Sécurité informatique

Fortinet Firewall – Guide de configuration pour débutants

Maîtrisez la configuration FortiGate : interfaces, NAT, VIP, règles, sauvegarde, vérif. SHA-256 firmware et test 'Log All Sessions'. Commencez maintenant.

14 min de lecture 30 mars 2026 2 794 mots
Fortinet Firewall – Guide de configuration pour débutants

Analyse technique par

Équipe Cybersécurité

Introduction

Ce guide technique explique pas à pas la configuration d'un pare-feu Fortinet (FortiGate) pour les environnements petits à moyens. L'objectif : fournir des instructions opérationnelles — interfaces, politiques de filtrage, NAT, VIPs, sauvegarde de configuration et surveillance — en s'appuyant sur les commandes FortiOS pertinentes et les bonnes pratiques.

Introduction à Fortinet et à la cybersécurité

Présentation de Fortinet

Fortinet conçoit les appliances FortiGate (pare-feu NGFW) et une suite associée (FortiManager, FortiAnalyzer, FortiClient) pour fournir inspection du trafic, prévention d'intrusion, filtrage URL et intégration SIEM/telemetry. Ce guide se concentre sur les tâches de configuration courantes sur FortiOS (ex. 7.x) et sur les commandes CLI standard.

  • Pare-feu de nouvelle génération (NGFW)
  • Prévention des menaces et inspection SSL
  • Gestion centralisée et reporting
  • Modules pour endpoints et analyse

Exemple simple : création d'une politique depuis la CLI :

config firewall policy
set name "Secure Access"
set action accept
end

Cette séquence crée une nouvelle politique nommée "Secure Access" et l'active (action accept).

Caractéristique Description Exemple
FortiGate Pare-feu NGFW Inspection, IPS, filtrage URL
FortiAnalyzer Analyse et rapports Corrélation des logs
FortiManager Gestion centralisée Contrôle des politiques
FortiClient Protection des endpoints VPN et EDR léger

Comprendre les Types de Pare-feu Fortinet

Les différents modèles de pare-feu

Fortinet propose des appliances matérielles, des images virtuelles (FortiGate-VM) et des modes d'interception (routé vs transparent). Le choix dépend du débit, de l'inspection SSL et de l'architecture (on-premise vs cloud).

  • Pare-feu matériel — débit et interfaces physiques
  • Pare-feu virtuel — flexible pour cloud ou tests
  • Mode transparent — insertion sans routage
  • Fonctions d'application security — filtrage par application

Vérifier le statut système et la version exacte (CLI) :

get system status

Cette commande retourne la version de FortiOS, les licences et l'état général.

Type de pare-feu Avantages Exemple d'utilisation
Matériel Débit élevé, interfaces multiples Sites avec trafic important
Virtuel Scalabilité pour cloud Déploiement dans Azure/AWS
Transparent Insertion sans changement d'adressage Inspection inline
Applications Contrôle app-level Sécurisation des web apps

Préparer votre Environnement de Configuration

Étapes de préparation

Planifiez votre architecture réseau (WAN, LAN, DMZ) et identifiez les interfaces physiques/logiques. Vérifiez le câblage et documentez les adresses IP à utiliser. Par défaut, de nombreuses appliances FortiGate proposent une IP de gestion sur l'interface MGMT (ex. 192.168.1.99) ou sur port1 en configuration initiale ; adaptez selon votre plan d'adressage.

  • Évaluer les besoins de sécurité et flux attendus
  • Vérifier les connexions réseau et l'accès console
  • Accéder à l'interface de gestion (GUI via l'IP de management)
  • Documenter la configuration avant modification

Exemple : afficher les interfaces et leur configuration :

show system interface
config system interface
edit port1
set ip 192.168.1.1/24
end

Cette séquence configure l'adresse IP de l'interface port1.

Commande utile pour vérifier la table de routage (diagnostic) :

get router info routing-table all

Interprétez la table pour confirmer les routes statiques et dynamiques, nexthops et priorités avant d'appliquer des politiques dépendantes du routage.

Topologie réseau (WAN, LAN, DMZ)

Avant de configurer les politiques et les VIPs, visualisez l'emplacement physique et logique du FortiGate dans votre réseau : où se situent le WAN, la DMZ et le LAN, quels services sont exposés et où positionner une console de management.

