Télécharger Imprimer la page

Publicité

Liens rapides

WatchGuard
Firebox X Edge e-Series
Guide de l'utilisateur
Firebox X Edge e-Series version 10
Tous les modèles standard et sans fil de la gamme Firebox X Edge e-Series

Publicité

loading

Sommaire des Matières pour Watchguard Firebox X Edge e Serie

  • Page 1 WatchGuard Firebox X Edge e-Series Guide de l’utilisateur Firebox X Edge e-Series version 10 Tous les modèles standard et sans fil de la gamme Firebox X Edge e-Series...
  • Page 2 Guide révisé le : 15/01/2008 Informations sur le copyright, les marques déposées et les brevets Copyright © 1998 – 2008 WatchGuard Technologies, Inc. Tous droits réservés. Toutes les marques déposées ou les noms commerciaux mentionnés ici, le cas échéant, appartiennent à leurs propriétaires respectifs.
  • Page 3 Sommaire Chapitre 1 Introduction à la sécurité des réseaux ..................1 À propos des réseaux et de leur sécurité ...................... 1 À propos des protocoles ..........................2 Mode de transmission des informations sur Internet................2 À propos des adresses IP............................. 3 Adresses et passerelles privées.......................
  • Page 4 Désactiver le bloqueur de fenêtres publicitaires intempestives dans Internet Explorer 6.x ou 7.x........................15 Désactiver le bloqueur de fenêtres publicitaires intempestives dans Firefox 2.x ....15 Désactiver le bloqueur de fenêtres publicitaires intempestives dans Safari 2.0....15 Connecter Firebox X Edge..........................16 Ajouter des ordinateurs au réseau approuvé...
  • Page 5 Utiliser le port HTTP au lieu du port HTTPS ................... 55 Modifier le port serveur HTTP........................56 À propos de l’accès WatchGuard System Manager................. 56 Renommer Firebox X Edge e-series dans WSM ................... 56 Activer la gestion centralisée à l’aide de WSM ..................57 Activer la gestion à...
  • Page 6 Définir les réservations d’adresse DHCP du réseau facultatif ............86 À propos des agents de relais DHCP......................87 Configurer Firebox en tant qu’agent de relais DHCP..............87 Utiliser des adresses IP statiques pour les ordinateurs facultatifs..........87 Autoriser des connexions sans fil à l’interface facultative..............88 À...
  • Page 7 Chapitre 7 Stratégies de pare-feu ......................115 À propos des stratégies ..........................115 À propos de l’utilisation de stratégies sur votre réseau............115 Règles de stratégie ............................116 Trafic entrant et sortant..........................116 À propos du routage basé sur stratégie ....................117 À...
  • Page 8 Consulter le journal d’événements ......................180 Pour afficher le journal d’événements ....................180 À propos de la connexion à un serveur WatchGuard Log Server ........... 181 Envoyer les journaux d’événements vers le serveur Log Server..........181 Envoyer des journaux à un hôte Syslog....................183...
  • Page 9 Avant de commencer ..........................204 Activer et configurer SSO ........................204 À propos des exceptions SSO......................204 Installer l’agent WatchGuard Single Sign-On (SSO) ..............205 Télécharger le logiciel agent SSO...................... 205 Installer le service agent SSO ......................206 Activer l’authentification RADIUS ....................... 207 Afficher les sessions et les utilisateurs actifs ...................
  • Page 10 À propos des profils WebBlocker ........................ 216 Créer un profil WebBlocker ........................216 À propos des catégories WebBlocker......................218 Vérifier si un site appartient à une catégorie ..................219 Ajouter, supprimer ou modifier une catégorie ................. 220 À propos de l’autorisation des sites à contourner WebBlocker............221 Ajouter un site autorisé...
  • Page 11 Ouvrir la boîte de dialogue des messages..................249 À propos de la gestion des utilisateurs..................... 250 Ajouter des utilisateurs ......................... 251 Supprimer des utilisateurs........................251 Modifier l’option de notification pour un utilisateur ..............251 Obtenir des statistiques sur l’activité de Quarantine Server............. 252 Afficher les statistiques pour des dates spécifiques..............
  • Page 12 Configurations logicielles requises pour le client ................285 Sélectionner un certificat et entrer le PIN ................... 286 Désinstaller le client Mobile VPN......................287 Connecter et déconnecter le client Mobile VPN................287 Déconnecter le client Mobile VPN ....................288 Contrôler le comportement de connexion..................288 Icône du client Mobile User VPN .......................
  • Page 13 Introduction à la sécurité des réseaux À propos des réseaux et de leur sécurité Un réseau est un groupe d’ordinateurs et de périphériques connectés les uns aux autres. Il peut s’agir de deux ordinateurs connectés par un câble série ou de nombreux ordinateurs aux quatre coins du monde connectés entre eux via Internet.
  • Page 14 Introduction à la sécurité des réseaux À propos des connexions Internet Les fournisseurs de services Internet sont des sociétés qui donnent accès à Internet via des connexions réseau. La Bande passante correspond au débit auquel une connexion réseau peut envoyer des données : par exemple, 3 mégabits par seconde (Mbits).
  • Page 15 Une adresse IP se compose de quatre octets (séquences binaires de 8 bits) au format décimal et séparés par des points. Chaque nombre entre les points doit être compris dans la plage 0 – 255. Voici des exemples d’adresses IP : 206.253.208.100 = WatchGuard.com 4.2.2.2 = serveur DNS principal 10.0.4.1 = IP privée Adresses et passerelles privées...
  • Page 16 Introduction à la sécurité des réseaux À propos des masques de sous-réseau Dans un souci de sécurité et de performance, les réseaux sont souvent divisés en parties plus petites appelées sous-réseaux. Tous les périphériques d’un sous-réseau ont des adresses IP similaires. Par exemple, tous les périphériques ayant des adresses IP dont les trois premiers octets sont 50.50.50 appartiennent au même sous- réseau.
  • Page 17 Introduction à la sécurité des réseaux Adresses IP statiques et dynamiques Les fournisseurs de services Internet attribuent une adresse IP à chaque périphérique de leur réseau. Cette adresse IP peut être statique ou dynamique. Une adresse IP statique est une adresse IP qui reste toujours la même. Si votre serveur Web, votre serveur FTP ou une autre ressource Internet doit avoir une adresse qui ne peut pas changer, votre fournisseur de services Internet peut vous fournir une adresse IP statique.
  • Page 18 DNS. Une URL (Uniform Resource Locator) inclut un nom de domaine et un protocole. Exemple d’URL : http://www.watchguard.com/. En bref, le DNS correspond au système qui traduit les noms de domaine Internet en adresses IP. Un serveur DNS est un serveur qui effectue cette traduction.
  • Page 19 Introduction à la sécurité des réseaux À propos des pare-feu Un pare-feu sépare vos ordinateurs approuvés sur le réseau interne du réseau externe ou d’Internet, afin de réduire le risque d’attaque externe. La figure ci-dessous montre comment un pare-feu sépare les ordinateurs approuvés d’Internet.
  • Page 20 Introduction à la sécurité des réseaux Firebox X Edge et votre réseau Firebox X Edge contrôle tout le trafic entre le réseau externe et le réseau approuvé. Edge comprend également une interface réseau facultative qui est séparée du réseau approuvé. Utilisez le réseau facultatif pour les ordinateurs avec «...
  • Page 21 Installation Avant de commencer Pour installer WatchGuard Firebox X Edge e-Series sur votre réseau, vous devez effectuer les tâches suivantes : Identifier et noter les propriétés TCP/IP de votre connexion Internet. Désactiver les propriétés de proxy HTTP et du bloqueur de fenêtres publicitaires intempestives de votre navigateur Web.
  • Page 22 Installation Vérifier le contenu de l’emballage Assurez-vous que l’emballage de votre Firebox X Edge e-Series contient les articles suivants : Guide de l’utilisateur de Firebox X Edge e-Series sur CD-ROM Guide de démarrage rapide de Firebox X Edge e-Series Carte d’activation du service LiveSecurity Carte de garantie du matériel Adaptateur secteur (12 V/1,2 A) avec kit de prises internationales Collier de câble d’alimentation...
  • Page 23 Installation Identifier vos paramètres réseau Pour configurer Firebox X Edge, vous devez connaître certaines informations relatives à votre réseau. Utilisez cette section pour savoir comment identifier vos paramètres réseau. Pour en savoir plus sur les notions fondamentales relatives aux réseaux, voir À...
  • Page 24 Installation Rechercher des propriétés TCP/IP sur Microsoft Windows 2000, Windows 2003 et Windows XP 1. Sélectionnez Démarrer > Tous les programmes > Accessoires > Invite de commandes. La fenêtre Invite de commandes s’affiche. 2. À l’invite de commandes, tapez et appuyez sur Entrée. ipconfig /all 3.
  • Page 25 Pour activer toutes les fonctionnalités de Firebox X Edge, vous devez procéder à l’enregistrement du produit sur le site Web WatchGuard LiveSecurity et récupérer votre clé de fonctionnalité. Tant que vous n’avez pas appliqué votre clé de fonctionnalité, vous ne disposez que d’une seule licence d’utilisateur (licence par siège).
  • Page 26 Installation Désactiver le proxy HTTP De nombreux navigateurs Web sont configurés de façon à utiliser un serveur proxy HTTP afin d’améliorer la vitesse de téléchargement des pages Web. Pour gérer ou configurer Firebox X Edge e-Series, votre navigateur doit se connecter directement à Edge. Si vous utilisez un serveur proxy HTTP, vous devez momentanément désactiver le paramètre de proxy HTTP dans votre navigateur.
  • Page 27 Installation Désactiver le blocage des fenêtres publicitaires intempestives Firebox X Edge e-Series utilise des fenêtres contextuelles pour de nombreuses fonctionnalités, y compris l’Assistant Quick Setup Wizard. Si vous bloquez l’affichage des fenêtres publicitaires intempestives, vous devez désactiver cette fonction lors de la connexion à Edge. Utilisez les instructions suivantes pour désactiver l’option de blocage des fenêtres publicitaires intempestives dans Firefox, Netscape, Safari ou Internet Explorer.
  • Page 28 Installation Connecter Firebox X Edge De nombreux utilisateurs configurent leur périphérique Firebox X Edge e-Series sur un ordinateur avant de le placer sur le réseau. Appliquez la procédure suivante pour connecter votre ordinateur à Firebox X Edge : 1. Arrêtez votre ordinateur. 2.
  • Page 29 Installation Ajouter des ordinateurs au réseau approuvé Vous pouvez connecter un maximum de trois ordinateurs à l’interface approuvée de Firebox X Edge e-Series en les connectant chacun à l’un des ports Ethernet 0, 1 et 2 d’Edge. Pour connecter plus de trois ordinateurs, utilisez des concentrateurs ou commutateurs Ethernet 10/100 Base T avec des connecteurs RJ-45.
  • Page 30 L’administrateur Edge peut définir un délai d’inactivité de session maximal global. Redémarrez Edge pour fermer toutes les sessions. Vous pouvez acheter des mises à niveau de licences auprès de votre revendeur ou à partir du site Web WatchGuard : http://www.watchguard.com/products/purchaseoptions.asp. Firebox X Edge e-Series...
  • Page 31 Installation Configurer l’ordinateur pour se connecter à Edge Pour pouvoir utiliser l’Assistant Quick Setup Wizard, vous devez configurer votre ordinateur afin d’établir la connexion à Firebox X Edge. Vous pouvez configurer votre carte d’interface réseau de façon à utiliser une adresse IP statique ou utiliser le protocole DHCP afin d’obtenir une adresse IP automatiquement.
  • Page 32 Installation 6. Sélectionnez l’option Utiliser l’adresse IP suivante. 7. Dans le champ Adresse IP, tapez une adresse IP sur le même réseau que l’interface approuvée Edge. Nous recommandons l’adresse 192.168.111.2. Le réseau d’interface approuvée par défaut est 192.168.111.0. Le dernier chiffre peut être compris entre 2 et 254 8.
  • Page 33 Web LiveSecurity. L’Assistant Quick Setup Wizard est terminé. L’Assistant Quick Setup Wizard fournit un lien vers le site Web WatchGuard, où vous pouvez procéder à l’enregistrement du produit. Une fois l’Assistant terminé, Firebox X Edge redémarre. Si vous modifiez l’adresse IP de l’interface approuvée, vous devez modifier vos paramètres réseau de sorte que votre adresse IP corresponde au sous-réseau du réseau approuvé...
  • Page 34 Installation Firebox X Edge e-Series...
  • Page 35 À propos des pages de configuration d’Edge Après avoir connecté WatchGuard Firebox X Edge e-Series à votre réseau, vous devez configurer Edge. Vous pouvez créer des règles de pare-feu pour répondre aux exigences de sécurité de votre entreprise. Les pages de configuration d’Edge vous permettent de créer un compte d’utilisateur, de consulter les statistiques du...
  • Page 36 Entrée. 3. Lorsqu’une notification relative au certificat de sécurité s’affiche, cliquez sur Oui. Cet avertissement apparaît car le certificat octroyé par Edge est signé par WatchGuard, qui n’est pas une autorité de certification approuvée sur votre navigateur.
  • Page 37 Présentation des pages de configuration Naviguer dans l’interface utilisateur Firebox X Edge La partie gauche de la page État du système contient la barre de navigation qui vous permet d’accéder aux autres pages de configuration de Firebox X Edge. Vous devez activer JavaScript dans votre navigateur pour utiliser la barre de navigation. Chaque élément de menu contient des menus secondaires qui vous permettent de configurer les propriétés de cette fonctionnalité.
