGuard System Manager Journalisation et notification 5. Pour afficher les messages de diagnostic dans Traffic Manager, activez la case à cocher Afficher les messages de diagnostic dans le Moniteur du trafic. Cela peut être utile pour diagnostiquer rapidement un problème. Il est possible d’envoyer les messages de diagnostic vers le Moniteur du trafic pour toutes les catégories à l’exception du module PMM (Policy Management Module). Les messages destinés au module PMM sont envoyés vers le fichier journal seulement et ne peuvent pas être affichés dans le Moniteur du trafic. 6. Pour que Firebox collecte une trace de paquet pour des paquets IKE, activez la case à cocher Activer le suivi des paquets IKE vers le stockage interne Firebox. 7. Pour afficher les informations de trace de paquet que Firebox collecte, démarrez Firebox System Manager et cliquez sur l’onglet Rapport d’état. 8. Cliquez sur Assistance technique pour que Firebox System Manager obtienne les informations de trace de paquet à partir de Firebox. 9. Désactivez l’inscription dans le journal de diagnostic une fois terminé. Guide de l’utilisateur 127 Journalisation et notification Configurer la journalisation et la notification pour une stratégie 1. Dans Policy Manager, ajoutez une stratégie ou double-cliquez sur une icône de stratégie pour modifier une stratégie existante. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 2. Cliquez sur l’onglet Propriétés. 128 WatchGuard System Manager Journalisation et notification 3. Cliquez sur Journalisation. La boîte de dialogue Journalisation et notification s’affiche. 4. Définissez les paramètres correspondant à votre stratégie de sécurité. Pour plus d’informations sur les champs de la boîte de dialogue Journalisation et notification, voir Définir les préférences de journalisation et de notification. Définir les préférences de journalisation et de notification Les paramètres de journalisation et de notification de WatchGuard System Manager, Policy Manager et des serveurs WatchGuard sont très similaires. Pour chaque utilitaire, lorsque vous définissez des préférences de journalisation et de notification, la plupart des champs décrits ci-dessous sont disponibles. Guide de l’utilisateur 129 Journalisation et notification Envoyer un message du journal Si vous activez cette case à cocher, Firebox envoie un message du journal lorsqu’un événement se produit. Envoyer une interruption SNMP Lorsque vous activez cette case à cocher, Firebox envoie une notification d’événement au système de gestion SNMP. Le protocole SNMP (Simple Network Management Protocol) est un jeu d’outils qui permet de surveiller et de gérer les réseaux. Une interruption SNMP est une notification d’événement que Firebox envoie au système de gestion SNMP si un événement particulier se produit. Pour activer les interruptions SNMP, dans Policy Manager, sélectionnez Configurer > SNMP pour configurer les paramètres SNMP de votre périphérique Firebox. Ou, si vous activez la case à cocher Envoyer une interruption SNMP sans avoir au préalable configuré le protocole SNMP, une boîte de dialogue s’ouvre et vous demande de le faire. Cliquez sur Oui pour accéder à la boîte de dialogue Paramètres SNMP. Pour plus d’informations sur le protocole SNMP, voir À propos du protocole SNMP. Pour activer les interruptions SNMP ou les demandes d’informations, voir Activer les interruptions ou les demandes d’informations SNMP. Envoyer une notification Lorsque vous activez cette case à cocher, Firebox envoie une notification dès qu’un paquet est refusé. Pour configurer les notifications, voir À propos de la notification. Vous pouvez demander à Firebox d’effectuer l’une des opérations suivantes : E-mail Log Server envoie un e-mail lorsque l’événement se produit. Les e-mails de notification sont au format [nom_convivial]@[nom_domaine]. Où : nom_convivial = nom convivial de Firebox. (Pour plus d’informations sur la définition ou la modification de ce paramètre, voir Affecter un nom convivial.) nom_domaine = nom du champ Hôte de messagerie de cette boîte de dialogue. Fenêtre contextuelle Firebox fait apparaître une boîte de dialogue sur la station de gestion dès que l’événement se produit. Vous pouvez définir l’heure d’envoi de la notification, ainsi que le nombre de répétitions, de la manière suivante : Intervalle de lancement Temps minimum écoulé en minutes entre deux notifications. Ce paramètre empêche l’envoi de plusieurs notifications pour un même événement, dans un délai court. Nombre de répétitions Ce paramètre vous permet de connaître la fréquence de réalisation d’un événement. Dès que le nombre d’événements atteint la valeur sélectionnée, une notification de répétition est envoyée. Elle crée une entrée de journal de répétition pour cette notification en particulier. La notification est envoyée une nouvelle fois, dès que le nombre d’événements est atteint. 130 WatchGuard System Manager Journalisation et notification Voici comment utiliser ces deux valeurs : les valeurs sont définies de la manière suivante : 1. Intervalle de lancement = 5 minutes 2. Nombre de répétitions = 4 L’exploration de l’espace de ports démarre à 10h00 et effectue une exploration toutes les minutes. Cet événement active les mécanismes de journalisation et de notification. Voici ce que cela déclenche et à quels horaires : 3. 4. 5. 6. 7. 10h00 : première exploration de l’espace du port (premier événement) 10h01 : première notification déclenchée (un seul événement) 10h06 : deuxième notification déclenchée (signalement de cinq événements) 10h11 : troisième notification déclenchée (signalement de cinq événements) 10h16 : quatrième notification déclenchée (signalement de cinq événements) L’intervalle de lancement détermine le temps écoulé entre les événements 1, 2, 3, 4 et 5. Il était défini dans notre exemple sur 5 minutes. Multipliez le nombre de répétitions par l’intervalle de lancement. Il s’agit de l’intervalle de temps pendant lequel un événement doit continuer à se produire pour déclencher une notification de répétition. Configurer Log Server Le serveur Log Server collecte les données des messages des journaux de chaque système WatchGuard Firebox géré par WatchGuard System Manager. Vous pouvez installer le serveur Log Server sur l’ordinateur que vous utilisez comme station de gestion. Vous pouvez également installer le logiciel Log Server sur un autre ordinateur à l’aide du programme d’installation de WatchGuard System Manager. Exécutez le programme d’installation et choisissez d’installer uniquement le composant Log Server. Vous pouvez également ajouter des serveurs Log Server supplémentaires à des fins de sauvegarde. Si vous installez un serveur WatchGuard sur un ordinateur doté d’un pare-feu autre que le Pare-feu Windows, vous devez ouvrir les ports requis pour que les serveurs se connectent via le pare-feu. Les utilisateurs du Pare-feu Windows n’ont pas besoin de modifier la configuration. Pour plus d’informations, voir Installer les serveurs WatchGuard sur des ordinateurs équipés de pare-feu de Bureau. À propos des mots de passe Tous les serveurs WatchGuard partagent les mêmes mot de passe principal et mot de passe de gestion de serveur. Si vous commencez par configurer un autre serveur, il n’est pas nécessaire de définir de nouveau le mot de passe lorsque vous configurez Log Server. Pour plus d’informations sur les mots de passe des serveurs, voir À propos des mots de passe des serveurs WatchGuard. Guide de l’utilisateur 131 Journalisation et notification Installer Log Server Si vous exécutez l’Assistant Log Server Setup Wizard à partir d’une connexion de bureau à distance sous une session des services Terminal Server Windows 2000 ou Windows 2003 Server, l’installation de la base de données PostgreSQL échoue si vous n’ouvrez pas la session de bureau à distance en tant que console ou session d’administration à distance et ne configurez pas les services Terminal Server pour s’exécuter en mode d’administration à distance. 1. Sur l’ordinateur où est installé le logiciel Log Server, cliquez sur dans la barre d’outils WatchGuard (dans la barre d’état système située dans la partie inférieure droite de l’écran). Vous pouvez également cliquer avec le bouton droit sur et sélectionner l’Assistant Setup Wizard. Si la barre d’outils WatchGuard ne s’affiche pas, cliquez avec le bouton droit dans la barre d’état système et sélectionnez Barres d’outils > WatchGuard. L’Assistant Log Server Configuration Wizard démarre. 2. Tapez et confirmez la clé de chiffrement à utiliser pour la connexion sécurisée entre Firebox et les serveurs Log Server. La clé de chiffrement peut comprendre entre 8 et 32 caractères. Vous pouvez utiliser tous les caractères à l’exception des espaces et des barres obliques (/ ou \). Prenez garde de ne pas oublier la clé de chiffrement. Vous en aurez besoin pour ajouter ce serveur Log Server sur Firebox ou sur le serveur Quarantine Server. 132 WatchGuard System Manager Journalisation et notification 3. Sélectionnez le chemin d’accès au répertoire de données, où sont conservés tous les fichiers journaux, les fichiers de rapport et les fichiers de définition de rapport. Il est conseillé d’utiliser l’emplacement par défaut : C:\Documents and Settings\WatchGuard\logs. Sélectionnez avec soin le chemin d’accès au répertoire de données. Une fois que vous avez installé la base de données, vous ne pouvez pas modifier le répertoire par le biais de l’interface utilisateur Log Server. Si vous devez modifier le chemin d’accès au répertoire de données, voir Déplacer le répertoire de données de journal. 4. Cliquez sur Ouvrir. L’Assistant Log Server Setup Wizard réapparaît. 5. Cliquez sur Suivant. Tapez et confirmez votre mot de passe principal. Cliquez sur Suivant. 6. Tapez et confirmez votre mot de passe de gestion de serveur. Cliquez sur Suivant. L’Assistant installe la base de données Postgres. 7. Tapez le nom de votre organisation. Cliquez sur Suivant. L’Assistant configure votre serveur. 8. Cliquez sur Terminer pour quitter l’Assistant. Configurer les paramètres du système 1. Cliquez sur Démarrer > Panneau de configuration. Ouvrez Options d’alimentation. Cliquez sur l’onglet Veille prolongée et désactivez la veille prolongée. Cela permet d’empêcher la fermeture de Log Server quand l’ordinateur passe en veille prolongée. 2. Assurez-vous que la même heure système est définie sur Log Server et Firebox. Pour synchroniser l’heure de Firebox avec l’heure du système, démarrez Firebox System Manager. Sélectionnez Outils > Synchroniser l’heure. Guide de l’utilisateur 133 Journalisation et notification Configurer Log Server Avant d’utiliser cette procédure, vous devez configurer Log Server. Ensuite, procédez comme suit pour configurer le serveur : 1. Cliquez avec le bouton droit sur dans la barre d’état système et sélectionnez Configurer. La boîte de dialogue Configuration de Log Server s’affiche. 2. Tapez le mot de passe de gestion du serveur et cliquez sur OK. La boîte de dialogue Configuration de Log Server s’affiche. 3. Modifiez de façon appropriée les paramètres par défaut pour votre réseau. Lorsque vous avez terminé, cliquez sur OK. Pour modifier vos paramètres de serveur par défaut, cliquez sur l’onglet Paramètres de serveur. Pourmodifier les paramètres de sauvegarde et de suppression des fichiers journaux et de configuration de la notification, cliquez sur l’onglet Paramètres d’expiration. Pour modifier les paramètres de journalisation, cliquez sur l’onglet Paramètres de journalisation/d’analyse. 134 WatchGuard System Manager Journalisation et notification Paramètres de la base de données et du serveur SMTP d’un serveur Log Server Vous pouvez choisir les paramètres de la base de données et du serveur SMTP pour votre serveur Log Server sous l’onglet Paramètres de serveur de la boîte de dialogue Configuration de Log Server. Guide de l’utilisateur 135 Journalisation et notification Paramètres de base de données Taille maximale de la base de données Tapez la taille maximale de la base de données Log Server. Lorsque le serveur vient à manquer d’espace disque, il refuse les nouveaux messages et supprime tous les messages électroniques qu’il reçoit ultérieurement. La boîte de dialogue affiche la taille actuelle de la base de données et le nombre de Go actuellement disponibles. Envoyer une notification par e-mail si la base de données atteint le seuil d’avertissement Si vous voulez recevoir un message d’avertissement lorsque la base de données approche de sa limite, activez cette case à cocher. Seuil d’avertissement Pour spécifier quand la base de données doit vous envoyer un message d’avertissement relatif à un seuil, appuyez sur les touches de direction Haut et Bas. Envoyer un message d’avertissement à Tapez l’adresse de messagerie complète du compte auquel vous voulez envoyer les notifications. Par exemple, si vous choisissez de recevoir un message d’avertissement, définissez un seuil d’avertissement par défaut de 90 % et définissez une taille maximale de la base de données par défaut de 10 000 Mo, le serveur Log Server envoie le message d’avertissement lorsque 9 000 Mo ont été utilisés et qu’il ne reste que 1 000 Mo disponibles. Paramètres de serveur SMTP Serveur de messagerie pour courrier sortant (SMTP) Tapez l’adresse du serveur de messagerie SMTP sortant. Utilisez les informations de connexion pour le serveur de messagerie Si votre serveur de messagerie requiert une authentification, activez cette case à cocher. Nom d’utilisateur Tape le nom d’utilisateur du serveur de messagerie. Si le nom d’utilisateur n’est pas requis pour votre serveur SMTP, vous pouvez laisser ce champ vide. Mot de passe Tape le mot de passe du serveur de messagerie. Si le mot de passe n’est pas requis pour votre serveur SMTP, vous pouvez laisser ce champ vide. Lorsque les bases de données Log Server sont purgées régulièrement et que le nombre d’enregistrements envoyés au serveur reste quasiment constant, l’espace libéré par le processus de purge est simplement réutilisé par les rapports et les journaux ultérieurs. Toutefois, si l’intervalle de purge (défini dans le champ Conserver les messages du fichier journal pendant, sous l’onglet Paramètres d’expiration, dans la boîte de dialogue Configuration de Log Server) est réduit ou si la journalisation du débogage est désactivée après avoir été utilisée un certain temps, il est conseillé d’utiliser l’utilitaire de ligne de commande vacuumdb pour récupérer l’espace disponible à partir de la base de données Log Server. Cet utilitaire permet de réduire la taille du fichier physique de la base de données en marquant les objets purgés comme pouvant être réutilisés. 136 WatchGuard System Manager Journalisation et notification Paramètres d’expiration d’un serveur Log Server Vous pouvez choisir les paramètres de suppression de journal, les paramètres de sauvegarde de base de données et la configuration de la notification pour votre serveur Log Server sous l’onglet Paramètres d’expiration de la boîte de dialogue Configuration de Log Server. Paramètres de suppression de journal Activer la suppression des messages du fichier journal Activez cette case à cocher pour permettre au serveur Log Server de supprimer les messages des journaux à partir de votre périphérique. Conserver les messages du fichier journal pendant Pour spécifier le nombre de jours pendant lesquels les messages sont conservés sur le serveur Log Server, appuyez sur les touches de direction Haut et Bas. La boîte de dialogue indique la date à laquelle les messages ont été supprimés pour la dernière fois. Supprimer les messages du fichier journal expirés à Pour définir l’heure de la journée à laquelle les messages expirés sont supprimés, appuyez sur les touches de direction Haut et Bas. La boîte de dialogue indique la date et l’heure de la prochaine suppression planifiée. Guide de l’utilisateur 137 Journalisation et notification Paramètres de sauvegarde de base de données Sauvegarder automatiquement les messages des journaux Activez cette case à cocher pour permettre au serveur Log Server de créer automatiquement une copie de sauvegarde des messages des journaux. Sauvegardez les données de journal tous les Pour spécifier la fréquence de sauvegarde des données de journal, appuyez sur les touches de direction Haut et Bas. La boîte de dialogue indique la date de la dernière sauvegarde de journal. Sauvegardez les données du journal à Pour définir l’heure de la journée à laquelle les données de journal sont sauvegardées, appuyez sur les touches de direction Haut et Bas. La boîte de dialogue indique la date et l’heure de la prochaine sauvegarde planifiée. Chemin d’accès du répertoire des fichiers de sauvegarde Pour sélectionner le dossier d’enregistrement des fichiers de sauvegarde, cliquez sur Parcourir. Comme le fichier de sauvegarde Log Server est sur le même ordinateur que vos fichiers journaux de base de données, il est conseillé de configurer le serveur Log Server pour enregistrer les fichiers de sauvegarde sur un autre lecteur que le disque dur de votre ordinateur, comme par exemple sur un disque dur externe ou un lecteur de bande. Ensuite, si vous rencontrez un problème avec votre ordinateur qui vous empêche d’accéder aux fichiers sur le disque dur, vous pouvez toujours accéder à vos fichiers de sauvegarde. Configuration de la notification Activer les notifications pour les événements provenant de tout périphérique ou serveur se connectant à ce serveur Log Server Activez cette case à cocher pour activer la fonctionnalité de notification. Vous devez activer cette case à cocher pour activer les événements de notification que vous configurez dans Policy Manager. Envoyer un e-mail de Tapez l’adresse de messagerie complète du compte avec lequel vous voulez envoyer les notifications. Objet Tapez la ligne Objet que les utilisateurs verront lorsqu’ils recevront un e-mail de notification. 138 WatchGuard System Manager Journalisation et notification Paramètres de journalisation et d’analyse d’un serveur Log Server Vous pouvez choisir les paramètres d’état de Firebox, de l’Observateur d’événements Windows et de chemin d’accès sous l’onglet Paramètres de journalisation/d’analyse de la boîte de dialogue Configuration de Log Server. État de Firebox Cette fenêtre indique la liste de tous les périphériques Firebox connectés à Log Server. Pour afficher l’état actuel des connexions, cliquez sur Actualiser. La boîte de dialogue affiche un message si aucun périphérique Firebox n’est connecté à Log Server. Guide de l’utilisateur 139 Journalisation et notification Observateur d’événements Windows Envoyer les messages des journaux à l’Observateur d’événements Windows Activez cette case à cocher si vous voulez que Log Server envoie des messages à l’Observateur d’événements Windows. Sélectionnez un niveau de journal Si vous avez activé la case à cocher Envoyer les messages des journaux à l’Observateur d’événements Windows, vous pouvez sélectionner le niveau affecté aux messages des journaux. Erreur Avertissement Informations Débogage Chemin d’accès Envoyer les messages du journal vers un fichier Activez cette case à cocher pour envoyer les messages du journal vers le fichier journal. Pour ignorer les messages de journal, désactivez cette case à cocher. Emplacement du fichier Si vous avez activé la case à cocher Envoyer les messages du journal vers un fichier, vous pouvez sélectionner l’emplacement où les messages des journaux sont envoyés et stockés. Sélectionnez un niveau de journal Si vous avez activé la case à cocher Envoyer les messages du journal vers un fichier, vous pouvez sélectionner le niveau affecté aux messages des journaux. Erreur Avertissement Informations Débogage Restaurer un fichier journal de sauvegarde Vous pouvez restaurer un fichier de données de journal de sauvegarde sur votre serveur Log Server. Pour pouvoir restaurer les données de journal, vous devez configurer le serveur Log Server. Pour plus d’informations sur la configuration du serveur Log Server, voir Configurer Log Server. Si vous autorisez le serveur Log Server à sauvegarder automatiquement les messages des journaux, le serveur Log Server enregistre le contenu de la base de données dans un fichier CSV dans un répertoire de votre choix. Pour chaque périphérique qui se connecte au serveur Log Server, un ensemble de quatre fichiers distincts est créé. Lorsque vous restaurez les fichiers journaux à partir du serveur de secours, vous devez convertir et importer l’ensemble de fichiers pour tous les périphériques, l’un après l’autre. Pour restaurer les données de journal sur un serveur Log Server, vous devez commencer par convertir le fichier CSV en fichier XML à l’aide de l’application wlconvert.exe. Si vous avez configuré un serveur Log Server secondaire, les fichiers journaux des différents serveurs Log Server se trouvent dans des fichiers CSV distincts. Pour plus d’informations sur la façon d’autoriser le serveur Log Server à sauvegarder les fichiers journaux, voir Paramètres d’expiration d’un serveur Log Server. 140 WatchGuard System Manager Journalisation et notification L’application wlconvert.exe est une application de ligne de commande. Pour pouvoir exécuter wlconvert afin de convertir les fichiers de sauvegarde, vous devez posséder les informations relatives à deux arguments : -d (répertoire) et -f (nom de fichier). Le répertoire correspond au chemin d’accès du dossier dans lequel les fichiers de sauvegarde ont été enregistrés et représente un argument facultatif. Le nom de fichier correspond à la partie sn_timestamp du nom de fichier de chacun des quatre fichiers de l’ensemble, où sn est le numéro de série du périphérique et timestamp est au format AAAAMMJJhhmmss. Par exemple, si vos fichiers de sauvegarde Log Server se trouvent dans le répertoire C:\old_logs et que sn_timestamp pour l’ensemble de fichiers est 209188121122_0070731000006, les données d’argument sont : -d C:\old_logs -f 209188121122_0070731000006. Pour convertir l’ensemble de fichiers journaux : 1. À l’invite de commandes, exécutez l’application wlconvert.exe située dans le dossier C:\Program Files\WatchGuard\wsm10.0\wlcollector\bin. 2. Tapez les informations pour les arguments -d et -f. 3. Appuyez sur Entrée sur le clavier. L’ensemble des quatre fichiers journaux est converti en un fichier XML doté du sn_timestamp provenant des quatre fichiers distincts comme nom de fichier. Par exemple, 209188121122_0070731000006.xml. Le nouveau fichier XML apparaît dans le dossier avec l’ensemble des quatre fichiers CSV. Une fois que vous avez converti le fichier de données de journal du format CSV au format XML, vous pouvez importer le fichier XML sur le serveur Log Server à l’aide de l’application wlimport.exe. Pour importer un fichier journal, suivez la procédure détaillée dans Importer un fichier journal sur un serveur Log Server. Importer un fichier journal sur un serveur Log Server Vous pouvez importer des fichiers journaux XML sur votre serveur Log Server à l’aide de l’application wlimport.exe. Si vous voulez restaurer vos fichiers journaux de sauvegarde Log Server, vous devez commencer par convertir les fichiers CSV en fichiers XML. Pour plus d’informations sur la façon de convertir des fichiers CSV au format XML, voir Restaurer un fichier journal de sauvegarde. L’application wlimport.exe est une application de ligne de commande. Avant d’exécuter wlimport pour importer les fichiers de sauvegarde, vous devez posséder des informations pour deux arguments : -e (clé de chiffrement de journal) et -i (nom complet du serveur Log Server). Vous avez besoin uniquement des informations de l’argument -i pour importer des fichiers XML à partir d’un ancien serveur Log Server sur un nouveau serveur Log Server. Si vous voulez importer les fichiers de sauvegarde à partir de votre serveur Log Server actuel, l’argument -i n’est pas nécessaire. Pour importer le fichier journal XML : 1. À l’invite de commandes, exécutez l’application wlimport.exe située dans le dossier C:\Program Files\WatchGuard\wsm10.0\wlcollector\bin. 2. Tapez les informations pour les arguments -e et -i. 3. Appuyez sur Entrée sur le clavier. Le fichier XML est importé sur votre serveur Log Server et un compteur apparaît qui indique le nombre d’entrées importées. L’opération prendra quelques minutes. La durée est déterminée par la taille des fichiers journaux. Une fois l’importation des fichiers terminée, vous pouvez utiliser LogViewer pour consulter votre fichier journal. Pour plus d’informations, voir Utiliser LogViewer pour afficher les fichiers journaux. Guide de l’utilisateur 141 Journalisation et notification Déplacer le répertoire de données de journal Lorsque vous installez Log Server, vous choisissez le répertoire dans lequel vos fichiers de données de journal sont stockés. Une fois l’installation terminée, vous ne pouvez pas modifier le répertoire dans l’application Log Server. Si vous exécutez de nouveau l’Assistant Log Server Setup Wizard, un nouveau répertoire Log Server est créé, mais les données contenues dans l’ancien répertoire ne sont pas déplacées vers le nouveau répertoire. Vous pouvez déplacer manuellement le répertoire de données de journal actuel vers un nouvel emplacement, puis créer un nouveau répertoire Log Server. 1. Arrêtez Log Server et Report Server. 2. Utilisez la boîte de dialogue Windows Ajouter ou supprimer des programmes pour désinstaller le programme PostgreSQL. La base de données Log Server n’est pas supprimée. 3. Copiez le répertoire de données de journal d’origine dans le nouvel emplacement. Assurez-vous d’inclure tous les dossiers et fichiers dans le répertoire. Par exemple, C:\Documents and Settings\WatchGuard\logs\data. 4. Démarrez l’Assistant Log Server Setup Wizard. 5. Sélectionnez le nouveau répertoire de données de journal. N’incluez pas le dossier \data dans le champ Chemin d’accès au répertoire de données. Par exemple, C:\Documents and Settings\WatchGuard\Log Server2\logs. 6. Terminez l’Assistant en ajoutant les informations requises. L’Assistant réinstalle le programme PostgreSQL et crée un nouveau répertoire Log Server dans le nouvel emplacement. Démarrer et arrêter Log Server Vous pouvez démarrer et arrêter manuellement le service Log Server à tout moment sans vous déconnecter du serveur Log Server. Pour démarrer le service, cliquez avec le bouton droit sur dans la barre d’état système et sélectionnez Démarrer le service. Vous pouvez également sélectionner Fichier > Démarrer le serveur dans la boîte de dialogue Configuration de Log Server. L’icône de la barre d’état système devient Pour arrêter le service, cliquez avec le bouton droit sur dans la barre d’état système et sélectionnez Arrêter le service. Vous pouvez également sélectionner Fichier > Arrêter le serveur dans la boîte de dialogue Configuration de Log Server. L’icône de la barre d’état système devient 142 . . WatchGuard System Manager Journalisation et notification Modifier la clé de chiffrement du serveur Log Server Cliquez avec le bouton droit sur dans la barre d’outils WatchGuard et sélectionnez Configuration. Sélectionnez Fichier > Définir la clé de chiffrement de Log Server. Tapez l’ancienne clé de chiffrement de journal. Tapez deux fois la nouvelle clé de chiffrement de journal. Cliquez sur OK. Dans Policy Manager, sélectionnez Configurer > Journalisation. Sélectionnez l’adresse IP du serveur Log Server avec la nouvelle clé de chiffrement dans la liste des serveurs WatchGuard Log Server et cliquez sur Configurer. La boîte de dialogue Configurer les serveurs Log Server s’affiche. 7. Sélectionnez le nom ou l’adresse IP du serveur Log Server et cliquez sur Modifier. 8. Tapez et confirmez la nouvelle clé de chiffrement de journal à utiliser pour ce serveur Log Server. 9. Cliquez sur OK. Enregistrez le fichier de configuration. 1. 2. 3. 4. 5. 6. Récupérer l’espace disponible à partir de la base de données Log Server Lorsque les bases de données Log Server sont purgées régulièrement et que le nombre d’enregistrements envoyés au serveur reste quasiment constant, l’espace libéré par le processus de purge est simplement réutilisé par les journaux ultérieurs. Toutefois, si l’intervalle de purge (défini dans le champ Conserver les messages du fichier journal pendant, sous l’onglet Paramètres d’expiration, dans la boîte de dialogue Configuration de Log Server) est réduit ou si la journalisation du débogage est désactivée après avoir été utilisée un certain temps, il est conseillé d’utiliser l’utilitaire de ligne de commande vacuumdb. Cet utilitaire permet de réduire la taille du fichier physique de la base de données en marquant les objets purgés comme pouvant être réutilisés. Comme l’exécution de cet utilitaire peut s’avérer longue, il est conseillé de configurer Log Server de secours pour vos systèmes si vous n’en avez pas déjà un. L’utilitaire vacuumdb peut également servir à récupérer l’espace disponible à partir de la base de données Report Server. Pour exécuter l’utilitaire vacuumdb : 1. Arrêtez le serveur Log Server correspondant aux bases de données sur lesquelles vous voulez effectuer cette tâche de maintenance. 2. À partir de la ligne de commande, exécutez : C:\Program Files\WatchGuard\wsm10.0\postgresql\bin\vacuumdb –v –f –d wglog –U wguser (Vous pouvez omettre l’option –v pour désactiver la sortie détaillée.) 3. Lorsque vous y êtes invité, entrez le mot de passe de gestion du serveur. Selon la taille de la base de données, l’opération peut prendre entre quelques minutes et plusieurs heures. Une fois la commande terminée, redémarrez le serveur Log Server. Guide de l’utilisateur 143 Journalisation et notification Utiliser LogViewer pour afficher les fichiers journaux LogViewer est l’outil WatchGuard System Manager qui vous permet de consulter les données des fichiers journaux. Vous pouvez afficher les données d’un journal page par page ou rechercher et afficher du contenu en utilisant des mots clés ou en spécifiant des champs du journal. Ouvrir LogViewer Cliquez sur dans la barre d’outils de WatchGuard System Manager. Vous pouvez également sélectionner Outils > Journaux > LogViewer dans WatchGuard System Manager. WatchGuard LogViewer s’affiche. Se connecter à un périphérique Vous pouvez vous connecter aux périphériques Firebox ou aux serveurs Log Server. Lorsque vous vous connectez à Firebox, vous pouvez filtrer les données de journal en fonction du type de message du journal, de la date et de l’heure, ainsi que des recherches de chaînes. Lorsque vous vous connectez à un serveur, vous pouvez uniquement filtrer les données selon la date et l’heure, ou des recherches de chaînes de caractères simples. Pour plus d’informations sur les détails des messages des journaux, voir Définir les préférences utilisateur de LogViewer et Détails des messages du journal. 144 WatchGuard System Manager Journalisation et notification Tous les serveurs WatchGuard partagent le même mot de passe principal. 1. Cliquez sur dans la barre d’outils de LogViewer. Vous pouvez également sélectionner Fichier > Connecter pour vous connecter à un serveur Log Server. La boîte de dialogue Connexion à Log Server s’affiche. 2. Tapez l’adresse IP et le mot de passe de votre serveur Log Server. Cliquez sur OK. La boîte de dialogue Connexion à Log Server disparaît et la boîte de dialogue Sélection d’un serveur ou système Firebox s’affiche. Guide de l’utilisateur 145 Journalisation et notification 3. Sélectionnez Firebox ou Log Server dans la liste et cliquez sur OK. Vous pouvez décider de vous connecter à plusieurs périphériques au même moment. Une fenêtre de périphérique apparaît pour chaque périphérique sélectionné. L’adresse IP du périphérique apparaît dans la barre de titre de la fenêtre. Le contenu d’une fenêtre de périphérique Firebox est différent de celui d’une fenêtre de serveur. 4. Sélectionnez un message de journal pour consulter plus d’informations sur le message. Les détails du message de journal sélectionné apparaissent dans le volet Détails dans la partie inférieure de la fenêtre du périphérique. Si le volet Détails n’est pas visible, sélectionnez Affichage > Volet Détails pour l’activer. Pour plus d’informations sur l’affichage des données du périphérique, voir Définir les préférences utilisateur de LogViewer. 146 WatchGuard System Manager Journalisation et notification Barres d’outils de LogViewer La barre d’outil principale de LogViewer inclut des icônes qui vous permettent de parcourir l’interface. Icône Nom Action Ouvrir les journaux sur le serveur Log Server principal Ouvre les fichiers journaux sur le serveur Log Server principal sans se connecter au préalable au serveur Log Server. Connexion à Log Server Se connecter à Log Server. Importer des données Importer dans LogViewer des données provenant d’un journal existant. Exporter la sélection Exporter dans un fichier de base de données des données provenant d’un message de journal sélectionné. Diagnostics locaux Afficher la boîte de dialogue Diagnostics locaux pour exécuter des tâches de diagnostic et passer en revue les résultats. Gestionnaire de recherche Ouvrir le Gestionnaire de recherche pour rechercher des détails spécifiques dans les journaux. Aide Ouvrir l’aide de LogViewer. La barre d’outils de la fenêtre Firebox de LogViewer inclut des icônes qui vous permettent de filtrer et d’affiner l’affichage des messages des journaux. Icône Guide de l’utilisateur Nom Action Actualiser Mettre à jour l’affichage des journaux sélectionnés avec les dernières données provenant du serveur Log Server. Tous les journaux Afficher tous les journaux pour le périphérique sélectionné. Trafic Afficher seulement les journaux de type Trafic pour le périphérique sélectionné. Alarmes Afficher seulement les journaux de type Alarme pour le périphérique sélectionné. Événement Afficher seulement les journaux de type Événement pour le périphérique sélectionné. Débogage Afficher seulement les journaux de type Débogage pour le périphérique sélectionné. Statistiques Afficher seulement les journaux de type Statistiques pour le périphérique sélectionné. Filtre Date-Heure Filtrer les données sélectionnées selon la date et l’heure. Rechercher des correspondances dans les journaux Rechercher des détails spécifiques dans les journaux sélectionnés. Effacer Effacer tous les filtres appliqués. 147 Journalisation et notification La barre d’outils de la fenêtre Serveur de LogViewer inclut des icônes qui vous permettent de filtrer les messages des journaux. Icône Nom Action Actualiser Mettre à jour l’affichage des journaux sélectionnés avec les dernières données provenant du serveur Log Server. Filtre Date-Heure Filtrer les données sélectionnées selon la date et l’heure. Rechercher des correspondances dans les journaux Rechercher des détails spécifiques dans les journaux sélectionnés. Effacer Effacer tous les filtres appliqués. Ouvrir les journaux du serveur Log Server principal Si vous avez spécifié un serveur Log Server principal, vous pouvez ouvrir les fichiers journaux pour ce serveur à partir de la fenêtre LogViewer principale sans vous y connecter auparavant. Vous pouvez alors afficher la liste des périphériques Firebox qui sont actuellement connectés au serveur Log Server principal. Vous devez sélectionner un serveur Log Server principal pour activer cette option. Pour plus d’informations sur le choix d’un serveur Log Server principal, voir Définir les préférences utilisateur de LogViewer. Pour ouvrir les journaux du serveur Log Server principal : Cliquez sur dans la barre d’outils LogViewer. Vous pouvez également sélectionner Fichier > Ouvrir les journaux pour. La boîte de dialogue Sélection d’un serveur ou système Firebox s’affiche avec la liste des périphériques connectés. Définir les préférences utilisateur de LogViewer Vous pouvez ajuster le contenu et le format de la fenêtre LogViewer. Dans LogViewer, sélectionnez Affichage > Préférences. La boîte de dialogue Préférences utilisateur s’affiche. La boîte de dialogue Préférences utilisateur inclut deux onglets permettant de configurer les paramètres : Général et Affichage. L’onglet Général inclut des options pour la définition d’un serveur Log Server principal. L’onglet Affichage inclut des options pour la configuration des paramètres de la fenêtre du journal et la configuration des paramètres de colonne pour les différents types de message du journal. 148 WatchGuard System Manager Journalisation et notification Paramètres généraux Serveur Log Server principal Vous pouvez spécifier un serveur Log Server auquel vous vous reconnecterez automatiquement. Tapez l’adresse IP, le nom d’utilisateur et le mot de passe du serveur Log Server. Paramètres de recherche Tapez le nombre maximal de requêtes de recherche à conserver dans l’historique des recherches. Guide de l’utilisateur 149 Journalisation et notification Paramètres d’affichage Type de journal par défaut Sélectionnez les types de journaux à inclure automatiquement lorsque vous passez en revue les messages des journaux. Afficher les détails du message du journal Choisissez d’inclure ou d’exclure les détails du message dans les messages des journaux. Taille de police de l’entrée de table du journal Sélectionnez dans la liste déroulante la taille de police que vous voulez utiliser pour les entrées de la table du journal. Paramètres de la colonne Le volet Paramètres de la colonne propose un onglet pour chaque type de message du journal. Chaque onglet inclut la liste des détails disponibles pour ce type de message. Utilisez ces onglets pour sélectionner les colonnes de détails qui s’affichent pour chaque type de message. Vous pouvez également cliquer sur Monter ou Descendre pour modifier l’ordre des colonnes. Pour plus d’informations sur les types de message de journal disponibles, voir Détails des messages du journal. 150 WatchGuard System Manager Journalisation et notification Détails des messages du journal Vous pouvez sélectionner les détails à afficher dans chaque type de message du journal en sélectionnant les colonnes à inclure dans les différents types de messages du journal. Vous trouverez ci-dessous la liste complète des colonnes disponibles. Toutes les colonnes n’apparaîtront pas pour tous les types de messages. Colonne de message du journal Description Informations supplémentaires Détails supplémentaires sur le message du journal pour les journaux de proxy. Par exemple : nom d’hôte, nom de fichier, nom de règle, type de contenu. ID d’alarme Numéro associé à l’alarme. Nom de l’alarme Catégorie de l’alarme (Système, IPS, AV, Stratégie, Proxy, Sondage, Refus de service ou Trafic). Type d’alarme Type de l’alarme (messagerie, contextuel). Fournisseur d’application Nom du serveur qui fournit les données. Octets reçus Nombre d’octets reçus par un périphérique (WAN ou tunnel) au cours de la période de journalisation de statistiques. Octets envoyés Nombre d’octets envoyés par un périphérique (WAN ou tunnel) au cours de la période de journalisation de statistiques. ID de connexion Numéro de la connexion au serveur. Date-Heure Date et heure sur le serveur correspondant à la réception du message du journal. Interface de destination Nom de l’interface de destination. IP de destination Adresse IP de destination pour ce paquet. IP-NAT de destination Façon dont le protocole de traduction d’adresses réseau NAT (Network Address Translation) a été traité pour l’adresse IP de destination de ce paquet. Port de destination Port de destination pour ce paquet. Port-NAT de destination Façon dont le protocole de traduction d’adresses réseau NAT (Network Address Translation) a été traité pour le port de destination de ce paquet. Message détaillé Tous les champs de message du journal, séparés par des virgules. Périphérique Nom du périphérique qui a envoyé le journal des performances (WAN ou tunnel). Direction Direction de l’action. Peut être entrante ou sortante. Disposition Disposition des paquets. Il peut s’agir de refuser ou d’autoriser. Message Champ de message. Code de message Code relatif au type de message. Cachet du message (s.ms) Cachet du message au format secondes.millisecondes. Détails divers Détails supplémentaires provenant des colonnes que vous avez choisi d’inclure pour le type de message du journal. Par exemple: RC (code de retour), Longueur de Paquet, et TTL (durée de vie des paquets en secondes). Guide de l’utilisateur 151 Journalisation et notification Colonne de message du journal Description Stratégie Nom de la stratégie dans Policy Manager qui a traité ce paquet. Priorité Niveau de priorité du message du journal. ID de processus ID du processus effectué dans l’action du message du journal. Protocole Protocole utilisé dans ce paquet. Colonne de message du journal Description Action de proxy Nom de l’action de proxy en charge de ce paquet. Une action de proxy est un ensemble de règles pour un proxy qui peuvent être appliquées à plusieurs stratégies. ID de requête ID du processus serveur demandé dans le message du journal. Code de retour Code de retour pour le paquet. Interface source Nom que vous avez donné à l’interface source pour ce paquet (tel que défini dans Policy Manager). IP source Adresse IP source de ce paquet. IP-NAT source Façon dont le protocole de traduction d’adresses réseau NAT (Network Address Translation) a été traité pour l’adresse IP source de ce paquet. Port source Port source pour ce paquet. Port-NAT source Façon dont le protocole de traduction d’adresses réseau NAT (Network Address Translation) a été traité pour le port source de ce paquet. Type Type de message du journal. Tous les journaux incluent un type de journal dans le message : « al » pour les alarmes, « ev » pour les événements, « db » pour le débogage, « pe » pour les journaux de statistiques et « tr » pour le trafic Pour plus d’informations sur le choix des détails des messages de journal, voir Définir les préférences utilisateur de LogViewer. Pour plus d’informations sur les différents types de messages de journal, voir Types de messages de journal. Utiliser le Gestionnaire de recherche Vous pouvez utiliser le Gestionnaire de recherche LogViewer pour créer des règles pour les recherches, puis rechercher les données affichées dans LogViewer. Vous pouvez créer des recherches personnalisées et les enregistrer de façon à pouvoir les exécuter à de nombreuses reprises. Vous pouvez également supprimer ou modifier une recherche enregistrée et effacer l’historique des recherches. 152 WatchGuard System Manager Journalisation et notification Ouvrir le Gestionnaire de recherche Cliquez sur . Vous pouvez également sélectionner Outils > Gestionnaire de recherche. La boîte de dialogue Gestionnaire de recherche s’affiche. Créer une requête de recherche 1. Cliquez sur Ajouter une recherche dans le volet Tâches. 2. Tapez un nom pour votre recherche dans le champ Nom. 3. Sélectionnez les Paramètres de recherche. Pour plus d’informations sur les paramètres de recherche, voir Paramètres de Paramètres de recherche. Enregistrer une recherche Une fois que vous avez créé une requête de recherche, vous pouvez l’enregistrer afin de pouvoir l’exécuter de nouveau. Cliquez sur Enregistrer la recherche dans le volet Tâches. Le nom de la recherche est répertorié dans la liste Mes recherches. Guide de l’utilisateur 153 Journalisation et notification Supprimer une recherche Lorsque vous ne voulez plus inclure une recherche enregistrée dans la liste Mes recherches, vous pouvez la supprimer. 1. Sélectionnez une recherche dans la liste Mes recherches. Vous ne pouvez supprimer qu’une seule recherche enregistrée à la fois. 2. Cliquez sur Supprimer la recherche dans le volet Tâches. Le nom de la recherche est supprimé de la liste Mes recherches. Modifier une recherche Vous pouvez modifier une recherche enregistrée pour modifier les paramètres de recherche. 1. Sélectionnez le nom de la recherche dans la liste Mes recherches. Le nom de la recherche sélectionné s’affiche dans le champ Nom. 2. Modifiez les paramètres de recherche. 3. Cliquez sur Enregistrer la recherche dans le volet Tâches. Le message d’enregistrement de recherche s’affiche. Exécuter une recherche Vous pouvez choisir d’exécuter une requête de recherche enregistrée ou une nouvelle requête. Pour exécuter une recherche enregistrée : 1. Sélectionnez un nom de recherche dans la liste Mes recherches. 2. Cliquez sur Exécuter la recherche dans le volet Tâches. Les messages des journaux qui correspondent aux paramètres de la requête de recherche enregistrée s’affichent dans la fenêtre LogViewer. Pour exécuter une nouvelle requête de recherche : 1. Suivez la procédure détaillée sous Créer une requête de recherche pour définir la requête de recherche. 2. Cliquez sur Exécuter la recherche dans le volet Tâches. Les messages des journaux qui correspondent aux paramètres de la requête de recherche enregistrée s’affichent dans la fenêtre LogViewer. Effacer l’historique des recherches Vous pouvez supprimer toutes les recherches récentes de l’historique des recherches. Cliquez sur Effacer l’historique des recherches dans le volet Tâches. Paramètres de Paramètres de recherche Choisissez parmi les options disponibles pour chaque champ pour créer une requête de recherche. 154 WatchGuard System Manager Journalisation et notification Pour plus d’informations sur les requêtes de recherche, voir Utiliser le Gestionnaire de recherche. Type de message de journal Sélectionnez le type de message du journal que vous voulez rechercher. Tous les journaux Trafic Alarme Événement Débogage Statistiques Serveur Règles Cliquez sur Ajouter pour appliquer des règles de colonne, d’opérateur et de valeur à votre requête de recherche. Colonne Sélectionnez dans la liste une colonne dans laquelle effectuer la recherche. Opérateur Sélectionnez l’opération à appliquer : ÉGAL À, NON ÉGAL À, CONTIENT. Valeur Tapez une valeur que l’opérateur recherchera. Trier par Vous pouvez décider d’afficher les résultats en fonction d’une colonne quelconque susceptible d’être triée et disponible pour le type de journal sélectionné. Vous pouvez choisir d’afficher les résultats dans l’ordre ascendant ou descendant. Options Règle — si vous choisissez AND, seuls les résultats qui satisfont toutes les règles sont affichés. Si vous choisissez OR, les résultats qui satisfont l’une des règles sont affichés. Si votre recherche inclut une seule règle, ce paramètre ne s’applique pas. Correspondances — choisissez si les résultats de la requête de recherche doivent inclure ou exclure les messages des journaux qui correspondent aux paramètres définis. Guide de l’utilisateur 155 Journalisation et notification Exécuter des tâches de diagnostic locales Vous pouvez utiliser LogViewer pour exécuter des tâches de diagnostic sur une adresse IP ou un hôte quelconque. Les tâches de diagnostic incluent Ping, Tracert ou NSLookup. 1. Cliquez sur . Vous pouvez également sélectionner Outils > Diagnostics locaux et sélectionner une tâche. La boîte de dialogue Diagnostics locaux s’affiche. 2. Sélectionnez une tâche dans la liste déroulante Nom de la tâche. Tâche Action Test Ping Assurez-vous qu’une adresse IP ou un hôte est actif. Tracert Tracez l’route vers l’adresse IP ou l’hôte et examinez la durée de transfert de l’route. NSLookup Vérifiez le nom du serveur et l’adresse IP réelle de l’adresse IP ou de l’hôte sélectionné. 3. Tapez une adresse IP ou un nom d’hôte dans le champ Paramètres. 4. Cliquez sur Exécuter la tâche. Les résultats de la tâche apparaissent dans le champ Résultats. 5. Pour imprimer les résultats de la tâche, cliquez sur Imprimer les résultats. La boîte de dialogue Imprimer s’affiche. 6. Sélectionnez les paramètres d’impression, puis cliquez sur Imprimer. 156 WatchGuard System Manager Journalisation et notification Importer et exporter des données dans LogViewer Vous pouvez utiliser LogViewer pour consulter les données des fichiers journaux de base de données existants ou pour exporter des données sélectionnées vers un fichier de base de données. Importer des données 1. Dans la barre d’outils LogViewer, cliquez sur . Vous pouvez également sélectionner Fichier > Importer des données. La boîte de dialogue Importer des données s’affiche. 2. Parcourez l’arborescence pour sélectionner un fichier de base de données. 3. Cliquez sur Importer. Les données sélectionnées apparaissent dans une nouvelle fenêtre Serveur. Pour plus d’informations sur les fenêtres Serveur de LogViewer, voir Utiliser LogViewer pour afficher les fichiers journaux. Exporter des données 1. Sélectionnez les messages des journaux à exporter dans la fenêtre Firebox ou Serveur de LogViewer. 2. Dans la barre d’outils LogViewer, cliquez sur . Vous pouvez également sélectionner Fichier > Exporter les données sélectionnées. La boîte de dialogue Exporter les données sélectionnées s’affiche avec le nom de fichier par défaut dans le champ Nom de fichier. 3. Parcourez l’arborescence pour sélectionner le répertoire où vous voulez enregistrer le fichier de base de données. 4. Si nécessaire, tapez un nouveau nom pour le fichier de base de données dans le champ Nom de fichier. 5. Cliquez sur Exporter. Le fichier de base de données est enregistré dans le répertoire sélectionné. Imprimer, enregistrer ou envoyer les messages des journaux par e-mail Après avoir sélectionné un ou plusieurs messages des journaux dans LogViewer, vous pouvez les envoyer par e-mail, les imprimer ou les enregistrer. Envoyer un message de journal par e-mail Sélectionnez Fichier > Envoyer la sélection en tant que et choisissez parmi les options suivantes : Fichier de valeurs séparées par des virgules (*.csv) Portable Document Format (*.pdf) Un e-mail s’ouvre avec le message de journal en pièce jointe dans le format de fichier sélectionné. Imprimer un message de journal 1. Sélectionnez Fichier > Imprimer la sélection. La boîte de dialogue Imprimer s’affiche. 2. Sélectionnez une imprimante et les paramètres d’impression, puis cliquez sur Imprimer. Guide de l’utilisateur 157 Journalisation et notification Enregistrer un message de journal 1. Sélectionnez Fichier > Enregistrer la sélection sous > et choisissez parmi les options suivantes : o Fichier de valeurs séparées par des virgules (*.csv) o Page Web (*.htm, *.html) o Portable Document Format (*.pdf) o Langage XML (Extensible Markup Language) (*.xml) La boîte de dialogue Enregistrer s’affiche. 2. Sélectionnez un emplacement et tapez un nom de fichier. Cliquez sur Enregistrer. 158 WatchGuard System Manager 9 Installation et configuration d’un réseau À propos de la configuration d’interface réseau La configuration des adresses IP d’interface réseau est un élément essentiel de la configuration de WatchGuard Firebox. Lorsque vous exécutez l’Assistant Quick Setup Wizard, les interfaces externes et approuvées sont configurées pour que le trafic soit acheminé via Firebox. Vous pouvez suivre les procédures décrites dans cette section pour modifier cette configuration après avoir exécuté l’Assistant Quick Setup Wizard ou pour ajouter d’autres composants du réseau à la configuration. Par exemple, vous pouvez configurer une interface facultative pour des serveurs publics, comme des serveurs Web. Les réseaux regroupés dans un réseau local sont physiquement séparés des réseaux situés sur un réseau étendu, comme Internet, par un pare-feu. L’une des principales fonctions de ce dernier est de déplacer les paquets de part et d’autre du pare-feu. On parle alors de « routage ». Pour acheminer correctement les paquets, le pare-feu doit savoir quels réseaux sont accessibles sur chacune de ses interfaces. Firebox se caractérise par trois types d’interfaces principaux : Interfaces externes Interfaces qui se connectent à un réseau étendu et qui peuvent avoir une adresse IP statique ou dynamique. Pour plus d’informations sur les interfaces externes et leur configuration, voir Configurer les interfaces externes. Interfaces approuvées Interfaces qui se connectent au réseau local privé ou au réseau interne que vous voulez sécuriser. Pour configurer les interfaces approuvées, voir Configurer les interfaces Firebox. Interfaces facultatives Il s’agit d’environnements d’« approbation mixte » ou « DMZ » qui sont physiquement séparés du réseau approuvé. Les serveurs Web publics, les serveurs FTP et les serveurs de messagerie sont des exemples d’ordinateurs souvent intallés sur une interface facultative. Pour configurer les interfaces facultatives, voir Configurer les interfaces Firebox. Guide de l’utilisateur 159 Installation et configuration d’un réseau Vous pouvez enrichir votre réseau d’autres composants et fonctions : Ajouter un route statique Configurer Firebox en tant que serveur DHCP Configurer un réseau secondaire Utiliser des agents de relais DHCP Définir des paramètres d’interface avancés Définir un réseau local virtuel (VLAN) À propos de la configuration réseau en mode d’insertion Lorsque vous configurez les interfaces sur Firebox, vous devez employer la notation de barre oblique pour désigner le masque de sous-réseau. Par exemple, vous pouvez entrer la plage réseau 192.168.0.0, masque de sous-réseau 255.255.255.0, sous la forme 192.168.0.0/24. Une interface approuvée dont l’adresse IP est 10.0.1.1/16 possède le masque de sous-réseau 255.255.0.0. Configurer les interfaces Firebox 1. Dans Policy Manager, sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 160 WatchGuard System Manager Installation et configuration d’un réseau 2. Sélectionnez l’interface à configurer. Cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’affiche. 3. Dans le champ Nom de l’interface (Alias), vous pouvez conserver le nom par défaut ou en choisir un qui reflète mieux votre réseau et ses relations d’approbation. Vérifiez que ce nom n’a pas été attribué à une interface, un groupe MUVPN ou un tunnel. 4. Étape facultative : entrez une description de l’interface dans le champ Description de l’interface. 5. Dans le champ Type d’interface, vous pouvez remplacer la valeur par défaut du type d’interface. Guide de l’utilisateur 161 Installation et configuration d’un réseau 6. Si vous souhaitez modifier l’adresse IP d’interface, employez la notation de barre oblique. N’oubliez pas d’entrer tous les numéros et les points. N’utilisez pas la touche de tabulation ni les touches de direction. 7. Si vous configurez une interface approuvée ou facultative, sélectionnez Désactiver DHCP, Utiliser le serveur DHCP ou Utiliser le relais DHCP. Voir Configurer Firebox en tant que serveur DHCP et Configurer Firebox en tant qu’agent de relais DHCP pour en savoir plus sur l’option de relais DHCP. Si vous configurez l’interface externe, voir Configurer les interfaces externes. 8. Cliquez sur OK. Configurer Firebox en tant que serveur DHCP Vous pouvez configurer Firebox en tant que serveur DHCP pour des réseaux derrière Firebox. Si un serveur DHCP est déjà configuré, il est conseillé de le conserver. Vous ne pouvez pas utiliser cette option sur une interface pour laquelle la fonctionnalité High Availability est activée. 1. Sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 162 WatchGuard System Manager Installation et configuration d’un réseau 2. Sélectionnez l’interface approuvée ou une interface facultative. 3. Cliquez sur Configurer et activez la case à cocher Utiliser le serveur DHCP. 4. Ajoutez un pool d’adresses. Cliquez sur Ajouter en regard de la zone Pool d’adresses et spécifiez les adresses IP de début et de fin sur le même sous-réseau. Cliquez sur OK. Le pool d’adresses doit appartenir au sous-réseau IP principal ou secondaire de l’interface. Vous pouvez configurer six plages d’adresses au maximum. Guide de l’utilisateur 163 Installation et configuration d’un réseau 5. Pour réserver une adresse IP spécifique à un client, cliquez sur Ajouter en regard de la zone Adresses réservées. Entrez le nom de la réservation, de l’adresse IP à réserver et de l’adresse MAC de la carte réseau du client. Cliquez sur OK. 6. Par défaut, Firebox assigne les informations du serveur DNS configurées dans l’onglet Configuration du réseau > WINS/DNS lorsqu’il est configuré en tant que serveur DHCP. Si vous le souhaitez, vous pouvez spécifier un autre serveur DNS à attribuer lorsque Firebox assigne les adresses IP. Cliquez sur Ajouter en regard de la zone Serveurs DNS pour ajouter l’adresse IP du serveur DNS que Firebox doit utiliser. 7. Utilisez les boutons fléchés pour modifier la Durée du bail par défaut. Il s’agit de l’intervalle de temps pendant lequel un client DHCP peut utiliser une adresse IP reçue du serveur DHCP. Lorsque ce délai arrive à expiration, le client envoie des données au serveur DHCP pour renouveler le bail. Configurer Firebox en tant qu’agent de relais DHCP Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les ordinateurs des réseaux approuvés ou facultatifs. Vous ne pouvez utiliser cette fonctionnalité que si vous configurez Firebox en mode d’insertion. Pour plus d’informations, voir Configuration d’insertion. Vous ne pouvez pas utiliser un relais DHCP sur une interface pour laquelle la fonctionnalité High Availability est activée. 1. Sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez l’interface approuvée ou une interface facultative. 3. Cliquez sur Configurer puis sur Utiliser le relais DHCP. 4. Entrez l’adresse IP du serveur DHCP dans la zone appropriée. Ajoutez un route à un serveur DHCP, le cas échéant. 5. Cliquez sur OK et enregistrez vos modifications dans Firebox. 164 WatchGuard System Manager Installation et configuration d’un réseau Configurer les interfaces externes Lorsque vous configurez le réseau externe, définissez la méthode utilisée par votre fournisseur de services Internet (ISP) pour attribuer une adresse IP à votre périphérique Firebox. Si vous ne connaissez pas cette méthode, contactez votre ISP ou l’administrateur réseau de votre entreprise. Pour plus d’informations sur les méthodes d’adressage IP, voir Adresses IP statiques et dynamiques. Si l’adresse IP est statique 1. Sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez une interface externe. Cliquez sur Configurer. 3. Dans la boîte de dialogue Paramètres de l’interface, sélectionnez Statique. 4. Entrez l’adresse IP de l’interface. 5. Entrez l’adresse IP de la passerelle par défaut. 6. Cliquez sur OK. Si l’adresse IP est attribuée à l’aide de PPPoE Si votre ISP utilise PPPoE, vous devez entrer les informations correspondantes dans Firebox pour que le trafic puisse être acheminé via l’interface externe. 1. Sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez une interface externe. Cliquez sur Configurer. 3. Dans la boîte de dialogue Paramètres de l’interface), sélectionnez PPPoE. 4. Si vous sélectionnez Utiliser une adresse IP, entrez l’adresse IP dans la zone de texte à droite. 5. Entrez les Nom d’utilisateur et Mot de passe. Vous devez entrer deux fois le mot de passe. Les fournisseurs de services Internet utilisent généralement le format d’adresse e-mail pour définir les noms d’utilisateur, tel que MonNom@domaineISP.net. Guide de l’utilisateur 165 Installation et configuration d’un réseau 6. Cliquez sur Propriétés avancées pour configurer les paramètres PPPoE. La boîte de dialogue Propriétés PPPoE s’affiche. Votre ISP peut vous contacter s’il juge nécessaire de modifier le délai d’attente ou les valeurs LCP. 7. Indiquez quand Firebox doit se connecter au serveur PPPoE à l’aide des cases d’option suivantes : Si vous avez sélectionné Toujours actif, utilisez les touches de direction pour définir l’intervalle de réinitialisation de PPPoE (en secondes) dans le champ Intervalle de réinitialisation de PPPoE. Si vous avez sélectionné Connexion à la demande, définissez la durée pendant laquelle l’utilisateur peut rester connecté en cas d’inactivité (aucun trafic n’est acheminé au réseau externe) dans le champ Délai d’inactivité. 8. Dans le champ Échec d’écho LCP, utilisez les touches de direction pour définir le nombre de requêtes d’écho LCP incorrectes qui peuvent être reçues avant que la connexion PPPoE ne soit considérée comme inactive et fermée. 9. Dans le champ Délai d’écho LCP, utilisez les touches de direction pour définir le délai d’attente, en secondes, d’une réponse à chaque délai d’écho. 10. Dans le champ Nom du service, entrez un nom de service PPPoE. Il peut s’agir d’un nom d’ISP ou d’une classe de service configurée sur le serveur PPPoE. Cette option n’est généralement pas utilisée. Ne renseignez ce champ que s’il existe plusieurs concentrateurs d’accès ou si vous devez utiliser un nom de service spécifique. 11. Dans le champ Nom du concentrateur d’accès, entrez le nom d’un concentrateur d’accès PPPoE, également connu sous le nom de serveur PPPoE. Cette option n’est généralement pas utilisée. Utilisezla uniquement s’il existe plusieurs concentrateurs d’accès. 166 WatchGuard System Manager Installation et configuration d’un réseau Si l’adresse IP est attribuée à l’aide de DHCP 1. Dans la boîte de dialogue Paramètres de l’interface, sélectionnez Utiliser le client DHCP. 2. Si le serveur DHCP vous demande d’utiliser un identificateur facultatif dans votre échange DHCP, entrez-le dans la zone de texte Nom d’hôte. 3. Sous IP de l’hôte, activez la case d’option Obtenir une adresse IP automatiquement pour que DHCP attribue une adresse IP à Firebox. Si vous voulez attribuer manuellement une adresse IP à Firebox et utiliser DHCP simplement pour la lui transmettre, activez la case d’option Utiliser une adresse IP et entrez l’adresse IP dans le champ adjacent. 4. Les adresses IP attribuées par un serveur DHCP sont définies avec un bail d’un jour qui permet de les utiliser pendant une journée. Pour modifier la durée du bail, activez la case à cocher Durée du bail et sélectionnez une valeur dans le champ adjacent. Configurer Firebox pour le DNS dynamique Vous pouvez enregistrer l’adresse IP externe de Firebox auprès du service DNS dynamique « DynDNS.org ». Grâce à ce type de service, vous êtes sûr que l’adresse IP associée à votre nom de domaine change dès que votre fournisseur de services Internet attribue une nouvelle adresse IP à Firebox. Au démarrage, Firebox obtient l’adresse IP auprès de members.dyndns.org. Il vérifie qu’elle est valide à chaque redémarrage et tous les vingt jours. Si vous modifiez votre configuration DynDNS sur Firebox ou si vous changez l’adresse IP de la passerelle par défaut configurée sur votre périphérique Firebox, DynDNS.com est automatiquement mis à jour. Pour plus d’informations sur le DNS dynamique, rendez-vous sur le site http://www.dyndns.com. WatchGuard n’est pas une filiale de DynDNS.com. Avant de commencer, vous devez créer un compte dynDNS. Pour créer votre compte, consultez le site Web DynDNS à l’adresse http://www.dyndns.com. Suivez les instructions pour activer votre compte. Vous devez le faire avant de configurer Firebox pour le DNS dynamique. Configurer Firebox pour le DNS dynamique 1. Dans Policy Manager, sélectionnez Réseau > Configuration. Cliquez sur l’onglet WIN/DNS. 2. Au moins un serveur DNS doit être défini. Si ce n’est pas le cas, suivez la procédure décrite à la rubrique Ajouter des adresses de serveurs WINS et DNS. 3. Cliquez sur l’onglet DNS dynamique. Guide de l’utilisateur 167 Installation et configuration d’un réseau 4. Sélectionnez l’interface externe pour laquelle vous souhaitez configurer le DNS dynamique et cliquez sur Configurer. La boîte de dialogue Par DNS dynamique d’interface s’affiche. 5. Pour activer le DNS dynamique, activez la case à cocher Activer le DNS dynamique. 6. Entrez les nom d’utilisateur, mot de passe et nom de domaine que vous avez utilisés pour créer votre compte DNS dynamique. 7. Dans la liste déroulante Type de service, sélectionnez le système à utiliser dans le cadre de cette mise à jour. Pour plus d’informations sur chacune des options suivantes, rendez-vous sur le site http:// www.dyndns.com/services/. o dyndns envoie des mises à jour pour un nom d’hôte DNS dynamique. o statdns envoie des mises à jour pour un nom d’hôte DNS statique. o custom envoie des mises à jour pour un nom d’hôte DNS personnalisé. 8. Vous pouvez entrer les options ci-dessous dans le champ Options. Vous devez entrer le signe & avant et après chaque option que vous ajoutez. Si vous en ajoutez plusieurs, vous devez les séparer par le signe &. Par exemple : &backmx=NO&wildcard=ON& mx=mailexchanger backmx=YES|NO wildcard=ON|OFF|NOCHG offline=YES|NO Pour plus d’informations sur ces options, rendez-vous sur le site : http://www.dyndns.com/developers/specs/syntax.html. 9. À l’aide des touches de direction, définissez un intervalle de temps en jours pour forcer la mise à jour de l’adresse IP. 168 WatchGuard System Manager Installation et configuration d’un réseau Ajouter des adresses de serveurs WINS et DNS Plusieurs des fonctionnalités de Firebox partagent des adresses IP de serveurs WINS (Windows Internet Name Server) et DNS (Domain Name System). Il s’agit de DHCP et de Mobile VPN. L’accès à ces serveurs doit être disponible depuis l’interface approuvée de Firebox. Ces informations sont utilisées pour deux raisons : Firebox utilise le serveur DNS présenté ici pour résoudre les noms en adresses IP afin que les VPN IPSec, le spamBlocker, Gateway AV et les fonctionnalités IPS fonctionnent correctement. Les entrées WINS et DNS sont utilisées par les clients DHCP sur le réseau approuvé et le réseau facultatif, ainsi que par les utilisateurs de Mobile VPN, pour résoudre les requêtes DNS. Assurez-vous d’utiliser uniquement un serveur WINS et un serveur DNS internes pour DHCP et Mobile VPN. Ainsi, vous aurez l’assurance de ne pas créer des stratégies dont les propriétés de configuration empêchent les utilisateurs de se connecter au serveur DNS. 1. Dans Policy Manager, sélectionnez Réseau > Configuration. Cliquez sur l’onglet WINS/DNS. Les informations de l’onglet correspondant s’affichent. 2. Entrez l’adresse principale et l’adresse secondaire des serveurs WINS et DNS. Vous pouvez entrer un maximum de trois serveurs DNS. Vous pouvez également taper un suffixe de domaine dans la zone de texte Nom de domaine pour qu’un client DHCP puisse l’utiliser avec des noms non qualifiés tels que mail_watchguard. Guide de l’utilisateur 169 Installation et configuration d’un réseau Configurer un réseau secondaire Un réseau secondaire est un réseau qui partage l’un des réseaux physiques identiques de l’une des interfaces Firebox. Lorsque vous ajoutez un réseau secondaire, vous ajoutez un alias IP à l’interface. L’alias IP est la passerelle par défaut de tous les ordinateurs du réseau secondaire. Le réseau secondaire avertit Firebox qu’un réseau supplémentaire se trouve sur l’interface Firebox. Si Firebox est configuré avec une adresse IP statique, vous pouvez ajouter une adresse IP sur le même sousréseau que l’interface externe principale en tant que réseau secondaire. Vous pouvez ensuite configurer la traduction d’adresses réseau statique pour plusieurs types de serveurs identiques. Par exemple, configurez un réseau secondaire externe avec une deuxième adresse IP publique si vous disposez de deux serveurs SMTP publics et souhaitez configurer une règle de traduction d’adresses réseau statique pour chacun d’eux. 1. Sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Sélectionnez l’interface du réseau secondaire et cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’affiche. 3. Sélectionnez l’onglet Secondaire. 170 WatchGuard System Manager Installation et configuration d’un réseau 4. Cliquez sur Ajouter. Entrez une adresse IP non attribuée pour le réseau secondaire. N’oubliez pas d’entrer tous les numéros et les points. N’utilisez pas la touche de tabulation ni les touches de direction. 5. Cliquez sur OK. Cliquez de nouveau sur OK. Entrez correctement les adresses du réseau secondaire, car Policy Manager ne vous avertit pas en cas d’erreur. Il est déconseillé de créer un sous-réseau comme réseau secondaire sur une interface faisant partie d’un réseau plus étendu situé sur une interface différente. Si vous le faites, le réseau risque d’être attaqué et de ne pas fonctionner correctement. Guide de l’utilisateur 171 Installation et configuration d’un réseau Ajouter un route statique Un route correspond à l’ensemble des périphériques que le trafic réseau traverse de la source à la destination. Un routeur est un périphérique de cet route qui détecte le point réseau suivant au travers duquel le trafic réseau est acheminé vers sa destination. Chaque routeur est connecté à deux réseaux au minimum. Un paquet peut traverser plusieurs points réseau avec des routeurs avant d’atteindre sa destination. Firebox permet de créer des routes statiques pour acheminer le trafic vers des hôtes ou des réseaux spécifiques. Le routeur peut ensuite envoyer le trafic à la destination appropriée en suivant l’route spécifié. Ajoutez un route réseau si un réseau se trouve derrière un routeur sur votre réseau local. Si vous n’ajoutez aucun route à un réseau distant, tout le trafic qui lui est destiné est envoyé à la passerelle par défaut de Firebox. Le WatchGuard Users Forum est une mine précieuse d’informations sur les routes réseau et les routeurs. 1. Dans Policy Manager, sélectionnez Réseau > Routes. La boîte de dialogue Configurer les routes s’affiche. 2. Cliquez sur Ajouter. La boîte de dialogue Ajouter un route s’affiche. 3. Dans la liste déroulante, sélectionnez IP du réseau si un réseau se trouve derrière un routeur sur votre réseau local. Sélectionnez IP de l’hôte si un hôte uniquement se trouve derrière le routeur ou si vous souhaitez acheminer le trafic vers un seul hôte. 4. Dans la zone de texte Envoyer à, entrez l’adresse du réseau ou de l’hôte, selon que vous voulez créer un route vers un réseau ou un hôte. Si vous entrez une adresse réseau, employez la notation de barre oblique. Pour plus d’informations sur la notation de barre oblique, voir À propos de la notation de barre oblique. 5. Dans la zone de texte Passerelle, entrez l’adresse IP du routeur. Assurez-vous que cette adresse se trouve sur l’un des réseaux identiques de Firebox. 6. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un route. La boîte de dialogue Configurer les routes affiche l’route réseau configuré. 7. Cliquez de nouveau sur OK pour fermer la boîte de dialogue Configurer les routes. 172 WatchGuard System Manager Installation et configuration d’un réseau À propos des paramètres d’interface avancés Vous pouvez utiliser plusieurs paramètres d’interface Firebox avancés : Paramètres Network Interface Card (NIC) : configure les paramètres de connexion (vitesse et mode duplex) des interfaces Firebox en mode manuel ou automatique. Il est conseillé de conserver la vitesse de connexion configurée pour la négociation automatique. Si vous choisissez l’option de configuration manuelle, assurezvous que les paramètres de connexion (vitesse et mode duplex) du périphérique auquel Firebox se connecte sont identiques à ceux de Firebox. N’utilisez cette option que si vous devez ignorer les paramètres d’interface automatiques de Firebox pour accéder aux autres périphériques du réseau. Bande passante de l’interface en sortie : lorsque vous utilisez les paramètres de gestion du trafic pour garantir la bande passante aux stratégies, ne réservez pas plus de bande passante qu’il n’en existe pour une interface. Si vous sélectionnez ce paramètre, vous êtes sûr que la somme des paramètres de bande passante garantie ne sature pas la connexion et qu’elle n’empêche donc pas l’acheminement du trafic non garanti. Marquage de la qualité du service : crée différentes catégories de services pour différents types de trafic réseau. Vous pouvez définir le comportement de marquage par défaut lorsque le trafic sort d’une interface. Les paramètres définis pour une stratégie peuvent remplacer ces paramètres. Bit DF pour IPSec : détermine le paramètre du bit Don’t Fragment (DF) pour IPSec. Paramètre PMTU pour IPSec : (interfaces externes uniquement) contrôle la durée pendant laquelle Firebox diminue l’unité maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de fragmentation d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur Internet. Liaison d’adresse MAC/IP statique : contrôle l’accès à une interface Firebox à l’aide d’une adresse matérielle (MAC). Paramètres de carte réseau 1. Sélectionnez Réseau > Configuration. Cliquez sur l’interface à configurer puis sur Configurer. 2. Sélectionnez l’onglet Avancé. 3. Dans la liste déroulante Vitesse de la connexion, sélectionnez Négociation automatique pour que Firebox sélectionne la vitesse réseau appropriée. Vous pouvez également sélectionner l’une des vitesses semi-duplex ou duplex intégral compatibles avec votre matériel. Il est vivement conseillé de ne pas modifier ce paramètre, sauf si l’assistance technique vous le demande. Lorsque vous définissez manuellement la vitesse de connexion, un conflit risque de se produire avec la carte réseau au cours de la restauration. Dans ce cas, l’interface Firebox ne peut plus se reconnecter. 4. Dans la zone de contrôle de valeur Unité maximale de transmission (MTU), sélectionnez la taille maximale de paquet, en octets, prise en charge par l’interface. Il est conseillé d’utiliser la valeur par défaut (1 500 octets), sauf si votre matériel de réseau requiert une taille de paquet différente. Guide de l’utilisateur 173 Installation et configuration d’un réseau Définir la bande passante de l’interface en sortie Avant d’utiliser les fonctionnalités de gestion du trafic, vous devez affecter à chaque interface une limite de bande passante, nommée bande passante de l’interface en sortie, pour le trafic envoyé à partir de cette interface vers le segment réseau auquel elle est connectée. Une fois cette limite définie, Fireware refuse les paquets qui dépassent cette limite. En outre, Policy Manager affiche un avertissement si vous allouez une bande passante trop importante lorsque vous créez ou paramétrez des actions de gestion du trafic. Si vous conservez pour toute interface la valeur par défaut 0 du paramètre Bande passante de l’interface en sortie, la bande passante est définie avec la vitesse de connexion négociée automatiquement pour cette interface. 1. Dans Policy Manager, sélectionnez Configurer > Paramètres globaux. La boîte de dialogue Paramètres globaux s’affiche. 2. Dans la partie inférieure de la boîte de dialogue, assurez-vous que la case à cocher Désactiver toutes les fonctionnalités de gestion du trafic et de qualité de service est désactivée. Si elle est activée, désactivez-la. 3. Cliquez sur OK. Vous pouvez choisir de désactiver ces fonctionnalités ultérieurement si vous effectuez un test des performances ou un débogage du réseau. 4. Dans Policy Manager, sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 5. Sélectionnez l’interface pour laquelle vous voulez définir des limites de bande passante et cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’affiche. 6. Cliquez sur l’onglet Avancé. 7. Dans le champ Bande passante de l’interface en sortie, entrez la bande passante fournie par le réseau. Utilisez la vitesse en amont de votre connexion Internet (en Kbits/s plutôt qu’en Ko/s) comme limite pour les interfaces externes. Définissez la bande passante de votre interface LAN en fonction de la vitesse de connexion minimale prise en charge par votre infrastructure LAN. 174 WatchGuard System Manager Installation et configuration d’un réseau Activer le marquage QoS pour une interface Utilisez cette procédure pour définir le comportement de marquage par défaut lorsque des données sortent d’une interface. Ces paramètres peuvent être remplacés par des paramètres définis pour une stratégie. 1. Dans Policy Manager, sélectionnez Configurer > Paramètres globaux. La boîte de dialogue Paramètres globaux s’affiche. 2. Dans la partie inférieure de la boîte de dialogue, désactivez la case à cocher Désactiver toutes les fonctionnalités de gestion du trafic et de qualité de service et cliquez sur OK. Vous pouvez choisir de désactiver ces fonctionnalités ultérieurement si vous effectuez un test des performances ou un débogage du réseau. 3. Dans Policy Manager, sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 4. Sélectionnez l’interface pour laquelle vous voulez activer le marquage QoS et cliquez sur Configurer. La boîte de dialogue Paramètres de l’interface s’affiche. 5. Cliquez sur l’onglet Avancé. 6. À partir de la liste déroulante Type de marquage, sélectionnez DSCP ou Priorité IP. 7. Définissez la méthode de marquage : o Conserver : ne pas changer la valeur actuelle du bit. Firebox définit les priorités du trafic en fonction de cette valeur. o Attribuer : attribuer une nouvelle valeur au bit. o Effacer : effacer le bit (le définir à zéro). 8. Si vous avez sélectionné Attribuer à l’étape précédente, sélectionnez une valeur de marquage. Si vous choisissez le type de marquage de priorité IP, vous pouvez sélectionner des valeurs de 0 (priorité normale) à 7 (priorité la plus élevée). Si vous avez sélectionné le type de marquage DSCP, les valeurs sont 0 — 56. Pour plus d’informations sur ces valeurs, voir Types et valeurs de marquage. 9. Activez la case à cocher Définir les priorités du trafic en fonction du marquage QoS. 10. Cliquez sur OK. Guide de l’utilisateur 175 Installation et configuration d’un réseau Configurer le bit DF pour IPSec Lorsque vous configurez l’interface externe, activez l’une des trois cases d’option suivantes pour déterminer le paramètre du bit Don’t Fragment (DF) pour IPSec. Copier : les bits Type of Service (TOS) constituent un ensemble d’indicateurs à quatre bits dans l’en-tête IP. Ils peuvent demander aux périphériques de routage d’assigner à un datagramme IP une priorité plus ou moins élevée par rapport à d’autres datagrammes. Avec Fireware, vous pouvez autoriser les tunnels IPSec à transmettre des paquets TOS marqués. Certains fournisseurs de services Internet ignorent les paquets contenant des indicateurs TOS définis. Si le paquet d’origine contient des bits TOS définis alors que la case à cocher Copier est activée, Fireware conserve cette configuration lors de l’encapsulation du paquet dans l’entête IPSec. Si ce n’est pas le cas, Fireware ne les configure pas lors de l’encapsulation. Si vous n’activez pas la case à cocher Copier, aucun bit TOS n’est défini dans les paquets IPSec. S’ils ont déjà été définis, les bits TOS sont supprimés lorsque Fireware encapsule le paquet dans l’en-tête IPSec. Définir : sélectionnez Définir pour empêcher Firebox de fragmenter la trame, quel que soit le paramètre du bit d’origine. Si un utilisateur doit établir des connexions IPSec à Firebox derrière un autre périphérique Firebox, vous devez désactiver cette case à cocher pour activer la fonction de transmission IPSec. Par exemple, des employés itinérants travaillant sur un site client équipé d’un périphérique Firebox peuvent se connecter à leur réseau à l’aide d’IPSec. Pour que le périphérique Firebox local autorise les connexions IPSec sortantes, vous devez également ajouter une stratégie IPSec dans Policy Manager. Effacer : sélectionnez Effacer pour demander à Firebox de fragmenter la trame en plusieurs segments pouvant tenir dans un paquet IPSec avec l’en-tête ESP ou AH, quel que soit le paramètre du bit d’origine. Paramètre PMTU pour IPSec Ce paramètre d’interface avancé concerne les interfaces externes uniquement. L’unité maximale de transmission d’un chemin (PMTU) contrôle la durée pendant laquelle Firebox diminue l’unité maximale de transmission (MTU) d’un tunnel VPN IPSec lorsqu’il reçoit une requête ICMP de fragmentation d’un paquet provenant d’un routeur dont le paramètre MTU est inférieur sur Internet. Il est conseillé de conserver les paramètres par défaut pour protéger Firebox si un routeur présente un paramètre MTU très faible sur Internet. 