Architecture réseau avec pare-feu FortiGate Topologie réseau montrant la segmentation entre Internet, un pare-feu FortiGate, un switch central et les zones DMZ et LAN. Internet / FAI IP publique ASN FortiGate wan1 mgmt lan Switch / VLANs VLAN 10: LAN VLAN 20: DMZ VLAN 99: MGMT DMZ - Serveurs Web / Mail Reverse Proxy LAN - Postes Utilisateurs Imprimantes WAN TRUNK Sécurité Distribution Services Utilisateurs
Cette topologie illustre la segmentation réseau sécurisée par un pare-feu FortiGate, isolant les services publics en DMZ des postes de travail internes.

Cette topologie aide à décider où appliquer les politiques, les inspections SSL et où placer la remontée de logs vers FortiAnalyzer ou un SIEM.

Étapes de Configuration Initiale

Préparation de l'environnement

Assurez-vous que la console série ou l'accès web est disponible. Connectez-vous au GUI via l'IP de gestion (ex. https://192.168.1.99) ou à la CLI via SSH/console.

  • Vérifiez la connexion physique
  • Accédez à l'interface de gestion (GUI) ou via SSH
  • Mettez à jour le firmware si nécessaire
  • Configurez les paramètres réseau de base

Vérifier la version et l'état système :

get system status

Vérifiez également l'état des services de licence (FortiCare/FortiGuard). Le statut des licences FortiCare/FortiGuard s'affiche souvent dans la sortie de get system status ou via le GUI (System → FortiGuard / License & Registration). Maintenir des licences valides est important pour recevoir signatures AV/IPS et correctifs.

Si une mise à jour est requise, testez d'abord sur un appareil non critique et sauvegardez la configuration.

Changer le mot de passe 'admin' par défaut

Important : changez le compte 'admin' par défaut immédiatement après la première connexion. Laisser le mot de passe par défaut expose l'appareil à des compromissions et empêche la traçabilité. Voici une procédure CLI simple pour modifier le mot de passe et créer un utilisateur administrateur avec des droits restreints :

config system admin
edit "admin"
set password "NouveauMotDePasseComplexe!"
set password-change enable
next
end

Bonnes pratiques pour les mots de passe :

  • Utiliser un mot de passe unique, > 16 caractères, mix de majuscules/minuscules, chiffres et symboles
  • Activer l'authentification à deux facteurs (2FA) si disponible
  • Limiter l'accès admin à des plages IP de gestion via config system global / interface MGMT
  • Documenter les comptes administratifs et appliquer la rotation de mot de passe

Sauvegarde de la configuration (backup)

Pourquoi sauvegarder avant toute modification

Avant de modifier des politiques, firmwares ou interfaces, effectuez une sauvegarde complète de la configuration. Cela permet de restaurer l'état antérieur en cas d'erreur.

Méthodes de sauvegarde

GUI : System -> Maintenance -> Backup & Restore (télécharger la configuration locale ou vers un serveur).

CLI : sauvegarde vers un serveur TFTP/FTP/SCP (exemple à adapter à votre serveur).

execute backup config tftp 192.0.2.10 backup-fortigate.conf

Remplacez 192.0.2.10 par l'adresse de votre serveur TFTP. Pour SCP/FTP, adaptez le protocole et les paramètres (vérifiez que le service est autorisé par les ACL réseau).

Pour restaurer via GUI, utilisez la fonction Restore correspondante. En CLI, la restauration dépend du support utilisé et est généralement initiée depuis l'interface d'administration ou via le menu web.

  • Conserver des sauvegardes horodatées hors site
  • Valider le fichier de backup après téléchargement
  • Documenter la procédure de restauration (playbook)

Configurer les Règles de Sécurité

Création des règles de filtrage

Les politiques (policies) contrôlent le trafic entre interfaces (ex. WAN <-> LAN). Définissez clairement : source, destination, services, NAT et inspection profiles (AV, IPS, SSL inspection).

Exemple CLI : créer une règle autorisant le trafic HTTP (policy id 1) :

config firewall policy
edit 1
set name "Allow_HTTP"
set srcintf "any"
set dstintf "any"
set srcaddr "all"
set dstaddr "all"
set action accept
next
end

Bonnes pratiques :

  • Appliquer le principe du moindre privilège (ne pas utiliser 'any' si possible)
  • Placer les règles les plus restrictives avant les règles génériques
  • Activer l'inspection (AV/IPS/SSL) sur les politiques critiques
  • Tester en mode audit/log avant de déployer en production

Important : lors du déploiement initial des règles, activez le mode de journalisation complet pour vérifier qu'aucun flux légitime n'est bloqué (voir section dédiée).