  • Page 38 Présentation des pages de configuration Page Réseau La page Réseau affiche la configuration actuelle des réseaux approuvés, facultatifs et externes. Dans cette page, vous pouvez aussi voir le basculement WAN et les routes statiques que vous avez configurés. Un bouton permettant de modifier les configurations et d’afficher les statistiques sur les réseaux se trouve en regard de chaque section.
  • Page 39 Présentation des pages de configuration Page Utilisateurs de Firebox La page Utilisateurs de Firebox affiche les statistiques des sessions actives et des comptes d’utilisateurs locaux. Elle contient aussi des boutons permettant de fermer les sessions en cours et d’ajouter, de modifier et de supprimer des comptes d’utilisateurs locaux.
  • Page 40 Présentation des pages de configuration Page Administration La page Administration indique si Firebox X Edge utilise HTTP ou HTTPS pour ses pages de configuration, si Edge est configuré comme client Firebox géré, et quelles mises à niveau de fonctionnalités sont activées. Elle contient des boutons permettant de modifier les configurations, d’ajouter des mises à...
  • Page 41 Présentation des pages de configuration Page Pare-feu La page Pare-feu indique les stratégies de trafic entrant et sortant et les proxies, les sites Web bloqués et les autres paramètres du pare-feu. Cette page contient aussi des boutons permettant de modifier ces paramètres. Pour plus d’informations, consultez les rubriques sous Paramètres de proxy dans le Sommaire.
  • Page 42 Présentation des pages de configuration Page Journalisation La page Journalisation contient le journal des événements en cours et l’état de Log Server et de la journalisation Syslog. Pour plus d’informations, consultez les rubriques sous Journalisation dans le Sommaire. Firebox X Edge e-Series...
  • Page 43 Présentation des pages de configuration Page WebBlocker La page WebBlocker affiche les paramètres de WebBlocker, les profils, les sites autorisés et les sites refusés. Pour plus d’informations, voir À propos de WebBlocker. Guide de l’utilisateur...
  • Page 44 Présentation des pages de configuration Page spamBlocker La page spamBlocker indique l’état et les paramètres de spamBlocker, y compris les actions en cas de courrier indésirable présumé et l’utilisation des redirecteurs d’e-mails approuvés. Pour plus d’informations, voir À propos de spamBlocker.
  • Page 45 Présentation des pages de configuration Page Gateway AV/IPS La page Gateway AV/IPS affiche l’état et les paramètres de Gateway AntiVirus et Intrusion Prevention Service. Elle vous indique les proxies qui sont activés pour le service et la version de la base de données de signatures que vous utilisez.
  • Page 46 VPN. Vous pouvez ajouter Firebox X Edge e-Series à un réseau VPN Watchguard System Manager à partir de la page Accès WSM dans Administration. Pour plus d’informations, consultez les rubriques sous À...
  • Page 47 Présentation des pages de configuration Analyser Firebox X Edge Lorsque vous développez État du système dans la barre de navigation, une liste de catégories d’analyse s’affiche. À partir de ces pages, vous pouvez analyser tous les composants d’Edge et la façon dont ils fonctionnent.
  • Page 48 Présentation des pages de configuration Authentifications Cette page d’état affiche l’adresse IP, le nom d’utilisateur, l’heure de début, la durée d’inactivité et le type de connexion de chaque utilisateur actuellement authentifié sur Edge. Connexions Cette page d’état affiche toutes les connexions TCP/IP qui passent par Edge. Elle comprend les filtres de proxies et les filtres de paquets.
  • Page 49 Présentation des pages de configuration Liste des composants Cette page d’état affiche le logiciel installé sur Edge. Chaque attribut est affiché séparément : Version Numéro de génération Heure de génération Supprimer un lien - La colonne Supprimer ne contient généralement pas de composant. Tous les composants de cette liste sont ceux fournis par le représentant du support technique Edge indiqué, à...
  • Page 50 Présentation des pages de configuration DNS dynamique Cette page d’état affiche l’état de la configuration du DNS dynamique. Dernier Heure de la dernière mise à jour du DNS. Suivant Heure de la prochaine mise à jour du DNS. Sites hostiles Cette page d’état indique la durée pendant laquelle l’accès de l’adresse IP via Firebox est bloqué...
  • Page 51 Commentaire LiveSecurity Cette page affiche les dernières alertes du service LiveSecurity de WatchGuard. Lorsqu’une nouvelle alerte de sécurité est disponible, une note apparaît dans l’angle supérieur droit de la page État du système. Cliquez sur cet avertissement pour voir l’alerte. Les notifications d’alertes sont envoyées seulement une fois par jour.
  • Page 52 Présentation des pages de configuration Routes Cette page d’état affiche la table de routage d’Edge. Interface Interface associée à l’route. Réseau Réseau pour lequel l’route a été créé. Passerelle Passerelle utilisée par le réseau. Indicateurs définis pour chaque route. Mét Métrique définie pour cet route dans la table de routage.
  • Page 53 Présentation des pages de configuration Contrôle du trafic Cette page d’état indique comment le contrôle du trafic traite les paquets. Priorité Vous pouvez définir quatre niveaux de priorité pour le contrôle du trafic : o Interactif o Élevé o Moyen o Bas Taux Taux défini pour chaque priorité.
  • Page 54 Présentation des pages de configuration Firebox X Edge e-Series...
  • Page 55 Tâches de base de configuration et de gestion À propos des tâches de base de configuration et de gestion Une fois Firebox X Edge e-Series installé sur votre réseau et fonctionnant avec un fichier de configuration de base, vous pouvez ajouter des paramètres de configuration personnalisés adaptés à votre organisation. Les rubriques de la présente section vous aident à...
  • Page 56 Tâches de base de configuration et de gestion Le fichier de sauvegarde de la configuration n’inclut pas : Votre clé de licence ou vos clés de fonctionnalité Les signatures Gateway AV, IPS ou spamBlocker Le numéro de série d’Edge L’adresse MAC des interfaces réseau d’Edge Avant de commencer Ne modifiez pas le fichier de configuration manuellement.
  • Page 57 Tâches de base de configuration et de gestion Créer un fichier de sauvegarde de la configuration 1. Pour vous connecter à la page État du système, entrez https:// dans la barre d’adresses du navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 58 Tâches de base de configuration et de gestion À propos des paramètres usine par défaut Le terme paramètres usine par défaut fait référence à la configuration de Firebox X Edge lorsque vous recevez le système et avant de le modifier. Les paramètres de configuration et de réseau par défaut d’Edge sont les suivants : Réseau approuvé...
  • Page 59 étapes ci-dessous. Si vous ne procédez pas ainsi, le message « WatchGuard Firebox X Edge s’exécute à partir d’une copie de sauvegarde du microprogramme » s’affiche dans une page Web lorsque vous essayez de vous connecter à Edge. Ce message peut également s’afficher si le bouton Rétablir reste enfoncé.
  • Page 60 Tâches de base de configuration et de gestion Obtenir une clé de fonctionnalité Avant de pouvoir activer une nouvelle fonctionnalité, vous devez avoir reçu de WatchGuard un certificat de clé de licence qui ne soit pas déjà enregistré sur le site Web LiveSecurity.
  • Page 61 Tâches de base de configuration et de gestion À propos du redémarrage de Firebox Vous pouvez redémarrer Firebox X Edge e-Series à partir d’un ordinateur appartenant au réseau approuvé. Si vous activez l’accès externe à Edge, vous pouvez également redémarrer Edge à partir d’un ordinateur situé sur Internet.
  • Page 62 Tâches de base de configuration et de gestion Redémarrer Firebox à distance Si vous souhaitez pouvoir vous connecter à Edge afin de le gérer ou de le redémarrer à partir d’un ordinateur distant, vous devez commencer par configurer Edge de sorte qu’il autorise le trafic HTTPS entrant vers l’adresse IP de l’interface approuvée d’Edge.
  • Page 63 Tâches de base de configuration et de gestion Pour définir l’heure système 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 64 Tâches de base de configuration et de gestion 5. Si l’heure est définie automatiquement, Firebox X Edge interroge le serveur sélectionné dans la liste Serveurs NTP pour obtenir l’heure actuelle. Si ce serveur n’est pas disponible, Edge utilise le suivant. o Pour ajouter un serveur de temps, tapez son nom dans le champ Ajouter un nouveau serveur, puis cliquez sur Ajouter.
  • Page 65 Tâches de base de configuration et de gestion À propos du protocole SNMP Le protocole SNMP (Simple Network Management Protocol) est un ensemble d’outils permettant de surveiller et de gérer les réseaux. Il utilise des bases d’informations MIB (Management Information Bases) qui fournissent des informations de configuration sur les périphériques gérés ou analysés par le serveur SNMP.
  • Page 66 Tâches de base de configuration et de gestion À propos des bases d’informations MIB Une base d’informations MIB (Management Information Base) est une base de données d’objets qui peuvent être analysés par un système de gestion de réseau. Firebox X Edge e-Series prend en charge six bases d’informations MIB publiques en lecture seule : IP-MIB IF-MIB...
  • Page 67 Tâches de base de configuration et de gestion À propos de la sélection du protocole HTTP ou HTTPS pour la gestion HTTP (Hypertext Transfer Protocol) est le « langage » utilisé pour transférer des fichiers (textes, images graphiques et fichiers multimédias) sur Internet. HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) est une version sécurisée du protocole HTTP.
  • Page 68 880, lorsque vous vous connectez à Edge, vous devez taper : http://192.168.111.1:880. À propos de l’accès WatchGuard System Manager Utilisez la page Accès WSM pour activer la gestion à distance par WatchGuard System Manager. Avec WatchGuard System Manager version 8.3.1 et supérieures, vous pouvez gérer les stratégies, les mises à...
  • Page 69 7. Entrez un mot de passe de configuration pour Firebox X Edge, puis entrez-le à nouveau pour le confirmer. Si vous ne tapez pas ces mêmes mots de passe lors de l’ajout du périphérique à WatchGuard System Manager, vous ne pouvez pas vous connecter à Firebox X Edge.
  • Page 70 Tâches de base de configuration et de gestion 8. Dans la zone de texte Adresse de Management Server, entrez l’adresse IP du serveur Management Server si celui-ci possède une adresse IP publique. Si le serveur Management Server a une adresse IP privée, tapez l’adresse IP publique du périphérique Firebox qui le protège.
  • Page 71 Activer la gestion à distance avec WFS version 7.3 ou inférieure Les instructions qui suivent permettent de configurer l’accès à distance à partir de WatchGuard Firebox System version 7.3 ou inférieure. Ces versions de WatchGuard Firebox System utilisent VPN Manager et Firebox joue le rôle de serveur DVCP.
  • Page 72 Tâches de base de configuration et de gestion 7. Activez la case à cocher Activer Managed VPN pour configurer Firebox X Edge en tant que client sur le serveur DVCP WatchGuard. 8. Dans la zone de texte Adresse du serveur DVCP, tapez l’adresse IP du serveur DVCP.
  • Page 73 L’un des avantages des services LiveSecurity est de proposer des mises à jour logicielles constantes. Dès que de nouvelles menaces apparaissent et que WatchGuard améliore ses produits, vous êtes informé de la mise à disposition de nouvelles versions du logiciel de Firebox X Edge e-Series par des alertes. Vous devez posséder un abonnement valide à...
  • Page 74 Tâches de base de configuration et de gestion Méthode 2 : Installer le logiciel manuellement La seconde méthode utilise les pages de configuration de Firebox X Edge e-Series. Cette méthode peut être utilisée avec Windows ou tout autre système d’exploitation. Vous devez commencer par télécharger le fichier Mise à...
  • Page 75 Tâches de base de configuration et de gestion À propos des options de mise à niveau Deux éléments sont nécessaires pour ajouter des mises à niveau à Firebox X Edge : une clé de fonctionnalité et une clé de licence. Il est important de bien comprendre la différence entre ces deux clés. Firebox X Edge est fourni avec un certain nombre de fonctionnalités installées par défaut.
  • Page 76 Tâches de base de configuration et de gestion Ajouter une fonctionnalité à Firebox X Edge Lorsque vous achetez une mise à niveau de Firebox X Edge, vous recevez une clé de licence. Il peut s’agir d’un certificat papier ou d’un message électronique. Vous pouvez utiliser la procédure qui suit pour appliquer manuellement une nouvelle clé...
  • Page 77 Une fois que vous avez acheté une clé de licence de mise à niveau, vous pouvez mettre à niveau Firebox X Edge e-Series 10e ou Firebox X Edge 20e vers un modèle supérieur : 1. Allez sur le site de mise à niveau de WatchGuard (www.watchguard.com/upgrade) et connectez-vous à votre compte de services LiveSecurity.
  • Page 78 Tâches de base de configuration et de gestion Firebox X Edge e-Series...
  • Page 79 La configuration des adresses IP d’interface réseau est un élément essentiel de la configuration de WatchGuard Firebox. Lorsque vous exécutez l’Assistant Quick Setup Wizard, les interfaces externes et approuvées sont configurées pour que le trafic soit acheminé via Firebox. Vous pouvez suivre les procédures décrites dans cette section pour modifier cette configuration après avoir exécuté...
  • Page 80 Paramètres réseau Modifier les adresses IP de Firebox à l’aide de l’Assistant Network Setup Wizard Pour modifier les adresses IP réseau de Firebox X Edge e-Series, le plus simple est d’utiliser l’Assistant Network Setup Wizard. 1. Pour accéder à la page État du système, entrez dans la barre d’adresses du navigateur, suivi https:// de l’adresse IP de l’interface approuvée d’Edge.
