www.fortinet.com
L’architecture
Unied Access Layer
de Fortinet
UN GUIDE SOLUTION DE FORTINET
Sécurité Wi-Fi : état des lieux
L’adoption généralisée de la norme IEEE 802.11n a abouti lieu à un panorama complexe en matière de Wi-Fi, et à une
prolifération des équipements et des applications mobiles. Aujourd’hui, considérer tous les utilisateurs et applications
Wi-Fi de manière similaire n’est plus pertinent, et des règles de contrôle sont devenus impératifs pour les WLAN.
Fortinet ore la seule solution de qualité professionnelle dédiée à la sécurité du Wi-Fi et qui répond à une multitude
de dés :
n Identier les applications métier et contrôler leur utilisation
n Appliquer toutes les règles de sécurité aux données laires et sans l
n Optimiser la productivité avec une utilisation équitable des ressources
n Privilégier des règles fondées sur l’identité et sans complexité
n Simplier les tâches d’administration, via une seule console centralisée
n Assurer un déploiement souple et un TCO maîtrisé
Croissance des réseaux sans l
La popularité des équipements mobiles et les impératifs de maîtrise des coûts sont les moteurs de l’adoption rapide
du sans-l. Des études menées par In-stat tablent sur une croissance annuelle moyenne des équipements mobiles de
50 % entre 2009 et 2013. De plus, les organisations sont passées au sans-l pour limiter les coûts liés aux commutateurs
et au câblage en périphérie de réseau. Enn, la ratication de la norme Wi-Fi IEEE 802.11n a été le catalyseur d’une
adoption accélérée, d’autant que cette norme améliore la couverture Wi-Fi, propose des performances 5 fois meilleures
par rapport au Wi-Fi de génération précédente, et fait jeu égal avec les réseaux LAN Fast Ethernet.
TIMESTAMP (SECONDS)
TRANSMIT RATE
RECIEVE RATE
3500
3000
2500
2000
1500
1000
500
0
Valeur en milliards de $
2008 2009 2010 2011 2012 2013 2014
REGION
Amérique du Nord
EMEA
Asie-Pacique
Amérique Latine
Monde
ANNEE
+1 milliards de $ avec l'iPad
Prévisions de croissance des réseaux sans l
Deux principales architectures Wi-Fi se sont imposées : les « Thick AP » (ou points d’accès lourds) et les “Thin AP”
(points d’accès légers). Le choix entre ces deux architectures se fait selon les besoins en services Wi-Fi.
Un Thick AP est un point d’accès sans l (ou WTP pour Wireless Termination Point) qui assure de manière
autonome la commutation des paquets entre les domaines laires et sans l. Un Thick AP pilote les opérations
d’authentication, de chirement et d’application des règles de contrôle d’accès. Les Thick AP sont gérés
indépendamment, ou via une application centralisée d’administration réseau. Ils constituent la solution idéale
pour les petits bureaux et sites, ou les points de vente qui s'accommodent d’une couverture sans l réduite.
Un Thin AP propose les mêmes fonctionnalités qu’un Thick AP, mais se déploie de manière disséminée pour
assurer une couverture plus étendue. Le Thin AP relaye le trac sans l au commutateur/contrôleur, et les tâches
complexes ne sont que rarement réalisées en local. De nombreuses fonctionnalités sont donc déléguées à un
contrôleur centralisé : authentication, processus de sécurité, gestion et attribution des canaux, gestion de la
puissance d’émission et détection des points d’accès indésirables. Cette approche simplie l’administration et
allège la facture totale des déploiements. En cas d’extension de la zone à couvrir, il sut de déployer des Thin AP
supplémentaires et de les relier au contrôleur qui gérera l’ensemble du parc des AP. Ceci répond aux besoins de
capacité et de couverture plus importants et ne pouvant être assurés par un Thick AP.
La sécurité des réseaux sans l doit être exhaustive
Quelle que soit l’architecture des points d’accès, les réseaux sans l subissent de nombreuses menaces en dépit
d’une authentication forte ou du chirement des communications. Le sans-l est un média mutualisé, et est
donc plus enclin à subir des attaques malveillantes : paquets de désauthentication, points d’accès pirates…
D’autre part, un utilisateur qui consomme beaucoup de bande passante est susceptible de peser sur les autres
utilisateurs. Il est donc essentiel de déployer, sur le réseau sans l, les mêmes mécanismes de protection que ceux
actifs sur les passerelles WAN. Enn, en réponse à ces menaces, le législateur et les organismes de normalisation à
l’image du PCI Security Standards Council ont déni des règles pour protéger les données en environnement sans
l. Le non-respect de ces normes est susceptible d’entraîner des pénalités importantes et une perte de conance
des clients suite à une divulgation de données condentielles.
