Infrastructure FortiGate¶

Qu'est-ce qu'un NGFW ?¶

Un Next-Generation Firewall (NGFW) va au-dela du filtrage de paquets traditionnel (IP/port). Il combine dans un seul equipement :

Fonction	Firewall classique	NGFW (FortiGate)
Filtrage IP/port	Oui	Oui
Inspection applicative (L7)	Non	Oui — identifie les applications (ex: Teams, SAP)
IPS (Intrusion Prevention)	Non	Oui — bloque les exploits connus en temps reel
Antivirus reseau	Non	Oui — scan des fichiers en transit
Filtrage URL/DNS	Non	Oui — bloque les domaines malveillants
Inspection SSL/TLS	Non	Oui — dechiffre le HTTPS pour inspecter le contenu
Identite utilisateur	Non	Oui — politiques basees sur l'utilisateur, pas seulement l'IP

Presentation¶

FortiGate constitue le socle reseau et securite de l'infrastructure. Les Virtual Domains (VDOM) permettent l'isolation complete des differentes zones de securite tout en partageant le materiel.

Fonctions de securite integrees¶

graph TB
    subgraph FGT["FortiGate — Fonctions integrees"]
        FW["Firewall<br/>Stateful L3/L4"]
        IPS2["IPS<br/>Signatures + Anomalies"]
        AV["Antivirus<br/>Scan en transit"]
        WF["Web Filter<br/>URL/DNS/Categories"]
        APPCTRL["App Control<br/>Identification L7"]
        SSL["SSL Inspection<br/>Deep Inspection"]
        VPN2["VPN<br/>IPsec + SSL"]
        SDWAN["SD-WAN<br/>SLA applicatif"]
        ZTNA2["ZTNA<br/>Zero Trust Access"]
    end

    TRAFFIC["Trafic reseau"] --> FGT
    FGT --> CLEAN["Trafic nettoye"]

Protocoles de routage¶

Protocole	Usage	Justification technique
OSPF	Routage intra-site	Convergence rapide (<1s avec BFD), support ECMP pour le load balancing, standard ouvert RFC 2328
eBGP	Routage inter-sites	Controle fin des politiques de routage (AS-path, communities), scalabilite, support Direct Connect/ExpressRoute
VXLAN	Overlay reseau	Extension L2 sur L3 (RFC 7348), isolation par VNI (16 millions de segments), support multi-site
IPsec	VPN site-to-site	Chiffrement AES-256-GCM, IKEv2 (RFC 7296), ADVPN pour le maillage dynamique
SD-WAN	Optimisation WAN	SLA applicatif (latence, jitter, perte), failover <1s, reduction des couts MPLS de 40-60%

Comment fonctionne OSPF ?¶

OSPF (Open Shortest Path First) est un protocole de routage a etat de lien :

1. Chaque routeur decouvre ses voisins via des Hello (multicast 224.0.0.5)
2. Les routeurs echangent leur LSDB (Link-State Database) — la carte complete du reseau
3. Chaque routeur calcule l'arbre du plus court chemin avec l'algorithme de Dijkstra
4. En cas de panne d'un lien, la convergence se fait en <1 seconde avec BFD (Bidirectional Forwarding Detection)

Comment fonctionne SD-WAN ?¶

Le SD-WAN FortiGate mesure en continu la qualite de chaque lien WAN :

graph LR
    subgraph MESURES["Mesures continues"]
        LAT["Latence"]
        JITTER["Gigue"]
        LOSS["Perte de paquets"]
    end

    subgraph LIENS["Liens WAN"]
        MPLS["MPLS<br/>(cher, fiable)"]
        INET["Internet<br/>(economique)"]
        LTE["4G/5G<br/>(backup)"]
    end

    subgraph SLA["Regles SLA"]
        VOIP["VoIP: latence<50ms"]
        SAP["SAP: perte<0.1%"]
        WEB["Web: best effort"]
    end

    MESURES --> LIENS
    SLA -->|"Selection dynamique"| LIENS

• Si le lien MPLS se degrade → le trafic VoIP bascule sur Internet en <1 seconde
• Les applications sont identifiees par DPI (Deep Packet Inspection) et routees selon les SLA

Zones de securite VDOM¶

Un VDOM (Virtual Domain) est un firewall virtuel independant a l'interieur du FortiGate. Chaque VDOM a sa propre table de routage, ses propres politiques et son propre plan d'adressage.

Zone	Fonction	Niveau de confiance	Exemples de trafic autorise
WAN	Acces Internet, liens operateurs	Non fiable	Sortie NAT uniquement
DMZ	Proxy Squid, DNS relay	Faible	HTTP/HTTPS vers Internet, DNS
VPN/ZTNA	Terminaison ZTNA, acces distants	Conditionnel	Applications autorisees uniquement
USER	Postes de travail, WiFi entreprise	Conditionnel	HTTPS vers PROD, DNS vers INFRA
PRODUCTION	Serveurs applicatifs metier	Eleve	Inter-VLAN deny, syslog vers SOC
INFRA	Services d'infrastructure	Eleve	DNS, NTP, LDAP, repos packages
APPLI	Applications metier (micro-segmentees)	Eleve	Acces par application, pas par zone
ADMIN	Administration, bastion Guacamole	Critique	SSH/RDP vers toutes zones via bastion
CORE	Coeur reseau, interconnexions	Critique	Routage inter-VDOM
SOC	SIEM, logs, supervision securite	Critique	Syslog entrant, pas de sortie directe

graph TB
    WAN["WAN<br/>(Non fiable)"]
    DMZ["DMZ<br/>(Faible)"]
    ZTNA["VPN/ZTNA<br/>(Conditionnel)"]
    USER["USER<br/>(Conditionnel)"]

    subgraph FGT["FortiGate VDOM"]
        CORE["CORE<br/>(Critique)"]
    end

    PROD["PRODUCTION<br/>(Eleve)"]
    INFRA["INFRA<br/>(Eleve)"]
    APPLI["APPLI<br/>(Eleve)"]
    ADMIN["ADMIN<br/>(Critique)"]
    SOC["SOC<br/>(Critique)"]

    WAN --> FGT
    DMZ --> FGT
    ZTNA --> FGT
    USER --> FGT
    FGT --> PROD
    FGT --> INFRA
    FGT --> APPLI
    FGT --> ADMIN
    FGT --> SOC

Fonctionnement du filtrage FQDN¶

Plutot que de filtrer par IP (qui peut changer), FortiGate utilise des FQDN Address Objects :

1. L'administrateur cree un objet FQDN (ex: packages.wazuh.com)
2. FortiGate resout le DNS et maintient une table FQDN → IP en cache
3. La policy firewall autorise le trafic vers les IPs resolues
4. Si l'IP change (CDN, cloud), FortiGate re-resout automatiquement

On regroupe les FQDN en Address Groups pour simplifier les policies (ex: GRP-Repos-Publiques contient tous les repos de packages).

Lab : Implementation¶

Notre Fortigate de lab :

Parametre	Valeur
Modele	FGT-02 VM64 (FortiOS v7.4.1)
HA	2 FGT en cluster (fgt-01 + fgt-02)
Management	10.15.100.30 (VLAN 109)
Interfaces	11 VLANs configures
Policies	16 policies granulaires (Policy 1 catch-all desactivee)
FQDN Groups	6 groupes (Repos, Docker, Threat Intel, Cloud, AWS S3, Proxy)

Voir Implementation > Fortigate Policies pour le detail des regles.