Aller au contenu

REGLES FIREWALL - Fortigate FG-60F - Site Vonnas

Derniere MAJ : 2026-02-11 | Source : Export CSV policies Fortigate Equipement : Fortigate FG-60F | IP : 10.1.250.254 | Mode : Route | HA : Standalone Infogérant : ALLEO (profils securite ALLEO_*)

1. Identification

Champ Valeur
Modele Fortinet FortiGate 60F
IP Management 10.1.250.254
Mode Route (routeur inter-VLAN)
Haute disponibilite Standalone (SPOF)
Gestion ALLEO (infogérant)
VPN SSL ssl.root (Alleo + Nomade + Agnes)
VPN IPSec TO_AZURE_USINE (Vonnas ↔ Azure)
Blocklist FortiSOAR BlockList_ALLEO

2. Zones / Interfaces

Source de verite

Pour le detail des VLANs et interfaces Fortigate : voir registre-vlan-vonnas et plan-adressage-ip-vonnas

3. Regles firewall

3.1 Regles DENY (blocage)

# Nom De Vers Source Destination Service Trafic Justification
1 IN_DENY_FORTISOAR_ALLEO WAN any BlockList_ALLEO all ALL 0 B Blocklist FortiSOAR geree par Alleo - IPs malveillantes
2 OUT_DENY_FORTISOAR_ALLEO any WAN all BlockList_ALLEO ALL 472 kB Blocage sortant vers IPs malveillantes
47 Implicit Deny any any all all ALL 3.77 MB Regle par defaut - tout ce qui n'est pas autorise est bloque

3.2 Regles WAN → LAN (entrant)

# Nom Source Destination Service NAT Profils Trafic Justification
5 ESET_IN all (WAN) ESET_TCP_2222 ALL Non AV + IPS + CRT 43.7 MB Console ESET recoit les connexions agents (port 2222)
45 AZ_Allixsrv_TO_SRLV-SERV-BDD IP_ALLIX3-SRV SFTP_TCP_22 ALL Non AV + IPS + CRT 267.5 MB Serveur Allix Azure → BDD Nutriciel (SFTP port 22)

3.3 Regles LAN → WAN (sortant)

# Nom De Source Destination Service Profils Trafic Justification
3 3CX_OUT VOIP LAN_VOIP SRV3cx ALL aucun 2.65 GB SBC 3CX telephonie vers operateur
4 3CX LAN_FGT all GROUP_3CX ALL aucun 0 B 3CX via interface interne
6 SRLV_TO_PRIOS INDUS_GEST + ADMIN Serveurs Nutriciel all ALL AV + IPS + CRT 12.81 GB Serveurs ERP prioritaires vers Internet
7 SRLV19-FIB_TO_WAN INDUS_GEST + AUTO PC_SRLV19-FIB all ALL AV + IPS + CRT 665 MB Poste fibre → Internet
8 SRLV_TO_WUPDATE INDUS_GEST + AUTO all Microsoft Update Internet Svc AV + IPS + CRT 3.78 GB Windows Update pour postes usine
9 ~~SRLV_TO_WWW~~ INDUS_AUTO + GEST all all ALL AV + IPS + CRT 0 B DESACTIVEE
10 MAG2_TO_WAN INDUS_AUTO + GEST 5 MACs specifiques all ALL AV + IPS + CRT 2.33 GB Postes usine nommes (magasin, maintenance, mash)
11 LANUSINE2OFFICE INDUS_AUTO + GEST 5 MACs specifiques Office 365 Internet Svc AV + IPS + CRT 0 B Memes postes → Office 365
13 LAN2WAN_DNS_KEMIN INDUS_AUTO Automate Kemin eWon INTERNET DNS AV + IPS + CRT 0 B Automate Kemin → DNS (teleassistance ?)
14 LAN2WAN_KEMIN INDUS_AUTO Automate Kemin eWon INTERNET ALL AV + IPS + CRT 85.4 MB Automate OT avec acces WAN complet
15 ~~LAN2WAN_THINPRINT_DNA~~ ADMIN + PC LAN_ADMIN + PC ThinPrint gateway TCP 4001 AV + IPS + CRT 0 B DESACTIVEE
16 LAN2WAN_ESET_ESMC SERVEUR IP_ESET_ESMC all EPNS 8883 + HTTP/S AV + IPS + CRT 707 MB ESET console → mises a jour + cloud
17 LAN2KELIO_INDUS INDUS_AUTO + GEST Usine entiere Kelio (Oxyane) ALL AV + IPS + CRT 0 B Pointeuse Kelio cloud
18 LAN2WAN_INDUS INDUS_AUTO + GEST Usine entiere INTERNET ALL AV + WF strict + AC strict + IPS + CRT 5.62 GB Acces Internet usine (filtrage strict)
19 ~~LAN2WAN_OVH_NOS_VPS~~ ADMIN ADMIN + SERVEUR OVH VPS Centreon HTTP/S aucun 0 B DESACTIVEE
20 OUT_WWW_VISITEUR VISITEUR LAN_VISITEUR INTERNET ALL AV + WF + AC + IPS + CRT 22.38 GB Internet visiteurs (filtre)
21 OUT_WWW ADMIN + MGMT + PC + SERVEUR + VOIP all INTERNET ALL AV + WF + AC + IPS + CRT 196.60 GB Regle principale Internet bureaux
46 PROXY_ZABBIX_TO_VPS_ZABBIX MGMT LAN_MGMT IP_VPS_ZABBIX ALL aucun 0 B Proxy Zabbix local → VPS Zabbix (plus utilise ?)

