
Image by: Tima Miroshnichenko
Accès initial à votre pare-feu Fortinet
Saviez-vous que 60% des problèmes de sécurité réseau proviennent d’une mauvaise configuration initiale? Pour éviter cela, maîtriser l’accès à votre pare-feu Fortinet est crucial. Deux méthodes existent pour administrer votre appareil :
Interface graphique (GUI)
Par défaut, le port LAN (généralement port1) est préconfiguré avec l’adresse IP 192.168.1.99/24. Connectez-vous via HTTPS en utilisant :
- URL : https://192.168.1.99
- Identifiants par défaut : admin (sans mot de passe)
- Première étape : changer immédiatement le mot de passe admin dans System > Administrators
L’interface FortiGate offre une navigation intuitive avec des onglets dédiés (Tableau de bord, Politiques, Réseau, Système). Pour les débutants, c’est le point d’entrée recommandé grâce à ses assistants visuels et outils de diagnostic intégrés.
Console CLI
Pour dépannage ou configuration avancée, connectez-vous via le port console série à l’aide d’un câble USB-RJ45 :
FortiGate # config system global
FortiGate (global) # set admin-sport 8443
La CLI permet des opérations rapides comme la réinitialisation d’urgence ou le dépannage réseau (diag debug application). Conservez toujours l’accès CLI comme solution de secours selon les bonnes pratiques Fortinet Documentation.
Une fois connecté, vérifiez la licence dans [System > Firmware] pour activer les fonctions avancées. Si vous rencontrez des difficultés, notre équipe d’assistance peut vous accompagner dans ces premières étapes.
Configuration des interfaces réseau
Votre déploiement Fortinet commence par définir les portes d’entrée de votre réseau. Attribuez clairement les rôles :
- WAN : Connexions Internet (ports 3-4 par défaut)
- LAN : Réseau interne (port1)
- DMZ : Zone semi-sensible accessible depuis l’extérieur
Configurez chaque interface via [Network > Interfaces] :
- Sélectionnez l’interface physique
- Définissez l’adresse IPv4 (statique, DHCP ou PPPoE)
- Activez les services nécessaires (HTTPS, PING, SSH)
- Spécifiez la MTU (1500 standard)
Pour une liaison redondante, utilisez le regroupement d’interfaces (Aggregate) avec IEEE 802.3ad. Important : désactivez le service DHCP server sur les interfaces WAN pour éviter les conflits. Pour les environnements complexes, consultez l’historique Fortinet sur l’évolution des modèles matériels.
Définition des zones SD-WAN
L’architecture SD-WAN transforme la gestion multi-liaisons. Créez votre zone dans [Network > SD-WAN] :
- Sélectionnez « Create New »
- Nommez la zone (ex: SD-WAN-MAIN)
- Ajoutez les interfaces membres (ex: wan1, wan2)
- Définissez les règles de performance via « SD-WAN Rules »
| Type de membre | Latence max | Perte max | Cas d’usage |
|---|---|---|---|
| Liaison principale | 50 ms | 1% | VoIP, vidéoconférence |
| Liaison secondaire | 150 ms | 5% | Sauvegarde, navigation web |
| 4G/LTE | 200 ms | 8% | Secours urgent |
L’analyse du SLA se configure sous « Performance Monitor ». Pour les déploiements multi-sites, référez-vous au guide SD-WAN. Un paramètre crucial : « Health Check » qui teste la connectivité vers des serveurs de référence (comme 8.8.8.8).
Création de politiques de filtrage
Vos règles de filtrage sont les gardiens du réseau. Pour créer une politique :
- Accédez à [Policy & Objects > IPv4 Policy]
- Cliquez sur « Create New »
- Définissez zones source/destination
- Sélectionnez services (HTTP, DNS, FTP)
- Activez les inspections (NGFW, IPS, Antivirus)
Hiérarchisez vos règles : de la plus spécifique à la plus générique. Exemple de bonne pratique :
- Bloquer tout trafic entrant par défaut (Deny All)
- Autoriser explicitement le HTTPS sortant
- Restreindre le RDP aux IP internes uniquement
Utilisez les groupes d’adresses pour gérer efficacement les plages IP. Le recueil CISA recommande d’activer systématiquement l’IPS pour contrer les menaces connues. Pensez à tester chaque politique avec diag debug flow en CLI.
Mise en place du NAT
Le NAT transforme les adresses privées en IP publiques. Deux types sont essentiels :
Source NAT (SNAT)
Masque les IP internes vers Internet :
config firewall ippool
edit « POOL-WAN »
set start-ip 89.120.15.10
set end-ip 89.120.15.15
Associez-le à une politique de sortie avec « IP Pool Configuration » > Use Dynamic IP Pool.
Destination NAT (DNAT)
Redirige le trafic vers un serveur interne :
config firewall vip
edit « Web-Server »
set extip 89.120.15.20
set mappedip 192.168.5.10
Activez le port forwarding et limiter l’accès aux IP sources autorisées selon nos guides avancés. Important : combinez toujours DNAT avec une politique de filtrage restrictive.
Gestion des mises à jour de firmware
Une étude récente montre que 78% des brèches exploitent des firmware non patchés! Configurez votre maintenance :
- Activez les notifications sous [System > Config > Firmware]
- Choisissez la branche (Feature ou Maintenance)
- Planifiez les mises à jour hors périodes critiques
- Toujours sauvegarder la config avant mise à jour
Pour les environnements critiques, testez sur un appareil de labo ou utilisez les fortiguards (services de sécurité Fortinet). En cas de problème, le « Firmware Revert » permet de restaurer la version précédente dans les 5 minutes suivant l’upgrade. Programmez des audits trimestriels via [Dashboard > Security Fabric] pour évaluer votre posture de sécurité.
Questions fréquemment posées
Puis-je accéder au pare-feu via l’IP par défaut si j’ai modifié le réseau?
Non, après modification de l’IP du port LAN, vous devez utiliser la nouvelle adresse. Si vous perdez l’accès, rétablissez la configuration d’usine en maintenant le bouton Reset 30 secondes (les données seront effacées).
Combien de règles SD-WAN puis-je créer?
Les modèles d’entrée (comme FortiGate 60F) gèrent jusqu’à 10 règles SD-WAN, tandis que les appareils entreprise supportent plus de 100 règles. Consultez toujours la fiche technique de votre modèle.
Le NAT est-il compatible avec IPv6?
Oui, FortiOS supporte le NAT66. Configurez-le dans [Policy & Objects > NAT46/64 Policies] avec des plages IPv6 spécifiques. Préférez toutefois le NPTv6 pour une meilleure conformité.
Que faire si une mise à jour plante l’appareil?
Connectez-vous en console et utilisez execute restore image pour charger une image de secours. Contactez le support technique Fortinet (disponible 24/7 sur les modèles sous contrat).
Conclusion
Déployer efficacement un pare-feu Fortinet demande une approche structurée : depuis l’accès initial jusqu’à la configuration fine des politiques via le SD-WAN. L’implémentation du NAT et la gestion rigoureuse des mises à jour représentent des piliers de la sécurité opérationnelle. Bien maîtrisées, ces étapes créent un socle réseau résilient capable d’évoluer avec vos besoins. Passez de la théorie à la pratique en testant ces configurations dans notre lab virtuel gratuit. Votre premier firewall robuste est à portée de clic – commencez votre sécurisation réseau dès aujourd’hui!
