Configurer les Paramètres NetFlow pour un Firebox Géré sur le Cloud

S'applique À : Fireboxes Gérés sur le Cloud

NetFlow est un protocole utilisé pour collecter et analyser le trafic réseau IP. Afin de mieux comprendre le trafic de votre réseau, vous pouvez configurer le Firebox en tant qu'exportateur NetFlow. Par exemple, vous pouvez utiliser les données NetFlow pour résoudre des problèmes de performances réseau ou enquêter sur des problèmes de sécurité. Pour plus d'informations sur le protocole NetFlow, accédez à RFC 3954.

Lorsque vous configurez NetFlow sur votre Firebox, vous spécifiez la version NetFlow (v5 ou v9) ainsi que les réseaux à surveiller. Vous spécifiez également l'adresse IP d'un serveur appelé collecteur. Le Firebox surveille les réseaux sélectionnés et envoie des flux de données appelés enregistrements de flux au collecteur pour qu'il les analyse. Le collecteur exécute une application tierce qui utilise le protocole NetFlow pour enregistrer et analyser le trafic réseau. De nombreuses applications tierces prennent en charge le protocole NetFlow. Le Firebox lui-même n'affiche pas et n'analyse pas les enregistrements de flux.

Avec ThreatSync+ NDR, vous pouvez utiliser des collecteurs Windows ou Linux pour surveiller le trafic réseau. Les collecteurs récupèrent des flux de données tels que NetFlow, sFlow ou les journaux du serveur DHCP Windows directement à partir des commutateurs et des pare-feu tiers puis les renvoient à WatchGuard Cloud via une connexion sécurisée. ThreatSync+ utilise ces flux de données pour identifier et détecter les menaces potentielles et les activités suspectes, et génère des alertes sur lesquelles vous pouvez enquêter. Pour de plus amples informations, accédez à À Propos des Collecteurs ThreatSync+ NDR et À Propos de ThreatSync+ NDR.

Sur le Firebox, vous pouvez opter pour surveiller le trafic d'entrée, c'est-à-dire le trafic accède à un réseau. Vous pouvez également opter pour surveiller le trafic de sortie, c'est-à-dire le trafic qui sort d'un réseau. Par exemple, si vous disposez d'un commutateur interne sans NetFlow, activez la sortie NetFlow sur le réseau interne du Firebox à laquelle le commutateur se connecte. Vous capturez ainsi le trafic qui sort du réseau interne du Firebox, y compris le trafic envoyé au commutateur. Pour le trafic en transit, le Firebox surveille le trafic bidirectionnel si vous choisissez de surveiller les réseaux entrants et sortants.

Vous pouvez choisir de surveiller le trafic généré par le Firebox (auto-généré), qui est le trafic sortant généré par le Firebox lui-même. Vous pouvez également opter pour surveiller le trafic destiné au Firebox.

Les réseaux physiques, VLAN, pontés, sans fil et d'agrégation des liaisons sont pris en charge dans toutes les zones (Externe, Interne et Invité). Si un réseau physique reçoit uniquement des paquets VLAN marqués, ce réseau n's'affiche pas dans la liste des réseaux de la configuration NetFlow. Le réseau correspondant à ces paquets VLAN marqués s'affiche à la place. Les réseaux virtuels BOVPN et les réseaux de bouclage ne sont pas pris en charge.

Pour configurer NetFlow sur le collecteur tiers, accédez à nos Guides d'Intégration ou la documentation fournie par votre service de collecteur NetFlow.

Flux et Enregistrements de Flux

Un flux net, ou flux, se compose de paquets qui partagent les attributs suivants :

Interface
Adresse IP source
Adresse IP de Destination
protocole IP
Port source
Port de destination
Type de Service (ToS)

Le Firebox exporte un enregistrement de flux vers le collecteur une fois le flux terminé. Un enregistrement de flux contient des informations granulaires sur le flux, notamment :

L'horodatage du début et de fin du flux
Le nombre d'octets et de paquets dans le flux
L'index d'interface d'entrée et de sortie
Les informations d'en-tête de couche 3
Les informations de routage de couche 3

Un flux peut se terminer normalement ou anormalement. Un flux se termine normalement si :

Un nouveau trafic apparaît pour un flux, ce qui réinitialise le minuteur
La session TCP se termine
Le flux dépasse la valeur de Délai de Flux Actif

Le Délai de Flux Actif est la durée pendant laquelle une connexion active attend avant de se terminer. Dans la configuration NetFlow du Firebox, nous vous recommandons de spécifier une valeur Délai de Flux Actif inférieure à la valeur Délai de Flux Actif du collecteur. Ceci permet d'éviter la perte de données. Si la valeur Délai de Flux Actif est inférieure sur le collecteur, le collecteur risque de cesser d'écouter pendant que le Firebox continue d'envoyer des données.

