Conception d'un réseau sécurisé par fortigate firewall.pptx

C O N C E P T I O N D ' U N R É S E A U
S É C U R I S É P A R F O R T I G AT E
F I R E W A L L
P R É S E N T E R PA R ;
A H M E D B A D A

 Plan :
 Introduction
 objectifs du projet
 Présentation de FortiGate :
 Fonctionnalités principales
 Avantages par rapport à d'autres solutions de sécurité réseau
 Analyse des besoins :
 Étude des besoins de sécurité du réseau existant

 Conception de la solution :
 Installation et configuration de FortiGate
 Architecture de sécurité proposée
 Configuration des règles de sécurité
 Tests de fonctionnalité et de performance
 Conclusion :
 Résumé des résultats obtenus
 Recommandations pour l'avenir

INTRODUCTION
Un pare-feu est un système de sécurité conçu pour empêcher tout accès
non autorisé à l’intérieur ou à l’extérieur d’un réseau informatique. Les
pare-feux sont souvent utilisés pour s’assurer que les internautes sans accès
ne peuvent pas s’interfacer avec des réseaux privés ou des intranets
connectés à Internet
Un pare-feu est positionné entre un réseau ou un ordinateur et un réseau
différent, comme Internet. Il contrôle le trafic réseau entrant et sortant de
l’ordinateur ou du réseau. Si vous n’avez pas de pare-feu, pratiquement
toutes les données peuvent quitter votre ordinateur ou votre réseau, et
pratiquement n’importe quel individu ou programme peut entrer.

Que fait un pare-feu ?
Les pare-feux protègent votre ordinateur ou votre réseau contre le trafic indésirable
entrant ou sortant. Les pare-feux peuvent également inspecter et authentifier tous
les paquets de données dans le trafic réseau avant d’être autorisés à migrer vers un
environnement plus sécurisé.
Qu’il s’agisse d’une appliance matérielle ou d’un programme logiciel qui protège un
réseau d’entreprise ou un ordinateur personnel, un pare-feu est essentiel à sécurité
réseau. Par exemple, selon l’endroit où un pare-feu est installé, il peut se protéger
contre les menaces internes dans un segment de réseau ou agir comme une barrière
contre les menaces externes au périmètre du réseau.
En tant que première ligne de défense de votre organisation, un pare-feu surveille et
filtre tout le trafic réseau, y compris le trafic sortant, le trafic de couche applicative,
les transactions en ligne, les communications et la connectivité. Il bloque les
menaces entrantes en fonction d’un ensemble de règles préprogrammées qui
peuvent également dicter quels utilisateurs peuvent accéder à des zones réseau
spécifiques.
Que fait un pare-feu ? Il protège votre réseau contre les accès non autorisés pour

Pare-feu : Catégories
 Les pare-feux peuvent être classés en différentes catégories :
• Pare-feu sans état (stateless firewall);
• Pare-feu à états (stateful firewall);
• Pare-feu applicatif;
• Pare-feu identifiant;
• Pare-feu personnel.

objectifs du projet
L’objectif d’un pare-feu est de protéger un réseau contre les accès non
autorisés, les virus, les logiciels malveillants et autres cybermenaces.
Les pare-feu peuvent empêcher les pirates et les cybercriminels
d’accéder à des données sensibles, de voler des informations
personnelles ou d’endommager un réseau ou un appareil. Ils peuvent
également contrôler et surveiller le trafic entrant et sortant, empêcher
les applications non autorisées d’accéder au réseau et bloquer les sites
web potentiellement dangereux.

