Contents

Rubriques Connexes

Définir les Paramètres Généraux de Firebox

Dans les paramètres globaux de votre Firebox, vous pouvez spécifier les paramètres qui contrôlent les actions de bon nombre de fonctions de votre Firebox. Vous pouvez également permettre à plus d'un Administrateur de Périphérique de se connecter à votre Firebox en même temps.

Vous pouvez configurer les paramètres de base pour les éléments suivants :

  • la gestion des erreurs ICMP
  • Vérification des paquets TCP SYN et de l'état de connexion
  • Délai d'inactivité de la connexion TCP
  • Réglage de la taille maximale du TCP
  • Gestion du trafic et QoS
  • Port Web UI
  • Connexions de la console externe via le port série
  • Redémarrage automatique
  • Rapports de pannes Firebox
Pour configurer les paramétrages globaux, dans Fireware Web UI :Closed
  1. Sélectionnez Système > Paramètres Globaux.
    La boîte de dialogue Paramètres globaux s'affiche.
  2. Sélectionnez l'onglet Général et configurez les paramètres pour ces catégories globales, comme indiqué dans ces sections :
  1. Sélectionnez l'onglet Mise en réseau et configurez les paramètres pour ces catégories globales, comme indiqué dans ces sections :
  1. Cliquez sur Sauvegarder.
Pour configurer les paramètres globaux, dans Policy Manager :Closed
  1. Sélectionnez Installation > Paramètres Globaux.
    La boîte de dialogue Paramètres globaux s'affiche.
  2. Sélectionnez l'onglet Général et configurez les paramètres pour ces catégories globales, comme indiqué dans ces sections :
  1. Sélectionnez l'onglet Mise en réseau et configurez les paramètres pour ces catégories globales, comme indiqué dans ces sections :
  1. Sélectionnez l'onglet Message d'Avertissement à la Connexion et configurez les paramètres pour la page Message d'Avertissement à la Connexion, comme indiqué dans Configurer le Message d'Avertissement à la Connexion.
  1. Cliquez sur OK.
  2. Enregistrez le fichier de configuration dans votre Firebox.

Modifier le Port de la Web UI

Par défaut, Fireware Web UI utilise le port 8080.

Pour modifier le port par défaut :

  1. Dans la zone de texte Port Web UI, saisissez ou sélectionnez un autre numéro de port.
  2. Utilisez le nouveau port pour vous connecter à Fireware Web UI et tester la connexion avec le nouveau port.

Redémarrage Automatique

Vous pouvez programmer votre Firebox pour qu'il effectue un redémarrage automatique au jour et à l'heure de votre choix.

Pour programmer un redémarrage automatique de votre Firebox :

  1. Cochez la case Heure programmée pour le redémarrage.
  2. Dans la liste déroulante située à côté, sélectionnez Tous les jours pour effectuer un redémarrage tous les jours à la même heure, ou sélectionnez un jour de la semaine pour un redémarrage hebdomadaire.
  3. Dans les zones de texte situées à côté, entrez ou sélectionnez l'heure et la minute de la journée (au format 24 h) auxquelles vous souhaitez que le redémarrage ait lieu.

Retour d'informations du Périphérique

Lorsque vous créez un nouveau fichier de configuration pour votre Firebox, ou mettez à niveau votre Firebox vers le système d'exploitation Fireware v11.7.3 ou version ultérieure, par défaut, votre Firebox est configuré pour envoyer un retour d'informations à WatchGuard. Ce retour d'informations permet à WatchGuard d'améliorer ses produits et leurs fonctionnalités. Il comporte des informations sur la manière dont votre Firebox est utilisé et sur les problèmes que vous rencontrez avec votre Firebox, mais n'inclut aucune information sur votre entreprise ni aucune des données qui transitent par le Firebox. Par conséquent, les données de votre Firebox sont anonymes. Tout retour d'informations de périphérique envoyé à WatchGuard est chiffré.

