Configurer FortiGate : Guide complet d’installation (2026)

Configurer FortiGate : Guide complet d'installation (2026)

Image by: panumas nikhomkhai

Préparation et installation physique

Selon une étude de l’ANSSI, 80% des failles de sécurité réseau proviennent d’erreurs de configuration initiale. Pour déployer un pare-feu FortiGate de manière sécurisée, commencez par choisir l’emplacement physique : un local climatisé avec accès restreint. Identifiez vos interfaces critiques :

  • Port WAN : Connecté au modem/fournisseur d’accès
  • Port LAN : Relié au switch interne
  • Port HA (optionnel) : Pour les configurations en haute disponibilité

Montez l’appareil en rack avec des vis de fixation adaptées et prévoyez un plan d’adressage IP cohérent. Par exemple :

Interface Modèle FortiGate 60F FortiGate 100F FortiGate 200F
Ports WAN 2 4 8
Débit firewall 10 Gbps 20 Gbps 40 Gbps
IPSEC VPN 1.5 Gbps 3.5 Gbps 10 Gbps

Connectez un câble console (RJ45 à USB) pour l’accès initial. Évitez de brancher le port WAN à internet avant la configuration complète – une bonne pratique recommandée par les experts cybersécurité.

Configuration initiale de l’interface

Après la mise sous tension, accédez au FortiGate via l’interface console avec un logiciel comme Putty (115200 bauds). Créez votre premier compte administrateur :

  1. Saisissez le nom d’hôte (ex: FG-Corp-Primary)
  2. Définissez un mot de passe complexe (12 caractères minimum avec symboles)
  3. Attribuez une IP statique à l’interface interne (ex: 192.168.1.99/24)

Activez le protocole HTTPS pour l’administration :

config system global
set admin-https enable
end

Accédez ensuite à l’interface web via https://[adresse-IP]. Acceptez le certificat auto-signé et installez les dernières signatures IPS depuis l’onglet Système > Maintenance. Cette étape est cruciale pour contrer les menaces récentes documentées dans le rapport FortiGuard.

Création des zones LAN et WAN

Dans FortiOS, les zones logiques regroupent des interfaces physiques partageant des politiques de sécurité communes. Pour déployer un pare-feu FortiGate de manière sécurisée :

  1. Accédez à Réseau > Interfaces
  2. Sélectionnez le port physique connecté à internet (ex: port1)
  3. Définissez le mode en « WAN » avec IP dynamique/statique
  4. Créez une nouvelle zone « WAN » et assignez l’interface

Répétez l’opération pour le LAN :

  • Nom de zone : LAN-Corp
  • Interface : port2 (adresse 192.168.1.1/24)
  • Activation du serveur DHCP pour les postes clients

Activez les services de routage de base :

config router static
edit 1
set device port1
set gateway 192.0.2.1
next
end

Cette configuration initiale permet déjà d’isoler les flux grâce au modèle zero-trust intégré.

Écriture des règles de filtrage

Les politiques firewall contrôlent les flux entre zones. Créez votre première règle :

  1. Accédez à Stratégies et objets > Stratégies firewall
  2. Cliquez sur « Créer nouvelle »
  3. Source : LAN-Corp (adresses: all)
  4. Destination : WAN (adresses: all)
  5. Service : HTTP, HTTPS, DNS
  6. Action : ACCEPTER
  7. Cochez « Activer NAT » (masquerade)

Ajoutez immédiatement une règle de blocage explicite en haut de la liste :

  • Source : WAN
  • Destination : LAN-Corp
  • Action : REFUSER avec journalisation

Activez les inspections de sécurité :

set av-profile « default »
set webfilter-profile « default »
set ips-sensor « default »

Cette configuration bloque déjà 95% des attaques automatisées selon l’ANSSI. Pour des environnements complexes, découvrez nos modèles de politiques granulaires.

Validation et tests de sécurité

Vérifiez d’abord la connectivité de base :

  1. Connectez un poste client au LAN
  2. Testez un ping vers 8.8.8.8 (doit réussir)
  3. Lancez une résolution DNS (nslookup google.com)

Utilisez les outils intégrés pour auditer :

  • Diagnostic > Ping depuis le firewall
  • Réseau > Moniteur de flux pour visualiser les sessions actives
  • Journal > Messages pour tracer les blocages

Effectuez un test d’intrusion basique :

execute telnet test 192.168.1.50 22

Depuis le WAN, cette connexion doit être bloquée. Vérifiez l’absence d’accès aux ports de management (HTTPS/SSH) depuis l’extérieur. Finalisez par une sauvegarde de la configuration dans Système > Maintenance > Sauvegarde et planifiez des mises à jour automatiques. Complétez votre sécurité avec des formations administrateur spécialisées.

Questions fréquentes

Quel modèle FortiGate choisir pour un petit bureau ?

Le FortiGate 40F convient parfaitement pour 5-10 utilisateurs (débit 4Gbps). Pour 10-25 postes, privilégiez le 60F (10Gbps). Consultez notre guide comparatif pour une analyse détaillée des performances.

Dois-je activer le NAT sur la politique LAN-WAN ?

Oui, dans 95% des cas. Le Network Address Translation masque les IP internes et permet à plusieurs postes de partager une IP publique. Désactivez-le uniquement si vous disposez d’un bloc IP public routé.

Comment vérifier si mes règles fonctionnent correctement ?

Utilisez l’onglet Moniteur de flux : les sessions actives apparaissent en vert (autorisées) ou rouge (bloquées). Activez la journalisation sur toutes vos règles et vérifiez les entrées dans Journal > Messages.

Est-il nécessaire de créer une politique pour le trafic intra-LAN ?

Par défaut, FortiGate autorise le trafic entre interfaces d’une même zone. Pour restreindre les communications internes (ex: service financier vs production), créez des zones séparées et des politiques spécifiques.

Conclusion

Déployer un pare-feu FortiGate de manière sécurisée implique une méthodologie rigoureuse : installation physique contrôlée, configuration hiérarchisée des zones, et politiques de filtrage granularisées. Les étapes de validation sont cruciales – un test complet prévient 70% des incidents selon le rapport ENISA. Ce guide couvre les bases pour sécuriser un accès internet, mais la cybersécurité est un processus continu. Formez-vous régulièrement aux dernières fonctionnalités FortiOS et planifiez un audit trimestriel de vos règles firewall. Pour aller plus loin, téléchargez notre kit complet d’administration incluant des templates de configurations sécurisées.