176 WatchGuard System Manager Installation et configuration d’un réseau Utiliser la liaison d’adresse MAC statique Vous pouvez contrôler l’accès à une interface Firebox à l’aide d’une adresse matérielle (MAC). Cette fonctionnalité peut protéger votre réseau contre les attaques ARP des pirates informatiques qui utilisent des entrées ARP usurpées pour y accéder. Si cette fonctionnalité est activée alors que l’adresse MAC d’un ordinateur essayant de se connecter à Firebox n’est pas incluse dans cette configuration, la connexion échoue. Si vous choisissez de restreindre l’accès à Firebox à l’aide de l’adresse MAC, n’oubliez pas d’inclure l’adresse MAC de l’ordinateur qui sert à gérer Firebox. 1. Sélectionnez Réseau > Configuration. Cliquez sur l’interface à configurer puis sur Configurer. 2. Sélectionnez l’onglet Avancé. 3. Cliquez sur Ajouter en regard de la table Liaison d’adresse MAC/IP statique. 4. Entrez une adresse IP et une paire d’adresses MAC. Cliquez sur OK. 5. Activez la case à cocher N’autoriser que le trafic envoyé vers/depuis ces adresses MAC/IP pour que cette interface n’autorise que le trafic correspondant à une entrée de la table Liaison d’adresse MAC/ IP statique. Désactivez-la si vous voulez autoriser le trafic qui ne correspond à aucune entrée de la table. Guide de l’utilisateur 177 Installation et configuration d’un réseau À propos de la configuration réseau en mode d’insertion Dans une configuration d’insertion, la même adresse IP est utilisée sur toutes les interfaces Firebox. Le mode de configuration d’insertion distribue la plage d’adresses logiques du réseau à l’ensemble des interfaces Firebox. Vous pouvez placer Firebox entre le routeur et le réseau local sans devoir modifier la configuration sur les ordinateurs locaux. On parle de configuration d’insertion, car Firebox est « inséré » (ou distribué) dans un réseau. En mode d’insertion : Vous devez attribuer la même adresse IP principale à toutes les interfaces de Firebox (externes, approuvées et facultatives). Vous pouvez attribuer des réseaux secondaires sur toutes les interfaces. Vous pouvez conserver les mêmes adresses IP et passerelles par défaut pour les hôtes de vos réseaux approuvés et facultatifs et ajouter une adresse réseau secondaire à l’interface Firebox pour que le trafic soit correctement acheminé vers les hôtes de ces réseaux. Les serveurs publics derrière Firebox peuvent continuer à utiliser les adresses IP publiques. Firebox ne fait pas appel à la traduction d’adresses réseau pour acheminer le trafic de votre réseau à vos serveurs publics. Les propriétés d’une configuration d’insertion sont les suivantes : Vous devez connaître l’adresse IP externe statique à attribuer à Firebox. Vous devez utiliser un réseau logique pour toutes les interfaces. Vous ne pouvez configurer qu’une seule interface externe lorsque Firebox est configuré en mode d’insertion. La fonctionnalité Multi-WAN est automatiquement désactivée. Il est parfois nécessaire de vider le cache ARP de chaque ordinateur du réseau approuvé. Si vous déplacez une adresse IP d’un ordinateur placé derrière une interface Firebox vers un ordinateur placé derrière une autre interface Firebox, il faudra attendre quelques minutes avant que le trafic ne soit acheminé entre cette adresse IP et Firebox. Firebox doit mettre à jour sa table de routage interne avant l’acheminement du trafic. Seul le trafic Firebox est concerné (connexions de gestion Firebox, SNMP ou journalisation, par exemple). 178 WatchGuard System Manager Installation et configuration d’un réseau Configurer les hôtes associés Dans une configuration d’insertion, la même adresse IP est utilisée sur chaque interface Firebox. Le mode de configuration d’insertion distribue la plage d’adresses du réseau à l’ensemble des interfaces Firebox. Vous devez parfois utiliser des hôtes associés si vous avez configuré Firebox en mode d’insertion et que le mappage d’hôte automatique ne fonctionne pas correctement, en raison notamment des interférences qui se produisent avec Firebox lorsqu’il essaie de détecter des périphériques sur une interface. Dans ce cas, désactivez le mappage d’hôte automatique et ajoutez les entrées de l’hôte associé pour les ordinateurs qui partagent une adresse réseau avec Firebox. Une relation de routage statique est alors créée entre l’adresse IP de l’hôte associé et l’interface désignée pour cette adresse IP. En cas de problème avec le mappage d’hôte dynamique/automatique, vous devez utiliser les entrées de l’hôte associé. 1. Dans Policy Manager, sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Cliquez sur Propriétés. La boîte de dialogue Propriétés du mode d’insertion s’affiche. 3. Désactivez le mappage d’hôte automatique sur les interfaces où il ne fonctionne pas correctement. 4. Cliquez sur Ajouter. Entrez l’adresse IP de l’ordinateur pour lequel vous souhaitez définir un route statique à partir de Firebox. 5. Cliquez sur la colonne Nom de l’interface pour sélectionner l’interface à laquelle l’hôte associé est connecté. 6. Lorsque vous aurez ajouté toutes les entrées de l’hôte associé, cliquez sur OK. Enregistrez la configuration dans Firebox. Guide de l’utilisateur 179 Installation et configuration d’un réseau À propos des réseaux locaux virtuels (VLAN) Un VLAN (réseau local virtuel) 802.1Q est un ensemble d’ordinateurs appartenant à un LAN ou à des LAN regroupés dans un seul domaine de diffusion, indépendamment de leur emplacement physique. Il permet de regrouper des périphériques selon leurs caractéristiques de trafic et non pas par proximité physique. Les membres d’un VLAN peuvent partager des ressources comme s’ils étaient connectés au même LAN. Les VLAN servent également à diviser un commutateur en plusieurs segments. Supposons, par exemple, que votre entreprise a des employés à plein temps et des intérimaires qui utilisent le même LAN. Il est alors souhaitable de limiter les intérimaires à un sous-réseau de ressources utilisées par les employés à plein temps. Il est tout aussi préférable d’utiliser une stratégie de sécurité plus restrictive pour les intérimaires. Pour ce faire, il convient de diviser l’interface en deux VLAN. Puisque les VLAN utilisent des ponts et des commutateurs, les diffusions sont plus efficaces dans la mesure où elles ne sont transmises qu’aux utilisateurs connectés au VLAN, et non à tous ceux qui sont connectés. Par conséquent, le trafic transmis sur vos routeurs s’en trouve réduit, ce qui implique une latence de routage moins importante. Les VLAN vous permettent de segmenter votre réseau sous la forme d’une structure hiérarchique et logique et non pas physique. Ce regroupement logique permet de dégager le personnel informatique des restrictions associées au modèle de réseau et à l’infrastructure de câblage. Les VLAN facilitent ainsi la conception, la mise en Suvre et la gestion de votre réseau. Les VLAN étant basés sur des logiciels, vous pouvez facilement et rapidement adapter votre réseau aux ajouts, déplacements et réorganisations de matériel. Configuration logicielle requise pour les VLAN et restrictions associées Fireware Pro doit être installé sur votre périphérique Firebox. Les VLAN ne sont pris en charge que depuis l’interface approuvée et l’interface facultative. L’interface externe ne permet pas de configurer des VLAN. La mise en Suvre des VLAN WatchGuard ne prend pas en charge le protocole de gestion des liaisons Spanning Tree. Si Firebox est configuré en mode d’insertion, vous ne pouvez pas utiliser les VLAN. Une seule interface physique de Firebox peut être un membre VLAN non marqué d’un seul VLAN. Par exemple, si l’interface eth0 est un membre non marqué d’un VLAN appelé VLAN-1, elle ne peut pas être en même temps un membre non marqué d’un autre VLAN. Une interface de Firebox peut envoyer des données non marquées à un seul VLAN. Une interface de Firebox ne peut recevoir des trames de données non marquées qu’en provenance d’un seul VLAN. Votre modèle et licence Firebox déterminent le nombre de VLAN que vous pouvez ajouter à votre périphérique Firebox. Pour le connaître, ouvrez Policy Manager et sélectionnez Configurer > Clés de fonctionnalité. Localisez la ligne intitulée Nombre total d’interfaces VLAN. Tous les segments du réseau auxquels vous souhaitez ajouter un VLAN doivent avoir des adresses IP appartenant au réseau VLAN. Si vous définissez des VLAN, ignorez les messages indiquant que la version 802.1d est inconnue. Ils sont générés car la mise en Suvre des VLAN WatchGuard ne prend pas en charge le protocole de gestion des liaisons Spanning Tree. 180 WatchGuard System Manager Installation et configuration d’un réseau À propos du balisage Pour activer les VLAN, des commutateurs les prenant en charge doivent être déployés sur chaque site. Les interfaces des commutateurs insèrent des indicateurs au niveau de la couche 2 de la trame de données. Ces indicateurs ajoutent quatre octets à l’en-tête Ethernet pour identifier la trame comme appartenant à un VLAN en particulier. Le balisage est spécifié par la norme IEEE 802.1Q. La définition d’un VLAN prévoit la disposition des trames de données marquées et non marquées. Vous devez indiquer si le VLAN reçoit des données marquées, non marquées ou pas de données depuis chacune des interfaces activées sur votre périphérique Firebox. Firebox peut insérer des indicateurs pour les paquets envoyés à un commutateur prenant en charge les VLAN. Firebox peut également supprimer des indicateurs dans les paquets envoyés à un segment de réseau qui appartient à un VLAN sans commutateur. Définir un nouveau VLAN Avant de définir un nouveau VLAN, vous devez comprendre les concepts des VLAN et les restrictions qui leur sont associées, en vous reportant si nécessaire à la rubrique À propos des réseaux locaux virtuels (VLAN). 1. Dans Policy Manager, sélectionnez Réseau > Configuration. La boîte de dialogue Configuration du réseau s’affiche. 2. Cliquez sur l’onglet VLAN. Vous voyez apparaître un tableau répertoriant les VLAN actuellement définis par les utilisateurs, ainsi que leurs paramètres. o Cliquez sur un en-tête de colonne pour trier le tableau en fonction des valeurs de cette colonne. o Le tableau peut être trié dans l’ordre ascendant ou descendant. o Les valeurs de la colonne Interface correspondent aux interfaces physiques membres du VLAN en question. o Le numéro d’interface en gras identifie l’interface qui envoie des données non marquées à ce VLAN. Guide de l’utilisateur 181 Installation et configuration d’un réseau 3. Cliquez sur Ajouter. La boîte de dialogue Configuration d’un nouveau VLAN s’ouvre. 4. Dans le champ Nom (Alias), entrez le nom du VLAN que vous souhaitez ajouter au réseau. 5. Dans le champ Description, entrez la description du VLAN. Cette saisie est facultative et sert uniquement de référence. 6. Utilisez les flèches du champ ID de VLAN ou entrez un nombre dans la zone de texte pour attribuer une valeur de nombre entier au VLAN. 7. Dans le champ Zone de sécurité, sélectionnez Approuvé ou Facultatif. Les zones de sécurité correspondent aux alias des zones de sécurité des interfaces. Par exemple, les VLAN du type Approuvé sont gérés par des stratégies qui utilisent l’alias « any-trusted » comme source ou destination. Vous pouvez définir un VLAN comme étant approuvé ou facultatif. 8. Entrez l’adresse de la passerelle du VLAN dans le champ Adresse IP. 182 WatchGuard System Manager Installation et configuration d’un réseau Utiliser DHCP sur un VLAN Vous pouvez configurer Firebox en tant que serveur DHCP pour les ordinateurs de votre réseau VLAN. 1. Activez la case d’option Utiliser le serveur DHCP pour configurer Firebox comme serveur DHCP sur votre réseau VLAN. 2. Pour ajouter une plage d’adresses IP, cliquez sur Ajouter et entrez la première et la dernière adresse IP destinées à l’attribution. Cliquez sur OK. Vous pouvez configurer un maximum de six plages d’adresses. 3. Afin de réserver une adresse IP particulière pour un client, cliquez sur Ajouter en regard de la zone Adresses réservées. Entrez le nom de la réservation, l’adresse IP que vous souhaitez réserver, ainsi que l’adresse MAC de la carte réseau du client. Cliquez sur OK. 4. À l’aide des boutons fléchés situés en regard de la zone Durée du bail, modifiez la durée du bail par défaut. Il s’agit de l’intervalle de temps pendant lequel le client DHCP peut utiliser une adresse IP qu’il obtient du serveur DHCP. Lorsque le terme du bail est quasiment atteint, le client envoie des données au serveur DHCP pour obtenir un nouveau bail. Utiliser le relais DHCP sur un VLAN 1. Activez la case d’option Utiliser le relais DHCP. 2. Entrez l’adresse IP du serveur DHCP. Veillez, si nécessaire, à ajouter un route jusqu’au serveur DHCP. Ensuite, passez à la procédure Attribuer des interfaces à un VLAN. Guide de l’utilisateur 183 Installation et configuration d’un réseau Attribuer des interfaces à un VLAN Lorsque vous créez un VLAN, vous devez définir le type de données qu’il reçoit depuis les interfaces de Firebox. Toutefois, vous pouvez aussi configurer une interface de sorte qu’elle devienne membre d’un VLAN actuellement défini. D’autre part, vous pouvez annuler l’appartenance d’une interface à un VLAN. 1. Dans l’onglet Interfaces, cliquez sur une interface, puis sur Configurer. La boîte de dialogue Paramètres de l’interface s’ouvre. 2. En regard de Type d’interface, sélectionnez VLAN. Vous voyez alors apparaître un tableau récapitulant tous les VLAN actuellement définis. 184 WatchGuard System Manager Installation et configuration d’un réseau 3. Vous devez définir le type de données que les VLAN reçoivent depuis cette interface. Pour définir les VLAN qui envoient et reçoivent des données marquées, activez la case d’option Envoyer et recevoir du trafic marqué pour les VLAN sélectionnés. Activez la case à cocher Membre de chaque VLAN pour qu’il reçoive les données marquées depuis cette interface. Pour annuler l’appartenance, désactivez la case à cocher Membre. 4. Pour que l’interface reçoive des données non marquées, sélectionnez la case d’option Cette interface doit servir de port de commutateur non marqué. Activez la case à cocher Membre des ordinateurs connectés à cette interface sur le LAN sélectionné. Pour annuler l’appartenance, désactivez la case à cocher Membre. 5. Cliquez sur OK. Guide de l’utilisateur 185 Installation et configuration d’un réseau 186 WatchGuard System Manager 10 Configuration d’un réseau avec plusieurs interfaces externes À propos de l’utilisation de plusieurs interfaces externes Avec Firebox, vous pouvez bénéficier d’une redondance pour l’interface externe. Les entreprises ont recours à cette option si elles doivent être constamment connectées à Internet. Avec le mode multi-WAN, vous pouvez configurer un maximum de quatre interfaces externes, chacune sur un sous-réseau différent. Cela vous permet de connecter Firebox à plusieurs FSI. Lorsque vous configurez une seconde interface, le mode multi-WAN est automatiquement activé. Configurations logicielles et conditions requises pour le mode multi-WAN Pour utiliser cette option, vous devez disposer d’une seconde connexion Internet. Lorsque vous utilisez le mode multi-WAN, gardez à l’esprit les points ci-dessous. Si l’une de vos stratégies est configurée avec un alias d’interface externe individuelle, vous devez modifier la configuration de sorte à utiliser l’alias « Any-External » ou un autre alias que vous avez configuré pour les interfaces externes de Firebox. À défaut, une partie du trafic pourrait être refusée par vos stratégies de pare-feu. Les paramètres multi-WAN ne s’appliquent pas au trafic entrant. Lorsque vous configurez une stratégie pour le trafic entrant, vous pouvez ignorer l’ensemble des paramètres multi-WAN. Vous pouvez modifier la configuration du mode multi-WAN de n’importe quelle stratégie. Dans l’onglet Stratégie d’une stratégie, activez la case à cocher Utiliser le routage basé sur stratégie et définissez l’interface interne que Firebox doit utiliser. Pour plus d’informations sur le routage basé sur stratégie, voir Configurer le routage basé sur stratégie. Mappez le nom de domaine entièrement qualifié de votre entreprise à la plus petite adresse de la plage des adresses IP d’interface externe. Si vous ajoutez un périphérique Firebox multi-WAN à la configuration de Management Server, vous devez le faire en utilisant la plus petite adresse IP d’interface externe pour l’identifier. Vous ne pouvez pas utiliser le mode d’insertion. Pour utiliser l’option de capacité de dépassement d’interface, vous devez disposer d’une licence Fireware® Pro et avoir installé Fireware Pro sur votre périphérique Firebox. Vous devez également disposer d’une licence Fireware Pro pour utiliser l’option de tourniquet et configurer les différentes pondérations des interfaces externes de Firebox. Guide de l’utilisateur 187 Configuration d’un réseau avec plusieurs interfaces externes Multi-WAN et DNS Assurez-vous que le serveur DNS est accessible depuis n’importe quel WAN. Sinon, vous devez modifier votre stratégie DNS de la manière suivante : La liste De doit contenir « Firebox ». Sélectionnez Utiliser le routage basé sur stratégie. Si un seul WAN peut accéder au serveur DNS, sélectionnez cette interface dans la liste déroulante adjacente. Si plusieurs WAN peuvent accéder au serveur DNS, sélectionnez l’un deux, puis sélectionnez Basculement, Configurer et sélectionnez toutes les interfaces qui peuvent accéder au serveur DNS. L’ordre importe peu. À propos des options multi-WAN Lorsque vous configurez plusieurs interfaces externes, quatre options vous permettent de contrôler l’interface qu’un paquet sortant utilise. Fireware Pro doit être installé sur votre périphérique Firebox pour certaines de ces options. À propos de l’option de tourniquet du mode Lorsque vous configurez le mode multi-WAN avec l’option de tourniquet, Firebox inspecte sa table de routage interne pour vérifier les informations de routage statique ou dynamique relatives à chaque connexion. Si aucun route n’est trouvé, Firebox répartit la charge de trafic entre ses interfaces externes. Firebox utilise la moyenne des paquets transmis et reçus pour équilibrer la charge de trafic entre toutes les interfaces externes que vous définissez pour l’option de tourniquet. Si vous utilisez Fireware Pro, vous pouvez attribuer une pondération à chaque interface définie pour l’option de tourniquet. Par défaut et pour tous les utilisateurs de Fireware, chaque interface est dotée d’une pondération de 1. La pondération désigne la proportion de charge que Firebox envoie à un serveur via une interface. Si vous disposez de Fireware Pro et affectez une pondération de 2 à une interface, vous doublez la proportion du trafic qui traversera cette interface, en comparaison avec une interface dont la pondération est de 1. Par exemple, si vous avez trois interfaces externes avec une bande passante de 6, 1,5 et 0,075 M chacune et souhaitez équilibrer la charge de trafic entre les trois, vous utiliseriez des pondérations de 8, 2 et 1. Fireware essaie de répartir les connexions de sorte que les 8/11ème, 2/11ème et 1/11ème du trafic total soient acheminés vers chacune des trois interfaces. À propos de l’option de basculement WAN Lorsque vous utilisez l’option de basculement pour acheminer le trafic via les interfaces externes de Firebox, vous sélectionnez une seule interface externe qui sera l’interface externe principale. Les autres servent d’interfaces de sauvegardes et sont utilisées par Firebox dans l’ordre que vous indiquez. Firebox analyse l’interface externe principale. Si elle devient inactive, Firebox envoie l’ensemble du trafic à l’interface externe suivante définie dans sa configuration. Alors que Firebox envoie le trafic vers l’interface de sauvegarde, il continue à analyser l’interface externe principale. Lorsque cette dernière redevient active, Firebox recommence immédiatement à envoyer toutes les nouvelles connexions vers l’interface externe principale. C’est vous qui définissez ce que Firebox doit faire des connexions existantes. Elle peuvent être restaurées immédiatement, ou Firebox peut continuer à utiliser l’interface de sauvegarde jusqu’à ce que la connexion soit terminée. Le basculement multi-WAN et High Availability (HA) sont configurés séparément. Un basculement multi-WAN dû à un échec de connexion à un hôte de contrôle de liaisons ne déclenche pas de basculement HA. Ce basculement a lieu uniquement lorsque l’interface physique n’est pas active ou ne répond pas. Il est prioritaire sur le basculement multi-WAN. 188 WatchGuard System Manager Configuration d’un réseau avec plusieurs interfaces externes À propos de l’option de dépassement de capacité d’interface Lorsque vous recourez à l’option de configuration multi-WAN Dépassement de capacité d’interface, vous devez définir l’ordre dans lequel Firebox enverra le trafic via les interfaces externes et configurer chaque interface avec une valeur seuil de bande passante. Firebox commence à envoyer le trafic via la première interface externe définie dans sa liste de configuration Dépassement de capacité d’interface. Lorsque le trafic routé via cette interface atteint le seuil de bande passante que vous avez défini pour cette dernière, Firebox commence à envoyer le trafic à l’interface externe suivante, définie dans la liste de configuration Dépassement de capacité d’interface. Cette option de configuration multi-WAN permet de limiter, à un certain seuil de bande passante, la quantité de trafic envoyé à chaque interface WAN. Pour déterminer la bande passante, Firebox inspecte le nombre de paquets transmis et reçus et se base sur le plus grand nombre. Lorsque vous configurez le seuil de bande passante d’interface pour chaque interface, prenez en compte les besoins de votre réseau de chaque interface et définissez la valeur seuil, en fonction de ces besoins. Par exemple, si votre FSI est asymétrique et que vous définissez le seuil de bande passante en fonction d’un taux de transmission important, le dépassement de capacité d’interface ne sera pas déclenché par un taux de transmission important. Si toutes les interfaces WAN ont atteint leur seuil de bande passante, Firebox utilise l’algorithme de routage ECMP (Equal Cost MultiPath Protocol) pour rechercher le meilleur route. Vous devez disposer d’une licence Fireware Pro pour utiliser l’option de routage multi-WAN. À propos de l’option de table de routage du mode multi-WAN Lorsque vous sélectionnez l’option de table de routage dans la configuration du mode multi-WAN, Firebox se base sur les routes de sa table de routage interne ou sur les routes qu’il obtient des processus de routage dynamique pour envoyer les paquets via l’interface externe appropriée. Afin de savoir si un route spécifique existe pour une destination de paquets, Firebox examine sa table de routage en parcourant la liste des routes de haut en bas. Vous pouvez voir la liste des routes figurant dans la table de routage de Firebox en accédant à l’onglet État de Firebox System Manager. L’option de table de routage est l’option par défaut utilisée en mode multi-WAN. Si Firebox ne trouve pas un route spécifique, il sélectionne le meilleur route en fonction des valeurs de hachage IP de la source et de la destination du paquet, en appliquant l’algorithme ECMP spécifié dans le document : http://www.ietf.org/rfc/rfc2992.txt. Avec le protocole ECMP, Firebox utilise un algorithme afin de déterminer quel saut (route) suivant il utilisera pour envoyer chaque paquet. Cet algorithme ne tient pas compte de la charge de trafic actuelle. Vous devez déterminer si l’option de table de routage est l’option multi-WAN qui répond le mieux à vos besoins. Pour plus d’informations, voir Cas d’utilisation de l’option de table de routage. Sachez que l’option de table de routage n’équilibre pas la charge de trafic sur les connexions à Internet. Pour plus d’informations, voir Option de table de routage et équilibrage de charge. Guide de l’utilisateur 189 Configuration d’un réseau avec plusieurs interfaces externes Configurer l’option de table de routage multi-WAN Avant de commencer Pour pouvoir utiliser l’option multi-WAN, plusieurs interfaces externes doivent être configurées. Si nécessaire, reportez-vous à la procédure décrite à la rubrique À propos de la configuration des interfaces externes. Vous devez déterminer si l’option de table de routage est l’option multi-WAN qui répond le mieux à vos besoins. Pour plus d’informations, voir Cas d’utilisation de l’option de table de routage. Sachez que l’option de table de routage n’équilibre pas la charge de trafic sur les connexions à Internet. Pour plus d’informations, voir Option de table de routage et équilibrage de charge. Veillez à bien comprendre les exigences et les concepts liés au mode multi-WAN et l’option que vous choisissez, comme décrit dans les rubriques À propos de l’utilisation de plusieurs interfaces externes et À propos des options multi-WAN. Configurer les interfaces 1. Dans Policy Manager, sélectionnez Réseau > Configuration, puis cliquez sur l’onglet Multi-WAN. 190 WatchGuard System Manager Configuration d’un réseau avec plusieurs interfaces externes 2. Dans la liste déroulante, sélectionnez Table de routage. Par défaut, les adresses IP de toutes les interfaces externes sont comprises dans la configuration. Pour en supprimer, cliquez sur Configurer et désactivez la case à cocher en regard de chaque interface externe que vous souhaitez exclure de la configuration du mode multi-WAN. Vous pouvez laisser une seule interface externe dans la configuration. Cela peut s’avérer utile si vous utilisez un routage basé sur stratégie pour un certain type de trafic et souhaitez conserver un seul WAN pour le trafic par défaut. 3. Pour finaliser votre configuration, vous devez ajouter des informations sur le contrôle des liaisons, comme décrit dans À propos de l’état des interfaces WAN. Pour plus d’informations sur les options de configuration multi-WAN avancées, voir À propos des paramètres multi-WAN avancés. À propos de la table de routage de Firebox Lorsque vous sélectionnez l’option de configuration Table de routage, il convient de savoir comment examiner la table de routage enregistrée dans Firebox. Depuis WatchGuard System Manager, ouvrez Firebox System Manager, puis sélectionnez l’onglet Rapport d’état. Faites défiler le rapport jusqu’à ce que vous voyiez la table de routage IP des noyaux. Elle présente la table de routage interne de Firebox. Les informations du groupe ECMP apparaissent en dessous de la table de routage. Les routes de la table de routage interne de Firebox sont les suivantes : Les routes que Firebox obtient à partir des processus de routage dynamique exécutés sur Firebox (RIP, OSPF et BGP) si vous activez le routage dynamique. Les routes de réseau ou d’hôte permanents que vous ajoutez à Policy Manager depuis Réseau > Routes. Les routes que Firebox crée automatiquement lorsqu’il lit les informations de configuration du réseau dans Policy Manager depuis Réseau > Configuration. Si Firebox détecte qu’une interface externe est inactive, il supprime tous les routes statiques ou dynamiques qui la traversent. Cela est vrai si les hôtes définis dans l’onglet Contrôle des liaisons ne répondent plus et si la liaison Ethernet physique est inactive. Cas d’utilisation de l’option de table de routage Vous devez déterminer si l’option de table de routage est l’option multi-WAN qui répond le mieux à vos besoins. L’option de table de routage est appropriée si : Vous activez le routage dynamique (RIP, OSPF ou BGP) et si le routeur du réseau externe publie des routes vers Firebox pour que Firebox puisse apprendre les meilleurs routes vers des emplacements externes. Vous devez obtenir un accès à un site ou à un réseau externe via un route spécifique sur un réseau externe. Voici quelques exemples : o Vous disposez d’un circuit privé qui utilise un routeur de relais de trames sur le réseau externe. o Vous souhaitez que l’ensemble du trafic destiné à un emplacement externe traverse une interface externe particulière de Firebox. L’option de table de routage est le moyen le plus rapide d’équilibrer la charge entre plusieurs routes jusqu’à Internet. Une fois cette option configurée, l’algorithme ECMP gère toutes les décisions de connexion. Aucune configuration supplémentaire n’est nécessaire sur le périphérique Firebox. Guide de l’utilisateur 191 Configuration d’un réseau avec plusieurs interfaces externes Option de table de routage et équilibrage de charge Gardez à l’esprit que l’option de table de routage n’équilibre pas la charge de trafic sur les connexions à Internet. Firebox lit sa table de routage interne de haut en bas. Les routes statiques et dynamiques qui définissent une destination sont visibles en haut de la table de routage et prioritaires sur les routes par défaut. (Un route a pour destination 0.0.0.0/0.) Si, dans la table de routage de Firebox, il n’existe pas d’route dynamique ou statique particulier jusqu’à une destination, le trafic qui aurait dû être acheminé vers cette destination l’est entre les interfaces externes de Firebox à l’aide des algorithmes ECMP. Ceci peut engendrer une répartition à proportion égale des paquets entre les différentes interfaces externes. 192 WatchGuard System Manager Configuration d’un réseau avec plusieurs interfaces externes Configurer l’option de dépassement de capacité d’interface multi-WAN Avant de commencer Pour pouvoir utiliser la fonctionnalité de WAN multiple, plusieurs interfaces externes doivent être configurées. Si nécessaire, reportez-vous à la procédure décrite à la rubrique À propos de la configuration des interfaces externes. Veillez à bien comprendre les exigences et les concepts liés au multi-WAN et à l’option choisie, comme décrit dans les rubriques À propos de l’utilisation de plusieurs interfaces externes et À propos des options multi-WAN. Configurer les interfaces 1. Dans Policy Manager, sélectionnez Réseau > Configuration. 2. Sélectionnez l’onglet Multi-WAN. Dans la liste déroulante, sélectionnez Dépassement de capacité d’interface. Guide de l’utilisateur 193 Configuration d’un réseau avec plusieurs interfaces externes 3. Cliquez sur Configurer. Dans la colonne Inclure, activez la case à cocher correspondant à chaque interface que vous souhaitez utiliser dans la configuration. 4. Pour configurer le seuil de bande passante d’une interface externe, sélectionnez une interface dans la liste et cliquez sur Configurer. Dans la liste déroulante, sélectionnez Mbit/s ou Kbit/s comme unité de mesure pour le paramètre de bande passante, puis entrez la valeur seuil à appliquer à l’interface. Gardez toujours à l’esprit que Firebox calcule la bande passante en fonction de la plus grande valeur des paquets envoyés ou reçus. Cliquez sur OK. 5. Pour finaliser votre configuration, vous devez ajouter d’autres informations, comme décrit dans À propos de l’état des interfaces WAN. Pour plus d’informations sur les options de configuration multi-WAN avancées, voir À propos des paramètres multi-WAN avancés. 194 WatchGuard System Manager Configuration d’un réseau avec plusieurs interfaces externes Configurer l’option de basculement multi-WAN Avant de commencer Pour pouvoir utiliser la fonctionnalité de WAN multiple, plusieurs interfaces externes doivent être configurées. Si nécessaire, reportez-vous à la procédure décrite à la rubrique À propos de la configuration des interfaces externes. Vérifiez que vous comprenez les exigences et les concepts liés au multi-WAN et à la méthode choisie, comme décrit dans les rubriques À propos de l’utilisation de plusieurs interfaces externes et À propos des options multi-WAN. Configurer les interfaces 1. Dans Policy Manager, sélectionnez Réseau > Configuration. 2. Sélectionnez l’onglet Multi-WAN. Dans la liste déroulante, sélectionnez Basculement. Guide de l’utilisateur 195 Configuration d’un réseau avec plusieurs interfaces externes 3. Cliquez sur Configurer pour définir une interface externe principale et sélectionnez les interfaces externes de sauvegarde (secours). Dans la colonne Inclure, activez la case à cocher correspondant à chaque interface que vous souhaitez utiliser dans la configuration du basculement. Utilisez les boutons Monter et Descendre pour définir l’ordre du basculement. La première interface de la liste est l’interface principale. 4. Cliquez sur OK. 5. Pour finaliser votre configuration, vous devez ajouter des informations sur le contrôle des liaisons, comme décrit dans la rubrique À propos de l’état des interfaces WAN. Pour plus d’informations sur les options de configuration multi-WAN avancées, consultez À propos des paramètres multi-WAN avancés. 196 WatchGuard System Manager Configuration d’un réseau avec plusieurs interfaces externes Configurer l’option de tourniquet multi-WAN Avant de commencer Pour pouvoir utiliser l’option multi-WAN, plusieurs interfaces externes doivent être configurées. Si nécessaire, reportez-vous à la procédure décrite à la rubrique À propos de la configuration des interfaces externes. Veillez à bien comprendre les exigences et les concepts liés au mode multi-WAN et l’option que vous choisissez, comme décrit dans les rubriques À propos de l’utilisation de plusieurs interfaces externes et À propos des options multi-WAN. Configurer les interfaces 1. Dans Policy Manager, sélectionnez Réseau > Configuration. 2. Sélectionnez l’onglet Multi-WAN. Dans la liste déroulante, sélectionnez Tourniquet. Guide de l’utilisateur 197 Configuration d’un réseau avec plusieurs interfaces externes 3. En regard de la liste déroulante, cliquez sur Configurer. Dans la colonne Inclure, activez la case à cocher correspondant à chaque interface que vous souhaitez utiliser pour l’option de tourniquet. Il est inutile d’inclure toutes les interfaces externes. Par exemple, vous pourriez utiliser plusieurs interfaces pour le routage basé sur stratégie sans pour autant les inclure dans la configuration de l’option de tourniquet. 4. Si vous utilisez le logiciel Fireware Pro pour votre périphérique Firebox et souhaitez modifier les pondérations attribuées à une ou à plusieurs interfaces, cliquez sur Configurer. À l’aide du contrôle de valeur, définissez une pondération d’interface. Cette dernière détermine la charge (en pourcentage) du trafic acheminé via Firebox que cette interface supportera. Lorsque vous avez terminé, cliquez sur OK. Vous pouvez modifier la valeur par défaut de pondération (égale à 1) uniquement si vous disposez d’une licence Fireware Pro. Sinon, vous verrez s’afficher une erreur à la fermeture de la boîte de dialogue Configuration du réseau. 5. Cliquez sur OK. 6. Pour finaliser la configuration, vous devez ajouter des informations sur le contrôle des liaisons, comme décrit dans la rubrique Vérifier l’état des interfaces WAN. Pour plus d’informations sur les options de configuration multi-WAN avancées, consultez À propos des paramètres multi-WAN avancés. 198 WatchGuard System Manager Configuration d’un réseau avec plusieurs interfaces externes À propos des paramètres multi-WAN avancés À l’aide de l’onglet Avancé de la configuration multi-WAN, définissez vos préférences pour les connexions persistantes, le rétablissement et la notification d’événements multi-WAN. Certaines options de configuration ne sont pas disponibles pour toutes les options de configuration multi-WAN. Si un paramètre ne s’applique pas à l’option de configuration multi-WAN que vous avez sélectionnée, les champs correspondants ne peuvent pas être définis. À propos des connexions persistantes Une connexion persistante est une connexion qui continue à utiliser la même interface WAN pendant un intervalle de temps défini. Vous pouvez définir les paramètres des connexions persistantes si vous utilisez les options de tourniquet et de dépassement de capacité d’interface du mode multi-WAN. La persistance permet de s’assurer que si un paquet traverse une interface externe, tous les autres paquets suivants entre la paire d’adresses source et de destination passeront par cette même interface, pendant un intervalle de temps défini. Par défaut, les connexions persistantes utilisent la même interface pendant 3 minutes. Si une définition de stratégie contient un paramètre de connexion persistante, ce dernier peut remplacer toute autre durée de connexion persistante globale. Définir une durée de connexion persistante globale Utilisez l’onglet Avancé pour configurer une durée de connexion persistante dans le cadre de connexions TCP, UDP et d’autres connexions basées sur d’autres protocoles. Guide de l’utilisateur 199 Configuration d’un réseau avec plusieurs interfaces externes Si vous définissez une durée de connexion persistante dans une stratégie, vous pouvez remplacer la durée de connexion persistante globale. Pour plus d’informations, voir Ajouter une durée de connexion persistante à une stratégie. Définir l’action de restauration À l’aide de la liste déroulante de la zone Restauration pour les connexions actives, indiquez ce que Firebox doit faire si un événement de restauration s’est produit et que l’interface externe principale redevient active. Lorsque c’est le cas, toutes les nouvelles connexions sont immédiatement restaurées sur l’interface externe principale. Vous sélectionnez la méthode que vous souhaitez appliquer aux connexions actives au moment de la restauration. Sélectionnez Restauration immédiate pour que Firebox mettent fin immédiatement à l’ensemble des connexions existantes. Sélectionnez Restauration progressive afin que Firebox continue à utiliser l’interface de basculement pour les connexions existantes jusqu’à ce que chaque connexion soit terminée. Ce paramètre de restauration s’applique également à la configuration du routage basé sur stratégie que vous avez définie pour utiliser les interfaces externes de basculement. 200 WatchGuard System Manager Configuration d’un réseau avec plusieurs interfaces externes À propos de l’état des interfaces WAN Dans l’onglet Contrôle des liaisons, définissez la méthode que Firebox doit utiliser pour vérifier l’état de chaque interface WAN et la fréquence à laquelle il doit le faire. Si vous ne configurez pas de méthode, il envoie une requête ping à la passerelle par défaut de l’interface pour vérifier l’état de cette dernière. Si l’un des hôtes de contrôle des liaisons ne répond pas, il faut compter entre 40 et 60 secondes pour que Firebox mette à jour sa table de routage. Lorsque le même hôte de contrôle des liaisons recommence à répondre, il faut compter entre 1 et 60 secondes pour que Firebox mette à jour sa table de routage. Ce processus est plus long que si Firebox détecte une déconnexion physique du port Ethernet. En effet, dès qu’il en détecte une, Firebox met immédiatement à jour sa table de routage. Lorsque Firebox détecte que la connexion Ethernet est de nouveau rétablie, il met à jour sa table de routage dans les 20 secondes qui suivent. Définir un hôte de contrôle des liaisons 1. Sélectionnez l’interface dans la colonne Interface externe. Les informations sous Paramètres changent dynamiquement de manière à afficher les paramètres actuels de cette interface. 2. Activez la case à cocher Ping pour ajouter une adresse IP ou un nom de domaine auquel/à laquelle Firebox enverra une requête ping pour vérifier l’état de leur interface. Éventuellement, activez la case à cocher TCP pour ajouter l’adresse IP ou le nom de domaine d’un ordinateur avec lequel Firebox peut négocier une liaison TCP pour vérifier l’état de l’interface WAN. Activez la case à cocher La requête ping et la liaison TCP doivent réussir pour définir l’interface comme active pour que l’interface soit considérée comme active, à moins qu’à la fois la requête ping et la négociation de la liaison TCP échouent. Guide de l’utilisateur 201 Configuration d’un réseau avec plusieurs interfaces externes Sachez que si l’une des interfaces externes est un pair dans une configuration High Availability, tout basculement multi-WAN dû à un échec de connexion à un hôte de contrôle de liaisons ne déclenche pas de basculement High Availability. Ce basculement a lieu uniquement lorsque l’interface physique est inactive ou ne répond pas. Si vous ajoutez un nom de domaine auquel Firebox doit envoyer des requêtes ping et que l’une des interfaces externes de Firebox a une adresse IP statique, vous devez configurer un serveur DNS, de la manière décrite dans Ajouter des adresses de serveurs WINS et DNS. 3. Utilisez le paramètre Intervalle d’exploration pour configurer la fréquence à laquelle Firebox doit vérifier l’état de l’interface. Par défaut, Firebox le vérifie toutes les 15 secondes. 4. Utilisez le paramètre Désactiver après pour modifier le nombre d’échecs d’exploration consécutifs qui doivent survenir avant le déclenchement d’un basculement. Par défaut, après trois échecs d’exploration, Firebox envoie le trafic à l’interface suivante définie dans la liste de basculement multi-WAN. 5. Utilisez le paramètre Réactiver après pour modifier le nombre de réussites d’exploration consécutives d’une interface avant qu’une interface inactive ne redevienne active. 6. Répétez ces étapes pour chaque interface externe. 7. Cliquez sur OK. Enregistrez vos modifications dans Firebox. 202 WatchGuard System Manager 11 À propos de la traduction d’adresses réseau statique À propos de la traduction d’adresses réseau La traduction d’adresses réseau ou NAT (Network Address Translation) représente l’une des différentes formes de traduction de ports et d’adresses IP. Dans sa forme la plus rudimentaire, NAT remplace la valeur de l’adresse IP d’un paquet par une autre valeur. Le principal objectif de NAT consiste à augmenter le nombre d’ordinateurs pouvant fonctionner à partir d’une seule adresse IP routable et à masquer les adresses IP privées des hôtes sur le réseau local. Lorsque vous utilisez NAT, l’adresse IP source est modifiée sur tous les paquets que vous envoyez. Vous pouvez appliquer NAT en tant que paramètre général de pare-feu ou en tant que paramètre dans une stratégie. Sachez que les paramètres NAT de pare-feu ne s’appliquent pas aux stratégies BOVPN et Mobile VPN. Si vous disposez de Fireware Pro, vous pouvez utiliser la fonctionnalité Équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses réseau statique. Cette fonctionnalité est conçue pour augmenter l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics protégés par Firebox. Grâce à l’équilibrage de charge côté serveur, vous pouvez faire en sorte que Firebox contrôle le nombre de sessions établies vers un maximum de dix serveurs pour chaque stratégie de pare-feu que vous configurez. Firebox contrôle la charge en fonction du nombre de sessions en cours sur chaque serveur. Aucune mesure ou comparaison de la bande passante utilisée par chaque serveur n’est effectuée par Firebox. Pour plus d’informations sur l’équilibrage de charge côté serveur, voir À propos de l’équilibrage de charge côté serveur. Guide de l’utilisateur 203 À propos de la traduction d’adresses réseau statique Types de NAT Firebox prend en charge trois différentes formes de NAT. Votre configuration peut utiliser plusieurs types de NAT en même temps. Vous appliquez certains types de NAT à l’ensemble du trafic de pare-feu, et les autres types en tant que paramètre d’une stratégie. Traduction d’adresses réseau dynamique La traduction d’adresses réseau dynamique est également appelée « mascarade IP ». Firebox peut appliquer son adresse IP publique aux paquets sortants pour toutes les connexions ou pour des services spécifiés. Ceci permet de masquer au réseau externe l’adresse IP réelle de l’ordinateur qui est la source du paquet. La traduction d’adresses réseau dynamique sert généralement à masquer les adresses IP des hôtes internes lorsqu’ils accèdent aux services publics. Pour plus d’informations, voir À propos de la traduction d’adresses réseau dynamique. Traduction d’adresses réseau statique La traduction d’adresses réseau statique est également désignée sous le terme de « transfert de port » ; vous la configurez en même temps que les stratégies. La traduction d’adresses réseau statique est une règle NAT de port à hôte. Un hôte envoie un paquet à partir du réseau externe à un port sur une interface externe. La traduction d’adresses réseau statique change l’adresse IP en une adresse IP et en un port se trouvant derrière le pare-feu. Pour plus d’informations, voir À propos de la traduction d’adresses réseau statique. NAT un à un NAT un à un fait correspondre les adresse IP d’un réseau aux adresses IP d’un autre réseau. Ce type de NAT est généralement utilisé pour fournir aux ordinateurs externes un accès à vos serveurs internes, publics. Pour plus d’informations, voir À propos de NAT un à un. À propos de la traduction d’adresses réseau dynamique La traduction d’adresses réseau dynamique est le type de règle NAT le plus couramment utilisé. Elle consiste à remplacer l’adresse IP source d’une connexion sortante par l’adresse IP publique de Firebox. À l’extérieur de Firebox, vous ne voyez que l’adresse IP de l’interface externe de Firebox sur les paquets sortants. De nombreux ordinateurs peuvent se connecter à Internet à partir d’une adresse IP publique. La traduction d’adresses réseau dynamique offre davantage de sécurité aux hôtes internes qui utilisent Internet, car elle masque les adresses IP des hôtes sur le réseau. Avec la traduction d’adresses réseau dynamique, toutes les connexions doivent démarrer derrière Firebox. Lorsque Firebox est configuré pour la traduction d’adresses réseau dynamique, les hôtes malveillants ne peuvent pas initier de connexions aux ordinateurs derrière Firebox. Dans la plupart des réseaux, la stratégie de sécurité recommandée consiste à appliquer NAT à tous les paquets sortants. Avec Fireware, la règle de traduction d’adresses réseau dynamique est activée par défaut dans la boîte de dialogue Réseau > NAT. Elle est également activée par défaut dans chaque stratégie que vous créez. Vous pouvez remplacer le paramètre de pare-feu de la traduction d’adresses réseau dynamique dans chacune de vos stratégies, comme cela est indiqué dans la rubrique Appliquer des règles NAT. 204 WatchGuard System Manager À propos de la traduction d’adresses réseau statique Ajouter des entrées de traduction d’adresses réseau dynamique pour le pare-feu La configuration par défaut de la traduction d’adresses réseau dynamique active cette dernière à partir de toutes les adresses IP privées vers le réseau externe. Les entrées par défaut sont les suivantes : 192.168.0.0/16 - Any-External 172.16.0.0/12 - Any-External 10.0.0.0/8 - Any-External Ces trois adresses réseau qui correspondent aux réseaux privés réservés par le groupe de travail IETF (Internet Engineering Task Force) sont généralement utilisées pour les adresses IP sur les réseaux locaux. Pour activer la traduction d’adresses réseau dynamique pour des adresses IP privées autres que celles-ci, vous devez leur ajouter une entrée. Firebox applique les règles de traduction d’adresses réseau dynamique dans l’ordre dans lequel elles apparaissent dans la liste Entrées de traduction d’adresses réseau dynamique. Nous vous recommandons de placer les règles dans un ordre correspondant au volume de trafic auquel ces règles s’appliquent. 1. Dans Policy Manager, sélectionnez Réseau > NAT. La boîte de dialogue Configuration de NAT s’affiche. Guide de l’utilisateur 205 À propos de la traduction d’adresses réseau statique 2. Dans l’onglet Traduction d’adresses réseau dynamique de la boîte de dialogue Configuration de NAT, cliquez sur Ajouter. La boîte de dialogue Ajouter la traduction d’adresses réseau dynamique s’affiche. 3. Dans liste déroulante De, sélectionnez la source des paquets sortants. Par exemple, utilisez l’alias de l’hôte approuvé pour activer NAT à partir de l’ensemble du réseau approuvé. Pour plus d’informations sur les alias intégrés à Firebox, voir À propos des alias. 4. Dans la liste déroulante À, sélectionnez la destination des paquets sortants. 5. Pour ajouter une adresse hôte ou IP réseau, cliquez sur . Sélectionnez le type d’adresse dans la liste déroulante. Tapez l’adresse IP ou la plage d’adresses IP. Tapez une adresse réseau en utilisant les barres obliques. Lorsque vous tapez une adresse IP, tapez tous les nombres et les points. N’utilisez ni la touche de tabulation ni la touche de direction. 6. Cliquez sur OK. La nouvelle entrée s’affiche dans la liste Entrées de traduction d’adresses réseau dynamique. Vous ne pouvez pas modifier une entrée de traduction d’adresses réseau dynamique existante. En cas de modification nécessaire, supprimez l’entrée à l’aide du bouton Supprimer. Cliquez sur Ajouter pour l’entrer de nouveau. Réorganiser les entrées de traduction d’adresses réseau dynamique Pour modifier l’ordre des entrées de traduction d’adresses réseau dynamique, sélectionnez une entrée pour la modifier. Cliquez ensuite sur Monter ou sur Descendre. 206 WatchGuard System Manager À propos de la traduction d’adresses réseau statique Configurer la traduction d’adresses réseau dynamique pour une stratégie Avec ce type de NAT, Firebox fait correspondre des adresses IP privées avec des adresses IP publiques. L’activation de la traduction d’adresses réseau dynamique s’effectue dans la configuration par défaut de chaque stratégie. Afin que la traduction d’adresses réseau dynamique pour une stratégie fonctionne correctement, utilisez l’onglet Stratégie de la boîte de dialogue Modifier les propriétés de stratégie pour vous assurer que la stratégie est configurée de sorte à n’autoriser le trafic sortant que par une seule interface Firebox. Les règles NAT un à un ont une priorité plus élevée que les règles de traduction d’adresses réseau dynamique. 1. À partir de Policy Manager, cliquez sur une stratégie avec le bouton droit de la souris et sélectionnez Modifier la stratégie. La boîte de dialogue Modifier les propriétés de stratégie apparaît. 2. Cliquez sur l’onglet Avancé. 3. Sélectionnez Utiliser les paramètres NAT du réseau pour employer les règles de traduction d’adresses réseau dynamique définies pour Firebox. Sélectionnez L’ensemble du trafic de cette stratégie pour appliquer NAT à l’ensemble du trafic de cette stratégie. Guide de l’utilisateur 207 À propos de la traduction d’adresses réseau statique 4. Si vous avez sélectionné L’ensemble du trafic de cette stratégie, vous pouvez définir une adresse IP source de traduction d’adresses réseau dynamique pour toutes les stratégies qui utilisent la traduction d’adresses réseau dynamique. Pour ce faire, activez la case à cocher Définir l’IP source. Ceci permet de garantir que tout le trafic qui fait appel à cette stratégie affiche une adresse spécifiée provenant de votre plage d’adresses IP publiques ou externes comme étant la source. Cette procédure s’effectue généralement pour forcer le trafic SMTP sortant à afficher l’adresse de l’enregistrement MX de votre domaine lorsque l’adresse IP sur l’interface externe de Firebox est différente de l’adresse IP de l’enregistrement MX. Cette adresse source doit être sur le même sous-réseau que l’interface que vous avez spécifiée pour le trafic sortant. Si vous n’activez pas la case à cocher Définir l’IP source, Firebox remplace l’adresse IP source de chaque paquet par l’adresse IP de l’interface émettrice du paquet. Nous vous recommandons de ne pas utiliser l’option Définir l’IP source si plusieurs interfaces externes sont configurées sur Firebox. 5. Cliquez sur OK. Enregistrez les modifications dans Firebox. Désactiver la traduction d’adresses réseau dynamique pour une stratégie 1. À partir de Policy Manager, cliquez sur une stratégie avec le bouton droit de la souris et sélectionnez Modifier la stratégie. La boîte de dialogue Modifier les propriétés de stratégie apparaît. 2. Cliquez sur l’onglet Avancé. 3. Désactivez la case à cocher située en regard de Traduction d’adresses réseau dynamique pour désactiver NAT pour le trafic contrôlé par cette stratégie. 4. Cliquez sur OK. Enregistrez le fichier de configuration. 208 WatchGuard System Manager À propos de la traduction d’adresses réseau statique À propos de NAT un à un Lorsque vous activez NAT un à un, Firebox modifie et achemine tous les paquets entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses. Une règle NAT un à un est toujours prioritaire sur une règle de traduction d’adresses réseau dynamique. La règle NAT un à un est fréquemment utilisée en présence d’un groupe de serveurs internes dont les adresses IP privées doivent être rendues publiques. Vous pouvez utiliser NAT un à un pour faire correspondre des adresses IP publiques aux serveurs internes. Il est inutile de modifier l’adresse IP de vos serveurs internes. Dans un groupe de serveurs identiques (par exemple, un groupe de serveurs de messagerie), il est plus simple de configurer NAT un à un que la traduction d’adresses réseau statique. Voici un exemple de configuration de NAT un à un : La Société ABC possède un groupe de cinq serveurs de messagerie comportant des adresses privées situés derrière l’interface approuvée de son périphérique Firebox. Ces adresses sont les suivantes : 10.1.1.1 10.1.1.2 10.1.1.3 10.1.1.4 10.1.1.5 La Société ABC sélectionne cinq adresses IP publiques à partir de la même adresse réseau que l’interface externe de son périphérique Firebox, puis crée des enregistrements DNS pour la résolution des adresses IP des serveurs de messagerie du domaine. Ces adresses sont les suivantes : 50.1.1.1 50.1.1.2 50.1.1.3 50.1.1.4 50.1.1.5 La Société ABC configure une règle NAT un à un pour ses serveurs de messagerie. La règle NAT un à un génère une relation statique, bidirectionnelle entre les paires d’adresses IP correspondantes. La relation a l’aspect suivant : 10.1.1.1 <--> 50.1.1.1 10.1.1.2 <--> 50.1.1.2 10.1.1.3 <--> 50.1.1.3 10.1.1.4 <--> 50.1.1.4 10.1.1.5 <--> 50.1.1.5 Une fois la règle NAT un à un appliquée, Firebox crée le routage bidirectionnel et la relation NAT entre le pool d’adresses IP privées et le pool d’adresses publiques. Guide de l’utilisateur 209 À propos de la traduction d’adresses réseau statique Configurer NAT un à un pour un pare-feu 1. Dans Policy Manager, cliquez sur Réseau > NAT. Cliquez sur l’onglet NAT un à un. 2. Cliquez sur Ajouter. La boîte de dialogue Mappage 1-1 s’affiche. 3. Dans la liste déroulante Type de Mappage, sélectionnez Adresse IP unique, Plage IP ou Sous-réseau IP selon que vous souhaitez établir une correspondance avec un seul hôte, une plage d’hôtes ou un sous-réseau. Si vous sélectionnez Plage IP ou Sous-réseau IP, spécifiez un maximum de 256 adresses IP dans la plage ou le sous-réseau. Si vous possédez plus de 256 adresses IP auxquelles vous souhaitez appliquer la règle NAT un à un, il vous faudra créer plusieurs règles. 4. Indiquez toutes les informations dans la section Configuration de la boîte de dialogue. Pour plus d’informations sur l’utilisation de ces champs, voir la section « Définir une règle NAT un à un », plus loin dans cette rubrique. Cliquez sur OK. 5. Lorsque vous avez terminé, cliquez sur OK pour fermer la boîte de dialogue Configuration de NAT. Enregistrez les modifications dans Firebox. 6. Après avoir configuré une règle NAT un à un globale, configurez les adresses IP de base NAT dans les stratégies appropriées. Dans l’exemple indiqué ci-dessus, nous devons configurer notre stratégie SMTP pour autoriser le trafic SMTP à partir de Tout jusqu’à 50.50.50.55-10.0.1.55. Pour vous connecter à un ordinateur situé sur une autre interface Firebox qui fait appel à la règle NAT un à un, vous devez utiliser l’adresse IP (base NAT) privée de cet ordinateur. Si cela pose un problème, vous pouvez désactiver la règle NAT un à un pour utiliser la traduction d’adresses réseau statique. 210 WatchGuard System Manager À propos de la traduction d’adresses réseau statique Définir une règle NAT un à un Dans chaque règle NAT un à un, vous pouvez configurer un hôte, une plage d’hôtes ou un sous-réseau. Vous devez également configurer : Interface Nom de l’interface Firebox Ethernet sur laquelle la règle NAT un à un est appliquée. Firebox appliquera la règle NAT un à un aux paquets envoyés à l’interface et depuis cette dernière. Dans notre exemple ci-dessus, la règle est appliquée à l’interface externe. Base NAT Lorsque vous configurez une règle NAT un à un, vous configurez cette dernière avec une plage d’adresses IP « de » et une plage d’adresses IP « à ». La base NAT est la première adresse IP disponible de la plage d’adresses « à ». L’adresse IP de base NAT est l’adresse qui devient une adresse IP de base réelle soumise à la règle NAT un à un. Vous ne pouvez pas utiliser l’adresse IP de l’une de vos interfaces Firebox en tant que base NAT. Dans notre exemple ci-dessus, la base NAT est 50.50.50.55. Base réelle Lors de la configuration d’une règle NAT un à un, vous configurez cette dernière avec une plage d’adresses IP « de » et une plage d’adresses IP « à ». La base réelle est la première adresse IP disponible de la plage d’adresses « de ». Il s’agit de l’adresse IP attribuée à l’interface Ethernet physique de l’ordinateur auquel vous appliquez la stratégie NAT un à un. Lorsque les paquets provenant d’un ordinateur associé à une adresse de base réelle transitent par l’interface spécifiée, l’action un à un s’applique. Dans notre exemple ci-dessus, la base réelle est 10.0.1.50. Nombre d’hôtes soumis à la règle NAT (pour plages IP uniquement) Nombre d’adresses IP d’une plage auquel s’applique la règle NAT un à un. La première adresse IP de base réelle est traduite en première adresse IP de base NAT lors de l’application de la règle NAT un à un. La deuxième adresse IP de base réelle de la plage est traduite en deuxième adresse IP de base NAT lors de l’application de la règle NAT un à un. Et ainsi de suite, jusqu’à ce que le « Nombre d’hôtes soumis à la règle NAT » soit atteint. Dans notre exemple ci-dessus, le nombre d’hôtes auquel appliquer la règle NAT est cinq. Vous pouvez également faire appel à la règle NAT un à un lors de la création d’un tunnel VPN entre deux réseaux qui utilisent une même adresse réseau privée. En effet, lorsque vous créez un tunnel VPN, les réseaux à chaque extrémité du tunnel doivent avoir différentes plages d’adresses réseau. Si la plage d’adresses réseau sur le réseau distant est la même que sur le réseau local, vous pouvez configurer les deux passerelles pour qu’elles utilisent la règle NAT un à un. Ensuite, vous pouvez créer le tunnel VPN sans modifier les adresses IP à une extrémité du tunnel. Vous devez configurer la règle NAT un à un pour un tunnel VPN lors de la configuration du tunnel VPN et non dans la boîte de dialogue Réseau > NAT. Guide de l’utilisateur 211 À propos de la traduction d’adresses réseau statique Configurer la règle NAT un à un pour une stratégie Avec ce type de NAT, Firebox utilise les plages IP publiques et privées que vous avez définies lorsque vous avez configuré la règle NAT un à un globale, mais les règles s’appliquent à une stratégie individuelle. L’activation de la règle NAT un à un s’effectue dans la configuration par défaut de chaque stratégie. Si le trafic correspond à la fois à une stratégie NAT un à un et une stratégie de traduction d’addresses réseau dynamique, c’est la stratégie NAT un à un qui est prioritaire. Activation de la règle NAT un à un pour une stratégie L’activation de la règle NAT un à un pour une stratégie étant la valeur par défaut, il est inutile de l’activer. Désactivation de la règle NAT un à un pour une stratégie 1. À partir de Policy Manager, cliquez sur une stratégie avec le bouton droit de la souris et sélectionnez Modifier la stratégie. La boîte de dialogue Modifier les propriétés de stratégie apparaît. 2. Cliquez sur l’onglet Avancé. 3. Désactivez la case à cocher NAT un à un afin de désactiver NAT un à un pour le trafic contrôlé par cette stratégie. 4. Cliquez sur OK. Enregistrez le fichier de configuration. À propos de la traduction d’adresses réseau statique La traduction d’adresses réseau statique, également connue sous le nom de transfert de port, est une règle NAT de port à hôte. Un hôte envoie un paquet à partir du réseau externe à un port sur une interface externe. La traduction d’adresses réseau statique change l’adresse IP en une adresse IP et en un port se trouvant derrière le pare-feu. Si une application logicielle utilise plusieurs ports et que ces ports sont sélectionnés de façon dynamique, utilisez NAT un à un ou vérifiez si un proxy sur Firebox pourra gérer ce type de trafic. Lorsque vous utilisez la traduction d’adresses réseau statique, vous utilisez en fait une adresse IP externe de votre périphérique Firebox et non l’adresse IP d’un serveur public. Ceci est possible, car vous l’avez choisi ou parce que votre serveur public ne possède pas d’adresse IP publique. Par exemple, vous pouvez placer votre serveur de messagerie SMTP derrière Firebox avec une adresse IP privée et configurer la traduction d’adresses réseau statique dans votre stratégie SMTP. Firebox reçoit les connexions sur le port 25 et s’assure que tout le trafic SMTP est envoyé au serveur SMTP réel situé derrière lui. En raison de son fonctionnement, la traduction d’adresses réseau statique n’est disponible que pour les stratégies qui utilisent un port TCP ou UDP spécifié. Les stratégies qui utilisent un autre protocole ne peuvent pas faire appel à la traduction d’adresses réseau statique pour le trafic entrant. Si une de vos stratégies utilise un protocole autre que TCP ou UDP, le bouton NAT de la boîte de dialogue Propriétés de la stratégie de cette stratégie est désactivé. Vous ne pouvez pas non plus utiliser la traduction d’adresses réseau statique avec la stratégie Tout. 212 WatchGuard System Manager À propos de la traduction d’adresses réseau statique Configurer la traduction d’adresses réseau statique 1. Double-cliquez sur une icône de stratégie dans la fenêtre Policy Manager. 2. Dans la liste déroulante Connexions, sélectionnez Autorisé. Pour utiliser la traduction d’adresses réseau statique, la stratégie doit laisser passer le trafic entrant. 3. Sous la liste À, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 4. Cliquez sur Ajouter NAT. La boîte de dialogue Ajouter la traduction d’adresses réseau statique/l’équilibrage de charge côté serveur s’affiche. En raison de son fonctionnement, la traduction d’adresses réseau statique n’est disponible que pour les stratégies qui utilisent un port spécifié, parmi lesquels TCP et UDP. Une stratégie faisant appel à un autre protocole ne peut pas utiliser la traduction d’adresses réseau statique pour le trafic entrant. Le bouton NAT de la boîte de dialogue Propriétés de cette stratégie ne fonctionne pas. Vous ne pouvez pas non plus utiliser la traduction d’adresses réseau statique avec la stratégie Tout. 5. Assurez-vous que la valeur de la liste déroulante Type est Traduction d’adresses réseau statique. 6. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP publique à utiliser pour ce service. 7. Tapez l’adresse IP interne. L’adresse IP interne représente la destination sur le réseau approuvé ou facultatif. 8. Si nécessaire, activez la case à cocher Configurer le port interne sur un port autre que celui de cette stratégie. Cette option active la traduction d’adresses de port (PAT, Port Address Translation). De manière générale, vous n’utilisez pas cette fonctionnalité. Elle vous permet de modifier la destination des paquets non seulement vers un hôte interne spécifié, mais également vers un autre port. Si vous activez cette case à cocher, tapez le numéro de port ou utilisez les boutons fléchés de la zone Port interne. 9. Cliquez sur OK pour fermer la boîte de dialogue Ajouter la traduction d’adresses réseau statique. L’route de la traduction d’adresses réseau statique s’affiche dans la liste Membres et adresses. 10. Cliquez sur OK pour fermer la boîte de dialogue Ajouter une adresse. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de la stratégie. Guide de l’utilisateur 213 À propos de la traduction d’adresses réseau statique À propos de l’équilibrage de charge côté serveur Vous devez disposer de Fireware Pro pour utiliser la fonctionnalité d’équilibrage de charge côté serveur. La fonctionnalité d’équilibrage de charge côté serveur dans Fireware Pro est conçue pour augmenter l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics. Grâce à l’équilibrage de charge côté serveur, vous pouvez faire en sorte que Firebox contrôle le nombre de sessions établies vers un maximum de 10 serveurs pour chaque stratégie de pare-feu que vous configurez. Firebox contrôle la charge en fonction du nombre de sessions en cours sur chaque serveur. Aucune mesure ou comparaison de la bande passante utilisée par chaque serveur n’est effectuée par Firebox. Vous configurez l’équilibrage de charge côté serveur dans le cadre d’une règle de traduction d’adresses réseau statique. Firebox peut équilibrer les connexions parmi vos serveurs à l’aide de deux algorithmes différents. Lorsque vous configurez l’équilibrage de charge côté serveur, vous devez choisir l’algorithme que vous souhaitez que Firebox applique. Tourniquet Si vous sélectionnez cette option, Firebox distribue les sessions entrantes parmi les serveurs que vous spécifiez dans la stratégie, à tour de rôle. La première connexion est envoyée au premier serveur spécifié dans la stratégie. La connexion suivante est envoyée au serveur suivant dans la stratégie, et ainsi de suite. Connexion minimale Si vous sélectionnez cette option, Firebox envoie chaque nouvelle session au serveur de la liste présentant à ce moment-là le moins de connexions ouvertes à Firebox. Firebox ne peut pas déterminer le nombre de connexions ouvertes du serveur sur d’autres interfaces. Si vous le souhaitez, vous pouvez appliquer des pondérations à vos serveurs dans la configuration de l’équilibrage de charge côté serveur afin de garantir que la charge la plus lourde est attribuée à vos serveurs les plus puissants. Par défaut, chaque interface présente une pondération de 1. La pondération désigne la proportion de charge que Firebox envoie à un serveur. Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que Firebox envoie à ce serveur par rapport à un serveur doté d’une pondération de 1. Lors de la configuration de l’équilibrage de charge côté serveur, il est important de savoir que : 214 Vous pouvez configurer l’équilibrage de charge côté serveur pour toutes les stratégies auxquelles vous appliquez la traduction d’adresses réseau statique. Si vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous ne pouvez pas définir un routage basé sur stratégie ou d’autres règles NAT dans la même stratégie. Lorsque vous appliquez l’équilibrage de charge côté serveur à une stratégie, vous pouvez ajouter jusqu’à 10 serveurs à la stratégie. Si vous utilisez la fonctionnalité High Availability et l’équilibrage de charge côté serveur, aucune synchronisation en temps réel ne se produit en cas de basculement. Dans ce cas, le périphérique Firebox secondaire envoie des connexions à tous les serveurs de la liste d’équilibrage de charge côté serveur pour déterminer ceux qui sont disponibles. Ensuite, il applique l’algorithme d’équilibrage de charge côté serveur à tous les serveurs disponibles. WatchGuard System Manager À propos de la traduction d’adresses réseau statique Configurer l’équilibrage de charge côté serveur 1. Dans Policy Manager, recherchez la stratégie à laquelle vous souhaitez appliquer l’équilibrage de charge côté serveur et double-cliquez dessus afin de l’ouvrir pour la modifier. Ou affichez la stratégie en surbrillance et sélectionnez Edition > Modifier la stratégie. Pour créer une stratégie et activer l’équilibrage de charge côté serveur dans cette stratégie, sélectionnez Edition > Ajouter une stratégie. Guide de l’utilisateur 215 À propos de la traduction d’adresses réseau statique 2. Sous le champ À, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 3. Cliquez sur Ajouter NAT. La boîte de dialogue Ajouter la traduction d’adresses réseau statique/l’équilibrage de charge côté serveur s’affiche. 216 WatchGuard System Manager À propos de la traduction d’adresses réseau statique 4. Dans la liste déroulante Type, sélectionnez Équilibrage de charge côté serveur. 5. Dans la liste déroulante Adresse IP externe, sélectionnez l’adresse IP externe ou l’alias que vous souhaitez utiliser dans cette stratégie. Par exemple, vous pouvez faire en sorte que Firebox applique l’équilibrage de charge côté serveur à cette stratégie pour les paquets reçus uniquement sur une seule adresse IP externe. Firebox peut également appliquer l’équilibrage de charge côté serveur pour les paquets reçus sur toutes les adresses IP externes, si vous sélectionnez l’alias Any-External. 6. Dans la liste déroulante Méthode, sélectionnez l’algorithme que Firebox doit utiliser pour l’équilibrage de charge côté serveur. Vous avez le choix entre Tourniquet et Connexion minimale. 7. Cliquez sur Ajouter pour ajouter les adresses IP de vos serveurs internes pour cette stratégie. Vous pouvez ajouter un maximum de 10 serveurs dans une stratégie. Vous pouvez également ajouter une pondération au serveur. Par défaut, chaque interface présente une pondération de 1. La pondération désigne la proportion de charge que Firebox envoie à un serveur. Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que Firebox envoie à ce serveur par rapport à un serveur doté d’une pondération de 1. Guide de l’utilisateur 217 À propos de la traduction d’adresses réseau statique 8. Une connexion persistante est une connexion qui continue à utiliser un même serveur pendant une durée définie. La persistance garantit que tous les paquets situés entre une paire d’adresses source et de destination sont envoyés à un même serveur pendant une durée que vous spécifiez. Activez la case à cocher Activer la connexion persistante si vous souhaitez configurer des connexions persistantes pour vos serveurs internes. 9. Cliquez sur OK. Enregistrez le fichier de configuration. 218 WatchGuard System Manager 12 Authentification À propos de l’authentification des utilisateurs L’authentification des utilisateurs est la procédure permettant d’identifier si un utilisateur est bien celui ou celle qu’il déclare être. Sur Firebox, l’utilisation des mots de passe permet d’associer un nom d’utilisateur à une adresse IP. La gestion des connexions via Firebox par l’administrateur Firebox s’en trouve facilitée. L’authentification permet aux utilisateurs de se connecter au réseau à partir de n’importe quel ordinateur en n’ayant accès qu’aux seuls protocoles et ports pour lesquels ils détiennent une autorisation. Toutes les connexions établies à partir de cette adresse IP transmettent le nom de la session lors de l’authentification de l’utilisateur. Vous pouvez indiquer des utilisateurs et des groupes dans vos stratégies de pare-feu auxquels vous donnerez accès aux ressources réseau spécifiées. Ceci peut être utile dans les environnements de réseau où différents utilisateurs partagent un même ordinateur ou une même adresse IP. La fonctionnalité d’authentification des utilisateurs de WatchGuard associe un nom d’utilisateur à une adresse IP spécifique, ce qui vous permet d’authentifier les connexions d’un utilisateur via Firebox et d’en assurer le suivi. Avec Firebox, la question fondamentale qui se pose lors de chaque connexion est « Dois-je autoriser le trafic de la source X vers la destination Y ? ». Firebox permet aussi d’y répondre. La fonctionnalité d’authentification de WatchGuard dépend de la stabilité de la relation entre l’utilisateur de l’ordinateur et l’adresse IP de cet ordinateur pendant la durée d’authentification de cet utilisateur auprès de Firebox. Dans la plupart des environnements, la relation entre une adresse IP et son utilisateur est suffisamment stable pour permettre d’authentifier le trafic généré par cet utilisateur. Les environnements dans lesquels l’association d’un utilisateur et d’une adresse IP n’est pas constante, tels que les bornes ou les réseaux centrés sur un terminal Terminal Server, ne sont généralement pas adaptés à la fonctionnalité d’authentification des utilisateurs qui risque de ne pas être opérationnelle. WatchGuard prend actuellement en charge l’authentification, la gestion des comptes et le contrôle des accès dans nos pare-feux en supposant une association stable entre adresses IP et utilisateurs. Nous prenons également en charge l’authentification auprès d’un domaine Active Directory via Single SignOn ainsi que d’autres serveurs d’authentification répandus. De plus, nous prenons en charge les paramètres d’inactivité et les limites de temps imposées aux sessions. Ces contrôles restreignent la durée pendant laquelle une adresse IP est autorisée à passer des données via Firebox avant que l’utilisateur ne doive entrer de nouveau son mot de passe. Si vous utilisez une liste blanche pour contrôler l’accès SSO et si vous gérez les délais d’inactivité, les délais d’expiration de sessions et les utilisateurs autorisés à s’authentifier, vous améliorerez de façon significative le contrôle de l’authentification, de la gestion des comptes et du contrôle des accès. Guide de l’utilisateur 219 Authentification Comment les utilisateurs s’authentifient Un serveur HTTPS est opérationnel sur Firebox pour accepter les requêtes d’authentification. Pour s’authentifier, l’utilisateur doit se connecter à la page Web d’authentification de Firebox. L’adresse est la suivante : https://Adresse IP d’une interface Firebox : 4100/ ou https://Nom d’hôte de Firebox :4100 Un formulaire d’authentification Web apparaît. L’utilisateur doit entrer son nom d’utilisateur et son mot de passe et, si plusieurs types d’authentification sont configurés, sélectionner le serveur d’authentification dans la liste déroulante. Firebox envoie le nom et le mot de passe au serveur d’authentification à l’aide du protocole PAP (Password Authentication Protocol). Une fois l’utilisateur authentifié, il est autorisé à utiliser les ressources du réseau approuvé. Étant donné que Fireware utilise un certificat auto-signé, un avertissement de sécurité s’affiche dans votre navigateur Web lors de l’authentification. Vous pouvez l’ignorer. Pour supprimer cet avertissement, vous pouvez utiliser un certificat tiers ou créer un certificat personnalisé qui correspond à l’IP et au nom de domaine utilisés pour l’authentification. Pour plus d’informations, voir Configurer le certificat de serveur Web pour l’authentification de Firebox. Fermeture d’une session Pour fermer une session authentifiée avant l’expiration du délai, l’utilisateur peut cliquer sur Déconnexion dans la page Web d’authentification. Si elle est fermée, l’utilisateur doit la réouvrir pour se déconnecter. Pour empêcher un utilisateur de s’authentifier, l’administrateur doit désactiver le compte de cet utilisateur sur le serveur d’authentification. Fermeture d’une session utilisateur par l’administrateur L’administrateur peut fermer la session d’un utilisateur en cliquant avec le bouton droit de la souris sur le nom de l’utilisateur dans l’onglet Utilisateurs authentifiés de Firebox System Manager. Pour plus d’informations, voir Afficher les utilisateurs authentifiés. 220 WatchGuard System Manager Authentification Utiliser l’authentification pour restreindre le trafic entrant L’une des fonctions de l’outil d’authentification est d’authentifier le trafic sortant. Vous pouvez également l’utiliser pour limiter le trafic réseau entrant. Lorsque vous disposez d’un compte sur Firebox, vous pouvez toujours vous authentifier auprès de Firebox à partir d’un ordinateur externe à Firebox. Par exemple, vous pouvez entrer l’adresse suivante dans votre navigateur à domicile : https://Adresse IP d’interface Firebox externe : 4100/ Après vous être authentifié, utilisez les stratégies configurées pour vous sur Firebox. Utilisez cette procédure pour permettre à un utilisateur distant de s’authentifier à partir d’un réseau externe. Cela permet à la personne d’utiliser des ressources via Firebox. 1. Dans Policy Manager, double-cliquez sur l’icône de stratégie Authentification WatchGuard. Cette stratégie s’affiche lorsque vous avez ajouté un utilisateur ou un groupe à la configuration d’une stratégie. Il vous est conseillé d’être prudent lorsque vous modifiez une stratégie configurée automatiquement. 2. Dans la liste déroulante Les connexions d’authentification WG sont, assurez-vous que l’option Autorisé est activée. 3. Sous la zone De, cliquez sur Ajouter. Sélectionnez Tout dans la liste et cliquez sur Ajouter. Cliquez sur OK. 4. La zone À doit contenir Firebox. Si ce n’est pas le cas, cliquez sur Ajouter sous la zone À. Sélectionnez Firebox dans la liste et cliquez sur Ajouter. Cliquez sur OK . Guide de l’utilisateur 221 Authentification Utiliser l’authentification via une passerelle Firebox Pour envoyer une requête d’authentification, via une passerelle Firebox vers un autre périphérique Firebox, il est parfois nécessaire d’ajouter une stratégie autorisant le trafic d’authentification sur la passerelle Firebox. Si le trafic d’authentification est refusé sur la passerelle Firebox, utilisez Policy Manager pour ajouter la stratégie d’authentification WatchGuard. Cette stratégie contrôle le trafic sur le port TCP 4 100. Configurez la stratégie pour autoriser le trafic vers l’adresse IP du Firebox de destination. Définir des valeurs d’authentification globale Pour définir les valeurs d’authentification globale, sélectionnez Configurer > Authentification > Paramètres d’authentification. La boîte de dialogue Paramètres d’authentification s’affiche. 