- Computers & electronics
- Networking
- Palo Alto Networks
- VM-Series VM-100
- Manuel utilisateur
- 152 Des pages
Palo Alto Networks VM-Series VM-100, VM-200, VM-300, VM-1000-HV Pare-feu de nouvelle génération Guide de déploiement
VM-Series VM-100, VM-Series VM-200, VM-Series VM-300 et VM-Series VM-1000-HV sont des pare-feux virtuels qui peuvent être déployés sur des serveurs ESXi, Citrix SDX, VMware NSX, AWS et KVM. Ils offrent une protection contre les menaces, le filtrage des URL et des fonctionnalités de prévention des pertes de données.
publicité
Assistant Bot
Besoin d'aide? Notre chatbot a déjà lu le manuel et est prêt à vous aider. N'hésitez pas à poser toutes vos questions sur l'appareil, mais fournir des détails rendra la conversation plus productive.
Palo Alto Networks
®
Guide de déploiement VM-Series
PAN-OS 6.1
Coordonnées de contact
Siège social :
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054 http://www.paloaltonetworks.com/contact/contact/
À propos de ce guide
Ce guide décrit la configuration et la mise sous licence du pare-feu VM-Series.
Celui-ci est destiné aux administrateurs qui souhaitent déployer le pare-feu
VM-Series.
Pour plus d'informations, reportez-vous aux sources qui suivent :
Guide de l'administrateur PAN-OS : fournit des instructions sur la configuration des fonctions du pare-feu.
https://paloaltonetworks.com/documentation : permet d'accéder à la base de connaissances, à un ensemble de documentation complet, à des forums de discussion
et à des vidéos.
https://support.paloaltonetworks.com
: permet de contacter le support technique pour avoir des informations sur les programmes d'assistance ou pour gérer votre compte ou vos périphériques.
Pour consulter les dernières notes de publication, rendez-vous sur la page des téléchargements logiciels : https://support.paloaltonetworks.com/Updates/SoftwareUpdates .
Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l'adresse : [email protected]
.
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2014 Palo Alto Networks Inc. Tous droits réservés.
Palo Alto Networks et PAN-OS sont des marques déposées de Palo Alto
Networks, Inc.
Date de révision : avril 24, 2015 ii
Table des matières
À propos du pare-feu VM-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Configuration d'un Pare-feu série VM sur un serveur ESXi . . . . . . . . . . . . . .13
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX . . . . . . . . . .27
Guide de déploiement VM-Series iii
iv
Configuration d'un pare-feu VM-Series Édition NSX . . . . . . . . . . . . . . . . . . 49
Configuration du pare-feu VM-Series dans AWS . . . . . . . . . . . . . . . . . . . . . 91
Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances
Configuration du pare-feu VM-Series sur KVM. . . . . . . . . . . . . . . . . . . . . . 127
Guide de déploiement VM-Series
Guide de déploiement VM-Series v
vi Guide de déploiement VM-Series
À propos du pare-feu VM-Series
Le Pare-feu série VM Palo Alto Networks est la forme virtualisée du pare-feu de dernière génération Palo Alto
Networks. Il est destiné à être utilisé dans un environnement de cloud ou virtualisé où il peut protéger et sécuriser le trafic est-ouest et nord-sud.
Licence et mise à niveau du Pare-feu série VM
Guide de déploiement VM-Series 1
2
Modèles VM-Series À propos du pare-feu VM-Series
Modèles VM-Series
Le pare-feu VM-Series est disponible en quatre modèles : VM-100, VM-200, VM-300 et VM-1000-HV.
Tous les modèles peuvent être déployés en tant que machines virtuelles invitées sur VMware ESXi et sur
Citrix NetScaler SDX ; seul le modèle VM-1000-HV est pris en charge sur VMWare NSX Le module logiciel (fichier .xva ou .ovf ) utilisé pour déployer le pare-feu VM-Series est commun à tous les modèles.
Le modèle VM-Series fonctionne sous licence ; lorsque vous appliquez la licence sur le pare-feu VM-Series, le numéro de modèle et les fonctionnalités associées y sont implémentés.
Chaque modèle peut être acheté dans une version Particulier ou Entreprise. La version Particulier est disponible en multiples de 1. La référence de commande, par exemple, PA-VM-300, inclut un code d'autorisation pour mettre une instance du pare-feu VM-Series sous licence. La version Entreprise est disponible en multiples de 25. Par exemple, la référence de commande PAN-VM-100-ENT inclut un code d'autorisation qui vous permet d'enregistrer 25 instances du pare-feu VM-100.