Le choix des architectures
La Solution Unied Access Layer de Fortinet
Comme décrit précédemment, l’architecture Unied Access Layer simplie la connectivité et la sécurité des
réseaux laires et sans l, grâce à 4 leviers :
n Règles de pare-feu et politiques d'application
n Gestion des utilisateurs
n Logs et reporting
n Conguration et provisioning
La solution Unied Access Layer de Fortinet est représentée par le schéma 1. Elle associe diérents produits
autour des solutions FortiGate et FortiAP qui sont au cœur de l’architecture. Selon l’envergure et l’architecture
du réseau, FortiAuthenticator, FortiAnalyzer et FortiManager peuvent venir en complément des produits cœurs
pour dénir une solution exhaustive.
Schéma 1: La solution Unied Access Layer de Fortinet
L’ architecture Unied Access Layer
Chaque organisation dispose de règles spéciant les modalités de traitement de ses données. Ces règles dénissent
des paramètres compte tenu de l’identité de l’utilisateur et des applications utilisées. D’où l’importance d’une
visibilité centralisée et uniée pour administrer les réseaux laires et sans l. Cette approche favorise d'ailleurs une
plus forte consolidation des équipements réseau, pour assurer simplicité et évolutivité via un déploiement souple
et au TCO maîtrisé.
Un environnement fragmenté peut fonctionner, à condition qu’il n’y ait pas de limites budgétaires. Mais dans la
réalité, les contraintes budgétaires sont fortes, les ressources limitées tandis que les réseaux évoluent. Le réseau
sans l constitue, par dénition, une nouvelle couche réseau qui se déploie sur le réseau existant, bien que cette
couche se comporte comme si elle était conçue ex-nihilo. Compte tenu des contraintes budgétaires et d’espace
rack des réseaux d’entreprise, les réseaux sans l doivent éviter de perturber l’existant. À titre d’exemple, dans un
réseau sans l de qualité professionnelle, c’est le pare-feu ou l’équipement UTM déjà en place qui doit faire oce
de contrôleur sans l. Un tel équipement est conçu pour prendre en charge des données volumineuses et dispose
donc de capacités de traitement et de stockage en réserve, pouvant être aectés aux WLAN professionnels.
L’utilisation d’une base existante d’équipements réseau permet également d’alléger les coûts et de dénir une
architecture plus évolutive.
Les produits au cœur de l'architecture
FortiGate et les FortiAP constituent les outils essentiels de l'architecture Unied Access Layer de Fortinet.
FortiGate - Plateforme de sécurité réseau : gestion de la sécurité + contrôleur sans l
Les plateformes de sécurité FortiGate peuvent également jouer le rôle des contrôleurs, pour déployer plus
simplement et économiquement des WLAN sécurisés. Les plateformes FortiGate administrent le trac laire et
sans l à partir d’une seule console, ce qui instaure une interface uniée d'administration réseau.
Les plateformes FortiGate assurent une protection exhaustive contre les menaces au niveau du réseau, du contenu
et des applications. Ces équipements performants et à faible latence s’assurent que votre sécurité réseau ne soit
pas source de congestion. Les plateformes FortiGate bénécient de fonctionnalités réseau sophistiquées : haute-
disponibilité (en mode actif/actif ou actif/passif) pour optimiser la disponibilité du réseau, fonctionnalités VDOM
(domaines virtuels) adaptées aux environnements mutualisés multi-clients/abonnés, ou segmentation réseau
plus importante des données pour se conformer à certaines règles.
FortiWiFi est une plateforme FortiGate, qui se décline du FortiWiFi-20C au FortiWiFi-81CM. Ces appliances de
sécurité sont de points d’accès lourds (Thick AP), avec diérents niveaux de performances et de fonctionnalités, et
notamment le 802.11n hautes-performances et des liens WAN déployés via modem laire ou sans-l à haut débit.
Les plateformes consolidées FortiWiFi orent une sécurité exhaustive et de qualité professionnelle aux sites de
petites envergures (sites et agences distants), et à un tarif adapté. Avec son panel de technologies essentielles
de sécurité, vous pouvez déployer un seul équipement pour protéger toutes vos applications et données. La
grille tarifaire par équipement, la console d’administration intégrée et les fonctionnalités de gestion à distance
concrétisent une protection complète et économique du contenu.
