Firewall/VPN Symantec Modèles 100 / 200 / 200R
Contents
1. 3 9 Fiat en Ra eth ue a RE a Ce Sle eae a 3 10 IP de r seau local et DHCP 3 11 ADRESSE IP LOCALE DE L UNITE 3 12 PHCP nn of hog mme amie deals gow gout ele oe on yw inde 3 12 Mot de passe de configuration 3 13 Pour configurer un mot de passe 3 13 4 Configuration avanc e PPPOE AVANC 45 Veeck be eS RSW AR eee SE ea detre 4 1 Service de DNS dynamique 4 4 Param tres facultatifs de DNS dynamique 4 5 POULE 2 nde late tea ne de eee eh eee ey ee be 4 6 Donn es de la table de routage 4 7 Les autres routeurs du r seau local 4 8 Groupe et Adresse IP de l h te 0 4 10 Filtres L ACC S aeaa a Miele re einen dat AR ee bi hioa a Oe B pan Dd 4 12 Groupes de S CUTIT x a sa a GHEE ee 2 S ete RSE EERE Bea bbw aes 4 13 Applications sp ciales eee 4 15 S rveurs Virtuels read da iaaa s Abe Pee bP ee be Gees oe he 4 17 Types de serveurs virtuels 4 17 Exemple de serveurs virtuels adresse IP vue par les utilisateurs d Internet 4 19 Serveur virtuel personnalis 0 4 20 Serveurs virtuels personnalis2. 1 7 Interface de configuration gestion 1 9 2 Installation Configuration ii0 444 ot pid bn rene nan due DT ue Om EE UE 2 1 Configuration r Sead a s coan ale R Pe En Aube EAA Maude tie Dy has 2 2 Pr cautions et avertissements 2 2 Informations de compte Internet 2 4 Connexion des c bles 2 26 i cack eee ee dren n EKPI Eee cini 2 5 Pour connecter les cabl s lt 154 ay aa sls cd bash ae 204 wee eda N aea a 2 6 Configuration de l ordinateur QQ 0000000000000004 2 7 iii 3 Configuration Interface de gestion configuration 3 1 Pour d marrer l interface utilisateur 3 1 Configuration de base 3 2 Ecran S lection de la langue 3 2 Ecran Configuration principale 3 3 Pour configurer le Firewall VPN 200 Symantec avec l cran Configuration principale 3 4 Section Param tres r seau facultatifs 3 5 Pour configurer un modem c ble utilisant DHCP 3 6 Pour configurer DSL ou un modem c ble avec PPPoE 3 7 Adresse IP statique et DNS gt 44e das ee eRe d 3 8 Section Passerelle DNS
3. 5 3 Pour mettre jour une configuration de VPN cl statique 5 5 Pour supprimer une configuration de VPN cl statique 5 6 Exemple de tunnel statique 5 6 Pour configurer un VPN cl dynamique 5 8 Pour mettre jour une configuration de VPN cl dynamique 5 11 Pour supprimer une configuration de VPN cl dynamique 5 12 Exemple de tunnel dynamique 5 12 VPN Identit du client 2 548 8 ee oe bas pen 2 muet na nee d 5 15 6 Utilitaires Sauvegarde Analogique RNIS 6 1 Console de configuration s rie 6 5 R initialisation manuelle 6 6 Sauvegarde de la configuration 6 8 Affichage du joufnal 2 24406 Oes di dant q 4 6 end AGGEN ES 14 6 eRe EES 6 9 Param tres du journal sg cc eee eee sa ees REDE DO Ee edn ewes eS 6 9 7 Configuration du Firewall VPN Symantec pour Symantec Enterprise VPN Tunnel statique errer reran bb 0b aaa dons a habe ee on main rares 7 2 Configuration de tunnel statique avec le Firewall VPN Symantec 7 2 Configuration de tunnel statique sur le SEVPN 7 5 Tunnel dynamique cided asin menant Coleus ak bec w a a Seeks eee 7 6 Configuration de tunnel
4. Enregistrer Annuler Table DHCP Norm d h te Adresse IP Adresse physique Statut Figure 3 4 Ecran Adresse IP locale et DHCP 3 11 ADRESSE IP LOCALE DE L UNITE LIP locale de l unit est l adresse IP du Firewall VPN Symantec sur votre r seau local vos h tes la voient comme leur passerelle par d faut Caution Si vous modifiez l adresse et que vous cliquez sur Enregistrer VOUS NE POURREZ PLUS ACCEDER AU FIREWALL VPN SYMANTEC SANS REDEMARRER lib rer et renouveler l IP de votre h te parce que Vadresse IP le masque de r seau et la passerelle auront chang La combinaison de l adresse IP et du masque de r seau d termine le sous r seau de destination des paquets Ces informations sont indispensables au routage correct des paquets sur un r seau IP Certains comptes de FAI peuvent n cessiter une modification de ce param tre si ce n est pas le cas laissez la valeur par d faut de 255 255 255 0 r seau de classe C DHCP Le Serveur DHCP du Firewall VPN activ par d faut peut affecter des adresses IP et des informations DNS un maximum de 253 ordinateurs connect s Pour que cela fonctionne vos ordinateurs doivent tre configur s pour Obtenir une adresse IP automatiquement ou Obtenir une adresse depuis un serveur DHCP dans le Panneau de configuration consultez la section Configuration de l ordinateur la page 7 pour plus d informations Le Firewall VPN Symantec affecte toujours une
5. Cette m thode doit correspondre a la m thode de cryptage et d authentification utilis e pour configurer l extr mit du tunnel du Client Symantec Enterprise VPN cl dynamique VPN o Association de s curit IPSec S lectionnez une association Y Effectuez la s lection seulement si vous mettez jour ou supprimez la configuration existante de s curit Mettre jour les champs ci dessous S lectionnez d abord l association de s curit ci dessus sauf en cas d ajout Nom vpnclient Activer C D sactiver Session PPPoE Session 1 7 S lectionnez la session PPPoE laquelle lier le tunnel VPN N gociation de phase 1 M thode d authentification AH MDS et de cryptage Dur e de vie de pao l association de s curit 480 minutes Limitation du volume de donn es 2100000 Ko D lai d inactivit 0 minutes Confidentialit de transmission optimale Passerelle de s curit locale Type d ID Addresse IP ID Phasel Passerelle de s curit a distance Mode principal Mode dynamique Activer C D sactiver Adresse de la passerelle 0 0 0 0 Entrez 0 0 0 0 pour Je tunnel client passerelle Type d ID Nom Unique 7 S lectionnez le nom unique des tunnels client passereile Ne remplissez pas les champs ID Phase 1 et Secret partag pour l association de ID Phase 1 s curit client MD du client distant doit correspondre un utilisateur de la liste des clients H Cl pr
6. En choisissant l option Niveau d bogage vous consignez des informations plus d taill es dans le journal d tat ce qui peut tre utile l Assistance Symantec Cela envoie galement tous les paquets p riph riques de r seau tendu dans le r seau local pour faciliter l analyse des ports Laissez ce param tre sur Niveau utilisateur sauf si vous avez besoin du mode D bogage car celui ci peut provoquer des collisions en cas de charge de trafic lev e Type IPsec La fonction de transmission directe IPsec est impl ment e automatiquement par le Firewall VPN Symantec Laissez cette option sur 2 SPI sauf sp cification de l Assistance Symantec L option Aucun vous permet d utiliser votre client VPN dans le mode H te expos DMZ si vous avez des probl mes de connexion depuis derri re le Firewall VPN Symantec 4 25 Langue Vous pouvez choisir l une des langues disponibles pour l interface utilisateur en cochant la case situ e c t de la langue Niveau expert Champs de la section R cepteur de trappes SNMP D finit les IP devant recevoir les alertes de trappe mises par l unit Niveau expert Champs de la section Plage d adresses IP pour l acc s a distance L interface Web du Firewall VPN Symantec est accessible distance depuis une plage d adresses IP Pour des raisons de s curit Symantec recommande que toute la gestion externe a distance soit effectu e par l interm diaire d un tunnel VPN En utilis
7. P Param tres du journal 10 Partage d adresse IP 3 Passerelle ajout 6 t l chargement depuis 3 Passerelle de s curit ajout 6 t l chargement depuis 3 Passerelle DNS 9 Passerelles VPN 2 PAT 2 Port de r seau tendu 7 Port IDENT 26 Port s rie 8 Ports de r seau local 7 PPPOE 1 PPPOE avanc 1 Protocole r seau TCP IP 2 R R cepteur de trappes SNMP 27 R initialisation 8 R initialisation manuelle 6 Renouvellement DHCP en cas d inactivit 25 RIP V2 26 RIP2 6 routage 6 S Sauvegarde automatique 1 Sauvegarde de la configuration 8 Sauvegarde Analogique RNIS 1 3 Serveur DHCP 12 Serveur DNS 9 Serveur Symantec Enterprise VPN 1 Serveur virtuel personnalis 20 Serveur Web virtuel 4 Serveurs virtuels 17 Service de DNS dynamique 4 SEVPN 1 SNMP 3 SPI entrant 4 SPI sortant 4 Stateful Inspection 2 Symboles internationaux 7 T Table de routage 7 Transformateur 1 6 Tunnels VPN 2 1 Type de journal 11 Type IPsec 26 U Utilitaire nxtftp 2 V Voyant d alimentation 7 Voyant d erreur 7 Voyant de connexion de secours active 7 Voyant de connexion du modem r seau tendu 7 Voyant de r seau local 6 Voyant de transmission r ception 7 VPN Cl dynamique 1 VPN Cl statique 1 VPN Identit du client 1 15 Faisant partie int grante de l quipe d experts de Symantec Security Response notre support technique mondial g re les centres de support a travers le monde No
8. Port 1 modem du r seau tendu Mode Standard D sactiv C MAlsauvegarde Remarque param trez le mode sur D sactiv si vous travaillez hors connexion Obtention automatique de l adresse IP amp du DNS Sauf si l adresse IP statique est d finie Activer C Remarque pour les connexions DHCP Adresse IP ou URL du site de l indicateur d activit PPPoE Activez cette option connexion PPPoE Activer Nom d utilisateur Mot de passe Confirmation du mot de passe uniquement si vous utilisez une c Symantec Firewall VPN Port 2 modem du r seau tendu Statut de la connexion Statut de la connexion Mode C Standard D sactiv C Sauvegarde Remarque param trez le mode sur D sactiv si vous travaillez hors connexion Obtention automatique de l adresse IP amp et du DNS Sauf si l adresse IP statique est d finie Activer Adresse IP ou URL du site de l indicateur d activit C Remarque pour les connexions DHCP PPPoE Activez cette option uniquement si vous utilisez une connexion PPPoE Activer Nom d utilisateur Mot de passe Confirmation du mot de passe c Param tres du journal Niveau expert Param tres r seau facultatifs Nom d h te Param tres r seau facultatifs Nom d h te Nom de domaine Nom de domaine Adresse de l adaptateur Adresse de l adaptateur r seau MAC r seau MAC Annuler Actualiser avec la
9. bo fo m News Poo fo fo o O Telnet bpo b bP Po O Gopher bpo b bP po C Whois bpo b bP po r os off pP pf O Finger po bP pP pP Annuler Figure 4 8 Ecran Serveurs virtuels Pour configurer un serveur virtuel 1 Affectez une adresse IP locale statique votre serveur dans l cran Groupe amp adresse IP ou sur le serveur lui m me Pour fonctionner efficacement les serveurs virtuels n cessitent un h te local avec une adresse IP statique 2 Cochez l option Activer c t du type du serveur Indiquez l adresse IP de l h te sur le r seau local pour activer un serveur virtuel pr d fini Vous pouvez avoir diff rents serveurs virtuels dirig s vers le m me h te 3 Cliquez sur Enregistrer 4 17 Exemple de serveurs virtuels adresse IP vue par les utilisateurs d Internet Le diagramme suivant Figure 4 9 la page 4 18 repr sente un r seau o les utilisateurs d Internet se connectent 4 la m me adresse IP mais utilisent des protocoles et ou des num ros de ports diff rents Pour les utilisateurs d Internet tous les serveurs virtuels de votre r seau ont la m me adresse IP II s agit de l adresse IP d finie dans le champ Port r seau tendu affich dans l cran STATUT L cran pr c dent Serveurs virtuels Figure 4 8 la page 4 17 affiche la configuration pour cet exemple La fonction H te expos ou DMZ est disponible pour un seul ordinateur du r seau local Cette fonction expose l ext
10. inactivit en minutes si vous voulez vous d connecter automatiquement de votre compte analogique RNIS apr s une p riode d inactivit Indiquez 0 pour que le modem reste connect en permanence Le champ Statut analogique fournit des informations utiles pour l assistance technique en cas de probl me avec votre connexion PPP analogique RNIS 6 4 Console de configuration s rie Le Firewall VPN Symantec peut tre configur ou r initialis au travers du port s rie en utilisant le c ble Null Modem inclus raccord au port COM d un ordinateur Cette console de configuration est tr s utile pour installer le Firewall VPN Symantec sur un r seau existant Cela vite que le Firewall VPN Symantec n interf re avec le r seau quand il est connect Avec la console de configuration s rie vous pouvez Modifier l adresse IP locale la valeur par d faut est 192 168 0 1 Modifier le masque de r seau local e D sactiver activer le serveur DHCP activ par d faut e Modifier PIP de d but et de fin pour la plage d IP du serveur DHCP Pour utiliser la console s rie 1 Connectez le cable Null Modem entre le port COM de votre ordinateur et le port s rie du Firewall VPN 2 Basculez le micro commutateur 3 sur ON vers le bas sur le Firewall VPN 3 Lancez un programme de gestion de terminal HyperTerminal est inclus avec Windows 4 Configurez le pour qu il se connecte directement votre port COM en g n ral
11. COM1 ou COM2 5 Vous devez d finir les param tres de communication de la mani re suivante pour vous connecter au Firewall VPN Baud 9600 Bits par seconde Bits de donn es 8 Parit Sans Bits d arr t 1 Contr le de flux Sans 6 Une fois le terminal connect avec les param tres ci dessus appuyez sur le bouton R initialiser sur le Firewall VPN L cran de la console doit appara tre 1 Local IP Address 192 168 0 1 2 Local Network Wask 255 255 255 6 3 DHCP Server 1 Enable 2 ee 4 Start IP Address 192 1 5 Finish IP Address 192 fea x A 51 5 Restore to default Figure 6 2 Ecran de la console 7 Effectuez vos s lections et veillez s lectionner SAVE 7 pour enregistrer apr s avoir termin 8 Basculez le micro commutateur 3 sur OFF vers le haut apr s avoir utilis la console R initialisation manuelle Un param trage incorrect sur l cran IP locale amp DHCP ou l oubli de votre mot de passe de configuration peuvent vous emp cher d acc der l unit Le fait d appuyer sur le bouton R initialiser de l unit ne restaurera pas les param tres IP par d faut et ne d sactivera pas le mot de passe Vous devez effectuer les tapes suivantes pour pouvoir de nouveau vous connecter au Firewall VPN Cette proc dure effectue les taches suivantes Restaure l adresse IP de l unit sa valeur par d faut 192 168 0 1 e Restaure le masque de r seau de l uni
12. Table 4 1 Donn es de routage IP de destination Adresse r seau du segment de r seau distant Pour les r seaux standard de classe C l adresse r seau se compose des trois premiers champs de l adresse IP de destination Le quatri me champ de dernier peut avoir la valeur 0 Masque de sous Masque de sous r seau utilis sur le segment de r seau distant Pour r seau les r seaux de classe C le masque de sous r seau est 255 255 255 0 Passerelle Adresse IP du routeur sur le segment de r seau auquel ce p riph rique est connect PAS celle du routeur sur le segment de r seau distant Normalement d sign saut suivant sur le r seau Interface S lectionnez l interface appropri e dans les r seaux locaux et tendus Les utilisateurs du mod le 200 peuvent choisir parmi deux interfaces Mesure Nombre de routeurs qu il faut traverser pour atteindre le segment de r seau local distant La valeur par d faut est 1 47 Les autres routeurs du r seau local Les autres routeurs du r seau local doivent utiliser le routeur local de Firewall VPN Symantec comme routeur local par d faut Les entr es seront les m mes que pour le routeur local du Firewall VPN Symantec sauf pour l adresse IP de passerelle Pour un routeur avec connexion directe au routeur local du Firewall VPN Symantec l adresse IP de passerelle est l adresse du routeur local du Firewall VPN Symantec Pour les routeurs qui doiv
13. accessible depuis l ext rieur par l adresse IP de r seau tendu externe du Firewall VPN Symantec L unit redirige vers l h te expos toutes les requ tes qui ne sont pas explicitement autoris s par une r gle de serveur virtuel Le Firewall VPN Symantec redirige ensuite la requ te vers l adresse IP locale interne du serveur virtuel V rifiez d abord sur l cran Serveurs virtuels que votre serveur n est pas d j pr d fini Pour des raisons de s curit veillez ce que la machine expos e soit verrouill e afin d viter tout acc s non autoris qui mettrait en danger la s curit du systeme H te Expos Attention Cette fonction permet a un 1 ordinateur de b n ficier d une communication bidirectionnelle illimit e avec des serveurs ou des utilisateurs Internet Elle se r v le utile pour h berger des jeux ou des serveurs applications sp cifiques Pour des raisons de s curit cette fonction ne doit tre activ e qu en cas de n cessit Remarque r servez l adresse IP dans Groupe amp subies l 10 adresse IP de l h te si vous l utilisez fr quemment Port r ondi R seau tendu 1 7 Session Client DHCP v C Activer D sactiver Enregistrer Annuler Figure 4 11 H te expos DMZ 4 21 Pour configurer un h te expos 1 Indiquez l adresse IP locale de l h te que vous voulez exposer 2 S lectionnez le port de r seau tendu dans la liste d roulante Port r
14. entr e ci dessus sauf si vous proc dez un ajout IP de destination Masque de r seau 11 JON VW VW Passerelle Interface R seau local interne x Mesure 1 Ajouter Supprimer Mettre jour l entr e Effacer le formulaire Annuler Liste des tables de routage Destination Masque Passerelle Interface Mesure Figure 4 3 Ecran Routage Si RIP2 n est pas en cours d utilisation sur le r seau vous devez ajouter des entr es la table de routage statique au travers de l cran Routage N utilisez la table de routage statique que quand cela est n cessaire Si vous d finissez des entr es incorrectes vous pouvez perdre la connexion l unit et avoir effectuer une r initialisation manuelle 4 6 Entr es existantes Si vous avez pr c demment d fini une entr e dans cet cran et que vous voulez la mettre a jour ou la supprimer vous devez d abord la s lectionner en utilisant S lectionner une entr e puis cliquer sur Mettre jour les champs ci dessous pour acc der ses param tres Si vous ajoutez une nouvelle entr e cliquez sur Effacer le formulaire pour recommencer avec un formulaire vierge Donn es de la table de routage Une entr e dans la table de routage est requise pour chaque segment du r seau local afin que tous les autres segments connect s a ce p riph rique puissent partager des donn es vers et depuis ce p riph rique Les donn es de la Table de routage sont les suivantes
