firewalls virtuels - guide d'installation
TRANSCRIPT
GUIDE
STORMSHIELD NETWORK SECURITY
FIREWALLS VIRTUELS - GUIDED'INSTALLATION
Produits concernés : SNS 3.7-LTSB
Dernière mise à jour du document : 1 février 2021
Référence : sns-fr-sn_virtual_appliance-guide_installation
Table des matièresPrérequis 3
Prérequis relatifs à l’hyperviseur 3Prérequis selon le modèle de firewall virtuel 3
Enregistrer un produit Stormshield 5
Installer un firewall virtuel 6Télécharger les fichiers d'installation 6Télécharger la licence 6Déployer une image virtuelle sous VMware 7Déployer une image virtuelle sous Xenserver 7
Configurer le firewall virtuel 9Se connecter au firewall 9Activer l’image virtuelle 10
Firewalls virtuels en Haute Disponibilité (Hyperviseur VSPHERE) 11Explication 12Solution 12
Utiliser l'interface Web d'administration 12Utiliser la console système 12
Questions / Réponses 14
Pour aller plus loin 15
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 2/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
PrérequisL’utilisateur doit être familiarisé avec les environnements virtuels VMware, Xenserver, MicrosoftHyper-V ou Linux KVM afin de déployer un firewall virtuel EVA. Les tableaux suivants reprennentl’ensemble des prérequis techniques.
Prérequis relatifs à l’hyperviseur
La colonne Nombre d'interfaces du tableau représente le nombre d'interfaces connectées à lamachine virtuelle.
Version de l'hyperviseur Nombre d'interfaces
VMware ESX/ESXi Version 6.0 ou supérieure 1 interface min.10 interfaces max.
Citrix Xen Server Version 7.1 ou supérieure 1 interface min.7 interfaces max.
Microsoft Hyper-V Windows Server 2012 ou supérieure 1 interface min.8 interfaces max.
Linux KVM Linux 7.4 ou supérieure 1 interface min.Max : dépend de l'éditeur Linux choisi
Prérequis selon le modèle de firewall virtuel
Modèle Module Valeur
V50 RAMHDDCPU Virtuel
1 Go10 Go (2 Go de swap)1 (max=1)
V100 RAMHDDCPU Virtuel
1 Go10 Go (2 Go de swap)1 (max=1)
V200 RAMHDDCPU Virtuel
2 Go10 Go (2 Go de swap)1 (max=1)
V500 RAMHDDCPU Virtuel
2 Go10 Go (2 Go de swap)1 (max=1)
VS5 RAMHDDCPU Virtuel
2 Go10 Go (4 Go de swap)1 (max = 2) 1
VS10 RAMHDDCPU Virtuel
2 Go10 Go (4 Go de swap)1 (max = 2) 1
VU RAMHDDCPU Virtuel
4 Go10 Go (4 Go de swap)1 (max = 4) 2
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 3/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
1: valeur recommandée, le nombre de CPU virtuel peut être positionné à 2
2: valeur recommandée, le nombre de CPU virtuel peut être positionné à 4
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 4/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
Enregistrer un produit StormshieldVeuillez enregistrer votre produit :
1. Après avoir passé votre commande, consultez votre messagerie électronique pour récupérerl'e-mail contenant votre numéro de série et votre mot de passe.
2. Rendez-vous sur votre espace privé (https://mystormshield.eu/).
3. S'il s'agit de votre premier enregistrement, vous devez créer votre compte client :
l Sur la page de connexion de Mystormshield, cliquez sur Créer un nouveau compte.
l Remplissez le formulaire qui vous est proposé.
l Validez le formulaire en cliquant sur Créer un nouveau compte.
4. Connectez-vous à l'aide votre identifiant (adresse e-mail) et de votre mot de passe.
5. Rendez-vous dans le menu Produit > Enregistrer un produit SNS.
6. Lisez et acceptez les Conditions Générales d'Utilisation.
7. Remplissez les champs obligatoires (Numéro de série, Mot de passe et Revendeur).
8. Cliquez sur Enregistrer.
NOTEPour plus d'informations, reportez-vous aux informations de la page Enregistrer des produits.