222 WatchGuard System Manager Authentification Définir des délais d’authentification globale Les utilisateurs demeurent authentifiés pendant un certain temps après avoir fermé leur dernière connexion authentifiée. Ce délai est défini ici ou dans la boîte de dialogue Configuration d’utilisateur Firebox décrite dans la rubrique Définir un nouvel utilisateur pour l’authentification Firebox. Le paramètre d’utilisateur Firebox remplace le paramètre global. Le paramètre global est utilisé uniquement si aucune valeur Utilisateur de Firebox n’est définie. Pour les utilisateurs authentifiés par des serveurs tiers, les délais définis sur ces serveurs remplacent également les délais d’authentification globale. Les valeurs de délais d’authentification ne s’appliquent pas aux utilisateurs de Mobile VPN with PPTP. Délai d’expiration de la session Durée maximale pendant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi longtemps qu’il le souhaite. Délai d’inactivité Durée maximale pendant laquelle l’utilisateur peut rester authentifié tout en étant inactif (sans passer de trafic au réseau externe). Si vous entrez dans ce champ zéro (0) seconde, minute, heure ou jour, aucun délai d’inactivité n’est utilisé et l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite. Autoriser plusieurs connexions simultanées Dans la boîte de dialogue Paramètres d’authentification, activez la case à cocher Autoriser plusieurs connexions simultanées d’authentification au pare-feu à partir d’un même compte pour autoriser plusieurs utilisateurs à s’authentifier simultanément avec les mêmes informations d’identification auprès d’un serveur d’authentification. Cette option est utile pour les comptes invités ou les environnements de laboratoire. Cette fonctionnalité est prise en charge uniquement si vous utilisez Firebox en tant que serveur d’authentification. Pour les utilisateurs de Mobile VPN with IPSec et Mobile VPN with SSL, les connexions actuelles à partir du même compte sont toujours prises en charge que cette case à cocher soit ou non activée. Ces utilisateurs doivent se connecter avec des adresses IP différentes s’ils veulent établir des connexions simultanées, ce qui signifie qu’ils ne peuvent pas utiliser le même compte pour se connecter s’ils se trouvent derrière un périphérique Firebox utilisant NAT. Les utilisateurs Mobile VPN with PPTP ne sont pas concernés par cette restriction. Utiliser une page de démarrage par défaut personnalisée En général, la page d’authentification Web de Firebox s’affiche en tant que page de démarrage de votre navigateur Web. Si vous voulez que le navigateur accède à une page différente une fois vos utilisateurs connectés, utilisez la boîte de dialogue Paramètres d’authentification pour définir une redirection. Activez la case à cocher Envoyer une redirection au navigateur après l’authentification et entrez l’URL dans le champ ci-après. Guide de l’utilisateur 223 Authentification Activer Single Sign-On L’agent SSO doit être installé sur un ordinateur avec une adresse statique, membre du domaine Windows et utilisant Windows XP ou Windows Vista. Vous pouvez l’installer sur votre contrôleur de domaine ou sur un autre ordinateur. Pour plus d’informations, voir À propos de Single Sign-On (SSO). 1. Activez la case à cocher Activer Single Sign-On (SSO) avec Active Directory. 2. Entrez l’adresse IP de votre agent SSO dans le champ Adresse IP de l’agent SSO. 3. Sélectionnez la durée pendant laquelle l’agent SSO met des données en cache dans le champ Mettre les données en cache pendant. 4. Ajouter ou supprimer des exceptions SSO pour les adresses IP qui ne nécessitent pas d’authentification, telles que les serveurs réseau. (Pour plus d’informations sur les exceptions SSO, voir À propos de Single Sign-On (SSO).) Vous pouvez entrer l’adresse IP d’un hôte, une adresse IP réseau avec la notation de barre oblique ou une plage d’adresses IP. 5. Cliquez sur OK pour enregistrer vos modifications. 224 WatchGuard System Manager Authentification À propos de Single Sign-On (SSO) Lorsque les utilisateurs se connectent à un ordinateur à l’aide de l’authentification Active Directory, ils doivent entrer un ID utilisateur et un mot de passe. Si vous utilisez Firebox pour restreindre le trafic réseau sortant aux utilisateurs ou aux groupes spécifiés, les utilisateurs doivent se connecter de nouveau pour accéder aux ressources réseau telles qu’Internet. Vous pouvez utiliser Single Sign-On (SSO) pour que les utilisateurs des réseaux approuvé et facultatif soient automatiquement authentifiés auprès de Firebox lorsqu’ils se connectent à leur ordinateur. SSO n’est pas recommandé pour les environnements dans lesquels plusieurs utilisateurs partagent un même ordinateur ou une même adresse IP ou dans lesquels les utilisateurs se connectent à l’aide de Mobile VPN. Lorsque plusieurs utilisateurs sont associés à une adresse IP, les autorisations réseau risquent de ne pas fonctionner correctement. Ceci peut constituer un risque pour la sécurité. Pour utiliser SSO, vous devez installer le logiciel WatchGuard Authentication Gateway, également appelé logiciel agent SSO, sur un ordinateur du domaine de votre réseau. Lorsqu’un utilisateur se connecte à un ordinateur, l’agent SSO rassemble toutes les informations entrées par l’utilisateur et les envoie à Firebox. Firebox les compare aux stratégies définies pour cet utilisateur ou ce groupe d’utilisateurs en une fois. L’agent SSO met ces données en cache pour une durée d’environ 10 minutes par défaut, pour ne pas avoir à générer de requête pour chaque paquet. Pour plus d’informations sur l’installation de l’agent SSO, voir Installer l’agent WatchGuard SSO. Avant de commencer Un serveur Active Directory doit être configuré sur votre réseau approuvé ou facultatif. Des serveurs DHCP et DNS doivent également être configurés sur le même domaine que le serveur Active Directory. Firebox doit être configuré de façon à utiliser l’authentification Active Directory. Pour plus d’informations, voir À propos de l’authentification LDAP/Active Directory. Un compte doit être défini pour chaque utilisateur sur le serveur Active Directory. Pour être opérationnel, chaque utilisateur doit se connecter à un compte de domaine Single Sign-On (SSO). Si les utilisateurs se connectent à un compte qui n’existe que sur leur ordinateur local, les informations d’identification ne sont pas vérifiées et Firebox ne reconnaît pas ces utilisateurs. Si vous utilisez un pare-feu tiers sur les ordinateurs de votre réseau, vérifiez que le port TCP 445 (réseau Samba/Windows) est ouvert sur chaque client. Vérifiez que l’impression et le partage de fichiers sont activés sur tous les ordinateurs à partir desquels les utilisateurs s’identifient à l’aide de SSO. Vérifiez que les ports NetBIOS et SMB ne sont bloqués sur aucun des ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO. NetBIOS utilise les ports TCP/UDP 137, 138, 139 et SMB utilise le port TCP 445. Vérifiez que tous les ordinateurs à partir desquels les utilisateurs s’authentifient à l’aide de SSO sont membres du domaine auquel sont associées les relations d’approbation ininterrompues. Activer et configurer SSO Pour activer SSO sur Firebox, voir Définir des valeurs d’authentification globale. Guide de l’utilisateur 225 Authentification À propos des exceptions SSO Si votre réseau contient des périphériques dont les adresses IP ne requièrent pas d’authentification, tels que des serveurs de réseau ou d’impression, il est judicieux de les ajouter à la liste des exceptions SSO de la configuration SSO. Chaque fois qu’une connexion est établie à partir de l’un de ces périphériques et que l’adresse IP du périphérique ne figure pas dans la liste des exceptions, Firebox contacte l’agent SSO pour tenter d’associer l’adresse IP à un nom d’utilisateur. Cette opération prend environ 10 secondes. Pour éviter ce temps de traitement de 10 secondes supplémentaires à chaque connexion et ne pas générer de trafic réseau superflu, utilisez la liste des exceptions. Installer l’agent WatchGuard Single Sign-On (SSO) Pour utiliser Single Sign-On (SSO), vous devez installer l’agent WatchGuard SSO. L’agent SSO est un service qui reçoit des demandes d’authentification Firebox et vérifie l’état de l’utilisateur auprès du serveur Active Directory. Ce service s’exécute sous le nom WatchGuard Authentication Gateway sur l’ordinateur sur lequel vous installez le logiciel agent SSO. Microsoft .NET Framework 2.0 doit également être installé sur cet ordinateur. Pour utiliser Single Sign-On avec Firebox, vous devez installer l’agent SSO sur un ordinateur du domaine ayant une adresse IP statique. Nous vous conseillons d’installer l’agent SSO sur votre contrôleur de domaine. Télécharger le logiciel agent SSO 1. 2. 3. 4. 5. À l’aide de votre navigateur, accédez à : http://www.watchguard.com/. Ouvrez une session à l’aide de votre nom d’utilisateur et de votre mot de passe LiveSecurity. Cliquez sur le lien Software Downloads. Sélectionnez le type et le numéro de modèle de votre périphérique Firebox. Téléchargez le logiciel WatchGuard Authentication Gateway et enregistrez le fichier à l’emplacement de votre choix. Avant l’installation Le service agent SSO doit être exécuté sous un compte d’utilisateur. Nous vous recommandons de créer un compte d’utilisateur à cet effet. Pour que le service agent SSO fonctionne correctement, configurez le compte d’utilisateur avec les propriétés suivantes : 226 Ajoutez le compte au groupe Admins du domaine. Activez le groupe Admins du domaine comme groupe principal. Autorisez le compte à ouvrir une session en tant que service. Configurez le mot de passe pour qu’il n’expire jamais. WatchGuard System Manager Authentification Installer le service agent SSO Double-cliquez sur WG-Authentication-Gateway.exe pour démarrer l’Assistant Authentication Gateway Setup Wizard. Vous devrez peut-être taper un mot de passe d’administrateur local pour exécuter le programme d’installation sur certains systèmes d’exploitation. Suivez les instructions pour installer le logiciel : Installation - Authentication Gateway Cliquez sur Suivant pour démarrer l’Assistant. Sélectionnez l’emplacement de destination. Tapez ou sélectionnez un emplacement d’installation pour le logiciel, puis cliquez sur Suivant. Sélectionnez le dossier Menu Démarrer. Tapez ou sélectionnez un emplacement dans le Menu Démarrer pour ajouter des raccourcis de programmes. Si vous ne souhaitez pas ajouter de raccourcis de programmes au Menu Démarrer, activez la case à cocher Ne pas créer de dossier dans le Menu Démarrer. Lorsque vous avez terminé, cliquez sur Suivant. Connexion d’utilisateur de domaine Tapez le nom d’utilisateur de domaine et le mot de passe d’un utilisateur ayant un compte actif dans votre domaine LDAP ou Active Directory actuel. Vous devez entrer ce nom d’utilisateur au format suivant : domaine\nom_utilisateur. Notez que vous ne devez pas spécifier la partie .com ou .net du nom de domaine. Par exemple, si votre domaine est mywatchguard.com et que vous utilisez le compte de domaine ssoagent, entrez le nom d’utilisateur mywatchguard\ssoagent. Cliquez sur Suivant. Si le compte d’utilisateur que vous spécifiez ne dispose pas de privilèges suffisants, certains utilisateurs ne pourront pas utiliser SSO et devront s’authentifier auprès de Firebox manuellement. Nous vous conseillons de suivre les instructions de la section précédente pour créer un compte d’utilisateur pour le service agent SSO. Prêt pour l’installation Examinez vos paramètres, puis cliquez sur Installer pour installer le service sur votre ordinateur. Installation - Authentication Gateway Cliquez sur Terminer pour fermer l’Assistant. Le service WatchGuard Authentication Gateway démarre automatiquement une fois l’Assistant terminé et démarre chaque fois que l’ordinateur redémarre. Guide de l’utilisateur 227 Authentification Types de serveurs d’authentification Fireware prend en charge six méthodes d’authentification : Firebox en tant que serveur d’authentification Authentification sur le serveur RADIUS Authentification sur le serveur VASCO Authentification SecurID Authentification LDAP Authentification Active Directory Vous pouvez configurer un ou plusieurs types de serveurs d’authentification pour Firebox. Si vous utilisez plusieurs types de serveurs d’authentification, les utilisateurs doivent sélectionner un type de serveur d’authentification dans la liste déroulante lorsqu’ils s’authentifient. À propos de l’utilisation de serveurs d’authentification tierce Si vous utilisez un serveur d’authentification tierce, il n’est pas nécessaire de conserver une base de données d’utilisateurs séparée sur Firebox. Configurez un serveur tiers à l’aide des instructions de son fabricant, installez le serveur avec l’accès à Firebox et placez-le derrière Firebox pour des raisons de sécurité. Ensuite, configurez Firebox pour transférer les demandes d’authentification des utilisateurs à ce serveur. Si vous créez sur Firebox un groupe d’utilisateurs qui s’authentifie auprès d’un serveur tiers, assurez-vous de créer un groupe sur le serveur qui a le même nom que le groupe d’utilisateurs sur Firebox. Pour configurer Firebox pour des serveurs d’authentification tierce, voir : Configurer l’authentification sur le serveur RADIUS Configurer l’authentification sur le serveur VASCO Configurer l’authentification SecurID Configurer l’authentification LDAP Configurer l’authentification Active Directory Utiliser un serveur d’authentification de sauvegarde Quel que soit le type d’authentification tierce utilisée, vous pouvez configurer un serveur d’authentification principal et un serveur d’authentification de sauvegarde. Si Firebox ne parvient pas à se connecter au serveur d’authentification principal après trois tentatives, le serveur principal est marqué comme inactif et un message d’alarme est généré. Firebox se connecte alors au serveur d’authentification de sauvegarde. Si Firebox ne parvient pas à se connecter au serveur d’authentification de sauvegarde, il essaie à nouveau de se connecter au serveur d’authentification principal après dix minutes. Une fois le délai d’inactivité écoulé, le serveur inactif est marqué comme actif. 228 WatchGuard System Manager Authentification Configurer Firebox en tant que serveur d’authentification Si vous n’utilisez pas de serveur d’authentification tierce, vous pouvez utiliser Firebox en tant que serveur d’authentification. Cette procédure divise votre société en groupes et utilisateurs pour l’authentification. Le groupe auquel vous attribuez une personne est contrôlé par les tâches qu’il exécute et les informations qu’il utilise. Par exemple, vous pouvez disposer d’un groupe de comptabilité, de marketing, ainsi que d’un groupe de recherche et développement. Vous pouvez également avoir un groupe de nouveaux employés doté d’un accès contrôlé à Internet. Dans un groupe, vous définissez la procédure d’authentification pour les utilisateurs, le type de système et les informations auxquelles ils ont accès. Un utilisateur peut être un réseau ou un ordinateur. Si votre société change, vous pouvez ajouter ou supprimer des utilisateurs, ou des systèmes de vos groupes. Le serveur d’authentification Firebox est activé par défaut. Aucune action n’est requise pour l’activer avant d’ajouter des utilisateurs et des groupes. Types d’authentification Firebox Vous pouvez configurer Firebox afin d’authentifier des utilisateurs pour quatre types différents d’authentification : l’authentification d’accès au pare-feu ; les connexions Mobile VPN with PPTP ; les connexions Mobile VPN with IPSec ; les connexions Mobile VPN with SSL. Lorsque l’authentification s’effectue correctement, Firebox procède à un mappage des éléments suivants : nom de l’utilisateur ; groupe (ou groupes) d’utilisateurs de Firebox duquel l’utilisateur est membre ; adresse IP sur l’ordinateur de l’utilisateur lorsqu’il s’authentifie ; adresse IP virtuelle sur l’ordinateur de l’utilisateur si celui-ci est connecté avec Mobile VPN. Authentification d’accès au pare-feu Lorsqu’un utilisateur s’authentifie sur Firebox, les informations d’identification de l’utilisateur et l’adresse IP de l’ordinateur de l’utilisateur sont utilisées pour vérifier qu’une stratégie s’applique au trafic en provenance ou à destination de l’ordinateur de cet utilisateur. Pour créer un compte d’utilisateur de Firebox, voir Définir un nouvel utilisateur pour l’authentification Firebox. Après avoir créé le compte d’utilisateur, vous pouvez définir un nouveau groupe pour l’authentification Firebox et inclure l’utilisateur dans ce groupe. Ensuite, créez une stratégie qui autorise le trafic uniquement à destination ou en provenance d’une liste des noms d’utilisateurs de Firebox ou d’une liste de groupes Firebox. Cette stratégie s’applique uniquement si un paquet provient de ou est destiné à l’adresse IP de l’utilisateur authentifié. Un utilisateur s’authentifie sur Firebox avec une connexion HTTPS sur le port 4 100 en entrant : https://Adresse IP d’une interface Firebox:4 100/ Guide de l’utilisateur 229 Authentification Si le nom de l’utilisateur et son mot de passe sont valides, l’utilisateur est authentifié. Connexions Mobile VPN with PPTP Vous pouvez configurer Firebox pour héberger des sessions Mobile VPN with PPTP. Lorsque Firebox est configuré avec une connexion Mobile VPN with PPTP, les utilisateurs inclus dans le groupe Mobile VPN with PPTP peuvent utiliser la fonctionnalité PPTP intégrée à leur système d’exploitation pour établir une connexion PPTP. Étant donné que Firebox autorise la connexion PPTP de n’importe quel utilisateur de Firebox qui fournit des informations d’identification correctes, il est important que vous élaboriez une stratégie pour les sessions PPTP qui inclut uniquement les utilisateurs que vous voulez autoriser à envoyer du trafic via PPTP. Vous pouvez également ajouter ces utilisateurs à un groupe d’utilisateurs de Firebox et élaborer une stratégie qui autorise le trafic provenant uniquement de ce groupe. Firebox crée un groupe prédéfini appelé Utilisateurs PPTP à cette fin. Pour configurer une connexion Mobile VPN with PPTP : 1. Dans Policy Manager, sélectionnez VPN > Mobile VPN > PPTP. 2. Désactivez la case à cocher Utiliser l’authentification Radius pour authentifier les utilisateurs Mobile VPN with PPTP pour permettre à Firebox d’authentifier la session PPTP. Firebox vérifie si le nom d’utilisateur et le mot de passe indiqués par l’utilisateur dans la zone de connexion VPN correspondent aux nom et mot de passe d’utilisateur dans la base de données des utilisateurs de Firebox. Si les informations d’identification de l’utilisateur correspondent à un compte de la base de données des utilisateurs de Firebox, l’utilisateur est authentifié pour une session PPTP. 3. Créez une stratégie qui autorise le trafic uniquement à partir de ou vers une liste de noms d’utilisateurs de Firebox ou une liste de groupes de Firebox. Firebox ne tient pas compte de cette stratégie sauf si le trafic provient de ou est destiné à l’adresse IP virtuelle de l’utilisateur authentifié. 230 WatchGuard System Manager Authentification Configurer une connexion Mobile VPN with IPSec Vous pouvez configurer Firebox pour héberger des sessions Mobile VPN with IPSec. Dans Policy Manager, sélectionnez VPN > Mobile VPN > IPSec. Pour en savoir plus sur le client Mobile VPN with IPSec, voir À propos du client Mobile VPN with IPSec. Pour en savoir plus sur l’installation du client Mobile VPN with IPSec, voir Installer le client Mobile VPN with IPSec. Créez le groupe Mobile VPN à l’aide de l’Assistant Add Mobile VPN with IPSec. Lorsque l’Assistant est terminé, Policy Manager effectue deux opérations : Il crée un profil de la configuration du client (appelé fichier .wgx) et le place sur l’ordinateur de la station de gestion qui a créé le compte Mobile VPN. L’utilisateur doit disposer du fichier .wgx pour configurer l’ordinateur client Mobile VPN. Il ajoute automatiquement une stratégie « Tout » à l’onglet Mobile VPN afin d’autoriser le trafic dans les deux sens avec l’utilisateur Mobile VPN authentifié. Lorsque l’ordinateur de l’utilisateur est correctement configuré, celui-ci établit la connexion Mobile VPN. Si le nom d’utilisateur et le mot de passe indiqués par l’utilisateur dans la boîte de dialogue d’authentification Mobile VPN correspondent à une entrée de la base de données des utilisateurs de Firebox et si l’utilisateur fait partie d’un groupe Mobile VPN que vous créez, la session Mobile VPN est authentifiée. Policy Manager établit automatiquement une stratégie qui autorise tout le trafic provenant de l’utilisateur authentifié. Pour limiter le nombre de ports auxquels le client Mobile VPN peut accéder, supprimez la stratégie Tout et ajoutez des stratégies pour ces ports dans l’onglet Mobile VPN with IPSec. Pour savoir comment ajouter des stratégies, voir À propos de Policy Manager. Guide de l’utilisateur 231 Authentification Définir un nouvel utilisateur pour l’authentification Firebox 1. Dans Manager Policy, sélectionnez Configurer > Authentification > Serveurs d’authentification. La boîte de dialogue Serveurs d’authentification s’affiche. 232 WatchGuard System Manager Authentification 2. Dans l’onglet Firebox de la boîte de dialogue Serveurs d’authentification, cliquez sur Ajouter sous la liste Utilisateurs. La boîte de dialogue Configuration d’utilisateur Firebox s’affiche. 3. Entrez le nom et une description (facultatif) pour le nouvel utilisateur. 4. Entrez, et entrez de nouveau pour confirmer, le mot de passe que vous voulez que la personne utilise pour s’authentifier auprès de Firebox. Une fois le mot de passe défini, vous ne pouvez plus l’afficher en texte simple. Si vous oubliez le mot de passe, vous devez en définir un nouveau. 5. Dans le champ Délai d’expiration de la session, définissez la durée maximale durant laquelle l’utilisateur peut envoyer du trafic au réseau externe. Si vous entrez dans ce champ un nombre de secondes, de minutes, d’heures ou de jours égal à zéro (0), aucun délai d’expiration de la session n’est utilisé et l’utilisateur peut rester connecté aussi longtemps qu’il le souhaite. 6. Dans le champ Délai d’inactivité, définissez la durée durant laquelle l’utilisateur peut rester authentifié tout en étant inactif (pas d’envoi de trafic au réseau externe). Si vous entrez dans ce champ zéro (0) seconde, minute, heure ou jour, aucun délai d’inactivité n’est utilisé et l’utilisateur peut rester inactif aussi longtemps qu’il le souhaite. Pour les deux champs de délai, les délais d’authentification globale pour Firebox sont utilisés si les valeurs ne sont pas définies dans cette boîte de dialogue. Pour définir une valeur de délai globale, voir Définir des valeurs d’authentification globale. 7. Pour ajouter l’utilisateur à un groupe, sélectionnez son nom dans la liste Disponible. Cliquez sur la flèche double qui pointe vers la gauche pour déplacer le nom de la liste Membre. Vous pouvez également double-cliquer sur le nom du groupe. 8. Après avoir ajouté l’utilisateur dans les groupes sélectionnés, cliquez sur OK. L’utilisateur est ajouté à la liste des utilisateurs. Vous pouvez alors ajouter d’autres utilisateurs. 9. Pour fermer la boîte de dialogue Configuration d’utilisateur Firebox, cliquez sur OK. L’onglet Utilisateurs de Firebox s’affiche avec un liste des nouveaux utilisateurs. Guide de l’utilisateur 233 Authentification Définir un nouveau groupe pour l’authentification Firebox 1. Dans l’onglet Firebox de la boîte de dialogue Serveurs d’authentification, cliquez sur Ajouter sous la liste Groupes d’utilisateurs. La boîte de dialogue Configuration de groupe Firebox s’affiche. 2. Entrez le nom du groupe voulu. 3. (Facultatif) Entrez une description pour le nouveau groupe. 4. Pour ajouter un utilisateur au groupe, sélectionnez le nom de l’utilisateur dans la liste Disponible. Cliquez sur la flèche double qui pointe vers la gauche pour déplacer le nom de la liste Membre. Vous pouvez également double-cliquer sur le nom du groupe. 5. Après avoir ajouté tous les utilisateurs nécessaires au groupe, cliquez sur OK. Maintenant, vous pouvez utiliser les utilisateurs et les groupes pour configurer des stratégies et l’authentification, comme cela est décrit dans la rubrique Utiliser les utilisateurs et groupes autorisés dans les stratégies. 234 WatchGuard System Manager Authentification Configurer l’authentification sur le serveur RADIUS Le service RADIUS (Remote Authentication Dial-In User Service) permet d’authentifier les utilisateurs locaux et distants sur un réseau d’entreprise. Il s’agit d’un système client/serveur qui regroupe dans une base de données centrale les informations relatives à l’authentification des utilisateurs, des serveurs d’accès distants, des passerelles VPN et autres ressources. Les messages d’authentification en provenance et à destination du serveur RADIUS utilisent toujours une clé d’authentification. Cette clé d’authentification, ou secret partagé, doit être identique sur le client et sur le serveur RADIUS. Sans cette clé, les pirates ne peuvent pas avoir accès aux messages d’authentification. Notez que RADIUS envoie une clé et non un mot de passe pendant l’authentification. Pour les authentifications sur le Web et les authentifications Mobile VPN with IPSec ou Mobile VPN with SSL, RADIUS prend en charge uniquement l’authentification PAP (et non l’authentification CHAP). Pour les authentifications Mobile VPN with PPTP, RADIUS prend en charge uniquement MSCHAPv2. Pour utiliser l’authentification sur un serveur RADIUS avec Firebox, vous devez : Ajouter l’adresse IP de Firebox au serveur RADIUS, comme cela est décrit dans la documentation du fournisseur de RADIUS. Activer et spécifier le serveur RADIUS dans la configuration de Firebox. Ajouter les noms d’utilisateurs ou les noms de groupes RADIUS à vos stratégies. 1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification. Cliquez sur l’onglet Serveur RADIUS. Guide de l’utilisateur 235 Authentification 2. Pour activer le serveur RADIUS et activer les champs de cette boîte de dialogue, activez la case à cocher Activer le serveur RADIUS. 3. Dans la zone Adresse IP, entrez l’adresse IP du serveur RADIUS. 4. Dans la zone Port, vérifiez que le numéro de port utilisé par RADIUS pour l’authentification apparaît. Le numéro de port par défaut est 1812. Il se peut que des serveurs RADIUS plus anciens utilisent le port 1645. 5. Dans la zone Secret, entrez le secret partagé entre Firebox et le serveur RADIUS. Entrez à nouveau le secret partagé dans la zone Confirmer le secret. Le secret partagé respecte la casse et il doit être identique sur Firebox et sur le serveur RADIUS. 6. Pour définir la valeur du délai d’attente, choisissez une valeur dans la zone de contrôle de valeur Délai. La valeur du délai d’attente correspond à la durée pendant laquelle Firebox attend une réponse du serveur d’authentification avant de réessayer de se connecter. 7. Pour définir le nombre de tentatives de connexion effectuées par Firebox, choisissez un nombre dans la zone de contrôle de valeur Nouvelles tentatives. Il correspond au nombre de tentatives de connexion de Firebox auprès du serveur d’authentification (en fonction du délai spécifié ci-dessus) avant que Firebox ne signale un échec de connexion lors d’une tentative d’authentification. 8. La zone de contrôle de valeur Attribut de groupe vous permet de définir un attribut de groupe. L’attribut de groupe par défaut est FilterID qui correspond à l’attribut 11 de RADIUS. La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d’utilisateurs. Vous devez configurer le serveur RADIUS de sorte qu’une chaîne FilterID, telle que « engineerGroup » ou « financeGroup » soit également envoyée lors de l’envoi d’un message signalant l’authentification d’un utilisateur à Firebox. Ces informations sont utilisées pour contrôler les accès. Elles établissent une correspondance entre la chaîne ID_filtre et le nom du groupe configuré dans les stratégies Firebox. 9. Pour définir le délai au bout duquel un serveur inactif est marqué comme de nouveau actif, entrez ce délai dans le champ Délai d’inactivité. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 10. Pour ajouter un serveur RADIUS de sauvegarde, sélectionnez l’onglet Paramètres du serveur secondaire et activez la case à cocher Activer un serveur RADIUS secondaire. Entrez les informations dans les champs requis. Vérifiez que le secret partagé est le même sur le serveur RADIUS de sauvegarde et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde. 11. Cliquez sur OK. Enregistrez le fichier de configuration. 236 WatchGuard System Manager Authentification Configurer l’authentification sur le serveur VASCO L’authentification sur le serveur VASCO fait appel au logiciel middleware VACMAN pour authentifier les utilisateurs distants d’un réseau d’entreprise via un environnement de serveur RADIUS ou de serveur Web. VASCO prend également en charge les environnements comprenant plusieurs serveurs d’authentification. Le système de jetons à mot de passe à usage unique de VASCO vous permet d’éliminer le maillon faible de votre infrastructure de sécurité : les mots de passe statiques. Pour utiliser l’authentification sur un serveur VASCO avec Firebox, vous devez : Ajouter l’adresse IP de Firebox au serveur middleware VACMAN, comme cela est décrit dans la documentation du fournisseur de VASCO. Activer et spécifier le serveur middleware VACMAN dans la configuration de Firebox. Ajouter des noms d’utilisateurs ou des noms de groupes dans les stratégies de Policy Manager. Les paramètres du serveur RADIUS permettent de configurer l’authentification sur un serveur VASCO. La boîte de dialogue Serveurs d’authentification ne contient pas d’onglet distinct pour les serveurs middleware VACMAN. 1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification. Cliquez sur l’onglet RADIUS. 2. Pour activer le serveur middleware VACMAN et activer les champs de cette boîte de dialogue, activez la case à cocher Activer le serveur RADIUS. Guide de l’utilisateur 237 Authentification 3. Dans la zone Adresse IP , entrez l’adresse IP du serveur middleware VACMAN. 4. Dans la zone Port , vérifiez que le numéro de port utilisé par VASCO pour l’authentification apparaît. La valeur par défaut est 1812. 5. Dans la zone Secret , entrez le secret partagé entre Firebox et le serveur middleware VACMAN. Entrez à nouveau le secret partagé dans la zone Confirmer le secret. Le secret partagé respecte la casse et il doit être identique sur Firebox et sur le serveur RADIUS. 6. Pour définir la valeur du délai d’attente, choisissez une valeur dans la zone de contrôle de valeur Délai. Cette valeur correspond à la durée pendant laquelle Firebox attend une réponse du serveur d’authentification avant d’essayer à nouveau de se connecter. 7. Pour définir le nombre de tentatives de connexion effectuées par Firebox, choisissez un nombre dans la zone de contrôle Nouvelles tentatives. Ce nombre correspond au nombre de tentatives de connexion de Firebox auprès du serveur d’authentification (en fonction du délai spécifié ci-dessus) avant que Firebox ne signale un échec de connexion lors de la tentative d’authentification. 8. Pour définir l’attribut de groupe, choisissez un attribut dans la zone de contrôle Attribut de groupe. L’attribut de groupe par défaut est FilterID, qui correspond à l’attribut 11 de VASCO. La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d’utilisateurs. Vous devez configurer le serveur VASCO de sorte qu’une chaîne FilterID, telle que « engineerGroup » ou « financeGroup » soit également envoyée lors de l’envoi d’un message signalant l’authentification d’un utilisateur à Firebox. Ces informations sont utilisées pour contrôler les accès. Elles établissent une correspondance entre la chaîne ID_filtre et le nom du groupe configuré dans les stratégies Firebox. 9. Pour définir le délai au bout duquel un serveur inactif est marqué comme de nouveau actif, entrez ce délai dans le champ Délai d’inactivité. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 10. Pour ajouter un serveur middleware VACMAN de sauvegarde, sélectionnez l’onglet Paramètres du serveur secondaire et activez la case à cocher Activer un serveur RADIUS secondaire. Entrez les informations dans les champs requis. Vérifiez que le secret partagé est le même sur le serveur middleware VACMAN de sauvegarde et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde. 11. Cliquez sur OK. Enregistrez le fichier de configuration. 238 WatchGuard System Manager Authentification Configurer l’authentification SecurID Pour utiliser l’authentification SecurID, vous devez configurer correctement les serveurs RADIUS, VASCO et ACE/Server. Les utilisateurs doivent également disposer d’un jeton SecurID approuvé et d’un code confidentiel. Pour plus d’informations, reportez-vous aux instructions relatives à RSA SecurID. 1. Dans Policy Manager, sélectionnez Configurer > Authentification > Serveurs d’authentification. Cliquez sur l’onglet Serveur SecurID. 2. Pour activer le serveur SecurID et activer les champs de cette boîte de dialogue, activez la case à cocher Activer le serveur SecurID. 3. Dans la zone Adresse IP , entrez l’adresse IP du serveur SecurID. 4. Dans la zone Port , choisissez un numéro de port pour l’authentification SecurID à l’aide du contrôle de valeur. La valeur par défaut est 1812. 5. Dans la zone Secret, entrez le secret partagé entre Firebox et le serveur SecurID. Le secret partagé respecte la casse et il doit être le même sur Firebox et sur le serveur SecurID. 6. Pour définir la valeur du délai d’attente, choisissez une valeur dans la zone de contrôle de valeur Délai. Cette valeur correspond à la durée pendant laquelle Firebox attend une réponse du serveur d’authentification avant d’essayer à nouveau de se connecter. Guide de l’utilisateur 239 Authentification 7. Pour définir le nombre de tentatives de connexion effectuées par Firebox, utilisez le contrôle de valeur Nouvelle tentative. Il correspond au nombre de tentatives de connexion de Firebox auprès du serveur d’authentification (en fonction du délai spécifié ci-dessus) avant que Firebox ne signale un échec de connexion lors d’une tentative d’authentification. 8. Sélectionnez l’attribut de groupe. Nous vous recommandons de ne pas modifier cette valeur. La valeur de l’attribut de groupe permet de définir quel attribut est associé aux informations relatives au groupe d’utilisateurs. Lorsque le serveur SecurID envoie un message signalant l’authentification d’un utilisateur à Firebox, il envoie également une chaîne User Group (groupe d’utilisateurs) comme « engineerGroup » ou « financeGroup ». Ces informations sont alors utilisées pour le contrôle d’accès. 9. Pour définir le délai au bout duquel un serveur inactif est défini comme de nouveau actif, entrez ce délai dans le champ Délai d’inactivité. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est marqué comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas marqué comme de nouveau actif une fois le délai d’inactivité écoulé. 10. Pour ajouter un serveur SecurID de sauvegarde, sélectionnez l’onglet Paramètres du serveur secondaire et activez la case à cocher Activer un serveur SecurID secondaire. Entrez les informations dans les champs requis. Vérifiez que le secret partagé est le même sur le serveur SecurID de sauvegarde et sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde. 11. Cliquez sur OK. Enregistrez le fichier de configuration. 240 WatchGuard System Manager Authentification Configurer l’authentification LDAP Vous pouvez utiliser un serveur d’authentification LDAP pour authentifier vos utilisateurs auprès de Firebox. LDAP est un protocole standard ouvert pour utiliser les services d’annuaire en ligne. Il fonctionne avec des protocoles de transport Internet, tels que TCP. Avant de configurer Firebox pour l’authentification LDAP, vérifiez la documentation de votre fournisseur LDAP pour savoir si votre installation nécessite des attributs respectant la casse. 1. Dans Manager Policy, sélectionnez Configurer > Authentification > Serveurs d’authentification. Sélectionnez l’onglet LDAP. 2. Pour activer le serveur LDAP, ainsi que les champs de cette boîte de dialogue, activez la case à cocher Activer le serveur LDAP. 3. Dans la zone Adresse IP, entrez l’adresse IP du serveur LDAP principal que Firebox doit contacter avec des requêtes d’authentification. Le serveur LDAP peut être placé sur n’importe quelle interface Firebox. Vous pouvez également configurer Firebox pour qu’il utilise un serveur LDAP via un tunnel VPN. 4. Dans la liste déroulante Port, sélectionnez le numéro du port TCP que Firebox doit utiliser pour se connecter au serveur LDAP. Le numéro de port par défaut est 389. LDAP n’est pas pris en charge sur TLS. Guide de l’utilisateur 241 Authentification 5. Identifiez la Base de recherche. Le format standard du paramètre de base de recherche est le suivant : ou = unité d’organisation, dc = première partie du nom unique du serveur, dc = une partie du nom unique du serveur qui apparaît après le point. Définissez une base de recherche pour appliquer des limites aux répertoires du serveur d’authentification que Firebox explore pour établir une correspondance d’authentification. Si, par exemple, vos comptes d’utilisateur sont dans une unité d’organisation que vous nommez « comptes » et que votre nom de domaine est mywatchguard.com, votre base de recherche est : « ou=comptes,dc=monwatchguard,dc=com ». 6. Entrez la Chaîne de groupe. Cette chaîne d’attributs conserve des informations de groupe d’utilisateurs sur le serveur LDAP. Sur beaucoup de serveurs LDAP, la chaîne de groupe par défaut est « uniqueMember » (« Membreunique »), tandis que sur les autres serveurs, c’est « member »(« membre »). 7. Dans le champ Nom unique de l’utilisateur qui effectue la recherche, entrez le nom unique d’une opération de recherche. Vous pouvez entrer un nom unique, comme « Administrateur », doté du privilège de recherche dans LDAP/Active Directory. Un nom unique d’utilisateur plus faible doté uniquement du privilège de recherche est généralement suffisant. Certains administrateurs créent dans ce champ un utilisateur doté de privilèges de recherche mais avec des autorisations limitées. 8. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche, entrez le mot de passe associé au nom unique d’une opération de recherche. 9. Dans le champ Attribut de connexion, entrez l’attribut de connexion LDAP à utiliser pour l’authentification. Cet attribut est le nom utilisé pour la liaison avec la base de données LDAP. L’attribut de connexion par défaut est uid. Si vous utilisez uid, les champs Nom unique de l’utilisateur qui effectue la recherche et Mot de passe de l’utilisateur qui effectue la recherche peuvent être vides. 10. Pour définir le délai au bout duquel un serveur inactif est défini comme de nouveau actif, entrez ce délai dans le champ Délai d’inactivité. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est considéré comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 11. Pour ajouter un serveur LDAP de sauvegarde, sélectionnez l’onglet Paramètres du serveur de sauvegarde et activez la case à cocher Activer un serveur LDAP secondaire. Entrez les informations dans les champs requis. Vérifiez que le secret partagé est le même sur le serveur LDAP de sauvegarde que sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde. À propos des paramètres LDAP facultatifs Fireware peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires à la session de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN with IPSec. Étant donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous pouvez définir ces paramètres pour chaque utilisateur individuel au lieu de vous limiter aux paramètres globaux de Policy Manager. Pour plus d’informations, voir Utiliser les paramètres Active Directory ou LDAP facultatifs. 242 WatchGuard System Manager Authentification Utiliser les paramètres Active Directory ou LDAP facultatifs Fireware peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires à la session de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN. Étant donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous pouvez définir ces paramètres pour chaque utilisateur individuel au lieu de vous limiter aux paramètres globaux de Policy Manager. Avant de commencer Vous devez suivre plusieurs étapes pour utiliser ces paramètres facultatifs : développer le schéma d’annuaire pour ajouter de nouveaux attributs à ces éléments ; rendre les nouveaux attributs disponibles pour la classe d’objet à laquelle les comptes d’utilisateurs appartiennent ; donner des valeurs aux attributs pour les objets utilisateur qui doivent les utiliser. Vous devez effectuer des planifications et des tests précis avant de développer le schéma d’annuaire. Les ajouts au schéma d’Active Directory, par exemple, sont en général irrémédiables. Utilisez le site Web Microsoft afin d’obtenir des ressources pour planifier, tester et implémenter des modifications dans un schéma d’Active Directory. Consultez la documentation de votre fournisseur LDAP avant d’étendre le schéma pour d’autres annuaires. Spécifier les paramètres LDAP ou Active Directory facultatifs Pour spécifier des attributs supplémentaires que Fireware doit rechercher dans la réponse à la recherche du serveur d’annuaire, cliquez sur Paramètres facultatifs dans l’onglet LDAP ou sur l’onglet Active Directory dans Configuration > Authentification > Serveurs d’authentification. Fireware recherche les attributs indiqués, dans cette boîte de dialogue, dans la liste d’attributs résultant de la recherche et utilise la valeur d’attribut comme suit : Chaîne d’attributs IP Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer une adresse IP virtuelle au client Mobile VPN. Cet attribut doit comporter une seule valeur. Cette valeur doit être une adresse IP au format décimal avec points standard. L’adresse IP doit faire partie du pool d’adresses IP virtuelles que vous spécifiez lorsque vous créez le groupe Mobile VPN. Si Firebox ne trouve pas l’attribut IP dans la réponse à la recherche ou si vous ne spécifiez pas d’attribut dans Police Manager, il attribue au client Mobile VPN une adresse IP virtuelle du pool d’adresses IP virtuelles que vous créez lorsque vous définissez le groupe Mobile VPN. Guide de l’utilisateur 243 Authentification Chaîne d’attributs de masque réseau Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer un masque de sous-réseau à l’adresse IP virtuelle du client Mobile VPN. Cet attribut doit comporter une seule valeur. Cette valeur doit être un masque de sous-réseau au format décimal avec points standard. Le logiciel Mobile VPN attribue automatiquement un masque réseau si Firebox ne trouve pas l’attribut de masque réseau dans la réponse à la recherche ou si vous n’en spécifiez aucun dans Policy Manager. Chaîne d’attributs DNS Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer une ou plusieurs adresses DNS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut être un attribut à valeurs multiples. Toutes les valeurs de l’attribut doivent être des adresses IP au format décimal avec points standard. Si Firebox ne trouve pas l’attribut DNS dans la réponse à la recherche ou si vous ne spécifiez pas d’attribut dans Policy Manager, il utilise les adresses WINS que vous entrez lorsque vous configurez des serveurs WINS et DNS. Chaîne d’attributs WINS Elle s’applique uniquement aux clients Mobile VPN.. Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer une ou plusieurs adresses WINS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut être un attribut à valeurs multiples. Toutes les valeurs de l’attribut doivent être des adresses IP au format décimal avec points standard. Si Firebox ne trouve pas l’attribut WINS dans la réponse à la recherche ou si vous ne spécifiez pas d’attribut dans Policy Manager, il utilise les adresses WINS que vous entrez lorsque vous configurez des serveurs WINS et DNS. Chaîne d’attributs de la durée du bail Elle s’applique aux clients Mobile VPN et aux clients qui utilisent l’authentification d’accès au parefeu. Entrez le nom de l’attribut que Fireware doit utiliser pour contrôler la durée absolue pendant laquelle un utilisateur peut rester authentifié (délai d’expiration de la session). Une fois cette durée expirée, Fireware supprime l’utilisateur de sa liste d’utilisateurs authentifiés. Cet attribut doit comporter une seule valeur. Fireware interprète la valeur de l’attribut comme un nombre décimal de secondes. Il interprète zéro comme jamais inactif. Chaîne d’attributs de délai d’inactivité Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu. Entrez le nom de l’attribut que Fireware doit utiliser pour contrôler la durée pendant laquelle un utilisateur peut rester authentifié sans qu’aucun trafic à destination de Firebox ne provienne de l’utilisateur (délai d’inactivité). En l’absence de trafic vers Firebox pendant cette durée, Fireware supprime l’utilisateur de sa liste d’utilisateurs authentifiés. Cet attribut doit comporter une seule valeur. Fireware interprète la valeur de l’attribut comme un nombre décimal de secondes. Il interprète zéro comme jamais inactif. 244 WatchGuard System Manager Authentification Configurer l’authentification Active Directory Vous pouvez utiliser un serveur d’authentification Active Directory pour authentifier vos utilisateurs de Firebox. Vous devez configurer les serveurs Firebox et Active Directory. 1. Dans Manager Policy, sélectionnez Configurer > Authentification > Serveurs d’authentification. Sélectionnez l’onglet Active Directory. 2. Activez la case à cocher Activer le serveur Active Directory. 3. Entrez l’adresse IP du serveur Active Directory principal. Le serveur Active Directory peut être placé dans n’importe quelle interface Firebox. Vous pouvez également configurer Firebox pour qu’il utilise un serveur Active Directory disponible via un tunnel VPN. 4. Sélectionnez le numéro de port TCP que Firebox doit utiliser pour se connecter au serveur Active Directory. Le numéro de port par défaut est 389. Si votre serveur Active Directory est un serveur de catalogue global, il est conseillé de modifier le port par défaut. Pour plus d’informations, voir la section relative à l’authentification dans le Forum aux questions consacré à Fireware, à l’adressse suivante : www.watchguard.com/support/faqs. Guide de l’utilisateur 245 Authentification 5. Dans le champ Base de recherche, entrez le point de départ de la recherche dans le répertoire. Le format standard du paramètre de base de recherche est le suivant : ou = unité d’organisation, dc = première partie du nom unique du serveur, dc = une partie du nom unique du serveur qui apparaît après le point. Définissez une base de recherche pour appliquer des limites aux répertoires du serveur d’authentification que Firebox explore pour établir une correspondance d’authentification. Si, par exemple, vos comptes d’utilisateur sont dans une unité d’organisation que vous nommez « comptes » et que votre nom de domaine est HQ_main.com, votre base de recherche est : « ou=comptes,dc=HQ_main,dc=com ». 6. Dans le champ Chaîne de groupe, entrez la chaîne d’attributs utilisée pour conserver des informations de groupe d’utilisateurs sur le serveur Active Directory. Si vous ne modifiez pas le schéma Active Directory, la chaîne de groupe est toujours « memberOf » (« MembreDe »). 7. Dans le champ Nom unique de l’utilisateur qui effectue la recherche, entrez le nom unique d’une opération de recherche. Il n’est pas nécessaire d’entrer une valeur dans cette zone de texte si vous conservez l’attribut de connexion ofsAMAccountName. Si vous modifiez l’attribut de connexion, vous devez ajouter un Nom unique de l’utilisateur qui effectue la recherche à votre configuration. Vous pouvez entrer un nom unique, comme « Administrateur », doté du privilège de recherche dans LDAP/ Active Directory. Cependant, un nom unique d’utilisateur plus faible doté uniquement du privilège de recherche est généralement suffisant. 8. Dans le champ Mot de passe de l’utilisateur qui effectue la recherche, entrez le mot de passe associé au nom unique d’une opération de recherche. 9. Dans le champ Attribut de connexion, entrez un attribut de connexion Active Directory à utiliser pour l’authentification. Cet attribut est le nom utilisé pour la liaison avec la base de données Active Directory. L’attribut de connexion par défaut est sAMAccountName. Si vous utilisez sAMAccountName, les champs Nom unique de l’utilisateur qui effectue la recherche et Mot de passe de l’utilisateur qui effectue la recherche peuvent être vides. 10. Pour définir le délai au bout duquel un serveur inactif est défini comme de nouveau actif, entrez ce délai dans le champ Délai d’inactivité. Lorsqu’un serveur d’authentification ne répond pas au bout d’un certain temps, il est considéré comme inactif. Les tentatives d’authentification ultérieures ne s’appliquent pas à ce serveur tant qu’il n’est pas défini comme de nouveau actif. 11. Pour ajouter un serveur Active Directory de sauvegarde, sélectionnez l’onglet Paramètres du serveur de sauvegarde et activez la case à cocher Activer un serveur Active Directory secondaire. Entrez les informations dans les champs requis. Vérifiez que le secret partagé est le même sur le serveur de sauvegarde Active Directory que sur le serveur principal. Pour plus d’informations, voir Utiliser un serveur d’authentification de sauvegarde. À propos des paramètres Active Directory facultatifs Fireware peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires à la session de l’utilisateur authentifié, notamment des délais d’attente et des adresses MUVPN. Étant donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous pouvez définir ces paramètres pour chaque utilisateur individuel au lieu de vous limiter aux paramètres globaux de Policy Manager. Pour plus d’informations, voir Utiliser les paramètres Active Directory ou LDAP facultatifs. 246 WatchGuard System Manager Authentification Utiliser les paramètres Active Directory ou LDAP facultatifs Fireware peut obtenir des informations supplémentaires du serveur d’annuaire (LDAP ou Active Directory) lors de la lecture de la liste d’attributs figurant dans la réponse à la recherche du serveur. Cela vous permet d’utiliser le serveur d’annuaire pour attribuer des paramètres supplémentaires à la session de l’utilisateur authentifié, notamment des délais d’attente et des adresses Mobile VPN. Étant donné que les données proviennent d’attributs LDAP associés à des objets d’utilisateur individuel, vous pouvez définir ces paramètres pour chaque utilisateur individuel au lieu de vous limiter aux paramètres globaux de Policy Manager. Avant de commencer Vous devez suivre plusieurs étapes pour utiliser ces paramètres facultatifs : développer le schéma d’annuaire pour ajouter de nouveaux attributs à ces éléments ; rendre les nouveaux attributs disponibles pour la classe d’objet à laquelle les comptes d’utilisateurs appartiennent ; donner des valeurs aux attributs pour les objets utilisateur qui doivent les utiliser. Vous devez effectuer des planifications et des tests précis avant de développer le schéma d’annuaire. Les ajouts au schéma d’Active Directory, par exemple, sont en général irrémédiables. Utilisez le site Web Microsoft afin d’obtenir des ressources pour planifier, tester et implémenter des modifications dans un schéma d’Active Directory. Consultez la documentation de votre fournisseur LDAP avant d’étendre le schéma pour d’autres annuaires. Spécifier les paramètres LDAP ou Active Directory facultatifs Pour spécifier des attributs supplémentaires que Fireware doit rechercher dans la réponse à la recherche du serveur d’annuaire, cliquez sur Paramètres facultatifs dans l’onglet LDAP ou sur l’onglet Active Directory dans Configuration > Authentification > Serveurs d’authentification. Fireware recherche les attributs indiqués, dans cette boîte de dialogue, dans la liste d’attributs résultant de la recherche et utilise la valeur d’attribut comme suit : Chaîne d’attributs IP Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer une adresse IP virtuelle au client Mobile VPN. Cet attribut doit comporter une seule valeur. Cette valeur doit être une adresse IP au format décimal avec points standard. L’adresse IP doit faire partie du pool d’adresses IP virtuelles que vous spécifiez lorsque vous créez le groupe Mobile VPN. Si Firebox ne trouve pas l’attribut IP dans la réponse à la recherche ou si vous ne spécifiez pas d’attribut dans Police Manager, il attribue au client Mobile VPN une adresse IP virtuelle du pool d’adresses IP virtuelles que vous créez lorsque vous définissez le groupe Mobile VPN. Guide de l’utilisateur 247 Authentification Chaîne d’attributs de masque réseau Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer un masque de sous-réseau à l’adresse IP virtuelle du client Mobile VPN. Cet attribut doit comporter une seule valeur. Cette valeur doit être un masque de sous-réseau au format décimal avec points standard. Le logiciel Mobile VPN attribue automatiquement un masque réseau si Firebox ne trouve pas l’attribut de masque réseau dans la réponse à la recherche ou si vous n’en spécifiez aucun dans Policy Manager. Chaîne d’attributs DNS Ce champ concerne uniquement les clients Mobile VPN. Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer une ou plusieurs adresses DNS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut être un attribut à valeurs multiples. Toutes les valeurs de l’attribut doivent être des adresses IP au format décimal avec points standard. Si Firebox ne trouve pas l’attribut DNS dans la réponse à la recherche ou si vous ne spécifiez pas d’attribut dans Policy Manager, il utilise les adresses WINS que vous entrez lorsque vous configurez des serveurs WINS et DNS. Chaîne d’attributs WINS Elle s’applique uniquement aux clients Mobile VPN.. Entrez le nom de l’attribut que Fireware doit utiliser pour attribuer une ou plusieurs adresses WINS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut être un attribut à valeurs multiples. Toutes les valeurs de l’attribut doivent être des adresses IP au format décimal avec points standard. Si Firebox ne trouve pas l’attribut WINS dans la réponse à la recherche ou si vous ne spécifiez pas d’attribut dans Policy Manager, il utilise les adresses WINS que vous entrez lorsque vous configurez des serveurs WINS et DNS. Chaîne d’attributs de la durée du bail Elle s’applique aux clients Mobile VPN et aux clients qui utilisent l’authentification d’accès au parefeu. Entrez le nom de l’attribut que Fireware doit utiliser pour contrôler la durée absolue pendant laquelle un utilisateur peut rester authentifié (délai d’expiration de la session). Une fois cette durée expirée, Fireware supprime l’utilisateur de sa liste d’utilisateurs authentifiés. Cet attribut doit comporter une seule valeur. Fireware interprète la valeur de l’attribut comme un nombre décimal de secondes. Il interprète zéro comme jamais inactif. Chaîne d’attributs de délai d’inactivité Elle s’applique aux clients Mobile VPN et aux clients utilisant l’authentification d’accès au pare-feu. Entrez le nom de l’attribut que Fireware doit utiliser pour contrôler la durée pendant laquelle un utilisateur peut rester authentifié sans qu’aucun trafic à destination de Firebox ne provienne de l’utilisateur (délai d’inactivité). En l’absence de trafic vers Firebox pendant cette durée, Fireware supprime l’utilisateur de sa liste d’utilisateurs authentifiés. Cet attribut doit comporter une seule valeur. Fireware interprète la valeur de l’attribut comme un nombre décimal de secondes. Il interprète zéro comme jamais inactif. 248 WatchGuard System Manager Authentification Utiliser un compte d’utilisateur local pour l’authentification Tous les utilisateurs peuvent s’authentifier en tant qu’utilisateur du pare-feu, utilisateur PPTP ou utilisateur Mobile VPN et ouvrir un tunnel PPTP ou un tunnel Mobile VPN si PPTP ou Mobile VPN est activé sur Firebox. Cependant, une fois l’authentification ou le tunnel établi, les utilisateurs peuvent envoyer le trafic via le tunnel VPN uniquement si une stratégie de Firebox autorise le trafic. Par exemple, un utilisateur n’utilisant que Mobile VPN peut envoyer des données via un tunnel Mobile VPN et non via un tunnel PPTP, même s’il peut s’authentifier et afficher un tunnel PPTP. Si vous utilisez l’authentification Active Directory et que l’appartenance d’un utilisateur à un groupe ne correspond pas à votre stratégie Mobile VPN, un message d’erreur signalant que le trafic déchiffré ne correspond à aucune stratégie s’affiche. Si ce message s’affiche, vérifiez que l’utilisateur fait partie d’un groupe dont le nom est identique à celui de votre groupe Mobile VPN. Voir également Ajouter des stratégies à votre configuration Utiliser les utilisateurs et groupes autorisés dans les stratégies Types de serveurs d’authentification Utiliser les utilisateurs et groupes autorisés dans les stratégies Lorsque vous configurez Firebox pour qu’il utilise un serveur d’authentification, commencez par utiliser des noms d’utilisateurs et de groupes spécifiés quand vous créez des stratégies dans Policy Manager. Vous pouvez, par exemple, définir toutes les stratégies de sorte que les connexions soient autorisées uniquement pour les utilisateurs authentifiés. Vous pouvez également limiter les connexions à une stratégie à des utilisateurs particuliers. Le terme utilisateurs et groupes autorisés fait référence aux utilisateurs et aux groupes qui sont autorisés à accéder aux ressources réseau. Définir des utilisateurs et des groupes pour l’authentification Firebox Si vous utilisez Firebox en tant que serveur d’authentification et que vous voulez définir des utilisateurs, ainsi que des groupes qui s’authentifient via Firebox, voir Définir un nouvel utilisateur pour l’authentification Firebox et Définir un nouveau groupe pour l’authentification Firebox. Guide de l’utilisateur 249 Authentification Définir des utilisateurs et des groupes pour l’authentification tierce 1. Créez un groupe sur votre serveur d’authentification tierce qui contienne tous les comptes d’utilisateurs de votre système. 2. Dans Manager Policy, sélectionnez Configurer > Authentification > Utilisateurs/groupes autorisés. La boîte de dialogue Utilisateurs et groupes autorisés s’affiche. 3. Cliquez sur Ajouter. La boîte de dialogue Définir un nouvel utilisateur ou groupe autorisé. 4. 5. 6. 7. 250 Entrez un nom d’utilisateur ou de groupe que vous avez créé sur le serveur d’authentification. (Facultatif) Entrez une description de l’utilisateur ou du groupe. Sélectionnez la case d’option Groupe ou Utilisateur. Dans la liste déroulante Serveur d’authentification, sélectionnez RADIUS (pour une authentification via un serveur médiateur RADIUS ou VACMAN), ou Tout (en cas d’authentification via tout autre type de serveur). Cliquez sur OK. WatchGuard System Manager Authentification Ajouter des utilisateurs et des groupes aux définitions des stratégies Tout utilisateur ou groupe que vous voulez utiliser dans vos définitions de stratégie doit être ajouté en tant qu’utilisateur autorisé. Tous les utilisateurs et groupes que vous créez pour l’authentification Firebox, et tous les utilisateurs Mobile VPN sont automatiquement ajoutés à la liste des utilisateurs et groupes autorisés dans la boîte de dialogue Utilisateurs et groupes autorisés. Vous pouvez ajouter n’importe quel utilisateur ou groupe de serveurs d’authentification tierce à la liste des utilisateurs et des groupes autorisés à l’aide de la procédure ci-dessus. Vous êtes alors prêt à ajouter des utilisateurs et des groupes à la configuration de votre stratégie. 1. Dans Policy Manager, double-cliquez sur l’icône de définition de la stratégie. La boîte de dialogue Modifier les propriétés de stratégie apparaît. 2. Sous la zone De, cliquez sur Ajouter. La boîte de dialogue Ajouter une adresse s’affiche. 3. Cliquez sur Ajouter un utilisateur. La boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés s’affiche. 4. Dans la zone Type, choisissez si l’utilisateur ou le groupe est autorisé en tant qu’utilisateur de pare-feu ou utilisateur PPTP. Pour plus d’informations sur ces types d’authentification, voir Types d’authentification. 5. Dans la liste déroulante située à droite de la zone Type sélectionnez Utilisateur ou Groupe. 6. Si votre utilisateur ou groupe s’affiche dans la liste ci-après, sélectionnez-le et cliquez sur Sélectionner. La boîte de dialogue Ajouter une adresse s’affiche de nouveau avec l’utilisateur ou le groupe dans la zone Membres ou adresses sélectionnées. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie. Si votre utilisateur ou groupe ne s’affiche pas dans la liste de la boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés, voir Définir un nouvel utilisateur pour l’authentification Firebox, Définir un nouveau groupe pour l’authentification Firebox ou la procédure « Définir des utilisateurs et des groupes pour l’authentification tierce » ci-dessus. Une fois que vous avez ajouté un utilisateur ou un groupe à la configuration d’une stratégie, WatchGuard System Manager ajoute automatiquement une stratégie d’authentification WatchGuard à votre configuration Firebox. Utilisez cette stratégie pour contrôler l’accès à la page Web d’authentification. Pour plus d’informations sur la modification de cette stratégie, voir Utiliser l’authentification pour restreindre le trafic entrant. Guide de l’utilisateur 251 Authentification 252 WatchGuard System Manager 13 Firewall Threat Protection À propos de Default Threat Protection WatchGuard Fireware et les stratégies que vous créez dans Policy Manager vous permettent de contrôler rigoureusement l’accès à votre réseau. Une stratégie d’accès stricte permet de protéger votre réseau des pirates. En revanche, il existe d’autres types d’attaques qu’une simple stratégie stricte n’est pas en mesure de déjouer. Une configuration rigoureuse des options Default Threat Protection de Firebox permet d’arrêter différents types d’attaques (par exemple, les attaques SYN Flood, d’usurpation ou d’exploration des espaces de ports et d’adresses). Avec Default Threat Protection, un pare-feu examine la source et la destination de chaque paquet qu’il reçoit. Il vérifie l’adresse IP et le numéro de port et surveille les paquets à la recherche de modèles indiquant un danger pour votre réseau. En cas de danger, vous pouvez configurer Firebox pour qu’il se bloque automatiquement contre l’attaque éventuelle. Cette méthode proactive de détection des intrusions permet de protéger votre réseau des personnes malveillantes. Pour configurer Default Threat Protection, voir : À propos des options de gestion des paquets par défaut À propos des sites bloqués À propos des ports bloqués Vous pouvez également acheter une mise à niveau de Firebox pour utiliser la fonctionnalité Intrusion Prevention basée sur les signatures. Pour plus d’informations, voir À propos de Gateway AntiVirus et Intrusion Prevention. Guide de l’utilisateur 253 Firewall Threat Protection À propos des options de gestion des paquets par défaut Le pare-feu examine la source et la destination de chaque paquet qu’il reçoit. Il vérifie l’adresse IP et le numéro de port. Il surveille également les paquets à la recherche de modèles susceptibles de présenter un danger pour votre réseau. Gestion des paquets par défaut : rejet des paquets présentant un risque de sécurité, notamment des paquets répertoriés comme faisant partie d’éventuelles attaques d’usurpation ou SYN flood ; possibilité de bloquer automatiquement tout le trafic à destination et en provenance d’une adresse IP source ; ajout d’un événement au fichier journal ; envoi d’une interruption SNMP au serveur Management Server SNMP ; envoi d’une notification de risques de sécurité potentiels. Définissez toutes les options de gestion des paquets par défaut dans la boîte de dialogue Gestion des paquets par défaut. 1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Gestion des paquets par défaut. Ou, cliquez sur l’icône de gestion des paquets par défaut dans la barre d’outils de Policy Manager. La boîte de dialogue Gestion des paquets par défaut s’affiche. 254 WatchGuard System Manager Firewall Threat Protection 2. Activez les cases à cocher correspondant aux modèles de trafic contre lesquels vous souhaitez vous protéger, comme cela est indiqué dans les rubriques suivantes : À propos des attaques d’usurpation À propos des attaques d’route source des adresses IP À propos des attaques d’espaces de port et d’adresses À propos des attaques Flood À propos des paquets non gérés À propos des attaques de refus de service distribué Définir des options de journalisation et de notification La configuration par défaut indique à Firebox d’envoyer un message de journal dès que l’un des événements spécifiés dans la boîte de dialogue Gestion des paquets par défaut se produit. Pour configurer une interruption SNMP ou une notification pour la gestion des paquets par défaut, cliquez sur Journalisation. Pour plus d’informations sur les paramètres de cette boîte de dialogue, voir Définir les préférences de journalisation et de notification. À propos des attaques d’usurpation Une des méthodes utilisées par les personnes malveillantes pour accéder à un réseau consiste à créer une « fausse identité électronique ». Cette « usurpation d’adresse IP » leur permet d’envoyer un paquet TCP/IP qui utilise une adresse IP différente de celle de l’hôte qui l’a envoyé en premier. Lorsque la protection contre l’usurpation est activée, Firebox s’assure que l’adresse IP source d’un paquet provient bien d’un réseau sur cette interface. Pour vous protéger contre les attaques d’usurpation, activez la case à cocher Supprimer les attaques d’usurpation dans la boîte de dialogue Gestion des paquets par défaut. À propos des attaques d’route source des adresses IP Les personnes malveillantes utilisent les attaques d’route source des adresses IP pour envoyer un paquet IP afin de découvrir l’route emprunté par le paquet sur le réseau. Elles peuvent ainsi voir la réponse envoyée aux paquets et obtenir des informations sur le système d’exploitation de l’ordinateur cible ou du périphérique réseau. Pour vous protéger contre les attaques d’route source des adresses IP, activez la case à cocher Supprimer l’route source des adresses IP dans la boîte de dialogue Gestion des paquets par défaut. Guide de l’utilisateur 255 Firewall Threat Protection À propos des attaques d’espaces de ports et d’espaces d’adresses Les personnes malveillantes utilisent des explorations pour rechercher des informations sur les réseaux et leurs hôtes. Les explorations de l’espace de ports examinent un hôte pour trouver les services qu’il utilise. Les explorations de l’espace d’addresses examinent un réseau pour déterminer les hôtes situés sur ce réseau. Firebox détecte les explorations des espaces de ports et d’adresses uniquement sur les interfaces dont le type est configuré sur Externe. Pour vous protéger des attaques d’espaces de ports et d’adresses, activez les cases à cocher Bloquer les explorations de l’espace de ports et Bloquer les explorations de l’espace d’adresses dans la boîte de dialogue Gestion des paquets par défaut. Vous pouvez ensuite utiliser les touches de direction pour sélectionner le nombre maximal autorisé d’adresses rnja ou d’explorations de ports par seconde pour chaque adresse IP source. Par exemple, si vous entrez 8 dans le champ Ports de dest./IP srce des explorations de l’espace de ports, une source est bloquée si elle initie des connexions à huit ports différents en une seconde sur un même hôte. Si vous entrez 8 dans le champ IP de dest./IP srce des explorations de l’espace d’adresses, une source est bloquée si elle initie des connexions à huit hôtes en une seconde. À propos des attaques Flood Lors d’une attaque Flood, des personnes malveillantes envoient un volume très important de trafic à un système l’empêchant ainsi de l’examiner et d’autoriser le trafic réseau légitime. Par exemple, une attaque ICMP Flood se produit lorsqu’un système reçoit un nombre de commandes ping ICMP tel qu’il est obligé d’utiliser toutes ses ressources pour envoyer des commandes de réponse. Firebox offre une protection contre les types d’attaques Flood suivants : Attaques IPSec Flood Attaques IKE Flood Attaques ICMP Flood Attaques SYN Flood Attaques UDP Flood Les attaques Flood sont également appelées attaques de refus de service (DoS, Denial of Service). La boîte de dialogue Gestion des paquets par défaut vous permet de configurer Firebox de sorte à vous protéger contre ces attaques. Activez les cases à cocher correspondant aux attaques Flood que vous souhaitez empêcher. Utilisez les flèches pour sélectionner le nombre maximal de paquets autorisé par seconde. À propos du paramètre des attaques SYN Flood Pour les attaques SYN Flood, vous définissez le seuil auquel Firebox signale la possibilité d’une telle attaque. Aucun paquet n’est abandonné lorsque ce nombre de paquets est reçu. Lorsque le double du seuil défini est atteint, tous les paquets SYN sont abandonnés. À tout moment entre le seuil que vous avez défini et le double de ce seuil, si les valeurs src_IP, dst_IP et total_length d’un paquet sont identiques à celles du paquet précédent, ce paquet est abandonné ; sinon, 25 pour cent des nouveaux paquets reçus sont abandonnés. Supposez, par exemple, que vous définissez le seuil à 18 paquets par seconde. Une fois cette quantité atteinte, Firebox vous avertit de l’éventualité d’une attaque SYN Flood, mais n’abandonne aucun paquet. Si vous recevez 20 paquets par seconde, Firebox abandonne 25 % des paquets (soit, 5 paquets). Si vous recevez au moins 36 paquets, les derniers 18 paquets sont abandonnés. 256 WatchGuard System Manager Firewall Threat Protection À propos des paquets non gérés Un paquet non géré est un paquet qui ne correspond à aucune règle créée dans Policy Manager. Firebox refuse toujours les paquets non gérés, mais vous pouvez prendre des mesures supplémentaires pour protéger votre réseau : Bloquer automatiquement la source de paquets non gérés : Sélectionnez l’option permettant de bloquer automatiquement la source des paquets non gérés. Firebox ajoute l’adresse IP qui a envoyé le paquet à la liste Sites bloqués temporairement. Envoyer un message d’erreur aux clients dont les connexions sont désactivées : Sélectionnez l’option permettant de renvoyer une réinitialisation TCP ou une erreur ICMP au client lorsque Firebox reçoit un paquet non géré. Consulter les statistiques sur les paquets non gérés Vous pouvez consulter les statistiques sur les paquets non gérés par Firebox dans l’onglet Suivi du service de Firebox System Manager. Utilisez la liste déroulante Afficher les connexions par pour afficher les connexions par règle plutôt que par stratégie. À propos des attaques de refus de service distribué Les attaques de refus de service distribué (DDoS, Distributed Denial of Service) sont quasiment identiques aux attaques Flood. Lors d’une attaque DDoS, un grand nombre de clients et serveurs différents envoient des connexions à un ordinateur pour tenter d’inonder le système et d’empêcher les utilisateurs habituels d’utiliser le système cible. La boîte de dialogue Gestion des paquets par défaut vous permet de configurer Firebox de sorte à vous protéger contre les attaques DDoS. Utilisez les touches de direction pour définir le nombre maximal de connexions par seconde autorisé à partir d’une adresse IP source protégée par l’option Firebox (Quota par client) ou vers une adresse IP de destination protégée par l’option Firebox (Quota par serveur). Les connexions qui dépassent ce quota sont abandonnées. Guide de l’utilisateur 257 Firewall Threat Protection À propos des sites bloqués La fonctionnalité Sites bloqués vous permet de protéger votre réseau de systèmes connus pour présenter ou pouvant présenter un risque de sécurité. Une fois que vous avez identifié la source du trafic suspect, vous pouvez bloquer l’ensemble des connexions en provenance de cette adresse IP. Il vous est en outre possible de configurer le périphérique Firebox pour qu’il envoie un message du journal chaque fois que la source tente de se connecter à votre réseau. Les services utilisés par les sources lors de leurs attaques sont mentionnés dans le fichier journal. Un site bloqué est représenté par une adresse IP qui n’est pas autorisée à se connecter via le périphérique Firebox. L’ensemble du trafic provenant d’une adresse IP bloquée est rejeté. Vous pouvez définir deux types d’adresses IP bloquées. Sites bloqués de façon permanente Le trafic réseau en provenance de sites bloqués de façon permanente est systématiquement refusé. Ces adresses IP sont stockées dans la liste des sites bloqués et doivent être ajoutées manuellement. Par exemple, vous pouvez ajouter à la liste des sites bloqués une adresse IP qui tente constamment d’analyser votre réseau, afin d’empêcher les analyses de port à partir de ce site. Pour bloquer un site, voir Bloquer un site de façon permanente. Liste des sites automatiquement bloqués/sites bloqués de façon temporaire Les paquets issus de sites automatiquement bloqués sont refusés pour la durée choisie. Pour déterminer si un site doit être bloqué, le périphérique Firebox se base sur les règles de traitement des paquets spécifiées dans chaque stratégie. Par exemple, si vous créez une stratégie visant à rejeter l’intégralité du trafic qui transite par le port 23 (Telnet), toute adresse IP essayant de faire circuler des données Telnet par le biais de ce port est automatiquement bloquée pour la durée spécifiée. Pour savoir comment bloquer automatiquement les sites dont le trafic est refusé, voir Bloquer temporairement des sites grâce aux paramètres de stratégie. Par ailleurs, vous avez la possibilité de bloquer automatiquement les sites fournissant des paquets qui ne correspondent à aucune des règles créées dans Policy Manager. Pour plus d’informations, voir À propos des paquets non gérés. 258 WatchGuard System Manager Firewall Threat Protection Bloquer un site de façon permanente ou bloquer des sites de logiciel espion 1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Sites bloqués. La boîte de dialogue Configuration des sites bloqués apparaît. 2. Cliquez sur Ajouter. La boîte de dialogue Ajouter un site s’affiche. 3. Dans la liste déroulante Choisir un type, sélectionnez la méthode utilisée pour identifier le site bloqué. Les méthodes disponibles sont les suivantes : IP de l’hôte, IP du réseau, Plage d’hôtes et Nom de l’hôte (recherche DNS). Guide de l’utilisateur 259 Firewall Threat Protection 4. Entrez la valeur. Celle-ci indique s’il s’agit d’une adresse IP ou d’une plage d’adresses IP. Lorsque vous entrez une adresse IP, tapez tous les chiffres sans oublier le point. N’utilisez pas la touche de tabulation ni la touche de direction. Vous ne pouvez pas ajouter d’adresses IP ou de réseau internes à la liste des sites bloqués. Si vous devez bloquer une plage d’adresses incluant une ou plusieurs adresses IP internes, commencez par inclure ces adresses IP dans la liste des exceptions aux sites bloqués. (Pour savoir comment ajouter des exceptions, voir Créer des exceptions à la liste des sites bloqués.) 5. (Facultatif) Saisissez des informations sur le site ou entrez un commentaire expliquant pour quelle raison vous souhaitez le bloquer. 6. Cliquez sur OK. Le nouveau site est ajouté à la liste des sites bloqués. Configurer la journalisation pour les sites bloqués Vous pouvez configurer Firebox pour qu’une entrée de journal soit créée lorsqu’un hôte tente d’accéder à un site bloqué. Pour signaler ce type de tentative, vous pouvez également définir une notification. Pour ce faire, cliquez sur Journalisation. Pour plus d’informations sur les paramètres de cette boîte de dialogue, voir Définir les préférences de journalisation et de notification. Bloquer des sites de logiciel espion Vous avez la possibilité de bloquer les hôtes représentant des sites de logiciel espion reconnus en configurant des catégories de logiciels espions à bloquer. Cette fonctionnalité est proposée dans le produit de base. Vous n’avez pas besoin d’acquérir Intrusion Prevention Service pour pouvoir l’utiliser. 1. Dans la boîte de dialogue Configuration des sites bloqués, activez la case à cocher Activer le blocage avec liste de blocage anti-logiciels espions. Cliquez sur Configurer. 2. Activez ou désactivez les cases à cocher ci-après afin d’activer ou de désactiver le blocage anti-logiciels espions pour les catégories correspondantes. Pour activer ou désactiver l’intégralité des catégories, activez ou désactivez la case à cocher Toutes les catégories de logiciels espions : Logiciels publicitaires Application logicielle dans laquelle apparaissent, en cours d’exécution, des bannières publicitaires. Ce type d’application inclut parfois du code destiné à enregistrer les informations personnelles d’un utilisateur et à les envoyer à des tiers, sans le consentement ou à l’insu de cet utilisateur. Numéroteur Application logicielle pouvant prendre le contrôle du modem d’un utilisateur et composer des numéros payants donnant accès à des sites Web inappropriés. Téléchargeur Programme qui extrait et installe d’autres fichiers. La plupart des téléchargeurs sont configurés pour récupérer des fichiers sur un site Web ou FTP donné. Pirate Type de programme malveillant modifiant les paramètres de votre navigateur et vous redirigeant vers des sites Web que vous n’aviez pas l’intention de visiter. Logiciels de suivi Tout logiciel utilisant la connexion Internet configurée sur un ordinateur pour envoyer des informations personnelles sans l’autorisation de l’utilisateur concerné. 