15. partag e Pour les tunnels passerelle passerelle Diffusion NetBIOS C Activer D sactiver Tunnel global Activer D sactiver Sous r seau distant 1 Adresse P Masque Figure 8 4 Ecran VPN Cl dynamique 11 Dans le champ Dur e de vie de l association de s curit indiquez la dur e en minutes pendant laquelle l association de s curit doit rester active avant r g n ration des cl s Le nombre de minutes de la dur e de vie de l association de s curit doit correspondre au d lai d expiration du Client Symantec Enterprise VPN tel que saisi sur son cran de politique VPN Consultez la section Table 8 1 Configuration du Client Symantec Enterprise VPN la page 8 7 12 Dans le champ Limitation du volume de donn es de l association de s curit indiquez la quantit de donn es en kilo octets pouvant traverser le tunnel avant que l association de s curit ne r g n re les cl s Le nombre de kilo octets doit correspondre au param tre indiqu sur l cran de politique VPN du Client Symantec Enterprise VPN 13 Dans le champ D lai d inactivit indiquez une valeur en minutes Le d lai d inactivit doit correspondre au param tre indiqu sur l cran de politique VPN du Client Symantec Enterprise VPN 14 Cliquez sur le bouton radio Activer dans le champ Confidentialit de transmission optimale 15 Sous la section Passerelle de s curit distance dans le champ Adresse de la p
16. s lectionnez l option Activer pour activer ou d sactiver votre serveur Veillez cliquer sur Mettre jour l entr e si vous utilisez un Serveur virtuel existant Indiquez l adresse IP de votre serveur sur le r seau local Pour fonctionner efficacement les serveurs virtuels n cessitent un h te local avec une adresse IP statique Affectez une adresse IP locale statique votre serveur dans l cran Groupe amp adresse IP ou sur le serveur lui m me Indiquez cette IP ici Choisissez TCP ou UDP comme type de protocole pour le serveur Dans les champs des plages de ports indiquez les ports de d but et de fin utilis s par votre serveur en Interne et en Externe Si un seul port est utilis indiquez le m me num ro dans les deux champs D but et Fin En g n ral les valeurs pour Interne et Externe seront identiques mais vous pouvez effectuer une translation sur les ports en indiquant des valeurs diff rentes par exemple 2000 2500 en interne peut devenir 3000 3500 en externe par translation Cliquez sur Ajouter pour ajouter une nouvelle entr e ou effectuez l une des op rations suivantes Cliquez sur Supprimer pour supprimer l entr e affich e et lib rer la m moire du Firewall VPN Symantec Cliquez sur Mettre a jour si vous avez modifi l entr e affich e Cliquez sur Effacer le formulaire avant d ajouter une nouvelle entr e H te expos DMZ Cet cran vous permet de d finir un serveur personnalis
17. seau tendu 3 S lectionnez la session dans la liste d roulante Session 4 S lectionnez l option Activer 5 Cliquez sur Enregistrer Niveau expert Cet cran contient les param tres avanc s du Firewall VPN Symantec La plupart des utilisateurs peuvent ignorer ces param tres sans probl me car les valeurs par d faut sont optimales et les plus s res Le Firewall VPN 200 Symantec offre une connexion large bande par liaison de ses deux ports modem Vous pouvez m langer les types de connexion sur les deux ports recommand pour des raisons de sauvegarde Vous pouvez par exemple agr ger une connexion Internet par cable et une connexion DSL ou une IP statique et SDSL PPPoE et DHCP Le Firewall VPN 200 Symantec peut agr ger la bande passante de vos deux connexions en envoyant des paquets r seau sur les deux ports de r seau tendu Si vous le souhaitez vous pouvez associer des h tes un m me port de r seau tendu Aucun t l chargement du r seau ne pourra d passer la bande passante maximale disponible sur un seul port de r seau tendu mais cela permettra d am liorer grandement les performances sur tout le r seau Plus le nombre d ordinateurs est lev plus les performances augmenteront sur une seule connexion Internet Si vous effectuez des modifications dans l cran Niveau expert cliquez sur Enregistrer Si vous cliquez sur Restaurer les valeurs par d faut le Firewall VPN Symantec revient a ses param tre
18. 6 11 Configuration du Firewall VPN Symantec pour Symantec Enterprise VPN Le Firewall VPN Symantec permet de cr er des tunnels entre lui m me et un serveur Symantec Enterprise VPN SEVPN Ce tunnel peut tre cr statiquement ou dynamiquement avec IKE Ce chapitre d crit les tapes de cr ation de tunnels statiques et dynamiques Remarque Ce chapitre traite uniquement des tapes requises du c t du Firewall VPN Symantec Il consid re que le SEVPN est d ja configur et que les informations requises sont disponibles sur cette configuration Consultez les sections appropri es du Guide d installation Symantec Enterprise Firewall et Symantec Enterprise VPN et du Guide de configuration de Symantec Enterprise Firewall et Symantec Enterprise VPN si vous avez besoin d aide pour configurer le SEVPN Symantec Firewall PN 200 Figure 7 1 Connexion du Firewall VPN Symantec Symantec Enterprise VPN 7 1 Tunnel statique Les tunnels statiques sont configur s en sp cifiant toutes les informations essentielles pour les deux extr mit s du tunnel Les deux extr mit s doivent se correspondre exactement pour que le tunnel fonctionne correctement Les tunnels statiques peuvent utiliser un encapsulage de force DES ou 3DES Configuration de tunnel statique avec le Firewall VPN Symantec 192 168 40 1 Symantec 1111 1010101 1010103 Firewall PN 200 SE VPN V 6 5 X 192 168 0 3 10 10 10 4 Figure 7 2 VPN Diag
19. Adresse IP Adresse physique Passerelle par d faut Client DHCP Adresse s IP du DNS R seau tendu 2 Port externe Statut de la connexion Masque de r seau Adresse IP Adresse physique Passerelle par d faut Client DHCP Adresse s IP du DNS R seau local Ports internes Adresse IP Adresse physique Masque de r seau Serveur DHCP P riph rique Version micrologicielle Ordinateur expos ere gg Traduction d adresses Applications sp ciales A r seau Serveurs virtuels ID du mat riel Actualiser l cran Figure 3 3 Ecran d tat L adresse physique est l adresse MAC du Firewall VPN sur r seau local et tendu Si vous avez des probl mes pour acc der Internet v rifiez que vous avez une adresse IP de r seau tendu Si c est le cas il peut y avoir un probl me de DNS ou autre chez votre FAI Dans tous les cas ayez les informations de cet cran port e de main quand vous appelez l Assistance Symantec 3 10 IP de r seau local et DHCP Caution NE CHANGEZ PAS ces param tres sauf si cela est indispensable pour votre r seau Vous risquez sinon de perdre la connectivit avec le Firewall VPN ce qui n cessiterait une r initialisation manuelle aux valeurs par d faut Adresse IP Locale amp DHCP Adresse IP locale de l unit Adresse Pl C o Masque de r seau PF C C C DHCP Serveur DHCP Activer D sactiver Adresse IP de d but Adresse IP de fin
20. DHCP avec IP dynamique La plupart des FAI cable certains DSL Vous n avez parfois besoin d aucune information et il suffit de connecter le Firewall VPN Symantec et de red marrer l ordinateur pour tre connect e L adresse MAC adaptateur r seau de votre carte Ethernet peut tre requise si elle est utilis e par votre FAI fournisseur d acc s Internet Vous trouverez plus loin des instructions pour l obtenir e Le nom d h te ou de domaine de votre ordinateur peut tre requis s il s agit d un nom cod qui vous a t communiqu par votre FAI Compte Internet avec IP statique ou connexion r seau e Vous aurez besoin de votre adresse IP de votre masque r seau et de vos adresses de passerelle et DNS Certains FAI g n ralement cable utilisent des noms abr g s pour les serveurs de messagerie et les pages d accueil Web C est le cas si le nom de votre page d accueil Internet est tr s court par exemple www ou web plut t que www symantec com ou si le nom de votre serveur de messagerie est du genre pop3 ou mail plut t que mail symantec com Vous DEVEZ disposer des noms de serveur r els pour acc der au Web et a la messagerie en utilisant le Firewall VPN Symantec Vous pouvez obtenir ces informations aupr s de votre FAI 2 4 Connexion des cables Il est fortement recommand d installer votre Firewall VPN Symantec en lui connectant d abord un seul ordinateur directement La r solution d incidents penda
21. Interface de gestion configuration Le Firewall VPN Symantec a une interface de configuration bas e Web Vous pouvez utiliser n importe quel navigateur Web standard pour configurer les param tres du Firewall VPN Symantec Le menu principal de la gestion configuration est pr sent en permanence sur le c t gauche de l cran Les Firewall VPN Symantec mod le 100 et 200 ont des interfaces l g rement diff rentes le mod le 200 comportant deux ports de r seau tendu modem dont chacun peut tre configur ind pendamment Le mod le 100 ne dispose que d un seul port de r seau tendu modem Pour d marrer l interface utilisateur 1 Lancez votre navigateur 2 Si votre navigateur comporte des param tres de proxy liminez ces derniers Si vous ne savez pas comment faire suivez les instructions suivantes 3 Saisissez http 192 168 0 1 dans la barre d adresse de votre explorateur 4 Appuyez sur la touche Entr e du clavier 5 Le menu principal du Firewall VPN Symantec s affiche comme sur la Figure 3 1 la page 3 3 3 1 Pour supprimer les param tres de proxy dans le navigateur Internet Explorer 1 Ouvrez le menu Outils gt Options Internet 2 Cliquez sur l onglet Connexions 3 Cliquez sur Param tres LAN 4 D cochez toutes les cases et cliquez sur OK 5 Cliquez sur Ne jamais tablir de connexion 6 Cliquez sur OK Pour supprimer les param tres de proxy du navigateur Netscape 1 Choisissez Edition
22. S lectionnez la session PPPoE laquelle lier le tunnel VPN N gociation de phase 1 M thode d authentification ESP 3DES SHAI et de cryptage Dur e de vie de FE l association de s curit L minutes Limitation du volume de FE donn es o Ko D lai d inactivit O minutes Confidentialit de transmission optimale Type d D AdresselP gt DPhsi Adresse de la passerelle fi 92 168 40 1 Entrez 0 0 0 0 pour le tunnel client passerelle Type diD Adresse IP S lectionnez le nom unique des tunnels client passereiie Ne remplissez pas les champs D Phase 1 et Secret partag pour ID Phase 1 l association de s curit client ND du client distant doit correspondre un utilisateur de la liste des clients Cl pr partag e 01234567890123456789 Pour les tunnels passerelle passerelle Diffusion NetBIOS Activer D sactiver Mode principal Mode dynamique C Activer D sactiver Tunnel global Activer D sactiver Sous r seau distant 1 Adresse IP 10 10 10 0 Masque 255 255 255 0 Sous r seau distant 2 Adresse IP Masque Sous r seau distant 3 Adresse IP Masque Sous r seau distant 4 Adresse IP Masque Sous r seau distant 5 Adresse IP Masque Ajouter Supprimer Mettre jour l entr e Effacer le formulaire Annuler Liste des associations de s curit Statut Nom Passerelle de s curit Sous r seau distant M thode de cryptage Figure 7 5 Ecran de con
23. VPN Mot de passe 9 Authentification de l administrateur Le nom d utilisateur est toujours admin Mot de passe Confirmation Enregistrer Annuler Figure 3 5 Ecran Mot de passe de configuration Remarque Le nom d utilisateur est toujours admin pour se connecter au Firewall VPN Pour configurer un mot de passe 1 Saisissez le mot de passe 2 Indiquez de nouveau le mot de passe pour le confirmer 3 Cliquez sur Enregistrer Si vous oubliez votre mot de passe vous devrez effectuer une r initialisation manuelle consultez le Chapitre 9 D pannage ou r initialiser l unit par la console s rie Le fait de reflasher le micrologiciel ne r initialisera pas le mot de passe 3 13 Configuration avanc e PPPoE avanc La plupart des utilisateurs n ont pas besoin d utiliser cette page car les param tres par d faut du Firewall VPN Symantec sont optimum pour la plupart des situations et permettent une totale transparence du fonctionnement des comptes PPPoE 4 1 PPPoE avanc 2 Port amp session de r seau tendu Remarque conservez la valeur Port R seau tendu 1 v Session PPPoE Session 1 si vous ne poss dez r seau tendu Session 1 pas de compte PPPoE multisession Mettre jour les champs ci dessous Connexion une session Connexion la F ELLE Activer D lai d inactivit 0 minutes Adresse IP statique ho f o 19 10 Uniquement pour les comptes ISP statique
24. d acc s Groupes de s curit Par d faut tous les ordinateurs font partie du groupe Tous et ne sont soumis aucune restriction sur l utilisation d Internet Si vous voulez d finir des filtres commencez par s lectionner le groupe sp cifiez l utilisation des filtres de paquets puis indiquez les filtres a utiliser pour ce groupe sur cet cran Pour modifier une entr e pr c demment d finie s lectionnez la dans la liste d roulante puis cliquez sur Mettre jour les champs ci dessous pour acc der a ses param tres Remarque Vous devez LIER les h tes locaux au groupe dont ils font partie dans l cran Groupe amp adresse IP de l h te comme expliqu dans la section Groupe et Adresse IP de l h te la page 9 Pour configurer les filtres d acc s Remarque Cliquez toujours sur Enregistrer apr s avoir d fini chaque param tre de groupe 1 S lectionnez votre Groupe de s curit dans la liste d roulante S lectionnez un groupe Associez les h tes des groupes de s curit en utilisant l cran Groupe amp adresse IP 2 Cliquez sur Mettre jour les champs ci dessous 3 Dans la section Parametres du filtre de groupe cliquez sur le bouton radio Utiliser les filtres de paquet suivants Cette section d finit le param tre global s appliquant au groupe s lectionn Vous DEVEZ choisir Utiliser les filtres de paquet suivants pour s lectionner les filtres 4 Dans la section Filtres rapides co
25. entre passerelles Le tableau Table 5 2 la page 5 7 d crit les entr es requises pour configurer les deux extr mit s de ce tunnel statique 192 168 0 2 192 168 100 3 192 168 0 1 192 168 100 1 1134 2232 gt 192 168 0 3 Symantec Symantec Firewall VPN 100 Firewall PN 200 j 192 168 100 4 192 168 0 4 Figure 5 2 Diagramme de tunnel statique Table 5 2 Exemples de param tres de r seau pour un tunnel statique Champs de l cran VPN Cl statique Param tres du FW VPN 100 Symantec Param tres du FW VPN 200 Symantec Association de s curit IPSec Nom static_100_to_200 static_200_to_100 Activer D sactiver Activer Activer Port de r seau tendu VPN200 uniquement R seau tendu 1 R seau tendu 2 Session PPPoE Session 1 Session 1 SPI entrant 257 300 SPI sortant 300 257 M thode d authentification et de cryptage ESP DES MD5 ESP DES MD5 Cl de cryptage 0X1234567890123456 0X1234567890123456 Cl d authentification 0X1234567890123456789012 3456789012 0X1234567890123456789012 3456789012 Passerelle de s curit a distance Adresse de la passerelle 2 2 2 2 1 1 1 1 Diffusion NetBIOS D sactiver D sactiver Tunnel global D sactiver D sactiver IP sous r seau distant 1 192 168 0 0 192 168 100 0 Masque sous r seau distant 1 255 255 255 0 255 255
26. et lib rer la m moire du Firewall VPN Symantec Cliquez sur Mettre a jour l entr e si vous avez modifi l entr e affich e Cliquez sur Effacer le formulaire avant d ajouter une nouvelle entr e Serveurs virtuels Les serveurs virtuels vous permettent d h berger tout type de serveur standard Web FTP DNS Whols POP3 Finger SMTP VPN News Gopher et Telnet en utilisant le Firewall VPN Symantec Cela vous permet de mettre en place un serveur Web derri re le firewall Les utilisateurs externes se connectent un domaine affect par la fonctionnalit de DNS dynamique ou l adresse IP du port modem pour acc der un serveur virtuel Le Firewall VPN Symantec achemine automatiquement le trafic vers l IP d h te appropri e sur le r seau local Types de serveurs virtuels Le Firewall VPN Symantec accepte deux types de serveurs virtuels e Pr d finis Types de serveurs standard Le seul param tre n cessaire est l adresse IP du serveur sur votre r seau local e Personnalis s Serveurs non standard Vous devez fournir des informations suppl mentaires sur le serveur num ros de ports TCP ou UDP Vous utilisez pour cela l cran Serveur virtuel personnalis 4 16 Serveurs virtuels Serveurs virtuels z Activer Type Adresse IP locale V Seneuwes fig fies fo fio F rir fie fes fo Fi m IPsec bo boo bo o r PPTP lR b b o O Messagerie SMTP 0 o o Oo C Messagere Porayfo fo
27. gt Pr f rences 2 Cliquez sur Avanc es 3 Cliquez sur Proxies 4 Cliquez sur Connexion directe Internet Configuration de base Les sections suivantes pr sentent les taches de base pour la configuration de votre Firewall VPN Symantec Une section d crit les fonctions de chaque cran de l interface utilisateur Utilisez l cran Configuration principale pour configurer votre connexion ou modifier ses param tres par la suite Ecran S lection de la langue Le premier cran affich apr s l installation est l cran S lection de la langue Il n est affich qu une seule fois Vous pouvez choisir l une des langues disponibles pour l interface utilisateur en cochant la case situ e c t de la langue Si vous voulez changer la langue ult rieurement allez l cran Niveau expert dans lequel ces options sont galement disponibles 3 2 Ecran Configuration principale 3 symantec G n ralit s Configuration principale Adresse IP statique amp DNS Statut Affichage du journal Adresse IP locale amp DHCP Configuration du mot de passe VPN Cl statique Cl dynamique Identit du client Options avanc es Groupe amp Adresse IP de l h te Filtres d acc s Applications sp ciales Serveurs virtuels Serveurs virtuels personnalis s H te expos DMZ PPPoE avanc DNS dynamique Routage Sauvegarde Analogique RNIS Configuration principale
28. lai d inactivit en secondes au bout duquel le VPN sera ferm automatiquement 11 Dans le champ Confidentialit de transmission optimale s lectionnez Activer ou D sactiver pour d finir la confidentialit de transmission optimale sur un change Diffie Hellman en phase 2 IKE 12 Dans le champ Passerelle de s curit locale liste d roulante Type d ID s lectionnez ID pour la n gociation de phase 1 IKE Adresse IP ou Nom unique 13 Dans le champ ID phase 1 indiquez la valeur ou le nom de l ID phase 1 Quand le type Adresse IP est s lectionn la valeur par d faut est l adresse IP de la passerelle 14 Sous la section Passerelle de s curit 4 distance dans le champ Adresse de la passerelle saisissez l adresse de la passerelle du r seau de destination L adresse de la passerelle peut tre une adresse IP ou le nom DNS de la passerelle distante La valeur 0 0 0 0 est r serv e pour les configurations client passerelle 5 10 15 Dans le champ Cl pr partag e saisissez votre Cl pr partag e La Cl pr partag e est une cl pr d finie utilis e par les deux extr mit s d un tunnel VPN pour s identifier entre elles La Cl pr partag e doit comporter au minimum 20 caract res et au maximum 64 caract res 16 Sous la section Pour les tunnels passerelle passerelle cliquez sur le bouton radio Activer diffusion NetBIOS pour activer la retransmission des paquets de diffusion Netbios 17 Cl