3.4 Regles LAN → LAN (inter-VLAN)

# Nom De Vers Source Destination Service Profils Trafic Justification
12 LAN2LAN_WSUS_INDUS INDUS_AUTO + GEST SERVEUR Usine IP_SRV-BACKUP ALL AV + IPS + CRT 227 MB Usine → srv-backup (WSUS updates)
22 ~~ADMIN_TO_AZURE~~ ADMIN AZURE LAN_ADMIN IP_SRV_AZURE RDP AV + IPS + CRT 0 B DESACTIVEE
23 BACKUP_TO_SERVEUR BACKUP SERVEUR LAN_BACKUP LAN_SERVEUR ALL AV + cert-insp 0 B Backup → Serveurs (projet V240)
24 ADMIN_RDP_TO_BACKUP ADMIN BACKUP LAN_ADMIN LAN_SERVEUR RDP AV + cert-insp 0 B Admin → Backup (RDP, projet V240)
25 LAN_ADMIN_TO_indus_SQL ADMIN INDUS_GEST LAN_ADMIN Nutriciel + BDD ORACLE aucun 570 MB Bureaux → ERP Nutriciel (Oracle)
26 LAN_INDUS_AUTO TO GEST INDUS_AUTO INDUS_GEST Usine OT Nutriciel + BDD ORACLE aucun 4.78 GB Flux principal OT : postes conduite → ERP
27 LAN_ADMIN_TO_SERVEUR-SQL ADMIN SERVEUR LAN_ADMIN LAN_SERVEUR ORACLE aucun 0 B Bureaux → Serveurs Oracle
28 VNC_TO_USINE_GEST ADMIN INDUS_GEST LAN_ADMIN Usine VNC CRT 0 B Teleassistance VNC usine
29 VNC_TO_USINE_AUTO ADMIN INDUS_AUTO LAN_ADMIN Usine VNC CRT 0 B Teleassistance VNC OT
30 LAN_ADMIN_TO_ZABBIX ADMIN INDUS_GEST LAN_ADMIN IP_ZABBIX HTTP/S AV + CRT 0 B Acces Zabbix (plus utilise)
31 LAN_ADMIN_TO_INDUS ADMIN INDUS_AUTO + GEST LAN_ADMIN Usine RDP AV + CRT 25.5 MB Admin → Usine RDP
32 LAN_ADMIN_TO_INDUS_TEST ADMIN INDUS_AUTO + GEST LAN_ADMIN Usine ALL AV + CRT 5.19 GB REGLE TEST - tous ports ouverts !
35 LAN_TO_LAN 7 zones 7 zones tous LAN tous LAN ALL AV + CRT 29.90 GB REGLE PERMISSIVE - tout LAN ↔ LAN
39 LAN2PHONE ADMIN VOIP LAN_ADMIN LAN_VOIP ALL aucun 670 MB Bureaux → telephones
40 LAN_ADMIN_TO_LAN_PC ADMIN PC LAN_ADMIN LAN_PC ALL AV + IPS + CRT 0 B Migration ADMIN ↔ PC
41 LAN_PC_TO_LAN_ADMIN PC ADMIN LAN_PC LAN_ADMIN ALL AV + IPS + CRT 0 B Migration PC ↔ ADMIN
42 LAN_VISITEURS_TO_COPIEUR VISITEUR ADMIN LAN_VISITEUR Canon etage ALL AV + AC + IPS + CRT 0 B Visiteurs → photocopieur etage
43 COPIEUR_TO_LAN_VISITEURS ADMIN VISITEUR Canon etage LAN_VISITEUR ALL AV + AC + IPS + CRT 0 B Retour photocopieur → visiteurs
44 LAN_VISITEURS_TO_COPIEUR_RDC VISITEUR PC LAN_VISITEUR Canon RDC ALL AV + AC + IPS + CRT 0 B Visiteurs → photocopieur RDC
44b COPIEUR_RDC_TO_LAN_VISITEURS PC VISITEUR Canon RDC LAN_VISITEUR ALL AV + AC + IPS + CRT 0 B Retour photocopieur RDC → visiteurs

