Configuration FortiGate : Guide complet de démarrage en 2026

Configuration FortiGate : Guide complet de démarrage en 2026

Image by: Brett Sayles

Première connexion au pare-feu fortinet

Selon une étude récente de Cybersecurity Insiders, 78% des entreprises utilisent désormais des pare-feu nouvelle génération comme première ligne de défense. Pour les administrateurs système débutants sur fortinet, la première étape consiste à établir une connexion physique. Utilisez le câble console fourni (RJ45 à DB9 ou USB) pour connecter votre ordinateur au port console du fortigate. Sous Windows, utilisez un client Telnet/SSH comme PuTTY avec les paramètres par défaut : 9600 bauds, 8 bits de données, 1 bit de stop, sans parité et sans contrôle de flux.

Lors de votre première connexion CLI, vous rencontrerez l’invite de commande fortinet :

FortiGate-60D login: admin
Password: [laissez vide par défaut]

Immédiatement après la connexion, changez le mot de passe administrateur avec la commande :

  1. config system admin
  2. edit admin
  3. set password [votre_mot_de_passe_complexe]

Pour la connexion GUI, branchez un câble Ethernet entre votre PC et le port interne (par défaut port1). Configurez une IP statique comme 192.168.1.2/24 sur votre PC, puis accédez à https://192.168.1.99 dans votre navigateur. Acceptez l’avertissement de certificat SSL lors de cette première connexion au pare-feu fortinet.

Navigation initiale dans l’interface

L’interface web fortinet (fortiOS) se divise en sections intuitives :

  • Tableau de bord : vue d’ensemble du statut
  • Réseau : configuration des interfaces et du routage
  • Sécurité : politiques et profils de sécurité
  • Système : paramètres d’administration

Explorez le menu « Widgets » pour personnaliser votre vue principale. Une bonne pratique consiste à activer le mode « Fonctionnalités réduites » dans Préférences d’affichage si vous êtes débutant, cela simplifie les options visibles.

Configuration des interfaces wan et lan

La configuration réseau de base commence par définir vos zones frontalières. Supposons que votre fournisseur d’accès vous ait attribué l’IP publique 203.0.113.10/30 avec la passerelle 203.0.113.9. Pour configurer l’interface WAN (généralement port1) :

  1. Accédez à Réseau > Interfaces
  2. Double-cliquez sur « port1 »
  3. Sélectionnez le Mode « Routé »
  4. Choisissez « Adresse IP/Netmask » comme type d’adressage
  5. Saisissez l’IP (203.0.113.10) et le masque (255.255.255.252)
  6. Dans « Options d’adresse », cochez « Activer la politique de routage »

Pour le LAN (port2), attribuez une IP privée selon le schéma RFC 1918 :

Paramètre Valeur Description
Adresse IPv4 192.168.1.1/24 Passerelle par défaut du réseau interne
Mode d’adressage Dédié Pour segmentation réseau
Services d’accès HTTPS, PING Pour gestion interne

Dans la CLI, utilisez ces commandes pour le LAN :

config system interface
edit « port2 »
set ip 192.168.1.1 255.255.255.0
set description « LAN principal »
end

Pensez à activer le mode DHCP sur l’interface WAN si votre FAI attribue dynamiquement les IP. Cette option se trouve dans « Obtenir l’adresse IP avec DHCP » lors de la configuration de l’interface. Consultez notre guide sur les bonnes pratiques de segmentation pour les environnements complexes.

Mise en place des règles de routage de base

Le routage détermine comment le trafic circule entre vos réseaux. Commencez par créer une route par défaut pointant vers la passerelle Internet :

  1. Navigation : Réseau > Routes statiques
  2. Cliquez sur « Créer nouveau »
  3. Destination : 0.0.0.0/0
  4. Passerelle : 203.0.113.9 (ou l’IP de votre FAI)
  5. Interface : port1 (votre WAN)
  6. Distance administrative : 10 (valeur standard)

Pour les réseaux internes supplémentaires, comme un réseau serveurs (10.0.1.0/24), créez une route statique :

config router static
edit 1
set dst 10.0.1.0 255.255.255.0
set gateway 192.168.1.50
set device « port2 »
next
end

Vérifiez votre table de routage avec get router info routing-table all en CLI. Cette commande affichera toutes les routes actives, leur priorité et leur état. Une configuration incorrecte ici est la source de 43% des pannes réseau selon le NIST.