260 WatchGuard System Manager Firewall Threat Protection Utiliser une liste externe de sites bloqués Si vous gérez plusieurs systèmes Firebox et souhaitez bloquer les mêmes sites pour chacun d’eux, répertoriez ces sites à bloquer dans un fichier externe, que vous importerez ensuite sur chaque système. Le fichier doit être au format texte (.txt). Les adresses IP que vous y indiquez doivent être séparées par des espaces ou des sauts de ligne. Pour préciser les réseaux, utilisez des barres obliques. Pour indiquer une plage d’adresses, fournissez la première adresse de la plage, suivie d’un tiret, puis la dernière adresse. Un fichier texte importé peut, par exemple, se présenter ainsi : 2.2.2.2 5.5.5.0/24 3.3.3.3-3.3.3.8 6.6.6.6 7.7.7.7 Pour importer le fichier sur le périphérique Firebox actuel, procédez comme suit : 1. Dans la boîte de dialogue Configuration des sites bloqués, cliquez sur Importer. 2. Recherchez le fichier. Double-cliquez dessus, ou sélectionnez-le et cliquez sur Ouvrir. Les sites inclus dans le fichier sont affichés dans la liste des sites bloqués. Créer des exceptions à la liste des sites bloqués Un hôte considéré comme une exception aux sites bloqués n’apparaît pas dans la liste des sites bloqués. Il n’est pas concerné par les règles automatiques. 1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Sites bloqués. Cliquez sur l’onglet Exceptions aux sites bloqués. 2. Cliquez sur Ajouter. 3. Dans la liste déroulante Choisir un type, sélectionnez un type de membre. Les options disponibles sont les suivantes : IP de l’hôte, IP du réseau, Plage d’hôtes et Nom de l’hôte (recherche DNS). 4. Entrez la valeur du membre. Le type de membre indique s’il s’agit d’une adresse IP ou d’une plage d’adresses IP. Lorsque vous entrez une adresse IP, tapez tous les chiffres sans oublier le point. N’utilisez pas la touche de tabulation ni la touche de direction. 5. Cliquez sur OK. Guide de l’utilisateur 261 Firewall Threat Protection Utiliser une liste externe d’exceptions aux sites bloqués Si vous gérez plusieurs systèmes Firebox et souhaitez utiliser les mêmes exceptions aux sites bloqués pour chacun d’eux, répertoriez ces exceptions dans un fichier externe, que vous importerez ensuite sur chaque système. La procédure est identique à celle pour les sites bloqués et est décrite dans la rubrique Utiliser une liste externe de sites bloqués. Bloquer temporairement des sites grâce aux paramètres de stratégie Pour bloquer des sites tentant d’utiliser un service refusé, vous pouvez recourir à la configuration d’une stratégie : 1. Dans Policy Manager, double-cliquez sur l’icône de stratégie. La boîte de dialogue Modifier les propriétés de stratégie apparaît. 2. Dans l’onglet Stratégie, dans la liste déroulante Connexions, choisissez l’option Refusé ou Refusé (envoi réinitialisation). 3. Dans l’onglet Propriétés, activez la case à cocher Bloquer automatiquement les sites qui tentent de se connecter. Les adresses IP des paquets refusés sont ajoutées à la liste des sites bloqués de façon temporaire, pour une durée de 20 minutes (par défaut). Vous pouvez modifier cette durée dans l’onglet Blocage auto. de la boîte de dialogue Configuration des sites bloqués. 4. Vous pouvez utiliser la liste des sites bloqués de façon temporaire ainsi que les messages des journaux pour choisir en toute connaissance de cause les adresses IP à bloquer de manière permanente. Dans la définition de stratégie, cliquez sur l’onglet Propriétés, puis sur le bouton Journalisation et définissez les préférences de journalisation et de notification. 262 WatchGuard System Manager Firewall Threat Protection À propos des ports bloqués Vous pouvez bloquer les ports qui sont susceptibles d’être utilisés pour déclencher une attaque sur votre réseau. Les services réseau externes spécifiés sont alors arrêtés. Le blocage d’un port est prioritaire sur toutes les définitions de stratégie que vous créez dans Policy Manager. Pour connaître la procédure de blocage, voir Bloquer un port. Vous pouvez choisir de bloquer un port pour diverses raisons: En bloquant vos ports, vous protégez vos services les plus vulnérables. Cette fonctionnalité vous permet d’éviter des erreurs dans la configuration de Firebox. Les explorations de services vulnérables peuvent entraîner la création d’entrées de journal indépendantes. Ports bloqués par défaut Dans la configuration par défaut, le périphérique Firebox bloque certains ports de destination. En règle générale, il est inutile de modifier cette configuration de base. Les paquets TCP et UDP sont bloqués sur les systèmes et pour les ports suivants: X Window System (ports 6000-6005) La connexion au client X Window System (ou X-Windows) n’est pas chiffrée, c’est pourquoi il est dangereux d’y avoir recours sur Internet. X Font Server (port 7100) De nombreuses versions de X-Windows exécutent des serveurs X Font Server. Ces derniers jouent le rôle de super utilisateur sur certains hôtes. Système de gestion de fichiers en réseau (NFS) (port 2049) Le système de gestion de fichiers en réseau (NFS) est un service TCP/IP couramment utilisé permettant à un grand nombre d’utilisateurs de manipuler les mêmes fichiers au sein d’un réseau. Dans les nouvelles versions de ce système, d’importants problèmes d’authentification et de sécurité ont été mis à jour. Il peut être très dangereux de fournir ce type de système sur Internet. Le portmapper utilise fréquemment le port 2049 pour le système de gestion de fichiers en réseau. Si vous employez ce système, vérifiez que le port 2049 lui est dédié sur l’ensemble des ordinateurs. rlogin, rsh, rcp (ports 513 et 514) Ces services permettent d’accéder à d’autres ordinateurs à distance. Ils constituent un risque en matière de sécurité et de nombreux pirates les explorent. Portmapper RPC (port 111) Les services RPC utilisent le port 111 pour rechercher les ports employés par un serveur RPC spécifique. Ils sont très vulnérables via Internet. port 8000 De nombreux fournisseurs ont recours à ce port, qui pose beaucoup de problèmes de sécurité. port 1 Le service TCPmux utilise le port 1, mais cela arrive rarement. Vous pouvez le bloquer et ainsi rendre l’examen des ports par les outils plus difficile. port 0 Ce port est systématiquement bloqué par Firebox. Vous ne pouvez pas autoriser le trafic entre le port 0 et le périphérique Firebox. Si vous devez autoriser le trafic pour les types d’applications logicielles qui ont recours à des ports bloqués recommandés, il est conseillé de le faire uniquement par le biais d’un tunnel VPN IPSec ou d’utiliser ssh pour accéder au port. Guide de l’utilisateur 263 Firewall Threat Protection Bloquer un port Soyez prudent si vous bloquez des numéros de port supérieurs à 1023. Les clients utilisent fréquemment ces numéros de port source. 1. Dans Policy Manager, sélectionnez Configurer > Default Threat Protection > Ports bloqués. La boîte de dialogue Ports bloqués apparaît. 2. Entrez le numéro du port. Cliquez sur Ajouter. Le nouveau numéro de port est alors inclus dans la liste des ports bloqués. Bloquer des adresses IP tentant d’utiliser des ports bloqués Vous pouvez configurer Firebox de sorte à bloquer automatiquement un hôte externe tentant d’accéder à un port bloqué. Dans la boîte de dialogue Ports bloqués, activez la case à cocher Bloquer automatiquement les sites qui tentent d’utiliser des ports bloqués. Définir la journalisation et la notification pour les ports bloqués Vous pouvez configurer Firebox de sorte qu’une entrée de journal soit créée lorsqu’un hôte tente d’accéder à un port bloqué. Pour signaler ce type de tentative, vous pouvez également définir une notification. Pour ce faire, cliquez sur Journalisation. Pour plus d’informations sur les paramètres de cette boîte de dialogue, voir Définir les préférences de journalisation et de notification. 264 WatchGuard System Manager 14 Stratégies À propos des stratégies Firebox utilise deux catégories de stratégie pour filtrer le trafic réseau : les filtres de paquets et les proxies. Un filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet. Si les informations d’en-tête du paquet sont légitimes, Firebox autorise le paquet. Dans le cas contraire, il l’abandonne. Un proxy examine non seulement les en-têtes, mais également le contenu. Lorsque vous activez un proxy, Firebox utilise une inspection avancée des paquets pour garantir la sécurité des connexions. Il ouvre chaque paquet l’un à la suite de l’autre, extrait l’en-tête de la couche réseau et inspecte l’entrée Payload du paquet. Enfin, le proxy retourne les informations réseau au paquet et l’envoie à sa destination. Firebox comprend de nombreux filtres de paquets et proxies prédéfinis que vous pouvez ajouter à votre configuration. Par exemple, si vous souhaitez appliquer un filtre de paquets à l’ensemble du trafic Telnet, ajoutez une stratégie Telnet prédéfinie que vous pourrez ensuite modifier selon vos besoins. Vous pouvez également personnaliser une stratégie en définissant ses ports, ses protocoles et d’autres paramètres. Ensemble, les filtres de paquets et proxies forment ce que l’on appelle des stratégies. Sauf indication contraire, les informations sur les stratégies renvoient à des proxies et à des filtres de paquets. À propos de l’utilisation de stratégies sur votre réseau La politique de sécurité de votre entreprise correspond à un ensemble de règles qui définissent la façon dont vous protégez votre réseau informatique et les informations qui le traversent. Firebox refuse tous les paquets qui ne sont pas spécifiquement autorisés. Cette politique de sécurité permet de protéger votre réseau contre : les attaques qui utilisent de nouveaux protocoles IP ou d’autres protocoles IP ; les applications inconnues. Lorsque vous configurez Firebox avec l’Assistant Quick Setup Wizard, ce dernier ajoute uniquement quatre stratégies simples (trafic sortant TCP/UDP, filtre de paquets FTP, ping et WatchGuard), ainsi que les adresses IP des interfaces. Si Edge doit inspecter d’autres applications logicielles et davantage de trafic réseau, vous devez : Configurer les stratégies sur Firebox pour que suffisamment de trafic circule. Définir les hôtes approuvés et les propriétés pour chaque stratégie. Trouver un équilibre entre les besoins en sécurité de votre réseau et les besoins de vos utilisateurs en termes d’accès aux ressources externes. Il est conseillé de définir des limites pour le trafic sortant lorsque vous configurez Firebox. Guide de l’utilisateur 265 Stratégies Voici un exemple d’utilisation d’une stratégie : supposons que l’administrateur réseau d’une société souhaite activer une connexion de services de terminal Windows au serveur Web public de sa société, via l’interface approuvée de Firebox. Il gère de manière régulière le serveur Web avec une connexion Remote Desktop. Parallèlement, il souhaite s’assurer qu’aucun autre utilisateur du réseau ne pourra accéder aux services de terminal RDP via Firebox. Pour ce faire, l’administrateur réseau ajoute une stratégie qui autorise les connexions RDP uniquement pour l’adresse IP de son propre PC à l’adresse IP du serveur Web public. À propos de Policy Manager Policy Manager pour Fireware ou Fireware Pro est un outil logiciel WatchGuard qui vous permet de créer, modifier et enregistrer des fichiers de configuration. Lorsque vous utilisez l’interface utilisateur de Policy Manager sur l’écran de votre ordinateur, une version facile à examiner et à modifier de votre fichier de configuration est affichée. Pour ouvrir Policy Manager, voir Ouvrir Policy Manager. Fenêtre Policy Manager Cette fenêtre est constituée de deux onglets. L’onglet Pare-feu indique les stratégies qui sont utilisées pour le trafic de pare-feu général sur le périphérique Firebox. Cet onglet indique également les stratégies BOVPN afin que vous puissiez voir l’ordre dans lequel Firebox examine le trafic réseau et applique une règle de stratégie. (Pour modifier cet ordre, voir À propos de la priorité des stratégies.) L’onglet Mobile VPN with IPSec indique les stratégies qui sont utilisées avec les tunnels Mobile VPN with IPSec. L’interface utilisateur de Policy Manager peut afficher soit des icônes qui représentent chaque stratégie de votre configuration (mode Grandes icônes, qui est le mode d’affichage par défaut), soit une liste de stratégies (mode Détails). Pour basculer entre ces deux modes, voir Modifier l’affichage de Policy Manager. Icônes de stratégie La fenêtre Policy Manager contient des icônes pour les stratégies qui sont définies sur le périphérique Firebox. Vous pouvez double-cliquer sur ces icônes pour modifier les propriétés de cette stratégie. L’apparence des icônes indique leur statut et leur type : Les stratégies activées qui autorisent le trafic sont affichées avec une barre verte et une coche. Les stratégies activées qui refusent le trafic sont affichées avec une barre rouge et un X. Les stratégies désactivées ont une barre noire. Une icône contenant un symbole de bouclier sur le côté gauche est une stratégie de proxy. Les autres sont des stratégies de filtre de paquets. Les noms des stratégies apparaissent en couleur en fonction du type de stratégie : Les stratégies gérées sont affichées en gris sur fond blanc. Les stratégies BOVPN (comme BOVPN-allow.out) sont affichées en vert sur fond blanc. Les stratégies mixtes BOVPN et pare-feu (comme ping ou Any-PPTP) sont affichées en bleu sur fond blanc. Toutes les autres stratégies sont affichées en noir sur fond blanc. Pour modifier ces couleurs par défaut, voir Modifier les couleurs utilisées dans le texte de Policy Manager. Pour rechercher une stratégie spécifique dans Policy Manager, voir Rechercher une stratégie par adresse, port ou protocole. 266 WatchGuard System Manager Stratégies Ouvrir Policy Manager Pour ouvrir Policy Manager, procédez comme suit dans la fenêtre WatchGuard System Manager : Sélectionnez le périphérique Firebox dont vous voulez ouvrir le gestionnaire Policy Manager, puis cliquez sur ou . Sélectionnez Outils > Policy Manager. Si le périphérique Firebox sélectionné est un périphérique géré, Policy Manager place un verrou sur celui-ci dans WatchGuard System Manager pour éviter les modifications simultanées de sa définition dans WatchGuard System Manager. Le verrou est libéré lorsque vous fermez Policy Manager ou si vous l’ouvrez pour un autre périphérique. Modifier l’affichage de Policy Manager Mode Grandes icônes Guide de l’utilisateur 267 Stratégies Policy Manager possède deux modes d’affichage : Grandes icônes et Détails. Le mode Grandes icônes par défaut affiche chaque stratégie sous la forme d’une icône. Pour passer en mode Détails, sélectionnez Détails dans le menu Affichage. En mode Détails, chaque stratégie est représentée par une ligne d’informations divisée en plusieurs colonnes. Vous pouvez voir les informations de configuration, notamment la source et la destination, de même que les paramètres de journalisation et de notification. Mode Détails Les informations suivantes sont affichées pour chaque stratégie : Ordre Ordre dans lequel les stratégies sont triées et le trafic s’écoule au travers des stratégies. Policy Manager trie automatiquement les stratégies de la plus spécifique à la plus générale. Si vous souhaitez passer en mode de classement manuel, sélectionnez Affichage > Mode de classement automatique de manière à faire disparaître la coche. Sélectionnez ensuite la stratégie dont vous voulez modifier l’ordre et faites-la glisser à son nouvel emplacement. Action Action entreprise par la stratégie pour le trafic qui correspond à la spécification. Le symbole affiché dans ce champ indique également si la stratégie est une stratégie de filtre de paquets ou une stratégie de proxy. Coche verte = la stratégie est une stratégie de filtre de paquets et le trafic est autorisé. X rouge = la stratégie est une stratégie de filtre de paquets et le trafic est refusé. Cercle avec ligne = la stratégie est une stratégie de filtre de paquets et l’action de ce trafic n’est pas configurée. Bouclier vert avec coche = la stratégie est une stratégie de proxy et le trafic est autorisé. Bouclier rouge avec coche = la stratégie est une stratégie de proxy et le trafic est autorisé. Bouclier gris = la stratégie est une stratégie de proxy et l’action de ce trafic n’est pas configurée. Nom de la stratégie Nom de la stratégie, comme défini dans le champ Nom de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie. (Pour plus d’informations, voir Ajouter une stratégie à partir de la liste des modèles.) Type de stratégie Les stratégies de filtre de paquets sont répertoriées par leur nom. Les stratégies de proxy sont répertoriées par leur nom suivi de la mention « -proxy ». Type de trafic Type de trafic examiné par la stratégie : pare-feu ou VPN. Journal Indique si la journalisation est activée pour la stratégie. 268 WatchGuard System Manager Stratégies Alarme Indique si des alarmes sont configurées pour la stratégie. De Adresses à partir desquelles le trafic de cette stratégie s’applique (adresses sources). À Adresses vers lesquelles le trafic de cette stratégie s’applique (adresses de destination). Routage basé sur la stratégie (PBR) Indique si la stratégie utilise le routage basé sur la stratégie. Si c’est le cas et que le basculement n’est pas activé, le numéro de l’interface s’affiche. Si le routage basé sur la stratégie et le basculement sont activés, une liste de numéros d’interface s’affiche. L’interface principale est indiquée en premier. Pour plus d’informations sur le routage basé sur la stratégie, voir Configurer le routage basé sur stratégie. Port Protocoles et ports utilisés par la stratégie. Modifier les couleurs utilisées pour le texte de Policy Manager La configuration par défaut de Policy Manager fait apparaître les noms des stratégies (ou la ligne entière en mode d’affichage Détails) en surbrillance et dans une certaine couleur selon le type de trafic : les stratégies gérées apparaissent en gris sur fond blanc ; les stratégies BOVPN (telles que BOVPN-allow.out) apparaissent en vert sur fond blanc ; les stratégies BOVPN et de pare-feu mixtes (telles que Ping ou Any-PPTP) apparaissent en bleu sur fond blanc ; toutes les autres stratégies (normales) ne sont pas mises en surbrillance. Elles apparaissent en noir. Vous pouvez utiliser les couleurs par défaut ou en sélectionner d’autres. Vous pouvez aussi désactiver la mise en surbrillance des stratégies. 1. Dans Policy Manager, sélectionnez Affichage > Mise en surbrillance des stratégies. La boîte de dialogue Mise en surbrillance des stratégies s’ouvre. Guide de l’utilisateur 269 Stratégies 2. Pour activer ou désactiver la mise en surbrillance des stratégies, activez ou désactivez la case à cocher Mettre en surbrillance les stratégies selon le type de trafic. 3. Afin de sélectionner d’autres couleurs de texte ou d’arrière-plan pour les noms des stratégies normales, gérées, BOVPN ou mixtes, cliquez sur le bloc en regard de la zone Couleur du texte ou Couleur d’arrière-plan. La boîte de dialogue Sélectionner la couleur du texte ou Sélectionner la couleur de l’arrière-plan s’ouvre. 4. Utilisez les trois onglets, Échantillons, TSL ou RVB pour définir la couleur souhaitée : o Échantillons : cliquez sur l’un des petits échantillons de couleurs disponibles. o TSL : activez la case d’option T (teinte), S (saturation) ou L (luminosité), puis utilisez le curseur ou entrez des nombres dans les champs adjacents. o RVB : utilisez les curseurs Rouge, Vert ou Bleu ou entrez des valeurs dans les champs adjacents. Lorsque vous définissez une couleur, un aperçu est visible dans la zone Aperçu au bas de la boîte de dialogue. Lorsque la couleur vous convient, cliquez sur OK. 5. Cliquez sur OK dans la boîte de dialogue Mise en surbrillance des stratégies pour que les modifications soient appliquées. 270 WatchGuard System Manager Stratégies Rechercher une stratégie par adresse, port ou protocole 1. Dans Policy Manager, sélectionnez Edition > Rechercher. La boîte de dialogue Rechercher des stratégies s’ouvre. 2. Activez la case d’option Adresse, Numéro de port ou Protocole pour définir le critère selon lequel vous souhaitez rechercher la stratégie. 3. En regard de la zone Rechercher toutes les stratégies pour, entrez la chaîne en question. Pour des recherches par adresse et protocole, Policy Manager réalise une recherche sur une partie de la chaîne. Vous pouvez entrer uniquement une partie de la chaîne, et Policy Manager présente toutes les stratégies qui la contiennent. 4. Cliquez sur Rechercher. Policy Manager présente les stratégies qui répondent aux critères dans la zone Stratégies trouvées. 5. Pour modifier une stratégie renvoyée par la recherche, double-cliquez sur son nom. Guide de l’utilisateur 271 Stratégies Ajouter des stratégies à votre configuration Pour ajouter une stratégie, choisissez-en une dans la liste des modèles de stratégie de Policy Manager. Un modèle de stratégie contient le nom et une brève description de la stratégie, ainsi que le protocole/port qu’elle utilise. Pour consulter la liste des modèles proposés, voir Voir la liste des modèles de stratégie. Pour savoir comment ajouter l’une des stratégies de la liste à votre configuration, voir Ajouter une stratégie à partir de la liste des modèles. Pour voir ou modifier la définition d’un modèle de stratégie, voir Afficher les détails d’un modèle et modifier des modèles de stratégie. Si vous gérez plusieurs périphériques Firebox avec des stratégies personnalisées, vous pouvez utiliser la fonction d’importation/exportation de stratégie pour copier les stratégies d’un périphérique Firebox vers un autre. Pour plus d’informations, voir Importer et exporter des modèles de stratégie. Après avoir ajouté une stratégie à votre configuration, il convient de définir des règles pour : Définir des sources et destinations de trafic autorisées. Créer des règles de filtrage. Activer ou désactiver la stratégie. Configurer des propriétés telles que la gestion du trafic, la traduction d’adresses réseau, les calendriers et la journalisation. Pour plus d’informations sur les options disponibles lors de la définition des propriétés d’une stratégie, voir À propos des propriétés de stratégie. 272 WatchGuard System Manager Stratégies Voir la liste des modèles de stratégie 1. Dans Policy Manager, cliquez sur le signe plus (+) situé dans la barre d’outils du gestionnaire. Éventuellement, sélectionnez Edition > Ajouter des stratégies. La boîte de dialogue Ajouter des stratégies s’ouvre. 2. Cliquez sur le signe plus (+) à gauche du dossier pour développer les dossiers Filtres de paquets ou Proxies. Une liste des modèles de filtres de paquets ou de proxies apparaît. Guide de l’utilisateur 273 Stratégies Pour voir les informations de base sur un modèle de stratégie, sélectionnez-le. L’icône de stratégie est visible dans la zone située en dessous des boutons du volet droit de la boîte de dialogue. De plus, une zone Détails présente des informations détaillées sur la stratégie. 274 WatchGuard System Manager Stratégies Ajouter une stratégie à partir de la liste des modèles 1. Si ce n’est déjà fait, dans la boîte de dialogue Ajouter des stratégies, développez les dossiers Filtres de paquets ou Proxies. Une liste des modèles de filtres de paquets ou de proxies vous est présentée. 2. Sélectionnez le nom de la stratégie que vous souhaitez ajouter. Cliquez sur Ajouter. La boîte de dialogue Propriétés de la nouvelle stratégie s’ouvre. 3. Vous pouvez modifier le nom de la stratégie ici. Ces informations sont présentées dans le volet de détails de Policy Manager. Pour modifier le nom, entrez-le dans la zone de texte Nom. 4. Définissez les règles d’accès de la stratégie, de la manière décrite à la rubrique Définir les règles d’accès pour une stratégie. 5. Cliquez sur OK pour fermer la boîte de dialogue Propriétés. Vous pouvez ajouter d’autres stratégies tant que la boîte de dialogue Stratégies est ouverte. 6. Cliquez sur Fermer. La nouvelle stratégie figure à présent dans Policy Manager. Guide de l’utilisateur 275 Stratégies Ajouter plusieurs stratégies du même type Si la politique de sécurité de votre entreprise l’exige, vous pouvez ajouter la même stratégie plusieurs fois. Par exemple, vous pouvez limiter l’accès Web pour la majorité des utilisateurs et accorder un accès Web total aux membres de la direction. Pour ce faire, créez deux stratégies différentes avec des propriétés différentes : 1. Ajoutez la première stratégie. 2. Remplacez le nom actuel de la stratégie par un nom qui soit représentatif de votre stratégie de sécurité, puis ajoutez les informations qui y sont associées. Si nous reprenons notre exemple, nommons la première stratégie accès_web_limité. 3. Cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’ouvre. Les paramètres de stratégie par défaut conviennent à la plupart des installations. En revanche, vous pouvez les modifier de manière à répondre à vos besoins spécifiques ou si vous préférez inclure des propriétés de stratégie spéciales, telles que des actions de gestion du trafic et des calendriers d’application. Pour plus d’informations sur les propriétés de stratégie, voir À propos des propriétés de stratégie. 4. Ajoutez la seconde stratégie. 5. Cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’ouvre. Pour savoir comment modifier les propriétés de stratégie par défaut, voir À propos des propriétés de stratégie. Afficher les détails d’un modèle et modifier des modèles de stratégie Pour afficher un modèle de stratégie, sélectionnez-le dans la boîte de dialogue Ajouter des stratégies, puis cliquez sur Modifier. Vous n’avez généralement pas besoin d’afficher le modèle réel car les informations pertinentes du modèle apparaissent dans la zone Détails lorsque vous sélectionnez un modèle de stratégie dans la boîte de dialogue Ajouter des stratégies. Dans les modèles prédéfinis (ceux définis sous Filtres de paquets et proxies dans la boîte de dialogue Ajouter des stratégies), vous ne pouvez modifier que le champ Description. De même, vous ne pouvez pas supprimer des stratégies prédéfinies. Vous pouvez en revanche effectuer ces deux opérations sur les modèles de stratégie personnalisés. Pour plus d’informations sur les stratégies personnalisées, voir À propos des stratégies personnalisées. 276 WatchGuard System Manager Stratégies Désactiver une stratégie Pour désactiver une stratégie, vous pouvez cliquer dessus avec le bouton droit de la souris dans la fenêtre Policy Manager et sélectionner Désactiver la stratégie. Lorsqu’une stratégie est désactivée, l’option de menu est remplacée par Activer la stratégie. Vous pouvez utiliser cette option pour réactiver la stratégie. Vous pouvez également désactiver la case à cocher Activer en haut de la boîte de dialogue Modifier les propriétés de stratégie pour désactiver une stratégie. Si vous souhaitez réactiver la stratégie, activez la case à cocher Activer. Supprimer une stratégie Suite aux modifications de votre stratégie de sécurité, vous devrez parfois supprimer une ou plusieurs stratégies. Pour supprimer une stratégie, vous devez commencer par la supprimer de Policy Manager. Vous pourrez ensuite enregistrer la nouvelle configuration sur le périphérique Firebox. 1. Dans Policy Manager, cliquez sur la stratégie. 2. Dans Policy Manager, cliquez sur le bouton X dans la barre d’outils Policy Manager. Vous pouvez également sélectionner Modifier > Supprimer la stratégie. 3. Lorsque vous êtes invité à confirmer la suppression, cliquez sur Oui. 4. Enregistrez la configuration sur le périphérique Firebox, puis redémarrez-le. Sélectionnez Fichier > Enregistrer > Sur Firebox. Tapez le mot de passe de configuration. Activez la case à cocher Enregistrer sur Firebox. Cliquez sur Enregistrer. Guide de l’utilisateur 277 Stratégies À propos des stratégies personnalisées Vous pouvez définir une stratégie personnalisée pour le trafic si vous souhaitez mettre en Suvre un protocole qui n’est pas prévu par défaut en tant qu’option de configuration de Firebox. Vous pouvez ajouter une stratégie personnalisée qui utilise : Des ports TCP Des port UDP Un protocole IP qui n’est ni TCP ni UDP, tel que GRE, AH, ESP, ICMP, IGMP ou OSPF. Vous déterminez si un protocole IP n’est ni TCP ni UDP grâce à son numéro de protocole IP. Pour créer une stratégie personnalisée, voir Créer un modèle de stratégie personnalisée. Sinon, commencez par un modèle personnalisé existant. Pour ajouter une stratégie personnalisée au Policy Manager, suivez la même procédure que pour une stratégie prédéfinie, de la manière décrite dans la rubrique Ajouter une stratégie à partir de la liste des modèles. Créer ou modifier un modèle de stratégie personnalisée Pour créer une stratégie, il convient d’abord de réaliser un modèle sur lequel elle sera basée. Le modèle est ensuite ajouté au dossier Personnalisé dans la boîte de dialogue Ajouter des stratégies. Vous pouvez ensuite ajouter la stratégie et la configurer comme une stratégie prédéfinie. Vous pouvez également suivre cette procédure pour modifier un modèle de stratégie existant. À l’étape 2, cliquez sur le bouton Modifier. 1. Dans Policy Manager, cliquez sur le signe plus (+) situé dans la barre d’outils du Gestionnaire. Éventuellement, sélectionnez Edition > Ajouter des stratégies. La boîte de dialogue Ajouter des stratégies s’ouvre. 2. Cliquez sur Nouveau. La boîte de dialogue Nouveau modèle de stratégie s’ouvre. 278 WatchGuard System Manager Stratégies 3. Dans la zone de texte Nom, entrez le nom de la stratégie personnalisée. Le nom figure à présent dans Policy Manager comme type de stratégie. Un nom unique permet de facilement retrouver une stratégie si vous souhaitez la modifier ou la supprimer. Ce nom doit être différent de ceux figurant dans la liste de la boîte de dialogue Ajouter une stratégie. 4. Dans la zone de texte Description, entrez la description de la stratégie. Elle est visible dans le volet de détails lorsque vous cliquez sur le nom de la stratégie dans la liste des filtres utilisateur. 5. Sélectionnez le type de stratégie : Filtre de paquets ou Proxy. 6. Pour associer des protocoles à cette stratégie, cliquez sur Ajouter. La boîte de dialogue Ajouter un protocole s’ouvre. 7. Dans la liste déroulante Type, sélectionnez Port unique ou Plage de ports. 8. Dans la liste déroulante Protocole, sélectionnez le protocole à associer à cette nouvelle stratégie. Pour plus d’informations sur les protocoles réseau, voir le Guide de référence ou l’aide en ligne. Si vous sélectionnez Port unique, vous avez le choix entre les types suivants : o TCP o UDP o GRE o AH o ESP o ICMP o IGMP o OSPF o IP o Tout Si vous sélectionnez Plage de ports, vous avez le choix entre les types suivants : o TCP o UDP Guide de l’utilisateur 279 Stratégies Lorsque vous ajoutez une stratégie IGMP à la configuration de Fireware, ce dernier ne transmet pas le trafic multidiffusion IGMP via Firebox ni entre les interfaces de Firebox. Il achemine le trafic multidiffusion IGMP entre une interface et le périphérique Firebox. Si vous sélectionnez Plage de ports, vous avez le choix entre les types de port TCP ou UDP. 1. Dans la liste déroulante Port du serveur, sélectionnez le port à associer à cette nouvelle stratégie. Si vous avez sélectionné Plage de ports, choisissez un port serveur de début et un port serveur de fin. 2. Cliquez sur OK. Policy Manager ajoute les valeurs à la boîte de dialogue Nouveau modèle de stratégie. Assurez-vous que le nom, les informations et la configuration de cette stratégie sont corrects. Si nécessaire, cliquez sur Ajouter pour associer d’autres ports à cette stratégie. Répétez les étapes 6, 7, 8, 9 et 10 jusqu’à ce que vous ayez configuré tous les ports associés à cette stratégie. 3. Cliquez sur OK. La boîte de dialogue Ajouter une stratégie s’ouvre et présente la nouvelle stratégie dans le dossier Personnalisé. 4. Vous pouvez à présent utiliser le modèle de stratégie personnalisée pour ajouter une stratégie personnalisée à votre configuration. Suivez la même procédure que pour un modèle prédéfini (décrite à la rubrique Ajouter une stratégie à partir de la liste des modèles). La seule différence est qu’à l’étape 1, la stratégie est visible dans le dossier Personnalisé et non pas dans les dossiers Filtres de paquets ou Proxies. Importer et exporter des modèles de stratégie personnalisée Si vous gérez plusieurs périphériques Firebox et leur appliquez des stratégies personnalisées, vous pouvez utiliser la fonction importer/exporter pour gagner du temps. Vous pouvez définir les modèles sur un périphérique Firebox, les exporter dans un fichier ASCII, puis les importer sur un autre périphérique Firebox. Le périphérique Firebox sur lequel vous créez les stratégies doivent exécuter la même version de WSM que la version de Policy Manager que vous utilisez pour importer les stratégies. Vous ne pouvez pas importer un modèle d’une version précédente vers la version actuelle. 1. Sur le premier périphérique Firebox, définissez des modèles de stratégie personnalisée pour les stratégies dont vous avez besoin. 2. Cliquez sur Exporter. Vous n’avez pas besoin de sélectionner les stratégies personnalisées. La fonction d’exportation exporte automatiquement toutes les stratégies personnalisées quelle que soit celle qui est sélectionnée. 3. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous voulez enregistrer le fichier de modèles de stratégie. Tapez un nom pour le fichier, puis cliquez sur Enregistrer. L’emplacement par défaut est Mes documents > Mon WatchGuard. 4. Dans le gestionnaire Policy Manager d’un autre périphérique Firebox, dans la boîte de dialogue Ajouter des stratégies, cliquez sur Importer. 5. Recherchez le fichier que vous avez créé à l’étape 3, puis cliquez sur Ouvrir. 6. Si des modèles de stratégie personnalisée sont déjà définis dans le gestionnaire Policy Manager actuel, vous êtes invité à indiquer si vous souhaitez remplacer les modèles existants ou ajouter les modèles importés aux modèles existants. Cliquez sur Remplacer ou sur Ajouter. Si vous cliquez sur Remplacer, les modèles existants sont supprimés et remplacés par les nouveaux modèles. Si vous cliquez sur Ajouter, les modèles existants et les modèles importés sont répertoriés par ordre alphabétique sous Personnalisé. 280 WatchGuard System Manager Stratégies À propos des propriétés de stratégie Le périphérique Firebox comprend une définition par défaut pour chaque stratégie incluse dans la configuration Firebox. La définition par défaut regroupe des paramètres qui peuvent s’appliquer à la plupart des installations. Toutefois, vous pouvez les modifier pour répondre à vos besoins spécifiques ou pour inclure des propriétés de stratégie spéciales, comme des actions de gestion du trafic et des planifications d’opération. Pour définir les propriétés d’une stratégie, double-cliquez sur l’icône de la stratégie ou sur son nom dans la fenêtre Policy Manager de manière à ouvrir la boîte de dialogue Modifier les propriétés de stratégie. Ou, si vous venez d’ajouter une stratégie à votre configuration, la zone Propriétés de la nouvelle stratégie s’affiche automatiquement afin que vous puissiez définir les propriétés de la stratégie. Consultez les rubriques suivantes pour plus d’informations sur les propriétés de stratégie que vous pouvez définir : Onglet Stratégie Pour plus d’informations sur la liste déroulante Les connexions à nom_stratégie sont et les champs De et À, voir Définir les règles d’accès pour une stratégie. Configurer le routage basé sur stratégie Configurer la traduction d’adresses réseau statique ou À propos de l’utilisation de la traduction d’adresses réseau statique dans une stratégie Configurer l’équilibrage de charge côté serveur ou À propos de l’équilibrage de charge côté serveur Onglet Propriétés À propos des actions de proxy (stratégies de proxy uniquement) Définir les préférences de journalisation et de notification Bloquer temporairement les sites avec des paramètres de stratégie Définir un délai d’inactivité personnalisé Paramètres des actions de proxy (stratégies de proxy uniquement) Les proxys WatchGuard possèdent des ensembles de règles prédéfinis qui fournissent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy (la première icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la partie gauche de la boîte de dialogue. Pour plus d’informations, voir À propos des règles et des ensembles de règles, ainsi que la rubrique « À propos de » du type de stratégie spécifique : À propos du proxy DNS À propos du proxy POP3 À propos du proxy FTP À propos du proxy SIP À propos du proxy H.323 À propos du proxy SMTP À propos du proxy HTTP À propos du proxy TCP/UDP À propos du proxy HTTPS À propos du proxy TFTP Guide de l’utilisateur 281 Stratégies Onglet Avancé Définir une planification d’opération Appliquer les actions de gestion de trafic à une stratégie Définir une priorité de trafic dans une stratégie Définir la gestion des erreurs ICMP Appliquer les règles NAT Activer le marquage QoS pour une stratégie Définir les règles d’accès pour une stratégie Utilisez l’onglet Stratégie de la boîte de dialogue Modifier les propriétés de stratégie pour configurer les règles d’accès d’une stratégie donnée. Le champ Connexions nom_stratégie détermine si le trafic conforme aux règles du proxy est autorisé ou refusé. Utilisez ces paramètres pour définir la manière dont le trafic est traité : Autorisé Firebox autorise le trafic qui applique cette stratégie s’il est conforme aux règles que vous avez définies pour la stratégie. Refusé Firebox refuse l’ensemble du trafic qui n’est pas conforme aux règles de cette stratégie. Vous pouvez configurer Firebox de sorte qu’il enregistre un message du journal dès qu’un ordinateur tente d’utiliser cette stratégie. La stratégie peut également ajouter un ordinateur ou un réseau à la liste des sites bloqués si celui-ci tente d’établir une connexion avec cette stratégie (pour plus d’informations, voir Bloquer temporairement les sites avec les paramètres de stratégie). Refusé (envoi réinitialisation) Firebox refuse l’ensemble du trafic qui n’est pas conforme aux règles de cette stratégie. Vous pouvez configurer Firebox de sorte qu’il enregistre un message du journal dès qu’un ordinateur tente d’utiliser cette stratégie. La stratégie peut également ajouter un ordinateur ou un réseau à la liste des sites bloqués si celui-ci tente d’établir une connexion avec cette stratégie (pour plus d’informations, voir Bloquer temporairement les sites avec les paramètres de stratégie). Firebox envoie également un paquet RST de réinitialisation pour indiquer au client que la session est refusée et fermée. L’onglet Stratégie contient également les éléments suivants : 282 Une liste De qui détermine qui peut envoyer ou non du trafic réseau avec cette stratégie. Une liste À qui détermine vers qui Firebox peut router le trafic lorsqu’il est conforme ou non aux règles d’une stratégie. WatchGuard System Manager Stratégies Par exemple, vous pourriez configurer un filtre de paquets ping pour autoriser le trafic ping en provenance de tous les ordinateurs du réseau externe vers un serveur Web de votre réseau facultatif. Sachez toutefois que le réseau de destination devient plus vulnérable dès lors que vous autorisez des connexions sur le ou les ports que la stratégie contrôle. Soyez donc très prudent lorsque vous configurez des stratégies. 1. Pour ajouter des membres à vos définitions d’accès, cliquez sur Ajouter dans la liste des membres De ou À. La boîte de dialogue Ajouter une adresse s’ouvre. 2. La liste Membres disponibles contient les alias que vous pouvez ajouter aux listes De ou À. Sélectionnez un alias, puis cliquez sur Ajouter ou double-cliquez sur un alias dans cette fenêtre. Pour ajouter, à la stratégie, des hôtes, des utilisateurs, des alias ou des tunnels ne figurant pas dans la liste Membres disponibles, voir Ajouter de nouveaux membres aux définitions de stratégie. 3. Répétez l’étape précédente pour ajouter d’autres membres et adresses. Votre stratégie peut comporter plusieurs éléments dans le champ De ou le champ À. Cliquez sur OK. La source et la destination peuvent être une adresse IP d’hôte, une plage d’hôtes, un nom d’hôte, une adresse réseau, un nom d’utilisateur, un alias, un tunnel VPN ou une combinaison de ces éléments. Pour plus d’informations sur les alias qui se présentent sous forme d’options dans la liste De ou le champ À, voir À propos des alias. Pour savoir comment créer des alias, voir Créer un alias. Guide de l’utilisateur 283 Stratégies Ajouter de nouveaux membres aux définitions de stratégie 1. Si vous souhaitez ajouter un utilisateur ou un groupe à la liste Membres disponibles, cliquez sur Ajouter un utilisateur. Si vous souhaitez ajouter des hôtes, des alias ou des tunnels à la liste Membres disponibles, cliquez sur Ajouter autre. 2. Si vous avez sélectionné Ajouter autre, la boîte de dialogue Ajouter un membre s’affiche. Dans la liste déroulante Choisir le type, sélectionnez la plage d’hôtes, l’adresse IP de l’hôte ou l’adresse IP du réseau à ajouter. Dans la zone de texte Valeur, tapez l’adresse réseau, la plage ou l’adresse IP correcte. Cliquez sur OK. Le membre ou l’adresse apparaît dans la liste Membres et adresses sélectionnés. 3. Si vous avez sélectionné Ajouter un utilisateur, la boîte de dialogue Ajouter des utilisateurs ou des groupes autorisés s’affiche. Sélectionnez le type d’utilisateur ou de groupe, ainsi que le serveur d’authentification et indiquez si vous souhaitez ajouter un utilisateur ou un groupe. Cliquez sur OK. 4. Si l’utilisateur ou le groupe à ajouter n’apparaît pas dans la liste, il n’est pas encore défini en tant qu’utilisateur ou groupe autorisé. Pour définir un nouvel utilisateur ou groupe autorisé, voir Utiliser les utilisateurs et groupes autorisés dans les stratégies. 284 WatchGuard System Manager Stratégies Configurer la journalisation et la notification pour une stratégie 1. Dans Policy Manager, ajoutez une stratégie ou double-cliquez sur une icône de stratégie pour modifier une stratégie existante. La boîte de dialogue Modifier les propriétés de stratégie s’affiche. 2. Cliquez sur l’onglet Propriétés. Guide de l’utilisateur 285 Stratégies 3. Cliquez sur Journalisation. La boîte de dialogue Journalisation et notification s’affiche. 4. Définissez les paramètres correspondant à votre stratégie de sécurité. Pour plus d’informations sur les champs de la boîte de dialogue Journalisation et notification, voir Définir les préférences de journalisation et de notification. Bloquer temporairement des sites grâce aux paramètres de stratégie Pour bloquer des sites tentant d’utiliser un service refusé, vous pouvez recourir à la configuration d’une stratégie : 1. Dans Policy Manager, double-cliquez sur l’icône de stratégie. La boîte de dialogue Modifier les propriétés de stratégie apparaît. 2. Dans l’onglet Stratégie, dans la liste déroulante Connexions, choisissez l’option Refusé ou Refusé (envoi réinitialisation). 3. Dans l’onglet Propriétés, activez la case à cocher Bloquer automatiquement les sites qui tentent de se connecter. Les adresses IP des paquets refusés sont ajoutées à la liste des sites bloqués de façon temporaire, pour une durée de 20 minutes (par défaut). Vous pouvez modifier cette durée dans l’onglet Blocage auto. de la boîte de dialogue Configuration des sites bloqués. 4. Vous pouvez utiliser la liste des sites bloqués de façon temporaire ainsi que les messages des journaux pour choisir en toute connaissance de cause les adresses IP à bloquer de manière permanente. Dans la définition de stratégie, cliquez sur l’onglet Propriétés, puis sur le bouton Journalisation et définissez les préférences de journalisation et de notification. 286 WatchGuard System Manager Stratégies Définir un délai d’inactivité Le délai d’inactivité correspond à l’intervalle de temps maximal durant lequel l’utilisateur peut rester authentifié tout en étant inactif (pas d’envoi de trafic au réseau externe). Si vous définissez la valeur de ce champ sur zéro (0) seconde, minute, heure ou jour, aucun délai d’inactivité n’est appliqué, et l’utilisateur peut rester inactif pour une durée indéfinie. Le délai d’inactivité est habituellement déterminé par le délai d’attente d’authentification globale décrit à la rubrique Définir des valeurs d’authentification globale, dans la boîte de dialogue Configuration d’utilisateur Firebox décrite à la rubrique Définir un nouvel utilisateur pour l’authentification Firebox ou, pour les utilisateurs authentifiés sur des serveurs tiers, par les délais d’inactivité définis sur ces serveurs. (Les délais d’inactivité des serveurs Firebox et tiers remplacent les délais d’authentification globale). Vous pouvez définir un délai d’inactivité qui s’appliquera à une stratégie particulière uniquement. Ce dernier remplace tous les autres délais d’inactivité : 1. Dans l’onglet Propriétés de la boîte de dialogue Propriétés de la stratégie, cliquez sur Définir un délai d’inactivité personnalisé. 2. Cliquez sur les flèches pour définir le nombre de secondes du délai. Définir un calendrier d’application Vous pouvez définir un calendrier d’application pour une stratégie. Servez-vous des modèles de calendrier proposés dans la liste déroulante Planifier ou créez un calendrier que vous personnaliserez. Pour savoir comment créer un calendrier, voir Créer des calendriers pour les actions de Firebox. Sachez que plusieurs stratégies peuvent partager des calendriers. Guide de l’utilisateur 287 Stratégies Configurer le routage basé sur stratégie Pour envoyer le trafic réseau, un routeur inspecte en principe l’adresse de destination du paquet, puis recherche la destination du saut suivant dans sa table de routage. Dans certains cas, il est préférable que le trafic emprunte un autre route que celui par défaut indiqué dans la table de routage. Pour ce faire, il convient de configurer une stratégie avec une interface externe spécifique à utiliser pour l’ensemble du trafic sortant conforme à cette stratégie. Cette technique s’appelle le routage basé sur stratégie. Le basé sur stratégie a lieu d’être mis en Suvre si vous disposez de plusieurs interfaces externes et avez configuré Firebox pour le multi-WAN. Avec le routage basé sur stratégie, vous avez la garantie que l’ensemble du trafic contrôlé par une stratégie traverse toujours la même interface externe, même si votre configuration multi-WAN prévoit l’envoi du trafic en mode de tourniquet. Lorsque vous utilisez le routage basé sur stratégie avec le basculement multi-WAN, vous pouvez indiquer si le trafic conforme à la stratégie doit ou non utiliser une autre interface externe lorsque le basculement a lieu. Par défaut, le trafic est abandonné jusqu’à ce que l’interface soit de nouveau disponible. Le routage basé sur stratégie est prioritaire sur les paramètres multi-WAN. De plus, les paramètres de rétablissement (définis dans l’onglet Multi-WAN de la boîte de dialogue Configuration du réseau s’appliquent au routage basé sur stratégie. Si un basculement a lieu et que l’interface d’origine devient par la suite disponible, Firebox peut envoyer les connexions actives à l’interface de basculement ou peut retourner à l’interface d’origine. Les nouvelles connexions sont envoyées à l’interface d’origine. Prenez connaissance des restrictions suivantes qui s’appliquent au routage basé sur stratégie : 288 Le routage basé sur stratégie n’est disponible que si le mode multi-WAN est activé. Si vous activez le mode multi-WAN, la boîte de dialogue Modifier les propriétés de stratégie contient automatiquement les champs permettant de configurer le routage basé sur stratégie. Par défaut, le routage basé sur stratégie n’est pas activé. Il ne s’applique pas au trafic IPSec ni au trafic destiné au réseau approuvé ou au réseau facultatif (trafic entrant). WatchGuard System Manager Stratégies Ajouter un routage basé sur stratégie à une stratégie 1. Dans Policy Manager, double-cliquez sur l’icône de la stratégie pour laquelle vous souhaitez définir un routage basé sur stratégie. La boîte de dialogue Modifier les propriétés de stratégie apparaît. 2. En bas de la boîte de dialogue Modifier les propriétés de stratégie, activez la case à cocher Utiliser le routage basé sur stratégie pour activer ce type de routage. 3. Pour définir l’interface qui envoie le trafic sortant conforme à la stratégie, sélectionnez le nom de l’interface dans la liste déroulante adjacente. Assurez-vous que l’interface sélectionnée est un membre de l’alias ou du réseau que vous avez défini dans le champ À de votre stratégie. 4. (Facultatif) Configurez le routage basé sur stratégie avec un basculement multi-WAN, de la manière décrite ci-dessous. 5. Cliquez sur OK. Guide de l’utilisateur 289 Stratégies Configurer le routage basé sur stratégie avec basculement 1. Dans la boîte de dialogue Modifier les propriétés de stratégie, sélectionnez Basculement afin de définir l’interface que vous avez spécifiée pour cette stratégie comme interface principale et vous servir des autres interfaces externes comme interfaces de sauvegarde pour le trafic non-IPSec. Si vous ne sélectionnez pas Basculement et que l’interface que vous avez définie pour cette stratégie n’est pas active, le trafic est abandonné tant que l’analyse des liaisons n’a pas établi que l’interface est de nouveau disponible. 2. Cliquez sur Configurer afin de définir les interfaces de sauvegarde pour cette stratégie. Si l’interface principale que vous avez définie pour cette stratégie n’est pas active, le trafic est envoyé aux interfaces de sauvegarde que vous indiquez ici. La boîte de dialogue Configuration du basculement de stratégie s’ouvre. 3. Dans la colonne Inclure, activez la case à cocher correspondant à chaque interface que vous souhaitez utiliser dans la configuration du basculement. Utilisez les boutons Monter et Descendre pour définir l’ordre du basculement. La première interface de la liste est l’interface principale. 4. Une fois les interfaces sélectionnées et l’ordre de basculement défini, cliquez sur OK. 5. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie. 6. Enregistrez le fichier de configuration. 290 WatchGuard System Manager Stratégies À propos de l’utilisation de la traduction d’adresses réseau statique dans une stratégie La traduction d’adresses réseau statique est également appelée transfert de port. Il s’agit d’une traduction d’adresses réseau port à hôte. Un hôte envoie un paquet du réseau externe vers une adresse ou un port public spécifique. La traduction d’adresses réseau statique change cette adresse en une adresse et en un port se trouvant derrière le pare-feu. Pour plus d’informations sur la traduction d’adresses réseau statique, voir À propos de la traduction d’adresses réseau statique. Pour utiliser la traduction d’adresses réseau statique dans une stratégie, voir Configurer la traduction d’adresses réseau statique. En raison de son fonctionnement, la traduction d’adresses réseau statique n’est disponible que pour les stratégies utilisant un port spécifique, notamment TCP et UDP. À propos de l’utilisation de la traduction d’adresses réseau statique avec le protocole SMTP Pour aider à lutter contre le courrier indésirable, de nombreux serveurs de réception de courrier électronique effectuent une recherche inversée de l’adresse IP source d’où provient le courrier. Le serveur de réception vérifie ainsi que le serveur d’expédition (le serveur qui envoie le courrier) est un serveur de messagerie autorisé pour ce domaine. C’est pourquoi nous vous recommandons d’utiliser l’adresse IP externe de votre périphérique Firebox comme enregistrement MX de votre domaine. Un enregistrement MX, ou Mail exchange, est un type d’enregistrement DNS qui définit la manière dont le courrier électronique est acheminé via Internet. Les enregistrements MX indiquent les serveurs auxquels envoyer un message et le premier serveur auquel envoyer un message, par ordre de priorité. En règle générale, les connexions débutant sur un réseau approuvé ou facultatif et accédant à Internet affichent l’adresse IP externe du périphérique Firebox comme adresse IP source des paquets. Si l’adresse IP externe du périphérique Firebox n’est pas l’adresse IP de l’enregistrement MX de votre domaine, certains serveurs distants rejettent le courrier électronique que vous envoyez. En effet, la session SMTP n’indique pas votre enregistrement MX comme adresse IP source de la connexion. Si votre périphérique Firebox n’utilise pas l’adresse IP de l’enregistrement MX comme adresse IP externe, vous pouvez utiliser le mappage NAT un à un pour que les connexions de courrier sortant affichent l’adresse IP source correcte. Pour plus d’informations, voir À propos de NAT un à un. Pour configurer NAT un à un pour une stratégie, voir Configurer NAT un à un pour une stratégie. Guide de l’utilisateur 291 Stratégies Appliquer une action de gestion de trafic à une stratégie Une fois que vous avez créé des actions de gestion de trafic ou si des actions ont déjà été créées dans Firebox, vous pouvez les appliquer aux stratégies que vous avez configurées dans Policy Manager. Pour appliquer une action de gestion de trafic : 1. Dans Policy Manager, double-cliquez sur l’icône de la stratégie pour laquelle vous voulez garantir une bande passante minimale. Cliquez sur l’onglet Avancé. 2. Dans la liste déroulante Gestion du trafic, sélectionnez une action de gestion de trafic à appliquer à la stratégie. 3. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de stratégie. Enregistrez les modifications dans Firebox. Un message d’avertissement s’affiche si la somme de toutes les bandes passantes garanties pour une interface s’approche de la limite de bande passante que vous avez définie pour l’interface ou la dépasse. La nouvelle action apparaît dans la boîte de dialogue Actions de gestion du trafic. Si vous voulez effectuer le suivi de la bande passante utilisée par une stratégie, affichez l’onglet Suivi du service de Firebox System Manager et spécifiez Bande passante à la place de Connexions. Pour plus d’informations, voir Affichage visuel de l’utilisation des stratégies. Utiliser les actions de gestion de trafic dans un environnement à plusieurs réseaux WAN Lorsqu’une action de gestion de trafic est appliquée sur une stratégie à plusieurs réseaux WAN avec la fonctionnalité Multi-WAN configurée en mode tourniquet, les paramètres maximaux de bande passante et de vitesse de connexion dans l’action de gestion de trafic contrôlent le débit total et la vitesse de connexion sur l’ensemble des interfaces. Cela inclut toutes les interfaces externes configurées pour router le trafic. 292 WatchGuard System Manager Stratégies À propos de l’équilibrage de charge côté serveur pour une stratégie Si vous êtes équipé du périphérique Fireware Pro, vous pouvez utiliser la fonctionnalité d’équilibrage de charge côté serveur pour vous aider à accroître l’évolutivité et les performances d’un réseau à fort trafic comportant plusieurs serveurs publics protégés à l’aide de votre périphérique Firebox. Avec cette fonctionnalité, le périphérique Firebox peut contrôler le nombre de sessions lancées sur 10 serveurs au maximum pour chaque stratégie de pare-feu configurée. Firebox contrôle la charge en fonction du nombre de sessions en cours sur chaque serveur. Pour plus d’informations sur la configuration de l’équilibrage de charge de serveur, voir Configurer l’équilibrage de charge côté serveur. Définir la priorité de trafic pour une stratégie La priorité du trafic peut être définie au niveau de l’interface, mais vous pouvez remplacer ce paramétrage pour des stratégies individuelles : 1. Pour remplacer le paramétrage au niveau de l’interface, activez la case à cocher Remplacer les paramètres par interface. 2. Dans la liste déroulante Donner une priorité au trafic en fonction de, sélectionnez Marquage QoS ou Valeur personnalisée. 3. Si vous choisissez Valeur personnalisée, dans le champ Valeur, sélectionnez une valeur comprise entre 0 (Meilleur effort) et 7 (Priorité la plus élevée). Configurer la gestion des erreurs ICMP Vous pouvez définir les paramètres de gestion des erreurs ICMP associés à une stratégie. Ces derniers remplacent les paramètres globaux de gestion des erreurs ICMP. Dans la liste déroulante Gestion des erreurs ICMP, sélectionnez : Utiliser le paramètre global Utilisez le paramètre global de gestion des erreurs ICMP pour Firebox. Pour plus d’informations sur ce paramètre global, voir Définir les paramètres globaux de Firebox. Définir un paramètre Configurez un paramètre qui remplace le paramètre global. Cliquez sur Paramètre ICMP. Dans la boîte de dialogue Paramètres de gestion des erreurs ICMP, activez les cases à cocher correspondant à chacun des paramètres. Pour plus d’informations sur ces paramètres, voir Définir les paramètres globaux de Firebox. Guide de l’utilisateur 293 Stratégies Appliquer des règles NAT Vous pouvez appliquer des règles de traduction d’adresses réseau (NAT) à une stratégie. Dans l’onglet Avancé de la boîte de dialogue Modifier les propriétés de stratégie, sélectionnez l’une des options suivantes : NAT un à un Avec ce type de NAT, Firebox utilise les plages d’adresses IP privées et publiques que vous avez définies, de la manière décrite dans la rubrique Utiliser NAT 1 à 1. NAT dynamique Avec ce type de NAT, Firebox mappe les adresses IP privées aux adresses IP publiques. La traduction d’adresses réseau dynamique est par défaut activée pour toutes les stratégies. Sélectionnez Utiliser les paramètres NAT du réseau pour appliquer les règles de NAT dynamique définies pour Firebox. Sélectionnez L’ensemble du trafic de cette stratégie pour appliquer le service NAT à l’ensemble du trafic de cette stratégie. Utilisez le champ Définir l’IP source afin de définir une adresse IP source de NAT dynamique pour les stratégies qui utilisent la traduction d’adresses réseau dynamique. Vous vous assurez ainsi que l’ensemble du trafic auquel cette stratégie s’applique présente, comme source, une adresse définie de votre plage d’adresses IP publiques ou externes. Vous serez souvent obligé de définir une adresse IP source pour forcer le trafic SMTP sortant à afficher l’adresse d’enregistrement MX de votre domaine lorsque l’adresse IP de l’interface externe de Firebox est différente de celle de l’enregistrement MX. Les règles NAT 1 à 1 sont prioritaires sur les règles de NAT dynamique. Utiliser le marquage QoS pour une stratégie Le marquage QoS crée différentes classes de service pour différents types de trafic réseau sortant. Lorsque vous marquez le trafic, vous modifiez jusqu’à six bits dans les champs d’en-tête de paquet définis à cet effet. Les périphériques externes compatibles avec la qualité de service (QoS) peuvent utiliser ce marquage et gérer correctement un paquet au cours de son transit d’un point à un autre sur un réseau. Vous pouvez utiliser le marquage QoS pour une interface ou pour une stratégie. Lorsque vous définissez le marquage de la qualité du service (QoS) pour une interface, les paquets qui sortent de cette interface sont marqués. Le marquage de la qualité du service pour une stratégie évalue le trafic qui utilise cette stratégie. 1. Dans la boîte de dialogue Modifier les propriétés de stratégie, cliquez sur l’onglet Avancé. 2. Environ au milieu de la boîte de dialogue, sélectionnez l’onglet QoS. 3. Activez la case à cocher Remplacer les paramètres par interface pour que le marquage QoS d’une stratégie remplace tout marquage QoS défini sur une interface. Pour plus d’informations sur l’utilisation du marquage QoS, voir À propos du marquage QoS. 294 WatchGuard System Manager Stratégies Ajouter une durée de connexion persistante à une stratégie L’onglet Connexions persistantes s’affiche uniquement si Multi-WAN est activé. Les paramètres de connexion persistante d’une stratégie remplacent les paramètres de connexion persistante globaux décrits dans À propos des paramètres Multi-WAN avancés. 1. Sous l’onglet Avancé de la boîte de dialogue Propriétés de la stratégie, cliquez sur l’onglet Connexion persistante. 2. Laissez la case à cocher Remplacer le paramètre de connexion persistante Multi-WAN désactivée si vous souhaitez que les connexions persistantes configurées sous l’onglet Réseau > Configuration > Multi-WAN soient appliquées. Activez cette case à cocher si vous souhaitez définir une connexion persistante personnalisée pour cette stratégie. 3. Si vous souhaitez définir une connexion persistante personnalisée pour cette stratégie, activez la case à cocher Activer la connexion persistante. 4. Entrez la durée de maintien de la connexion. Guide de l’utilisateur 295 Stratégies À propos de la priorité des stratégies La priorité correspond à la séquence dans laquelle le périphérique Firebox examine le trafic réseau et applique une règle de stratégie. Le périphérique Firebox trie automatiquement les stratégies de la plus spécifique à la plus générale. Il compare les informations du paquet à la liste de règles de la première stratégie. La première règle de la liste qui correspond aux conditions du paquet est appliquée à ce paquet. Si le niveau de détails de deux stratégies est identique, une stratégie de proxy a toujours priorité sur une stratégie de filtre de paquets. Utiliser l’ordre automatique À moins que vous ne définissiez manuellement la priorité, Policy Manager donne la priorité la plus élevée aux stratégies les plus spécifiques et la plus faible à la moins spécifique. Policy Manager examine la spécificité des critères suivants dans cet ordre. S’il ne peut pas déterminer la priorité à partir du premier critère, il passe au deuxième et ainsi de suite. 1. La stratégie elle-même. Par exemple, une stratégie Tout est moins spécifique que les stratégies qui autorisent uniquement un trafic spécifique. 2. Les protocoles définis pour le type de stratégie. Par exemple, une stratégie qui spécifie de nombreux ports pour un protocole donné est moins spécifique qu’une stratégie spécifiant moins de ports. 3. Les règles de trafic du champ À. De la plus spécifique à la moins spécifique : règles spécifiant des plages d’adresses IP, des utilisateurs, des groupes, des interfaces. 4. Les règles de trafic du champ De. De la plus spécifique à la moins spécifique : règles spécifiant des plages d’adresses IP, des utilisateurs, des groupes, des interfaces. 5. L’action de pare-feu appliquée aux stratégies. De la plus spécifique à la moins spécifique : Refusé ou Refusé (envoi réinitialisation), Autorisé (stratégie de proxy), Autorisé (stratégie de filtre de paquets). 6. Les planifications appliquées aux stratégies. De la plus spécifique à la moins spécifique : Toujours désactivé, Parfois activé, Toujours activé. 7. La séquence alphanumérique basée sur le type de stratégie. 8. La séquence alphanumérique basée sur un nom de stratégie. Définir la priorité manuellement Si vous souhaitez passer en mode de classement manuel, sélectionnez Affichage > Mode classement automatique de manière à faire disparaître la coche. Vous êtes invité à confirmer que vous souhaitez passer en mode de classement manuel. Si vous basculez en mode de classement manuel, la fenêtre Policy Manager passe en mode Détails. Vous pouvez modifier l’ordre des stratégies si vous êtes en mode Grandes icônes. Pour modifier l’ordre d’une stratégie, sélectionnez-la et faites-la glisser vers son nouvel emplacement. 296 WatchGuard System Manager 15 Stratégies de proxy À propos des stratégies de proxy Toutes les stratégies WatchGuard, aussi bien les stratégies de filtrage de paquets que les stratégies de proxy, constituent des outils importants en matière de sécurité du réseau. Un filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet, tandis qu’un proxy surveille et analyse les connexions entières. Un proxy examine les commandes utilisées pour la connexion afin de s’assurer que leur syntaxe et leur ordre sont corrects. Il procède également à une inspection très poussée des paquets pour garantir la sécurité des connexions. Un proxy ouvre chaque paquet l’un à la suite de l’autre, extrait l’en-tête de la couche réseau et inspecte l’entrée Payload du paquet. Il retourne ensuite les informations réseau au paquet et envoie celui-ci vers sa destination. En conséquence, un proxy peut trouver du contenu interdit caché dans les entrées de données Payload ou intégré à ces dernières. Par exemple, un proxy SMTP recherche dans la totalité des paquets SMTP entrants (e-mails) du contenu interdit, tel que des programmes ou fichiers exécutables écrits en langages de script. Les personnes malveillantes ont souvent recours à ces méthodes pour envoyer des virus informatiques. Le proxy SMTP peut mettre en oeuvre une stratégie qui interdit ce type de contenu ; en revanche, un filtre de paquets ne peut pas détecter le contenu non autorisé dans les entrées de données Payload du paquet. Si vous avez souscrit, puis activé des abonnements supplémentaires aux services de sécurité (Gateway AntiVirus, Intrusion Prevention Service, spamBlocker, WebBlocker), les proxies WatchGuard peuvent appliquer les services correspondants. Types de proxies Les concepts essentiels relatifs aux proxies sont les suivants : les règles et ensembles de règles ; les actions de proxy ; les actions de proxy prédéfinies et définies par l’utilisateur. Guide de l’utilisateur 297 Stratégies de proxy À propos des règles et des ensembles de règles Une partie importante du travail de configuration d’une stratégie de proxy consiste à créer ou modifier les règles, qui sont des ensembles de critères utilisés comme référence par le proxy pour l’analyse du trafic. Une règle est représentée par un type de contenu, de modèle ou d’expression, ainsi que par l’action réalisée par le périphérique Firebox en cas de correspondance d’un composant du paquet avec ce contenu, ce modèle ou cette expression. Les règles incluent en outre des paramètres déterminant le moment où le périphérique Firebox envoie les alarmes et l’enregistrement éventuel des événements dans le fichier journal. Un ensemble de règles se compose de plusieurs règles répondant à une fonctionnalité donnée d’un proxy, telle que les types de contenus ou les noms de fichier des pièces jointes aux e-mails. La procédure de création et de modification des règles est identique pour l’intégralité des proxies Fireware. Le périphérique Firebox comprend des ensembles de règles par défaut pour chaque stratégie de proxy incluse dans la configuration Firebox. Des ensembles de règles distincts sont fournis pour les clients et les serveurs, afin de protéger à la fois les utilisateurs dignes de confiance et les serveurs publics. Vous pouvez utiliser ces règles en l’état ou bien les personnaliser en fonction de vos besoins. À propos de l’utilisation des règles et des ensembles de règles Lors de la configuration d’un proxy, vous pouvez afficher ses ensembles de règles dans la liste Catégories. Les ensembles de règles affichés diffèrent selon l’action de proxy choisie dans l’onglet Propriétés de la fenêtre de configuration de proxy. Par exemple, les paramètres associés aux règles relatives à l’action FTP-Client ne sont pas les mêmes que ceux associés aux règles relatives à l’action FTP-Server. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Vues simple et avancée Vous pouvez afficher les règles des définitions de proxy de deux manières. La vue simple est utilisée pour configurer une correspondance avec un modèle basé sur des caractères génériques à l’aide d’expressions régulières simples. Pour afficher les règles actives en vue avancée, cliquez sur Modifier l’affichage. La vue avancée indique l’action correspondant à chaque règle. Elle comporte également des boutons permettant de modifier, de cloner (créer une définition de règle à partir d’une définition existante), de supprimer ou de réinitialiser les règles. Utilisez la vue avancée pour configurer les correspondances exactes et les expressions régulières compatibles Perl. Pour revenir à la vue simple, cliquez de nouveau sur Modifier l’affichage. Sachez toutefois que vous ne pourrez pas revenir à cette vue si les paramètres d’action, d’alarme ou de journal des règles activées sont différents. Vous devrez continuer à utiliser la vue avancée. Par exemple, si la plupart des règles sont paramétrées sur Autoriser et qu’une seule d’entre elles est paramétrée sur Refuser, il vous faudra utiliser la vue avancée. Ajouter des règles Vous pouvez recourir soit à la vue simple, soit à la vue avancée de l’ensemble de règles pour ajouter des règles. Utilisez la vue simple si vous souhaitez configurer une correspondance avec un modèle basé sur des caractères génériques à l’aide d’expressions régulières simples. Utilisez la vue avancée pour configurer les correspondances exactes et les expressions régulières compatibles Perl. Cette vue indique l’action correspondant à chaque règle et comporte des boutons permettant de modifier, de cloner (créer une définition de règle à partir d’une définition existante), de supprimer ou de réinitialiser les règles. Pour passer d’une vue à l’autre, cliquez sur Modifier l’affichage. 298 WatchGuard System Manager Stratégies de proxy Ajouter des règles (vue simple) Pour ajouter de nouvelles règles dans la vue simple, effectuez les opérations suivantes : 1. Dans la zone de texte Modèle, entrez un modèle utilisant une syntaxe d’expression régulière simple. Le caractère générique remplaçant zéro ou plusieurs caractères est « * ».Le caractère générique remplaçant un seul caractère est « ? ». 2. Cliquez sur Ajouter. La nouvelle règle est affichée dans la zone Règles. 3. Dans la section Actions à entreprendre, la liste déroulante En cas de correspondance définit l’action à exécuter si le contenu d’un paquet est conforme à l’une des règles de la liste. La liste déroulante Aucune correspondance définit l’action à exécuter si le contenu d’un paquet n’est pas conforme à une règle de la liste. Les autres actions possibles figurent au-dessous. Les actions disponibles diffèrent selon le proxy ou la fonction de proxy utilisé(e). Par exemple, les actions Enlever et Verrouiller ne sont exécutées que dans le cadre de la prévention des intrusions basée sur les signatures. Autoriser La connexion est autorisée. Refuser La demande spécifique est refusée, mais la connexion est conservée dans la mesure du possible. Une réponse est envoyée à l’expéditeur. Abandonner La demande spécifique est refusée et la connexion est fermée. Aucune réponse n’est envoyée à l’expéditeur. Bloquer La demande est refusée, la connexion est fermée et l’hôte source est ajouté à la liste des sites bloqués. Pour plus d’informations sur les sites bloqués, voir À propos des sites bloqués. Enlever Une pièce jointe est retirée d’un paquet et mise de côté. Les autres éléments du paquet sont envoyés vers leur destination via le périphérique Firebox. Verrouiller Une pièce jointe est verrouillée, puis encapsulée pour que l’utilisateur ne puisse pas l’ouvrir. Seul l’administrateur est en mesure de déverrouiller le fichier. Analyse AV La pièce jointe est analysée afin de détecter d’éventuels virus. Si vous sélectionnez cette option, Gateway AntiVirus est activé pour la règle. 4. Une alarme est un mécanisme permettant de prévenir les utilisateurs qu’une règle de proxy s’applique au trafic réseau. Pour configurer une alarme pour l’événement, activez la case à cocher Alarme. Pour définir les options de l’alarme, ouvrez une fenêtre de configuration de proxy et, dans la liste Catégories située dans la partie gauche, sélectionnez Alarme proxy. Vous pouvez envoyer une interruption SNMP ou un e-mail, ou bien ouvrir une fenêtre contextuelle. 5. Pour enregistrer un message relatif à cet événement dans le journal du trafic, activez la case à cocher Journal. Guide de l’utilisateur 299 Stratégies de proxy Ajouter des règles (vue avancée) Utilisez la vue avancée pour configurer les correspondances exactes et les expressions régulières compatibles Perl. Pour plus d’informations concernant l’utilisation d’expressions régulières dans les règles de proxy, consultez les forums aux questions sur les produits, sur le site Web du support produits : http://www.watchguard.com/support/faqs/fireware. 1. Dans la boîte de dialogue Configuration de l’action de proxy, cliquez sur Ajouter. La boîte de dialogue Nouvelle règle <type de règle> apparaît. 2. Configurez les champs comme suit : Nom de la règle Nom de la règle. Ce champ est vide en cas d’ajout de règle ; vous pouvez le modifier si vous clonez une règle, mais pas si vous modifiez une règle. Paramètres de règles Pour rechercher une correspondance exacte avec le texte de la règle, sélectionnez l’option Correspondance exacte dans la liste déroulante. Pour rechercher une correspondance avec un modèle de texte basé sur des caractères génériques, sélectionnez Correspondance de modèle. Enfin, pour rechercher une correspondance avec un modèle de texte à l’aide d’une expression régulière, choisissez Expression régulière. Texte de la règle Saisissez le texte de la règle. Si vous avez sélectionné le paramètre de règle Correspondance de modèle, utilisez un astérisque (*), un point (.) ou un point d’interrogation (?) comme caractère générique. Action, Alarme, Journal Définissez ces champs selon la procédure décrite dans la section relative aux règles simples cidessus. 300 WatchGuard System Manager Stratégies de proxy Couper et coller les définitions de règles Vous pouvez copier et coller le texte des champs modifiables d’une définition de proxy dans une autre définition. Supposons, par exemple, que vous écriviez un message de refus personnalisé pour le proxy POP3. Vous pouvez sélectionner ce message, le copier, puis le coller dans la zone Message de refus applicable au proxy SMTP. Lorsque vous copiez un champ d’une définition de proxy dans une autre définition, vous devez vous assurer que celui-ci est compatible avec le proxy de destination. Seuls les ensembles de règles faisant partie des quatre groupes répertoriés ci-dessous peuvent être copiés entre les proxies ou les catégories. Les autres combinaisons ne sont pas possibles. Types de contenus Noms de fichier Adresses Authentification Types de contenus HTTP Téléchargement FTP E-mails SMTP source Authentification SMTP Types de contenus SMTP Transfert FTP E-mails SMTP cible Authentification POP3 Types de contenus POP3 Chemins d’adresses URL HTTP Noms de fichier SMTP Noms de fichier POP3 Modifier l’ordre des règles L’ordre d’affichage des règles dans la liste Règles est semblable à celui utilisé pour la comparaison du trafic avec ces dernières. Le proxy compare le trafic à la première règle de la liste et continue dans l’ordre du haut vers le bas de la liste. Lorsque le trafic est conforme à une règle, le périphérique Firebox exécute l’action correspondante. Aucune autre action n’est réalisée, et ce même si une autre règle plus bas dans la liste s’applique également au trafic. Pour modifier l’ordre des règles, vous devez utiliser la vue avancée : 1. Pour afficher les règles en vue avancée, cliquez sur Modifier l’affichage. 2. Sélectionnez la règle que vous voulez déplacer. Cliquez sur le bouton Monter ou Descendre afin de la déplacer vers le haut ou le bas de la liste. Guide de l’utilisateur 301 Stratégies de proxy Modifier la règle par défaut Si le trafic n’est conforme à aucune des règles que vous avez définies pour une catégorie de proxy, le périphérique Firebox emploie la règle par défaut. Cette règle figure au bas de chaque liste de règles en vue avancée. Pour modifier la règle par défaut : 1. Sélectionnez la règle et cliquez sur Modifier. La boîte de dialogue Modifier la règle par défaut apparaît. 2. Vous pouvez choisir une autre action pour la règle par défaut et préciser si cette action déclenche une alarme ou un message du journal. En revanche, il vous est impossible de modifier le nom « Par défaut » ou le positionnement de la règle, qui doit demeurer en fin de liste. 3. Cliquez sur OK. 302 WatchGuard System Manager Stratégies de proxy À propos des actions de proxy Une action de proxy est un groupe de paramètres ou d’ensembles de règles relatif à un type de proxy. Votre configuration peut inclure plusieurs instances de chaque proxy ; par conséquent, vous devez lier chacune d’elles à une action de proxy spécifique. En règle générale, deux actions de proxy sont disponibles pour chaque proxy : l’une pour les clients, l’autre pour les serveurs. Par exemple, vous pouvez utiliser une action de proxy pour les paquets envoyés à un serveur POP3 protégé par le périphérique Firebox et une autre action de proxy qui sera appliquée aux e-mails récupérés par les clients POP3. Vous pouvez créer plusieurs actions de proxy pour chaque type de proxy, mais vous ne pouvez en affecter qu’une seule à chaque règle de proxy. Par exemple, une icône représentant un proxy POP3 affichée dans la fenêtre principale de Policy Manager est liée à une seule action de proxy, comme une action POP3-Client. Si vous souhaitez créer un proxy POP3 pour un serveur POP3 ou une stratégie supplémentaire pour des clients POP3, il vous faut ajouter une stratégie POP3 dans Policy Manager. Pour configurer une action de proxy dans une définition de proxy : Dans l’onglet Propriétés de la boîte de dialogue Ajouter/Modifier les propriétés de stratégie, choisissez, dans la liste déroulante Action de proxy, l’action de proxy pour une définition de stratégie de proxy. Vous pouvez en outre modifier, supprimer ou cloner (copier) une définition d’action de proxy directement à partir de la fenêtre de Policy Manager : 1. Sélectionnez Tâches > Actions de proxy. 