À propos des Modes Réseau et Interfaces
La configuration des adresses IP d'interface réseau est un élément essentiel de l'installation de votre Firebox. Lorsque vous exécutez les assistants Web Setup Wizard ou Quick Setup Wizard, vous paramétrez les interfaces externes et approuvées pour que le trafic soit acheminé des périphériques protégés vers un réseau externe. Vous pouvez modifier la configuration de l'interface pour ajouter d'autres composants de votre réseau à la configuration. Par exemple, vous pouvez configurer une interface facultative pour des serveurs publics, comme des serveurs Web.
Votre Firebox sépare physiquement les réseaux situés sur un réseau local (LAN) de ceux situés sur un réseau étendu (WAN) comme Internet. Votre périphérique utilise le routage pour envoyer des paquets depuis les réseaux qu'il protège jusqu'aux réseaux qui se trouvent en dehors de votre organisation. Pour acheminer des paquets à travers votre périphérique vers les destinations appropriées, celui-ci doit savoir quels sont les réseaux connectés sur chaque interface.
Il est recommandé de noter les informations de base de votre configuration réseau et VPN dans le cas où vous auriez besoin de contacter le support technique. Ces informations peuvent aider le technicien à résoudre votre problème rapidement. Pour obtenir des instructions quant aux informations à préparer avant d'appeler WatchGuard pour de l'assistance, voir Travailler avec l'Assistance Client WatchGuard.
Pour résoudre les problèmes de connectivité réseau, consultez Dépanner la Connectivité Réseau.
Modes réseau
Votre Firebox prend en charge plusieurs modes réseau :
Mode de routage mixte
En mode de routage mixte, vous pouvez configurer votre périphérique Firebox pour envoyer le trafic réseau entre différents types d'interfaces réseau physiques et virtuelles. C'est le mode de réseau par défaut ; il offre la plus grande souplesse pour les différentes configurations réseau. Vous devez toutefois configurer chaque interface séparément, et il vous faudra peut-être changer les paramètres réseau de chaque ordinateur ou client protégé par votre Firebox. Le Firebox utilise la traduction d'adresses réseau (NAT) pour envoyer des informations entre des interfaces réseau.
Pour plus d'informations, consultez À propos de la Traduction d'Adresses Réseau (NAT).
Les conditions de mode de routage mixte sont les suivantes :
- Toutes les interfaces du Firebox doivent être configurées sur différents sous-réseaux, à moins que le type d'interface ne soit VLAN ou Ponté.
- Tous les ordinateurs connectés aux interfaces approuvées et facultatives doivent avoir une adresse IP de ce réseau.
La configuration par défaut du Firebox comprend des interfaces externes (WAN) et approuvées (LAN). Vous pouvez également configurer une ou plusieurs interfaces facultatives. À titre d'exemple, vous pouvez configurer une interface facultative pour une DMZ.
Dans la plupart des cas, les configurations du Firebox ont une interface externe et des interfaces approuvées. Toutefois, l'interface externe n'est pas nécessaire si le Firebox n'est pas un pare-feu de périphérie. À titre d'exemple, il n'est pas nécessaire de configurer une interface externe sur un Firebox utilisé sur votre LAN de manière à isoler les réseaux si un autre périphérique protège la périphérie entre le LAN et le WAN. Pour configurer un Firebox sans interface externe, consultez la section Configurer le Firebox Sans Interfaces Externes.
Pour plus d'informations sur le mode de routage mixte, consultez Mode de Routage mixte.
Mode d'insertion
Dans une configuration d'insertion, votre périphérique Firebox est configuré avec la même adresse IP sur toutes les interfaces. Vous pouvez placer votre périphérique Firebox entre le routeur et le réseau local (LAN) sans avoir à modifier la configuration sur les ordinateurs locaux. Cette configuration est appelée configuration d'insertion car votre Firebox est inséré dans un réseau existant. Certaines fonctions réseau telles que les ponts et les réseaux locaux virtuels (VLAN) ne sont pas disponibles dans ce mode.
Pour la configuration d'insertion, vous devez :
- Attribuer une adresse IP externe statique au Firebox.
- Utiliser un réseau logique pour toutes les interfaces.
- Ne pas configurer la fonctionnalité multi-WAN en mode Tourniquet ou Basculement.
Pour plus d'informations, consultez Mode d'insertion.
Mode pont
Le mode pont est une fonctionnalité qui permet de placer votre Firebox entre un réseau existant et sa passerelle afin de filtrer ou de gérer le trafic réseau. Lorsque vous activez cette fonctionnalité, votre Firebox traite tout le trafic réseau et le transmet vers l'adresse IP que vous indiquez. Lorsque le trafic arrive à la passerelle, il semble provenir du périphérique d'origine. Dans cette configuration, votre Firebox ne peut pas effectuer plusieurs fonctions qui exigent une adresse IP publique et unique. Par exemple, vous ne pouvez pas configurer un Firebox en mode pont afin qu'il agisse comme endpoint avec un réseau privé virtuel (VPN).
Pour plus d'informations, consultez Mode Pont.
Types d'Interface
Lorsque vous activez une interface de Firebox, vous devez configurer l'interface comme l'un de ces quatre types d'interface:
Interfaces Externes
Une interface externe est utilisée pour connecter votre Firebox à un réseau en dehors de votre organisation. L'interface externe est souvent la méthode qui vous permet de connecter votre Firebox à Internet.