Pour surveiller le trafic IPv6 et afficher les adresses IP post-NAT dans les enregistrements de flux, vous devez utiliser la V9. Les adresses IP des événements NAT et NAT-T (parcours NAT) figurent dans les enregistrements de flux si vous sélectionnez V9 dans la configuration NetFlow du Firebox.

Dans l'enregistrement de flux, X-Src et X-Dst indiquent les adresses post-NAT source et de destination. Vous pouvez utiliser les événements NAT de manière à identifier les périphériques du réseau local ayant généré du trafic.

Sécurité

Le Firebox envoie des enregistrements de flux au collecteur par UDP. Les informations d'un flux apparaissent en texte clair. Il n'y a pas d'authentification entre le Firebox et le collecteur, et le transport de paquets n'est pas chiffré.

Assurez-vous que le réseau entre le Firebox et le collecteur est approuvé. Si le Firebox doit transiter par un réseau moins sécurisé ou par Internet, nous vous recommandons d'utiliser un VPN pour protéger les données NetFlow.

Performances

En raison des ressources requises pour collecter et enregistrer les flux, NetFlow peut réduire le débit et la vitesse de connexion de votre Firebox. Pour réduire l'impact sur les performances, limitez le nombre de réseaux que vous surveillez.

Pour les réseaux d'entreprise à grande échelle, ou si le Firebox est soumis à une charge importante, vous pouvez également envisager le Mode Échantillonnage. En Mode Échantillonnage, le Firebox sélectionne au hasard 1 paquet sur X à échantillonner. Par exemple, si vous spécifiez un taux d'échantillonnage de 100, le Firebox échantillonne un paquet sur 100.

Le Mode Échantillonnage est moins précis car tous les paquets ne sont pas échantillonnés. Pour cette raison, nous ne recommandons pas le Mode Échantillonnage sur les petits réseaux.

Prise en charge de FireCluster

Sur un FireCluster, NetFlow fonctionne uniquement sur le membre du cluster actif. La communication entre les membres d'un FireCluster n'est pas surveillée.

Configuration des Paramètres NetFlow

Pour configurer les paramètres NetFlow d'un Firebox géré sur le cloud, à partir de WatchGuard Cloud :

Sélectionnez Configurer > Périphériques.
Sélectionnez un Firebox géré sur le cloud.
Cliquez sur Configuration du Périphérique.
Cliquez sur le widget Paramètres du Périphérique.
La page Paramètres s'ouvre.

Screen shot of the Device Settings page

Sélectionnez l'onglet NetFlow.
La page Paramètres NetFlow s'ouvre.
Activez NetFlow.

Screenshot of the Device Settings page, NetFlow tab

Dans la liste déroulante Version, sélectionnez la version du protocole NetFlow. Pour surveiller le trafic IPv6, vous devez utiliser la V9.
Dans la zone de texte Adresse du collecteur, saisissez l'adresse IPv4 ou IPv6 du collecteur. Le collecteur est le serveur qui collecte les données NetFlow auprès du Firebox.
Dans la zone de texte Port, saisissez le numéro du port du collecteur vers lequel vous souhaitez envoyer les données NetFlow. Le Firebox doit pouvoir communiquer avec le collecteur à l'adresse IP et au port spécifiés par le protocole UDP.
Dans la zone de texte Délai de Flux Actif, saisissez un nombre de minutes compris entre 1 et 60. Le Délai de Flux Actif est la durée pendant laquelle une connexion active doit attendre avant de se terminer. Par défaut, la valeur Délai de Flux Actif du Firebox est de 30 minutes.
Pour éviter toute perte de données, nous vous recommandons de spécifier une valeur de Délai de Flux Actif inférieure à celle configurée sur le collecteur. Si la valeur Délai de Flux Actif est inférieure sur le collecteur, le collecteur risque de cesser d'écouter pendant que le Firebox envoie des données.
(Facultatif) Pour activer le Mode Échantillonnage, cochez la case à cocher Mode Échantillonnage et, dans la zone de texte Taux d'Échantillonnage, saisissez un taux d'échantillonnage compris entre 2 et 65535 paquets.
(Facultatif) Pour spécifier le trafic du Firebox à surveiller, sélectionnez Surveiller le Trafic Généré par le Firebox et/ou Surveiller le Trafic Destiné au Firebox.

Pour activer NetFlow sur un réseau, sélectionnez Entrée et/ou Sortie en face du nom du réseau.
Si vous sélectionnez à la fois Entrée et Sortie pour plusieurs réseaux, veuillez noter que vous risquez de collecter des données NetFlow en doublon. Pour éviter les données en double, sélectionnez Entrée ou Sortie, mais pas les deux.

Cliquez sur Enregistrer.

Rubriques Connexes

Ajouter un Firebox Géré sur le Cloud à WatchGuard Cloud

Ajouter un FireCluster Géré sur le Cloud

Configurer les Paramètres de Retour d'Informations du Périphérique (WatchGuard Cloud)

Configurer les Paramètres Système du Firebox

Configurer les Paramètres de Log Server des Fireboxes Gérés sur le Cloud

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.