Contrôle des services : Vous pouvez utiliser le contrôle des services
pour spécifier les types de services Internet auxquels les utilisateurs
peuvent accéder. Par exemple, un pare-feu peut filtrer le trafic en
fonction de son adresse IP (Internet Protocol) ou du port qu’il utilise.
Contrôle de direction : Avec le contrôle de direction, vous pouvez
spécifier les directions dans lesquelles les demandes peuvent être
effectuées. Par exemple, si vous soupçonnez qu’une application dans
une certaine zone de votre réseau a été compromise, vous pouvez
empêcher les ordinateurs et les appareils de ce segment d’envoyer
des demandes à Internet.
Techniques de pare-feu pour contrôler l’accès et appliquer la
politique de sécurité

 Contrôle utilisateur : Le contrôle utilisateur sur FortiGate se
réfère à la capacité de gérer et de réguler les accès et les activités
des utilisateurs sur le réseau à l'aide du pare-feu FortiGate. Cela
comprend l'authentification des utilisateurs, l'attribution des
droits d'accès, l'application de politiques de sécurité granulaires
et la surveillance des activités des utilisateurs.
 Contrôle comportemental : Le contrôle comportemental vous
permet de contrôler la façon dont des services spécifiques sont
utilisés. Par exemple, vous pouvez utiliser un pare-feu pour
limiter les types d’informations sur votre serveur Web auxquelles
des personnes de l’extérieur peuvent accéder. En d’autres termes,
vous contrôlez leur comportement en limitant leurs options.

FONCTIONNALITÉS PRINCIPALES
Présentation de FortiGate
Le pare-feu est jusqu'à ces dernières années considéré comme une des pierres angulaires de la
sécurité d'un réseau informatique. Il permet d'appliquer une politique d'accès aux ressources réseau
(serveurs).
Il est possible de définir des règles de filtrage plus détaillées pour le HTTPS avec le déchiffrement
SSL (nécessite la présence d'un certificat côté client).
Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux
de données qui y transitent. Généralement, les zones de confiance incluent Internet (une zone dont
la confiance est nulle) et au moins un réseau interne (une zone dont la confiance est plus
importante).

• Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents
niveaux de confiance, grâce à l'application de la politique de sécurité et d'un modèle de
connexion basé sur le principe du moindre privilège.
• Le filtrage se fait selon divers critères. Les plus courants sont :
• l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.) ;
• les options contenues dans les données (fragmentation, validité, etc.) ;
• les données elles-mêmes (taille, correspondance à un motif, etc.) ;
• les utilisateurs pour les plus récents.

PARE-FEU NOUVELLE GÉNÉRATION (NGFW)
pare-feu de nouvelle génération est un système de sécurité réseau (matériel ou
logiciel) capable de détecter et de bloquer les attaques sophistiquées en appliquant
des règles de sécurité au niveau applicatif, ainsi qu’à celui du port ou de protocole
de communication;
Les NGFWs peuvent intégrer le travail des antivirus, des pare-feux traditionnels, et
d’autres applications de sécurité dans une seule solution;
Un NGFW peut être une option à faible coût pour les entreprises qui cherchent à
améliorer leur sécurité de base.
FortiGate offre une convergence parfaite qui peut s’adapter à n’importe quel
emplacement : bureau distant, succursale, campus, data center et cloud. Nous
avons toujours mis en œuvre le concept de hybrid mesh firewalls avec
FortiManager pour une gestion unifiée et une sécurité persistante dans les
environnements hybrides complexes. Le système d’exploitation Fortinet FortiOS
offre une visibilité et une sécurité intégrales dans une variété de formats.

INVESTIR DANS L’INNOVATION
• FortiGate NGFW est le firewall Fortinet réseau le plus déployé au monde, offrant
des performances de sécurité et une veille sur les menaces inégalées misant sur
l’IA, ainsi qu’une visibilité complète et une convergence de la sécurité et du réseau.
CONVERGENCE
Un seul système d’exploitation
offre un réseau et une sécurité
unifiés sur tous les formats et
sur toute la périphérie
ACCÉLÉRATION
Architecture ASIC brevetée pour
des performances améliorées, un
meilleur retour sur investissement
et une consommation d’énergie
réduite
SÉCURITÉ DOPÉE À L’IA/AA
La veille globale sur les
menaces FortiGuard offre une
protection automatisée contre
les menaces connues et
inconnues

