Palo Alto Networks VM-Series VM-100, VM-200, VM-300, VM-1000-HV Pare-feu de nouvelle génération Guide de déploiement

Palo Alto Networks VM-Series VM-100, VM-200, VM-300, VM-1000-HV Pare-feu de nouvelle génération Guide de déploiement

VM-Series VM-100, VM-Series VM-200, VM-Series VM-300 et VM-Series VM-1000-HV sont des pare-feux virtuels qui peuvent être déployés sur des serveurs ESXi, Citrix SDX, VMware NSX, AWS et KVM. Ils offrent une protection contre les menaces, le filtrage des URL et des fonctionnalités de prévention des pertes de données.

publicité

Assistant Bot

Besoin d'aide? Notre chatbot a déjà lu le manuel et est prêt à vous aider. N'hésitez pas à poser toutes vos questions sur l'appareil, mais fournir des détails rendra la conversation plus productive.

Guide de déploiement VM-Series PAN-OS 6.1 | Manualzz

Palo Alto Networks

®

Guide de déploiement VM-Series

PAN-OS 6.1

Coordonnées de contact

Siège social :

Palo Alto Networks

4401 Great America Parkway

Santa Clara, CA 95054 http://www.paloaltonetworks.com/contact/contact/

À propos de ce guide

Ce guide décrit la configuration et la mise sous licence du pare-feu VM-Series.

Celui-ci est destiné aux administrateurs qui souhaitent déployer le pare-feu

VM-Series.

Pour plus d'informations, reportez-vous aux sources qui suivent :

Guide de l'administrateur PAN-OS : fournit des instructions sur la configuration des fonctions du pare-feu.

 https://paloaltonetworks.com/documentation : permet d'accéder à la base de connaissances, à un ensemble de documentation complet, à des forums de discussion

et à des vidéos.

 https://support.paloaltonetworks.com

: permet de contacter le support technique pour avoir des informations sur les programmes d'assistance ou pour gérer votre compte ou vos périphériques.

Pour consulter les dernières notes de publication, rendez-vous sur la page des téléchargements logiciels : https://support.paloaltonetworks.com/Updates/SoftwareUpdates .

Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l'adresse : [email protected]

.

Palo Alto Networks, Inc.

www.paloaltonetworks.com

© 2014 Palo Alto Networks Inc. Tous droits réservés.

Palo Alto Networks et PAN-OS sont des marques déposées de Palo Alto

Networks, Inc.

Date de révision : avril 24, 2015 ii

Table des matières

À propos du pare-feu VM-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

Modèles VM-Series. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Déploiements VM-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Licence et mise à niveau du Pare-feu série VM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Création d'un compte de support. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Enregistrement du pare-feu VM-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Activation de la licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Mise à niveau de la version du logiciel PAN-OS (Version autonome). . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Mise à niveau de la version du logiciel PAN-OS (Édition NSX) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Mise à niveau du modèle VM-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Configuration d'un Pare-feu série VM sur un serveur ESXi . . . . . . . . . . . . . .13

Déploiements pris en charge sur VMware vSphere Hypervisor (ESXi) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Configuration système requise et limitations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Limitations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi) . . . . . . . . . . . . . . . . . . . . . . . 17

Configuration du pare-feu VM-Series sur un serveur ESXi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Configuration initiale sur le VM-Series sur ESXi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Résolution des problèmes de déploiement ESXi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Résolution des problèmes de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Problèmes d'installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Problèmes de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Problèmes de connectivité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX . . . . . . . . . .27

À propos du pare-feu VM-Series sur le serveur SDX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Configuration système requise et limitations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Limitations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Scénario 1 : sécurisation du trafic nord-sud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Scénario 2 : sécurisation du trafic est-ouest (Pare-feu VM-Series sur le SDK Citrix) . . . . . . . . . . . . . . 34

Installation du Pare-feu série VM sur le serveur SDX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Chargement de l'image sur le serveur SDX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Configuration du pare-feu VM-Series sur le serveur SDX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Déploiement du pare-feu VM-Series à l'aide d'interfaces L3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Déploiement du pare-feu VM-Series à l'aide d'interfaces de couche 2 (L2) ou de câble virtuel . . . . . . 41

Déploiement du pare-feu VM-Series avant NetScaler VPX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Guide de déploiement VM-Series iii

iv

Configuration d'un pare-feu VM-Series Édition NSX . . . . . . . . . . . . . . . . . . 49

Présentation du pare-feu VM-Series Édition NSX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Composants de la solution Édition NSX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Fonctionnement des composants de la solution Édition NSX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Avantages de la solution Édition NSX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Liste de contrôle de déploiement du pare-feu VM-Series Édition NSX. . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama. . . . . . . . . . . . . . . . 64

Enregistrement du pare-feu VM-Series en tant que service sur NSX Manager . . . . . . . . . . . . . . . . . . . . . . 65

Déploiement du pare-feu VM-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Activation de SpoofGuard. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Définition d'un pool d'adresses IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Préparation de l'hôte ESXi pour le pare-feu VM-Series. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Déploiement du service Pare-feu de dernière génération Palo Alto Networks . . . . . . . . . . . . . . . . . . 73

Création de politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Définition de politiques sur NSX Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Application de politiques sur le pare-feu VM-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Redirection du trafic d'invités n'exécutant pas VMware Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama. . . . . . . 85

Configuration du pare-feu VM-Series dans AWS . . . . . . . . . . . . . . . . . . . . . 91

À propos du pare-feu VM-Series dans AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Déploiements pris en charge dans AWS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Déploiement du pare-feu VM-Series dans AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Obtention de l'AMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Configuration système requise et limitations pour VM-Series dans AWS. . . . . . . . . . . . . . . . . . . . . . . 97

Planification de la fiche de travail du pare-feu VM-Series dans AWS VPC . . . . . . . . . . . . . . . . . . . . . 98

Lancement du pare-feu VM-Series dans AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances

EC2 dans VPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Liste des attributs surveillés dans AWS VPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Cas pratique : Pare-feu VM-Series en tant que passerelles GlobalProtect dans AWS . . . . . . . . . . . . . . . . 124

Composants de l'infrastructure GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Déploiement de passerelles GlobalProtect dans AWS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Configuration du pare-feu VM-Series sur KVM. . . . . . . . . . . . . . . . . . . . . . 127

VM-Series sur KVM : configuration système requise et conditions préalables . . . . . . . . . . . . . . . . . . . . . 128

Configuration système requise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Options d'association du VM-Series sur le réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Conditions préalables du VM-Series sur KVM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Guide de déploiement VM-Series

Déploiements pris en charge sur KVM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Sécurisation du trafic sur un hôte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Sécurisation du trafic entre des hôtes Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Installation du pare-feu VM-Series sur KVM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Autorisation de l'utilisation d'un contrôleur SCSI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

Vérification du PCI-ID de commande d'interfaces réseau sur le pare-feu VM-Series . . . . . . . . . . . . 142

Utilisation d'un fichier ISO pour déployer le pare-feu VM-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

Guide de déploiement VM-Series v

vi Guide de déploiement VM-Series

À propos du pare-feu VM-Series

Le Pare-feu série VM Palo Alto Networks est la forme virtualisée du pare-feu de dernière génération Palo Alto

Networks. Il est destiné à être utilisé dans un environnement de cloud ou virtualisé où il peut protéger et sécuriser le trafic est-ouest et nord-sud.

Modèles VM-Series

Déploiements VM-Series

Licence et mise à niveau du Pare-feu série VM

Guide de déploiement VM-Series 1

2

Modèles VM-Series À propos du pare-feu VM-Series

Modèles VM-Series

Le pare-feu VM-Series est disponible en quatre modèles : VM-100, VM-200, VM-300 et VM-1000-HV.

Tous les modèles peuvent être déployés en tant que machines virtuelles invitées sur VMware ESXi et sur

Citrix NetScaler SDX ; seul le modèle VM-1000-HV est pris en charge sur VMWare NSX Le module logiciel (fichier .xva ou .ovf ) utilisé pour déployer le pare-feu VM-Series est commun à tous les modèles.

Le modèle VM-Series fonctionne sous licence ; lorsque vous appliquez la licence sur le pare-feu VM-Series, le numéro de modèle et les fonctionnalités associées y sont implémentés.

Chaque modèle peut être acheté dans une version Particulier ou Entreprise. La version Particulier est disponible en multiples de 1. La référence de commande, par exemple, PA-VM-300, inclut un code d'autorisation pour mettre une instance du pare-feu VM-Series sous licence. La version Entreprise est disponible en multiples de 25. Par exemple, la référence de commande PAN-VM-100-ENT inclut un code d'autorisation qui vous permet d'enregistrer 25 instances du pare-feu VM-100.

Chaque modèle du pare-feu VM-Series est mis sous licence pour pouvoir offrir une capacité maximale.

La capacité est définie en fonction du nombre de sessions, règles, zones de sécurité, objets d'adresse, tunnels

IPSec VPN et SSL VPN que le pare-feu VM-Series peut gérer. Lors de l'achat d'une licence, assurez-vous que le modèle réponde à vos besoins en matière de réseau. Le tableau suivant décrit certaines différences de capacité par modèle :

Modèle Sessions

VM-100

VM-200

50000

100000

VM-300 250000

VM-1000-HV 250000

Règles de sécurité

Adresses IP dynamiques

250

2000

5000

10,000

1000

1000

1000

100000

Zones de sécurité

40

40

10

20

Tunnels

VPN IPSec

25

500

2000

2000

Tunnels

VPN SSL

25

200

500

500

Pour plus d'informations sur les plates-formes sur lesquelles vous pouvez déployer le pare-feu VM-Series,

reportez-vous à la section Déploiements VM-Series . Pour des informations générales, reportez-vous à la section

À propos du pare-feu VM-Series .

Guide de déploiement VM-Series

À propos du pare-feu VM-Series Déploiements VM-Series

Déploiements VM-Series

Le pare-feu VM-Series peut être déployé sur les plates-formes suivantes :

VM-Series pour VMware vSphere Hypervisor (ESXi)

Le pare-feu VM-100, VM-200, VM-300 ou VM-1000-HV est déployé en tant que machine virtuelle invitée sur VMware ESXi ; il est idéal pour le cloud ou les réseaux où le format virtuel est requis.

Pour plus de détails, reportez-vous à la section Configuration d'un Pare-feu série VM sur un serveur ESXi .

VM-Series pour VMware NSX

Le pare-feu VM-1000-HV est déployé en tant que service d'introspection réseau avec VMware NSX et

Panorama. Ce déploiement est idéal pour l'inspection du trafic est-ouest et il permet également de sécuriser le trafic nord-sud.

Pour plus détails, reportez-vous à la section Configuration d'un pare-feu VM-Series Édition NSX

.

VM-Series pour Citrix SDX

Le pare-feu VM-100, VM-200, VM-300 ou VM-1000-HV est déployé en tant que machine virtuelle invitée sur Citrix NetScaler SDX ; il consolide les services de sécurité et ADC pour les déploiements mutualisés et

Citrix XenApp/XenDesktop.

Pour plus détails, reportez-vous à la section Configuration d'un Pare-feu série VM sur le serveur Citrix SDX .

Guide de déploiement VM-Series 3

4

Déploiements VM-Series À propos du pare-feu VM-Series

VM-Series pour AWS (Amazon Web Services)

Les pare-feu VM-100, VM-200, VM-300 ou VM-1000-HV peuvent être déployés sur des instances EC2 dans le cloud AWS.

Pour plus de détails, reportez-vous à la section

Configuration du pare-feu VM-Series dans AWS

.

VM-Series pour KVM (Kernel Virtualization Module)

Les pare-feu VM-100, VM-200, VM-300 ou VM-1000-HV peuvent être déployés sur un serveur Linux exécutant l'hyperviseur KVM. Pour plus de détails, reportez-vous à la section

Configuration du pare-feu VM-Series sur KVM .

Voici un bref aperçu de la configuration requise pour le déploiement du pare-feu VM-Series :

Déploiement Versions d'hyperviseur prises en charge

Image de base requise sur le portail de support de Palo Alto

Networks

Licences de capacité appropriées

VM-Series pour VMware vSphere Hypervisor (ESXi)

(sans VMware NSX)

5.0, 5.1 et 5.5

PAN-OS pour les images de base VM-Series

Par exemple, le nom de l'image download-able est le suivant :

PA-VM-6.1.0.zip

VM-100

VM-200

VM-300

VM-1000-HV

VM-Series pour

VMware NSX

vSphere avec VMware NSX et

Panorama

5.5

PAN-OS pour les images de base VM-Series NSX

Par exemple, le nom de l'image download-able est le suivant :

PA-VM-NSX-6.0.0.zip

VM-1000-HV

VM-Series pour

Citrix SDX

Version SDX

Version XenServer

VM-Series pour AWS

10.1+

6.0.2 ou version ultérieure

PAN-OS pour les images de base VM-Series SDX

Par exemple, le nom de l'image download-able est le suivant :

PA-VM-SDX-6.1.0.zip

N/D

N/D

VM-100

VM-200

VM-300

VM-1000-HV

VM-Series pour KVM

KVM sur les distributions

Linux suivantes :

Ubuntu : 12.04 LTS

CentOS/ RedHat

Enterprise Linux : 6.5

PAN-OS pour les images de base VM-Series KVM

Par exemple, le nom de l'image download-able est le suivant :

PA-VM-6.1.0.qcow2

VM-100

VM-200

VM-300

VM-1000-HV

VM-100

VM-200

VM-300

VM-1000-HV

Guide de déploiement VM-Series

À propos du pare-feu VM-Series Licence et mise à niveau du Pare-feu série VM

Licence et mise à niveau du Pare-feu série VM

Lors de l'achat d'un pare-feu VM-Series, vous recevez un ensemble de codes d'autorisation par e-mail.

Généralement, cet e-mail contient un ou des codes d'autorisation de licence pour le modèle VM-Series acheté

(VM-100, VM-200, VM300, VM-1000-HV), une autorisation de support qui permet d'accéder aux mises à jour logicielles/de contenu (par exemple, le code d'autorisation référence PAN-SVC-PREM-VM-100), et tout abonnement supplémentaire tel que la prévention contre les menaces, le filtrage des URL, GlobalProtect ou

WildFire. Dans le cas d'une solution NSX intégrée à VMware, l'e-mail contient un code d'autorisation unique qui regroupe la licence de capacité pour une ou plusieurs instances du modèle VM-1000-HV, l'autorisation de support, et une ou plusieurs licence(s) d'abonnement.

Pour utiliser les codes d'autorisation, vous devez les enregistrer dans le compte de support, sur le portail de support de Palo Alto Networks. Si vous possédez déjà un compte de support, vous pouvez suivre le lien

Code d'autorisation VM-Series

sur la portail de support du logiciel pour gérer les licences de votre Pare-feu série VM et télécharger le logiciel.

Si vous ne disposez d'aucun compte de support, vous devez fournir votre numéro de commande d'achat ou ID client ainsi que le code d'autorisation de capacité pour vous enregistrer et créer un compte sur le portail de support. Une fois votre compte vérifié et l'enregistrement terminé, vous pourrez vous connecter et télécharger le module logiciel requis pour installer le Pare-feu série VM. Pour plus de détails sur l'activation de la licence pour votre déploiement, reportez-vous à la section correspondante dans

Activation de la licence

.

Si vous disposez d'une version d'évaluation du pare-feu VM-Series et que vous souhaitez la convertir en une version sous licence (achetée), clonez votre pare-feu et utilisez les instructions pour vous enregistrer et mettre cette version sous licence. Pour obtenir des instructions,

reportez-vous à la section Mise à niveau du modèle VM-Series .

Pour mettre votre pare-feu VM-Series sous licence, reportez-vous aux sections suivantes :

Création d'un compte de support

Enregistrement du pare-feu VM-Series

Activation de la licence

Mise à niveau de la version du logiciel PAN-OS (Version autonome)

Mise à niveau de la version du logiciel PAN-OS (Édition NSX)

Mise à niveau du modèle VM-Series

Pour obtenir des instructions sur l'installation de votre pare-feu VM-Series, reportez-vous à la section

Déploiements VM-Series .

Création d'un compte de support

Un compte de support est requis pour gérer les licences de votre Pare-feu série VM et télécharger le module logiciel nécessaire pour l'installer. Si vous possédez déjà un compte de support, passez à la section

Enregistrement du pare-feu VM-Series

.

Guide de déploiement VM-Series 5

6

Licence et mise à niveau du Pare-feu série VM À propos du pare-feu VM-Series

Création d'un compte de support

1.

Connectez-vous à l'adresse suivante : https://support.paloaltonetworks.com/ .

2.

Cliquez sur

Enregistrer

et remplissez le formulaire d'enregistrement utilisateur. Vous devez utiliser le code d'autorisation de capacité et le numéro de commande d'achat ou l'ID client pour vous enregistrer et créer un compte sur le portail de support.

3.

Envoyez

le formulaire. Vous recevrez un e-mail contenant un lien pour activer votre compte utilisateur ; suivez les

étapes pour l'activer.

Une fois votre compte vérifié et l'enregistrement terminé, vous pourrez vous connecter et télécharger le module logiciel requis pour installer le Pare-feu série VM.

Enregistrement du pare-feu VM-Series

Suivez les instructions de cette section pour enregistrer votre code d'autorisation de capacité dans votre compte de support.

Enregistrement du pare-feu VM-Series

1.

Connectez-vous à l'adresse https://support.paloaltonetworks.com

à l'aide de vos informations d'identification de compte.

2.

Sélectionnez

Ressources

et cliquez sur

Ajouter des codes d'autorisation VM-Series

.

3.

Dans le champ

Ajouter un code d'autorisation VM-Series

, saisissez le code d'autorisation de capacité reçu par e-mail, puis cliquez sur la coche tout à droite pour enregistrer vos données. La page affiche alors la liste des codes d'autorisation enregistrés dans votre compte de support.

Vous pouvez suivre le nombre de pare-feu VM-Series déployés et le nombre de licences encore disponibles pouvant

être utilisées par rapport à chaque code d'autorisation. Lorsque toutes les licences disponibles sont utilisées, le code d'autorisation ne s'affiche pas sur la pages Codes d'autorisation VM-Series. Pour afficher toutes les ressources déployées, sélectionnez

Ressources > Périphériques

.

Guide de déploiement VM-Series

À propos du pare-feu VM-Series Licence et mise à niveau du Pare-feu série VM

Activation de la licence

Pour activer la licence sur votre pare-feu VM-Series, vous devez d'abord le déployer, puis effectuer la configuration initiale. Pour obtenir des instructions sur le déploiement de votre pare-feu VM-Series, reportez-vous à la section

Déploiements VM-Series

.

Tant que vous n'activez pas la licence sur le pare-feu VM-Series, celui-ci ne dispose d'aucun numéro de série, les adresses MAC des interfaces de plan de données ne sont pas uniques et seul un nombre minimum de sessions est pris en charge. Comme les adresses MAC ne sont pas uniques tant que le pare-peu n'est pas mis sous licence, pour éviter les problèmes causée par le chevauchement des adresses MAC, assurez-vous de ne pas disposer de plusieurs pare-feu VM-Series qui ne sont pas sans licence.

Lors de l'activation de la licence, le serveur de licence utilise l'UUID et l'ID de processeur de la machine virtuelle pour générer un numéro de série unique pour le pare-feu VM-Series. Le code d'autorisation de capacité relatif au numéro de série est utilisé pour valider votre éligibilité.

Après l'application d'une licence de pare-feu VM-Series, si vous supprimez et redéployez le pare-feu VM-Series sur le même hôte (dans un environnement de laboratoire uniquement), utilisez un nom unique lors du redéploiement du pare-feu. L'utilisation d'un nom unique garantit que l'UUID affecté au pare-feu est différent de celui affecté à l'instance du pare-feu supprimée. Un UUID unique est requis pour terminer le processus de licence sans erreur.

Activation de la licence pour le pare-feu VM-Series (Version autonome)

Activation de la licence pour le pare-feu VM-Series Édition NSX

Activation de la licence pour le pare-feu VM-Series (Version autonome)

Pour activer la licence sur votre pare-feu VM-Series, vous devez d'abord le déployer, puis effectuer la configuration initiale.

Activation de la licence

Si votre pare-feu VM-Series a un accès Internet direct.

1.

Sélectionnez

Périphérique > Licences

, puis cliquez sur le lien

Activer la fonctionnalité à l'aide du code d'autorisation

.

Pour activer la licence, le pare-feu doit être configuré avec une adresse IP, un masque réseau, une passerelle par défaut et une adresse IP de serveur DNS.

2.

Saisissez le code d'autorisation de capacité enregistré sur le portail de support. Le pare-feu se connecte alors au serveur de mise à jour (updates.paloaltonetworks.com), télécharge la licence et redémarre automatiquement.

3.

Reconnectez-vous à l'interface Web et vérifiez que le

tableau de bord

affiche un numéro de série valide. Si le terme Inconnu s'affiche, cela signifie que le périphérique n'est pas sous licence.

4.

Dans

Périphérique > Licences

, vérifiez que la licence

PA-VM

a

été ajoutée au périphérique.

Guide de déploiement VM-Series 7

Licence et mise à niveau du Pare-feu série VM À propos du pare-feu VM-Series

Activation de la licence (suite)

Si votre pare-feu VM-Series n'a pas d'accès

Internet direct.

1.

Sélectionnez

Périphérique > Licences

, puis cliquez sur le lien

Activer la fonctionnalité à l'aide du code d'autorisation

.

2.

Cliquez sur

Télécharger le fichier d'autorisation

, puis téléchargez le fichier authorizationfile.txt sur la machine cliente.

3.

Copiez le fichier authorizationfile.txt sur un ordinateur qui a accès

à Internet, puis connectez-vous au portail de support. Cliquez sur le lien

Mes codes d'autorisation VM-Series

puis sélectionnez le code d'autorisation applicable dans la liste et cliquez sur le lien

Enregistrer la machine virtuelle

.

4.

Dans l'onglet

Enregistrer la machine virtuelle

, chargez le fichier d'autorisation. Le processus d'enregistrement est alors terminé et le numéro de série de votre pare-feu VM-Series est associé à vos enregistrements de compte.

5.

Sélectionnez

Ressources > Mes périphériques

; puis recherchez le périphérique VM-Series enregistré et cliquez sur le lien

PA-VM

. La clé de licence VM-Series est alors téléchargée sur la machine cliente.

6.

Copiez la clé de licence sur la machine qui peut accéder à l'interface Web du pare-feu VM-Series, puis sélectionnez

Périphérique > Licences

.

7.

Cliquez sur le lien

Charger manuellement la licence

et saisissez la clé de licence. Lorsque la licence de capacité est activée sur le pare-feu, un redémarrage se produit.

8.

Connectez-vous au périphérique et vérifiez que le

tableau de bord

affiche un numéro de licence valide et que la licence

PA-VM

apparaît dans l'onglet

Périphérique > Licences

.

Activation de la licence pour le pare-feu VM-Series Édition NSX

Panorama sert de point de gestion central des pare-feu VM-Series Édition NSX et le processus d'activation de la licence est automatisé. Lorsqu'un nouveau pare-feu VM-Series Édition NSX est déployé, il communique avec

Panorama pour obtenir la licence. Vous devez donc vous assurer que Panorama a accès à Internet et qu'il peut se connecter au serveur de mises à jour de Palo Alto Networks pour récupérer les licences. Pour une vue d'ensemble des composants et de la configuration requise pour le déploiement du pare-feu VM-Series Édition

NSX, reportez-vous à la section

Présentation du pare-feu VM-Series Édition NSX.

.

Pour cette solution intégrée, le code d'autorisation (PAN-VM-!000-HV-SUB-BND-NSX2, par exemple) inclut les licences d'abonnements de prévention contre les menaces, de filtrage des URL et WildFire, ainsi qu'un support premium pour la période demandée.

8 Guide de déploiement VM-Series

À propos du pare-feu VM-Series Licence et mise à niveau du Pare-feu série VM

Pour pouvoir activer la licence, vous devez avoir effectué les tâches suivantes :

Enregistrer le code d'autorisation dans le compte de support. Si vous n'avez pas enregistré le code d'autorisation, le serveur de licences ne parviendra pas à créer une licence.

Configurer VMware Service Manager et saisir ce code d'autorisation sur Panorama. Sur Panorama, sélectionnez

VMWare Service Manager

pour ajouter le

Code d'autorisation

.

Si vous avez acheté un code d'autorisation d'évaluation, vous pouvez activer sous licence jusqu'à

5 pare-feu VM-Series avec la licence de capacité VM-1000-HV pour une période de 30 ou

60 jours. Cette solution vous permettant de déployer un pare-feu VM-Series par hôte ESXi, le cluster ESXi peut inclure 5 hôtes ESXi maximum avec une licence d'évaluation.

Pour pouvoir activer les licences, effectuez les tâches suivantes :

Vérifiez que les pare-feu VM-Series que vous venez de déployer s'affichent en tant que

Périphériques gérés

et qu'ils sont connectés à Panorama.

Sélectionnez

Panorama > Déploiement de périphérique > Licences

, puis cliquez sur

Actualiser

.

Sélectionnez les pare-feu VM-Series pour lesquels vous souhaitez récupérer des licences d'abonnement, puis cliquez sur

OK

.

Panorama appliquera les licences à chaque pare-feu déployé avec le code d'autorisation correspondant.

Mise à niveau de la version du logiciel PAN-OS (Version autonome)

Maintenant que le Pare-feu série VM est connecté au réseau et que le logiciel PAN-OS de base est installé, mettez

à niveau vers la dernière version de PAN-OS. Suivez les instructions ci-dessous pour les pare-feu non déployés en configuration haute disponibilité (HD). Pour les pare-feu déployés en HD, reportez-vous au Guide des nouvelles fonctionnalités de PAN-OS 6.1

.

Mise à niveau de la version de PAN-OS (Version autonome)

1.

Dans l'interface Web, sélectionnez

Périphérique > Licences

et vérifiez que vous disposez de la licence correcte pour le Pare-feu série VM et qu'elle est activée.

Sur le pare-feu VM-Series version autonome, accédez à

Périphérique > Support

et vérifiez que vous avez activé la licence de support.

2.

(Obligatoire pour un pare-feu en production) Effectuez une copie de sauvegarde du fichier de configuration actuel.

a. Sélectionnez

Périphérique > Configuration > Opérations

, puis cliquez sur

Exporter l'instantané de configuration nommé

.

b. Sélectionnez le fichier XML contenant la configuration actuelle (par exemple,

running-config.xml

), puis cliquez sur

OK

pour exporter le fichier de configuration. c. Enregistrez le fichier exporté dans un emplacement externe au pare-feu. Vous pouvez utiliser cette sauvegarde pour restaurer la configuration en cas de problème pendant la mise à niveau.

Guide de déploiement VM-Series 9

Licence et mise à niveau du Pare-feu série VM À propos du pare-feu VM-Series

Mise à niveau de la version de PAN-OS (Version autonome) (suite)

3.

Consultez les notes de publication afin de vérifier la version de contenu requise pour la version de PAN-OS.

Les pare-feu dont vous envisagez une mise à niveau doivent exécuter la version de contenu requise pour la version de PAN-OS.

a. Sélectionnez

Périphérique > Mises à jour dynamiques

.

b. Consultez la section

Applications et menaces

ou

Applications

pour connaître la mise à jour actuelle.

c. Si le pare-feu n'exécute pas la mise à jour requise ou une mise à jour ultérieure, cliquez sur

Vérifier maintenant

pour récupérer la liste des mises à jour disponibles.

d. Localisez la mise à jour souhaitée, puis cliquez sur

Télécharger

.

e. Une fois le téléchargement terminé, cliquez sur

Installer

.

4.

Mettez à jour la version de PAN-OS sur le Pare-feu série VM.

a. Sélectionnez

Périphérique > Logiciels

.

b. Cliquez sur

Actualiser

pour afficher la dernière version du logiciel et consultez les

Notes de publication

pour obtenir la description des modifications de la version et le chemin de migration pour installer le logiciel.

c. Cliquez sur

Télécharger

pour obtenir le logiciel, puis sur

Installer

.

Mise à niveau de la version du logiciel PAN-OS (Édition NSX)

Pour le pare-feu VM-Series Édition NSX, utilisez Panorama pour mettre à niveau la version logicielle sur les pare-feu.

Mise à niveau des pare-feu VM-Series Édition NSX à l'aide de Panorama

Étape 1 Effectuez une copie de sauvegarde du fichier de configuration actuel sur chaque pare-feu géré que vous envisagez de mettre à niveau.

Bien que le pare-feu crée automatiquement une sauvegarde de la configuration, il convient d'effectuer une copie de sauvegarde avant de mettre à niveau et de l'enregistrer en externe.

1.

Sélectionnez

Périphérique > Configuration > Opérations

, puis cliquez sur

Exporter la solution de configuration des périphériques et de Panorama

. Cette option est utilisée pour générer et exporter manuellement la dernière version de la sauvegarde de configuration de Panorama et celle de chaque périphérique géré.

2.

Enregistrez le fichier exporté dans un emplacement externe au pare-feu. Vous pouvez utiliser cette sauvegarde pour restaurer la configuration en cas de problème pendant la mise à niveau.

10 Guide de déploiement VM-Series

À propos du pare-feu VM-Series Licence et mise à niveau du Pare-feu série VM

Mise à niveau des pare-feu VM-Series Édition NSX à l'aide de Panorama (suite)

Étape 2 Consultez les notes de publication afin de vérifier la version de contenu requise pour la version de PAN-OS.

Les pare-feu dont vous envisagez une mise à niveau doivent exécuter la version de contenu requise pour la version de

PAN-OS.

1.

Sélectionnez

Panorama > Déploiement du périphérique >

Mises à jour dynamiques

.

2.

Recherchez les dernières mises à jour. Cliquez sur

Vérifier maintenant

(situé dans le coin inférieur gauche de la fenêtre) pour vérifier les dernières mises à jour. Le lien dans la colonne

Action

indique si une mise à jour est disponible. Si une version est disponible, le lien

Télécharger

s'affiche.

3.

Cliquez sur

Télécharger

pour télécharger la version sélectionnée. Une fois le téléchargement réussi, le lien de la colonne

Action

passe de

Télécharger

à

Installer.

4.

Cliquez sur

Installer

et sélectionnez les périphériques sur lesquels vous voulez installer la mise à jour. Une fois l'installation terminée, une coche s'affiche dans la colonne

Actuellement installé

.

Étape 3 Déployez les mises à jour logicielles sur les pare-feu sélectionnés.

Si vos périphériques sont configurés en HD, veillez à décocher la case

Regrouper les homologues HD

et mettez à niveau un homologue HD à la fois.

1.

Sélectionnez

Panorama > Déploiement du périphérique >

Logiciel

.

2.

Recherchez les dernières mises à jour. Cliquez sur

Vérifier maintenant

(situé dans le coin inférieur gauche de la fenêtre) pour vérifier les dernières mises à jour. Le lien dans la colonne

Action

indique si une mise à jour est disponible.

3.

Consultez le

Nom de fichier

et cliquez sur

Télécharger

.

Vérifiez que les versions de logiciel que vous téléchargez correspondent à celles des modèles de pare-feu déployés sur votre réseau. Une fois le téléchargement réussi, le lien de la colonne

Action

passe de

Télécharger

à

Installer.

4.

Cliquez sur

Installer

et sélectionnez les périphériques sur lesquels vous voulez installer la version de logiciel.

5.

Sélectionnez

Redémarrer après chaque installation

, puis cliquez sur

OK

.

6.

Si vous disposez de périphériques configurés en HD, décochez la case

Regrouper les homologues HD

et mettez à niveau un homologue HD à la fois.

Étape 4 Vérifiez la version logicielle et de contenu exécutées sur chaque périphérique géré.

1.

Sélectionnez

Panorama > Périphériques gérés

.

2.

Localisez le(s) périphérique(s) et examinez les versions de contenu et de logiciel sur le tableau.

Guide de déploiement VM-Series 11

Licence et mise à niveau du Pare-feu série VM À propos du pare-feu VM-Series

Mise à niveau du modèle VM-Series

Le processus de licence du pare-feu VM-Series utilise l'UUID et l'ID de processeur pour générer un numéro de série unique pour chaque pare-feu VM-Series. Par conséquent, lorsque vous générez une licence, celle-ci est mappée à une instance spécifique du pare-feu VM-Series et ne peut être modifiée.

Afin d'appliquer une nouvelle licence de capacité à un pare-feu qui a été précédemment mis sous licence, vous devez cloner le pare-feu VM-Series (entièrement configuré) existant. Pendant le clonage, un UUID unique est affecté au pare-feu. Vous pouvez ainsi appliquer une nouvelle licence à l'instance clonée du pare-feu.

Suivez les instructions de cette section si vous :

 migrez depuis une licence d'évaluation vers une licence de production ;

 mettez à niveau le modèle pour en augmenter la capacité. Par exemple, vous souhaitez effectuer une mise à niveau depuis la licence VM-200 vers la licence VM-1000-HV.

Migration de la licence sur le pare-feu VM-Series

Étape 1 Mettez le pare-feu VM-Series hors tension.

Étape 2 Clonez le pare-feu VM-Series.

Étape 3 Mettez la nouvelle instance du pare-feu VM-Series sous tension.

Si vous effectuez un clonage manuel, lorsque vous y êtes invité, indiquez que vous copiez et ne déplacez pas le pare-feu.

1.

Lancez la console série du pare-feu sur l'interface Web vSphere/SDX et saisissez la commande suivante :

show system info

2.

Vérifiez que :

le numéro de série est inconnu ;

le pare-feu ne dispose d'aucune licence ;

la configuration est intacte.

Reportez-vous à la section

Enregistrement du pare-feu VM-Series .

Étape 4 Enregistrez le nouveau code d'autorisation sur le portail de support.