29. principal Mode dynamique Activer D sactiver Figure 5 3 Ecran VPN Cl dynamique partie 1 Pour les tunnels passerelle passerelle Diffusion NetBIOS Activer D sactiver Tunnel global Activer D sactiver Sous r seau distant 1 Adresse IP isd Masque 7 Sous r seau distant 2 Adresse IP 7 Masque 7 Sous r seau distant 3 Adresse IP C Masque C Sous r seau distant 4 Adresse IP C Masque 7 Sous r seau distant 5 Adresse IP 7 Masque C Ajouter Supprimer Mettre jour l entr e Effacer le formulaire Annuler Liste des associations de s curit Statut Nom Passerelle de s curit Sous r seau distant M thode de cryptage Figure 5 4 Ecran VPN Cl dynamique partie 2 1 Dans le menu principal s lectionnez VPN Cl dynamique 2 Dans le champ Nom saisissez un nom d crivant l Association de s curit 3 Cliquez sur le bouton radio Activer 4 Dans la liste d roulante R seau tendu s lectionnez un port de r seau tendu 5 Dans la liste d roulante Session PPPOE s lectionnez le num ro de session Utilisez Session 1 si vous n avez qu une session disponible aupr s de votre FAI 6 Cliquez sur le bouton radio Mode principal ou Mode dynamique pour activer la n gociation de phase 1 Le Mode principal utilise un change de six messages pour valider l identit de l initiateur et du r pondant Par d faut le mode principal utilise les adresses IP pour identifier les p
30. que vous soyez d j connect Le statut de la connexion est indiqu en haut de l cran Configuration principale S il indique Connect vous devriez pouvoir naviguer sur le Web Si vous avez un modem c ble et que le statut de connexion indique D connect 1 Cliquez sur Configuration principale 2 Allez dans la section Param tres r seau facultatifs de cet cran 3 Indiquez votre adresse d adaptateur r seau MAC ou le nom d h te ou de domaine fourni par le FAI fournisseur d acc s Internet 4 Indiquez l adresse MAC voir ci dessous ou le nom d h te et de domaine dans les champs appropri s Remarque Les noms d h te et de domaine sont sensibles la casse 5 Cliquez sur Enregistrer Le Firewall VPN Symantec red marre et essaye de se connecter Internet 6 Attendez quelques instants puis cliquez sur la page Revenir la Configuration principale 7 Cliquez sur Actualiser dans le navigateur Le Firewall VPN Symantec doit indiquer Connect dans le champ Statut de la connexion Si ce n est pas le cas essayer d actualiser de nouveau apr s quelques instants ou consultez le Chapitre 9 D pannage Pour configurer DSL ou un modem cable avec PPPoE Vous aurez besoin de votre nom d utilisateur et de votre mot de passe pour continuer 1 Cliquez sur Configuration principale Cliquez sur le bouton radio Activ sous l en t te PPPoE Dans le champ Nom d utilisateur indiquez votre nom d ut
31. rieur tous les ports de l h te sp cifi Pour des raisons de s curit cette fonction doit tre d sactiv e quand vous n en avez pas besoin Si vous avez des probl mes avec une application qui utilise Internet vous pouvez utiliser cette fonctionnalit pour effectuer un d pannage Il peut tre utile de cr er une application sp ciale consultez la section Applications sp ciales la page 14 ou un serveur virtuel consultez la section Serveur virtuel personnalis la page 19 Vous devez choisir un port de r seau tendu pour exposer l h te 192 168 0 1 Port LAN interne Serveur WEB 207 158 227 235 192 168 0 10 Port WAN externe Firewall VPN Serveur FTP 192 168 0 20 PC distant utilisant PC distant utilisant PC distant utilisant serveur FTP serveur WEB serveur FTP fp 207 158 227 235 http 207 168 227 236 Wp i207 158 227 235 Figure 4 9 Exemple de r seau avec serveur virtuel 4 18 Serveur virtuel personnalis Cette fonction permet de d finir un serveur personnalis accessible depuis l ext rieur par l adresse IP de r seau tendu externe du Firewall VPN Le Firewall VPN Symantec redirige alors la requ te vers l adresse IP locale interne du serveur virtuel V rifiez d abord sur l cran Serveurs virtuels que votre serveur n est pas d j pr d fini Serveurs virtuels personnalis s 2 Serveurs virtuels personnalis s existants S lectionnez une R p 2 ent
32. s existants 4 21 H te expos DMZ 4 22 Niveau EXPO 4 4 4 4 06 4 a 4 R R ES Pov ele We S AU mt Gb Sd ee ue R ei 4 23 Champs Connexion du Niveau expert 4 25 Equilibrage de charg ss AA 00 8 4 4 kter ERE SQ e To 60 3 6 4 36 te 4 25 Liaison SMTP EE Sie Bato she iiri eat Re RE nen eee 18 ea n e e 4 25 iv Renouvellement DHCP en cas d inactivit 4 25 MTU PC r seau local nunua 4 25 D lai de demande d cho 4 25 Niveau expert Champs de la section Fonctions avanc es 4 26 Autorisation port IDENT 4 26 Fonction NAT 444444444 eee 4 26 RIP V2 ss dau v sente Dale CEE REE are Le de Bale MR us 4 26 Niveau du journal gain amenant S dra ow ee annee bo 4 26 Type IPSEC nic cane Gerin obi td wi ca he Hae Df f e eed eee Re nie 4 26 PAN L ql lt So r a nea Ha des nn no D ne ee SCD 4 27 Niveau expert Champs de la section R cepteur de trappes SNMP 4 27 Niveau expert Champs de la section Plage d adresses IP pour l acc s distance 444 autant be ue ba sem db 4 27 Autorisation de la mise jour distance 4 27 5 Configuration de r seaux priv s virtuels VPN Virtual Private Networks Pour configurer un VPN cl statique
33. une IP locale statique l ordinateur par l interm diaire du serveur DHCP du Firewall VPN Cela signifie que le Firewall VPN Symantec r servera automatiquement l adresse IP correspondante pour cet h te sp cifique et n accordera cette IP qu cet h te quel que soit le moment auquel il d marre Vous pouvez laisser les propri t s r seau de l ordinateur sur l option Obtenir l adresse IP automatiquement car le Firewall VPN Symantec veillera ce que l IP reste la m me 4 Dans le champ Adresse IP r serv e indiquez l adresse IP que vous voulez affecter a cet ordinateur Elle doit se trouver sur la m me classe de r seau que le Firewall VPN Symantec S il s agit d un serveur virtuel v rifiez que l adresse IP correspond 4 celle indiqu e sur l cran Serveur virtuel Consultez la section Serveurs virtuels la page 16 5 S lectionnez le groupe de cet h te dans la liste d roulante Groupe d acc s Les groupes d acc s sont d finis sur l cran Filtres d acc s 6 Dans la liste d roulante Liaison a la session PPPoE s lectionnez la session lier a cet h te N utilisez cette proc dure que si de multiples sessions PPPoE sont d finies Elle n cessite un compte PPPoE sp cial aupr s de votre FAI fournisseur d acc s Internet 7 Cliquez sur Ajouter pour ajouter la nouvelle entr e ou Cliquez sur Supprimer pour supprimer l entr e affich e et lib rer la m moire du Firewall VPN Symantec Cliquez su
34. 0 0 signifie aucune limitation Limitation du volume de donn es 0 0 signifie aucune limitation 0 0 signifie aucune limitation D lai d inactivit 0 O signifie aucune 0 O signifie aucune limitation limitation Confidentialit de Activer Activer transmission optimale Passerelle de s curit locale Type d ID Adresse IP Adresse IP ID phase 1 vide vide Passerelle de s curit distance Adresse de la passerelle 2 2 2 2 1 1 1 1 Type ID Adresse IP Adresse IP 5 13 Champs de l cran VPN Param tres du FW VPN Param tres du FW VPN Cl dynamique 100 Symantec 200 Symantec ID phase 1 vide vide Cl pr partag e everygoodboydoesfine everygoodboydoesfine Pour les tunnels passerelle passerelle Diffusion NetBIOS d sactiver d sactiver Tunnel global d sactiver d sactiver IP de sous r seau distant 1 192 168 0 0 192 168 100 0 Masque sous r seau distant 1 255 255 255 0 255 255 255 0 VPN Identit du client Identit du client VPN e Identit de l utilisateur S lectionnez un utilisateur gt En cas de mise jour ou de suppression des utilisateurs actuels Mettre jour les champs ci dessous S lectionnez d abord l utilisateur ci dessus sauf en cas d ajout Activer 7 Nomiduriliestenr li doit correspondre ND client fourni par le client VPN distant Cl pr partag e Ajo
35. 255 0 Pour configurer un VPN a cl dynamique Cl dynamique VPN Qe Association de s curit IPSec S lectionnez une 5 lt 2 lt association Effectuez la s lection seulement si vous mettez jour ou supprimez la configuration de s curit ex Stante Mettre jour les champs ci dessous S lectionnez d abord l association de s curit ci dessus sauf en cas d ajout Nom Activer D sactiver Part r seau tendu R seau tendu 1 x Vous devez lier le tunnel VPN au port r seau tendu Session PPPoE Session 1 x S lectionnez la session PPPoE laquelle lier le tunnel VPN N gociation de phase 1 M thode d authentification anms sd et de cryptage RU Dur e de vie de C l association de s curit minutes Limitation du volume de C j donn es Ko D lai d inactivit minutes Confidentialit de transmission optimale Passerelle de s curit locale Type d ID Adresse IP ID Phase 1 Passerelle de s curit distance Adresse de la passerelle Entrez 0 0 0 0 pour le tunnel client passerelie Type d ID Adresse IP x S lectionnez le nom unique des tunnels client passerelie Ne remplissez pas les champs ID Phase 1 et Secret ID Phase 1 E partag pour l association de s curit client NO du client distant doit correspondre un utilisateur de la liste des clients Cl pr partag e Pour les tunnels passerelle passerelle Mode
36. E Session 1 S lectionnez la session PPPoE laquelle lier le tunnel VPN SPI entrant 7 SPI sortant P M thode d pr anms sy Cl de cryptage EE Cl d authentification rr Passerelle de s curit a distance Adresse de la passerelle Nom IP ou ONS Diffusion NetBIOS C Activer D sactiver Tunnel global Activer D sactiver Sous r seau distant 1 Adresse IP Masque Sous r seau distant 2 Adresse IP Masque Sous r seau distant 3 Adresse IP Masque Sous r seau distant 4 Adresse IP Masque Sous r seau distant 5 Adresse IP Masque Ajouter Supprimer Mettre jour l entr e Effacer le formulaire Annuler Figure 5 1 Ecran VPN Cl statique 5 3 1 Dans le menu principal s lectionnez VPN Cl statique 2 Dans le champ Nom saisissez un nom d crivant l Association de s curit La longueur du nom de l Association de s curit doit tre comprise entre 1 et 15 caracteres 3 Cliquez sur le bouton radio Activer 4 Dans la liste d roulante R seau tendu s lectionnez un port de r seau tendu VPN 200 uniquement 5 Dans la liste d roulante Session PPPOE s lectionnez un num ro de session Utilisez Session 1 si vous n avez qu une session disponible aupr s de votre FAI 6 Dans le champ SPI entrant indiquez votre index de param tre de s curit entrant Le SPI est un nombre hexad cimal 0 9 A F ou un nombre d cimal Utilisez le pr fixe OX pour les nombres hexad cimaux 7 Da
37. FAI fournisseur d acc s Internet Tous les mod les de Firewall VPN Symantec se comportent comme une passerelle VPN terminal VPN pour les tunnels entre passerelles et entre les clients distants et les passerelles mod le 200R Haute disponibilit Equilibrage de charge Les mod les de Firewall VPN Symantec 200 et 200R comportent deux ports de r seau tendu qui peuvent partager la charge entre les deux ports et m me entre deux fournisseurs d acc s Internet utilisant des technologies de connexion diff rentes par exemple DSL et le cable 1 2 Connexion de secours automatique Les mod les 100 200 et 200R ont la possibilit de s interfacer un modem analogique pour tablir une connexion de secours La fonction de connexion de secours tablit automatiquement une connexion Internet en utilisant le port s rie si la connexion principale ne fonctionne plus Vous conservez ainsi un certain niveau de connectivit m me si votre connexion principale Internet ne fonctionne plus Cette connexion est automatiquement interrompue quand la connexion principale est de nouveau disponible Le port s rie est utilis pour une connexion analogique ou RNIS ainsi que pour pr configurer ou r initialiser l unit par l interm diaire d une console de terminal Le port s rie peut tre utilis en mode Secours ou comme seule connexion Internet de l unit en attendant que l acc s Internet large bande soit disponible dans votre r gion
38. Firewall VPN Symantec Mod les 100 200 200R Guide d installation et de configuration Octobre 2001 3 symantec Le logiciel d crit dans ce manuel est fourni aux termes d un contrat de licence et ne peut tre utilis qu en conformit avec ce contrat Copyright Copyright 1998 2001 Symantec Corporation Tous droits r serv s Toute documentation technique fournie par Symantec Corporation est soumise copyright et reste la propri t de Symantec Corporation LIMITATION DE GARANTIE Cette documentation technique vous est fournie EN L ETAT et Symantec Corporation ne donne aucune garantie quant 4 son exactitude ou a son utilisation Toute utilisation de cette documentation ou de son contenu est effectu e aux seuls risques de l utilisateur Cette documentation peut contenir des erreurs techniques typographiques ou autres inexactitudes Symantec se r serve le droit d y apporter des modifications sans pr avis Aucune partie de cette documentation ne peut tre copi e sans l accord crit pr alable de Symantec Corporation 20330 Stevens Creek Blvd Cupertino CA 95014 Etats Unis Marques d pos es Microsoft MS DOS Windows et Windows NT sont des marques d pos es de Microsoft Corporation IBM OS 2 et OS 2 Warp sont des marques d pos es de International Business Machines Corporation Novell et NetWare sont des marques d pos es de Novell Corporation 3Com et EtherLink sont des marques d pos es de 3Com Corpor
39. Partage d adresse IP La fonctionnalit de Partage d adresse IP permet a tous les ordinateurs d un bureau de partager une ou deux adresses IP externes Ce partage cr e de multiples adresses IP internes uniques a partir d une ou deux adresses IP externes ce qui permet d optimiser les co ts de connexion Internet Consignation Consignation interne Le Firewall VPN Symantec cr e un journal local qui enregistre les changements de configuration et les v nements li s la s curit Ces journaux sont accessibles a distance par une liaison de gestion crypt e Le niveau de consignation est configurable Acc s a distance La fonction de Gestion s curis e distance permet au FAI ou au si ge social d une entreprise de g rer ces p riph riques depuis un emplacement distant Le Firewall VPN Symantec peut aussi tre g r par l interm diaire d Outils SNMPv1 Ces outils peuvent tre t l charg s et existent dans toutes les gammes de prix Ils permettent de g n rer des journaux pour fournir une image compl te des performances du r seau 1 3 Connexion directe IPSec VPN En plus de cr er des tunnels VPN en utilisant le Firewall VPN Symantec comme terminal le Firewall VPN Symantec reconna t automatiquement les sessions VPN IPSec et leur permet de traverser le firewall Si vous le souhaitez vous pouvez autoriser des sessions VPN de clients internes vers des serveurs distants Autres fonctionnalit s r seau Le Fi
40. VPN 200R Symantec m me si l ordinateur est vol Pour renforcer la s curit le Client Symantec Enterprise VPN inclut un firewall personnel qui limite les ports sur lesquels les paquets de donn es peuvent tre re us 8 2 Configuration du Client Symantec Enterprise VPN avec le Firewall VPN 200R Symantec Les passerelles de s curit doivent tre configur es la fois du c t du Firewall VPN Symantec et du Client Symantec Enterprise VPN Chaque passerelle peut prendre en charge des tunnels multiples En cons quence quand vous ajoutez ou enlevez une passerelle de s curit dans la base de donn es du Client Symantec Enterprise VPN vous ajoutez ou vous retirez simultan ment tous les tunnels associ s la passerelle de s curit 192 168 0 1 237 0 130 149 Computer 192 168 0 2 Symantec Enterprise YPN Client Symantec Enterprise Firewall VPN Computer 192 168 0 3 Figure 8 2 Configuration de tunnel distant du Client Symantec Enterprise VPN Les tunnels doivent tre connect s chaque fois que votre PC d marre Quand les passerelles et les tunnels sont connect s ils le restent jusqu que l un des v nements suivants intervient une d connexion volontaire un d passement de d lai d inactivit une perte de connexion fermeture de Windows ou du Client Symantec Enterprise VPN 8 3 Configuration du Firewall VPN 200R Symantec pour un tunnel dynamique vers le Client Symantec Enterp
41. a responsabilit de l utilisateur e Les c bles branch s sur des quipements des emplacements diff rents avec des sources d alimentation et des mises la terre diff rentes peuvent pr senter des risques d lectrocution Consultez un lectricien qualifi avant d installer le Firewall VPN Symantec pour v rifier s il existe un probl me et prendre les mesures appropri es si n cessaire e Ne touchez jamais des fils t l phoniques ou des connecteurs sans d brancher la ligne e Evitez d utiliser un quipement t l phonique ou d installer le Firewall VPN Symantec pendant un orage e Niinstallez jamais de prise t l phoniques de lignes de c bles r seau de branchements lectriques ou le Firewall VPN Symantec 4 un emplacement humide e Ne versez jamais de liquide sur le Firewall VPN Symantec 2 3 Informations de compte Internet Pour effectuer l installation vous devez d terminer le type de connexion Internet dont vous disposez Dans le contexte de ce manuel il peut s agir de l un des trois types suivants Compte Internet PPPoE La plupart des grands FAI DSL ont adopt cette m thode Si vous avez un logiciel de connexion a distance sur votre ordinateur vous poss dez probablement un compte PPPoE e Vous aurez besoin de votre nom d utilisateur et de votre mot de passe pour installer votre Firewall VPN Symantec e D sactivez ou d sinstallez le logiciel de connexion distance PPPoE Compte Internet