  • Page 81 Paramètres réseau Configurer les interfaces externes Vous devez configurer manuellement votre réseau externe si vous n’utilisez pas l’Assistant Network Setup Wizard. Lorsque vous configurez le réseau externe, définissez la méthode utilisée par votre fournisseur de services Internet (ISP) pour attribuer une adresse IP à votre périphérique Firebox. Si vous ne connaissez pas cette méthode, contactez votre ISP ou l’administrateur réseau de votre entreprise.
  • Page 82 Paramètres réseau Si votre fournisseur de services Internet utilise des adresses IP statiques Si votre fournisseur de services Internet utilise des adresses IP statiques, vous devez entrer les informations d’adresses dans le périphérique Firebox X Edge pour que celui-ci puisse envoyer le trafic via l’interface externe.
  • Page 83 Paramètres réseau Pour configurer Firebox afin d’utiliser PPPoE sur l’interface externe : 1. À l’aide du navigateur, accédez à la page État du système. 2. Dans la barre de navigation, sélectionnez Réseau > Externe. La page Configuration du réseau externe s’affiche 3.
  • Page 84 3 est le plus approprié. Activer la trace de débogage PPPoE Le support technique de WatchGuard utilise cette case à cocher pour résoudre les problèmes liés à PPPoE. Cette option étant activée, Firebox X Edge crée un fichier que vous pouvez envoyer au support technique.
  • Page 85 Paramètres réseau Configurer l’interface externe en tant qu’interface sans fil Vous pouvez configurer l’interface externe principale (WAN1) pour Edge en tant qu’interface sans fil. 1. Pour accéder à la page État du système, entrez dans la barre d’adresses du navigateur, suivi https:// de l’adresse IP de l’interface approuvée de Firebox X Edge.
  • Page 86 Paramètres réseau À propos des paramètres de réseau externe avancés Dans la page Configuration du réseau externe, sélectionnez l’onglet Avancé pour modifier les paramètres de vitesse de connexion ou changer l’adresse MAC de l’interface externe d’Edge. Dans la liste déroulante Vitesse de la connexion, sélectionnez Automatique pour qu’Edge sélectionne la vitesse réseau appropriée ou sélectionnez la vitesse de connexion statique compatible avec votre matériel.
  • Page 87 Paramètres réseau 4. Dans la zone de texte Adresse MAC de remplacement, entrez la nouvelle adresse MAC du réseau externe de Firebox X Edge. Vous devez entrer l’adresse MAC sous la forme d’un nombre hexadécimal. N’utilisez pas de caractères supplémentaires, tels que les espaces ou les tirets. 5.
  • Page 88 Paramètres réseau Modifier l’adresse IP du réseau approuvé Pour modifier l’adresse IP du réseau approuvé : 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 89 Paramètres réseau Activer le serveur DHCP sur le réseau approuvé L’option Serveur DHCP permet à Firebox X Edge e-Series d’attribuer des adresses IP aux ordinateurs du réseau approuvé. Lorsqu’il reçoit une requête DHCP provenant d’un ordinateur du réseau approuvé, Edge lui attribue une adresse IP.
  • Page 90 Paramètres réseau Définir les réservations d’adresse DHCP du réseau approuvé Vous pouvez attribuer manuellement la même adresse IP à un ordinateur du réseau approuvé à chaque fois qu’il demande une adresse IP DHCP. Firebox X Edge identifie l’ordinateur par son adresse MAC. 1.
  • Page 91 Paramètres réseau À propos des agents de relais DHCP Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les ordinateurs des réseaux approuvés ou facultatifs. Firebox peut envoyer une requête DHCP, via un tunnel VPN, d’un client DHCP à un serveur DHCP sur un site différent.
  • Page 92 Paramètres réseau Utiliser des adresses IP pour les ordinateurs approuvés Vous pouvez utiliser des adresses IP statiques pour une partie ou l’ensemble des ordinateurs de votre réseau approuvé. Si vous désactivez le serveur DHCP de Firebox X Edge et ne disposez pas d’un serveur DHCP sur votre réseau, vous devez configurer vous-même l’adresse IP et le masque de sous-réseau de chacun des ordinateurs.
  • Page 93 Paramètres réseau Restreindre l’accès à l’interface approuvée à l’aide d’une adresse MAC 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 94 Paramètres réseau 4. Cliquez sur Analyser pour qu’Edge détecte toutes les adresses matérielles sur le réseau. Pour qu’Edge essaie de résoudre les noms d’hôtes de tous les ordinateurs Windows détectés au cours de l’analyse, assurez-vous que la case à cocher Essayer de résoudre les noms d’hôtes Windows pendant l’analyse est activée.
  • Page 95 Paramètres réseau 7. Activez la case à cocher Consigner les tentatives d’accès des adresses MAC ne figurant pas dans la liste pour qu’Edge génère un message du journal à chaque fois qu’un ordinateur dont l’adresse matérielle ne figure pas dans la liste essaie d’y accéder. 8.
  • Page 96 Paramètres réseau Activer le réseau facultatif 1. Pour accéder à la page État du système, entrez dans la barre d’adresses du navigateur, suivi https:// de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 97 Paramètres réseau Activer le serveur DHCP sur le réseau facultatif L’option Serveur DHCP permet à Firebox X Edge d’attribuer des adresses IP aux ordinateurs du réseau facultatif. Lorsqu’il reçoit une requête DHCP d’un ordinateur du réseau facultatif, Edge lui attribue une adresse IP.
  • Page 98 Paramètres réseau Définir les réservations d’adresse DHCP du réseau facultatif Vous pouvez attribuer manuellement une adresse IP à un ordinateur du réseau facultatif. Firebox X Edge identifie l’ordinateur par son adresse MAC. 1. À l’aide du navigateur, accédez à la page État du système. Dans la barre de navigation, sélectionnez Réseau >...
  • Page 99 Paramètres réseau À propos des agents de relais DHCP Vous pouvez faire appel à un serveur DHCP sur un réseau différent afin d’obtenir des adresses IP pour les ordinateurs des réseaux approuvés ou facultatifs. Firebox peut envoyer une requête DHCP, via un tunnel VPN, d’un client DHCP à un serveur DHCP sur un site différent.
  • Page 100 à un réseau distant, tout le trafic qui lui est destiné est envoyé à la passerelle par défaut de Firebox. WatchGuard Users Forum est une mine précieuse d’informations sur les routes réseau et les routeurs. Firebox X Edge e-Series...
  • Page 101 Paramètres réseau Ajouter un route statique 1. Pour accéder à la page État du système, entrez dans la barre d’adresses du navigateur, suivi https:// de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 102 Firebox, DynDNS.com est automatiquement mis à jour. Pour plus d’informations sur le DNS dynamique, rendez-vous sur le site http://www.dyndns.com. WatchGuard n’est pas une filiale de DynDNS.com. Créer un compte DynDNS Pour créer votre compte, consultez le site Web DynDNS à l’adresse http://www.dyndns.com.
  • Page 103 Paramètres réseau 5. Dans la liste déroulante Système, sélectionnez le système à utiliser dans le cadre de cette mise à jour. Pour obtenir une explication de chaque option, rendez-vous sur le site http://www.dyndns.com/ services/. o L’option dyndns envoie des mises à jour pour un nom d’hôte DNS dynamique. Utilisez dyndns si votre adresse IP est dynamique ou si elle change régulièrement, par exemple.
  • Page 104 à distance, vous devez utiliser l’option de basculement WAN. Si vous souhaitez acheter une mise à niveau Edge Pro pour votre périphérique Firebox X Edge, contactez votre revendeur ou visitez la boutique en ligne de WatchGuard à l’adresse suivante : https://www.watchguard.com/store.
  • Page 105 Paramètres réseau Options de configuration de plusieurs WAN Si vous disposez d’un logiciel Edge Pro pour Firebox X Edge e-Series, vous pouvez configurer une seconde interface externe pour Edge. Vous pouvez choisir parmi deux options de configuration pour contrôler la façon dont Edge achemine le trafic via la seconde interface externe.
  • Page 106 Paramètres réseau Configurer une seconde interface externe pour une connexion haut débit 1. Si vous utilisez une connexion statique à Internet, sélectionnez Configuration manuelle dans la liste déroulante Mode de configuration. Si vous utilisez DHCP pour vous connecter au réseau externe, sélectionnez Client DHCP dans la liste déroulante Mode de configuration.
  • Page 107 Paramètres réseau 3. Pour remplacer l’adresse MAC, activez la case à cocher Activer l’adresse MAC de remplacement, puis entrez la nouvelle adresse MAC dans le champ Adresse MAC de remplacement. Certains FSI utilisent une adresse MAC pour identifier les ordinateurs présents sur leur réseau. Chaque adresse MAC obtient une adresse IP statique.
  • Page 108 Paramètres réseau 7. Entrez le nombre maximal de requêtes ping avant expiration du délai d’attente dans le champ Nombre de réponses max.. 8. Entrez le nombre minimal de requêtes ping devant être réussies avant que Firebox X Edge ne rebascule sur l’interface WAN1 dans le champ Réponses ping nécessaires à...
  • Page 109 Paramètres réseau Utilisez les paramètres de basculement pour définir les adresses IP des ordinateurs auxquels Edge doit envoyer des requêtes ping pour déterminer si les interfaces WAN sont actives ou non. 1. Dans la barre de navigation, sélectionnez Réseau > Externe. Si vous disposez d’une licence Edge Pro, vous pouvez voir les paramètres de basculement au bas de la page.
  • Page 110 Paramètres réseau 5. Pour vérifier la connectivité de l’interface, Edge envoie régulièrement des requêtes ping à l’adresse IP que vous spécifiez. En dessous de la zone Paramètres de basculement, entrez les adresses IP auxquelles Edge doit envoyer des requêtes ping pour les interfaces WAN1 (externe) et WAN2 (de basculement) dans les champs correspondants.
  • Page 111 Paramètres réseau 5. N’activez la case à cocher Activer le modem et la trace de débogage PPP que si vous rencontrez des difficultés à vous connecter. Lorsque cette option est sélectionnée, Edge envoie des journaux détaillés pour la fonctionnalité de basculement vers un modem série dans le fichier journal des événements. 6.
  • Page 112 Paramètres réseau Paramètres d’accès à distance 1. Dans la zone de texte Délai d’attente de l’appel, entrez le nombre de secondes avant expiration du délai d’attente si votre modem ne parvient pas à se connecter. 2. Dans la zone de texte Tentatives de rappel, entrez le nombre de fois qu’Edge tente de rappeler le numéro si votre modem ne parvient pas à...
  • Page 113 Paramètres réseau Ajouter un indicateur VLAN à l’interface externe Pour marquer le trafic envoyé à l’interface externe sur Edge comme appartenant à un VLAN : 1. Pour accéder à la page État du système, entrez dans la barre d’adresses du navigateur, suivi https:// de l’adresse IP de l’interface approuvée de Firebox X Edge.
  • Page 114 Paramètres réseau Firebox X Edge e-Series...
  • Page 115 Configuration sans fil À propos de la configuration sans fil Firebox X Edge e-Series sans fil peut être configuré en tant que point d’accès sans fil avec trois zones de sécurité différentes. Vous pouvez activer les périphériques sans fil pour vous connecter à Edge sans fil en tant que membre du réseau approuvé...
  • Page 116 Configuration sans fil À propos des paramètres de configuration sans fil Lorsque vous activez l’accès sans fil au réseau invité approuvé, facultatif ou sans fil, certains paramètres de configuration sont communs aux trois zones de sécurité. Modifier l’identificateur SSID L’identificateur SSID (Service Set Identifier) est le nom unique de votre réseau sans fil. Pour utiliser le réseau sans fil à...
  • Page 117 Il s’agit de la configuration la plus adaptée à la plupart des environnements. Pour plus d’informations concernant le paramètre de seuil de fragmentation, consultez le forum aux questions à l’adresse : https://www.watchguard.com/support/faqs/edge. Vous devez vous connecter à votre compte LiveSecurity pour consulter ce forum aux questions.
  • Page 118 Configuration sans fil À propos des paramètres de sécurité sans fil Firebox X Edge e-Series sans fil utilise trois normes de protocoles de sécurité pour protéger les réseaux sans fil. Il s’agit de WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) et WPA2. Chaque norme de protocole peut chiffrer les transmissions sur le réseau local (LAN) sans fil entre les ordinateurs et les points d’accès.
  • Page 119 Configuration sans fil Authentification à clé partagée et à système ouvert Les options de chiffrement pour l’authentification à système ouvert et à clé partagée sont WEP 64 bits hexadécimal, WEP 40 bits ASCII, WEP 128 bits hexadécimal et WEP 128 bits ASCII. Si vous choisissez l’authentification à...
  • Page 120 Configuration sans fil À propos des connexions sans fil à l’interface approuvée Si vous activez les connexions sans fil à l’interface approuvée, il est recommandé d’activer et d’utiliser la fonction d’Edge qui vous permet de restreindre l’accès à l’interface approuvée par le biais de l’adresse MAC. Cette fonction empêche les utilisateurs de se connecter à...
  • Page 121 Configuration sans fil 8. Dans la liste déroulante Authentification, sélectionnez le type d’authentification à activer pour les connexions sans fil à l’interface approuvée. Il est conseillé d’utiliser le mode d’authentification WPA2 si les périphériques sans fil du réseau le prennent en charge. 9.