Étape 5 Appliquez la nouvelle licence.

Reportez-vous à la section

Activation de la licence .

Une fois la licence appliquée au nouveau pare-feu, supprimez l'instance précédente du pare-feu pour éviter un conflit de configuration ou d'affectation d'adresse IP.

12 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur un serveur ESXi

Le Pare-feu série VM est distribué au format Open Virtualization Format (OVF), devenu la norme en matière de configuration en package et de déploiement de machines virtuelles. Vous pouvez installer cette solution sur tout périphérique capable d'exécuter VMware ESXi.

Afin de déployer un pare-feu VM-Series, vous devez maîtriser VMware et vSphere, y compris la mise en réseau vSphere, l'installation et la configuration de l'hôte ESXi et le déploiement de la machine virtuelle invitée.

Si vous souhaitez automatiser le processus de déploiement d'un pare-feu VM-Series, vous pouvez créer un modèle standard or comportant la configuration optimale et les politiques, et utiliser l'API LvSphere et l'API XML PAN-OS pour déployer rapidement de nouveaux pare-feux VM-Series sur votre réseau. Pour plus d'informations, consultez l'article : Automatisation du centre de données VM Series .

Pour plus d'informations, reportez-vous aux rubriques suivantes :

Déploiements pris en charge sur VMware vSphere Hypervisor (ESXi)

Configuration système requise et limitations

Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)

Résolution des problèmes de déploiement ESXi

Guide de déploiement VM-Series 13

Déploiements pris en charge sur VMware vSphere

Hypervisor (ESXi)

Configuration d'un Pare-feu série VM sur un serveur ESXi

Déploiements pris en charge sur VMware vSphere

Hypervisor (ESXi)

Vous pouvez déployer une ou plusieurs instances du pare-feu VM-Series sur le serveur ESXi. Positionnez le pare-feu VM-Series sur le réseau en fonction de votre topologie : Choisissez parmi les options suivantes (pour les environnements n'utilisant pas VMware NSX) :

Un pare-feu VM-Series par hôte ESXi : chaque serveur de machine virtuelle sur l'hôte ESXi passe par le pare-feu avant de quitter l'hôte pour le réseau physique. Les serveurs de machine virtuelle sont reliés au pare-feu via des commutateurs virtuels standard. Les serveurs invités ne disposent d'aucune autre connectivité réseau ; par conséquent, le pare-feu peut voir et contrôler le trafic quittant l'hôte ESXi. Une variante de ce cas d'utilisation est d'exiger également que tout le trafic passe par le pare-feu, y compris le trafic de serveur à serveur (trafic est-ouest) sur le même hôte ESXi.

Un pare-feu VM-Series par réseau virtuel : déployez un pare-feu VM-Series pour chaque réseau virtuel.

Si vous avez conçu votre réseau de telle manière qu'un ou plusieurs hôtes ESXi disposent d'un groupe de machines virtuelles appartenant au réseau interne, d'un groupe appartenant au réseau externe et d'autres au réseau DMZ, vous pouvez déployer un pare-feu VM-Series pour protéger les serveurs de chaque groupe.

Si un groupe ou un réseau virtuel ne partage aucun commutateur virtuel ou groupe de ports avec les autres réseaux virtuels, il est complètement isolé de tous les autres réseaux virtuels sur ou entre les hôtes. Comme il n'existe aucun autre chemin d'accès virtuel ou physique aux autres réseaux, les serveurs de chaque réseau virtuel doivent utiliser le pare-feu pour communiquer avec les autres réseaux. Par conséquent, le pare-feu peut voir et contrôler tout le trafic quittant le commutateur virtuel (standard ou distribué) associé à chaque réseau virtuel.

Environnement hybride : les hôtes physiques et virtuels sont utilisés. Le pare-feu VM-Series peut être déployé dans un emplacement d'agrégation classique au lieu d'un pare-feu physique pour offrir les avantages d'une plate-forme serveur courante à tous les périphériques et dissocier les dépendances de mise à niveau matérielle et logicielle.

Poursuivez avec les sections

Configuration système requise et limitations

et Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)

.

14 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur un serveur ESXi Configuration système requise et limitations

Configuration système requise et limitations

Cette section décrit la configuration requise et les limitations du pare-feu VM-Series sur VMware vSphere

Hypervisor (ESXi). Pour déployer le pare-feu VM-Series, reportez-vous à la section

Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)

.

Configuration requise

Limitations

Configuration requise

Vous pouvez créer et déployer plusieurs instances du pare-feu VM-Series sur un serveur ESXi. Comme chaque instance du pare-feu requiert une allocation minimum des ressources (nombre de processeurs, mémoire et espace disque) sur le serveur ESXi, assurez-vous de vous conformer aux spécifications ci-dessous pour obtenir des performances optimales.

Le Pare-feu série VM requiert la configuration système suivante :

VMware ESXi avec vSphere 5.0, 5.1 et 5.5 pour un pare-feu VM-Series exécutant PAN-OS 6.1.

Au minimum deux vCPU par Pare-feu série VM. Un pour le plan de gestion, l'autre pour le plan de données.

Vous pouvez affecter 2 ou 6 vCPU supplémentaires pour allouer un total de 2, 4 ou 8 vCPU au pare-feu, le plan de gestion utilise un seul vCPU et tout vCPU supplémentaire est affecté au plan de données.

Au minimum deux interfaces réseau (vmNIC). Une vmNIC sera dédiée à l'interface de gestion, l'autre à l'interface de données. Il est possible d'ajouter jusqu'à huit vmNIC supplémentaires pour le trafic de données.

Pour des interfaces supplémentaires, utilisez VGT (VLAN Guest Tagging) sur le serveur ESXi ou configurez des sous-interfaces sur le pare-feu.

Si vous déployez le pare-feu VM-Series à l'aide de la couche 2, Virtual Wire ou des interfaces TAP, vous devez activer le mode de proximité sur le groupe de ports du commutateur virtuel auquel les interfaces de données sont associées sur le pare-feu. Si le mode de proximité n'est pas activé, le pare-feu ne recevra aucun trafic car les adresses MAC de destination affectées par PAN-OS seront différentes des adresses MAC vmNIC affectées par vSphere. Par défaut, vSphere ne transfère pas de trame à une machine virtuelle si l'adresse MAC de destination de la trame ne correspond pas à l'adresse MAC vmNIC.

Si vous déployez le pare-feu VM-Series à l'aide d'interfaces de couche 3, vous pouvez définir l'adresse MAC vmNIC de sorte qu'elle corresponde à l'adresse MAC PAN-OS en modifiant manuellement l'adresse MAC afin que chaque vmNIC dans vSphere corresponde à celle affectée sur le pare-feu VM-Series. Cette modification doit être apportée lorsque le pare-feu VM-Series est hors tension. Le pare-feu pourra alors recevoir les trames qui lui sont destinées.

Au minimum 4 Go de mémoire pour tous les modèles, excepté le VM-1000-HV, qui nécessite 5 Go. Toute mémoire supplémentaire sera utilisée par le plan de gestion seulement. Si vous appliquez la

licence VM-1000-HV, reportez-vous à la section Pourquoi dois-je modifier le fichier image de base pour la licence VM-1000-HV ?

Au minimum 40 Go d'espace disque virtuel. Vous pouvez ajouter de l'espace disque supplémentaire de

40 Go à 2 To à des fins de journalisation.

Guide de déploiement VM-Series 15

Configuration système requise et limitations Configuration d'un Pare-feu série VM sur un serveur ESXi

Limitations

Les fonctionnalités du Pare-feu série VM sont similaires à celles des pare-feu matériels Palo Alto Networks, mais avec les limitations suivantes :

Des cœurs de processeurs dédiés sont recommandés.

Seule la configuration Haute disponibilité (HD) allégée est prise en charge (active/passive sans basculement

à inspection d'état).

La configuration Haute disponibilité (HD) « Surveillance des liaisons » n'est prise en charge que sur les installations VMware ESXi qui acceptent les E/S DirectPath.

Jusqu'à 10 ports peuvent être configurés ; il s'agit d'une limitation VMware. Un port sera utilisé pour le trafic de gestion et jusqu'à 9 ports peuvent être utilisés pour le trafic de données.

Seul le pilote vmxnet3 est pris en charge.

Les systèmes virtuels ne sont pas pris en charge.

 vMotion sur le pare-feu n'est pas pris en charge.

Les trames Jumbo ne sont pas prises en charge.

L'agrégation des liaisons doit être activée sur l'hôte ESXi.

16 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur un serveur ESXi Installation d'un Pare-feu série VM sur VMware vSphere

Hypervisor (ESXi)

Installation d'un Pare-feu série VM sur VMware vSphere

Hypervisor (ESXi)

Pour installer un pare-feu VM-Series vous devez avoir accès au modèle OVF (Open Virtualization Format).

Utilisez le code d'autorisation contenu dans l'e-mail de confirmation de commande que vous avez reçu pour enregistrer votre pare-feu VM-Series et accéder au modèle OVF. Le modèle OVF est téléchargé sous forme d'archive compressée comportant trois fichiers : le fichier descripteur OVF (extension .ovf) qui contient toutes les métadonnées relatives au module et à son contenu, le fichier manifeste OVF (extension .mf) qui contient le résumé SHA-1 de chaque fichier du module et le fichier image du disque virtuel (extension .wmdk) qui contient la version virtualisée du pare-feu.

Configuration du pare-feu VM-Series sur un serveur ESXi

Configuration initiale sur le VM-Series sur ESXi

Configuration du pare-feu VM-Series sur un serveur ESXi

Suivez ces instructions pour déployer le pare-feu VM-Series sur un serveur ESXi (autonome). Pour déployer le

pare-feu VM-Series Édition NSX, reportez-vous à la section Configuration d'un pare-feu VM-Series

Édition NSX

.

Configuration du pare-feu VM-Series

Étape 1 Téléchargez le fichier .zip qui contient le modèle OVF.

Enregistrez votre pare-feu VM-Series et obtenez le modèle OVF à l'adresse : https://support.paloaltonetworks.com.

Le fichier .zip contient les fichier d'installation de base. Une fois cette installation terminée, vous devrez télécharger et installer la version la plus récente de PAN-OS sur le portail de support. Vous profiterez ainsi des derniers correctifs appliqués depuis la création de l'image de base. Pour obtenir des instructions, reportez-vous à la section

Mise à niveau de la version du logiciel PAN-OS (Version autonome) .

Guide de déploiement VM-Series 17

Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)

Configuration d'un Pare-feu série VM sur un serveur ESXi

Configuration du pare-feu VM-Series (suite)

Étape 2 Avant de déployer le modèle OVF, configurez un ou plusieurs commutateurs virtuels standard et distribués, dont vous aurez besoin pour le Pare-feu série VM.

Si vous déployez le

Pare-feu série VM avec la couche 2, Virtual Vire ou des interfaces TAP, tout commutateur virtuel associé doit autoriser les nœuds suivants (défini sur

Accepter) :

– Mode de proximité

– Modifications d'adresse MAC

– Fausses transmissions

– Pour plus de détails, consultez la configuration requise de l'interface réseau dans la section

Configuration requise .

Pour configurer un commutateur virtuel standard pour recevoir des trames pour le pare-feu VM-Series :

1.

Configurez un commutateur virtuel standard depuis le client vSphere en sélectionnant

Accueil > Inventaire > Hôtes et clusters

.

2.

Cliquez sur l'onglet

Configuration

puis, sous

Matériel

, cliquez sur

Mise en réseau

. Pour chaque commutateur virtuel standard associé au

Pare-feu série VM, cliquez sur

Propriétés

.

3.

Sélectionnez le commutateur virtuel et cliquez sur

Modifier

. Dans les propriétés vSwitch, cliquez sur l'onglet

Sécurité

, définissez

Mode de proximité, Modifications d'adresse MAC

et

Fausses transmissions

sur

Accepter

, puis cliquez

OK

. Cette modification sera appliquée à l'ensemble des groupes de ports sur le commutateur virtuel.

Pour configurer un commutateur virtuel distribuer pour recevoir des trames pour le pare-feu VM-Series :

1.

Sélectionnez

Accueil > Inventaire > Mise en réseau

. Sélectionnez le

groupe de ports distribués

que vous souhaitez modifier, puis l'onglet

Récapitulatif

.

2.

Cliquez sur

Modifier les paramètres

, sélectionnez

Politiques >

Sécurité

, définissez

Mode de proximité, Modifications d'adresse MAC

et

Fausses transmissions

sur

Accepter

, puis cliquez

OK

.

18 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur un serveur ESXi Installation d'un Pare-feu série VM sur VMware vSphere

Hypervisor (ESXi)

Configuration du pare-feu VM-Series (suite)

Étape 3 Déployez le modèle OVF.

Si vous ajoutez des interfaces supplémentaires

(vmNIC) au pare-feu

VM-Series, un redémarrage est nécessaire car les nouvelles interfaces sont détectées pendant le cycle de démarrage. Pour ne pas redémarrer le pare-feu, veillez à ajouter les interfaces lors du déploiement initial ou pendant une fenêtre maintenance où vous pouvez redémarrer le pare-feu.

1.

Connectez-vous à vCenter à l'aide du client vSphere. Il est également possible d'accéder directement à l'hôte ESXi cible, si besoin.

2.

Depuis le client vSphere, sélectionnez

Fichier > Déployer le modèle OVF

.

3.

Accédez au modèle OVF que vous avez téléchargé à l' Étape 1

, sélectionnez le fichier, puis cliquez sur

Suivant

. Passez en revue les détails du modèle, puis cliquez à nouveau sur

Suivant

.

4.

Donnez un nom à l'instance du Pare-feu série VM et, dans la fenêtre

Emplacement d'inventaire

, sélectionnez un centre de données et un dossier, puis cliquez sur

Suivant

.

5.

Sélectionnez un hôte ESXi pour le Pare-feu série VM et cliquez sur

Suivant

.

6.

Sélectionnez le magasin de données à utiliser pour le Pare-feu série VM et cliquez sur

Suivant

.

7.

Conservez les paramètres par défaut pour la configuration du magasin de données et cliquez sur

Suivant

. L'option par défaut est

Allocation statique avec mise à zéro tardive

.

8.

Sélectionnez les réseaux à utiliser pour les deux premières vmNIC. Une vmNIC sera dédiée à l'interface de gestion, l'autre au premier port de données. Vérifiez que les

réseaux sources

sont mappés aux bons

réseaux de destination

.

9.

Passez en revue les détails, cochez la case

Mise sous tension après le déploiement

, puis cliquez sur

Suivant

.

Pour voir la progression de l'installation, surveillez la liste des

tâches récentes

.

Guide de déploiement VM-Series

10.

Une fois le déploiement terminé, cliquez sur l'onglet

Récapitulatif

pour afficher le statut actuel.

19

Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)

Configuration d'un Pare-feu série VM sur un serveur ESXi

Configuration initiale sur le VM-Series sur ESXi

Utilisez la console d'appareil virtuel sur le serveur ESXi pour configurer l'accès réseau au pare-feu VM-Series.

Vous devez d'abord configurer l'interface de gestion, puis accéder à l'interface Web pour effectuer des tâches de configuration supplémentaires. Si vous utilisez Panorama pour la gestion centralisée, reportez-vous au Guide de l'administrateur Panorama pour plus d'informations sur la gestion du périphérique à l'aide de Panorama.

Configurer l'interface de gestion

Étape 1 Contactez votre administrateur réseau pour obtenir les informations requises.

Adresse IP du port MGT

Masque réseau

Passerelle par défaut

Adresse IP de serveur DNS

Étape 2 Accédez à la console du pare-feu VM-Series.

Étape 3 Configurez les paramètres d'accès réseau pour l'interface de gestion.

Saisissez la commande suivante : set deviceconfig system ip-address <Adresse IP du pare-feu> netmask <masque réseau> default-gateway <Adresse IP de la passerelle> dns-setting servers primary <Adresse IP du serveur DNS> où

<Adresse IP du pare-feu>

est l'adresse IP que vous voulez affecter à l'interface de gestion,

<masque réseau>

est le masque de sous-réseau,

<Adresse IP de la passerelle>

est l'adresse IP de la passerelle réseau et

<Adresse IP du serveur DNS>

est l'adresse IP du serveur DNS.

Étape 4 Validez vos modifications et quittez le mode Configuration.

1.

Cliquez sur l'onglet

Console

sur le serveur ESXi pour le pare-feu VM-Series, ou faites un clic droit dur le pare-feu VM-Series et sélectionnez

Ouvrir la console

.

2.

Appuyez sur Entrée pour accéder à l'écran de connexion.

3.

Saisissez le nom d'utilisateur/mot de passe (admin/admin) par défaut pour vous connecter.

4.

Saisissez

configure

pour passer en mode configuration.

Étape 5 Vérifiez l'accès réseau aux services externes nécessaire à la gestion de pare-feu, notamment au serveur de mise à jour Palo

Alto Networks.

Saisissez

commit

.

Saisissez

exit

.

Pour vérifier que le pare-feu dispose d'un accès réseau externe, utilisez l'utilitaire ping. Vérifiez la connectivité à la passerelle par défaut, au serveur

DNS et au serveur de mise à jour Palo Alto Networks, comme indiqué dans l'exemple qui suit : admin@VM_200-Corp> ping host updates.paloaltonetworks.com

PING updates.paloaltonetworks.com (67.192.236.252) 56(84) bytes of data.

64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=40.5 ms

64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=53.6 ms

64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=79.5 ms

Une fois la connectivité vérifiée, appuyez sur les touches Ctrl+C pour mettre fin aux commandes ping.

Un pare-feu VM-Series sans licence peut traiter jusqu'à 200 sessions simultanées. Selon l'environnement, la limite de session peut être atteinte très rapidement. Par conséquent, appliquez le code d'autorisation de capacité et récupérez une licence avant de commencer à tester le pare-feu VM-Series ; sinon, les résultats obtenus peuvent être imprévisibles s'il existe un autre trafic sur le(s) groupe(s) de ports.

20 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur un serveur ESXi Résolution des problèmes de déploiement ESXi

Résolution des problèmes de déploiement ESXi

La plupart des étapes de dépannage pour le Pare-feu série VM sont similaires à celles des versions matérielles de PAN-OS. En cas de problème, consultez les compteurs de l'interface, les fichiers journaux du système, et si nécessaire, utilisez le débogage pour créer des captures. Pour plus d'informations sur la résolution des problèmes de PAN-OS, reportez-vous à l'article Résolution des problèmes basée sur les paquets

.

Les sections suivantes décrivent comment résoudre les problèmes les plus courants :

Résolution des problèmes de base

Problèmes d'installation

Problèmes de licence

Problèmes de connectivité

Résolution des problèmes de base

Recommandation pour les outils de résolution des problèmes réseau

Il est recommandé de disposer d'un poste de résolution des problèmes distinct pour capturer le trafic ou injecter des paquets de test dans l'environnement virtuel. Il peut être utile de créer un nouveau système d'exploitation de toutes pièces à l'aide des outils de résolution des problèmes courants installés, tels que tcpdump, nmap, hping, traceroute, iperf, tcpedit, netcat, etc. Cette machine peut alors être mise hors tension et convertie en un modèle. Chaque fois que les outils sont nécessaires, le client de résolution des problèmes (la machine virtuelle) peut être rapidement déployé sur le(s) commutateur(s) virtuel(s) en question et utilisé pour isoler les problèmes de mise en réseau. Une fois le test terminé, l'instance peut simplement être supprimée et le modèle utilisé à nouveau la prochaine fois qu'il est requis.

En cas de problèmes de performances du pare-feu, commencez par consulter le

tableau de bord

depuis l'interface Web du pare-feu. Pour afficher les alertes ou créer un dossier de support technique ou un fichier de vidage des statistiques, sélectionnez

Périphérique > Support

.

Pour obtenir des informations sur le client vSphere, sélectionnez

Accueil > Inventaire > Machines virtuelles et modèles

depuis le client vSphere, puis l'instance du Pare-feu série VM et cliquez sur l'onglet

Récapitulatif

. Sous

Ressources

, consultez les statistiques relatives à la consommation de mémoire, de la capacité processeur et de stockage. Pour obtenir l'historique des ressources, cliquez sur l'onglet

Performances

et contrôlez la consommation des ressources.

Problèmes d'installation

Problèmes de déploiement du modèle OVF

Le pare-feu VM-Series est fourni sous forme de fichier .OVF (Open Virtualization Format) téléchargeable. Le modèle OVF est téléchargé sous forme d'archive compressée contenant trois fichiers. Si vous rencontrez des problèmes lors du déploiement, assurez-vous que les trois fichiers soient décompressés et, si nécessaire, téléchargez et extrayez le fichier .OVF à nouveau.

Guide de déploiement VM-Series 21

Résolution des problèmes de déploiement ESXi Configuration d'un Pare-feu série VM sur un serveur ESXi

Le fichier descripteur OVF (extension .ovf) contient toutes les métadonnées relatives au module et

à son contenu.

Le fichier manifeste OVF (extension .mf) contient le résumé SHA-1 de chaque fichier du module.

Le fichier image du disque virtuel (extension .wmdk) contient la version virtualisée du pare-feu.

Ce fichier est volumineux pour le pare-feu VM-Series ; il fait environ 900 Mo et doit être présent sur l'ordinateur exécutant le client vSphere ou doit être accessible en tant qu'URL de l'OVF. Assurez-vous que la connexion réseau soit suffisante entre l'ordinateur client vSphere et l'hôte ESXi cible. Tout pare-feu sur le chemin doit autoriser les ports TCP 902 et 443 depuis le client vSphere vers l'/les hôte(s) ESXi. La bande passante doit être suffisante et la latence doit être faible, sinon le déploiement OVF peut prendre des heures ou expirer et échouer.

Pourquoi le pare-feu démarre-t-il en mode maintenance ?

Si vous avez acheté la licence VM-1000-HV et que vous déployez le pare-feu VM-Series en mode autonome sur un serveur VMware ESXi ou Citrix SDX, vous devez allouer au minimum 5 Go de mémoire au pare-feu VM-Series.

Pour résoudre ce problème, vous devez modifier le fichier image de base (reportez-vous à la section

Pourquoi dois-je modifier le fichier image de base pour la licence VM-1000-HV ?

) ou les paramètres sur l'hôte ESXi ou

le serveur vCenter avant de mettre le pare-feu VM-Series sous tension.

Vérifiez également que l'interface est VMXnet3 ; la définition du type d'interface sur un autre format entraînera le démarrage du pare-feu en mode maintenance.

Pourquoi dois-je modifier le fichier image de base pour la licence VM-1000-HV ?

Si vous avez acheté la licence VM-1000-HV et déployez le pare-feu VM-Series en mode autonome sur un serveur VMware ESXi ou sur un serveur Citrix SDX, suivez ces instructions pour modifier les attributs suivants définis dans le fichier image de base (.ovf ou .xva) du pare-feu VM-Series.

Important : la modification des valeurs autres que celles répertoriées ci-dessous invalidera le fichier image de base.

Modification du fichier image de base (uniquement si la licence VM-1000-HV est utilisée en mode autonome)

Étape 1 Ouvrez le fichier image de base, par exemple 6.1.0, à l'aide d'un outil d'édition de texte tel que le Bloc-Notes.

22 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur un serveur ESXi Résolution des problèmes de déploiement ESXi

Modification du fichier image de base (uniquement si la licence VM-1000-HV est utilisée en mode autonome) (suite)

Étape 2 Recherchez 4096, modifiez la mémoire allouée et définissez-la sur 5012 (c'est-à-dire 5 Go) ici :

<Item>

<rasd:AllocationUnits>byte * 2^20</rasd:AllocationUnits>

<rasd:Description>Memory Size</rasd:Description>

<rasd:ElementName>4096MB of memory</rasd:ElementName>

<rasd:InstanceID>2</rasd:InstanceID>

<rasd:ResourceType>4</rasd:ResourceType>

<rasd:VirtualQuantity>4096</rasd:VirtualQuantity>

<Item>

<rasd:AllocationUnits>byte * 2^20</rasd:AllocationUnits>

<rasd:Description>Memory Size</rasd:Description>

<rasd:ElementName>5102MB of memory</rasd:ElementName>

<rasd:InstanceID>2</rasd:InstanceID>

<rasd:ResourceType>5</rasd:ResourceType>

<rasd:VirtualQuantity>5012</rasd:VirtualQuantity>

Étape 3 Modifiez le nombre de cœurs de processeurs virtuels alloués (de 2 à 4 ou 8, comme souhaité) pour votre déploiement :

<Item>

<rasd:AllocationUnits>hertz * 10^6</rasd:AllocationUnits>

<rasd:Description>Number of Virtual CPUs</rasd:Description>

<rasd:ElementName>2 virtual CPU(s)</rasd:ElementName>

<rasd:InstanceID>1</rasd:InstanceID>

<rasd:ResourceType>3</rasd:ResourceType>

<rasd:VirtualQuantity>2</rasd:VirtualQuantity>

<vmw:CoresPerSocket ovf:required="false">2</vmw:CoresPerSocket>

</Item>

<Item>

<rasd:AllocationUnits>hertz * 10^6</rasd:AllocationUnits>

<rasd:Description>Number of Virtual CPUs</rasd:Description>

<rasd:ElementName>4 virtual CPU(s)</rasd:ElementName>

<rasd:InstanceID>1</rasd:InstanceID>

<rasd:ResourceType>3</rasd:ResourceType>

<rasd:VirtualQuantity>4</rasd:VirtualQuantity>

<vmw:CoresPerSocket ovf:required="false">2</vmw:CoresPerSocket>

</Item>

Vous pouvez également déployer le pare-feu et, avant de le mettre le sous tension, modifier la mémoire et l'allocation de processeurs virtuels directement sur l'hôte ESXi ou le serveur vCenter.

Guide de déploiement VM-Series 23

Résolution des problèmes de déploiement ESXi

Problèmes de licence

Configuration d'un Pare-feu série VM sur un serveur ESXi

Pourquoi ne puis-je pas appliquer la licence de fonctionnalité ou de support ?

Avez-vous appliqué le code d'autorisation de capacité au pare-feu VM-Series ? Avant d'activer la licence de fonctionnalité ou de support, vous devez appliquer le code d'autorisation de capacité de manière à ce que je périphérique puisse obtenir une numéro de série. Ce numéro de série est requis pour activer les autres licences sur le pare-feu VM-Series.

Pourquoi mon pare-feu VM-Series cloné ne dispose pas d'une licence valide ?

VMware affecte un UUID unique à chaque machine virtuelle, y compris le pare-feu VM-Series. Par conséquent, lorsqu'un pare-feu VM-Series est cloné, un nouvel UUID lui est affecté. Comme le numéro de série et la licence pour chaque instance du pare-feu VM-Series est associé à l'UUID, le clonage d'un pare-feu VM-Series sous licence donne lieu à un nouveau pare-feu disposant d'une licence non valide. Vous avez besoin d'un nouveau code d'autorisation pou activer la licence sur le pare-feu qui vient d'être déployé. Vous devez appliquer le code d'autorisation de capacité et une nouvelle licence de support afin d'obtenir des fonctionnalités, un support et des mises à jour logicielles complets sur le pare-feu VM-Series.

Le déplacement du pare-feu VM-Series invalide-t-il la licence ?

Si vous déplacez manuellement le pare-feu VM-Series entre deux hôtes, veillez à sélectionner l'option

Cet invité a été déplacé

pour éviter l'invalidation de la licence.

Problèmes de connectivité

Pourquoi le pare-feu VM-Series ne reçoit aucun trafic réseau ?

Sur le pare-feu VM-Series, vérifiez les journaux de trafic (

Surveillance > Journaux

). Si les journaux sont vides, utilisez la commande de la CLI suivante pour afficher les paquets sur les interfaces du pare-feu VM-Series :

show counter global filter delta yes

Global counters:

Elapsed time since last sampling: 594.544 seconds

--------------------------------------------------------------------------------

Total counters shown: 0

--------------------------------------------------------------------------------

Dans l'environnement vSphere, recherchez les problèmes suivants :

Vérifiez les groupes de ports et assurez-vous que le pare-feu et la/les machine(s) virtuelle(s) se trouvent sur le bon groupe de ports.

24 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur un serveur ESXi Résolution des problèmes de déploiement ESXi

Vérifiez que les interfaces sont correctement mappées.

Adaptateur réseau 1 = gestion

Adaptateur réseau 1 = Ethernet 1/1

Adaptateur réseau 3 = Ethernet 1/2

Pour chaque machine virtuelle, accédez aux paramètres et vérifiez que l'interface est mappée au bon groupe de ports.

Vérifiez que le mode de proximité est activé pour chaque groupe de ports ou pour le commutateur.

Comme les adresses MAC PAN-OS sont différentes des adresses MAC VMNIC affectées par vSphere, le groupe de ports (ou vSwitch) doit être en mode de proximité.

Vérifiez les paramètres VLAN sur vSphere.

L'utilisation du paramètre VLAN pour le groupe de ports vSphere vise deux objectifs : déterminer les groupes de ports qui partagent un domaine de couche 2 et si les ports de liaison montante sont marqués (802.1Q).

Vérifiez les paramètres de port du commutateur physique.

Si un ID de réseau local virtuel est spécifié sur un groupe de port dotés de ports de liaison montante, vSphere utilise 802.1Q pour marquer les trames sortantes. L'étiquette doit correspondre à la configuration sur le commutateur physique, sinon le trafic ne passe pas.

Vérifiez les statistiques de port si vous utilisez des commutateurs distribués (vDS) ; les commutateurs standard ne fournissent aucune statistique de port.

Guide de déploiement VM-Series 25

Résolution des problèmes de déploiement ESXi Configuration d'un Pare-feu série VM sur un serveur ESXi

26 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Pour réduire l'encombrement et consolider les fonctionnalités clés sur un seul serveur, vous pouvez déployer une ou plusieurs instances du pare-feu VM-Series sur le serveur Citrix SDX. Le déploiement du pare-feu VM-Series conjointement avec NetScaler VPX sécurise la mise à disposition d'applications, ainsi que la sécurité, la disponibilité, les performances et la visibilité du réseau.

À propos du pare-feu VM-Series sur le serveur SDX

Configuration système requise et limitations

Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix

Installation du Pare-feu série VM sur le serveur SDX

Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series

Guide de déploiement VM-Series

27

À propos du pare-feu VM-Series sur le serveur SDX Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

À propos du pare-feu VM-Series sur le serveur SDX

Une ou plusieurs instances du pare-feu VM-Series peuvent être déployées pour sécuriser le trafic est-ouest et/ou nord-sud sur le réseau ; les interfaces de câble virtuel, de couche 2 et de couche 3 sont prises en charge. Pour déployer le pare-feu, reportez-vous à la section

Installation du Pare-feu série VM sur le serveur SDX .

Une fois déployé, le pare-feu VM-Series fonctionne harmonieusement avec NetScaler VPX (si nécessaire), qui est un appareil NetScaler virtuel déployé sur le serveur SDX. NetScaler VPX fournit des fonctionnalités d'équilibrage de la charge et de gestion du trafic ; celui-ci est généralement déployé sur une batterie de serveurs pour faciliter l'accès aux serveurs. Pour une présentation complète de la fonctionnalité NetScaler, reportez-vous

à la page http:www.citrix.com/netscaler . Lorsque le pare-feu VM-Series est associé à NetScaler VPX, les fonctionnalités complémentaires optimisent la gestion du trafic, l'équilibrage de la charge et la sécurité du réseau/des applications.

Ce document part du principe que vous maîtrisez la mise en réseau et la configuration sur NetScaler VPX. Afin de fournir un contexte pour les termes utilisés dans cette section, voici un bref rappel des adresses IP appartenant à NetScaler auxquelles ce document fait référence.

Adresse IP NetScaler (NSIP) : une NSIP est l'adresse IP permettant la gestion et l'accès au système général de NetScaler, ainsi que la communication HD.

Adresse IP mappée (MIP) : une MIP est utilisée pour les connexions côté serveur. Ce n'est pas une adresse IP de NetScaler. Dans la plupart des cas, lorsque NetScaler reçoit un paquet, il remplace l'adresse IP source par une MIP avant d'envoyer le paquet au serveur. Lorsque les serveurs sont extraits des clients,

NetScaler gère les connexions de manière plus efficace.

Adresse IP de serveur virtuel (VIP) : une VIP est l'adresse IP associée à un serveur. Il s'agit de l'adresse IP publique à laquelle les clients se connectent. Plusieurs VIP peuvent être configurées lors de la gestion d'un large trafic par NetScaler.

Adresse IP de sous-réseau (SNIP) : lorsque NetScaler est associé à plusieurs sous-réseaux, des SNIP peuvent

être configurées pour être utilisées comme MIP fournissant un accès à ces sous-réseaux. Les SNIP peuvent

être associées à des réseaux locaux virtuels et des interfaces spécifiques.

Pour obtenir des exemples de déploiement conjoint du pare-feu VM-Series et de NetScaler VPX, reportez-vous

à la section

Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix .

28 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Configuration système requise et limitations

Configuration système requise et limitations

Cette section décrit la configuration requise et les limitations du pare-feu VM-Series sur le serveur Citrix SDX.

Configuration requise

Limitations

Configuration requise

Vous pouvez déployer plusieurs instances du pare-feu VM-Series sur un serveur Citrix SDX. Comme chaque instance du pare-feu requiert une allocation minimum des ressources (nombre de processeurs, mémoire et espace disque) sur le serveur SDX, assurez-vous de vous conformer aux spécifications ci-dessous pour obtenir des performances optimales.

Configuration requise Détails

Plates-formes SDX 11500, 13500, 14500, 16500, 18500, 20500 ;

17550, 19550, 20550, 21550

Version SDX 10.1+

La version 10.1 n'est pas prise en charge ; une version logicielle ultérieure est requise.