Chaque modèle du pare-feu VM-Series est mis sous licence pour pouvoir offrir une capacité maximale.
La capacité est définie en fonction du nombre de sessions, règles, zones de sécurité, objets d'adresse, tunnels
IPSec VPN et SSL VPN que le pare-feu VM-Series peut gérer. Lors de l'achat d'une licence, assurez-vous que le modèle réponde à vos besoins en matière de réseau. Le tableau suivant décrit certaines différences de capacité par modèle :
Modèle Sessions
VM-100
VM-200
50000
100000
VM-300 250000
VM-1000-HV 250000
Règles de sécurité
Adresses IP dynamiques
250
2000
5000
10,000
1000
1000
1000
100000
Zones de sécurité
40
40
10
20
Tunnels
VPN IPSec
25
500
2000
2000
Tunnels
VPN SSL
25
200
500
500
Pour plus d'informations sur les plates-formes sur lesquelles vous pouvez déployer le pare-feu VM-Series,
À propos du pare-feu VM-Series .
Guide de déploiement VM-Series
À propos du pare-feu VM-Series Déploiements VM-Series
Déploiements VM-Series
Le pare-feu VM-Series peut être déployé sur les plates-formes suivantes :
VM-Series pour VMware vSphere Hypervisor (ESXi)
Le pare-feu VM-100, VM-200, VM-300 ou VM-1000-HV est déployé en tant que machine virtuelle invitée sur VMware ESXi ; il est idéal pour le cloud ou les réseaux où le format virtuel est requis.
VM-Series pour VMware NSX
Le pare-feu VM-1000-HV est déployé en tant que service d'introspection réseau avec VMware NSX et
Panorama. Ce déploiement est idéal pour l'inspection du trafic est-ouest et il permet également de sécuriser le trafic nord-sud.
Pour plus détails, reportez-vous à la section Configuration d'un pare-feu VM-Series Édition NSX
.
VM-Series pour Citrix SDX
Le pare-feu VM-100, VM-200, VM-300 ou VM-1000-HV est déployé en tant que machine virtuelle invitée sur Citrix NetScaler SDX ; il consolide les services de sécurité et ADC pour les déploiements mutualisés et
Citrix XenApp/XenDesktop.
Pour plus détails, reportez-vous à la section Configuration d'un Pare-feu série VM sur le serveur Citrix SDX .
Guide de déploiement VM-Series 3
4
Déploiements VM-Series À propos du pare-feu VM-Series
VM-Series pour AWS (Amazon Web Services)
Les pare-feu VM-100, VM-200, VM-300 ou VM-1000-HV peuvent être déployés sur des instances EC2 dans le cloud AWS.
Pour plus de détails, reportez-vous à la section
Configuration du pare-feu VM-Series dans AWS
.
VM-Series pour KVM (Kernel Virtualization Module)
Les pare-feu VM-100, VM-200, VM-300 ou VM-1000-HV peuvent être déployés sur un serveur Linux exécutant l'hyperviseur KVM. Pour plus de détails, reportez-vous à la section
Configuration du pare-feu VM-Series sur KVM .
Voici un bref aperçu de la configuration requise pour le déploiement du pare-feu VM-Series :
Déploiement Versions d'hyperviseur prises en charge
Image de base requise sur le portail de support de Palo Alto
Networks
Licences de capacité appropriées
VM-Series pour VMware vSphere Hypervisor (ESXi)
(sans VMware NSX)
5.0, 5.1 et 5.5
PAN-OS pour les images de base VM-Series
Par exemple, le nom de l'image download-able est le suivant :
PA-VM-6.1.0.zip
VM-100
VM-200
VM-300
VM-1000-HV
VM-Series pour
VMware NSX
vSphere avec VMware NSX et
Panorama
5.5
PAN-OS pour les images de base VM-Series NSX
Par exemple, le nom de l'image download-able est le suivant :
PA-VM-NSX-6.0.0.zip
VM-1000-HV
VM-Series pour
Citrix SDX
Version SDX
Version XenServer
VM-Series pour AWS
10.1+
6.0.2 ou version ultérieure
PAN-OS pour les images de base VM-Series SDX
Par exemple, le nom de l'image download-able est le suivant :
PA-VM-SDX-6.1.0.zip
N/D
N/D
VM-100
VM-200
VM-300
VM-1000-HV
VM-Series pour KVM
KVM sur les distributions
Linux suivantes :
• Ubuntu : 12.04 LTS
• CentOS/ RedHat
Enterprise Linux : 6.5
PAN-OS pour les images de base VM-Series KVM
Par exemple, le nom de l'image download-able est le suivant :
PA-VM-6.1.0.qcow2
VM-100
VM-200
VM-300
VM-1000-HV
VM-100
VM-200
VM-300
VM-1000-HV
Guide de déploiement VM-Series
À propos du pare-feu VM-Series Licence et mise à niveau du Pare-feu série VM
Licence et mise à niveau du Pare-feu série VM
Lors de l'achat d'un pare-feu VM-Series, vous recevez un ensemble de codes d'autorisation par e-mail.
