firewalls virtuels - guide d'installation

GUIDE

STORMSHIELD NETWORK SECURITY

FIREWALLS VIRTUELS - GUIDED'INSTALLATION

Produits concernés : SNS 3.7-LTSB

Dernière mise à jour du document : 1 février 2021

Référence : sns-fr-sn_virtual_appliance-guide_installation

Table des matièresPrérequis 3

Prérequis relatifs à l’hyperviseur 3Prérequis selon le modèle de firewall virtuel 3

Enregistrer un produit Stormshield 5

Installer un firewall virtuel 6Télécharger les fichiers d'installation 6Télécharger la licence 6Déployer une image virtuelle sous VMware 7Déployer une image virtuelle sous Xenserver 7

Configurer le firewall virtuel 9Se connecter au firewall 9Activer l’image virtuelle 10

Firewalls virtuels en Haute Disponibilité (Hyperviseur VSPHERE) 11Explication 12Solution 12

Utiliser l'interface Web d'administration 12Utiliser la console système 12

Questions / Réponses 14

Pour aller plus loin 15

SNS - GUIDEFIREWALLS VIRTUELS - GUIDE D'INSTALLATION

/16 sns-fr-sn_virtual_appliance-guide_installation - 01/02/2021

PrérequisL’utilisateur doit être familiarisé avec les environnements virtuels VMware, Xenserver, MicrosoftHyper-V ou Linux KVM afin de déployer un firewall virtuel EVA. Les tableaux suivants reprennentl’ensemble des prérequis techniques.

Prérequis relatifs à l’hyperviseur

La colonne Nombre d'interfaces du tableau représente le nombre d'interfaces connectées à lamachine virtuelle.

Version de l'hyperviseur Nombre d'interfaces

VMware ESX/ESXi Version 6.0 ou supérieure 1 interface min.10 interfaces max.

Citrix Xen Server Version 7.1 ou supérieure 1 interface min.7 interfaces max.

Microsoft Hyper-V Windows Server 2012 ou supérieure 1 interface min.8 interfaces max.

Linux KVM Linux 7.4 ou supérieure 1 interface min.Max : dépend de l'éditeur Linux choisi

Prérequis selon le modèle de firewall virtuel

Modèle Module Valeur

V50 RAMHDDCPU Virtuel

1 Go10 Go (2 Go de swap)1 (max=1)







VS5 RAMHDDCPU Virtuel

2 Go10 Go (4 Go de swap)1 (max = 2) 1

VS10 RAMHDDCPU Virtuel


VU RAMHDDCPU Virtuel




1: valeur recommandée, le nombre de CPU virtuel peut être positionné à 2

2: valeur recommandée, le nombre de CPU virtuel peut être positionné à 4



Enregistrer un produit StormshieldVeuillez enregistrer votre produit :

1. Après avoir passé votre commande, consultez votre messagerie électronique pour récupérerl'e-mail contenant votre numéro de série et votre mot de passe.

2. Rendez-vous sur votre espace privé (https://mystormshield.eu/).

3. S'il s'agit de votre premier enregistrement, vous devez créer votre compte client :

l Sur la page de connexion de Mystormshield, cliquez sur Créer un nouveau compte.

l Remplissez le formulaire qui vous est proposé.

l Validez le formulaire en cliquant sur Créer un nouveau compte.

4. Connectez-vous à l'aide votre identifiant (adresse e-mail) et de votre mot de passe.

5. Rendez-vous dans le menu Produit > Enregistrer un produit SNS.

6. Lisez et acceptez les Conditions Générales d'Utilisation.

7. Remplissez les champs obligatoires (Numéro de série, Mot de passe et Revendeur).

8. Cliquez sur Enregistrer.

NOTEPour plus d'informations, reportez-vous aux informations de la page Enregistrer des produits.



https://mystormshield.eu/

https://mystormshield.eu/documentation/fr/Content/ProductRegistration-LandingTopic.htm

Installer un firewall virtuelL’activation d’un firewall virtuel VU depuis l’image disque (OVA) n’est autorisée que si la machinevirtuelle dispose au minimum de 4Go de mémoire. Ce dimensionnement, indiqué pour les VU, estlié au passage du firmware en version 64 bits.