6.0.2 ou version ultérieure Version Citrix XenServer

Ressources système minimum

Prévoyez et allouez le nombre total d'interfaces de données dont vous pourriez avoir besoin sur le pare-feu VM-Series.

Cette tâche est essentielle lors du déploiement initial, car l'ajout ou la suppression d'interfaces sur le pare-feu VM-Series après le déploiement initial entraîne le remappage des interfaces de données (Ethernet 1/1 et Ethernet 1/2) sur le pare-feu aux adaptateurs sur le serveur SDX. Chaque interface de données est mappée séquentiellement à l'adaptateur dont la valeur numérique est la plus faible ; ce remappage peut entraîner une non-correspondance de configuration sur le pare-feu

Deux vCPU par Pare-feu série VM. Un vCPU sera utilisé pour le plan de gestion, l'autre pour le plan de données. Vous pouvez ajouter des vCPU comme suit : 2, 4 ou 8 vCPU ; des vCPU supplémentaires sont affectés au plan de données.

Deux interfaces réseau : une dédiée au trafic de gestion et une au trafic de données. Pour le trafic de gestion, vous pouvez utiliser les interfaces 0/x sur le plan de gestion ou les interfaces 10/x sur le plan de données. Affectez des interfaces réseau pour le trafic de données, tel que requis pour votre topologie de réseau.

4 Go de mémoire (5 Go pour VM-1000-HV). Toute mémoire supplémentaire allouée est utilisée uniquement par le plan de gestion.

40 Go d'espace disque virtuel. Vous pouvez ajouter de l'espace supplémentaire de 40 Go (minimum) à 2 To (maximum). L'espace disque supplémentaire est utilisé à des fins de journalisation uniquement.

Guide de déploiement VM-Series 29

Configuration système requise et limitations Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Limitations

Le Pare-feu série VM déployé sur le serveur Citrix SDX présente les limitations suivantes :

24 ports maximum peuvent être configurés. Un port sera utilisé pour le trafic de gestion et jusqu'à 23 ports peuvent être utilisés pour le trafic de données.

Les trames Jumbo ne sont pas prises en charge.

L'agrégation des liaisons n'est pas prise en charge.

Pour les déploiements pris en charge, reportez-vous à la section Déploiements pris en charge : pare-feu

VM-Series sur le SDX Citrix

.

Pour déployer le pare-feu, reportez-vous à la section

Installation du Pare-feu série VM sur le serveur SDX .

30 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix

Déploiements pris en charge : pare-feu VM-Series sur le

SDX Citrix

Dans les scénarios suivants, le pare-feu VM-Series sécurise le trafic destiné aux serveurs sur le réseau. Il fonctionne conjointement avec NetScaler VPX pour gérer le trafic avant ou après qu'il ait atteint

NetScaler VPX.

Scénario 1 : sécurisation du trafic nord-sud

Scénario 2 : sécurisation du trafic est-ouest (Pare-feu VM-Series sur le SDK Citrix)

Scénario 1 : sécurisation du trafic nord-sud

Pour sécuriser le trafic nord-sud à l'aide d'un pare-feu VM-Series sur un serveur SDX, vous disposez des options suivantes :

Déploiement du pare-feu VM-Series entre NetScaler VPX et les serveurs

Déploiement du pare-feu VM-Series avant NetScaler VPX

Déploiement du pare-feu VM-Series entre NetScaler VPX et les serveurs

Le pare-feu de périmètre sécurise tout le trafic sur le réseau. Tout le trafic autorisé sur le réseau passe par

NetScaler VPX, puis par le pare-feu VM-Series, avant que la requête ne soit transférée aux serveurs.

Dans ce scénario, le pare-feu VM-Series sécurise le trafic nord-sud et peut être déployé à l'aide d'interfaces de câble virtuel, L2 ou L3.

Déploiement du pare-feu VM-Series à l'aide d'interfaces L3

Déploiement du pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel

Guide de déploiement VM-Series 31

Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Déploiement du pare-feu VM-Series à l'aide d'interfaces L3

Le déploiement du pare-feu à l'aide d'interfaces L3 permet une évolution encore plus facile lorsque vous déployez de nouveaux serveurs et sous-réseaux. Vous pouvez déployer plusieurs instances du pare-feu pour gérer le trafic sur chaque nouveau sous-réseau, puis configurer les pare-feux en tant que paire haute HD, si nécessaire.

L'utilisation d'une interface L3 vous permet d'apporter des modifications minimes à la configuration réseau/serveur SDX car la SNIP d'accès aux serveurs est supprimée de NetScaler VPX et est configurée sur le pare-feu VM-Series. De cette façon, une seule interface de données est utilisée sur le pare-feu VM-Series ; une seule zone peut donc être définie. Par conséquent, lors de la définition des règles de politique, vous devez spécifier les sous-réseaux/les adresses IP source et de destination auxquels appliquer les règles de sécurité.

Pour plus de détails, reportez-vous à la section

Déploiement du pare-feu VM-Series à l'aide d'interfaces L3

.

Topologie après l'ajout du pare-feu VM-Series à l'aide d'interfaces L3

Dans cet exemple, l'adresse IP publique à laquelle les clients se connectent (VIP de NetScaler VPX) est

192.168.1.10. Afin de fournir l'accès aux serveurs sur le sous-réseau 192.168.2.x, la configuration de

NetScaler VPX fait référence aux sous-réseaux (SNIP) 192.168.1.1 et 192.168.2.1. Selon votre configuration réseau et les itinéraires par défaut, il se peut que l'acheminement sur les serveurs doive être modifié.

Lorsque vous configurez le pare-feu VM-Series, vous devez ajouter une interface de données (par exemple,

Ethernet 1/1) et lui affecter deux adresses IP. Une adresse IP doit se trouver sur le même sous-réseau que la

VIP et l'autre sur le même sous-réseau que les serveurs. Dans cet exemple, les adresses IP affectées à l'interface de données sont 192.168.1.2 et 192.168.2.1. Comme une seule interface de données est utilisée sur le pare-feu VM-Series, toute le trafic appartient à une seule zone et tout le trafic intra-zone est implicitement autorisé dans la politique. Par conséquent, lors de la définition des règles de politique, vous devez spécifier les sous-réseaux/les adresses IP source et de destination auxquels appliquer les règles de sécurité.

Même après l'ajout d'un pare-feu VM-Series sur le serveur SDX, l'adresse IP à laquelle les clients continuent de se connecter est la VIP de NetScaler VPX (192.168.1.10). Toutefois, pour acheminer tout le trafic via le pare-feu, sur NetScaler VPX, vous pouvez définir un itinéraire vers le sous-réseau 192.168.2.x. Dans cet exemple, pour accéder aux serveurs, cet itinéraire doit faire référence à l'adresse IP 192.168.1.2 affectée à l'interface de données sur le pare-feu VM-Series. Tout le trafic destiné aux serveurs est alors acheminé depuis NetScaler VPX vers le pare-feu, puis vers les serveurs. Le trafic de retour utilise l'interface 192.168.2.1 sur le pare-feu VM-Series et la

SNIP 192.168.1.1 comme saut suivant.

32 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix

Pour la conformité aux exigences de sécurité, si l'USIP (adresse IP source du client utilisé) et activée sur NetScaler VPX, le pare-feu VM-Series requiert un itinéraire pointant vers la

SNIP 192.168.1.1, dans cet exemple. Si une adresse IP (mappée/SNIP) NAT est utilisée, vous n'avez pas besoin de définir un itinéraire par défaut sur le pare-feu VM-Series.

Pour obtenir des instructions, reportez-vous à la section

Déploiement du pare-feu VM-Series à l'aide d'interfaces L3 .

Déploiement du pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel

Le déploiement du pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel requiert la reconfiguration de NetScaler VPX pour supprimer la connexion directe aux serveurs. Le pare-feu VM-Series peut alors être câblé et configuré pour intercepter et appliquer la politique de manière transparente sur le trafic destiné aux serveurs. De cette façon, deux interfaces de données sont créées sur le pare-feu et chacune appartient à une zone distincte. La politique de sécurité est définie pour autoriser le trafic entre les zones source et de destination. Pour plus de détails, reportez-vous à la section

Déploiement du pare-feu VM-Series à l'aide d'interfaces de couche 2 (L2) ou de câble virtuel .

Topologie après l'ajout du pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel

Guide de déploiement VM-Series 33

Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Déploiement du pare-feu VM-Series avant NetScaler VPX

Dans ce scénario, le pare-feu de périmètre est remplacé par le pare-feu VM-Series qui peut être déployé à l'aide d'interfaces L3, L2 ou de câble virtuel. Tout le trafic sur votre réseau est sécurisé par le pare-feu VM-Series avant que la requête n'atteigne NetScaler VPX est ne soit transférée aux serveurs. Pour plus de détails, reportez-vous

à la section

Déploiement du pare-feu VM-Series avant NetScaler VPX .

Scénario 2 : sécurisation du trafic est-ouest (Pare-feu VM-Series sur le SDK

Citrix)

Le pare-feu VM-Series est déployé avec deux systèmes NetScaler VPX qui traitent différents segments de serveur sur votre réseau ou fonctionnent comme points de terminaison pour les tunnels SSL. Dans ce scénario, le pare-feu de périmètre sécurise le trafic entrant. Ensuite, le trafic destiné aux serveurs DMZ passe par

NetScaler VPX qui équilibre la charge de la requête. Pour ajouter une couche de sécurité supplémentaire au réseau interne, tout le trafic est-ouest entre le réseau DMZ et le réseau d'entreprise est acheminé via le pare-feu VM-Series. Le pare-feu peut appliquer la sécurité réseau et valider l'accès pour ce trafic. Pour plus de

détails, reportez-vous à la section Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series .

34 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Installation du Pare-feu série VM sur le serveur SDX

Installation du Pare-feu série VM sur le serveur SDX

Un compte de support et une licence VM-Series valide sont requis pour obtenir le fichier image de base .xva nécessaire pour installer le pare-feu VM-Series sur le serveur SDX. Si vous n'avez pas encore enregistré dans votre compte le code d'autorisation de capacité contenu dans l'e-mail de confirmation de commande que vous

avez reçu, reportez-vous à la section Enregistrement du pare-feu VM-Series

. Une fois l'enregistrement terminé, continuez les tâches suivantes :

Chargement de l'image sur le serveur SDX

Configuration du pare-feu VM-Series sur le serveur SDX

Chargement de l'image sur le serveur SDX

Pour configurer le pare-feu VM-Series, vous devez obtenir le fichier image .xva et le charger sur le serveur SDX.

Chargement de l'image XVA sur le serveur SDX

Étape 1 Téléchargez et extrayez le fichier image de base compressé sur un ordinateur local.

1.

Accédez à la page https://support.paloaltonetworks.com/ et téléchargez le fichier .zip

Image de base VM-Series pour

Citrix SDX

.

2.

Décompressez le fichier image de base (.zip) et extrayez le fichier

.xva

.

Ce fichier .xva est requis pour installer le pare-feu VM-Series.

Étape 2 Chargez l'image depuis l'ordinateur local sur le serveur Citrix SDX.

1.

Ouvrez votre navigateur Web et connectez-vous au serveur SDX.

2.

Sélectionnez

Configuration > Palo Alto VM-Series > Images logicielles

.

3.

Dans la liste déroulante

Action

, sélectionnez

Charger

..., puis

accédez

à l'emplacement du fichier image .xva enregistré.

4.

Sélectionnez l'image et cliquez sur

Ouvrir

.

5.

Chargez

l'image sur le serveur SDX.

Guide de déploiement VM-Series 35

Installation du Pare-feu série VM sur le serveur SDX Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Configuration du pare-feu VM-Series sur le serveur SDX

Configuration du pare-feu VM-Series sur le serveur SDX

Étape 1 Accédez au serveur SDX.

Ouvrez votre navigateur Web et connectez-vous au serveur SDX.

Étape 2 Créez le pare-feu VM-Series.

Allouez le nombre total d'interfaces de données dont vous pourriez avoir besoin sur le pare-feu VM-Series lors du déploiement initial. L'ajout ou la suppression d'interfaces sur le pare-feu VM-Series après le déploiement initial entraîne le remappage des interfaces de données (Ethernet 1/1 et

Ethernet 1/2) sur le pare-feu aux adaptateurs sur le serveur SDX.

Chaque interface de données est mappée séquentiellement à l'adaptateur dont la valeur numérique est la plus faible ; ce remappage peut entraîner une non-correspondance de configuration sur le pare-feu.

1.

Sélectionnez

Configuration > Palo Alto VM-Series > Instances

2.

Cliquez sur

Ajouter

.

3.

Donnez un nom au pare-feu VM-Series.

4.

Sélectionnez l'image xva précédemment chargée. Cette image est requise pour configurer le pare-feu.

5.

Allouez la mémoire, l'espace disque supplémentaire et les CPU virtuels pour le pare-feu VM-Series. Pour vérifier les recommandations d'allocation, reportez-vous à la section

Configuration requise

.

6.

Sélectionnez les interfaces réseau :

Utilisez les interfaces de gestion 0/1 ou 0/2 et affectez-leur une adresse IP, un masque réseau et une adresse IP de passerelle.

Si nécessaire, vous pouvez utiliser une interface de données sur le serveur SDX pour la gestion du pare-feu.

Sélectionnez les interfaces de données à utiliser pour la gestion du trafic depuis et vers le pare-feu.

Si vous envisagez de déployer les interfaces en tant qu'interfaces de couche 2 ou de câble virtuel, sélectionnez l'option

Autoriser le mode L2

pour que le pare-feu puisse recevoir et transférer des paquets pour d'autres adresses MAC que sa propre adresse MAC.

7.

Consultez le récapitulatif puis cliquez sur

Terminer

pour lancer le processus d'installation. La configuration du pare-feu prendra

5 à 8 minutes. Une fois la configuration terminée, utilisez l'adresse IP de gestion pour lancer l'interface Web du pare-feu.

Poursuivez avec la section Activation de la licence .

36 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Cette section fournit des informations sur le déploiement du NetScaler VPX et du pare-feu VM-Series sur le serveur Citrix SDX :

Déploiement du pare-feu VM-Series à l'aide d'interfaces L3

Déploiement du pare-feu VM-Series à l'aide d'interfaces de couche 2 (L2) ou de câble virtuel

Déploiement du pare-feu VM-Series avant NetScaler VPX (à l'aide d'interfaces de câble virtuel)

Déploiement du pare-feu VM-Series à l'aide d'interfaces L3

Pour sécuriser le trafic nord-sud, ce scénario vous indique comment déployer le pare-feu VM-Series à l'aide d'interfaces L3 ; le pare-feu VM-Series est placé de manière à sécuriser le trafic entre NetScaler VPX et les serveurs sur votre réseau.

Topologie avant l'ajout du pare-feu VM-Series

Guide de déploiement VM-Series 37

Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Topologie après l'ajout du pare-feu VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Le tableau suivant décrit les tâches que vous devez effectuer pour déployer le pare-feu VM-Series. Pour obtenir des instructions sur la configuration du pare-feu, reportez-vous à la

Documentation PAN-OS

. Le flux de travail et la configuration sur NetScaler VPX de ce document ; pour plus d'informations sur la configuration de

NetScaler VPX, reportez-vous à la documentation Citrix.

38 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Configuration du pare-feu VM-Series pour traiter le trafic nord-sud à l'aide d'interfaces L3

Étape 1

Installation du Pare-feu série VM sur le serveur SDX .

Étape 2 Configurez l'interface de données sur le pare-feu.

Lors de la configuration du pare-feu VM-Series sur le serveur SDX, vous devez vous assurer de sélectionner la bonne interface de données pour que le pare-feu puisse accéder au(x) serveur(s).

1.

Sélectionnez

Réseau > Routeur virtuel

, puis cliquez sur le lien

par défaut

pour ouvrir la boîte de dialogue Routeur Virtuel et

ajoutez

l'interface au routeur virtuel.

2.

(Requis uniquement si l'option USIP est activée sur

NetScaler VPX) Dans l'onglet

Itinéraires statiques

du routeur virtuel, sélectionnez l'interface et ajoutez la SNIP NetScaler

(192.68.1.1 dans cet exemple) comme

saut suivant

. L'itinéraire défini ici est utilisé pour acheminer le trafic depuis le pare-feu vers NetScaler VPX.

3.

Sélectionnez

Réseau > Interfaces > Ethernet

et choisissez l'interface que vous voulez configurer.

4.

Sélectionnez le

Type d'interface

. Bien que votre choix dépende ici de votre topologie de réseau, cet exemple utilise la

couche 3

.

5.

Dans l'onglet

Configuration

, sélectionnez

par défaut

dans la liste déroulante

Routeur virtuel

.

6.

Sélectionnez

Nouvelle zone

dans la liste déroulante

Zone de sécurité

. Dans la boîte de dialogue Zone, donnez un

nom

à la nouvelle zone, par exemple, Par défaut, puis cliquez sur

OK

.

7.

Sélectionnez l'onglet

IPv4 ou IPv6

, cliquez sur

Ajouter

dans la section IP, puis saisissez deux adresses IP (une pour chaque sous-réseau traité) et un masque réseau à affecter à l'interface.

Par exemple, 192.168.1.2 et 192.168.2.1.

8.

(Facultatif) Pour envoyer des requêtes ping ou SSH à l'interface, sélectionnez

Avancé > Autres informations

, développez la liste déroulante

Profil de gestion

et sélectionnez

Nouveau profil de gestion

. Donnez un

nom

au profil, sélectionnez

Ping

et

SSH

, puis cliquez sur

OK

.

9.

Pour enregistrer la configuration de l'interface, cliquez sur

OK

.

10.

Cliquez sur

Valider

pour enregistrer vos modifications sur le pare-feu.

Guide de déploiement VM-Series 39

Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Configuration du pare-feu VM-Series pour traiter le trafic nord-sud à l'aide d'interfaces L3 (suite)

Étape 3 Créez une politique de base pour autoriser le trafic entre NetScaler VPX et les serveurs Web.

Dans cet exemple, comme une seule interface de données a été configurée, des adresses IP source et de destination sont spécifiées pour autoriser le trafic entre

NetScaler VPX et les serveurs.

1.

Sélectionnez

Politiques > Sécurité

, puis cliquez sur

Ajouter

.

2.

Dans l'onglet

Général

, donnez un nom descriptif à la règle.

3.

Dans l'onglet

Source

, sélectionnez

Ajouter

dans la section

Adresse source, puis cliquez sur le lien

Adresse

.

4.

Créez un nouvel objet d'adresse qui spécifie la SNIP de

NetScaler VPX. Dans cet exemple, cette adresse IP est la source de toutes les requêtes envoyées aux serveurs.

5.

Dans l'onglet

Destination

, sélectionnez

Ajouter

dans la section

Adresse de destination, puis cliquez sur le lien

Adresse

.

6.

Créez un nouvel objet d'adresse qui spécifie le sous-réseau des serveurs Web. Dans cet exemple, ce sous-réseau héberge tous les serveurs Web qui traitent les requêtes.

7.

Dans l'onglet

Application

, sélectionnez Navigation Web.

8.

Dans l'onglet

Actions

, effectuez les tâches suivantes : a. Définissez le

Paramètre d'action

sur

Autoriser

. b. Joignez les profils par défaut pour l'antivirus, l'antispyware et la protection contre les vulnérabilités, sous

Paramètre de profil

.

9.

Vérifiez que la journalisation est activée en fin session sous

Options

. Seul le trafic qui correspond à une règle de sécurité sera consigné.

10.

Créez une autre règle pour refuser tout autre trafic des adresses IP sources et de destination sur le réseau.

Comme tout le trafic intra-zone est autorisé par défaut, pour refuser le trafic autre que la navigation Web, vous devez créer une règle de refus qui bloque explicitement tout autre trafic.

Revenez à Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series , ou reportez-vous à la section

Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series

.

Pour une vue d'ensemble des déploiements, reportez-vous à la section

Déploiements pris en charge : pare-feu

VM-Series sur le SDX Citrix .

40 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Déploiement du pare-feu VM-Series à l'aide d'interfaces de couche 2 (L2) ou de câble virtuel

Pour sécuriser le trafic nord-sud, ce scénario vous indique comment déployer le pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel. Le pare-feu VM-Series sécurise le trafic destiné aux serveurs. La requête arrive à l'adresse VIP de NetScaler VPX et est traitée par le pare-feu VM-Series avant d'atteindre les serveurs.

Sur le chemin du retour, le trafic est dirigé vers la SNIP de NetScaler VPX et est traité par le pare-feu VM-Series avant d'être renvoyé au client.

Pour plus obtenir la topologie avant l'ajout du pare-feu VM-Series, reportez-vous à la section Topologie avant l'ajout du pare-feu VM-Series .

Topologie après l'ajout du pare-feu VM-Series

Le tableau suivant décrit les tâches de configuration de base que vous devez effectuer pour déployer le pare-feu VM-Series. Pour obtenir des instructions sur la configuration du pare-feu, reportez-vous à la documentation PAN-OS . Le flux de travail et la configuration sur NetScaler VPX de ce document ; pour plus d'informations sur la configuration de NetScaler VPX, reportez-vous à la documentation Citrix.

Configuration du pare-feu VM-Series pour traiter le trafic nord-sud à l'aide d'interfaces L2 ou de câble virtuel

Étape 1

Installation du Pare-feu série VM sur le serveur SDX .

Sur le serveur SDX, assurez-vous de sélectionner l'option

Autoriser le mode L2

sur chaque interface de données. Ce paramètre permet au pare-feu de transférer des paquets destinés à la VIP de

NetScaler VPX.

Guide de déploiement VM-Series 41

Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Configuration du pare-feu VM-Series pour traiter le trafic nord-sud à l'aide d'interfaces L2 ou de câble virtuel (suite)

Étape 2 Recâblez l'interface côté serveur affectée à

NetScaler VPX.

Comme NetScaler VPX redémarre lors qu'il est recâblé, déterminez si vous souhaitez effectuer cette tâche lors de l'affichage d'une fenêtre de maintenance.

Si vous avez déjà déployé NetScaler VPX et que vous ajoutez le pare-feu VM-Series au serveur SDX, vous disposez de deux ports affectés à VPX. Lors du déploiement du pare-feu VM-Series,

NetScaler VPX requiert alors un seul port pour la gestion du trafic côté client.

Par conséquent, avant de configurer les interfaces de données sur le pare-feu VM-Series, vous devez retirer le câble de l'interface qui connecte VPX à la batterie de serveurs et le relier au pare-feu de manière à ce que tout le trafic vers la batterie de serveurs soit traité par le pare-feu.

Étape 3 Configurez les interfaces de données.

Cet exemple indique la configuration des interfaces de câble virtuel.

1.

Lancez l'interface Web du pare-feu.

2.

Sélectionnez

Réseau > Interfaces >Ethernet

.

3.

Cliquez sur le lien d'une interface (par exemple, Ethernet 1/1) et définissez le

type d'interface

sur

Couche 2

ou

Câble virtuel

.

Configuration du câble virtuel

Chaque interface de câble virtuel (Ethernet 1/1 et Ethernet 1/2) doit être connectée à une zone de sécurité et à un câble virtuel. Pour configurer ces paramètres, sélectionnez l'onglet

Configuration

et effectuez les tâches suivantes : a. Dans la liste déroulante Câble virtuel, cliquez sur

Nouveau câble virtuel

, donnez-lui un

nom

, puis affectez-lui les deux interfaces de données (Ethernet 1/1 et Ethernet 1/2) et cliquez sur

OK

.

Lors de la configuration de l'interface Ethernet 1/2, sélectionnez ce câble virtuel.

b. Sélectionnez

Nouvelle zone

dans la liste déroulante

Zone de sécurité

, puis donnez-lui un

nom

, par exemple Client, et cliquez sur

OK

.

Configuration de la couche 2

Chaque interface de couche 2 requiert une zone de sécurité.

Sélectionnez l'onglet

Configuration

et effectuez les tâches suivantes : a. Sélectionnez

Nouvelle zone

dans la liste déroulante

Zone de sécurité

, puis donnez-lui un

nom

, par exemple Client, et cliquez sur

OK

.

4.

Répétez les étapes

2 et 3

ci-dessus pour l'autre interface.

5.

Cliquez sur

Valider

pour enregistrer les modifications sur le pare-feu.

42 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Configuration du pare-feu VM-Series pour traiter le trafic nord-sud à l'aide d'interfaces L2 ou de câble virtuel (suite)

Étape 4 Créez une règle de politique de base pour autoriser le trafic via le pare-feu.

Cet exemple vous indique comment autoriser le trafic entre NetScaler VPX et les serveurs Web.

1.

Sélectionnez

Politiques > Sécurité

, puis cliquez sur

Ajouter

.

2.

Dans l'onglet

Général

, donnez un nom descriptif à la règle.

3.

Dans l'onglet

Source

, sélectionnez la zone côté client définie en regard de

Zone source

. Dans cet exemple, sélectionnez Client.

4.

Dans l'onglet

Destination

, sélectionnez la zone côté serveur définie en regard de

Zone de destination

. Dans cet exemple, sélectionnez Serveur.

5.

Dans l'onglet

Application

, cliquez sur

Ajouter

pour sélectionner les applications auxquelles vous souhaitez accéder.

6.

Dans l'onglet

Actions

, effectuez les tâches suivantes : a. Définissez le

Paramètre d'action

sur

Autoriser

. b. Joignez les profils par défaut pour l'antivirus, l'antispyware, la protection contre les vulnérabilités et le filtrage des URL, sous

Paramètre de profil

.

7.

Vérifiez que la journalisation est activée en fin session sous

Options

. Seul le trafic qui correspond à une règle de sécurité sera consigné.

Revenez à Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series , ou reportez-vous à la section

Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series .

Pour une vue d'ensemble des déploiements, reportez-vous à la section

Déploiements pris en charge : pare-feu

VM-Series sur le SDX Citrix .

Guide de déploiement VM-Series 43

Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Déploiement du pare-feu VM-Series avant NetScaler VPX

L'exemple suivant vous indique comment déployer le pare-feu VM-Series pour traiter et sécuriser le trafic avant qu'il n'atteigne NetScaler VPX. Dans cet exemple, le pare-feu VM-Series est déployé à l'aide d'interfaces de câble virtuel et les requêtes de connexion du client sont destinées à la VIP de NetScaler VPX. Veuillez noter que vous pouvez déployer le pare-feu VM-Series à l'aide d'interfaces L2 ou L3, selon vos besoins spécifiques.

Topologie avant l'ajout du pare-feu VM-Series

Topologie après l'ajout du pare-feu VM-Series

Le tableau suivant décrit les tâches de configuration de base que vous devez effectuer sur le pare-feu VM-Series.

Pour obtenir des instructions sur la configuration du pare-feu, reportez-vous à la documentation PAN-OS .

Le flux de travail et la configuration sur NetScaler VPX de ce document ; pour plus d'informations sur la configuration de NetScaler VPX, reportez-vous à la documentation Citrix.

44 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Configuration du pare-feu VM-Series avant NetScaler VPX à l'aide d'interfaces de câble virtuel

Étape 1

Installation du Pare-feu série VM sur le serveur SDX .

Étape 2 Recâblez l'interface côté client affectée à

NetScaler VPX.

Comme NetScaler VPX redémarre lors qu'il est recâblé, déterminez si vous souhaitez effectuer cette tâche lors de l'affichage d'une fenêtre de maintenance.

Si vous avez déjà déployé NetScaler VPX et que vous ajoutez le pare-feu VM-Series au serveur SDX, vous disposez de deux ports affectés à VPX. Lors du déploiement du pare-feu VM-Series,

NetScaler VPX requiert alors un seul port qui le connecte à la batterie de serveurs.

Par conséquent, avant de configurer les interfaces de données sur le pare-feu VM-Series, vous devez retirer le câble de l'interface qui connecte VPX au trafic côté client et le relier au pare-feu de manière

à ce que tout le trafic entrant soit traité par le pare-feu.

Étape 3 Configurez les interfaces de données.

Sur le serveur SDX, assurez-vous de sélectionner l'option

Autoriser le mode L2

sur l'interface de données. Ce paramètre permet au pare-feu de transférer des paquets destinés à la VIP de

NetScaler VPX.

1.

Lancez l'interface Web du pare-feu.

2.

Sélectionnez

Réseau > Interfaces >Ethernet

.

3.

Cliquez sur le lien d'une interface (par exemple, Ethernet 1/1) et définissez le

type d'interface

sur

Câble virtuel

.

4.

Cliquez sur le lien de l'autre interface et définissez le

type d'interface

sur

Câble virtuel

.

5.

Chaque interface de câble virtuel doit être connectée à une zone de sécurité et à un câble virtuel. Pour configurer ces paramètres, sélectionnez l'onglet

Configuration

et effectuez les tâches suivantes :

Dans la liste déroulante Câble virtuel, cliquez sur

Nouveau câble virtuel

, donnez-lui un

nom

, puis affectez-lui les deux interfaces de données (Ethernet 1/1 et Ethernet 1/2) et cliquez sur

OK

.

Lors de la configuration de l'interface Ethernet 1/2, sélectionnez ce câble virtuel.

Sélectionnez

Nouvelle zone

dans la liste déroulante

Zone de sécurité

, puis donnez-lui un

nom

, par exemple Client, et cliquez sur

OK

.

6.

Répétez l'étape

5 ci-dessus pour l'autre interface.

7.

Cliquez sur

Valider

pour enregistrer les modifications sur le pare-feu.

Guide de déploiement VM-Series 45

Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Configuration du pare-feu VM-Series avant NetScaler VPX à l'aide d'interfaces de câble virtuel (suite)

Étape 4 Créez une règle de politique de base pour autoriser le trafic via le pare-feu.

Cet exemple vous indique comment autoriser le trafic entre NetScaler VPX et les serveurs Web.

1.

Sélectionnez

Politiques > Sécurité

, puis cliquez sur

Ajouter

.

2.

Dans l'onglet

Général

, donnez un nom descriptif à la règle.

3.

Dans l'onglet

Source

, sélectionnez la zone côté client définie en regard de

Zone source

. Dans cet exemple, sélectionnez Client.

4.

Dans l'onglet

Destination

, sélectionnez la zone côté serveur définie en regard de

Zone de destination

. Dans cet exemple, sélectionnez Serveur.

5.

Dans l'onglet

Application

, cliquez sur

Ajouter

pour sélectionner les applications auxquelles vous souhaitez accéder.

6.

Dans l'onglet

Actions

, effectuez les tâches suivantes : a. Définissez le

Paramètre d'action

sur

Autoriser

. b. Joignez les profils par défaut pour l'antivirus, l'antispyware, la protection contre les vulnérabilités et le filtrage des URL, sous

Paramètre de profil

.

7.

Vérifiez que la journalisation est activée en fin session sous

Options

. Seul le trafic qui correspond à une règle de sécurité sera consigné.

Revenez à Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series , ou reportez-vous à la section

Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series

.

Pour une vue d'ensemble des déploiements, reportez-vous à la section

Déploiements pris en charge : pare-feu

VM-Series sur le SDX Citrix .

46 Guide de déploiement VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series

Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series

L'exemple suivant vous indique comment déployer votre pare-feu VM-Series pour sécuriser les serveurs d'applications ou de bases de données sur votre réseau. Ce scénario vous est utile si vous disposez de deux instances NetScaler VPX, une qui authentifie les utilisateurs, met fin aux connexions SSL et équilibre la charge des requêtes vers les serveurs DMZ, et l'autre qui équilibre la charge des connexions vers les serveurs d'entreprise qui hébergent les serveurs d'applications et de bases de données sur votre réseau.

Topologie avant l'ajout du pare-feu VM-Series

La communication entre les serveurs du réseau DMZ et les serveurs du centre de données d'entreprise est traitée par les deux instances NetScaler VPX. Pour le contenu qui réside dans le centre de données d'entreprise, une nouvelle requête est envoyée à l'autre instance NetScaler VPX qui la transfère vers le serveur approprié.

Lorsque le pare-feu VM-Series est déployé (cet exemple utilise des interfaces de couche 3), le flux de trafic est comme suit :

Toutes les requêtes entrantes sont authentifiées et la connexion SSL est terminée sur la première instance NetScaler VPX. Pour le contenu qui réside sur le réseau DMZ, NetScaler VPX initie une nouvelle connexion au serveur pour récupérer le contenu demandé. Veuillez noter que le trafic nord-sud destiné au centre de données d'entreprise ou aux serveurs du réseau DMZ est traité par le pare-feu de périmètre et non par le pare-feu VM-Series.

Par exemple, lorsqu'un utilisateur (adresse IP source 1.1.1.1) demande du contenu d'un serveur sur le réseau DMZ, l'adresse IP de destination est 20.5.5.1 (VIP de NetScaler VPX). NetScaler VPX remplace alors l'adresse IP de destination, en fonction du protocole, par l'adresse IP du serveur interne, par exemple,

192.168.10.10. Le trafic de retour du serveur est renvoyé à NetScaler VPX à l'adresse 20.5.5.1 et envoyé à l'utilisateur à l'adresse IP 1.1.1.1.

Guide de déploiement VM-Series 47

Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series

Configuration d'un Pare-feu série VM sur le serveur Citrix SDX

Toutes les requêtes entre les serveurs DMZ et le centre de données d'entreprise sont traitées par le pare-feu VM-Series. Pour le contenu qui réside dans le centre de données d'entreprise, la requête est traitée de manière transparente (si le pare-feu est déployé à l'aide d'interfaces L2 ou de câble virtuel) ou acheminée (à l'aide d'interfaces de couche 3) par le pare-feu VM-Series. Elle est ensuite envoyée à la seconde instance NetScaler VPX.

Cette instance NetScaler VPX équilibre la charge de la requête entre les serveurs du centre de données d'entreprise et traite la requête. Le trafic de retour utilise le même chemin que la requête entrante.