CAS D'USAGE DES PARE-FEUX FORTINET
NGFW FORTIGATE
SITE
Protéger et connecter votre
périphérie distribuée en bénéficiant
d’un dispositif de sécurité dopé à
l’IA/ML et une convergence innovante
qui inclut un SD-WAN sécurisé
CAMPUS D’ENTREPRISE
Bénéficiez d’une visibilité et d’une
protection inégalées pour les sites
d’entreprise afin de pouvoir gérer les
applications, les utilisateurs, les appareils
et l’accès dans un seul tableau de bord.
DATA CENTER
Déployez un dispositif de sécurité
dit « hyperscale » avec une
protection cohérente et
coordonnée, des interfaces riches et
un décryptage qui s’adapte à tout
environnement.
SEGMENTATION
Protégez vos actifs grâce à de riches
capacités de macro- et micro-
segmentation.

CAS D'USAGE DES PARE-FEUX
FORTINET NGFW FORTIGATE
MULTICLOUD
Intégrez des protections de cloud public et privé
avec une automatisation facile à gérer et une
interface unifiée.
À DISTANCE
Étendez la protection NGFW FortiGate avec la
SASE et protégez les utilisateurs où qu’ils
travaillent.

P R É S E N T A T I O N D E F O R T I G A T E
• Le Cisco ASA (Adaptive Security
Appliance) est une gamme d'appareils de
sécurité réseau développée par Cisco
Systems. Ces appareils sont conçus pour
offrir une protection avancée contre les
menaces informatiques et pour sécuriser
les réseaux d'entreprises, des petites
entreprises aux grandes organisations.
• pfSense est une distribution open-
source basée sur FreeBSD, conçue
pour fonctionner comme un pare-
feu, un routeur et un VPN (Virtual
Private Network) tout-en-un. Il offre
une gamme complète de
fonctionnalités de sécurité et de
routage, en faisant une solution
populaire pour sécuriser les réseaux
domestiques, les petites entreprises
et même les grandes entreprises
• Avantages par rapport à d'autres solutions de sécurité
réseau

CONCEPTION D'UN RÉSEAU SÉCURISÉ PAR FORTIGATE
FIREWALL
fortigate
• Offre une gamme complète
de fonctionnalités de
sécurité, y compris les pare-
feu, les VPN, la prévention
d'intrusion, la sécurité du
contenu, le filtrage web, etc.
Cisco ASA
• Propose également une
large gamme de
fonctionnalités de sécurité,
telles que les pare-feu, les
VPN, le filtrage de contenu,
la prévention des intrusions,
mais peut nécessiter l'achat
de licences supplémentaires
pour certaines
fonctionnalités avancées.
pfsense
• pfSense est une distribution
open-source basée sur
FreeBSD, offrant des
fonctionnalités de pare-feu, de
routage et de VPN. Il est
hautement personnalisable et
peut être étendu avec des
packages tiers pour ajouter
des fonctionnalités telles que
la détection d'intrusion, le
filtrage de contenu, etc.
•Avantages par rapport à d'autres solutions de sécurité réseau
Gamme de Fonctionnalités :

CONCEPTION D'UN RÉSEAU SÉCURISÉ PAR FORTIGATE FIREWALL
fortigate
• Connu pour offrir des
performances élevées,
même dans des
environnements réseau
exigeants, avec des options
allant des appareils pour les
petites entreprises aux
dispositifs haute
performance pour les
grands data centers.
Cisco ASA
• Également réputé pour ses
performances, mais peut
nécessiter des mises à
niveau matérielles pour
gérer des charges de
travail intensives ou des
débits élevés.
pfsense
• Les performances
dépendent du matériel sur
lequel il est installé. Il
peut être exécuté sur une
large gamme de matériels,
des petits appliances à
faible consommation
d'énergie aux serveurs
haute performance.
Performances :
• Connu pour offrir des
performances élevées, même
dans des environnements
réseau exigeants, avec des
options allant des appareils
pour les petites entreprises
aux dispositifs haute
performance pour les grands
data centers.

