FortiGate série 5000 Guide d`installation
Contents
1. Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Commande Syntaxe Description power_distribution power_ management MaxCurrent feed lt Amps gt MinVoltage feed lt Volts gt Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 39 A0 Alimentation du ch ssis Chaque quipement FortiGate fonctionne selon ses propres exigences en mati re de courant lectrique Celles ci sont reprises ci dessous Veillez ce que les fiches de connexions adapt es soient correctement mises en place avant de brancher le courant sur les ch ssis FortiGate Le ch ssis FortiGate pourrait surcharger votre circuit d alimentation et impacter votre protection de surcourant et le c blage d alimentation Utilisez un tiquetage appropri pour solliciter la prudence Ch ssis FortiGate 5020 Deux fiches de connexion au dos du ch ssis FortiGate 5020 fournissent du courant alternatif aux alimentations de courant Chacune des fiches de connexion doit tre connect e une source de courant diff rente De cette mani re si une source tombe en panne l autre source reste op rationnelle A Attention Le ch ssis FortiGate 5020 se pr sente avec deux modules d entr e d alimentation de courant redondants 120 240 volts alternatifs et un module de sorties 48 volts continus Ces modules se trouvent sur le ch ssis derri re le panneau d alimentation amo2. Cl Il poss de les fonctionnalit s suivantes e peut inclure toute combinaison de modules pare feu antivirus FortiGate 500x et jusqu deux modules FortiGate 5003 pour remplir les 14 slots disponibles e supporte l changeabilit chaud de modules pare feu antivirus FortiGate 500x de plateaux de ventilateurs et d alimentations de courant e comprend un refroidissement interne e poss de des alimentations de courant redondantes pour une plus grande fiabilit e inclut le Contr leur de Gestionnaire de Ch ssis FortiGate 5140SM Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Tableau 5 Description des caract ristiques physiques du ch ssis FortiGate 5140 Dimensions 53 3 x 48 3 x 42 7 cm 21 x 19 x 16 8 pouces H x L x P Poids 29 3 kg 64 5 livres Environnement Temp rature 0 40 C 32 104F op rationnel Humidit relative 5 95 non condens e Environnement de Temp rature 25 70 C 13 158 F stockage Humidit relative 5 95 non condens e Puissance consomm e Maximum 2980 W DC Puissance en entr e 2 x 48V 58 V DC redondants Fonctionnalit s du panneau avant L illustration 3 reprend la localisation des composants sur le panneau avant du FortiGate 5140 Le panneau avant pr voit l acc s aux modules FortiGate 5001 et FortiGate 5003 Deux alimentations de courant redondantes sont install es derri re le panneau
3. INSTALL GUIDE GUIDE D INSTALLATION FortiGate s rie 5000 Version 3 0 lt RTINET www fortinet com Guide d installation FortiGate s rie 5000 Version 3 0 12 d cembre 2005 01 30000 0259 20051212 Droit d auteur 2005 Fortinet Inc Tous droits r serv s En aucun cas tout ou partie de cette publication y compris les textes exemples diagrammes ou illustrations ne peuvent tre reproduits transmis ou traduits sous aucune forme et d aucune fa on que ce soit lectronique m canique manuelle optique ou autre ouelou en soit l objectif sans autorisation pr alable de Fortinet Inc Marques d pos es Dynamic Threat Prevention System DTPS APSecure FortiASIC FortiBlOS FortiBridge FortiClient FortiGate FortiGate Unified Threat Management System FortiGuard FortiGuard Antispam FortiGuard Antivirus FortiGuard Intrusion FortiGuard Web Form og FortiAnalyser FortiManager Fortinet FortiOS FortiPartner FortiProtect FortiReporter FortiResponse FortiShield FortiVolP et FortiWiFi sont des marques d pos es de Fortinet Inc aux Etats Unis et ou dans d autres pays Les noms des soci t s et produits mentionn s ici peuvent tre des marques d pos es par leurs propri taires respectifs Conformit aux normes FCC Class A Part 15 CSA CUS Aen Utiliser une batterie du mauvais type pourrait provoquer une explosion D barrassez vous de vos batteries usag es selon la l gislation locale en vigueur
4. Performance pour les petits paquets Les ports 1 et 2 du module FortiGate 5002FB2 comprennent un co processeur SPP Small Packet Performance qui augmente significativement la performance pour les paquets inf rieurs 512 octets De plus ce co processeur permet au module FortiGate 5002FB2 d atteindre une performance proche des performances nominales de la ligne pour ces paquets Les applications utilisant les petits paquets telles que le protocole http et les mails profiteront de cette acc l ration Les quatre autres ports servent aux applications utilisant des paquets de plus grandes tailles telles que les transferts FTP les copies de fichiers et les acc s bas s serveurs Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Carte de Commutation FortiGate 5003 Tous les ch ssis FortiGate 5050 et FortiGate 5140 peuvent inclure jusqu deux modules FortiGate 5003 Illustration 7 Panneau avant du FortiGate 5003 RJ 45 10 100 RS 232 Port Port LED Mode Button Mounting Extraction Extraction Mounting Knot Lever 10 100 1000 Reset l ever Knot Ethernet Button Tableau 9 Les indicateurs des diodes lectroluminescentes du module FortiGate 5003 Diode tat Description Vert Le module FortiGate 5003 est sous tension S Jaune Sollicite la prudence S allume lorsqu une des diodes CLOCK OK ou INT FLT est d fectueuse Gi Jaune Hors service La diode
5. aux clients distants chaque fois qu ils initient une connexion HTTPS vers le FortiGate Lors de l tablissement de la connexion le FortiGate affiche deux alertes dans la fen tre du navigateur La premi re alerte vous demande d accepter et d installer titre facultatif le certificat de s curit auto sign FortiGate Si vous refusez ce certificat le FortiGate refuse la connexion Si vous l acceptez la page d ouverture de la session du FortiGate s affiche Les informations de connexion compte administrateur et mot de passe sont chiffr es avant d tre envoy es au FortiGate Si vous choisissez d accepter le certificat de mani re permanente l alerte n appara tra plus Juste avant l affichage de la page d ouverture de la session une deuxi me alerte vous informe que le nom du certificat FortiGate diff re de celui de la demande originale Cette alerte se produit car le FortiGate redirige la connexion C est un message informatif S lectionnez OK pour continuer l ouverture de la session Illustration 14 Ouverture d une session sur le FortiGate 5 Tapez admin dans le champ Nom et cliquez sur Login Guide d installation FortiGate s rie 5000 Version 3 0 45 01 30000 0259 20051212 46 Tableau de bord du syst me Une fois la connexion l interface d administration web tablie la fen tre de navigation affiche le tableau de bord du syst me qui reprend tous les statuts du syst me Illustration 15 Tabl
6. tant de 5U Il poss de les fonctionnalit s suivantes peut inclure une des combinaisons suivantes e jusqu cinq modules pare feu antivirus FortiGate 500x e up FortiGate 5003 et jusqu quatre modules FortiGate 500x e deux FortiGate 5003 et jusqu trois modules FortiGate 500x supporte l changeabilit chaud des modules et alimentations de courant comprend un refroidissement interne poss de des alimentations de courant redondantes pour une plus grande fiabilit inclut le Contr leur de Gestionnaire de Ch ssis FortiGate 5050SM avec un second FortiGate 5050SM optionnel redondant Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 19 20 Tableau 3 Description des caract ristiques physiques du ch ssis FortiGate 5050 Dimensions SE x 43 2 x 39 4 cm 8 75 x 17 x 15 5 pouces H x L x Poids 12 1 kg 26 75 livres Environnement Temp rature 0 40 C 32 104F op rationnel Humidit relative 5 95 non condens e Environnement de Temp rature 25 70 C 13 158 F stockage Humidit relative 5 95 non condens e Puissance consomm e Maximum 1135 W DC Puissance en entr e 2 x 48V 58V DC redondants Fonctionnalit s du panneau avant L illustration 2 reprend la localisation des composants sur le panneau avant du FortiGate 5050 Le panneau avant pr voit l acc s de modules pare feu antivirus FortiGate 500x F
7. y n A savoir Cette op ration va remplacer la version logicielle actuelle Voulez vous continuer oui non 6 Tapez y Le FortiGate t l charge le fichier de l image logicielle met jour la version logicielle et red marre Cette proc dure prend quelques minutes Reconnectez vous en CLI Pour vous assurer du succ s de l installation de l image logicielle entrez get system status 9 Mettez les bases de connaissance antivirus et IPS jour Pour ce faire entrez execute update now Lire galement ce propos le Guide d Administration FortiGate Retour une version logicielle ant rieure Les proc dures suivantes permettent d quiper le FortiGate 500x d une version ant rieure du logiciel Vous pouvez utiliser au choix l interface d administration web ou l interface de ligne de commande pour retourner une version pr c dente du logiciel Cette proc dure restaure la configuration par d faut du FortiGate 500x Retour une version logicielle ant rieure partir de l interface d administration web Les proc dures suivantes entra nent la restauration de la configuration par d faut sur le FortiGate 500x et la suppression des signatures personnalis es IPS de la base de donn es de filtrage web et antispam et des changements apport s aux messages de remplacement Avant de commencer ces proc dures il est recommand de e sauvegarder la configuration du FortiGate 500x e sauvegarder
8. 0 0 0 0 Droits d administration Ping IP 0 0 0 0 Port 7 uniquement i Masque de r seau 0 0 0 0 pour le FortiGate 5001 KC Droits d administration Ping IP 0 0 0 0 Port 8 uniquement S Masque de r seau 0 0 0 0 pour le FortiGate 5001 SE i Droits d administration Ping Param tres du r seau Passerelle par d faut pour route par d faut 192 168 100 1 Interface connect e au r seau externe pour route par d faut port2 Route par d faut Une route par d faut est constitu e d une passerelle par d fal et de l interface connect e au r seau ext rieur Internet g n ralement Ces param tres dirigent tout le trafic non local vers cette interface et le r seau externe DNS primaire 65 39 139 53 DNS secondaire 65 39 139 63 Guide d Installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 51 Configuration r seau en mode Transparent En mode Transparent le module antivirus pare feu FortiGate 500x fonctionne avec une configuration r seau telle que d taill e dans le tableau 13 ci dessous Tableau 13 Configuration r seau par d faut en mode Transparent Compte Nom d utilisateur admin administrateur Mot de passe n ant IP 0 0 0 0 SES Masque de r seau 0 0 0 0 DNS Serveur DNS primaire 65 39 139 53 Serveur DNS secondaire 65 39 139 63 Port 1 HTTPS Ping Port 2 Ping Port 3 Ping Port 4
9. 4 Entrez l adresse IP ou le nom de domaine d un serveur NTP que le syst me utilisera pour r gler la date et l heure Sp cifiez l intervalle de synchronisation Cliquez sur OK Guide d installation FortiGate s rie 5000 Version 3 0 69 01 30000 0259 20051212 Enregistrement de votre FortiGate Apr s avoir install un nouvel quipement FortiGate enregistrez celui ci sur le site http support fortinet com en cliquant sur Product Registration Afin de proc der l enregistrement entrez vos coordonn es et le s num ro s de s rie de s nouveau x quipement s FortiGate acquis Plusieurs enregistrements peuvent tre introduits lors d une seule session L enregistrement des nouveaux quipements vous permet d acc der aux supports techniques et aux mises jour des bases de donn es de d tection et pr vention contre des menaces Antivirus D tection d Intrusion etc Mise jour des signatures antivirus et IPS Vous pouvez configurer le FortiGate pour qu il se connecte au FortiGuard Distribution Network FDN R seau de Distribution FortiGuard et mette jour les bases de connaissance des antivirus antispam et attaques IPS Le FDN est un r seau mondial de FortiGuard Distribution Servers FDS Serveurs de Distribution FortiGuard En se connectant au FDN le FortiGate se relie au FDS le plus proche gr ce sa liste d adresses pr programm es tri es en fonction du fuseau horaire s lectionn
10. FortiGate 2 Assurez vous que le serveur TFTP est op rationnel 3 Copiez le fichier de la nouvelle image logicielle sur le r pertoire racine du serveur TFTP 4 Veillez ce que l interface interne soit connect e au m me r seau que le serveur TFTP Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 5 Pour vous assurer de la connexion du FortiGate 500x au serveur TFTP utilisez la commande suivante pour lancer un ping destination du serveur TFTP Par exemple si l adresse IP du serveur TFTP est 192 168 1 168 execute ping 192 168 1 168 6 Entrez la commande suivante pour red marrer le FortiGate 500x execute reboot Le FortiGate 500x r pond par le message suivant This operation will reboot the system Do you want to continue y n A savoir Cette op ration va r initialiser le syst me Voulez vous continuer oui non 7 Tapez y Pendant le d marrage du FortiGate 500x une s rie de messages s affiche sur l cran Appuyez imm diatement sur une touche du clavier pour interrompre le d marrage du syst me lorsqu un des messages suivants appara t e Pour un FortiGate 500x muni d un BIOS v2 x Press Any Key To Download Boot Image e Pour un FortiGate 500x muni d un BIOS v3 x Press any key to display configuration menu Remarque Vous n avez que 3 secondes pour appuyer sur une touche Si vous n appuyez pas temps le FortiGate 500x se r initialise et
11. d autres segments r seau Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 57 Installation en mode NAT Route Cette section d crit l installation du FortiGate en mode NAT Route Cette section couvre les sujets suivants e Pr paration de la configuration du FortiGate en mode NAT Route e Configuration DHCP ou PPPoE e A partir de l interface d administration web e A partir de l interface de ligne de commande e Connexion du FortiGate au x r seau x e Configuration des r seaux Pr paration de la configuration du FortiGate en mode NAT Route Vous pouvez consigner les informations n cessaires la personnalisation des param tres du mode NAT Route dans le tableau 15 la page suivante Vous pouvez configurer le FortiGate de deux mani res e A partir de l interface d administration web GUI qui est une interface compl te pour configurer la plupart des param tres Voir A partir de l interface d administration web la page 60 e A partir de l interface de ligne de commande CLI qui est une interface textuelle compl te pour configurer tous les param tres Voir A partir de l interface de ligne de commande la page 62 Le choix de la m thode d pend de la complexit de la configuration et des types d acc s d quipement et d interface qui vous sont les plus familiers Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Tableau 15 Param t
12. es de la proc dure ci dessous La version du BIOS du FortiGate 500x peut tre visualis e par une connexion en port console lors du red marrage du FortiGate Cette proc dure n cessite e Un acc s en CLI via une connexion au port de la console FortiGate avec un c ble null modem e L installation d un serveur TFTP auquel vous pouvez vous connecter partir de l interface interne du FortiGate Ce serveur doit tre sur le m me sous r seau que l interface interne Avant de commencer cette proc dure il est recommand de e sauvegarder la configuration du FortiGate 500x e sauvegarder les signatures personnalis es IPS e sauvegarder la base de donn es de filtrage web et antispam Pour plus d informations reportez vous au Guide d Administration FortiGate Si vous retournez une version ant rieure FortiOS par exemple passer de FortiOS v3 0 FortiOS v2 80 la configuration ant rieure risque de ne pas pouvoir tre restaur e partir de la sauvegarde du fichier de configuration Remarque Les bases de connaissance antivirus et IPS sont remplac es par celles de la nouvelle version logicielle Apr s la mise jour logicielle assurez vous que ces bases de connaissance sont jour Pour plus de d tails reportez vous au Guide d Administration FortiGate Mettre jour une version logicielle partir d un red marrage syst me 1 Connectez vous en CLI en utilisant les ports du c ble null modem et de la console
13. tre mont dans une armoire rack standard de 19 pouces V rifiez l espace n cessaire pour chaque mod le e Ch ssis FortiGate 5020 4U e Ch ssis FortiGate 5050 5U e Ch ssis FortiGate 5140 12U Si vous installez un quipement FortiGate dans un assemblage multi racks ou dans une armoire rack ferm e la temp rature ambiante de l armoire rack risque d tre plus lev e que la temp rature ambiante de la pi ce Assurez vous toujours que la temp rature ambiante ne d passe pas la temp rature maximum indiqu e par le constructeur A Circulation de l air Attention Le ch ssis FortiGate ne doit pas fonctionner de mani re isol e Lors d une installation dans une armoire rack assurez vous que la circulation d air n cessaire au bon fonctionnement du FortiGate n est pas compromise Installation d un module FortiGate 500x Toutes les proc dures suivantes doivent tre enti rement accomplies avant de pouvoir ins rer un module FortiGate 500x dans le ch ssis FortiGate Installation des RAM DIMM Le module FortiGate 500x est fourni avec deux RAM DIMM ins rer dans les slots RAM en haut du module FortiGate 500x Il est n cessaire d installer les RAM DIMM avant d ins rer le module FortiGate 500x dans le ch ssis FortiGate Guide d installation FortiGate s rie 5000 Version 3 0 31 01 30000 0259 20051212 32 Installer les RAM DIMM FortiGate 500x D ballez les RAM DIMM Installez les dans les slots RAM en haut
14. Browse Parcourir pour localiser ce fichier 6 Cliquez sur OK Le FortiGate 500x t l charge le fichier de l image logicielle retourne la version ant rieure du logiciel red marre et affiche la page d ouverture d une session FortiGate Cette proc dure prend quelques minutes Connectez vous l interface d administration web S lectionnez Syst me gt Statut et v rifiez la version du code pour vous assurer du succ s de l installation du logiciel 9 Restaurez votre configuration Pour plus d informations sur la restauration de votre configuration reportez vous au Guide d Administration FortiGate 10 Mettez jour les bases de connaissance antivirus et IPS Pour plus d informations sur les d finitions des antivirus et attaques reportez vous au Guide d Administration FortiGate Retour une version logicielle ant rieure partir de l interface de ligne de commande Cette proc dure entra ne la restauration de la configuration par d faut sur le FortiGate 500x et la suppression des signatures personnalis es IPS de la base de donn es de filtrage web et antispam et des changements apport s aux messages de remplacement Guide d installation FortiGate s rie 5000 Version 3 0 77 01 30000 0259 20051212 78 BE N ch Avant de commencer cette proc dure il est recommand de e sauvegarder la configuration du syst me FortiGate 500x en entrant la commande execute backup config e sauvegarder