Lorsque vous configurez une interface externe, vous devez choisir la méthode qu'utilise votre fournisseur de services Internet afin d'attribuer une adresse IP à votre Firebox. Si vous ne connaissez pas cette méthode, vous pouvez obtenir ces informations de votre fournisseur de services Internet ou de votre administrateur réseau.
Les interfaces externes sont membres de l'alias Tout-Externe. Les interfaces externes possèdent toujours une route par défaut, également connue sous le nom de « route zéro » (0.0.0.0/0).
Si vous désactivez toutes les interfaces externes ou si vous remplacez toutes les interfaces externes par des interfaces internes, le Firebox vous invite à spécifier une adresse IP de passerelle par défaut pour le Firebox. Vous ne pouvez pas ajouter de route par défaut pour le Firebox dans la configuration Réseau> Routes.
Interfaces approuvées
Les interfaces approuvées se connectent au réseau local privé (LAN) ou au réseau interne de votre organisation. Une interface approuvée fournit généralement des connexions pour les employés et les ressources internes sécurisées. Les interfaces approuvées sont membres de l'alias Tout-Approuvé.
Interfaces facultatives
Les interfaces facultatives sont des environnements de confiance mixte ou DMZ qui sont séparés de votre réseau approuvé. Les serveurs Web publics, les serveurs FTP et les serveurs de messagerie sont des exemples d'ordinateurs souvent installés sur une interface facultative. Les paramètres d'une interface facultative sont identiques à ceux d'une interface approuvée. La seule différence réside dans le fait que les interfaces facultatives sont membres de l'alias Tout-Facultatif.
Interfaces personnalisées
Les interfaces personnalisées sont connectées au réseau interne de votre entreprise. Vous pouvez utiliser une interface personnalisée lorsque vous souhaitez configurer une zone de sécurité séparée des zones de sécurité approuvées ou facultatives. Pour obtenir plus d'informations sur les interfaces personnalisées, consultez Configurer une Interface Personnalisée.
Les interfaces approuvées, facultatives et personnalisées sont des interfaces internes possédant les mêmes paramètres configurables. L'adresse IP d'une interface interne doit être statique. Habituellement, les interfaces internes emploient des adresses IP privées ou réservées, conformes aux RFC 1918 et 8190. Nous vous déconseillons d'utiliser des adresses IP publiques qui ne vous appartiennent pas sur votre réseau interne.
Lorsque vous configurez les interfaces sur votre périphérique Firebox, vous devez employer la notation de barre oblique pour désigner le masque de sous-réseau. Par exemple, il faut saisir la plage réseau IPv4 192.168.0.0 masque de sous-réseau 255.255.255.0 comme 192.168.0.0/24. Une interface approuvée avec l'adresse IPv4 de 10.0.1.1/16 a un masque de sous-réseau de 255.255.0.0.
En mode routage mixte, vous pouvez aussi configurer les interfaces de Pont, de VLAN et d'agrégation des liaisons. Chacun de ses types d'interface doit être Externe, Approuvé, Facultatif ou une zone de sécurité personnalisée. Pour plus d'informations sur les paramètres qui s'appliquent à tous les types d'interface, consultez Paramètres d'Interface Standard.
En mode de routage mixte, les différentes interfaces du même type sont séparées les unes des autres. Si vous configurez par exemple différentes interfaces Approuvées, les hôtes d'un réseau Approuvé donné ne peuvent pas se connecter aux hôtes d'un autre réseau Approuvé à moins de configurer une stratégie Firebox autorisant cette connexion.
Pour plus d'informations à propos de la notation de barre oblique, consultez À propos de la Notation de Barre Oblique.
Interfaces Modem
Interfaces Modulaires
Certains modèles de Firebox prennent en charge l'installation de modules d'interface. Vous devez installer un module d'interface avant que vous puissiez configurer les interfaces supplémentaires. La numérotation des interfaces modulaires apparaît similaire aux interfaces physiques. Pour les modèles de Firebox qui prennent en charge les interfaces modulaires, la liste d'interface contient également une colonne Module qui indique les numéros de port tels qu'ils sont marqués sur la face avant de chaque module d'interface.
Pour obtenir plus d'informations sur les interfaces modulaires, consultez À propos des Interfaces Modulaires.
Interfaces sans fil
Après avoir activé au moins un point d'accès sans fil sur un Firebox sans fil qui tourne sous Fireware XTM v11.9 ou supérieure, la liste d'interfaces comprend trois interfaces qui correspondent aux points d'accès sans fil.
- ath1 — Point d'accès 1
- ath2 — Point d'accès 2
- ath3 — Point d'accès 3
Les paramètres de ces interfaces sont les mêmes que les paramètres que vous configurez pour un point d'accès sans fil dans les paramètres Réseau > Sans fil.
Pour plus d'informations sur la configuration d'interface sans fil, consultez Activer les Connexions Sans Fil.
Paramètres DNS
Dans la configuration du réseau, vous pouvez configurer :
- Serveurs DNS et WINS
- Transfert DNS
- Les règles de transfert DNS conditionnelles
Dans Fireware v12.6.4 ou les versions ultérieures, vous pouvez également désactiver le cache DNS.
Pour plus d'informations sur les serveurs et services DNS sur votre Firebox, et pour plus d'informations sur le cache DNS, consultez À propos de DNS sur le Firebox.
Pour de plus amples informations concernant le transfert DNS, consultez À propos du Transfert DNS.