fortigate
• Dispose d'une interface de
gestion conviviale et
intuitive, avec des outils
de configuration simplifiés
et une gestion unifiée des
menaces pour une
surveillance centralisée.
Cisco ASA
• Offre une interface de
gestion robuste, mais
peut être plus complexe à
configurer et à gérer,
surtout pour les
utilisateurs moins
expérimentés.
pfsense
• Offre une interface web
conviviale pour la
configuration et la
gestion, avec une
communauté active
fournissant un support et
des ressources.
Simplicité de Gestion :

fortigate
• Intègre des capacités
d'intelligence
artificielle et
d'apprentissage
machine pour détecter
et prévenir les menaces
avancées en temps
réel.
Cisco ASA
• Propose également des
fonctionnalités de
détection avancée des
menaces, mais peut
nécessiter l'ajout de
solutions
complémentaires pour
une protection plus
avancée.
pfsense
• Peut être étendu avec
des packages tiers pour
ajouter des
fonctionnalités de
détection d'intrusion,
de filtrage de contenu,
etc.
Intelligence Intégrée :
• Intègre des capacités
d'intelligence artificielle
et d'apprentissage
machine pour détecter
et prévenir les menaces
avancées en temps réel.

CONCEPTION D'UN RÉSEAU SÉCURISÉ PAR FORTIGATE
FIREWALL
fortigate
• Offre un contrôle
d'accès avancé et des
politiques de sécurité
granulaires pour
sécuriser le trafic
entrant et sortant.
Cisco ASA
• Également capable de
définir des politiques
de sécurité et des
règles de contrôle
d'accès pour protéger
le réseau contre les
menaces.
pfsense
• Permet de configurer
des politiques de
sécurité personnalisées
et des règles de pare-
feu pour contrôler le
trafic réseau.
Contrôle d'Accès et Politiques de Sécurité :

Analyse des besoins
Étude des besoins de sécurité du réseau existant
Maintenant que vous savez ce qu’est un firewall et comment l’on définit une politique de sécurité,
voyons de quelles façons vous pouvez positionner votre firewall. On parle en fait d’architecture,
car il n’y a pas qu’une seule façon de faire et chaque architecture répond à un besoin précis, que
nous allons voir dans ce chapitre.
Firewall

Analyse des besoins
Appliquez la bonne architecture en fonction de vos besoins:
Comme pour les politiques de sécurité, il n’existe pas une architecture parfaite vous
permettant de sécuriser n’importe quelle entreprise. En effet, vous devrez adapter votre
architecture aux besoins de votre entreprise ou celle de votre client.
Il faudra, pour cela, prendre en compte :
•Son matériel : a-t-il des serveurs ?
•Ses besoins : ses serveurs sont-ils accessibles depuis Internet ?
•Le degré de confidentialité de ses données : possède-t-il les données personnelles de
ses clients ?
•Le risque : est-ce une entreprise à risque (qu’un pirate voudrait plus particulièrement
attaquer qu’un autre) ?
•Le besoin de contrôle : quel contrôle votre client veut-il avoir sur ce qui se passe sur son
réseau ?
Vous allez découvrir tout de suite qu’il existe de nombreuses architectures vous
permettant de répondre aux besoins de votre client.

Analyse des besoins
L’architecture simple (couche réseau et transport):
C’est l’architecture que vous avez déjà pu voir lors du premier chapitre.
Le firewall est simplement positionné entre le LAN et le WAN.

Analyse des besoins
C’est l’architecture la plus connue et la plus utilisée :
 On filtre au niveau des adresses IP (couche 3) et des ports TCP/UDP (couche 4).
 On autorise les règles définies dans la politique de sécurité.
 Cette solution est peu coûteuse, un hardware peu puissant combiné à un firewall
open source est suffisant.
 Il faut que l’administrateur cloud et infrastructure ait une bonne connaissance
des règles à appliquer.
 Elle ne permet pas de filtrage sur les services tels que HTTP ou FTP (il est
impossible d'empêcher du peer-to-peer par exemple).
Je vous conseille d’utiliser cette architecture lorsque le client ne possède pas de
serveur interne ouvert sur l’extérieur.