42. adresse IP au serveur DNS 192 168 0 1 par d faut sauf si des DNS statiques sont d finies Cela est normal car le Firewall VPN Symantec va g rer toutes les requ tes DNS envoy s au FAI fournisseur d acc s Internet Vous pouvez d sactiver le serveur DHCP dans le Firewall VPN Cela est utile si vous avez d j un serveur DHCP sur votre r seau ou si tous les ordinateurs de votre r seau ont des adresses IP statiques d finies dans leurs propri t s r seau Par exemple si vous avez un serveur Web sur votre site vous devrez lui affecter une adresse statique La Plage DHCP repr sente la plage d adresses IP que vous voulez que le serveur DHCP affecte 3 12 La table DHCP liste tous les h tes d finis dans le serveur DHCP du Firewall VPN ainsi que leurs propri t s Si vous effectuez des changements cliquez sur Enregistrer apr s avoir fourni toutes les informations Mot de passe de configuration Ce mot de passe prot ge l interface Web du Firewall VPN Symantec en demandant une authentification pour pouvoir acc der l unit Nous vous recommandons de d finir un mot de passe quand vous travaillez dans un environnement de bureau pour viter toute reconfiguration incorrecte D finissez toujours un mot de passe quand vous activez la configuration a distance consultez le Niveau expert De plus pour des raisons de s curit Symantec recommande que toute gestion de l unit distance soit effectu e au travers d un tunnel
43. ant un tunnel VPN il vous suffit d aller l adresse IP interne du Firewall VPN Symantec avec votre navigateur Pour configurer l unit distance indiquez le d but et la fin de la plage IP indiquez la m me valeur pour les deux si vous voulez d finir une seule adresse IP Vous pouvez ensuite acc der l unit depuis un navigateur Web externe en tapant l IP du port r seau tendu suivi du port 8088 Par exemple saisissez http 207 158 227 235 8088 dans votre navigateur externe si 207 158 227 235 est l adresse obtenue aupr s de votre FAI par le Firewall VPN Symantec L IP depuis laquelle vous vous connectez doit tre incluse dans la plage IP sp cifi e Vous avez aussi int r t sp cifier un mot de passe de configuration pour plus de s curit Autorisation de la mise jour distance Vous pouvez activer l option Autorisation de la mise jour distance si vous souhaitez effectuer des mises niveaux TFTP distance du micrologiciel de l unit depuis la plage IP sp cifi e au dessus La valeur par d faut est D sactiv 4 26 Configuration de r seaux priv s virtuels VPN Virtual Private Networks Ce chapitre d crit les proc dures de configuration de tunnels VPN avec les fonctionnalit s VPN Cl statique VPN Cl dynamique et VPN Identit du client de l interface utilisateur de Symantec Firewall VPN Il contient galement une br ve pr sentation des VPN du cryptage et de l authentif
44. aseT ou 100BaseT sur les ordinateurs que vous voulez connecter au Firewall VPN Navigateur Web standard Protocole r seau TCP IP Ce protocole est g n ralement install dans votre ordinateur et fait partie int grante de tous les syst mes d exploitation modernes C blage UTP cat gorie CAT5 avec connecteurs RJ45 pour connecter les ordinateurs au Firewall VPN Symantec un cable est inclus Pr cautions et avertissements 2 2 Tenez compte de tous les avertissements notes et instructions indiqu s sur le Firewall VPN Pour prot ger l unit contre les surchauffes v rifiez qu elle n est pas couverte et que la ventilation est suffisante N utilisez pas et ne stockez pas le Firewall VPN Symantec dans un environnement dont la temp rature et l humidit sont hors normes Ne placez pas le Firewall VPN Symantec pr s d un radiateur ou d une sortie de chaleur si la ventilation appropri e n est pas assur e Avant de nettoyer le Firewall VPN Symantec d branchez le de la prise murale N utilisez pas de nettoyant liquide ni en a rosol Utilisez un chiffon humide pour le nettoyage e Ne placez pas de cordons ou de cables un endroit o quelqu un risque de marcher dessus e Veillez vous conformer toutes les r glementations ou normes de s curit locales e Des c bles polyvalents sont fournis avec le Firewall VPN Symantec Les c bles sp ciaux et autres mat riels impos s par les r glementations locales sont de l
45. asserelle saisissez 0 0 0 0 16 Dans le champ Type ID s lectionnez Nom unique Il n est pas n cessaire de fournir d ID phase car le Firewall VPN Symantec recherche automatiquement les identifications d utilisateur correspondantes dans sa base de donn es 17 Cliquez sur Ajouter Le c t Firewall VPN 200R Symantec du tunnel est pr sent configur Configuration du Client Symantec Enterprise VPN pour un tunnel dynamique vers le Firewall VPN 200R Symantec Le tableau suivant indique les tapes requises pour configurer le Client Symantec Enterprise VPN pour un tunnel dynamique vers le Firewall VPN 200R Symantec Pour plus d informations consultez le Guide de l administrateur du Client Symantec Enterprise VPN Table 8 1 Configuration du Client Symantec Enterprise VPN Guide de configuration du Client Etapes de configuration Symantec Enterprise VPN Chapitre Section Sous section 1 Lancer le Client Symantec Getting Started Enterprise VPN 2 Cr er une nouvelle passerelle Managing Gateways Adding a Gateway 3 Indiquez l adresse externe ou le Managing Gateways Adding a Gateway nom DNS du Firewall VPN 200R Symantec 4 D s lectionnez le Firewall Managing Gateways Adding a Gateway PowerVPN Symantec 5 Indiquez le secret partag Managing Gateways Adding a Gateway 6 Indiquez l ID client Managing Gateways Adding a Gateway 7 Cr ez une nouvelle politique IKE Managing Gate
46. asserelles VPN N anmoins cela peut tre remplac par une tiquette de texte si l adresse de la passerelle est convertie par NAT sur le r seau Le mode principal fournit la meilleure protection contre les attaques DOS Denial Of Service bas es sur le cryptage 5 9 Le Mode dynamique change trois messages entre l initiateur et le r pondant pendant la n gociation de cl Ce mode ne d pend pas de l adresse IP des deux p riph riques et il est donc souvent utilis pour les tunnels VPN o l adresse IP n est pas connue d avance Par exemple les utilisateurs itin rants ont g n ralement une adresse IP dynamique d livr e par leur FAI dans ce mode rien d autre n est n cessaire pour identifier l metteur de la requ te En g n ral dans les configurations client passerelle l identification se fait par lID utilisateur 7 Dans la liste d roulante M thode d authentification et de cryptage s lectionnez la m thode de cryptage 8 Dans le champ Dur e de vie de l association de s curit indiquez la dur e en minutes pendant laquelle l Association de s curit doit rester active avant de r g n rer automatiquement les cl s 9 Dans le champ Limitation du volume de donn es de l association de s curit indiquez la quantit de donn es en kilo octets pouvant traverser le VPN avant que l Association de s curit ne reg n re automatiquement les cl s 10 Dans le champ D lai d inactivit indiquez le d
47. ation Compaq est une marque d pos e de Compaq Corporation Zip et Jaz sont des marques d pos es de Iomega Corporation SuperDisk est une marque commerciale de Imation Enterprises Corporation Tous les autres noms de produit cit s peuvent tre des marques commerciales ou d pos es de leurs d tenteurs respectifs et sont reconnus comme tels Imprim aux Etats Unis 10 9 8 7 6 5 4 3 2 1 1 Pr sentation du produit Firewall Stateful Inspection 1 2 MIS en TESEAU so veins a Lara lt R a ee RES de oies 1 2 VPN Virtual Private Networks r seau priv virtuel 1 2 Haute disponibilit Equilibrage de charge 1 2 Connexion de secours automatique 1 3 Partage d adresse IP 1 3 Consignation Consignation interne 1 3 Acc s distance 1 3 Connexion directe IPSec VPN 1 4 Autres fonctionnalit s r seau 1 4 Fonctionnalit s 4 34h wanie bain datant ae eee an wow a eee to ed 1 4 Firewall VPN 100 Symantec 1 4 Firewall VPN 200 Symantec 1 6 Firewall VPN 200R Symantec 1 7 Symboles internationaux du Firewall VPN Symantec
48. champ Num ro de t l phone d acc s n 1 saisissez le num ro de t l phone d acc s de votre FAI sans espaces ni tirets Vous pouvez indiquer jusqu 3 num ros de t l phone composer si le premier est occup 6 3 5 Dans la section Param tres du modem indiquez les informations de votre modem a Dans la liste d roulante Modem s lectionnez le type de votre modem Pour d terminer les meilleurs param tres utiliser consultez le manuel d utilisation de votre modem Plusieurs modems sont pr d finis Si votre modem n appara t pas dans la liste s lectionnez l option Autres et saisissez la cha ne d initialisation de votre modem Si vous ne savez pas comment faire consultez le constructeur de votre modem b Dans la liste d roulante Vitesse de la ligne s lectionnez la vitesse de la connexion votre FAI fournisseur d acc s Internet Si vous avez des probl mes pour vous connecter diminuez la vitesse de la ligne c Dans la liste d roulante Type de ligne t l phonique s lectionnez le type de votre ligne Le type de ligne est g n ralement Connexion a distance mais vous pouvez s lectionner l option Ligne sp cialis e si cela correspond a votre installation d Type et Chaines de num rotation Ne modifiez ces param tres que si vous n avez pas de tonalit Pour modifiez les chaines de num rotation consultez le manuel d utilisation de votre modem Dans le champ D lai d inactivit saisissez le d lai d
49. chez les l ments que vous voulez bloquer 5 Dans la section Filtres personnalis s indiquez un nom court et les ports de d but et de fin utilis s par le protocole Vous devez connaitre le type de paquet TCP ou UDP et les ports utilis s par le protocole que vous voulez bloquer Si un seul port est utilis indiquez le m me num ro dans les deux champs Vous pouvez d finir des protocoles et des plages multiples pour obtenir des filtres tr s souples pour chaque groupe 6 Cliquez sur Enregistrer apr s avoir indiqu toutes les informations pour un groupe 4 13 Applications sp ciales Certaines applications utilisant des communications bidirectionnelles ont besoin que des ports soient ouverts dans le firewall pour fonctionner C est le cas de la plupart des jeux et des logiciels de vid o t l conf rence Certains logiciels connus sont d ja pr d finis mais d sactiv s par d faut Vous pouvez les activer ici ou ajouter de nouvelles entr es Pour d terminer les ports et les protocoles dont votre application a besoin pour fonctionner il est pr f rable de consulter l aide de cette application et de rechercher les param tres associ s l utilisation d un Firewall ou du NAT Certaines applications peuvent n cessiter l ajout et l activation de plusieurs entr es par exemple quand une application utilise plusieurs plages de ports Applications sp ciales Qe Applications sp ciales existantes S lectionnez une R
50. comment utiliser l application derri re un firewall Si vous avez toujours un probl me vous pouvez utiliser la fonction H te expos Elle devrait fonctionner avec la plupart des applications mais elle constitue un risque de s curit car le firewall est d sactiv pour le PC expos et un seul PC peut l utiliser Quand la fonctionnalit H te expos est utilis e il est recommand de d sactiver les fonctionnalit s Applications sp ciales et Serveur virtuel Probl me 4 L authentification PPPoE choue PPPoE n est peut tre pas configur correctement ou vous devez peut tre mettre niveau votre micrologiciel V rifiez les points suivants e Veillez cliquer sur le bouton Enregistrer apr s avoir saisi des informations dans l cran d installation PPPoE Le nom d utilisateur et le mot de passe doivent tre saisis exactement tels qu ils vous ont t indiqu s par votre fournisseur majuscules minuscules Le suffixe de nom de service peut tre n cessaire pour se connecter V rifiez aupr s de votre fournisseur que vous utilisez le nom d utilisateur et le mot de passe corrects ainsi que tous les suffixes n cessaires Vous pouvez essayer de saisir votre nom d utilisateur suivi du caract re et du domaine de votre fournisseur de service Exemple John sympatico ca Si votre fournisseur prend en charge des services le bouton Obtenir services sur l cran PPPOE avanc aura le m me effet sans avoir besoin d
51. cultatifs Certains FAI ont besoin d informations suppl mentaires pour l authentification Si vous avez des probl mes pour vous connecter vous pouvez saisir ces informations suppl mentaires dans la section des informations facultatives de l cran Configuration principale Pour configurer les champs des param tres r seau facultatifs 1 Dans le champ Nom d H te indiquez le m me nom d h te que celui de votre ordinateur Vous devez saisir le nom d h te r cup r depuis l ordinateur connect au service Internet Remarque Les noms d h te et de domaine sont sensibles la casse Dans le champ Nom de domaine indiquez le m me nom de domaine que celui de l ordinateur qui tait connect Internet Les utilisateurs Home doivent indiquer leur adresse lectronique Home compl te pour pouvoir acc der au champ du nom de domaine de leur serveur de messagerie Indiquez votre adresse d adaptateur r seau MAC dans les champs Adaptateur r seau MAC Certains FAI authentifient votre identit par rapport l adresse d adaptateur MAC de votre carte Ethernet Le Firewall VPN Symantec peut avoir simuler l adresse de l adaptateur de votre ordinateur pour pouvoir se connecter votre FAI Vous devez saisir l adresse MAC r cup r e sur l ordinateur connect au service Internet Cliquez sur Enregistrer apr s avoir fourni toutes les informations 3 5 Pour configurer un modem c ble utilisant DHCP Il est possible
52. dynamique pour Firewall VPN 100 Symantec 7 6 Configuration de tunnel dynamique SEVPN 7 9 8 Connexion au Client Symantec Enterprise VPN Configuration du Client Symantec Enterprise VPN avec le Firewall VPN 200R Symantec 8 3 Configuration du Firewall VPN 200R Symantec pour un tunnel dynamique vers le Client Symantec Enterprise VPN 8 4 Configuration du Client Symantec Enterprise VPN pour un tunnel dynamique vers le Firewall VPN 200R Symantec 8 6 9 D pannage Probl me 1 Impossible de se connecter au Firewall VPN Symantec pour l Configurer das Y SR A A 8016 3 E S a eae 4 O D S R eed be aa es 9 1 Probl me 2 Quand je saisis une URL ou une adresse IP j obtiens une erreur de d lai d pass 9 2 Probl me 3 Certaines applications ne fonctionnent pas correctement avec le Firewall VPN 9 2 Probl me 4 L authentification PPPoE choue 9 3 10 Mises niveau du micrologiciel Pour mettre niveau le micrologiciel 10 2 Index Support technique vi Pr sentation du produit La famille de produits Firewall VPN de Symantec r pond tous les besoins des petites implantations des bureaux distants des filiales et des petites entreprises qui souhaitent constituer facilement un r seau et s
53. e connecter en toute s curit un FAI fournisseur d acc s a Internet ou au si ge social de l entreprise Le Firewall VPN Symantec prot ge vos ordinateurs contre les intrusions La fonctionnalit de Firewall rend votre r seau invisible de l ext rieur et rejette toutes les demandes d informations non autoris s sur votre entreprise Le Firewall VPN Symantec constitue une solution VPN cl en main Vous pouvez permettre votre entreprise de communiquer en toute s curit en utilisant Internet comme s il s agissait de votre r seau d entreprise priv Il est ainsi possible aux travailleurs itin rants aux antennes r gionales aux partenaires et aux revendeurs d acc der vos serveurs tout en garantissant votre s curit et celle de vos utilisateurs Le Firewall VPN Symantec est con u pour les petites filiales et les agences r gionales connect es par DSL T1 ou des modems cable Le Firewall VPN Symantec vous permet galement de partager une connexion Internet large bande entre plusieurs ordinateurs Vous pouvez l utiliser pour mettre en r seau tous les PC imprimantes et serveurs de votre entreprise rapidement et facilement et cr er un r seau local Contrairement d autres produits similaires cette famille de produits fournit les fonctionnalit s avanc es n cessaires aux entreprises comme la haute disponibilit int gr e la connexion de secours automatique et la fonction de VPN Virtual Private Networking r seau p
54. e suffixe 9 3 Mises a niveau du micrologiciel Le Firewall VPN Symantec effectue sa tache en suivant une s rie d instructions cod es dans sa m moire permanente Ces instructions sont d sign es micrologiciel Le micrologiciel contient toutes les fonctionnalit s du Firewall VPN Les mises a niveau du micrologiciel sont disponibles sur le site Web de Symantec La version courante du micrologiciel est affich e dans l cran Statut de l interface Si cette version est ant rieure celle pr sente sur le site Web vous pouvez t l charger ce micrologiciel pour mettre jour votre Firewall VPN Symantec Les proc dures suivantes consid rent que l adresse IP de l unit est la valeur par d faut 192 168 0 1 Si ce n est pas le cas substituez l adresse correcte dans les instructions La mise niveau du micrologiciel peut effacer vos param tres de configuration ce n est g n ralement pas le cas mais certains micrologiciels peuvent avoir cet effet Veuillez noter tous vos param tres avant de proc der la mise niveau du micrologiciel N utilisez pas le fichier de sauvegarde d une configuration de micrologiciel ant rieure pour restaurer vos parametres 10 1 Pour effectuer la mise niveau vous avez besoin du micrologiciel t l charg depuis le site Web de Symantec et de l utilitaire nxtftp disponible sur le CD dans le dossier Utilities Gl y a une commande pour Windows et une commande pour DOS nous utiliser
55. ec v rifiez que vous utilisez un cable direct fourni avec l unit ou achet chez un revendeur votre carte r seau est compatible 10 100BaseT Probl me 2 Quand je saisis une URL ou une adresse IP j obtiens une erreur de d lai d pass Essayez les m thodes de d pannage suivantes V rifiez si d autres ordinateurs fonctionnent avec la m me URL Si c est le cas v rifiez que les param tres IP de votre ordinateur sont corrects adresse IP masque de sous r seau passerelle par d faut et DNS V rifiez que la plage IP que vous utilisez n est pas utilis e par un fournisseur de service 192 168 X X ou 10 X X X Si les autres ordinateurs ne peuvent pas se connecter non plus v rifiez que vous avez connect le Firewall VPN Symantec correctement d crit dans la section Installation Si le Firewall VPN Symantec est configur correctement v rifiez que votre connexion Internet xDSL modem c ble etc fonctionne quand elle est branch e directement sur votre ordinateur Probl me 3 Certaines applications ne fonctionnent pas correctement avec le Firewall VPN Utilisez l cran Applications sp ciales pour autoriser l utilisation d applications Internet sp ciales Le Firewall VPN Symantec traite les donn es qui le traverse il n est donc pas transparent L application peut avoir besoin que certains ports TCP et UDP soient lib r s pour fonctionner correctement Consultez le site Web de l diteur pour savoir