3.5 Regles VPN

# Nom Type Source Destination Service Trafic Justification
33 IPSEC_VONNAS_TO_AZURE IPSec Nutriciel APP+BDD Azure Hub + Usine Vonnas ALL 0 B ERP Nutriciel → Azure (IPSec site-to-site)
34 IPSEC_VONNAS_FROM_AZURE IPSec Azure Hub + Usine Vonnas Nutriciel APP+BDD ALL 916 MB Azure → ERP Nutriciel (retour)
36 ~~VPN_TO_LAN_ALLEO~~ SSL-VPN Alleo ADMIN + PC + SERVEUR DNS + RDP 0 B DESACTIVEE - Infogérant Alleo
37 ~~VPN_TO_LAN~~ SSL-VPN NOMADE ADMIN + PC + SERVEUR DNS + RDP + ORACLE 0 B DESACTIVEE - Employes nomades
38 ~~VPN_TO_Poste_Agnes~~ SSL-VPN VPN_Clientless ADMIN + PC + SERVEUR DNS + RDP + ORACLE 0 B DESACTIVEE - Agnes

4. Profils de securite

Profil Type Usage
ALLEO_ANTIVIRUS Antivirus Applique sur la majorite des regles
ALLEO_IPS IPS Detection/prevention intrusion
ALLEO_CRT_INSPECTION SSL Inspection Inspection certificat (pas full SSL)
ALLEO_WEBFILTER Web Filter Filtrage URL standard (bureaux + visiteurs)
ALLEO_WEBFILTER_STRICT Web Filter Filtrage URL strict (usine)
ALLEO_APPCTRL App Control Controle applicatif standard
ALLEO_APPCTRL_STRICT App Control Controle applicatif strict (usine)
no-inspection Aucun Pas d'inspection (VoIP, OVH)
certificate-inspection SSL Inspection Inspection certificat seulement (backup)
default General Profil par defaut Fortinet

5. Analyse et alertes

Statistiques

Metrique Valeur
Total regles 47 (44 ACCEPT + 2 DENY + implicit deny)
Regles actives 40
Regles desactivees 7 (SRLV_TO_WWW, LAN2WAN_THINPRINT_DNA, LAN2WAN_OVH_NOS_VPS, ADMIN_TO_AZURE, VPN_TO_LAN_ALLEO, VPN_TO_LAN, VPN_TO_Poste_Agnes)
Regles DENY actives 3 (2 blocklist + implicit deny)
Regles avec trafic > 0 24
Regles actives a 0 bytes 13
Trafic total logge ~300 GB