Analyse des besoins
L’architecture proxy (couche application) :
Il s’agit en fait, de la même architecture mais on ajoute un filtre, au niveau de la couche
applicative. On va donc pouvoir filtrer des protocoles tel que HTTP et non pas le port
HTTP (80, 443). Ceci va par exemple vous permettre d'empêcher l’utilisation du peer-to-
peer.
Au fait, c’est quoi un proxy ?
Un proxy est un matériel ou un logiciel servant d'intermédiaire entre deux réseaux.
Une des utilisations les plus courantes de proxy concerne l’utilisation d’Internet (HTTP).
Un utilisateur, pour se rendre sur Internet, va d’abord passer par le proxy et c’est le
proxy qui va envoyer la requête HTTP vers Internet.

Analyse des besoins
Grâce à cette architecture, vous contrôlez donc l’utilisation complète du réseau (application,
bande passante) par utilisateur.

Analyse des besoins
Pour résumer cette architecture :
•Filtre la couche applicative et donc les protocoles HTTP et autre.
•Contrôle le réseau par utilisateur et donc permet de garder un historique.
•Permet de faire circuler le trafic HTTP et FTP via le proxy, en cas d’attaque, l’attaque se
ferait sur le proxy et non sur le poste utilisateur.
•Permet de voir les attaques potentielles (IDS que nous verrons plus tard dans ce
cours).
Enfin, notez qu’il est tout à fait possible de combiner le filtrage de niveau réseau et
transport et filtrage de niveau applicatif.

Analyse des besoins
La zone démilitarisée (DMZ) :
La DMZ est une architecture qui permet de sécuriser votre réseau local, alors même que vous
voulez le rendre accessible sur Internet.
Imaginez que votre client souhaite vendre ses produits sur le Web, vous configurerez le PAT sur le
routeur relié à Internet. Mais en rendant son serveur accessible depuis Internet, vous rendez son
LAN vulnérable aux attaques venues de l’extérieur.

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau
en plusieurs zones de sécurité appelées zones démilitarisées ou DMZ. Ces
zones sont séparées suivant le niveau de confiance qu'on leur porte.

Analyse des besoins
La DMZ vous permet de rendre votre serveur accessible sur le Web tout en sécurisant
votre LAN. Ceci est possible grâce à l’ajout d’un deuxième firewall entre le LAN et les
serveurs. L’idée est la suivante :
•une règle permet au Web de se rendre sur le serveur, par le routeur/firewall externe.
L’accès est autorisé selon le protocole voulu (HTTP par exemple). Tous les autres
services doivent être désactivés et la connexion ssh ne doit pas pouvoir se faire
depuis le WAN.
•Une autre règle permet au LAN de se rendre sur le serveur (par SSH par exemple),
tout en empêchant le serveur de se rendre sur le LAN. Ainsi, même s’il venait à se
faire pirater, le serveur ne pourrait pas contaminer le LAN.
Notez qu’il est encore une fois possible d’y ajouter les concepts des deux premières
architectures.
Vous l’avez compris, mais je vous le redis quand même, c’est cette architecture que je
vous conseille d’utiliser si votre client dispose d’un serveur accessible depuis le WEB.

Analyse des besoins
Ce qu’il faut retenir :
 Il n’existe pas d’architecture parfaite, mais une architecture en fonction des
besoins.
 L’architecture simple, basée sur les couches réseau et transport vous permet de
filtrer un grand nombre d’attaques et est très peu coûteux. Cependant, vous ne
pouvez pas filtrer au niveau applicatif.
 L’architecture par proxy, basée sur la couche applicative, vous permet justement
de filtrer sur les protocoles tels que HTTP, ou FTP. Elle vous permet aussi de voir
d'éventuelles attaques et de journaliser les actions des utilisateurs locaux. Elle
est cependant très coûteuse et le firewall doit, par conséquent, être bien
dimensionné.
 L’architecture DMZ vous permet de rendre un serveur accessible depuis le Web
et de sécuriser votre LAN, grâce à l’ajout d’un deuxième routeur/firewall.
 L’architecture NAT protège aussi le LAN contre les attaques directes et contre
l’écoute du réseau.