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 5/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
Installer un firewall virtuelL’activation d’un firewall virtuel VU depuis l’image disque (OVA) n’est autorisée que si la machinevirtuelle dispose au minimum de 4Go de mémoire. Ce dimensionnement, indiqué pour les VU, estlié au passage du firmware en version 64 bits.
Par défaut, la taille mémoire initialement paramétrée dans l’image disque (OVA) pour l’ensembledes modèles VS, est de de 2Go.
Télécharger les fichiers d'installation
Suite à l’enregistrement, vous pourrez télécharger depuis votre espace privéhttps://mystormshield.eu/ les fichiers nécessaires à l’installation :
l Le fichier d’installation (Image virtuelle)
l La licence ainsi que les options souscrites (Kit d’activation)
Selon le modèle de firewall virtuel utilisé (V ou VS-VU), le fichier d'installation est décliné dans 4formats correspondant à 4 plate-formes d'hébergement / virtualisation :
Virtual Image for V50-A, V100-A, V200-A and V500-A
l utm-SNS-VM-n°version.ova pour les plate-formes VMWare,
l utm-SNS-VM-n°version-openstack.qcow2.gz pour les plate-formes basées sur Openstack,
l utm-SNS-VM-n°version-kvm.qcow2.gz pour les plate-formes basées sur KVM,
l utm-SNS-VM-n°version-hyperv.vhd.zip pour les plate-formes basées sur Microsoft Hyper-V.
Virtual Image for VU-A, VS5-A and VS10-A
l utm-SNS-VS-VU-n°version.ova pour les plate-formes VMWare,
l utm-SNS-VS-VU-n°version-openstack.qcow2.gz pour les plate-formes basées sur Openstack,
l utm-SNS-VS-VU-n°version-kvm.qcow2.gz pour les plate-formes basées sur KVM,
l utm-SNS-VS-VU-n°version-hyperv.vhd.zip pour les plate-formes basées sur Microsoft Hyper-V.
Pour télécharger le fichier d'installation :
1. Connectez-vous à votre espace privé https://mystormshield.eu.
2. Accédez au menu Téléchargements > Téléchargements > Dernières Versions.
3. Dépliez le menu Stormshield Network Security - Firmware - V X.YZ correspondant à la versionde firmware souhaitée.
4. Sélectionnez l'image virtuelle au format d'installation souhaité.
5. Enregistrez cette image virtuelle sur votre poste de travail.
Télécharger la licence
1. Dans votre espace privé, accédez au menu Produit > Gestion des produits.
2. Sélectionnez le modèle puis le numéro de série de votre firewall dans la liste des firewallsenregistrés.
3. Dans la fenêtre Téléchargements, cliquez sur le nom du fichier de licence.
4. Enregistrez ce fichier sur votre poste de travail.
5. Indiquez la version de kit d'activation que vous souhaitez installer.
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 6/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
6. Cliquez sur le lien Télécharger le kit d’activation.
7. Enregistrez ce fichier sur votre poste de travail.
Déployer une image virtuelle sous VMware
1. Ouvrez vSphere Client depuis votre station d’administration.
2. Indiquez les paramètres de connexion à vCenter Server :
l Adresse IP/Nom,
l Nom d’utilisateur,
l Mot de passe.
3. Cliquez sur Connexion.
4. Cliquez sur le menu Fichier puis sur Déployer modèle OVF...
5. Cliquez sur Parcourir.
6. Sélectionnez le chemin d’accès du fichier .OVA téléchargé précédemment (cf. sectionTélécharger les fichiers d'installation).