Alertes securite

# Severite Regle Constat Risque Recommandation
1 CRITIQUE LAN_TO_LAN Tous LAN ↔ tous LAN, service ALL (29.9 GB) Pas de segmentation inter-VLAN effective Remplacer par des regles specifiques par zone
2 HAUTE LAN_ADMIN_TO_INDUS_TEST Regle "TEST" admin→usine ALL (5.19 GB actifs) Contourne la segmentation IT/OT Supprimer ou restreindre aux services necessaires
3 HAUTE LAN2WAN_KEMIN Automate OT eWon avec acces WAN ALL Surface d'attaque sur reseau industriel Restreindre aux IPs/ports de teleassistance Kemin
4 INFO SRLV_TO_WWW Desactivee (ancien doublon LAN2WAN_INDUS) Nettoyage Supprimer
5 MOYENNE LAN_ADMIN_TO_ZABBIX Cible IP_ZABBIX mais Zabbix est decommissionne Regle orpheline Supprimer
6 MOYENNE PROXY_ZABBIX_TO_VPS_ZABBIX Meme probleme Zabbix decommissionne Regle orpheline Supprimer
7 MOYENNE 3CX / 3CX_OUT Pas de profil securite (no-inspection) VoIP sans inspection Evaluer si inspection possible sans impact VoIP
8 INFO 7 regles desactivees + 13 actives a 0 bytes 20 regles sans trafic au total Revue annuelle pour nettoyage
9 INFO VPN_TO_Poste_Agnes Regle nominative pour un utilisateur Scalabilite Integrer dans la regle NOMADE si meme profil

Regles sans justification metier claire

Regle Question
LAN_ADMIN_TO_SERVEUR-SQL Oracle admin → serveurs : quel usage ? (0 bytes, active)
~~ADMIN_TO_AZURE~~ Desactivee - a supprimer ?
~~LAN2WAN_OVH_NOS_VPS~~ Desactivee - a supprimer ?
LANUSINE2OFFICE Office 365 usine via MACs : doublon avec LAN2WAN_INDUS ? (0 bytes, active)

6. Tunnels VPN

SSL-VPN — TOUS DESACTIVES

Les 3 profils SSL-VPN sont desactives. Aucun acces distant VPN n'est operationnel.

Profil Interface Utilisateurs Acces Services Statut
Alleo ssl.root Infogérant ALLEO ADMIN + PC + SERVEUR DNS + RDP DESACTIVE
Nomade ssl.root Employes nomades ADMIN + PC + SERVEUR DNS + RDP + ORACLE DESACTIVE
Agnes (Clientless) ssl.root 1 utilisateur ADMIN + PC + SERVEUR DNS + RDP + ORACLE DESACTIVE

IPSec

Nom Type Local Distant Subnets
TO_AZURE_USINE Site-to-site Vonnas (SRLV-SERV-APP, SRLV-SERV-BDD) Azure (Hub + Usine_Vonnas) LAN_INDUS_GEST ↔ Azure

7. Informations manquantes

  • Regles NAT (non incluses dans cet export)
  • Objets/groupes reseau (IPs derriere les alias : IP_SRV_NUTRICIEL, GROUP_3CX, etc.)
  • FQDN resolus (FQDN_gateway-tse.seal-na.fr, FQDN_OVH_VPS_Centreon)
  • Adresses MAC des regles MAG2_TO_WAN et LANUSINE2OFFICE
  • Configuration SD-WAN (virtual-wan-link : repartition Fibre/4G/ADSL)
  • Regles IPv6 (si existantes)
  • Date de derniere revue des regles
  • Contrat Alleo : perimetre exact de gestion

Voir aussi

Document genere par NetMapper (A3) le 2026-02-11 | Inclus dans le Pack Panne