2. Dans la boîte de dialogue Actions de proxy, choisissez l’action de proxy à modifier, supprimer ou cloner. Cliquez sur Modifier, Supprimer ou Cloner. Il est impossible de supprimer les actions de proxy prédéfinies (affichées en noir). Seules les actions de proxy définies par l’utilisateur (affichées en bleu) peuvent l’être. Guide de l’utilisateur 303 Stratégies de proxy Pour modifier ou cloner une action de proxy, et obtenir plus d’informations sur les paramètres applicables aux actions de proxy, voir la rubrique « À propos de » correspondant au type de proxy que vous utilisez : À propos du proxy DNS À propos du proxy POP3 À propos du proxy FTP À propos du proxy SIP À propos du proxy H.323 À propos du proxy SMTP À propos du proxy HTTP À propos du proxy TCP-UDP À propos du proxy HTTPS À propos du proxy TFTP Importer ou exporter des actions de proxy Si vous gérez plusieurs périphériques Firebox et avez défini pour ceux-ci des actions de proxy, vous pouvez utiliser la fonction d’importation/exportation de stratégie pour gagner du temps. Vous pouvez définir les actions de proxy sur un périphérique Firebox, les exporter vers un fichier ASCII, puis les importer dans un autre périphérique Firebox. Pour plus d’informations, voir la procédure relative aux modèles de stratégie : Importer et exporter des modèles de stratégie personnalisée. À propos des actions de proxy prédéfinies et définies par l’utilisateur Sur les périphériques Firebox, des actions de proxy client et serveur sont prédéfinies pour chaque proxy. Ces actions sont configurées en vue d’équilibrer les exigences d’accessibilité d’une entreprise standard et les besoins de protection contre les attaques de vos biens informatiques. Vous ne pouvez pas modifier les paramètres des actions de proxy prédéfinies. Si vous souhaitez changer la configuration, vous devez cloner (copier) la définition existante et l’enregistrer en tant qu’action de proxy définie par l’utilisateur. Par exemple, pour modifier un paramètre de l’action de proxy HTTP-Client, vous devez l’enregistrer sous un autre nom, comme HTTP-Client.1. Cette opération est nécessaire uniquement si vous modifiez des ensembles de règles. Si vous éditez des paramètres généraux tels que les sources ou destinations autorisées ou les paramètres NAT d’une stratégie, il est inutile d’enregistrer le paramètre sous un nouveau nom. Ajouter une stratégie de proxy à votre configuration Firebox Lors de l’ajout d’une stratégie de proxy à votre configuration Firebox, vous précisez les types de contenus que le proxy doit rechercher au moment du filtrage du trafic. Si le contenu correspond (ou non) aux critères de la définition du proxy, ce dernier autorise (ou refuse) le trafic réseau. Vous pouvez, pour chaque stratégie de proxy, conserver les paramètres par défaut ou bien définir des paramètres personnalisés répondant à vos besoins. Il vous est également possible de créer des stratégies de proxy supplémentaires pour chacun des protocoles en vue de procéder à un filtrage à divers endroits du réseau. N’oubliez pas qu’un filtre de proxy implique un travail plus important pour le pare-feu pour le même volume de trafic réseau qu’un filtre de paquets. Toutefois, un proxy a recours à des méthodes que les filtres de paquets ne peuvent pas utiliser pour intercepter les paquets dangereux. Chaque stratégie de proxy inclut un ensemble de paramètres que vous pouvez personnaliser de manière à créer un équilibre entre vos besoins de sécurité et vos objectifs de performances. 1. Dans Policy Manager, cliquez sur le signe plus (+) situé dans la barre d’outils. Vous pouvez aussi sélectionner Edition > Ajouter des stratégies. La boîte de dialogue Ajouter des stratégies s’affiche. 2. Pour développer le dossier Proxies, cliquez sur le signe plus (+) situé à sa gauche. La liste des proxies apparaît. 304 WatchGuard System Manager Stratégies de proxy 3. Cliquez sur le nom du proxy que vous souhaitez ajouter, puis cliquez sur Ajouter. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 4. Modifiez au besoin le nom de la stratégie de proxy. Pour cela, entrez un nouveau nom dans la zone de texte Nom. Guide de l’utilisateur 305 Stratégies de proxy 5. Cliquez sur l’onglet Propriétés. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Pour modifier la définition de stratégie de proxy par défaut en fonction des besoins de votre entreprise, voir À propos des propriétés de stratégie. Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour plus d’informations, voir À propos des règles et des ensembles de règles. 306 WatchGuard System Manager Stratégies de proxy À propos du proxy DNS DNS (Domain Name System) est un système réseau de serveurs qui traduit des adresses IP numériques en adresses Internet hiérarchiques, lisibles. DNS permet à votre réseau d’ordinateurs de comprendre, par exemple, que vous souhaitez atteindre le serveur situé à l’adresse 200.253.208.100 lorsque vous tapez dans le navigateur le nom de domaine www.watchguard.com. Avec Fireware, vous avez le choix entre deux méthodes différentes pour contrôler le trafic DNS via votre pare-feu : le filtre de paquets DNS et la stratégie de proxy DNS. Il est important de comprendre que les paramètres de proxy DNS ne sont utiles que si la demande DNS est acheminée via le pare-feu. Lorsque vous créez un fichier de configuration, le fichier inclut automatiquement une stratégie de filtrage de paquets « Sortant » qui autorise toutes les connexions TCP et UDP provenant de vos réseaux approuvé et facultatif vers l’extérieur. Ceci permet à vos utilisateurs de se connecter à un serveur DNS externe à l’aide des ports TCP 53 et UDP 53 standard. Étant donné que « Sortant » est un filtre de paquets, il ne peut pas protéger contre les chevaux de Troie du trafic sortant UDP, les failles de sécurité DNS et autres problèmes courants qui se produisent lorsque vous ouvrez l’ensemble du trafic UDP sortant à partir de vos réseaux approuvés. L’action du proxy DNS-Sortant présente des fonctionnalités qui protègent votre réseau de ces menaces. Si vous utilisez des serveurs DNS externes pour votre réseau, l’ensemble des règles DNS-Sortant fournit des méthodes supplémentaires permettant de contrôler les services disponibles pour votre communauté de réseaux. Pour ajouter le proxy DNS à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox. Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie pour modifier la définition. Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient une icône permettant de configurer l’action de proxy. Onglet Stratégie Les connexions du proxy DNS sont : Spécifiez si les connexions ont le statut Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet Stratégie de la définition du proxy). Voir Définir les règles d’accès pour une stratégie. Onglet Propriétés Dans la liste déroulante Action de proxy, indiquez si vous souhaitez définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et sur Définir les préférences de journalisation et de notification. Si vous définissez la liste déroulante Les connexions du proxy DNS sont (dans l’onglet Stratégie) sur Refusé (ou sur Refusé (envoi réinitialisation)), vous pouvez bloquer les sites qui tentent d’utiliser DNS. Voir Bloquer temporairement des sites grâce aux paramètres de stratégie. Si vous souhaitez utiliser une durée d’inactivité autre que celle définie par le serveur d’authentification ou Firebox, vous devez Définir un délai d’inactivité personnalisé. Guide de l’utilisateur 307 Stratégies de proxy Paramètres des actions de proxy Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui assurent un bon équilibre entre la sécurité et l’accessibilité à la plupart des installations. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy (la première icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la partie gauche de la boîte de dialogue : Proxy DNS : Paramètres généraux Proxy DNS : OPcodes Proxy DNS : Types de requêtes Proxy DNS : Noms de requêtes Proxy DNS : Intrusion prevention Alarmes de proxy et d’antivirus. Les interruptions et la notification SNMP sont désactivées par défaut. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition du proxy : 308 Définir un calendrier d’application Appliquer les actions de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer des règles NAT (Les règles NAT 1-à-1 et NAT dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS pour une stratégie Définir une propriété de trafic dans une stratégie Ajouter une durée de connexion persistante à une stratégie WatchGuard System Manager Stratégies de proxy Proxy DNS : Paramètres généraux La page Général (la première page qui s’affiche lorsque vous cliquez sur l’icône Afficher/Modifier le proxy) vous permet de modifier les paramètres de deux règles de détection des anomalies de protocoles. Nous vous recommandons de ne pas modifier les paramètres par défaut. N’appartient pas à la classe Internet Sélectionnez l’action à effectuer lorsque le proxy analyse le trafic DNS qui n’appartient pas à la classe Internet (IN). L’action par défaut consiste à refuser le trafic. Nous vous recommandons de ne pas modifier l’action par défaut. Requête formatée de façon incorrecte Sélectionnez l’action à effectuer lorsque le proxy analyse le trafic DNS qui n’utilise pas le format correct. Alarme Une alarme est un mécanisme qui consiste à avertir les utilisateurs dès qu’une règle de proxy s’applique au trafic réseau. Activez la case à cocher Alarme pour configurer une alarme pour l’événement. Pour définir les options de l’alarme, sélectionnez Alarme proxy dans la liste Catégories sur le côté gauche de la fenêtre Configuration du proxy. Vous pouvez envoyer une interruption SNMP ou un e-mail, ou ouvrir une fenêtre contextuelle. Journal Activez cette case à cocher pour écrire un message dans le journal du trafic pour cet événement. Activer la journalisation des rapports Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si vous n’activez pas cette case à cocher, vous ne verrez pas les informations détaillées sur les connexions de proxy HTTP dans les rapports. Si vous souhaitez modifier les paramètres d’une ou plusieurs autres catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé de modifier cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. Guide de l’utilisateur 309 Stratégies de proxy Proxy DNS : OPcodes Les OPcodes (codes d’opération) DNS sont des commandes envoyées au serveur DNS pour lui indiquer d’effectuer certaines actions, telles qu’une requête (Query), une requête inverse (IQuery) ou une demande d’état du serveur (STATUS). Ces codes fonctionnent sur des éléments comme les registres, les valeurs en mémoire, les valeurs stockées sur la pile, les ports d’E/S, et le bus. Si l’ensemble de règles par défaut ne répond pas à tous les besoins de votre entreprise, vous pouvez ajouter, supprimer ou modifier des règles. Vous pouvez autoriser, refuser, supprimer ou bloquer des OPcodes DNS spécifiques. 1. Dans la section Catégories, sélectionnez OPCodes. 2. Pour les règles répertoriées, activez la case à cocher Activé pour activer une règle. Désactiver la case à cocher Activé pour désactiver une règle. Si vous utilisez Active Directory et que votre configuration Active Directory nécessite des mises à jour dynamiques, vous devez autoriser les OPCodes dynamiques dans vos règles d’action de proxy de trafic entrant DNS. Bien que cette action constitue un risque pour la sécurité, elle est nécessaire pour que le service Active Directory fonctionne correctement. Ajouter une nouvelle règle OPCodes 1. Cliquez sur Ajouter. La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche. 2. Tapez le nom de la règle. Les règles doivent comporter un maximum de 31 caractères. 3. Les OPCodes DNS possèdent un entier. Définissez la valeur des OPCodes à l’aide des flèches. Pour plus d’informations sur les entiers des OPCodes DNS, voir la RFC 1035. 4. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 5. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche. 310 WatchGuard System Manager Stratégies de proxy Proxy DNS : Types de requêtes Un type de requête DNS peut configurer un enregistrement de ressource par type (par exemple, un enregistrement CNAME ou TXT) ou en tant que type personnalisé d’opération de requête (par exemple, une zone de transfert AXFR Full). Si l’ensemble de règles par défaut du type de requête ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Vous pouvez autoriser, refuser, supprimer ou bloquer des types de requêtes DNS spécifiques. 1. Dans la section Catégories, sélectionnez Types de requêtes. 2. Pour activer une règle, activez la case à cocher Activé située en regard de l’action et du nom de la règle. Ajouter une nouvelle règle de types de requêtes 1. Pour ajouter une nouvelle règle de types de requêtes, cliquez sur Ajouter. La boîte de dialogue Nouvelle règle de types de requêtes s’affiche. 2. Tapez le nom de la règle. Les règles doivent comporter un maximum de 31 caractères. 3. Les types de requêtes DNS possèdent une valeur d’enregistrement de ressource. Utilisez les flèches pour définir la valeur. Pour plus d’informations sur les valeurs des types de requêtes DNS, voir la RFC 1035. 4. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos des règles et des ensembles de règles. 5. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche. Guide de l’utilisateur 311 Stratégies de proxy Proxy DNS : Noms des requêtes Un nom de requête DNS désigne un nom de domaine DNS spécifique, affiché sous un nom de domaine complet. Si l’ensemble de règles par défaut du nom de la requête ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. 1. Dans la section Catégories, sélectionnez Noms des requêtes. 2. Pour ajouter des noms ou pour en supprimer ou en modifier, voir À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie s’affiche. Prévention des intrusions dans les définitions de proxy Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue d’attaquer des réseaux tiers. Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS et TCP-UDP. Vous pouvez activer et configurer IPS de deux manières : Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager Pour plus d’informations, voir Activer Intrusion Prevention Service (IPS). Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy 1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au périphérique Firebox. 2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un proxy existant. 312 WatchGuard System Manager Stratégies de proxy 3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie, cliquez sur l’icône Afficher/Modifier le proxy (première icône à droite de la liste déroulante Action de proxy). 4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie droite, définissez les paramètres d’Intrusion Prevention Service (IPS). Alarmes de proxy et d’antivirus Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance situé sous Actions à entreprendre dans les définitions d’ensemble de règles. Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait de cette règle. Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se produit. 1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus. 2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de gestion de ce dernier. Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences de journalisation et de notification. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Terminer et enregistrer la configuration 1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie. 2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur Firebox. La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration. Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez. 3. Cliquez sur Enregistrer. 4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK. Guide de l’utilisateur 313 Stratégies de proxy À propos du proxy FTP Le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers) permet d’envoyer des fichiers d’un ordinateur vers un autre via un réseau TCP/IP. Le client FTP est en principe un ordinateur. Le serveur FTP peut être une ressource stockant les fichiers sur le même réseau ou sur un autre réseau. Deux états sont possibles pour le client FTP en matière de transfert de données : actif ou passif. En mode actif, le serveur établit une connexion avec le client sur le port source 20. En mode passif, le client utilise un port précédemment négocié pour se connecter au serveur. Le proxy FTP surveille et analyse les connexions FTP entre les utilisateurs et les serveurs FTP auxquels ils se connectent. Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy FTP utilise un port autre que le port 20, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le proxy TCP/ UDP, voir À propos du proxy TCP/UDP. Pour ajouter le proxy FTP à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox. Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie. Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient une icône vous permettant de configurer l’action de proxy. Onglet Stratégie Les connexions du proxy FTP sont : Autorisé, Refusé ou Refusé (envoi réinitialisation). Définissez qui apparaît dans les listes De et À (dans l’onglet Stratégie de la définition du proxy). Voir Définir les règles d’accès pour une stratégie. Utiliser le routage basé sur stratégie: pour utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie. Onglet Propriétés 314 Dans la liste déroulante Action de proxy, choisissez si vous voulez ou non définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et définissez les préférences de journalisation et de notification. Si vous choisissez, dans la liste déroulante Les connexions du proxy FTP sont, située dans l’onglet Stratégie, l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au protocole FTP seront bloqués. Voir Bloquer temporairement les sites avec des paramètres de stratégie. Si vous voulez utiliser une durée d’inactivité autre que celle définie par le serveur d’authentification ou Firebox, définissez une durée d’inactivité personnalisée. WatchGuard System Manager Stratégies de proxy Paramètres des actions de proxy Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/ Modifier le proxy (la première icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la partie gauche de la boîte de dialogue : Proxy FTP : Paramètres généraux Proxy FTP : Commandes. Par défaut, toutes les commandes sont autorisées pour le client proxy FTP. Le serveur proxy FTP par défaut autorise l’exécution des commandes ci-après : ABOR* HELP* PASS* REST* STAT* USER* APPE* LIST* PASV* RETR* STOR* XCUP* CDUP* MKD* PORT* RMD* STOU* XCWD* CWD* NLST* PWD* RNFR* SYST* XMKD* DELE* NOOP* QUIT* RNTO* TYPE* XRMD* Proxy FTP : Transfert et téléchargement de contenu. Par défaut, le téléchargement des fichiers suivants est refusé pour le client proxy FTP : fichiers .cab, .com, .dll, .exe et .zip. Le serveur proxy FTP autorise le téléchargement de tous les fichiers. Les client et serveur proxy autorisent tous deux le transfert de tout type de fichier. Proxy FTP : Réponses antivirus. Lorsque Gateway AV est activé pour le proxy FTP, par défaut, les connexions sont abandonnées en cas de détection de virus ou d’erreur d’analyse. Proxy FTP : Protection contre les intrusions. Lorsqu’Intrusion Prevention est activé pour le proxy FTP, le paramètre par défaut consiste à refuser le trafic correspondant à une signature IPS. Alarme de proxy et d’antivirus. Les interruptions et la notification SNMP sont désactivées par défaut. Onglet Avancé Vous pouvez effectuer plusieurs autres opérations avec la définition du proxy : Définir un calendrier d’application Appliquer des actions de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer des règles NAT (La NAT un à un et la NAT dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS pour une stratégie Définir une priorité de trafic dans une stratégie Ajouter une durée de connexion persistante à une stratégie Guide de l’utilisateur 315 Stratégies de proxy Proxy FTP : Paramètres généraux Dans la page Général (première page affichée une fois que vous avez cliqué sur l’icône Afficher/Modifier le proxy), vous pouvez définir les paramètres FTP de base, notamment la longueur maximale du nom d’utilisateur. 1. Dans la section Catégories, sélectionnez Général. 2. Pour définir des limites pour les paramètres FTP, activez les cases à cocher de votre choix. Ces paramètres contribuent à protéger votre réseau contre les attaques de dépassement de mémoire tampon. Utilisez les flèches pour modifier les limites suivantes : Définir la longueur de nom d’utilisateur maximum à Permet de définir la longueur maximale des noms d’utilisateur employés sur les sites FTP. Définir la longueur de mot de passe maximum à Permet de définir la longueur maximale des mots de passe utilisés pour se connecter aux sites FTP. Définir la longueur de nom de fichier maximum à Permet de définir la longueur maximale des noms de fichier à transférer ou à télécharger. Définir la longueur de ligne de commande maximum à Permet de définir la longueur maximale des lignes de commande utilisées sur les sites FTP. Définir le nombre maximum d’échecs de connexion par connexion à Permet de limiter le nombre de tentatives de connexion infructueuses à votre site FTP. Ainsi, vous protégez votre site contre les attaques en force. 316 WatchGuard System Manager Stratégies de proxy 3. Vous pouvez, pour chaque paramètre, activer ou désactiver la case à cocher Blocage automatique correspondante. Si un utilisateur tente de se connecter à un site FTP et dépasse une limite pour laquelle l’option Blocage automatique est sélectionnée, l’ordinateur qui a émis les commandes est ajouté à la liste des sites bloqués de façon temporaire. 4. Pour qu’un message de journal soit créé pour chaque transaction réalisée, activez la case à cocher Activer la journalisation des rapports. Vous devez sélectionner cette option afin d’obtenir des rapports détaillés sur le trafic FTP avec Rapports WatchGuard. 5. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 317 Stratégies de proxy Proxy FTP : Commandes Un certain nombre de commandes permettant de gérer les fichiers est associé au protocole FTP. Vous avez la possibilité de définir des règles destinées à limiter certaines commandes FTP. Utilisez l’action de proxy FTP-Server pour restreindre les commandes qui peuvent être exécutées sur un serveur FTP protégé par le périphérique Firebox. Avec la configuration par défaut, cette action de proxy bloque les commandes ci-après : ABOR* HELP* PASS* REST* STAT* USER* APPE* LIST* PASV* RETR* STOR* XCUP* CDUP* MKD* PORT* RMD* STOU* XCWD* CWD* NLST* PWD* RNFR* SYST* XMKD* DELE* NOOP* QUIT* RNTO* TYPE* XRMD* Utilisez l’action de proxy FTP-Client pour restreindre les commandes que les utilisateurs protégés par le périphérique Firebox peuvent exécuter lorsqu’ils sont connectés à des serveurs FTP externes. Par défaut, cette action de proxy autorise toutes les commandes FTP. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Il est recommandé de ne pas bloquer ces commandes, car elles sont nécessaires au bon fonctionnement du protocole FTP. Commande du protocole Commande du client Description USER n/d Envoyée avec le nom de connexion PASS n/d Envoyée avec le mot de passe PASV pasv Sélection du mode passif pour le transfert de données SYST syst Impression du nom et de la version du système d’exploitation installé sur le serveur. Les clients FTP se servent de ces informations pour interpréter et afficher les réponses du serveur en conséquence. 1. Dans la section Catégories, sélectionnez Commandes. 2. Ajoutez, supprimez ou modifiez des règles en suivant la procédure décrite dans la rubrique À propos des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 318 WatchGuard System Manager Stratégies de proxy Proxy FTP : Transfert et téléchargement de contenu Vous pouvez contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. Par exemple, de nombreux pirates utilisent des fichiers exécutables pour infecter les ordinateurs avec des virus ou des vers, c’est pourquoi vous pouvez décider de refuser les demandes de fichiers *.exe. De même, si vous ne souhaitez pas que les utilisateurs puissent transférer des fichiers Windows Media vers un serveur FTP, il vous suffit d’ajouter *.wmaà la définition du proxy et de préciser que les fichiers portant cette extension doivent être rejetés. Utilisez l’astérisque (*) en tant que caractère générique. Utilisez l’action de proxy FTP-Server pour déterminer les règles applicables à un serveur FTP protégé par le périphérique Firebox. Utilisez l’action de proxy FTP-Client pour définir les règles relatives aux utilisateurs qui se connectent à des serveurs FTP externes. 1. Dans la section Catégories, sélectionnez Transférer ou Télécharger. 2. Ajoutez, supprimez ou modifiez des règles en suivant la procédure décrite dans la rubrique À propos des règles et des ensembles de règles. 3. Si vous voulez que Gateway AntiVirus procède à une analyse antivirus sur les fichiers transférés, paramétrez au moins l’un des champs Actions à entreprendre sur Analyse AV. 4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez aux rubriques concernant la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Configurer les actions de Gateway AntiVirus Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à déclencher en cas de détection de virus ou d’erreur dans un message électronique (proxies SMTP ou POP3), une page Web (proxy HTTP) ou un fichier transféré ou téléchargé (proxy FTP). Les options des actions antivirus sont : Autoriser Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus. Refuser (proxy FTP uniquement) Refuse le fichier et envoie un message de refus. Verrouiller (proxies SMTP et POP3 uniquement) Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par Firebox. Un fichier verrouillé ne peut pas être ouvert facilement par l’utilisateur. Seul l’administrateur peut le déverrouiller. L’administrateur peut utiliser un autre outil antivirus pour analyser le fichier et examiner le contenu de la pièce jointe. Pour plus d’informations sur la façon de déverrouiller un fichier verrouillé par Gateway AntiVirus, voir Déverrouiller un fichier verrouillé par Gateway AntiVirus. Quarantaine (proxy SMTP uniquement) Lorsque vous utilisez le proxy SMTP avec l’abonnement aux services de sécurité spamBlocker, vous pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de Quarantine Server. Pour plus d’informations sur la façon de configurer Gateway AntiVirus pour qu’il fonctionne avec Quarantine Server, voir Configurer Gateway AntiVirus pour mettre en quarantaine le courrier. Guide de l’utilisateur 319 Stratégies de proxy Supprimer (proxies SMTP et POP3 uniquement) Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire. Abandonner (non pris en charge sur le proxy POP3) Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message. Bloquer (non pris en charge sur le proxy POP3) Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués. Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est moins sécurisée. 1. Dans Policy Manager, sélectionnez Tâches > Gateway AntiVirus > Configurer. La boîte de dialogue Gateway AntiVirus s’affiche et répertorie les proxies qui ont déjà été créés. 320 WatchGuard System Manager Stratégies de proxy 2. Sélectionnez la stratégie à configurer et cliquez sur Configurer. La page Paramètres généraux de Gateway Antivirus correspondant à cette stratégie s’affiche. Sinon, plutôt que d’exécuter les étapes 1 et 2, vous pouvez accéder à la même page à partir des écrans de définition d’un proxy. Dans la section Catégories de la définition de proxy, sélectionnez AntiVirus. 3. Dans la liste déroulante Quand un virus est détecté, définissez l’action que Firebox doit déclencher s’il détecte un virus dans un e-mail, un fichier ou une page Web. Voir le début de cette section pour obtenir une description des actions du proxy. 4. Dans la liste déroulante Quand une erreur d’analyse se produit, définissez l’action que Firebox doit déclencher lorsqu’il ne peut pas analyser un objet ou une pièce jointe. Parmi les pièces jointes qui ne peuvent pas être analysées, on trouve les messages au format BinHex, certains fichiers chiffrés ou des fichiers dont le type de compression n’est pas pris en charge, tels que les fichiers compressés protégés par mot de passe. Voir le début de cette section pour obtenir une description des actions du proxy. 5. (Proxy FTP uniquement) Vous pouvez limiter l’analyse des fichiers à un nombre de kilo-octets précis. Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers très volumineux sans trop perturber les performances. Entrez la limite dans le champ Limiter l’analyse aux premiers. Guide de l’utilisateur 321 Stratégies de proxy Créer des alarmes ou entrées de journal pour les actions antivirus Une alarme est un mécanisme permettant d’indiquer aux utilisateurs qu’une règle de proxy s’applique au trafic réseau. Utilisez la case à cocher Alarme de la page AntiVirus d’une définition de proxy pour créer une alarme lorsque l’action adjacente se produit. Si vous ne voulez pas définir d’alarme pour l’action antivirus, désactivez la case à cocher Alarme pour cette action. Pour utiliser correctement la fonctionnalité d’alarme, vous devez également configurer le type d’alarme à utiliser dans chaque stratégie de proxy. Pour configurer le type d’alarme à utiliser, utilisez la catégorie Alarmes de proxy et d’antivirus pour le proxy. Pour plus d’informations sur les paramètres de cette catégorie, voir Définir les préférences de journalisation et de notification. Si vous souhaitez enregistrer les messages du journal correspondant à une action de proxy, activez la case à cocher Journal pour la réponse antivirus. Si vous ne souhaitez pas enregistrer les messages du journal pour une réponse antivirus, désactivez la case à cocher Journal. Prévention des intrusions dans les définitions de proxy Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue d’attaquer des réseaux tiers. Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS et TCP-UDP. 322 WatchGuard System Manager Stratégies de proxy Vous pouvez activer et configurer IPS de deux manières : Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager Pour plus d’informations, voir Activer Intrusion Prevention Service (IPS). Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy 1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au périphérique Firebox. 2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un proxy existant. 3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie, cliquez sur l’icône Afficher/Modifier le proxy (première icône à droite de la liste déroulante Action de proxy). 4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie droite, définissez les paramètres d’Intrusion Prevention Service (IPS). Alarmes de proxy et d’antivirus Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance situé sous Actions à entreprendre dans les définitions d’ensemble de règles. Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait de cette règle. Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se produit. 1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus. 2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de gestion de ce dernier. Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences de journalisation et de notification. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 323 Stratégies de proxy Terminer et enregistrer la configuration 1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie. 2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur Firebox. La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration. Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez. 3. Cliquez sur Enregistrer. 4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK. À propos du proxy H.323 Si, dans votre entreprise, vous faites appel à la technique de voix sur IP, vous pouvez ajouter une règle de proxy H.323 ou SIP (Session Initiation Protocol) afin d’ouvrir les ports nécessaires à l’activation de la voix sur IP par le biais de votre périphérique Firebox. Ces stratégies de proxy ont été conçues pour un environnement NAT et visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et situé derrière le périphérique Firebox. H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des stratégies de proxy H.323 et des stratégies de proxy SIP. Pour déterminer la stratégie de proxy à ajouter, consultez la documentation fournie avec vos périphériques ou applications de voix sur IP. La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants : Connexions pair à pair Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se connecte à celui-ci directement. Connexions hébergées Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur privé). Avec H.323, le composant essentiel de la gestion des appels est appelé « portier ». À l’heure actuelle, WatchGuard ne prend pas en charge les connexions H.323 hébergées par des systèmes de gestion des appels. Dans la version actuelle, le proxy H.323 prend uniquement en charge les connexions pair à pair. Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Il est recommandé de vérifier que les connexions de voix sur IP fonctionnent correctement avant de tenter d’utiliser le système avec des stratégies de proxy Firebox. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se présenter. Certains fabricants ont recours au protocole TFTP pour l’envoi de mises à jour périodiques au matériel de voix sur IP géré. Si ce protocole est nécessaire aux mises à jour de votre matériel, veillez à ajouter une stratégie TFTP à la configuration Firebox afin d’autoriser ces connexions. 324 WatchGuard System Manager Stratégies de proxy Lorsque vous activez une stratégie de proxy H.323, le périphérique Firebox : répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ; vérifie que les connexions de voix sur IP utilisent les protocoles H.323 standard ; génère des messages de journal à des fins d’audit. Pour ajouter le proxy H.323 à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox. Définition des paramètres des actions de proxy H.323 Le proxy H.323 possède un seul ensemble de règles (Général), qui contient lui-même un seul paramètre : Activer la journalisation des rapports : ce paramètre permet de créer, pour chaque transaction, un message dans le journal du trafic. La journalisation des rapports est activée par défaut. Cette option est susceptible de créer un fichier journal volumineux, mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si vous désactivez cette case à cocher, les connexions établies via le proxy H.323 ne sont pas détaillées dans les rapports WatchGuard. À propos du proxy HTTP Le protocole HTTP (Hyper Text Transfer Protocol ) est un protocole de requête/réponse entre clients et serveurs. Le client HTTP est en principe un navigateur Internet. Le serveur HTTP est une ressource distante qui stocke ou crée des fichiers HTML, des images et d’autres types de contenus. Lorsque le client HTTP lance une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 80. Un serveur HTTP attend de recevoir les requêtes qui transitent via ce port. Lorsque cela arrive, il répond en renvoyant le fichier demandé, un message d’erreur ou d’autres informations. Le proxy HTTP est un filtre de contenu ultra performant. Il examine le trafic Web afin d’identifier les contenus suspects pouvant véhiculer des virus ou tout autre type d’intrusion. Il peut également protéger votre serveur Web face aux attaques du réseau externe. Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy HTTP utilise un port autre que le port 80, le proxy TCP/UDP lui relaie le trafic. Pour plus d’informations sur le proxy TCP/ UDP, voir À propos du proxy TCP/UDP. Pour ajouter le proxy HTTP à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox. Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie. Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient une icône vous permettant de configurer l’action de proxy. HTTP et WebBlocker Vous pouvez combiner le proxy HTTP avec l’abonnement au service de sécurité WebBlocker. Pour plus d’informations, voir À propos de WebBlocker. Guide de l’utilisateur 325 Stratégies de proxy Onglet Stratégie Les connexions du proxy HTTP sont : Autorisé, Refusé ou Refusé (envoi réinitialisation). Définissez qui apparaît dans les listes De et À (dans l’onglet Stratégie de la définition du proxy). Voir Définir les règles d’accès pour une stratégie. Utiliser le routage basé sur stratégie :pour utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie. Vous pouvez également configurer la traduction d’adresses réseau statique ou configurer l’équilibrage de charge côté serveur. Onglet Propriétés Dans la liste déroulante Action de proxy, choisissez si vous voulez ou non définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et définissez les préférences de journalisation et de notification. Si vous choisissez, dans la liste déroulante Les connexions du proxy HTTP sont située dans l’onglet Stratégie, l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au protocole HTTP seront bloqués. Voir Bloquer temporairement les sites avec des paramètres de stratégie. Proxy HTTP : Intrusion Prevention Alarmes de proxy et d’antivirus Si vous voulez appliquer une durée d’inactivité autre que celle définie par le serveur d’authentification ou Firebox, définissez une durée d’inactivité personnalisée. Paramètres des actions de proxy Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy (la première icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la partie gauche de la boîte de dialogue : 326 Requêtes HTTP : Paramètres généraux Requêtes HTTP : Méthodes de requête Requêtes HTTP : Chemins d’URL Requêtes HTTP : Champs d’en-tête Requêtes HTTP : Autorisation Réponses HTTP : Paramètres généraux Réponses HTTP : Champs d’en-tête Réponses HTTP : Types de contenus Réponses HTTP : Cookies Réponses HTTP : Types de contenus du corps Proxy HTTP : Exceptions Proxy HTTP : Réponses antivirus Proxy HTTP : Message de refus Proxy HTTP : Intrusion Prevention Alarmes de proxy et d’antivirus WatchGuard System Manager Stratégies de proxy Onglet Avancé Vous pouvez effectuer plusieurs autres opérations avec la définition du proxy : Définir un calendrier d’application Appliquer des actions de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer des règles NAT (La NAT un à un et la NAT dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS pour une stratégie Définir une priorité de trafic dans une stratégie Ajouter une durée de connexion persistante à une stratégie Requêtes HTTP : Paramètres généraux Dans la page Paramètres généraux (première page affichée une fois que vous avez cliqué sur l’icône Afficher/ Modifier le proxy), vous pouvez définir des paramètres HTTP de base tels que la durée d’inactivité et la longueur de l’URL. Guide de l’utilisateur 327 Stratégies de proxy Définir le délai d’inactivité des connexions Activez cette case à cocher pour contrôler le temps d’attente du proxy HTTP afin de permettre au client Web d’effectuer une requête depuis le serveur Web externe après avoir démarré une connexion TCP/IP ou après une requête antérieure, le cas échéant, pour la même connexion. Si le délai dépasse ce paramètre, le proxy HTTP ferme la connexion. Dans le champ adjacent, entrez le nombre de minutes s’écoulant avant la déconnexion du proxy. Définir la longueur maximum du chemin URL à Sélectionnez cette option pour définir la longueur maximum du chemin d’une URL. Cela n’inclut pas « http:\\ » ou le nom d’hôte. Le contrôle de la longueur de l’URL peut permettre d’éviter le dépassement de mémoire tampon. Dans le champ adjacent, entrez le nombre d’octets définissant la longueur de l’URL maximum. Autoriser des requêtes de plages non modifiées Sélectionnez cette option pour autoriser des requêtes de plages via Firebox. Les requêtes de plages permettent à un client d’effectuer une requête de sous-ensembles d’octets d’une ressource Web au lieu de l’intégralité du contenu. Par exemple, si vous souhaitez obtenir uniquement certaines sections d’un fichier volumineux Adobe et non l’ensemble du fichier, le téléchargement s’effectue plus rapidement et évite le chargement des pages inutiles si vous êtes en mesure de demander uniquement ce dont vous avez besoin. Cependant, les requêtes de plages peuvent également constituer un risque pour votre réseau. Si vous autorisez des requêtes de plages via Firebox et que vous téléchargez un fichier infecté par un virus dont la signature est répartie sur deux pages, le logiciel antivirus ne pourra pas détecter le virus. Sélectionnez Consigner cette action si vous souhaitez ajouter un message du journal du trafic lorsque le proxy effectue l’action mentionnée dans la case à cocher pour les requêtes de plages. Activer la journalisation des rapports Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si vous n’activez pas cette case à cocher, vous ne verrez pas les informations détaillées sur les connexions de proxy HTTPS dans les rapports WatchGuard. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Requêtes HTTP : Méthodes de requête La plupart des requêtes HTTP de navigateur se situent dans l’une des deux catégories suivantes : opérations GET et POST. Les navigateurs utilisent généralement des opérations GET pour télécharger des objets tels que des graphiques, des données HTML ou des données Flash. Plusieurs opérations GET sont généralement envoyées par un ordinateur client pour chaque page car les pages Web contiennent en principe de nombreux éléments différents. Les éléments sont rassemblés afin de constituer une seule page pour l’utilisateur final. Les navigateurs utilisent généralement des opérations POST pour envoyer des données à un site Web. Un grand nombre de pages Web rassemblent des informations provenant de l’utilisateur final comme l’emplacement, l’adresse électronique et le nom. Si vous désactivez la commande POST, Firebox refuse toutes les opérations POST vers les serveurs Web sur le réseau externe. Cette fonction peut empêcher les utilisateurs d’envoyer des informations vers un site Web sur le réseau externe. 328 WatchGuard System Manager Stratégies de proxy Si les extensions webDAV (décrites ci-dessous) ne sont pas activées, le proxy HTTP prend en charge les méthodes de requête : HEAD, GET, POST, OPTIONS, PUT et DELETE. Pour le serveur HTTP, le proxy prend en charge les méthodes de requête suivantes par défaut : HEAD, GET et POST. OPTIONS, PUT et DELETE sont ajoutées mais sont désactivées par défaut. 1. Dans la section Catégories, sélectionnez Méthodes de requête. 2. Web-based Distributed Authoring and Versioning (webDAV) est un ensemble d’extensions HTTP qui permet aux utilisateurs de modifier et de gérer des fichiers sur des serveurs Web distants. WebDAV est compatible avec Outlook Web Access (OWA). Activez la case à cocher Activer webDAV si vous souhaitez autoriser les utilisateurs à utiliser ces extensions. Plusieurs extensions sont également disponibles pour le protocole webDAV de base. Si vous activez webDAV, à l’aide de la case à cocher adjacente, indiquez si vous souhaitez activer uniquement les extensions décrites dans RFC 2518 ou si vous souhaitez inclure un ensemble supplémentaire d’extensions pour optimiser l’interopérabilité. 3. Ajoutez, supprimez ou modifiez des règles comme indiqué dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 329 Stratégies de proxy Requêtes HTTP : Chemins d’URL Une URL (Uniform Resource Locator) identifie une ressource sur un serveur distant et indique l’emplacement du réseau sur ce serveur. Le chemin d’URL est la chaîne d’informations qui se trouve en dessous du nom de domaine de niveau supérieur. Vous pouvez utiliser le proxy HTTP pour bloquer des sites Web qui contiennent du texte spécifié dans le chemin d’URL. Si la définition de proxy par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier les modèles de chemins d’URL. Les exemples suivants permettent de bloquer du contenu utilisant des chemins d’URL de requête HTTP : Pour bloquer toutes les pages comportant le nom d’hôte www.test.com, entrez le modèle : www.test.com* Pour bloquer tous les chemins contenant le mot « sex », sur tous les sites Web : *sex* Pour bloquer tous les chemins d’URL se terminant par « .test », sur tous les sites Web : *.test En règle générale, si vous filtrez des URL avec l’ensemble de règles de chemin d’URL de requête HTTP, vous devez configurer un modèle complexe utilisant une syntaxe d’expressions régulières de la vue avancée de l’ensemble de règles. Cette méthode est plus simple et fournit de meilleurs résultats pour un filtrage basé sur un en-tête ou un type de contenu du corps que sur un filtrage par chemin d’URL. 1. Dans la section Catégories, sélectionnez Chemins d’URL. 2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la rubrique relative à la catégorie suivante que vous souhaitez modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. 330 WatchGuard System Manager Stratégies de proxy Requêtes HTTP : Champs d’en-tête Cet ensemble de règles fournit un filtrage de contenu pour l’intégralité de l’en-tête HTTP. Par défaut, le proxy HTTP utilise des règles de correspondance exactes pour exclure des en-têtes Via et De et autoriser tous les autres en-têtes. Cet ensemble de règles recherche la correspondance par rapport à l’intégralité de l’en-tête, pas uniquement sur le nom. Par conséquent, pour obtenir une correspondance de toutes les valeurs d’un entête, entrez le modèle : « [nom en-tête] :* ». Pour obtenir uniquement une correspondance de certaines valeurs d’un en-tête, remplacez l’astérisque (*) par un modèle. Si votre modèle ne commence pas par un astérisque (*), insérez un espace entre les deux-points et le modèle lors de la saisie dans la zone de texte Modèle. Par exemple, entrez : [nom en-tête] : [modèle] et non [nom en-tête]:[modèle]. À noter que les règles par défaut n’excluent pas l’en-tête Référenceur mais intègrent une règle désactivée pour exclure cet en-tête. Pour activer cette règle, sélectionnez Modifier l’affichage. Certains navigateurs Web et certaines applications logicielles doivent utiliser l’en-tête Référenceur pour fonctionner correctement. 1. Dans la section Catégories, sélectionnez Champs d’en-tête. 2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Requêtes HTTP : Autorisation Cette règle définit les critères de filtrage de contenu des champs d’autorisation d’en-tête de requête HTTP. Lorsqu’un serveur Web exécute un challenge « WWW-Authenticate », il envoie des informations relatives aux méthodes d’authentification qu’il peut utiliser. Le proxy pose des limites au type d’authentification envoyé dans une requête. Il utilise uniquement des méthodes d’authentification acceptées par le serveur Web. Dans une configuration par défaut, Firebox autorise l’authentification Basic, Digest, NTLM et Passport1.4 et exclut toutes les autres authentifications. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles : 1. Dans la section Catégories, sélectionnez Autorisation. 2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 331 Stratégies de proxy Réponses HTTP : Paramètres généraux Le champ Paramètres généraux permet de configurer des paramètres HTTP de base tels que le délai d’inactivité ou les limites de longueur totale et de ligne. 1. Dans la section Catégories, sélectionnez Paramètres généraux. 2. Pour définir des limites pour les paramètres HTTP, activez les cases à cocher de votre choix. Utilisez les flèches pour définir les limites suivantes : Définir un délai d’attente Définit le temps d’attente du proxy HTTP Firebox avant l’envoi de la page Web par le serveur. Lorsqu’un utilisateur clique sur un lien hypertexte ou entre une adresse URL dans son navigateur, une requête HTTP d’extraction du contenu est envoyée à un serveur distant. Dans la plupart des navigateurs, la barre d’état indique alors « Site contacté... » ou un message similaire. Si le serveur distant ne répond pas, le client HTTP continue d’envoyer la requête jusqu’à réception d’une réponse ou jusqu’à expiration du délai de requête. Dans cet intervalle, le proxy HTTP continue à surveiller la connexion et emploie des ressources réseau fiables. Définir la longueur maximum du chemin URL à Définit la longueur maximale autorisée pour une ligne de caractères dans les en-têtes de réponse HTTP. Utilisez cette propriété pour protéger vos ordinateurs contre les attaques de dépassement de mémoire tampon. Dans la mesure où la longueur des URL de la plupart des sites marchands ne cesse d’augmenter avec le temps, vous devrez peut-être ajuster cette valeur ultérieurement. Définir la longueur totale maximum Définit la longueur maximum des en-têtes de réponse HTTP. Si la longueur totale d’en-tête est supérieure à cette limite, la réponse HTTP est refusée. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 332 WatchGuard System Manager Stratégies de proxy Réponses HTTP : Champs d’en-tête Cet ensemble de règles contrôle les champs d’en-tête de réponse HTTP autorisés par le périphérique Firebox. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. RFC 2616 décrit un grand nombre d’en-têtes de réponse HTTP autorisés dans la configuration par défaut. Pour plus d’informations, voir : http://www.ietf.org/rfc/rfc2616.txt. 1. Dans la section Catégories, sélectionnez Champs d’en-tête. 2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Réponses HTTP : Types de contenus Lorsqu’un serveur Web envoie du trafic HTTP, il ajoute généralement un type MIME ou un type de contenu à l’en-tête du paquet qui indique le type de contenu du paquet. L’en-tête HTTP du flux de données contient ce type MIME. Il est ajouté avant l’envoi des données. Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG, ajoutez image/jpg à la définition du proxy. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Pour autoriser tout format d’image, ajoutez image/*. Certains types de contenus demandés par les utilisateurs sur les sites Web peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. Par défaut, Firebox autorise certains types de contenus sûrs et refuse le contenu MIME n’ayant pas de type de contenu spécifié. Certains serveurs Web fournissent des types MIME incorrects pour contourner les règles de contenu. Si la définition de proxy par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier la définition. Pour obtenir une liste de types MIME enregistrés actuels, consultez : http://www.iana.org/assignments/ media-types. Guide de l’utilisateur 333 Stratégies de proxy Ajouter, supprimer ou modifier des types de contenus 1. Dans la section Catégories, sélectionnez Types de contenus. 2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Le proxy HTTP inclut une liste de types de contenus communément utilisés que vous pouvez ajouter à l’ensemble de règles. Pour ajouter des types de contenus, cliquez sur le bouton Prédéfini. La boîte de dialogue Sélectionner le type de contenu s’affiche. Sélectionnez les types à ajouter et cliquez sur OK. Les nouveaux types apparaissent dans la zone Règles. 4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la rubrique relative à la catégorie suivante que vous souhaitez modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Réponses HTTP : Cookies Les cookies HTTP sont de petits fichiers de texte alphanumérique introduits par des serveurs Web sur les clients Web. Les cookies contrôlent la page d’un client Web pour activer le serveur Web et envoyer plusieurs pages dans le bon ordre. Les serveurs Web utilisent également des cookies pour collecter des informations relatives à un utilisateur final. La plupart des sites Web utilisent des cookies comme fonction d’authentification et autres fonctions de contrôle et ne peuvent pas fonctionner correctement sans cookies. Le proxy HTTP vous permet de contrôler les cookies des réponses HTTP. Vous pouvez configurer des règles pour exclure des cookies en fonction des exigences de votre réseau. La règle par défaut pour l’action de proxy serveur HTTP et client HTTP autorise tous les cookies. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Le proxy recherche les paquets en fonction du domaine associé au cookie. Le domaine peut être spécifié dans le cookie. S le cookie ne contient aucun domaine, le proxy utilise le nom d’hôte dans la première requête. Par exemple, pour bloquer tous les cookies pour nosy-adware-site.com, utilisez le modèle : *.nosy-adwaresite.com. Si vous souhaitez refuser les cookies de tous les sous-domaines d’un site Web, utilisez le caractère générique (*) avant et après le domaine. Par exemple, *.google.com* bloque tous les sous-domaines de google.com, tels que images.google.com et mail.google.com. Changer les paramètres des cookies 1. Dans la section de gauche Catégories, sélectionnez Cookies. 2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez aux rubriques concernant la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 334 WatchGuard System Manager Stratégies de proxy Réponses HTTP : Types de contenus du corps Cet ensemble de règles vous permet de contrôler le contenu d’une réponse HTTP. Le périphérique Firebox est configuré pour refuser des codes Java, des archives Zip, des fichiers EXE/DLL Windows et des fichiers CAB Windows. L’action de proxy par défaut pour les requêtes HTTP sortantes (client HTTP) autorise tous les autres types de contenus du corps de réponse. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Nous vous recommandons d’examiner les types de fichiers utilisés au sein de votre établissement et d’autoriser uniquement les types de fichiers nécessaires à votre réseau. 1. Dans la section Catégories , sélectionnez Types de contenus du corps. 2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Exceptions de proxy HTTP Les exceptions de proxy HTTP permettent d’ignorer des règles de proxy HTTP pour certains sites Web sans ignorer la structure du proxy. Le trafic qui correspond aux exceptions de proxy HTTP continue via la gestion de proxy standard utilisée par le proxy HTTP. Cependant, lorsqu’une correspondance est détectée, certains paramètres de proxy sont ignorés. Paramètres de proxy ignorés Les paramètres suivants sont ignorés : Requête HTTP : requêtes de plages, longueur du chemin URL, toutes les méthodes de requête, tous les chemins URL, en-têtes de requête*, correspondance du modèle d’autorisation Réponse HTTP : en-têtes de réponse*, types de contenus, cookies, types de contenus du corps * Les en-têtes de requête et les en-têtes de réponse sont analysés par le proxy HTTP même si le trafic correspond à l’exception de proxy HTTP. Si aucune erreur d’analyse ne se produit, tous les en-têtes sont autorisés. De même, les fonctions d’analyse antivirus, d’analyse IPS et de WebBlocker ne sont pas appliquées au trafic qui correspond à une exception de proxy HTTP. Paramètres de proxy non ignorés Les paramètres suivants ne sont pas ignorés : Requête HTTP : délai d’inactivité Réponse HTTP : délai d’inactivité, longueur maximale de la ligne, longueur maximale totale Toutes les analyses codage-transfert restent appliquées pour autoriser le proxy à déterminer le type de codage. Le proxy HTTP refuse tous les codages de transfert non valides ou incorrects. Guide de l’utilisateur 335 Stratégies de proxy Définir des exceptions Vous pouvez ajouter des noms d’hôtes ou des modèles comme exceptions de proxy HTTP. Par exemple, si vous bloquez tous les sites Web se terminant par « .test » mais que vous souhaitez autoriser les utilisateurs à accéder au site www.abc.test, vous pouvez ajouter « www.abc.test » comme exception de proxy HTTP. Vous spécifiez l’adresse IP ou le nom de domaine des sites accessibles. Le nom de domaine (ou hôte) est la partie de l’URL qui se termine par .com, .net, .org, .biz, .gov ou .edu. Les noms de domaine peuvent également se terminer par un code de pays, comme .de (Allemagne) ou .jp (Japon). Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de « http:// ». Par exemple, pour permettre aux utilisateurs d’accéder au site Web de WatchGuard http://www.watchguard.com, entrez www.watchguard.com. Pour autoriser tous les sous-domaines contenant « watchguard.com », vous pouvez utiliser l’astérisque (*) comme caractère générique. Par exemple, pour autoriser les utilisateurs à accéder à « watchguard.com », « www.watchguard.com» et « support.watchguard.com», entrez *.watchguard.com. 1. Dans la section Catégories , sélectionnez Exceptions de proxy HTTP. 2. Dans le champ situé à gauche du bouton Ajouter, entrez le nom d’hôte ou le modèle de nom d’hôte. Cliquez sur Ajouter. Répétez la procédure pour toutes les exceptions supplémentaires à ajouter. 3. Pour ajouter un message du journal du trafic chaque fois que le proxy HTTP exécute une action sur une exception de proxy, activez la case à cocher Consigner chaque transaction correspondant à une exception de proxy HTTP. 4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la rubrique relative à la catégorie suivante que vous souhaitez modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 336 WatchGuard System Manager Stratégies de proxy Configurer les actions de Gateway AntiVirus Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à déclencher en cas de détection de virus ou d’erreur dans un message électronique (proxies SMTP ou POP3), une page Web (proxy HTTP) ou un fichier transféré ou téléchargé (proxy FTP). Les options des actions antivirus sont : Autoriser Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus. Refuser (proxy FTP uniquement) Refuse le fichier et envoie un message de refus. Verrouiller (proxies SMTP et POP3 uniquement) Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par Firebox. Un fichier verrouillé ne peut pas être ouvert facilement par l’utilisateur. Seul l’administrateur peut le déverrouiller. L’administrateur peut utiliser un autre outil antivirus pour analyser le fichier et examiner le contenu de la pièce jointe. Pour plus d’informations sur la façon de déverrouiller un fichier verrouillé par Gateway AntiVirus, voir Déverrouiller un fichier verrouillé par Gateway AntiVirus. Quarantaine (proxy SMTP uniquement) Lorsque vous utilisez le proxy SMTP avec l’abonnement aux services de sécurité spamBlocker, vous pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de Quarantine Server. Pour plus d’informations sur la façon de configurer Gateway AntiVirus pour qu’il fonctionne avec Quarantine Server, voir Configurer Gateway AntiVirus pour mettre en quarantaine le courrier. Supprimer (proxies SMTP et POP3 uniquement) Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire. Abandonner (non pris en charge sur le proxy POP3) Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message. Bloquer (non pris en charge sur le proxy POP3) Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués. Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est moins sécurisée. Guide de l’utilisateur 337 Stratégies de proxy 1. Dans Policy Manager, sélectionnez Tâches > Gateway AntiVirus > Configurer. La boîte de dialogue Gateway AntiVirus s’affiche et répertorie les proxies qui ont déjà été créés. 2. Sélectionnez la stratégie à configurer et cliquez sur Configurer. La page Paramètres généraux de Gateway Antivirus correspondant à cette stratégie s’affiche. Sinon, plutôt que d’exécuter les étapes 1 et 2, vous pouvez accéder à la même page à partir des écrans de définition d’un proxy. Dans la section Catégories de la définition de proxy, sélectionnez AntiVirus. 338 WatchGuard System Manager Stratégies de proxy 3. Dans la liste déroulante Quand un virus est détecté, définissez l’action que Firebox doit déclencher s’il détecte un virus dans un e-mail, un fichier ou une page Web. Voir le début de cette section pour obtenir une description des actions du proxy. 4. Dans la liste déroulante Quand une erreur d’analyse se produit, définissez l’action que Firebox doit déclencher lorsqu’il ne peut pas analyser un objet ou une pièce jointe. Parmi les pièces jointes qui ne peuvent pas être analysées, on trouve les messages au format BinHex, certains fichiers chiffrés ou des fichiers dont le type de compression n’est pas pris en charge, tels que les fichiers compressés protégés par mot de passe. Voir le début de cette section pour obtenir une description des actions du proxy. 5. (Proxy FTP uniquement) Vous pouvez limiter l’analyse des fichiers à un nombre de kilo-octets précis. Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers très volumineux sans trop perturber les performances. Entrez la limite dans le champ Limiter l’analyse aux premiers. Créer des alarmes ou entrées de journal pour les actions antivirus Une alarme est un mécanisme permettant d’indiquer aux utilisateurs qu’une règle de proxy s’applique au trafic réseau. Utilisez la case à cocher Alarme de la page AntiVirus d’une définition de proxy pour créer une alarme lorsque l’action adjacente se produit. Si vous ne voulez pas définir d’alarme pour l’action antivirus, désactivez la case à cocher Alarme pour cette action. Pour utiliser correctement la fonctionnalité d’alarme, vous devez également configurer le type d’alarme à utiliser dans chaque stratégie de proxy. Pour configurer le type d’alarme à utiliser, utilisez la catégorie Alarmes de proxy et d’antivirus pour le proxy. Pour plus d’informations sur les paramètres de cette catégorie, voir Définir les préférences de journalisation et de notification. Si vous souhaitez enregistrer les messages du journal correspondant à une action de proxy, activez la case à cocher Journal pour la réponse antivirus. Si vous ne souhaitez pas enregistrer les messages du journal pour une réponse antivirus, désactivez la case à cocher Journal. Guide de l’utilisateur 339 Stratégies de proxy Proxy HTTP : Message de refus Firebox fournit un message de refus par défaut qui remplace le contenu refusé. Vous pouvez remplacer ce message de refus par un message que vous rédigez. Vous pouvez personnaliser le message de refus avec du HTML standard. Vous pouvez également utiliser des caractères Unicode (UTF-8) dans le message de refus. La première ligne du message de refus est un composant de l’en-tête HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message. Un message de refus est généré dans votre navigateur Web par Firebox lorsque vous effectuez une demande que le proxy HTTP n’autorise pas. Un message de refus est également généré lorsque votre demande est autorisée mais que le proxy HTTP refuse la réponse depuis le serveur Web distant. Par exemple, si un utilisateur essaie de télécharger un fichier « .exe » et que vous avez bloqué ce type de fichier, l’utilisateur voit un message de refus dans le navigateur Web. Si l’utilisateur essaie de télécharger une page Web avec un type de contenu non reconnu et que la stratégie du proxy est configurée pour bloquer les types MIME inconnus, l’utilisateur voit un message d’erreur dans le navigateur Web. Le message de refus par défaut apparaît dans le champ Message de refus. Pour personnaliser ce message, utilisez les variables suivantes : %(transaction)% Insère « Requête » ou « Réponse » pour indiquer le côté de la transaction générant le refus du paquet. %(raison)% Insère la raison pour laquelle Firebox a refusé le contenu. %(méthode)% Insère la méthode de requête de la requête refusée. %(hôte url)% Insère le nom d’hôte du serveur de l’URL refusée. L’adresse IP du serveur est fournie si aucun nom d’hôte n’a été inclus. %(chemin url)% Insère le composant chemin de l’URL refusée. 340 WatchGuard System Manager Stratégies de proxy 1. Dans la section Catégories , sélectionnez Message de refus. 2. Entrez le message de refus dans la zone de texte Message de refus. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la rubrique concernant la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Prévention des intrusions dans les définitions de proxy Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue d’attaquer des réseaux tiers. Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS et TCP-UDP. Vous pouvez activer et configurer IPS de deux manières : Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager Pour plus d’informations, voir Activer Intrusion Prevention Service (IPS). Guide de l’utilisateur 341 Stratégies de proxy Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy 1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au périphérique Firebox. 2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un proxy existant. 3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie, cliquez sur l’icône Afficher/Modifier le proxy (première icône à droite de la liste déroulante Action de proxy). 4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie droite, définissez les paramètres d’Intrusion Prevention Service (IPS). Alarmes de proxy et d’antivirus Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance situé sous Actions à entreprendre dans les définitions d’ensemble de règles. Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait de cette règle. Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se produit. 1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus. 2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de gestion de ce dernier. Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences de journalisation et de notification. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 342 WatchGuard System Manager Stratégies de proxy Terminer et enregistrer la configuration 1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie. 2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur Firebox. La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration. Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez. 3. Cliquez sur Enregistrer. 4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK. À propos du Proxy HTTPS HTTPS (Hypertext Transfer Protocol sur Secure Socket Layer ou HTTP sur SSL) est un protocole requête/ réponse entre clients et serveurs utilisé pour sécuriser des communications et des transactions. Le protocole HTTPS est plus sécurisé que le protocole HTTP car il utilise un certificat numérique pour chiffrer et déchiffrer des requêtes de page utilisateur ainsi que des pages renvoyées par le serveur Web. Le client HTTPS est en principe un navigateur Internet. Le serveur HTTPS est une ressource distante qui stocke ou crée des fichiers HTML, des images et d’autres types de contenus. Par défaut, lorsqu’un client HTTPS lance une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 443. La plupart des serveurs HTTPS attendent les requêtes sur le port 443. Lorsqu’il reçoit la requête du client, le serveur répond avec le fichier requis, un message d’erreur ou d’autres informations. Lorsqu’un client HTTPS ou un serveur utilise un port différent du port 443 au sein de votre entreprise, vous pouvez utiliser le proxy TCP/UDP pour relayer le trafic vers le proxy HTTPS. Pour plus d’informations sur le proxy TCP/UDP, voir À propos du proxy TCP/UDP. Pour ajouter le proxy HTTPS à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox. Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie. Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient une icône vous permettant de configurer l’action de proxy. HTTPS et WebBlocker Vous pouvez combiner le proxy HTTPS avec l’abonnement au service de sécurité WebBlocker. Pour plus d’informations, voir À propos de WebBlocker. À noter que vous pouvez utiliser les paramètres Proxy HTTPS : Noms de domaine pour filtrer des sites avant qu’ils ne soient comparés à la base de données WebBlocker. Onglet Stratégie Les connexions du proxy HTTPS sont : Autorisé, Refusé ou Refusé (envoi réinitialisation). Définissez qui apparaît dans les listes De et À (dans l’onglet Stratégie de la définition du proxy). Voir Définir les règles d’accès pour une stratégie. Utiliser le routage basé sur stratégie: pour utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie. Guide de l’utilisateur 343 Stratégies de proxy Onglet Propriétés Dans la liste déroulante Action de proxy, choisissez si vous voulez ou non définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et définissez les préférences de journalisation et de notification. Si vous choisissez, dans la liste déroulante Les connexions du proxy HTTPS sont située dans l’onglet Stratégie, l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au protocole HTTPS seront bloqués. Voir Bloquer temporairement les sites avec des paramètres de stratégie. Si vous voulez appliquer une durée d’inactivité autre que celle définie par le serveur d’authentification ou Firebox, définissez une durée d’inactivité personnalisée. Paramètres des actions de proxy Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy (la première icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la partie gauche de la boîte de dialogue : Proxy HTTPS : Paramètres généraux Proxy HTTPS : Noms de domaine Alarmes de proxy et d’antivirus Onglet Avancé Vous pouvez effectuer plusieurs autres opérations avec la définition du proxy : 344 Définir un calendrier d’application Appliquer des actions de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer des règles NAT (La NAT un à un et la NAT dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS pour une stratégie Définir une priorité de trafic dans une stratégie Ajouter une durée de connexion persistante à une stratégie WatchGuard System Manager Stratégies de proxy Proxy HTTPS : Paramètres généraux Dans la page Paramètres généraux (première page affichée une fois que vous avez cliqué sur l’icône Afficher/ Modifier le proxy), vous pouvez définir la durée d’inactivité et indiquer si la journalisation est activée ou désactivée. Définir le délai d’inactivité des connexions Activez cette case à cocher pour contrôler le temps d’attente du proxy HTTPS afin de permettre au client Web d’effectuer une requête depuis le serveur Web externe après avoir démarré une connexion TCP/IP ou après une requête antérieure, le cas échéant, pour la même connexion. Si le délai dépasse ce paramètre, le proxy HTTPS ferme la connexion. Dans le champ adjacent, entrez le nombre de minutes s’écoulant avant la déconnexion du proxy. Activer la journalisation des rapports Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si vous n’activez pas cette case à cocher, vous ne verrez pas les informations détaillées sur les connexions de proxy HTTPS dans les rapports WatchGuard. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la rubrique concernant la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Proxy HTTPS : Noms de domaine Les noms de domaine permettent de filtrer le contenu d’un site entier. La différence entre les noms de domaine et les règles de chemin URL que vous utilisez avec le proxy HTTP est que les noms de domaine s’appliquent à tous les protocoles et types de clients. Les chemins URL sont utilisés uniquement pour les connexions Web. Par exemple, si vous souhaitez refuser un trafic provenant d’un site de domaine abc.com, vous devrez ajouter une règle de nom de domaine avec le modèle *.abc.com. 1. Dans la section Catégories , sélectionnez Noms de domaine. 2. Ajouter, supprimer ou modifier des règles comme décrit à la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez à la rubrique concernant la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. Guide de l’utilisateur 345 Stratégies de proxy Alarmes de proxy et d’antivirus Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance situé sous Actions à entreprendre dans les définitions d’ensemble de règles. Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait de cette règle. Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se produit. 1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus. 2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de gestion de ce dernier. Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences de journalisation et de notification. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 346 WatchGuard System Manager Stratégies de proxy À propos du proxy POP3 POP3 (Post Office Protocol v.3) est un protocole qui transfère les e-mails depuis un serveur de messagerie vers un client de messagerie via une connexion TCP sur le port 110. La plupart des comptes de messagerie basés sur Internet utilisent POP3. Avec POP3, un client de messagerie contacte le serveur de messagerie et vérifie tous les nouveaux e-mails. S’il détecte un nouvel e-mail, il le télécharge sur le client de messagerie local. Une fois l’e-mail reçu par le client de messagerie, la connexion prend fin. Pour ajouter le proxy POP3 à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox. Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie. Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient une icône vous permettant de configurer l’action de proxy. Onglet Stratégie Les connexions du proxy POP3 sont : Autorisé, Refusé ou Refusé (envoi réinitialisation). Définissez qui apparaît dans les listes De et À (dans l’onglet Stratégie de la définition du proxy). Voir Définir les règles d’accès pour une stratégie. Utiliser le routage basé sur stratégie :pour utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie. Onglet Propriétés Dans la liste déroulante Action de proxy, choisissez si vous voulez ou non définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et définissez les préférences de journalisation et de notification. Si vous choisissez, dans la liste déroulante Les connexions du proxy POP3 sont située dans l’onglet Stratégie, l’option Refusé ou Refusé (envoi réinitialisation), les sites tentant de recourir au protocole POP3 seront bloqués. Voir Bloquer temporairement les sites avec des paramètres de stratégie. Si vous voulez appliquer une durée d’inactivité autre que celle définie par le serveur d’authentification ou Firebox, définissez une durée d’inactivité personnalisée. Guide de l’utilisateur 347 Stratégies de proxy Paramètres des actions de proxy Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy (la première icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la partie gauche de la boîte de dialogue : Proxy POP3 : Paramètres généraux Proxy POP3 : Authentification Proxy POP3 : Types de contenus Proxy POP3 : Noms de fichiers Proxy POP3 : En-têtes Proxy POP3 : Réponses antivirus Proxy POP3 : Message de refus Proxy POP3 : Intrusion Prevention Proxy POP3 : spamBlocker Alarmes de proxy et d’antivirus Onglet Avancé Vous pouvez effectuer plusieurs autres opérations avec la définition du proxy : 348 Définir un calendrier d’application Appliquer des actions de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer des règles NAT (La NAT un à un et la NAT dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS pour une stratégie Définir une priorité de trafic dans une stratégie Ajouter une durée de connexion persistante à une stratégie WatchGuard System Manager Stratégies de proxy Proxy POP3 : Paramètres généraux Dans la page Paramètres généraux (première page affichée une fois que vous avez cliqué sur l’icône Afficher/ Modifier le proxy), vous pouvez définir le délai d’attente et les limites de longueur de ligne ainsi que d’autres paramètres généraux pour le proxy POP3 : 1. Si cette page n’est pas déjà affichée, dans la section Catégories, sélectionnez Paramètres généraux. 2. Modifiez ces paramètres à votre convenance : Définir un délai d’attente Utilisez ce paramètre pour limiter la durée (en minutes) pendant laquelle le client de messagerie essaie d’ouvrir une connexion vers le serveur de messagerie avant de mettre fin à la connexion. Cela empêche le proxy d’utiliser trop de ressources réseau lorsque le serveur POP3 est lent ou inaccessible. Définir la longueur de ligne d’e-mail maximum à Utilisez ce paramètre pour empêcher certains types d’attaques de dépassement de mémoire tampon. Une longueur excessive des lignes peut être à l’origine d’un dépassement de mémoire tampon sur certains systèmes de messagerie. La plupart des systèmes et clients de messagerie envoient des lignes relativement courtes, mais certains systèmes de messagerie basés sur le Web envoient des lignes très longues. Cependant, il est peu probable que vous deviez modifier ce paramètre à moins qu’il n’empêche l’accès d’e-mails légitimes. Masquer les réponses serveur Activez cette case à cocher pour remplacer les chaînes de salutation POP3 dans les e-mails. Les pirates informatiques utilisent ces chaînes pour identifier le fournisseur et la version du serveur POP3. Guide de l’utilisateur 349 Stratégies de proxy Autoriser des pièces jointes codées UU Activez cette case à cocher pour que le proxy POP3 autorise les pièces jointes codées UU dans les emails. Cet ancien programme permet d’envoyer des fichiers binaires au format ASCII sur Internet. Les pièces jointes codées UU peuvent présenter des risques de sécurité car elles apparaissent comme fichiers texte ASCII mais peuvent en fait contenir des fichiers exécutables. Autoriser des pièces jointes BinHex Activez cette case à cocher pour que le proxy POP3 autorise les pièces jointes BinHex dans les e-mails. BinHex, contraction de binaire-à-hexadécimal, est un utilitaire qui convertit un fichier binaire au format ASCII. Activer la journalisation des rapports Activez cette case à cocher pour que le proxy POP3 envoie un message du journal à chaque demande de connexion via le POP3. Si vous souhaitez utiliser WatchGuard Reports pour créer des rapports sur le trafic POP3, vous devez activer cette case à cocher. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. 350 WatchGuard System Manager Stratégies de proxy Proxy POP3 : Authentification Un client POP3 doit s’authentifier auprès d’un serveur POP3 avant que ces derniers puissent échanger des informations. Dans la page Authentification, vous pouvez définir les types d’authentification pour autoriser le proxy et l’action à entreprendre pour les types ne répondant pas aux critères. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles : 1. Dans la section Catégories, sélectionnez Authentification. 2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Une fois l’ensemble de règles modifié, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 351 Stratégies de proxy Proxy POP3 : Types de contenus Les en-têtes d’e-mails incluent un en-tête Type de contenu qui indique le type MIME de l’e-mail et des pièces jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports contenus dans le message. Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Dans la page Types de contenus, vous pouvez définir des valeurs de filtrage de contenu et l’action à entreprendre pour les types de contenus ne répondant pas aux critères. Pour l’action de proxy de serveur POP3, vous définissez des valeurs de filtrage de contenu entrant. Pour l’action de proxy de client POP3, vous définissez des valeurs de filtrage de contenu sortant. 1. Dans la section Catégories, sélectionnez Types de contenus. 