Tester les politiques — Mode "Log All Sessions"

Avant d'activer définitivement une politique restrictive, testez-la en enregistrant tout le trafic accepté pour vous assurer qu'aucun flux légitime n'est impacté. Dans le GUI, activez "Log Allowed Traffic" sur l'objet policy et surveillez les logs. En CLI, utilisez l'attribut set logtraffic all lors de la création ou modification d'une policy.

Exemple CLI pour créer une policy en mode journalisation complète :

config firewall policy
edit 1
set name "Allow_HTTP_LogAll"
set srcintf "wan1"
set dstintf "lan"
set srcaddr "all"
set dstaddr "all"
set action accept
set logtraffic all
next
end

Surveillance et validation :

  • Consultez les logs en temps réel (GUI ou FortiAnalyzer) pour détecter les sessions inattendues.
  • From CLI, listez les sessions actives : diagnose sys session list ou vérifiez les statuts de session pertinents.
  • Après validation (période d'observation), passez la policy en production en conservant une journalisation appropriée selon la politique de rétention.

Virtual IPs (VIP) — Redirection de Ports (DNAT)

Les VIPs sont utilisées pour exposer un service interne (ex. serveur web) sur une IP publique (DNAT). Cas d'usage fréquent : héberger une application interne accessible depuis Internet.

Exemple CLI : créer une VIP et associer une policy

Créer la VIP (DNAT) pointant une IP publique vers l'IP interne :

config firewall vip
edit "VIP_HTTP"
set extip 203.0.113.10
set mappedip 192.0.2.10
set portforward enable
set extport 8080
set mappedport 80
next
end

Créer ensuite la policy autorisant l'accès depuis le WAN vers la VIP :

config firewall policy
edit 100
set name "WAN_to_Internal_HTTP"
set srcintf "wan1"
set dstintf "lan"
set srcaddr "all"
set dstaddr "VIP_HTTP"
set action accept
set nat enable
next
end

Conseils opérationnels :

  • Limiter les ports externes et utiliser des ports non standards uniquement si nécessaire
  • Associer des profiles d'inspection (AV/IPS/SSL) aux policies exposées publiquement
  • Appliquer des règles de rate-limiting et WAF si disponibles
  • Surveiller les accès via logs et créer des alertes pour tentatives répétées

Flux de trafic — Life of a Packet

Illustration du chemin d'un paquet traversant le FortiGate (WAN → DMZ → LAN), utile pour comprendre l'application des politiques et des inspections.

Cycle de vie d'un paquet (Life of a Packet) Diagramme de flux vertical montrant les étapes de traitement d'un paquet réseau : Entrée, NAT, Politique, Inspection et Livraison. 1. Entrée WAN IP source • Port source Ingress 2. Vérification NAT DNAT / SNAT si applicable NAT 3. Politique de pare-feu Match src/dst/service → Action Policy 4. Inspection AV, IPS, SSL/SSH inspection Filtrage URL Inspection 5. Livraison LAN/DMZ Hôte final ou service interne
Le parcours d'un paquet suit une séquence logique stricte : après le NAT et le filtrage de politique, une inspection approfondie garantit la sécurité avant la livraison finale.

Ce diagramme permet d'identifier où insérer des contrôles (ex. IPS avant NAT si nécessaire, ou inspection SSL au niveau de la policy).

Surveiller et Maintenir votre Pare-feu

Importance de la surveillance continue

La surveillance régulière des logs et des alertes permet de détecter des anomalies et d'affiner les politiques. Utilisez FortiAnalyzer pour une corrélation centralisée, ou consultez les logs locaux pour une investigation rapide.

  • Surveillance des journaux et recherche d'anomalies
  • Intégration SIEM / FortiAnalyzer pour corrélation
  • Révision périodique des politiques et suppression des règles obsolètes
  • Rapports réguliers et playbooks d'incident

Pour afficher les logs depuis la CLI FortiOS (commande adaptée) :

diagnose log display

Pour l'analyse avancée, orientez les logs vers FortiAnalyzer ou un SIEM (ex. via syslog), où les capacités de recherche et corrélation sont plus riches.

Mise à jour et maintenance

Mettre à jour FortiOS et signatures (AV/IPS) est essentiel. Commande CLI pour lancer une mise à jour depuis le dispositif :

execute update-now

Procédez à la mise à jour dans une fenêtre planifiée et conservez une sauvegarde préalable. Vérifiez les notes de version (release notes) du firmware cible avant toute mise à jour en production.