  • Page 122 Configuration sans fil Autoriser les connexions sans fil à l’interface facultative 1. Pour vous connecter à la page État du système, tapez dans la barre d’adresses du navigateur https:// et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 123 Configuration sans fil 6. Dans la zone de texte Nom de réseau (SSID), tapez un nom unique pour le réseau facultatif sans fil Edge ou utilisez le nom par défaut. 7. Pour modifier le seuil de fragmentation, tapez une valeur dans le champ Seuil de fragmentation. Les valeurs possibles sont comprises entre 256 et 2 346.
  • Page 124 Configuration sans fil 3. Sous l’onglet Paramètres, activez la case à cocher Activer le réseau invité sans fil pour autoriser les connexions sans fil à Internet via Edge selon les règles configurées pour l’accès sortant sur Edge. Ces ordinateurs ne peuvent pas accéder aux ordinateurs sur le réseau approuvé ou facultatif. 4.
  • Page 125 Configuration sans fil À propos des paramètres radio sans fil Firebox X Edge e-Series sans fil utilise des signaux de fréquence radio pour envoyer et recevoir le trafic des ordinateurs équipés de cartes Ethernet sans fil. Plusieurs paramètres sont spécifiques à la sélection du canal Edge.
  • Page 126 Configuration sans fil Configurer la carte sans fil d’un ordinateur Ces instructions concernent le système d’exploitation Windows XP avec Service Pack 2. Pour consulter les instructions d’installation des autres systèmes d’exploitation, reportez-vous à la documentation ou aux fichiers d’aide appropriés. 1.
  • Page 127 Stratégies de pare-feu À propos des stratégies Firebox utilise deux catégories de stratégie pour filtrer le trafic réseau : les filtres de paquets et les proxies. Un filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet. Si les informations d’en-tête du paquet sont légitimes, Firebox autorise le paquet.
  • Page 128 Stratégies de pare-feu Voici un exemple d’utilisation d’une stratégie : supposons que l’administrateur réseau d’une société souhaite activer une connexion de services de terminal Windows au serveur Web public de sa société, via l’interface approuvée de Firebox. Il gère de manière régulière le serveur Web avec une connexion Remote Desktop. Parallèlement, il souhaite s’assurer qu’aucun autre utilisateur du réseau ne pourra accéder aux services de terminal RDP via Firebox.
  • Page 129 Stratégies de pare-feu À propos du routage basé sur stratégie Pour envoyer le trafic réseau, un routeur inspecte en principe l’adresse de destination du paquet, puis recherche la destination du saut suivant dans sa table de routage. Dans certains cas, il est préférable que le trafic emprunte un autre route que celui par défaut indiqué...
  • Page 130 Stratégies de pare-feu Pour configurer les stratégies de filtrage des paquets : 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 131 Stratégies de pare-feu Modifier des stratégies communes de filtrage de paquets Vous pouvez modifier certains des paramètres par défaut d’une stratégie commune de filtrage des paquets. Dans l’onglet Entrant, vous pouvez définir un hôte de service, rediriger le port, activer la journalisation ou limiter les adresses IP du réseau externe qui peuvent se connecter à...
  • Page 132 Stratégies de pare-feu Définir les options de contrôle d’accès (entrant) 1. Dans la page Modifier les stratégies, sélectionnez l’onglet Entrant. L’onglet Entrant s’affiche. 2. Dans la liste déroulante Filtre entrant, sélectionnez la règle à appliquer. Cette règle affecte uniquement le trafic entrant. 3.
  • Page 133 Stratégies de pare-feu 3. Pour spécifier quels ordinateurs de votre réseau approuvé ou facultatif peuvent utiliser cette stratégie, dans la zone De, sélectionnez Tout, puis cliquez sur Supprimer. Sélectionnez Adresse IP de l’hôte, Adresse IP du réseau, Plage d’hôtes ou Alias dans la liste déroulante. Entrez ensuite l’adresse IP ou la plage d’adresses IP à...
  • Page 134 Stratégies de pare-feu Ajouter une stratégie personnalisée à l’aide de l’Assistant 1. Dans la barre de navigation, cliquez sur Assistants. 2. En regard de la zone Définir une stratégie personnalisée, cliquez sur OK. 3. Pour ouvrir une stratégie personnalisée, suivez les instructions données dans l’Assistant. L’Assistant Traffic Filter Wizard comporte les étapes suivantes : Bienvenue Le premier écran est une présentation de l’Assistant et des informations dont vous devez disposer...
  • Page 135 Stratégies de pare-feu Ajouter manuellement une stratégie personnalisée Vous pouvez ajouter une stratégie personnalisée sans recourir à l’Assistant. 1. Pour vous connecter à la page d’état du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 136 Stratégies de pare-feu Filtrer le trafic entrant pour une stratégie personnalisée Ces étapes limitent le trafic entrant pour une stratégie à certains ordinateurs derrière le pare-feu. Pour plus d’informations sur la façon de contrôler le trafic sortant, voir Filtrer le trafic sortant pour une stratégie personnalisée.
  • Page 137 Stratégies de pare-feu Filtrer le trafic sortant pour une stratégie personnalisée Ces étapes permettent de limiter le trafic qui traverse Firebox X Edge. Pour plus d’informations sur la limitation du trafic entrant, voir Filtrer le trafic entrant pour une stratégie personnalisée.
  • Page 138 Stratégies de pare-feu À propos des stratégies du réseau facultatif Par défaut, Firebox X Edge e-Series autorise l’ensemble du trafic qui part du réseau approuvé pour essayer d’accéder au réseau facultatif, puis refuse l’ensemble du trafic qui part du réseau facultatif pour essayer d’accéder au réseau approuvé.
  • Page 139 Stratégies de pare-feu Désactiver les filtres de trafic entre les réseaux approuvés et facultatifs Pour autoriser le trafic réseau entre le réseau facultatif et le réseau approuvé, vous devez autoriser tout le trafic entre les réseaux approuvés et facultatifs. Activez la case à cocher Désactiver les filtres de trafic pour autoriser tout le trafic entrant et sortant entre les interfaces approuvées et facultatives.
  • Page 140 Stratégies de pare-feu À propos de la priorité des stratégies La priorité correspond à la séquence dans laquelle le périphérique Firebox examine le trafic réseau et applique une règle de stratégie. Le périphérique Firebox trie automatiquement les stratégies de la plus spécifique à la plus générale.
  • Page 141 À propos des stratégies de proxy Toutes les stratégies WatchGuard, aussi bien les stratégies de filtrage de paquets que les stratégies de proxy, constituent des outils importants en matière de sécurité du réseau. Un filtre de paquets inspecte l’en-tête IP et TCP/UDP de chaque paquet, tandis qu’un proxy surveille et analyse les connexions entières.
  • Page 142 Paramètres de proxy À propos de l’ajout et de la configuration de stratégies de proxy Lors de l’ajout d’une stratégie de proxy à votre configuration Firebox, vous précisez les types de contenus que le proxy doit rechercher au moment du filtrage du trafic. Si le contenu correspond (ou non) aux critères de la définition du proxy, ce dernier autorise (ou refuse) le trafic réseau.
  • Page 143 Paramètres de proxy Ajouter ou modifier une stratégie de proxy Pour ajouter ou modifier les propriétés d’une stratégie de proxy, sélectionnez Pare-feu > Sortant ou Pare-feu > Entrant dans le menu de navigation. Si vous voulez créer une stratégie de proxy, cliquez sur Nouvelle stratégie de proxy personnalisée.
  • Page 144 Paramètres de proxy Utiliser une stratégie pour la gestion du trafic réseau VPN manuel 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est la suivante : https://192.168.111.1.
  • Page 145 Paramètres de proxy Requêtes HTTP : Paramètres généraux Délai d’attente des connexions inactives Ce paramètre détermine le délai pendant lequel le proxy HTTP attend que le client effectue une demande une fois la connexion au serveur établie. Si ledit client n’effectue aucune demande dans le délai imparti, le proxy met fin à...
  • Page 146 Paramètres de proxy Un message de refus est généré dans votre navigateur Web par Firebox lorsque vous effectuez une demande que le proxy HTTP n’autorise pas. Un message de refus est également généré lorsque votre demande est autorisée mais que le proxy HTTP refuse la réponse depuis le serveur Web distant. Par exemple, si un utilisateur essaie de télécharger un fichier «...
  • Page 147 Pour ajouter un nom de domaine, tapez l’URL sans la faire précéder de « http:// ». Par exemple, pour permettre aux utilisateurs d’accéder au site Web de WatchGuard http://www.watchguard.com, entrez . Pour autoriser tous les sous-domaines contenant « watchguard.com », vous pouvez www.watchguard.com utiliser l’astérisque (*) comme caractère générique.
  • Page 148 Paramètres de proxy Ajouter, supprimer ou modifier des types de contenus 1. Sélectionnez l’onglet Contenu HTTP. 2. Activez la case à cocher Autoriser uniquement les types de contenus sécurisés si vous souhaitez limiter les types de contenus autorisés via le proxy. Une liste des types MIME courants est incluse par défaut.
  • Page 149 Paramètres de proxy À propos du proxy FTP Le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers) permet d’envoyer des fichiers d’un ordinateur vers un autre via un réseau TCP/IP. Le client FTP est en principe un ordinateur. Le serveur FTP peut être une ressource stockant les fichiers sur le même réseau ou sur un autre réseau.
  • Page 150 Paramètres de proxy Proxy FTP : Limites de proxy Dans l’onglet Paramètres FTP, vous avez la possibilité de définir pour le proxy les longueurs maximales autorisées pour le nom d’utilisateur, le mot de passe, les noms de fichier et les entrées de ligne de commande. Ces limites contribuent à...
  • Page 151 Paramètres de proxy Proxy FTP : Transfert et téléchargement de contenu Vous pouvez contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP. Par exemple, de nombreux pirates utilisent des fichiers exécutables pour infecter les ordinateurs avec des virus ou des vers, c’est pourquoi vous pouvez décider de refuser les demandes de fichiers *.exe.
  • Page 152 Paramètres de proxy À propos du proxy POP3 POP3 (Post Office Protocol v.3) est un protocole qui transfère les e-mails depuis un serveur de messagerie vers un client de messagerie via une connexion TCP sur le port 110. La plupart des comptes de messagerie basés sur Internet utilisent POP3.
  • Page 153 POP3 et des messages visualisés par les utilisateurs lorsque le proxy POP3 détecte et bloque un contenu, consultez le Forum aux questions d’Edge à l’adresse http://www.watchguard.com/support/faq/edge. Délai Utilisez ce paramètre pour limiter la durée (en secondes) pendant laquelle le client de messagerie essaie d’ouvrir une connexion vers le serveur de messagerie avant de mettre fin à...
  • Page 154 Paramètres de proxy %(nom_fichier)% Indique le nom du fichier joint. %(virus)% Indique le type de virus détecté. %(action)% Indique l’action entreprise par la stratégie de proxy. %(raison)% Indique la raison pour laquelle la stratégie de proxy a refusé le contenu. %(récupération)% Indique si vous pouvez récupérer la pièce jointe.
  • Page 155 Paramètres de proxy Proxy POP3 : Types de contenus Certains types de contenus intégrés aux e-mails peuvent constituer une menace de sécurité pour votre réseau. D’autres types de contenus peuvent réduire la productivité de vos utilisateurs. L’onglet Contenu POP3 permet de limiter les types de contenus mais aussi de bloquer les URL et modèles de chemins spécifiés. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique.
  • Page 156 Paramètres de proxy Proxy POP3 : Autoriser uniquement les types de contenus sécurisés Les en-têtes d’e-mails incluent un en-tête Type de contenu qui indique le type MIME de l’e-mail et le cas échéant des pièces jointes. Le type de contenu du type MIME indique à l’ordinateur les types de supports contenus dans le message.
  • Page 157 Paramètres de proxy Modifier le proxy SMTP Pour modifier les paramètres par défaut du proxy SMTP, sélectionnez Pare-feu > Trafic entrant dans le menu de navigation. Recherchez le proxy SMTP et cliquez sur Modifier. Observez tous les onglets de la configuration du proxy SMTP.
  • Page 158 Paramètres de proxy Proxy SMTP : Limites du proxy Sous l’onglet Paramètres SMTP, vous pouvez définir des limites pour les délais d’attente, la taille des e-mails et la longueur des lignes. Ceci empêche le proxy SMTP d’utiliser trop de ressources réseau et permet d’éviter certains types d’attaques.
  • Page 159 Paramètres de proxy Proxy SMTP : Message de refus Dans le champ Message de refus, vous pouvez rédiger un message texte personnalisé qui s’affichera dans le message électronique du destinataire lorsque le proxy bloque ce message. Vous pouvez utiliser les variables suivantes : %(type)% Insère le type de contenu du message électronique.
  • Page 160 Paramètres de proxy Limiter les destinataires d’e-mails Activez cette case à cocher pour autoriser la réception d’e-mails à certains utilisateurs de votre réseau uniquement. Cette fonction peut être utile pour empêcher les gens d’utiliser le serveur de messagerie comme relais. Pour ce faire, vérifiez que tous les domaines dont les messages sont acceptés par le serveur de messagerie figurent dans la liste de règles.
  • Page 161 Paramètres de proxy Ajouter ou supprimer un type de contenu 1. Pour ajouter des types de contenus supplémentaires à la liste par défaut, entrez le type MIME et cliquez sur Ajouter. 2. Pour supprimer un type de contenu, sélectionnez-le dans la liste et cliquez sur Supprimer. Il est impossible de supprimer car le proxy SMTP ne peut pas fonctionner sans message/*...
  • Page 162 Avec H.323, le composant essentiel de la gestion des appels est appelé « portier ». À l’heure actuelle, WatchGuard ne prend pas en charge les connexions H.323 hébergées par des systèmes de gestion des appels. Dans la version actuelle, le proxy H.323 prend uniquement en charge les connexions pair à pair.