2. Activez la case à cocher Activer la détection automatique du type de contenu pour que le proxy POP3 examine le contenu et détermine son type. Sinon, le proxy POP3 utilise la valeur indiquée dans l’en-tête d’e-mail, que les clients définissent parfois de façon incorrecte. Par exemple, un fichier .pdf joint peut avoir un type de contenu indiqué comme application/flux d’octets. Si vous activez la détection automatique du type de contenu, le proxy POP3 reconnaît le fichier .pdf et utilise le type de contenu réel, application/pdf. Si le proxy ne reconnaît pas le type de contenu une fois le contenu examiné, il utilise la valeur indiquée dans l’en-tête d’e-mail, comme il le ferait si la détection automatique du type de contenu n’était pas activée. Dans la mesure où les pirates informatiques essaient toujours de masquer des fichiers exécutables sous d’autres types de contenus, nous vous recommandons d’activer la détection automatique du type de contenu pour sécuriser davantage votre installation. 3. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 4. Le format d’un type MIME est type/sous-type. Par exemple, si vous souhaitez autoriser des images JPEG, ajoutez image/jpg. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique. Pour autoriser tout format d’image, ajoutez /* à la liste. 5. Vous pouvez ajouter plusieurs types de contenus prédéfinis. Cliquez sur le bouton Prédéfini pour afficher une liste des types de contenus ainsi qu’une brève description de ces types de contenus. 6. Une fois l’ensemble de règles modifié, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 352 WatchGuard System Manager Stratégies de proxy 7. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 353 Stratégies de proxy Proxy POP3 : Noms de fichiers Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy de serveur POP3 pour les pièces jointes d’e-mails entrants. Cet ensemble de règles permet de fixer des limites sur les noms de fichiers dans le cadre d’une action de proxy de client POP3 pour les pièces jointes d’e-mails sortants. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. 1. Dans la section Catégories, sélectionnez Noms de fichiers. 2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Une fois l’ensemble de règles modifié, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 4. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 354 WatchGuard System Manager Stratégies de proxy Proxy POP3 : En-têtes Le proxy POP3 examine les en-têtes d’e-mail pour rechercher les modèles communs aux « faux » e-mails ainsi que ceux des expéditeurs légitimes. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles : 1. Dans la section Catégories, sélectionnez En-têtes. 2. Ajoutez, supprimez ou modifiez des règles comme décrit dans la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 4. Pour modifier les paramètres d’une autre catégorie, voir la section relative à cette catégorie dans ce document. Guide de l’utilisateur 355 Stratégies de proxy Configurer les actions de Gateway AntiVirus Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à déclencher en cas de détection de virus ou d’erreur dans un message électronique (proxies SMTP ou POP3), une page Web (proxy HTTP) ou un fichier transféré ou téléchargé (proxy FTP). Les options des actions antivirus sont : Autoriser Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus. Refuser (proxy FTP uniquement) Refuse le fichier et envoie un message de refus. Verrouiller (proxies SMTP et POP3 uniquement) Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par Firebox. Un fichier verrouillé ne peut pas être ouvert facilement par l’utilisateur. Seul l’administrateur peut le déverrouiller. L’administrateur peut utiliser un autre outil antivirus pour analyser le fichier et examiner le contenu de la pièce jointe. Pour plus d’informations sur la façon de déverrouiller un fichier verrouillé par Gateway AntiVirus, voir Déverrouiller un fichier verrouillé par Gateway AntiVirus. Quarantaine (proxy SMTP uniquement) Lorsque vous utilisez le proxy SMTP avec l’abonnement aux services de sécurité spamBlocker, vous pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de Quarantine Server. Pour plus d’informations sur la façon de configurer Gateway AntiVirus pour qu’il fonctionne avec Quarantine Server, voir Configurer Gateway AntiVirus pour mettre en quarantaine le courrier. Supprimer (proxies SMTP et POP3 uniquement) Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire. Abandonner (non pris en charge sur le proxy POP3) Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message. Bloquer (non pris en charge sur le proxy POP3) Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués. Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est moins sécurisée. 356 WatchGuard System Manager Stratégies de proxy 1. Dans Policy Manager, sélectionnez Tâches > Gateway AntiVirus > Configurer. La boîte de dialogue Gateway AntiVirus s’affiche et répertorie les proxies qui ont déjà été créés. 2. Sélectionnez la stratégie à configurer et cliquez sur Configurer. La page Paramètres généraux de Gateway Antivirus correspondant à cette stratégie s’affiche. Sinon, plutôt que d’exécuter les étapes 1 et 2, vous pouvez accéder à la même page à partir des écrans de définition d’un proxy. Dans la section Catégories de la définition de proxy, sélectionnez AntiVirus. Guide de l’utilisateur 357 Stratégies de proxy 3. Dans la liste déroulante Quand un virus est détecté, définissez l’action que Firebox doit déclencher s’il détecte un virus dans un e-mail, un fichier ou une page Web. Voir le début de cette section pour obtenir une description des actions du proxy. 4. Dans la liste déroulante Quand une erreur d’analyse se produit, définissez l’action que Firebox doit déclencher lorsqu’il ne peut pas analyser un objet ou une pièce jointe. Parmi les pièces jointes qui ne peuvent pas être analysées, on trouve les messages au format BinHex, certains fichiers chiffrés ou des fichiers dont le type de compression n’est pas pris en charge, tels que les fichiers compressés protégés par mot de passe. Voir le début de cette section pour obtenir une description des actions du proxy. 5. (Proxy FTP uniquement) Vous pouvez limiter l’analyse des fichiers à un nombre de kilo-octets précis. Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers très volumineux sans trop perturber les performances. Entrez la limite dans le champ Limiter l’analyse aux premiers. Créer des alarmes ou entrées de journal pour les actions antivirus Une alarme est un mécanisme permettant d’indiquer aux utilisateurs qu’une règle de proxy s’applique au trafic réseau. Utilisez la case à cocher Alarme de la page AntiVirus d’une définition de proxy pour créer une alarme lorsque l’action adjacente se produit. Si vous ne voulez pas définir d’alarme pour l’action antivirus, désactivez la case à cocher Alarme pour cette action. Pour utiliser correctement la fonctionnalité d’alarme, vous devez également configurer le type d’alarme à utiliser dans chaque stratégie de proxy. Pour configurer le type d’alarme à utiliser, utilisez la catégorie Alarmes de proxy et d’antivirus pour le proxy. Pour plus d’informations sur les paramètres de cette catégorie, voir Définir les préférences de journalisation et de notification. Si vous souhaitez enregistrer les messages du journal correspondant à une action de proxy, activez la case à cocher Journal pour la réponse antivirus. Si vous ne souhaitez pas enregistrer les messages du journal pour une réponse antivirus, désactivez la case à cocher Journal. 358 WatchGuard System Manager Stratégies de proxy Proxy POP3 : Message de refus Firebox fournit un message de refus par défaut qui remplace le contenu refusé. Vous pouvez remplacer ce message de refus par un message que vous rédigez. La première ligne du message de refus est une partie de l’en-tête HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message. 1. Dans la section Catégories, sélectionnez Message de refus. 2. Dans la zone de texte Message de refus, écrivez un message en texte brut personnalisé avec du HTML standard qui apparaîtra dans l’e-mail du destinataire lorsque le proxy bloquera cet e-mail. Vous pouvez utiliser les variables suivantes : %(raison)% Indique la raison pour laquelle Firebox refuse le contenu. %(type)% Indique le type de contenu refusé. %(nom_fichier)% Indique le nom de fichier du contenu refusé. %(virus)% Indique le nom ou le statut d’un virus, pour les utilisateurs de Gateway AntiVirus uniquement. %(action)% Indique le nom de l’action entreprise : verrouiller, exclure, etc. %(récupération)% Indique si vous pouvez récupérer la pièce jointe. Guide de l’utilisateur 359 Stratégies de proxy 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 360 WatchGuard System Manager Stratégies de proxy Prévention des intrusions dans les définitions de proxy Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue d’attaquer des réseaux tiers. Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS et TCP-UDP. Vous pouvez activer et configurer IPS de deux manières : Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager Pour plus d’informations, voir Activer Intrusion Prevention Service (IPS). Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy 1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au périphérique Firebox. 2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un proxy existant. 3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie, cliquez sur l’icône Afficher/Modifier le proxy (première icône à droite de la liste déroulante Action de proxy). 4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie droite, définissez les paramètres d’Intrusion Prevention Service (IPS). Guide de l’utilisateur 361 Stratégies de proxy Proxy POP3 : spamBlocker Les courriers indésirables (ou spams) remplissent votre boîte de réception à une allure incroyable. Une trop grande quantité de courriers indésirables limite la bande passante, affecte la productivité des employés et gaspille les ressources du réseau. L’option WatchGuard spamBlocker augmente votre capacité à bloquer les spams à l’entrée du réseau, lorsqu’ils tentent de s’introduire dans votre système. Si vous avez acquis et activé la fonctionnalité spamBlocker, les champs de la catégorie spamBlocker définissent les actions nécessaires à l’identification des e-mails en tant que courrier indésirable. Même si vous pouvez utiliser les écrans de définition du proxy pour activer et configurer spamBlocker, il est plus simple d’utiliser le menu Tâches de Policy Manager. Pour plus d’informations sur cette opération ou pour utiliser les écrans spamBlocker dans la définition du proxy, voir À propos de spamBlocker. 362 WatchGuard System Manager Stratégies de proxy Alarmes de proxy et d’antivirus Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance situé sous Actions à entreprendre dans les définitions d’ensemble de règles. Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait de cette règle. Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se produit. 1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus. 2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de gestion de ce dernier. Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences de journalisation et de notification. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Terminer et enregistrer la configuration 1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie. 2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur Firebox. La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration. Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez. 3. Cliquez sur Enregistrer. 4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK. Guide de l’utilisateur 363 Stratégies de proxy À propos du Proxy SIP Si, dans votre entreprise, vous faites appel à la technique de voix sur IP, vous pouvez ajouter une règle de proxy SIP (Session Initiation Protocol) ou H.323 afin d’ouvrir les ports nécessaires à l’activation de la voix sur IP par le biais de votre périphérique Firebox. Ces stratégies de proxy ont été conçues pour un environnement NAT et visent à maintenir la sécurité au niveau du matériel de conférence comportant des adresses privées et situé derrière le périphérique Firebox. H.323 est couramment utilisé pour les installations voix et les anciens systèmes de vidéoconférence. SIP est une norme plus récente qui est davantage employée dans les environnements hébergés, dans lesquels seuls les périphériques de point de terminaison (comme les téléphones) sont hébergés sur votre lieu de travail, et où un fournisseur de voix sur IP gère la connectivité. Si nécessaire, vous pouvez utiliser simultanément des stratégies de proxy H.323 et des stratégies de proxy SIP. Pour déterminer la stratégie de proxy à ajouter, consultez la documentation fournie avec vos périphériques ou applications de voix sur IP. La voix sur IP est généralement mise en oeuvre à l’aide de l’un des types de connexion suivants : Connexions pair à pair Dans une connexion pair à pair, chacun des deux périphériques connaît l’adresse IP de l’autre et se connecte à celui-ci directement. Connexions hébergées Les connexions peuvent être hébergées par un système de gestion des appels (autocommutateur privé). Avec le protocole SIP standard, deux composants clés du système d’appel sont « SIP Registrar » et « SIP Proxy ». Ces composants assurent à eux deux la fonctionnalité de H.323 Gatekeeper et fonctionnent ensemble pour gérer des connexions reçues par le système de gestion d’appel. Le proxy SIP WatchGuard et le proxy SIP standard sont différents. Le proxy SIP WatchGuard est un proxy transparent qui ouvre et ferme des ports pour permettre le fonctionnement de SIP. Le proxy SIP WatchGuard peut prendre en charge le SIP Registrar et le proxy SIP lorsqu’ils sont utilisés dans un système de gestion d’appel externe au Firebox. SIP n’est pas pris en charge dans cette version si votre système de gestion d’appel est protégé par Firebox. Il peut s’avérer difficile de coordonner les divers composants d’une installation de voix sur IP. Il est recommandé de vérifier que les connexions de voix sur IP fonctionnent correctement avant de tenter d’utiliser le système avec des stratégies de proxy Firebox. Vous serez ainsi en mesure de résoudre les problèmes qui pourraient se présenter. Certains fabricants ont recours au protocole TFTP pour l’envoi de mises à jour périodiques au matériel de voix sur IP géré. Si ce protocole est nécessaire aux mises à jour de votre matériel, veillez à ajouter une stratégie TFTP à la configuration Firebox afin d’autoriser ces connexions. Lorsque vous activez une stratégie de proxy SIP, le périphérique Firebox : répond automatiquement aux applications de voix sur IP et ouvre les ports appropriés ; vérifie que les connexions de voix sur IP utilisent les protocoles SIP standard ; génère des messages de journal à des fins d’audit. Pour ajouter le proxy SIP à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox. 364 WatchGuard System Manager Stratégies de proxy Définition des paramètres des actions de proxy SIP Le proxy SIP possède un seul ensemble de règles (Général), qui contient lui-même un seul paramètre : Activer la journalisation des rapports : ce paramètre permet de créer, pour chaque transaction, un message dans le journal du trafic. La journalisation des rapports est activée par défaut. Cette option est susceptible de créer un fichier journal volumineux, mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si vous désactivez cette case à cocher, les connexions établies via le proxy SIP ne sont pas détaillées dans les rapports WatchGuard. À propos du Proxy SMTP SMTP (Simple Mail Transport Protocol) est un protocole utilisé pour envoyer des e-mails entre serveurs de messagerie mais également entre clients de messagerie et serveurs de messagerie. Il utilise généralement une connexion TCP sur un port 25. Le proxy SMTP permet de contrôler les e-mails et leur contenu. Le proxy analyse des messages SMTP en fonction d’un certain nombre de paramètres filtrés et les compare aux règles de la configuration du proxy. Lorsque vous utilisez une NAT statique avec le SMTP, vous pouvez voir des paquets provenant d’un serveur de messagerie distant refusés avec le port de destination 113. Le cas échéant, vous pouvez ajouter une stratégie IDENT dans Policy Manager. Configurez IDENT pour autoriser les connexions entrantes vers : Firebox. Vous autorisez ainsi les e-mails sortants derrière le périphérique Firebox à accéder aux quelques serveurs SMTP sur Internet qui utilisent IDENT. Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le protocole SMTP utilise un port différent du port 25, le proxy TCP/UDP transfère le trafic vers le proxy SMTP. Pour plus d’informations sur le proxy TCP/UDP, voir À propos du proxy TCP/UDP. Pour ajouter le proxy SMTP à votre configuration Firebox, voir Ajouter un proxy à la configuration Firebox. Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie pour modifier la définition. Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient une icône permettant de configurer l’action de proxy. Onglet Stratégie Les connexions du proxy SMTP sont : Spécifiez si les connexions ont l’état Autorisé, Refusé ou Refusé (envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet Stratégie de la définition du proxy). Voir Définir les règles d’accès pour une stratégie. Onglet Propriétés Dans la liste déroulante Action de proxy, indiquez si vous voulez ou non définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification. Si vous paramétrez la liste déroulante Les connexions du proxy SMTP sont (de l’onglet Stratégie) sur Refusé ou Refusé (envoi réinitialisation), vous pouvez bloquer des sites qui tentent d’utiliser SMTP. Voir Bloquer temporairement les sites avec des paramètres de stratégie. Si vous voulez utiliser une durée d’inactivité autre que celle définie par le serveur d’authentification ou Firebox, voir Définir un délai d’inactivité personnalisé. Guide de l’utilisateur 365 Stratégies de proxy Paramètres des actions de proxy Les proxys WatchGuard possèdent des ensembles de règles prédéfinis qui offrent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy (la première icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la partie gauche de la boîte de dialogue. Proxy SMTP : Paramètres généraux Proxy SMTP : Règles de salutation Proxy SMTP : Paramètres ESMTP Proxy SMTP : Authentification Proxy SMTP : Types de contenus Proxy SMTP : Noms de fichiers Proxy SMTP : E-mail de/e-mail à Proxy SMTP : En-têtes Proxy SMTP : Réponses antivirus Proxy SMTP : Message de refus Proxy SMTP : Intrusion Prevention Proxy SMTP : spamBlocker Alarmes de proxy et d’antivirus Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition du proxy : 366 Définir un calendrier d’application Appliquer les actions de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer des règles NAT (La NAT un à un et la NAT dynamique sont activées par défaut dans toutes les stratégies.) Activer le marquage QoS pour une stratégie Définir une propriété de trafic dans une stratégie Ajouter une durée de connexion persistante à une stratégie WatchGuard System Manager Stratégies de proxy Proxy SMTP : paramètres généraux Sur la page Paramètres généraux (la page qui s’affiche lorsque vous cliquez sur l’icône Afficher/Modifier le proxy, vous pouvez définir des paramètres de proxy SMTP de base tels que le délai d’inactivité et les limites de messages. Délai d’inactivité Vous pouvez définir la durée d’inactivité d’une connexion SMTP entrante avant qu’elle n’expire. La valeur par défaut est de 10 minutes. Nombre maximum de destinataires du courrier Avec la case à cocher Définir le nombre de destinataires d’e-mail maximum, vous pouvez définir le nombre maximum de destinataires auxquels un message peut être envoyé. Le Firebox compte et autorise le passage du nombre spécifié d’adresses, puis ignore les autres adresses. Par exemple, si vous définissez la valeur sur 50 et si un message est destiné à 52 adresses, les 50 premières adresses reçoivent le message. Les deux dernières adresses ne le reçoivent pas. Une liste de distribution s’affiche sous forme d’adresse e-mail SMTP (par exemple, assistance@watchguard.com). Le Firebox la compte comme une seule adresse. Vous pouvez utiliser cette fonctionnalité pour diminuer le volume de courrier indésirable car ce dernier inclut généralement un grand nombre de destinataires. Soyez toutefois prudent car vous pouvez également refuser du courrier légitime. Longueur maximale de l’adresse Avec la case à cocher Définir la longueur d’adresse maximum, vous pouvez définir la longueur maximale des adresses e-mail. Guide de l’utilisateur 367 Stratégies de proxy Taille maximale des e-mails Avec la case à cocher Définir la taille d’e-mail maximum, vous pouvez définir la longueur maximale d’un message SMTP entrant. La plupart des e-mails sont envoyés au format texte ASCII 7 bits. Les exceptions sont les formats MIME binaire et MIME 8 bits. Le contenu MIME 8 bits (par exemple, les pièces jointes MIME) est codé à l’aide d’algorithmes standard (codage de type Base64 ou quoteprintable) afin de pouvoir être envoyé à travers les systèmes d’e-mails 7 bits. Le codage peut augmenter la longueur des fichiers d’un tiers. Pour autoriser des messages de 10 Ko, il convient de définir ce champ sur un minimum de 1 334 octets pour garantir le passage de tous les e-mails. Longueur de ligne d’e-mail maximum Avec la case à cocher Définir la longueur de ligne d’e-mail maximum à, vous pouvez définir la longueur maximale des lignes d’un message SMTP. Une longueur excessive des lignes peut être à l’origine d’un débordement de la mémoire tampon sur certains systèmes de messagerie. La plupart des systèmes et clients d’e-mail envoient des lignes courtes, mais certains systèmes Web en envoient des très longues. Masquer le serveur de messagerie Activez les cases à cocher ID de message et Réponses de serveur pour remplacer les chaînes de limites MIME et d’annonces SMTP dans les messages. Ces dernières sont utilisées par les pirates pour identifier le fournisseur et la version du serveur SMTP. Si vous possédez un serveur de messagerie et utilisez l’action de proxy SMTP entrant, vous pouvez indiquer au proxy SMTP de remplacer le domaine qui s’affiche dans la bannière du serveur SMTP par le nom de domaine de votre choix. Pour ce faire, en regard de Réécrire le domaine de bannière, entrez le nom de domaine à utiliser dans votre bannière dans la zone de texte qui s’affiche. Pour que cela se produise, vous devez également activer la case à cocher Réponses de serveur. Si vous utilisez l’action de proxy SMTP sortant, vous pouvez indiquer au proxy SMTP de remplacer le domaine qui apparaît dans les annonces HELO ou EHLO. Ces annonces constituent la première partie d’une transaction SMTP, lorsque le serveur de messagerie s’annonce auprès d’un serveur de messagerie récepteur. Pour ce faire, en regard de Réécrire le domaine HELO, entrez le nom de domaine à utiliser dans votre annonce HELO ou EHLO dans la zone de texte qui s’affiche. Autoriser des pièces jointes codées UU Activez cette case à cocher pour que le proxy SMTP autorise les pièches jointes uuencodées aux emails. Uuencode est un programme de génération précédente utilisé pour envoyer des fichiers binaires au format texte ASCII sur Internet. Les pièces jointes en Uuencode peuvent présenter des risques de sécurité car elles apparaissent sous forme de fichiers texte ASCII mais peuvent en fait contenir des exécutables. Autoriser des pièces jointes BinHex Activez cette case à cocher pour que le proxy SMTP autorise les pièches jointes BinHex aux e-mails. BinHex, abréviation de binaire-à-hexadécimal, est un utilitaire qui convertit un fichier du format binaire au format ASCII. Blocage automatique de la source des commandes non valides Activez cette case à cocher pour ajouter les expéditeurs de commandes SMTP non valides à la liste Sites bloqués. Des commandes SMTP non valides indiquent souvent une attaque contre le serveur SMTP. Activer la journalisation des rapports Activez cette case à cocher pour envoyer un message de journal pour chaque demande de connexion via SMTP. Il convient d’activer cette case à cocher pour que WatchGuard Reports crée des rapports précis sur le trafic SMTP. 368 WatchGuard System Manager Stratégies de proxy Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Proxy SMTP : règles d’accueil Le proxy examine les réponses HELO/EHLO initiales lors de l’initialisation de la session SMTP. Les règles par défaut de l’action de proxy SMTP entrant s’assurent que les paquets avec des messages d’accueil trop longs ou contenant des caractères incorrects ou inattendus sont refusés. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles : 1. Dans la section Catégories, sélectionnez Règles de salutation. 2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 369 Stratégies de proxy Proxy SMTP : paramètres ESMTP Les champs Paramètres ESMTP permettent de définir le filtrage du contenu ESMTP. Bien que le protocole SMTP soit largement reconnu et utilisé, quelques acteurs de la communauté Internet ont éprouvé le besoin de le développer pour en augmenter la fonctionnalité. ESMTP permet d’ajouter des extensions fonctionnelles à SMTP et d’identifier les serveurs et clients qui prennent en charge les fonctionnalités étendues. 1. Dans la section Catégories, sélectionnez Paramètres ESMTP. Activer ESMTP Activez cette case à cocher pour activer les champs ci-dessous. Dans le cas contraire, toutes les cases à cocher ci-dessous sont désactivées. Cependant, leurs paramètres sont enregistrés et ils sont restockés si vous réactivez cette case à cocher. Autoriser BDAT/CHUNKING Activez cette case à cocher pour autoriser BDAT/CHUNKING. Ceci permet d’envoyer des messages volumineux plus facilement à travers les connexions SMTP. Autoriser ETRN (Remote Message Queue Starting) Il s’agit d’une extension du protocole SMTP qui permet à un client et un serveur SMTP d’interagir pour démarrer l’échange des files d’attente de messages d’un hôte donné. Autoriser le MIME 8 bits Activez cette case à cocher pour autoriser le MIME 8 bits, si le client et l’hôte prennent en charge l’extension. Cette extension permet à un client et un hôte d’échanger des messages constitués de texte dont les octets ne font pas partie de la plage d’octets (hex 00-7F ou ASCII 7 bits) utilisée par le jeu de caractères US-ASCII. 370 WatchGuard System Manager Stratégies de proxy Autoriser le MIME binaire Activez cette case à cocher pour autoriser l’extension MIME binaire, si l’expéditeur et le destinataire l’acceptent. Le MIME binaire empêche la surcharge du codage base64 et quotedprintable des objets binaires envoyés utilisant le format de message MIME avec SMTP. Nous déconseillons l’activation de cette option car elle peut présenter des risques de sécurité. Consigner les options ESMTP refusées Activez cette case à cocher pour activer, ou désactivez-la pour désactiver, la journalisation des options ESMTP inconnues enlevées par le proxy SMTP. 2. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Proxy SMTP : Authentification Cet ensemble de règles autorise les types d’authentification ESMTP suivants : DIGEST- MD5, CRAM-MD5, PLAIN, LOGIN, LOGIN (ancien style), NTLM et GSSAPI. La règle par défaut refuse tout autre type d’authentification. Le RFC décrivant l’extension d’authentification SMTP est le RFC 2554. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles : 1. Dans la section Catégories, sélectionnez Authentification. 2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions d’utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 371 Stratégies de proxy Proxy SMTP : types de contenu Certains types de contenu intégrés dans les e-mails peuvent constituer une menace à l’encontre de votre réseau. Les autres types de contenu peuvent réduire la productivité de vos utilisateurs. L’ensemble de règles de l’action de proxy SMTP entrant permet de définir des valeurs pour le filtrage de contenu SMTP entrant. L’ensemble de règles de l’action de proxy SMTP sortant permet de définir des valeurs pour le filtrage de contenu SMTP sortant. Le proxy SMTP autorise les types de contenu suivants : texte/*, image/*, multipartie/* et message/*. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles : 1. Dans la section Catégories, sélectionnez Types de contenu. Activez la case à cocher Activer la détection automatique du type de contenu pour que le proxy SMTP examine le contenu afin d’en déterminer le type. Sinon, le proxy SMTP utilise la valeur mentionnée dans l’en-tête de l’e-mail, que les clients définissent parfois de manière incorrecte. Par exemple, le type de contenu d’un fichier .pdf joint peut être défini sur application/flux d’octets. Si vous activez la détection automatique du type de contenu, le proxy SMTP reconnaît le fichier .pdf et utilise le type de contenu adéquat, à savoir application/pdf. Si le proxy ne reconnaît pas le type du contenu après l’avoir examiné, il utilise la valeur incluse dans l’en-tête de l’e-mail, comme il le ferait si la détection automatique n’était pas activée. Étant donné que les pirates tentent souvent de maquiller des fichiers exécutables sous d’autres types de contenu, nous vous conseillons d’activer la détection automatique du type de contenu pour renforcer la sécurité de votre installation. 2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions d’utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 372 WatchGuard System Manager Stratégies de proxy Ajouter des types de contenu courants 1. Afin de vous faciliter la tâche, la définition de proxy contient plusieurs types de contenu que vous pouvez ajouter facilement à l’ensemble de règles Type de contenu. Pour afficher la liste des types de contenu courants, cliquez sur le bouton Prédéfini. La boîte de dialogue Sélectionner le type de contenu s’affiche. 2. Pour ajouter un type de contenu à l’ensemble de règles, sélectionnez-le et cliquez sur OK. Pour sélectionner une plage de types de contenu, cliquez sur le premier de la plage, appuyez sur la touche Maj et cliquez sur le dernier type de contenu de la plage. Pour sélectionner plusieurs types de contenu non contigus, maintenez la touche Ctrl enfoncée tout en sélectionnant les types. Proxy SMTP : noms de fichier L’ensemble de règles de l’action de proxy SMTP entrant permet d’établir des limites sur les noms de fichier des pièces jointes aux e-mails entrants. L’ensemble de règles de l’action de proxy SMTP sortant permet d’établir des limites sur les noms de fichier des pièces jointes aux e-mails sortants. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles : 1. Dans la section Catégories, sélectionnez Noms de fichiers. 2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 373 Stratégies de proxy Proxy SMTP : E-mail de/E-mail à L’ensemble de règles E-mail de permet d’autoriser l’entrée dans votre réseau des e-mails provenant des seuls expéditeurs spécifiés. La configuration par défaut accepte les e-mails de tous les expéditeurs. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. L’ensemble de règles E-mail à permet de limiter le courrier électronique sortant de votre réseau aux seuls destinataires spécifiés. La configuration par défaut autorise l’envoi d’e-mail à tous les destinataires en dehors de votre réseau. Sur une action de proxy SMTP entrant, vous pouvez utiliser l’ensemble de règles E-mail à pour empêcher l’utilisation de votre serveur de messagerie comme relais. Pour ce faire, vérifiez que tous les domaines dont les messages sont acceptés par le serveur de messagerie figurent dans la liste de règles. Ensuite, s’il n’y a Aucune correspondance, vérifiez que l’Action à entreprendre est définie sur Refuser. Tout e-mail provenant d’une adresse ne correspondant pas aux domaines répertoriés est refusé. Vous pouvez utiliser la fonctionnalité Remplacer par incluse dans cette boîte de dialogue de configuration des règles pour que le Firebox remplace les composants De et À de votre adresse e-mail par une autre valeur. Cette fonctionnalité est également appelée « mascarade SMTP ». Deux options supplémentaires sont disponibles dans les ensembles de règles E-mail de et E-mail à : Bloquer les adresses avec routage à la source Activez cette case à cocher pour bloquer un message lorsque l’adresse de l’expéditeur ou du destinataire contient des routes source. Un route source identifie le chemin qu’un message doit parcourir pour aller d’un hôte à un autre. L’route peut identifier les routeurs de messagerie et les sites « dorsaux » à utiliser. Par exemple, @backbone.com:freddyb@quelconque.com signifie que l’hôte appelé Backbone.com doit faire office d’hôte relais pour distribuer l’e-mail à freddyb@quelconque.com. Par défaut, cette option est activée pour les paquets SMTP entrants et désactivée pour les paquets SMTP sortants. Bloquer les caractères 8 bits Activez cette case à cocher pour bloquer un message dont l’expéditeur ou le destinataire a un nom d’utilisateur contenant des caractères 8 bits. Ceci autorise les accents sur un caractère alphabétique. Par défaut, cette option est activée pour les paquets SMTP entrants et désactivée pour les paquets SMTP sortants. 1. Dans la section Catégories, sélectionnez E-mail de ou E-mail à. 2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 374 WatchGuard System Manager Stratégies de proxy Proxy SMTP : en-têtes Les ensembles de règles des en-têtes vous permettent de définir des valeurs pour le filtrage des en-têtes SMTP entrants et sortants. Si l’ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles : 1. Dans la section Catégories, sélectionnez En-têtes. 2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions d’utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Configurer les actions de Gateway AntiVirus Lorsque vous activez Gateway AntiVirus, vous devez définir les actions à déclencher en cas de détection de virus ou d’erreur dans un message électronique (proxies SMTP ou POP3), une page Web (proxy HTTP) ou un fichier transféré ou téléchargé (proxy FTP). Les options des actions antivirus sont : Autoriser Autorise le paquet à accéder au destinataire, même si le contenu est porteur d’un virus. Refuser (proxy FTP uniquement) Refuse le fichier et envoie un message de refus. Verrouiller (proxies SMTP et POP3 uniquement) Verrouille la pièce jointe. Cette option est utile pour les fichiers qui ne peuvent pas être analysés par Firebox. Un fichier verrouillé ne peut pas être ouvert facilement par l’utilisateur. Seul l’administrateur peut le déverrouiller. L’administrateur peut utiliser un autre outil antivirus pour analyser le fichier et examiner le contenu de la pièce jointe. Pour plus d’informations sur la façon de déverrouiller un fichier verrouillé par Gateway AntiVirus, voir Déverrouiller un fichier verrouillé par Gateway AntiVirus. Quarantaine (proxy SMTP uniquement) Lorsque vous utilisez le proxy SMTP avec l’abonnement aux services de sécurité spamBlocker, vous pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur Quarantine Server. Pour plus d’informations sur le serveur Quarantine Server, voir À propos de Quarantine Server. Pour plus d’informations sur la façon de configurer Gateway AntiVirus pour qu’il fonctionne avec Quarantine Server, voir Configurer Gateway AntiVirus pour mettre en quarantaine le courrier. Supprimer (proxies SMTP et POP3 uniquement) Supprime la pièce jointe et permet l’acheminement du message jusqu’au destinataire. Abandonner (non pris en charge sur le proxy POP3) Abandonne le paquet et la connexion. Aucune information n’est envoyée à la source du message. Bloquer (non pris en charge sur le proxy POP3) Bloque le paquet et ajoute l’adresse IP de l’expéditeur à la liste des sites bloqués. Si dans le cadre de la configuration, vous autorisez les pièces jointes, celle-ci est moins sécurisée. Guide de l’utilisateur 375 Stratégies de proxy 1. Dans Policy Manager, sélectionnez Tâches > Gateway AntiVirus > Configurer. La boîte de dialogue Gateway AntiVirus s’affiche et répertorie les proxies qui ont déjà été créés. 376 WatchGuard System Manager Stratégies de proxy 2. Sélectionnez la stratégie à configurer et cliquez sur Configurer. La page Paramètres généraux de Gateway Antivirus correspondant à cette stratégie s’affiche. Sinon, plutôt que d’exécuter les étapes 1 et 2, vous pouvez accéder à la même page à partir des écrans de définition d’un proxy. Dans la section Catégories de la définition de proxy, sélectionnez AntiVirus. 3. Dans la liste déroulante Quand un virus est détecté, définissez l’action que Firebox doit déclencher s’il détecte un virus dans un e-mail, un fichier ou une page Web. Voir le début de cette section pour obtenir une description des actions du proxy. 4. Dans la liste déroulante Quand une erreur d’analyse se produit, définissez l’action que Firebox doit déclencher lorsqu’il ne peut pas analyser un objet ou une pièce jointe. Parmi les pièces jointes qui ne peuvent pas être analysées, on trouve les messages au format BinHex, certains fichiers chiffrés ou des fichiers dont le type de compression n’est pas pris en charge, tels que les fichiers compressés protégés par mot de passe. Voir le début de cette section pour obtenir une description des actions du proxy. 5. (Proxy FTP uniquement) Vous pouvez limiter l’analyse des fichiers à un nombre de kilo-octets précis. Tout kilo-octet supplémentaire dans le fichier n’est pas analysé. Cela permet au proxy d’analyser partiellement les fichiers très volumineux sans trop perturber les performances. Entrez la limite dans le champ Limiter l’analyse aux premiers. Guide de l’utilisateur 377 Stratégies de proxy Créer des alarmes ou entrées de journal pour les actions antivirus Une alarme est un mécanisme permettant d’indiquer aux utilisateurs qu’une règle de proxy s’applique au trafic réseau. Utilisez la case à cocher Alarme de la page AntiVirus d’une définition de proxy pour créer une alarme lorsque l’action adjacente se produit. Si vous ne voulez pas définir d’alarme pour l’action antivirus, désactivez la case à cocher Alarme pour cette action. Pour utiliser correctement la fonctionnalité d’alarme, vous devez également configurer le type d’alarme à utiliser dans chaque stratégie de proxy. Pour configurer le type d’alarme à utiliser, utilisez la catégorie Alarmes de proxy et d’antivirus pour le proxy. Pour plus d’informations sur les paramètres de cette catégorie, voir Définir les préférences de journalisation et de notification. Si vous souhaitez enregistrer les messages du journal correspondant à une action de proxy, activez la case à cocher Journal pour la réponse antivirus. Si vous ne souhaitez pas enregistrer les messages du journal pour une réponse antivirus, désactivez la case à cocher Journal. 378 WatchGuard System Manager Stratégies de proxy Proxy SMTP : Message de refus Le Firebox affiche un message de refus par défaut qui remplace le contenu refusé. Vous pouvez remplacer ce message de refus par un message rédigé par vous. La première ligne du message de refus correspond à une section de l’en-tête HTTP. Vous devez entrer une ligne vide entre la première ligne et le corps du message. 1. Dans la section Catégories, sélectionnez Message de refus. 2. Dans la zone Message de refus, vous pouvez rédiger un message texte personnalisé au format HTML standard qui s’affichera dans le message électronique du destinataire lorsque le proxy bloque ce message. Vous pouvez utiliser les variables suivantes : %(raison)% Insère la raison pour laquelle le Firebox a refusé le contenu. %(type)% Insère le type de contenu refusé. %(nom_fichier)% Insère le nom de fichier du contenu refusé. %(virus)% Insère le nom ou l’état d’un virus, pour les utilisateurs Gateway AntiVirus uniquement. %(action)% Insère le nom de l’action entreprise : verrouillage, suppression, etc. %(récupération)% Indique si vous pouvez récupérer la pièce jointe. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 379 Stratégies de proxy Prévention des intrusions dans les définitions de proxy Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue d’attaquer des réseaux tiers. Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS et TCP-UDP. Vous pouvez activer et configurer IPS de deux manières : Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager Pour plus d’informations, voir Activer Intrusion Prevention Service (IPS). Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy 1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au périphérique Firebox. 2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un proxy existant. 3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie, cliquez sur l’icône Afficher/Modifier le proxy (première icône à droite de la liste déroulante Action de proxy). 4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie droite, définissez les paramètres d’Intrusion Prevention Service (IPS). Proxy SMTP : spamBlocker Les courriers indésirables (ou spam) remplissent une boîte de réception moyenne à une allure incroyable. Une trop grande quantité de courriers indésirables limite la bande passante, affecte la productivité des employés et gaspille les ressources du réseau. L’option WatchGuard spamBlocker augmente votre capacité à attraper le courrier indésirable à la lisière de votre réseau alors qu’il tente de pénétrer dans votre système. Si vous avez acquis et activé la fonctionnalité spamBlocker, les champs de la catégorie spamBlocker définissent les actions entreprises sur les e-mails identifiés comme du courrier indésirable. Bien que vous puissiez activer et configurer spamBlocker par le biais des écrans de définition du proxy, il est plus simple d’utiliser le menu Tâches de Policy Manager. Pour plus d’informations sur la manière de procéder ou sur l’utilisation des écrans spamBlocker dans la définition du proxy, voir la rubrique À propos de spamBlocker. 380 WatchGuard System Manager Stratégies de proxy Alarmes de proxy et d’antivirus Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance situé sous Actions à entreprendre dans les définitions d’ensemble de règles. Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait de cette règle. Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se produit. 1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus. 2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de gestion de ce dernier. Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences de journalisation et de notification. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Configurer le proxy SMTP pour mettre en quarantaine le courrier Le WatchGuard Quarantine Server fournit un mécanisme de quarantaine sécurisé et complet pour tous les messages électroniques supposés être indésirables ou contenir des virus. Ce référentiel reçoit les messages électroniques à partir du proxy SMTP et les messages sont filtrés par spamBlocker. Pour configurer le proxy SMTP pour mettre en quarantaine le courrier, procédez comme suit : 1. Ajoutez le proxy SMTP à votre configuration et activez spamBlocker à partir de la définition de proxy. Ou activez spamBlocker et choisissez de l’activer pour le proxy SMTP. 2. Lorsque vous définissez les actions que spamBlocker applique aux différentes catégories d’e-mail (tel que décrit à la rubrique Configurer spamBlocker), assurez-vous de sélectionner l’action Quarantaine pour au moins l’une des catégories. Lorsque vous sélectionnez cette action, vous êtes invité à configurer le Quarantine Server, le cas échéant. Vous pouvez également sélectionner l’action Quarantaine pour les messages électroniques identifiés par VOD comme contenant des virus. Pour plus d’informations, voir Configurer les actions VOD (Virus Outbreak Detection). Guide de l’utilisateur 381 Stratégies de proxy Terminer et enregistrer la configuration 1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie. 2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur Firebox. La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration. Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez. 3. Cliquez sur Enregistrer. 4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK. À propos du proxy TCP-UDP Le proxy TCP-UDP est disponible pour les protocoles suivants des ports non standard : HTTP, HTTPS, SIP et FTP. Pour ces protocoles, le proxy TCP-UDP relaie le traffic vers les proxies corrects des protocoles ou permet d’autoriser ou de refuser le trafic. Pour les autres protocoles, vous pouvez choisir d’autoriser ou de refuser le trafic. Pour ajouter le proxy TCP-UDP à la configuration Firebox, voir Ajouter un proxy à la configuration Firebox. Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie pour modifier la définition. Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient une icône pour configurer l’action de proxy. Onglet Stratégie Les connexions du proxy TCP-UDP sont : Spécifiez si les connexions sont autorisées, refusées ou refusées (envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet de stratégie de la définition du proxy). Voir Définir les règles d’accès pour une stratégie. Utiliser le routage basé sur stratégie :Si vous voulez utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie. Onglet Propriétés 382 Dans la liste déroulante Action de proxy, sélectionnez si vous voulez ou non définir une action pour un client ou un serveur. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification. Si vous définissez la liste déroulante Les connexions du proxy TCP-UDP sont (sous l’onglet Stratégie) sur Refusé ou Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser TCP-UDP. Voir Bloquer temporairement les sites avec des paramètres de stratégie. Si vous voulez utiliser une durée d’inactivité autre que celle définie par le serveur d’authentification ou Firebox, définissez un délai d’inactivité personnalisé. WatchGuard System Manager Stratégies de proxy Paramètres des actions de proxy Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui fournissent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy (la première icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la partie gauche de la boîte de dialogue. Proxy TCP-UDP : paramètres généraux Proxy TCP-UDP : blocage de l’application Proxy TCP-UDP : prévention des intrusions Alarme du proxy. Les interruptions et la notification SNMP sont désactivées par défaut. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition du proxy : Définir une planification d’opération Appliquer les actions de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer des règles NAT (de 1-à-1 NAT et NAT dynamiques sont activés par défaut dans toutes les stratégies.) Activer le marquage QoS pour une stratégie Définir une propriété du trafic dans une stratégie Ajouter une durée de connexion persistante à une stratégie Proxy TCP-UDP : paramètres généraux Sur la page Général (la page qui s’affiche lorsque vous cliquez sur l’icône Afficher/Modifier le proxy), vous pouvez définir des paramètres de base pour le proxy TCP-UDP. HTTP Choisissez, pour les connexions TCP-UDP identifiées comme du trafic HTTP, de les autoriser ou refuser, ou l’action de proxy HTTP à utiliser. HTTPS Choisissez, pour les connexions TCP-UDP identifiées comme du trafic HTTPS, de les autoriser ou refuser, ou l’action de proxy HTTPS à utiliser. SIP Choisissez, pour les connexions TCP-UDP identifiées comme du trafic SIP, de les autoriser ou refuser, ou l’action de proxy SIP à utiliser. FTP Choisissez, pour les connexions TCP-UDP identifiées comme du trafic FTP, de les autoriser ou refuser, ou l’action de proxy FTP à utiliser. Autres protocoles Choisissez d’autoriser ou de réfuser les connexions TCP-UDP identifiées comme autres protocoles. Activer la journalisation des rapports Crée un message du journal du trafic pour chaque transaction. Cette option crée un fichier journal volumineux mais ces informations sont très importantes en cas d’attaque contre votre pare-feu. Si vous n’activez pas cette case à cocher, vous ne voyez aucune information détaillée sur ces connexions de proxy dans WatchGuard Reports. Guide de l’utilisateur 383 Stratégies de proxy Proxy TCP-UDP : blocage de l’application Cet ensemble de règles permet de définir les actions effectuées par le Firebox lorsque le proxy TCP-UDP détecte des services de messagerie instantanée ou Pair à Pair. Le proxy TCP-UDP détecte les services de messagerie instantanée suivants : AOL Instant Messenger (AIM), ICQ, IRC, MSN Messenger et Yahoo! Messenger. Il détecte les types de services Pair à Pair suivants : BitTorrent, eDonkey2000 (Ed2k), Gnutella, Kazaa, Napster et Phatbot. Il n’est pas utile d’acquérir Intrusion Prevention Service pour utiliser cette fonctionnalité de blocage des applications. 1. Dans la section Catégories du proxy TCP-UDP, sélectionnez Blocage de l’application. 2. Sous l’onglet Messagerie instantanée, utilisez la liste déroulante pour sélectionner l’action du Firebox lorsqu’il détecte l’utilisation d’une messagerie instantanée : Autoriser Autorise l’acheminement du paquet vers le destinataire, même si le contenu correspond à une signature. Refuser Abandonne le paquet et envoie un paquet de réinitialisation TCP à l’expéditeur. 3. Utilisez ces cases à cocher pour sélectionner les applications de messagerie instantanée pour lesquelles le Firebox doit agir sur le trafic. Pour sélectionner toutes les applications de messagerie instantanée, sélectionnez Toutes les catégories. Toutes les applications sont alors automatiquement sélectionnées. Le cas échéant, vous pouvez désactiver la case à cocher correspondant aux applications pour lesquelles vous ne souhaitez pas appliquer de restrictions. 4. Pour définir des actions pour les applications Pair à Pair, cliquez sur l’onglet Pair à Pair. Utilisez les informations des étapes 2 et 3 ci-dessus pour définir les actions et les catégories. 5. Cliquez sur Journalisation et notification pour configurer les options de journalisation et de notification pour IPS. Pour plus d’informations relatives à la boîte de dialogue qui s’affiche, voir Définir les préférences de journalisation et de notification. 6. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. 384 WatchGuard System Manager Stratégies de proxy Prévention des intrusions dans les définitions de proxy Une intrusion est une attaque directe de votre ordinateur. Elle peut provoquer des dégâts au sein de votre réseau ou bien permettre l’obtention d’informations confidentielles ou l’utilisation de votre ordinateur en vue d’attaquer des réseaux tiers. Pour protéger votre réseau des intrusions, vous pouvez acquérir le service en option Intrusion Prevention Service (IPS) pour votre périphérique Firebox. Celui-ci fonctionne avec les proxies SMTP, POP3, HTTP, FTP, DNS et TCP-UDP. Vous pouvez activer et configurer IPS de deux manières : Exécution de l’Assistant Activate Intrusion Prevention Wizard à partir du menu Tâches de Policy Manager Pour plus d’informations, voir Activer Intrusion Prevention Service (IPS). Utilisation de l’ensemble de règles Intrusion Prevention dans la définition de proxy 1. Obtenez une clé de fonctionnalité pour IPS à partir du service LiveSecurity et ajoutez-la au périphérique Firebox. 2. Ajoutez une stratégie de proxy à votre configuration Firebox. Vous pouvez également modifier un proxy existant. 3. Dans l’onglet Propriétés de la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie, cliquez sur l’icône Afficher/Modifier le proxy (première icône à droite de la liste déroulante Action de proxy). 4. Dans la partie gauche de la fenêtre, sélectionnez la catégorie Intrusion Prevention. Dans la partie droite, définissez les paramètres d’Intrusion Prevention Service (IPS). Terminer et enregistrer la configuration 1. Lorsque vous avez terminé de modifier toutes les catégories du proxy, cliquez sur OK pour fermer la boîte de dialogue Propriétés de la nouvelle stratégie ou Modifier les propriétés de stratégie. 2. Enregistrez la configuration dans Firebox. Pour ce faire, sélectionnez Fichier > Enregistrer > Sur Firebox. La boîte de dialogue Enregistrer s’affiche en indiquant l’emplacement par défaut des fichiers de configuration. Vous pouvez modifier le nom du fichier de configuration, si vous le souhaitez. 3. Cliquez sur Enregistrer. 4. Vous êtes invité à entrer le mot de passe de configuration. Tapez-le, puis cliquez sur OK. À propos du proxy TFTP Le protocole TFTP (Trivial File Transfer Protocol) est une forme simple de FTP qui utilise un petit volume de mémoire. Il permet de transférer des fichiers de petite taille entre les hôtes du même réseau. Certains fabricants utilisent le protocole TFTP pour envoyer des mises à jour régulières de leur équipement VoIP sous gestion. Si TFTP est nécessaire pour les mises à jour de votre matériel, veillez à ajouter une stratégie TFTP à la configuration Firebox afin d’autoriser ces connexions. Pour ajouter le proxy TFTP à la configuration Firebox, voir Ajouter un proxy à la configuration Firebox. Ensuite, si vous devez modifier la définition du proxy pour répondre aux besoins de l’entreprise, utilisez la boîte de dialogue Nouvelles propriétés/Modifier les propriétés de stratégie pour modifier la définition. Les champs de cette boîte de dialogue sont divisés en trois onglets : Stratégie, Propriétés et Avancé. De plus, l’onglet Propriétés contient une icône pour configurer l’action de proxy. Guide de l’utilisateur 385 Stratégies de proxy Onglet Stratégie Les connexions du proxy TFTP sont: Spécifiez si les connexions sont autorisées, refusées ou refusées (envoi réinitialisation) et définissez qui apparaît dans la liste De et À (dans l’onglet de stratégie de la définition du proxy). Voir Définir les règles d’accès pour une stratégie. Utiliser le routage basé sur stratégie: Si vous voulez utiliser le routage basé sur stratégie dans la définition de proxy, voir Configurer le routage basé sur stratégie. Onglet Propriétés Dans la liste déroulante Action de proxy, sélectionnez si vous voulez ou non définir une action pour un client ou un serveur. Le proxy TFTP est doté d’une seule action de proxy prédéfinie : TFTP-Client. Pour plus d’informations sur les actions de proxy, voir À propos des actions de proxy. Pour définir la journalisation d’une stratégie, cliquez sur Journalisation et Définir les préférences de journalisation et de notification. Si vous définissez la liste déroulante Les connexions du proxy TFTP sont (sous l’onglet Stratégie) sur Refusé ou Refusé (envoi réinitialisation), vous pouvez bloquer les sites qui tentent d’utiliser TFTP. Voir Bloquer temporairement les sites avec des paramètres de stratégie. Si vous voulez utiliser une durée d’inactivité autre que celle définie par le serveur d’authentification ou Firebox, définissez un délai d’inactivité personnalisé). Paramètres des actions de proxy Les proxies WatchGuard possèdent des ensembles de règles prédéfinis qui fournissent un bon équilibre entre la sécurité et l’accessibilité dans la plupart des installations. Si un ensemble de règles par défaut ne répond pas à tous vos besoins, vous pouvez ajouter, supprimer ou modifier des règles. Pour modifier les paramètres et les ensembles de règles d’une action de proxy, cliquez sur l’icône Afficher/Modifier le proxy (la première icône à droite de la liste déroulante Action de proxy) et sélectionnez une catégorie de paramètres dans la partie gauche de la boîte de dialogue. Proxy TFTP : paramètres généraux Proxy TFTP : transférer et télécharger du contenu Alarmes de proxy et d’antivirus. Les interruptions et la notification SNMP sont désactivées par défaut. Onglet Avancé Vous pouvez utiliser plusieurs autres options dans la définition du proxy : 386 Définir une planification d’opération Appliquer les actions de gestion de trafic à une stratégie Définir la gestion des erreurs ICMP Appliquer des règles NAT (de 1-à-1 NAT et NAT dynamiques sont activés par défaut dans toutes les stratégies.) Activer le marquage QoS pour une stratégie Définir une propriété du trafic dans une stratégie Ajouter une durée de connexion persistante à une stratégie WatchGuard System Manager Stratégies de proxy Proxy TFTP : paramètres généraux Sur la page Général (la page qui s’affiche lorsque vous cliquez sur l’icône Afficher/Modifier le proxy), vous pouvez définir des paramètres de base pour le proxy TFTP. 1. Dans la section Catégories, sélectionnez Général. 2. Pour créer un message de journal pour chaque transaction, activez la case à cocher Activer la journalisation des rapports. Vous devez activer cette option pour obtenir des rapports détaillés sur le trafic TFTP avec WatchGuard Reports. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la catégorie suivante dont vous souhaitez modifier les paramètres. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions d’utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Proxy TFTP : transférer et télécharger du contenu Vous pouvez contrôler le type de fichiers dont le transfert et le téléchargement est autorisé par le proxy TFTP. Par exemple, étant donné que nombre de pirates utilisent les fichiers exécutables pour déployer les virus ou les vers sur un ordinateur, vous pouvez choisir de refuser les demandes pour les fichiers *.exe. Ou, si vous ne voulez pas que les utilisateurs puissent transférer des fichiers Windows Media sur un serveur TFTP, vous pouvez ajouter *.wma à la définition de proxy et spécifier que ces fichiers sont refusés. Utilisez l’astérisque (*) en tant que caractère générique. Le proxy TFTP est doté d’une seule action de proxy prédéfinie : TFTP-Client. Utilisez-la pour définir des règles pour les utilisateurs se connectant à des serveurs TFTP externes. 1. Dans la section Catégories, sélectionnez Transférer ou Télécharger. 2. Ajoutez, supprimez ou modifiez des règles comme décrit à la rubrique À propos de l’utilisation des règles et des ensembles de règles. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez aux rubriques relatives à la catégorie suivante que vous souhaitez modifier. ou Si vous avez terminé d’effectuer les modifications relatives à cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions d’utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. Guide de l’utilisateur 387 Stratégies de proxy Alarmes de proxy et d’antivirus Une alarme est un événement déclenchant une notification, mécanisme permettant d’informer un administrateur réseau à propos d’un état relatif au réseau. Dans une définition de proxy, une alarme peut survenir lorsque le trafic est conforme ou non conforme à une règle énoncée pour le proxy et qu’une action autre qu’Autoriser est sélectionnée dans le champ En cas de correspondance ou Aucune correspondance situé sous Actions à entreprendre dans les définitions d’ensemble de règles. Par exemple, la définition par défaut du proxy FTP comporte une règle selon laquelle le téléchargement de fichiers portant l’une des extensions suivantes doit être refusé : .cab, .com, .dll, .exe et .zip. Vous pouvez préciser si une alarme est générée chaque fois que le périphérique Firebox applique l’action Refuser du fait de cette règle. Vous pouvez définir, pour chacun des proxies, l’opération effectuée par le système lorsqu’une alarme se produit. 1. Dans la section Catégories de la définition de proxy, sélectionnez Alarme de proxy et d’antivirus. 2. Vous pouvez paramétrer le périphérique Firebox de sorte qu’il envoie une interruption SNMP, une notification à un administrateur réseau ou les deux. La notification peut se présenter sous la forme d’un e-mail envoyé à l’administrateur réseau ou d’une fenêtre contextuelle qui s’affiche dans la station de gestion de ce dernier. Pour plus d’informations sur les champs d’alarme de proxy et d’antivirus, voir Définir les préférences de journalisation et de notification. 3. Si vous souhaitez modifier les paramètres d’une ou de plusieurs catégories de ce proxy, accédez dans ce document à la section relative à la prochaine catégorie à modifier. ou Si vous avez terminé d’effectuer les modifications concernant cette définition de proxy, cliquez sur OK. Si l’action de proxy que vous avez modifiée est une action prédéfinie, vous devez cloner (copier) vos paramètres dans une nouvelle action. (Pour plus d’informations sur les actions utilisateur prédéfinies, voir À propos des actions de proxy prédéfinies et définies par l’utilisateur.) Entrez le nom de la nouvelle action et cliquez sur OK. La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. 388 WatchGuard System Manager Stratégies de proxy À propos des fonctions d’importation et d’exportation pour les proxies Les proxies WatchGuard prennent en charge plusieurs fonctions d’importation et d’exportation : À propos des actions de proxy prédéfinies et définies par l’utilisateur : si vous gérez plusieurs périphériques Firebox auxquels sont associées des actions de proxy définies par l’utilisateur, vous pouvez définir des actions de proxy personnalisées sur un périphérique Firebox, les exporter vers un fichier ASCII, puis les importer dans un autre périphérique Firebox. Importation et exportation d’ensembles de règles : si vous souhaitez copier des ensembles de règles d’un proxy vers un autre ou au sein d’un même proxy, il vous suffit de définir une seule fois les règles applicables à un proxy ou une catégorie, de les exporter vers un fichier XML, puis de les importer dans le nouveau proxy ou dans la nouvelle catégorie. Importer et exporter des actions de proxy définies par l’utilisateur Si vous gérez plusieurs périphériques Firebox auxquels sont associées des actions de proxy définies par l’utilisateur, vous pouvez utiliser la fonction d’importation/exportation d’action de stratégie pour gagner du temps. Vous pouvez définir des actions de proxy personnalisées sur un périphérique Firebox, les exporter vers un fichier ASCII, puis les importer dans un autre périphérique Firebox. Le périphérique Firebox pour lequel vous avez créé les stratégies doit exécuter la même version de WSM que la version de Policy Manager que vous utilisez pour importer les actions de proxy. Vous ne pouvez pas importer une action de proxy d’une version précédente dans la version actuelle. 1. Sur le premier périphérique Firebox, créez les actions de proxy définies par l’utilisateur dont vous avez besoin. 2. Dans la boîte de dialogue Actions de proxy, cliquez sur Exporter. Il est inutile de sélectionner les actions définies par l’utilisateur. La fonction d’exportation exporte automatiquement toutes les actions de proxy personnalisées quelle que soit celle qui est sélectionnée. 3. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous souhaitez enregistrer le fichier des actions de proxy. Tapez un nom pour le fichier, puis cliquez sur Enregistrer. L’emplacement par défaut est Mes documents > Mon WatchGuard. 4. Sur un autre périphérique Firebox, dans la boîte de dialogue Actions de proxy de Policy Manager, cliquez sur Importer. 5. Recherchez le fichier que vous avez créé à l’étape 3, puis cliquez sur Ouvrir. 6. Si des actions de proxy définies par l’utilisateur sont déjà configurées dans Policy Manager, le système vous demande si vous voulez les remplacer ou ajouter les actions importées aux actions existantes. Cliquez sur Remplacer ou sur Ajouter. Si vous cliquez sur Remplacer, les actions de proxy définies par l’utilisateur existantes sont supprimées et remplacées par les nouvelles. En revanche, si vous cliquez sur Ajouter, les actions existantes et celles importées sont incluses conjointement dans la boîte de dialogue. Guide de l’utilisateur 389 Stratégies de proxy Importer et exporter des ensembles de règles Si vous souhaitez copier des ensembles de règles d’un proxy vers un autre ou au sein d’un même proxy, il vous suffit de définir une seule fois les règles applicables à un proxy ou une catégorie, de les exporter vers un fichier XML, puis de les importer dans le nouveau proxy ou dans la nouvelle catégorie. Par exemple, vous pouvez exporter l’ensemble de règles Types de contenus d’une action de proxy HTTP, puis l’importer dans l’ensemble de règles du même nom d’une action de proxy SMTP. De même, vous pouvez exporter l’ensemble de règles E-mails SMTP source vers l’ensemble de règles E-mails SMTP cible. Seuls les ensembles de règles faisant partie des quatre groupes répertoriés ci-dessous peuvent être copiés entre les proxies ou les catégories. Les autres combinaisons ne sont pas possibles. Types de contenus Noms de fichier Adresses Authentification Types de contenus HTTP Téléchargement FTP E-mails SMTP source Authentification SMTP Types de contenus SMTP Transfert FTP E-mails SMTP cible Authentification POP3 Types de contenus POP3 Chemins d’adresses URL HTTP Noms de fichier SMTP Noms de fichier POP3 1. Créez les ensembles de règles nécessaires pour un proxy ou une catégorie. 2. Au besoin, cliquez sur Modifier l’affichage pour afficher l’ensemble de règles en vue avancée. Cliquez sur Exporter. 3. Dans la boîte de dialogue Enregistrer, sélectionnez l’emplacement où vous voulez enregistrer le fichier XML. Tapez un nom pour le fichier, puis cliquez sur Enregistrer. L’emplacement par défaut est Mes documents > Mon WatchGuard. 4. À partir du nouveau proxy ou de la nouvelle catégorie, cliquez sur Importer. 5. Recherchez le fichier que vous avez créé à l’étape 2, puis cliquez sur Ouvrir. 6. Si des règles sont déjà définies pour la nouvelle catégorie ou le nouveau proxy, le système commence par vous demander si vous souhaitez supprimer l’ancien ensemble de règles. Si vous cliquez sur Oui, les règles existantes sont supprimées et remplacées par les nouvelles. Si vous cliquez sur Non, les règles existantes et celles importées sont incluses conjointement dans l’ensemble de règles. 390 WatchGuard System Manager 16 Installation et administration de Management Server À propos de WatchGuard Management Server WatchGuard Management Server vous permet de gérer de manière centralisée les différents systèmes Firebox et tunnels VPN d’une entreprise distribuée à partir d’une interface de gestion facile à utiliser. Vous pouvez gérer différents types de périphériques Firebox : Firebox X Core, Firebox X Peak, Firebox III, Firebox X Edge et SOHO 6. La station de travail configurée en tant que Management Server joue également le rôle d’autorité de certification. L’autorité de certification donne des certificats aux clients Firebox gérés lorsqu’ils contactent Management Server pour recevoir des mises à jour de configuration. Installer Management Server Lorsque vous exécutez le programme d’installation du logiciel WatchGuard System Manager, vous devez indiquer quels composants clients et serveur vous souhaitez installer. Sous la section Composants serveur, veillez à sélectionner Management Server. Si vous avez déjà exécuté le programme d’installation de WatchGuard System Manager et n’avez pas installé Management Server, vous pouvez exécuter de nouveau le programme d’installation. Activez la case à cocher Management Server. N’activez pas la case à cocher des composants que vous avez déjà installés. Il n’est pas nécessaire d’installer Management Server sur l’ordinateur utilisé comme station de gestion. Vous pouvez l’installer sur un autre ordinateur exécutant le système d’exploitation Windows. Nous vous recommandons d’installer le logiciel Management Server sur un ordinateur doté d’une adresse IP statique qui se trouve derrière un périphérique Firebox avec une adresse IP externe. Dans le cas contraire, Management Server risque de ne pas fonctionner correctement. Guide de l’utilisateur 391 Installation et administration de Management Server À propos des mots de passe des serveurs WatchGuard Les cinq serveurs WatchGuard System Manager (Management Server, Log Server, Quarantine Server, Report Server et WebBlocker Server) utilisent des mots de passe pour protéger les informations sensibles et sécuriser les données des systèmes clients. Lors de la première exécution de l’Assistant Setup Wizard pour configurer l’un de ces serveurs, vous créez deux mots de passe dont vous aurez besoin pour utiliser les cinq serveurs : Mot de passe principal Mot de passe de Management Server Mot de passe principal Le premier mot de passe défini dans l’Assistant Setup Wizard est le mot de passe principal. Celui-ci est utilisé pour chiffrer le mot de passe de Management Server. Cela empêche toute personne ayant accès au disque dur et au contenu archivé d’obtenir les mots de passe et de les utiliser pour accéder à d’autres informations sensibles sur le disque dur. Le mot de passe principal n’est pas souvent utilisé. Vous l’utilisez dans les situations suivantes : Pour migrer les données de Management Server sur un nouveau système Pour restaurer un fichier de clé principale perdu ou endommagé Pour modifier le mot de passe principal Veillez à ce que le mot de passe principal et le mot de passe de Management Server ne soient pas identiques. Nous vous recommandons d’écrire le mot de passe principal et de le conserver en lieu sûr. Mot de passe de gestion des serveurs Le second mot de passe que l’Assistant Setup Wizard vous invite à définir est le mot de passe de gestion des serveurs. Celui-ci est fréquemment utilisé par l’administrateur. Vous l’utilisez pour vous connecter à tous les serveurs WatchGuard System Manager. Fichiers de mot de passe et de clé Le mot de passe de Management Server et tous les mots de passe créés automatiquement sont conservés dans un fichier de mot de passe. Les données de mot de passe de ce fichier sont protégées par le mot de passe principal. Le mot de passe principal n’est pas conservé sur le disque dur. Une clé de chiffrement est créée à partir du mot de passe principal. Emplacements par défaut du fichier de mot de passe et de la clé de chiffrement : C:\Documents and Settings\WatchGuard\wgauth\wgauth.ini C:\Documents and Settings\WatchGuard\wgauth\wgauth.key Ces fichiers sont utilisés par le logiciel Management Server et ne doivent pas être modifiés directement. 392 WatchGuard System Manager Installation et administration de Management Server Utilitaire Microsoft SysKey Le fichier de mot de passe est protégé par la clé principale. Cette clé est protégée par une clé de chiffrement, elle-même protégée par la clé système Windows. Les systèmes d’exploitation Windows utilisent une clé système pour protéger la base de données SAM (Security Accounts Management). Il s’agit de la base de données des comptes et mots de passe Windows sur l’ordinateur. Par défaut, les données de la clé système sont cachées dans le Registre. Le système est protégé et la clé système est créée à partir du Registre au cours de la procédure de démarrage. Si vous souhaitez un système plus sécurisé, vous pouvez supprimer les données de la clé système du Registre afin que ces données sensibles ne soient plus du tout présentes sur le système. Vous pouvez utiliser l’utilitaire SysKey pour effectuer les actions suivantes : Placer la clé système sur une disquette Demander à ce que l’administrateur tape un mot de passe au démarrage Copier la clé système de la disquette sur le système Si vous déplacez la clé de démarrage sur une disquette, cette disquette doit être insérée dans le lecteur pour que le système puisse démarrer. Si vous demandez que l’administrateur tape un mot de passe de démarrage, celui-ci doit le taper à chaque démarrage du système. Pour configurer les options de l’utilitaire SysKey, cliquez sur Démarrer > Exécuter, tapez syskey, puis cliquez sur OK. Configurer Management Server L’Assistant Management Server Setup Wizard permet de créer un serveur Management Server sur votre station de travail. Si vous utilisiez jusque-là des versions antérieures de WatchGuard System Manager et de VPN Manager, vous pouvez également utiliser cet Assistant pour migrer un serveur DVCP installé sur un périphérique Firebox vers un nouveau serveur Management Server sur une station de travail. Pour déplacer un serveur Management Server en dehors d’un périphérique Firebox, reportez-vous au Guide de migration WFS vers Fireware Pro. Quarantine Server, Report Server, Log Server et WatchGuard Management Server partagent le même mot de passe principal et le même mot de passe de gestion des serveurs. Si vous commencez par configurer l’un des autres serveurs, il n’est pas nécessaire de configurer de nouveau les mots de passe lorsque vous configurez Management Server. Pour configurer un nouveau serveur Management Server : 1. Cliquez avec le bouton droit sur l’icône de Management Server (deuxième à partir de la gauche) dans la barre d’outils WatchGuard de la barre des tâches Windows. Cette icône n’est pas affichée si vous n’avez pas installé Management Server. Pour plus d’informations sur l’installation, voir À propos de WatchGuard Management Server. 2. Sélectionnez Démarrer le service. 3. L’Assistant Management Server Setup Wizard démarre. Cliquez sur Suivant. Guide de l’utilisateur 393 Installation et administration de Management Server 4. Si vous n’avez pas encore exécuté l’Assistant Setup Wizard d’un autre serveur WSM, vous êtes invité à entrer un mot de passe principal. Celui-ci est nécessaire pour contrôler l’accès à la station de gestion WatchGuard. Tapez un mot de passe de huit caractères minimum et tapez-le de nouveau pour le confirmer. Cliquez sur Suivant. Pour plus d’informations sur le mot de passe principal, voir À propos des mots de passe des serveurs WatchGuard. Veillez à conserver ce mot de passe en lieu sûr. 5. Si vous n’avez pas encore exécuté l’Assistant Setup Wizard d’un autre serveur WSM, vous êtes invité à entrer un mot de passe de gestion des serveurs. Ce mot de passe est utilisé pour configurer et contrôler WatchGuard Management Server. Utilisez un mot de passe de huit caractères minimum et tapez-le de nouveau pour le confirmer. Cliquez sur Suivant. Pour plus d’informations sur le mot de passe de gestion des serveurs, voir À propos des mots de passe des serveurs WatchGuard. 6. Si vous disposez d’une passerelle Firebox pour Management Server, tapez l’adresse IP externe et les mots de passe du périphérique Firebox. Nous vous recommandons d’utiliser une passerelle Firebox pour protéger Management Server d’Internet. Lorsque vous ajoutez une adresse IP, l’Assistant effectue trois actions : o L’Assistant utilise cette adresse IP pour configurer la passerelle Firebox et autoriser les connexions à Management Server. Si vous ne tapez d’adresse IP ici, vous devez configurer tout pare-feu entre Management Server et Internet de manière à autoriser les connexions à Management Server sur les ports TCP 4110, 4112 et 4113. o Si vous possédez une version antérieure de WatchGuard System Manager et un périphérique Firebox configuré en tant que serveur DVCP, l’Assistant obtient les informations relatives au serveur DVCP auprès de la passerelle Firebox et déplace ces paramètres vers votre serveur Management Server. Pour plus d’informations, consultez le Guide de migration. o L’Assistant définit l’adresse IP de la liste de révocation de certificats. Les périphériques ajoutés en tant que clients gérés utilisent cette adresse IP pour se connecter à Management Server. Cette adresse IP doit être l’adresse IP publique affichée par Management Server sur Internet. Si vous ne tapez pas d’adresse IP ici, l’Assistant utilise l’adresse IP actuelle de votre ordinateur Management Server comme adresse IP de la liste de révocation de certificats. S’il ne s’agit pas de l’adresse IP affichée par votre ordinateur sur Internet car elle se trouve derrière un périphérique qui effectue une traduction d’adresses réseau, vous devez modifier la liste de révocation de certificats et taper l’adresse IP publique utilisée par Management Server. Pour plus d’informations, voir Modifier la configuration de Management Server. 7. Tapez la clé de licence Management Server. Cliquez sur Suivant. Pour plus d’informations sur les clés de licence Management Server, reportez-vous à la section portant sur Management Server dans le Forum aux questions consacré à Fireware à l’adresse suivante : www.watchguard.com/support/faqs/fireware/. 8. Tapez le nom de votre organisation. Cliquez sur Suivant. Ce nom est utilisé pour l’autorité de certification sur Management Server. 9. Un écran d’informations relatives à votre serveur s’affiche. Cliquez sur Suivant. L’Assistant configure le serveur. 10. Cliquez sur Terminer. Lorsqu’une interface dont l’adresse IP est liée à Management Server échoue puis redémarre, nous vous recommandons de redémarrer Management Server. 394 WatchGuard System Manager Installation et administration de Management Server Configurer l’autorité de certification sur Management Server Vous pouvez configurer l’autorité de certification sur WatchGuard Management Server. Définir les propriétés de l’autorité de certification En règle générale, les administrateurs Firebox ne modifient pas les propriétés du certificat d’autorité de certification. Si vous devez modifier ces paramètres : 1. Sur l’ordinateur configuré en tant que Management Server, cliquez avec le bouton droit sur l’icône de Management Server dans la barre d’outils WatchGuard, puis sélectionnez Configurer. 2. Cliquez sur l’onglet Certificats. Guide de l’utilisateur 395 Installation et administration de Management Server 3. Dans le champ Nom commun, tapez le nom qui doit apparaître dans le certificat d’autorité de certification. 4. Dans le champ Organisation, tapez un nom d’organisation pour le certificat d’autorité de certification. 5. Dans le champ Durée de vie du certificat, tapez le nombre de jours au-delà duquel le certificat d’autorité de certification expirera. Plus la durée de vie du certificat est longue, plus les personnes mal intentionnées ont le temps de l’attaquer. 6. Dans la liste déroulante Bits de la clé, sélectionnez la force à appliquer au certificat. Plus ce nombre est élevé, plus la cryptographie protégeant la clé est forte. Définir les propriétés des certificats clients 1. Dans la section Client de la boîte de dialogue, dans le champ Durée de vie du certificat, tapez le nombre de jours au-delà duquel le certificat client expirera. Plus la durée de vie du certificat est longue, plus les personnes mal intentionnées ont le temps de l’attaquer. 2. Dans la liste déroulante Bits de la clé, sélectionnez la force à appliquer au certificat. Plus ce nombre est élevé, plus la cryptographie protégeant la clé est forte. Définir les propriétés de la liste de révocation de certificats 1. Dans la section Liste de révocation de certificats de la boîte de dialogue, la zone Adresse IP de distribution contient une liste d’adresses IP. Vous pouvez sélectionner une adresse dans la liste ou cliquer sur Ajouter pour ajouter une nouvelle adresse. Vous pouvez également sélectionner une adresse et cliquer sur Supprimer si vous n’en avez plus besoin. Par défaut, l’adresse IP de distribution est l’adresse de la passerelle Firebox. Il s’agit également de l’adresse IP utilisée par les clients Firebox gérés distants pour se connecter à Management Server. Si l’adresse IP externe de votre périphérique Firebox change, vous devez modifier cette valeur. 