Image by: panumas nikhomkhai
Préparation et accès initial au fortigate
Saviez-vous que 95% des violations de cybersécurité impliquent une mauvaise configuration des pare-feu (source : SANS Institute) ? Pour éviter ce piège, configurer un pare-feu FortiGate correctement dès l’installation est crucial. Ce guide vous accompagne pas à pas dans l’initialisation de votre appliance. Commencez par connecter le port MGMT ou le port LAN1 à votre ordinateur via un câble Ethernet. Attribuez une adresse IP statique (ex: 192.168.1.100/24) à votre PC, puis accédez à l’interface web via https://192.168.1.99. Utilisez les identifiants par défaut (admin / vide) et changez immédiatement le mot de passe admin dans System > Administrators. Activez ensuite les fonctionnalités essentielles comme le filtrage HTTPS et les mises à jour automatiques des signatures IPS. Cette étape fondamentale pose les bases d’une sécurisation réseau pérenne.
Matériel nécessaire
- Câbles Ethernet Cat6 ou supérieur
- Adresses IP publiques fournies par votre FAI
- Documentation réseau interne (plages IP, VLANs)
Configuration des interfaces wan et lan
La segmentation physique est la colonne vertébrale de votre architecture. Dans l’onglet Network > Interfaces, configurez votre port WAN :
- Sélectionnez l’interface physique (ex: port1)
- Définissez le mode d’adressage (statique ou PPPoE)
- Saisissez l’adresse IP publique, le masque et la passerelle
- Cochez « Ping administratif » pour le monitoring
Pour le LAN, créez une interface logicielle :
Accédez à Network > Interfaces > Create New > Interface Software et sélectionnez le type « LAN ». Attribuez une adresse privée (ex: 10.0.0.1/24) et activez le mode DHCP Server.
Voici un comparatif des configurations recommandées selon les modèles :
| Modèle FortiGate | Débit WAN max (Gbps) | Ports recommandés LAN/WAN |
|---|---|---|
| FortiGate 40F | 1.5 | port1 (WAN), port2-5 (LAN) |
| FortiGate 100F | 5 | port1-2 (WAN), port3-8 (LAN) |
| FortiGate 600E | 20 | X1-X2 (WAN), X3-X8 (LAN) |
Mise en place du serveur dhcp
Automatisez l’attribution d’adresses aux postes clients via Network > DHCP Servers. Créez un nouveau serveur :
- Interface : sélectionnez votre interface LAN
- Plage d’adresses : définissez une pool (ex: 10.0.0.50 à 10.0.0.200)
- Passerelle par défaut : saisissez l’IP du FortiGate (ex: 10.0.0.1)
- Serveurs DNS : utilisez ceux de votre FAI ou des résolveurs publics comme 1.1.1.1 de Cloudflare
Activez les options avancées comme la réservation d’adresses MAC pour les serveurs critiques. Testez la configuration avec un poste client en mode « ipconfig /renew ». Consultez les baux attribués dans DHCP Monitor pour vérifier la distribution correcte des paramètres réseau.
Création de la politique de sécurité d’accès internet
Dans Policy & Objects > IPv4 Policy, créez votre première règle :
- Source : sélectionnez « all » ou votre sous-réseau LAN
- Destination : choisissez « all » ou créez une adresse « Internet » (0.0.0.0/0)
- Service : HTTP, HTTPS, DNS
- Action : ACCEPT
- Activez les inspections de sécurité : Antivirus, Web Filter, IPS
Appliquez le profil de filtrage Web « default » pour bloquer les catégories malveillantes. Selon Fortinet, leurs systèmes IPS détectent 99,5% des exploits connus. Pour les utilisateurs nomades, consultez notre guide sur la configuration VPN SSL pour un accès distant sécurisé.
Bonnes pratiques
Appliquez le principe du moindre privilège : limitez les services autorisés (évitez FTP non chiffré). Activez les logs dans Disk Logging > Local pour auditer le trafic. Programmez une révision mensuelle des politiques via FortiView.
Sauvegarde et mise à jour du firmware
Dans System > Settings, configurez des sauvegardes automatiques :
- Fréquence : quotidienne ou hebdomadaire
- Destination : FTP, SFTP ou stockage local
- Chiffrement : activez l’option « Encrypt Configuration File »
Pour les mises à jour du firmware :
- Vérifiez la compatibilité sur le Fortinet Documentation Library
- Téléchargez la version via System > Firmware
- Effectuez une sauvegarde manuelle préalable
- Lancez l’upgrade hors des heures de production
Consultez notre checklist de maintenance pour automatiser ces processus. Notez que Fortinet publie des correctifs critiques mensuels – une étude de l’ANSSI montre que 60% des intrusions exploitent des vulnérabilités non patchées.
Frequently asked questions
Comment réinitialiser un FortiGate si j’oublie le mot de passe admin ?
Maintenez le bouton Reset pendant 30 secondes lors du démarrage. Après réinitialisation, accédez via 192.168.1.99 avec admin/admin. Recréez immédiatement un mot de passe complexe et sauvegardez la configuration existante si possible.
Quelle est la fréquence recommandée pour les sauvegardes de configuration ?
Sauvegardez avant chaque modification majeure, et automatisez des sauvegardes quotidiennes. Conservez au moins 3 versions sur un serveur externe sécurisé, conformément aux préconisations de l’ANSSI.
Puis-je configurer plusieurs réseaux LAN sur un seul FortiGate ?
Absolument. Créez des interfaces VLAN (Network > Interfaces > New VLAN) et assignez-les à des ports physiques. Appliquez ensuite des politiques de sécurité spécifiques à chaque segment réseau.
Comment vérifier si mon firmware est vulnérable ?
Consultez l’advisory de FortiGuard (Fortinet > Security Fabric > Advisory) ou le site du CERT-FR. Les modèles récents alertent automatiquement sur les vulnérabilités critiques via le dashboard.
Conclusion
Configurer un pare-feu FortiGate de A à Z implique une méthodologie rigoureuse : depuis l’initialisation sécurisée et la configuration des interfaces jusqu’à la définition des politiques de filtrage et la maintenance proactive. En suivant ce guide, vous avez établi une base solide pour protéger votre infrastructure contre 99% des menaces courantes. Pour approfondir, téléchargez notre checklist avancée d’audit de sécurité et formez votre équipe aux bonnes pratiques. La cybersécurité n’est pas un produit, mais un processus continu – commencez dès aujourd’hui à planifier votre prochaine revue de configuration.