Cette option est uniquement disponible sur les périphériques Firebox fonctionnant sous le système d'exploitation Fireware v11.7.3 ou version ultérieure.

WatchGuard utilise les informations contenues dans les données de retour d'informations du périphérique pour connaître la répartition géographique des différentes versions du système d'exploitation Fireware. Les données collectées par WatchGuard contiennent des informations synthétisées sur les fonctionnalités et services utilisés sur les périphériques Firebox, les menaces interceptées et la santé et les performances des périphériques. Ces informations aident WatchGuard à mieux déterminer les points à améliorer pour offrir à ses clients et ses utilisateurs les meilleurs avantages possibles.

Lorsque le retour d'informations de périphérique est activé, les données sont envoyées à WatchGuard une fois tous les six jours et à chaque redémarrage du Firebox. Les retours d'informations de périphérique sont envoyés à WatchGuard dans un fichier compressé. Pour économiser de l'espace sur le Firebox, les données de retour d'informations sont supprimées du Firebox après avoir été envoyées à WatchGuard.

Les retours d'informations du périphérique contiennent ces informations à propos de votre Firebox :

  • Détails du périphérique
    • Numéro de série du Firebox
    • Version du système d'exploitation Fireware et numéro de version
    • Modèle de Firebox
    • Temps d'activité du Firebox depuis le dernier redémarrage
    • Horodatage de début et de fin pour les données de retours d'informations envoyées à WatchGuard
  • Détails de dimensionnement du périphérique
    • Nombre de stratégies
    • Nombre d'interfaces activées
    • Nombre de tunnels BOVPN
    • Nombre de tunnels Mobile VPN
    • Nombre de réseaux locaux virtuels (VLAN)
    • Taille du fichier de configuration
  • Détails de performance
    • Nombre maximum de sessions concomitantes
    • Nombre maximum de connexions par proxy
    • Débit maximal du filtre de paquets
    • Débit maximal du VPN
    • Utilisation maximale du processeur
    • Utilisation maximale de la mémoire
    • Pic d'utilisation de la limite de connexion par proxy
  • Détails sur l'utilisation des fonctionnalités
    • Quelle interface utilisateur WatchGuard a envoyé un retour d'information à WatchGuard : Fireware Web UI, WatchGuard System Manager, ou la Command Line Interface
    • Si le Firebox est sous Centralized Management et le mode de gestion pour le Firebox
    • Nombre de Points d'Accès (AP) configurés sur le Firebox
    • Options d'authentification configurées sur le Firebox
    • Si le Firebox est membre d'un FireCluster et en mode Actif/Actif ou Actif/Passif
    • Si la fonctionnalité de sécurité VoIP est activée
    • Si la fonction Intrusion Prevention Service (IPS) est activée
    • Options de journalisation configurées sur le Firebox
    • Nombre d'actions de proxy avec Services d'Abonnement activés dans la configuration
  • Détails des Services d'Abonnement

    • Pour chaque service, les détails indiquent si le service est activé, le nombre d'événements pour chaque service activé sur le Firebox, et une liste des événements déclenchés sur le Firebox pour chaque service (avec adresse IP source, protocole, et niveau de menace de chaque événement).

    • Intrusion Prevention Service (IPS)
    • Gateway AntiVirus (GAV)
    • WebBlocker
    • spamBlocker
    • Data Loss Prevention (DLP)
    • APT Blocker
    • Default Threat Protection

