Guide Fortinet FortiGate

Utilisez ce guide pour ajouter Cybora a FortiGate via External Connectors. FortiGate importe le flux comme un objet externe dynamique et le maintient synchronise depuis votre URL de flux.

Ce que FortiGate peut faire avec un flux Cybora

• Les flux IP address peuvent etre utilises comme objets source ou destination dans les firewall policies, proxy policies, local-in policies et ZTNA rules. Ils peuvent aussi etre utilises comme external IP block list dans les DNS filter profiles.
• Les flux domain deviennent des Remote Categories dans les DNS filter profiles et peuvent etre bloques ou surveilles.
• Si vous travaillez avec des indicateurs de type URL, utilisez le type de flux URL ou FortiGuard Category pris en charge par votre version de FortiOS. En pratique, les flux IP sont generalement appliques via des objets de firewall policy, tandis que les flux domain sont generalement appliques via DNS filtering.

Avant de commencer

• Utilisez une version de FortiGate ou FortiOS qui prend en charge Security Fabric > External Connectors.
• Assurez-vous que FortiGate peut atteindre l’URL de votre flux Cybora via HTTP ou HTTPS.
• Utilisez le type de flux Cybora approprie a votre plan et a votre cas d’usage.
• Le fichier du flux doit etre en plain text avec une entree par ligne.
• Si vous utilisez le mode multi-VDOM, decidez a l’avance si le connecteur doit etre cree dans la global VDOM ou dans un VDOM specifique.

Creer l’external connector

1. Allez dans Security Fabric > External Connectors et cliquez sur Create New.
2. Selectionnez le type de flux correspondant a votre flux Cybora. Utilisez IP Address pour les indicateurs IP et Domain Name pour les indicateurs de domaine.
3. Saisissez un nom clair pour le connecteur.
4. Definissez Update method sur External Feed.
5. Collez l’URL de votre flux Cybora dans URL of external resource.
6. Laissez HTTP basic authentication desactive sauf si votre flux en a specifiquement besoin.
7. Definissez Refresh Rate exactement en fonction de votre plan Cybora. Une seule requete est permise dans l’intervalle autorise. Si FortiGate interroge le flux plus souvent que ce que votre plan autorise, le flux peut etre bloque.
8. Enregistrez le connecteur et verifiez qu’il est active.

Appliquer le flux dans FortiGate

1. Pour les flux IP address, utilisez l’objet importe comme source ou destination dans la firewall policy appropriee.
2. Pour les flux domain, utilisez le flux importe comme Remote Category dans le DNS filter profile attache a votre policy.
3. Si vous voulez bloquer le trafic correspondant, assurez-vous que la policy ou le security profile utilise bloque effectivement le trafic base sur le flux importe.
4. Activez la journalisation sur la policy ou le profile afin de faciliter la validation et le depannage.

Validation

1. Ouvrez l’external connector et verifiez Last Update ainsi que l’etat de connexion.
2. Utilisez View Entries pour confirmer que FortiGate a importe les indicateurs attendus.
3. Verifiez que le connecteur est reference dans la policy ou le DNS filter profile prevu.
4. Testez avec un trafic connu correspondant et examinez les journaux de policy, de DNS filter ou de securite.

Si FortiGate perd temporairement la connectivite vers le serveur externe, la liste deja importee peut continuer a fonctionner, mais elle ne sera pas rafraichie tant que la connectivite ne sera pas retablie.

Liens utiles

• Configuring a threat feed
• External feeds
• IP address threat feed
• Domain name threat feed
• External feed connectors per VDOM