Par défaut, la taille mémoire initialement paramétrée dans l’image disque (OVA) pour l’ensembledes modèles VS, est de de 2Go.

Télécharger les fichiers d'installation

Suite à l’enregistrement, vous pourrez télécharger depuis votre espace privéhttps://mystormshield.eu/ les fichiers nécessaires à l’installation :

l Le fichier d’installation (Image virtuelle)

l La licence ainsi que les options souscrites (Kit d’activation)

Selon le modèle de firewall virtuel utilisé (V ou VS-VU), le fichier d'installation est décliné dans 4formats correspondant à 4 plate-formes d'hébergement / virtualisation :

Virtual Image for V50-A, V100-A, V200-A and V500-A

l utm-SNS-VM-n°version.ova pour les plate-formes VMWare,

l utm-SNS-VM-n°version-openstack.qcow2.gz pour les plate-formes basées sur Openstack,

l utm-SNS-VM-n°version-kvm.qcow2.gz pour les plate-formes basées sur KVM,

l utm-SNS-VM-n°version-hyperv.vhd.zip pour les plate-formes basées sur Microsoft Hyper-V.

Virtual Image for VU-A, VS5-A and VS10-A

l utm-SNS-VS-VU-n°version.ova pour les plate-formes VMWare,

l utm-SNS-VS-VU-n°version-openstack.qcow2.gz pour les plate-formes basées sur Openstack,

l utm-SNS-VS-VU-n°version-kvm.qcow2.gz pour les plate-formes basées sur KVM,

l utm-SNS-VS-VU-n°version-hyperv.vhd.zip pour les plate-formes basées sur Microsoft Hyper-V.

Pour télécharger le fichier d'installation :

1. Connectez-vous à votre espace privé https://mystormshield.eu.

2. Accédez au menu Téléchargements > Téléchargements > Dernières Versions.

3. Dépliez le menu Stormshield Network Security - Firmware - V X.YZ correspondant à la versionde firmware souhaitée.

4. Sélectionnez l'image virtuelle au format d'installation souhaité.

5. Enregistrez cette image virtuelle sur votre poste de travail.

Télécharger la licence

1. Dans votre espace privé, accédez au menu Produit > Gestion des produits.

2. Sélectionnez le modèle puis le numéro de série de votre firewall dans la liste des firewallsenregistrés.

3. Dans la fenêtre Téléchargements, cliquez sur le nom du fichier de licence.

4. Enregistrez ce fichier sur votre poste de travail.

5. Indiquez la version de kit d'activation que vous souhaitez installer.





6. Cliquez sur le lien Télécharger le kit d’activation.

7. Enregistrez ce fichier sur votre poste de travail.

Déployer une image virtuelle sous VMware

1. Ouvrez vSphere Client depuis votre station d’administration.

2. Indiquez les paramètres de connexion à vCenter Server :

l Adresse IP/Nom,

l Nom d’utilisateur,

l Mot de passe.

3. Cliquez sur Connexion.

4. Cliquez sur le menu Fichier puis sur Déployer modèle OVF...

5. Cliquez sur Parcourir.

6. Sélectionnez le chemin d’accès du fichier .OVA téléchargé précédemment (cf. sectionTélécharger les fichiers d'installation).