Vérifier l'intégrité du firmware (SHA-256)

Avant d'appliquer un firmware, vérifiez systématiquement son intégrité. Téléchargez le fichier firmware depuis le portail Fortinet (ou la source officielle) et récupérez la valeur SHA-256 fournie par Fortinet. Ensuite, calculez le checksum localement et comparez-les.

Commandes usuelles selon l'OS (adapter le nom du fichier) :

# Linux
sha256sum FGT_Firmware-FortiOS.v7.bin

# macOS
shasum -a 256 FGT_Firmware-FortiOS.v7.bin

# Windows PowerShell
Get-FileHash -Algorithm SHA256 .\FGT_Firmware-FortiOS.v7.bin

Procédure :

  1. Récupérez la valeur SHA-256 affichée sur le site officiel de Fortinet pour la version téléchargée.
  2. Exécutez la commande locale pour obtenir le checksum calculé.
  3. Comparez les deux valeurs octet par octet. Si elles diffèrent, ne pas appliquer le firmware : retéléchargez depuis la source officielle et vérifiez à nouveau.

Remarques de sécurité :

  • Ne téléchargez jamais un firmware depuis un mirror non vérifié.
  • Conserver une copie horodatée des firmwares et des checksums pour audit.

Points Clés à Retenir

  • Sauvegardez la configuration avant toute modification majeure.
  • Utilisez get system status pour vérifier la version et l'état du système.
  • Changez le mot de passe 'admin' par défaut dès la première connexion et activez 2FA si possible.
  • Appliquez le principe du moindre privilège pour les politiques; testez en mode audit avant activation (Log All Sessions).
  • Activez l'inspection (AV/IPS/SSL) sur les flux critiques, vérifiez les checksums SHA-256 des firmwares avant mise à jour et centralisez les logs pour une réponse plus rapide.

Questions Fréquentes

Comment puis-je configurer le filtrage SSL sur mon pare-feu Fortinet ?
Dans le GUI FortiOS, rendez-vous dans Security Profiles > SSL/SSH Inspection (ou Security Fabric selon la version). Créez un profil d'inspection (Full/Certificate Inspection), associez-le à la politique concernée et installez le certificat CA généré sur les postes clients pour éviter les avertissements de navigateur. Attention aux implications légales et de confidentialité : informez les parties prenantes et limitez l'inspection aux flux nécessaires. Testez d'abord sur un sous-ensemble d'utilisateurs avant déploiement global.
Quels sont les avantages de l'outil d'analyse des vulnérabilités ?
L'outil d'analyse des vulnérabilités identifie les faiblesses configurées (services exposés, versions obsolètes). Il aide à prioriser les corrections en fonction du risque et à planifier des interventions. Utilisé régulièrement, il améliore la posture de sécurité en permettant des corrections proactives.
Comment optimiser les règles de filtrage sur mon pare-feu Fortinet ?
Analysez les logs pour comprendre les flux légitimes, regroupez les règles similaires, retirez les règles obsolètes et privilégiez des objets d'adresses/groupes plutôt que des entrées individuelles. Testez les changements en mode audit ou en duplication de la politique avant mise en production. Automatisez les revues périodiques et documentez chaque modification (changelog).
Comment vérifier l'intégrité d'un firmware Fortinet avant mise à jour ?
Récupérez la valeur SHA-256 publiée par Fortinet pour le fichier téléchargé, calculez le checksum localement (sha256sum / shasum / Get-FileHash) et comparez. Si les valeurs diffèrent, ne pas appliquer le firmware et retélécharger depuis la source officielle.
Pourquoi tester les politiques en mode 'Log All Sessions' ?
Le mode 'Log All Sessions' (ou 'Log Allowed Traffic = All') permet d'observer quels flux seraient affectés par une politique sans la bloquer de façon définitive. C'est une étape cruciale pour éviter d'interrompre des services légitimes lors du déploiement de règles restrictives. Une fois validée, ajustez la politique et configurez le niveau de journalisation approprié.

Conclusion

En suivant ces étapes — préparation, sauvegarde, configuration des interfaces et des politiques, configuration des VIPs pour la redirection si nécessaire, inspection et surveillance — vous disposerez d'une base solide pour protéger votre réseau avec un FortiGate. Intégrez les vérifications d'intégrité (SHA-256) pour les firmwares et testez systématiquement les politiques en mode journalisation complète avant de les activer en production. Pour une visibilité accrue et une réponse aux incidents améliorée, envisagez l'intégration avec FortiAnalyzer ou un SIEM.

Publié le 30 mars 2026 2 794 mots · 14 min de lecture

Tutoriels similaires