15. Fonctionnalit s du panneau avant L illustration 1 reprend la localisation des modules sur le panneau avant du FortiGate 5020 Le panneau avant pr voit l acc s pour un o deux modules pare feu antivirus FortiGate 500x Deux alimentations de courant redondantes sont install es derri re le panneau d alimentation amovible Attention Ne pas faire fonctionner le ch ssis FortiGate 5020 avec des slots ouverts sur le panneau avant Pour un refroidissement et une s curit optimum les slots doivent contenir un module pare feu antivirus FortiGate s rie 5000 ou d faut un couvercle De plus le panneau d alimentation amovible doit tre remis en place Tableau 2 Les indicateurs des diodes lectroluminescentes du ch ssis FortiGate 5020 Diodes Etat Description L alimentation de courant A est op rationnelle et fonctionne PSUA ven correctement L alimentation de courant B est op rationnelle et fonctionne PSU B yer correctement Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Ch ssis FortiGate 5050 Illustration 2 Ch ssis FortiGate 5050 avec des modules FortiGate 5001 FortiGate 5003 et FortiGate 5050SM 00 z D aaahh e T o FomnBere500 mas PR 2 D 4 D D D FORTINET ee eg wA 6 OU M FonnSere 500 FORTINET O0 z mA annn D CCE ER ForriGrre 5050 Le ch ssis FortiGate 5050 peut tre mont dans un rack standard de 19 pouces la hauteur du ch ssis
16. FortiGate 2 Assurez vous que le serveur TFTP est op rationnel 3 Copiez le fichier de la nouvelle image logicielle sur le r pertoire racine du serveur TFTP 4 Veillez ce que l interface interne soit connect e au m me r seau que le serveur TFTP Vous pouvez lancer un ping destination du serveur TFTP Par exemple si l adresse IP du serveur TFTP est 192 168 1 168 execute ping 192 168 1 168 5 Entrez la commande suivante pour red marrer le FortiGate 500x execute reboot 6 Pendant la r initialisation du FortiGate 500x appuyez sur une touche du clavier pour interrompre le d marrage du syst me Alors que le FortiGate 500x d marre une s rie de messages s affiche sur l cran Lorsqu un des messages suivants appara t appuyez imm diatement sur une touche du clavier pour interrompre le d marrage du syst me e Pour un FortiGate 500x muni d un BIOS v2 x Press Any Key To Download Boot Image Guide d installation FortiGate s rie 5000 Version 3 0 83 01 30000 0259 20051212 10 11 Pour un FortiGate 500x muni d un BIOS v3 x Press any key to display configuration menu Remarque Vous n avez que 3 secondes pour appuyer sur une touche Si vous n appuyez pas temps le FortiGate 500 se r initialise et vous devez r entrer dans le syst me et recommencer la commande execute reboot Si vous avez interrompu avec succ s le processus de d marrage un des messages suivants appara t e Pour
17. FortiGate s rie 5000 Version 3 0 35 01 30000 0259 20051212 Ajustement des variables d environnement Lors de l installation du Gestionnaire de Ch ssis FortiGate celui ci d marre automatiquement Etablissez les variables d environnement pour le module Etablir l environnement du d marrage 1 Connectez vous en CLI au module Gestionnaire de Ch ssis FortiGate en utilisant une connexion s rie l ordinateur d administration Utilisez le logiciel d mulation terminal l HyperTerminal de Microsoft Windows sur l ordinateur d administration Etablissez les variables d environnement reprises dans le tableau ci dessous Pour affecter les valeurs aux variables d environnement entrez la commande suivante clia setenv lt variable name gt lt new_value gt Par exemple clia setenv ipaddr 10 10 10 1 Etablissez les variables d environnement suivantes ipaddr Adresse IP utilis e par l interface Ethernet ipdevice Equipement repris dans ipaddr Par d faut eth0 netmask Masque de r seau Par d faut 255 255 0 0 hostname Nom du r seau serverip Adresse IP du serveur TFTP 4 Pour r gler l horloge du module entrez la commande suivante clia date MMDDHHMMSSYYYY o MM est le mois DD est le jour HH est l heure MM est la minute SS est la seconde YYYY est l ann e Par exemple clia date 02151628002005 5 Entrez la commande suivante pour sauvegarder les param tres d environnement
18. Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 mode Transparent EE 56 partir de l interface d administration web 65 partir de l interface de ligne de commande s ssseessesssesssessrtenttnrttntnnntnntnnennnnnnnnennnennnet 66 parametre ss rennes minime der dt Re de ne Mirti mio 65 module de conversion d alimentation FortiGate 5053 nnne nnn 41 montage et installation seen 30 N KWR enee E 54 NTP serveur Synchronisation meii daai aaa aii d a aa E ad aA aaa a LAE 68 P param trage par d faut EE le EE EE 52 53 pare feu configuration par d faut iii 51 PPPoE oaie IIe EE 58 pr cautions et avertissements iii 16 DrISC OR T SA Enr rte Re ne Re ne de se ou nn e 16 produits de la gamme FortiGate s rie OO 17 produits de la gamme Fortinet sisi 7 protils de protections ardent dE eege ee 52 R eil re EE 30 remplacement des modules issus 46 47 reseau Ur ee EE 54 restauration du param trage par d faut sir 52 53 restauration de la configuration pr c dente sssessseesseeseeeeeetnttrtstnnttnnnttnntnnntnnnnnnsnnnnn neen nnnt 81 retour une version logicielle ant rieure esseesseesseseseesseeesttetttetnnstnntnnttnnnttnnttnntennstunennennenn 75 partir de l interface d administration web 75 partir de l interface de ligne de commande s ssseesseeseesseesttenet
19. Ne peut pas tablir un lien vers un port configur ou EXT FLT pr sence d un autre probl me de connexion ext rieur l adaptateur INT FLT Jaune Echec des tests internes Eteint pendant la mise en route La diode allum e signifie que le commutateur est pr t tre retir Pendant un change chaud la diode reste allum e Elle s teint lorsque le commutateur est correctement install Hot Swap Bleu Appuyer et maintenir la touche enfonc e pendant 3 R S SE secondes pour red marrer le commutateur Passage de l affichage des diodes des ports du mode LED Mode Lien Activit au mode Lien Vitesse Connexions Les connexions interface suivantes sont disponibles sur le module FortiGate 5003 Connecteur Type Vitesse Protocole Description ETHO RJ 45 100Base T Ethernet Connexion Ethernet de gestion hors bande CONSOLE RJ 45 9600 bit s S rie Connexion s rie vers RS 232 l interface de ligne de commande ZREO RJ 45 1000Base T Ethernet Connexions redondantes vers ZRE1 un autre ch ssis FortiGate ZRE2 Contr leur de Gestionnaire de Ch ssis Le module Contr leur de Gestionnaire de Ch ssis FortiGate est responsable des mises en marche et l arr t du ch ssis ainsi que du traitement des ajouts et retraits de modules y compris la commutation des ressources interconnect es De plus il g re la distribution du courant le processus de refroidissemen
20. Pour le module FortiGate 5001 Connectez les interfaces 1 4 des r seaux gigabits Ethernet fibre optique et les interfaces 5 8 des r seaux gigabits Ethernet cuivre Pour le module FortiGate 5002 Connectez les interfaces 1 6 des r seaux gigabits Ethernet cuivre Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Illustration 18 Connexions du FortiGate 5001 en mode NAT Route Internal Network network h Web Server Mail Serve EE A Internet uses Configuration des r seaux En mode rout vos r seaux doivent tre configur s de mani re diriger tout le trafic Internet vers l adresse IP de l interface o les r seaux sont connect s Si vous utilisez le module antivirus pare feu FortiGate 500x comme serveur DHCP pour votre r seau interne configurez les ordinateurs de votre r seau interne conform ment au protocole DHCP Assurez vous que votre module antivirus pare feu FortiGate 500x fonctionne correctement en vous connectant Internet partir d un ordinateur de votre r seau interne Vous devriez pouvoir acc der n importe quelle adresse Internet Installation en mode Transparent Cette section d crit l installation du FortiGate en mode Transparent Cette section couvre les sujets suivants e Pr paration de la configuration du FortiGate en mode Transparent e A partir de l interface d administration web e A partir de l interface de ligne de comma
21. Table des Mati res Introduction BEER 6 A propos des distributions internationale et am ricaine de FortiOS 6 Gamme de Produits Fortinet eekkkEkKKEKEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE EE EE KEE KEEN 7 Services de souscription FortiGuard ss 7 EortiGli ntz s een n Re a ia T M O RO Me de Ne 7 Seel 7 FOrtHANAlVS esse ne en nt nn nn et een EN et ete ae talent LE 8 FOrtiRePOrter rss indien Men deet nr tt re dt beige elei ee Et fret 8 let ET 8 siet ue ET 8 Modules et ch ssis FortiGate s rie 5000 nn nsnsnnmmmmmnnnenenaenememnmnneenennnmenennnennes 9 Ch ssis FortiGat 5020 22558885 mine Eed ee ee EES 9 Ch ssis FortiGat 5050 eegne me ind dat nuance mn ege 9 Ch ssis ForiGate 5140 224 h eege Ee EE ee 9 Module FortiGate EE 9 Module FortiGate 5001FA2 iii iidieeeissceeeceecenauaeeeeeeecenanaaseeeeceeeeenenuee 10 Module FortiGate 5002FB2 iii dieeeissceeececeeuauaeseeeeceeeanauseeeeceeeeeneseee 10 Carte de Commutation FortiGate 5003 Switch Blade module 11 Contr leur FortiGate de Gestionnaire de Ch ssis FortiGate Shelf Management Controller 11 Alimentation AC du ch ssis AC Power shelf eseeeeeeeeseeeresiesrssrresrresrnresrnssrnesrnssrnesrn 11 A propos de ce document nnnnnnnnsnnennsnnenennnnnnnesnnnnnnns 12 Conventions utilis es dans ce document 12 Documentation FortiGate ns nnnnnnnnnnnnnnnnnnnnneneneneneneneneneneenenenenenenenes 13 Base de Connaissance Fortinet Fo
22. Vert Le module FortiGate 5002FB2 est sous tension STA Vert Le module FortiGate 5002FB2 op re normalement Rouge Le FortiGate 5002FB2 s initialise ou pr sente une erreur IPM Bleu Le FortiGate 5002FB2 est pr t tre d branch chaud ou la carte est pr te tre retir e du ch ssis Bleu clignotant Le FortiGate 5002FB2 passe du mode hot swap d branchement chaud au mode de fonctionnement normal ou vice versa teint Op re normalement Le module FortiGate 5002FB2 est en contact avec le fond de panier du ch ssis FortiGate Ports 1 6 Vert Le c ble appropri est connect l interface cuivre 10 100 1000 et l quipement connect est aliment Clignotant Activit r seau pr sente sur l interface gigabits fibre Ambre L interface est connect e 1000 Mbit s Connexions Les connexions interface suivantes sont disponibles sur le module FortiGate 5002FB2 Connecteur Type Vitesse Protocole Description 1et2 RJ 45 1000Base T Ethernet Connexion gigabit en cuivre ports vers r seaux cuivre am lior s 10 100 1000 Les ports sont am lior s avec des co processeurs SPP 3 4 5 6 RJ 45 1000Base T Ethernet Connexion gigabit en cuivre vers r seaux cuivre 10 100 1000 Les ports ne sont pas am lior s avec les co processeurs SPP CONSOLE RJ 45 9600 bit s S rie Connexion s rie vers l interface RS 232 de ligne de commande
23. d alimentation amovible au dos du ch ssis A Attention Ne panneau avan pas faire fonctionner le ch ssis FortiGate 5140 avec des slots ouverts sur le t Pour un refroidissement et une s curit optimums les slots doivent contenir un module FortiGate 500x ou d faut un couvercle De plus le panneau d alimentation amovible doit tre remis en place Module FortiGate 5001 Tous les ch ssis FortiGate peuvent inclure au moins un module FortiGate 5001 Celui ci peut fonctionner comme syst me autonome de gestion des menaces Universal Threat Management System ou faire partie d un cluster HA FortiGate 5001 Illustration 4 Le panneau avant du FortiGate 5001 Fiber Module Link Traffic Position Power Mounting Extraction Knot 22 FoaniGeres S001 HI FORTINET E TEREI CONSOLE Extraction Mounting Lever Lever Knot RJ 435 Serial 1234 5678 Connection Gigabit Fiber 10 100 1000 Copper Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Tableau 6 Les indicateurs des diodes lectroluminescentes du module FortiGate 5001 Diode tat Description PWR Vert Le module FortiGate 5001 est sous tension STA Vert Le module FortiGate 5001 op re normalement Rouge Le FortiGate 5001 s initialise ou pr sente une erreur IPM Bleu Le FortiGate 5001 est pr t tre chang chaud
24. d un red marrage syst me et par ligne de commande e Test d une nouvelle version logicielle avant son installation Remarque Si vous avez une version ant rieure du logiciel FortiOS par exemple FortiOS v2 50 proc dez la mise jour vers FortiOS v2 8MR10 ou v2 8MR11 avant la mise jour vers FortiOS v3 0 Mise jour logicielle Vous pouvez utiliser au choix l interface d administration web ou l interface de ligne de commande pour la mise jour logicielle FortiOS Mise jour logicielle partir de l interface d administration web Les proc dures suivantes permettent d installer une nouvelle version logicielle sur le FortiGate ka Remarque Les bases de connaissance antivirus et IPS sont remplac es par celles de la nouvelle version logicielle Apr s la mise jour logicielle assurez vous que ces bases de connaissance sont jour Pour plus de d tails reportez vous au Guide d Administration FortiGate V Remarque La proc dure suivante n cessite que vous vous connectiez partir du compte administrateur admin ou d un compte administrateur qui poss de tous les droits d acc s en lecture et criture de la configuration du syst me Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Mettre le logiciel jour partir de l interface d administration web Copiez le fichier de l image logicielle sur votre poste d administration Connectez vous l interface d administr
25. de centraliser les journaux des bo tiers FortiGate et des serveurs syslog e de g n rer des centaines de rapports partir des donn es collect es e de scanner le r seau et g n rer des rapports de vuln rabilit s e de stocker les fichiers mis en quarantaine par FortiGate FortiAnalyser peut galement tre configur en sniffer r seau et capturer en temps r el le trafic intercept Vous pouvez en outre utiliser FortiAnalyser comme lieu de stockage o les utilisateurs peuvent acc der et partager des donn es telles que des rapports et journaux conserv s sur son disque dur FortiReporter Le logiciel FortiReporter Security Analyzer g n re des rapports explicites II peut centraliser des journaux de n importe quel bo tier FortiGate ainsi que de plus de 30 bo tiers de r seau et de s curit provenant de constructeurs tiers FortiReporter offre une visibilit sur les abus r seau l utilisation de la bande passante et l usage du web afin de s assurer que le r seau est utilis de fa on appropri e FortiReporter permet aux administrateurs d identifier les attaques et d y r pondre Il permet galement de d finir des actions proactives de protection des r seaux avant que ceux ci ne soient confront s une augmentation des menaces FortiBridge FortiBridge H permet d assurer une continuit de connexion r seau m me en cas de panne lectrique d un syst me FortiGate Le FortiBridge connect en parall le au FortiG
26. de ch ssis auquel elle est destin e Un des param tres s applique aux ch ssis qui poss dent un contr leur de gestionnaire de ch ssis FortiGate 5050 et FortiGate 5140 Un autre des param tres s applique aux ch ssis qui n en poss dent pas FortiGate 5020 Le param trage du cavalier peut tre erron dans le cas o la pr configuration est mauvaise C est aussi le cas si votre ch ssis a t mis jour et est pass d un FortiGate 5020 un FortiGate 5050 ou FortiGate 5140 Dans tous les cas il est n cessaire de modifier les param tres du cavalier afin que la carte FortiGate 5001 puisse communiquer avec le Gestionnaire de Ch ssis Remarque Cette proc dure requiert un changement manuel des param tres du cavalier sur la carte FortiGate 5001 Cela exige des connaissances suffisantes sur le sujet Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Modifier ou v rifier les cavaliers Otez la carte FortiGate 5001 du ch ssis 2 A partir du diagramme ci dessous localisez les param tres du cavalier main gauche de la carte lorsque le panneau avant les ports des interfaces vous fait face Retirez prudemment le cavalier et placez le sur le param tre correct Replacez la carte dans le ch ssis Illustration 10 Les options du param tre du cavalier 5050 and 5140 chassis 5020 chassis Back Front Interfaces Installation d un module FortiGate 500x Les modu
27. es ou d t rioration de l quipement Conventions typographiques La documentation du FortiGate utilise les conventions typographiques suivantes Convention Exemple Entr e clavier Dans le champ Nom de Passerelle tapez un nom pour le client VPN distant par exemple Central_ Office _ 1 Exemple de code config sys global set ips open enable end Syntaxe CLI Interface de ligne de commande config firewall policy edit id integer set http_retry_ count lt retry_integer gt set natip lt address_ipv4mask gt end Nom des documents Guide d Administration FortiGate Commande de Menus Allez sur VPN gt IPSEC et s lectionnez Cr er Phase 1 Affichage du r sultat d un programme Welcome Variable lt address_ipv4 gt Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Documentation FortiGate Les versions les plus r centes de la documentation Fortinet de m me que les pr c dentes parutions sont disponibles sur le site de documentation technique Fortinet l adresse http docs forticare com Les guides suivants y sont disponibles en anglais Certains guides sont ou seront aussi disponibles en fran ais FortiGate QuickStartGuide Guide de d marrage rapide FortiGate Fournit les informations de base sur la connexion et l installation d un FortiGate FortiGate Install Guide Guide d installation FortiGate D crit comment instal
28. glissez prudemment le module dans le slot du ch ssis Veillez glisser le module tout droit dans le slot Utilisez le rail l int rieur du ch ssis pour guider le module jusqu ce qu il touche le fond de panier du ch ssis FortiGate Le module et le slot doivent tre convenablement align s et le module compl tement et parfaitement positionn le module touche alors le ch ssis jusqu aux leviers d extraction Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 3 Verrouillez les leviers d extraction en les poussant l un vers l autre pour vous assurer que le FortiGate 5003 est bien en contact avec le fond de panier et plac en toute s curit Si le ch ssis est sous tension le module FortiGate 5003 s allume lorsque les leviers d extraction sont ferm s 4 Serrez les attaches de montage des deux c t s du panneau avant du FortiGate 5008 Cela emp che les leviers d extraction de s ouvrir et de mettre le module FortiGate 5003 hors tension Installation du module Gestionnaire de Ch ssis FortiGate Le module Gestionnaire de Ch ssis FortiGate est un module optionnel que vous pouvez installer dans les ch ssis FortiGate 5050 et FortiGate 5140 Le module Gestionnaire de Ch ssis 5050 s installe dans le slot main droite tout en bas du ch ssis FortiGate 5050 Le module Gestionnaire de Ch ssis 5140 s installe dans le slot le plus droite du ch ssis FortiGate 5140 Installer le module Gesti
29. interface d administration web Les changements de configuration apport s via l interface d administration web sont instantan ment pris en compte sans qu il soit n cessaire de r initialiser le pare feu et sans interruption de service Pour vous connecter l interface d administration web vous devez disposer e d un ordinateur avec une connexion Ethernet e de Microsoft Internet Explorer version 6 0 ou plus ou toute r cente version de navigateur web e d un c ble Ethernet crois ou d un concentrateur ou commutateur Ethernet et deux c bles Ethernet Remarque Avant de d marrer Internet Explorer v rifier sur votre FortiGate que la connexion physique entre l ordinateur et le FortiGate fonctionne correctement Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Connexion l interface d administration web Se connecter l interface d administration web partir de l interface interne 1 Configurez votre ordinateur avec l adresse IP statique 192 168 1 2 et le masque de r seau 255 255 255 0 Connectez l interface interne de l quipement FortiGate au r seau fibre Connectez l interface de votre ordinateur au m me r seau D marrez Internet Explorer et entrez l adresse https 192 168 1 99 n oubliez pas d inclure le s dans https Pour assurer une m thode s curis e d authentification HTTPS le FortiGate dispose d un certificat de s curit auto sign et il lui est envoy