7. Cliquez sur Suivant.
8. Lisez et acceptez les conditions d’utilisation.
9. Cliquez sur Suivant.
10. Sélectionnez l'emplacement d'inventaire où installer la machine virtuelle.
11. Cliquez sur Suivant.
12. Sélectionnez l'Hôte/Cluster qui doit héberger la machine virtuelle.
13. Cliquez sur Suivant.
14. Sélectionnez l'emplacement de stockage.
15. Cliquez sur Suivant.
16. Validez le format de disque en cliquant sur Suivant.
17. Sélectionnez le(s) réseau(x) utilisé(s) par la machine virtuelle.
18. Cliquez sur Suivant.
19. Remplissez le formulaire de configuration minimale du firewall :
l Hostname : nom du firewall,
l IP address : adresse IP du firewall (DHCP pour une attribution dynamique),
l Netmask : masque de réseau (vide si DHCP),
l Gateway : adresse IP de la passerelle par défaut (vide si DHCP),
l Password : mot de passe du compte admin du firewall (le confirmer).
Le firewall virtuel Stormshield Network est maintenant déployé sur votre infrastructure virtuelle.
NOTEDans le cas d’un firewall virtuel VU, il est nécessaire de modifier sa taille mémoire afin que celui-cidispose au minimum de 4Go de mémoire avant de le démarrer.
Déployer une image virtuelle sous Xenserver
1. Ouvrez XenCenter depuis votre station d’administration.
2. Connectez-vous sur l’hyperviseur.
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 7/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
3. Indiquez les paramètres de connexion à Xenserver (Adresse IP / Nom, Nom d’utilisateur et Motde passe).
4. Cliquez sur le menu Fichier puis Import.
5. Sélectionnez Parcourir et indiquez le chemin d’accès du fichier .OVA*
6. Lisez et acceptez les conditions d’utilisation.
7. Complétez les étapes liées à l’installation Xenserver.
Le firewall virtuel Stormshield Network est maintenant déployé sur votre infrastructure virtuelle.
* : Fichier téléchargé depuis le site Stormshield. Voir rubrique « Télécharger les fichiersd'installation ».
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 8/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
Configurer le firewall virtuelNous allons maintenant procéder à la configuration et à l’activation du firewall virtuel StormshieldNetwork.
Se connecter au firewall
Ces opérations ne sont pas à réaliser pour une machine déployée sur VMWare si vous avez remplile formulaire de configuration de base lors du déploiement (étape Déployer une image virtuellesous VMware). Dans ce cas, vous pouvez passer directement à l'étape Activer l'image virtuelle.
Dans tous les autres cas :
1. Sélectionnez et démarrez le firewall virtuel.
2. Accédez à la console d’administration du firewall Stormshield Network en allant dans l’ongletConsole.
3. Un premier assistant vous permet d’effectuer la configuration de votre équipement.Choisissez la langue de votre clavier.
4. Renseignez le mot de passe de l’utilisateur admin et confirmez-le :
5. Indiquez l’adresse IP, le masque de sous-réseau et la passerelle par défaut qui serontaffectés au bridge initialement créé sur votre firewall. Cette adresse IP doit être accessibledepuis votre poste de travail :
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 9/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
6. L’assistant vous propose également d’autoriser l’administration du firewall depuis soninterface out. Validez simplement par la touche « Entrée » du clavier :
Le firewall Stormshield Network est maintenant configuré. Vous pouvez l’administrer en ouvrantvotre navigateur Web et en renseignant l’adresse IP que vous avez configurée (https://adresse_ip_fw/admin/) lors de l’étape précédente.
Activer l’image virtuelle
Par défaut, le numéro de série des images virtuelles est le V50XXA0A0000001. L’activation del’image virtuelle va attribuer le modèle du firewall virtuel, son numéro de série définitif, sa licenceainsi que les options souscrites.