Par exemple, lorsqu'un serveur du réseau DMZ (par exemple, 192.168.10.10) requiert du contenu d'un serveur du centre de données d'entreprise (par exemple, 172.16.10.20), l'adresse IP de destination est 172.168.10.3 (la VIP de la seconde instance NetScaler). La requête est envoyé au pare-feu VM-Series à l'adresse 192.168.10.2, où le pare-feu effectue une recherche de politique et achemine la requête vers l'adresse 172.168.10.3. La seconde instance NetScaler VPX remplace l'adresse IP de destination, en fonction du protocole, par l'adresse IP du serveur interne 172.16.10.20. Le trafic de retour de l'adresse 172.168.10.20 est alors envoyé à NetScaler VPX à l'adresse 172.168.10.3 ; l'adresse IP source de la requête est définie sur 172.168.10.3 et la requête est acheminée vers le pare-feu VM-Series à l'adresse 172.168.10.2. Sur le pare-feu VM-Series, une recherche de politique est de nouveau effectuée et le trafic est acheminé vers le serveur du réseau DMZ (192.168.10.10).

Afin de filtrer et de créer des rapports d'activité des utilisateurs sur votre réseau, comme toutes les requêtes sont initiées depuis NetScaler VPX, vous devez activer l'

insertion d'en-tête HTTP ou l'

option TCP pour l'insertion IP sur la première instance NetScaler VPX.

.

Configuration du pare-feu VM-Series pour sécuriser le trafic est-ouest

Étape 1

Installation du Pare-feu série

VM sur le serveur SDX

Étape 2

Étape 3

Étape 4

Recâblez les interfaces affectées

à NetScaler VPX.

Configurez les interfaces de données.

Créez une politique de sécurité pour autoriser le trafic des applications entre le réseau

DMZ et le centre de données d'entreprise.

Zone : DMZ à D'entreprise

Veuillez noter que la règle de refus implicite bloque tout le trafic intra-zone, excepté celui qui est explicitement autorisé par la politique de sécurité.

Si vous envisagez de déployer le pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel, assurez-vous d'activer le mode L2 sur chaque interface de données du serveur SDX.

Comme NetScaler VPX redémarre lors qu'il est recâblé, déterminez si vous souhaitez effectuer cette tâche lors de l'affichage d'une fenêtre de maintenance.

Sélectionnez

Réseau > Interfaces

, puis affectez les interfaces de couche 3

(reportez-vous à l'

Étape 2

), de couche 2 (reportez-vous à l' Étape 3

) ou de câble virtuel (reportez-vous à l'

Étape 3 ).

1.

Cliquez sur

Ajouter

dans la section

Politiques > Sécurité

.

2.

Dans l'onglet

Général

, donnez un nom descriptif à la règle.

3.

Dans l'onglet

Source

, définissez la

zone source

sur DMZ et l'

adresse source

sur 192.168.10.0/24.

4.

Dans l'onglet

Destination

, définissez la

zone de destination

sur

D'entreprise et l'

adresse de destination

sur 172.168.10.0/24

5.

Dans l'onglet

Application

, sélectionnez les applications que vous souhaitez autoriser. Par exemple, Oracle.

6.

Définissez le

service

sur

Par défaut de l'application

.

7.

Dans l'onglet

Actions

, définissez le

Paramètre d'action

sur Autoriser.

8.

Laissez toutes les autres options sur leurs valeurs par défaut.

9.

Cliquez sur

Valider

pour enregistrer vos modifications.

Pour la sécurisation du trafic nord-sud, reportez-vous à la section

Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series .

Pour une vue d'ensemble des déploiements, reportez-vous à la section

Déploiements pris en charge : pare-feu

VM-Series sur le SDX Citrix .

48 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series

Édition NSX

Le pare-feu VM-Series Édition NSX a été conjointement développé par Palo Alto Networks et VMware.

L'API NetX permet à cette solution d'intégrer les pare-feux de dernière génération Palo Alto Networks et

Panorama aux serveurs VMware ESXi afin de fournir une visibilité complète et une mise en œuvre d'applications sécurisée pour tout le trafic du centre de données, y compris les communications de machine virtuelle intra-hôte.

Les rubriques suivantes fournissent des informations sur le pare-feu VM-Series Édition NSX :

Présentation du pare-feu VM-Series Édition NSX

Liste de contrôle de déploiement du pare-feu VM-Series Édition NSX

Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama

Enregistrement du pare-feu VM-Series en tant que service sur NSX Manager

Déploiement du pare-feu VM-Series

Création de politiques

Redirection du trafic d'invités n'exécutant pas VMware Tools

Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama

Guide de déploiement VM-Series 49

Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX

Présentation du pare-feu VM-Series Édition NSX

NSX, la plate-forme de mise en réseau et de sécurité conçue pour le SDDC (Software-Defined Data Center), permet de déployer le pare-feu Palo Alto Networks en tant que service sur un cluster de serveurs ESXi. Le terme

SDDC est un terme VMware qui fait référence à un centre de données où l'infrastructure (ressources de calcul, réseau et stockage) est virtualisée à l'aide de VMware NSX.

Pour suivre l'évolution du SDDC flexible, l'édition NSX du pare-feu VM-Series simplifie le processus de déploiement d'un pare-feu de dernière génération Palo Alto Networks et d'application de la sécurité et de la conformité du trafic est-ouest dans le SDDC. Pour plus d'informations sur le pare-feu VM-Series Édition NSX, reportez-vous aux rubriques suivantes :

Composants de la solution Édition NSX

Fonctionnement des composants de la solution Édition NSX

Avantages de la solution Édition NSX

50 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX

Composants de la solution Édition NSX

Le Tableau : Composants VMware et le Tableau : Composants Palo Alto Networks indiquent les composants

de cette solution conjointe Palo Alto Networks et VMware. Les rubriques qui suivent décrivent plus en détail chaque composant :

Serveur vCenter

NSX Manager

Panorama

VM-Series Édition NSX

Ports/protocoles utilisés pour la communication réseau

Tableau : Composants VMware

Composant Description

Serveur vCenter

NSX Manager

Serveur ESXi

Le serveur vCenter est l'outil de gestion centralisée de la suite vSphere.

La plate-forme de mise en réseau et de sécurité de VMware doit être installée et enregistrée sur le serveur vCenter. NSX Manager et requis pour déployer le pare-feu VM-Series

Édition NSX sur les hôtes ESXi d'un cluster ESXi.

ESXi est un hyperviseur qui permet la virtualisation informatique.

Tableau : Composants Palo Alto Networks

Composant Description

PAN-OS L'image de base VM-Series (PA-VM-NSX-6.1.1.zip) est utilisée pour le déploiement du pare-feu VM-Series Édition NSX avec PAN-OS version 6.1.

La configuration système minimale requise pour le déploiement du pare-feu VM-Series

Édition NSX sur le serveur ESXi est la suivante :

Deux vCPU. Un pour le plan de gestion, l'autre pour le plan de données.

Vous pouvez affecter 2 ou 6 vCPU supplémentaires pour allouer un total de 2, 4 ou

8 vCPU au pare-feu, le plan de gestion utilise un seul vCPU et tout vCPU supplémentaire est affecté au plan de données.

5 Go de mémoire. Toute mémoire supplémentaire sera utilisée par le plan de gestion seulement.

40 Go d'espace disque virtuel.

Guide de déploiement VM-Series 51

Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX

Composant

Panorama

Panorama doit exécuter la même version ou une version ultérieure que les pare-feu qu'il doit gérer.

VM-Series Édition NSX

Description

Panorama est l'outil de gestion centralisée pour les pare-feux de dernière génération Palo

Alto Networks. Dans cette solution, Panorama fonctionne avec NSX Manager pour déployer, mettre sous licence et gérer de manière centralisée la configuration et les politiques sur le pare-feu VM-Series Édition NSX.

Panorama doit pouvoir se connecter à NSX Manager, au serveur vCenter, aux pare-feux VM-Series et au serveur de mise à jour Palo Alto Networks.

La configuration système minimale requise pour Panorama est la suivante :

Deux processeurs à 8 cœurs (2,2 GHz) ; utilisez 3 GHz si vous disposez d'au moins

10 pare-feux.

4 Go de RAM ; 16 Go recommandés si vous disposez d'au moins 10 pare-feux.

40 Go d'espace disque ; pour augmenter cette capacité, vous devez ajouter un disque virtuel ou configurer l'accès à un magasin de données NFS. Pour plus de détails, reportez-vous à la documentation Panorama .

La seule licence VM-Series disponible pour cette solution est la VM-1000 en mode hyperviseur (VM-1000-HV).

Tableau : Versions prises en charge

Composant Versions prises en charge

Serveur vCenter

Serveur ESXi

NSX Manager

5.5

5.5

6.0 avec Panorama 6.0 et PAN-OS 6.0

Pour déployer le pare-feu VM-Series Édition NSX avec NSX Manager 6.0, reportez-vous au Guide de déploiement VM-Series pour la version 6.0.

6.1 avec Panorama 6.1.1 et PAN-OS 6.0.x ou 6.1.x (instructions dans ce guide) ;

VM-Series image de base NSX est disponible uniquement pour PAN-OS 6.1.1 (et non pour 6.1.0).

Pour utiliser NSX Manager 6.1 avec Panorama 6.0 et PAN-OS 6.0, vous devez utiliser la solution décrite dans l' article KB lorsque vous suivez les instructions de ce guide.

52 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX

Serveur vCenter

Le serveur vCenter est requis pour gérer NSX Manager et les hôtes ESXi dans votre centre de données. Dans cette solution conjointe, les hôtes ESXi doivent être organisés en un ou plusieurs clusters sur le serveur vCenter et connectés à un commutateur virtuel distribué.

Pour plus d'informations sur les clusters, le commutateur virtuel distribué, DRS et le serveur vCenter, reportez-vous à la documentation VMware : http://www.vmware.com/support/vcenter-server.html.

NSX Manager

NSX est la plate-forme de virtualisation réseau de VMware qui est entièrement intégrée à vSphere.

Le pare-feu NSX et Service Composer sont les fonctionnalités clés de NSX Manager. Le pare-feu NSX est un pare-feu logique qui vous permet d'associer des services réseau et de sécurité aux machines virtuelles ;

Service Composer vous permet de regrouper des machines virtuelles et de créer une politique pour rediriger le trafic vers le pare-feu VM-Series (appelé le service Pare-feu de dernière génération Palo Alto Networks sur NSX Manager).

Panorama

Panorama est utilisé pour enregistrer l'édition NSX du pare-feu VM-Series en tant que service Pare-feu de dernière

génération Palo Alto Networks sur NSX Manager. L'enregistrement du service Pare-feu de dernière génération Palo

Alto Networks sur NSX Manager permet à ce dernier de déployer l'édition NSX du pare-feu VM-Series sur chaque hôte ESXi dans le cluster ESXi.

Panorama sert de point de gestion central des pare-feux VM-Series Édition NSX. Lorsqu'un nouveau pare-feu VM-Series Édition NSX est déployé, il communique avec Panorama pour obtenir la licence et reçoit sa configuration/ses politiques de Panorama. Tous les éléments de configuration, politiques, objets et groupes d'adresses dynamiques présents sur les pare-feux VM-Series Édition NSX peuvent être gérés de façon centralisée sur Panorama à l'aide de groupes de périphériques et de modèles. L'intégration de l'API XML REST dans cette solution permet la synchronisation de Panorama avec NSX Manager et les pare-feux VM-Series

Édition NSX afin de pouvoir utiliser des groupes d'adresses dynamiques et de partager du contexte entre l'environnement virtualisé et l'application de la sécurité. Pour plus d'informations, consultez la section

Application de politiques à l'aide de groupes d'adresses dynamiques .

Guide de déploiement VM-Series 53

Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX

VM-Series Édition NSX

Le pare-feu VM-Series Édition NSX est le pare-feu VM-Series déployé sur l'hyperviseur ESXi. L'intégration dans l'API NetX permet d'automatiser le processus d'installation du pare-feu VM-Series sur l'hyperviseur ESXi et le transfert du trafic par l'hyperviseur vers le pare-feu VM-Series, sans utiliser la configuration vSwitch ; par conséquent, aucune modification de la topologie du réseau virtuel n'est requise.

Le pare-feu VM-Series Édition NSX prend en charge uniquement les interfaces de câble virtuel. Dans cette

édition, les interfaces Ethernet 1/1 et Ethernet 1/2 sont reliées entre elles par un câble virtuel et utilisent l'API de plan de données NetX pour communiquer avec l'hyperviseur. Les interfaces de couche 2 ou 3 ne sont ni requises ni prises en charge sur le pare-feu VM-Series Édition NSX ; par conséquent, aucune action de commutation ou d'acheminement ne peut être effectuée par le pare-feu.

La seule licence disponible pour cette version du pare-feu VM-Series est la VM-1000-HV. Pour obtenir un bref

résumé des capacités, reportez-vous aux Modèles VM-Series

; pour des informations complètes sur les capacités maximales prises en charge sur la licence VM-1000-HV, consultez la Fiche technique VM-Series .

Ports/protocoles utilisés pour la communication réseau

Pour activer la communication réseau nécessaire au déploiement du pare-feu VMware édition NSX, vous devez utiliser les protocoles/ports et applications suivants.

Panorama : pour obtenir des mises à jour logicielles et des mises à jour dynamiques, Panorama utilise SSL pour accéder à updates.paloaltonetworks.com

sur TCP/443 ; cette URL utilise l'infrastructure CDN. Si vous avez besoin d'une adresse IP unique, utilisez staticupdates.paloaltonetworks.com

. L'App-ID pour les mises

à jour est paloalto-updates.

NSX Manager et Panorama utilisent SSL pour communiquer le TCP/443.

VM-Series Édition NSX : si vous envisagez d'utiliser WildFire, les pare-feu VM-Series doivent pouvoir accéder à wildfire.paloaltonetworks.com

sur le port 443. Il s'agit d'une connexion SSL et l'App-ID est paloalto-wildfire-cloud.

L'interface de gestion sur le pare-feu VM-Series utilise SSL pour communiquer avec Panorama sur

TCP/3789.

Serveur vCenter : le serveur vCenter doit pouvoir accéder au serveur Web de déploiement hébergeant l'OVF VM-Series. Le port est TCP/80 par défaut et l'App-ID web-browsing.

54 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX

Fonctionnement des composants de la solution Édition NSX

Pour répondre aux problèmes de sécurité dans le SDDC, NSX Manager, les serveurs ESXi et Panorama fonctionnent harmonieusement pour automatiser le déploiement du pare-feu VM-Series.

1. Enregistrement du service Pare-feu de dernière génération Palo Alto Networks : la première étape est l'enregistrement du pare-feu de dernière génération Palo Alto Networks en tant que service sur NSX Manager.

Le processus d'enregistrement utilise l'API de plan de données NetX pour permettre la communication bidirectionnelle entre Panorama et NSX Manager. Panorama est configuré avec l'adresse IP et les informations d'identification d'accès pour initier une connexion et enregistrer le service Pare-feu de dernière génération Palo

Alto Networks sur NSX Manager. La configuration inclut l'URL d'accès à l'image de base VM-Series requise pour déployer le pare-feu VM-Series Édition NSX, ainsi que le code d'autorisation pour récupérer la licence et le groupe de périphériques auquel les pare-feux VM-Series appartiennent. NSX Manager utilise cette connexion au plan de gestion pour partager les mises à jour des modifications effectuées dans l'environnement virtuel avec

Panorama.

2. Déploiement automatique du pare-feu VM-Series à partir de NSX Manager : NSX Manager récupère l'image de base VM-Series à partir de l'URL spécifiée lors de l'enregistrement et installe une instance du pare-feu VM-Series sur chaque hôte ESXi du cluster ESXi. À partir d'un pool d'adresses IP de gestion statiques

(que vous avez défini sur NSX Manager), une adresse IP de gestion est affectée au pare-feu VM-Series et l'adresse IP de Panorama est fournie au pare-feu. Lorsque le pare-feu démarre, l'API d'intégration au plan de données NetX se connecte au pare-feu VM-Series à l'hyperviseur de manière à ce qu'il puisse recevoir le trafic de vSwitch.

Guide de déploiement VM-Series 55

Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX

3. Établissement de la communication entre le pare-feu VM-Series et Panorama : le pare-feu VM-Series initie ensuite une connexion à Panorama pour obtenir sa licence. Panorama récupère la licence auprès du serveur de mise à jour et l'applique sur le pare-feu. Le pare-feu VM-Series reçoit la licence (VM-1000-HV) et redémarre avec un numéro de série valide.

4. Installation de la configuration/politique à partir de Panorama sur le pare-feu VM-Series : le pare-feu VM-Series se reconnecte à Panorama et fournit son numéro de série. Panorama ajoute le pare-feu au groupe de périphériques défini lors du processus d'enregistrement et applique la politique par défaut sur le pare-feu. Le pare-feu VM-Series est alors disponible en tant que machine virtuelle de sécurité qui peut être, en outre, configurée pour la mise en œuvre d'applications sécurisée sur le réseau.

5. Application de règles de redirection du trafic à partir du pare-feu NSX : dans Service Composer sur le pare-feu NSX, créez des groupes de sécurité et définissez des règles d'introspection réseau spécifiant les invités dont le trafic est redirigé vers le pare-feu VM-Series. Reportez-vous à la section

Règles de politique intégrées

pour plus de détails.

Pour s'assurer que le trafic provenant des invités est redirigé vers le pare-feu VM-Series, VMware

Tools doit être installé sur chaque invité. Si VMware Tools n'est pas installé, NSX Manager ne connaît pas l'adresse IP de l'invité et le trafic ne peut donc pas être redirigé vers le pare-feu

VM-Series. Pour plus d'informations, consultez la section Redirection du trafic d'invités n'exécutant pas VMware Tools .

6. Réception de mises à jour en temps réel de NSX Manager : NSX Manager envoie des mises à jour en temps réel des modifications effectuées dans l'environnement virtuel à Panorama. Ces mises à jour incluent des informations sur les groupes de sécurité et les adresses IP des invités qui font partie du groupe de sécurité dont le trafic est redirigé vers le pare-feu VM-Series. Reportez-vous à la section

Règles de politique intégrées

pour plus de détails.

7. Utilisation de groupes d'adresses dynamiques dans la politique et application de mises à jour

dynamiques à partir de Panorama sur les pare-feux VM-Series : sur Panorama, utilisez les mises à jour en temps réel pour créer des groupes d'adresses dynamiques, les associer aux politiques de sécurité et appliquer ces politiques aux pare-feux VM-Series. Chaque pare-feu VM-Series du groupe de périphériques dispose du même ensemble de politiques et alors complètement marshalé pour sécuriser le SDDC. Reportez-vous à la section

Application de politiques à l'aide de groupes d'adresses dynamiques pour plus de détails.

56 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX

Règles de politique intégrées

Le pare-feu NSX et le pare-feu VM-Series fonctionnent conjointement pour appliquer la sécurité ; chacun fournit un ensemble de règles de gestion du trafic qui sont appliquées au trafic sur chaque hôte ESXi. Le premier ensemble de règles est défini sur le pare-feu NSX ; ces règles déterminent les invités du cluster dont le trafic est redirigé vers le pare-feu V-Series. Le second ensemble de règles (règles de pare-feu de dernière génération Palo

Alto Networks) est défini sur Panorama et est appliqué sur les pare-feux VM-Series. Il s'agit de règles d'application de la sécurité destinées au trafic qui est redirigé vers le service Pare-feu de dernière génération Palo

Alto Networks. Ces règles déterminent comment le pare-feu VM-Series doit traiter (c'est-à-dire autoriser, refuser, inspecter et limiter) l'application en vue de sa mise en œuvre sécurisée sur votre réseau.

Règles définies sur le pare-feu NSX : les règles de redirection du trafic des invités sur chaque hôte ESXi sont configurées sur NSX Manager. Service Composer sur NSX Manager vous permet de définir le type de sécurité, notamment les règles à appliquer aux invités du cluster ESXi. Pour définir des règles sur le pare-feu NSX, vous devez d'abord agréger les invités dans des groupes de sécurité, puis créer des politiques NSX Service Composer pour rediriger le trafic de ces groupes de sécurité vers le service Pare-feu de dernière génération Palo Alto Networks et/ou le pare-feu NSX.

Le schéma suivant illustre la manière dont les groupes de sécurité peuvent être composés d'invités sur différents hôtes ESXi d'un cluster.

Pour le trafic qui doit être inspecté et sécurisé par le pare-feu VM-Series, les politiques NSX Service

Composer redirigent le trafic vers le service Pare-feu de dernière génération Palo Alto Networks. Ce trafic est alors redirigé vers le pare-feu VM-Series ; il est traité par le pare-feu VM-Series avant d'atteindre le commutateur virtuel.

Guide de déploiement VM-Series 57

Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX

Le trafic qui ne doit pas être inspecté par le pare-feu VM-Series, par exemple, une sauvegarde de données réseau ou le trafic vers un contrôleur de domaine interne n'a pas besoin d'être redirigé vers le pare-feu VM-Series et peut être envoyé vers le commutateur virtuel pour un traitement ultérieur.

Règles gérées de manière centralisée sur Panorama et appliquées par le pare-feu VM-Series : les règles de pare-feu de dernière génération sont appliquées par le pare-feu VM-Series. Ces règles sont définies et gérées de manière centralisée sur Panorama à l'aide de modèles et de groupes de périphériques, puis appliquées sur les pare-feux VM-Series. Le pare-feu VM-Series applique ensuite la politique de sécurité en la faisant correspondre avec l'adresse IP source ou de destination (l'utilisation de groupes d'adresses dynamiques permet au pare-feu de renseigner les membres des groupes en temps réel) et transfère le trafic aux filtres sur le pare-feu NSX.

Pour comprendre comment NSX Manager et Panorama restent synchronisés avec les modifications apportées au SDDC et vous assurer que le pare-feu VM-Series applique uniformément la politique,

reportez-vous à la section Application de politiques à l'aide de groupes d'adresses dynamiques

.

Application de politiques à l'aide de groupes d'adresses dynamiques

Contrairement aux autres versions du pare-feu VM-Series, l'édition NSX n'utilise pas les zones de sécurité comme méthode de segmentation, car les deux interfaces de câble virtuel appartiennent à la même zone. À la place, l'édition NSX utilise des groupes d'adresses dynamiques pour segmenter le trafic.

Un groupe d'adresses dynamiques est utilisé comme objet source ou de destination dans la politique de sécurité.

Comme les adresses IP changent constamment dans un environnement de centre de données, les groupes d'adresses dynamiques permettent d'automatiser le processus de référencement des adresses IP sources et/ou de destination dans les politiques de sécurité. Contrairement aux objets d'adresse statiques qui doivent être chargés manuellement dans la configuration et validés à chaque modification d'adresse (ajout, suppression ou déplacement), les groupes d'adresses dynamiques s'adaptent automatiquement aux modifications.

Tous les groupes de sécurité définis sur NSX Manager sont automatiquement fournis sous forme de mises à jour à Panorama à l'aide de l'intégration du plan de gestion à l'API NetX et peuvent être utilisés comme critères de filtre pour créer des groupes d'adresses dynamiques ; le pare-feu filtre par nom du groupe de sécurité, qui est une étiquette, pour trouver tous les membres qui appartiennent à un groupe de sécurité.

58 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX

Si, par exemple, vous disposez d'une architecture multiniveau pour les applications Web, sur NSX Manager, créez trois groupes de sécurité pour les serveurs Web frontaux, d'applications et de bases de données.

NSX Manager met à jour Panorama avec le nom des groupes de sécurité et l'adresse IP des invités de chaque groupe de sécurité.

Sur Panorama, vous pouvez alors créer trois groupes d'adresses dynamiques à faire correspondre avec les objets marqués comme base de données, application et site Web frontal. Ensuite, dans la politique de sécurité, vous pouvez utiliser les groupes d'adresses dynamiques comme objets sources ou de destination, définir les applications autorisées à traverser ces serveurs et appliquer les règles sur les pare-feux VM-Series.

Chaque fois qu'un invité est ajouté ou modifié dans le cluster ESXi ou qu'un groupe de sécurité est créé ou mis

à jour, NSX Manager utilise l'API XML REST PAN-OS pour mettre à jour Panorama avec l'adresse IP et le groupe de sécurité auquel l'invité appartient. Pour suivre le flux d'informations, reportez-vous à la section

Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama .

Afin de s'assurer que le nom de chaque groupe de sécurité est unique, le serveur vCenter affecte un ID MOB (Managed Object Reference) au nom que vous avez défini pour le groupe de sécurité.

La syntaxe utilisée pour afficher le nom du groupe de sécurité sur Panorama est

nomspécifié-groupedesécurité-numéro ; par exemple, siteWebfrontal-groupe de sécurité-47.

Guide de déploiement VM-Series 59

Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX

Lorsque Panorama reçoit la notification de l'API, .il vérifie/met à jour l'adresse IP de chaque invité et le groupe de sécurité auquel l'invité appartient. Puis, Panorama applique ces mises à jour en temps réel à tous les pare-feux du groupe de périphériques et en informe les groupes de périphériques dans la configuration du gestionnaire de services sur Panorama.

Sur chaque pare-feu, toutes les règles de politique qui font référence à ces groupes d'adresses dynamiques sont mises à jour au moment de l'exécution. Comme le pare-feu fait correspondre les étiquettes des groupes de sécurité pour déterminer les membres d'un groupe d'adresses dynamiques, vous n'avez pas besoin de modifier ou de mettre à jour la politique lorsque vous effectuez des modifications dans l'environnement virtuel.

Le pare-feu fait correspondre les étiquettes pour trouver les membres actuels de chaque groupe d'adresses dynamiques et applique la politique de sécurité à l'adresse IP source/de destination incluse dans le groupe.

60 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX

Avantages de la solution Édition NSX

L'édition NSX du pare-feu VM-Series est destinée à la sécurisation de la communication est-ouest dans le

SDDC. Le déploiement du pare-feu offre les avantages suivants :

Déploiement automatisé : NSX Manager automatise le processus de mise à disposition des services de sécurité du pare-feu de dernière génération et le pare-feu VM-Series permet l'application transparente de la sécurité. Lorsqu'un nouvel hôte ESXi est ajouté à un cluster, un nouveau pare-feu VM-Series est automatiquement déployé, configuré et disponible pour l'application immédiate de politiques sans aucune intervention manuelle. Le flux de travail automatisé vous permet de suivre l'évolution des déploiements de machine virtuelle dans votre centre de données. Grâce au mode hyperviseur du pare-feu, la reconfiguration des ports/des commutateurs virtuels/de la topologie de réseau n'est plus nécessaire ; comme chaque hôte ESXi dispose d'une instance du pare-feu, le trafic n'a pas besoin de traverser le réseau ou d'être redirigé pour l'inspection et l'application uniforme des politiques.

Intégration plus étroite entre l'environnement virtuel et l'application de la sécurité pour une

sécurité dynamique : les groupes d'adresses dynamiques assurent la sensibilisation aux modifications des machines virtuelles/applications et garantissent que la politique de sécurité reste synchronisée avec les modifications effectuées sur le réseau. Cette sensibilisation permet la visibilité et la protection des applications dans un environnement flexible.

Gestion centralisée renforcée : les pare-feux déployés à l'aide de cette solution are mis sous licence et gérés par Panorama, l'outil de gestion centralisée de Palo Alto Networks. L'utilisation de Panorama pour gérer les pare-feux de périmètre et de centre de données (les pare-feux matériels et virtuels) vous permet de centraliser la gestion des politiques et d'appliquer les politiques de manière uniforme et flexible sur le réseau.

En résumé, cette solution garantit la sécurisation de la nature dynamique du réseau virtuel avec des frais administratifs minimes. Vous pouvez déployer des applications de manière plus rapide, efficace et sécurisée.

Guide de déploiement VM-Series 61

Liste de contrôle de déploiement du pare-feu VM-Series

Édition NSX

Configuration d'un pare-feu VM-Series Édition NSX

Liste de contrôle de déploiement du pare-feu VM-Series

Édition NSX

Pour déployer l'édition NSX du pare-feu VM-Series, utilisez le flux de travail suivant :

Étape 1 : configuration des composants : pour déployer le pare-feu VM-Series Édition NSX,

configurez les composants suivants (reportez-vous à la section Composants de la solution Édition NSX ) :

– Configurez le serveur vCenter, puis installez et enregistrez NSX Manager sur le serveur vCenter.

Si vous n'avez pas encore configuré le(s) commutateur(s) virtuel(s) et regroupé les hôtes ESXi dans des clusters, reportez-vous à la documentation VMware pour obtenir des instructions sur la configuration de l'environnement vSphere. Ce document ne décrit pas le processus de configuration des composants VMware de cette solution.

– Mettez à niveau Panorama vers la version 6.1.1.

Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama

. Si vous êtes novice, consultez la documentation Panorama pour plus d'instructions sur la configuration de Panorama.

– Téléchargez et enregistrez le modèle .ovf pour l'édition NSX du pare-feu VM-Series sur un serveur Web. NSX Manager doit disposer d'un accès réseau à ce serveur Web de manière à pouvoir déployer le pare-feu VM-Series comme souhaité. Vous ne pouvez pas héberger le modèle .ovf sur

Panorama.

– L'enregistrement du code d'autorisation de capacité du pare-feu VM-Series Édition NSX dans votre compte de support sur le portail de support. Pour plus de détails, reportez-vous à la section

Licence et mise à niveau du Pare-feu série VM

.

Étape 2 : enregistrement : configurez Panorama pour Enregistrement du pare-feu VM-Series en tant que service sur NSX Manager . Une fois enregistré, le pare-feu VM-Series est ajouté à la liste des services

réseau qui peuvent être déployés de manière transparente en tant que services par NSX Manager.

La connexion entre Panorama et NSX Manager est également requise pour la mise sous licence et la configuration du pare-feu.

Étape 3 :

déploiement des pare-feu et création des politiques : installez le pare-feu VM-Series et créez des politiques pour rediriger et sécuriser le trafic vers le pare-feu VM-Series. Consultez les sections

Déploiement du pare-feu VM-Series

et Création de politiques

.

– (Sur NSX Manager) Activez SpoofGuard et définissez des règles pour bloquer les protocoles non IP.

– (Sur NSX Manager) Définissez le pool d'adresses IP. Une adresse IP de l'intervalle définie est affectée

à l'interface de gestion de chaque instance du pare-feu VM-Series.

– (Sur NSX Manager) Déployez le pare-feu VM-Series. NSX Manager déploie automatiquement une instance du pare-feu VM-1000-HV sur chaque hôte ESXi du cluster.

– (Sur NSX Manager) Configurez les groupes de sécurité. Un groupe de sécurité regroupe les invités/applications spécifiés de manière à ce que vous puissiez appliquer la politique au groupe.

Créez ensuite des politiques de pare-feu NSX pour rediriger le trafic vers le profil de service Palo Alto

Networks.

NSX Manager utilise l'adresse IP comme critère de correspondance pour rediriger le trafic vers le pare-feu VM-Series. Si

VMware Tools n'est pas installé sur l'invité, reportez-vous à la section

Redirection du trafic d'invités n'exécutant pas

VMware Tools .

62 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Liste de contrôle de déploiement du pare-feu VM-Series

Édition NSX

– (Sur Panorama) Appliquez les politiques sur le pare-feu VM-Series. Sur Panorama, définissez, appliquez et gérez les politiques de manière centralisée sur tous les pare-feux VM-Series. Sur Panorama, créez des groupes d'adresses dynamiques pour chaque groupe de sécurité, référencez les groupes d'adresses dynamiques dans la politique et appliquez les politiques aux pare-feux gérés.

Ce système de gestion centralisée vous permet de sécuriser les invités/applications avec une intervention administrative minime.

Étape 4 : surveillance et application de la sécurité réseau : Panorama offre une vue graphique complète du trafic réseau. Avec les outils de visibilité de Panorama (fonctionnalités de centre de commande de l'application (ACC), de journaux et de création de rapports) vous pouvez analyser, enquêter et générer des rapports sur toutes les activités du réseau, identifier les zones susceptibles d'avoir un impact sur la sécurité et les transposer dans des politiques de mise en œuvre d'application sécurisées. Pour plus d'informations, reportez-vous au Guide de l'administrateur Panorama .

Guide de déploiement VM-Series 63

Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama

Configuration d'un pare-feu VM-Series Édition NSX

Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama

Pour gérer les pare-feux VM-Series Édition NSX à l'aide de Panorama, ils doivent appartenir à un groupe de périphériques ; l'ajout d'un pare-feu à un modèle est facultatif. Les groupes de périphériques vous permettent de regrouper les pare-feux qui nécessitent des politiques et des objets similaires comme unités logiques ; la configuration est définie à l'aide des onglets

Objets

et

Politiques

sur Panorama. Les modèles sont utilisés pour configurer les paramètres requis pour que le fonctionnement des pare-feux VM-Series sur le réseau ; la configuration est définie à l'aide des onglets

Périphérique

et

réseau

du Panorama. Vous pouvez, par exemple, utiliser des modèles pour définir l'accès administratif au pare-feu ou des paramètres de journal et des profils de serveur sur les pare-feux gérés.

Si vous êtes novice, reportez-vous au Guide de l'administrateur Panorama pour plus d'instructions sur la configuration de Panorama.

Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama

Étape 1 Connectez-vous à l'interface Web

Panorama

Étape 2

Étape 3

Ajoutez un groupe de périphériques.

(Facultatif) Ajoutez un modèle.

Avec une connexion sécurisée (https) fournie par un navigateur Web, connectez-vous à l'aide de l'adresse IP et du mot de passe affectés à l'interface de gestion lors la configuration initiale.

(https://<Adresse IP>)

1.

Sélectionnez

Panorama > Groupes de périphériques

, puis cliquez sur

Ajouter

.

2.

Saisissez un

nom

unique et une

description

afin d'identifier le groupe de périphériques.

3.