SD-WAN ?
• (SD-WAN) à devenir de plus en plus populaires, car les organisations demandent une
connectivité rapide, évolutive et flexible entre différents environnements réseau.
• La solution permet aux organisations de protéger leur investissement et de
simplifier les opérations tout au long de leur parcours vers une architecture zero-
trust.
• La technologie qui sous-tend le SD-WAN permet aux sites distants de se connecter
plus simplement aux réseaux, aux data centers et/ou aux clouds multiples avec une
latence moindre, des performances renforcées et une connectivité fiable. Alors que
les utilisateurs exigent toujours plus d’agilité et d’évolutivité de la part de leurs
applications et de leur infrastructure, l’expérience utilisateur devient cruciale.
• En résumé, le SD-WAN est utilisé pour la sécurité. Mais quel est l’objectif du SD-WAN
lorsque vous travaillez à des résultats commerciaux spécifiques ?

COMMENT FONCTIONNENT LES SD-WAN ?
• Les SD-WAN sont rendus possibles en séparant le plan de contrôle du plan de
données. Dans le domaine des réseaux, le plan de contrôle fait référence à tous les
éléments qui déterminent où vont les données. Le plan de données transmet les
données selon les instructions du plan de contrôle.
• Historiquement, le plan de contrôle et le plan de données étaient étroitement
couplés à l'aide d'appareils matériels spécifiques à chaque fournisseur. Les réseaux
SD-WAN séparent le plan de contrôle logiciel du plan de données matériel, ce qui
permet d'effectuer le routage dans un logiciel fonctionnant sur du matériel de base
plutôt que dans des routeurs matériels spécialisés.

QUELS SONT CERTAINS DES AVANTAGES DE L'UTILISATION D'UN
SD-WAN ?
• Flexibilité : Les réseaux SD-WAN peuvent utiliser diverses approches pour le
routage, même les méthodes traditionnelles utilisées par les réseaux WAN
classiques. Les réseaux SD-WAN peuvent être approvisionnés plus facilement, en
achetant du matériel de base si nécessaire, plutôt que de dépendre d'un seul
fournisseur de réseau.0
• Économies de coûts : Comme les entreprises ne sont pas tenues d'acheter le
logiciel et le matériel auprès du même fournisseur, elles peuvent acheter du
matériel moins cher dont la maintenance est moins coûteuse. En outre, les
réseaux SD-WAN peuvent utiliser des connexions Internet ordinaires plutôt que
des connexions MPLS (MPLS), qui sont plus coûteuses (
comparez les réseaux SD-WAN et MPLS plus en détail).
• Évolutivité : Les réseaux SD-WAN peuvent facilement évoluer vers le haut ou vers
le bas pour répondre aux besoins des entreprises. L'utilisation de connexions

CAS D’UTILISATION DU SECURE SD-WAN
TRANSFORMER LE RÉSEAU WAN
ET LA SÉCURITÉ
Utilisez une seule console de
gestion pour le SD-WAN, le
routage avancé et le contrôle des
pare-feu nouvelle génération
(NGFW) pour protéger
l’ensemble de la surface
d’attaque digitale.
SIMPLIFIER LE SD-BRANCH SÉC
URISÉ
Simplifiez l’architecture des
succursales grâce à un SD-WAN
sécurisé, évolutif et géré de
manière centralisée, avec les
fonctions NAC (contrôle d’accès
réseau), WLAN, LAN et
LTE/4G/5G intégrées.
OPTIMISER LES ÉQUIPES HYBRID
ES
Améliorez le travail hors site avec
une solution SASE complète en
intégrant le SD-WAN fourni dans le
cloud avec Security Service Edge
(SSE).
OPTIMISER LES ENVIRONNE
MENTS HYBRIDES ET MULTI-
CLOUD
Établissez des connexions
sécurisées, transparentes et
rapides avec le cloud, dans le
cloud et entre les clouds.

CAS D’UTILISATION DU SECURE SD-WAN
ANTICIPER LES PERFORMANCES DES APPL
ICATIONS
Sécurisez l’expérience utilisateur sur tous
les types de transport grâce à un routage
sophistiqué et à des fonctions de correction
de pointe du WAN assurant l’auto-
restauration des réseaux.
GAGNER EN EFFICACITÉ OPÉRATIONNELL
E
Automatisez la conception, le déploiement
et l’exploitation avec une interface unifiée
permettant d’avoir une vue d’ensemble sur
le réseau et d’accéder aux fonctions
d’analyse, de reporting et d’orchestration.