  • Page 163 Ces composants assurent à eux deux la fonctionnalité de H.323 Gatekeeper et fonctionnent ensemble pour gérer des connexions reçues par le système de gestion d’appel. Le proxy SIP WatchGuard et le proxy SIP standard sont différents. Le proxy SIP WatchGuard est un proxy transparent qui ouvre et ferme des ports pour permettre le fonctionnement de SIP.
  • Page 164 Paramètres de proxy À propos du proxy sortant La stratégie pour le trafic sortant s’applique à tout le trafic réseau sortant, y compris le trafic géré par d’autres stratégies communes telles que HTTP ou FTP. La stratégie de filtrage de paquets vous permet de limiter les adresses IP pouvant envoyer du trafic depuis des interfaces approuvées ou facultatives vers l’interface externe.
  • Page 165 Firebox X Edge afin de renforcer la sécurité de votre réseau. Ces services d’abonnement sont fournis par WatchGuard. Pour obtenir les informations de souscription, visitez le site Web LiveSecurity de WatchGuard, à l’adresse http://www.watchguard.com/store, ou prenez contact avec votre revendeur WatchGuard.
  • Page 166 Paramètres de proxy Firebox X Edge e-Series...
  • Page 167 Default Threat Protection À propos de Default Threat Protection Firebox X Edge e-Series intègre un ensemble de fonctions Default Threat Protection destinées à écarter tout trafic réseau des systèmes qui présentent ou risquent de présenter une menace à la sécurité. Ces fonctions sont les suivantes : Site définitivement bloqué...
  • Page 168 Default Threat Protection À propos des sites bloqués La fonctionnalité Sites bloqués vous permet de protéger votre réseau de systèmes connus pour présenter ou pouvant présenter un risque de sécurité. Une fois que vous avez identifié la source du trafic suspect, vous pouvez bloquer l’ensemble des connexions en provenance de cette adresse IP.
  • Page 169 Default Threat Protection Bloquer un site de façon permanente 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1. 2.
  • Page 170 Default Threat Protection Bloquer des sites de façon temporaire Pour afficher la liste des adresses IP qu’Edge bloque automatiquement, sélectionnez État du système > Sites hostiles. Vous pouvez consulter la liste des sites bloqués de façon temporaire ainsi que les messages des journaux pour choisir en toute connaissance de cause les adresses IP à bloquer de manière permanente.
  • Page 171 Default Threat Protection À propos des ports bloqués Vous pouvez bloquer les ports qui sont susceptibles d’être utilisés pour déclencher une attaque sur votre réseau. Les services réseau externes spécifiés sont alors arrêtés. Le blocage d’un port est prioritaire sur toutes les règles définies dans le pare-feu. Vous pouvez choisir de bloquer un port pour diverses raisons: En bloquant vos ports, vous protégez vos services les plus vulnérables.
  • Page 172 Default Threat Protection Bloquer un port Soyez prudent si vous bloquez des numéros de port supérieurs à 1023. Les clients utilisent fréquemment ces numéros de port source. 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
  • Page 173 Default Threat Protection À propos des attaques de refus de service Le périphérique Firebox X Edge e-Series intègre une fonctionnalité contre le refus de service qui offre une protection contre les attaques de refus de service (DoS, Denial-of-service) et de refus de service distribué (DDoS, Distributed Denial-of-Service) les plus courantes et les plus fréquemment utilisées sur Internet.
  • Page 174 Default Threat Protection Dans la page Pare-feu > Intrusion Prevention, sélectionnez l’onglet Défense DoS, puis définissez le seuil de paquet/seconde pour les types d’attaques DoS Flood suivants : Attaque IPSec Flood Attaque DoS au cours de laquelle la personne malveillante surcharge un ordinateur avec un nombre important de connexions IPSec.
  • Page 175 Default Threat Protection Prévention des refus de service distribués Utilisez la fonction de prévention du refus de service distribué pour définir les limites du trafic client et serveur. Le paramètre Quota serveur permet de définir un nombre maximal de connexions entrantes simultanées autorisées via Firebox à...
  • Page 176 Default Threat Protection Configurer les options de pare-feu La page Options de pare-feu vous permet de configurer des règles pour augmenter la sécurité du réseau. 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
  • Page 177 Default Threat Protection Les options de pare-feu sont préconfigurées pour répondre aux besoins d’un grand nombre de clients Edge. Activez la case à cocher de toutes les options à activer, puis cliquez sur Envoyer pour enregistrer les modifications dans Edge. Les options de pare-feu sont les suivantes : Ne pas répondre aux requêtes ping Vous pouvez configurer Firebox X Edge e-Series pour qu’il refuse les requêtes ping reçues sur le réseau approuvé, externe ou facultatif.
  • Page 178 Default Threat Protection Firebox X Edge e-Series...
  • Page 179 Gestion du trafic À propos de la gestion du trafic Firebox X Edge e-Series propose de nombreuses méthodes pour gérer le trafic sur votre réseau. Vous pouvez limiter le taux de trafic envoyé vers l’interface externe ou IPSec en utilisant la qualité de service (QoS) par le biais du contrôle du trafic.
  • Page 180 Gestion du trafic Catégories de trafic Firebox X Edge e-Series vous permet de limiter les données envoyées par le biais de stratégies et de filtres de contrôle du trafic. Une stratégie peut autoriser ou refuser toutes les données d’un type spécifié. Le contrôle du trafic n’autorise pas ni ne refuse de données, mais crée des «...
  • Page 181 Gestion du trafic Marquer le trafic Si Firebox X Edge s’inscrit dans un réseau plus important qui utilise la qualité de service (QoS) et que votre périphérique en amont, votre équipement de réseau local et votre service IPS la prennent en charge, vous pouvez appliquer un marquage pour chaque catégorie de trafic réseau que vous définissez dans votre système Edge.
  • Page 182 Gestion du trafic Le tableau ci-dessous indique les valeurs DSCP que vous pouvez sélectionner, la valeur de priorité IP correspondante (qui est la même que la valeur CS) et la description par des mots clés PHB. Valeur DSCP Valeur de priorité IP équivalente Description : mot clé...
  • Page 183 Gestion du trafic À propos des options de contrôle du trafic Firebox X Edge e-Series propose de nombreuses options de contrôle du trafic, dont notamment : Le contrôle du trafic est désactivé. Edge envoie le trafic réseau dans l’ordre où il le reçoit. Le contrôle du trafic est activé, mais la définition des priorités est désactivée.
  • Page 184 Gestion du trafic 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez Réseau > Contrôle du trafic. La page Contrôle du trafic s’affiche.
  • Page 185 Gestion du trafic 5. Activez la case à cocher Définition des priorités si vous voulez ajouter des filtres aux autres catégories de trafic réseau. Les listes de définition de priorités sont activées. 6. Pour créer des filtres pour les catégories de trafic interactif, à priorité élevée, moyenne ou basse, cliquez sur le bouton Ajouter à...
  • Page 186 Gestion du trafic À propos de la traduction d’adresses réseau La traduction d’adresses réseau ou NAT (Network Address Translation) représente l’une des différentes formes de traduction de ports et d’adresses IP. Dans sa forme la plus rudimentaire, NAT remplace la valeur de l’adresse IP d’un paquet par une autre valeur.
  • Page 187 Gestion du trafic Adresses IP secondaires Vous pouvez attribuer huit adresses IP publiques à l’interface externe principale (WAN1). Ces adresses sont utilisées pour NAT un à un. Lorsque vous configurez les adresses IP secondaires sur le réseau externe : L’adresse IP principale doit être une adresse IP statique. La première adresse IP est l’adresse IP principale.
  • Page 188 Gestion du trafic À propos de NAT un à un Lorsque vous activez NAT un à un, Firebox modifie et achemine tous les paquets entrants et sortants envoyés à partir d’une plage d’adresses vers une autre plage d’adresses. Une règle NAT un à un est toujours prioritaire sur une règle de traduction d’adresses réseau dynamique.
  • Page 189 Gestion du trafic Activer la règle NAT un à un L’activation de la règle NAT un à un s’effectue en trois étapes : 1. Ajout d’une paire d’adresses IP. Pour plus d’informations, voir Ajouter une adresse IP externe secondaire. Une adresse IP externe secondaire est une adresse IP publique sur l’interface externe qui possède également une adresse IP sur le réseau approuvé...
  • Page 190 Gestion du trafic Ajouter ou modifier une stratégie pour la règle NAT un à un 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 191 Server, un composant de WatchGuard System Manager (WSM). Vous devez disposer de Firebox III, Firebox X Core ou Firebox X Peak pour télécharger et installer WSM et le logiciel WatchGuard Log Server. Le logiciel de serveur syslog est disponible auprès de fournisseurs tiers.
  • Page 192 Le serveur Log Server peut recevoir les messages de journal à partir de votre système Firebox ou d’un serveur WatchGuard. Une fois que vous avez configuré votre système Firebox et le serveur Log Server, Firebox envoie les messages de journal vers le serveur Log Server. Vous pouvez activer la journalisation dans les différentes applications et stratégies WSM que vous avez définies pour que Firebox contrôle le niveau des journaux que...
  • Page 193 Le serveur WatchGuard Log Server (anciennement connu sous le nom de WatchGuard System Event Processor, ou WSEP) est un composant de WatchGuard System Manager. Si vous disposez de Firebox III, Firebox X Core ou Firebox X Peak, configurez un serveur Log Server principal pour collecter les messages de journal provenant de Firebox X Edge e-Series.
  • Page 194 4. Activez la case à cocher Envoyer les journaux au format XML natif pour que les messages du journal Edge soient envoyés vers le serveur WatchGuard Log Server dans la norme de format XML pour Fireware v8.0 ou version ultérieure. L’installation de WSM/Log Server doit correspondre à WSM v8.3 ou version ultérieure.
  • Page 195 Journalisation À propos de Syslog Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d’autres plates- formes. Vous pouvez configurer Firebox de sorte qu’il envoie des informations de journalisation à un serveur syslog. Un périphérique Firebox peut envoyer des messages des journaux à un serveur Log Server et à un serveur syslog, en même temps, ou à...
  • Page 196 Journalisation Firebox X Edge e-Series...
  • Page 197 Certificats À propos des certificats Lorsque vous utilisez l’authentification locale pour vous connecter à Firebox via le protocole HTTP sécurisé, Firebox utilise un certificat pour sécuriser votre session. Vous pouvez également utiliser des certificats pour l’authentification VPN. Les certificats sont des fichiers qui utilisent une signature numérique pour faire correspondre l’identité d’une personne ou organisation à...
  • Page 198 Certificats Utiliser OpenSSL pour générer une demande de signature de certificat OpenSSL est installé avec un maximum de distributions GNU/Linux. Pour télécharger le code source ou un fichier binaire Windows, accédez au site http://www.openssl.org/ et suivez les consignes d’installation pour votre système d’exploitation.
  • Page 199 Certificats Utiliser l’autorité de certification Microsoft pour créer un certificat L’autorité de certification est distribuée sous la forme d’un composant de Windows Server 2003. Si elle ne figure pas dans le dossier Outils d’administration du Panneau de configuration, suivez les instructions du fabricant pour l’installer.
  • Page 200 Certificats À propos de l’utilisation des certificats sur Firebox X Edge Vous devez importer un certificat pour l’activer. Si vous prévoyez d’utiliser un certificat pour l’authentification VPN sur un tunnel existant, vous devez également modifier la configuration du tunnel VPN pour qu’il utilise le nouveau certificat.
  • Page 201 L’administrateur Edge peut définir un délai d’inactivité de session maximal global. Pour fermer toutes les sessions, vous devez redémarrer Edge. Les mises à niveau de licences sont disponibles auprès de votre revendeur ou sur le site Web de WatchGuard à l’adresse : http://www.watchguard.com/products/purchaseoptions.asp.
  • Page 202 Gestion des utilisateurs et des groupes Octroi de licences d’utilisateur lorsque l’authentification est nécessaire L’octroi de licences d’utilisateur varie selon que l’authentification des utilisateurs auprès de Firebox est nécessaire ou non pour accéder au réseau externe : Lorsque l’authentification des utilisateurs n’est pas nécessaire pour accéder au réseau externe Une licence d’utilisateur est utilisée lorsque l’authentification des utilisateurs n’est pas nécessaire pour accéder au réseau externe et qu’Edge permet au trafic de passer d’un ordinateur du réseau approuvé...
  • Page 203 X vers la destination Y ? ». Firebox permet aussi d’y répondre. La fonctionnalité d’authentification de WatchGuard dépend de la stabilité de la relation entre l’utilisateur de l’ordinateur et l’adresse IP de cet ordinateur pendant la durée d’authentification de cet utilisateur auprès de Firebox.
  • Page 204 Gestion des utilisateurs et des groupes Définir des options d’authentification pour tous les utilisateurs Certaines options d’authentification concernent tous les utilisateurs. Pour définir ou modifier des options d’authentification : 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
  • Page 205 Gestion des utilisateurs et des groupes À propos des comptes d’utilisateurs Lors de la création d’un utilisateur local dans Firebox X Edge e-Series, vous sélectionnez son niveau d’accès administratif. Vous sélectionnez le contrôle d’accès au réseau externe et au tunnel BOVPN (Branch Office VPN), ainsi que les limites de temps applicables à...