Cliquez sur

OK

.

Une fois que les pare-feux ont été déployés et configurés, ils s'affichent sous

Panorama > Périphériques gérés

et sont répertoriés dans le groupe de périphériques.

4.

Cliquez sur

Valider

, puis sélectionnez

Panorama

comme

Type de validation

pour enregistrer les modifications apportées à la configuration active sur Panorama.

1.

Sélectionnez

Panorama > Modèles

, puis cliquez sur

Ajouter

.

2.

Saisissez un

nom

unique et une

description

pour identifier le modèle.

Les options du

Mode opérationnel

, les cases à cocher

Systèmes virtuels

et

VPN Désactiver le mode

ne s'appliquent pas au pare-feu VM-Series.

3.

Cliquez sur

OK

.

4.

Cliquez sur

Valider

, puis sélectionnez

Panorama

en tant que

Type de validation

pour enregistrer les modifications de la configuration en cours sur Panorama.

64 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Enregistrement du pare-feu VM-Series en tant que service sur

NSX Manager

Enregistrement du pare-feu VM-Series en tant que service sur NSX Manager

Afin d'automatiser la configuration du pare-feu VM-Series Édition NSX, activez la communication entre

NSX Manager et Panorama. Il s'agit d'une configuration unique, qui ne doit être modifiée que si l'adresse IP de

NSX Manager change ou si la licence de capacité pour le déploiement du pare-feu VM-Series est dépassée.

Utilisation de Panorama pour enregistrer le pare-feu VM-Series en tant que service

Étape 1 Connectez-vous à l'interface Web Panorama Avec une connexion sécurisée (https) fournie par un navigateur Web, connectez-vous à l'aide de l'adresse IP et du mot de passe affectés à l'interface de gestion (https://<Adresse IP>).

Étape 2 Configurez l'accès à NSX Manager.

1.

Sélectionnez

Panorama > VMware Service Manager

.

2.

Saisissez le

nom du gestionnaire de services

.

Sur NSX Manager, ce nom s'affiche dans la colonne

Gestionnaire de services sous

Mise en réseau et sécurité >

Définitions de service

.

Reportez-vous à a capture d'écran à

l' Étape 9 .

3.

(Facultatif) Ajoutez une

description

qui identifie le pare-feu VM-Series en tant que service.

4.

Saisissez l'

URL NSX Manager

(adresse IP ou nom de domaine complet) qui permet d'accéder à NSX Manager.

5.

Saisissez les informations d'identification de

connexion

NSX Manager

(nom d'utilisateur et mot de passe) de manière à ce que Panorama puisse s'authentifier auprès de NSX Manager.

Étape 3 Spécifiez l'emplacement du fichier OVF.

Extrayez et enregistrez les fichiers .ovf et

.vmdk dans le même répertoire. Ces deux fichiers permettent de déployer chaque instance du pare-feu.

Si nécessaire, modifiez les paramètres de sécurité sur le serveur pour pouvoir télécharger les types de fichiers. Par exemple, sur le serveur IIS, modifiez la configuration des types Mime ; sur un serveur Apache, modifiez le fichier .htaccess.

Dans l'

URL du modèle OVF VM-Series

, ajoutez l'emplacement du serveur Web qui héberge le fichier .ovf. Les protocoles http et https sont tous les deux pris en charge. Par exemple, saisissez

https://acme.com/software/PA-VM-NSX-6.1.1.ovf

Étape 4 Ajoutez le code d'autorisation.

Le code d'autorisation doit correspondre à la solution du modèle

NSX de VM-Series, par exemple, PAN-VM-1000-HV-PERP-

BND-NSX.

Vérifiez que la capacité/quantité de commande permet de répondre aux besoins de votre réseau.

Saisissez le code d'autorisation contenu dans l'e-mail de confirmation de commande que vous avez reçu. Le code d'autorisation est utilisé pour mettre sous licence chaque instance du pare-feu VM-Series.

Sur le portail de support, vous pouvez consulter le nombre de pare-feu que vous êtes autorisé à déployer et le nombre de licences qui ont été utilisées par rapport au nombre total de licences activées par votre code d'autorisation.

Guide de déploiement VM-Series 65

Enregistrement du pare-feu VM-Series en tant que service sur

NSX Manager

Configuration d'un pare-feu VM-Series Édition NSX

Utilisation de Panorama pour enregistrer le pare-feu VM-Series en tant que service (suite)

Étape 5 Spécifiez le groupe de périphériques auquel les pare-feux appartiennent et éventuellement le modèle.

Comme les pare-feux déployés dans cette solution sont gérés de manière centralisée à partir de Panorama, vous devez spécifier le

groupe de périphériques

auquel les pare-feux appartiennent.

Tous les pare-feux déployés à l'aide du code d'autorisation défini à

l' Étape 4 appartiennent au modèle et au groupe de périphériques

spécifiés lors du déploiement initial. Si vous souhaitez réaffecter les pare-feux, vous devez les déplacer manuellement dans un modèle ou un groupe de périphériques distinct, après les avoir déployés.

Étape 6 Configurez la notification des différents groupes de périphériques lorsque de nouvelles machines virtuelles sont configurées ou lorsque des modifications sont effectuées sur le réseau.

Étape 7 Validez vos modifications sur Panorama.

Pour créer une sensibilité au contexte entre les environnements virtuel et de sécurité de manière à ce que la politique soit uniformément appliquée à tout le trafic redirigé vers les pare-feux, vous devez sélectionner les groupes de périphériques qui doivent

être informés.

Sélectionnez les groupes de périphériques applicables dans

Informer les groupes de périphériques

.

Les pare-feux des groupes de périphériques spécifiés reçoivent une mise à jour en temps réel des groupes de sécurité et des adresses IP.

Les pare-feux utilisent cette mise à jour pour déterminer la liste la plus récente des membres qui constituent les groupes d'adresses dynamiques référencés dans la politique.

Sélectionnez

Valider

et le type de validation

Panorama

.

Étape 8 Vérifiez l'état de la connexion sur Panorama. Affiche le statut de la connexion entre Panorama et NSX Manager.

Lorsque la connexion a réussi, l'état affiché est :

Enregistré

. Cela indique que Panorama et NSX Manager sont synchronisés et que le pare-feu VM-Series est enregistré en tant que service sur

NSX Manager.

Lorsque la connexion a échoué, l'état affiché peut être :

Non connecté

: impossible d'atteindre/établir une connexion réseau à NSX Manager.

Non autorisé

: les informations d'identification d'accès (nom d'utilisateur et/ou mot de passe) ne sont pas correctes.

Non enregistré

: le service, le gestionnaire de services ou le profil de service n'est pas disponible ou a été supprimé sur

NSX Manager.

Désynchronisé

: les paramètres de configuration définis sur

Panorama sont différents de ceux définis sur NSX Manager.

Aucun service/profil de service

: indique une configuration incomplète sur NSX Manager.

66 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Enregistrement du pare-feu VM-Series en tant que service sur

NSX Manager

Utilisation de Panorama pour enregistrer le pare-feu VM-Series en tant que service (suite)

Étape 9 Vérifiez que le pare-feu est enregistré en tant que service sur NSX Manager.

1. Sur le client Web vSphere, sélectionnez

Mise en réseau et sécurité > Définitions de service

.

2. Vérifiez que le

pare-feu de dernière génération Palo Alto Networks

s'affiche dans la liste des services disponibles pour l'installation.

Guide de déploiement VM-Series 67

Déploiement du pare-feu VM-Series Configuration d'un pare-feu VM-Series Édition NSX

Déploiement du pare-feu VM-Series

Après l'enregistrement du pare-feu VM-Series en tant que service (Pare-feu de dernière génération Palo Alto

Networks) sur NSX Manager, effectuez les tâches suivantes sur NSX Manager.

Activation de SpoofGuard

Définition d'un pool d'adresses IP

Préparation de l'hôte ESXi pour le pare-feu VM-Series

Déploiement du service Pare-feu de dernière génération Palo Alto Networks

68 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Déploiement du pare-feu VM-Series

Activation de SpoofGuard

Le pare-feu distribué NSX ne peut rediriger le trafic vers le pare-feu VM-Series que lorsqu'il correspond à une adresse IP connue du serveur vCenter. Cela signifie que tout trafic L2 non IP, ou tout trafic IP ne correspondant pas aux adresses IP connues du serveur vCenter, ne correspondra pas aux règles de redirection définies sur NSX

Manager et ne sera pas redirigé vers le pare-feu VM-Series. Ainsi, pour s'assurer que tout le trafic est correctement filtré, vous devez effectuer les étapes suivantes :

Activez SpoofGuard pour empêcher le trafic IP inconnu de contourner le pare-feu VM-Series.

Lorsque SpoofGuard est activé, si l'adresse IP d'une machine virtuelle change, le trafic de la machine virtuelle sera bloqué jusqu'à ce que vous inspectiez et approuviez le changement d'adresse IP dans l'interface NSX

SpoofGuard.

Configurez les règles de pare-feu NSX pour bloquer le trafic L2 non IP qui ne peut pas être redirigé vers le pare-feu VM-Series.

vCenter utilise VMware Tools pour détecter les adresses IP de chaque invité.

Si VMware Tools n'est pas installé sur certains invités, reportez-vous à la section

Redirection du trafic d'invités n'exécutant pas VMware Tools

.

Activation de SpoofGuard et blocage du trafic L2 non IP

Étape 1 Activez SpoofGuard pour les groupes de ports contenant les invités.

Lorsqu'il est activé, pour chaque carte réseau, SpoofGuard recherche dans les paquets l'adresse MAC attendue et son adresse IP correspondante.

1. Sélectionnez

Mise en réseau et sécurité > SpoofGuard

.

2. Cliquez sur

Ajouter

pour créer une nouvelle politique, puis sélectionnez les options suivantes :

SpoofGuard :

Activé

Mode de fonctionnement :

Approuver automatiquement les affectations IP à leur première utilisation

.

Autoriser une adresse locale comme adresse valide dans l'espace de noms

.

Sélectionnez Réseaux : Sélectionnez les groupes de ports auxquels les invités sont connectés.

Guide de déploiement VM-Series 69

Déploiement du pare-feu VM-Series Configuration d'un pare-feu VM-Series Édition NSX

Activation de SpoofGuard et blocage du trafic L2 non IP (suite)

Étape 2 Sélectionnez les protocoles IP à autoriser.

1. Sélectionnez

Mise en réseau et sécurité > Pare-feu > Ethernet

.

2.

Ajoutez

une règle autorisant le trafic

ARP

,

IPv4

et

IPv6

.

3.

Ajoutez

une règle bloquant tout autre trafic.

70 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Déploiement du pare-feu VM-Series

Définition d'un pool d'adresses IP

Le pool d'adresses IP est une plage d'adresses IP (statiques) réservées pour établir l'accès de gestion aux pare-feux VM-Series. Lorsque NSX Manager déploie un nouveau pare-feu VM-Series, la première adresse IP disponible de cette plage est affectée à l'interface de gestion du pare-feu.

Définition d'un pool d'adresses IP

Étape 1 Dans

Inventaire de mise en réseau et de sécurité

, sélectionnez

NSX Manager

, puis double-cliquez pour accéder aux informations de configuration de NSX Manager.

Étape 2 Sélectionnez

Gestion > Regroupement d'objets > Pools d'adresses IP

.

Étape 3 Cliquez sur

Ajouter un pool d'adresses IP

et spécifiez les informations d'accès réseau requises à l'écran, y compris la plage d'adresses IP que vous souhaitez utiliser pour le pare-feu de dernière génération Palo Alto

Networks.

Guide de déploiement VM-Series 71

Déploiement du pare-feu VM-Series Configuration d'un pare-feu VM-Series Édition NSX

Préparation de l'hôte ESXi pour le pare-feu VM-Series

Avant de déployer le pare-feu VM-Series, chaque invité du cluster doit disposer des composants NSX nécessaires pour permettre au pare-feu NSX et au pare-feu VM-Series de fonctionner ensemble. NSX Manager installe les composants, c'est-à-dire l'Ethernet Adapter Module (fichier .eam) et le kit de développement logiciel

(SDK), requis pour déployer le pare-feu VM-Series.

Préparation des hôtes ESXi pour le pare-feu VM-Series

1.

Sur NSX Manager, sélectionnez

Mise en réseau et sécurité > Installation > Préparation de l'hôte

.

2.

Cliquez sur

Installer

et vérifiez que l'état de l'installation est réussi.

Lors de l'ajout de nouveaux hôtes ESXi à un cluster, ce processus est automatisé et les composants NSX nécessaires sont automatiquement installés sur chaque invité de l'hôte ESXi.

3.

Si l'état de l'installation n'est pas prêt ou qu'un avertissement s'affiche à l'écran, cliquez sur le lien

Résoudre

. Pour surveiller la progression de la nouvelle tentative d'installation, cliquez sur le lien

Plus de tâches

et vérifiez si les tâches suivantes ont été effectuées correctement :

72 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Déploiement du pare-feu VM-Series

Déploiement du service Pare-feu de dernière génération Palo Alto Networks

Suivez les étapes ci-dessous pour automatiser le processus de déploiement d'une instance du pare-feu VM-Series

Édition NSX sur chaque hôte ESXi du cluster spécifié.

Déploiement du service Pare-feu de dernière génération Palo Alto Networks

Étape 1 Sélectionnez

Mise en réseau et sécurité > Installation > Déploiements de service

.

Étape 2 Cliquez sur

Nouveau déploiement de service

(icône en forme de plus vert), puis sélectionnez le service

Pare-feu de dernière génération Palo Alto Networks

. Cliquez sur

Suivant

.

Étape 3 Sélectionnez le

centre de données

et le(s) cluster(s) sur le(s)quel(s) déployer le service. Une instance du pare-feu est déployée sur chaque hôte du/des cluster(s) sélectionné(s).

Étape 4 Sélectionnez le magasin de données à partir duquel allouer de l'espace disque au pare-feu. Sélectionnez l'une des options suivantes en fonction de votre déploiement.

Si vous avez alloué un stockage partagé au cluster, sélectionnez un magasin de données partagé disponible.

Si vous n'avez pas alloué de stockage partagé au cluster, sélectionnez l'option

Spécifié sur l'hôte

.

Assurez-vous de sélectionner le stockage sur chaque hôte ESXi du cluster. De plus, sélectionnez le réseau à utiliser pour le trafic de gestion sur le pare-feu VM-Series.

Étape 5 Sélectionnez le groupe de ports qui fournit l'accès du trafic réseau de gestion au pare-feu.

Guide de déploiement VM-Series 73

Déploiement du pare-feu VM-Series Configuration d'un pare-feu VM-Series Édition NSX

Déploiement du service Pare-feu de dernière génération Palo Alto Networks (suite)

Étape 6

Sélectionnez le pool d'adresses IP (que vous avez défini dans Définition d'un pool d'adresses IP

) à partir duquel affecter une adresse IP de gestion à chaque pare-feu déployé.

Étape 7 Vérifiez la configuration et cliquez sur

Terminer

.

Étape 8 Assurez-vous que NSX Manager indique que l'

état de l'installation

est

réussi

. Ce processus peut prendre un moment ; cliquez sur le lien

Plus de tâches

sur vCenter pour surveiller la progression de l'installation.

Si l'installation du pare-feu VM-Series échoue, un message d'erreur s'affiche dans la colonne État de l'installation. Vous pouvez également utiliser l'onglet

Tâches

et

Log Browser

sur NSX Manager pour consulter les détails de l'échec. Pour connaître les étapes de résolution des problèmes, reportez-vous à la documentation VMware.

Étape 9 Vérifiez que le pare-feu est déployé et connecté à Panorama.

Sur le serveur vCenter, sélectionnez

Hôtes et clusters

pour vérifier que chaque hôte du/des cluster(s) dispose d'une instance du pare-feu.

74 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Déploiement du pare-feu VM-Series

Déploiement du service Pare-feu de dernière génération Palo Alto Networks (suite)

Étape 10 Accédez à l'interface Web Panorama pour vous assurer que les pare-feux VM-Series sont connectés et synchronisés avec Panorama.

1. Sélectionnez

Panorama > Périphériques gérés

pour vérifier que les pare-feux sont connectés et synchronisés.

2. Cliquez sur

Valider

et sélectionnez le type de validation

Panorama

.

Une validation Panorama régulière est requise pour vous assurer que Panorama enregistre les numéros de série de périphérique dans la configuration. Si vous redémarrez Panorama sans valider les modifications, les périphériques gérés ne se reconnectent pas à Panorama ; bien que le groupe de périphériques s'affiche dans la liste des périphériques, les périphériques n'apparaissent pas dans

Panorama > Périphériques gérés

.

Étape 11 Vérifiez que la licence de capacité est appliquée et appliquez toute licence supplémentaire achetée. Vous devez au moins activer la licence de support sur chaque pare-feu.

1. Sélectionnez

Panorama > Déploiement de périphérique > Licences

pour vérifier que la licence de capacité VM-Series est appliquée.

2. Pour appliquer des licences supplémentaires sur les pare-feux VM-Series :

Dans

Panorama > Déploiement de périphérique > Licences

, cliquez sur

Activer

Recherchez ou filtrez le pare-feu, puis dans la colonne

Code d'autorisation

, saisissez le code d'autorisation pour activer la licence. Un seul code d'autorisation peut être saisi pour chaque pare-feu.

3. Cliquez sur

Activer

, puis vérifiez que l'activation de la licence a réussi.

Étape 12

(Facultatif) Mettez à jour la version de PAN-OS sur les pare-feu VM-Series, reportez-vous à la section Mise à niveau de la version du logiciel PAN-OS (Édition NSX) .

Guide de déploiement VM-Series 75

Création de politiques Configuration d'un pare-feu VM-Series Édition NSX

Création de politiques

Les rubriques suivantes décrivent comment créer des politiques sur NSX Manager pour rediriger le trafic vers le pare-feu VM-Series, ainsi que sur Panorama, et les appliquer sur le pare-feu VM-Series de manière à ce qu'il puisse les appliquer à son tour au trafic redirigé.

Définition de politiques sur NSX Manager

Application de politiques sur le pare-feu VM-Series

76 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Création de politiques

Définition de politiques sur NSX Manager

Pour que le pare-feu VM-Series puisse sécuriser le trafic, vous devez effectuer les tâches suivantes :

Configuration de groupes de sécurité sur NSX Manager

Redirection du trafic vers le pare-feu VM-Series

Application de politiques sur le pare-feu VM-Series

.

Configuration de groupes de sécurité sur NSX Manager

Un groupe de sécurité est un conteneur logique qui regroupe des invités sur plusieurs hôtes ESXi d'un cluster.

La création de groupes de sécurité facilite la gestion et la sécurisation des invités ; pour comprendre comment les groupes de sécurité permettent l'application de politiques, reportez-vous à la section

Application de politiques à l'aide de groupes d'adresses dynamiques .

Configuration de groupes de sécurité sur NSX Manager

Étape 1 Sélectionnez

Mise en réseau et sécurité > Service Composer > Groupes de sécurité

et ajoutez un

nouveau groupe de sécurité

.

Étape 2 Ajoutez un

nom

et une

description

. Ce nom s'affiche dans la liste des critères de correspondance lors de la définition de groupes d'adresses dynamiques sur Panorama.

Étape 3 Sélectionnez les invités qui constituent le groupe de sécurité. Vous pouvez ajouter des membres de manière dynamique ou statique. Vous pouvez

Définir l'appartenance dynamique

en mettant en correspondance des

étiquettes de sécurité (recommandé) ou

Sélectionner les objets à inclure

de manière statique. Dans la capture d'écran suivante, les invités appartenant au groupe de sécurité sont sélectionnés à l'aide de l'option

Type d'objets

: Option

Machine virtuelle

.

Étape 4 Vérifiez les informations et cliquez sur

OK

pour créer le groupe de sécurité.

Guide de déploiement VM-Series 77

Création de politiques Configuration d'un pare-feu VM-Series Édition NSX

Redirection du trafic vers le pare-feu VM-Series

N'appliquez pas les politiques de redirection du trafic, à moins que vous ne connaissiez le fonctionnement des règles sur NSX Manager, ainsi que sur le pare-feu VM-Series et Panorama. La politique par défaut sur le pare-feu VM-Series est définie sur Refuser tout ; cela signifie que tout le trafic redirigé vers le pare-feu VM-Series est abandonné. Pour créer des politiques sur Panorama et les appliquer sur le pare-feu VM-Series, reportez-vous

à la section

Application de politiques sur le pare-feu VM-Series

.

Définition de règles de pare-feu NSX pour rediriger le trafic vers le pare-feu VM-Series

Étape 1 Sélectionnez

Mise en réseau et sécurité > Pare-feu > Configuration

, puis cliquez sur

Services de sécurité partenaire

.

Étape 2 Dans la colonne Action, cliquez sur l'icône en forme de plus vert, puis ajoutez un

Nom

de règle.

Étape 3 Spécifiez la

Source

de laquelle le trafic doit être redirigé. Dans la liste déroulante

Type d'objet

, sélectionnez

Groupe de sécurité

et sélectionnez parmi les groupes définis précédemment. Cliquez sur

OK

.

Étape 4 Spécifiez la

Destination

du trafic. Dans la liste déroulante

Type d'objet

, sélectionnez

Groupe de sécurité

et sélectionnez le groupe approprié. Cliquez sur

OK

.

78 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Création de politiques

Définition de règles de pare-feu NSX pour rediriger le trafic vers le pare-feu VM-Series (suite)

Étape 5 Spécifiez l'

Action

pour le trafic. Redirigez le trafic vers le profil de service Palo Alto Networks créé précédemment ;

Profil Palo Alto Networks 1

dans ce flux de travail.

Ce profil spécifie les réseaux/groupes de ports/groupes de sécurité desquels le pare-feu reçoit le trafic de données.

Si, par exemple, vous souhaitez inspecter tout le trafic entrant depuis les groupes de sécurité vers les serveurs Web frontaux et tout le trafic sortant depuis les serveurs vers les groupes de sécurité, la règle est la suivante :

Étape 6 Liez un ou plusieurs groupe(s) de sécurité ou groupe(s) de ports distribués ou commutateur(s) logique(s) au profil de service Palo Alto Networks. Vous ne pouvez pas combiner et faire correspondre les types d'objets.

Le trafic de chaque hôte ESXi inclus dans votre sélection sera redirigé vers le pare-feu.

1. Dans la colonne

Action

des règles de pare-feu que vous venez de créer, cliquez sur le lien

Profil Palo Alto

Networks 1

.

2. Sélectionnez le

Type d'objet

et le ou les objet(s) que vous souhaitez lier au profil, puis cliquez sur

OK

.

3.

Publiez

vos modifications.

Guide de déploiement VM-Series 79

Création de politiques Configuration d'un pare-feu VM-Series Édition NSX

Application de politiques sur le pare-feu VM-Series

Une fois les politiques de sécurité créées sur NSX Manager, les noms des groupes de sécurité référencés dans la politique de sécurité sont disponibles sur Panorama. Vous pouvez alors utiliser Panorama pour gérer les politiques de manière centralisée sur les pare-feux VM-Series.

Pour gérer la politique centralisée, vous devez d'abord créer un/des groupe(s) d'adresses dynamiques qui correspond(ent) au nom du/des groupe(s) de sécurité défini(s) sur NSX Manager. Ensuite, associez le groupe d'adresses dynamiques comme adresse source ou de destination à la politique de sécurité et appliquez-le aux pare-feux ; ces derniers peuvent récupérer de manière dynamique les adresses IP des machines virtuelles de chaque groupe de sécurité afin d'appliquer la conformité du trafic depuis ou vers les machines virtuelles du groupe spécifié.

80 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Création de politiques

Définition d'une politique sur Panorama

Étape 1 Créez des groupes d'adresses dynamiques.

1.

Connectez-vous à l'interface Web Panorama

2.

Sélectionnez

Objets > Groupes d'adresses

.

3.

Sélectionnez le

groupe de périphériques

créé pour la gestion des pare-feux VM-Series Édition NSX à la section

Création d'un groupe de périphériques et d'un modèle de périphérique sur

Panorama

.

4.

Cliquez sur

Ajouter

et saisissez un

nom

et une

description

pour identifier le groupe d'adresses.

5.

Définissez le

type

sur

Dynamique

.

6.

Cliquez sur

Ajouter un critère de correspondance

.

Sélectionnez l'opérateur

Et

ou

Ou

, puis cliquez sur en regard du/des nom(s) du/des groupe(s) de sécurité à mettre en correspondance.

Les groupes de sécurité qui s'affichent dans la boite de dialogue Critères de correspondance sont dérivés des groupes définis dans Service Composer sur

NSX Manager. Seuls les groupes de sécurité référencés dans les politiques de sécurité et dont le trafic est redirigé vers le pare-feu VM-Series sont disponibles ici.

Guide de déploiement VM-Series

7.

Cliquez sur

OK

.

8.

Répétez les étapes 4

à

7 pour créer le nombre approprié de

groupes d'adresses dynamiques pour votre réseau.

9.

Cliquez sur

Valider

.

81

Création de politiques Configuration d'un pare-feu VM-Series Édition NSX

Définition d'une politique sur Panorama (suite)

Étape 2 Créez des politiques de sécurité.

1.

Sélectionnez

Politiques > Sécurité

.

2.

Sélectionnez le

groupe de périphériques

créé pour la gestion des pare-feux VM-Series Édition NSX à la section

Création d'un groupe de périphériques et d'un modèle de périphérique sur

Panorama

.

3.

Cliquez sur

Ajouter

et saisissez un

nom

et une

description

pour identifier la règle. Dans cet exemple, la règle de sécurité autorise tout le trafic entre les serveurs Web frontaux et les serveurs d'applications.

4.

Sous

Adresse source

et

Adresse de destination

, sélectionnez ou saisissez une adresse, un groupe d'adresses ou une région.

Dans cet exemple, un groupe d'adresses est sélectionné. Il s'agit du groupe d'adresses dynamiques créé à l'

Étape 1 ci-dessus.

5.

Sélectionnez l'

application

à autoriser. Dans cet exemple, un

groupe d'applications

est créé ; il s'agit d'un groupe statique d'applications spécifiques.

a. Cliquez sur

Ajouter

et sélectionnez

Nouveau groupe d'applications

.

b. Cliquez sur

Ajouter

pour sélectionner l'application que vous souhaitez inclure dans le groupe. Dans cet exemple, la suivante est sélectionnée : c. Cliquez sur

OK

pour créer le groupe d'applications.

6.

Spécifiez l'action (

Autoriser

ou

Refuser

) pour le trafic, puis associez éventuellement les profils de sécurité par défaut pour l'antivirus, l'antispyware et la protection contre les vulnérabilités sous

Profils.

7.

Répétez les étapes 3

à

6 ci-dessus pour créer des règles de

sécurité pertinentes.

8.

Cliquez sur

Valider

et sélectionnez le type de validation

Panorama

. Cliquez sur

OK.

82 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Création de politiques

Définition d'une politique sur Panorama (suite)

Étape 3 Appliquez les politiques sur les pare-feux VM-Series Édition NSX.

1.

Cliquez sur

Valider

et sélectionnez le type de validation

Groupes de périphériques

.

2.

Sélectionnez le groupe de périphériques, c'est-à-dire le groupe de périphériques NSX dans cet exemple, puis cliquez sur

OK

.

3.

Vérifiez que la validation a réussi.

Étape 4 Assurez-vous que les membres du groupe d'adresses dynamiques sont renseignés sur le pare-feu VM-Series.

1.

À partir de Panorama, changez de contexte de périphérique pour lancer l'interface Web d'un pare-feu sur lequel vous avez appliqué des politiques.

Vous ne pouvez pas vérifier les membres (adresses IP enregistrées) du groupe d'adresses dynamiques sur Panorama. Ces informations ne peuvent être consultées qu'à partir du pare-feu VM-Series qui applique la politique.

2.

Sur le pare-feu VM-Series, sélectionnez

Politiques > Sécurité

et sélectionnez une règle.

3.

Cliquez sur la flèche déroulante en regard du lien du groupe d'adresses et sélectionnez

Inspecter

. Vous pouvez également vérifier que les critères de correspondance sont corrects.

4.

Cliquez sur le lien

Plus

et vérifiez que la liste des adresses IP enregistrées s'affiche.

Étape 5 (Facultatif) Utilisez un modèle pour appliquer une configuration de périphérique et réseau de base, notamment à un serveur DNS, NTP,

Syslog ou à une bannière de connexion.

La politique est appliquée à toutes les adresses IP qui appartiennent à ce groupe d'adresses et s'affichent ici.

Pour plus d'informations sur l'utilisation des modèles, reportez-vous au Guide de l'administrateur Panorama .

Guide de déploiement VM-Series 83

Redirection du trafic d'invités n'exécutant pas VMware Tools Configuration d'un pare-feu VM-Series Édition NSX

Redirection du trafic d'invités n'exécutant pas

VMware Tools

VMware Tools contient un utilitaire qui permet à NSX Manager de collecter les adresses IP de chaque invité exécuté dans le cluster. NSX Manager utilise l'adresse IP comme critère de correspondance pour rediriger le trafic vers le pare-feu VM-Series. Si VMware Tools n'est pas installé sur chaque invité, les adresses IP de l'invité sont inaccessibles à NSX Manager et le trafic ne peut pas être redirigé vers le pare-feu VM-Series.

Les étapes suivantes vous permettent de configurer les invités manuellement sans VMware Tools de sorte que le trafic de chacun d'entre eux puisse être géré par le pare-feu VM-Series.

Redirection du trafic d'invités n'exécutant pas VMware Tools

Étape 1 Créez un ensemble IP incluant les invités à sécuriser par le pare-feu VM-Series. Cet ensemble IP sera utilisé

comme objet source ou de destination dans une règle de pare-feu distribué à l' Étape 4 ci-dessous.

1. Sélectionnez

NSX Managers > Gestion > Regroupement d'objets > Ensembles IP

.

2. Cliquez sur

Ajouter

et saisissez l'adresse IP de chaque invité sur lequel VMware Tools n'est pas installé et qui doit être sécurisé par le pare-feu VM-Series. Utilisez des virgules pour séparer chaque adresse IP ; les plages ou sous-réseaux IP ne sont pas valides.

Étape 2 Vérifiez que SpoofGuard est activé. S'il ne l'est pas, reportez-vous à la section

Activation de SpoofGuard .

Étape 3 Approuvez manuellement les adresses IP de chaque invité dans SpoofGuard ; cette opération confirme que les adresses IP approuvées sont exactes pour cette carte réseau. Pour une adresse IP configurée manuellement, veillez à ajouter l'adresse IP à l'ensemble IP avant de l'approuver dans SpoofGuard.

1. Sélectionnez la nouvelle règle SpoofGuard créée précédemment et sélectionnez

Afficher : Cartes réseau virtuelles inactives

.

2. Sélectionnez l'invité et ajoutez l'adresse IP dans le champ Approuver IP, puis publiez les modifications.

3. Passez en revue et approuvez toutes les adresses IP approuvées précédemment également.

Étape 4 Associez les ensembles IP aux groupes de sécurité sur NSX afin d'appliquer la politique.

1. Sélectionnez

Mise en réseau et sécurité > Service Composer > Groupes de sécurité

.

2. Sélectionnez

Sélectionner les objets à inclure > Ensembles IP

, puis ajoutez l'objet d'ensemble IP à inclure.

84 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama

Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama

Pour appliquer des politiques de sécurité dans un pare-feu VM-Series et un centre de données intégré NSX,

Panorama doit être en mesure d'obtenir des informations sur les modifications apportées au paysage virtuel.

À mesure que de nouvelles machines virtuelles sont déployées, modifiées ou supprimées, NSX Manager signale

à Panorama les adresses IP ajoutées et supprimées de groupes de sécurité sur NSX Manager. Panorama transmet ensuite à son tour ces informations aux pare-feu VM-Series. Les groupes d'adresses dynamiques référencés dans des politiques de pare-feu sont comparés à ces informations pour déterminer les membres appartenant au groupe. Ce processus permet au pare-feu d'appliquer une politique de sécurité sur la base du contexte, sécurisant ainsi le trafic depuis et vers ces machines virtuelles. Pour plus d'informations sur les groupes d'adresses dynamiques, reportez-vous à la section

Application de politiques à l'aide de groupes d'adresses dynamiques

.

Le diagramme suivant illustre comment les informations sont transmises entre NSX Manager et Panorama.

Pour comprendre ce processus, suivons la mise à jour d'informations envoyée par NSX Manager à Panorama lorsqu'un nouveau serveur est ajouté à un groupe de sécurité. Utilisez les éléments en surbrillance dans le résultat de chaque phase de cet exemple pour déterminer où le processus a échoué.

Flux entre NSX Manager et Panorama

Étape 1 Pour afficher les mises à jour en temps réel, connectez-vous à l'interface de ligne de commande Panorama.

Connectez-vous à l'interface de ligne de commande sur Panorama .

Guide de déploiement VM-Series 85

Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama

Configuration d'un pare-feu VM-Series Édition NSX

Flux entre NSX Manager et Panorama (suite)

Étape 2 Vérifiez que la requête de NSX Manager est transmise au serveur Web sur

Panorama.

Pour consultez le journal du serveur Web sur Panorama pendant une mise à jour de groupe de sécurité NSX, utilisez la commande suivante : admin@Panorama> tail follow yes webserver-log

cmsaccess.log

127.0.0.1 - - [Wed Dec 03 14:24:11 2014 PST]

"POST /unauth/php/RestApiAuthenticator.php

HTTP/1.1" 200 433

127.0.0.1 - - [Wed Dec 03 14:24:11 2014 PST] "PUT

/api/index.php?client=wget&file-name=dummy

&type= vmware/

vmware/2.0/si/serviceprofile/serviceprofi le-1/containerset HTTP/1.0" 200 446

Si votre résultat n'inclut pas les éléments ci-dessus, recherchez les problèmes de routage. Envoyez une requête ping à Panorama depuis NSX Manager et recherchez les

ACL ou autres périphériques de sécurité réseau pouvant bloquer la communication entre NSX Manager et

Panorama.