2. Dans le champ Intervalle de publication, tapez l’intervalle de publication de la liste de révocation de certificats (en heures). Il s’agit de la période après laquelle la liste de révocation de certificats est automatiquement publiée. Le paramètre par défaut est (0), ce qui signifie que la liste de révocation est publiée toutes les 720 heures (30 jours). Cette liste est également mise à jour dès lors qu’un certificat est révoqué. Envoyer les messages du journal de diagnostic de l’autorité de certification Pour que Management Server envoie les messages du journal de diagnostic à l’Observateur d’événements Windows, activez la case à cocher Déboguer les messages du journal du service de l’autorité de certification. Pour afficher les messages des journaux, ouvrez l’Observateur d’événements Windows : 1. Sur le bureau Windows, sélectionnez Démarrer > Exécuter. 2. Tapez eventvwr. Les messages des journaux apparaissent dans la section Application de l’Observateur d’événements. 396 WatchGuard System Manager Installation et administration de Management Server Modifier la configuration de Management Server L’Assistant Management Server Setup Wizard permet de configurer Management Server. Par la suite, vous n’aurez généralement besoin d’apporter aucune modification aux propriétés de la configuration de Management Server. Si vous devez modifier la configuration de Management Server, vous pouvez accéder aux propriétés de la configuration sur Management Server lui-même. Sur l’ordinateur configuré en tant que Management Server, cliquez avec le bouton droit sur l’icône de Management Server dans la barre d’outils WatchGuard, puis sélectionnez Configurer. La boîte de dialogue Configuration de Management Server s’affiche. Guide de l’utilisateur 397 Installation et administration de Management Server Ajouter ou supprimer une licence Management Server Pour ajouter une licence Management Server : 1. Cliquez sur l’onglet Gestion. 2. Tapez ou collez la clé de licence Management Server dans le champ Clé de licence. 3. Cliquez sur Ajouter. Pour supprimer une licence Management Server : 1. Cliquez sur l’onglet Gestion. 2. Sélectionnez la licence à supprimer, puis cliquez sur Supprimer. Une fois la configuration terminée, cliquez sur OK. Pour plus d’informations sur les clés de licence Management Server, reportez-vous à la section portant sur Management Server dans le Forum aux questions consacré à Fireware à l’adresse suivante : www.watchguard.com/support/faqs/fireware/. Configurer la notification Vous pouvez faire en sorte que le périphérique Firebox envoie une notification lorsqu’il ne parvient pas à contacter le serveur. Pour plus d’informations sur les champs de cette boîte de dialogue, voir Définir les préférences de journalisation et de notification. Contrôler les paramètres de journalisation et de modification de la configuration Vous pouvez définir plusieurs paramètres de configuration généraux pour contrôler les messages des journaux qui sont envoyés de Management Server vers Log Server. Déboguer les messages du journal de Management Server Service Activez cette case à cocher pour que Management Server envoie les messages du journal de diagnostic à l’Observateur d’événements Windows. Vous pouvez également contrôler la journalisation de Management Server sous l’onglet Journalisation. Pour afficher les messages du journal de diagnostic, ouvrez l’Observateur d’événements Windows : 1. Sur le bureau Windows, sélectionnez Démarrer > Exécuter. 2. Tapez eventvwr. Les messages des journaux apparaissent dans la section Application de l’Observateur d’événements. Consigner les informations d’audit au démarrage Activez cette case à cocher si vous souhaitez qu’au démarrage Management Server consigne des informations sur les périphériques gérés, les ressources VPN, les modèles de stratégie de pare-feu VPN, la sécurité, les modèles de gestion centralisée Edge et les tunnels VPN gérés. Vous devez activer cette case à cocher pour obtenir des informations précises dans le gestionnaire Report Manager pour les périphériques Firebox gérés. Forcer les utilisateurs à entrer un commentaire lors de l’enregistrement sur des périphériques Fireware Activez cette case à cocher pour demander aux utilisateurs de taper un commentaire avant d’enregistrer des modifications sur un périphérique Firebox à partir du gestionnaire Policy Manager d’un périphérique Firebox géré. 398 WatchGuard System Manager Installation et administration de Management Server Définir les comptes d’utilisateurs de Management Server Vous pouvez définir des comptes sur Management Server de manière à ce que plusieurs utilisateurs puissent accéder simultanément au serveur. Un compte d’administration par défaut est créé pour vous lors de l’installation du logiciel Management Server. Le mot de passe de ce compte est identique à celui du serveur de gestion. 1. Sur l’ordinateur configuré en tant que Management Server, cliquez avec le bouton droit sur l’icône de Management Server dans la barre d’outils WatchGuard, puis sélectionnez Configurer. La boîte de dialogue Configuration de Management Server s’affiche. 2. Cliquez sur l’onglet Utilisateurs. 3. Pour ajouter un compte, cliquez sur Ajouter. 4. Entrez le nom et le mot de passe de l’utilisateur dans la boîte de dialogue Ajouter un utilisateur. 5. Activez la case d’option Privilèges d’administration, Privilèges de lecture/écriture ou Privilèges de lecture seule pour définir le niveau de privilèges de l’utilisateur. Cliquez sur OK. Modifier les paramètres de journalisation Vous pouvez activer ou désactiver la journalisation pour le serveur et définir l’emplacement où le serveur enverra les messages des journaux. Pour ouvrir la boîte de dialogue de configuration : 1. Cliquez avec le bouton droit sur l’icône du serveur et sélectionnez Configurer. 2. Entrez le mot de passe de Management Server lorsque vous y êtes invité. 3. Dans la boîte de dialogue qui s’affiche, cliquez sur l’onglet Journalisation. Activer ou désactiver la journalisation Si vous voulez que le serveur envoie les messages des journaux à un ou plusieurs serveurs WatchGuard Log Servers, activez la case à cocher Activer les messages du journal pour WatchGuard Log Server. Ajouter des serveurs Log Server ou définir des priorités pour ces serveurs 1. Pour ajouter des serveurs Log Server pour le serveur, cliquez sur Ajouter. Pour plus d’informations sur l’utilisation de la boîte de dialogue Ajouter un processeur d’événements qui s’affiche, voir Ajouter Log Server. 2. Vous pouvez créer une liste des priorités pour les serveurs Log Server. Si Firebox ne peut pas se connecter à Log Server avec la priorité la plus élevée, il se connecte au serveur Log Server suivant dans la liste des priorités. Si Firebox examine chaque serveur Log Server dans la liste et ne peut pas se connecter, il essaie à nouveau de se connecter au premier serveur Log Server de la liste. Pour modifier la liste des priorités, sélectionnez un serveur Log Server dans la liste et cliquez sur les boutons Monter et Descendre. 3. La liste déroulante Sélectionnez un niveau de journal vous permet d’attribuer un niveau aux messages des journaux envoyés par le serveur : Erreur, Avertissement, Informations ou Débogage. Guide de l’utilisateur 399 Installation et administration de Management Server Envoyer les messages à l’Observateur d’événements Windows L’Observateur d’événements est un programme Windows qui conserve l’enregistrement des événements qui se produisent dans les applications qui s’exécutent sur votre ordinateur. Pour contrôler si le serveur envoie des messages à ce programme, utilisez la case à cocher Envoyer des messages du fichier journal à l’Observateur d’événements Windows. Utilisez la liste déroulante Sélectionnez un niveau de journal pour attribuer un niveau aux messages des journaux envoyés par le serveur à l’Observateur d’événements : Erreur, Avertissement, Informations ou Débogage. Envoyer les messages vers un fichier Pour contrôler si le serveur envoie les messages des journaux vers un fichier, utilisez la case à cocher Envoyer les messages du journal vers un fichier. Définissez l’emplacement du fichier qui recevra le message du journal et utilisez la liste déroulante Sélectionnez un niveau de journal pour attribuer un niveau aux messages des journaux. Sauvegarder ou restaurer la configuration de Management Server Management Server contient les informations de configuration de tous les périphériques Firebox X Edge et tunnels VPN gérés. Il est conseillé d’effectuer de fréquentes sauvegardes de Management Server et de conserver les fichiers de sauvegarde dans un endroit sûr. Ces fichiers pourront être utilisés pour restaurer Management Server en cas de panne matérielle. Ils serviront également lors du transfert de Management Server sur un nouvel ordinateur. Pour pouvoir utiliser un fichier de sauvegarde, vous devez connaître la clé principale. Celle-ci est définie lors de la configuration initiale de Management Server. 1. Dans la barre d’outils Windows, cliquez avec le bouton droit sur l’icône de Management Server, puis sélectionnez Arrêter le service. 2. Dans la barre d’outils Windows, cliquez avec le bouton droit sur l’icône de Management Server, puis sélectionnez Sauvegarder/Restaurer. L’Assistant Management Server Backup/Restore Wizard démarre. Utilisez les instructions affichées à l’écran pour créer un fichier de sauvegarde ou pour restaurer une configuration de Management Server à partir d’un fichier de sauvegarde. 3. Une fois la procédure terminée, dans la barre d’outils Windows, cliquez avec le bouton droit sur l’icône de Management Server, puis sélectionnez Démarrer le service. Sauvegarder Management Server en vue du dépannage Utilisez l’option Fichier > Exporter vers un fichier pour créer une version en texte brut de la configuration de Management Server, qui inclut toutes les informations sur les périphériques gérés et les modèles. Ce fichier ne doit être utilisé que lors du dépannage d’un problème avec le support technique. 400 WatchGuard System Manager Installation et administration de Management Server Déplacer WatchGuard Management Server sur un nouvel ordinateur Pour déplacer Management Server sur un nouvel ordinateur, vous devez connaître la clé principale. Vous devez également vérifier que l’adresse IP attribuée au nouveau Management Server est la même que celle du serveur précédent. 1. Utilisez l’Assistant Management Server Backup/Restore Wizard pour créer un fichier de sauvegarde de la configuration du serveur Management Server actuel. 2. Utilisez le fichier d’installation de WatchGuard System Manager et installez le logiciel Management Server sur le nouveau serveur Management Server. 3. Exécutez l’Assistant Restore Wizard et sélectionnez le fichier sauvegardé. 4. Dans la barre d’outils Windows, cliquez avec le bouton droit sur l’icône de Management Server et sélectionnez Démarrer le service. Se connecter à Management Server Pour se connecter à Management Server depuis WSM : 1. Cliquez sur . Vous pouvez également sélectionner Fichier > Se connecter au serveur ou cliquer avec le bouton droit n’importe où dans la fenêtre WatchGuard System Manager et sélectionner Se connecter à > Serveur. 2. Dans la liste déroulante Management Server, sélectionnez un serveur par son nom d’hôte ou son adresse IP. Vous pouvez également taper l’adresse IP ou le nom d’hôte si nécessaire. Lorsque vous tapez une adresse IP, tapez tous les chiffres et points. N’utilisez pas les touches TAB ni les touches de direction. 3. Tapez ou sélectionnez le nom d’utilisateur associé à votre compte d’utilisateur sur Management Server. 4. Tapez le mot de passe de votre compte d’utilisateur. Si vous utilisez le compte d’administration par défaut, le mot de passe est le mot de passe de gestion du serveur. Guide de l’utilisateur 401 Installation et administration de Management Server 5. Si nécessaire, modifiez la valeur du champ Délai d’attente. Cette valeur définit la durée (en secondes) pendant laquelle Watchguard System Manager attend des données de Management Server avant d’envoyer un message indiquant qu’il ne peut pas se connecter. Si votre réseau ou votre connexion Internet est lente, vous pouvez augmenter la valeur du délai. Si vous réduisez cette valeur, cela réduit la durée d’attente avant réception d’un message de dépassement de délai si vous essayez de vous connecter à un serveur Management Server qui n’est pas disponible. 6. Cliquez sur Connexion. Le serveur apparaît dans la fenêtre WatchGuard System Manager. Dans certaines versions antérieures des produits de sécurité WatchGuard, WatchGuard Management Server était appelé serveur DVCP. Déconnexion de Management Server Sélectionnez Management Server dans l’arborescence WSM. Cliquez sur Management Server, puis sélectionnez Fichier > Déconnecter. 402 ou cliquez sur le nom du serveur WatchGuard System Manager 17 Rapports WatchGuard À propos de Report Server Report Server consolide les données collectées par les serveurs Log Server sur les périphériques Firebox et génère régulièrement des rapports à partir de ces données. Lorsque les données sont sur Report Server, vous pouvez afficher les rapports disponibles à l’aide de Report Manager. Pour plus d’informations sur Report Manager, voir À propos de Report Manager. Pour plus d’informations sur les rapports disponibles, voir Liste des rapports prédéfinis. Installer Report Server Utilisez le programme d’installation de WatchGuard System Manager pour installer Report Server sur l’ordinateur utilisé comme station de gestion. Vous pouvez également l’installer sur un autre ordinateur. Vous pouvez ajouter d’autres serveurs Report Server à des fins de sauvegarde. Si vous installez Report Server sur un ordinateur équipé d’un pare-feu autre que le pare-feu Windows, vous devez ouvrir les ports nécessaires aux serveurs pour se connecter à travers le pare-feu. Pour les utilisateurs du pare-feu Windows, il est inutile de modifier leur configuration de pare-feu. Pour plus d’informations, voir Installer les serveurs WatchGuard sur des ordinateurs dotés de pare-feu de Bureau. À propos des mots de passe Tous les serveurs WatchGuard partagent les mêmes mots de passe principal et de gestion de serveur. Si vous commencez par configurer un autre serveur, il n’est pas nécessaire de configurer de nouveau le mot de passe lorsque vous configurez Report Server. Si vous avez déjà exécuté le Report Server Setup Wizard, il configure Report Server sans que vous n’ayez à intervenir. Installer Report Server Vous pouvez installer Report Server sur votre station de gestion ou sur un autre ordinateur. Exécutez le programme d’installation de WatchGuard System Manager et sélectionnez uniquement le composant Report Server. Guide de l’utilisateur 403 Rapports WatchGuard Exécuter l’Assistant d’installation Si vous exécutez le Report Server Setup Wizard à partir d’une connexion de bureau distante à une session Terminal Server Windows 2000 ou Windows 2003 Server, l’installation de la base de données PostgreSQL échoue si vous n’ouvrez pas la session de bureau distante en tant que session d’administration distante ou de console et n’exécutez pas les services Terminal Server en mode d’administration distante. 1. Cliquez avec le bouton droit de la souris dans la barre d’état système et sélectionnez Assistant Setup Wizard. Le Report Server Setup Wizard s’affiche. 2. Si vous avez déjà configuré un serveur WatchGuard, le Report Server Setup Wizard affiche uniquement un écran indiquant qu’il configure le serveur. Si vous n’avez pas encore exécuté l’Assistant, il affiche les écrans suivants : o Créez un mot de passe principal Le mot de passe principal chiffre toutes les données de Management Server. o Créez un mot de passe de gestion du serveur Vous êtes invité à fournir ce mot de passe lorsque vous cliquez sur un élément de menu permettant de configurer le serveur et ses utilisateurs. Sélectionnez le Chemin d’accès au répertoire de données avec attention. Une fois la base de données installée, vous ne pouvez plus modifier l’emplacement du répertoire via l’interface utilisateur de Report Server. o Identifiez le nom de votre organisation o Le Report Server Setup Wizard est terminé. 3. Parcourez l’Assistant et ajoutez les informations requises. Pour modifier les paramètres par défaut de Report Server et les adapter aux besoins de votre installation, voir Configurer Report Server. Configurer Report Server Vous ne pouvez pas configurer Report Server s’il n’est pas encore installé. Installez Report Server et suivez les étapes ci-dessous pour configurer le serveur. 1. Cliquez avec le bouton droit de la souris dans la barre d’état système et sélectionnez Configurer. Entrez le mot de passe de gestion du serveur. La boîte de dialogue Configuration de Report Server s’affiche. 2. Le cas échéant, adaptez les paramètres par défaut aux besoins de votre réseau. Lorsque vous avez terminé, cliquez sur OK. 404 WatchGuard System Manager Rapports WatchGuard Paramètres du serveur Vous pouvez configurer des paramètres pour la base de données Report Server et le serveur SMTP. Guide de l’utilisateur 405 Rapports WatchGuard Paramètres de base de données Taille maximale de la base de données Entrez la taille maximale autorisée pour la base de données Report Server. La boîte de dialogue affiche la taille actuelle de la base de données et le nombre de Go disponibles. Envoyer un avertissement si la base de données atteint le seuil d’avertissement Activez cette case à cocher pour recevoir un message d’avertissement lorsque la base de données approche de sa limite. Seuil d’avertissement Pour définir le moment où la base de données envoie un message d’avertissement, appuyez sur les flèches vers le haut ou vers le bas. Envoyer un message d’avertissement à Entrez l’adresse e-mail à laquelle envoyer le message d’avertissement. Par exemple, si vous choisissez de recevoir un message d’avertissement, utilisez le seuil d’avertissement par défaut de 90 % et la taille maximale de la base de données par défaut de 10 000 Mo, Report Server envoie le message d’avertissement lorsque 9 000 Mo ont été utilisés et qu’il ne reste que 1 000 Mo disponibles. Lorsque la base de données Report Server est régulièrement purgée et que le nombre d’enregistrements envoyés au serveur reste constant, l’espace libéré par le processus de purge est simplement réutilisé par les rapports suivants. Cependant, si l’intervalle de purge (défini dans le champ Conserver les messages du fichier journal pendant de l’onglet Paramètres d’expiration de la boîte de dialogue Configuration de Report Server) est diminué ou si la journalisation du débogage est désactivée après avoir été utilisée pendant un certain temps, nous vous conseillons d’utiliser l’utilitaire de ligne de commande vacuumdb pour réclamer l’espace libre de la base de données Report Server. Paramètres du serveur SMTP Serveur de messagerie sortant (SMTP) Entrez l’adresse du serveur de messagerie SMTP sortant. Utilisez les informations de connexion pour le serveur de messagerie Activez cette case à cocher si votre serveur requiert une authentification. Nom d’utilisateur Entrez le nom d’utilisateur du serveur de messagerie. Mot de passe Entrez le mot de passe du serveur de messagerie. Si le nom d’utilisateur et le mot de passe ne sont pas requis pour votre serveur SMTP, ne remplissez pas ces champs. 406 WatchGuard System Manager Rapports WatchGuard Paramètres d’expiration Vous pouvez configurer des paramètres de suppression de rapports et de configuration de la notification pour Report Server. Paramètres de suppression de rapports Conservez les messages de rapport pendant Pour spécifier le nombre de jour qu’il convient de conserver les messages sur Report Server, appuyez sur la flèche vers le bas ou vers le haut. La boîte de dialogue affiche la date de la dernière suppression des messages. Supprimez les messages de rapport expirés à Pour définir l’heure de la journée à laquelle les messages expirés sont supprimés, appuyez sur les flèches vers le haut ou vers le bas. La boîte de dialogue affiche la date et l’heure de la prochaine suppression programmée. Guide de l’utilisateur 407 Rapports WatchGuard Configuration de la notification Activer la notification Activez cette case à cocher pour activer les notifications d’e-mails. Envoyer un e-mail de Entrez l’adresse e-mail complète du compte à partir duquel vous souhaitez envoyer des notifications. Objet Entrez la ligne d’objet qui s’affiche aux yeux des utilisateurs lorsqu’ils reçoivent un e-mail de notification. Corps Entrez le message destiné aux utilisateurs. Vous pouvez utiliser un format texte ou HTML pour entrer le corps du message. Paramètres de génération de rapports Vous pouvez configurer les paramètres de génération de rapports de Report Server. Ces options s’appliquent uniquement aux données de rapports de synthèse. Chaque rapport de synthèse doit contenir Entrez le nombre d’enregistrements à inclure dans les rapports de synthèse. Ce paramètre s’applique uniquement aux rapports de synthèse. 408 WatchGuard System Manager Rapports WatchGuard Commencer à générer des rapports hebdomadaires le Pour définir le jour de la génération du rapport, cliquez sur la liste déroulante et sélectionnez un jour. Pour définir l’heure de la journée à laquelle le rapport doit commencer, appuyez sur les flèches vers le haut ou vers le bas. Sélectionnez le type de rapport Pour spécifier les rapports à inclure dans la liste, activez la case à cocher en regard de chaque rapport à afficher lors de la génération des rapports. Exécuter maintenant Cliquez sur ce bouton pour générer immédiatement tous les rapports sélectionnés. Une fois que vous avez cliqué sur le bouton Exécuter maintenant, un message s’affiche pour indiquer que la génération des rapports est en cours et peut prendre quelques minutes. Lorsque l’opération est terminée, un autre message s’affiche pour indiquer que le rapport est prêt. Cliquez une nouvelle fois sur Exécuter maintenant pour afficher le rapport. Étant donné que les journaux du Log Server et du Report Server ne sont pas toujours synchronisés, jusqu’à 15 minutes peuvent être nécessaires à la génération des rapports. Ajouter le(s) serveur(s) Log Server Report Server peut recueillir les données de plusieurs serveurs Log Server. Cliquez sur Ajouter pour ajouter un Log Server à la liste. Entrez l’adresse IP et le mot de passe du Log Server. Chemin d’accès au répertoire de rapports Indiquez le répertoire des fichiers de rapport. Guide de l’utilisateur 409 Rapports WatchGuard Paramètres de journalisation Activer les messages du journal pour WatchGuard Log Server Activez cette case à cocher pour permettre au Log Server de recueillir des données de journalisation à partir des périphériques Firebox. Sélectionner un niveau de journal Si vous avez activé la case à cocher Activer les messages du journal pour WatchGuard Log Server, vous pouvez sélectionner le niveau affecté aux messages de journal. Erreur Avertissement Informations Débogage Envoyer des messages du fichier journal à l’Observateur d’événements Windows Activez cette case à cocher pour permettre au Log Server d’envoyer des messages à l’Observateur d’événements. Sélectionner un niveau de journal Si vous avez activé la case à cocher Envoyer des messages du fichier journal à l’Observateur d’événements Windows, vous pouvez sélectionner le niveau affecté aux messages de journal. 410 Erreur Avertissement Informations Débogage WatchGuard System Manager Rapports WatchGuard Envoyer les messages du journal vers un fichier Cette case à cocher est activée par défaut. Vous pouvez la désactiver pour ignorer les messages de journal. Emplacement du fichier Si vous avez activé la case à cocher Envoyer les messages du journal vers un fichier, vous pouvez sélectionner l’emplacement de stockage des messages du journal. Sélectionner un niveau de journal Si vous avez activé la case à cocher Envoyer les messages du journal vers un fichier, vous pouvez sélectionner le niveau affecté aux messages de journal. Erreur Avertissement Informations Débogage Réclamer l’espace libre de la base de données Report Server Lorsque la base de données du Report Server est régulièrement purgée et que le nombre d’enregistrements envoyés au serveur reste constant, l’espace libéré par le processus de purge est simplement réutilisé par les rapports suivants. Cependant, si l’intervalle de purge (défini dans le champ Conserver les messages du fichier journal pendant de l’onglet Paramètres d’expiration de la boîte de dialogue Configuration de Report Server) est diminué ou si la journalisation du débogage est désactivée après avoir été utilisée pendant un certain temps, nous vous conseillons d’utiliser l’utilitaire de ligne de commande vacuumdb. Cet utilitaire permet de réduire la taille du fichier physique de la base de données en marquant les objets purgés comme pouvant être réutilisés. L’utilitaire vacuumdb permet également de réclamer l’espace libre de la base de données Log Server. Pour exécuter l’utilitaire vacuumdb : 1. Arrêtez Report Server. 2. Dans la ligne de commande, exécutez C:\Program Files\WatchGuard\wsm10.0\postgresql\bin\vacuumdb –v –f –d wgrep –U wguser (Vous pouvez ignorer l’option –v pour désactiver la sortie en clair.) 3. À l’invite, entrez le mot de passe de gestion du serveur. En fonction de la taille de la base de données, l’exécution de l’opération peut durer de quelques minutes à plusieurs heures. Une fois la commande terminée, redémarrez Report Server. Guide de l’utilisateur 411 Rapports WatchGuard Démarrer ou arrêter Report Server Vous pouvez démarrer ou arrêter le service Report Server à tout moment sans vous déconnecter de Report Server. Pour démarrer le service, cliquez avec le bouton droit de la souris sur dans la barre d’état système et sélectionnez Démarrer le service. Vous pouvez également sélectionner Fichier > Démarrer le serveur dans la boîte de dialogue Configuration de Report Server. L’icône de la barre d’état système se transforme en . Pour arrêter le service, cliquez avec le bouton droit de la souris sur dans la barre d’état système et sélectionnez Arrêter le service. Vous pouvez également sélectionner Fichier > Arrêter le serveur dans la boîte de dialogue Configuration de Report Server. L’icône de la barre d’état système se transforme en . À propos de Report Manager Report Manager permet de consulter les données collectées par les serveurs Log Server de tous les périphériques Firebox. Dans Report Manager, vous pouvez voir les rapports WatchGuard disponibles pour un Firebox ou une sélection des périphériques Firebox. Les rapports WatchGuard sont des synthèses des données de journal que vous avez choisi de collecter à partir des fichiers de journal Firebox.Report Manager consolide les données de journal dans une série de rapports prédéfinis afin que vous puissiez localiser et vérifier rapidement les actions et événements des Firebox. Pour plus d’informations sur les rapports prédéfinis, voir Liste des rapports prédéfinis. Avec les fonctionnalités avancées de Report Manager, vous pouvez effectuer les tâches suivantes : Définir les options des rapports comme la couleur de fond, le nombre maximum d’enregistrements par fichier et le répertoire de stockage des rapports. Sélectionner les paramètres des rapports comme les plages de date des rapports et les groupes de Firebox pour lesquels créer des rapports. Modifier le type de rapport du format HTML au format PDF et inversement. Envoyer par courrier électronique, imprimer ou enregistrer un rapport Pour utiliser WatchGuard Reports, vous devez être équipé d’Internet Explorer 6.0 ou version ultérieure. 412 WatchGuard System Manager Rapports WatchGuard Barre d’outils de Report Manager La barre d’outils de Report Manager comprend des icônes qui vous permettent de parcourir l’interface. Icône Guide de l’utilisateur Nom Action Connexion à Report Server Permet de se connecter à un Report Server. Envoyer le rapport par e-mail Permet d’ouvrir un e-mail avec le format de rapport sélectionné en pièce jointe. Imprimer le rapport Permet d’ouvrir la boîte de dialogue d’impression afin de sélectionner les paramètres d’impression. Enregistrer sous Permet d’enregistrer le rapport au format PDF, HTML ou CSV. Afficher le rapport au format HTML Permet d’afficher le rapport au format HTML. Afficher le rapport au format PDF Permet d’afficher le rapport au format PDF. Précédent Permet de revenir à la page précédente. Suivant Permet de retourner à la page précédemment sélectionnée. Actualiser Permet d’actualiser la vue active. Arrêter Permet d’arrêter l’action en cours. Options Permet d’ouvrir la boîte de dialogue Options permettant de définir les options de Report Manager. Aide Permet d’ouvrir l’Aide de Report Manager. 413 Rapports WatchGuard Définir les options de rapport Vous pouvez modifier les paramètres par défaut de la sortie des rapports et le modèle de rapport par défaut. Dans la barre d’outils Report Manager, cliquez sur Sinon, sélectionnez Afficher > Options. La boîte de dialogue Options s’affiche. . Utiliser un arrière-plan noir pour les graphiques et les boîtes de dialogue Cette option est sélectionnée par défaut. Désactivez la case à cocher correspondante pour utiliser un arrière-plan clair dans tous les graphiques et boîtes de dialogue. Spécifiez le répertoire des fichiers de rapport Chaque fois que vous consultez un rapport, Report Manager place le fichier de rapport sur votre disque dur local. Vous pouvez indiquer le dossier dans lequel placer ce fichier. Type de fichier de rapport Sélectionnez l’affichage par défaut pour la sortie des rapports. Report Manager affiche automatiquement les rapports dans ce format. Nombre maximal d’enregistrements par fichier HTML Cliquez sur la flèche vers le haut ou vers le bas pour définir le nombre maximal d’enregistrements à inclure dans chaque fichier HTML. 414 WatchGuard System Manager Rapports WatchGuard Toujours recréer le fichier de rapport à son ouverture Désactivez cette case à cocher pour permettre à Report Manager d’ouvrir les versions existantes des rapports sélectionnés. La génération de rapports volumineux peut prendre du temps. Désactivez cette option pour réduire le temps nécessaire à l’affichage d’un rapport. Les informations figurant dans les rapports précédemment créés peuvent ne pas être les plus récentes. Sélectionnez cette option si vous souhaitez que Report Manager crée toujours un nouveau rapport. Cette option peut prendre davantage de temps, mais elle permet l’affichage des données les plus récentes. Toujours supprimer les fichiers de rapport que j’ai créés à la fermeture de Report Manager Pour laisser les fichiers de rapport sur votre disque dur, désactivez cette case à cocher. Me demander confirmation avant de supprimer des fichiers de rapport Si vous souhaitez que Report Manager supprime les fichiers de rapport sans vous en avertir, désactivez cette case à cocher. Spécifiez le répertoire des fichiers de définition de rapport Sélectionnez le répertoire dans lequel les fichiers de définition de rapport sont enregistrés. Ouvrir Report Manager Vous ouvrez Report Manager depuis l’interface WSM (WatchGuard System Manager) principale. 1. Dans la barre d’outils WSM, cliquez sur . Vous pouvez également sélectionner Outils > Journaux > Report Manager. WatchGuard Report Manager et la boîte de dialogue Connexion à Report Server s’affichent. 2. Entrez l’adresse IP, le nom d’utilisateur et le mot de passe de Report Server. Tous les serveurs WatchGuard partagent le même mot de passe principal. 3. Cliquez sur Connexion. Report Manager se connecte au serveur de rapports et les données s’affichent dans la fenêtre de navigation gauche de WatchGuard Reports. La première fois que vous vous connectez à un Report Server, une boîte de dialogue Validation du certificat s’affiche. Vous devez valider le certificat pour continuer. Se connecter à un autre Report Server Pour se connecter à un autre Report Server lorsque Report Manager est ouvert, il convient d’abord de se déconnecter du Report Server actif. Sélectionnez Fichier> Déconnecter. Guide de l’utilisateur 415 Rapports WatchGuard Liste de rapports prédéfinis Report Manager inclut des rapports prédéfinis que vous pouvez sélectionner pour afficher les données collectées par le Firebox. Type de rapport Nom du rapport Description Résumé du trafic Web Tendance de l’activité Web Tendances, clients actifs, domaines les plus populaires, informations WebBlocker et sites Web bloqués par des règles de proxy. Des graphiques sont inclus pour les rapports les plus détaillés. Cliquez sur un graphique pour afficher le rapport détaillé. Résumé des tendances Web Données des tendances horaires Clients les plus actifs 50 premiers clients par le nombre de connexions Web Domaines les plus populaires 50 sites Web les plus visités par les clients Service WebBlocker Statistiques et sites Web bloqués par le service WebBlocker Détails des URL par heure Toutes les URL dans l’ordre chronologique Détails des URL par client Toutes les URL classées par client Détails des URL par domaine Toutes les URL classées par domaine Audit de l’activité Web Inclut les sites Web autorisés pour les connexions HTTP, si vous activez le marqueur d’audit pour HTTP dans Policy Manager. Résumé Intrusion Prevention Toutes les actions de prévention d’intrusion Détails par protocole Détails du résumé de la prévention par protocole Détails par sévérité Détails du résumé de la prévention par sévérité Détails par adresse IP source Détails du résumé de la prévention par adresse IP source Détails par signature Détails du résumé de la prévention par signature Résumé de l’antivirus Résumé des actions de l’antivirus Détails par protocole Détails des actions de l’antivirus par protocole Détails par hôte (HTTP) Détails des actions de l’antivirus par hôte Détails par virus Détails des actions de l’antivirus par virus Détails par expéditeur d’email Détails des actions de l’antivirus par expéditeur d’e-mail Disponible pour SMTP ou POP3 Résumé Intrusion Prevention Résumé de l’antivirus 416 WatchGuard System Manager Rapports WatchGuard Type de rapport Nom du rapport Description Résumé spamBlocker Résumé spamBlocker Statistiques par type de courrier indésirable, action et premiers expéditeurs et destinataires de courrier indésirable spamBlocker par expéditeur Statistiques par expéditeur Résumé des proxies Résumé de l’hôte Résumé de l’action de proxy Résumé du proxy SMTP Résumé du serveur SMTP Résumé de l’activité du serveur SMTP (pour les comptes de messagerie internes et externes) Résumé de la messagerie SMTP Résumé de l’activité de la messagerie SMTP (pour les serveurs internes et externes) Détails du proxy SMTP Enregistrements des actions du proxy SMTP par heure Résumé du compte de messagerie Comptes de messagerie internes et externes Résumé du serveur de messagerie Serveurs internes et externes Détails du POP3 Tous les enregistrements par heure Résumé filtré par paquet Résumé de l’hôte Résumé de toutes les données filtrées par paquet Statistiques Firebox Statistiques Firebox Statistiques de bande passante Firebox pour toutes les interfaces Bande passante de l’interface externe Résumé des statistiques de bande passante (pour les interfaces externes) L’intervalle d’échantillonnage des données est basé sur l’intervalle de temps du rapport. L’intervalle minimum est 1 minute. Le rapport publié échantillonne les données toutes les 10 minutes. Bande passante du tunnel VPN Résumé du trafic du tunnel VPN Résumé des paquets refusés Résumé journal de tous les paquets refusés Détails des paquets entrants refusés Journal détaillé de chaque action entrante Détails des paquets sortants refusés Journal détaillé de chaque action sortante Alarmes Tous les enregistrements d’alarme Résumé d’audit du serveur Résumé des détails d’audit du serveur Détails d’audit du serveur Tous les détails d’audit du serveur Rapport d’authentification de serveur Tous les échecs d’authentification des serveurs Zones sous le rapport de gestion Résumé des détails de tous les périphériques Firebox connectés à Management Server. Proxy POP3 Exceptions Audit de Management Server Rapports de gestion Guide de l’utilisateur 417 Rapports WatchGuard Sélectionner les rapports à générer Vous pouvez sélectionner les types de rapports à inclure lorsque vous générez des rapports WatchGuard. 1. Sélectionnez Modifier > Créer des rapports. La boîte de dialogue Créer le rapport s’affiche. 2. Sélectionnez un Type de fichier de rapport. 3. Dans la liste des rapports, activez la case à cocher correspondant aux rapports à générer. Pour sélectionner tous les rapports de la liste, activez la case à cocher Les rapports disponibles se trouvent sur le serveur. 4. Cliquez sur Démarrer. Report Manager génère les rapports sélectionnés. Paramètres de la boîte de dialogue Créer le rapport Spécifiez le répertoire des fichiers de rapport Sélectionnez le répertoire dans lequel les fichiers de rapport sont enregistrés. Type de fichier de rapport Sélectionnez l’affichage par défaut pour la sortie des rapports. Report Manager affiche automatiquement les rapports dans ce format. Fermez automatiquement cette boîte de dialogue une fois tous les rapports générés. Désactivez cette case à cocher si vous souhaitez que la boîte de dialogue Créer le rapport reste ouverte une fois tous les rapports générés. 418 WatchGuard System Manager Rapports WatchGuard Sélectionner les paramètres de rapport Une fois connecté à votre serveur Report Server, vous pouvez utiliser Report Manager pour consulter les données du journal. Pour afficher les rapports, vous devez d’abord sélectionner les périphériques Firebox et la plage de dates à inclure dans le rapport. Dans votre rapport, vous pouvez choisir d’inclure un périphérique Firebox ou un groupe de périphériques Firebox. 1. Sélectionnez un périphérique Firebox devant faire l’objet d’un rapport dans la liste déroulante Sélectionnez un périphérique. Pour obtenir des instructions sur la création d’un groupe de périphériques Firebox, voir la section suivante. 2. Sélectionnez une plage de dates pour le rapport dans la liste déroulante Sélectionnez une plage. Pour obtenir des instructions sur l’affichage de rapports correspondant à des plages de dates et heures spécifiques, voir Spécifier une plage de dates. Créer des groupes de périphériques Vous pouvez choisir d’afficher des rapports pour plusieurs périphériques Firebox d’une liste. Vous ne pouvez pas modifier un groupe de périphériques après l’avoir créé. Si vous souhaitez le modifier, vous devez définir un nouveau groupe. 1. Sélectionnez Définir un groupe dans la liste déroulante Sélectionnez un périphérique. Sinon, sélectionnez Modifier > Définir un groupe. La boîte de dialogue Créer un groupe s’affiche. 2. Tapez un nom dans le champ Nom de groupe pour la liste des périphériques Firebox. 3. Dans la liste Périphériques disponibles, activez la case à cocher de chaque périphérique Firebox à inclure dans le groupe. Pour sélectionner tous les périphériques répertoriés, activez la case à cocher Nom du périphérique. 4. Cliquez sur OK. Le nom de groupe s’affiche dans le champ Sélectionnez un périphérique et les données de rapport disponibles apparaissent dans la liste Rapports WatchGuard. Les groupes de périphériques ne peuvent pas être enregistrés d’une session à une autre. Lorsque vous fermez Report Manager, tous les groupes de périphériques disparaissent. Spécifier une plage de dates Pour affiner les données de vos rapports, vous pouvez choisir d’afficher les rapports pour des plages de dates et heures spécifiques dans une liste de rapports. 1. Sélectionner Spécifiez une plage dans la liste déroulante Sélectionnez une plage. Sinon, sélectionnez Modifier > Spécifiez une plage. La boîte de dialogue Spécifiez une plage s’affiche. 2. Sélectionnez une date et une heure de début dans la section Début. 3. Sélectionnez une date et une heure de fin dans la section Fin. 4. Cliquez sur OK. La plage s’affiche dans le champ Sélectionnez un périphérique. Les plages de dates spécifiées ne peuvent pas être enregistrées d’une session à une autre. Lorsque vous fermez Report Manager, toutes les plages spécifiées disparaissent. Guide de l’utilisateur 419 Rapports WatchGuard Afficher un rapport Après avoir sélectionné les paramètres de vos rapports et les rapports à générer, vous pouvez afficher les rapports. Pour plus d’informations sur le choix des paramètres de rapport, voir Sélectionner les paramètres de rapport. Pour plus d’informations sur le choix des rapports à générer, voir Sélectionner les rapports à générer. Les rapports sont regroupés par date, puis par type de rapport pour tous les périphériques sélectionnés. Pour afficher un rapport, cliquez sur un nom de rapport dans la liste Rapports WatchGuard du volet de navigation de gauche. La boîte de dialogue Progression s’affiche, puis le rapport sélectionné apparaît sur la droite. Pour les rapports intégrant des liens vers des données concernant des périphériques, cliquez sur un lien pour afficher ces données. Les données sur le périphérique s’affichent. Pour arrêter la génération d’un rapport, cliquez sur Pour actualiser le rapport sélectionné, cliquez sur . Sinon, sélectionnez Modifier > Mettre à jour la liste de rapports. . Rechercher un rapport dans la liste Vous pouvez utiliser le champ Rechercher pour rechercher un rapport spécifique dans la liste. 1. Sélectionnez une section des rapports à inclure dans la recherche. Par exemple, pour effectuer une recherche dans tous les rapports affichés, cliquez sur Rapports WatchGuard en haut de la liste. 2. Dans le champ Rechercher au bas de Report Manager, tapez une expression à rechercher dans les rapports répertoriés.Cliquez sur . Sinon, appuyez sur la touche Entrée de votre clavier. Si l’expression figure dans les rapports affichés, le premier rapport de la liste est mis en surbrillance, puis le rapport s’affiche. 3. Cliquez à nouveau sur pour effectuer la recherche dans d’autres rapports de la liste. Si l’expression ne figure pas dans les rapports affichés, le message « Expression introuvable » s’affiche sous le champ Rechercher. Rechercher des détails dans un rapport Vous pouvez utiliser la fonction de recherche de Windows pour trouver des détails dans un rapport. 1. Sélectionnez un rapport dans la liste Rapports WatchGuard. Les données du rapport s’affichent. 2. Appuyez sur les touches Ctrl + f de votre clavier. La boîte de dialogue Rechercher s’affiche. 3. Tapez une expression à rechercher dans le champ Rechercher. 4. Cliquez sur Rechercher. Modifier le type de rapport Vous pouvez afficher les rapports au format HTML ou PDF. 420 Pour afficher le rapport au format HTML, cliquez sur Pour afficher le rapport au format PDF, cliquez sur . . WatchGuard System Manager Rapports WatchGuard Envoyer par courrier électronique, imprimer ou enregistrer un rapport Après avoir sélectionné un rapport, vous pouvez l’envoyer par courrier électronique, l’imprimer ou l’enregistrer directement à partir de Report Manager. Envoyer un rapport par e-mail Cliquez sur . Vous pouvez également sélectionner Fichier > Envoyer à. Si le rapport est au format HTML, un e-mail s’ouvre avec un lien vers le fichier HTML. Si le rapport est au format PDF, un e-mail s’ouvre avec le type de fichier sélectionné en pièce jointe. Imprimer un rapport Cliquez sur . Vous pouvez également sélectionner Fichier > Imprimer. Si le rapport est au format HTML, la boîte de dialogue Imprimer s’affiche. Sélectionnez les paramètres d’impression et cliquez sur Imprimer. Si le rapport est au format PDF, le rapport s’affiche dans une fenêtre distincte. Imprimez à partir de cette nouvelle fenêtre d’application. Enregistrer un rapport Cliquez sur . Vous pouvez également sélectionner Fichier > Enregistrer sous. La boîte de dialogue d’enregistrement s’affiche. Sélectionnez un emplacement, un nom et un type de fichier. Cliquez sur Enregistrer. Guide de l’utilisateur 421 Rapports WatchGuard 422 WatchGuard System Manager 18 Périphériques et réseaux VPN dans WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager Utiliser la fenêtre WatchGuard System Manager La fenêtre WatchGuard System Manager contient des menus et des icônes que vous pouvez utiliser pour démarrer d’autres outils. Cette fenêtre présente également deux onglets que vous pouvez utiliser pour analyser et gérer votre environnement et vos périphériques Firebox : État du périphérique et Gestion des périphériques. État du périphérique Les informations relatives à un périphérique auquel vous vous connectez s’affichent dans l’onglet État du périphérique de WatchGuard System Manager. Ces informations incluent l’état, l’adresse IP, l’adresse MAC de chaque interface Ethernet, ainsi que les certificats installés. Elles présentent également l’état de tous les tunnels VPN (Virtual Private Network, réseau privé virtuel) configurés dans WSM. Les informations détaillées de chaque périphérique Firebox incluent l’adresse IP et le masque de sous-réseau de chaque interface Firebox. Elles incluent également : l’adresse IP et le masque réseau de la passerelle par défaut (pour les interfaces externes uniquement) ; l’adresse MAC (Media Access Control, contrôle d’accès au média) de l’interface ; le nombre de paquets envoyés et reçus sur chaque interface depuis le dernier redémarrage de Firebox. Chaque périphérique peut présenter l’un des quatre états possibles, identifié par l’apparence du périphérique dans la fenêtre : Icône normale : fonctionnement normal. Le périphérique envoie correctement les données à WatchGuard System Manager. Point d’interrogation jaune : le périphérique a une adresse IP dynamique et n’a pas encore contacté Management Server. Point d’exclamation rouge et icône grise : WatchGuard System Manager ne parvient pas à établir de connexion réseau avec le périphérique pour l’instant. Aucun point d’exclamation et icône grise : le périphérique est contacté pour la première fois ou n’a pas encore été contacté. L’onglet État du périphérique inclut également des informations sur les tunnels BOVPN (Branch Office VPN, réseau privé virtuel de filiale) et sur les tunnels VPN mobiles. Guide de l’utilisateur 423 Périphériques et réseaux VPN dans WatchGuard System Manager Gestion des périphériques : navigation générale L’onglet Gestion des périphériques présente un volet de navigation à gauche et un volet d’informations à droite. Le volet de navigation présente les différents serveurs WatchGuard Management Server connectés et leurs périphériques, les VPN gérés, les modèles de stratégies de pare-feu VPN, les modèles de sécurité, les modèles de configuration Firebox X Edge et les mises à jour du microprogramme planifiées. Si vous développez la liste d’un périphérique, vous pouvez voir les ressources VPN (réseaux) derrière celui-ci. Le volet d’informations présente des informations plus détaillées sur tout élément que vous choisissez dans le volet de navigation. Si vous cliquez sur le serveur Management Server dans le volet de navigation, le volet d’informations vous permet de voir ou de modifier les informations suivantes relatives à Management Server : Nom d’utilisateur et adresse IP Alias pour les périphériques Edge Licences de serveur Clients. Vous pouvez modifier la liste des contacts, comme cela est décrit dans Définir les propriétés de gestion des périphériques. Serveurs Report Server analysés Liste des périphériques gérés, tunnels VPN et modèles de configuration Edge Alertes WatchGuard : les diffusions LiveSecurity récentes représentant des alertes d’informations. Si vous cliquez sur une alerte, vous devez vous connecter au service LiveSecurity pour consulter le texte intégral de l’alerte. Démarrer les outils Firebox et Edge Afficher et supprimer les mises à jour du microprogramme Si vous cliquez sur l’en-tête Périphériques du volet de navigation, vous pouvez consulter une liste des périphériques gérés pour le serveur. Si vous cliquez sur un périphérique dans le volet de navigation, vous pouvez consulter la page Gestion des périphériques pour un périphérique. Si vous cliquez sur un VPN géré dans le volet de navigation, vous pouvez consulter la boîte de dialogue des propriétés VPN et les paramètres VPN. Vous pouvez également ajouter un tunnel ou une ressource VPN à partir de cette section. 424 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager Afficher des informations sur les périphériques gérés Lorsque vous sélectionnez les dossiers se trouvant sous Périphériques, sur le côté gauche de l’onglet Gestion des périphériques de WSM, vous pouvez consulter une liste des périphériques, ainsi que les informations suivantes pour chacun d’eux. Nom Nom du périphérique Firebox géré. Type Type de périphérique ou de logiciel système installé sur le périphérique Firebox géré. Adresse IP Adresse IP utilisée pour identifier le périphérique Firebox. Si le périphérique Firebox n’a pas été identifié sur le serveur, le champ indique n/d. Durée du bail La durée du bail de Management Server est l’intervalle temporel qui sépare chaque interrogation du serveur Management Server par le client géré, à la recherche de mises à jour. La valeur par défaut est de 60 minutes. La durée du bail est configurée dans le cadre des Propriétés du périphérique, sous l’onglet Paramètres de connexion. Pour plus d’informations, voir Définir les propriétés de gestion des périphériques. Dernier téléchargement Heure de la mise à jour la plus récente du périphérique géré à partir de Management Server. Ce champ peut également indiquer Jamais s’il n’a jamais été mis à jour ou En attente si une mise à jour est en cours. Dernière modification Heure de la modification du fichier de configuration la plus récente sur Firebox. Ce champ peut également indiquer Jamais s’il n’a jamais été mis à jour ou En attente si une mise à jour est en cours. Guide de l’utilisateur 425 Périphériques et réseaux VPN dans WatchGuard System Manager Accéder à la page gestion des périphériques pour un périphérique Vous pouvez utiliser la page de gestion des périphériques pour configurer les paramètres de gestion sur le périphérique. 1. Développez Périphériques sur le côté gauche de l’onglet Gestion des périphériques de WatchGuard System Manager. Une liste des périphériques gérés s’affiche. 2. Sélectionnez un périphérique. La page de gestion du périphérique s’affiche sur le côté droit de la fenêtre WatchGuard System Manager. Dans la page de gestion du périphérique, vous pouvez : Vérifier si un autre compte d’utilisateur Management Server a verrouillé la définition du périphérique en l’ouvrant dans Policy Manager. Cette alerte s’affiche en haut de la page. Vous ne pouvez pas modifier la définition du périphérique tant que cet utilisateur ne le débloque pas. Pour cela, il doit fermer Policy Manager et l’ouvrir pour un autre périphérique. Consulter des informations générales sur le périphérique. Voir les tunnels VPN auxquels le périphérique participe et ajouter, modifier ou supprimer des tunnels. Pour plus d’informations sur l’utilisation de cette section de la page, voir Tunnels VPN. Voir les ressources VPN du périphérique et ajouter, modifier ou supprimer des ressources. Lancer des outils que vous utilisez pour analyser, définir ou gérer le périphérique. À propos de la préparation des périphériques pour la gestion Après avoir installé et configuré le serveur Management Server, vous pouvez l’utiliser pour gérer plusieurs périphériques Firebox. Pour gérer un périphérique Firebox à l’aide de Management Server, vous devez : vous assurer que Firebox autorise les connexions de gestion à partir de Management Server ; activer manuellement Firebox en tant que client géré pour tout périphérique Firebox ayant une adresse IP externe dynamique ; ajouter Firebox à la configuration de Management Server. Les procédures à suivre varient si vous utilisez un logiciel système Firebox ou un modèle Firebox différent. Ces instructions peuvent également être différentes si le client Firebox géré a une adresse IP dynamique. Veillez à consulter la rubrique qui correspond à votre modèle et à votre configuration Firebox : 426 Configurer un périphérique Firebox exécutant Fireware en tant que client géré Configurer un périphérique Firebox III ou Firebox X Core exécutant WFS en tant que client géré À propos de la configuration des produits Edge et SOHO en tant que clients gérés WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager Configurer un périphérique Firebox exécutant Fireware en tant que client géré 1. Ouvrez Policy Manager pour le périphérique Firebox que vous voulez activer en tant que client géré. 2. Double-cliquez sur la stratégie WatchGuard pour l’ouvrir et la modifier. La boîte de dialogue Modifier les propriétés de stratégie s’affiche pour la stratégie WatchGuard. 3. Vérifiez que la liste déroulante Les connexions WG-Firebox-Mgmt sont a la valeur Autorisé. 4. Sous la boîte de dialogue De, cliquez sur Ajouter. Cliquez sur Ajouter autre. 5. Vérifiez que la liste déroulante Choisir le type a bien la valeur IP de l’hôte. Dans le champ Valeur, tapez l’adresse IP de l’interface externe de la passerelle Firebox ou de l’emplacement à partir duquel l’ordinateur exécute WSM. Si aucune passerelle Firebox ne protège le serveur Management Server d’Internet, tapez l’adresse IP statique de votre serveur Management Server. 6. Cliquez sur OK. Cliquez de nouveau sur OK. Guide de l’utilisateur 427 Périphériques et réseaux VPN dans WatchGuard System Manager 7. Vérifiez que la boîte de dialogue À inclut une entrée Firebox ou Tout. Si le périphérique Firebox que vous souhaitez gérer a une adresse IP statique sur son interface externe ou s’il est dynamique et que vous connaissez l’adresse IP actuelle, vous pouvez vous arrêter ici. Enregistrez la configuration dans Firebox. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la section Ajouter des périphériques gérés à Management Server. Lorsque vous ajoutez ce périphérique Firebox à la configuration de Management Server, ce dernier se connecte automatiquement à l’adresse IP statique et configure le périphérique Firebox en tant que client Firebox géré. Si le périphérique Firebox que vous souhaitez gérer a une adresse IP dynamique, mais que vous ne connaissez pas l’adresse IP actuelle, passez à l’étape 8. 8. Dans Policy Manager, sélectionnez VPN > Client géré. La boîte de dialogue Configuration du client géré s’affiche. 9. Pour configurer un périphérique Firebox en tant que périphérique géré, activez la case à cocher Activer ce périphérique Firebox en tant que client géré. 10. Dans le champ Nom du client, tapez le nom que vous souhaitez donner à Firebox lors de son ajout à la configuration du serveur Management Server. Ce nom respecte la casse et doit correspondre à celui que vous utilisez lorsque vous ajoutez le périphérique à la configuration du serveur Management Server. 428 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager 11. Pour permettre au client géré d’envoyer des messages de journaux au serveur Log Server, activez la case à cocher Activer les journaux de diagnostic. (Nous vous recommandons d’utiliser cette option uniquement à des fins de dépannage.) 12. Dans la zone d’adresse Management Server, sélectionnez l’adresse IP de Management Server s’il possède une adresse IP publique. Sinon, sélectionnez l’adresse IP publique du périphérique Firebox qui protège le serveur Management Server. Si vous devez ajouter une adresse, cliquez sur Ajouter. Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management Server configuré. Lorsque vous utilisez l’Assistant Management Server Setup Wizard, celui-ci ajoute une stratégie WG-Mgmt-Server à votre configuration pour gérer ces connexions. Si vous n’avez pas utilisé l’Assistant Management Server Setup Wizard sur le serveur Management Server ou si vous avez ignoré l’étape « Passerelle Firebox » de cet Assistant, vous devez ajouter manuellement la stratégie WG-Mgmt-Server à la configuration de votre passerelle Firebox. 13. Dans la zone Secret partagé, tapez le secret partagé. Tapez-le à nouveau pour confirmer. Le secret partagé que vous tapez ici doit correspondre à celui que vous tapez lorsque vous ajoutez le périphérique Firebox à la configuration du serveur Management Server. 14. Cliquez sur le bouton Importer et importez le fichier CA-Admin.pem en tant que certificat. Ce fichier se trouve sous \Mes documents\Mon WatchGuard\certs\[ip_firebox]. 15. Cliquez sur OK. Lorsque vous enregistrez la configuration sur le périphérique Firebox, celui-ci est activé en tant que client géré. Le client Firebox géré essaie de se connecter à l’adresse IP du serveur Management Server sur le port TCP 4110. Les connexions de gestion sont autorisées à partir du serveur Management Server vers ce client Firebox géré. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la section Ajouter des périphériques gérés à Management Server. Guide de l’utilisateur 429 Périphériques et réseaux VPN dans WatchGuard System Manager Configurer un périphérique Firebox III ou Firebox X Core exécutant WFS en tant que client géré 1. Ouvrez Policy Manager pour le périphérique Firebox que vous voulez activer en tant que client géré. 2. Double-cliquez sur le service WatchGuard pour l’ouvrir et le modifier. La boîte de dialogue Modifier les propriétés du service s’affiche pour la stratégie WatchGuard. 3. Sous l’onglet Entrant, vérifiez que les connexions WatchGuard entrantes sont définies sur Activé et autorisé. 4. Dans la boîte de dialogue De, cliquez sur Ajouter. Cliquez sur Ajouter autre. 5. Vérifiez que la liste déroulante Choisir le type a bien la valeur Adresse IP de l’hôte. Dans le champ Valeur, tapez l’adresse IP de l’interface externe de la passerelle Firebox qui protège Management Server d’Internet. Si aucune passerelle Firebox ne protège Management Server d’Internet, tapez l’adresse IP statique de votre serveur Management Server. 6. Cliquez sur OK. Cliquez de nouveau sur OK. 7. Vérifiez que la boîte de dialogue À inclut une entrée Firebox ou Tout. Si le périphérique Firebox que vous souhaitez gérer a une adresse IP statique sur son interface externe, vous pouvez vous arrêter ici. Enregistrez la configuration dans Firebox. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server. Lorsque vous ajoutez ce périphérique Firebox à la configuration de Management Server, ce dernier se connecte automatiquement à l’adresse IP statique et configure le périphérique Firebox en tant que client Firebox géré. Si le périphérique Firebox que vous souhaitez gérer a une adresse IP dynamique, passez à l’étape 8. 8. Dans Policy Manager, sélectionnez Réseau > Client DVCP. 9. Activez la case à cocher Activer ce Firebox en tant que client DVCP. 10. Dans le champ Nom du système Firebox, tapez le nom du système Firebox. Le nom du système Firebox respecte la casse. Le nom que vous tapez ici doit correspondre à celui que vous tapez lorsque vous ajoutez ce périphérique Firebox à la configuration du serveur Management Server. 11. Pour envoyer des messages de journaux pour le client géré, activez la case à cocher Activer les messages du journal de débogage pour le client DVCP. (WatchGuard vous recommande d’utiliser cette option uniquement à des fins de dépannage.) 430 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager 12. Cliquez sur Ajouter pour ajouter le serveur Management Server auquel Firebox se connecte. 13. Dans la zone d’adresse Serveur DVCP, tapez l’adresse IP du serveur Management Server si celui-ci possède une adresse IP publique. Sinon, tapez l’adresse IP publique du périphérique Firebox qui protège le serveur Management Server. 14. Tapez le Secret partagé à utiliser pour se connecter à Firebox. Le secret partagé que vous tapez ici doit correspondre à celui que vous tapez lorsque vous ajoutez ce périphérique à la configuration du serveur Management Server. Un périphérique Firebox ne peut être client que d’un seul serveur Management Server. Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management Server configuré. Le périphérique Firebox qui protège le serveur Management Server est configuré à cette fin lorsque vous exécutez l’Assistant Management Server Setup Wizard. Si vous n’avez pas utilisé l’Assistant Management Server Setup Wizard sur le serveur Management Server ou si vous avez ignoré l’étape Passerelle Firebox de l’Assistant, configurez la passerelle Firebox pour qu’elle transmette les ports TCP 4110, 4112 et 4113 à l’adresse IP privée du serveur Management Server. Cliquez sur OK. Lorsque vous enregistrez la configuration sur le périphérique Firebox, celui-ci est activé en tant que client géré. Le client Firebox géré essaie de se connecter à l’adresse IP du serveur Management Server sur le port TCP 4110. Les connexions de gestion sont autorisées à partir du serveur Management Server vers ce client Firebox géré. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la section Ajouter des périphériques gérés à Management Server. Guide de l’utilisateur 431 Périphériques et réseaux VPN dans WatchGuard System Manager À propos de la configuration des produits Edge et SOHO en tant que clients gérés Vous pouvez utiliser WatchGuard Management Server pour configurer et gérer de nombreux périphériques Firebox X Edge et SOHO. Pour les périphériques Firebox X Edge, vous pouvez activer Centralized Management à l’aide de WatchGuard System Manager, autrement dit vous pouvez gérer les stratégies, mises à jour et VPN pour de nombreux périphériques Edge à partir d’un même emplacement. Quant aux périphériques Edge et SOHO, vous pouvez les utiliser en tant que points de terminaison pour les tunnels BOVPN gérés. Chaque périphérique Firebox X Edge et SOHO doit être configuré pour être géré par Management Server. Vous devez ensuite Insérer ou Ajouter les périphériques dans Management Server. Vous pouvez Importer dans Management Server un ou plusieurs périphériques Firebox X Edge ayant déjà été configurés à l’aide de l’Assistant Quick Setup. Cette procédure est la plus rapide pour configurer et ajouter un groupe de périphériques Firebox X Edge à Management Server. Vous pouvez Ajouter un périphérique Firebox X Edge déjà configuré ou installé à l’aide de l’Assistant Add Device Wizard. Vous devez configurer les valeurs pour identifier le périphérique sur Management Server. Vous ne pouvez ajouter qu’un seul périphérique à la fois. Pour obtenir un périphérique Firebox X Edge nouveau ou configuré sur les paramètres d’usine, utilisez la procédure Préparer un périphérique Firebox X Edge nouveau ou configuré sur les paramètres d’usine pour la gestion. Ensuite, importez le périphérique à l’aide de la procédure Importer des périphériques Firebox X Edge dans Management Server. Dans le cas d’un périphérique Firebox X Edge déjà installé, configurez le périphérique pour la gestion à l’aide de la procédure Préparer un périphérique Firebox X Edge installé pour la gestion. Ensuite, ajoutez le périphérique à Management Server à l’aide de la procédure Ajouter des périphériques gérés à Management Server. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la section Ajouter des périphériques gérés à Management Server. Utilisez le filtre de paquets WG-SmallOffice-Mgmt pour permettre des connexions entre Management Server et les périphériques Firebox X Edge gérés. Si vous disposez d’un autre pare-feu, assurez-vous que vous détenez une stratégie qui autorise le trafic à partir des périphériques Edge gérés sur le port TCP 4109. 432 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager Préparer un nouveau périphérique Firebox X Edge pour la gestion Pour préparer un périphérique Firebox X Edge nouveau ou configuré sur les paramètres usine par défaut à des opérations de gestion avec Management Server, vous devez pouvoir le connecter physiquement à une interface Ethernet de votre ordinateur. Pour préparer Firebox X Edge : 1. Sur l’ordinateur qui exécute WatchGuard System Manager, remplacez l’adresse IP par 192.168.111.x/ 24. 2. Démarrez WatchGuard System Manager et sélectionnez Outils > Assistant Quick Setup Wizard. L’Assistant Quick Setup Wizard démarre. 3. Lisez la page de bienvenue et cliquez sur Suivant. 4. Sélectionnez Firebox X Edge comme type de périphérique Firebox et cliquez sur Suivant. 5. Connectez l’interface réseau de votre ordinateur à un port LAN de Firebox X Edge, puis cliquez sur Suivant. Utilisez un des câbles Ethernet verts accompagnant Firebox X Edge. (Si aucun câble vert ne vous a été fourni avec Firebox X Edge, essayez le câble rouge.) 6. Suivez les instructions de la page suivante de l’Assistant pour démarrer Firebox X Edge en mode sans échec. 7. Suivez les instructions de la page de l’Assistant, puis cliquez sur Suivant. 8. Suivez les instructions des pages Patientez pendant le démarrage de Firebox et L’Assistant a détecté Firebox. Cliquez sur Suivant après chaque page. 9. Acceptez le contrat de licence et cliquez sur Suivant. 10. Configurez l’interface externe (WAN 1) Firebox X Edge. Sélectionnez DHCP, PPPoE ou Adressage IP statique, puis cliquez sur Suivant. (Pour plus d’informations sur la configuration des interfaces Edge, voir le Guide de l’utilisateur Firebox X Edge.) 11. Cliquez sur Suivant après avoir configuré l’interface. 12. Configurez l’interface interne d’Edge et cliquez sur Suivant. 13. Créez un mot de passe d’état et un mot de passe de configuration pour votre périphérique Edge et cliquez sur Suivant. Vous devez taper chaque mot de passe deux fois. Il s’agit du mot de passe utilisé par WatchGuard System Manager pour se connecter au périphérique et le configurer. 14. Tapez un nom d’utilisateur et un mot de passe pour le périphérique et cliquez sur Suivant. Vous devez taper le mot de passe deux fois. Il s’agit du nom d’utilisateur et du mot de passe que vous pouvez utiliser pour vous connecter au périphérique et le configurer à l’aide d’un navigateur Web. 15. Sélectionnez les paramètres de fuseau horaire et cliquez sur Suivant. 16. Configurez les paramètres de Management Server. Tapez l’adresse IP de la passerelle Firebox qui protège Management Server, le nom permettant d’identifier Firebox sur l’interface Management Server et la clé partagée. Cliquez sur Suivant. La clé partagée est utilisée par Management Server pour créer des tunnels VPN entre les périphériques Firebox. Vous n’avez pas à la retenir. 17. Vérifiez la configuration d’Edge et cliquez sur Suivant. 18. Pour configurer un autre périphérique Edge, activez la case à cocher. Cliquez sur Terminer. Si vous activez cette case, l’Assistant Quick Setup Wizard renseigne les champs avec les mêmes valeurs que cette configuration pour que vous puissiez facilement configurer des périphériques Edge similaires. Vous pouvez maintenant ajouter le périphérique à la configuration de votre serveur Management Server conformément à la section Ajouter des périphériques gérés à Management Server. Guide de l’utilisateur 433 Périphériques et réseaux VPN dans WatchGuard System Manager Configurer un périphérique Firebox exécutant Fireware en tant que client géré 1. Ouvrez Policy Manager pour le périphérique Firebox que vous voulez activer en tant que client géré. 2. Double-cliquez sur la stratégie WatchGuard pour l’ouvrir et la modifier. La boîte de dialogue Modifier les propriétés de stratégie s’affiche pour la stratégie WatchGuard. 3. Vérifiez que la liste déroulante Les connexions WG-Firebox-Mgmt sont a la valeur Autorisé. 4. Dans la boîte de dialogue De, cliquez sur Ajouter. Cliquez sur Ajouter autre. 5. Vérifiez que la liste déroulante Choisir le type a bien la valeur IP de l’hôte. Dans le champ Valeur, tapez l’adresse IP de l’interface externe de la passerelle Firebox ou de l’emplacement à partir duquel l’ordinateur exécute WSM. Si aucune passerelle Firebox ne protège Management Server d’Internet, tapez l’adresse IP statique de votre serveur Management Server. 6. Cliquez sur OK. Cliquez de nouveau sur OK. 434 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager 7. Vérifiez que la boîte de dialogue À inclut une entrée Firebox ou Tout. Si le périphérique Firebox que vous souhaitez gérer a une adresse IP statique sur son interface externe ou s’il est dynamique et que vous connaissez l’adresse IP actuelle, vous pouvez vous arrêter ici. Enregistrez la configuration dans Firebox. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la section Ajouter des périphériques gérés à Management Server. Lorsque vous ajoutez ce périphérique Firebox à la configuration de Management Server, ce dernier se connecte automatiquement à l’adresse IP statique et configure le périphérique Firebox en tant que client Firebox géré. Si le périphérique Firebox que vous souhaitez gérer a une adresse IP dynamique, mais que vous ne connaissez pas l’adresse IP actuelle, passez à l’étape 8. 8. Dans Policy Manager, sélectionnez VPN > Client géré. La boîte de dialogue Configuration du client géré s’affiche. 9. Pour configurer un périphérique Firebox en tant que périphérique géré, activez la case à cocher Activer ce périphérique Firebox en tant que client géré. 10. Dans le champ Nom du client, tapez le nom que vous souhaitez donner à Firebox lors de son ajout à la configuration du serveur Management Server. Ce nom respecte la casse et doit correspondre à celui que vous utilisez lorsque vous ajoutez le périphérique à la configuration du serveur Management Server. Guide de l’utilisateur 435 Périphériques et réseaux VPN dans WatchGuard System Manager 11. Pour permettre au client géré d’envoyer des messages de journaux au serveur Log Server, activez la case à cocher Activer les journaux de diagnostic. (Nous vous recommandons d’utiliser cette option uniquement à des fins de dépannage.) 12. Dans la zone d’adresse Management Server, sélectionnez l’adresse IP de Management Server s’il possède une adresse IP publique. Sinon, sélectionnez l’adresse IP publique du périphérique Firebox qui protège le serveur Management Server. Si vous devez ajouter une adresse, cliquez sur Ajouter. Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management Server configuré. Lorsque vous utilisez l’Assistant Management Server Setup Wizard, celui-ci ajoute une stratégie WG-Mgmt-Server à votre configuration pour gérer ces connexions. Si vous n’avez pas utilisé l’Assistant Management Server Setup Wizard sur le serveur Management Server ou si vous avez ignoré l’étape « Passerelle Firebox » de cet Assistant, vous devez ajouter manuellement la stratégie WG-Mgmt-Server à la configuration de votre passerelle Firebox. 13. Dans la zone Secret partagé, tapez le secret partagé. Tapez-le à nouveau pour confirmer. Le secret partagé que vous tapez ici doit correspondre à celui que vous tapez lorsque vous ajoutez le périphérique Firebox à la configuration du serveur Management Server. 14. Cliquez sur le bouton Importer et importez le fichier CA-Admin.pem en tant que certificat. Ce fichier se trouve sous \Mes documents\Mon WatchGuard\certs\[ip_firebox]. 15. Cliquez sur OK. Lorsque vous enregistrez la configuration sur le périphérique Firebox, celui-ci est activé en tant que client géré. Le client Firebox géré essaie de se connecter à l’adresse IP du serveur Management Server sur le port TCP 4110. Les connexions de gestion sont autorisées à partir du serveur Management Server vers ce client Firebox géré. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la section Ajouter des périphériques gérés à Management Server. 436 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager Préparer un périphérique Firebox X Edge installé pour la gestion 1. Pour vous connecter à la page État du système Firebox X Edge, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée d’Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Administration > Accès WSM. La page Accès à la gestion WatchGuard s’affiche. 3. Activez la case Activer la gestion à distance. 4. Dans la liste déroulante Type de gestion, sélectionnez WatchGuard Management System. 5. Pour activer la gestion centralisée d’Edge via WatchGuard System Manager, activez la case à cocher Utiliser Centralized Management. Lorsque Firebox X Edge est sous gestion centralisée, l’accès aux pages de configuration d’Edge est défini en lecture seule. La seule exception concerne l’accès à la page de configuration Accès WSM. Si vous désactivez la fonctionnalité de gestion à distance, vous retrouvez l’accès en lecture-écriture à la configuration Edge. N’activez pas la case Utiliser Centralized Management si vous utilisez WatchGuard System Manager seulement pour gérer des tunnels VPN. 6. Dans les champs appropriés, tapez un mot de passe d’état pour Firebox X Edge, puis retapez-le pour le confirmer. Guide de l’utilisateur 437 Périphériques et réseaux VPN dans WatchGuard System Manager 7. Dans les champs appropriés, tapez un mot de passe de configuration pour Firebox X Edge, puis retapez-le pour le confirmer. Ces mots de passe doivent correspondre aux mots de passe que vous utilisez lorsque vous ajoutez le périphérique à Management Server, sinon la connexion échouera. Si le périphérique Firebox X Edge que vous souhaitez gérer a une adresse IP statique sur son interface externe, vous pouvez vous arrêter ici. Enregistrez la configuration dans Firebox. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server. Lorsque vous ajoutez ce périphérique Edge à la configuration de Management Server, ce dernier se connecte automatiquement à l’adresse IP statique et configure le périphérique Edge en tant que client Firebox géré. Si le périphérique Edge que vous souhaitez gérer a une adresse IP dynamique, passez à l’étape 7. 8. Dans la zone de texte Adresse de Management Server, tapez l’adresse IP du serveur Management Server si celui-ci possède une adresse IP publique. Si le serveur Management Server a une adresse IP privée, tapez l’adresse IP publique du périphérique Firebox qui le protège. Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management Server configuré. Aucune configuration spéciale n’est nécessaire à cette fin. 9. Tapez le Nom du client pour identifier Edge dans la configuration de Management Server. Ce nom respecte la casse et doit correspondre au nom que vous utilisez pour Edge lorsque vous l’ajoutez à la configuration de Management Server. 10. Tapez la Clé partagée. La clé partagée permet de chiffrer la connexion entre le serveur Management Server et le périphérique Firebox X Edge. Cette clé partagée doit être identique sur Edge et Management Server. Vous devez vous procurer la clé partagée auprès de votre administrateur Management Server. 11. Cliquez sur Envoyer pour enregistrer la configuration dans Edge. Lorsque vous enregistrez la configuration sur le périphérique Edge, celui-ci est activé en tant que client géré. Le client Firebox géré essaie de se connecter à l’adresse IP de Management Server. Les connexions de gestion sont autorisées à partir du serveur Management Server vers ce client Firebox géré. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server en consultant la section Ajouter des périphériques gérés à Management Server. 438 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager Configurer un Firebox SOHO 6 en tant que client géré 1. Démarrez votre navigateur Web. Tapez l’adresse IP de SOHO 6. 2. Si SOHO 6 doit avoir un identifiant de connexion et un mot de passe, tapez-les. 3. Sous Administration, cliquez sur Accès à VPN Manager. La page Accès à VPN Manager s’affiche. 4. Dans le volet de navigation de gauche, sous VPN, cliquez sur Managed VPN. Activez la case Activer l’accès à VPN Manager. 5. Tapez le mot de passe d’état donnant accès à VPN Manager. Tapez à nouveau le mot de passe d’état pour le confirmer. 6. Tapez le mot de passe de configuration donnant accès à VPN Manager. Tapez à nouveau le mot de passe de configuration pour le confirmer. Si le périphérique Firebox SOHO que vous souhaitez gérer a une adresse IP statique sur son interface externe, vous pouvez vous arrêter ici. Cliquez sur Envoyer pour enregistrer votre configuration dans SOHO. Vous pouvez maintenant ajouter le périphérique à la configuration de Management Server. Lorsque vous ajoutez ce périphérique SOHO à la configuration de Management Server, ce dernier se connecte automatiquement à l’adresse IP statique et configure le périphérique SOHO en tant que client Firebox géré. Si le périphérique SOHO que vous souhaitez gérer a une adresse IP dynamique, passez à l’étape 7. 7. Activez la case Activer Managed VPN. 8. Dans la liste déroulante Mode de configuration, sélectionnez SOHO. 9. Dans la zone de texte Adresse du serveur DVCP, tapez l’adresse IP du serveur Management Server si celui-ci possède une adresse IP publique. Si le serveur Management Server a une adresse IP privée, tapez l’adresse IP publique du périphérique Firebox qui le protège. Le périphérique Firebox qui protège le serveur Management Server analyse automatiquement tous les ports utilisés par celui-ci et transmet toutes les connexions sur ces ports au serveur Management Server configuré. Aucune configuration spéciale n’est nécessaire à cette fin. 10. Tapez le Nom du client à donner à votre périphérique Firebox SOHO. Ce nom respecte la casse et doit correspondre au nom que vous attribuez au périphérique lorsque vous l’ajoutez à la configuration de Management Server. Guide de l’utilisateur 439 Périphériques et réseaux VPN dans WatchGuard System Manager 11. Dans le champ Clé partagée, tapez la clé utilisée pour chiffrer la connexion entre Management Server et le périphérique Firebox SOHO. Cette clé partagée doit être identique sur SOHO et Management Server. Vous devez vous procurer la clé partagée auprès de votre administrateur Management Server. 