7. Cliquez sur Suivant.

8. Lisez et acceptez les conditions d’utilisation.


10. Sélectionnez l'emplacement d'inventaire où installer la machine virtuelle.


12. Sélectionnez l'Hôte/Cluster qui doit héberger la machine virtuelle.


14. Sélectionnez l'emplacement de stockage.


16. Validez le format de disque en cliquant sur Suivant.

17. Sélectionnez le(s) réseau(x) utilisé(s) par la machine virtuelle.


19. Remplissez le formulaire de configuration minimale du firewall :

l Hostname : nom du firewall,

l IP address : adresse IP du firewall (DHCP pour une attribution dynamique),

l Netmask : masque de réseau (vide si DHCP),

l Gateway : adresse IP de la passerelle par défaut (vide si DHCP),

l Password : mot de passe du compte admin du firewall (le confirmer).

Le firewall virtuel Stormshield Network est maintenant déployé sur votre infrastructure virtuelle.

NOTEDans le cas d’un firewall virtuel VU, il est nécessaire de modifier sa taille mémoire afin que celui-cidispose au minimum de 4Go de mémoire avant de le démarrer.

Déployer une image virtuelle sous Xenserver

1. Ouvrez XenCenter depuis votre station d’administration.

2. Connectez-vous sur l’hyperviseur.



3. Indiquez les paramètres de connexion à Xenserver (Adresse IP / Nom, Nom d’utilisateur et Motde passe).

4. Cliquez sur le menu Fichier puis Import.

5. Sélectionnez Parcourir et indiquez le chemin d’accès du fichier .OVA*

6. Lisez et acceptez les conditions d’utilisation.

7. Complétez les étapes liées à l’installation Xenserver.

Le firewall virtuel Stormshield Network est maintenant déployé sur votre infrastructure virtuelle.

* : Fichier téléchargé depuis le site Stormshield. Voir rubrique « Télécharger les fichiersd'installation ».



Configurer le firewall virtuelNous allons maintenant procéder à la configuration et à l’activation du firewall virtuel StormshieldNetwork.

Se connecter au firewall

Ces opérations ne sont pas à réaliser pour une machine déployée sur VMWare si vous avez remplile formulaire de configuration de base lors du déploiement (étape Déployer une image virtuellesous VMware). Dans ce cas, vous pouvez passer directement à l'étape Activer l'image virtuelle.

Dans tous les autres cas :

1. Sélectionnez et démarrez le firewall virtuel.

2. Accédez à la console d’administration du firewall Stormshield Network en allant dans l’ongletConsole.

3. Un premier assistant vous permet d’effectuer la configuration de votre équipement.Choisissez la langue de votre clavier.

4. Renseignez le mot de passe de l’utilisateur admin et confirmez-le :

5. Indiquez l’adresse IP, le masque de sous-réseau et la passerelle par défaut qui serontaffectés au bridge initialement créé sur votre firewall. Cette adresse IP doit être accessibledepuis votre poste de travail :



6. L’assistant vous propose également d’autoriser l’administration du firewall depuis soninterface out. Validez simplement par la touche « Entrée » du clavier :

Le firewall Stormshield Network est maintenant configuré. Vous pouvez l’administrer en ouvrantvotre navigateur Web et en renseignant l’adresse IP que vous avez configurée (https://adresse_ip_fw/admin/) lors de l’étape précédente.

Activer l’image virtuelle

Par défaut, le numéro de série des images virtuelles est le V50XXA0A0000001. L’activation del’image virtuelle va attribuer le modèle du firewall virtuel, son numéro de série définitif, sa licenceainsi que les options souscrites.

1. Ouvrez un navigateur web,

2. Connectez-vous au firewall à l’adresse https://adresse_ip_firewall/admin,

3. Renseignez le nom d’utilisateur « admin » ainsi que le mot de passe défini lors del’installation,

4. Allez dans le menu Système > Maintenance > Mise à jour du système :

5. Sélectionnez le kit d’activation (fichier *.maj),

6. Validez la mise à jour.



Firewalls virtuels en Haute Disponibilité(Hyperviseur VSPHERE)

Lorsque vous créez un cluster de firewalls en haute disponibilité dans un environnementVSphere, il est possible que vous rencontriez des problèmes avec les connexions à destinationdu cluster dans les architectures suivantes :

Firewalls hébergés sur un même serveur ESX et connectés à des vSwitches :

Firewalls hébergés sur deux serveurs ESX distincts et connectés à des vSwitches :



Firewalls hébergés sur deux serveurs ESX distincts et connectés à des dvSwitches :

Explication

En effet, grâce aux outils VMWare tools, le switch virtuel (vSwitch/dvSwitch) apprendautomatiquement les adresses MAC des équipements connectés sur ses ports.