86 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama

Flux entre NSX Manager et Panorama (suite)

Étape 3 Vérifiez que la requête est analysée par le démon PHP sur Panorama.

1.

Activez le débogage à l'aide de l'URL suivante : https://<IP_Panorama>/php/debug/utils/de bug.php

2.

À partir de l'interface de ligne de commande, saisissez la commande suivante pour afficher les journaux générés par le serveur PHP : admin@Panorama> tail follow yes mp-log

php.debug.log

[2014/12/03 14:24:11]

<request cmd="op" cookie="0604879067249569" refresh="no">

<operations xml="yes">

<show>

<cli>

...

<request>

<partner>

<vmware-service-manager>

<update>

<method>PUT</method>

<type>update</type>

<username>_vsm_admin</username>

<password>4006474760514053</password>

<url>/vmware/2.0/si/serviceprofile/serviceprofil e-1/containerset</url>

<data><![CDATA[

<containerSet><container><id>securitygroup-10</i d><name>WebServers</name><description></descript ion><revision>8</revision><type>IP</type><addres s>10.3.4.185</address><address>10.3.4.186</addre ss><address>15.0.0.203</address><address>15.0.0.

202</address></container></containerSet>]]></dat a>

</update>

</vmware-service-manager>

</partner>

</request>

</operations>

</request>

Guide de déploiement VM-Series 87

Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama

Configuration d'un pare-feu VM-Series Édition NSX

Flux entre NSX Manager et Panorama (suite)

Étape 4 Les informations sont traitées par le serveur de gestion sur Panorama.

1.

Activez le débogage sur le serveur de gestion à l'aide de la commande suivante : admin@Panorama>

debug management-server on debug

2.

Saisissez la commande suivante pour afficher les journaux générés par le journal configd : admin@Panorama> tail follow yes mp-log

configd.log

3.

Dans le résultat, vérifiez que la mise à jour a été transmise par le démon PHP au démon du serveur de gestion.

2014-12-03 14:24:11.143 -0800 debug: pan_job_progress_monitor(pan_job_mgr.c:3694): job-monitor: updated 0 jobs

……

2014-12-03 14:24:11.641 -0800 debug: recursive_add_params(pan_op_ctxt.c:158): >

'url'='/vmware/2.0/si/serviceprofile/serviceprof ile-1/containerset'

2014-12-03 14:24:11.641 -0800 debug: recursive_add_params(pan_op_ctxt.c:158): >

'data'='

<containerSet><container><id>securitygroup-10</i d><name>WebServers</name><description></descript ion><revision>8</revision><type>IP</type><addres s>10.3.4.185</address><address>10.3.4.186</addre ss><address>15.0.0.203</address><address>15.0.0.

202</address></container></containerSet>'

2014-12-03 14:24:11.641 -0800 Received vshield update: PUT

/vmware/2.0/si/serviceprofile/serviceprofile-1/c ontainerset

Received dynamic address update from VSM:

<request cmd='op' cookie='0604879067249569' client="xmlapi"><operations xml='yes'><request>

<partner>

<vmware-service-manager>

<update>

<method>PUT</method>

<type>update</type>

<username>_vsm_admin</username>

<password>4006474760514053</password>

<url>/vmware/2.0/si/serviceprofile/serviceprofil e-1/containerset</url>

<data><![CDATA[

<containerSet><container><id>securitygroup-10</i d><name>WebServers</name><description></descript ion><revision>8</revision><type>IP</type><addres s>10.3.4.185</address><address>10.3.4.186</addre ss><address>15.0.0.203</address><address>15.0.0.

202</address></container></containerSet>]]>

</data>

</update>

88 Guide de déploiement VM-Series

Configuration d'un pare-feu VM-Series Édition NSX Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama

Flux entre NSX Manager et Panorama (suite)

4.

Recherchez la liste d'adresses IP et d'étiquettes de groupes de sécurité.

2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3721):

ip: 10.3.4.185

2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):

tag:

WebServers-securitygroup-10

2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3721):

ip: 15.0.0.202

2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):

tag:

WebServers-securitygroup-10

pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):

tag:

DomainControllers-securitygroup-16

2014-12-03 14:24:11.647 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3721):

ip: 15.0.0.201

2014-12-03 14:24:11.648 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):

tag:

SQLServers-securitygroup-11

2014-12-03 14:24:11.665 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):

tag:

SharePointServers-securitygroup-13

2014-12-03 14:24:11.665 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3721): i

p: 10.3.4.187

2014-12-03 14:24:11.665 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):

tag:

SharePointServers-securitygroup-13

...

Guide de déploiement VM-Series 89

Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama

Configuration d'un pare-feu VM-Series Édition NSX

Flux entre NSX Manager et Panorama (suite)

5.

Pour finir, vérifiez que la mise à jour a été transmise par le démon du serveur de gestion aux pare-feu gérés.

Send to device: 007900002079 [UNREG: 0;

REG: 2] with dynamic address update :

<request cmd='op' cookie='0604879067249569' target-

….

<register>

<entry ip="15.0.0.203">

<tag>

<member>WebServers-securitygroup-10</member

>

</tag>

</entry>

<entry ip="10.3.4.186">

<tag>

<member>WebServers-securitygroup-10</member

>

</tag>

</entry>

</register>

Lorsque ce processus est terminé, les pare-feu peuvent appliquer la politique et sécuriser correctement ces serveurs.

90 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS

Le pare-feu VM-Series peut être déployé dans le cloud Amazon Web Services (AWS). Il peut ensuite être configuré pour sécuriser l'accès aux applications déployées sur des instances EC2 et placées dans un Virtual

Private Cloud (VPC) dans AWS.

À propos du pare-feu VM-Series dans AWS

Déploiements pris en charge dans AWS

Déploiement du pare-feu VM-Series dans AWS

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS

Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances

EC2 dans VPC

Cas pratique : Pare-feu VM-Series en tant que passerelles GlobalProtect dans AWS

Liste des attributs surveillés dans AWS VPC

Guide de déploiement VM-Series

91

À propos du pare-feu VM-Series dans AWS Configuration du pare-feu VM-Series dans AWS

À propos du pare-feu VM-Series dans AWS

L'AWS (Amazon Web Service) est un service de cloud public qui vous permet d'exécuter vos applications sur une infrastructure partagée gérée par Amazon. Ces applications peuvent être déployées sur une capacité informatique évolutive ou des instances EC2 dans différentes régions de l'AWS et accessibles aux utilisateurs sur Internet. Pour garantir la cohérence de la mise en réseau et la simplicité de gestion des instances EC2,

Amazon propose le VPC (Virtual Private Cloud). Un VPC est réparti à partir du cloud public AWS et est affecté

à un bloc CIDR à partir de l'espace réseau privé (RFC 1918). Dans un VPC, vous pouvez fractionner des sous-réseaux public/privé en fonction de vos besoins et déployer les applications sur les instances EC2 de ces sous-réseaux. Ensuite, pour autoriser l'accès aux applications du VPC, vous pouvez déployer le pare-feu

VM-Series sur une instance EC2. Le pare-feu VM-Series peut alors être configuré pour sécuriser le trafic depuis et vers les instances EC2 du VPC.

Ce document part du principe que vous maîtrisez la mise en réseau et la configuration du VPC AWS. Afin de fournir un contexte pour les termes utilisés dans cette section, voici un bref rappel des termes AWS (certaines définitions proviennent directement du glossaire AWS) auxquels ce document fait référence.

Terme Description

EC2

AMI

Type d'instance

ENI

Elastic Compute Cloud

Services Web vous permettant de lancer et de gérer des instances de serveur Linux/UNIX et

Windows dans des centres de données d'Amazon.

Amazon Machine Image

Fournit les informations nécessaires au lancement d'une instance ; il s'agit d'un serveur virtuel dans le cloud.

L'AMI VM-Series est une image machine cryptée incluant le système d'exploitation nécessaire

à l'instanciation du pare-feu VM-Series sur une instance EC2.

Caractéristiques techniques définies par Amazon stipulant la mémoire, le processeur, la capacité de stockage et le coût horaire d'une instance. Certains types d'instances sont conçus pour des applications standard alors que d'autres sont conçus pour des applications utilisant le processeur, la mémoire, etc., de manière intensive.

Elastic Network Interface

Interface réseau supplémentaire pouvant être associée à une instance EC2. Les ENI peuvent inclure une adresse IP privée principale, une ou plusieurs adresse(s) IP privée(s) secondaire(s), une adresse IP publique, une adresse IP élastique (facultative), une adresse MAC, une adhésion à des groupes de sécurité spécifiés, une description et un indicateur de vérification de source/destination.

92 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS À propos du pare-feu VM-Series dans AWS

Terme

Types d'adresses IP des instances EC2

VPC

IGW

Sous-réseaux

Groupes de sécurité

Description

Une instance EC2 peut comporter différents types d'adresses IP.

Adresse IP publique : Adresse IP pouvant être acheminée sur Internet.

Adresse IP privée : Adresse IP dans la plage d'adresses IP privées tel que défini dans

RFC 1918. Vous pouvez choisir d'affecter manuellement une adresse IP ou d'affecter automatiquement une adresse IP de la plage dans le bloc CIDR du sous-réseau dans lequel vous lancez l'instance EC2.

Si vous affectez une adresse IP manuellement, Amazon réserve les quatre (4) premières adresses IP et la dernière (1) adresse IP à chaque sous-réseau à des fins de mise en réseau IP.

Adresse IP élastique (EIP) : Adresse IP statique que vous avez allouée dans Amazon EC2 ou Amazon VPC, puis associée à une instance. Les adresses IP élastiques sont liées à votre compte, et non à une instance spécifique. Elles sont dites élastiques car vous pouvez les allouer, associer, dissocier et libérer facilement en fonction de vos besoins.

Une instance dans un sous-réseau public peut comporter une adresse IP privée, une adresse IP publique et une adresse IP élastique (EIP). Une instance dans un sous-réseau privé comportera une adresse IP privée et, éventuellement, une EIP.

Virtual Private Cloud

Réseau élastique alimenté par des services d'infrastructure, de plate-forme et d'application qui partagent une sécurité et une interconnexion communes.

Passerelle Internet fournie par Amazon.

Connecte un réseau à Internet. Vous pouvez acheminer du trafic d'adresses IP en dehors de votre VPC vers la passerelle Internet.

Segment de la plage d'adresses IP d'un VPC auquel des instances EC2 peuvent être liées. Les instances EC2 sont regroupées par sous-réseaux en fonction de vos besoins de sécurité et opérationnels.

Il existe deux types de sous-réseaux :

Sous-réseau privé : Les instances EC2 de ce sous-réseau ne peuvent pas accéder à Internet.

Sous-réseau public : La passerelle Internet est liée au sous-réseau public, et les instances

EC2 de ce sous-réseau peuvent accéder à Internet.

Un groupe de sécurité est lié à une ENI et spécifie la liste de protocoles, de ports et de plages d'adresses IP autorisées pour établir des connexions entrantes/sortantes sur l'interface.

Dans AWS VPC, les groupes de sécurité et les ACL réseau contrôlent le trafic entrant et sortant. Les groupes de sécurité régulent l'accès à l'instance EC2, tandis que les ACL réseau régulent l'accès au sous-réseau. Étant donné que vous déployez le pare-feu

VM-Series, définissez des règles plus strictes dans vos groupes de sécurité et ACL réseau, et autorisez le pare-feu à activer des applications en toute sécurité dans le VPC.

Tables de routage Ensemble de règles de routage contrôlant le trafic sortant d'un sous-réseau associé à la table de routage. Un sous-réseau ne peut être associé qu'à une seule table de routage.

Guide de déploiement VM-Series

93

À propos du pare-feu VM-Series dans AWS

Terme

Paire de clés

Description

Configuration du pare-feu VM-Series dans AWS

Ensemble d'informations d'identification de sécurité utilisé pour prouver votre identité de manière électronique. La paire de clés comporte une clé privée et une clé publique. Lorsque vous lancez le pare-feu VM-Series, générez une paire de clés ou sélectionnez-en une existante pour le pare-feu VM-Series. La clé privée est requise pour accéder au pare-feu en mode maintenance.

94 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Déploiements pris en charge dans AWS

Déploiements pris en charge dans AWS

Le pare-feu VM-Series sécurise le trafic entrant et sortant vers et depuis des instances

EC2 du Virtual Private

Cloud (

VPC ) AWS. Le VPC AWS ne prenant en charge qu'un réseau IP (capacités de mise en réseau de

couche 3), le pare-feu VM-Series ne peut être déployé qu'avec des interfaces de couche 3.

Déployez le pare-feu VM-Series pour sécuriser les instances EC2 hébergées dans le Virtual Private Cloud

(VPC) AWS.

Si vous hébergez vos applications dans le cloud AWS, déployez le pare-feu VM-Series pour protéger et activer en toute sécurité des applications destinées aux utilisateurs ayant accès à ces applications sur Internet.

Par exemple, le diagramme suivant illustre le pare-feu VM-Series déployé dans le sous-réseau du périmètre auquel la passerelle Internet est liée. La ou les application(s) sont(est) déployée(s) dans le sous-réseau privé, qui ne dispose pas d'un accès direct à Internet.

Lorsque les utilisateurs doivent accéder aux applications du sous-réseau privé, le pare-feu reçoit la requête et la dirige vers l'application appropriée après vérification de la politique de sécurité et exécution de la règle

NAT de destination. Sur le chemin de retour, le pare-feu reçoit le trafic, applique la politique de sécurité et

utilise la règle NAT source pour distribuer le contenu à l'utilisateur. Reportez-vous à la section Cas pratique :

Sécurisation des instances EC2 dans le cloud AWS

.

Déployez le pare-feu VM-Series pour l'accès VPN entre le réseau d'entreprise et les instances EC2 du Virtual

Private Cloud (VPC) AWS.

Pour connecter votre réseau d'entreprise aux applications déployées dans le cloud AWS, vous pouvez configurer le pare-feu en tant que point de terminaison d'un tunnel VPN IPSec. Ce tunnel VPN permet aux utilisateurs de votre réseau d'accéder en toute sécurité aux applications du cloud.

Pour une gestion centralisée, une mise en œuvre cohérente des politiques sur l'ensemble du réseau, et la journalisation et la génération de rapports centralisées, vous pouvez également déployer Panorama dans votre réseau d'entreprise. Si vous devez configurer un accès VPN à plusieurs VPC, l'utilisation de Panorama vous permet de regrouper les pare-feu par région et de les gérer facilement.

Guide de déploiement VM-Series

95

Déploiements pris en charge dans AWS Configuration du pare-feu VM-Series dans AWS

Déployez le pare-feu VM-Series en tant que passerelle GlobalProtect pour sécuriser l'accès d'utilisateurs distants à partir d'ordinateurs portables. L'agent GlobalProtect sur l'ordinateur portable se connecte à la passerelle et, en fonction de la requête, la passerelle établit une connexion VPN au réseau d'entreprise ou achemine la requête sur Internet. Pour garantir la conformité de la sécurité des utilisateurs de périphériques mobiles (utilisant l'application GlobalProtect), la passerelle GlobalProtect est combinée au Gestionnaire de sécurité mobile GlobalProtect. Le Gestionnaire de sécurité mobile GlobalProtect garantit que les périphériques mobiles sont gérés et configurés avec les paramètres de périphériques et informations de compte permettant d'utiliser les applications et réseaux d'entreprise.

96 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Déploiement du pare-feu VM-Series dans AWS

Déploiement du pare-feu VM-Series dans AWS

Obtention de l'AMI

Configuration système requise et limitations pour VM-Series dans AWS

Planification de la fiche de travail du pare-feu VM-Series dans AWS VPC

Lancement du pare-feu VM-Series dans AWS

Obtention de l'AMI

L'AMI pour le pare-feu VM-Series est disponible dans l'AWS Marketplace avec l'option Bring Your Own

License (BYOL). Pour acheter les licences, contactez votre ingénieur ou revendeur Palo Alto Networks Systems.

Configuration système requise et limitations pour VM-Series dans AWS

Configuration requise

Types d'instances EC2

Elastic Block Storage (EBS)

Amazon

Mise en réseau

Détails

Déployez le pare-feu VM-Series sur l'un des types d'instances EC2 suivants :

m3.xlarge

m3.2xlarge

c3.xlarge

c3.2xlarge

c3.4xlarge

c3.8xlarge

La configuration ressource requise du pare-feu VM-Series est la suivante : vCPU : 2 ; Mémoire : 4 Go ; 5 Go pour le VM-1000-HV ; Disque : 40 Go.

Si vous déployez le pare-feu VM-Series sur un type d'instance EC2 non conforme à cette configuration requise, le pare-feu démarrera en mode maintenance.

Le pare-feu VM-Series doit utiliser le volume Elastic Block Storage (EBS) Amazon pour le stockage. L'optimisation EBS offre une meilleure pile de configuration et une capacité supplémentaire dédiée aux E/S EBS Amazon.

L'AWS ne prenant en charge que les capacités de mise en réseau de couche 3, le pare-feu VM-Series ne peut être déployé qu'avec des interfaces de couche 3. Les interfaces de couche 2, Virtual Wire, VLAN et sous-interfaces ne sont pas prises en charge sur le pare-feu VM-Series déployé dans le VPC AWS.

Guide de déploiement VM-Series

97

Déploiement du pare-feu VM-Series dans AWS Configuration du pare-feu VM-Series dans AWS

Configuration requise

Interfaces

Autorisation de support et licences

Détails

Prise en charge d'un total de huit interfaces (si disponibles) : une interface de gestion et un maximum de sept ENI (Elastic Network Interface) pour le trafic de données. Le pare-feu VM-Series ne prend pas l'association à chaud d'ENI. Pour détecter l'ajout ou la suppression d'une ENI, vous devez redémarrer le pare-feu.

Le type d'instance EC2 choisi détermine le nombre total d'ENI que vous pouvez activer. Par exemple, le type c3.8xlarge prend en charge huit (8) ENI.

Un compte de support et une licence VM-Series valide sont requis pour obtenir le

fichier image de machine ( AMI

) Amazon qui est nécessaire pour installer le pare-feu VM-Series dans AWS VPC.

Les licences requises pour le pare-feu VM-Series (licence de capacité, licence de support et abonnements de prévention contre les menaces, de filtrage des URL et

WildFire, etc.) doivent être achetées auprès de Palo Alto Networks. Pour acheter les licences pour votre déploiement, contactez votre représentant commercial.

Planification de la fiche de travail du pare-feu VM-Series dans AWS VPC

Pour simplifier le déploiement, planifiez les sous-réseaux du VPC et les instances EC2 que vous souhaitez déployer dans chaque sous-réseau. Avant de commencer, consultez le tableau ci-dessous pour disposer des informations réseau nécessaires au déploiement et à l'insertion du pare-feu VM-Series dans le flux de trafic du VPC :

Élément de configuration Valeur

CIDR VPC

Groupes de sécurité

Sous-réseau (public) CIDR

Sous-réseau (privé) CIDR

Sous-réseau (public) Table de routage

Sous-réseau (privé) Table de routage

Groupes de sécurité

Règles d'accès de gestion au pare-feu (eth0/0)

Règles d'accès aux interfaces de plan de données du pare-feu

Règles d'accès aux interfaces affectées aux serveurs d'applications

98 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Déploiement du pare-feu VM-Series dans AWS

Élément de configuration Valeur

EC2 Instance 1 (pare-feu VM-Series)

Une EIP n'est requise que pour l'interface de plan de données liée au sous-réseau public.

EC2 Instance 2 (application à sécuriser)

Répétez ces valeurs pour les autres applications déployées.

Sous-réseau :

Type d'instance :

IP de l'interface de gestion :

EIP de l'interface de gestion :

Interface de plan de données eth1/1

IP privée :

EIP (si nécessaire) :

Groupe de sécurité :

Interface de plan de données eth1/2

IP privée :

EIP (si nécessaire) :

Groupe de sécurité :

Sous-réseau :

Type d'instance :

IP de l'interface de gestion :

Passerelle par défaut :

Interface de plan de données 1

IP privée

Lancement du pare-feu VM-Series dans AWS

Si vous n'avez pas encore enregistré dans votre compte le code d'autorisation de capacité contenu dans l'e-mail

de confirmation de commande que vous avez reçu, reportez-vous à la section Enregistrement du pare-feu VM-Series . Après l'enregistrement, déployez le pare-feu VM-Series en le lançant dans AWS VPC

comme suit :

Lancement du pare-feu VM-Series dans AWS VPC

Étape 1 Accédez à la console AWS.

Connectez-vous à la console AWS et sélectionnez le tableau de bord EC2.

Guide de déploiement VM-Series

99

Déploiement du pare-feu VM-Series dans AWS Configuration du pare-feu VM-Series dans AWS

Lancement du pare-feu VM-Series dans AWS VPC (suite)

Étape 2 Configurez le VPC en fonction de vos besoins réseau.

Que vous lanciez le pare-feu VM-Series dans un VPC existant ou que vous créiez un nouveau VPC, le pare-feu VM-Series doit être en mesure de recevoir le trafic des instances EC2 et d'établir des communications entrantes et sortantes entre le VPC et Internet.

Reportez-vous à la documentation d'AWS

VPC pour obtenir des instructions sur la création d'un VPC et sur sa configuration pour l'accès.

Pour un exemple avec un flux de travail complet, reportez-vous à la section

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS

.

1.

Créez un nouveau VPC ou utilisez un VPC existant.

2.

Vérifiez que les composants réseau et de sécurité sont définis de manière appropriée.

Activez la communication avec Internet. Le VPC par défaut inclut une passerelle Internet et si vous installez le pare-feu

VM-Series dans le sous-réseau par défaut, il a accès à

Internet.

Créez des sous-réseaux. Les sous-réseaux sont des segments de la plage d'adresses IP affectée au VPC dans lequel vous lancez les instances EC2. Le pare-feu VM-Series doit appartenir au sous-réseau public pour pouvoir être configuré pour l'accès à Internet.

Si nécessaire, créez des groupes de sécurité pour gérer le trafic entrant et sortant des instances EC2/sous-réseaux.

Ajoutez des itinéraires à la table de routage pour un sous-réseau privé afin de vous assurer que le trafic peut être acheminé entre des sous-réseaux et des groupes de sécurité du VPC, le cas échéant.

100 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Déploiement du pare-feu VM-Series dans AWS

Lancement du pare-feu VM-Series dans AWS VPC (suite)

Étape 3 Lancez le pare-feu VM-Series.

Bien que vous puissiez ajouter des interfaces réseau supplémentaires au pare-feu VM-Series lorsque vous le lancez, associez d'autres interfaces réseau après le lancement du pare-feu afin de réduire le nombre de problèmes au déploiement de l'instance.

1.

Sur le tableau de bord EC2, cliquez sur

Lancer l'instance

.

2.

Sélectionnez l'AMI VM-Series. Pour obtenir l'AMI, reportez-vous à la section

Obtention de l'AMI .

3.

Lancez le pare-feu VM-Series sur une instance EC2.

a. Choisissez le

Type d'instance EC2

(m3.xlarge, c3.xlarge ou c3.8xlarge) pour allouer les ressources nécessaires au pare-feu, puis cliquez sur

Suivant

.

b. Sélectionnez le VPC.

c. Sélectionnez le sous-réseau public auquel l'interface de gestion du pare-feu VM-Series sera liée.

d. Sélectionnez

Affecter automatiquement une adresse IP publique

. Ceci vous permet d'obtenir une adresse IP accessible publiquement pour l'interface de gestion du pare-feu VM-Series.

Vous pouvez lier une adresse IP élastique à l'interface de gestion ultérieurement. Contrairement à l'adresse IP publique qui est dissociée du pare-feu lorsque l'instance est fermée, l'adresse IP élastique est persistante et peut être reliée

à une nouvelle instance (ou de remplacement) du pare-feu

VM-Series sans reconfigurer l'adresse IP si vous devez y faire référence.

e. Sélectionnez

Lancer en tant qu'instance optimisée EBS

.

Cette paire de clés est requise lorsque vous accédez pour la première fois au pare-feu. Elle est également nécessaire pour accéder au pare-feu en mode maintenance. f. Acceptez les paramètres de

Stockage

par défaut.

g. Ignorez l'étiquetage. Vous pouvez ajouter des étiquettes ultérieurement.

h. Sélectionnez un

Groupe de sécurité

existant ou créez-en un nouveau. Ce groupe de sécurité vise à limiter l'accès à l'interface de gestion du pare-feu.

i. Lorsque vous y êtes invité, sélectionnez l'option

SSD

adaptée

à votre configuration. j. Sélectionnez

Vérifier et lancer

. Vérifiez que vos sélections sont correctes, puis cliquez sur

Lancer

. k. Sélectionnez une paire de clés existante ou créez-en une, et acceptez l'avis de non-responsabilité de la clé. l. Téléchargez et enregistrez la clé privée dans un emplacement sûr ; l'extension de fichier est .pem. Vous ne pouvez pas régénérer cette clé en cas de perte.

Le lancement du pare-feu VM-Series prend 5 à 7 minutes.

Vous pouvez voir la progression sur le tableau de bord EC2.

Une fois le processus terminé, le pare-feu VM-Series s'affiche sur la page

Instances

du tableau de bord EC2.

Guide de déploiement VM-Series

101

Déploiement du pare-feu VM-Series dans AWS Configuration du pare-feu VM-Series dans AWS

Lancement du pare-feu VM-Series dans AWS VPC (suite)

Étape 4 Configurez un nouveau mot de passe administratif pour le pare-feu.

Le mot de passe par défaut est admin.

À l'aide de l'interface de ligne de commande (CLI), configurez un mot de passe unique pour le pare-feu pour pouvoir accéder à l'interface Web du pare-feu.

Étape 5 Arrêtez le pare-feu VM-Series.

1.

2.

Utilisez l'adresse IP publique vers SSH dans l'interface de ligne de commande (CLI) du pare-feu VM-Series.

Vous aurez besoin de la clé privée utilisée ou créée

à l' Étape 3

pare-feu :

ssh-i

-

k pour accéder à la CLI.

Saisissez la commande suivante pour vous connecter au

<private_key.pem>

admin@

<adresse-IP-publique>

3.

Configurez un nouveau mot de passe à l'aide de la commande suivante, et suivez les invites affichées à l'écran :

Configuration set mgt-config users admin password commit

4.

Fermez la session SSH.

1.

Sur le tableau de bord EC2, sélectionnez

Instances

.

2.

Dans la liste, sélectionnez le pare-feu VM-Series, puis cliquez sur

Actions > Arrêter

.

102 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Déploiement du pare-feu VM-Series dans AWS

Lancement du pare-feu VM-Series dans AWS VPC (suite)

Étape 6 Créez la ou les interface(s) réseau virtuel et associez-les(la) au pare-feu VM-Series.

Les interfaces réseau virtuel sont appelées des interfaces réseau élastiques (ENI) dans AWS, et servent d'interfaces réseau de plan de données sur le pare-feu. Ces interfaces sont utilisées pour la gestion du trafic de données depuis/vers le pare-feu.

Vous aurez besoin d'au moins deux ENI.

Vous pouvez ajouter jusqu'à sept ENI pour gérer le trafic de données sur le pare-feu VM-Series. Vérifiez le type de votre instance EC2 pour connaître le nombre maximum qu'il peut prendre en charge.

1.

Sur le tableau de bord EC2, sélectionnez

Interfaces réseau

, puis cliquez sur

Créer une interface réseau

.

2.

Donnez un nom descriptif à l'interface.

3.

Sélectionnez le sous-réseau. Utilisez l'ID de sous-réseau pour vérifier que vous avez sélectionné le bon sous-réseau. Vous ne pouvez lier qu'une seule ENI à une instance d'un même sous-réseau.

4.

Saisissez l'adresse

IP privée

pour l'affecter à l'interface ou sélectionnez

Affectation automatique

pour affecter automatiquement une adresse IP parmi les adresses IP disponibles du sous-réseau sélectionné.

5.

Sélectionnez le

Groupe de sécurité

contrôlant l'accès à l'interface réseau de plan de données.

6.

Cliquez sur

Oui, créer

.

Pour détecter les nouvelles ENI liées, le pare-feu VM-Series doit

être redémarré. Si vous n'avez pas encore arrêté le pare-feu, procédez à l'activation de licence, ce qui entraîne un redémarrage du pare-feu. Une fois le pare-feu redémarré, les ENI sont détectées.

7.

Pour associer l'ENI au pare-feu VM-Series, sélectionnez l'interface que vous venez de créer, puis cliquez sur

Associer

.

Étape 7 Activez les licences sur le pare-feu VM-Series.

Cette tâche n'est pas exécutée sur la console de gestion AWS.

Accédez au portail de support de

Palo Alto Networks et l'interface Web du pare-feu VM-Series est nécessaire pour l'activation de la licence.

8.

Sélectionnez l'

ID d'instance

du pare-feu VM-Series, puis cliquez sur

Associer

.

9.

Répétez les étapes ci-dessus pour créer et associer au moins une

ENI supplémentaire au pare-feu.

Reportez-vous à la section

Activation de la licence .

Guide de déploiement VM-Series

103

Déploiement du pare-feu VM-Series dans AWS Configuration du pare-feu VM-Series dans AWS

Lancement du pare-feu VM-Series dans AWS VPC (suite)

Étape 8 Désactivez la vérification de la source/destination sur chaque interface réseau de plan de données du pare-feu.

La désactivation de cette option permet

à l'interface de gérer le trafic réseau non destiné à l'adresse IP affectée à l'interface réseau.

1.

2.

Sur le tableau de bord EC2, sélectionnez l'interface réseau, eth1/1 par exemple, dans l'onglet

Dans la liste déroulante

source/dest. Vérifier

Action

Interfaces réseau

, sélectionnez

.

Modifier la

Étape 9 Configurez les interfaces réseau de plan de données en tant qu'interfaces de couche 3 sur le pare-feu.

Pour un exemple de configuration,

consultez l' Étape 14

à l' Étape 17

dans la section

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS .

3.

Cliquez sur

Désactivé

et

enregistrez

vos modifications.

4.

Répétez les étapes 1 à 3 pour chaque interface de plan de données du pare-feu.

1.

2.

Ouvrez un navigateur Web et saisissez l'adresse IP publique ou l'EIP affectée à l'interface de gestion du pare-feu VM-Series.

Sélectionnez

Réseau > Interfaces > Ethernet

la liaison de l'interface est activée.

.

Avant de configurer les interfaces réseau, vérifiez que

. Si la liaison

Sur les serveurs d'applications du VPC, définissez l'interface réseau de plan de données du pare-feu en tant que passerelle par défaut.

n'est pas activée, redémarrez le pare-feu.

3.

Cliquez sur la liaison

ethernet 1/1

et configurez comme suit :

Type d'interface

:

Couche 3

– Dans l'onglet

Configuration

, affectez l'interface au routeur par défaut.

– Dans l'onglet

Configuration

, développez la liste déroulante

Zone de sécurité

et sélectionnez

Nouvelle zone

.

Définissez une nouvelle zone, VM_Series_Non approuvée par exemple, puis cliquez sur

OK

.

– Dans l'onglet

IPv4

, sélectionnez

Statique

ou

Client DHCP

.

Si vous utilisez l'option

Statique

, cliquez sur

Ajouter

dans la section IP, puis saisissez l'adresse IP et le masque réseau pour l'interface, par exemple, 10.0.0.10/24.

Assurez-vous que l'adresse IP correspond à l'adresse IP

ENI que vous avez affectée précédemment.

Si vous utilisez DHCP, sélectionnez

Client DHCP

; l'adresse IP privée que vous avez affectée à l'ENI dans la console de gestion AWS est automatiquement acquise.

4.

Cliquez sur la liaison

ethernet 1/2

et configurez comme suit :

– Type d'interface : Couche 3

– Zone de sécurité : VM_Series_Approuvée

Adresse IP

: Sélectionnez le bouton radio

Statique

ou

Client DHCP

.

Pour l'option Statique, cliquez sur

Ajouter

dans la section IP, puis saisissez l'adresse IP et le masque réseau pour l'interface.

Assurez-vous que l'adresse IP correspond à l'adresse IP ENI associée que vous avez affectée précédemment.

104 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Déploiement du pare-feu VM-Series dans AWS

Lancement du pare-feu VM-Series dans AWS VPC (suite)

Pour l'option DHCP, décochez la case

Créer automatiquement un itinéraire par défaut en direction de la passerelle par défaut fournie par le serveur

. Pour une interface associée au sous-réseau privé du VPC, la désactivation de cette option garantit que le trafic géré par cette interface n'est pas dirigé directement vers la passerelle Internet sur le VPC.

Étape 10 Créez des règles NAT pour autoriser le trafic entrant et sortant des serveurs déployés dans le VPC.

Étape 11 Créez des politiques de sécurité pour autoriser/refuser le trafic vers les/des serveurs déployés dans le VPC.

1.

Sélectionnez

Politiques > NAT

sur l'interface Web du pare-feu.

2.

Créez une règle NAT pour autoriser le trafic entre l'interface réseau de plan de données sur le pare-feu et l'interface serveur

Web dans le VPC.

3.

Créez une règle NAT pour autoriser l'accès sortant pour le trafic entre le serveur Web et Internet.

1.

Sélectionnez

Politiques > Sécurité

sur l'interface Web du pare-feu.

2.

Cliquez sur

Ajouter

, puis spécifiez les zones, applications et options de journalisation que vous souhaitez exécuter afin de limiter et d'auditer le trafic traversant le réseau.

1.

Cliquez sur

Valider

Étape 12 Validez les modifications apportées au pare-feu.