Chaque modèle FortiWiFi gère jusqu’à sept SSID diérents (points d’accès virtuels), pour activer de multiples
réseaux sans l à partir d’un seul équipement. Chaque point d’accès virtuel constitue une interface spécique sur
le FortiWiFi, ce qui permet d’appliquer des règles distinctes utilisateur ou de pare-feu au trac.
FortiAp - Point d'accès : une sécurité de qualité professionnelle pour le sans-l
Le déploiement de FortiAP associés à un contrôleur FortiGate permet de router le trac des clients sans
l vers l’équipement FortiGate. Au sein de cette couche réseau, le trac sans l contourne le LAN et se termine au
niveau du FortiGate pour des analyses de sécurité et le routage. Le trac est donc nettoyé de toute menace et sa
conformité aux règles est évaluée avec d’être réinjecté dans le LAN.
Fortinet est le seul fournisseur à proposer cette option de contrôleur sans l, à l'intention de tous les
environnements et prols : petits sites distants, sièges sociaux des grandes entreprises, ou encore fournisseurs de
services. Les plateformes FortiGate protègent déjà une majorité des entreprises du palmarès Fortune 500, ainsi
que des dizaines de milliers d’autres organisations dans le monde.
Chaque FortiWiFi gère jusqu’à sept SSID par radio. Chaque SSID apparaît en tant qu’interface distincte sur le
FortiGate. Un seul point d’accès gère ainsi des environnements multi-utilisateurs. Cette architecture favorise
l’application simple de règles de sécurité par une seule plateforme FortiGate, qu’il s’agisse d’appliquer un ensemble
de règles à tous les SSID ou de les diérencier par SSID.
FortiAuthenticator - Authentication à deux facteurs : gestion centralisée des identités
FortiAuthenticator est un service centralisé d’authentication et de gestion des utilisateurs, avec diérentes
méthodes pour valider la véritable identité d’un utilisateur avant qu’il n’accède au service demandé. La solution,
idéale pour les PME, utilise diérentes méthodes d’authentication dont le LDAP en local, RADIUS, ou tout autre
annuaire existant d’entreprise. L' authentication forte à deux facteurs est également possible.
FortiAuthenticator propose également aux utilisateurs de s’enregistrer de manière autonome. La solution est
disponible en tant qu'appliance ou machine virtuelle.
FortiAnalyzer - Reporting centralisé : Reporting centralisé
Les plateformes FortiAnalyzer proposent la journalisation des événements réseau, leur analyse et le reporting
à partir d’un seul système, pour connaître précisément les événements de sécurité sur l’ensemble du réseau.
Les organisations bénécient d’une analyse des événements de sécurité, d’audits post-incidents, d’un reporting,
d’un archivage de contenus, d’une fonction de data mining, de la mise en quarantaine de chiers malveillants
et d’une gestion des vulnérabilités. Le recueil, la corrélation et l’analyse centralisée de données disséminées
géographiquement et dans le temps, à partir des appliances Fortinet et d’équipements tiers, permet de constituer
des tableaux de bord simpliés et consolidés sur l’état de votre sécurité.
La gamme FortiAnalyzer simplie la gestion et l’évolution des règles d’utilisation, et identie les comportements
d’attaque qui vous permettront d’améliorer ces règles. De plus, les FortiAnalyzer orent des instantanés sur les
données, nécessaires aux audits post incidents, ce qui facilite la conformité aux règles de condentialité des
données et la notication des actes de piratage de données.
FortiAnalyzer est disponible sous forme d’appliance physique ou en tant que machine virtuelle.
FortiManager : Plateforme pour une administration centralisée
Les appliances FortiManager orent tous les outils nécessaires pour gérer ecacement votre infrastructure de
sécurité Fortinet. Vous déployez des équipements et agents en faible volume ou par milliers ? Vous mettez à
disposition des mises à jour ? Vous activez des règles pour sécuriser vos ressources gérées ? FortiManager assure
la maîtrise de vos coûts d’administration. Ces appliances orent de nombreuses fonctionnalités de productivité,
pour identier automatiquement les équipements, gérer des groupes, mener des audits ou encore administrer
des environnements VPN en topologie mesh ou étoile. Associé à FortiAnalyzer™, l’appliance centralisée de gestion
des logs et de reporting, FortiManager s’impose en tant que solution d’administration centralisée, exhaustive et
puissante pour votre organisation.