30. interface connect e au r seau externe La route par d faut n est pas requise si cette interface est connect e en DHCP ou PPPOE Ajouter une route par d faut S lectionnez Routage gt Route Statique Si le tableau de Route statique stipule une route par d faut IP et masque configur s 0 0 0 0 cliquez sur l ic ne Suppression pour effacer cette route 3 S lectionnez Cr er nouveau 4 Affectez l adresse IP destination 0 0 0 0 5 Affectez le Masque 0 0 0 0 6 Configurez l adresse IP de la passerelle par d faut dans le champ Passerelle 7 Affectez Device l interface connect e au r seau externe 8 Cliquez sur OK V rification de la configuration partir de l interface d administration web Pour v rifier les param tres d acc s cliquez sur l interface que vous voulez v rifier et s lectionnez l ic ne Editer Les param tres s lectionn s lors de la proc dure pr c dente doivent appara tre coch s dans le champ des droits d administration Tester la connexion La proc dure suivante permet de tester la connexion e Consultez le site www fortinet com e Importez ou envoyez un courrier lectronique de votre bo te aux lettres Si vous ne parvenez pas vous connecter au site web importer ou envoyer un courrier lectronique v rifiez la proc dure pr c dente point par point pour vous assurer que toutes les informations ont t entr es correctement Puis recommencez le test Guide d installation FortiG
31. la vis de fin RTN Pos Ouvrez la source de courant et l interrupteur du ch ssis Ch ssis FortiGate 5140 Le ch ssis FortiGate 5140 poss de deux fiches de connexion d alimentation de courant redondantes 48 58 volts continus l arri re du ch ssis Deux fiches de connexion au dos du ch ssis FortiGate 5140 fournissent du Gei re courant continu aux alimentations de RTN 48dc courant Chacune des fiches de Ge connexion doit tre connect e une source de courant diff rente De cette mani re si une source tombe en panne l autre source reste SC op rationnelle Postitive Negative Dans le cas o le courant continu est indisponible vous pouvez installer le le module de conversion d alimentation FortiGate 5053 pour convertir une alimentation de courant alternatif en courant continu Mettre le ch ssis FortiGate 5140 sous tension 1 Assurez vous que les interrupteurs du ch ssis et de la source de courant soient ferm s Connectez le c ble lectrique n gatif noir la vis de fin Neg 48dc Connectez le c ble lectrique positif rouge la vis de fin RTN Pos Ouvrez la source de courant et l interrupteur du ch ssis Guide d installation FortiGate s rie 5000 Version 3 0 41 01 30000 0259 20051212 Distribution de courant via le FortiGate 5140 Le ch ssis Fortigate 5140 permet l option de diviser le syst me en quatre zones de courant Chacune de ces zones fournit un courant redondant une
32. les leviers d extraction ferm s Serrez les attaches de montage des deux c t s du panneau avant du FortiGate 500x Cela emp che les leviers d extraction de s ouvrir et de mettre le module FortiGate 500x hors tension Installation d un module FortiGate 5003 e gt 1 2 Le module FortiGate 5003 est un module optionnel que vous pouvez installer dans les ch ssis FortiGate 5050 et FortiGate 5140 L utilisation du commutateur FortiGate 5003 n cessite l installation du module dans les slots suivants e Pour un module FortiGate 5003 installez le dans le slot 2 e Pour deux modules FortiGate 5003 installez les dans les slots 1 et 2 Ces ports sp cifiques sont c bl s sur le fond de panier pour permettre des possibilit s de commutation des ports internes ainsi qu une fonctionnalit HA Si vous cr ez un cluster de modules pare feu antivirus FortiGate 500x l installation d un module FortiGate 5003 est indispensable Remarque Le levier d extraction gauche du panneau avant du FortiGate 500x est dot d un commutateur cach Ce levier doit tre ferm pour que le module puisse recevoir le courant Afin de s assurer que ce levier reste ferm les attaches de montage du module doivent tre serr es apr s son insertion Installer un module FortiGate 5003 Assurez vous que le module FortiGate 5003 est l endroit et que les leviers d extraction sont tendus En tenant le module FortiGate 5003 par le panneau avant
33. partir de l interface de ligne de commande ssssssesinssitrssrrssrnsttrstnsrnsstnnstnasnnnnnnnnnnnnnnnnnn 46 contr leur de gestionnaire de ch ssis eeeeeeeeeieeeiresiresiresitsstissttestnestinsrnnntnsstnntnnnnnnennn nnt 28 commandes GLi E 36 ee n te EE 35 36 D date et heure le ue EE 68 d charges lectrostatiques sise 16 DHCP CONMIQUrATQN ren rte nr ner A ir een de cire Sen pts ir euro ins 58 distribution de Courant ET 40 41 E changeabilit chaud des modules ss 46 47 enregistrement du FortiGate siennes 69 environnement sp cifications iii 35 F FortiGate d c mematio EEN 13 FortiGate s rie 5000 ch ssis et modules euesesssesessseresseeesrsrerererersssnssssnnsnsnsannnnsnnnnnsnsnnnnnnn nenna 17 Fortinet Base de Connaissance iii 13 14 Service client le et support technique ssessssessessseeesseesetenntstnttnttttnttenttnntannnttnnntnnntnnnennnennnnt 14 Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Fortinet gamme de produits FOAN Ve 8 Seu le Nee EE 8 RORE E EE EEN 7 ROUET ET EE EE E E eat en 7 Keier 7 Sall Ee EE 8 FOrtIR port r A5 RER set AN RE ess EE 8 FortiOS distribution internationale et am rlcainme iiiiiiiiiiiirsrscssseseseseseseseseseseseseseses 6 fuseaux ele EE EE 68 CG gestionnaire de ch ssis FortiGate installation nssssnnesesnneeeennen
34. serveur tftp Contr le de l image OK Cette op ration va r trograder votre version logicielle actuelle Voulez vous continuer oui non 7 Tapez y Le FortiGate 500x retourne l ancienne version logicielle restaure la configuration par d faut et red marre Cette proc dure prend quelques minutes Reconnectez vous en CLI Pour vous assurer du succ s du t l chargement de l image logicielle entrez get system status 10 Pour restaurer votre configuration pr c dente si n cessaire utilisez la commande xecute restore config name str gt lt tftp_ip4 gt 11 Mettez les bases de connaissance antivirus et IPS jour partir de l interface de ligne de commande en entrant execute update now Egalement pour plus d informations reportez vous au Guide d Administration FortiGate Guide d installation FortiGate s rie 5000 Version 3 0 79 01 30000 0259 20051212 Mise jour logicielle partir d un red marrage syst me et par ligne de commande Cette proc dure permet d installer un logiciel sp cifi et de restaurer la configuration par d faut du FortiGate 500x Vous pouvez utiliser cette proc dure pour mettre jour une version logicielle retourner vers une version ant rieure ou encore r installer la version actuelle Remarque Cette proc dure diff re en fonction des versions BIOS FortiGate Ces diff rences lorsqu elles sont d application sont pr cis es dans les tapes concern
35. set device lt interface gt end Guide d installation FortiGate s rie 5000 Version 3 0 63 01 30000 0259 20051212 Exemple Si l IP de la passerelle par d faut est 204 23 1 2 et que celle ci est connect e au WANT config router static edit 1 set dst 0 0 0 0 0 0 0 0 set gateway 204 23 1 2 set device wanl end V rification de la configuration partir de l interface de ligne de commande Pour v rifier les param tres d acc s entrez la commande CLI suivante show system interface Le programme d mulation terminal devrait afficher les interfaces vdom adresses IP droits d administration et param tres types du FortiGate Exemple edit internal set vdom root set ip 192 168 1 99 255 255 255 0 set allowaccess ping https ssh snmp http set type physical Tester la connexion La proc dure suivante permet de tester la connexion e Lancez un ping destination du FortiGate e Connectez vous l interface graphique GUI e Importez ou envoyez un courrier lectronique de votre bo te aux lettres Si vous ne parvenez pas vous connecter au site web ou importer ou envoyer un courrier lectronique v rifiez la proc dure pr c dente point par point pour vous assurer que toutes les informations entr es sont correctes Puis recommencez le test Connexion du FortiGate au x r seau x Une fois la configuration initiale termin e vous pouvez connecter le FortiGate entre le r seau interne et Internet
36. 01 Module FortiGate 5001FA2 Module FortiGate 5002FB2 Carte de Commutation FortiGate 5003 Contr leur de Gestionnaire de Ch ssis Module d alimentation AC du ch ssis Ch ssis FortiGate 5020 Illustration 1 Le ch ssis FortiGate 5020 avec deux modules FortiGate 5001 Pornire SOU mormaer ge SI A ge Sn y PORTE Le ch ssis FortiGate 5020 peut tre mont dans un rack standard de 19 pouces la hauteur du ch ssis tant de AU Il poss de les fonctionnalit s suivantes peut inclure jusqu deux modules pare feu antivirus FortiGate 500x supporte l changeabilit chaud des modules pare feu antivirus FortiGate 500x et des alimentations de courant comprend un refroidissement interne poss de des alimentations de courant redondantes pour une plus grande fiabilit Guide d installation FortiGate s rie 5000 Version 3 0 17 01 30000 0259 20051212 18 Tableau 1 Description des caract ristiques physiques du ch ssis FortiGate 5020 Dimensions 13 3 x 43 2 x 39 4 cm 5 25 x 17 x 15 5 pouces H x L x P Poids 16 1 kg 35 5 livres Environnement Temp rature 25 70 C 13 158F op rationnel Humidit relative 5 95 non condens e Environnement de Temp rature 20 80 C stockage Humidit relative 5 95 non condens e Dissipation de la Maximum 800 watts puissance Alimentations 2 ensembles de conversion 100 240 VAC en 48 VDC redondants
37. 01FA2 Tous les ch ssis FortiGate peuvent inclure au moins un module FortiGate 5001FA2 Celui ci fonctionne comme un syst me autonome de gestion des menaces Universal Threat Management System ou peut faire partie d un cluster HA FortiGate 5001FA2 Ce module comprend les m mes protections pare feu que le FortiGate 5001 l exception d un petit co processeur de paquet sur les ports 3 et 4 qui procure une acc l ration des performances Illustration 5 panneau avant du FortiGate 5001FA2 Mounting RS 232 Serial Mounting Knot Connection Knot FORTINET Ds EE Formare 500 e SEL STA PM Extraction USB Extraction Lever 3 and 4 Lever Gigabit Fiber 5678 Lockdown and 3 10 100 1000 Copper Thumbscrew Gigabit Fiber Accelerated Tableau 7 Les indicateurs des diodes lectroluminescentes du module FortiGate 5001FA2 Diode tat Description PWR Vert Le module FortiGate 5001FA2 est sous tension STA Vert Le module FortiGate 5001FA2 op re normalement Rouge Le FortiGate 5001FA2 s initialise ou pr sente une erreur IPM Bleu Le FortiGate 5001FA2 est pr t tre d branch chaud ou la carte est pr te tre retir e du ch ssis Bleu clignotant Le FortiGate 5001FA2 passe du mode hot swap d branchement chaud au mode de fonctionnement normal ou vice versa teint Op re normalement Le module FortiGate 5001FA2 est
38. Eteindre S lectionnez Eteindre et cliquez sur Appliquer partir de l interface de ligne de commande entrez execute shutdown 2 Fermez l interrupteur 3 Fermez les deux interrupteurs 4 D connectez l alimentation de courant 5 D connectez le c ble de l alimentation Guide d installation FortiGate s rie 5000 Version 3 0 43 01 30000 0259 20051212 Connexion du FortiGate Deux m thodes permettent la connexion et la configuration des param tres de base du FortiGate e L interface d administration web e L interface de ligne de commande CLI Interface d administration web Vous pouvez configurer et g rer le FortiGate avec une connexion HTTP ou HTTPS partir de tout ordinateur muni de Microsoft Internet Explorer 6 0 ou de tout autre navigateur r cent L interface d administration web fonctionne en plusieurs langues L interface d administration web permet la configuration et la gestion de la plupart des param tres FortiGate Interface de ligne de commande CLI Vous pouvez acc der l interface de ligne de commande FortiGate en connectant le port s rie de votre ordinateur au port console du FortiGate Vous pouvez galement avoir recours Telnet ou une connexion s curis e SSH pour vous connecter en CLI partir de n importe quel r seau connect au FortiGate y compris Internet Acc s l interface d administration web La proc dure suivante retrace les tapes pour une premi re connexion l
39. FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Configurer dynamiquement l interface externe par DHCP config system interface edit external set mode dhcp end Configurer dynamiquement l interface externe par PPPOE config system interface edit external set mode pppo set connection enable set username lt name str gt set password lt psswrd gt end 4 Utilisez la m me syntaxe pour affecter une adresse IP chaque interface 5 Confirmez que les adresses sont correctes Entrez get system interface L interface CLI num re les adresses IP masques de r seau et autres param tres pour chaque port du FortiGate Configurer les param tres du serveur DNS Configurer les serveurs DNS primaire et secondaire config system dns set primary lt address_ip gt set secondary lt address_ip gt end Exemple config system dns set primary 293 44 75 21 set secondary 293 44 75 22 end Ajout d une route par d faut Ajouter une route par d faut permet de configurer la destination vers laquelle le FortiGate enverra le trafic destin au r seau externe Internet g n ralement Cela sert galement d finir l interface connect e au r seau externe La route par d faut n est pas requise si cette interface est connect e en DHCP ou PPPOE Ajouter une route par d faut D finissez l adresse IP de la Passerelle par d faut config router static edit 1 set dst 0 0 0 0 0 0 0 0 set gateway lt gateway_IP gt
40. Gamme de Produits Fortinet En compl ment de sa gamme FortiGate Fortinet propose une solution compl te de logiciels et d appliances de s curit adressant notamment la s curit de la messagerie la journalisation et l dition de rapports statistiques la gestion du r seau et des configurations Pour plus d informations sur les gammes de produits Fortinet vous pouvez consulter le site www fortinet com products Services de souscription FortiGuard FortiClient FortiMail Les services FortiGuard sont des services de s curit d velopp s mis jour et g r s par une quipe de professionnels en s curit Fortinet Ces services assurent la d tection et le filtrage des attaques m me les plus r centes pour pr server les ordinateurs et les ressources du r seau Ces services ont t mis au point partir des plus r centes technologies de s curit et sont con us pour op rer des co ts op rationnels les plus bas possible Les services FortiGuard comprennent e Le service FortiGuard antivirus e Le service FortiGuard IPS Intrusion Prevention System e Le service FortiGuard de filtrage web e Le service FortiGuard antispam e Le service FortiGuard premier Sur notre site web vous trouverez galement un scanner de virus et une encyclop die des virus et attaques Le logiciel FortiClient offre un environnement informatique s curis et fiable aux utilisateurs d ordinateurs de bureau et d ordinateurs portable
41. Gate s rie 5000 Version 3 0 01 30000 0259 20051212 12 13 14 Tapez R L image logicielle est install e en m moire et le FortiGate 500x fonctionne sous la nouvelle version logicielle mais avec sa configuration actuelle Vous pouvez vous connecter en CLI ou l interface d administration web en utilisant n importe quel compte administrateur Pour vous assurer du succ s du t l chargement de la nouvelle image logicielle entrez partir des commandes CLI get system status Vous pouvez maintenant tester la nouvelle image logicielle Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 85 Index ajout d un serveur override sise 71 72 ajout d une route par de taut sisi 60 62 alimentation du Cheese gege aa niet re naar dee dede t te ea aire dan E 38 39 avertissements et pr cautions is 16 C carte de commutation FortiGate 5003 ui 27 cavaliers param trage sise 31 C rticat de TEE 44 Leef tele AS FAIR sin nine Re ln rime mt mt sn eme li nettes ten 30 CLI CONN XION KEE 46 configuration DAG P ER Ru nr SN Ne Rire Ne nan A aaraa Eaa aaa 58 en mod NAT ROUIR 552 44 58h min tain mal rites iii euer 49 en mod Transparent timides meet nie PR tee nt e ie 51 PRPROE ET de ee A EE 58 configuration par d faut des profils de protection sise 52 AUIPATC EURE RC a de nai Gi di nn 51 connexion l interface d administration web iii 43
42. Gate s rie 5000 Version 3 0 01 30000 0259 20051212 Introduction Bienvenue et merci d avoir choisi les produits Fortinet pour la protection en temps r el de votre r seau Les bo tiers FortiGate Unified Threat Management System Syst me de Gestion Unifi e des Attaques s curisent les r seaux r duisent les mauvais usages et abus r seaux et contribuent une utilisation plus efficace des ressources de communication sans compromettre la performance de votre r seau La gamme a re u les certifications ICSA pare feu VPN IPSec et antivirus L appliance FortiGate est un bo tier enti rement d di la s curit Il est convivial et fournit une gamme compl te de services que ce soit e au niveau des applications comme le filtrage antivirus et le filtrage de contenu e au niveau du r seau comme le pare feu la d tection et pr vention d intrusion les VPN et la qualit de service Le syst me FortiGate utilise la technologie de Dynamic Threat Prevention System Syst me Dynamique de Pr vention des Attaques DTPS Celle ci s appuie sur les derni res avanc es technologiques en mati re de conception de microcircuits de gestion de r seaux de s curit et d analyse de contenu Cette architecture unique bas e sur un Asic permet d analyser en temps r el les contenus applicatifs et les comportements du r seau A propos des distributions internationale et am ricaine de FortiOS Fortinet produit deux di
43. La mise jour des signatures antivirus et IPS peut se faire soit via l interface graphique soit via l interface de ligne de commande Pour acc der aux mises jour votre quipement FortiGate doit avant tout tre enregistr Pour plus d informations sur l enregistrement de votre FortiGate voir Enregistrement de votre FortiGate la page 70 Remarque II est fortement conseill de mettre les signatures antivirus et IPS r guli rement jour afin d viter que votre FortiGate ne devienne vuln rable face aux nouveaux virus Apr s avoir proc d l enregistrement v rifiez la connexion entre le FortiGate et le FDN e Les date et heure doivent tre exactes e partir de l interface d administration web s lectionnez R actualiser dans le Centre FortiGuard FortiGuard Center Si la connexion au FDN choue recommencez la proc dure d enregistrement de votre FortiGate ou reportez vous Ajout d un serveur override la page 73 Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Mise jour des signatures antivirus et IPS partir de l interface d administration web Une fois votre quipement FortiGate enregistr vous pouvez mettre les signatures antivirus et IPS jour partir de l interface d administration web Le Centre FortiGuard permet de recevoir des mises jour par courrier lectronique Pour ce faire entrez une adresse IP pour la r ception de ces courrie