Étape 13 Vérifiez que le pare-feu VM-Series sécurise le trafic et que les règles NAT sont appliquées.

1.

Sélectionnez du pare-feu.

Surveillance > Logs > Trafic

sur l'interface Web

2.

Consultez les logs pour vérifier que les applications sur le réseau sont conformes aux politiques de sécurité que vous avez mises en œuvre.

Guide de déploiement VM-Series

105

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS

Dans cet exemple, le VPC est déployé dans le réseau 10.0.0.0/16 avec deux sous-réseaux /24 : 10.0.0.0/24 et

10.0.1.0/24. Le pare-feu VM-Series sera lancé dans le sous-réseau 10.0.0.0/24 auquel la passerelle Internet est liée. Le sous-réseau 10.0.1.0/24 est un sous-réseau privé qui hébergera les instances EC2 devant être sécurisées par le pare-feu VM-Series. Tout serveur sur ce sous-réseau privé utilise NAT pour une adresse IP acheminable

(il s'agit d'une adresse IP élastique) afin d'accéder à Internet. Utilisez la

Planification de la fiche de travail du pare-feu VM-Series dans AWS VPC pour planifier la conception de votre VPC. Grâce à l'enregistrement de

plages de sous-réseaux, d'interfaces réseau et des adresses IP associées des instances EC2, et de groupes de sécurité, le processus de configuration sera simplifié et plus fiable.

L'image suivante illustre le flux de trafic logique vers/depuis le serveur Web et Internet. Le trafic vers/depuis le serveur Web est envoyé à l'interface de données du pare-feu VM-Series associé au sous-réseau privé. Le pare-feu applique une politique et des processus de trafic entrant/sortant depuis/vers la passerelle Internet du

VPC. L'image illustre également les groupes de sécurité auxquels les interfaces de données sont associées.

106 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud

Étape 1 Créez un nouveau VPC avec un sous-réseau public (ou sélectionnez un

VPC existant).

1.

Connectez-vous à la console AWS et sélectionnez le tableau de bord

VPC

.

2.

Vérifiez que vous avez sélectionné la zone géographique appropriée (région AWS). Le VPC sera déployé dans la région sélectionnée.

3.

Sélectionnez

Démarrer l'assistant VPC

, puis

VPC avec un seul sous-réseau public

.

Dans cet exemple, le bloc CIDR IP du VPC est 10.0.0.0/16, le nom du VPC est Cloud DC, le sous-réseau public est 10.0.0.0/24, et le nom du sous-réseau est Cloud DC Public. Vous créerez un sous-réseau privé après la création du VPC.

4.

Cliquez sur

Créer un VPC

.

Guide de déploiement VM-Series

107

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

Étape 2 Créez un sous-réseau privé.

Sélectionnez

Sous-réseaux

Fournissez les informations.

, puis cliquez sur

Créer un sous-réseau

.

Dans cet exemple, le

Nom d'étiquette

du sous-réseau est Web/DB

Server Subnet. Il est créé dans le VPC Cloud Datacenter et affecté au bloc CIDR 10.0.1.0/24.

Étape 3 Créez une nouvelle table de routage pour chaque sous-réseau.

Bien qu'une table de routage principale soit automatiquement créée sur le

VPC, nous recommandons de créer de nouvelles tables de routage plutôt que de modifier la table de routage par défaut.

Pour diriger le trafic sortant de chaque sous-réseau, vous ajouterez des itinéraires à la table de routage associée

à chaque sous-réseau, ultérieurement dans ce flux de travail.

1.

Sélectionnez

Tables de routage

>

Créer une table de routage

.

2.

Ajoutez un

Nom

, CloudDC-public-subnet-RT par exemple, sélectionnez le

VPC

que vous avez créé à l' Étape 1 , puis cliquez sur

Oui, créer

.

3.

Sélectionnez la table de routage, cliquez sur

Associations de sous-réseau

, puis sélectionnez le sous-réseau public.

4.

Sélectionnez

Créer une table de routage

.

5.

Ajoutez un

Nom

, CloudDC-private-subnet-RT par exemple, sélectionnez le

VPC

que vous avez créé à l' Étape 1 , puis cliquez sur

Oui, créer

.

6.

Sélectionnez la table de routage, cliquez sur

Associations de sous-réseau

, puis sélectionnez le sous-réseau privé.

108 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

Étape 4 Créez des groupes de sécurité pour limiter l'accès Internet entrant/sortant aux instances EC2 dans le VPC.

Par défaut, AWS interdit la communication entre des interfaces n'appartenant pas au même groupe de sécurité.

Sélectionnez

Groupes de sécurité

, puis cliquez sur le bouton

Créer un groupe de sécurité

. Dans cet exemple, nous créons trois groupes de sécurité avec les règles d'accès entrant suivantes :

CloudDC-Management qui spécifie les protocoles et adresses IP source pouvant se connecter à l'interface de gestion du pare-feu

VM-Series. Vous avez besoin, au minimum, de SSH et HTTPS.

Dans cet exemple, nous activons SSH, ICMP, HTTP et HTTPS sur les interfaces associées à ce groupe de sécurité.

L'interface de gestion (eth 0/0) du pare-feu VM-Series sera affectée à CloudDC-management-sg.

Public-Server-CloudDC qui spécifie les adresses IP source pouvant se connecter via HTTP, FTP, SSH dans le VPC. Ce groupe autorise le trafic entre le réseau externe et le pare-feu.

L'interface de plan de données eth 1/1 du pare-feu VM-Series sera affectée à Public-Server-CloudDC.

Private-Server-CloudDC qui dispose d'un accès très limité. Il permet uniquement aux autres instances EC2 du même sous-réseau de communiquer entre elles et avec le pare-feu

VM-Series.

L'interface de plan de données eth1/2 du pare-feu VM-Series et l'application du sous-réseau privés seront associées à ce groupe de sécurité.

Étape 5 Déployez le pare-feu VM-Series.

Seule l'interface réseau principale qui servira d'interface de gestion sera associée et configurée pour le pare-feu lors du premier lancement.

Les interfaces réseau nécessaires pour la gestion du trafic de données

seront ajoutées à l' Étape 6

.

Reportez-vous à l' Étape 3

de la section

Lancement du pare-feu VM-Series dans AWS

.

Guide de déploiement VM-Series

109

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

Étape 6 Créez et associez la ou les interface(s) réseau virtuel, également appelée(s)

ENI (Elastic Network Interface), au pare-feu VM-Series. Ces ENI sont utilisées pour la gestion du trafic de données depuis/vers le pare-feu.

1.

2.

Sur le tableau de bord EC2, sélectionnez cliquez sur

Créer une interface réseau

Donnez un nom descriptif à l'interface.

.

Interfaces réseau

, puis

3.

Sélectionnez le sous-réseau. Utilisez l'ID de sous-réseau pour vérifier que vous avez sélectionné le bon sous-réseau. Vous ne pouvez lier qu'une seule ENI à une instance d'un même sous-réseau.

4.

Saisissez l'adresse

IP privée

que vous souhaitez affecter à l'interface ou sélectionnez

Affectation automatique

pour affecter automatiquement une adresse IP parmi les adresses IP disponibles du sous-réseau sélectionné.

5.

Sélectionnez le

Groupe de sécurité

contrôlant l'accès à l'interface réseau.

6.

Cliquez sur

Oui, créer

.

Dans cet exemple, nous créons deux interfaces avec la configuration suivante :

Pour Eth1/1 (VM-Series-Non approuvée)

– Sous-réseau : 10.0.0.0/24

– IP privée : 10.0.0.10

– Groupe de sécurité : Serveur-public-CloudDC

Pour Eth1/2 (VM-Series-Approuvée)

– Sous-réseau : 10.0.1.0/24

– IP privée : 10.0.1.10

– Groupe de sécurité : Serveur-privé-CloudDC

7.

Pour associer l'ENI au pare-feu VM-Series, sélectionnez l'interface que vous venez de créer, puis cliquez sur

Associer

.

8.

Sélectionnez l'

ID d'instance

du pare-feu VM-Series, puis cliquez sur

Associer

.

9.

Répétez les étapes 7 et 8 pour associer l'autre interface réseau.

110 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

Étape 7 Créez une adresse IP élastique et associez-la à l'interface réseau de plan de données du pare-feu qui doit disposer d'un accès direct à Internet.

Dans cet exemple, une EIP est affectée

à VM-Series_Non approuvée. L'EIP associée à l'interface est l'adresse IP accessible du serveur Web dans le sous-réseau privé.

1.

Sélectionnez

IP élastiques

, puis cliquez sur

Allouer une nouvelle adresse

.

2.

Sélectionnez

EC2-VPC

, puis cliquez sur

Oui, allouer

.

3.

Sélectionnez la nouvelle EIP allouée, puis cliquez sur

Associer l'adresse

.

4.

Sélectionnez l'

Interface réseau

et l'

Adresse IP privée

associée à l'interface, puis cliquez sur

Oui, associer

.

Dans cet exemple, la configuration est la suivante :

Étape 8 Désactivez la vérification de la source/destination sur chaque interface réseau associée au pare-feu

VM-Series. La désactivation de cet attribut permet à l'interface de gérer le trafic réseau non destiné à son adresse IP.

Étape 9 Dans la table de routage associée au

sous-réseau public (de l' Étape 3

), ajoutez un itinéraire par défaut vers la passerelle Internet pour le VPC.

1.

Sélectionnez l'interface réseau dans l'onglet

Interfaces réseau

.

2.

Dans la liste déroulante

Action

, sélectionnez

Modifier la source/dest

.

Vérifiez

.

3.

Cliquez sur

Désactivé

et

enregistrez

vos modifications.

4.

Répétez les étapes 1 à 3 pour d'autres interfaces réseau, firewall-1/2 dans cet exemple.

1.

Dans le tableau de bord VPC, sélectionnez

Tables de routage

et recherchez la table de routage associée au sous-réseau public.

2.

Sélectionnez la table de routage,

Itinéraires

, puis cliquez sur

Modifier

.

3.

Ajoutez un itinéraire pour transférer des paquets de ce sous-réseau

à la passerelle Internet. Dans cet exemple, 0.0.0.0.0 indique que l'ensemble du trafic depuis/vers ce sous-réseau utilisera la passerelle Internet associée au VPC.

Guide de déploiement VM-Series

111

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

Étape 10 Dans la table de routage associée au sous-réseau privé, ajoutez un itinéraire par défaut pour envoyer du trafic au pare-feu VM-Series.

L'ajout de cet itinéraire permet le transfert de trafic depuis les instances

EC2 de ce sous-réseau privé vers le pare-feu VM-Series.

1.

Dans le tableau de bord VPC, sélectionnez

Tables de routage

et recherchez la table de routage associée au sous-réseau privé.

2.

Sélectionnez la table de routage,

Itinéraires

, puis cliquez sur

Modifier

.

.

3.

Ajoutez un itinéraire pour transférer des paquets de ce sous-réseau

à l'interface réseau du pare-feu VM-Series résidant sur le même sous-réseau. Dans cet exemple, 0.0.0.0/0 indique que l'ensemble du trafic depuis/vers ce sous-réseau utilisera eni-abf355f2 (ethernet

1/2, à savoir CloudDC-VM-Series-Approuvée) sur le pare-feu

VM-Series.

Pour chaque serveur Web ou de base de données déployé sur l'instance EC2 dans le sous-réseau privé, vous devez également ajouter l'adresse IP du pare-feu VM-Series en tant que passerelle par défaut.

Effectuez l'

Étape 11 à l'

Étape 16 sur le

pare-feu VM-Series.

Étape 11 Configurez un nouveau mot de passe administratif pour le pare-feu.

Un outil SSH tel que PuTTY est nécessaire pour accéder à la CLI sur le pare-feu et modifier le mot de passe administratif par défaut. Vous ne pouvez pas accéder à l'interface Web tant que n'avez pas activé SSH et modifié le mot de passe par défaut.

1.

Utilisez l'adresse IP publique, que vous avez configurée sur le pare-feu, vers SSH dans l'interface de ligne de commande (CLI) du pare-feu VM-Series.

Vous aurez besoin de la clé privée utilisée ou créée dans Lancez le pare-feu VM-Series.

, Étape 3

-

k

pour accéder à la CLI.

2.

Saisissez la commande suivante pour vous connecter au pare-feu :

ssh-i

<nom_clé_privée>

admin@

<adresse_IP_publique>

3.

Configurez un nouveau mot de passe à l'aide de la commande suivante, et suivez les invites affichées à l'écran :

set password

Configuration

Étape 12 Accédez à l'interface Web du pare-feu

VM-Series.

Étape 13 Activez les licences sur le pare-feu VM-Series.

commit

4.

Fermez la session SSH.

Ouvrez un navigateur Web et saisissez l'adresse IP publique ou l'EIP de l'interface de gestion. Par exemple : https://54.183.85.163

Reportez-vous à la section

Activation de la licence

.

112 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

Étape 14 Sur le pare-feu VM-Series, configurez les interfaces réseau de plan de données sur pare-feu en tant qu'interfaces de couche 3.

1.

Sélectionnez

Réseau > Interfaces > Ethernet

redémarrez le pare-feu.

.

Avant de configurer les interfaces réseau, vérifiez que la liaison de l'interface est activée. . Si la liaison n'est pas activée,

2.

Cliquez sur la liaison

ethernet 1/1

et configurez comme suit :

Type d'interface

:

Couche 3

Sélectionnez l'onglet

Configuration

, affectez l'interface au routeur par défaut.

Dans l'onglet

Configuration

, développez la liste déroulante

Zone de sécurité

et sélectionnez

Nouvelle zone

. Définissez une nouvelle zone, Non approuvée par exemple, puis cliquez sur

OK

.

Sélectionnez

IPv4

, sélectionnez

Client DHCP

; l'adresse IP privée que vous avez affectée à l'interface réseau dans la console de gestion AWS est automatiquement acquise.

Dans l'onglet

Avancé > Autres informations

, développez la liste

Profil de gestion, puis sélectionnez

Nouveau profil de gestion

.

Saisissez un

nom

pour le profil, tel que allow_ping, sélectionnez

Ping

dans la liste des services autorisés, puis cliquez sur

OK

.

Pour enregistrer la configuration de l'interface, cliquez sur

OK

.

3.

Cliquez sur la liaison

ethernet 1/2

et configurez comme suit :

• Type d'interface : Couche 3

Sélectionnez l'onglet

Configuration

, affectez l'interface au routeur par défaut.

Dans l'onglet

Configuration

, développez la liste déroulante

Zone de sécurité

et sélectionnez

Nouvelle zone

. Définissez une nouvelle zone, Approuvée par exemple, puis cliquez sur

OK

.

Sélectionnez

IPv4

, puis

Client DHCP

.

Dans l'onglet

IPv4

, décochez la case

Créer automatiquement un itinéraire par défaut en direction de la passerelle par défaut fournie par le serveur

. Pour une interface associée au sous-réseau privé du VPC, la désactivation de cette option garantit que le trafic géré par cette interface n'est pas dirigé directement vers la passerelle Internet (IGW) sur le VPC.

Dans l'onglet

Avancé > Autres informations

, développez la liste

Profil de gestion, puis sélectionnez le profil allow_ping créé précédemment.

Cliquez sur

OK

pour enregistrer la configuration de l'interface.

4.

Cliquez sur

Valider

pour enregistrer les modifications.

Guide de déploiement VM-Series

113

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

Étape 15 Sur le pare-feu VM-Series, créez des règles NAT de destination et source pour autoriser le trafic entrant/sortant vers/depuis les applications déployées dans le VPC.

1.

Sélectionnez

Politiques > NAT

.

2.

Créez une règle NAT de destination qui redirige trafic entre le pare-feu et le serveur Web.

a. Cliquez sur

Ajouter

et saisissez un nom pour la règle. Par exemple, NAT2WebServer.

b. Dans l'onglet

Paquet d'origine

, effectuez les sélections suivantes :

Zone source

: non approuvée (d'où provient le trafic)

Zone de destination

: non approuvée (la zone de l'interface de plan de données du pare-feu à laquelle l'EIP du serveur Web est associée)

Adresse source

: Indifférent

Adresse de destination

: 10.0.0.10

– Dans l'onglet

Paquet traduit

, cochez la case Traduction de l'adresse de destination, puis définissez l'

Adresse traduite

sur

10.0.1.62, à savoir l'adresse IP privée du serveur Web.

c. Cliquez sur

OK

.

3.

Créez une règle NAT source pour autoriser l'accès sortant pour le trafic entre le serveur Web et Internet.

a. Cliquez sur

Ajouter

et saisissez un nom pour la règle. Par exemple, NAT2External.

b. Dans l'onglet

Paquet d'origine

, effectuez les sélections suivantes :

Zone source

: approuvée (d'où provient le trafic)

Zone de destination

: non approuvée (la zone de l'interface de plan de données du pare-feu à laquelle l'EIP du serveur Web est associée)

Adresse source

: Indifférent

Adresse de destination

: Indifférent c. Dans l'onglet

Paquet traduit

, effectuez les sélections suivantes dans la section Traduction de l'adresse source :

Type de traduction

: adresse IP et port dynamiques

Type d'adresse

: Adresse traduite

Adresse traduite

: 10.0.0.10 (l'interface de plan de données du pare-feu dans la zone non approuvée)

114 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

d. Cliquez sur

OK

.

4.

Cliquez sur

Valider

pour enregistrer les politiques NAT.

Guide de déploiement VM-Series

115

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

Étape 16 Sur le pare-feu VM-Series, créez des politiques de sécurité pour gérer le trafic.

1.

Sélectionnez

Politiques > Sécurité

.

Dans cet exemple, nous avons quatre règles. Une règle qui autorise l'accès de gestion au trafic du pare-feu, une règle autorisant le trafic entrant vers le serveur Web, une troisième règle autorisant l'accès

Internet au serveur Web, et dans la dernière règle, nous modifions une règle intra-zone prédéfinie par défaut pour journaliser l'ensemble du trafic refusé.

2.

Créez une règle pour autoriser l'accès de gestion au pare-feu.

a. Cliquez sur

Ajouter

et saisissez un

Nom

pour la règle. Vérifiez que le

Type de règle

est universel.

b. Dans l'onglet

Source

, ajoutez Non approuvée en tant que

Zone source

.

c. Dans l'onglet

Destination

, ajoutez Approuvée en tant que

Zone de destination

.

d. Dans l'onglet

Applications

,

ajoutez

ping et ssh.

e. Dans l'onglet

Actions

, définissez la valeur

Action

sur Autoriser.

f. Cliquez sur

OK

.

3.

Créez une règle pour autoriser le trafic entrant vers le serveur Web.

a. Cliquez sur

Ajouter

, saisissez un

Nom

pour la règle et vérifiez que le

Type de règle

est universel.

b. Dans l'onglet

Source

, ajoutez Non approuvée en tant que

Zone source

.

c. Dans l'onglet

Destination

, ajoutez Approuvée en tant que

Zone de destination

.

d. Dans l'onglet

Applications

,

ajoutez

Navigation Web.

e. Dans l'onglet

Catégorie de service/d'URL

, vérifiez que le service est défini sur Par défaut de l'application.

f. Dans l'onglet

Actions

, définissez la valeur

Action

sur Autoriser.

g. Dans la section Paramètres de profil de l'onglet

Actions

, sélectionnez

Profils

, puis associez les profils par défaut pour l'antivirus, l'antispyware et la protection contre les vulnérabilités.

h. Cliquez sur

OK

.

116 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

Plutôt que de saisir une adresse IP statique pour le serveur Web, utilisez un groupe d'adresses dynamiques. Les groupes d'adresses dynamiques vous permettent de créer une règle qui s'adapte automatiquement aux changements.

Vous ne devez donc pas mettre à jour la politique lorsque vous lancez d'autres serveurs Web dans le sous-réseau. Pour plus de détails, reportez-vous à la section

Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC .

4.

Créez une règle pour autoriser l'accès Internet au serveur Web. a. Cliquez sur

Ajouter

, saisissez un

Nom

pour la règle et vérifiez que le Type de règle est universel.

b. c. d.

Dans l'onglet

source

.

Dans l'onglet

Source

Zone de destination

.

, ajoutez Approuvée en tant que

Dans la section Adresse source de l'onglet

10.0.1.62, l'adresse IP du serveur Web.

Destination

Source

Zone

, ajoutez

, ajoutez Non approuvée en tant que e. Dans l'onglet

Catégorie de service/d'URL

, vérifiez que le service est défini sur

Par défaut de l'application

.

f. Dans l'onglet

Actions

, définissez la valeur

Action

sur Autoriser.

g. Dans la section Paramètres de profil de l'onglet

Actions

, sélectionnez

Profils

, puis associez les profils par défaut pour l'antivirus, l'antispyware et la protection contre les vulnérabilités.

h. Cliquez sur

OK

.

5.

Modifiez la règle d'interzone par défaut pour journaliser l'ensemble du trafic refusé. Cette règle d'interzone prédéfinie est évaluée lorsqu'aucune autre règle n'est explicitement définie pour faire correspondre le trafic entre différentes zones.

a. Sélectionnez la règle

Interzone par défaut

, puis cliquez sur

Remplacer

.

b. Dans l'onglet

Actions

, sélectionnez

Journaliser en fin de session

.

c. Cliquez sur

OK

.

6.

Passez en revue toutes les règles de sécurité définies sur le pare-feu.

Guide de déploiement VM-Series

7.

Cliquez sur

Valider

pour enregistrer les politiques.

117

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS

Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)

Étape 17 Vérifiez que le pare-feu VM-Series sécurise le trafic.

1.

Ouvrez un navigateur Web et saisissez l'adresse IP du serveur Web.

2.

Connectez-vous à l'interface Web du pare-feu VM-Series et vérifiez que les logs de trafic pour les sessions apparaissent dans

Surveillance > Logs > Trafic

.

Trafic entrant dans le serveur Web (qui arrive au niveau de l'instance EC2 dans AWS VPC) :

Trafic sortant du serveur Web (instance EC2 dans AWS VPC) :

Le déploiement du pare-feu VM-Series en tant que passerelle de cloud est terminé !

118 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC

Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC

Dans un environnement dynamique tel qu'AWS-VPC dans lequel vous lancez de nouvelles instances EC2 à la demande, la surcharge administrative de gestion de la politique de sécurité peut être fastidieuse. L'utilisation de groupes d'adresses dynamiques dans une politique de sécurité vous apporte de la flexibilité et évite une interruption de service ou des failles de protection.

Dans cet exemple, nous montrons comment vous pouvez surveiller le VPC et utiliser des groupes d'adresses dynamiques dans une politique de sécurité pour identifier et sécuriser des instances EC2. Lorsque vous développez des instances EC2, le groupe d'adresses dynamiques regroupe toutes les adresses IP de toutes les instances correspondant aux critères définis d'appartenance au groupe, puis la politique de sécurité est appliquée au groupe. La politique de sécurité dans cet exemple autorise l'accès Internet à tous les membres du groupe.

Le flux de travail de la section suivante suppose que vous avez créé l'AWS VPC et déployé le pare-feu VM-Series et des applications sur des instances EC2. Pour obtenir des instructions sur la configuration du VPC pour le pare-feu VM-Series, reportez-vous à la section

Cas pratique : Sécurisation des instances EC2 dans le cloud AWS

.

Guide de déploiement VM-Series

119

Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC

Configuration du pare-feu VM-Series dans AWS

Utilisation de groupes d'adresses dynamiques dans une politique

Étape 1 Configurez le pare-feu pour qu'il surveille le VPC.

1.

Sélectionnez

Périphérique > Sources d'informations de machine virtuelle

.

2.

Cliquez sur

Ajouter

et saisissez les informations suivantes : a. Un

nom

pour identifier le VPC que vous souhaitez surveiller.

Par exemple, VPC-CloudDC.

b. Définissez le

Type

sur AMS VPC.

c. Dans

Source

, saisissez l'URI du VPC. La syntaxe est ec2.<votre_région>.amazonaws.com

d. Ajoutez les informations d'identification nécessaires au pare-feu pour signer numériquement les appels de l'API aux services AWS. Vous avez besoin des éléments suivants :

ID de clé d'accès

: Saisissez la chaîne de texte alphanumérique qui identifie de manière unique l'utilisateur qui possède ou est autorisé à accéder au compte AWS.

Clé d'accès secrète

: Saisissez et confirmez le mot de passe.

e. (Facultatif) Modifiez l'

intervalle de mise à jour

sur une valeur entre 5 et 600 secondes. Par défaut, le pare-feu effectue des recherches toutes les 5 secondes. Les appels API sont mis en file d'attente et récupérés toutes les 60 secondes.

Par conséquent, les mises à jour peuvent prendre 60 secondes plus l'intervalle d'interrogation donné.

120 f. Saisissez l'

ID VPC

affiché sur le tableau de bord VPC dans la console de gestion AWS.

g. Cliquez sur

OK

et sur

Valider

pour enregistrer les modifications.

h. Vérifiez que l'

état

de connexion affiché est Connecté.

Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC

Utilisation de groupes d'adresses dynamiques dans une politique (suite)

Étape 2 Étiquetez les instances EC2 dans le VPC.

Pour une liste des étiquettes que le pare-feu VM-Series peut surveiller, reportez-vous à la section

Liste des attributs surveillés dans AWS VPC .

Une étiquette est une paire nom/valeur. Vous pouvez étiqueter les instances EC2 sur le tableau de bord EC2 dans la console de gestion

AWS ou à l'aide de l'API AWS ou de la CLI AWS.

Dans cet exemple, nous utilisons le tableau de bord EC2 pour ajouter l'étiquette :

Étape 3 Créez un groupe d'adresses dynamiques sur le pare-feu.

Consultez le didacticiel pour avoir une vue d'ensemble de la fonction.

3.

Sélectionnez

Objets > Groupes d'adresses

.

4.

Cliquez sur

Ajouter

et saisissez un

Nom

et une

Description

pour identifier le groupe d'adresses.

5.

Définissez le

type

sur

Dynamique

.

6.

Définissez les critères de correspondance. a. Cliquez sur

Ajouter un critère de correspondance

, puis sélectionnez l'opérateur

Et

. b. Sélectionnez les attributs de filtrage ou de correspondance.

Dans cet exemple, nous sélectionnons l'étiquette

ExternalAccessAllowed que vous venez de créer et l'ID de sous-réseau pour le sous-réseau privé du VPC.

Guide de déploiement VM-Series

7.

Cliquez sur

OK

.

8.

Cliquez sur

Valider

121

Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC

Configuration du pare-feu VM-Series dans AWS

Utilisation de groupes d'adresses dynamiques dans une politique (suite)

Étape 4 Utilisez le groupe d'adresses dynamiques dans une politique de sécurité.

Pour créer une règle pour autoriser l'accès Internet à tout serveur

Web appartenant au groupe d'adresses dynamiques nommé

ExternalServerAccess.

1.

Sélectionnez

Politiques > Sécurité

.

2.

Cliquez sur

Ajouter

, saisissez un

Nom

pour la règle et vérifiez que le

Type de règle

est universel.

3.

Dans l'onglet

Source

, ajoutez Approuvée en tant que

Zone source

.

4.

Dans la section Adresse source de l'onglet

Source

,

ajoutez

le groupe ExternalServerAccess que vous venez de créer.

5.

Dans l'onglet

Destination

, ajoutez Non approuvée en tant que

Zone de destination

.

6.

Dans l'onglet

Catégorie de service/d'URL

, vérifiez que le service est défini sur

Par défaut de l'application

.

7.

Dans l'onglet

Actions

, définissez la valeur

Action

sur Autoriser.

8.

Dans la section Paramètres de profil de l'onglet

Actions

, sélectionnez

Profils

, puis associez les profils par défaut pour l'antivirus, l'antispyware et la protection contre les vulnérabilités.

9.

Cliquez sur

OK

.

10.

Cliquez sur

Valider

.

Étape 5 Vérifiez que les membres du groupe d'adresses dynamiques sont renseignés sur le pare-feu.

La politique est appliquée à toutes les adresses IP qui appartiennent à ce groupe d'adresses et s'affichent ici.

1.

Sélectionnez

Politiques > Sécurité

, puis choisissez la règle.

2.

Cliquez sur la flèche déroulante en regard du lien du groupe d'adresses et sélectionnez

Inspecter

. Vous pouvez également vérifier que les critères de correspondance sont corrects.

3.

Cliquez sur le lien

Plus

et vérifiez que la liste des adresses IP enregistrées s'affiche.

122 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Liste des attributs surveillés dans AWS VPC

Liste des attributs surveillés dans AWS VPC

Les attributs (ou noms d'étiquettes) suivants peuvent être utilisés comme critères de correspondance pour les groupes d'adresses dynamiques.

Attribut Format

Architecture Architecture.<chaîne d'architecture>

Système d'exploitation invité GuestOS.<nom du système d'exploitation d'invité>

ID d'image

ID de l'instance

ImageId.<chaîne d'ID d'image>

InstanceId.<chaîne d'ID d'instance>

État de l'instance

Type d'instance

InstanceState.<état de l'instance>

InstanceType.<type d'instance>

Nom de la clé KeyName.<chaîne de nom de la clé>

Emplacement (Location, Nom du groupe, Disponibilité)

Placement.Tenancy.<chaîne>

Placement.GroupName.<chaîne>

Placement.AvailabilityZone.<chaîne>

Nom DNS privé

Nom DNS public

ID de sous-réseau

Étiquette (clé, valeur)

ID VPC

PrivateDnsName.<nom DNS privé>

PublicDnsName.<nom DNS public>

SubnetID.<chaîne d'ID de sous-réseau> aws-tag.<clé>.<valeur>

Jusqu'à 5 de ces étiquettes sont prises en charge par instance

VpcId.<chaîne d'ID de VPC>

Guide de déploiement VM-Series

123

Cas pratique : Pare-feu VM-Series en tant que passerelles

GlobalProtect dans AWS

Configuration du pare-feu VM-Series dans AWS

Cas pratique : Pare-feu VM-Series en tant que passerelles

GlobalProtect dans AWS

La protection des utilisateurs mobiles contre les menaces et les applications à risques est généralement une combinaison complexe de distribution et de configuration de la sécurité et de l'infrastructure informatique, de réponse aux besoins de bande passante et de disponibilité à divers endroits du globe, et de maîtrise du budget.

Le pare-feu VM-Series dans AWS combine la sécurité et la logistique informatique nécessaires pour protéger de manière homogène et fiable les périphériques utilisés par les utilisateurs mobiles dans des régions où vous n'êtes pas présent. En déployant le pare-feu VM-Series dans le cloud AWS, vous pouvez déployer rapidement et facilement des passerelles GlobalProtect dans n'importe quelle région sans les coûts ou la logistique informatique généralement liés à la configuration de cette infrastructure avec vos propres ressources.

Pour réduire la latence, sélectionnez les régions AWS les plus proches de vos utilisateurs, déployez les pare-feu

VM-Series sur des instances EC2 et configurez les pare-feu en tant que passerelles GlobalProtect. Grâce à cette solution, les passerelles GlobalProtect du cloud AWS appliquent la politique de sécurité du trafic Internet.

Il n'est donc pas nécessaire d'acheminer ce trafic vers le réseau d'entreprise. De plus, pour l'accès aux ressources sur le réseau d'entreprise, les pare-feu VM-Series dans AWS utilisent la fonctionnalité LSVPN afin d'établir des tunnels IPSec de retour vers le pare-feu sur le réseau d'entreprise.

Pour simplifier le déploiement et la gestion centralisée de cette infrastructure distribuée, utilisez Panorama pour configurer les composants GlobalProtect inclus dans cette solution. Facultativement, pour s'assurer que les périphériques mobiles (smartphones et tablettes) peuvent être utilisés en toute sécurité sur votre réseau, utilisez le Gestionnaire de sécurité mobile pour configurer et gérer les périphériques mobiles.

124 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series dans AWS Cas pratique : Pare-feu VM-Series en tant que passerelles

GlobalProtect dans AWS

Composants de l'infrastructure GlobalProtect

Pour bloquer les applications à risques et protéger les utilisateurs mobiles contre les logiciels malveillants, vous devez configurer l'infrastructure GlobalProtect qui inclut le portail GlobalProtect, la passerelle GlobalProtect et l'application GlobalProtect. De plus, pour l'accès aux ressources d'entreprise, vous devez configurer une connexion VPN IPSec entre les pare-feu VM-Series dans AWS et le pare-feu du siège social à l'aide de LSVPN

(un déploiement VPN en étoile).

L'agent/application GlobalProtect est installé sur chaque système utilisateur final utilisé pour accéder aux applications/ressources d'entreprise. L'agent se connecte tout d'abord au portail pour obtenir des informations sur les passerelles, puis établit une connexion VPN sécurisée avec la passerelle GlobalProtect la plus proche. La connexion VPN entre le système utilisateur final et la passerelle garantit la confidentialité des données.

Le portail GlobalProtect fournit les fonctions de gestion de l'infrastructure GlobalProtect. Chaque système utilisateur final qui fait partie du réseau GlobalProtect reçoit des informations de configuration du portail, notamment des informations sur les passerelles disponibles, ainsi que les certificats clients pouvant être requis pour se connecter aux passerelles GlobalProtect. Dans ce cas pratique, le portail GlobalProtect est un pare-feu matériel déployé dans le siège social.

La passerelle GlobalProtect fournit la mise en œuvre de prévention contre les menaces et de politique mobiles en fonction des applications, utilisateurs, contenus, périphériques et états de périphérique.

Dans ce cas pratique, les pare-feu VM-Series dans AWS servent de passerelles GlobalProtect. La passerelle

GlobalProtect analyse chaque requête client à la recherche de logiciels malveillants ou autres menaces et, si la politique le permet, envoie la requête à Internet ou au réseau d'entreprise via le tunnel IPSec (à la passerelle

LSVPN).