Les deux membres d'un cluster Stormshield ayant par défaut la même adresse MAC, le switchvirtuel transmet toujours les paquets réseau destinés à l'adresse MAC d'un firewall vers cefirewall, quel que soit son état dans le cluster (actif ou passif). Ainsi, si le switch virtuel(vSwitch/dvSwitch) transmet des paquets vers le firewall passif, ceux-ci serontautomatiquement ignorés.

Solution

La solution consiste à supprimer les adresses MAC forcées dans la configuration des deuxfirewalls. Cette manipulation est réalisable au travers de l'interface Web d'administration ou via laconsole système du firewall.

Utiliser l'interface Web d'administration

Dans le menu Réseau > Interfaces > onglet Configuration avancée > champ Adresse physique(MAC), supprimez toutes les adresses MAC personnalisées pour les interfaces réseau desfirewalls virtuels et appliquez votre modification.

Utiliser la console système

1. Dans le fichier de configuration /usr/Firewall/ConfigFiles/network, supprimez toutes les lignescontenant l'entrée "MacAddress=".

2. Tapez ensuite les commandes système ennetwork puis hasync afin de prendre en compteces modifications et de synchroniser la configuration entre le firewall actif et le firewall passif.

En fonction des équipements réseau connectés aux firewalls Stormshield Network, etprincipalement selon la valeur fixée aux timeout ARP, la restauration des connexions lors d'un



changement de rôle des firewalls au sein du cluster (actif / passif) peut nécessiter un délai plusou moins long.



Questions / RéponsesSymptôme : Le numéro de série de mon firewall est V50XXA0A0000001

Solution : Votre firewall Stormshield Network n’est pas activé (numéro de série par défaut).Reportez-vous à la rubrique Activation de l’image virtuelle.

Symptôme : Certaines fonctionnalités ne sont pas disponibles.

Solutions :

l Vérifiez que le numéro de série de votre firewall n’est pas V50XXA0A0000001. Si c’est le cas,votre firewall n’est pas activé. Reportez-vous à la rubrique Activation de l’image virtuelle.

l Votre firewall est activé. Vérifiez votre licence et les options souscrites en cliquant sur le menuSystème > Licence depuis l’interface d’administration du firewall.



Pour aller plus loinPour obtenir de l’aide au sujet de votre produit, vous pouvez consulter le portail dedocumentation Stormshield : https://documentation.stormshield.eu/.

Stormshield met également à votre disposition un Centre d’assistance technique proposantdifférents moyens et outils pour la résolution d’un problème technique sur votre firewall :

l Une base de connaissance accessible à l'aide de vos identifiants d'accès à votre espaceclient Mystormshield,

l Un réseau de distribution certifié. Vous pouvez ainsi faire appel à votre revendeur.

Pour plus d’informations au sujet de l’assistance technique, veuillez-vous référer au document« Charte support du centre d’assistance technique (TAC) Stormshield ».



https://documentation.stormshield.eu/

https://kb.stormshield.eu/




[email protected]

Les images de ce document ne sont pas contractuelles, l'aspect des produits présentés peutéventuellement varier.

Copyright © Stormshield 2021. Tous droits réservés. Tous les autres produits et sociétés citésdans ce document sont des marques ou des marques déposées de leur détenteur respectif.

firewalls virtuels - guide d'installation

Documents