1. Ouvrez un navigateur web,
2. Connectez-vous au firewall à l’adresse https://adresse_ip_firewall/admin,
3. Renseignez le nom d’utilisateur « admin » ainsi que le mot de passe défini lors del’installation,
4. Allez dans le menu Système > Maintenance > Mise à jour du système :
5. Sélectionnez le kit d’activation (fichier *.maj),
6. Validez la mise à jour.
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 10/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
Firewalls virtuels en Haute Disponibilité(Hyperviseur VSPHERE)
Lorsque vous créez un cluster de firewalls en haute disponibilité dans un environnementVSphere, il est possible que vous rencontriez des problèmes avec les connexions à destinationdu cluster dans les architectures suivantes :
Firewalls hébergés sur un même serveur ESX et connectés à des vSwitches :
Firewalls hébergés sur deux serveurs ESX distincts et connectés à des vSwitches :
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 11/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
Firewalls hébergés sur deux serveurs ESX distincts et connectés à des dvSwitches :
Explication
En effet, grâce aux outils VMWare tools, le switch virtuel (vSwitch/dvSwitch) apprendautomatiquement les adresses MAC des équipements connectés sur ses ports.
Les deux membres d'un cluster Stormshield ayant par défaut la même adresse MAC, le switchvirtuel transmet toujours les paquets réseau destinés à l'adresse MAC d'un firewall vers cefirewall, quel que soit son état dans le cluster (actif ou passif). Ainsi, si le switch virtuel(vSwitch/dvSwitch) transmet des paquets vers le firewall passif, ceux-ci serontautomatiquement ignorés.
Solution
La solution consiste à supprimer les adresses MAC forcées dans la configuration des deuxfirewalls. Cette manipulation est réalisable au travers de l'interface Web d'administration ou via laconsole système du firewall.
Utiliser l'interface Web d'administration
Dans le menu Réseau > Interfaces > onglet Configuration avancée > champ Adresse physique(MAC), supprimez toutes les adresses MAC personnalisées pour les interfaces réseau desfirewalls virtuels et appliquez votre modification.
Utiliser la console système
1. Dans le fichier de configuration /usr/Firewall/ConfigFiles/network, supprimez toutes les lignescontenant l'entrée "MacAddress=".
2. Tapez ensuite les commandes système ennetwork puis hasync afin de prendre en compteces modifications et de synchroniser la configuration entre le firewall actif et le firewall passif.
En fonction des équipements réseau connectés aux firewalls Stormshield Network, etprincipalement selon la valeur fixée aux timeout ARP, la restauration des connexions lors d'un
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 12/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
changement de rôle des firewalls au sein du cluster (actif / passif) peut nécessiter un délai plusou moins long.
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 13/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
Questions / RéponsesSymptôme : Le numéro de série de mon firewall est V50XXA0A0000001
Solution : Votre firewall Stormshield Network n’est pas activé (numéro de série par défaut).Reportez-vous à la rubrique Activation de l’image virtuelle.
Symptôme : Certaines fonctionnalités ne sont pas disponibles.
Solutions :
l Vérifiez que le numéro de série de votre firewall n’est pas V50XXA0A0000001. Si c’est le cas,votre firewall n’est pas activé. Reportez-vous à la rubrique Activation de l’image virtuelle.
l Votre firewall est activé. Vérifiez votre licence et les options souscrites en cliquant sur le menuSystème > Licence depuis l’interface d’administration du firewall.
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 14/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
Pour aller plus loinPour obtenir de l’aide au sujet de votre produit, vous pouvez consulter le portail dedocumentation Stormshield : https://documentation.stormshield.eu/.
Stormshield met également à votre disposition un Centre d’assistance technique proposantdifférents moyens et outils pour la résolution d’un problème technique sur votre firewall :
l Une base de connaissance accessible à l'aide de vos identifiants d'accès à votre espaceclient Mystormshield,
l Un réseau de distribution certifié. Vous pouvez ainsi faire appel à votre revendeur.
Pour plus d’informations au sujet de l’assistance technique, veuillez-vous référer au document« Charte support du centre d’assistance technique (TAC) Stormshield ».
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Page 15/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
Page 16/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021
SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION
Les images de ce document ne sont pas contractuelles, l'aspect des produits présentés peutéventuellement varier.
Copyright © Stormshield 2021. Tous droits réservés. Tous les autres produits et sociétés citésdans ce document sont des marques ou des marques déposées de leur détenteur respectif.