Les FortiManager sont évolutifs jusqu’à plusieurs milliers d’équipements ou d’agents Fortinet, et utilisent le
concept de Domaines d’administration (ADOMs). Au sein d’un ADOM, un administrateur créé des packages,
dossiers et objets liés à des règles qui sont mutualisées entre tous les équipements FortiGate de l’ADOM local.
Dans le Global ADOM de FortiManager, des règles et objets généraux peuvent également être aectés à des sous-
ADOM. Les appliances FortiManager vous assure une gestion ecace et eciente de vos ressources Fortinet, quel
que soit le nombre d’ADOM.
FortiManager est disponible sous forme d’appliance physique ou en tant que machine virtuelle.
conguration, d’interopérabilité et de diagnostic, tout en alourdissant le coût total de possession (TCO).
Fortinet pallie ces carences grâce à ses diérentes plateformes intégrées.
Schéma 2: FortiGate simplie et unie tous les aspects de la sécurité
Pourquoi la solution Unied Access Layer de Fortinet ?
Fortinet est le seul équipementier à proposer une solution exhaustive qui assure :
n La sécurité la plus aboutie
Avec FortiGate, Fortinet est reconnu par IDC en tant que Leader mondial du marché de l’UTM (Unied
Threat Management) et est positionné en tant que Leader dans le Magic Quadrant de Gartner pour le
marché de l’UTM. La plateforme FortiGate est au cœur de l’architecture Unied Access Layer, et fournit
un niveau optimal de sécurité, d’intégrité et d’administration sur les réseaux locaux laire et sans l.
Voir schéma 2.
n Une solution dimensionnée à votre environnement
La gamme étendue des plateformes FortiGate, FortiAuthenticator, FortiAnalyzer et FortiManager
(disponible en tant que machine virtuelle également), permet à nos clients de retenir la solution la plus
adaptée à leurs besoins (entrée, milieu et haut de gamme).
n Une administration simpliée
Certains intégrateurs pensent orir une solution d’Unied Access Layer en associant des produits
proposés par des fournisseurs diérents. Cette approche alimente la complexité en termes de
Fortinet sécurise les réseaux sans l professionnels
Fortinet, pionnier des plateformes uniées de sécurité, propose de nombreuses technologies intégrées de
sécurité, qui assurent plusieurs couches de protection. Sans Fortinet :
n Ces multiples couches sont complexes et coûteuse à déployer et à gérer.
n Ces couches de sécurité doivent être redondantes et pèsent donc sur les performances de votre réseau, au
risque que l’infrastructure de sécurité génère une congestion du réseau.
Nous avons pensé notre solution pour qu’elle réponde à l’ensemble de ces problématiques de sécurité et de
gestion, tout en permettant d’alléger les dépenses et de doper les performances réseau :
n Nos appliances disposent de toutes les fonctionnalités nécessaires et optimisent les performances.
n Nos fonctionnalités de sécurité sont adossées à l’ore de services FortiGuard, pour garantir une veille et une
protection en temps réel.
n Notre plateforme technologique fait la diérence. Elle bénécie de matériel et de logiciels personnalisés, conçus
spéciquement pour exécuter ecacement les tâches de sécurité.
n L’ensemble de ces avantages allège le coût total de possession (TCO), ore une expérience utilisateur conviviale
et encourage les performances.
Fortinet à intégré un contrôleur Wi-Fi au sein de FortiGate, pour fournir des services de sécurité en environnement
laire et sans l. Les plateformes de Fortinet consolident les technologies de sécurité au sein d’un seul équipement,
ce qui améliore les performances et la protection tout en allégeant les coûts. Ces plateformes assurent le rôle de
contrôleur sans l, mais aussi de pare-feu, de VPN, de prévention d’intrusion, de contrôle applicatif, de ltrage Web,
etc. FortiGate se décline en plusieurs modèles adaptés aux réseaux des petits bureaux, des grandes entreprises ou
des fournisseurs de services.
En connectant simplement les FortiAP au FortiGate, nos clients déploient rapidement et simplement un réseau
sans l de qualité professionnelle et parfaitement sécurisé. La majorité des fonctionnalités professionnelles sont
héritées du FortiGate et peuvent être déployées sur les réseaux laires et sans l. Le schéma 3 décrit l’association
de FortiAP et de FortiGate pour déployer un sans l de qualité professionnelle.
Schéma 3 : Un sans-l de qualité professionnelle signé Fortinet
6
7
8
9
1
/
9
100%