56. ent faire suivre les paquets un autre routeur avant d atteindre le routeur local du Firewall VPN Symantec l adresse IP de passerelle est l adresse du routeur interm diaire 192 168 0 100 192 168 1 30 Segment 1 192 168 1 XX Segment 0 Router A 192 168 0 XX FirewallVPN Computer 192 168 0 1 192 168 1 90 Segment 2 192168 1 240 192 168 1 XX 192 168 2 249 192 168 2 70 Router B Computer Figure 4 4 Exemple de routage Pour le r seau local illustr ci dessus avec deux routeurs et trois segments de r seau la table de routage du Firewall VPN n cessite deux entr es Entr e 1 Segment 1 Adresse IP de destination 192 168 1 0 Masque de sous r seau 255 255 255 0 Adresse IP de passerelle 192 168 10 100 M trique 1 4 8 Entr e 2 Segment 2 Adresse IP de destination 192 168 1 0 Masque de sous r seau 255 255 255 0 Adresse IP de passerelle 192 168 10 100 M trique 2 Pour la route par d faut du routeur A Adresse IP de destination 0 0 0 0 Masque de sous r seau 0 0 0 0 Adresse IP de passerelle 192 168 0 1 adresse IP du Firewall VPN Symantec Pour la route par d faut du routeur B Adresse IP de destination 0 0 0 0 Masque de sous r seau 0 0 0 0 Adresse IP de passerelle 192 168 1 30 routeur local du Firewall VPN Symantec Groupe et Adresse IP de l h te Cet cran vous permet d affecter des IP statiques de d finir le groupe d acc s voir Filtres d acc s et de lier de
57. expert Figure 1 5 Symantec Firewall VPN Statut de la connexion Obtention automatique de l adresse IP amp du DNS Sauf si l adresse IP statique est d finie Activer Remarque pour les connexions DHCP Configuration principale PPPoE Activez cette option uniquement si vous utilisez une connexion PPPoE Activer Nom d utilisateur Mot de passe Confirmation du mot de passe Param tres r seau facultatifs Nom d h te Nom de domaine Adresse de l adaptateur r seau MAC Enregistrer Annuler Actualiser Note Ne rien modifier moins que votre ISP ne le requiert Exemple d interface utilisateur du Firewall VPN 100 Symantec Installation Configuration L emballage Firewall VPN Symantec contient les l ments suivants e Unit Firewall VPN Symantec e Cable Ethernet CATS de 2 m CD contenant le manuel d utilisation les utilitaires et le Client Symantec Enterprise VPN 200R uniquement e Transformateur 9 V CC 1 000 mA e Carte de d marrage rapide 2 1 Configuration r seau Vous aurez besoin des l ments suivants pour utiliser le Firewall VPN Symantec Compte Internet cable ou DSL ou autre connexion r seau Modem cable ou DSL ou autre p riph rique r seau avec connexion RJ45 Ethernet compatible 10BaseT Cet l ment est g n ralement disponible aupr s du FAI fournisseur d acc s Internet sur simple demande Carte r seau Ethernet compatible 10B
58. figuration de VPN dynamique Pour configurer le tunnel 1 Dans le champ Nom indiquez un nom pour ce tunnel 2 Cochez Activer 3 S lectionnez le Port de r seau tendu auquel vous souhaitez lier le tunnel VPN 7 7 4 S lectionnez la Session PPPoE laquelle vous souhaitez lier le tunnel 5 Cochez Mode principal pour N gociation de phase 1 6 S lectionnez la M thode d authentification et de cryptage en fonction des param tres du SEVPN 7 Cochez l option Confidentialit de transmission optimale en fonction des param tres du SEVPN 8 Sous Passerelle de s curit distance d finissez l Adresse de passerelle qui sera l adresse de passerelle du SEVPN 9 D finissez Type ID sur Adresse IP 10 D finissez la Cl pr partag e comme Secret partag du SEVPN 11 Cochez D sactiver pour Diffusion NetBIOS 12 Cochez D sactiver pour Tunnel global 13 D finissez R seau destination 1 sur le r seau de destination prot g par le SEVPN 14 D finissez Masque sur le masque r seau du r seau de destination prot g par le SEVPN 15 Cliquez sur Ajouter pour ajouter le nouveau tunnel au syst me Le tunnel doit 4 pr sent tre op rationnel aux deux extr mit s Pour le v rifier ouvrez une ligne de commande DOS et envoyez un ping une machine du r seau distant Apr s quelques instants la reponse de ping initiale passera en d lai d pass L attente correspond a l change des cl s entre les ext
59. figuration logicielle r centes Service client le Contactez le Service client le Enterprise en ligne l adresse suivante http www symantec fr s lectionnez le site de votre pays puis choisissez Service et Support Le Service client le est disponible pour r soudre les types de probl mes suivants Les questions sur les licences et la s rialisation des produits La mise jour d enregistrement de produits avec changement de nom et d adresse Les questions d avant vente non techniques Les brochures produits L absence ou le remplacement de manuels disquettes ou CD ROM d fectueux Les commandes de mise a niveau
60. h te ci dessus sauf si vous effectuez une op ration d ajout Nom d h te Adresse de l adaptateur r seau MAC Param tres de l h te R server l entr e dans la table DHCP M Cochez cette case puis entrez l adresse IP ci dessous Adresse IP r serv e S Groupe d acc s Tous X Liaison au port r seau j tendu D sactiver Activer R seau tendu 1 x Liaison la session PPPoE Session PPPoE Session 1 Conservez la valeur Session 1 si vous ne poss dez pas de compte PPPoE multisession Ajouter Supprimer Mettre jour l entr e Effacer le formulaire Annuler Liste d h tes Nom Adresse de l adaptateur MAC Adresse IP r serv e Groupe de s curit Session PPPoE Figure 4 5 Groupe et adresse IP de l h te Pour configurer le groupe et l adresse IP de l h te 1 Dans la section Identit du r seau h te indiquez un nom d h te Donnez l h te un nom court et explicite Ce nom peut tre le m me que celui d fini dans les propri t s r seau de l ordinateur mais ce n est pas obligatoire 2 Indiquez l adresse de l adaptateur r seau Le Firewall VPN Symantec identifie l h te par l adresse d adaptateur de sa carte d interface r seau g n ralement une carte Ethernet Vous devez indiquer l adresse de la carte d interface r seau de l h te dans ce champ 4 10 3 Dans la section Param tres de l h te cochez l option R server l entr e dans la table DHCP pour affecter
61. ialement l cran ne contient que quelques param tres par d faut Pour configurer un tunnel statique vous aurez besoin des informations suivantes sur le SEVPN e Adresse IP de la passerelle du SEVPN e Destination r seau prot g e par le SEVPN Masque de r seau du r seau distant prot g par le SEVPN e SPI local e SPI distant e Param tres de cryptage sur le SEVPN DES 3DES SHA1 etc e Cl d algorithme de confidentialit e Cl d algorithme d int grit Pour configurer le tunnel 1 Dans le champ Nom indiquez un nom pour ce tunnel 2 Cliquez sur Activer 3 S lectionnez le Port de r seau tendu auquel vous souhaitez lier le tunnel VPN VPN 200 uniquement 4 S lectionnez la Session PPPoE laquelle vous souhaitez lier le tunnel 5 D finissez le SPI entrant en fonction du SPI distant du SEVPN 6 D finissez le SPI sortant en fonction du SPI local du SEVPN 7 S lectionnez la M thode d authentification et de cryptage en fonction des param tres du SEVPN 8 D finissez la Cl de cryptage en fonction de la cl d algorithme de confidentialit du SEVPN Si vous utilisez 3DES vous devrez concat ner les trois cl s du SEVPN pour former une cl 9 D finissez la Cl d authentification en fonction de la cl d algorithme d int grit du SEVPN 10 D finissez l Adresse de passerelle qui sera l adresse de passerelle du SEVPN 11 Cochez D sactiver pour Diffusion NetBIOS 12 Cochez D sactiver pou
62. ication Les VPN permettent aux entreprises d utiliser en toute s curit des canaux de communication non s curis s pour transporter des donn es sensibles La technologie VPN la plus r pandue dans l industrie est bas e sur les standards IPSec IP Security S curit IP IPSec est un ensemble de standards approuv s par l IETF Internet Engineering Task Force groupe de travail de d veloppement d Internet La suite IPSec comporte des protocoles de s curit permettant de garantir l int grit et la confidentialit des donn es gr ce au cryptage L int grit des donn es interdit que les donn es soient modifi es pendant les transferts Elle garantit que les donn es re ues par le destinataire sont exactement celles qui ont t envoy es par l exp diteur La confidentialit des donn es garantit que les donn es sensibles ne peuvent pas tre lues par une personne ext rieure le texte transmis est brouill avec une cl de cryptage ou des cl s de cryptage multiples et ne peut tre d cod qu avec la cl secr te pr d finie En plus de ces services de base IPSec inclut divers m canismes d authentification et de protection contre les attaques par retransmission des donn es replay attacks et de refus de service DOS Denial Of Service Ensemble ces services constituent l infrastructure permettant une entreprise d utiliser un moyen de communication non s curis comme Internet pour transf rer en toute s cu
63. ies par le service 4 Cliquez sur Enregistrer Param tres facultatifs de DNS dynamique La configuration de ces param tres n est pas indispensable au fonctionnement mais ils servent a faire suivre le courrier lectronique en utilisant votre nouveau nom de domaine et nom secondaire Le bouton de mise jour forc e n est l que pour les cas exceptionnels Normalement les services DNS dynamiques ne vous laissent pas mettre a jour manuellement vos informations sauf si votre IP change Pour configurer les param tres optionnels 1 Cliquez sur Caract res g n riques 2 Cliquez sur Sauvegarde MX 3 Entrez dans le Serveur de messagerie 4 Cliquez sur Enregistrer apr s avoir fourni toutes les informations 4 5 Routage S il y a plusieurs routeurs sur un r seau vous devez ajouter des param tres de routage au Firewall VPN afin de lui indiquer quel trafic doit tre envoy vers chaque routeur L unit prend en charge les routes statiques ou le routage de protocole RIP2 routage dynamique Quand vous sp cifiez le routage le Firewall VPN Symantec peut automatiquement retransmettre les paquets au routeur appropri Routage 2 Remarque il est inutile de remplir les champs si vous utilisez un protocole de routage dynamique RIP2 Entr es de la table de routage S lectionnez une L gt Si vous proc dez une mise jour ou une suppression Mettre jour les champs ci dessous S lectionnez d abord une
64. ification 4 Cl de cryptage 4 Cl pr partag e 15 Client distant 2 Client VPN 7 Compte Internet DHCP avec IP dynamique 4 Compte Internet DHCP avec IP statique 4 Compte Internet PPPoE 4 Confidentialit de transmission optimale 10 Configuration principale 2 3 4 Connexion de secours 3 Console de configuration s rie 5 D D connexion au raccrochage 3 D lai d inactivit 3 D lai de demande d cho 25 DHCP 2 DHCP dynamique 2 Diffusion NetBIOS 5 DNS dynamique 4 Duplex int gral 8 Dur e de vie de l association de s curit 10 E Ecran Adresse IP locale et DHCP 11 Ecran d tat 10 Ecran S lection de la langue 2 Equilibrage de charge 2 25 F Filtres d acc s 12 Fonction NAT 26 Fournisseur d acc s Internet c ble 1 G Gestion distance 3 27 Groupe de s curit 14 Groupe et adresse IP de l h te 10 H Haute disponibilit 2 H te expos 23 I Identit de l utilisateur 4 IKE Internet Key Exchange 2 Indicateur d activit 2 Interface de configuration 9 Interface utilisateur 9 IP statique 2 IPSec 4 ISA Internet Security Association 2 J Journal 3 K KMP Key Management Protocol 2 L Langue 27 Liaison SMTP 25 M M thode de cryptage 4 Micro commutateur 8 Mise jour par r seau tendu 27 Mise a niveau du micrologiciel 1 Mode dynamique 9 10 Mode principal 9 Mot de passe 13 MTU r seau 25 N NAT 2 Niveau du journal 26 Niveau expert 23
65. ilis e pour l algorithme de cryptage si le cryptage est utilis Les cl s doivent correspondre des deux c t s du VPN Un SPI Security Parameter Index Index de param tre de s curit est indiqu manuellement et ajout a tous les paquets transmis entre les passerelles Le SPI est un identifiant unique permettant la passerelle d identifier l ensemble de cl s appartenant chaque paquet e VPN Tunnel cl dynamique IKE Internal Key Exchange Echange de cl s internes g n re automatiquement des cl s d authentification et de cryptage G n ralement un long mot de passe d sign secret partag est indiqu La passerelle doit reconna tre ce mot de passe pour que l authentification r ussisse Si le secret partag correspond des cl s SPI d authentification et de cryptage sont automatiquement g n r es et le tunnel est cr La passerelle r g n re la cl elle g n re une nouvelle cl des intervalles pr d finis pour renforcer l int grit de la cl Pour configurer un VPN cl statique Cl VPN statique l Association de s curit IPSec S lectionnez une sp a me association z Effectuez la s lection seulement si vous mettez jour ou supprimez la de s curit Configuration existante Mettre jour les champs ci dessous S lectionnez d abord l association de s curit ci dessus sauf en cas d ajout Nam Activer D sactiver Session PPPo
66. ilisateur PPPoE exactement comme il vous a t indiqu par votre FAI Fournisseur d Acc s Internet Remarque Certains FAI utilisent le nom de domaine dans le nom d utilisateur pour l ouverture de session par exemple john gte net alors que d autres n utilisent que l ID de l utilisateur par exemple john Dans le champ Mot de passe saisissez votre mot de passe PPPoE Dans le champ Confirmation saisissez de nouveau votre mot de passe PPPOE Ce champ de confirmation permet de s assurer qu il n y a pas de faute de frappe car le mot de passe est masqu Cliquez sur Enregistrer Attendez quelques instants puis cliquez sur Revenir la Configuration principale Actualisez le navigateur Vous devriez voir apparaitre Connect ou Connexion en cours dans le champ Statut de la connexion Si ce n est pas le cas essayer d actualiser de nouveau apr s quelques instants ou consultez le Chapitre 9 D pannage 3 7 Adresse IP statique et DNS Si vous avez un compte avec IP statique chez votre FAI fournisseur d acc s Internet ou si vous utilisez le Firewall VPN Symantec derri re une autre passerelle fournissez les informations de r seau sur l cran IP statique et DNS Cet cran est similaire a l cran des propri t s r seau d un ordinateur Adresse IP statique amp DNS IP du r seau tendu 1 Ne pas utiliser pour les comptes IP dynamiques et les comptes PPPoE C Remarque le statut est
67. iquez sur le bouton radio Activer ou D sactiver Tunnel global En activant l option Tunnel global pour un tunnel VPN tout le trafic sortant Internet passe par le tunnel VPN Cela est utile pour les strat gies de s curit qui imposent le passage de tous les trafics internes par une passerelle centralis e 18 Dans le champ Adresse IP Sous r seau distant 1 saisissez l adresse IP du r seau de destination Le format de l adresse de la passerelle est un minimum de sept chiffres x x x x et un maximum de quinze chiffres xxx xxx xxx xxx 19 Dans le champ Masque Sous r seau distant 1 saisissez le masque de sous r seau de votre sous r seau distant Si vous avez plusieurs sous r seaux distants r p tez les deux premi res tapes pour chaque sous r seau de destination 20 Cliquez sur Ajouter pour enregistrer vos informations de VPN a cl dynamique et cr er votre VPN Pour mettre a jour une configuration de VPN a cl dynamique 1 Dans le menu principal s lectionnez VPN Cl dynamique 2 Dans la liste d roulante des associations de s curit s lectionnez l Association de s curit dont vous souhaitez visualiser les informations 5 11 3 Cliquez sur Mettre jour les champs ci dessous 4 Indiquez les informations n cessaires 5 Cliquez sur le bouton Mettre a jour l entr e pour enregistrer vos changements et mettre a jour le VPN Pour supprimer une configuration de VPN a cl dynamique 1 Da
68. m de domaine ou une adresse IP dans ce champ pour qu une interrogation suppl mentaire soit effectu e si la passerelle ne r pond pas n utilisez pas le pr fixe http Effectuez d abord un ping manuel Non utilis pour PPPOE 2 Pour configurer la fonction Sauvegarde Analogique RNIS 1 Dans la section Sauvegarde cochez la case Activer Quand cette option est activ e le Firewall VPN Symantec se connecte automatiquement si la connexion large bande ne fonctionne plus 2 Dans la section Connexion dans les champs Acc s Internet cochez la case Standard RNIS ou analogique uniquement sans large bande pour identifier le type de connexion 3 Cliquez sur Raccrocher ou sur Num roter pour vous connecter et d connecter manuellement votre compte d acc s analogique Remarque Cliquez toujours sur Enregistrer apr s avoir modifi des param tres 4 Dans la section Informations sur le compte FAI indiquez les informations de compte Analogique ou RNIS fournies par votre FAI a Dans le champ Nom d utilisateur saisissez le nom d utilisateur de votre compte d acc s analogique ou RNIS b Dans le champ Mot de passe saisissez le mot de passe de votre compte d acc s analogique ou RNIS c Dans le champ Confirmation saisissez de nouveau le mot de passe de votre compte d acc s analogique ou RNIS d Dans le champ Adresse IP saisissez votre adresse IP Consultez votre FAI pour obtenir l adresse IP e Dans le
69. mantec Enterprise VPN Les sections suivantes d crivent la configuration des deux terminaisons du tunnel s curis entre le Client Symantec Enterprise VPN et le Firewall VPN 200R Symantec Le Client Symantec Enterprise VPN peut galement tre configur derri re le Firewall VPN 200R Symantec Dans une configuration derri re le Firewall VPN Symantec le Client Symantec Enterprise VPN peut valider des tunnels s curis s qui traversent le Firewall VPN 200R Symantec pour atteindre des passerelles distantes Par d faut le Firewall VPN Symantec peut multiplexer plusieurs connexions IPSec directes sur une m me adresse IP Remarque Vous ne pouvez pas vous connecter par l interm diaire d une connexion IPSec directe une passerelle VPN qui a t d finie localement dans un tunnel VPN Symantec Enterprise Symantec VPN Client Firewall PN 200R Symantec Enterprise VPN Client Computer Figure 8 1 Configurations du Client Symantec Enterprise VPN Pour garantir la transmission s curis e des donn es dans les tunnels le Client Symantec Enterprise VPN utilise un ensemble de protocoles de s curit standardis s incluant le protocole ISAKMP Internet Security Association and Key Management Protocol la politique IKE Internet Key Exchange et le protocole IPSec QP Security L acc s au Client Symantec Enterprise VPN est prot g par mot de passe pour interdire la cr ation non autoris e de tunnels dans le Firewall