  • Détails du Point d'Accès
    • Si le Contrôleur de Passerelle Sans Fil est activé
    • Nombre de périphériques AP configurés sur le Firebox
    • Nombre de SSID configurés sur le Firebox
    • Si le Point d'accès Sans Fil est activé
  • Informations sur le Nom de Domaine Entièrement Qualifié (FQDN)
    • Si le FQDN est en cours d'utilisation
    • Combien de FQDN sont configurés
    • Combien de FQDN utilisent des noms de domaine spécifiques
    • Combien de FQDN utilisent des caractères génériques
    • Combien de FQDN sont configurés dans les stratégies de filtrage de paquets
    • Combien de FQDN sont compris dans la liste d'exceptions aux Sites Bloqués
    • Combien de FQDN sont compris dans les exceptions de quota
    • Combien de stratégies de filtrage de paquets contiennent un FQDN dans un filtre de stratégie
    • Combien de serveurs DNS sanctionnés sont en cours d'utilisation
  • Informations sur les quotas
    • Si des quotas sont configurés sur le Firebox
    • Combien de règles de quotas sont configurées
    • Combien d'actions de quotas sont configurées
    • Combien d'exceptions aux quotas sont configurées
  • Informations sur le Gestionnaire de Point de Terminaison
    • Si un Gestionnaire de Point de Terminaison est configuré
    • Combien de périphériques mobiles sont connectés au Gestionnaire de Point de Terminaison
    • Combien de périphériques Android sont connectés au Gestionnaire de Point de Terminaison
    • Combien de périphériques iOS sont connectés au Gestionnaire de Point de Terminaison
    • Combien de périphériques mobiles sont connectés via un réseau privé VPN
  • Informations sur la Visibilité du réseau
    • Combien d'interfaces ont l'Active Scan activé
    • L'intervalle de calendrier configurée pour l'Active Scan
    • Combien de périphériques ont été détectés sur votre réseau
    • Combien de périphériques ont été détectés par l'Active Scan du Point de Terminaison
    • Combien de périphériques ont été détectés par le Gestionnaire du Point de Terminaison
    • Combien de périphériques ont été détectés par l'Exchange Monitor du Point de Terminaison
    • Combien de périphériques ont été détectés par la détection HTTP du Point de Terminaison
    • Combien de périphériques ont été détectés par le processus iked
    • Combien de périphériques ont été détectés par le processus du réseau privé VPN SSL
  • Informations sur le SSO de RADIUS
    • Si des statistiques de quotas ont été configurées pour le SSO de RADIUS
  • Informations sur la Sécurité Mobile
    • Si la Sécurité Mobile est activée
    • Combien de stratégies contiennent un groupe de périphériques de Sécurité Mobile
    • Combien de connexions ont été refusées par une stratégie avec Sécurité Mobile activée
  • Informations sur la Détection des botnets
    • Si la Détection des Botnets est activée
    • Combien d'adresses sources de trafic ont été testées
    • Combien d'adresses sources de trafic provenaient de botnets et ont été abandonnées
    • Combien d'adresses de destination de trafic ont été testées
    • Combien d'adresses de destination de trafic destinées à des botnets ont été supprimées

L'utilisation de la fonctionnalité retour d'informations du périphérique reste entièrement volontaire. Vous pouvez la désactiver à tout moment.

Pour désactiver le retour d'informations du périphérique :

Décochez la case Envoyer un retour d'informations du périphérique à WatchGuard.

Rapports de Pannes

Votre Firebox collecte et stocke des informations concernant les pannes qui surviennent sur votre Firebox et génère des rapports de diagnostic de la panne. Les pannes collectées sont regroupées dans les catégories suivantes :

  • Échecs d'assertion
  • Plantages de programme
  • Exceptions du noyau
  • Problèmes matériels

Lorsque vous activez la fonctionnalité Rapports de Pannes, des informations concernant les pannes sont envoyées à WatchGuard une fois par jour. WatchGuard utilise ces informations pour améliorer le matériel et système d'exploitation Fireware. Vous pouvez aussi consulter la liste des Rapports de Pannes, envoyer manuellement les rapports à WatchGuard, et supprimer les Rapports de Pannes de votre Firebox.

Pour savoir comment gérer la liste des Rapports de Pannes, consultez Gérer les Rapports d'Echec.

Cette option est uniquement disponible pour les Firebox fonctionnant sous le système d'exploitation Fireware v11.9.3 ou version ultérieure.

Pour activer les Rapports de Pannes sur votre Firebox :

Cochez la case Envoyer chaque jour les Rapports de Pannes à WatchGuard.

