✅ CHECK-LIST DE CONFIGURATION FORTIGATE
1. Accès & Sécurité de base 🔒
✔ Changer le mot de passe admin par défaut
✔ Créer des comptes admin nominatifs
✔ Activer HTTPS uniquement (désactiver HTTP)
✔ Restreindre l’accès admin par IP
✔ Désactiver Telnet / HTTP / accès inutiles
✔ Configurer NTP (heure correcte = logs fiables)
2. Interfaces & Réseau 🔒
✔ WAN configuré (DHCP / IP statique / PPPoE)
✔ LAN configuré (IP, masque)
✔ DHCP LAN configuré (si utilisé)
✔ VLANs créés (si segmentation)
✔ Zones créées (LAN / WAN / DMZ / VPN)
✔ Route par défaut vers le WAN
✔ Routes statiques validées
3. DNS & Services système
✔ DNS configurés (ISP ou publics)
✔ DNS Forwarding activé (si nécessaire)
✔ Test de résolution DNS
✔ Accès Internet validé depuis le FortiGate
4. Politiques Firewall 🔒
✔ Règles LAN → WAN minimales
✔ Règles WAN → LAN strictement limitées
✔ NAT activé uniquement si nécessaire
✔ Aucune règle ANY → ANY en production
✔ Ordre des règles vérifié
✔ Logs activés sur règles critiques
5. Sécurité UTM / NGFW 🔒
Antivirus
✔ Activé sur flux Web / Email / FTP
IPS
✔ Profil IPS adapté (Client / Serveur)
✔ Mode blocage (pas uniquement détection)
Web Filter
✔ Catégories à risque bloquées
✔ SafeSearch activé
Application Control
✔ Applications à risque bloquées (P2P, Tor)
DNS Filter (si licence)
✔ Blocage domaines malveillants
6. Inspection SSL (si activée)
✔ Certificat CA installé sur les postes
✔ Exclusions (banques, santé, etc.)
✔ Politique conforme RGPD
7. VPN 🔒
VPN Site-à-Site
✔ Chiffrement fort (AES-256 / SHA-256)
✔ PFS activé
✔ DPD activé
✔ Routes / politiques validées
VPN SSL
✔ Portail configuré
✔ Groupes utilisateurs définis
✔ MFA activé (FortiToken recommandé)
8. Gestion des utilisateurs
✔ Groupes utilisateurs créés
✔ Liaison AD / LDAP testée (si utilisée)
✔ MFA activé pour accès distants
9. SD-WAN (si multi-liens)
✔ Interfaces ajoutées au SD-WAN
✔ SLA configurés
✔ Règles de priorité applicative
✔ Test de bascule effectué
10. Logs, Supervision & Sauvegardes 🔒
✔ Logs activés sur politiques importantes
✔ Envoi des logs vers FortiAnalyzer / Syslog
✔ Alertes e-mail configurées
✔ Sauvegarde automatique de la config
✔ Test de restauration effectué
11. Haute disponibilité (si HA)
✔ Mode HA (A/P ou A/A)
✔ Synchronisation testée
✔ Monitoring interfaces activé
✔ Test de bascule validé
12. Maintenance & Bonnes pratiques 🔒
✔ Firmware stable (pas beta)
✔ Politique de mise à jour planifiée
✔ Désactiver règles inutilisées
✔ Nommer clairement interfaces & règles
✔ Documentation de la configuration
Voici les services
🔧 Services système essentiels
- DNS (résolution interne/externe)
- NTP (synchronisation de l’heure)
- DHCP (si le FortiGate distribue les IP)
- Accès administratifs (HTTPS, SSH – restreints)
- SNMP (supervision)
- Sauvegarde de configuration
🔥 Services de sécurité
- Firewall / NAT
- Antivirus
- IPS (Intrusion Prevention System)
- Web Filtering
- Application Control
- DNS Filter
- Anti-Spam (si flux mail)
🔐 Services VPN
- VPN IPsec (site-à-site)
- VPN SSL (accès distant)
- Authentification MFA (FortiToken)
👥 Services d’authentification
- Utilisateurs locaux
- LDAP / Active Directory
- Groupes utilisateurs
- Portail VPN
🌐 Services réseau avancés
- VLAN
- Routage statique / dynamique
- SD-WAN
- Load-balancing WAN
♻️ Haute disponibilité & continuité
- HA (Actif/Passif ou Actif/Actif)
- Surveillance des liens
- Failover automatique
📊 Logs & supervision
- Journalisation locale
- FortiAnalyzer / Syslog
- Alertes e-mail
- Rapports de sécurité
🧪 Services optionnels (selon licences)
- Inspection SSL
- Sandboxing
- ZTNA
- Proxy explicite
🎯 En pratique (minimum recommandé)
👉 DNS – NTP – Firewall – UTM – VPN – Logs – Sauvegarde