44. Ping Droits Port 5 Ping d administration Port 6 Ping Port 7 uniquement pour le Ping FortiGate 5001 Port 8 uniquement pour le Ping FortiGate 5001 Configuration par d faut du pare feu Les r gles pare feu du module antivirus pare feu FortiGate 500x contr lent l acc s ou le rejet des flux r seau par celui ci Tant qu aucune r gle n est d finie aucun trafic n est accept par le FortiGate Reportez vous au Guide d Administration FortiGate pour plus d informations sur l ajout de r gles pare feu Les param tres suivants sont pr configur s dans la configuration par d faut afin de faciliter l ajout de r gles pare feu Tableau 14 Configuration par d faut du pare feu Param tres de configuration Nom Description Adresse All Repr sente toute valeur d adresse r seau Service Plus de 50 S lectionnez les services d sir s parmi les services 50 services pr d finis pour contr ler le pr d finis trafic re u Plage horaire Toujours Une plage r currente est valable tout Always moment Profil de Protection Strict scan D finit quels sont les services de s curit web additionnels qui doivent tre appliqu s au unfiltered flux antivirus filtrage web antispam et IPS La configuration par d faut du pare feu est la m me dans les modes NAT Route et Transparent Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Profils de protection
45. age Tout en maintenant le module FortiGate 500x par son panneau avant tirez les leviers d extraction jusqu ce que la diode IPM commence clignoter et attendez un moment Lorsque la diode IPM reste allum e utilisez les leviers d extraction pour glisser le module en dehors du ch ssis En tenant le nouveau module FortiGate 500x par le panneau avant glissez prudemment le module dans le slot du ch ssis Veillez glisser le module tout droit dans le slot Utilisez le rail l int rieur du ch ssis pour guider le module jusqu ce que celui ci touche le fond de panier du ch ssis FortiGate Le module et le slot doivent tre convenablement align s et le module compl tement et parfaitement positionn le module touche alors le ch ssis jusqu aux leviers d extraction Verrouillez les leviers d extraction en les poussant l un vers l autre pour vous assurer que le FortiGate 500x est bien en contact avec le fond de panier et plac en toute s curit Si le ch ssis est sous tension le module FortiGate 500x s allume lorsque les leviers d extraction sont ferm s Serrez les attaches de montage des c t s droit et gauche du panneau avant du FortiGate 500x Cela emp che les leviers d extraction de s ouvrir et de mettre le module FortiGate 500x hors tension Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Modules d alimentation de courant changeables chaud Echangeabilit
46. ant des commandes CLI ci dessous AH lt Remarque La mise jour des signatures antivirus ne peut se faire qu partir de l interface d administration web Mettre les signatures IPS jour partir de l interface de ligne de commande 1 Connectez vous en CLI 2 Entrez la commande suivante configure system autoupdate ips set accept recommended settings enable end Guide d installation FortiGate s rie 5000 Version 3 0 71 01 30000 0259 20051212 72 Programmation des mises jour des signatures antivirus et IPS Il est possible de planifier une programmation r guli re et automatique des mises jour des signatures antivirus et IPS soit via l interface d administration web soit via l interface de ligne de commande Activer la programmation de mises jour partir de l interface d administration web S lectionnez Syst me gt Maintenance gt FortiGuard Center Cochez la case Programmation des mises jour r guli res S lectionnez une des fr quences suivantes pour la v rification et le t l chargement des mises jour Chaque La mise jour a lieu selon un intervalle de temps pr d fini S lectionnez le temps souhait nombre d heures entre 1 et 23 heures entre chaque demande de mise jour Journali re La mise jour a lieu quotidiennement Vous pouvez en sp cifier l heure pr cise dans la journ e Hebdomadaire La mise jour a lieu une fois par semaine Vous pouvez en sp cif
47. ante n cessite que vous vous connectiez partir du compte administrateur admin ou d un compte administrateur qui poss de tous les droits d acc s en lecture et criture de la configuration du syst me Mettre le logiciel jour partir de l interface de ligne de commande 1 Assurez vous que le serveur TFTP est op rationnel 2 Copiez le fichier de la nouvelle image logicielle sur le r pertoire racine du serveur TFTP Connectez vous en CLI Veillez ce que le FortiGate 500x se connecte bien au serveur TFTP Vous pouvez utiliser la commande suivante pour lancer un ping destination du serveur TFTP Par exemple si l adresse IP du serveur TFTP est 192 168 1 168 execute ping 192 168 1 168 5 Entrez la commande suivante pour copier l image logicielle du serveur TFTP vers le FortiGate 500x xecute restore image lt name_str gt lt tftp_ip4 gt Guide d installation FortiGate s rie 5000 Version 3 0 75 01 30000 0259 20051212 o lt name_str gt est le nom du fichier de l image logicielle et lt tftp_ip gt est l adresse IP du serveur TFTP Par exemple si le nom du fichier de l image logicielle est FGT_5001 v30 build200 FORTINET out et l adresse IP du serveur TFTP est 192 168 1 168 entrez xecute restore image FGT_5001 v30 build200 FORTINET out 192 168 1 168 Le FortiGate 500x r pond par le message suivant This operation will replace the current firmware version Do you want to continue
48. anuel entrez l adresse IP et le masque de r seau de l interface e Pour un adressage DHCP s lectionnez DHCP et tous les param tres requis e Pour un adressage PPPOE s lectionnez PPPOE et entrez compte utilisateur mot de passe et autres param tres requis Pour plus d informations sur la configuration des param tres des interfaces consultez l aide en ligne FortiGate ou le Guide d Administration FortiGate Cliquez sur OK R p tez cette proc dure pour chaque interface Remarque Si vous modifiez l adresse IP de l interface laquelle vous tes connect vous devez vous reconnecter partir d un navigateur web avec la nouvelle adresse Connectez vous https suivi de la nouvelle adresse IP de l interface Si la nouvelle adresse IP de l interface est sur un sous r seau diff rent vous devrez probablement modifier l adresse IP de votre ordinateur et la configurer sur le m me sous r seau Configurer les param tres du serveur DNS S lectionnez Syst me gt R seau gt Options Entrez l adresse IP du serveur DNS primaire Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 3 Entrez l adresse IP du serveur DNS secondaire 4 Cliquez sur Appliquer Ajout d une route par d faut Ajouter une route par d faut permet de configurer la destination vers laquelle le FortiGate enverra le trafic destin au r seau externe Internet g n ralement Cela sert galement d finir l
49. ar d faut Configuration r seau en mode NAT Route Lorsque le FortiGate est mis sous tension pour la premi re fois il fonctionne en mode rout NAT Route avec une configuration r seau par d faut telle que d taill e dans le tableau 12 ci dessous Cette configuration vous permet d utiliser l interface graphique du FortiGate et d tablir la configuration requise pour connecter le module antivirus pare feu FortiGate 500x au r seau Dans ce m me tableau les droits d administration HTTPS signifient que vous pouvez vous connecter l interface graphique en utilisant le protocole HTTPS Lorsque la commande ping est sp cifi e dans les droits d acc s cela signifie que cette interface r pond aux requ tes ping Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Tableau 12 Configuration r seau par d faut en mode NAT Route SC Nom de l utilisateur admin Compte administrateur Mot de passe n ant IP 192 168 1 99 Port 1 Masque de r seau 255 255 255 0 Droits d administration HTTPS Ping IP 192 168 100 99 Port 2 Masque de r seau 255 255 255 0 Droits d administration Ping IP 0 0 0 0 Port 3 Masque de r seau 0 0 0 0 Droits d administration Ping IP 0 0 0 0 Port 4 Masque de r seau 0 0 0 0 Droits d administration Ping IP 0 0 0 0 Port 5 Masque de r seau 0 0 0 0 Droits d administration Ping IP 0 0 0 0 Port 6 Masque de r seau
50. as de probl me de virus n cessitant une analyse maximum Scan Applique une analyse antivirus et une mise en quarantaine de fichiers du contenu du trafic HTTP FTP IMAP POP3 et SMTP La mise en quarantaine est galement applicable tous les trafics Sur les mod les FortiGate poss dant un disque dur la d tection d un virus entra ne le placement du fichier infect en quarantaine sur le disque local du FortiGate Si n cessaire les administrateurs peuvent r tablir les fichiers en quarantaine Web Applique une analyse antivirus et un blocage du contenu web Vous pouvez ajouter ce profil de protection aux r gles pare feu qui contr lent le trafic HTTP Unfiltered Non filtr N applique ni analyse ni blocage ni IPS A utiliser dans le cas o aucune protection du contenu du trafic n est souhait e Vous pouvez ajouter ce profil de protection aux r gles pare feu pour les connexions entre des r seaux hautement fiables et s curis s dont le contenu ne n cessite pas d tre prot g Guide d installation FortiGate s rie 5000 Version 3 0 53 01 30000 0259 20051212 54 Restauration du param trage par d faut Si vous avez fait une erreur de configuration et que vous n arrivez pas connecter le module antivirus pare feu FortiGate 500x vous pouvez toujours restaurer les param tres par d faut et recommencer la configuration A Attention Cette proc dure supprime tous les changements apport s la configurati
51. ate d vie le flux r seau lorsqu il d tecte une panne sur le bo tier et re oit alors le trafic pour viter toute coupure r seau FortiBridge est facile utiliser et d ployer Vous pouvez programmer l avance les actions que FortiBridge mettra en place en cas de panne de courant ou de panne dans le syst me FortiGate FortiManager FortiManager est con u pour r pondre aux besoins des grandes entreprises y compris les fournisseurs de services de gestion de s curit responsables du d ploiement et du maintien de dispositifs de s curit travers un parc d quipements FortiGate FortiManager vous permet de configurer et de contr ler les statuts de plusieurs bo tiers FortiGate Vous pouvez galement consulter leurs journaux en temps r el et leurs historiques ou encore mettre les versions du microcode FortiOS FortiManager est facile utiliser et s int gre ais ment des syst mes tiers Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Modules et ch ssis FortiGate s rie 5000 Les plates formes de s curit r seau FortiGate s rie 5000 sont des syst mes bas s sur des ch ssis destin s aux grandes entreprises et fournisseurs de services haut d bit Internet Ils garantissent des services de s curit int grant pare feu VPN protection antivirus antispam filtrage du contenu web et syst me de pr vention d intrusion IPS Le grand choix de configurations syst me qu offrent
52. ate s rie 5000 Installation d un module FortiGate 500x Installation d un module FortiGate 5003 Installation du module Gestionnaire de Ch ssis FortiGate Alimentation du ch ssis Connexion du FortiGate Remplacement des modules Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 15 16 Avertissements et pr cautions Les proc dures d crites dans ce chapitre s adressent un personnel technique qualifi ayant de l exp rience dans l installation et la configuration de serveurs Avant de commencer il est n cessaire de lire et d adh rer tous les avertissements et remarques de ce chapitre Attention Soyez attentifs aux remarques et avertissements avant d op rer le pare feu antivirus FortiGate Fermer tous les interrupteurs de courant ne supprime pas forc ment totalement la pr sence de courant dans le bo tier FortiGate D connectez le FortiGate de sa source d alimentation de ses connexions et r seaux de t l communication avant d installer et retirer les composants FortiGate ou d ex cuter d autres t ches de maintenance En cas de non respect de ces mesures de prudence vous risquez de vous blesser ou d endommager les quipements Certains circuits du FortiGate peuvent en effet continuer d op rer alors que toutes les alimentations sont coup es Installer le ch ssis FortiGate dans les tages inf rieurs de l armoire rack afin d viter d alourdir le haut de l armoire et de risq
53. ate s rie 5000 Version 3 0 61 01 30000 0259 20051212 A partir de l interface de ligne de commande Vous pouvez galement configurer votre FortiGate en utilisant les commandes CLI Pour toute information sur la connexion en CLI voir Connexion partir de l interface de ligne de commande la page 47 Configuration du FortiGate pour op rer en mode NAT Route Reportez vous aux informations consign es dans le tableau 15 de la page 59 pour accomplir la proc dure suivante Ajouter modifier le mot de passe administrateur Connectez vous en CLI 2 Pour modifier le mot de passe administrateur admin Tapez config system admin edit admin set password lt psswrd gt end Configurer les interfaces Connectez vous en CLI 2 Affectez l interface interne l adresse IP et le masque de r seau tels que consign s au tableau 15 de la page 59 Tapez config system interface edit internal set mode static set ip lt address_ip gt lt netmask gt end Exemple config system interface edit internal set mode static set ip 192 168 120 99 255 255 255 0 end 3 A ffectez l interface externe l adresse IP et le masque de r seau tels que consign s au tableau 15 de la page 59 Tapez config system external edit external set mode static set ip lt address_ip gt lt netmask gt end Exemple config system external edit external set mode static set ip lt 204 28 1 5 gt lt 255 255 255 0 gt end 62 Guide d installation
54. ation web en tant qu administrateur admin S lectionnez Syst me gt Statut Dans Statut gt Version de code s lectionnez Update Mettre jour D BB N Tapez le chemin et le nom de fichier de l image logicielle ou s lectionnez Browse Parcourir pour localiser ce fichier 6 Cliquez sur OK Le FortiGate 500x t l charge le fichier de l image logicielle installe la nouvelle version logicielle red marre et affiche la page d ouverture d une session FortiGate Cette proc dure prend quelques minutes Connectez vous l interface d administration web S lectionnez Syst me gt Statut et v rifiez la version du code pour vous assurer du succ s de l installation de la mise jour 9 Mettez les bases de connaissance antivirus et IPS jour Pour plus d informations sur ce sujet reportez vous au Guide d Administration FortiGate Mise jour logicielle partir de l interface de ligne de commande La proc dure suivante n cessite un serveur TFTP connect au FortiGate 500x Ai Kr Remarque Les bases de connaissance antivirus et IPS sont remplac es par celles de la nouvelle version logicielle Apr s la mise jour logicielle assurez vous que ces bases de connaissance sont jour Vous pouvez galement utiliser la commande CLI execute update now pour mettre jour ces d finitions Pour plus de d tails reportez vous au Guide d Administration FortiGate Vi V Remarque La proc dure suiv
55. ative l interface graphique vous pouvez installer et configurer le FortiGate partir de l interface de ligne de commande Les changements apport s dans la configuration partir de l interface de ligne de commande sont instantan ment pris en compte sans qu il soit n cessaire de r initialiser le pare feu et sans interruption de service Pour vous connecter en CLI au FortiGate vous devez disposer e d un ordinateur avec un port de communication disponible e du c ble null modem inclus parmi le mat riel livr e d un logiciel d mulation terminal tel que l HyperTerminal de Microsoft Windows Remarque La proc dure suivante s appuie sur le logiciel Microsoft Windows HyperTerminal Vous pouvez appliquer la m me proc dure avec tout programme d mulation terminal Se connecter en CLI 1 Connectez votre c ble null modem au port de communication port s rie de votre ordinateur d une part et au port de la console du FortiGate d autre part 2 D marrez le logiciel HyperTerminal entrez un nom pour la connexion et cliquez sur OK 3 Configurez l HyperTerminal afin de vous connecter directement au port de communication de votre ordinateur et cliquez sur OK 4 S lectionnez les param tres suivants du port et cliquez ensuite sur OK Bits par seconde 9600 Bits de donn es 8 Parit Aucune Bits d arr t 1 Contr le de flux Aucun 5 Appuyez sur la touche Enter pour vous connecter en CLI au FortiGate Le message d ouver
56. chaud signifie que vous pouvez retirer un module d alimentation de courant d faillant et le remplacer par un nouveau tout en maintenant le ch ssis FortiGate op rationnel Echanger chaud des modules d alimentation de courant Fermez l interrupteur du module d alimentation de courant remplacer avant de retirer le panneau d alimentation amovible Retirez le panneau d alimentation de l avant du ch ssis FortiGate en desserrant les attaches de montage du panneau d alimentation Desserrez les deux attaches de montage qui maintiennent le module dans le ch ssis Ne pas retirer les attaches de montage Tout en maintenant le module d alimentation de courant par sa poign e glissez le module en dehors du ch ssis En tenant le nouveau module par sa poign e glissez le prudemment dans le slot vide du ch ssis Utilisez le rail l int rieur du ch ssis pour guider le module jusqu ce que celui ci touche le fond de panier du ch ssis FortiGate Serrez les attaches de montage sur le module d alimentation de courant Replacez le panneau d alimentation amovible Ouvrez l interrupteur du nouveau module d alimentation de courant Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 49 Param trage par d faut Le module antivirus pare feu FortiGate 500x vous est fourni avec une configuration par d faut qui vous permet de vous connecter l interface d administration web et de configurer l acc s d
57. d installer une voire deux Cartes de Commutation FortiGate 5003 ou encore toutes combinaisons faites de maximum douze modules pare feu antivirus FortiGate 500x et deux cartes FortiGate 5003 Ce ch ssis peut connecter jusqu deux Gestionnaires de Ch ssis et un module optionnel de conversion d alimentation Pour plus de d tails reportez vous Ch ssis FortiGate 5140 la page 21 Module FortiGate 5001 Chaque module FortiGate 5001 est un syst me autonome de s curit r seau hautement performant qui supporte des fonctionnalit s exigeantes telles que des VLAN 802 1Q et domaines virtuels multiples op rant la vitesse du r seau Le module FortiGate 5001 comprend e Quatre interfaces r seau gigabits en fibre optique e Quatre interfaces r seau cuivre 10 100 1000 e Une connexion console s rie DB 9 Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 e Deux connexions USB e Deux RAM DIMM e Deux leviers d extraction pour aligner le FortiGate 5001 dans le ch ssis FortiGate e Deux attaches de montage pour fixer le module au ch ssis de mani re s curis e Plusieurs modules FortiGate 5001 peuvent tre regroup s dans un cluster haute disponibilit HA assurant ainsi un partage de charge entre les unit s et une redondance mat rielle Le clustering haute disponibilit requiert deux interfaces gigabits internes pour la communication haute disponibilit ce qui laisse les huit interfaces
58. der notamment de la visibilit de votre quipement sur le r seau des fonctions pare feu fournir du contr le appliquer au trafic La planification de la configuration d pend du mode de fonctionnement s lectionn le mode NAT Route par d faut ou le mode Transparent Vous pouvez galement configurer le FortiGate et le r seau qu il prot ge en gardant le param trage par d faut Mode NAT Route En mode rout le FortiGate est visible sur le r seau De m me que pour un routeur ses interfaces sont pr sentes sur diff rents sous r seaux Dans ce mode les interfaces suivantes de la carte FortiGate 5001 sont disponibles e Les ports 1 4 peuvent tre connect s n importe quel r seau Ethernet optique e Les ports 5 8 peuvent tre connect s n importe quel r seau Ethernet cuivre En mode rout les interfaces suivantes de la carte FortiGate 5002A sont disponibles e Les ports 1 et 2 peuvent tre connect s n importe quel r seau Ethernet fibre e Les ports 3 6 peuvent tre connect s n importe quel r seau Ethernet cuivre Vous pouvez ajouter des r gles pare feu pour v rifier si le FortiGate op re en mode NAT ou en mode Route Ces r gles contr lent la circulation du trafic en se basant sur les adresses sources et de destination ainsi que sur les protocoles et ports applicatifs de chaque paquet En mode NAT le FortiGate ex cute une translation des adresses du r seau avant d en