  • Page 206 Gestion des utilisateurs et des groupes 3. Sous Comptes d’utilisateurs locaux, cliquez sur Ajouter. La page Nouvel utilisateur apparaît. Elle contient l’onglet Paramètres. 4. Dans le champ Nom de compte, entrez le nom du compte. L’utilisateur entre ce nom pour s’authentifier.
  • Page 207 15. Si vous souhaitez que cet utilisateur puisse utiliser Mobile VPN with SSL pour un accès distant sécurisé à Edge, activez la case à cocher Autoriser l’accès distant avec Mobile VPN with SSL. Vous devez également activer WatchGuard Mobile VPN with SSL dans la page VPN > Mobile VPN with SSL. 16. Cliquez sur Envoyer.
  • Page 208 Gestion des utilisateurs et des groupes Authentifier une session sans accès administratif Si vous nécessitez une authentification auprès d’Edge pour qu’un utilisateur puisse accéder à des ressources telles que le réseau externe, il doit se connecter à l’adresse IP de l’interface approuvée d’Edge à l’aide du protocole HTTPS et entrer un nom d’utilisateur, ainsi qu’un mot de passe.
  • Page 209 Gestion des utilisateurs et des groupes Utiliser le compte d’administrateur intégré Firebox X Edge e-Series dispose d’un compted’administrateur intégré qui ne peut être supprimé. Vous pouvez modifier certains des paramètres de comptes d’administrateur. Dans la page Utilisateurs de Firebox, cliquez sur l’icône dans la colonne Modifier du compte d’administrateur.
  • Page 210 Gestion des utilisateurs et des groupes Modifier le nom ou le mot de passe d’un compte d’utilisateur Vous pouvez modifier le nom d’un compte ou le mot de passe d’un compte. Si vous modifiez le nom d’un compte, vous devez indiquer le mot de passe de ce compte. 1.
  • Page 211 Gestion des utilisateurs et des groupes À propos de l’authentification LDAP/Active Directory Si vous utilisez l’authentification LDAP, il n’est pas nécessaire de conserver une base de données d’utilisateurs séparée sur Firebox X Edge. Vous pouvez configurer Edge pour qu’il transfère des requêtes d’authentification d’utilisateur sur un serveur LDAP ou Active Directory générique.
  • Page 212 Gestion des utilisateurs et des groupes Configurer le service d’authentification LDAP/Active Directory Lorsque vous activez l’authentification LDAP, vous définissez un serveur d’authentification, ainsi que ses propriétés. Pour activer l’authentification LDAP : 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
  • Page 213 Par exemple, un nom unique peut avoir l’aspect suivant : ou=comptes d’utilisateurs,dc=masociété,dc=com Pour plus d’informations sur la recherche de votre base de recherche, visitez www.watchguard.com/ support/faq. 11. Si vous sélectionnez LDAP standard comme type de serveur LDAP, vous devez entrer un nom d’attribut de connexion et un nom d’attribut de groupe dans les zones de texte appropriées.
  • Page 214 Gestion des utilisateurs et des groupes Si un utilisateur appartient à plusieurs groupes, ses privilèges sont définis sur les paramètres les moins restrictifs de tous les groupes auxquels il appartient. Dans WebBlocker, le profil le moins restrictif est celui doté du plus petit nombre de catégories bloquées.
  • Page 215 Gestion des utilisateurs et des groupes 6. Utilisez la zone de texte Délai d’attente maximal de la session pour définir le nombre de minutes durant lesquelles une session utilisateur démarrée par un membre de ce groupe est autorisée à rester active.
  • Page 216 Gestion des utilisateurs et des groupes Pour utiliser SSO, vous devez installer le logiciel WatchGuard Authentication Gateway, également appelé logiciel agent SSO, sur un ordinateur du domaine de votre réseau. Lorsqu’un utilisateur se connecte à un ordinateur, l’agent SSO rassemble toutes les informations entrées par l’utilisateur et les envoie à Firebox.
  • Page 217 9. Cliquez sur Envoyer pour enregistrer les modifications. Installer l’agent WatchGuard Single Sign-On (SSO) Pour utiliser Single Sign-On (SSO), vous devez installer l’agent WatchGuard SSO. L’agent SSO est un service qui reçoit des demandes d’authentification Firebox et vérifie l’état de l’utilisateur auprès du serveur Active Directory.
  • Page 218 Examinez vos paramètres, puis cliquez sur Installer pour installer le service sur votre ordinateur. Installation – Authentication Gateway Cliquez sur Terminer pour fermer l’Assistant. Le service WatchGuard Authentication Gateway démarre automatiquement une fois l’Assistant terminé et démarre chaque fois que l’ordinateur redémarre.
  • Page 219 Gestion des utilisateurs et des groupes Activer l’authentification RADIUS Lorsque vous activez l’authentification RADIUS, vous définissez un serveur d’authentification, ainsi que ses propriétés. Lorsque vous configurez votre serveur RADIUS, vous devez vous assurer que lorsqu’il envoie un message à Firebox un utilisateur est authentifié et qu’il envoie aussi une chaîne FilterID, par exemple «...
  • Page 220 Gestion des utilisateurs et des groupes Afficher les sessions et les utilisateurs actifs La page Utilisateurs de Firebox affiche des informations sur les utilisateurs actuellement en ligne. 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge.
  • Page 221 Gestion des utilisateurs et des groupes Arrêter une session Firebox X Edge e-Series gère et enregistre les propriétés de chaque session utilisateur. Si le délai de fermeture automatique de session est atteint pour toutes les sessions ou si Firebox X Edge redémarre, toutes les sessions sont arrêtées en même temps.
  • Page 222 Gestion des utilisateurs et des groupes Comptes d’utilisateurs locaux Sous Comptes d’utilisateurs locaux, apparaissent les informations sur les utilisateurs que vous avez configurés : Nom : nom donné à l’utilisateur. L’utilisateur Admin fait partie de la configuration par défaut et ne peut pas être supprimé.
  • Page 223 Gestion des utilisateurs et des groupes Autoriser des périphériques internes pour ignorer l’authentification des utilisateurs Vous pouvez établir une liste de périphériques internes qui ignorent les paramètres d’authentification des utilisateurs. Si un périphérique est sur cette liste, son utilisateur n’a pas besoin de s’authentifier pour accéder à...
  • Page 224 Gestion des utilisateurs et des groupes Firebox X Edge e-Series...
  • Page 225 HTTP ou HTTPS, un proxy est automatiquement configuré et activé lorsque vous activez WebBlocker. Vous devez acheter la mise à niveau de WebBlocker pour pouvoir utiliser cette fonctionnalité. Pour plus d’informations, visitez le site Web des services LiveSecurity de WatchGuard à l’adresse http://www.watchguard.com/store. Configurer les paramètres WebBlocker globaux La première page WebBlocker des pages de configuration de Firebox X Edge e-Series est la page Paramètres...
  • Page 226 WebBlocker Pour configurer WebBlocker, procédez comme suit : 1. Pour vous connecter à la page État du système, tapez dans la barre d’adresses du https:// navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est https://192.168.111.1 2.
  • Page 227 Si l’abonnement à WebBlocker est renouvelé, Firebox X Edge conserve la configuration précédente et applique de nouveau les règles WebBlocker. 8. Par défaut, WebBlocker se connecte à un serveur WebBlocker Server géré par WatchGuard afin de vérifier si un site Web correspond à une catégorie WebBlocker. Si vous préférez, vous pouvez installer et maintenir votre propre serveur WebBlocker Server sur votre ordinateur local.
  • Page 228 à cocher correspondante. Lorsque vous avez terminé, cliquez sur Suivant. Configurez la barre d’outils WatchGuard. Suivez les instructions affichées à l’écran pour activer votre barre d’outils WatchGuard. Lorsque vous avez terminé, cliquez sur Suivant. Après l’installation, vous pouvez démarrer et arrêter WebBlocker Server ou Quarantine Server à...
  • Page 229 WebBlocker 3. Cliquez sur Nouveau. La page Nouveau profil s’affiche. Guide de l’utilisateur...
  • Page 230 WebBlocker 4. Dans le champ Nom de profil, tapez un nom évocateur. Utilisez ce nom pour identifier le profil pendant la configuration. Par exemple, donnez le nom « 90 jours » à un groupe d’employés qui ont travaillé dans votre société pendant moins de 90 jours. 5.
  • Page 231 Filter Testing and Submissions du site Web SurfControl. 1. À l’aide de votre navigateur, accédez à : http://mtas.surfcontrol.com/mtas/WatchGuardTest-a-Site.asp. La page WatchGuard Test-a-Site s’affiche. 2. Tapez l’URL ou l’adresse IP du site à vérifier. 3. Cliquez sur Test site. La page WatchGuard Test-a-Site Results s’affiche. Guide de l’utilisateur...
  • Page 232 WebBlocker Ajouter, supprimer ou modifier une catégorie Si vous recevez un message indiquant que l’URL entrée ne figure pas dans la liste SurfControl, vous pouvez la soumettre sur la page Résultats de test. 1. Cliquez sur Soumettre un site. La page Soumettre un site s’affiche. 2.
  • Page 233 WebBlocker À propos de l’autorisation des sites à contourner WebBlocker WebBlocker peut refuser un site Web dont vous pouvez avoir besoin. Vous pouvez neutraliser WebBlocker en définissant un site Web normalement refusé par WebBlocker comme une exception afin de permettre aux utilisateurs d’y accéder.
  • Page 234 WebBlocker 4. Répétez l’étape 3 pour chaque nom d’hôte ou de domaine supplémentaire que vous voulez ajouter à la liste des sites autorisés. Le nom de domaine (ou d’hôte) fait partie d’une URL qui se termine par .com, .net, .org, .biz, .gov ou .edu.
  • Page 235 WebBlocker 4. Répétez l’étape 3 pour chaque hôte, adresse IP ou nom de domaine supplémentaire que vous voulez ajouter à la liste des sites refusés. Le nom de domaine (ou d’hôte) fait partie d’une URL qui se termine par .com, .net, .org, .biz, .gov ou .edu.
  • Page 236 WebBlocker Autoriser des hôtes internes à contourner WebBlocker Vous pouvez établir une liste d’hôtes internes qui contournent WebBlocker. Les hôtes internes figurant dans cette liste ignorent également les paramètres d’authentification des utilisateurs. Un utilisateur figurant dans cette liste n’a pas besoin de s’authentifier pour accéder à Internet. Aucune règle WebBlocker ne s’applique aux utilisateurs de cette liste.
  • Page 237 L’option spamBlocker de WatchGuard utilise la technologie de détection des signatures de Commtouch, leader sur le marché, pour bloquer le courrier indésirable au niveau de votre passerelle Internet et l’empêcher d’accéder à...
  • Page 238 Un serveur de messagerie POP3 ou SMTP. spamBlocker utilise les proxies SMTP entrant et POP3 de WatchGuard pour analyser vos e-mails. Si vous n’avez pas configuré le proxy POP3 ou SMTP, ils sont activés lorsque vous configurez le service spamBlocker. Si vous disposez de plusieurs stratégies de proxy pour POP3 ou pour SMTP, spamBlocker les utilise toutes.
  • Page 239 spamBlocker Indicateurs spamBlocker Si vous sélectionnez l’action spamBlocker qui consiste à ajouter un indicateur à certains e-mails, le périphérique Firebox ajoute une chaîne de texte à la ligne d’objet du message. Vous pouvez utiliser les indicateurs par défaut ou créer un indicateur personnalisé. L’exemple ci-dessous illustre la ligne d’objet d’un e-mail qui s’est avéré...
  • Page 240 spamBlocker Activer spamBlocker 1. Pour vous connecter à la page État du système, tapez dans la barre d’adresses du navigateur https:// et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2. Dans la barre de navigation, sélectionnez spamBlocker > Paramètres. La page Paramètres spamBlocker s’affiche.
  • Page 241 spamBlocker 6. En bas de la page, vous pouvez définir le nombre d’octets vérifiés par spamBlocker dans un e-mail dans la zone de texte Limiter l’analyse aux premiers. Si la valeur entrée est très élevée, le débit de votre réseau peut s’en trouver ralenti. Il est conseillé de ne pas dépasser la limite des 50 kilo-octets (Ko).
  • Page 242 spamBlocker 3. Dans la liste déroulante Suspect, sélectionnez Autoriser ou Ajouter un indicateur d’objet. Par défaut, l’action est Autoriser. Par défaut, l’indicateur est . Vous pouvez remplacer cet ***SUSPECT*** indicateur par un texte de votre choix. 4. Dans la liste déroulante Lorsque le serveur spamBlocker est indisponible, l’accès à la messagerie POP3 est, indiquez si le périphérique Firebox X Edge doit autoriser ou refuser tout le trafic POP3 si la connexion au serveur spamBlocker est impossible.
  • Page 243 , l’exception porte sur toutes les adresses e-mail en provenance du domaine *@watchguard.com WatchGuard. Vous pouvez également entrer uniquement un astérisque dans la zone de texte si l’exception s’applique à tous les expéditeurs. 3. Dans la zone de texte sous la colonne Destinataire, tapez l’adresse e-mail du destinataire. Vous pouvez utiliser l’astérisque (*) en tant que caractère générique.
  • Page 244 spamBlocker Modifier l’ordre des exceptions L’ordre de classement des règles d’exception dans la boîte de dialogue détermine l’ordre dans lequel les e- mails sont comparés aux règles. Le proxy compare les messages à la première règle de la liste et poursuit dans l’ordre, du haut vers le bas.
  • Page 245 Pour des informations sur le signalement d’un faux positif ou d’un faux négatif, voir la section consacrée à spamBlocker dans le Forum aux questions suivant (en anglais) : www.watchguard.com/support/faqs/fireware/. Vous devez vous connecter avec votre nom d’utilisateur et votre mot de passe des services LiveSecurity.