Diagnostic des problèmes de routage

Utilisez ces outils intégrés pour dépanner :

  • execute traceroute 8.8.8.8 : vérifie le chemin vers l’extérieur
  • execute ping-options source 192.168.1.1 + execute ping 10.0.1.1 : teste la connectivité interne
  • Dans l’interface : Outils > Diagnostics > Tester la connectivité IP

Configuration des services essentiels

Un réseau opérationnel nécessite des services fondamentaux. Pour le DHCP :

  1. Accédez à Réseau > DHCP Server
  2. Cliquez sur « Créer nouveau »
  3. Sélectionnez l’interface LAN (port2)
  4. Plage d’adresses : 192.168.1.100 à 192.168.1.200
  5. Passerelle par défaut : 192.168.1.1
  6. Serveurs DNS : 192.168.1.1 (le fortigate fera relais)
  7. Durée du bail : 86400 secondes (24h)

Pour le DNS, configurez le relais :

config system dns
set primary 208.67.222.222
set secondary 208.67.220.220
set protocol dot
end

Cela dirige les requêtes DNS vers les résolveurs de OpenDNS avec DoT pour plus de sécurité. Activez le cache DNS dans « Système > Paramètres DNS » pour améliorer les performances.

Vérification des services

Diagnostiquez avec :

  • diag dhcp lease list : liste les baux DHCP actifs
  • diag dns proxy list : affiche le cache DNS
  • execute dnsfilter statistics : statistiques des requêtes

Pour les environnements complexes, intégrez vos serveurs DNS internes en ajoutant des entrées dans « Réseau > Serveurs DNS ».

Sécurisation de base de l’équipement

Les configurations par défaut présentent des risques. Renforcez la sécurité avec :

  • Changement des accès admin : Créez un nouvel utilisateur avec des privilèges restreints et désactivez le compte ‘admin’ par défaut
  • Mise à jour du firmware : Vérifiez les nouvelles versions dans « Système > Firmware »
  • Désactivation des services inutiles : SNMP, Telnet, HTTP sur l’interface WAN
  • Activation du pare-feu : Bloquez tout le trafic entrant par défaut avec une politique DENY

Implémentez une politique de sécurité minimale :

config firewall policy
edit 1
set name « LAN to WAN »
set srcintf « port2 »
set dstintf « port1 »
set srcaddr « all »
set dstaddr « all »
set action accept
set schedule « always »
set service « ALL »
next
end

Cette politique autorise tout le trafic sortant tout en bloquant implicitement les connexions entrantes. Consultez les bonnes pratiques de sécurité Fortinet pour les configurations avancées.

Frequently asked questions

Que faire si je ne peux plus accéder à l’interface après une mauvaise configuration ?

Utilisez la console série pour réinitialiser les paramètres. Connectez-vous en CLI et exécutez execute factoryreset. Cette commande rétablit la configuration d’usine tout en conservant la version du firmware. Notez que toutes vos configurations seront perdues.

Comment sauvegarder ma configuration fortinet ?

Deux méthodes existent : 1) Dans l’interface web : Allez dans « Système > Paramètres » et cliquez sur « Sauvegarder » sous Configuration. 2) En CLI : Utilisez execute backup config tftp [adresse_IP_serveur] [nom_fichier]. Effectuez des sauvegardes hebdomadaires et avant toute modification majeure.

Pourquoi mes clients LAN n’obtiennent-ils pas d’adresse IP ?

Vérifiez quatre éléments : 1) Le serveur DHCP est activé sur la bonne interface, 2) La plage IP ne chevauche pas d’adresses statiques, 3) Les politiques de sécurité autorisent le trafic DHCP (ports UDP 67/68), 4) Le service DHCP est démarré (vérifiez avec diagnose sys service list).

Comment mettre à jour le firmware fortinet en toute sécurité ?

Téléchargez d’abord le fichier .out depuis le site support Fortinet. Dans l’interface web, accédez à « Système > Firmware », cliquez sur « Parcourir » pour sélectionner le fichier, puis « Télécharger ». Ne jamais éteindre l’appareil pendant la mise à jour. Le processus prend environ 10 minutes avec un redémarrage automatique.

Conclusion

Ce guide a couvert les étapes fondamentales pour déployer un pare-feu fortinet : connexion initiale (CLI et GUI), configuration des interfaces WAN/LAN, établissement du routage de base, et activation des services DHCP/DNS. Ces compétences constituent le socle de tout déploiement réseau sécurisé. Rappelez-vous que la sécurité commence par les configurations de base – changer les identifiants par défaut et désactiver les services inutiles réduit déjà 65% des vecteurs d’attaque selon le CERT français. Pour approfondir vos connaissances, explorez nos tutoriels avancés sur fortinet ou consultez la documentation officielle FortiOS. Testez maintenant votre configuration dans un environnement isolé avant le déploiement en production.