59. diriger les connexions d une interface dans le cas o la connexion au r seau externe choue Par ailleurs la configuration de r gles de s curit est la m me que pour une configuration en mode rout avec une seule connexion Internet Vous tablirez des r gles pare feu en mode NAT pour contr ler le trafic circulant entre les r seaux interne et externe Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Illustration 17 Exemple de configuration de multiples connexions Internet en mode NAT Route Internal Network network Web Server y Mail Server Internet Mode Transparent En mode Transparent le FortiGate n est pas visible sur le r seau De m me que pour un pont toutes ses interfaces doivent se trouver sur le m me sous r seau Il suffit de configurer une adresse IP d administration pour pouvoir proc der des modifications dans la configuration et la mise jour des bases de connaissance antivirus et IPS Le mode Transparent d un FortiGate est g n ralement utilis sur un r seau priv derri re un pare feu ou un routeur existant Le FortiGate ex cute les fonctions de pare feu VPN IPSec analyse de virus protection d intrusion et filtrage web et antispam Vous pouvez connecter le FortiGate afin de contr ler le trafic chang entre ces segments r seaux e Le port 1 peut se connecter au pare feu ou routeur externe e Tous les autres ports peuvent se connecter
60. du module FortiGate 500x Les slots RAM ne permettent l alignement que d un module RAM DIMM Si les leviers de verrouillage ne se ferment pas parfaitement cela signifie que votre DIMM n est pas align correctement ou qu il est l envers Poussez le RAM DIMM doucement jusqu ce que le m canisme de verrouillage bloque le DIMM R p tez ces tapes pour les deux RAM DIMM Installation des transmetteurs SFP Le FortiGate 500x est livr avec des transmetteurs 1000Base SX SFP fibre multimode ins rer dans les emplacements du bo tier 1 4 d pendant du mod le du FortiGate Les transmetteurs doivent tre plac s avant l insertion du module FortiGate 500x dans le ch ssis FortiGate Remarque Les transmetteurs SFP 1000Base LX fibre monomode ou SFP 1000Base TX fibre cuivre peuvent tre utilis s facultativement Les SX et LX n cessitent les transmetteurs fibre LC tandis que le TX n cessite l emploi d un connecteur RJ 45 Installer les transmetteurs SFP FortiGate 500x Otez les capuchons des emplacements SFP du panneau avant du FortiGate 500x En maintenant les c t s des transmetteurs SFP glissez les dans les emplacements jusqu ce qu ils soient correctement positionn s A Attention Ne pas tenir les transmetteurs SFP par leur clenche de lib ration car cela pourrait endommager le connecteur Param trage des cavaliers La carte FortiGate 5001 est pr configur e avec les param tres du cavalier pour le type
61. e 5002FB2 est un syst me autonome de s curit r seau hautement performant qui supporte des fonctionnalit s exigeantes telles que des VLAN 802 1Q et domaines virtuels multiples op rant la vitesse du r seau Le module FortiGate 5002FB2 comprend Six interfaces r seau cuivre 10 100 1000 y compris deux ports SFP Une connexion console s rie DB 9 Deux connexions USB Deux RAM DIMM Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 e Deux leviers d extraction pour aligner le FortiGate 5002FB2 dans le ch ssis FortiGate e Deux attaches de montage pour fixer le module au ch ssis de mani re s curis e Plusieurs modules FortiGate 5002FB2 peuvent tre regroup s dans un cluster haute disponibilit HA assurant ainsi un partage de charge entre les unit s et une redondance mat rielle Le clustering haute disponibilit requiert deux interfaces gigabit internes pour la communication haute disponibilit ce qui laisse les six interfaces gigabit du panneau avant disponibles pour les connexions r seau Pour plus de d tails sur le FortiGate 5002FB2 reportez vous Module FortiGate 5002FB2 la page 25 Carte de Commutation FortiGate 5003 Switch Blade module La carte de commutation FortiGate 5003 est un composant haute disponibilit qui lorsqu il est connect aux ch ssis FortiGate 5050 ou FortiGate 5140 fournit toutes les performances d un clustering haute disponibilit que ce soit
62. e ernest tt nner tn nnst tnn nnntnn annern nenene nnne 35 Ajustement des variables d environnement sesssssssrissssrrsssrrssrirnnstinnnstntnnnsttnnnnttnnnntennnnnnnn 36 Connexion au Contr leur de Gestionnaire de Ch ssis 37 Alimentation du ChASSIS 55 250 aa ieina aa aa aaaea aa taaban bee nero due NEES OR 40 Ch ssis FortiGate 2020 ss ee trs insirertieires ia les tstere rt A RESE EKRE ee ERREA EERENS ENEKE 40 EEN EE TA EE A0 Ch ssis FontiGat 5140 7 4 EEN 41 Distribution de courant via le FortiGate 5140 nenene 42 Module d alimentation AC du ch ssis nnnaennneeennneeenn nnee nt rest tr nest ttr nent tnnnnttn tnnt nn annern nnne nnmnnn 42 Connexion du FortiGate sisesererees ren seisrenieen nenike dnne aa Add ERNES EERE mAN NNAK Enn NEAN 44 Interface d administration wei 44 Interface de ligne de commande CLI iii 44 Acc s l interface d administration web sssssnnssssrrsstrrsssttnnstttnnsttnnnnsttn nnne tn ansera nennen nennen 44 Connexion partir de l interface de ligne de commande 47 Remplacement des modules ss nissnnnnnnnnnnnennneennnes 48 Echangeabilit chaud de modules FortiGate 500x sssssnnssennnnsennnesetn nene tnnnnernnnnnrnn nnne enn 48 Modules d alimentation de courant changeables chaud 49 Param trage par d nn teen ten nest 50 Configuration r seau en mode NAT Route sseesseesseesseeseeseeistnnstntnnnttnntrn
63. e le FortiGate 500x se connecte bien au serveur TFTP Vous pouvez utiliser la commande suivante pour lancer un ping destination du serveur TFTP Par exemple si l adresse IP du serveur TFTP est 192 168 1 168 execute ping 192 168 1 168 Entrez la commande suivante pour copier l image logicielle du serveur TFTP vers le FortiGate 500x xecute restore image lt name_str gt lt tftp_ipv4 gt o lt name_str gt est le nom du fichier de l image logicielle et lt t ftp_ip gt est l adresse IP du serveur TFTP Par exemple si le nom du fichier de l image logicielle est FGT_5001 v280 buil1d158 FORTINET out et l adresse IP du serveur TFTP est 192 168 1 168 entrez xecute restore image FGT_5001 v280 build158 FORTINET out 192 168 1 168 Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Le FortiGate 500x r pond par le message suivant This operation will replace the current firmware version Do you want to continue y n A savoir Cette op ration va remplacer la version logicielle actuelle Voulez vous continuer oui non 6 Tapez y Le FortiGate 500x t l charge le fichier de l image logicielle Apr s le t l chargement du fichier un message similaire celui ci dessous s affiche Get image from tftp server OK Check image OK This operation will downgrade the current firmware version Do you want to continue y n A savoir Image bien re ue du
64. e tn rnnt tnn nnsrrnnnnrtnnnnrnn rnnr rnnnneen nn 34 interface d administration web CONNEXION EE 43 interface de ligne de commande CONNEXION As ata d dE E 46 L logiciel FortiGate MISS SO AE a Ee ee EE Se eg 73 mise jour partir de l interface d administration web ss 73 mise jour partir de l interface de ligne de commande 74 retour une version ant rieure sisi 75 retour une version ant rieure partir de l interface d administration web ss 75 retour une version ant rieure partir de l interface de ligne de commande 76 test d une nouvelle version avant son installation 82 logiciel FortiGate mise jour sise 73 M mise jour des signatures antivirus et IPS iii 69 partir de l interface d administration web 69 70 programmato EEN 70 71 des signatures IPS partir de l interface de ligne de commande 70 WIEN Uer 73 mise jour logicielle partir de l interface d administration web 73 mise jour logicielle partir de l interface de ligne de commande ssseesseesseesesessettetttttttntttnntnttnntnnntnnnennnennnnt 74 mise jour logicielle partir d un red marrage syst me et par ligne de commande ssssssssnnssssnneseernnsern rennene 78 79 anolo CANTAIRA e TE 54 partir de l interface d administration web 59 partir de l interface de ligne de commande ss sssssssisssisesrrssrnssrrstnssrnsstnssrnssrnssrnnsrnnsnns 60 61 parameti s firent EE 58
65. eau de bord du syst me FortiGate 5001 System Information Uptime 5 day s 0 hour s 42 min s System Time Mon Dec 5 08 34 53 2005 Change Serial Number FG50012205400050 Host Name 5001_Slot_4 Change Firmware Version Fortigate 5001 3 00 build151 051129 Update System Resources CPU Usage 0 Memory Usage m 10 FortiAnalyzer Disk Quota 0 Network Utilization 3 Kbps License Information Support Contract 3 000 Register FortiGuard Subscriptions AntiVirus N A A Definitions 6 180 Update Intrusion Protection N A IPS Definitions 2 248 Update Web Filtering Expired Renew AntiSpam Expired Renew Virtual Domain 10 Automatic Refresh Interval none Alert Message Console gt gt 2005 11 30 07 53 04 System restart a 2005 11 30 07 50 34 Firmware upgraded by admin 2005 11 25 08 03 30 System restart 2005 11 25 08 01 27 Firmware upgraded by admin 2005 11 24 07 45 30 System restart Statistics Since 2005 11 30 07 53 09 fat Sessions 10 current sessions Details Content Archive HTTP D URLs visited Details Email 0 emails sent Details D emails received FTP 0 URLs visited Details 0 files uploaded D files downloaded IM O file transfers Details 0 chat sessions 0 messages Attack Log AV 0 viruses caught Details IPS 0 attacks blocked Details Spam 0 spams detected Details Web O URLs blocked Details System Operation Reboot X Le tableau de bord reprend les informations suivantes e Stat
66. eb voir Acc s l interface d administration web la page 44 La premi re connexion au FortiGate se fait en mode NAT Route Passer en mode Transparent partir de l interface d administration web S lectionnez Syst me gt Statut Cliquez sur Changer c t du champ Mode de fonctionnement S lectionnez Transparent dans la liste Operation Mode Entrez l adresse IP Masque de r seau d administration et l adresse de la Passerelle par d faut consign es dans le tableau 17 la page 66 Cliquez sur Appliquer Il n est pas n cessaire de se reconnecter l interface d administration web les changements sont imm diatement pris en compte en cliquant sur Appliquer Vous pouvez v rifier le passage en mode Transparent sur le tableau de bord du FortiGate Configurer les param tres du serveur DNS S lectionnez Syst me gt R seau gt Options Entrez l adresse IP du serveur DNS primaire Entrez l adresse IP du serveur DNS secondaire Cliquez sur Appliquer Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 A partir de l interface de ligne de commande Comme alternative l interface graphique vous pouvez commencer la configuration initiale du FortiGate via les commandes CLI Pour se connecter en CLI voir Connexion partir de l interface de ligne de commande la page 47 Reportez vous aux informations consign es dans le tableau 17 de la page 66 pour accomplir les proc d
67. en contact avec le fond de panier du ch ssis FortiGate 1 2 3 4 Vert La jarreti re fibre optique appropri e est connect e l interface gigabits fibre Clignotant Activit r seau pr sente sur l interface gigabits fibre 5 6 7 8 Vert Le c ble appropri est connect l interface cuivre 10 100 1000 et l quipement connect est aliment Clignotant Activit r seau pr sente sur cette interface Ambre L interface est connect e 1000 Mbit s Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Connexions Le module FortiGate 5001FA2 pr sente les connexions interface suivantes Connecteur Type Vitesse Protocole Description 1et2 LC 1000Base SX Ethernet Connexions fibre optique SFP multimode vers r seaux optiques gigabit 3et4 LC 1000Base SX Ethernet Am liore la performance de SFP petits paquets sur connexions fibre optique multimode vers r seaux optiques gigabit 5 6 7 8 RJ 45 1000Base T Ethernet Connexion gigabit en cuivre vers r seaux cuivre 10 100 1000 CONSOLE DB 9 9600 bit s S rie Connexion s rie vers RS 232 l interface de ligne de commande Le FortiGate 5001FA2 est fourni avec 4 connecteurs SFP Small Formfactor Pluggable ins rer dans les emplacements 1 4 du panneau avant Performance pour les petits paquets Les ports 3 et 4 du module FortiGate 5001FA2 comprennent un co processeur SPP Small Packet P
68. entre modules FortiGate 5001 ou entre ch ssis FortiGate 5050 et FortiGate 5140 Le module FortiGate 5003 comprend e Seize ports gigabits Ethernet dont e Treize interfaces gigabits internes de fond de panier e Trois interfaces externes 10 100 1000 pour la connexion d autres ch ssis Un port 10 100 de gestion hors bande Un acc s console RJ 45 Des indicateurs LED Deux leviers d extraction pour aligner le FortiGate 5003 dans le ch ssis FortiGate Pour plus de d tails reportez vous Carte de Commutation FortiGate 5003 la page 27 Contr leur FortiGate de Gestionnaire de Ch ssis FortiGate Shelf Management Controller Le module Contr leur FortiGate de Gestionnaire de Ch ssis est responsable de l alimentation d un ch ssis et du traitement des ajouts et retraits de modules y compris l change de ressources interconnect es la gestion de la distribution du courant du refroidissement et des statuts du ch ssis Pour plus de d tails reportez vous Connexion au Contr leur FortiGate de Gestionnaire de Ch ssis la page 37 Alimentation AC du ch ssis AC Power shelf Ce module fournit le moyen de convertir le courant alternatif AC en courant continu DC pour les ch ssis FortiGate 5050 et FortiGate 5140 Il inclut de multiples modules de courant assurant ainsi une redondance et une changeabilit chaud des sources de courant Pour plus de d tails reportez vous Alimentation AC du ch
69. erformance qui augmente significativement la performance pour les paquets inf rieurs 512 octets De plus ce co processeur permet au module FortiGate 5001FA2 d atteindre une performance proche des performances nominales de la ligne pour ces paquets Les applications utilisant de petits paquets telles que le protocole http et les mails profiteront de cette acc l ration Les quatre autres ports servent aux applications utilisant des paquets de plus grandes tailles telles que les transferts FTP les copies de fichiers et les acc s bas s serveurs Module FortiGate 5002FB2 Tous les ch ssis FortiGate peuvent inclure au moins un module FortiGate 5002FB2 Celui ci fonctionne galement comme un syst me autonome de gestion de menaces Universal Threat Management System ou peut faire partie d un cluster HA FortiGate 5002FB2 Ce module comprend la m me protection pare feu que le FortiGate 5001 l exception des deux ports SFP Illustration 6 Panneau avant du FortiGate 5002FB2 Mounting Mounting Knot Knot ForriGare 5002 COOL EU 1 2 s 4 D FORTINEC Extraction USB Extraction Lever RJ 45 Serial Lever Connection 3456 1 2 10 100 1000 Copper 10 100 100 Copper with SSP Co Processor Guide d installation FortiGate s rie 5000 Version 3 0 25 01 30000 0259 20051212 26 Tableau 8 Les indicateurs des diodes lectroluminescentes du module FortiGate 5002FB2 Diode tat Description PWR
70. est g n ralement teinte Si allum e pr sence d une d faillance du commutateur System Vert Op re normalement Console Jaune Mode lien activit le port ne transf re pas de paquets Mode lien vitesse indique une connexion de 1000 Mbit s Port Vert Mode lien activit une diode clignotante indique un trafic r seau 0 15 Mode lien vitesse indique une connexion de 100 Mbit s Eteint Mode lien activit pas de lien tabli Mode lien vitesse indique une connexion de 10 Mbit s Jaune Mode lien activit le port ne transf re pas de paquets Mode lien vitesse indique une connexion de 1000 Mbit s Vert Mode lien activit une diode clignotante indique un E1 trafic r seau Mode lien vitesse indique une connexion de 100 Mbit s Eteint Mode lien activit pas de lien tabli Mode lien vitesse indique une connexion de 10 Mbit s Jaune Mode lien activit le port ne transf re pas de paquets E0 Mode lien vitesse indique une connexion de 1000 Mbit s Guide d Installation FortiGate s rie 5000 Version 3 0 27 01 30000 0259 20051212 Diode tat Description Vert Mode lien activit une diode clignotante indique un trafic r seau Mode lien vitesse indique une connexion de 100 Mbit s Eteint Mode lien activit pas de lien tabli Mode lien vitesse indique une connexion de 10 Mbit s OK Vert L initialisation est termin e avec succ s Jaune
71. gigabits du panneau avant disponibles pour les connexions r seau Pour plus de d tails sur le FortiGate 5001 reportez vous Module FortiGate 5001 la page 22 Module FortiGate 5001FA2 Chaque module FortiGate 5001FA2 est un syst me autonome de s curit r seau hautement performant qui supporte des fonctionnalit s exigeantes telles que des VLAN 802 1Q et domaines virtuels multiples op rant la vitesse du r seau Le module FortiGate 5001FA2 comprend e Quatre interfaces r seau gigabits en fibre optique e Ports 3 et 4 incluant un traitement haute performance des petits paquets Quatre interfaces cuivre 10 100 1000 Une connexion console s rie DB 9 Deux connexions USB Deux RAM DIMM Deux leviers d extraction pour aligner le FortiGate 5001FA2 dans le ch ssis FortiGate e Deux attaches de montage pour fixer le module au ch ssis de mani re s curis e Plusieurs modules FortiGate 5001FA2 peuvent tre regroup s dans un cluster haute disponibilit HA assurant ainsi un partage de charge entre les unit s et une redondance mat rielle Le clustering haute disponibilit requiert deux interfaces gigabits internes pour la communication haute disponibilit ce qui laisse les huit interfaces gigabits du panneau avant disponibles pour les connexions r seau Pour plus de d tails sur le FortiGate 5001FA2 reportez vous Module FortiGate 5001FA2 la page 24 Module FortiGate 5002FB2 Chaque module FortiGat
72. iGate teste la connexion vers le serveur override En cas de succ s le param tre du FDN affiche un statut disponible Dans le cas contraire o le FDN affiche un statut de service indisponible le FortiGate n arrivant pas se connecter au serveur override v rifiez les configurations du FortiGate et du r seau et tentez de d celer les param tres emp chant la connexion au serveur override FortiGuard Ajouter un serveur override partir de l interface de ligne de commande Connectez vous en CLI Entrez la commande suivante config system autoupdate override set address set status end 73 Logiciel FortiGate Fortinet met r guli rement le logiciel FortiGate jour en y int grant des am liorations et r solutions aux probl mes d adresses Une fois votre module antivirus pare feu FortiGate 500x enregistr le logiciel peut tre t l charg sur le site http support fortinet com Seuls les administrateurs FortiGate dont le profil pr voit tous les droits d acc s en lecture et criture du syst me et les utilisateurs admin FortiGate peuvent modifier le logiciel FortiGate Apr s avoir t l charg une image logicielle FortiGate de Fortinet les proc dures reprises dans cette section vous permettront d installer l image logicielle sur votre FortiGate 500x Cette section parcourt les sujets suivants e Mise jour logicielle e Retour une version logicielle ant rieure e Mise jour logicielle partir