70. ns le champ SPI sortant indiquez votre index de param tre de s curit sortant Le SPI est un nombre hexad cimal 0 9 A F ou un nombre d cimal Utilisez le pr fixe OX pour les nombres hexad cimaux 8 Dans la liste d roulante M thode d authentification et de cryptage s lectionnez la m thode de cryptage 9 Dans le champ Cl de cryptage saisissez votre cl de cryptage La cl de cryptage doit comporter au minimum 8 caract res ou 16 chiffres hexad cimaux pour DES et 24 caract res ou 48 chiffres hexad cimaux pour 3DES 10 Dans le champ Cl d authentification saisissez votre cl d authentification La cl d authentification doit comporter au minimum 16 caract res ou 32 chiffres hexad cimaux pour MD5 et 20 caract res ou 40 chiffres hexad cimaux pour SHA1 11 Dans le champ Adresse de la passerelle saisissez l adresse de la passerelle du r seau de destination Le format de l adresse de la passerelle est un minimum de sept chiffres x x x x et un maximum de quinze chiffres amp xx xxx xxx xxx Pour le client VPN saisissez 0 0 0 0 Vous pouvez aussi utiliser un nom DNS dans le champ Adresse de la passerelle 12 Dans le champ Diffusion NetBIOS s lectionnez l option Activer pour activer la retransmission des paquets de diffusion Netbios Activez cette option pour prendre en charge le Voisinage r seau de Windows a travers un tunnel VPN 13 Dans le champ Adresse IP Sous r seau distant 1 sai
71. ns le menu principal s lectionnez VPN Cl dynamique 2 Dans la liste d roulante des associations de s curit s lectionnez l Association de s curit dont vous souhaitez visualiser les informations 3 Cliquez sur Supprimer pour supprimer le VPN Exemple de tunnel dynamique L exemple suivant se compose d un diagramme r seau repr sentant un tunnel dynamique passerelle passerelle et un tableau Table 5 3 la page 5 13 d crivant les entr es requises pour configurer les deux extr mit s de ce tunnel dynamique A 192 168 0 2 192 168 0 1 192 168 100 1 1444 2222 192 168 0 3 Symantec Symantec Firewall VPN 100 Firewall VPN 200 j 192 168 0 4 192 168 100 4 Figure 5 5 Exemple de tunnel dynamique 5 12 Table 5 3 Exemples de param tres r seau pour tunnel dynamique Champs de l cran VPN Cl dynamique Param tres du FW VPN 100 Symantec Param tres du FW VPN 200 Symantec Association de s curit IPSec Nom dynamicIKE_100_to_200 dynamicIKE_200_to_100 Activer D sactiver Activer Activer Port de r seau tendu VPN200 uniquement Session PPPOE R seau tendu 1 Session 1 R seau tendu 2 Session 1 N gociation de phase 1 Mode principal Mode principal M thode d authentification et de cryptage Dur e de vie de l association de s curit ESP DES MD5 0 0 signifie aucune limitation ESP DES MD5
72. nt l installation en sera grandement facilit e Une fois l installation r ussie avec un ordinateur vous pouvez ajouter des ordinateurs ou des concentrateurs au Firewall VPN Symantec L installation suivante illustre cette configuration simplifi e du r seau Modem r seau tendu Ports de r seau local Voyants de liaison de Ports 10 BaseT r seau local Figure 2 1 Panneau avant du Firewall VPN 200 Symantec 9 VCC Entr e Commiutateur d alimentation alimentation Figure 2 2 Panneau arri re du Firewall VPN 200 Symantec 2 5 Pour connecter les cables 2 6 Ins rez le connecteur du transformateur 9 V DC 1 000 mA fourni avec le Firewall VPN Symantec et branchez le transformateur dans une prise secteur Veillez a utiliser EXCLUSIVEMENT le transformateur fourni avec l unit D branchez de l ordinateur le cable venant ventuellement du modem et ins rez le dans le port modem r seau tendu du Firewall VPN Symantec Le voyant de r seau tendu doit s allumer en vert Si ce n est pas le cas v rifiez que vous utilisez le m me cable que celui du modem Pour le Firewall VPN 200 Symantec R p tez cette tape pour chaque port de modem suppl mentaire avec un modem ou une connexion s par vous pouvez combiner cable DSL et connexions rout es sur les deux ports de modem Un voyant de liaison vert doit s allumer sur le voyant de r seau local correspondant Si ce n est pas le cas v rifiez que l ordinateur est so
73. nterne ou en externe Certains comptes de FAI peuvent n cessiter une modification de ce param tre sinon laissez la valeur par d faut de 255 255 255 0 r seau de classe C 3 Dans le champ Passerelle par d faut indiquez la passerelle par d faut Le Firewall VPN Symantec envoie la passerelle par d faut tous les paquets IP qu elle ne sait pas acheminer 4 Dans le champ Serveurs de noms de domaine indiquez jusqu trois serveurs de noms de domaine Ceux ci sont n cessaires pour les comptes avec IP statique Il n est pas n cessaires de saisir des entr es pour les comptes Internet standard IP dynamique et les comptes dont les informations sont fournies par un serveur DHCP Vous pouvez remplacer ces param tres par les v tres pour chaque compte Internet 5 Cliquez sur Enregistrer apr s avoir fourni toutes les informations Section Passerelle DNS La Passerelle DNS est un serveur DNS optionnel servant la r solution de nom locale ou distance sur les VPN Toutes les demandes DNS sont transmises l adresse IP indiqu e dans le champ de passerelle DNS Si le serveur DNS interne ne fonctionne pas l unit peut tre configur e pour faire suivre toutes les demandes DNS aux serveurs DNS du FAI fournisseur d acc s Internet 3 9 Etat L cran d Etat affiche les param tres et la configuration actuels du Firewall VPN Statut R seau tendu 1 Port externe Statut de la connexion Masque de r seau
74. nts un fichier d nomm config va apparaitre dans le m me dossier que l application nxtftpw Vous pouvez copier ce fichier sur une disquette pour le conserver en lieu stir 9 Vous pouvez maintenant remettre les micro commutateurs 1 et 2 en position OFF Affichage du journal Les crans Affichage du journal du Firewall VPN Symantec affichent la liste des v nements syst me Affichage du journal Journal Heure Message Origine Destination Remarque Figure 6 3 Ecran Affichage du journal Param tres du journal Cet cran vous permet de d finir le type d entr es de journal enregistr es et les param tres de retransmission du journal Les journaux g n r s sur le Firewall VPN Symantec sont plac s dans une m moire tampon de capacit limit e Quand le journal est plein les nouvelles entr es remplacent les plus anciennes Il est donc souhaitable de faire suivre le journal 6 9 Param tres du journal Serveur Syslog Entrez l adresse IP d un h te ex cutant l utilitaire Sysiog standard Serveur SMTP C C C C C O Exp diteur de l e mail OO Destinataire de l e mail LDLo Envoyer le journal par e mail Type de journal Syst me M Activit syst me statut de connexion no D bogage I Informations de d bogage Bloqu M Paquets bloqu s par le filtre d acc s Elimin M Paquets limin s par les r gles de filtrage Attaque V Attaque d tect e Heure Si vous utilisez un ser
75. ons ici la commande DOS Placez l utilitaire nxtftpw et le nouveau micrologiciel dans un dossier temporaire sur votre disque dur Remarque Si votre ordinateur n est pas sous Windows vous pouvez utiliser la commande TFTP de cet ordinateur configur e en mode binaire pour effectuer la m me proc dure TFTP est relativement universel et disponible sous Macintosh Unix Linux etc Pour mettre niveau le micrologiciel 10 2 Coupez l alimentation de l unit en d branchant le c ble lectrique l arri re du Firewall VPN Basculez les micro commutateurs 1 et 2 en position ON VERS LE BAS R ins rez le connecteur d alimentation dans la prise du Firewall VPN Symantec Ouvrez une fen tre DOS en cliquant sur D marrer puis sur Ex cuter Saisissez la commande et cliquez sur OK Avec la commande CD passez dans le r pertoire temporaire contenant le micrologiciel et l utilitaire nxtftp Saisissez nxtftp 192 168 0 1 PUT lt nom du micrologiciel gt et appuyez sur Entr e Apr s quelques instants vous devrez voir apparaitre un message indiquant la r ussite de l op ration Si ce n est pas le cas red marrez l ordinateur et r essayez Remettez les micro commutateurs dans leur position normale A Acc s a distance 27 Adresse IP locale 12 Adresse IP statique et DNS 8 Alertes de trappe 27 Alimentation 8 Analogique RNIS 3 Applications sp ciales 15 C C ble Ethernet 1 Carte r seau 2 Cl d authent
76. ormances extr mement d grad es Vous pouvez d finir la taille de MTU pour chaque port r seau tendu D lai de demande d cho Ne changez pas ce param tre sauf sp cification contraire de l Assistance Symantec 4 24 Niveau expert Champs de la section Fonctions avanc es Autorisation port IDENT Le port 113 DENT contient normalement les informations de Nom d h te et de Nom de soci t Par d faut tous les ports du Firewall VPN Symantec sont en mode furtif Cela rend vos ordinateurs invisibles depuis l ext rieur Certains serveurs comme des serveurs de messagerie ou MIRC utilisent le port IDENT du syst me lors des acc s L activation de ce param tre rend le Port 113 ferm et non furtif il n est PAS ouvert Ne l activez que si vous avez des probl mes pour acc der a un serveur Fonction NAT La d sactivation de la fonction NAT transforme le Firewall VPN Symantec en pont ou routeur pur Cela est utile si vous avez d ja un p riph rique NAT sur votre r seau et que vous souhaitez utiliser le Firewall VPN Symantec uniquement en tant p riph rique de connexion a distance PPPoE Des entr es doivent tre pr sentes dans la table de routage ou vous devez utiliser RIP2 pour des communications correctes avec NAT d sactiv RIP V2 Vous permet d activer la fonctionnalit RIP2 de l unit RIP2 est un protocole de routage dynamique utilis pour diriger le trafic sur les r seaux avec routage Niveau du journal
77. outez une nouvelle entr e n en s lectionnez pas dans la liste d roulante ou cliquez sur Effacer le formulaire avant d ajouter la nouvelle entr e 2 Dans le champ Donn es d application sp ciale saisissez le nom de cette application sp ciale dans le champ Nom Donnez un nom court et explicite cette application sp ciale 3 S lectionnez ou d s lectionnez l option Activer pour activer ou d sactiver l application sp ciale a d sactivation ferme les ports d finis Pensez a cliquer sur Mettre 4 jour si vous utilisez une application sp ciale existante 4 Dans la liste d roulante Protocole sortant choisissez TCP ou UDP comme type de protocole pour envoyer les donn es consultez l assistance de l application 5 Dans les champs Etendue du port de sortie indiquez les ports de d but et de fin utilis s par votre application pour envoyer des donn es Si un seul port est utilis indiquez le m me num ro dans les deux champs 6 Dans le champ Protocole entrant choisissez TCP ou UDP comme type de protocole pour recevoir des donn es consultez l assistance de l application 4 15 7 Dans les champs Etendue du port d entr e indiquez les ports de d but et de fin utilis s par votre application pour recevoir des donn es Si un seul port est utilis indiquez le m me num ro dans les deux champs 8 Cliquez sur Ajouter pour ajouter une nouvelle entr e Cliquez sur Supprimer pour supprimer l entr e affich e
78. par d faut pour l IP et le masque de r seau et le mot de passe doit tre effac Sauvegarde de la configuration Le Firewall VPN Symantec vous permet de sauvegarder les param tres de configuration d finis par l interm diaire de l interface utilisateur pour le cas oti l unit aurait un probleme Cette proc dure produit un petit fichier qui peut tre copi sur une disquette et rang dans un coffre ou autre endroit str Pour effectuer ces tapes vous devez vous servir de lutilitaire nxtftpw Il y a deux versions de l utilitaire nxtftpw une version Windows Win95 98 ME NT amp 2000 et une version DOS Les deux sont pr sentes sur le CD dans le r pertoire Utilities La proc dure suivante utilise la version Windows Pour r cup rer le fichier de sauvegarde 1 Coupez l alimentation de l unit en d branchant le c ble lectrique l arri re du Firewall VPN 2 Basculez les micro commutateurs 1 et 2 en position ON VERS LE BAS 3 R ins rez le connecteur d alimentation dans la prise du Firewall VPN 4 Copiez l utilitaire nxtftpw du CD vers un dossier de votre disque dur 5 Cliquez deux fois sur l ic ne de nxtftpw 6 Indiquez l adresse IP du Firewall VPN Symantec dans le champ IP du serveur l adresse est 192 168 0 1 sauf si vous l avez chang e 7 Indiquez un nom pour le fichier de sauvegarde dans le champ Fichier local vous pouvez utiliser config 8 Cliquez sur le bouton Get Apr s quelques insta
79. pue III Figure 1 1 Panneau avant du Firewall VPN 100 Symantec Figure 1 2 Panneau arri re du Firewall VPN 100 Symantec 1 5 Firewall VPN 200 Symantec Les fonctionnalit s du Firewall VPN Symantec mod le 200 incluent e Huit ports de r seau local e Deux ports de r seau tendu e Il n y pas de limitation mat rielle au nombre d utilisateurs mais l effectif maximum recommand est de 30 e Toutes les fonctionnalit s list es dans la Pr sentation du produit e Voyant d alimentation Allum quand l unit est sous tension e Voyant d erreur e Emission r ception sur r seau local et tendu Allum quand des donn es sont transf r es entre le r seau tendu et le r seau local e Voyant de connexion de secours active Allum quand la connexion de secours RNIS analogique est active quand la connexion large bande est interrompue CIMILILIITLI Figure 1 3 Panneau avant du Firewall VPN 200 Symantec Figure 1 4 Panneau arri re du Firewall VPN 200 Symantec Firewall VPN 200R Symantec Le Firewall VPN 200R Symantec dispose de toutes les fonctionnalit s du mod le 200 Il est accompagn du logiciel Client Symantec Enterprise VPN avec firewall personnel int gr Symboles internationaux du Firewall VPN Symantec Table 1 1 Symboles internationaux du Firewall VPN Symantec Symbole Signification Voyant d alimentation Voyant d erreur R seau local r
80. que uniquement sans large bande Raccrocher Num roter Enregistrer Annuler Actualiser nformations sur le compte ISP Nom d utilisateur Mot de passe Confirmation Adresse IP o o A o 10 Sp cifi e par le fournisseur d acc s Ligne t l phoni ane al Chiffres uniquement exemple 2123335555 Ligne t l phonique commut e 2 Ligne t l phonique commut e 3 Param tres du modem Mod le Cha ne dinitialisation pour l option Autres mod les uniquement AT amp F Vitesse de la ligne 4800 Type de ligne Ligne commut e gt Type de num rotation tonalit Cha ne de num rotation ATDT Cha ne de renum rotation ATOL D lai d inactivit 2 minutes Statut analogique Statut du port Lien physique Lien PPP Adresse IP du PPP Vitesse de la ligne t l phonique Figure 6 1 Ecran Sauvegarde Analogique RNIS Si votre connexion Internet est de type DHCP dynamique ou IP statique l Indicateur d activit doit tre configur L Indicateur d activit est utilis par le Firewall VPN pour d terminer si une connexion r seau tendu fonctionne m me s il n y a aucun trafic sur le r seau tendu n cessaire pour l activation de la sauvegarde Toutes les 20 secondes l unit contacte la passerelle ou le DNS du FAI fournisseur d acc s Internet pour d terminer s il est connect Cela fonctionne normalement sauf avec certains FAI qui interdisent d interroger leurs passerelles Indiquez un no
81. r gt Si vous proc dez une mise jour ou une suppression Mettre jour les champs ci dessous S lectionnez d abord une entr e ci dessus sauf si vous proc dez un ajout Donn es d application sp ciale Nom Activer 7 Protocole sortant TCP scales D but gt Fin gt Protocole entrant TCP Etendus du port pg Fin Ajouter Supprimer Mettre jour l entr e Effacer le formulaire Annuler Liste des applications sp ciales Protocole por z Fon Protocole ol pon Nom Activation de sortie de sortie d entr e d entr e Sortant de d but defn CYANE de d but defin Figure 4 7 Ecran Applications sp ciales Pour configurer les applications sp ciales 1 Dans la section Applications sp ciales s lectionnez une entr e dans la liste d roulante Certaines entr es pr d finies pour les applications sp ciales sont accessibles dans ce menu comme elles sont toutes d sactiv es par d faut vous devez s lectionner activer et mettre jour l entr e conjointement toutes les entr es que vous avez d finies vous m me Si vous avez pr c demment d fini une entr e dans cet cran et que vous voulez Mettre jour ou Supprimer cette entr e vous devez d abord la s lectionner dans la liste d roulante puis cliquer sur Mettre 4 jour les champs ci dessous pour acc der ses param tres Cela est valable pour l activation des Applications sp ciales pr d finies Si vous aj
82. r e Si vous proc dez a une mise jour OU a une Suppression Mettre jour les champs ci dessous S lectionnez d abord une entr e ci dessus sauf si vous proc dez un ajout Configuration du serveur virtuel Nom Activer 7 Adresse IP du to a n Remarque r servez la table DHCP dans Groupe amp local w 1 1 1 adresse P de l h te Protocole TCP gt Etendue du port interne D but Fin Etendue du port TE externa debut Finfo Ajouter Supprimer Mettre jour l entr e Effacer le formulaire Annuler Liste des serveurs virtuels Port de Port de Nom Activer Adresse IP Protocole d part Fe toile d part Pen ci alo interne externe interne externe Figure 4 10 Ecran Serveurs virtuels personnalis s Serveurs virtuels personnalis s existants Si vous avez pr c demment d fini une entr e dans cet cran et que vous voulez mettre a jour ou supprimer cette entr e vous devez d abord la s lectionner dans la liste d roulante S lectionnez une entr e puis cliquer sur Mettre jour les champs ci dessous pour acc der ses param tres Si vous ajoutez une nouvelle entr e n en s lectionnez pas dans la liste d roulante ou cliquez sur Effacer le formulaire avant d ajouter la nouvelle entr e Pour configurer un serveur virtuel personnalis 4 20 Dans la section Configuration du serveur virtuel dans le champ Nom saisissez un nom d crivant votre serveur virtuel personnalis S lectionnez ou d
