FortiGate - Transfert de port et NAT de destination
Fortinet
Un pare-feu doit protéger le réseau de votre entreprise contre les attaques. Cependant, on est toujours obligé d'exposer à Internet des ressources au sein de l'entreprise. Par exemple, les serveurs web ou les serveurs de messagerie.
J'aimerais vous expliquer aujourd'hui comment vous pouvez le faire en toute sécurité.
La plupart des gens connaissent le port-forwarding ou le NAT de destination. Mais chez Fortinet, c'est un tout autre concept qui est mis en avant : VIP ou Virtual-IP.
Comme beaucoup de choses chez Fortinet, la règle est bricolée dans un système modulaire. Cela demande peut-être plus de travail au début, mais cela permet une plus grande flexibilité et des modifications plus faciles.
Vous pouvez créer la VIP ou l'IP virtuelle sous Policy&Objects.
Vous pouvez créer des objets basés sur IPv4 ou IPv6. Veuillez noter que l'IPv6 doit d'abord être activé sous System Feature Visibility avant de pouvoir créer des objets VIP avec IPv6.
La première chose à faire est de donner un nom significatif qui vous permette de reconnaître l'objet et son but. En option, vous pouvez également ajouter un commentaire.
Pour l'interface, vous pouvez soit sélectionner une interface spéciale, auquel cas l'objet n'est disponible que pour les règles qui contiennent l'interface, soit laisser Any. Dans ce cas, vous pouvez utiliser l'objet dans toutes les règles de pare-feu.
Dans External IP, vous saisissez l'adresse sur laquelle le FortiGate écoute le trafic réseau entrant.
Pour Mapped IP-Address, indiquez l'adresse interne de la ressource qui doit être accessible de l'extérieur.
Sous les filtres optionnels, vous pouvez saisir les adresses qui sont autorisées à appeler cette ressource. Vous pouvez ainsi limiter les personnes autorisées à y accéder. Très utile lorsque certains services ne doivent être accessibles que par certaines personnes ou entreprises.
Les services vous permettent ensuite d'autoriser automatiquement des protocoles et des ports, par exemple HTTPS ou SMTPS. Bien entendu, vous pouvez également créer vos propres services si les objets prédéfinis ne conviennent pas.
Le port forwarding permet alors de rediriger les ports vers d'autres ports sur la ressource interne. Par exemple, vous souhaitez rediriger le port 443 vers un serveur web qui écoute sur le port 10443.
La création de l'IP virtuelle est ainsi terminée et peut maintenant être utilisée comme objet cible dans une règle de pare-feu.
Dans la règle de pare-feu, vous pouvez également configurer les profils de sécurité correspondants, tels que l'antivirus ou l'IPS, afin de sécuriser l'accès à la ressource en conséquence.
Si vous êtes intéressé par une solution de sécurité Fortinet FortiGate, nous nous ferons un plaisir de vous conseiller. Contactez-nous pour un premier entretien gratuit via notre numéro de téléphone, notre adresse e-mail ou notre formulaire de contact.