Connexions d'Administrateur de Périphérique

Vous pouvez permettre à plusieurs utilisateurs de se connecter à votre Firebox en même temps avec un compte d'Administrateur de Périphérique pour contrôler et gérer votre Firebox. Lorsque vous activez cette option, les utilisateurs qui se connectent à votre Firebox avec un compte d'Administrateur de Périphérique doivent sélectionner le fichier de configuration du périphérique avant de pouvoir en changer les paramètres.

Pour permettre à plus d'un Administrateur de Périphérique de se connecter à votre Firebox en même temps :

Cochez la case Permettre à plus d'un Administrateur de Périphérique de se connecter en même temps.

Verrouiller et Déverrouiller un Fichier de Configuration

(Fireware Web UI uniquement)

Lorsque vous autorisez plusieurs Administrateurs de Périphérique à se connecter simultanément à votre Firebox avec Fireware Web UI, avant qu'un Administrateur ne puisse modifier les paramètres du fichier de configuration du Firebox, cet utilisateur doit déverrouiller le fichier de configuration. Lorsque le fichier de configuration est déverrouillé par un Administrateur de Périphérique afin d'y apporter des modifications, le fichier de configuration est verrouillé pour tous les autres Administrateurs de Périphérique jusqu'à ce que l'utilisateur qui l'a déverrouillé le verrouille à nouveau ou se déconnecte.

Pour des informations sur la manière d'autoriser plusieurs Administrateurs de Périphérique à se connecter à votre Firebox en même temps, voir Définir les Paramètres Généraux de Firebox.

Pour déverrouiller un fichier de configuration depuis Fireware Web UI :

En haut de la page, cliquez sur the Lock icon.

Pour verrouiller un fichier de configuration depuis Fireware Web UI :

En haut de la page, cliquez sur the Unlocked icon.

Définir les Paramètres Généraux de Gestion des Erreurs ICMP

Les paramètres d'Internet Control Message Protocol (ICMP) contrôlent les erreurs au cours des connexions. Vous pouvez l'utiliser pour :

  • Informer les hôtes clients des conditions d'erreur
  • Sonder un réseau pour en découvrir les caractéristiques générales

Le Firebox envoie un message d'erreur ICMP à chaque fois qu'un événement correspondant à l'un des paramètres que vous avez sélectionnés survient. Si ces messages vous permettent de résoudre des problèmes, ils peuvent également faire baisser le niveau de sécurité car ils exposent des informations sur votre réseau. Si vous refusez ces messages ICMP, vous pouvez augmenter votre niveau de sécurité en empêchant l'exploration du réseau ; cette action peut cependant provoquer des retards pour des connexions incomplètes et entraîner des problèmes d'application.

Les paramètres de la gestion globale des erreurs ICMP sont :

Fragmentation Req (PMTU)

Activez cette case à cocher pour autoriser les messages Fragmentation Req ICMP. Le Firebox utilise ces messages pour repérer le chemin MTU.

Délai expiré

Activez cette case à cocher pour autoriser les messages Délai expiré ICMP. Un routeur envoie généralement ces messages en cas de boucle de route.

Réseau non joignable

Activez cette case à cocher pour autoriser les messages Réseau non joignables ICMP. Un routeur envoie généralement ces messages en cas de rupture de liaison réseau.

Hôte non joignable

Activez cette case à cocher pour autoriser les messages Hôte non joignable ICMP. Le réseau envoie généralement ces messages lorsqu'il ne peut pas utiliser d'hôte ou de service.

Port non joignable

Activez cette case à cocher pour autoriser les messages Port non joignables ICMP. Un hôte ou un pare-feu envoie généralement ces messages lorsqu'un service réseau n'est pas disponible ou autorisé.

Protocole non joignable

Activez cette case à cocher pour autoriser les messages Protocole non joignables ICMP.