83. r mit s du tunnel Configuration de tunnel dynamique SEVPN Le tableau suivant contient une br ve liste des tapes de configuration du SEVPN Table 7 1 Etapes de configuration de tunnel dynamique SEVPN Guide de configuration de Symantec Enterprise Firewall et Symantec Enterprise VPN Chapitre Etapes de configuration 1 Cr er une passerelle de s curit Defining Security Gateways pour le SEVPN 2 Cr er un sous r seau pour le Defining Subnet Entities r seau local 3 Cr er une passerelle de s curit Defining Security Gateways pour le Firewall VPN Symantec 4 Cr er un sous r seau pour le Defining Subnet Entities r seau distant 5 Cr er un tunnel s curis Configuring Secure Tunnels and s lectionner l une des politiques Configuring an IPsec Static VPN Policy statiques configurer les cl s et d finir les SPI Connexion au Client Symantec Enterprise VPN Le Client Symantec Enterprise VPN permet un PC distant de transmettre des informations en toute s curit un r seau priv prot g par le Firewall VPN 200R Symantec par l interm diaire d un tunnel s curis sur Internet Le Client Symantec Enterprise VPN connecte le PC au Firewall VPN Symantec qui assure un acc s s curis au r seau priv Pour cr er un tunnel s curis vous devez configurer les deux extr mit s du tunnel L une des extr mit s est le Firewall VPN 200R Symantec et l autre le Client Sy
84. r Mettre a jour l entr e si vous avez modifi l entr e affich e Cliquez sur Effacer le formulaire avant d ajouter une nouvelle entr e 4 11 Filtres d acc s Les filtres d acc s permettent de contr ler les types d informations autoris s sortir de votre r seau local Par exemple pour autoriser l utilisation de Real Audio sur le r seau local vous pouvez s lectionner ce protocole ici ou s lectionner l option Aucune restriction La plupart des protocoles standard sont pr d finis mais vous pouvez d finir des filtres personnalis s Vous pouvez d finir cing groupes de s curit pour sp cifier diff rents niveaux d acc s pour les diff rents ordinateurs Filtres d acc s 2 Groupes de s curit 4 S lectionnez un Tous x Tous bd groupe Mettre jour les champs ci dessous Cliquez sur ce bouton apr s avoir effectu votre s lection Effacer les champs ci dessous Efface les param tres d finis pour le groupe ci dessus Param tres du filtre de groupe vo Filtres rapides Cochez les l ments bloquer rer i l lessus C Telnet TFTP C FTP I Courrier Informations C Port de configuration C HTTP C Gopher C DNS C Archie C SNMP Real Audio Filtres personnalis s 5 Paquets TCP Paquets UDP Nom N de d but N de fin Nom N de d but N de fin l h b 7 fo b fo fo fo b fo fo fo b fo fo b b ooo fo fo p p Enregistrer Annuler Figure 4 6 Filtres
85. r Tunnel global 13 D finissez Adresse IP Sous r seau distant sur le r seau de destination prot g par le SEVPN 7 4 14 D finissez Masque Sous r seau distant sur le masque r seau du r seau de destination prot g par le SEVPN 15 Cliquez sur Ajouter pour ajouter le nouveau tunnel au syst me Le tunnel doit pr sent tre op rationnel aux deux extr mit s Pour le v rifier ouvrez une ligne de commande DOS et envoyez un ping a une machine du r seau distant Configuration de tunnel statique sur le SEVPN Le tableau suivant contient une br ve liste des tapes de configuration du SEVPN Guide de configuration de Symantec Enterprise Firewall et Symantec Enterprise VPN Chapitre Etapes de configuration 1 Cr er une passerelle de s curit Defining Security Gateways pour le SEVPN 2 Cr er un sous r seau pour le Defining Subnet Entities SEVPN 3 Cr er une passerelle de s curit Defining Security Gateways pour le Firewall VPN Symantec 4 Cr er un sous r seau pout le Defining Subnet Entities r seau distant 5 Cr er un tunnel s curis Configuring Secure Tunnels and s lectionner l une des politiques Configuring an IPsec Static VPN Policy statiques configurer les cl s et d finir les SPI Tunnel dynamique Les tunnels dynamiques diff rent des tunnels statiques dans la mesure o les deux extr mit s du tunnel changent les cl s de cryptage dynamiq
86. ramme de tunnel statique Sur l application du Firewall VPN Symantec s lectionnez l option VPN Statique dans la page de configuration Vous devez obtenir un cran similaire la Figure 7 3 la page 7 3 Cl VPN statique Association de s curit IPSec S lectionnez une si a association Effectuez la s lection seulement si vous mettez jour ou supprimez la de s curit Configuration existante Mettre jour les champs ci dessous S lectionnez d abord l association de s curit ci dessus sauf en cas d ajout Nom 200_to_SEVPN Activer D sactiver Session PPPoE l Session 1 gt S lectionnez la session PPPoE laquelle lier le tunnel VPN SPI entrant 257 SPI sortant 257 M thode d authentification ESPDESMDS et de cryptage Cl de cryptage 0X1234567890123456 Cl d authentification 0X123456789012345678901 2345678901 2 Passerelle de s curit distance Adresse de la passerelle 192 168 40 1 Nom IP ou DNS Diffusion NetBIOS C Activer D sactiver Tunnel global Activer D sactiver Sous r seau distant 1 Adresse IP 10 10 10 0 Masque 255 255 255 0 Sous r seau distant 2 Adresse IP C Masque Sous r seau distant 3 Adresse IP C Masque Sous r seau distant 4 Adresse IP 7 Masque Sous r seau distant 5 Adresse IP sd Masque Ajouter Supprimer Mettre jour l entr e Effacer le formulaire Annuler Figure 7 3 Ecran de configuration de VPN statique Init
87. rewall VPN Symantec comporte de nombreuses autres fonctionnalit s r seau volu es pour lui permettre d voluer avec vos besoins Fonctionnalit s Firewall VPN 100 Symantec Les fonctionnalit s du Firewall VPN Symantec mod le 100 incluent Quatre ports de r seau local avec commutation 10 100 automatique Un port de r seau tendu 10 Mbits s e Il n y pas de limitation mat rielle au nombre d utilisateurs mais l effectif maximum recommand est de 15 e Toutes les fonctionnalit s num r es dans la pr sentation de produit sauf l quilibrage de charge et les clients VPN distants e Alimentations lectriques e Voyants trafic connectivit et erreur e Port s rie pour connexion de secours automatique par modem e Micro commutateurs Utilis s pour d sactiver le serveur DHCP r initialiser l unit activer la console d interface s rie et configurer le Firewall VPN Symantec pour les mises niveau du micrologiciel 1 4 e Voyants pour le r seau local Etat des liaisons 100BaseT 10BaseT et Duplex pour les ports de r seau local e Voyant d alimentation Allum quand l unit est sous tension e Voyant d erreur e Emission r ception sur r seau local et tendu Allum quand des donn es sont transf r es entre le r seau tendu et le r seau local e Voyant de connexion de secours active Allum quand la connexion de secours RNIS analogique est active quand la connexion large bande est interrom
88. rise VPN 1 Dans le menu principal du Firewall VPN 200R Symantec s lectionnez Identit du client Identit du client VPN Identit de l utilisateur S lectionnez un utilisateur z En cas de mise jour ou de suppression des utilisateurs actuels Mettre jour les champs ci dessous S lectionnez d abord l utilisateur ci dessus sauf en cas d ajout Activer 7 Romain iaareur li doit correspondre ND client fourni par le client VPN distant Cl pr partag e Ajouter Supprimer Mettre jour l entr e Effacer le formulaire Annuler Liste des utilisateurs Nom Activ Cl pr partag e Figure 8 3 Ecran Identit du client 2 Dans la section Identit du client cliquez sur Activer 3 Dans le champ Nom d utilisateur saisissez un nom d utilisateur 4 Dans le champ Cl pr partag e saisissez votre cl pr partag e La cl pr partag e doit comporter entre 20 et 64 caract res 5 Cliquez sur Ajouter 6 Dans le menu principal du Firewall VPN 200R Symantec s lectionnez Cl VPN dynamique 7 Dans la section Association de s curit IPSec saisissez un nom d crivant l Association de s curit dans le champ Nom 8 4 8 Cliquez sur le bouton radio Activer pour activer l association de s curit 9 Dans le champ N gociation de phase 1 cliquez sur le bouton radio Mode dynamique 10 Dans la liste d roulante M thode de cryptage et d authentification s lectionnez une m thode
89. rit des informations sensibles 5 1 Le Firewall VPN Symantec prend en charge deux types de mod les VPN de passerelle passerelle et de client passerelle 200R uniquement Les tunnels passerelle passerelle prot gent des sous r seaux entiers Par exemple ils peuvent servir connecter des filiales un si ge social par l interm diaire d Internet ce qui vite donc de recourir des lignes sp cialis es co teuses L utilisation des tunnels VPN client passerelle du Firewall VPN 200R Symantec permet aux travailleurs itin rants ou distants de se connecter en toute s curit au r seau du si ge de l entreprise par l interm diaire d Internet Ce mod le limite les frais associ s aux pools de modems et aux co teux num ros 800 car les employ s peuvent utiliser un FAI fournisseur d acc s Internet avec un num ro d appel local pour se connecter de mani re transparente au r seau du si ge de l entreprise Le Firewall VPN Symantec fournit les cryptages IPsec suivants AH MD5 ESP 3DES AH SHA1 ESP 3DES MD5 ESP DES ESP 3DES SHA1 ESP DES MD5 ESP MD5 ESP DES SHA1 ESP SHA1 Table 5 1 Cryptages IPSec Le Firewall VPN Symantec prend en charge deux types de tunnels VPN cl statique et a cl dynamique VPN Tunnel cl statique Un utilisateur indique manuellement une cl d authentification longue cha ne de chiffres et de lettres ainsi qu une cl de cryptage autre cha ne ut
90. riv virtuel 1 1 Firewall Stateful Inspection Stateful Inspection fournit une protection contre les pirates tout en permettant l acc s large bande Internet Il prend aussi en charge des fonctions volu es assurant une grande souplesse de configuration Le Firewall VPN Symantec fonctionne avec les firewalls d entreprise qu il compl te comme Symantec Enterprise Firewall ou VelociRaptor Il ne remplace pas les firewalls d entreprise mais permet de disposer des fonctionnalit s appropri es au juste prix Mise en r seau Le Firewall VPN Symantec permet aussi de constituer un r seau local Tous les ordinateurs connect s peuvent ainsi partager des fichiers des imprimantes et d autres p riph riques r seau Le commutateur multiport 10 100 en conjonction avec le serveur DHCP int gr permet a de multiples utilisateurs de se connecter 4 un r seau partag avec un simple cable ethernet standard Le serveur DHCP loue des adresses IP aux ordinateurs au fur et a mesure qu ils se connectent au r seau local Cette combinaison permet aux utilisateurs les moins exp riment s de mettre un r seau en place rapidement et facilement La prise en charge de PPPoE est galement disponible ainsi que les fonctionnalit s NAT et PAT VPN Virtual Private Networks r seau priv virtuel La capacit VPN du Firewall VPN Symantec permet d tablir un tunnel s curis et conomique entre plusieurs sites comme le si ge social ou le
91. s pl me Interrogerles services S lectionnez un gt service Authentification Nom d utilisateur Mot de passe Confirmation Enregistrer tout Annuler Effacer le journal Figure 4 1 Ecran PPPOE avanc Pour configurer l cran PPPOE avanc Remarque Vous devez tre DECONNECTE pour utiliser cette fonctionnalit 1 S lectionnez le port de r seau tendu dans la liste d roulante Port r seau tendu 2 Si vous avez un compte PPPoE multisession s lectionnez la session appropri e dans la liste d roulante Session PPPOE R p tez cette proc dure pour chaque session PPPOE Si vous avez un compte PPPoE mono session laissez la valeur Session 1 pour le champ Session PPPOE 4 2 3 Cliquez sur l option Mettre a jour les champs ci dessous 4 Utilisez la section Connexion une session pour sp cifier si vous voulez connecter et d connecter votre compte PPPoE manuellement ou automatiquement a L option Connexion la demande est activ e par d faut le Firewall VPN Symantec se connecte automatiquement quand une requ te Internet est effectu e comme la navigation sur un site Web Si vous voulez vous connecter manuellement d sactivez cette case cocher et connectez vous en cliquant sur Connecter b Dans le champ D lai d inactivit indiquez la dur e d inactivit en minutes apr s laquelle le Firewall VPN Symantec doit d connecter la connexion PPPoE c Indiquez une valeur nulle pour q
92. s connecter vous devrez peut tre modifier l adresse de l adaptateur r seau MAC Pour plus d informations consultez la section Section Param tres r seau facultatifs a la page 5 Si vous avez un compte Internet avec IP statique ou si vous utilisez le Firewall VPN Symantec en interne ou sur un autre r seau laissez ce param tre sur Activ Indiquez ensuite les informations d IP statique sur l cran IP statique amp DNS comme d crit dans la section Adresse IP statique et DNS a la page 8 e Si vous avez un compte Internet PPPoE cliquez sur le bouton radio Activer dans la section PPPOE Vous utilisez probablement PPPoE si vous utilisiez pr c demment un logiciel de connexion a distance sur votre ordinateur avec un nom d utilisateur et un mot de passe pour vous connecter avec un modem DSL Le Firewall VPN Symantec effectuera la connexion distance automatiquement Vous devez donc d sactiver ou d sinstaller le logiciel de connexion distance Vous devez aussi a Indiquer le nom d utilisateur que votre FAI fournisseur d acc s Internet vous a fourni b Indiquer deux fois le mot de passe que votre FAI vous a fourni Vous devriez tre connect en quelques instants Vous pouvez avoir red marrer l ordinateur pour actualiser les informations IP et pouvoir acc der a Internet Si vous rencontrez des probl mes v rifiez votre nom d utilisateur et votre mot de passe PPPoE Section Param tres r seau fa
93. s d usine 4 22 Niveau expert Qe Equilibrage de charge R seau tendu 1 R seau tendu 2 Liaison SMTP Aucune x Renouvellement DHCP E e al minutes Forcer le renouvellement MTU PC local R seau tendu 1 R seau tendu 2 Demande d cho D lai d attente 20 secondes Nouvelle tentative 5 Fonctions avanc es Pour g Autorisation port IDENT Activer D sactiver Remarque le port 113 semble alors ferm et non furtif Fonction NAT Activer D sactiver RIP v2 Activer D sactiver Niveau du journal Niveau utilisateur Niveau d bogage Type IPsec 1 SPI 2SPI 2SPIC Autres Aucun Langue Anglais Fran ais Allemand Espagnol R cepteur de trappes SNMP Adresse IP 1 LIL IL Adresse IP 2 Cl Cl ET FE Adresse IP 3 Cl o o D v Adresse IP de d but o To 0 0 Adresse IP de fin fo o 0 0 Autorisation de la mise jour distance Activer D sactiver Figure 4 12 Ecran Niveau expert 4 23 Champs Connexion du Niveau expert Equilibrage de charge Vous pouvez d finir manuellement sur le Firewall VPN 200 ou 200R Symantec l quilibrage de charge utiliser quand la liaison de connexion large bande est utilis e Ce param tre d termine le pourcentage de paquets envoy s chaque port r seau tendu Avec les connexions lentes utilisez une valeur inf rieure pour ce port de r seau tendu pour obtenir des performance
94. s optimales Vous n avez besoin d indiquer que le pourcentage du port de r seau tendu n 1 le pourcentage du port de r seau tendu n 2 est d duit Liaison SMTP Si vous avez des comptes Internet de FAI fournisseur d acc s Internet diff rents connect s simultan ment vous devez vous assurer que votre courrier lectronique protocole SMTP n est transmis que sur la connexion r seau tendu associ e votre serveur de courrier lectronique Sinon le serveur peut rejeter le courrier envoy depuis un autre domaine Vous pouvez choisir R seau tendu 1 ou R seau tendu 2 Aucuen liaison est la valeur par d faut Renouvellement DHCP en cas d inactivit Si vous avez des probl mes de d connexion avec un compte Internet de type DHCP apr s un certain d lai d inactivit indiquez dans ce champ la dur e en minutes apr s laquelle le Firewall VPN Symantec doit essayer automatiquement de renouveler la connexion Faites des essais pour d terminer la meilleure valeur qui sera la plus lev e possible Vous pouvez aussi forcer le renouvellement en cliquant sur le bouton correspondant MTU PC r seau local Le Firewall VPN Symantec n gocie la taille de la MTU avec votre FAI Laissez cette valeur telle quelle sauf si le FAI fournit une taille de MTU qui n est pas optimale Les probl mes de MTU se traduisent par des difficult s pour consulter certains sites Web ou envoyer de longs messages lectroniques ou par des perf
95. s sessions PPPoE multiples a des h tes individuels sur le r seau local Les IP statiques r servations dans la table DHCP du Firewall VPN Symantec doivent tre affect es pour tous les serveurs virtuels tous les ordinateurs portables pour viter les conflits IP pendant que leurs cartes sont en veille et toutes les imprimantes connect s directement au r seau local Avec le Firewall VPN mod le 200 vous pouvez associer un h te un port de r seau tendu sp cifique Cela emp che l h te d utiliser les deux ports de r seau tendu en cas de liaison de connexion large bande Cette fonction est utile pour les serveurs et les applications qui doivent toujours tre situ s une IP sp cifique Le param tre par d faut est D sactiver 4 9 S lectionnez un h te Si vous avez pr c demment d fini une entr e dans cet cran et que vous voulez mettre jour ou supprimer cette entr e vous devez d abord la s lectionner dans la liste d roulante puis cliquer sur Mettre jour les champs ci dessous pour acc der ses param tres En revanche si vous ajoutez une nouvelle entr e n en s lectionnez pas dans la liste d roulante ou cliquez sur Effacer le formulaire avant d ajouter la nouvelle entr e Groupe amp Adresse IP de l H te Identit du r seau h te S lectionnez un h te M Effectuez une s lection uniquement en cas de mise jour ou de suppression Mettre jour les champs ci dessous S lectionnez d abord l
96. seau tendu Voyant de transmission r ception Voyant de connexion de secours active Voyant de connexion du modem r seau tendu HEX Pee Port de r seau tendu Ports de r seau local Symbole Signification Duplex int gral Alimentation R initialisation Allum Eteint Micro commutateur Port s rie Interface de configuration gestion Le Firewall VPN Symantec dispose d une interface utilisateur bas e sur navigateur Web qui permet de cr er des configurations de consulter le statut et d acc der aux journaux Les champs de l interface utilisateur du Firewall VPN 200 Symantec sont dupliqu s pour les deux ports de r seau tendu sur l cran de configuration principal comme dans les autres crans Cette interface de gestion peut tre s curis e avec la fonctionnalit de VPN int gr e 3 symantec G n ralit s Configuration principale Adresse IP statique amp DNS Statut Affichage du journal Adresse IP locale amp DHCP Configuration du mot de passe VPN Cl statique Cl dynamique Identit du client Options avanc es Groupe amp Adresse IP de l h te Filtres d acc s Applications sp ciales Serveurs virtuels Serveurs virtuels personnalis s H te expos DMZ PPPoE avanc DNS dynamique Routage Sauvegarde Analogique RNIS Param tres du journal Niveau