73. ier le jour et l heure Cliquez sur Appliquer La nouvelle programmation de fr quence entre en vigueur imm diatement A chaque fois que le FortiGate proc de une mise jour l action est enregistr e dans le journal Ev nement Activer la programmation de mises jour partir de l interface de ligne de commande Connectez vous en CLI Entrez la commande suivante config system autoupdate schedule set day set frequency set status set time end Exemple config system autoupdate schedule set update every Sunday set frequency weekly set status enable set time 16 45 end Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 P N ch 1 2 Ajout d un serveur override Dans le cas o vous ne parvenez pas vous connecter au FDN ou encore si votre entreprise vous fournit les mises jour de leur propre serveur FortiGuard les proc dures suivantes vous permettront d ajouter une adresse IP d un serveur override FortiGuard soit via l interface graphique soit via l interface de ligne de commande Ajouter un serveur override partir de l interface d administration web S lectionnez Syst me gt Maintenance gt FortiGuard Center Cochez la case Utiliser l adresse de remplacement Entrez le nom de domaine entier ou l adresse IP d un serveur FortiGuard Cliquez sur Appliquer Le Fort
74. ler un FortiGate II comprend des informations sur le mat riel des informations sur la configuration par d faut ainsi que des proc dures d installation de connexion et de configuration de base S lectionnez le guide en fonction du num ro du mod le du produit FortiGate Administration Guide Guide d Administration FortiGate Fournit les informations de base sur la mani re de configurer un FortiGate y compris la d finition des profils de protection FortiGate et des r gles pare feu Explique comment appliquer les services de pr vention d intrusion protection antivirus filtrage web et filtrage antispam antipollupostage Parcourt galement la mani re de configurer un VPN FortiGate online help Aide en ligne FortiGate Fournit le Guide d Administration au format HTML avec des outils de recherche Vous pouvez acc der l aide en ligne partir de l interface d administration web FortiGate CLI Reference Guide de R f rence CLI D crit comment utiliser l interface de ligne de commande FortiGate et r pertorie toutes ses commandes FortiGate Log Message Reference Guide de r f rence des messages journalis s d un FortiGate Disponible uniquement partir de la base de connaissance Fortinet Knowledge Center ce mode d emploi d crit la structure et le contenu des messages pr sents dans les journaux FortiGate FortiGate High Availability User Guide Guide utilisateur des fonctions de haute disponibilit FortiGate F
75. les FortiGate 500x sont changeables chaud Cela signifie que vous pouvez les retirer ou les installer alors que le ch ssis FortiGate est sous tension Ab KR a Remarque Le levier d extraction gauche du panneau avant du FortiGate 500x est dot d un commutateur cach Ce levier doit tre ferm pour que le module puisse recevoir le courant Afin de s assurer que ce levier reste ferm les attaches de montage du module doivent tre serr es apr s son insertion Guide d installation FortiGate s rie 5000 Version 3 0 33 01 30000 0259 20051212 34 Installer un module FortiGate 500x Assurez vous que le module FortiGate 500x est l endroit et que les leviers d extraction sont tendus En tenant le module FortiGate 500x par le panneau avant glissez prudemment le module dans le slot du ch ssis Veillez glisser le module tout droit dans le slot Utilisez le rail l int rieur du ch ssis pour guider le module jusqu ce qu il touche le fond de panier du ch ssis FortiGate Le module et le slot doivent tre convenablement align s et le module compl tement et parfaitement positionn le module touche alors le ch ssis jusqu aux leviers d extraction Verrouillez les leviers d extraction en les poussant l un vers l autre pour vous assurer que le FortiGate 500x est bien en contact avec le fond de panier et plac en toute s curit Le module FortiGate 500x se met sous tension lorsque le ch ssis est sous tension et
76. les FortiGate s rie 5000 assure la flexibilit n cessaire la croissance des r seaux de haute performance Les ch ssis FortiGate s rie 5000 supportent de multiples modules FortiGate s rie 5000 ainsi que des sources d alimentation changeables chaud Cette approche modulaire offre aux entreprises et utilisateurs des FAI Fournisseurs d acc s Internet une solution adaptable hautement performante et tol rante aux pannes La gamme de produits FortiGate s rie 5000 pr sente trois mod les de ch ssis Ch ssis FortiGate 5020 Le ch ssis FortiGate 5020 comprend deux slots logements permettant l installation de deux modules pare feu antivirus FortiGate 5000 Pour plus de d tails reportez vous Ch ssis FortiGate 5020 la page 17 Ch ssis FortiGate 5050 Le ch ssis FortiGate 5050 comprend cinq slots permettant d installer jusqu cinq modules pare feu antivirus FortiGate 5000 Il est galement possible d installer deux Cartes de Commutation FortiGate 5003 et trois modules FortiGate 5000 ou toute autre combinaison d sir e Ce ch ssis peut connecter jusqu deux Gestionnaires de Ch ssis et un module optionnel de conversion d alimentation Pour plus de d tails reportez vous Ch ssis FortiGate 5050 la page 19 Ch ssis FortiGate 5140 Le ch ssis FortiGate 5140 comprend quatorze slots permettant d installer jusqu quatorze modules pare feu antivirus FortiGate 5000 Il est galement possible
77. les signatures personnalis es IPS Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 e sauvegarder la base de donn es de filtrage web et antispam Pour plus d informations reportez vous au Guide d Administration FortiGate Si vous retournez une version ant rieure FortiOS par exemple passer de FortiOS v3 0 FortiOS v2 80 la configuration ant rieure risque de ne pas pouvoir tre restaur e partir de la sauvegarde du fichier de configuration Remarque Les bases de connaissance antivirus et IPS sont remplac es par celles de la nouvelle version logicielle Apr s la mise jour logicielle assurez vous que ces bases de connaissance sont jour Pour plus de d tails reportez vous au Guide d Administration FortiGate Remarque La proc dure suivante n cessite que vous vous connectiez partir du compte administrateur admin ou d un compte administrateur qui poss de tous les droits d acc s en lecture et criture de la configuration du syst me Retourner une version logicielle ant rieure partir de l interface d administration web Copiez le fichier de l image logicielle sur votre poste d administration Connectez vous l interface d administration web du FortiGate S lectionnez Syst me gt Statut Dans Statut gt Version du code s lectionnez Update Mettre jour D BB N Tapez le chemin et le nom du fichier de l image logicielle ou s lectionnez
78. les signatures personnalis es IPS en entrant la commande execute backup ipsuserdefsig e sauvegarder la base de donn es de filtrage web et antispam Pour plus d informations reportez vous au Guide d Administration FortiGate Si vous retournez une version ant rieure FortiOS par exemple passer de FortiOS v3 0 FortiOS v2 80 la configuration ant rieure risque de ne pas pouvoir tre restaur e partir de la sauvegarde du fichier de configuration Remarque Les bases de connaissance antivirus et IPS sont remplac es par celles de la nouvelle version logicielle Apr s la mise jour logicielle assurez vous que ces bases de connaissance sont jour Pour plus de d tails reportez vous au Guide d Administration FortiGate Vous pouvez galement entrer la commande execute update now pour mettre les bases de connaissance antivirus et IPS jour Remarque La proc dure suivante n cessite que vous vous connectiez partir du compte administrateur admin ou d un compte administrateur qui poss de tous les droits d acc s en lecture et criture de la configuration du syst me La proc dure suivante n cessite un serveur TFTP connect au FortiGate 500x Retourner une version logicielle ant rieure partir de l interface de ligne de commande Assurez vous que le serveur TFTP est op rationnel Copiez le fichier de l image logicielle sur le r pertoire racine du serveur TFTP Connectez vous en CLI Veillez ce qu
79. logique partir duquel le capteur peut tre atteint e Le type de capteur et le code de lecture du type d v nement setthreshold setthreshold lt IPMBaddress gt lt sensor name gt lt threshold type gt r lt value gt Modifie la valeur en cours du seuil pour le seuil sp cifi du capteur sp cifi Le capteur est sp cifi par l adresse IPMB du contr leur IPM propri taire et par le nom ou num ro du capteur Le capteur cible doit tre un capteur bas sur les seuils Le param tre lt threshold type gt peut tre sp cifi comme l une des valeurs symboliques suivantes e upper non recoverable pouvant tre abr g par unr e upper_critical pouvant tre abr g par uc e upper non critical pouvant tre abr g par unc e lower _ non _ recoverable pouvant tre abr g par Inr e lower _critical pouvant tre abr g par Je e lower _ non critical pouvant tre abr g par Inc Par d faut la valeur cible est sp cifi e selon son unit par exemple en volts pour les capteurs de voltage ou en degr s Celsius pour les capteurs de temp rature L option r signifie qu une valeur brute est utilis e la place d une unit shelf shelf lt subcommand gt cooling state fans _ state Fournit des informations cl s et des donn es s lectionn es sur le fonctionnement en cours du Ch ssis
80. module Gestionnaire de Ch ssis FortiGate Connecteur Type Vitesse Protocole Description ALARMS DB 15 9600 bit s S rie L interface d alarme Telco RS 232 contacts secs 48VDC fournit des connexions de type Telco form c pour les probl mes mineurs majeurs et critiques d alimentation Console RJ 45 9600 bit s S rie Connexion s rie pour l interface RS 232 de ligne de commande Ethernet RJ 45 100Base T Ethernet Fournit l acc s aux m thodes d administration Telnet Web ou SNMP Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Contr le du ventilateur et de la puissance Les FortiGate 5140SM et FortiGate 5050SM contr lent la temp rature interne des ch ssis FortiGate Si celle ci d passe un niveau acceptable le gestionnaire de ch ssis FortiGate diminuera la puissance des cartes pare feu antivirus pour r duire le niveau de chaleur Le FortiGate 5140SM peut galement augmenter la vitesse du ventilateur pour acc l rer le refroidissement du ch ssis FortiGate 5140 Contr le du statut du ch ssis Sur les modules FortiGate 5050SM et FortiGate 5140SM le Gestionnaire de Ch ssis allume ou teint un module FortiGate 5001 et n gocie les ressources de courant de tous les modules Montage d un ch ssis FortiGate s rie 5000 Remarque Le ch ssis FortiGate doit tre mont avant d y installer les modules FortiGate s rie 5000 Le ch ssis FortiGate doit
81. naissance antivirus et IPS Reportez vous au Guide d Administration FortiGate pour obtenir des informations d taill es sur la configuration le contr le et la maintenance du FortiGate Param trage des date et heure Il est important que la date et l heure du syst me du FortiGate soient exactes Le param trage peut se faire soit manuellement soit automatiquement en configurant le FortiGate pour qu il se synchronise avec un serveur NTP Network Time Protocol Param trer la date et l heure S lectionnez Syst me gt Statut Dans Statut gt Heure syst me cliquez sur Changer S lectionnez Actualiser pour afficher les date et heure actuelles du syst me S lectionnez votre fuseau horaire dans la liste D BB N Cochez ventuellement Ajuster automatiquement lors du passage l heure d t l heure d hiver S lectionnez R glage et r glez la date et l heure exactes R glez heure minute seconde ann e mois et jour Cliquez sur OK Remarque Si vous avez s lectionn l option Ajuster automatiquement lors du passage l heure d t l heure d hiver l ajustement des date et heure lors du retour l heure d hiver doit se faire manuellement Synchronisation des date et heure avec un serveur NTP 1 S lectionnez Syst me gt Statut Dans Statut gt Heure syst me s lectionnez Changer 3 S lectionnez Synchroniser avec le serveur NTP pour un param trage automatique des date et heure
82. nde e Connexion du FortiGate votre r seau Pr paration de la configuration du FortiGate en mode Transparent Reportez vous au tableau 17 ci dessous pour consigner les informations n cessaires la personnalisation des param tres du mode Transparent Deux m thodes permettent la configuration du mode Transparent e L interface d administration web GUI e L interface de ligne de commande CLI Guide d installation FortiGate s rie 5000 Version 3 0 65 01 30000 0259 20051212 66 Le choix de la m thode d pend de la complexit de la configuration et du type d acc s d quipement et d interface qui vous sont les plus familiers Tableau 17 Param tres du mode Transparent Mot de passe Administrateur IP d administration IP Masque de r seau Passerelle par d faut L adresse IP et le masque de r seau configur s pour l administration du FortiGate doivent tre accessibles dep le r seau partir duquel vous allez g rer le FortiGate Ajoutez une passerelle par d faut si le poste d administra et le FortiGate ne sont par sur le m me sous r seau Param trage DNS Serveur DNS primaire Serveur DNS secondaire A partir de l interface d administration web PS N ch Vous pouvez utiliser l interface d administration web pour compl ter la configuration initiale du FortiGate et de tous ses param tres Pour plus d informations sur l acc s l interface d administration w
83. nsrnnnennnnnnenn nnt 50 Configuration r seau en mode Transparent ss esssesssesssessieeisetrtetntentnnnttnnstnnntnnnnnnnn nnt 52 Configuration par d faut du pare feu su 52 Profils de protection par d faut sur 53 Restauration du param trage par d faut ueeEEESNEESNEE EE EEEEEEEEEEEEEEEEEEEEEEEEEENEEENEEEREEE Een 54 Restauration du param trage par d faut partir de l interface d administration web 54 Restauration du param trage par d faut partir de l interface de ligne de commande 54 Configuration du FortiGate pour sa mise en r seau e EEEEEEEEEEEEEEn 55 Planification de la configuration du FortiGate 55 Mode MR e 55 Mode NAT Route avec de multiples connexions externes ss s sssssssssrrrnsssssrrnrrnnstesrernn nnna 56 Mod Ce TEE 57 Installation en mode NAT ROUTE rs rrsssssnnennseeenensensnneeenenennesennenenennes 58 Pr paration de la configuration du FortiGate en mode NAT Route sessnnnsennnenennnneene nenene 58 Configuration DHCP ou PPPOE siennes 59 A partir de l interface d administration web sssssssessissresrssiresriesrissiissrnnssrnnsrnnsrnnsrnssrnnsnnnt 60 A partir de l interface de ligne de commande 62 Connexion du FortiGate au x r seautst us 64 Configuration des r seaux iii 65 Installation en mode Transparent sn 65 Pr paration de la configuration du FortiGate en mode Transparent 65 A parti
84. on du FortiGate et r tablit les param tres par d faut y compris ceux des interfaces comme les adresses IP Restauration du param trage par d faut partir de l interface d administration web Pour r tablir les param tres par d faut Allez dans Syst me gt Statut gt System Operation S lectionnez R initialiser aux param tres par d faut Cliquez sur Go Restauration du param trage par d faut partir de l interface de ligne de commande Pour r tablir les param tres par d faut Pour r tablir les param tres par d faut utilisez la commande suivante execute factoryreset Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Configuration du FortiGate pour sa mise en r seau Cette section vous donne un aper u des modes de fonctionnement du FortiGate Avant de proc der la configuration du FortiGate il est important de planifier la mani re dont vous allez l int grer sur le r seau La planification de la configuration d pend du mode de fonctionnement s lectionn le mode NAT Route ou le mode Transparent Cette section traite les sujets suivants e Planification de la configuration du FortiGate e Installation en mode NAT Route e Installation en mode Transparent e tapes suivantes Planification de la configuration du FortiGate Avant de proc der la configuration du FortiGate il est n cessaire de planifier l int gration du FortiGate au r seau et de d ci
85. onnaire de Ch ssis FortiGate 1 Assurez vous que le module Gestionnaire de Ch ssis FortiGate est l endroit 2 En tenant le module par le panneau avant glissez le prudemment dans le slot du ch ssis Veillez glisser le module tout droit dans le slot Utilisez le rail l int rieur du ch ssis pour guider le module jusqu ce qu il touche le fond de panier du ch ssis FortiGate Le module et le slot doivent tre convenablement align s et le module compl tement et parfaitement positionn le module touche alors le ch ssis 3 Serrez les attaches de montage des deux c t s du panneau avant du Gestionnaire de Ch ssis FortiGate Mise en marche du Gestionnaire de Ch ssis Lors de sa mise en marche le Gestionnaire de Ch ssis d marre le logiciel Les informations du d marrage sont accessibles via le port S rie Pour visualiser les informations de d marrage et configurer les variables d environnement vous devez disposer e d une connexion s rie entre le module Gestionnaire de Ch ssis FortiGate et l ordinateur d administration e dun logiciel d mulation terminal tel que l HyperTerminal de Microsoft Windows sur l ordinateur d administration Lorsque le module s allume le message suivant s affiche sur la console ARMboot 1 0 2 Apr 18 2003 14 58 54 ARMboot code 10f00000 gt 10f156a4 DRAM Configuration Bank 0 10000000 16 MB Flash 8 MB Hit any key to stop autoboot 0 ShMM Guide d installation
86. ortiGate 5003 et gestionnaires de ch ssis FortiGate Deux alimentations de courant redondantes sont install es derri re le panneau d alimentation amovible Attention Ne pas faire fonctionner le ch ssis FortiGate 5050 avec des slots ouverts sur le panneau avant Pour un refroidissement et une s curit optimum les slots doivent contenir un module FortiGate 500x ou d faut un couvercle De plus le panneau d alimentation amovible doit tre remis en place Tableau 4 Les indicateurs des diodes lectroluminescentes du ch ssis FortiGate 5050 Diodes Etat Description L alimentation de courant est op rationnelle et fonctionne Power On Vert correctement Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Ch ssis FortiGate 5140 Illustration 3 Panneau avant du ch ssis FortiGate 5140 e WI EK 1006 BR Bir Cen DEEE e Ki a O ppm CS CR ef emt EE ee ere Venant KC FortiGate 5140 12U Chassis F 1 S H BE BE E BE ER CH D D S el GCKONKNSZ kA E DOM 06 maman WEE CNT Zb HERRE EEEE p LJOS 2m anera D ppe EN Hopa mmm E p amuma OO s GJ Zanen EE mind Ge 53 KOS mins RI BEI SR gt OREERT E FoariGrere 5140 gt roueg Sei DES EE gt een WEEK NCKCNSC cl Fin emmmer H Ge ARA ei ES amaos
87. ou la carte est pr te tre retir e du ch ssis Bleu clignotant Le FortiGate 5001 passe du mode hot swap changeabilit chaud au mode de fonctionnement normal ou vice versa teint Op re normalement Le module FortiGate 5001 est en contact avec le fond de panier du ch ssis FortiGate 1 2 3 4 Vert La jarreti re fibre optique appropri e est connect e l interface gigabits fibre Clignotant Activit r seau pr sente sur l interface gigabits fibre 5 6 7 8 Vert Le c ble appropri est connect l interface cuivre 10 100 1000 et l quipement connect est aliment Clignotant Activit r seau pr sente sur cette interface Ambre L interface est connect e 1000 Mbit s Connexions Les connexions interface suivantes sont disponibles sur le module FortiGate 5001 Connecteur Type Vitesse Protocole Description 1 2 3 4 LC 1000Base SX SFP Ethernet Connexions fibre optique multimode vers r seaux optiques gigabit Le FortiGate 5001 est fourni avec 4 connecteurs SFP ins rer dans les emplacements 1 4 du panneau avant 5 6 7 8 RJ 45 1000Base T Ethernet Connexion gigabit cuivre vers r seaux cuivre 10 100 1000 CONSOLE DB 9 9600 bit s Connexion s rie vers l interface de ligne de commande S rie RS 232 Guide d Installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 23 24 Module FortiGate 50