Pour contourner ces paramètres ICMP globaux pour une stratégie particulière, dans Fireware Web UI :Closed
  1. Sélectionnez Pare-feu > Stratégies de Pare-feu.
  2. Double-cliquez sur la stratégie pour la modifier.
    La page Modifier la Stratégie s'affiche.
  3. Sélectionnez l'onglet Avancé.
  4. Cochez la case Utiliser la gestion des erreurs ICMP basée sur la stratégie.
  5. Cochez uniquement les cases des paramètres que vous souhaitez activer.
  6. Cliquez sur Sauvegarder.
Pour contourner ces paramètres ICMP globaux pour une stratégie particulière, dans Policy Manager :Closed
  1. Sur l'onglet Pare-feu, sélectionnez la stratégie spécifique.
  2. Double-cliquez sur la stratégie pour la modifier.
    La boîte de dialogue Modifier les propriétés de la stratégie s'affiche.
  3. Sélectionnez l'onglet Avancé.
  4. Dans la liste déroulante Gestion des Erreurs ICMP, sélectionnez Spécifier un paramètre.
  5. Cliquez sur Paramètre ICMP.
    La boîte de dialogue Paramètres de Gestion des Erreurs ICMP s'affiche.
  6. Cochez uniquement les cases des paramètres que vous souhaitez activer.
  7. Cliquez sur OK.

Configurer les Paramètres TCP

Activer les paquets TCP SYN et la vérification de l'état de connexion

Sélectionnez cette option pour permettre à votre Firebox de vérifier que le premier paquet envoyé par une connexion est un paquet SYN sans indicateurs RST, ACK ou FIN.

Si vous désactivez cette option, la connexion sera autorisée même si le premier paquet envoyé par la connexion contient des indicateurs RST, ACK ou FIN.

Si vous rencontrez des problèmes de stabilité avec certaines connexions (par exemple, les connexions via un tunnel VPN), vous pouvez désactiver cette option.

Délai d'inactivité de la connexion TCP

La durée pendant laquelle la connexion TCP peut être inactive avant qu'un délai d'attente de connexion ne survienne. Indiquez une valeur en secondes, en minutes, en heures ou en jours. Le paramètre par défaut dans le Web UI est d'une heure et le paramètre par défaut dans Policy Manager est de 3 600 secondes.

Vous pouvez également configurer un délai d'inactivité personnalisé pour une stratégie individuelle. Pour plus d'informations, voir Définir un délai d'inactivité personnalisé.

Si vous configurez ce paramètre global du délai d'inactivité et que vous activez un délai d'inactivité personnalisé pour une stratégie, ce dernier a priorité sur le paramètre global du délai d'inactivité uniquement pour cette stratégie.

Contrôle de taille maximale de segment TCP

Le segment TCP peut être paramétré sur une taille définie pour une connexion d'une liaison TCP/IP supérieure à 3 voies (ex. : PPPoE, ESP ou AH). Certains sites Web seront inaccessibles aux utilisateurs si cette valeur n'est pas correctement configurée.

Les options globales d'ajustement de la taille maximale des segments TCP sont les suivantes :

  • Ajustement Automatique— Cette option permet au Firebox d'examiner toutes les négociations de taille maximale de segment (MSS) et d'adopter la valeur MSS applicable.
  • Aucun Ajustement— Le Firebox ne modifie pas la valeur MSS.
  • Limiter à— Saisissez ou sélectionnez une limite d'ajustement de la taille.

Sondage MTU TCP

Pour vous assurer que la découverte PMTU est effective, vous pouvez activer le sondage MTU TCP sur votre Firebox. Lorsque cette option est activée, les clients sur votre réseau peuvent accéder à Internet via un tunnel BOVPN sans routage configuré sur ce Firebox, même si votre Firebox a reçu un paquet inaccessible ICMP pour le trafic envoyé via le tunnel BOVPN (un trou noir ICMP a été détecté).