  • Page 246 spamBlocker Ajouter des redirecteurs d’e-mails approuvés pour améliorer la précision du score de probabilité de courrier indésirable Une partie du score de probabilité de courrier indésirable d’un e-mail est calculée à partir de l’adresse IP du serveur depuis lequel le message a été reçu. Si un service de transfert d’e-mails est utilisé, l’adresse IP du serveur de transfert permet de calculer le score de probabilité...
  • Page 247 Quarantine Server À propos de Quarantine Server WatchGuard Quarantine Server fournit un mécanisme de quarantaine sécurisé et complet pour tous les e- mails soupçonnés d’être indésirables ou de contenir des virus. Ce référentiel reçoit les e-mails à partir du proxy SMTP et les messages sont filtrés par spamBlocker.
  • Page 248 WebBlocker Server, vous devez télécharger et installer WatchGuard Quarantine Server et WebBlocker Server. Vous pouvez installer le logiciel serveur sur un ordinateur exécutant Windows 2003, Windows XP ou Windows Vista. Nous recommandons au moins 512 Mo de RAM, un processeur 2,0 GHz et 60 Go d’espace disque si vous prévoyez d’installer les deux serveurs sur le...
  • Page 249 Définir l’emplacement du serveur Installer les composants serveur Vous pouvez installer Quarantine Server en tant que partie intégrante de WatchGuard System Manager ou dans le cadre d’une installation spéciale pour les utilisateurs de Firebox X Edge. Lorsque vous exécutez le programme d’installation, vous êtes invité...
  • Page 250 Quarantine Server Configurer Quarantine Server Lorsque vous configurez Quarantine Server, les options suivantes s’offrent à vous : Définir les paramètres de serveur généraux Modifier les paramètres d’expiration et de domaine d’utilisateur : quand supprimer ou combien de temps conserver les messages, ainsi qu’ajouter et supprimer des domaines d’utilisateurs. Seuls les messages des utilisateurs des domaines qui figurent dans cette liste peuvent être envoyés vers Quarantine Server.
  • Page 251 Quarantine Server 3. Pour modifier la taille maximale de la base de données par défaut de 10 000 Mo, tapez une nouvelle valeur dans le champ Taille maximale de la base de données. La taille actuelle de la base de données et l’espace disponible sont affichés à...
  • Page 252 Quarantine Server Modifier les paramètres d’expiration et les domaines d’utilisateurs 1. Pour ouvrir la boîte de dialogue Configuration de Quarantine Server : cliquez avec le bouton droit et sélectionnez Configurer. Entrez le mot de passe de gestion du serveur. Il s’agit du mot de passe de gestion du serveur que vous avez créé...
  • Page 253 Quarantine Server Ajouter ou supprimer des domaines d’utilisateurs L’onglet Paramètres d’expiration de la boîte de dialogue Configuration de Quarantine Server indique les noms des domaines pour lesquels Quarantine Server acceptera les e-mails. Seuls les messages des utilisateurs des domaines qui figurent dans la liste peuvent être envoyés vers Quarantine Server. Les messages envoyés à des utilisateurs qui ne figurent pas dans l’un de ces domaines sont supprimés.
  • Page 254 5. Dans le champ Envoyer un e-mail de, tapez l’adresse e-mail complète du compte à partir duquel vous voulez effectuer l’envoi. 6. Dans le champ Objet, tapez un nom pour l’objet des messages de notification. Par défaut, l’objet correspond à Notification de WatchGuard Quarantine Server. Firebox X Edge e-Series...
  • Page 255 3. Dans la boîte de dialogue qui s’affiche, cliquez sur l’onglet Journalisation. Activer ou désactiver la journalisation Si vous voulez que le serveur envoie les messages des journaux à un ou plusieurs serveurs WatchGuard Log Servers, activez la case à cocher Activer les messages du journal pour WatchGuard Log Server.
  • Page 256 Quarantine Server Envoyer les messages vers un fichier Pour contrôler si le serveur envoie les messages des journaux vers un fichier, utilisez la case à cocher Envoyer les messages du journal vers un fichier. Définissez l’emplacement du fichier qui recevra le message du journal et utilisez la liste déroulante Sélectionnez un niveau de journal pour attribuer un niveau aux messages des journaux.
  • Page 257 Quarantine Server 5. Cliquez sur les mots soulignés dans la règle pour ajouter un domaine, un expéditeur ou une chaîne de caractères dans la ligne Objet spécifique. La boîte de dialogue Modifier la règle de suppression automatique s’affiche. 6. Pour ajouter un domaine, un expéditeur ou une chaîne, tapez cet élément dans la zone supérieure et cliquez sur Ajouter.
  • Page 258 Quarantine Server Gérer les messages Vous pouvez voir tous les messages sur Quarantine Server dans une boîte de dialogue. Vous pouvez trier les messages par utilisateur, statut de quarantaine, expéditeur, objet et date/heure de réception. Une seule boîte de dialogue de Quarantine Server peut être ouverte à la fois. Lorsque vous avez terminé...
  • Page 259 Quarantine Server Définir les options d’affichage Vous pouvez utiliser la liste déroulante Filtrer par pour afficher tous les messages ou seulement ceux qui possèdent un statut de quarantaine particulier. Pour afficher le corps d’un message, activez la case à cocher Afficher le corps du message. Sélectionnez un message quelconque.
  • Page 260 Quarantine Server Supprimer des messages automatiquement Vous pouvez spécifier la suppression automatique de tous les messages électroniques futurs provenant d’un domaine ou d’un expéditeur spécifique, ou dont la ligne Objet contient une expression particulière. Tous les messages ultérieurs destinés à un utilisateur quelconque, qui présentent cette caractéristique, sont automatiquement supprimés avant leur envoi vers Quarantine Server.
  • Page 261 Quarantine Server Ouvrir la boîte de dialogue des messages Une seule boîte de dialogue de Quarantine Server peut être ouverte à la fois. Lorsque vous avez terminé d’utiliser la boîte de dialogue de Quarantine Server, fermez celle-ci avant d’en ouvrir une nouvelle.
  • Page 262 Quarantine Server À propos de la gestion des utilisateurs Vous pouvez ajouter, supprimer et configurer des utilisateurs sous l’onglet Utilisateurs de la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server. Cette boîte de dialogue affiche les éléments suivants : Adresses de messagerie des utilisateurs dont les e-mails peuvent être envoyés vers Quarantine Server.
  • Page 263 Quarantine Server Ajouter des utilisateurs Les utilisateurs sont ajoutés automatiquement lorsque des messages qui leur sont adressés sont envoyés vers Quarantine Server. Utilisez la procédure suivante pour ajouter manuellement des utilisateurs : 1. Dans la boîte de dialogue Gestion des utilisateurs et des messages de Quarantine Server, cliquez sur l’onglet Utilisateurs.
  • Page 264 Une seule boîte de dialogue de Quarantine Server peut être affichée à la fois dans cette version de WatchGuard System Manager. Lorsque vous avez terminé d’utiliser la boîte de dialogue de Quarantine Server, fermez celle-ci avant d’en ouvrir une nouvelle.
  • Page 265 WatchGuard ne peut pas garantir que Gateway AV/IPS arrête tous les virus ou toutes les intrusions, ni qu’il empêche l’endommagement de vos systèmes ou réseaux par un virus ou une intrusion.
  • Page 266 WatchGuard Gateway AntiVirus (Gateway AV) arrête les virus avant qu’ils n’accèdent aux ordinateurs de votre réseau. Gateway AV fonctionne avec les proxies SMTP, POP3, HTTP et FTP de WatchGuard. Lorsque vous activez Gateway AV, les proxies SMTP, POP3, HTTP et FTP examinent plusieurs types de trafic et effectuent une action que vous précisez.
  • Page 267 (enlève) les virus des e-mails lors de leur détection ou qu’il mette en quarantaine les messages en question. Pour pouvoir utiliser l’option Quarantaine, WatchGuard Quarantine Server doit être installé. 8. Les formats de fichiers utilisés sur Internet sont très nombreux. Utilisez la liste déroulante En cas d’erreur pour choisir l’action que Gateway AV doit déclencher lorsqu’il ne parvient pas à...
  • Page 268 L’idéal est de choisir l’équilibre approprié entre performances et sécurité pour votre réseau. 10. Si vous avez téléchargé, installé et configuré un serveur WatchGuard Quarantine Server, tapez l’adresse IP de l’ordinateur Quarantine Server. Pour plus d’informations sur la façon d’installer...
  • Page 269 Gateway AV/IPS utilise une base de données de signatures pour vérifier la présence de virus et d’intrusions. WatchGuard publie fréquemment des mises à jour de la base de données de signatures pour ses clients, au fur et à mesure que de nouvelles signatures sont connues. Généralement, de nouvelles signatures Gateway AV sont publiées plusieurs fois chaque jour.
  • Page 270 Gateway AntiVirus et Intrusion Prevention Service Pour mettre à jour vos signatures Gateway AV/IPS manuellement : 1. Dans la barre de navigation, sélectionnez Gateway AV/IPS > Mettre à jour. La page Mettre à jour Gateway AV/IPS s’affiche. 2. Décidez si vous souhaitez mettre à jour automatiquement ou manuellement. Si vous souhaitez mettre à...
  • Page 271 2. Configurez Firebox X Edge pour être le point de terminaison d’un tunnel VPN créé et géré par un serveur WatchGuard Firebox X Core ou Peak Management Server. Cette procédure est différente en fonction de la version du logiciel système de WatchGuard System Manager qui est installée sur Firebox X Core ou Peak.
  • Page 272 Port UDP 4500 (parcours NAT) o Protocole IP 50 (ESP ou Encapsulating Security Payload) Si de l’autre côté du tunnel VPN se trouve un périphérique WatchGuard Firebox X et que chaque périphérique Firebox est géré par WatchGuard System Manager, vous pouvez utiliser l’option Managed VPN.
  • Page 273 Vous devez installer WatchGuard System Manager et Firebox III, Firebox X Core ou Firebox X Peak pour disposer de Management Server. Lorsque Firebox X Edge récupère sa configuration VPN de Management Server, votre système Edge est un client de Management Server dans une relation client-serveur.
  • Page 274 Pour créer manuellement un tunnel VPN vers un autre périphérique Firebox X Edge ou vers un périphérique Firebox III ou Firebox X, ou pour configurer un tunnel VPN vers un périphérique qui n’est pas un périphérique WatchGuard, vous devez utiliser l’option Manual VPN. Utilisez cette section pour configurer Manual VPN sur Edge.
  • Page 275 /24 signifie que le masque de sous-réseau du réseau approuvé est 255.255.255.0. Pour plus d’informations sur la saisie des adresses IP en notation de barre oblique, voir le forum aux questions suivant : https://www.watchguard.com/support/advancedfaqs/ general_slash.asp (en anglais) Exemple : Site A : 192.168.111.0/24 Site B : 192.168.222.0/24 Clé...
  • Page 276 Réseaux BOVPN (Branch Office Virtual Private Network) Créer des tunnels Manual VPN sur votre système Edge 1. Pour vous connecter à la page État du système, entrez dans la barre d’adresses du https:// navigateur et l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 277 Réseaux BOVPN (Branch Office Virtual Private Network) Paramètres de phase 1 IKE (Internet Key Exchange) est un protocole utilisé avec les tunnels VPN pour gérer automatiquement les clés. IKE négocie et modifie les clés. La phase 1 authentifie les deux côtés et crée une association de sécurité de gestion de clés pour protéger les données du tunnel.
  • Page 278 Réseaux BOVPN (Branch Office Virtual Private Network) Pour modifier la configuration de phase 1 : 1. Sélectionnez le mode de négociation dans la liste déroulante Mode. Vous ne pouvez utiliser le mode principal que si les deux périphériques possèdent des adresses IP statiques. Si l’un des périphériques ou les deux possèdent des adresses IP externes qui sont attribuées dynamiquement, vous devez utiliser le mode agressif.
  • Page 279 Réseaux BOVPN (Branch Office Virtual Private Network) Si votre système Edge se trouve derrière un périphérique NAT Firebox X Edge e-Series peut utiliser le parcours NAT. Cela signifie que vous pouvez créer des tunnels VPN si votre fournisseur de services Internet assure la traduction d’adresses réseau (NAT, Network Address Translation) ou si l’interface externe d’Edge est connectée à...
  • Page 280 Réseaux BOVPN (Branch Office Virtual Private Network) Paramètres de phase 2 La phase 2 négocie l’association de sécurité de gestion de données pour le tunnel. Le tunnel utilise cette phase pour créer des tunnels IPSec et pour regrouper des paquets de données. Vous pouvez utiliser les paramètres de phase 2 par défaut pour faciliter la configuration.
  • Page 281 Vous devez entrer les adresses réseau en notation de « barre oblique » (également appelée notation CIDR ou Classless Inter Domain Routing). Pour plus d’informations sur la saisie des adresses IP en notation de barre oblique, voir le forum aux questions suivant : http://www.watchguard.com/support/advancedfaqs/general_slash.asp (en anglais) 7. Cliquez sur Ajouter.
  • Page 282 Réseaux BOVPN (Branch Office Virtual Private Network) Configurer la conservation d’activité VPN Pour garder le tunnel VPN ouvert lorsqu’il n’est traversé par aucune connexion, vous pouvez utiliser l’adresse IP d’un ordinateur se trouvant à l’autre extrémité du tunnel en tant qu’hôte d’écho. Firebox X Edge e-Series envoie une requête ping toutes les minutes à...