97. sissez l adresse IP du r seau de destination 14 Dans le champ Masque Sous r seau distant 1 saisissez le masque de sous r seau du r seau de destination Le format du champ du masque de r seau de destination est un minimum de sept chiffres x x x x et un maximum de quinze chiffres Kxx xxx xxx xxx Si vous avez plusieurs r seaux distants r p tez les deux premi res tapes pour chaque r seau de destination 15 Cliquez sur Ajouter pour enregistrer vos informations de VPN cl statique et cr er votre tunnel VPN statique Pour mettre jour une configuration de VPN cl statique 1 Dans le menu principal s lectionnez VPN Cl statique 2 Dans la liste d roulante des associations de s curit s lectionnez l Association de s curit dont vous souhaitez visualiser les informations 3 Cliquez sur Mettre jour les champs ci dessous 4 Indiquez les informations n cessaires 5 Cliquez sur le bouton Mettre jour l entr e pour enregistrer vos changements et mettre jour le VPN 5 5 Pour supprimer une configuration de VPN cl statique 1 Dans le menu principal s lectionnez VPN Cl statique 2 Dans la liste d roulante des associations de s curit s lectionnez l Association de s curit dont vous souhaitez visualiser les informations 3 Cliquez sur Supprimer pour supprimer le VPN Exemple de tunnel statique Dans l exemple suivant un diagramme illustre un tunnel statique
98. t sa valeur par d faut 255 255 255 0 Efface le mot de passe de l interface e Active le Serveur DHCP 6 6 Pour r initialiser manuellement le Firewall VPN Symantec Remarque Lisez l ensemble de ces tapes avant de commencer la r initialisation du Firewall VPN Remarque Un trombone est n cessaire pour cette proc dure 1 Coupez l alimentation du Firewall VPN Symantec en d branchant le c ble lectrique l arri re de l unit 2 Basculez le micro commutateur 1 sur ON vers le bas didi 3 R ins rez le connecteur d alimentation dans la prise de l unit et ATTENDEZ 4 SECONDES 4 Ensuite sans vous interrompre basculez le micro commutateur 1 sur OFF VERS LE HAUT 5 Basculez le micro commutateur 1 sur ON VERS LE BAS 6 Basculez le micro commutateur 1 sur OFF VERS LE HAUT Cette s quence de red marrage doit se faire dans les 10 secondes suivant la mise sous tension du Firewall VPN 7 Quand les voyants d activit du r seau local clignotent et que la s quence de r initialisation recommence l unit est r initialis e 8 Retirez le c ble d alimentation 9 Attendez quelques instants puis rebranchez le cable d alimentation Il est important de ne pas basculer le commutateur trop vite Utilisez des mouvements lents et r guliers Entrainez vous pour l tape 4 avec l alimentation d branch e avant d essayer pour la premi re fois L unit doit avoir de nouveau ses valeurs
99. t de s curit proactive Rendez vous sur notre site Web pour obtenir les derni res informations sur les programmes de support Enregistrement et licences Si le produit que vous mettez en ceuvre requiert un enregistrement et ou une cl de licence la fa on la plus simple et la plus rapide d enregistrer votre service est d acc der notre site d enregistrement et de licences l adresse suivante www symantec com certificate en anglais Vous pouvez galement vous rendre sur le site Web www symantec fr frsupport s lectionner le produit que vous souhaitez enregistrer et partir de la page d accueil du produit s lectionnez le lien d enregistrement et de licences Coordonn es du support Les clients disposant d un contrat de support en cours peuvent contacter le Support technique par t l phone ou sur le site Web l adresse suivante http www symantec fr frsupport Lorsque vous contactez le support technique v rifiez que vous disposez des informations suivantes e La version du produit e Les informations sur le mat riel e La m moire disponible l espace disque et la carte d interface r seau e Le syst me d exploitation e La version et le correctif e La typologie du r seau e Le routeur la passerelle et l adresse IP e La description du probl me e Les messages d erreur les fichiers journaux e Le type de r paration effectu avant de contacter Symantec e Les modifications de r seau et ou de con
100. technologie Nexland Figure 3 1 Ecran Configuration principale du Firewall VPN200 Symantec L cran Configuration principale est le premier cran que vous voyez quand vous allez sur le Firewall VPN Symantec avec votre navigateur Cet cran contient les param tres de base indispensables pour pouvoir utiliser Internet Cet cran sert configurer les ports de r seau tendu 1 et 2 La section Statut de la connexion en haut de l cran indique si vous tes Connect en cours de connexion pendant l appel PPPoE ou D connect 3 3 Pour configurer le Firewall VPN 200 Symantec avec l cran Configuration principale 3 4 Si l cran Configuration principale n est pas affich cliquez sur Configuration principale dans le Menu principal Le Menu principal est affich en permanence sur le c t gauche de l cran Effectuez l une des op rations suivantes e Si vous utilisez un compte d acc s a Internet dont l adresse IP est fournie automatiquement par un serveur DHCP cliquez sur le bouton radio Activer dans la section Obtention automatique de l adresse IP amp DNS Ce bouton radio est activ par d faut et peut s appliquer a la plupart des comptes d acc s par le cable Cette option devrait vous permettre de vous connecter imm diatement Statut de connexion Normal si vous avez un compte de ce type Si ce n est pas le cas cliquez sur le bouton R initialiser sur le Firewall VPN Si vous ne pouvez toujours pas vou
101. toujours connect Adee E si la valeur est diff rente de z ro Masque de r seau 4 1 Passerelle par d faut IP du r seau tendu 2 Ne pas utiliser pour les comptes IP dynamiques et les comptes PPPoE Remarque le statut est toujours connect si la valeur est diff rente de z ro Adresse IP z Masque de r seau L Passerelle par d faut i Serveurs de nom de domaine Facuitatif pour les comptes IP dynamiques et les comptes PPPoE Passerelle DNS 4 4 v ar la r solution de nom loc distance sur le r seau ef VPI IP de la passerelle T Toutes les demandes DNS sont transmises P DNS cette adresse IP Lorsque l option est activ e si la passerelle Utiliser un ISP ou un du VPN ou du DNS local ne fonctionne pas DNS statique comme Activer D sactiver les demandes DNS sont transmises sauvegarde l adresse IP du fournisseur d acc s internet ou celle du DNS statique Enregistrer Annuler Restaurer les waleurs par d faut Figure 3 2 Ecran IP statique et DNS du Firewall VPN 200 Symantec Pour configurer l cran IP statique et DNS Remplissez les informations de l cran IP statique et DNS comme suit 1 Dans le champ Adresse IP de la section IP r seau tendu saisissez l adresse IP du c t ext rieur r seau tendu du Firewall VPN 2 Dans le champ Masque r seau saisissez le masque de r seau Ce masque d termine o les paquets sont envoy s en i
102. tre objectif premier est de r pondre aux questions sp cifiques sur les fonctionnalit s fonctions l installation et la configuration de nos produits ainsi que sur le contenu de notre Base de connaissances accessible par le Web Pour r pondre vos questions en un temps record nous travaillons en collaboration avec les autres services fonctionnels de Symantec comme avec notre service Ing nierie produit Product Engineering et nos Centres de recherche sur la s curit Security Research Centers afin de fournir des Services d alertes et des Mises jour des d finitions de virus pour les derniers Virus d couverts et les Alertes de s curit Caract ristiques de nos offres Une panoplie d options de support vous permet de choisir le service appropri pour n importe quel type d entreprise e Le support Web et t l phonique fournit des r ponses rapides et des informations de derni re minute Une garantie logicielle fournit une protection de mise niveau logicielle automatique e Les Mises jour de contenu des d finitions de virus et les signatures de s curit assurent la meilleure protection Le support mondial compos d experts Symantec est disponible 24h 24 7j 7 dans le monde entier et dans diff rentes langues e Les fonctionnalit s avanc es telles que le Service d alertes Symantec Symantec Alerting Service et le Responsable de compte technique Technical Account Manager offrent un support d intervention e
103. ue la connexion reste toujours active et emp cher le Firewall VPN Symantec de raccrocher Si la valeur indiqu e est sup rieure a 0 activez l option Connexion a la demande pour vous reconnecter automatiquement quand c est n cessaire d Si vous avez un compte Internet PPPoE avec IP statique indiquez cette adresse IP dans le champ Adresse IP statique si ce n est pas le cas laissez ce champ sur la valeur 0 Remarque Cela concerne uniquement PPPoE 5 Si votre FAI fournisseur d acc s Internet propose diff rents services pour votre compte PPPoE utilisez la section S lection d un service pour y acc der a Cliquez sur Interroger les services b S lectionnez le service dans la liste d roulante puis connectez vous normalement 6 Indiquez votre Nom d utilisateur 7 Indiquez votre Mot de passe 8 Confirmez votre mot de passe 9 Cliquez sur Enregistrer tout pour traiter cet cran Le fichier journal de l cran Affichage du journal fournit des informations utiles propos de votre connexion PPPoE si vous avez des probl mes vous connecter votre FAI 4 3 Service de DNS dynamique Le Service de DNS dynamique est un syst me permettant aux gens de l ext rieur de se connecter vos ordinateurs en utilisant un nom de domaine m me si vous avez un compte IP dynamique fourni par votre FAI votre adresse IP change de temps en temps Si vous mettez en place un Serveur Web virtuel les gens pourront toujours
104. uement II n est pas n cessaire de les configurer l avance 10 10 10 2 192 168 40 1 Symantec 11 14 1010101 Firewall VPN 200 SE VPN V 6 5 x 192 168 0 3 10 10 10 4 Figure 7 4 Diagramme de tunnel dynamique Configuration de tunnel dynamique pour Firewall VPN 100 Symantec Sur le Firewall VPN Symantec s lectionnez l option VPN Dynamique dans la page de configuration Vous devez obtenir un cran similaire la Figure 7 5 la page 7 7 Initialement l cran ne contient que quelques param tres par d faut Pour configurer un tunnel dynamique vous aurez besoin des informations suivantes sur le SEVPN e Adresse IP de la passerelle du SEVPN e Secret partag e R seau de destination prot g par le SEVPN Masque du r seau de destination prot g par le SEVPN e Param tres de cryptage sur SEVPN DES 3DES SHA1 etc e Param tre de confidentialit de transmission optimale cl VPN dynamique 2 Association de s curit IPSec S lectionnez une association 200 t0 SEVPN Im Effectuez la s lection seulement si vous mettez jour ou supprimez le configuration de s curit EX Stante Mettre jour les champs ci dessous S lectionnez d abord l association de s curit ci dessus sauf en cas d ajout Nom 200 t0_SEVPN Activer D sactiver Port r seau tendu R seau tendu 1 Vous devez lier le tunnel VPN au port r seau tendu Session PPPoE Session 1 z
105. us tension et que la carte Ethernet fonctionne correctement Il en est de m me pour toutes les connexions tablies avec le Firewall VPN Symantec V rifiez toujours qu un voyant de liaison vert est allum Configuration de l ordinateur La configuration de l ordinateur implique de d finir celui ci pour qu il accepte automatiquement l adressage IP depuis le serveur DHCP du Firewall VPN Symantec Cela constitue in r seau interne distinct du r seau externe dot de son propre syst me priv d adressage IP La proc dure de configuration peut varier selon le syst me d exploitation de l ordinateur Les indications suivantes ne concernent que Windows NT Suivez les proc dures ci apr s pour chaque ordinateur que vous connectez au Firewall VPN Symantec 1 Cliquez sur D marrer gt Param tres gt Panneau de configuration 2 Ouvrez R seau et s lectionnez TCP IP s il y a plusieurs entr es TCP IP choisissez celle li e votre carte Ethernet 3 Cliquez sur Propri t s 4 V rifiez que Obtenir l adresse IP automatiquement est s lectionn 5 Cliquez sur l onglet Passerelle 6 Confirmez qu il n y a aucune entr e 7 Cliquez sur l onglet Configuration DNS 8 V rifiez que DNS d sactiv est s lectionn 9 Si les onglets mentionn s contiennent des entr es notez celles ci avant de les effacer car vous devrez peut tre les fournir au Firewall VPN Symantec 10 Red marrez l ordinateur 2 7 Configuration
106. uter Supprimer Mettre jour l entr e Effacer le formulaire Annuler Liste des utilisateurs Nom Activ Cl pr partag e Figure 5 6 Ecran VPN Identit du client L cran VPN Identit du client identifie et valide les utilisateurs du Client VPN Il permet aussi de d finir les Cl s pr partag es Pour ajouter un nouvel utilisateur du Client VPN 1 Dans le menu principal du Firewall VPN 200R Symantec s lectionnez Identit du client 2 Dans la section Identit du client cliquez sur Activer 3 Dans le champ Nom d utilisateur saisissez votre nom d utilisateur 4 Dans le champ Cl pr partag e saisissez votre cl pr partag e La cl pr partag e doit comprendre entre 20 et 64 caract res 5 Cliquez sur Ajouter Utilitaires Sauvegarde Analogique RNIS Cet cran vous permet de configurer les informations de secours automatique ou de connexion analogique RNIS Vous devez connecter un modem externe analogique ou RNIS au port s rie du Firewall VPN pour utiliser cette fonctionnalit En mode Sauvegarde le Firewall VPN Symantec tablit automatiquement une connexion si la liaison large bande tombe en panne Il r active aussi automatiquement la connexion large bande quand celle ci est de nouveau disponible Vous pouvez aussi d clencher manuellement la connexion Analogique RNIS Sauvegarde Analogique RNIS 2 Sauvegarde Activer 7 Connexion Acc s Internet Standard RNIS ou analogi
107. veur proxy NTP Autre serveur nte indiquez le ici Sinon les serveurs NTP standard sont utilis s Enregistrer Annuler Effacer le journal Figure 6 4 Ecran Param tres du journal Pour configurer les param tres du journal 1 Dans la section Transmission champ Serveur Syslog saisissez l adresse IP d un h te ex cutant un utilitaire Syslog standard pour recevoir le fichier Journal 2 Dans le champ Serveur SMTP saisissez l adresse IP ou l URL du serveur SMTP qui doit recevoir le fichier journal dans le champ Serveur SMTP de la section Param tres e mail 3 Dans le champ Exp diteur de l e mail indiquez l adresse e mail de l exp diteur du message Le champ Exp diteur de l e mail peut contenir jusqu 39 caract res 6 10 Dans le champ Destinataire de l e mail indiquez le destinataire de l e mail Le champ Destinataire de l e mail peut contenir jusqu 39 caract res Si vous voulez sp cifier plusieurs destinataires s parez les par une virgule Sous la section Type de journal cochez les cases correspondant aux types de messages que vous voulez consigner Sous la section Heure dans le champ Autre serveur NTP saisissez l adresse IP d un autre serveur NTP Si vous utilisez un proxy ou tes situ derri re un firewall n cessitant une passerelle NTP indiquez ici son adresse IP Sinon les serveurs NTP standard seront utilis s pour obtenir l heure des entr es de journal Cliquez sur Enregistrer
108. ways Adding a Gateway sous un nom unique ou utilisez Defining an IKE Policy l une des politiques pr d finies 8 Cr er un nouveau tunnel Managing Tunnels Adding a Tunnel 9 Indiquez le sous r seau interne Managing Tunnels Adding a Tunnel du Firewall VPN 200R Symantec 10 Cr ez une nouvelle politique VPN Managing Tunnels Adding a Tunnel ou utilisez une politique Defining an VPN Policy pr d finie 11 Connecter un tunnel Managing Tunnels Adding a Tunnel Depannage Probl me 1 Impossible de se connecter au Firewall VPN Symantec pour le configurer V rifiez que e l installation du Firewall VPN Symantec est correcte les connexions r seau fonctionnent et le Firewall VPN Symantec est sous tension e votre PC et le Firewall VPN Symantec sont sur le m me segment de r seau Si vous installez le Firewall VPN Symantec pour la premi re fois v rifiez que votre PC utilise une adresse IP faisant partie de la plage 192 168 0 2 192 168 0 255 compatible avec l adresse IP par d faut du Firewall VPN 192 168 0 1 e le masque de sous r seau est d fini sur 255 255 255 0 pour pouvoir atteindre le Firewall VPN Dans Windows examinez ces param tres dans la section R seau du Panneau de configuration pour v rifier les propri t s du protocole TCP IP utilis par votre carte r seau vous n avez pas de proxy configur dans votre navigateur Si un ordinateur est connect directement au Firewall VPN Symant
109. y acc der en tapant votre nom de domaine par exemple www mondnsdyn com Service DNS dynamique Informations de compte Activer 7 Port r seau tendu R seau tendu 1 Nom d utilisateur s lt gt gt gt Mot de passe C Confirmer UU E Seveurl gt Nomdh tef gt QQ Param tres facultatifs Caract res g n riques M Sauvegarde MX I Serveur de messagerie Forcer la mise jour __ Mettre jour Remarque n utilisez cette fonction que si cela est n cessaire DNS je service est automatiquement mis jour en cas de besoin Enregistrer Annuler Figure 4 2 Ecran Service de DNS dynamique Le Firewall VPN Symantec contacte un service DNS dynamique chaque fois que votre IP change et l actualise automatiquement Le service de DNS dynamique met ensuite jour tous les serveurs DNS dans le monde entier Les services DNS dynamiques existent en version payante et gratuite Le client DNS dynamique int gr au Firewall VPN Symantec est compatible avec la plupart des services standard Pour configurer le DNS dynamique Les informations sur le client n cessaires pour remplir les champs ci dessous peuvent tre obtenues aupr s de votre FAI 1 Cliquez sur Activer 2 S lectionnez votre Port r seau tendu dans la liste d roulante Port r seau tendu 3 Indiquez vos param tres de bases Ce sont les informations de votre compte Indiquez ces informations exactement telles qu elles vous sont fourn
Download Pdf Manuals
Related Search
Firewall/VPN Symantec Mod