12. Cliquez sur Envoyer. Lorsque vous enregistrez la configuration sur le périphérique Firebox SOHO, celui-ci est activé en tant que client géré. Le client SOHO géré essaie de se connecter à l’adresse IP de Management Server. Les connexions de gestion sont autorisées à partir du serveur Management Server vers ce client SOHO géré. Vous pouvez maintenant ajouter le périphérique à la configuration du serveur Management Server en consultant la section Ajouter des périphériques gérés à Management Server. Ajouter des périphériques gérés à Management Server Vous pouvez utiliser Management Server pour gérer des périphériques Firebox, notamment des périphériques Firebox III et Firebox X Core utilisant le logiciel système WFS, des périphériques Firebox X utilisant le logiciel système Fireware, des périphériques Firebox X Edge et des périphériques Firebox SOHO. Un périphérique avec une adresse IP dynamique doit également être configuré en tant que client géré pour le périphérique à partir de Policy Manager. Pour obtenir des instructions sur cette étape, voir les sections précédentes. Si votre périphérique possède plusieurs interfaces externes, ne modifiez pas la configuration de l’interface après avoir ajouté le périphérique à Management Server. 1. Dans WatchGuard System Manager, connectez-vous à Management Server. 2. Sélectionnez Fichier > Se connecter au serveur. Sinon, sélectionnez l’onglet État du périphérique. Ou alors, cliquez avec le bouton droit dans la fenêtre et sélectionnez Se connecter à > Serveur. 3. Tapez ou sélectionnez l’adresse IP de Management Server, tapez le mot de passe de configuration, puis cliquez sur Connexion. 4. Cliquez sur l’onglet Gestion des périphériques. 440 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager 5. Sélectionnez le serveur Management Server dans la liste se trouvant dans la partie gauche de la fenêtre. La page Management Server s’affiche. 6. Sous Périphériques, dans le dossier qui correspond au type de périphérique que vous souhaitez ajouter, sélectionnez Modifier > Insérer un périphérique ou cliquez avec le bouton droit dans le cadre de gauche de cette fenêtre et sélectionnez Insérer un périphérique. L’Assistant Add Device Wizard démarre. Guide de l’utilisateur 441 Périphériques et réseaux VPN dans WatchGuard System Manager 7. Cliquez sur Suivant pour consulter le premier écran de configuration. 8. Si le périphérique est statique ou dynamique et que vous connaissez son adresse IP, tapez-la (ou tapez le nom d’hôte) avec les mots de passe d’état et de configuration. Si le périphérique a une adresse IP dynamique, mais qu’il n’utilise pas le service DNS dynamique, tapez un nom unique pour le périphérique. Le nom que vous tapez ici doit correspondre à celui que vous entrez dans Policy Manager pour ce périphérique (s’il s’agit de Firebox III, Firebox X Core ou Firebox X Peak). Si le périphérique est de type Firebox X Edge, ce nom doit correspondre à celui que vous donnez au périphérique lorsque vous l’activez en tant que client géré avec le gestionnaire de configuration Web. Si vous ne connaissez pas l’adresse IP du périphérique, cliquez sur la case d’option appropriée. Après avoir utilisé l’Assistant, vous pouvez à tout moment configurer manuellement le périphérique pour la gestion. Lorsque le périphérique est configuré pour la gestion, il contacte Management Server. 9. Cliquez sur Suivant. L’Assistant procède à la découverte de périphériques. 10. Attribuez un nom au périphérique, si vous souhaitez utiliser un autre nom que celui par défaut. Tapez le secret partagé. Le nom et le secret partagé doivent correspondre au nom que vous donnez au périphérique lorsque vous l’activez en tant que client géré. Dans la liste déroulante Type de périphérique, sélectionnez le type de périphérique. Cliquez sur Suivant. 11. Tapez les mots de passe d’état et de configuration du périphérique. Cliquez sur Suivant. 12. Authentifiez le périphérique. Cliquez sur Suivant. 13. Cliquez sur Suivant. L’écran Configurer le périphérique s’affiche. 14. Cliquez sur Suivant pour configurer le périphérique avec les nouveaux paramètres de gestion et l’ajouter à Management Server. Si le périphérique est déjà géré par un autre serveur ou déjà configuré pour être géré par ce serveur, une boîte de dialogue d’avertissement s’affiche. 15. Cliquez sur Oui pour continuer. 16. Cliquez sur Fermer pour fermer l’Assistant Add Device Wizard. Si le trafic est très dense, l’Assistant Add Device Wizard ne peut pas se connecter en raison d’un délai d’attente SSL. Réessayez ultérieurement lorsque la charge du système sera moins importante. 442 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager Définir les propriétés de gestion des périphériques Vous pouvez configurer trois catégories de propriétés de gestion Firebox : les paramètres de connexion, les préférences de tunnel IPSec et les informations de contact. Paramètres de connexion 1. Sur la page Gestion des périphériques pour un périphérique, sous Informations sur le périphérique, cliquez sur Configurer. La boîte de dialogue Propriétés du périphérique s’affiche. 2. Dans le champ Nom complet, tapez le nom du périphérique tel qu’il s’affichera dans WSM. 3. Dans la liste déroulante Type de Firebox, sélectionnez le matériel du périphérique et, le cas échéant, le logiciel système dont il est équipé. 4. Si le périphérique a une adresse IP statique, sélectionnez ou tapez l’entrée correspondant à votre périphérique dans la zone Nom d’hôte/adresse IP. Cette zone contient les adresses IP externes de tous les périphériques gérés par Management Server. Guide de l’utilisateur 443 Périphériques et réseaux VPN dans WatchGuard System Manager 5. Si le périphérique a une adresse IP dynamique, activez la case à cocher Le périphérique comporte une adresse IP externe dynamique. Dans le champ Nom du client, tapez le nom du périphérique. (Pour plus d’informations sur la façon de configurer un périphérique manuellement pour la gestion, voir À propos de la préparation des périphériques pour la gestion.) 6. Tapez les mots de passe d’état et de configuration pour le périphérique Firebox. 7. Dans le champ Secret partagé, tapez le secret partagé entre le périphérique et le serveur Management Server. 8. Utilisez les boutons fléchés en regard de la zone Durée du bail pour modifier la durée du bail du serveur Management Server. Il s’agit de l’intervalle temporel qui sépare chaque interrogation du serveur Management Server par le client géré à la recherche de mises à jour. La valeur par défaut est de 60 minutes. 444 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager Préférences du tunnel IPSec 1. Dans la boîte de dialogue Propriétés du périphérique, cliquez sur l’onglet Préférences du tunnel IPSec. 2. (Ne s’affiche pas pour Edge) Dans la liste déroulante Authentification du tunnel, sélectionnez Clé partagée ou Certificat Firebox IPSec. La seconde option utilise le certificat pour le périphérique Firebox. Pour plus d’informations sur les certificats, voir Utiliser un certificat pour l’authentification d’un tunnel BOVPN. 3. Tapez les adresses principale et secondaire des serveurs WINS et DNS si vous souhaitez que votre client géré obtienne ses paramètres WINS et DNS via le tunnel BOVPN IPSec. Sinon, ne renseignez pas ces champs. Vous pouvez également taper un suffixe de domaine dans la zone de texte Nom de domaine pour qu’un client DHCP puisse l’utiliser avec des noms non qualifiés tels que kunstler_mail. Guide de l’utilisateur 445 Périphériques et réseaux VPN dans WatchGuard System Manager Informations de contact 1. Dans la boîte de dialogue Propriétés du périphérique, sélectionnez l’onglet Informations de contact. Une liste d’informations de contact sur les périphériques distants s’affiche. 2. Pour ajouter des informations à la liste des contacts ou modifier une entrée existante, cliquez sur Liste des contacts. La liste des contacts s’affiche. 446 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager 3. Cliquez sur Ajouter ou sélectionnez une entrée à modifier ou à supprimer. La boîte de dialogue Informations de contact s’affiche. 4. Apportez les modifications nécessaires, puis cliquez sur OK. Guide de l’utilisateur 447 Périphériques et réseaux VPN dans WatchGuard System Manager Mettre à jour un périphérique 1. Sur la page de gestion des périphériques, cliquez sur Mettre à jour le périphérique. La boîte de dialogue Mettre à jour le périphérique s’affiche. 2. Activez la case à cocher Télécharger les stratégies du réseau facultatif et approuvé pour télécharger les stratégies du périphérique géré vers le serveur Management Server pour les réseaux approuvé et facultatif. Nous vous recommandons d’activer cette case pour vous assurer que vous disposez des dernières stratégies lorsque vous modifiez la configuration du périphérique alors que vous ne vous êtes pas connecté à ce dernier depuis un certain temps. 3. Si le périphérique ne reçoit pas la mise à jour, actualisez la configuration de Management Server : activez la case à cocher Rétablir la configuration du serveur pour actualiser l’adresse IP, le nom d’hôte, le secret partagé et la durée du bail de Management Server. Si vous avez modifié les propriétés du périphérique, veillez à activer cette case. 4. Activez la case Mettre fin au bail pour mettre fin au bail de Management Server pour le client géré et télécharger toutes les modifications apportées à la configuration ou au VPN. 5. (Ne s’affiche pas pour Edge) Activez la case Émettre/Réémettre un certificat IPSec de Firebox et le certificat de l’autorité de certification pour émettre ou réémettre le certificat IPSec pour Firebox et le certificat de l’autorité de certification. 6. Cliquez sur OK. Supprimer un périphérique Pour supprimer un périphérique de sorte qu’il ne soit plus géré par le serveur Management Server et qu’il n’apparaisse plus dans la fenêtre de Management Server : 1. Sur le côté gauche de la fenêtre du serveur Management Server, cliquez sur l’icône du périphérique que vous souhaitez supprimer, puis sélectionnez Modifier > Supprimer. 2. Dans la boîte de dialogue de confirmation, cliquez sur Oui. 3. Accédez à Policy Manager pour ce périphérique, sélectionnez VPN > Client géré, puis désactivez la case Activer ce périphérique Firebox en tant que client géré. 448 WatchGuard System Manager Périphériques et réseaux VPN dans WatchGuard System Manager Démarrer les outils Firebox et Edge L’onglet Gestion des périphériques vous permet de démarrer d’autres outils de configuration et d’analyse des périphériques. Pour les périphériques Firebox, vous pouvez démarrer : Policy Manager Firebox System Manager HostWatch Ping Pour les périphériques Edge, vous pouvez démarrer : Edge Web Manager (Firebox X Edge uniquement). Utilisez Internet Explorer 6.0 ou une version ultérieure. Ce lien permet un accès Web sécurisé à l’interface utilisateur Web du périphérique sans avoir à ouvrir aucun de ses ports. Policy Manager (SOHO 6 uniquement) Firebox System Manager HostWatch Ping Tunnels VPN Dans la section Tunnels, vous pouvez consulter tous les tunnels incluant le périphérique. Dans cette section, vous pouvez également ajouter un tunnel VPN. 1. Sur la page de gestion de Firebox X Edge ou de SOHO, accédez à la section Tunnels VPN. Cette section présente tous les tunnels dans lesquels ce périphérique est un point de terminaison VPN. 2. Cliquez sur Ajouter pour ajouter un tunnel VPN. L’Assistant Add VPN wizard démarre. Configurez le VPN selon vos besoins. Pour plus d’informations sur l’Assistant Add VPN wizard, voir Créer des tunnels gérés entre les périphériques. Guide de l’utilisateur 449 Périphériques et réseaux VPN dans WatchGuard System Manager Ajouter une ressource VPN Pour un VPN, vous pouvez configurer (et leur imposer des limites) les réseaux disposant d’un accès via le tunnel. Vous pouvez créer un VPN entre des hôtes ou des réseaux. Pour configurer les réseaux disponibles via un périphérique VPN donné, définissez des ressources VPN. L’onglet Gestion des périphériques répertorie les ressources VPN actuellement définies. Pour ajouter d’autres ressources VPN, voir Ajouter des ressources VPN. Configurer les paramètres réseau (périphériques Edge uniquement) Avec WatchGuard Management Server, vous pouvez configurer les paramètres réseau d’un groupe de périphériques Firebox X Edge. Vous pouvez utiliser WatchGuard System Manager pour configurer les paramètres réseau uniques de chaque Firebox X Edge. Notez que cette procédure charge les paramètres réseau actuels du périphérique Edge et permet sa gestion centrale. Tous les paramètres réseau de Firebox X Edge peuvent être configurés à l’aide de l’interface Web Edge. Pour plus d’informations sur ces options de configuration, voir l’aide ou la documentation de Firebox X Edge. 1. Sélectionnez l’onglet Gestion des périphériques de WatchGuard System Manager. 2. Sous Périphériques, développez le dossier Systèmes Edge et sélectionnez un périphérique Firebox X Edge. La configuration d’Edge apparaît dans le volet droit. 3. Sous Paramètres réseau, cliquez sur Configurer. La boîte de dialogue Paramètres réseau s’affiche. 4. Pour configurer les paramètres réseau, cliquez sur chaque catégorie de paramètres dans le volet gauche de la boîte de dialogue et renseignez les champs qui apparaissent. Pour plus d’informations sur ces champs et leur configuration, voir la documentation de Firebox X Edge. Utiliser la section de stratégie de Firebox X Edge La page de gestion d’un périphérique SOHO 6 ne contient pas de section Stratégie. Cette section présente le modèle de configuration Edge auquel ce périphérique Firebox X Edge est abonné. Si aucun modèle n’est appliqué, vous pouvez faire glisser le périphérique vers un des modèles de configuration Edge. Vous pouvez utiliser le lien Configurer de cette section pour configurer un modèle de configuration Edge existant. Pour plus d’informations sur les modèles de configuration Edge, voir Créer et appliquer des modèles de configuration Edge. 450 WatchGuard System Manager 19 Firebox X Edge - Centralized Management À propos d’Edge Centralized Management Un périphérique Firebox X Edge peut être configuré pour la gestion centralisée. WatchGuard System Manager peut alors être utilisé à la place des pages de configuration des périphériques Edge individuels pour gérer et configurer les périphériques Edge. WatchGuard System Manager propose différentes fonctionnalités spécifiques à la gestion centralisée des périphériques Firebox X Edge. Vous pouvez facilement gérer de nombreux périphériques Edge, modifier la stratégie de sécurité de plusieurs périphériques Edge simultanément, tout en conservant un contrôle individuel sur la configuration de chaque périphérique Edge. Avec Management Server, vous pouvez également effectuer les tâches suivantes : Gérer les mises à jour du microprogramme Firebox X Edge. Ces mises à jour peuvent être planifiées et installées par Management Server. Créer des modèles de configuration Edge, qui sont des jeux de paramètres de configuration s’appliquant à un groupe de périphériques Firebox X Edge. Vous créez un modèle de configuration sur Management Server et l’installez sur plusieurs périphériques Firebox X Edge. Si vous modifiez la configuration, celle-ci est automatiquement mise à jour sur tous les périphériques Firebox X Edge qui l’appliquent. Utiliser des alias afin de définir une destination commune pour la configuration de stratégies sur des périphériques Firebox X Edge individuels. Vous pouvez également gérer des périphériques Firebox SOHO 6 et SOHO 5 à partir de WatchGuard System Manager, mais vous ne pouvez pas les configurer pour la gestion centralisée. Vous ne pouvez pas créer de modèles de configuration pour les périphériques Firebox SOHO. Cette section de rubriques décrit comment utiliser WatchGuard System Manager pour gérer les périphériques Firebox X Edge, mais elle ne décrit pas les paramètres de configuration Edge individuels. Pour obtenir des informations détaillées sur la configuration des périphériques Firebox X Edge, consultez la documentation de Firebox X Edge. Guide de l’utilisateur 451 Firebox X Edge - Centralized Management Planifier les mises à jour du microprogramme Firebox X Edge Les mises à jour du microprogramme des périphériques Firebox X Edge doivent être installées sur Management Server. Vous pouvez ensuite mettre à jour en une seule opération le microprogramme de groupes de périphériques Edge, soit immédiatement, soit à un moment que vous aurez planifié. L’état actuel des mises à jour du microprogramme est indiqué dans la section État de la mise à jour du microprogramme de l’onglet Gestion des périphériques. Vous pouvez obtenir les mises à jour du microprogramme via LiveSecurity. Vous pouvez télécharger les mises à jour du microprogramme Edge à chaque mise à jour du logiciel WSM. 1. Sous l’onglet Gestion des périphériques de WatchGuard System Manager, sélectionnez Management Server. La page Paramètres de Management Server s’affiche. 2. Recherchez la section État de la mise à jour du microprogramme à droite. Les mises à jour planifiées du microprogramme sont indiquées ici. 3. Cliquez sur Planifier la mise à jour du microprogramme. L’Assistant Update Firmware wizard démarre. 4. Lisez l’écran de bienvenue, puis cliquez sur Suivant. 452 WatchGuard System Manager Firebox X Edge - Centralized Management 5. Sélectionnez le type de périphérique dans la liste, puis cliquez sur Suivant. Dans cette version de WatchGuard System Manager, les seuls types de périphériques que vous pouvez sélectionner sont Firebox X Edge et Firebox X Edge e-Series. 6. Activez la case à cocher en regard de chaque périphérique Firebox X Edge à mettre à jour. Cliquez sur Suivant. 7. Sélectionnez la version du microprogramme à utiliser. Cliquez sur Suivant. La page Sélectionner l’heure et la date s’affiche. 8. Pour mettre immédiatement à jour le microprogramme, sélectionnez Mettre immédiatement à jour le microprogramme. Pour planifier la mise à jour à une heure ultérieure, sélectionnez Planifier la mise à jour du microprogramme. 9. Si vous avez sélectionné Planifier la mise à jour du microprogramme, sélectionnez la date dans le champ Date et définissez l’heure dans le champ Heure. 10. Cliquez sur Suivant. 11. Cliquez sur Suivant. Cliquez sur Fermer. Le microprogramme est mis à jour si vous avez sélectionné Mettre immédiatement à jour le microprogramme ou sa mise à jour est planifiée si vous avez sélectionné Planifier la mise à jour du microprogramme. Guide de l’utilisateur 453 Firebox X Edge - Centralized Management Afficher et supprimer des mises à jour de microprogramme Sous l’onglet Gestion des périphériques, cliquez sur Mises à jour du microprogramme planifiées. La page Mises à jour du microprogramme planifiées s’affiche. Toutes les mises à jour planifiées du microprogramme sont affichées. Ces mises à jour sont affichées distinctement pour chaque périphérique, même si plusieurs périphériques ont fait l’objet d’une même mise à jour du microprogramme. Ainsi, lorsque vous sélectionnez un périphérique, tous les périphériques inclus dans cette mise à jour planifiée du microprogramme sont également sélectionnés. 454 Pour supprimer une mise à jour planifiée du microprogramme, cliquez avec le bouton droit sur un périphérique, puis sélectionnez Supprimer la mise à jour planifiée. Tous les périphériques inclus dans cette tâche de mise à jour du microprogramme sont supprimés de la planification. Pour annuler une mise à jour planifiée du microprogramme, cliquez avec le bouton droit sur un périphérique, puis sélectionnez Annuler la mise à jour planifiée. La tâche est conservée dans la planification, mais elle prend le statut Annulé. Pour ajouter une mise à jour planifiée du microprogramme, cliquez sur Ajouter. Vous pouvez également cliquer avec le bouton droit et sélectionner Ajouter la mise à jour planifiée. L’Assistant Update Firmware wizard démarre. WatchGuard System Manager Firebox X Edge - Centralized Management Créer et appliquer des modèles de configuration Edge Un modèle de configuration Edge est un ensemble de paramètres de configuration qui peuvent être utilisés par plusieurs périphériques Edge. Si vous utilisez des périphériques Firebox X Edge avec WatchGuard Management Server, vous pouvez créer des modèles de configuration Edge sur Management Server, puis les appliquer aux périphériques Edge. Les modèles de configuration Edge facilitent la configuration de filtres de pare-feu standard, de même que la modification de la liste des sites bloqués, de votre configuration WebBlocker ou des autres paramètres de stratégie d’un ou de plusieurs périphériques Edge gérés. Les restrictions suivantes s’appliquent aux modèles de configuration Edge : Les modèles de configuration Edge ne peuvent être utilisés qu’avec Firebox X Edge. Chaque périphérique Edge ne peut avoir qu’un seul modèle de configuration Edge. La version 7.5 ou ultérieure du microprogramme doit être installée sur Edge pour qu’il puisse utiliser les modèles de configuration Edge. Vous devez utiliser des modèles distincts pour les périphériques Edge qui exécutent les versions 7.5, 8.0, 8.5, 8.6 ou 10.0 du microprogramme. Vous pouvez à tout moment modifier un modèle de configuration Edge ou la liste des périphériques auxquels la stratégie est appliquée. Management Server apporte automatiquement ces modifications. 1. Démarrez WatchGuard System Manager et connectez-vous à Management Server. 2. Cliquez sur l’onglet Gestion des périphériques. Vous pouvez développer la liste des modèles de configuration Edge de manière à afficher tous les modèles de configuration Edge qui ont été créés. Si vous n’avez créé aucun modèle de configuration Edge, cette liste est vide. 3. Cliquez avec le bouton droit sur l’en-tête Modèles de configuration Edge. 4. Sélectionnez Insérer le modèle de configuration Edge. La boîte de dialogue Version du produit s’affiche. Guide de l’utilisateur 455 Firebox X Edge - Centralized Management 5. Sélectionnez la gamme et la version du produit dans la liste déroulante. Cliquez sur OK. La fenêtre Configuration Edge : Modèle Edge s’affiche. 6. Tapez un nom pour le modèle. 7. Pour configurer la stratégie, cliquez sur chaque catégorie de paramètres dans le volet de gauche de la boîte de dialogue, puis tapez les informations dans les champs qui s’affichent. Les catégories répertoriées dépendent de la version du périphérique Edge pour lequel vous définissez le modèle. Pour plus d’informations sur les champs qui s’affichent, consultez le Guide de l’utilisateur Firebox X Edge e-Series. 8. Cliquez sur OK pour fermer le modèle de configuration Edge. Le modèle est enregistré sur Management Server et une mise à jour est envoyée à tous les périphériques Firebox X Edge auxquels ce modèle s’applique. 456 WatchGuard System Manager Firebox X Edge - Centralized Management Ajouter une stratégie prédéfinie à l’aide de l’Assistant Add Policy wizard 1. Sous l’onglet Gestion des périphériques à gauche de l’écran, cliquez avec le bouton droit sur Modèles de configuration Edge et sélectionnez Insérer le modèle de configuration Edge. La boîte de dialogue Version du produit s’affiche. 2. Sélectionnez la gamme et la version du produit dans la liste déroulante. Cliquez sur OK. La fenêtre Configuration Edge : Modèle Edge s’affiche. 3. Sur la gauche du modèle, sélectionnez Stratégies de pare-feu, puis cliquez sur Ajouter. L’Assistant Add Policy wizard démarre. 4. La page de bienvenue s’affiche. Cliquez sur Suivant. La page Sélectionner un type de stratégie s’affiche. 5. Pour utiliser une stratégie prédéfinie, sélectionnez Choisir une stratégie prédéfinie dans la liste, puis sélectionnez la stratégie à utiliser dans la liste. 6. Cliquez sur Suivant. 7. Si vous utilisez une stratégie prédéfinie, sélectionnez la direction du trafic. 8. Choisissez de refuser ou d’autoriser le trafic pour cette stratégie et cette direction. Les zones De et À définissent les sources et les destinations de la stratégie. Si vous devez ajouter une nouvelle ressource, cliquez sur Ajouter sous les zones De ou À et ajoutez les informations requises. Guide de l’utilisateur 457 Firebox X Edge - Centralized Management Ajouter une stratégie personnalisée à l’aide de l’Assistant Add Policy wizard 1. Démarrez l’Assistant Add Policy wizard. Pour ce faire, dans la page Stratégies de pare-feu, cliquez sur Ajouter dans la boîte de dialogue Configuration Edge. 2. La page de bienvenue s’affiche. Cliquez sur Suivant. 3. Pour créer et utiliser une stratégie personnalisée, sélectionnez Créer et utiliser une nouvelle stratégie personnalisée. 4. Cliquez sur Suivant. La page Spécifier les protocoles s’affiche. 5. Tapez un nom de protocole. 6. Pour ajouter un protocole, cliquez sur Ajouter. La boîte de dialogue Ajouter protocole s’affiche. 7. Filtrez le protocole TCP, UDP ou IP. 8. Sélectionnez un port ou une plage de ports. 9. Tapez le ou les numéros de ports, ou le numéro du protocole IP. Cliquez sur OK pour ajouter le protocole. 10. Cliquez sur Ajouter pour ajouter un autre protocole. Cliquez sur Suivant une fois tous les protocoles de la stratégie ajoutés. 11. Sélectionnez la direction du trafic. Sélectionnez Entrant, Sortant ou Facultatif. 12. Sélectionnez Autoriser ou Refuser pour l’action de filtre. Si l’action est Autoriser, ajoutez les destinations De et À requises. 13. Cliquez sur Suivant. 14. Cliquez sur Terminer pour terminer l’Assistant et revenir à la boîte de dialogue Configuration Edge. 458 WatchGuard System Manager Firebox X Edge - Centralized Management Cloner un modèle de configuration Edge Cloner (copier) un modèle peut s’avérer utile lorsque plusieurs périphériques utilisent des configurations similaires ne présentant que quelques variations mineures. Vous pouvez créer un modèle de configuration Edge, cloner cette stratégie pour chaque variation et apporter des modifications aux modèles clonés. 1. Développez Modèles de configuration Edge dans le volet Gestion des périphériques. 2. Cliquez avec le bouton droit sur le modèle de configuration Edge à cloner, puis sélectionnez Cloner. Une copie du modèle de configuration Edge s’affiche dans la liste des modèles. 3. Modifiez la stratégie clonée. Appliquer les modèles de configuration Edge aux périphériques Vous pouvez appliquer un modèle de configuration Edge à autant de périphériques Firebox X Edge que vous le souhaitez. Par contre, vous ne pouvez pas appliquer plus d’un modèle de configuration Edge au même périphérique Edge. Application du modèle par glisser-déplacer Vous pouvez ajouter un modèle de configuration Edge à un périphérique Firebox X Edge par glisser-déplacer. Cliquez sur le périphérique Edge dans la liste des périphériques, puis faites-le glisser sur le modèle de configuration Edge dans la liste des modèles de configuration Edge, et déposez-le sur la stratégie. Vous pouvez également faire glisser un modèle et le déposer sur un périphérique. La stratégie est alors ajoutée au périphérique Edge. Si vous avez un dossier regroupant des périphériques, vous pouvez faire glisser ce dossier sur le modèle de configuration Edge de manière à appliquer ce modèle à tous les périphériques Edge présents dans le dossier. Tous les autres périphériques sont ignorés. Guide de l’utilisateur 459 Firebox X Edge - Centralized Management Application de la stratégie aux périphériques répertoriés dans la liste de périphériques 1. Sous l’onglet Gestion des périphériques de WatchGuard System Manager, développez la liste des modèles de configuration Edge. 2. Sélectionnez le modèle à ajouter à un périphérique. Le modèle s’affiche dans le cadre de droite de la fenêtre. 3. Cliquez sur le lien Configurer sous la section Périphériques. La boîte de dialogue Gérer la liste de périphériques s’affiche. 460 WatchGuard System Manager Firebox X Edge - Centralized Management 4. Cliquez sur Ajouter. La boîte de dialogue Sélectionner des périphériques s’affiche. 5. Sélectionnez un ou plusieurs périphériques dans la liste. 6. Cliquez sur OK. Cliquez de nouveau sur OK. Les périphériques gérés sélectionnés appliquent le modèle de configuration Edge. Supprimer un périphérique Edge de la liste de périphériques 1. Pour supprimer un périphérique Edge de la liste de périphériques, sous l’onglet Gestion des périphériques de WatchGuard System Manager, développez la liste des modèles de configuration Edge. 2. Cliquez sur le lien Configurer sous la section Périphériques. La boîte de dialogue Gérer la liste de périphériques s’affiche. 3. Sélectionnez le périphérique à supprimer, puis cliquez sur Supprimer. Le périphérique est supprimé de la liste et de la gestion centralisée par WSM. Guide de l’utilisateur 461 Firebox X Edge - Centralized Management À propos des alias et des périphériques Edge Les alias sont utilisés avec les périphériques Firebox X Edge gérés afin de définir une destination commune pour une configuration de stratégie sur Management Server. Ainsi, les alias vous permettent par exemple de créer un modèle de configuration Edge pour un serveur de messagerie et de définir que cette stratégie doit s’appliquer à votre serveur de messagerie. Dans la mesure où le serveur de messagerie peut avoir une adresse IP différente sur chaque réseau Firebox X Edge, vous créez un alias nommé ServeurMessagerie sur Management Server. Lorsque vous créez le modèle de configuration Edge pour le serveur de messagerie, vous utilisez cet alias comme destination. Vous définissez ensuite cet alias comme source ou destination, selon la direction de la stratégie. Dans cet exemple, vous pouvez configurer une stratégie autorisant le flux SMTP entrant avec ServeurMessagerie comme destination. Pour faire en sorte que le modèle de configuration Edge fonctionne correctement sur les périphériques Edge qui utilisent cette stratégie, vous devez configurer l’alias ServeurMessagerie dans les paramètres réseau de chaque périphérique Firebox X Edge. La configuration des alias est réalisée en deux étapes : Donner des noms aux alias Définir des alias sur un périphérique Firebox X Edge Donner des noms aux alias 1. Sous l’onglet Gestion des périphériques de WatchGuard System Manager, sélectionnez Management Server. La page Paramètres de Management Server s’affiche. 462 WatchGuard System Manager Firebox X Edge - Centralized Management 2. Cliquez sur Gérer les alias. La boîte de dialogue Alias s’affiche. 3. 4. 5. 6. Sélectionnez un alias, puis cliquez sur Modifier pour modifier son nom. Tapez le nom de l’alias, puis cliquez sur OK. Répétez cette procédure pour tous les alias à définir. Cliquez sur OK une fois tous les alias configurés. Guide de l’utilisateur 463 Firebox X Edge - Centralized Management Définir des alias sur un périphérique Firebox X Edge 1. Sous l’onglet Gestion des périphériques de WatchGuard System Manager, sélectionnez un périphérique Firebox X Edge. La page Paramètres de Management Server s’affiche. 2. Cliquez sur Configurer sous la section Paramètres réseau. La boîte de dialogue Paramètres réseau s’affiche. 464 WatchGuard System Manager Firebox X Edge - Centralized Management 3. Cliquez sur Alias. Les alias s’affichent. Les alias que vous avez nommés sur Management Server s’affichent avec ces noms dans cette boîte de dialogue. 4. Sélectionnez un alias à définir, puis cliquez sur Modifier. La boîte de dialogue Configuration de l’alias local apparaît. 5. Tapez l’adresse IP de l’alias local sur le réseau de ce périphérique Firebox X Edge. Cliquez sur OK. 6. Répétez cette procédure pour chaque alias à définir. 7. Cliquez sur OK après avoir défini tous les alias nécessaires. Guide de l’utilisateur 465 Firebox X Edge - Centralized Management 466 WatchGuard System Manager 20 Tunnels BOVPN gérés À propos des tunnels BOVPN gérés Un réseau privé virtuel (VPN, Virtual Private Network) crée des connexions sécurisées entre des ordinateurs ou des réseaux situés à des emplacements différents. Chaque connexion est appelée un tunnel. Lorsqu’un tunnel VPN est créé, les deux points de terminaison du tunnel sont authentifiés. Les données du tunnel sont chiffrées. Seuls l’expéditeur et le destinataire du message peuvent les lire. Les réseaux BOVPN permettent aux entreprises de fournir une connectivité sécurisée et chiffrée entre des agences séparées géographiquement. Les réseaux et les hôtes d’un tunnel VPN peuvent être des sièges sociaux, des succursales, des utilisateurs distants ou des télétravailleurs. Ces communications contiennent souvent les types de données critiques échangées à l’intérieur du pare-feu de l’entreprise. Dans ce scénario, un réseau BOVPN fournit des connexions confidentielles entre ces bureaux, ce qui rationalise la communication, réduit le coût des lignes dédiées et préserve la sécurité à chaque extrémité. WatchGuard System Manager vous permet de créer en quelques minutes des tunnels IPSec qui utilisent l’authentification et le chiffrement. Vous avez la garantie que ces tunnels fonctionneront avec d’autres tunnels et stratégies de sécurité. Ces tunnels s’appellent des tunnels BOVPN gérés. Les tunnels BOVPN manuels constituent un autre type de tunnel BOVPN que vous pouvez définir à l’aide de boîtes de dialogue. Pour plus d’informations sur ce type de tunnel, voir À propos des tunnels BOVPN manuels. Guide de l’utilisateur 467 Tunnels BOVPN gérés Comment créer un tunnel BOVPN géré La procédure de base pour créer un tunnel manuel entre des périphériques est très facile. Elle nécessite la fonction glisser-déplacer et un simple Assistant, tel qu’indiqué dans Créer des tunnels gérés entre les périphériques. Toutefois, vous ne devez pas oublier d’effectuer les procédures suivantes avant de créer des tunnels gérés : 1. Configurez WatchGuard Management Server et une autorité de certification, tel qu’indiqué dans Configurer Management Server et Configurer l’autorité de certification sur Management Server. 2. Ajoutez à Management Server les périphériques Firebox ou Firebox X Edge qui seront les points de terminaison du tunnel, tel que décrit dans Ajouter des périphériques gérés à Management Server. Si un de ces périphériques est un périphérique dynamique, il doit être configuré en tant que client géré, tel que décrit dans À propos de la préparation des périphériques pour la gestion. Comme WSM ne peut pas entrer en contact avec des périphériques dynamiques, il ne met pas à jour les ressources automatiquement. Vous devez par conséquent télécharger les ressources actuelles du périphérique dynamique ou ajouter les réseaux derrière le périphérique dynamique en tant que ressources VPN, tel que décrit dans Ajouter des ressources VPN. Options de tunnel Vous disposez de plusieurs options pour personnaliser des tunnels VPN gérés : Si le réseau approuvé derrière l’un des périphériques comporte de nombreux réseaux routés ou secondaires que vous souhaitez autoriser à transiter par le tunnel, vous pouvez les ajouter manuellement en tant que ressources VPN du périphérique, tel que décrit dans Ajouter des ressources VPN. Si vous souhaitez restreindre les types de trafic que vous autorisez à transiter par le réseau BOVPN géré ou qui envoient des messages de journal à Log Server, vous devez utiliser un modèle de stratégie de pare-feu VPN. Vous pouvez également utiliser un modèle déjà défini sur Management Server. Pour plus d’informations, voir Ajouter des modèles de stratégie de pare-feu VPN. L’Assistant qui permet de créer des tunnels BOVPN gérés vous propose de choisir entre plusieurs paramètres associés aux types de chiffrement disponibles. Ces paramètres sont compatibles avec la plupart des tunnels. Cependant, si votre réseau nécessite une configuration spéciale, vous pouvez créer vos propres paramètres, tel que décrit dans Ajouter des modèles de sécurité. Basculement VPN Le basculement VPN, décrit dans Configurer le basculement VPN, est pris en charge par les tunnels BOVPN gérés. Si vous appliquez une configuration Multi-WAN et créez des tunnels gérés, WSM configure automatiquement des paires de passerelles qui incluent des interfaces externes à chaque extrémité du tunnel. Aucune autre configuration n’est nécessaire. 468 WatchGuard System Manager Tunnels BOVPN gérés Paramètres VPN globaux Les paramètres VPN globaux de Firebox s’appliquent aux tunnels BOVPN manuels, aux tunnels gérés et aux tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour : activer le transit IPSec ; désactiver ou conserver les paramètres des paquets contenant des bits de type de service (TOS) définis ; utiliser un serveur LDAP pour vérifier les certificats ; forcer Firebox à envoyer une notification lorsqu’un tunnel BOVPN est défectueux (uniquement les tunnels BOVPN). Pour modifier ces paramètres, dans Policy Manager, sélectionnez VPN > Paramètres VPN. Pour plus d’informations sur ces paramètres, voir À propos des paramètres globaux VPN. État du tunnel BOVPN Firebox System Manager vous permet de consulter l’état actuel des tunnels BOVPN. Ces informations figurent également sous l’onglet État du périphérique de WatchGuard System Manager. Pour plus d’informations, voir État des tunnels VPN et services de sécurité. Renouveler la clé des tunnels BOVPN Firebox System Manager vous permet de générer immédiatement de nouvelles clés pour les tunnels BOVPN au lieu d’attendre leur expiration. Pour plus d’informations, voir Renouveler la clé des tunnels BOVPN. Ajouter des ressources VPN Une ressource VPN est un réseau autorisé à se connecter par le biais d’un tunnel VPN donné. Si un périphérique de terminaison VPN possède une adresse IP statique, tous les réseaux approuvés derrière ce périphérique sont automatiquement autorisés à se connecter. Management Server crée une ressource VPN par défaut pour le périphérique qui inclut tous les réseaux approuvés. Cependant, si le réseau approuvé derrière un périphérique contient de nombreux réseaux routés ou secondaires que vous souhaitez autoriser à transiter par le tunnel, vous devez les ajouter manuellement en tant que ressources VPN du périphérique. Si un périphérique de terminaison possède une adresse IP dynamique, vous devez récupérer ses ressources actuelles, tel qu’indiqué ci-dessous, ou ajouter les réseaux derrière ce périphérique en tant que ressources VPN. Management Server ne crée pas automatiquement de ressources VPN à leur intention. Guide de l’utilisateur 469 Tunnels BOVPN gérés Récupérer les ressources actuelles d’un périphérique Si un périphérique de terminaison possède une adresse IP dynamique, récupérez les stratégies qui s’appliquent déjà aux réseaux situés derrière ce périphérique. Vous pouvez aussi ignorer cette procédure et ajouter à la place les réseaux en tant que ressources VPN. 1. Dans WatchGuard System Manager, sous l’onglet Gestion des périphériques, sélectionnez un périphérique géré, puis sélectionnez Modifier > Mettre à jour le périphérique. La boîte de dialogue Mettre à jour le périphérique s’affiche. 2. Activez la case à cocher Télécharger les stratégies du réseau facultatif et approuvé. 3. Cliquez sur OK. Créer une ressource VPN Pour créer une ressource VPN, sous l’onglet Gestion des périphériques : 1. Sélectionnez le périphérique pour lequel vous souhaitez configurer une ressource VPN et cliquez sur . Ou, cliquez avec le bouton droit sur le périphérique et sélectionnez Insérer une ressource VPN. La boîte de dialogue Ressource VPN du périphérique s’affiche. 470 WatchGuard System Manager Tunnels BOVPN gérés 2. Renseignez la zone Nom de la stratégie. Ce nom s’affiche dans la fenêtre Gestion des périphériques et dans l’Assistant Add VPN Wizard. 3. Si vous souhaitez créer une ressource VPN pour un périphérique Firebox X Core, Firebox X Peak ou WFS, le champ Disposition s’affiche. Dans la liste déroulante Disposition, sélectionnez les options suivantes : sécuriser Chiffre le trafic vers et à partir de cette ressource. Il s’agit de l’option la plus couramment utilisée. ignorer Achemine le trafic en texte clair. Vous pouvez utiliser cette option si Firebox est en mode d’insertion et que le tunnel achemine le trafic vers le réseau d’insertion. Dans ce cas, l’adresse IP d’insertion doit être ignorée mais pas bloquée sinon le tunnel ne peut pas négocier. bloquer N’autorise pas le trafic à transiter par le réseau VPN. Vous pouvez activer cette option pour interdire à une ou plusieurs adresses IP d’utiliser un réseau VPN qui autorise l’accès à un sousréseau complet, mais uniquement si vous bénéficiez d’une priorité supérieure au sous-réseau complet. Si vous souhaitez créer une ressource VPN pour Firebox X Edge, le champ Disposition ne s’affiche pas car seule l’option sécuriser est prise en charge. 4. Ajouter, modifier ou supprimer des ressources. Cliquez sur Ajouter pour ajouter une adresse IP ou une adresse réseau. Cliquez sur Modifier pour modifier une ressource sélectionnée dans la liste. Sélectionnez une ressource dans la liste Ressources, puis cliquez sur Supprimer pour la supprimer. 5. Cliquez sur OK. Ajouter un hôte ou un réseau 1. Dans la boîte de dialogue Ressource VPN, cliquez sur Ajouter. La boîte de dialogue Ressource s’affiche. 2. Dans la liste déroulante Autoriser vers/à partir de, sélectionnez le type de ressource, puis tapez l’adresse IP ou réseau dans la zone d’adresse adjacente. 3. Cliquez sur OK. Guide de l’utilisateur 471 Tunnels BOVPN gérés Ajouter des modèles de stratégie de pare-feu VPN Les modèles de stratégie de pare-feu VPN permettent de créer un ensemble d’une ou plusieurs stratégies de pare-feu bidirectionnelles qui restreignent le type de trafic transitant par un réseau VPN. Notez que les modèles de stratégie ne prennent pas en charge les stratégies de proxy. Si vous appliquez la stratégie de pare-feu VPN par défaut « Tout », un message du journal est généré pour tout trafic qui passe par le tunnel VPN géré. Si vous souhaitez contrôler le type de trafic consigné dans les journaux, vous devez créer votre propre modèle de stratégie de pare-feu VPN et activer la case à cocher Activer la journalisation pour ce trafic. Vous ne pouvez pas désactiver la journalisation de la stratégie de pare-feu VPN par défaut « Tout » ni la modifier en aucune façon. 1. Dans la partie gauche (l’arborescence) de l’onglet Gestion des périphériques, développez VPN gérés et cliquez sur Modèles de stratégie de pare-feu VPN. Une liste de modèles de stratégie définis actuellement, s’ils existent, s’affiche à droite de l’écran. 2. Dans le coin supérieur droit de l’écran, cliquez sur Ajouter. La boîte de dialogue Modèle de stratégie de pare-feu VPN s’affiche. 3. Dans le champ Nom, tapez un nom pour le modèle de stratégie. Ce nom s’affiche dans l’arborescence Gestion des périphériques et dans l’Assistant Add VPN Wizard. 4. Pour ajouter une stratégie au modèle, cliquez sur Ajouter. L’Assistant Add Policy Wizard démarre. 5. Faites votre sélection dans une liste de stratégies prédéfinies ou créez une stratégie personnalisée. Si vous choisissez de créer une stratégie personnalisée, dans l’écran suivant de l’Assistant, tapez un nom et sélectionnez un port et un protocole pour la stratégie. 6. Après avoir ajouté la stratégie, vous pouvez répéter la procédure pour ajouter des stratégies supplémentaires, le cas échéant. Cliquez sur OK lorsque vous avez terminé. 472 WatchGuard System Manager Tunnels BOVPN gérés Ajouter des modèles de sécurité Un modèle de sécurité est un ensemble d’informations de configuration utilisé lors de la création de tunnels. Lorsque vous appliquez des modèles de sécurité, vous n’avez pas besoin de créer des paramètres individuellement chaque fois que vous créez un tunnel. Ces modèles incluent des paramètres de phase 1 et de phase 2. Pour plus d’informations sur ces paramètres, voir Configurer le mode et les transformations (paramètres de phase 1) et Configurer les paramètres de phase 2. Des modèles de sécurité par défaut sont fournis pour les types de chiffrement disponibles. Vous pouvez vous servir de ces paramètres pour créer des tunnels sécurisés qui fonctionnent correctement avec la plupart des réseaux. Cependant, si votre réseau nécessite une configuration spéciale, vous pouvez modifier les modèles existants ou en créer de nouveaux. Pour créer un modèle de sécurité : 1. Sous l’onglet Gestion des périphériques, cliquez avec le bouton droit dans la fenêtre, puis sélectionnez Insérer un modèle de sécurité ou cliquez sur l’icône Insérer un modèle de sécurité . La boîte de dialogue Modèle de sécurité s’affiche. 2. Renseignez la zone Nom du modèle. Ce nom s’affiche dans l’arborescence Gestion des périphériques et dans l’Assistant Add VPN Wizard. Guide de l’utilisateur 473 Tunnels BOVPN gérés 3. Cliquez sur l’onglet Paramètres de phase 1. 4. Pour que Firebox envoie des messages à son pair IKE pour garder le tunnel VPN ouvert, activez la case à cocher Conservation d’activité IKE. Pour définir le paramètre Intervalle entre les messages, tapez le nombre de secondes ou utilisez le contrôle de valeur pour sélectionner le nombre de secondes souhaité. 5. Pour définir le nombre maximal de fois que Firebox doit tenter d’envoyer un message de conservation d’activité IKE avant d’essayer à nouveau de négocier la phase 1, tapez le nombre souhaité dans la zone Nombre d’échecs max.. 6. Dans les listes déroulantes Authentification et Chiffrement, sélectionnez les méthodes d’authentification et de chiffrement. 7. Dans la liste déroulante Groupe de clés, sélectionnez le groupe Diffie-Hellman souhaité. Les groupes Diffie-Hellman déterminent la force de la clé principale utilisée dans le processus d’échange de clés. Plus le numéro de groupe est élevé, meilleure est la sécurité mais plus le délai de création des clés est long. 8. Pour modifier la durée de vie de l’association de sécurité (SA), tapez un nombre dans les champs SA Life pour définir le délai ou le trafic devant s’écouler avant l’expiration de l’association de sécurité. Entrez la valeur zéro pour ne définir aucune limite. 474 WatchGuard System Manager Tunnels BOVPN gérés 9. Cliquez sur l’onglet Paramètres de phase 2. 10. Dans la liste déroulante Authentification, sélectionnez la méthode d’authentification de la phase 2. 11. Dans la liste déroulante Chiffrement, sélectionnez la méthode de chiffrement. 12. Pour forcer la clé à expirer, activez la case à cocher Forcer l’expiration de la clé. Dans les champs situés en dessous, entrez la durée et le nombre d’octets au bout desquels la clé doit expirer. Si l’option Forcer l’expiration de la clé est désactivée, ou si elle est activée et que les paramètres de temps et de kilo-octets ont la valeur zéro, Firebox tente d’utiliser la durée d’expiration de la clé définie pour le pair. Si cette option est également désactivée ou définie sur zéro, Firebox utilise une durée d’expiration de la clé de huit heures. Vous pouvez définir la durée sur un an maximum. 13. Cliquez sur OK. Guide de l’utilisateur 475 Tunnels BOVPN gérés Créer des tunnels gérés entre les périphériques L’Assistant Add VPN Wizard permet de configurer un tunnel. Cette procédure nécessite que les réseaux des périphériques dynamiques Firebox et Firebox X Edge soient configurés au préalable. Vous devez également obtenir les stratégies de tous les nouveaux périphériques dynamiques avant de configurer des tunnels. Voir Ajouter des ressources VPN. Sous l’onglet Gestion des périphériques : 1. Au niveau d’un des points de terminaison du tunnel, cliquez sur le nom du périphérique. Faites glisser ce nom vers le nom du périphérique sur l’autre point de terminaison du tunnel. L’Assistant Add VPN Wizard démarre. Ou, sous l’onglet Gestion des périphériques, sélectionnez Modifier > Créer un VPN ou cliquez sur l’icône Créer un VPN . L’Assistant Add VPN Wizard démarre. 2. Cliquez sur Suivant. 3. Si vous avez appliqué la procédure glisser-déplacer à l’étape 1, l’écran montre les deux périphériques de terminaison sélectionnés à l’aide de la fonction glisser-déplacer et la ressource VPN utilisée par le tunnel. Si vous n’avez pas utilisé la fonction glisser-déplacer, sélectionnez les points de terminaison dans la liste déroulante. 4. Dans la liste déroulante, sélectionnez une ressource VPN pour chaque périphérique. (Pour plus d’informations sur les ressources VPN, voir la description au début de la rubrique Ajouter des ressources VPN.) Cliquez sur Suivant. Sélectionnez Réseau de concentrateurs pour créer un tunnel VPN dont l’route a la valeur null afin de forcer l’ensemble du trafic à transiter par un réseau VPN. Utilisez ce paramètre en tant que ressource VPN pour le périphérique qui héberge le réseau VPN dont l’route est null. Le périphérique distant envoie ensuite l’intégralité du trafic à travers le réseau VPN jusqu’au périphérique dont la ressource locale est un réseau de concentrateurs. 5. Sélectionnez le modèle de sécurité applicable au type de sécurité et au type d’authentification à utiliser pour ce tunnel. Pour plus d’informations sur les modèles de sécurité, voir Ajouter des modèles de sécurité. Activez les cases à cocher pour spécifier les serveurs DNS et WINS à utiliser. Cliquez sur Suivant. 6. Sélectionnez le modèle de stratégie de pare-feu VPN applicable au type de trafic que vous souhaitez autoriser à transiter via ce tunnel. Si aucun modèle de stratégie de pare-feu VPN n’a été défini, la stratégie par défaut « Tout » est appliquée au tunnel. Pour plus d’informations sur les modèles de stratégie de pare-feu VPN, voir Ajouter des modèles de stratégie de pare-feu VPN. 7. Cliquez sur Suivant. L’Assistant affiche la configuration. 8. Activez la case à cocher Redémarrez les périphériques maintenant pour télécharger la configuration VPN. Cliquez sur Terminer pour redémarrer les périphériques et déployer le tunnel VPN. 476 WatchGuard System Manager Tunnels BOVPN gérés Modifier la définition d’un tunnel Tous les tunnels sont répertoriés sous l’onglet Gestion des périphériques de WatchGuard System Manager (WSM). WSM vous permet de modifier le nom, le modèle de sécurité, les points de terminaison et la stratégie d’un tunnel. Si vous souhaitez modifier le modèle de stratégie ou le modèle de sécurité d’un tunnel, vous pouvez faire glisser le nom du modèle dans l’arborescence située à gauche de l’onglet Gestion des périphériques jusqu’au nom du réseau VPN dans cette même arborescence. Le nouveau modèle est appliqué. Pour apporter d’autres modifications ou pour modifier un modèle à l’aide d’une boîte de dialogue, procédez comme suit : 1. Sous l’onglet Gestion des périphériques, développez l’arborescence pour afficher le périphérique à modifier et sa stratégie. 2. Sélectionnez le tunnel à modifier. 3. Cliquez avec le bouton droit et sélectionnez Propriétés. La boîte de dialogue Propriétés VPN s’affiche. 4. Apportez les modifications souhaitées au tunnel. Les champs de cette boîte de dialogue sont expliqués dans les sections précédentes. 5. Cliquez sur OK pour enregistrer les modifications. Lorsque le tunnel est renégocié, les modifications sont appliquées. Guide de l’utilisateur 477 Tunnels BOVPN gérés Supprimer des tunnels et des périphériques Pour supprimer un périphérique de WatchGuard System Manager (WSM), vous devez d’abord supprimer les tunnels auxquels ce périphérique sert de point de terminaison. Supprimer un tunnel 1. 2. 3. 4. 5. Dans WSM, cliquez sur l’onglet Gestion des périphériques. Développez le dossier VPN gérés pour afficher le tunnel à supprimer. Cliquez avec le bouton droit sur le tunnel. Sélectionnez Supprimer. Cliquez sur Oui pour confirmer. Vous devrez peut-être redémarrer les périphériques qui utilisent le tunnel à supprimer. Cliquez sur Oui. Supprimer un périphérique 1. Dans System Manager, cliquez sur l’onglet État du périphérique ou Gestion des périphériques. 2. Si vous utilisez l’onglet Gestion des périphériques, développez le dossier Périphériques pour afficher le périphérique à supprimer. 3. Cliquez avec le bouton droit sur le périphérique. 4. Sélectionnez Supprimer. Cliquez sur Oui. 478 WatchGuard System Manager Tunnels BOVPN gérés État des tunnels VPN et services de sécurité Le panneau avant de Firebox System Manager affiche des statistiques relatives aux tunnels VPN actifs. Pour ouvrir Firebox System Manager, procédez comme suit : 1. Dans WatchGuard System Manager, sélectionnez l’onglet État du périphérique. 2. Sélectionnez le périphérique Firebox à examiner avec Firebox System Manager. 3. Cliquez sur . Vous pouvez également sélectionner Outils > Firebox System Manager. Firebox System Manager apparaît. La connexion à Firebox en vue d’obtenir des informations sur l’état et la configuration peut prendre un certain temps. Sous la section État de Firebox, à droite de l’écran, figure une section consacrée aux tunnels BOVPN. Firebox System Manager affiche l’état en cours et les informations de passerelle de chaque tunnel VPN, ainsi que les données échangées, les informations de création et d’expiration, le type d’authentification et de chiffrement et le nombre de renouvellements de clés. Chaque tunnel BOVPN peut avoir l’un des trois états suivants : Actif Le tunnel BOVPN est opérationnel et transmet le trafic. Inactif Le tunnel BOVPN a été créé mais aucune négociation n’a eu lieu. Aucun trafic n’a été envoyé à travers le tunnel VPN. Expiré Le tunnel BOVPN a été actif mais ne l’est plus car il n’a plus de trafic ou le lien entre les passerelles est rompu. Ces informations apparaissent également sous l’onglet État du périphérique dans WatchGuard System Manager. Guide de l’utilisateur 479 Tunnels BOVPN gérés État des tunnels Mobile VPN Firebox System Manager affiche le nom d’utilisateur, l’adresse IP et la quantité de paquets échangés de trois types de tunnels Mobile VPN : Mobile VPN with IPSec Mobile VPN with SSL Mobile VPN with PPTP Pour déconnecter les utilisateurs de Mobile VPN, cliquez avec le bouton droit de la souris sur un utilisateur et sélectionnez Déconnecter l’utilisateur sélectionné. État des services de sécurité Sous Services de sécurité, Firebox System Manager affiche le nombre de virus détectés, le nombre d’intrusions, le nombre de messages électroniques confirmés comme étant du courrier indésirable et le nombre de requêtes Web refusées par WebBlocker depuis le dernier redémarrage. 480 WatchGuard System Manager 21 Tunnels BOVPN manuels À propos des tunnels BOVPN manuels Un réseau privé virtuel (VPN, Virtual Private Network) crée des connexions sécurisées entre des ordinateurs ou des réseaux situés à des emplacements différents. Chaque connexion est appelée un tunnel. Lorsqu’un tunnel VPN est créé, les deux points de terminaison du tunnel sont authentifiés. Les données du tunnel sont chiffrées. Seuls l’expéditeur et le destinataire du message peuvent les lire. Les réseaux BOVPN permettent aux entreprises de fournir une connectivité sécurisée et chiffrée entre des agences séparées géographiquement. Les réseaux et les hôtes d’un tunnel VPN peuvent être des sièges sociaux, des succursales, des utilisateurs distants ou des télétravailleurs. Ces communications contiennent souvent les types de données critiques échangés au sein du pare-feu de l’entreprise. Dans ce scénario, un réseau BOVPN fournit des connexions confidentielles entre ces bureaux, ce qui rationalise la communication, réduit le coût des lignes dédiées et préserve la sécurité à chaque extrémité. Les tunnels BOVPNmanuels sont ceux qui sont créés à l’aide de boîtes de dialogue qui fournissent de nombreuses options pour personnaliser la définition des tunnels. Un tunnel BOVPN géré est un autre type de tunnel BOVPN que vous créez à l’aide de la fonction glisser-déplacer, d’un Assistant et de modèles. Pour plus d’informations sur ce type de tunnel, voir À propos des tunnels BOVPN gérés. Comment créer un tunnel BOVPN manuel La procédure de base pour créer un tunnel manuel nécessite les étapes suivantes : 1. Configurer des passerelles : des points de connexion situés aux extrémités locale et distante du tunnel. 2. Créer des tunnels entre des points de terminaison de passerelle : configurer des routes pour le tunnel, spécifier comment les périphériques contrôlent la sécurité et créer une stratégie pour le tunnel. Les sections ci-dessous présentent d’autres options disponibles pour la création de tunnels BOVPN. Stratégies de tunnel personnalisées Le système Firebox ajoute automatiquement de nouveaux tunnels VPN aux stratégies BOVPN-Allow.in et BOVPN-Allow.out. L’ensemble du trafic est ainsi autorisé à passer par le tunnel. Si vous préférez ne pas utiliser cette stratégie, vous pouvez créer à la place une stratégie VPN personnalisée pour autoriser des types de stratégies spécifiques à emprunter le tunnel. Pour plus d’informations, voir Définir une stratégie de tunnel personnalisée. Guide de l’utilisateur 481 Tunnels BOVPN manuels Tunnels unidirectionnels Configurer la traduction d’adresses réseau dynamique pour le trafic sortant via un tunnel BOVPN si vous souhaitez garder le tunnel VPN ouvert dans un seul sens. Cela peut s’avérer utile lorsque vous créez un tunnel vers un site distant où tout le trafic VPN provient d’une adresse IP publique. Basculement VPN Les tunnels VPN basculent automatiquement sur l’interface WAN de sauvegarde au cours d’un basculement WAN. Pour plus d’informations sur le basculement VPN, voir Configurer le basculement VPN. Vous pouvez configurer des tunnels BOVPN pour qu’ils basculent sur un point de terminaison pair de sauvegarde si le point de terminaison principal devient indisponible. Pour cela, vous devez définir au moins un point de terminaison de sauvegarde, tel que décrit dans Configurer le basculement VPN. Paramètres VPN globaux Les paramètres VPN globaux de Firebox s’appliquent aux tunnels BOVPN manuels, aux tunnels gérés et aux tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour : activer le transit IPSec ; désactiver ou conserver les paramètres des paquets contenant des bits de type de service (TOS) définis ; utiliser un serveur LDAP pour vérifier les certificats ; forcer le système Firebox à envoyer une notification lorsqu’un tunnel BOVPN est défectueux (uniquement les tunnels BOVPN). Pour modifier ces paramètres, dans Policy Manager, sélectionnez VPN > Paramètres VPN. Pour plus d’informations sur ces paramètres, voir À propos des paramètres globaux VPN. État du tunnel BOVPN Firebox System Manager vous permet de consulter l’état actuel des tunnels BOVPN. Ces informations figurent également sous l’onglet État du périphérique de WatchGuard System Manager. Pour plus d’informations, voir État des tunnels VPN et services de sécurité. Renouveler la clé des tunnels BOVPN Firebox System Manager vous permet de générer immédiatement de nouvelles clés pour les tunnels BOVPN au lieu d’attendre leur expiration. Pour plus d’informations, voir Renouveler la clé des tunnels BOVPN. 482 WatchGuard System Manager Tunnels BOVPN manuels Configurer les passerelles Une passerelle est un point de connexion d’un ou plusieurs tunnels. Pour créer un tunnel, vous devez configurer des passerelles sur les périphériques locaux et distants. Pour configurer ces passerelles, vous devez spécifier les éléments suivants : Méthode d’informations d’identification : soit des clés pré-partagées, soit un certificat Firebox IPSec. Pour plus d’informations sur les certificats pour l’authentification BOVPN, voir Utiliser un certificat pour l’authentification d’accès au tunnel BOVPN. Emplacement des points de terminaison de passerelle locaux et distants, soit par l’adresse IP, soit par les informations de domaine. Paramètres de phase 1 de la négociation IKE (Internet Key Exchange). Cette phase définit l’association de sécurité (les protocoles et paramètres que les points de terminaison de passerelle utilisent pour communiquer) pour protéger les données en transit au cours de la négociation. 1. Dans Policy Manager, cliquez sur VPN > Passerelles de filiale. La boîte de dialogue Passerelles s’affiche. Guide de l’utilisateur 483 Tunnels BOVPN manuels 2. Pour ajouter une passerelle, cliquez sur Ajouter. La boîte de dialogue Nouvelle passerelle s’affiche. 3. Dans la zone de texte Nom de la passerelle, tapez un nom pour identifier cette passerelle dans Policy Manager pour ce périphérique Firebox. 4. Normalement, les tunnels BOVPN démarrent automatiquement en même temps que Firebox. Si vous ne souhaitez pas que les tunnels qui utilisent cette passerelle démarrent automatiquement, désactivez la case à cocher Démarrer le tunnel de phase 1 au démarrage de Firebox en bas de l’écran. Lorsque cette case à cocher est désactivée, les tunnels démarrent uniquement lorsque le trafic est prêt à être envoyé par leur biais. 5. Vous pouvez désormais définir la méthode d’informations d’identification ou définir des points de terminaison de passerelle. 484 WatchGuard System Manager Tunnels BOVPN manuels Modifier et supprimer des passerelles Pour modifier la définition d’une passerelle, sélectionnez VPN > Passerelles de filiale. Ou, cliquez avec le bouton droit sur l’icône d’un tunnel sous l’onglet BOVPN de Policy Manager, puis sélectionnez Propriété de la passerelle. 1. Sélectionnez la passerelle souhaitée, puis cliquez sur Modifier. La boîte de dialogue Modifier la passerelle s’affiche. 2. Procédez aux modifications, puis cliquez sur OK. Pour supprimer une passerelle, sélectionnez-la, puis cliquez sur Supprimer. Vous pouvez également sélectionner plusieurs passerelles et cliquer sur Supprimer pour les supprimer simultanément. Définir la méthode d’informations d’identification Dans la boîte de dialogue Nouvelle passerelle, sélectionnez Utiliser la clé pré-partagée ou Utiliser le certificat Firebox IPSec pour identifier la procédure d’authentification à utiliser. Si vous avez sélectionné la clé pré-partagée Tapez ou collez la clé partagée. Vous devez utiliser la même clé partagée sur le périphérique distant. Cette clé partagée doit uniquement contenir des caractères ASCII standard. Si vous avez sélectionné le certificat Firebox IPSec Le tableau situé sous la case d’option montre les certificats actuels sur le système Firebox. Sélectionnez le certificat à utiliser pour la passerelle. Si vous utilisez un certificat pour l’authentification BOVPN : Le certificat doit être reconnu en tant que certificat de type « IPSec » par Firebox System Manager. Pour le vérifier, démarrez Firebox System Manager, sélectionnez Afficher > Certificats, puis vérifiez que « IPSec » ou « IPSec/Web » apparaît dans la colonne Type de la boîte de dialogue Certificats. Vérifiez que les certificats des périphériques situés à chaque point de terminaison de passerelle utilisent le même algorithme. Tous les deux doivent utiliser DSS ou RSA. L’algorithme des certificats apparaît dans le tableau de la boîte de dialogue Nouvelle passerelle et dans la boîte de dialogue Certificats de Firebox System Manager. Vous devez démarrer l’autorité de certification sur Management Server si vous sélectionnez une authentification par certificat. Pour plus d’informations à ce sujet, voir Configurer l’autorité de certification sur Management Server. Vous devez utiliser WatchGuard Log Server pour les messages des journaux. Après avoir défini la méthode d’informations d’identification, vous pouvez définir les points de terminaison de passerelle pour le tunnel. Guide de l’utilisateur 485 Tunnels BOVPN manuels Définir les points de terminaison de passerelle Un ensemble de points de terminaison de passerelle est appelé paire de passerelles. 1. Dans la section Points de terminaison de passerelle de la boîte de dialogue Nouvelle passerelle, cliquez sur Ajouter. La boîte de dialogue Paramètres de points de terminaison de la nouvelle passerelle s’affiche. 486 WatchGuard System Manager Tunnels BOVPN manuels 2. Spécifiez l’emplacement de la passerelle locale. Si vous souhaitez utiliser l’adresse IP o Activez la case d’option Par adresse IP. o Sélectionnez l’adresse dans la liste déroulante Adresse IP. Toutes les adresses IP configurées de Firebox figurent dans la liste. o Dans le champ Interface externe, sélectionnez l’interface externe principale ou de sauvegarde. Cliquez sur OK. Si vous souhaitez utiliser les informations de domaine o Activez la case d’option Par informations de domaine. Cliquez sur Configurer. o Dans la boîte de dialogue Configurer le domaine pour l’ID de passerelle qui s’affiche, sélectionnez Par nom de domaine, Par ID d’utilisateur sur le domaine ou Par nom X500 pour spécifier la méthode de configuration du domaine et les interfaces externes pour l’authentification de passerelle de tunnel. o Tapez soit le nom de domaine, soit le nom d’utilisateur suivi du nom de domaine (Nom_Utilisateur@Nom_Domaine), ou le nom x500 en fonction de la case d’option sélectionnée à l’étape précédente. Cliquez sur OK. L’option X500 n’est disponible que si Fireware Pro est installé sur votre périphérique Firebox. 3. Dans le champ Interface externe, sélectionnez l’interface externe principale ou de sauvegarde. Cliquez sur OK. ‘ 4. Spécifiez la manière dont la passerelle distante obtient une adresse IP. Si elle possède une adresse IP statique o Activez la case d’option Adresse IP statique. o Sélectionnez l’adresse dans la liste déroulante Adresse IP ou tapez-la dans le champ. Si elle possède une adresse IP dynamique : Activez la case d’option Adresse IP dynamique. Guide de l’utilisateur 487 Tunnels BOVPN manuels 5. Spécifiez l’emplacement de la passerelle distante pour l’authentification d’accès au tunnel. Si vous souhaitez utiliser l’adresse IP o Activez la case d’option Par adresse IP. o Sélectionnez l’adresse dans la liste déroulante Adresse IP. Toutes les adresses IP configurées de Firebox figurent dans la liste. Si vous souhaitez utiliser les informations de domaine o Vérifiez que Firebox est configuré avec des serveurs DNS capables de résoudre le nom de domaine. o Activez la case d’option Par informations de domaine. Cliquez sur Configurer. o Dans la boîte de dialogue Configurer le domaine pour l’ID de passerelle qui s’affiche, sélectionnez Par nom de domaine, Par ID d’utilisateur sur le domaine ou Par nom X500 pour spécifier la méthode de configuration de domaine et les interfaces externes de l’authentification de passerelle de tunnel. o Tapez soit le nom de domaine, soit le nom d’utilisateur suivi du nom de domaine (Nom_Utilisateur@Nom_Domaine), ou le nom x500 en fonction de la case d’option sélectionnée à l’étape précédente. Cliquez sur OK. Si le point de terminaison VPN distant utilise le protocole DHCP ou PPPoE pour obtenir son adresse IP externe, définissez le type d’ID de la passerelle distante sur Nom de domaine. Attribuez au champ de nom du pair le nom de domaine complet du point de terminaison VPN distant. Firebox utilise l’adresse IP et le nom de domaine pour rechercher le point de terminaison VPN. Vérifiez que le serveur DNS utilisé par Firebox peut identifier le nom. 6. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de points de terminaison de la nouvelle passerelle. La boîte de dialogue Nouvelle Passerelle s’affiche. La paire de passerelles que vous avez définie figure dans la liste des points de terminaison de passerelle. 7. Consultez Configurer le mode et les transformations (paramètres de phase 1) si vous ne souhaitez pas utiliser les paramètres de phase 1 définis par défaut. Sinon, cliquez sur OK. 488 WatchGuard System Manager Tunnels BOVPN manuels Configurer le mode et les transformations (Paramètres de phase 1) La phase 1 de l’établissement d’une connexion IPSec désigne le stade où deux pairs créent un canal sécurisé et authentifié pour communiquer. Il s’agit de l’association de sécurité (SA) ISAKMP. Un échange de phase 1 peut utiliser le mode principal ou le mode agressif. Le mode détermine le type et le nombre d’échanges de messages qui se produisent au cours de cette phase. Une transformation est un ensemble de protocoles et d’algorithmes de sécurité servant à protéger les données. Au cours de la négociation IKE, les pairs s’entendent sur l’utilisation d’une transformation donnée. Vous pouvez définir un tunnel de sorte qu’il offre à un pair plusieurs transformations pour la négociation, voir Ajouter une transformation de phase 1. 1. Dans la boîte de dialogue Nouvelle passerelle, sélectionnez l’onglet Paramètres de phase 1. Guide de l’utilisateur 489 Tunnels BOVPN manuels 2. Dans la liste déroulante Mode, sélectionnez Principal, Agressif ou Principal ou Agressif en cas d’échec. Mode principal Il s’agit d’un mode sécurisé qui utilise trois échanges de messages distincts (six messages au total). Les deux premiers négocient la stratégie, les deux suivants échangent des données DiffieHellman et les deux derniers authentifient l’échange Diffie-Hellman. Le mode principal prend en charge les groupes Diffie-Hellman 1, 2 et 5. Il vous permet également d’utiliser plusieurs transformations, tel qu’indiqué dans Ajouter une transformation de phase 1. Mode agressif Ce mode est plus rapide car il n’utilise que trois messages, qui échangent des données DiffieHellman et identifient les deux points de terminaison VPN. En revanche, cela rend le mode agressif moins sécurisé. Principal ou Agressif en cas d’échec Firebox tente un échange de phase 1 en mode principal. En cas d’échec de la négociation, il utilise le mode agressif. 3. Si vous souhaitez créer un tunnel BOVPN entre Firebox et un autre périphérique situé derrière un périphérique NAT, activez la case à cocher Parcours NAT. Le parcours NAT ou l’encapsulation UDP permet au trafic de parvenir aux destinations correctes. 4. Pour que Firebox envoie des messages à son pair IKE afin de garder le tunnel VPN ouvert, activez la case à cocher Conservation d’activité IKE. Pour définir le paramètre Intervalle entre les messages, tapez le nombre de secondes ou utilisez le contrôle de valeur pour sélectionner le nombre de secondes souhaité. 5. Pour définir le nombre maximal de fois que Firebox doit tenter d’envoyer un message de conservation d’activité IKE avant d’essayer à nouveau de négocier la phase 1, tapez le nombre souhaité dans la zone Nombre d’échecs max. 6. Utilisez la case à cocher Détection DPD pour activer ou désactiver la détection DPD basée sur le trafic. Lorsque vous activez la détection DPD, Firebox n’interroge un pair que si aucun trafic n’est reçu de ce dernier pendant une durée définie et qu’un paquet attend de lui être envoyé. Cette méthode de recherche de pairs IPSec inactifs est plus évolutive que les messages de conservation d’activité IKE. Si vous souhaitez modifier les paramètres par défaut de Firebox, entrez la durée, en secondes, dans le champ Délai d’inactivité du trafic avant de transmettre la requête. Dans le champ Nombre maximal de tentatives, entrez le nombre de fois que le pair doit être interrogé avant d’être déclaré inactif. 7. Firebox contient une transformation par défaut définie, qui figure dans la liste Paramètres de transformation. Cette transformation spécifie l’authentification SHA1, le chiffrement 3DES et le groupe Diffie-Hellman 1. Vous pouvez choisir l’une des actions suivantes : o Utiliser ce paramètre par défaut. o Le supprimer et le remplacer par un nouveau. o Ajouter un paramètre supplémentaire, tel qu’indiqué dans Ajouter une transformation de phase 1. 490 WatchGuard System Manager Tunnels BOVPN manuels Ajouter une transformation de phase 1 Vous pouvez définir un tunnel de sorte qu’il offre à un pair plusieurs transformations pour la négociation. Par exemple, une transformation peut regrouper SHA1-DES-DF1 ([méthode d’authentification]-[méthode de chiffrement]-[groupe de clés]) et une seconde transformation peut contenir MD5-3DES-DF2, la transformation SHA1-DES-DF1 bénéficiant d’une priorité supérieure à MD5-3DES-DF2. Lorsque le trafic traverse le tunnel, l’association de sécurité peut utiliser SHA1-DES-DF1 (première priorité) ou MD5-3DES-DF2 (deuxième priorité) selon que l’une ou l’autre correspond à la transformation du pair. Vous pouvez inclure neuf transformations au maximum. Vous devez spécifier Mode principal à l’étape 2 de la procédure précédente pour utiliser plusieurs transformations. 1. Sous l’onglet Paramètres de phase 1 de la boîte de dialogue Nouvelle passerelle, allez dans la zone Paramètres de transformation dans la partie inférieure de la boîte de dialogue. Cliquez sur Ajouter. La boîte de dialogue Transformation de phase 1 s’affiche. 2. Dans la liste déroulante Authentification, sélectionnez le type d’authentification SHA1 ou MD5. 3. Dans la liste déroulante Chiffrement, sélectionnez le type de chiffrement AES (128 bits), AES (192 bits), AES (256 bits), DES ou 3DES. 4. Pour modifier la durée de vie de l’association de sécurité, tapez un nombre dans le champ SA Life, puis sélectionnez Heure ou Minute dans la liste déroulante. 5. Dans la liste déroulante Groupe de clés, sélectionnez le groupe Diffie-Hellman souhaité. WatchGuard prend en charge les groupes 1, 2 et 5. Les groupes Diffie-Hellman déterminent la force de la clé principale utilisée dans le processus d’échange de clés. Plus le numéro de groupe est élevé, meilleure est la sécurité mais plus le délai de création des clés est long. 6. Vous pouvez ajouter neuf transformations au maximum. Vous pouvez sélectionner une transformation, puis appuyez sur la touche Monter ou Descendre pour modifier sa priorité. 7. Cliquez sur OK. Guide de l’utilisateur 491 Tunnels BOVPN manuels Créer des tunnels entre des points de terminaison de passerelle Après avoir défini des points de terminaison de passerelle, vous pouvez créer des tunnels entre elles. Pour créer un tunnel, procédez comme suit : Définissez un tunnel. Configurez les paramètres de phase 2 pour la négociation IKE (Internet Key Exchange). Cette phase configure des associations de sécurité pour le chiffrement des paquets de données. Définir un tunnel 1. Dans Policy Manager, sélectionnez VPN > Tunnels de la filiale. La boîte de dialogue Tunnels IPSec de filiale s’affiche. 492 WatchGuard System Manager Tunnels BOVPN manuels 2. Cliquez sur Ajouter. La boîte de dialogue Nouveau tunnel s’affiche. 3. Dans la zone Nom du tunnel, tapez un nom pour le tunnel. Assurez-vous que ce nom n’a pas déjà été attribué à un tunnel, à un groupe Mobile VPN ou à une interface. 4. Dans la liste Passerelle, sélectionnez la passerelle que ce tunnel va utiliser. Si vous souhaitez modifier des passerelles existantes, sélectionnez leur nom et cliquez sur le bouton Modifier. . Suivez les procédures décrites dans Configurer les passerelles Si vous souhaitez ajouter une nouvelle passerelle, cliquez sur le bouton Nouveau. Suivez la procédure décrite dans Configurer les passerelles Guide de l’utilisateur . 493 Tunnels BOVPN manuels 5. Activez la case à cocher Ajouter ce tunnel aux stratégies d’autorisation BOVPN-Allow en bas de la boîte de dialogue si vous voulez ajouter le tunnel aux stratégies BOVPN-Allow.in et BOVPN-Allow.out. Ces stratégies autorisent tout le trafic correspondant aux routes du tunnel. Si vous souhaitez restreindre le trafic dans le tunnel, désactivez cette case à cocher et utilisez l’Assistant BOVPN Policy Wizard conformément à ce qui est expliqué dans Définir une stratégie de tunnel personnalisée pour créer des stratégies pour des types de trafic que vous voulez autoriser à passer par le tunnel. Vous pouvez maintenant Ajouter des routes à un tunnel ou Configurer les paramètres de phase 2. Modifier et supprimer un tunnel Pour modifier un tunnel, sélectionnez VPN > Tunnels de la filiale. Sinon, cliquez avec le bouton droit sur une icône de tunnel sous l’onglet Branch Office VPN de Policy Manager et sélectionnez Propriété du tunnel. 1. Sélectionnez le tunnel et cliquez sur Modifier. La boîte de dialogue Modifier le tunnel s’affiche. 2. Effectuez les modifications et cliquez sur OK. Pour supprimer un tunnel de la boîte de dialogue Tunnels IPSec de filiale, sélectionnez le tunnel et cliquez sur Supprimer. Vous pouvez également sélectionner plusieurs tunnels et cliquer sur Supprimer pour les supprimer simultanément. 494 WatchGuard System Manager Tunnels BOVPN manuels Ajouter des routes à un tunnel 1. Dans la boîte de dialogue Nouveau tunnel, cliquez sur Ajouter. La boîte de dialogue Paramètres d’route de tunnel s’affiche. 2. Dans la liste déroulante Local, sélectionnez l’adresse locale de votre choix. Vous pouvez également cliquer sur le bouton en regard de la liste déroulante Local pour entrer une adresse IP d’hôte, une adresse réseau, une plage d’adresses IP d’hôte ou un nom DNS. 3. Dans la zone Distant, tapez l’adresse du réseau distant. Vous pouvez également cliquer sur le bouton adjacent pour entrer une adresse IP d’hôte, une adresse réseau, une plage d’adresses IP d’hôte ou un nom DNS. 4. Dans la liste déroulante Direction, sélectionnez le sens du tunnel. Le sens du tunnel détermine quel point de terminaison du tunnel VPN peut démarrer une connexion VPN à travers le tunnel. 5. Vous pouvez activer la traduction d’adresses réseau (NAT) un à un ou la traduction d’adresses réseau (NAT) dynamique pour le tunnel en fonction des types d’adresses et du sens du tunnel que vous avez sélectionnés. Activez la case à cocher NAT un à un ou la case à cocher DNAT. 6. Si vous avez activé la case à cocher NAT un à un, cliquez sur le bouton adjacent pour entrer l’adresse que vous souhaitez modifier. Vous pouvez spécifier une adresse IP d’hôte, une adresse réseau, une plage d’adresses IP d’hôte ou un nom DNS. Si vous voulez utiliser la traduction d’adresses réseau dynamique, vous devez définir un tunnel unidirectionnel du LAN1 au LAN2, dans lequel vous voulez que tous les serveurs du LAN1 se connectent aux serveurs du LAN2, mais qu’ils ne soient représentés que par une seule adresse IP sur le LAN2. Pour plus d’informations sur la façon de procéder, voir Configurer la traduction d’adresses réseau dynamique pour le trafic sortant via un tunnel BOVPN. 7. Cliquez sur OK. Guide de l’utilisateur 495 Tunnels BOVPN manuels Configurer les paramètres de phase 2 Les paramètres de phase 2 comprennent les paramètres d’une association de sécurité (AS) qui définit la manière dont les paquets de données sont sécurisés lorsqu’ils sont transmis entre deux points de terminaison. L’association de sécurité conserve toutes les informations nécessaires pour que Firebox sache comment traiter le trafic entre les points de terminaison. Les paramètres de l’association de sécurité peuvent comprendre les éléments suivants : algorithmes de chiffrement et d’authentification utilisés ; durée de vie de l’association de sécurité (en secondes ou en nombre d’octets, ou les deux) ; adresse IP du périphérique pour lequel l’association de sécurité est établie (à savoir le périphérique qui gère le chiffrement et le déchiffrement IPSec de l’autre côté du VPN, et non l’ordinateur situé derrière qui envoie ou reçoit du trafic) ; adresses IP source et de destination du trafic auquel l’association de sécurité s’applique ; sens du trafic auquel l’association de sécurité s’applique (il y a une association de sécurité pour chaque sens, c’est-à-dire pour le trafic entrant et pour le trafic sortant). 1. Dans la boîte de dialogue Nouveau tunnel, cliquez sur l’onglet Paramètres de phase 2. 496 WatchGuard System Manager Tunnels BOVPN manuels 2. Activez la case à cocher PFS