  • Page 283 Réseaux BOVPN (Branch Office Virtual Private Network) Forum aux questions Pourquoi avez-vous besoin d’une adresse externe statique ? Pour établir une connexion VPN, chaque périphérique doit connaître l’adresse IP de l’autre périphérique. Si l’adresse d’un périphérique est dynamique, l’adresse IP peut changer. Si l’adresse IP change, les connexions entre les périphériques ne peuvent pas être établies sauf si les deux périphériques savent comment se trouver.
  • Page 284 Edge afin de créer un plus grand nombre de tunnels VPN. Vous pouvez acheter une mise à niveau de modèle Firebox X Edge auprès d’un revendeur ou sur le site Web de WatchGuard à l’adresse suivante : http://www.watchguard.com/products/purchaseoptions.asp.
  • Page 285 À propos de Mobile VPN with PPTP Il est possible d’utiliser le protocole PPTP (Point-to-Point Tunneling Protocol) pour créer des tunnels VPN sécurisés. Vous pouvez configurer Firebox X Edge e-Series en tant que point de terminaison VPN PPTP et permettre à dix utilisateurs au maximum d’établir des connexions sécurisées simultanées à Edge et d’accéder aux réseaux protégés par Edge.
  • Page 286 À propos de Mobile VPN with PPTP Activer l’accès PPTP pour les utilisateurs d’un pare-feu Lorsque vous activez Mobile VPN with PPTP sur Edge, vous devez activer l’accès PPTP pour chaque utilisateur distant qui utilise le protocole PPTP pour se connecter à Edge. 1.
  • Page 287 À propos de Mobile VPN with PPTP Activer PPTP sur Edge 1. Pour vous connecter à la page État du système, tapez et l’adresse IP de l’interface approuvée https:// de Firebox X Edge dans la barre d’adresses du navigateur. L’URL par défaut est https://192.168.111.1 2.
  • Page 288 À propos de Mobile VPN with PPTP 5. Activez la case à cocher Consigner tout le trafic PPTP autorisé pour qu’Edge enregistre un message du journal pour tout le trafic PPTP. 6. Lorsqu’un utilisateur PPTP se connecte à Edge, ce dernier doit attribuer à l’ordinateur de cet utilisateur une adresse IP disponible à...
  • Page 289 À propos de Mobile VPN with PPTP 11. Cliquez sur Suivant. La fenêtre Entrez votre nom d’utilisateur et votre mot de passe s’affiche. 12. Tapez le Nom d’utilisateur et le Mot de passe pour ce client. 13. Cliquez sur Créer. La fenêtre La connexion est prête à...
  • Page 290 À propos de Mobile VPN with PPTP Créer et connecter un VPN PPTP à partir d’un client Windows 2000 Pour préparer un hôte distant Windows 2000, vous devez configurer la connexion réseau. Sur le Bureau Windows de l’ordinateur client : 1.
  • Page 291 À propos de Mobile VPN with IPSec WatchGuard Mobile VPN with IPSec est une application logicielle installée sur un ordinateur distant. Le client établit une connexion sécurisée entre l’ordinateur distant et votre réseau protégé via un réseau non sécurisé. Le client Mobile VPN utilise Internet Protocol Security (IPSec) pour sécuriser la connexion.
  • Page 292 À propos de Mobile VPN with IPSec Activer Mobile VPN pour un compte d’utilisateur Firebox 1. Pour vous connecter à la page État du système d’Edge, tapez dans la barre d’adresses du https:// navigateur, suivi de l’adresse IP de l’interface approuvée de Firebox X Edge. L’URL par défaut est : https://192.168.111.1 2.
  • Page 293 À propos de Mobile VPN with IPSec 9. Définissez le délai d’expiration de la clé Mobile VPN en kilo-octets et/ou en heures. Les valeurs par défaut sont 8192 Ko et 24 heures. Si vous ne souhaitez spécifier ni la taille, ni le délai d’expiration, entrez une valeur nulle (0). 10.
  • Page 294 À propos de Mobile VPN with IPSec 10. Activez la case à cocher L’ensemble du trafic utilise le tunnel (sous-réseau IP 0.0.0.0/0) si le client distant envoie tout le trafic (y compris le trafic Web habituel) à Firebox X Edge via le tunnel VPN. Le client Mobile VPN peut également se connecter à...
  • Page 295 À propos de Mobile VPN with IPSec Configurer les paramètres globaux du client Mobile VPN with IPSec Certains paramètres du client Mobile VPN s’appliquent à toutes les connexions Mobile VPN with IPSec de Firebox X Edge. Sélectionnez VPN > Mobile VPN pour définir ces options. Définir la stratégie de sécurité...
  • Page 296 4. Lorsque vous y êtes invité, enregistrez le fichier .wgx sur votre ordinateur. Distribuer les logiciels et les profils WatchGuard conseille de distribuer les profils des utilisateurs finaux par e-mail chiffré ou toute autre méthode sécurisée. Les éléments suivants doivent être installés sur chaque ordinateur client : Package d’installation logicielle...
  • Page 297 À propos de Mobile VPN with IPSec À propos du client Mobile VPN with IPSec Le client WatchGuard Mobile VPN with IPSec est installé sur l’ordinateur d’un utilisateur qui souhaite se connecter à distance. Celui-ci utilise une connexion Internet standard et active le client Mobile VPN.
  • Page 298 À propos de Mobile VPN with IPSec Importer le profil d’utilisateur final Lorsque l’ordinateur redémarre, la boîte de dialogue WatchGuard Mobile VPN Connection Monitor s’ouvre. Si le logiciel démarre pour la première fois après son installation, vous voyez apparaître le message : Aucun profil pour l’accès à...
  • Page 299 Mobile VPN. Connecter et déconnecter le client Mobile VPN Le logiciel client WatchGuard Mobile VPN with IPSec établit une connexion sécurisée entre un ordinateur distant et votre réseau protégé sur Internet. Pour activer cette connexion, vous devez vous connecter à...
  • Page 300 Pour chacun des profils que vous importez, vous pouvez définir le comportement du logiciel client Mobile VPN en cas d’inactivité du tunnel VPN pour une raison ou une autre. Pour ce faire : 1. Depuis WatchGuard Mobile VPN Connection Monitor, sélectionnez Configuration > Paramètres de profil.
  • Page 301 À propos de Mobile VPN with IPSec 4. Dans la liste déroulante Mode de connexion, définissez un comportement de connexion pour ce profil. o Manuel - Si vous sélectionnez le mode de connexion manuel, le client n’essaie pas de redémarrer automatiquement le tunnel VPN s’il devient inactif. Pour le redémarrer, vous devez cliquer sur le bouton Connecter de Connection Monitor ou cliquer avec le bouton droit sur l’icône Mobile VPN dans la barre d’outils du bureau de Windows, puis cliquer sur Connecter.
  • Page 302 À propos de Mobile VPN with IPSec Sécuriser votre ordinateur à l’aide du pare-feu Mobile VPN Le client WatchGuard Mobile VPN with IPSec comprend les deux pare-feu suivants : Pare-feu de liaison Le pare-feu de liaison est par défaut désactivé. S’il est activé, votre ordinateur rejette tous les paquets qu’il reçoit d’autres ordinateurs.
  • Page 303 Activer le pare-feu de bureau Pour activer le pare-feu de bureau (sécurité complète) : 1. Depuis WatchGuard Mobile VPN Connection Monitor, sélectionnez Configuration > Paramètres de profil. Par défaut, le pare-feu est désactivé. 2. Lorsque vous activez le pare-feu, vous devez choisir entre les deux modes proposés : o Paramètres de base –...
  • Page 304 À propos de Mobile VPN with IPSec Définir des réseaux connus Vous pouvez générer un ensemble de règles de pare-feu pour autoriser le trafic provenant de certains réseaux connus. Par exemple, pour utiliser le client Mobile VPN sur un réseau local où votre ordinateur doit être accessible à...
  • Page 305 À propos de Mobile VPN with IPSec Onglet Général Vous pouvez définir les propriétés de base de vos règles de pare-feu dans l’onglet Général de la boîte de dialogue Entrée de la règle du pare-feu. Nom de règle Entrez un nom représentatif de cette règle. Par exemple, vous pouvez créer une règle intitulée «...
  • Page 306 À propos de Mobile VPN with IPSec Onglet Local Vous pouvez définir tous les ports et adresses IP locaux contrôlés par votre pare-feu dans l’onglet Local de la boîte de dialogue Entrée de la règle du pare-feu. Quelle que soit la règle sélectionnée, il est conseillé de configurer le paramètre Adresses IP locales pour activer la case d’option Toute adresse IP.
  • Page 307 À propos de Mobile VPN with IPSec Onglet Distant Vous pouvez définir tous les ports et adresses IP distants contrôlés par cette règle dans l’onglet Distant de la boîte de dialogue Entrée de la règle du pare-feu. Par exemple, si votre pare-feu refuse l’ensemble du trafic et que vous voulez créer une règle autorisant les connexions POP3 sortantes, ajoutez l’adresse IP de votre serveur POP3 comme Adresse IP explicite dans la section Adresses IP distantes.
  • Page 308 À propos de Mobile VPN with IPSec Onglet Applications Vous pouvez restreindre votre règle de pare-feu de sorte qu’elle s’applique uniquement à une application spécifique. 1. Dans l’onglet Applications de la boîte de dialogue Entrée de la règle du pare-feu, activez la case à cocher Associer une règle à...
  • Page 309 Le client Mobile VPN crée alors un tunnel chiffré vers vos réseaux approuvé et facultatif qui sont protégés par WatchGuard Firebox. Le client Mobile VPN vous permet de fournir un accès distant à vos réseaux internes sans compromettre la sécurité.
  • Page 310 À propos de Mobile VPN with SSL Spécifications du client Le produit WatchGuard Mobile VPN with SSL fournit un client VPN à tous les périphériques Firebox X e-Series. En revanche, il n’offre pas la sécurité des points de terminaison. Vous pouvez installer le logiciel client Mobile VPN with SSL sur des ordinateurs exécutant les systèmes d’exploitation suivants :...
  • Page 311 À propos de Mobile VPN with SSL Activer Mobile VPN with SSL pour un groupe Lorsque vous activez Mobile VPN with SSL sur votre système Edge, assurez-vous d’activer l’accès pour chaque utilisateur ou groupe distant qui utilise SSL pour se connecter à Edge. Si vous utilisez l’authentification étendue, vous devez configurer le nom de groupe pour qu’il corresponde exactement au nom de groupe défini sur votre serveur d’authentification.
  • Page 312 À propos de Mobile VPN with SSL 7. Dans le champ Délai d’inactivité de session, définissez la durée pendant laquelle les ordinateurs de ce groupe peuvent rester authentifiés lorsqu’ils sont inactifs (lorsqu’ils ne transmettent aucun trafic au réseau externe, via le tunnel Branch Office VPN, ou au périphérique Firebox X Edge lui-même). Une valeur de zéro (0) minute signifie qu’il n’y a pas de délai d’inactivité.
  • Page 313 À propos de Mobile VPN with SSL Onglet Général de la page VPN SSL Passerelle La passerelle est l’adresse IP publique à laquelle les clients Mobile VPN se connectent. Vous devez taper une adresse IP attribuée à l’interface externe de votre système Edge. Si vous avez configuré plusieurs adresses IP pour votre interface externe, ou si vous avez configuré...
  • Page 314 À propos de Mobile VPN with SSL Onglet Avancé de la page VPN SSL Authentification Dans la liste déroulante Authentification, sélectionnez l’algorithme d’authentification à utiliser. Chiffrement Dans la liste déroulante Chiffrement, sélectionnez l’algorithme de chiffrement à utiliser. Protocole et port Par défaut, le trafic SSL utilise le protocole TCP sur le port 443.
  • Page 315 À propos de Mobile VPN with SSL Télécharger le logiciel client Pour télécharger le logiciel client Mobile VPN, connectez-vous à Firebox à l’aide d’un navigateur Web. Chaque utilisateur doit entrer : https://Adresse IP d’une interface Firebox:4100/ https://Nom d’hôte du Firebox:4100/ Le logiciel client est également disponible dans la section Software Downloads du site Web LiveSecurity.
  • Page 316 À propos du client Mobile VPN with SSL Le client WatchGuard Mobile VPN with SSL est installé sur l’ordinateur d’un utilisateur pour lui permettre de travailler partout (à son domicile ou en déplacement). Il lui suffit de disposer d’une connexion Internet standard et d’activer le client Mobile VPN.
  • Page 317 Télécharger n’apparaît pas. 4. Double cliquez sur le fichier WG-MVPN-SSL.dmg. Un volume portant le nom WatchGuard Mobile VPN est créé. 5. Dans le volume WatchGuard Mobile VPN, double-cliquez sur WatchGuard Mobile VPN with SSL Installer V15.mpkg. Le programme d’installation du client démarre.
  • Page 318 Contrôles du client Mobile VPN with SSL Lorsque le client Mobile VPN with SSL est en cours d’exécution, l’icône du logo WatchGuard est affichée dans la barre d’état du système (Win) ou sur la droite de la barre de menus (Mac). L’état de la connexion VPN est affiché...
  • Page 319 Vous pouvez utiliser le programme de désinstallation pour désinstaller le client Mobile VPN with SSL. Client Mobile VPN with SSL pour Windows Vista et Windows XP 1. Sélectionnez Démarrer > Tous les programmes > WatchGuard > Client Mobile VPN with SSL > Désinstaller le client Mobile VPN with SSL.
  • Page 320 À propos de Mobile VPN with SSL Firebox X Edge e-Series...