Les options de Sondage MTU TCP sont les suivantes :

  • Désactivé — Paramètre par défaut.
  • Activé seulement quand des problèmes réseau ICMP sont détectés — Cette option active automatiquement le sondage MTU TCP lorsqu'un message d'erreur ICMP est envoyé et que le processus de découverte de PMTU ne peut pas se terminer (un trou noir ICMP est détecté). Une fois le problème résolu, le sondage MTU TCP reste activé.
  • Toujours activé

Le Sondage MTU TCP est pris en charge sur Fireware v11.9.5 et les versions ultérieures.

Activer ou désactiver la QoS et la Gestion du Trafic

Pour des opérations de test de performance ou de débogage de réseau, vous pouvez désactiver les fonctionnalités de gestion du trafic et de QoS.

Pour activer ces fonctionnalités :

Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (qualité de service).

Pour désactiver ces fonctionnalités :

Décochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (qualité de service).

Gérer le Flux du Trafic

Par défaut, votre Firebox ne ferme pas les connexions actives lorsque vous modifiez une action NAT statique utilisée par une stratégie. Vous pouvez contourner ce réglage par défaut et permettre à votre Firebox de fermer toutes les connexions actives par le biais d'une stratégie utilisant une action SNAT que vous modifiez.

Pour contourner le réglage par défaut de Flux de Trafic et activer cette fonctionnalité, dans la section Flux de Trafic :

Cochez la case Quand une action SNAT change, supprimer les connexions actives qui utilisent cette action SNAT.

Configurer le Message d'Avertissement à la Connexion

Pour forcer vos utilisateurs à accepter les conditions d'utilisation mises en place avant de pouvoir se connecter pour gérer un Firebox, vous pouvez activer la fonctionnalité Message d'Avertissement à la Connexion.

Cette section comprend des instructions pour activer la fonction Message d'Avertissement à la Connexion dans Policy Manager. Pour apprendre à activer cette fonction dans Fireware Web UI, consultez Configurer la Clause d’Exclusion de Responsabilité de connexion.

Lorsque vous configurez les paramètres de message d'avertissement à la connexion, vous pouvez spécifier le titre de la page de Message d'Avertissement à la Connexion et le texte du message d'avertissement. Vous pouvez aussi choisir un logo personnalisé pour le Message d'Avertissement à la Connexion. Le fichier image doit être un fichier JPG, GIF, ou PNG, de 200 x 65 pixels maximum.

Cette option est uniquement disponible pour les Firebox fonctionnant sous le système d'exploitation Fireware v11.9.3 ou version ultérieure.

Pour activer et configurer la fonctionnalité Message d'Avertissement à la Connexion, dans Policy Manager :

  1. Dans la boîte de dialogue Paramètres Globaux, sélectionnez l'onglet Message d'Avertissement à la Connexion.
    Les paramètres pour le Message d'Avertissement à la Connexion s'affichent.
  2. Cochez la case Activer le Message d'Avertissement à la Connexion.
  3. Dans la zone de texte Titre de la Page, saisissez le texte pour le titre de la page de Message d'Avertissement à la Connexion.
  4. Dans la zone de texte Spécifier un Message d'Avertissement, saisissez ou collez le texte du message d'avertissement.
  5. Pour ajouter un logo personnalisé au message d'avertissement :
    1. Cochez la case Utiliser un logo personnalisé.
    2. Cliquez sur Charger et sélectionnez le fichier image.
  6. Cliquez sur OK.

Avec l'option de Message d'Avertissement à la Connexion activée, lorsque vos utilisateurs se connectent à votre Firebox et s'identifient, la page de Message d'Avertissement à la Connexion s'affiche. Chaque utilisateur doit accepter les conditions du Message d'Avertissement à la Connexion avant de pouvoir se connecter à votre Firebox. S'ils n'acceptent pas les conditions de l'avertissement, ils ne peuvent pas se connecter au Firebox et sont redirigés vers la page de Connexion.

Vous pouvez également configurer un message d'avertissement à la connexion pour les connexions à votre Management Server. Pour plus d'informations, voir Définir les paramètres de Changement des Commentaires et d'Historique de Configuration.

Voir aussi

À propos de la gestion du trafic et de QoS

Définir un délai d'inactivité personnalisé

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.