Conception de la solution
Installation et configuration de FortiGate
1) Pour télécharger n'importe quel firmware Fortinet, créez un compte avec Fortinet.
https://support.fortinet.com/welcome/#/

Accédez à Support -> Images VM , sélectionnez la plate-forme dans le menu déroulant,
sélectionnez KVM et descendez l'image du micrologiciel sur laquelle travailler.

Maintenant on va télécharger GNS3 et GNS3VM :
https://gns3.com/software/download

3) Allez maintenant sur la page du marché GNS3 et sélectionnez les appareils :
https://gns3.com/marketplace/appliances
Choisissez FortiGate et téléchargez le fichier avec l'extension qcow2.

4) Une fois le firmware et le fichier qcow2 obtenus, ouvrez la console GNS3 et attendez qu'elle se
connecte à la VM GNS3.

5) Maintenant, tout est prêt pour ajouter le FortiGate au poste de travail GNS3.
Suivez les étapes suivantes pour ajouter le FortiGate :
- Sélectionnez « Parcourir tous les appareils » et sélectionnez un nouveau modèle.
- sélectionnez 'Installer une appliance' depuis le serveur GNS3 et sélectionnez 'Suivant' :

configuration de FortiGate
Connectez-vous à la console FortiGate et attribuez l'IP à l'interface connectée.
Dans cette topologie, l'adresse IP de la VM Nat-ed se trouve dans le sous-réseau
192.168.1.x/24.
L'adresse IP sera attribuée au port 2 de la plage de sous-réseau ci-dessus, c'est-à-
dire 192.168.1.23.

Une fois l'adresse IP attribuée, il est désormais possible d'accéder à l'interface
graphique FortiGate depuis la fenêtre du navigateur local.
L’adresse IP pour accéder à l’interface graphique sera l’adresse IP du port2.

Architecture de sécurité proposée

CRÉATION DE L'INTERFACE SD-WAN
Pour configurer le SD-WAN à l'aide de l'interface graphique :
1. Sur FortiGate, activez SD-WAN et ajoutez les interfaces wan1 et wan2 en tant que
membres :
a. Création des interface WAN.
b. Définissez le Statut sur Activer .

Création de l'interface SD-WAN
 Création de SD-WAN1 :
dans l’onglet Network > SD-WAN > create new SD-WAN zone.
ajoutez les interfaces wan1 et wan2 en tant que membres
Cliquez sur Appliquer pour enregistrer vos paramètres.

CRÉATION DE L'INTERFACE SD-
WAN
 Créez une route statique avec virtual-wan-link activé :
1. Accédez à Réseau > Routes statiques .
2. Cliquez sur Créer nouveau . La page Nouvelle route statique s'ouvre.
3. Dans la liste déroulante Interface , sélectionnez SD-WAN .
4. Cliquez sur OK pour enregistrer vos modifications.

CRÉATION DE L'INTERFACE SD-WAN
 Créez une stratégie de pare-feu pour autoriser le trafic :
1.Accédez à Stratégie et objets > firewall policy .
2.Cliquez sur Créer nouveau . La page Nouvelle stratégie s'ouvre.
3.Pour l' interface entrante , sélectionnez LAN1(VLAN2) .
4.Pour l' interface sortante , sélectionnez SD-WAN .
5.Configurez les paramètres restants selon vos besoins, puis cliquez sur OK pour créer la stratégie
Le trafic sortant sera équilibré entre wan1 et wan2 selon un rapport 50:50.
 Faire le méme pour LAN2 (VLAN1)

CRÉATION DE L'INTERFACE SD-
WAN

Conception d'un réseau sécurisé par fortigate firewall.pptx

Contenu connexe

Tendances

Similaire à Conception d'un réseau sécurisé par fortigate firewall.pptx

Conception d'un réseau sécurisé par fortigate firewall.pptx