88. ource de courant alternatif redondante pour les ch ssis FortiGate 5050 et FortiGate 5140 quip s d une entr e de courant continu Utilisez deux modules FortiGate 5053 comme alimentations de courant redondantes Illustration 13 Panneau arri re du module de Conversion d Alimentation FortiGate 5053 AC IN Connecter le module de conversion d alimentation au ch ssis FortiGate 1 Eteignez le courant du ch ssis Pour plus de d tails sur la mise hors tension voir Mise en service du ch ssis la page 40 2 Connectez les c bles de courant alternatif aux fiches de connexions au dos du ch ssis FortiGate 3 Connectez les c bles de courant alternatif aux prises de courant Connectez les fiches de connexion de courant alternatif diff rentes sources de courant De cette mani re si une des sources tombe en panne l autre reste op rationnelle 4 Connectez les alimentations de courant continu aux connexions finales du module de conversion d alimentation 5 Connectez les alimentations de courant continu aux connexions finales au dos du ch ssis FortiGate tel que d crit dans la section Mise en service du ch ssis la page 40 Veillez teindre le syst me d exploitation FortiGate avant d teindre l interrupteur du ch ssis ceci afin d viter tout dysfonctionnement Mettre le ch ssis FortiGate hors tension 1 A partir de l interface d administration web s lectionnez Syst me gt Maintenance gt
89. ournit une description d taill e des fonctions de haute disponibilit et du protocole de clustering FortiGate FortiGate IPS User Guide Guide utilisateur de l IPS FortiGate Syst me de Pr vention d Intrusion D crit la configuration des param tres IPS FortiGate et le traitement des attaques les plus courantes FortiGate IPSec VPN User Guide Guide utilisateur des VPN IPSec FortiGate Fournit des instructions pas pas sur la configuration VPN IPSec via l interface d administration web FortiGate SSL VPN User Guide Guide utilisateur du VPN SSL FortiGate Compare les technologies FortiGate VPN IPSec et VPN SSL et d crit comment configurer partir de l interface graphique les modes VPN SSL web et VPN SSL tunnel pour les connexions distance des utilisateurs FortiGate PPTP VPN User Guide Guide utilisateur du VPN PPTP FortiGate Explique comment configurer un VPN PPTP via l interface d administration web FortiGate Certificate Management User Guide Guide utilisateur de gestion des certificats FortiGate Indique comment g rer les certificats digitaux et notamment comment g n rer des requ tes de certificat installer des certificats importer le certificat de Guide d installation FortiGate s rie 5000 Version 3 0 13 01 30000 0259 20051212 14 l autorit de certification et des listes de r vocation sauvegarder et restaurer des certificats et leurs clefs priv es associ es e FortiGate VLANs and VDOMSs User Guide Guide
90. par d faut Vous pouvez d finir plusieurs profils de protection auxquels vous appliquez des niveaux de protection diff renci s du trafic contr l par le FortiGate Vous pouvez utiliser des profils de protection pour e appliquer un contr le antivirus aux r gles HTTP FTP IMAP POP3 et SMTP e activer du filtrage Web statique sur les r gles HTTP e appliquer du filtrage web dynamique par cat gorie sur ces m mes r gles HTTP e activer les services antispam sur les r gles IMAP POP3 et SMTP e activer les services de pr vention d intrusion sur tous les flux e activer la journalisation de contenu pour les flux HTTP FTP IMAP POP3 et SMTP Les profils de protection permettent la cr ation de plusieurs types de protection qui vont s appliquer diff rentes r gles pare feu Par exemple alors que le trafic entre des zones interne et externe n cessite une protection stricte le trafic entre zones de confiance internes peut n avoir besoin que d une protection mod r e Vous pouvez configurer des r gles pare feu dans le but d utiliser des profils de protection identiques ou diff rents selon les flux Des profils de protection sont disponibles en mode rout et transparent Quatre profils de protection sont pr configur s Strict Applique une protection maximum pour le trafic HTTP FTP IMAP POP3 et SMTP Vous n utiliserez probablement pas ce profil rigoureux de protection en circonstances normales mais il est disponible en c
91. r de l interface d administration web sssssesessesssissresirssiresrissiesrnnssrnnsrnssrnnsrnssrnnsnnnt 66 A partir de l interface de ligne de commande 67 Connexion du module FortiGate votre r seau sssnnssssnnseestnesttn rest tt nnet trnnnrttnnnne ranns ennn 68 Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 tapes sulvantess s mania nain ee 69 Param trage des date et heure sir 69 Enregistrement de votre FortiGate ss 70 Mise jour des signatures antivirus et IPS 70 Logiciel F rtiGate Sn benne den le let sv ei bete ue 74 Mise jour logicielles misin nissan ie teen Mn mere tem tin nie 74 Mise jour logicielle partir de l interface d administration web ssssssssnnsssenssrnnssrrn nenene 74 Mise jour logicielle partir de l interface de ligne de commande 75 Retour une version logicielle ant rieure SEENEN SEEEEEEEREEEREEEEEEEEENEEENEEEREEE Een 76 Retour une version logicielle ant rieure partir de l interface d administration web 76 Retour une version logicielle ant rieure partir de l interface de ligne de commande 77 Mise jour logicielle partir d un red marrage syst me et par ligne de commande 80 Restauration de la configuration pr c dente eseseseeeeiesresissiesissrintsrnssinesrnestnnsrnesnnnt 82 Test d une nouvelle version logicielle avant son installation 83 TC GPA E E EE 86 Guide d Installation Forti
92. res du mode NAT Route Mot de passe administrateur IP s e e Port 1 S SEENEN Masque de r seau IP g Port 2 Z Masque de r seau IP S Port 3 Masque de r seau e IP i d Port A z Masque de r seau IP S g S Port 5 ER Masque de r seau IP x e Port 6 Masque de r seau i Port 7 FortiGate 5001 IP Eren E Ee et FortiGate Masque de r seau 5001FA2 Port 8 FortiGate 5001 IP E et FortiGate Masque de r seau x 5001FA2 Passerelle par d faut Interface connect e au r seau externe Port 2 g n ralement parametres Une route par d faut est constitu e d une passerelle par du r seau S H d faut et de l interface connect e au r seau externe Internet g n ralement Ces param tres dirigent tout le trafic non local vers cette interface et le r seau externe Serveur DNS primaire Serveur DNS secondaire Configuration DHCP ou PPPoE Les interfaces du FortiGate peuvent acqu rir leur adresse IP depuis un serveur DHCP ou PPPOE Votre fournisseur d acc s Internet peut vous fournir des adresses IP via l un de ces protocoles Pour utiliser le serveur FortiGate DHCP il vous faut configurer pour ce serveur une plage intervalle d adresses IP et une route par d faut Ce protocole ne n cessite pas d autres informations de configuration Le protocole PPPoE n cessite quant lui un nom d utilisate
93. rs et programmez une fr quence de mise jour hebdomadaire quotidienne voire chaque heure Mettre les signatures antivirus et IPS jour S lectionnez Syst me gt Maintenance gt FortiGuard Center 2 S lectionnez Mettre jour En cas de succ s de connexion au FDN l interface d administration web affiche le message suivant Your update request has been sent Your database will be updated in a few minutes Please check your update page for the status of the update A savoir Votre demande de mise jour a t envoy e Votre base de donn es va tre mise jour dans quelques minutes Merci de v rifier le statut de la mise jour sur la page mise jour Lorsqu une mise jour est disponible la page du Centre FortiGuard listera apr s quelques minutes les nouvelles versions d antivirus en fonction de leurs dates de cr ation et num ros de version Le journal Ev nement enregistre les messages t moignant du succ s ou de l chec des mises jour x Remarque La mise jour des d finitions d antivirus par l ajout de nouvelles signatures par FortiGate dans la base de donn es peut entra ner une br ve rupture du trafic analys Il est d s lors pr f rable de programmer les mises jour lorsque le trafic est faible par exemple pendant la nuit Mise jour des signatures IPS partir de l interface de ligne de commande Il est possible de mettre les signatures IPS jour en utilis
94. rsion 3 0 67 01 30000 0259 20051212 Connexion du module FortiGate votre r seau Une fois la configuration initiale termin e vous pouvez connecter le module antivirus pare feu FortiGate 500x votre r seau Pour le module FortiGate 5001 Connectez les interfaces 1 4 des r seaux gigabits Ethernet fibre optique et les interfaces 5 8 des r seaux gigabits Ethernet cuivre Pour le module FortiGate 5002 Connectez les interfaces 1 6 des r seaux gigabits Ethernet cuivre Illustration 19 Connexions du FortiGate 5001 en mode Transparent Internal Other Network network Hub or Switch Public Switch or Router FortiGate 5001 Other Network Tester la connexion La proc dure suivante permet de tester la connexion e Lancez un ping destination du FortiGate e Connectez vous l interface d administration web GUI e Consultez ou envoyez un courrier lectronique de votre bo te aux lettres Si vous ne parvenez pas vous connecter au site web ou consulter envoyer un courrier lectronique v rifiez la proc dure pr c dente point par point pour vous assurer que toutes les informations entr es sont correctes Puis recommencez le test Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 tapes suivantes Les instructions suivantes vous permettront de param trer la date et l heure d enregistrer le FortiGate et de configurer la mise jour des bases de con
95. rtinet Knowledge Center 14 Remarques sur la documentation technique Fortinet A 14 Service client le et support technique rs 14 Installation des modules FortiGate nn nnnssnnasssnnaneenannennneenmaneennnnnnne 15 Avertissements et pr cautions ui 16 Les produits de la gamme FortiGate s rie 5000 inner 17 Ch ssis Fort ter EIERE AE ee ee 17 Ch ssis Fort stets ege ANEN ANESEC Ee 19 Ch ssis FortiGate 5140 iii ceeeensssseceeceneenanseseeeeeeenenaaeeeesss 21 Module FortiGate 5001 iii a a E ate AA 22 Module FortiGate 5001FA2 nnna 24 Module FortiGate 5002FB2 ii nneenenenenenenenenenennnes 25 Carte de Commutation FortGate POOL 27 Contr leur de Gestionnaire de Ch SSiS nr er srsrsresenenenenenenenenenennns 28 Montage d un ch ssis FortiGate s rie 5000 anneanne ennn nnnn annen nanmanna 31 Circulation de KEE 31 Installation d un module FortiGate 500x nn nnnnnnnnneneneneneneneneneenenenes 31 Installation des RAM DIMM di nniceernnseecennseeenaneeeeenaseecennseeeenneunn 31 Installation des transmetteurs GER 32 P ram trage d s avaletS sred etana ea tentes entrer dettes rie ant 32 Guide d Installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Installation d un module FortiGate 500x iii iii 33 Installation d un module FortiGate 5003 nee 34 Installation du module Gestionnaire de Ch ssis FortiGate eSeeESREERNEEENEEEREEEREEER nnna 35 Mise en marche du Gestionnaire de Ch ssis nssssnnsssines
96. s munis des syst mes d exploitation les plus r pandus de Microsoft Windows FortiClient offre de nombreuses fonctionnalit s y compris e un acc s VPN pour se connecter aux r seaux distants e un antivirus temps r el e une protection contre des modifications du registre Windows e une recherche des virus sur tout ou partie du disque dur FortiClient peut s installer de fa on silencieuse et se d ployer ais ment sur un parc d ordinateurs selon un param trage pr tabli FortiMail M Secure Messaging Platform Plate forme de S curisation de Messagerie fournit une analyse heuristique puissante et flexible de m me que des rapports statistiques sur le trafic de mails entrants et sortants Le FortiMail met en oeuvre des techniques fiables et hautement performantes pour d tecter et Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 bloquer les mails non d sir s tels que les signatures SHASH Spam Hash ou les filtres bayesians Construit sur base des technologies prim es FortiOS et FortiASIC FortiMail utilise ses pleines capacit s d inspection de contenu afin de d tecter les menaces les plus avanc es dans les courriers lectroniques FortiAnalyser FortiAnalyser fournit aux administrateurs r seaux les informations n cessaires qui leur permettent d assurer une meilleure protection du r seau une plus grande s curit contre attaques et vuln rabilit s FortiAnalyser permet entre autres e
97. section s par e du fond de panier L illustration suivante repr sente le panneau arri re du ch ssis et la distribution de courant pour chaque alimentation Illustration 11 Alimentations de courant sur un FortiGate 5140 Slot7 Slot6 Slot 3 Fan Tray 1 Fan Tray 0 Supply B Supply A WII WI WI Module d alimentation AC du ch ssis e E Dans le cas o il serait n cessaire de fournir aux ch ssis FortiGate 5050 et FortiGate 5140 du courant alternatif le module de Conversion d Alimentation FortiGate 5053 peut convertir le courant continu en courant alternatif Illustration 12 Le module de Conversion d Alimentation FortiGate 5053 Le module de conversion d alimentation FortiGate 5053 supporte jusqu trois modules d alimentation de courant changeables chaud ce qui offre une fiabilit et un temps de disponibilit sans point unique de panne Pour plus de d tails sur ces modules changeables chaud voir Modules d alimentation de courant changeables chaud la page 49 Le module d alimentation AC du ch ssis peut tre install au dessus ou au dessous du ch ssis FortiGate Ss Remarque Un minimum de deux alimentations de courant est requis pour faire fonctionner le module Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Connexion du module de Conversion d Alimentation au ch ssis FortiGate Chaque module de conversion d alimentation fournit une s
98. ssis la page 42 Guide d installation FortiGate s rie 5000 Version 3 0 11 01 30000 0259 20051212 12 A propos de ce document Ce guide d installation procure les informations n cessaires l installation des ch ssis et modules FortiGate 5000 et la configuration sur vos r seaux Ce document comprend les chapitres suivants e Installation des modules FortiGate D crit le d ballage l installation et le d marrage des modules et ch ssis FortiGate e Configuration du FortiGate pour sa mise en r seau Fournit un aper u des modes de fonctionnement des cartes pare feu antivirus FortiGate et explique comment int grer le FortiGate au r seau e Logiciel FortiGate D crit comment installer mettre jour restaurer et tester le microcode de l quipement FortiGate e Param trage par d faut Fournit les param tres par d faut de tous les modules FortiGate s rie 5000 Conventions utilis es dans ce document Les conventions suivantes sont utilis es dans ce guide e Dans les exemples les adresses IP priv es sont utilis es aussi bien pour les adresses IP priv es que publiques e Les remarques et attentions fournissent des informations importantes Les remarques vous apportent de l information additionnelle utile A Les attentions vous mettent en garde contre des commandes et proc dures qui pourraient avoir des r sultats inattendus ou ind sirables tels que perte de donn
99. stributions de FortiOS v3 0 La distribution internationale est disponible aux utilisateurs en dehors des tats Unis La distribution am ricaine est disponible tous les utilisateurs y compris les utilisateurs aux Etats Unis La diff rence principale entre les distributions am ricaine et internationale r side dans le moteur Antivirus Le moteur Antivirus valable aux Etats Unis analyse le trafic SMTP en mode continu appel aussi mode splice et selon un proc d orient objet Il utilise galement une liste additionnelle de virus privil gi s pour analyser tous les protocoles HTTP FTP IMAP POP3 SMTP et IM Le microcode d ploy sur le territoire am ricain poss de les diff rences suivantes e Dans les menus de l interface d administration web Syst me gt Statut gt Statut mention est faite de la localisation US Domestic am ricain e L analyse des virus du trafic SMTP ne s op re qu en mode continu mode splice e La fonction de marquage des en t tes ou sujets des mails identifi s comme SPAM n est pas disponible e Un syst me de noms de fichiers en quarantaine est g n r e Le message de remplacement par d faut des mails infect s mode splice est diff rent Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Pour davantage d informations sur les distributions am ricaine et internationale reportez vous au Guide d Administration FortiGate
100. sur la m moire Flash clia saveenv Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Connexion au Contr leur de Gestionnaire de Ch ssis Pour configurer le Contr leur de Gestionnaire de Ch ssis vous pouvez vous connecter via les entr es sur le panneau avant du module Deux m thodes permettent la configuration du Contr leur de Gestionnaire de Ch ssis e L interface de ligne de commande via le port RS 232 ou Telnet via le port Ethernet e L interface d administration web connect e au port Ethernet via un navigateur web Ces deux m thodes vous informent sur le statut des modules la configuration des capteurs d informations les param tres seuils et les statuts g n raux Commandes CLI du Contr leur de Gestionnaire de Ch ssis Les commandes CLI suivantes sont utiles pour obtenir des informations partir de votre Gestionnaire de Ch ssis FortiGate Pour obtenir une liste compl te des commandes tapez help dans l interface de ligne de commande Pour entrer le mode de commande du Gestionnaire de Ch ssis tapez clia avant chaque commande Par exemple clia getfanlevel Tableau 11 Commandes CLI de Gestionnaire de Ch ssis Commande Syntaxe Description alarm alarm clear minor Fournit un acc s vers les sorties d alarme TELCO Les param tres minor major et critical vous permettent de choisir l alarme correspondante Ces actions sont major cri
101. t et les statuts du ch ssis Illustration 8 Panneau avant du Contr leur de Gestionnaire de Ch ssis FortiGate 5050SM Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 ForTIGFTS Mounting Knot Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 CRITICAL F RTINET HOT SWAP MINOR STATUS ALARMS External Reset RS 232 100 base T Alarm Button Port Ethernet e Mounting Knot 29 30 Illustration 9 Panneau avant du Contr leur de Gestionnaire de Ch ssis FortiGate 5140SM Primary serial Major Alarm LED D Backup unit IT Primary unit console Top Minor Alarm LED af PEE i zk ER 100 base T Hot Swap 100 base T Backup serial Reset External FRU Mounting Mounting Ethernet LED status Ethernet console Bottom Button Alarm LEDs Knot LED Network activity EDs Tableau 10 Les indicateurs des diodes lectroluminescentes d un module Gestionnaire de Ch ssis FortiGate Diode tat Description MINOR Vert Op re normalement CRITICAL Rouge Indique le niveau d alerte MAJOR HOT SWAP Bleu La diode reste allum e pendant un change chaud STATUS Vert Op re normalement Port Jaune Le port ne relaye pas les paquets Ethernet Vert Une diode clignotante indique un trafic r seau Eteint Pas de lien tabli Connexions Les connexions interface suivantes sont disponibles sur le