Pour LSVPN, vous devez configurer le portail GlobalProtect, la passerelle GlobalProtect pour LSVPN

(concentrateur) et les satellites GlobalProtect (branches).

Dans ce cas pratique, le seul pare-feu matériel du bureau est déployé en tant que portail GlobalProtect et passerelle LSVPN. Les pare-feu VM-Series dans AWS sont configurés pour servir de satellites

GlobalProtect. Les satellites GlobalProtect et la passerelle sont configurés pour établir un tunnel IPSec qui se termine sur la passerelle. Lorsqu'un utilisateur mobile demande une application ou une ressource résidant sur le réseau d'entreprise, le pare-feu VM-Series achemine la requête via le tunnel IPSec.

Déploiement de passerelles GlobalProtect dans AWS

Pour protéger les utilisateurs mobiles, en plus de déployer et de configurer les passerelles GlobalProtect dans

AWS, vous devez configurer les autres composants nécessaires à cette solution intégrée. Le tableau suivant inclut le flux de travail recommandé :

Déploiement de GlobalProtect dans AWS

Déployez le ou les pare-feu VM-Series dans AWS.

Reportez-vous à la section

Déploiement du pare-feu VM-Series dans AWS .

Guide de déploiement VM-Series

125

Cas pratique : Pare-feu VM-Series en tant que passerelles

GlobalProtect dans AWS

Configuration du pare-feu VM-Series dans AWS

Déploiement de GlobalProtect dans AWS (suite)

Configurez le pare-feu au niveau du siège social.

Configuration du portail GlobalProtect .

Dans ce cas pratique, le pare-feu est configuré en tant que portail GlobalProtect et passerelle

LSVPN.

Configuration du portail GlobalProtect pour le LSVPN .

Configuration du portail pour l'authentification de satellites

LSVPN .

Configuration de la passerelle GlobalProtect pour le LSVPN .

Définissez un modèle sur Panorama pour configurer les pare-feu VM-Series dans AWS en tant que passerelles GlobalProtect et satellites

LSVPN.

Création de modèles sur Panorama .

Utilisez ensuite les liens ci-dessous pour définir la configuration dans les modèles.

Configuration du pare-feu en tant que passerelle GlobalProtect .

Pour gérer facilement ce déploiement distribué, utilisez Panorama pour configurer les pare-feu dans AWS.

Préparation du satellite pour l'association au LSVPN .

Reportez-vous à Créer des groupes de périphériques .

Créez des groupes de périphériques sur

Panorama pour définir les politiques d'accès réseau et les règles d'accès Internet, et appliquez-les aux pare-feu dans AWS.

Appliquez les modèles et les groupes de périphériques aux pare-feu dans AWS, puis vérifiez que les pare-feu sont configurés correctement.

Déployez le logiciel client GlobalProtect.

Sur chaque système utilisateur final, l'agent ou l'application

GlobalProtect doit se connecter à la passerelle GlobalProtect.

Reportez-vous à Déployer le logiciel client GlobalProtect .

(Facultatif) Configurez le Gestionnaire de sécurité mobile GlobalProtect.

Le Gestionnaire de sécurité mobile vous permet de configurer et de gérer des périphériques mobiles (smartphones et tablettes) pour les utiliser avec des applications d'entreprise.

Reportez-vous à Configurer le Gestionnaire de sécurité mobile .

126 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series sur KVM

La machine virtuelle basée sur le noyau (KVM) est un module de virtualisation Open Source pour serveurs exécutant des distributions Linux. Le pare-feu VM-Series peut être déployé sur un serveur Linux exécutant l'hyperviseur KVM.

Ce guide suppose que vous disposiez d'une infrastructure informatique utilisant Linux et des connaissances

élémentaires d'utilisation de Linux/des outils Linux. Les instructions s'appliquent exclusivement au déploiement du pare-feu VM-Series sur KVM.

VM-Series sur KVM : configuration système requise et conditions préalables

Déploiements pris en charge sur KVM

Installation du pare-feu VM-Series sur KVM

Guide de déploiement VM-Series

127

VM-Series sur KVM : configuration système requise et conditions préalables

Configuration du pare-feu VM-Series sur KVM

VM-Series sur KVM : configuration système requise et conditions préalables

Configuration système requise

Configuration requise

Ressources matérielles

Versions logicielles

Interfaces réseau : cartes réseau et ponts logiciels

Description

vCPU : 2, 4, 8

Mémoire : 4 Go ; 5 Go pour le VM-1000-HV

Disque : 40 Go

Types de disques pris en charge : Virtio et SCSI pour des performances optimales ;

IDE

Contrôleurs de disque : virtio, virt-scsi, IDE

Jeu de puces Intel-VT ou AMD-V prenant en charge la virtualisation assistée par le matériel

Ubuntu : 12.04 LTS

CentOS/ RedHat Enterprise Linux : 6.5

Open vSwitch : 1.9.3 avec mode de compatibilité de pont

Le VM-Series sur KVM prend en charge un total de 25 interfaces : 1 interface de gestion et un maximum de 24 interfaces réseau pour le trafic de données.

Le pare-feu VM-Series déployé sur KVM prend en charge les commutateurs virtuels basés sur le logiciel tels que le pont Linux ou le pont Open vSwitch, et dirigent la connectivité vers le PCI Pass-Thru ou une carte compatible avec SR-IOV.

Sur le pont Linux et OVS, les pilotes e1000 et virtio sont pris en charge ; le pilote par défaut rtl8139 n'est pas pris en charge.

Pour la prise en charge du PCI Pass-Thru/SR-IOV, le pare-feu VM-Series a été testé pour les cartes réseau suivantes :

– Carte réseau 1G basée sur Intel 82576 : Prise en charge de SR-IOV sur toutes les distributions Linux prises en charge ; prise en charge de PCI Pass-Thru sur toutes sauf Ubuntu 12.04 LTS.

– Carte réseau 10G basée sur Intel 82599 : Prise en charge de SR-IOV sur toutes les distributions Linux prises en charge ; prise en charge de PCI Pass-Thru sur toutes sauf Ubuntu 12.04 LTS.

– Carte réseau 10G basée sur Broadcom 57112 et 578xx : Prise en charge de

SR-IOV sur toutes les distributions Linux prises en charge ; pas de prise en charge de PCI Pass-Thru.

Pilotes : igb ; ixgbe ; bnx2x

Pilotes : igbvf ; ixgbevf ; bnx2x

Interfaces compatibles avec SR-IOV affectées au pare-feu VM-Series ; elles doivent être configurées en tant qu'interfaces de couche 3 ou interfaces HD.

128 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series sur KVM VM-Series sur KVM : configuration système requise et conditions préalables

Options d'association du VM-Series sur le réseau

Avec un pont Linux ou OVS, le trafic de données utilise le pont logiciel pour connecter des invités au même hôte. Pour la connectivité externe, le trafic de données utilise l'interface physique à laquelle le pont est associé.

Avec le PCI Pass-Thru, le trafic de données est transmis directement entre l'invité et l'interface physique à laquelle il est associé. Lorsque l'interface est associée à un invité, elle n'est pas disponible pour l'hôte ou les autres invités sur l'hôte.

Avec SR-IOV, le trafic de données est transmis directement entre l'invité et la fonction virtuelle à laquelle il est associé.

Conditions préalables du VM-Series sur KVM

Avant d'installer le pare-feu VM-Series sur le serveur Linux, consultez les sections suivantes :

Préparation du serveur Linux

Préparation au déploiement du pare-feu VM-Series

Guide de déploiement VM-Series

129

VM-Series sur KVM : configuration système requise et conditions préalables

Configuration du pare-feu VM-Series sur KVM

Préparation du serveur Linux

Vérifiez la version de la distribution Linux. Pour une liste des versions prises en charge, reportez-vous à la

section Configuration système requise

.

Vérifiez que vous avez installé et configuré les outils KVM et modules nécessaires à la création et à la gestion des machines virtuelles, Libvirt par exemple.

Si vous souhaitez utiliser un contrôleur de disque SCSI pour accéder au disque sur lequel le pare-feu

VM-Series stocke des données, utilisez la commande virsh pour associer le contrôleur virtio-scsi au pare-feu VM-Series. Vous pouvez alors modifier le modèle XML du pare-feu VM-Series pour autoriser l'utilisation du contrôleur virtio-scsi. Pour obtenir des instructions, reportez-vous à la section

Autorisation de l'utilisation d'un contrôleur SCSI .

KVM sur Ubuntu 12.04 ne prend pas en charge le contrôleur virtio-scsi.

Vérifiez que vous avez configuré l'infrastructure de mise en réseau pour rediriger le trafic entre les invités et le pare-feu VM-Series, et pour la connectivité avec un serveur externe ou Internet. Le pare-feu

VM-Series peut se connecter via un pont Linux, Open vSwitch, PCI Pass-Thru ou une carte réseau compatible avec SR-IOV.

– Vérifiez que la liaison de toutes les interfaces que vous envisagez d'utiliser est active. Vous devrez parfois l'activer manuellement.

– Vérifiez l'ID PCI de toutes les interfaces. Pour afficher la liste, utilisez la commande : Virsh nodedev-list –tree

– Si vous utilisez un pont Linux ou OVS, vérifiez que vous avez configuré les ponts nécessaires à l'envoi/la réception de trafic vers/depuis le pare-feu. Si ce n'est pas le cas, créez le ou les pont(s) et vérifiez que vous êtes prêt à installer le pare-feu.

– Si vous utilisez PCI Pass-Thru ou SR-IOV, vérifiez que les extensions de virtualisation (VT-d/IOMMU) sont activées dans le BIOS. Par exemple, pour activer IOMMU, intel_iommu=on doit être défini dans /etc/grub.conf. Pour obtenir des instructions, reportez-vous à la documentation fournie par le fournisseur de votre système.

– Si vous utilisez PCI Pass-Thru, vérifiez que le pare-feu VM-Series dispose d'un accès exclusif à la ou aux interfaces que vous envisagez d'associer.

Pour activer l'accès exclusif, vous devez dissocier manuellement la ou les interface(s) du serveur Linux.

Pour obtenir des instructions, reportez-vous à la documentation fournie par le fournisseur de votre carte réseau.

Pour dissocier manuellement la ou les interface(s) du serveur, utilisez la commande :

Virsh nodedev-detach <ID PCI de l'interface>, par exemple, pci_0000_07_10_0

Dans certains cas, dans /etc/libvirt/qemu.conf, vous devez peut-être supprimer le commentaire relaxed_acs_check = 1.

– Si vous utilisez SR-IOV, vérifiez que la fonction virtuelle est activée pour chaque port que vous envisagez d'utiliser sur la carte réseau. Avec SR-IOV, un seul port Ethernet (fonction physique) peut

être fractionné en plusieurs fonctions virtuelles. Un invité peut être mappé à une ou plusieurs fonctions virtuelles.

130 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series sur KVM VM-Series sur KVM : configuration système requise et conditions préalables

Pour activer des fonctions virtuelles, vous devez :

1. Créer un nouveau fichier à l'emplacement suivant : /etc/modprobe.d/

2. Modifier le fichier à l'aide de l'éditeur vi pour que les fonctions soient persistantes : vim /etc/modprobe.d/igb.conf

3. Activer le nombre de fonctions virtuelles requises : options igb max_vfs=4

Après avoir enregistré les modifications et redémarré le serveur Linux, chaque interface (ou fonction physique) de cet exemple aura 4 fonctions virtuelles.

Reportez-vous à la documentation fournie par le fournisseur de votre réseau pour plus de détails sur le nombre réel de fonctions virtuelles prises en charge et pour obtenir des instructions sur leur activation.

Préparation au déploiement du pare-feu VM-Series

Achetez le modèle VM-Series et enregistrez le code d'autorisation sur le portail de support de Palo Alto

Networks. Consultez les sections

Création d'un compte de support et

Enregistrement du pare-feu VM-Series .

Obtenez l'image qcow2 et enregistrez-la sur le serveur Linux. Selon la procédure recommandée, copiez l'image dans le dossier suivant : /var/lib/libvirt/qemu/images

Si vous envisagez de déployer plusieurs instances du pare-feu VM-Series, effectuez le nombre de copies nécessaire de l'image. Chaque instance du pare-feu VM-Series conservant une liaison avec l'image .qcow2 utilisée pour déployer le pare-feu, pour éviter tout problème de corruption de données, assurez-vous que chaque image est indépendante et utilisée par une seule instance du pare-feu.

Guide de déploiement VM-Series

131

Déploiements pris en charge sur KVM Configuration du pare-feu VM-Series sur KVM

Déploiements pris en charge sur KVM

Vous pouvez déployer une instance du pare-feu VM-Series par hôte Linux (un client) ou plusieurs instances de pare-feu VM-Series sur un hôte Linux. Le pare-feu VM-Series peut être déployé avec des interfaces Virtual Wire, de Couche 2, ou de Couche 3. Si vous envisagez d'utiliser des interfaces compatibles avec SR-IOV sur le pare-feu VM-Series, vous ne pouvez configurer les interfaces qu'en tant qu'interfaces de couche 3.

Sécurisation du trafic sur un hôte

Sécurisation du trafic entre des hôtes Linux

Sécurisation du trafic sur un hôte

Pour sécuriser le trafic est-ouest entre les invités sur un serveur Linux, le pare-feu VM-Series peut être déployé avec des interfaces Virtual Wire, de Couche 2, ou de Couche 3. L'illustration ci-dessous montre le pare-feu avec des interfaces de couche 3, dans laquelle le pare-feu et les autres invités sont connectés via des ponts Linux.

Dans ce déploiement, l'ensemble du trafic entre les serveurs Web et les serveurs de base de données est acheminé via le pare-feu ; le trafic entre les serveurs de base de données uniquement ou entre les serveurs Web uniquement est traité par le pont et n'est pas acheminé via le pare-feu.

132 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series sur KVM Déploiements pris en charge sur KVM

Sécurisation du trafic entre des hôtes Linux

Pour sécuriser vos charges de travail, plusieurs instances de pare-feu VM-Series peuvent être déployées sur un hôte Linux. Par exemple, si vous souhaitez isoler le trafic de services ou clients distincts, vous pouvez utiliser des balises VLAN pour isoler logiquement du trafic réseau et l'acheminer vers le pare-feu VM-Series approprié.

Dans l'exemple suivant, un hôte Linux héberge les pare-feu VM-Series pour deux clients, Client A et Client B, et la charge de travail du Client B est répartie entre deux serveurs. Pour isoler le trafic et le diriger vers le pare-feu

VM-Series configuré pour chaque client, des VLAN sont utilisés.

Guide de déploiement VM-Series

133

Déploiements pris en charge sur KVM Configuration du pare-feu VM-Series sur KVM

Dans une autre variation de ce déploiement, une paire de pare-feu VM-Series est déployée dans une configuration haute disponibilité. Les pare-feu VM-Series dans l'illustration suivante sont déployés sur un serveur Linux avec des cartes compatibles avec SR-IOV. Avec SR-IOV, un seul port Ethernet (fonction physique) peut être fractionné en plusieurs fonctions virtuelles. Chaque fonction virtuelle associée au pare-feu VM-Series est configurée en tant qu'interface de couche 3. L'homologue actif de la paire HD sécurise le trafic acheminé depuis les invités déployés sur un autre serveur Linux.

134 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series sur KVM Installation du pare-feu VM-Series sur KVM

Installation du pare-feu VM-Series sur KVM

L'API libvirt utilisée pour gérer KVM inclut un ensemble d'outils vous permettant de créer et de gérer des machines virtuelles. Pour installer le pare-feu VM-Series sur KVM, vous pouvez utiliser l'une des méthodes suivantes :

Créez manuellement la définition XML du pare-feu VM-Series, puis utilisez virsh pour importer la définition.

Virsh est l'outil le plus puissant vous permettant de gérer intégralement la machine virtuelle.

Utilisez la commande virt-install pour créer la définition du pare-feu VM-Series et pour l'installer.

Utilisez l'interface utilisateur du bureau nommée virt-manager ; virt-manager propose un assistant pratique vous guidant dans le processus d'installation.

La procédure suivante utilise virt-manager pour installer le pare-feu VM-Series sur un serveur exécutant KVM sur RHEL. Les instructions d'utilisation de virsh ou virt-install ne sont pas incluses dans ce document.

Si vous déployez plusieurs pare-feu VM-Series et que vous souhaitez automatiser la configuration initiale sur le

pare-feu, reportez-vous à la section Utilisation d'un fichier ISO pour déployer le pare-feu VM-Series

.

Guide de déploiement VM-Series

135

Installation du pare-feu VM-Series sur KVM

Installation du VM-Series sur KVM

Étape 1 Installez le pare-feu VM-Series.

Configuration du pare-feu VM-Series sur KVM

1.

Sur Virt-manager, sélectionnez

Créer une nouvelle machine virtuelle

.

2.

Donnez un

Nom

descriptif au pare-feu VM-Series.

136

3.

Sélectionnez

Importer une image de disque existante

, recherchez l'image, puis définissez le

Type de système d'exploitation

: Linux et la

Version

: Red Hat Enterprise

Linux 6.

Si vous préférez, vous pouvez conserver le type et la version du système d'exploitation Générique.

4.

Définissez la

Mémoire

sur 4 096 Mo ; ou 5 120 Mo si vous avez acheté la licence VM-1000-HV.

5.

Définissez la valeur

Processeur

sur 2, 4 ou 8.

Guide de déploiement VM-Series

Configuration du pare-feu VM-Series sur KVM

Installation du VM-Series sur KVM (suite)

Installation du pare-feu VM-Series sur KVM

6.

Sélectionnez

Personnaliser la configuration avant d'installer

.

7.

Sous Options avancées, sélectionnez le pont pour l'interface de gestion, et acceptez les valeurs par défaut.

Guide de déploiement VM-Series

137

Installation du pare-feu VM-Series sur KVM

Installation du VM-Series sur KVM (suite)

Configuration du pare-feu VM-Series sur KVM

8.

Pour modifier les paramètres du disque : a. Sélectionnez

Disque

, développez Options avancées et sélectionnez

Format de stockage

— qcow2 ;

Bus de disque

—Virtio ou IDE en fonction de votre configuration.

Si vous souhaitez utiliser un bus de disque SCSI, reportez-vous à la section

Autorisation de l'utilisation d'un contrôleur SCSI

.

b. Développez Options de performances et définissez le

Mode cache

pour la double écriture. Ce paramètre réduit la durée d'installation et optimise la vitesse d'exécution sur le pare-feu VM-Series.

138 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series sur KVM

Installation du VM-Series sur KVM (suite)

Installation du pare-feu VM-Series sur KVM

9.

Pour ajouter des cartes réseau pour les interfaces de données : a. Sélectionnez

Ajouter un matériel

>

Réseau

si vous utilisez un pont logiciel comme le pont Linux ou l'Open vSwitch.

Pour le

Périphérique hôte

, saisissez le nom du pont ou sélectionnez-le dans la liste déroulante.

Pour spécifier le pilote, définissez le

Modèle de périphérique

sur e-1000 ou virtio. Ce sont les seuls types d'interface virtuelle pris en charge.

b. Sélectionnez

Ajouter un matériel

>

Périphérique hôte PCI

pour PCI Pass-Thru ou un périphérique compatible avec

SR-IOV.

Guide de déploiement VM-Series

Dans la liste

Périphérique hôte

, sélectionnez l'interface sur la carte ou la fonction virtuelle.

c. Cliquez sur

Appliquer

ou

Terminer

.

10.

Cliquez sur Démarrer l'installation .

139

Installation du pare-feu VM-Series sur KVM Configuration du pare-feu VM-Series sur KVM

Installation du VM-Series sur KVM (suite)

Par défaut, le modèle XML du pare-feu

VM-Series est créé et stocké dans etc/libvirt/qemu.

11.

Patientez 5 à 7 minutes que l'installation se termine.

Étape 2 Configurez les paramètres d'accès réseau pour l'interface de gestion.

1.

Ouvrez une connexion à la console.

2.

Connectez-vous au pare-feu avec le nom d'utilisateur/mot de passe par défaut : admin/admin.

3.

Saisissez la commande suivante : set deviceconfig system ip-address

<Adresse IP du pare-feu> netmask <masque réseau> default-gateway <Adresse IP de la passerelle> dns-setting servers primary

<Adresse IP du serveur DNS> où <Adresse IP du pare-feu> est l'adresse IP que vous voulez affecter à l'interface de gestion, <masque réseau> est le masque de sous-réseau, <Adresse IP de la passerelle> est l'adresse IP de la passerelle réseau et <Adresse IP du serveur DNS> est l'adresse IP du serveur DNS.

Étape 3 Vérifiez les ports sur l'hôte qui sont mappés aux interfaces sur le pare-feu

VM-Series. Pour vérifier l'ordre des interfaces sur l'hôte Linux, reportez-vous

à la section

Vérification du PCI-ID de commande d'interfaces réseau sur le pare-feu VM-Series .

Pour vous assurer que le trafic est géré par l'interface appropriée, utilisez la commande suivante pour identifier les ports sur l'hôte qui sont mappés aux ports sur le pare-feu VM-Series.

admin@PAN-VM> debug show vm-series interfaces

all

Phoenix_interface Base-OS_port Base-OS_MAC PCI-ID

mgt eth0 52:54:00:d7:91:52 0000:00:03.0

Ethernet1/1 eth1 52:54:00:fe:8c:80 0000:00:06.0

Ethernet1/2 eth2 0e:c6:6b:b4:72:06 0000:00:07.0

Ethernet1/3 eth3 06:1b:a5:7e:a5:78 0000:00:08.0

Ethernet1/4 eth4 26:a9:26:54:27:a1 0000:00:09.0

Ethernet1/5 eth5 52:54:00:f4:62:13 0000:00:10.0

Étape 4 Accédez à l'interface Web du pare-feu

VM-Series, puis configurez les interfaces et définissez des règles de sécurité et des règles NAT afin d'activer en toute sécurité les applications que vous souhaitez sécuriser.

Reportez-vous au Guide de l'administrateur PAN-OS .

140 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series sur KVM Installation du pare-feu VM-Series sur KVM

Autorisation de l'utilisation d'un contrôleur SCSI

Si vous souhaitez que le pare-feu VM-Series utilise le type de bus de disque SCSI pour accéder au disque virtuel, suivez les instructions ci-dessous pour associer le contrôleur virtio-scsi au pare-feu, puis autorisez l'utilisation du contrôleur virtio-scsi.

KVM sur Ubuntu 12.04 ne prend pas en charge le contrôleur virtio-scsi ; le contrôleur virtio-scsi ne peut être activé que sur le pare-feu VM-Series exécuté sur RHEL ou CentOS.

Ce processus requiert virsh car le gestionnaire Virt ne prend pas en charge le contrôleur virtio-scsi.

Autorisation du pare-feu VM-Series à utiliser un contrôleur SCSI

1.

Créez un fichier XML pour le contrôleur SCSI. Dans cet exemple, il est nommé virt-scsi.xml.

[root@localhost ~]# cat /root/virt-scsi.xml

<controller type='scsi' index='0' model='virtio-scsi'>

<address type='pci' domain='0x0000' bus='0x00' slot='0x0b'function='0x0'/>

</controller>

Assurez-vous que le logement utilisé pour le contrôleur virtio-scsi n'est pas en conflit avec un autre périphérique.

2.

Associez ce contrôleur au modèle XML du pare-feu VM-Series.

[root@localhost ~]# virsh attach-device --config <nom_VM-Series>

/root/virt-scsi.xml

Device attached successfully

3.

Autorisez le pare-feu à utiliser le contrôleur SCSI.

[root@localhost ~]# virsh attach-disk

<nom_VM-Series>/var/lib/libvirt/images/PA-VM-6.1.0-c73.qcow2 sda --cache none --persistent

Disk attached successfully

4.

Modifiez le modèle XML du pare-feu VM-Series. Dans le modèle XML, modifiez le disque cible et le bus de disque utilisés par le pare-feu.

Par défaut, le modèle XML est stocké dans etc/libvirt/qemu.

<disk type='file' device='disk'>

<driver name='qemu' type='qcow2' cache='writeback'/>

<source file='/var/lib/libvirt/images/PA-VM-6.1.0-c73.qcow2'/>

<target dev='sda' bus='scsi'/>

<address type='drive' controller='0' bus='0' target='0' unit='0'/>

</disk>

Guide de déploiement VM-Series

141

Installation du pare-feu VM-Series sur KVM Configuration du pare-feu VM-Series sur KVM

Vérification du PCI-ID de commande d'interfaces réseau sur le pare-feu

VM-Series

Que vous utilisiez une interface virtuelle (pont Linux/OVS) ou un périphérique PCI (PCI Pass-Thru ou une carte compatible avec SR-IOV) pour la connectivité au pare-feu VM-Series, ce dernier traite l'interface comme un périphérique PCI. L'affectation d'une interface sur le pare-feu VM-Series est basée sur le PCI-ID, une valeur combinant le bus, périphérique ou logement, et la fonction de l'interface. Les interfaces sont classées en commençant par le plus petit PCI-ID, ce qui signifie que l'interface de gestion (eth0) du pare-feu est affectée à l'interface avec le plus petit PCI-ID.

Supposons que vous affectez quatre interfaces au pare-feu VM-Series : trois interfaces virtuelles de type virtio et e1000, la quatrième étant un périphérique PCI. Pour afficher le PCI-ID de chaque interface, saisissez la commande virsh dumpxml $domain <nom du pare-feu VM-Series> sur l'hôte Linux pour afficher la liste des interfaces associées au pare-feu VM-Series. Dans le résultat, vérifiez la configuration de mise en réseau suivante :

<interface type='bridge'>

<mac address='52:54:00:d7:91:52'/>

<source bridge='mgmt-br'/>

<model type='virtio'/>

<address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>

</interface>

<interface type='bridge'>

<mac address='52:54:00:f4:62:13'/>

<source bridge='br8'/>

<model type='e1000'/>

<address type='pci' domain='0x0000' bus='0x00' slot='0x10' function='0x0'/>

</interface>

<interface type='bridge'>

<mac address='52:54:00:fe:8c:80'/>

<source bridge='br8'/>

<model type='e1000'/>

<address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/>

</interface>

142 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series sur KVM Installation du pare-feu VM-Series sur KVM

<hostdev mode='subsystem' type='pci' managed='yes'>

<source>

<address domain='0x0000' bus='0x08' slot='0x10' function='0x1'/>

</source>

<address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x0'/>

</hostdev>

Dans cet exemple, le PCI-ID pour chaque interface est le suivant :

PCI-ID de la première interface virtuelle : 00:03:00

PCI-ID de la deuxième interface virtuelle : 00:10:00

PCI-ID de la troisième interface virtuelle : 00:06:00

PCI-ID de la quatrième interface virtuelle : 00:07:00

Ainsi, sur le pare-feu VM-Series, l'interface avec le PCI-ID 00:03:00 est affectée à eth0 (interface de gestion), l'interface avec le PCI-ID 00:06:00 à eth1 (ethernet1/1), l'interface avec le PCI-ID 00:07:00 à eth2 (ethernet1/2) et l'interface avec le PCI-ID 00:10:00 à eth3 (ethernet1/3).

Utilisation d'un fichier ISO pour déployer le pare-feu VM-Series

Si vous souhaitez transmettre un script au pare-feu VM-Series au démarrage, vous pouvez monter un CD-ROM avec un fichier ISO. Le fichier ISO vous permet de définir un fichier XML d'amorçage incluant les paramètres de configuration initiale du port de gestion du pare-feu. Au premier démarrage, le pare-feu VM-Series consulte le fichier bootstrap-networkconfig.xml et utilise ses valeurs.

Si une seule erreur se produit lors de l'analyse du fichier d'amorçage, le pare-feu VM-Series rejette l'ensemble de la configuration définie dans ce fichier et démarre avec les valeurs par défaut.

Guide de déploiement VM-Series

143

Installation du pare-feu VM-Series sur KVM Configuration du pare-feu VM-Series sur KVM

Création d'un fichier ISO de démarrage

Étape 1 Créez le fichier XML et définissez-le en tant qu'instance de machine virtuelle.

Par exemple : user-PowerEdge-R510:~/kvm_script$ sudo vi

/etc/libvirt/qemu/PAN_Firewall_DC1.xml

Pour un exemple de fichier, reportez-vous

à la section Exemple de fichier XML pour le pare-feu VM-Series

.

user-PowerEdge-R510:~/kvm_script$ sudo virsh

define/etc/libvirt/qemu/PAN_Firewall_DC1.xml

Dans cet exemple, le pare-feu VM-Series est nommé PAN_Firewall_DC1.

Domain PAN_Firewall_DC1_bootstp defined from

/etc/libvirt/qemu/PAN_Firewall_DC1.xml

user-PowerEdge-R510:~/kvm_script$ sudo virsh

-q attach-interface

PAN_Firewall_DC1_bootstp bridge br1

--model=virtio --persistent

user-PowerEdge-R510:~/kvm_script$ virsh list

--all

Id Name State

---------------------------------------------

- PAN_Firewall_DC1_bootstp shut off

Étape 2 Créez le fichier XML d'amorçage.

Vous pouvez définir les paramètres de configuration initiale dans ce fichier et le nommer bootstrap-networkconfig.

Si vous ne souhaitez pas inclure un paramètre, panorama-server-secondary par exemple. Supprimez toute la ligne du fichier. Si vous laissez le champ d'adresse IP vide, le fichier ne sera pas correctement analysé.

Utilisez l'exemple suivant comme modèle pour le fichier bootstrap-networkconfig. Le fichier bootstrap-networkconfig ne peut inclure que les paramètres suivants :

<vm-initcfg>

<hostname>VM_Société_ABC</hostname>

<ip-address>10.5.132.162</ip-address>

<netmask>255.255.254.0</netmask>

<default-gateway>10.5.132.1</default-gateway>

<dns-primary>10.44.2.10</dns-primary>

<dns-secondary>8.8.8.8</dns-secondary>

<panorama-server-primary>10.5.133.4</panora ma-server-primary>

<panorama-server-secondary>10.5.133.5</pano rama-server-secondary>

</vm-initcfg>

Étape 3 Créez le fichier ISO. Dans cet exemple, nous utilisons mkisofs.

Enregistrez le fichier ISO dans le répertoire d'images

(/var/lib/libvirt/image) ou le répertoire qemu (/etc/libvirt/qemu) pour vous assurer que le pare-feu a accès en lecture au fichier ISO.

Par exemple :

# mkisofs -J -R -v -V "Bootstrap" -A

"Bootstrap" -ldots -l -allow-lowercase

-allow-multidot -o

<nom-de-fichier-iso>

bootstrap-networkconfig.xml

Étape 4 Associez le fichier ISO au lecteur de

CD-ROM.

Par exemple :

# virsh -q attach-disk <nom-machine-virtuelle>

<nom-de-fichier-iso> sdc --type cdrom --mode

readonly –persistent\

144 Guide de déploiement VM-Series

Configuration du pare-feu VM-Series sur KVM

Exemple de fichier XML pour le pare-feu VM-Series

<?xml version="1.0"?>

<domain type="kvm">

<name>PAN_Firewall_DC1</name>

<memory>4194304</memory>

<currentMemory>4194304</currentMemory>

<vcpu placement="static">2</vcpu>

<os>

<type arch="x86_64">hvm</type>

<boot dev="hd"/>

</os>

<features>

<acpi/>

<apic/>

<pae/>

</features>

<clock offset="utc"/>

<on_poweroff>destroy</on_poweroff>

<on_reboot>restart</on_reboot>

<on_crash>restart</on_crash>

<devices>

<emulator>/usr/libexec/qemu-kvm</emulator>

<disk type="fichier" device="disque">

<driver type="qcow2" name="qemu"/>

<source file="/var/lib/libvirt/images/panos-kvm.qcow2"/>

<target dev="vda" bus="virtio"/>

</disk>

<controller type="usb" index="0"/>

<controller type="ide" index="0"/>

<controller type="scsi" index="0"/>

<serial type="pty">

<source path="/dev/pts/1"/>

<target port="0"/>

<alias name="série0"/>

</serial>

<console type="pty" tty="/dev/pts/1">

<source path="/dev/pts/1"/>

<target type="série" port="0"/>

<alias name="série0"/>

Installation du pare-feu VM-Series sur KVM

Guide de déploiement VM-Series

145

Installation du pare-feu VM-Series sur KVM

</console>

<input type="souris" bus="ps2"/>

<graphics type="vnc" port="5900" autoport="oui"/>

</devices>

</domain>

Configuration du pare-feu VM-Series sur KVM

146 Guide de déploiement VM-Series

publicité

Fonctionnalités clés

  • Déploiement flexible sur plusieurs plates-formes
  • Protection contre les menaces
  • Filtrage des URL
  • Prévention des pertes de données
  • Intégration avec VMware NSX
  • Fonctionnalités de haute disponibilité
  • Gestion centralisée avec Panorama

Réponses et questions fréquentes

Où puis-je trouver les dernières notes de publication pour le pare-feu VM-Series ?
Vous trouverez les dernières notes de publication sur la page des téléchargements logiciels à l’adresse : https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Comment puis-je me connecter au pare-feu VM-Series sans accès Internet ?
Vous pouvez télécharger un fichier d’autorisation sur le pare-feu VM-Series, le télécharger sur un ordinateur ayant accès à Internet, puis utiliser le code d’autorisation pour enregistrer le pare-feu sur le portail de support. Vous pourrez alors télécharger la clé de licence sur le pare-feu VM-Series.
Comment mettre à niveau la version du logiciel PAN-OS sur le pare-feu VM-Series ?
Utilisez l’interface Web du pare-feu VM-Series pour télécharger et installer la version souhaitée du logiciel PAN-OS. Vous pouvez également utiliser Panorama pour mettre à niveau les pare-feux VM-Series Édition NSX.

Manuels associés

Télécharger PDF

publicité

Sommaire