102. tiGate 500x muni d un BIOS v2 x Do You Want To Save The Image Y n Tapez Y Pour un FortiGate 500x muni d un BIOS v3 x Save as Default firmware Run image without saving D R ou Save as Default firmware Backup firmware Run image without saving D B R Tapez D Le FortiGate 500x installe la nouvelle image logicielle et red marre L installation peut prendre plusieurs minutes Restauration de la configuration pr c dente Si n cessaire modifiez l adresse de l interface interne via la commande CLI suivante config system interface edit internal set ip lt address_ip4mask gt set allowaccess ping https ssh telnet http end Apr s avoir modifi l adresse de l interface vous pouvez acc der au FortiGate 500x partir de l interface graphique et restaurer la configuration e Restaurer la configuration du FortiGate 500x e Restaurer les signatures personnalis es IPS e Restaurer le filtrage web e Restaurer la base de donn es de filtrage antispam e Mettre jour les bases de connaissance antivirus et IPS Pour plus d informations reportez vous au Guide d Administration FortiGate Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Si vous retournez une version ant rieure FortiOS par exemple passer de FortiOS v3 0 FortiOS v2 80 la configuration ant rieure risque de ne pas pouvoir tre restaur e partir de la sauvegarde du fichier de configuration Test d une no
103. tical cumulatives fans fans v Affiche les informations sur le lt IPMBaddress gt ventilateur FRU sp cifi Cette commande affiche aussi les lt FRU device informations suivantes ID gt e Adresse IPMB et ID de l quipement FRU e Niveau de vitesse minimum e Niveau de vitesse maximum e Niveau de vitesse continue maximum e Niveau en cours les niveaux contr le local et ignorer si les deux sont disponibles getfanlevel getfanlevel Affiche le niveau de vitesse du lt IPMBaddress gt ventilateur en cours lt FRU device ID gt setfanlevel setfanlevel R gle le nouveau niveau de vitesse e DAD ll enen ls sees ssbk lzbessssg Mina ess kale siet zess Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 37 38 Commande Syntaxe Description lt IPMBaddress gt lt FRU device ID gt lt level gt du ventilateur Disponible uniquement sur le FortiGate 5140SM Getthreshol d threshold getthreshold board lt N gt lt sensor name gt lt sensor number gt Affiche les valeurs des seuils en cours Le capteur doit tre un capteur bas sur les seuils Les valeurs brutes et trait es sont affich es Les donn es suivantes s affichent galement e Adresse IPMB du contr leur IPM propri taire e Num ro du capteur nom du capteur cha ne d identification provenant du SDR et le num ro
104. tnrtentennntnnnttnnnnntnnnnennnennnnt 76 S service client le et support technique is 14 SFP trans m tteUrS ii hi a data Aere AER EE Eege de da 31 synchronisation des date et heure avec umserveur UR ere ed EEN ere One 68 T tabl au d Bord te te tea SE fo te ne Len ee nt tete ee Ee en e 44 45 transmetteurs SFP installation isisnsnnnnrnenenenensneneenns 31 TANSDA NE oe e ln ee Ee eege ee 56 V variables d environnement iiiiiisiiiiisniiineerirerereneneneneneenennnes 35 ventilateurs rats dore nn EEA re tr eeh Ee ARE nee tte dl 29 30 Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212
105. ture de la session appara t 6 Tapez admin et appuyez deux fois sur la touche Enter Le message suivant s affiche Welcome Tapez pour afficher les commandes disponibles Pour plus d informations propos de l utilisation de l interface de ligne de commande reportez vous au Guide de R f rence CLI Guide d installation FortiGate s rie 5000 Version 3 0 47 01 30000 0259 20051212 Remplacement des modules Dans le cas o l un des modules devait tomber en panne ou tre remplac il est ais de les changer les ch ssis FortiGate s rie 5000 supportant l changeabilit chaud de modules Vous pouvez donc retirer un module FortiGate d faillant et le remplacer par un nouveau tout en maintenant le ch ssis FortiGate op rationnel Echangeabilit chaud de modules FortiGate 500x Remarque Le levier d extraction gauche du panneau avant du FortiGate 500x est dot d un commutateur cach Ce levier doit tre ferm pour que le module puisse recevoir le courant Afin de s assurer que ce levier reste ferm les attaches de montage du module doivent tre serr es apr s son insertion Echanger chaud des modules FortiGate 500x Desserrez les trois vis de verrouillage et d gagez l interrupteur int gr avant de continuer Desserrez les deux attaches de montage qui maintiennent le module dans le ch ssis et d visser la vis du levier d extraction de la carte sur le c t gauche Ne pas retirer les attaches de mont
106. u module au r seau Pour cela vous devez entrer un mot de passe administrateur modifier les adresses IP de l interface du r seau compl ter les adresses IP du serveur DNS et si n cessaire configurer le routage de base Si vous pensez utiliser votre module antivirus pare feu FortiGate 500x en mode Transparent commencer d abord par changer le mode de fonctionnement pour ensuite configurer l acc s du module au r seau Une fois le param trage r seau termin vous pourrez configurer d autres param tres comme les date et heure la mise jour des bases de connaissance antivirus et IPS et proc der l enregistrement du FortiGate La configuration par d faut de votre pare feu comprend une seule r gle NAT Network Address Translation qui permet aux utilisateurs du r seau interne de se connecter au r seau externe et emp che les utilisateurs du r seau externe de se connecter au r seau interne Vous pouvez tendre vos r gles pare feu en vue de contr ler davantage le trafic du r seau passant par le FortiGate Les profils de protection par d faut servent la mise en place de diff rents niveaux de s curit antivirus filtrage de contenu filtrage antispam et pr vention d intrusion du trafic contr l par les r gles pare feu Ce chapitre couvre les sujets suivants e Configuration r seau en mode NAT Route e Configuration r seau en mode Transparent e Configuration par d faut du pare feu e Profils de protection p
107. uer une chute Ne jamais ins rer d objets ou d outils m talliques dans les logements emplacements et slots ouverts Des d charges lectrostatiques DES peuvent endommager vos modules FortiGate Les proc dures suivantes doivent tre appliqu es dans une zone antistatique En cas d indisponibilit d une telle zone prot gez vous des d charges en portant un bracelet antistatique attach une surface m tallique du ch ssis FortiGate Le FortiGate pourrait surcharger votre circuit d alimentation et impacter votre protection de surcourant et le c blage d alimentation Utilisez un tiquetage appropri pour solliciter la prudence Assurez vous que le FortiGate a une prise de terre fiable Fortinet recommande une connexion directe au secteur Si vous installez un ch ssis FortiGate dans un assemblage multi racks ou dans une armoire rack ferm e la temp rature ambiante de l armoire rack risque d tre plus lev e que la temp rature ambiante de la pi ce Assurez vous toujours que la temp rature ambiante ne d passe pas la temp rature maximum indiqu e par le constructeur Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Les produits de la gamme FortiGate s rie 5000 Les produits de la gamme FortiGate s rie 5000 comprennent un assortiment de ch ssis et modules slots multiples y compris Ch ssis FortiGate 5020 Ch ssis FortiGate 5050 Ch ssis FortiGate 5140 Module FortiGate 50
108. un FortiGate 500x muni d un BIOS v2 x Enter TFTP Server Address 192 168 1 168 Passez alors au point 9 e Pour un FortiGate 500x muni d un BIOS v3 x G Get firmware image from TFTP server F Format boot device Q Quit menu and continue to boot with default firmware H Display this list of options Enter G F Q ou H Tapez G pour acc der la nouvelle image logicielle partir du serveur TFTP Le message suivant appara t Enter TFTP server address 192 168 1 168 Entrez l adresse du serveur TFTP et appuyez sur la touche Enter Le message suivant appara t Enter Local Address 192 168 1 188 Entrez une adresse IP que le FortiGate 500x peut utiliser pour se connecter au serveur TFTP L adresse IP doit se trouver sur le m me r seau que le serveur TFTP Cependant veillez ne pas entrer une adresse IP d un autre quipement de ce r seau Le message suivant appara t Enter File Name image out Entrez le nom de fichier de l image logicielle et appuyez sur la touche Enter Le serveur TFTP t l charge le fichier sur le FortiGate 500x et un message similaire appara t e Pour un FortiGate 500x muni d un BIOS v2 x Do You Want To Save The Image Y n Tapez n e Pour un FortiGate 500x muni d un BIOS v3 x Save as Default firmware Run image without saving D R ou Save as Default firmware Backup firmware Run image without saving D B R Guide d installation Forti
109. ur et un mot de passe De plus les configurations non num rot es PPPoE requi rent une adresse IP Servez vous du tableau 16 ci dessous pour consigner les informations n cessaires la configuration PPPoE Tableau 16 Param tres PPPOE Nom d utilisateur Mot de passe Guide d installation FortiGate s rie 5000 Version 3 0 59 01 30000 0259 20051212 60 A partir de l interface d administration web BE N ch A N Vous pouvez utiliser l interface graphique pour la configuration initiale du FortiGate et de tous ses param tres Pour plus d informations sur l acc s l interface d administration web voir Acc s l interface d administration web la page 44 Configuration des param tres de base Apr s vous tre connect l interface d administration web vous pouvez utiliser les proc dures suivantes pour compl ter la configuration de base de votre FortiGate Ajouter modifier le mot de passe administrateur S lectionnez Syst me gt Admin gt Administrateurs Cliquez sur l ic ne Changer le mot de passe pour l administrateur admin Entrez un nouveau mot de passe et entrez le une seconde fois pour confirmation Cliquez sur OK Configurer les interfaces S lectionnez Syst me gt R seau gt Interface Cliquez sur l ic ne Editer d une des interfaces Choisissez un mode d adressage manuel DHCP ou PPPOE Compl tez la configuration d adressage e Pour un adressage m
110. ures suivantes Passer en mode Transparent partir de l interface de ligne de commande Assurez vous d tre connect en CLI 2 Pour passer en mode Transparent entrez config system settings set opmode transparent set manageip lt address_ip gt lt netmask gt set gateway lt address_gateway gt end Apr s quelques secondes le message suivant s affiche Changing to TP mode 3 Lorsque le message d ouverture de la session s affiche entrez get system settings Le CLI affiche le statut du FortiGate notamment l adresse IP et le masque de r seau d administration opmode transparent manageip lt address_ip gt lt netmask gt Assurez vous de l exactitude des param tres du serveur DNS Ceux ci tant import s du mode NAT Route ils risquent d tre erron s pour la configuration en mode Transparent Reportez vous au tableau 17 de la page 66 pour param trer le serveur DNS V rifier le param trage du serveur DNS Entrez la commande suivante pour v rifier le param trage du serveur DNS FortiGate show system dns Cette commande CLI donne les informations suivantes config system dns set primary 293 44 75 21 set secondary 293 44 75 22 set fwdintf internal end Configurer les param tres du serveur DNS Affectez les adresses IP des serveurs DNS primaire et secondaire Entrez config system dns set primary lt address_ip gt set secondary lt address_ip gt end Guide d installation FortiGate s rie 5000 Ve
111. ut des Ports Port Status le tableau de bord affiche la face avant du FortiGate ainsi que le statut de la connexion au FortiAnalyser un X indiquant une absence de connexion un V la pr sence de connexion En pla ant le curseur de la souris sur un des ports les informations suivantes sur son statut s affichent l statut du port up ou down l adresse IP et le masque de r seau __ la vitesse et le nombre total de paquets envoy s et re us Chaque port actif appara t en vert e Information syst me System Information regroupe les informations sur le syst me d exploitation telles que le num ro de s rie de l quipement et la version de code Cette zone vous permet de mettre jour le logiciel de programmer la date et l heure et de changer de mode de fonctionnement e Ressources du syst me System Resources permet de surveiller l utilisation des ressources du FortiGate e Statut des licences License Information affiche les mises jour actuelles des antivirus et des syst mes de s curit de votre FortiGate e Console de Messages d Alerte Alert Message Console affiche les messages d alerte des v nements r cents e Statistiques Statistics fournit les informations statistiques en temps r el sur le trafic et les attaques Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Connexion partir de l interface de ligne de commande Comme altern
112. utilisateur des VLAN et VDOM FortiGate D crit comment configurer des VLAN et VDOM en mode NAT Route et Transparent Des exemples d taill s y sont repris Base de Connaissance Fortinet Fortinet Knowledge Center De la documentation technique compl mentaire est disponible dans la base de connaissance Fortinet Fortinet Knowledge Center notamment des articles sur les d pannages et questions les plus fr quemment rencontr s des notes techniques et davantage Vous pouvez consulter le site de la Base de Connaissance Fortinet l adresse http kc forticare com Remarques sur la documentation technique Fortinet Merci d indiquer toute ventuelle erreur ou omission trouv e dans cette documentation techdoc fortinet com Service client le et support technique Le Support Technique Fortinet Fortinet Technical Support propose son assistance pour une installation rapide une configuration facile et une fiabilit des syst mes Fortinet Pour conna tre ces services consultez le site de Support Technique Fortinet l adresse http support fortinet com Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Installation des modules FortiGate Cette section couvre l installation et le d ploiement des ch ssis et modules FortiGate 5000 sur votre r seau Vous y retrouverez les sujets suivants Avertissements et pr cautions Les produits de la gamme FortiGate s rie 5000 Montage d un ch ssis FortiG
113. uvelle version logicielle avant son installation Vous pouvez tester une nouvelle version logicielle en l installant en m moire lors du red marrage syst me Apr s avoir accompli cette proc dure le FortiGate 500x op re sous la nouvelle version logicielle avec la configuration actuelle Cette nouvelle version n est pas install e d finitivement Au prochain d marrage du FortiGate 500x celui ci op rera sous la version logicielle d origine avec sa configuration actuelle Si la nouvelle version logicielle fonctionne bien vous pouvez l installer d finitivement en suivant la proc dure Mise jour logicielle la page 74 Il est recommand d utiliser cette proc dure de test avant d installer une nouvelle version logicielle Pour appliquer cette proc dure vous avez besoin de vous connecter en CLI via le port de la console FortiGate et le c ble null modem ou c ble s rie RJ 45 lt gt DB 9 requis par votre mod le FortiGate 500x Cette proc dure installe temporairement une nouvelle version logicielle sous votre configuration actuelle Cette proc dure n cessite e Un acc s en CLI en connectant le port de la console FortiGate avec un c ble null modem e L installation d un serveur TFTP connect l interface interne du FortiGate Ce serveur doit tre sur le m me sous r seau que l interface interne Tester une version logicielle 1 Connectez vous en CLI en utilisant le c ble null modem et le port de la console
114. vible Mettre le ch ssis FortiGate 5020 sous tension 1 Assurez vous que les interrupteurs au dos du ch ssis sont ferm s 2 Connectez les c bles aux fiches de connexion au dos du ch ssis 3 Connectez les c bles aux prises de courant 4 Ouvrir les interrupteurs Les diodes de courant s allument lorsque le courant est connect et fonctionne correctement Ch ssis FortiGate 5050 Le ch ssis FortiGate 5050 poss de deux fiches de connexion d alimentation de courant redondantes 48 58 volts continus l arri re du ch ssis Deux fiches de connexion au dos du ch ssis FortiGate 5050 INPUT A fournissent du courant continu EE aux alimentations de courant 48V TO 58V Chacune des fiches de RTN 48dc connexion doit tre connect e une source de courant diff rente De cette mani re si une source tombe en panne l autre source Postitive Negative reste op rationnelle Guide d installation FortiGate s rie 5000 Version 3 0 01 30000 0259 20051212 Dans le cas o le courant continu est indisponible vous pouvez installer le module de conversion d alimentation FortiGate 5053 pour convertir une alimentation de courant alternatif en courant continu Mettre le ch ssis FortiGate 5050 sous tension 1 Assurez vous que les interrupteurs du ch ssis et de la source de courant sont ferm s Connectez le c ble lectrique n gatif noir la vis de fin Neg 48dc Connectez le c ble lectrique positif rouge
115. vous devez r entrer dans le syst me et recommencer la commande execute reboot Si vous avez interrompu avec succ s le processus de d marrage un des messages suivants appara t e Pour un FortiGate 500x muni d un BIOS v2 x Enter TFTP Server Address 192 168 1 168 Passez alors au point 9 e Pour un FortiGate 500x muni d un BIOS v3 x G Get firmware image from TFTP server F Format boot device Q Quit menu and continue to boot with default firmware H Display this list of options Enter G F Q or H 8 Tapez G pour acc der la nouvelle image logicielle partir du serveur TFTP Guide d installation FortiGate s rie 5000 Version 3 0 81 01 30000 0259 20051212 82 10 11 12 Le message suivant appara t Enter TFTP server address 192 168 1 168 Entrez l adresse du serveur TFTP et appuyez sur la touche Enter Le message suivant appara t Enter Local Address 192 168 1 188 Entrez une adresse IP que le FortiGate 500x peut utiliser pour se connecter au serveur TFTP Il peut s agir de n importe quelle adresse IP valide pour le r seau auquel est connect e l interface Veillez ne pas entrer une adresse IP d un autre quipement de ce r seau Le message suivant appara t Enter File Name image out Entrez le nom de fichier de l image logicielle et appuyez sur Enter Le serveur TFTP t l charge le fichier sur le FortiGate 500x et un message similaire appara t Pour un For
116. voyer le paquet vers le r seau de destination En mode Transparent il n y a pas de translation d adresses Guide d installation FortiGate s rie 5000 Version 3 0 55 01 30000 0259 20051212 Le mode NAT Route est g n ralement utilis lorsque le FortiGate op re en tant que passerelle entre r seaux priv s et publics Dans cette configuration vous pouvez activer de la translation d adresse au niveau des r gles pare feu qui contr lent le trafic circulant entre les r seaux interne et externe g n ralement Internet gt Remarque Vous pouvez cr er des r gles pare feu en mode route pour g rer le trafic circulant entre plusieurs r seaux internes par exemple entre une zone d militaris e et votre r seau interne Illustration 16 Exemple de configuration r seau d une carte FortiGate 5001 en mode NAT Route Pon FortiGate 5001 Module in NAT Route mode H A 2 Mode NAT Route avec de multiples connexions externes En mode route le FortiGate peut se configurer avec des connexions multiples et redondantes au r seau externe Vous pourriez par exemple cr er la configuration suivante e Le port 2 pour l interface par d faut du r seau externe g n ralement Internet e Le port 1 pour l interface du r seau interne e Le port 6 pour l interface d un autre r seau interne Votre configuration doit permettre au routage de supporter des connexions Internet redondantes Le routage peut automatiquement re
Download Pdf Manuals
Related Search