Généralement, cet e-mail contient un ou des codes d'autorisation de licence pour le modèle VM-Series acheté
(VM-100, VM-200, VM300, VM-1000-HV), une autorisation de support qui permet d'accéder aux mises à jour logicielles/de contenu (par exemple, le code d'autorisation référence PAN-SVC-PREM-VM-100), et tout abonnement supplémentaire tel que la prévention contre les menaces, le filtrage des URL, GlobalProtect ou
WildFire. Dans le cas d'une solution NSX intégrée à VMware, l'e-mail contient un code d'autorisation unique qui regroupe la licence de capacité pour une ou plusieurs instances du modèle VM-1000-HV, l'autorisation de support, et une ou plusieurs licence(s) d'abonnement.
Pour utiliser les codes d'autorisation, vous devez les enregistrer dans le compte de support, sur le portail de support de Palo Alto Networks. Si vous possédez déjà un compte de support, vous pouvez suivre le lien
Code d'autorisation VM-Series
sur la portail de support du logiciel pour gérer les licences de votre Pare-feu série VM et télécharger le logiciel.
Si vous ne disposez d'aucun compte de support, vous devez fournir votre numéro de commande d'achat ou ID client ainsi que le code d'autorisation de capacité pour vous enregistrer et créer un compte sur le portail de support. Une fois votre compte vérifié et l'enregistrement terminé, vous pourrez vous connecter et télécharger le module logiciel requis pour installer le Pare-feu série VM. Pour plus de détails sur l'activation de la licence pour votre déploiement, reportez-vous à la section correspondante dans
.
Si vous disposez d'une version d'évaluation du pare-feu VM-Series et que vous souhaitez la convertir en une version sous licence (achetée), clonez votre pare-feu et utilisez les instructions pour vous enregistrer et mettre cette version sous licence. Pour obtenir des instructions,
reportez-vous à la section Mise à niveau du modèle VM-Series .
Pour mettre votre pare-feu VM-Series sous licence, reportez-vous aux sections suivantes :
Création d'un compte de support
Enregistrement du pare-feu VM-Series
Mise à niveau de la version du logiciel PAN-OS (Version autonome)
Mise à niveau de la version du logiciel PAN-OS (Édition NSX)
Mise à niveau du modèle VM-Series
Pour obtenir des instructions sur l'installation de votre pare-feu VM-Series, reportez-vous à la section
Création d'un compte de support
Un compte de support est requis pour gérer les licences de votre Pare-feu série VM et télécharger le module logiciel nécessaire pour l'installer. Si vous possédez déjà un compte de support, passez à la section
Enregistrement du pare-feu VM-Series
.
Guide de déploiement VM-Series 5
6
Licence et mise à niveau du Pare-feu série VM À propos du pare-feu VM-Series
Création d'un compte de support
1.
Connectez-vous à l'adresse suivante : https://support.paloaltonetworks.com/ .
2.
Cliquez sur
Enregistrer
et remplissez le formulaire d'enregistrement utilisateur. Vous devez utiliser le code d'autorisation de capacité et le numéro de commande d'achat ou l'ID client pour vous enregistrer et créer un compte sur le portail de support.
3.
Envoyez
le formulaire. Vous recevrez un e-mail contenant un lien pour activer votre compte utilisateur ; suivez les
étapes pour l'activer.
Une fois votre compte vérifié et l'enregistrement terminé, vous pourrez vous connecter et télécharger le module logiciel requis pour installer le Pare-feu série VM.
Enregistrement du pare-feu VM-Series
Suivez les instructions de cette section pour enregistrer votre code d'autorisation de capacité dans votre compte de support.
Enregistrement du pare-feu VM-Series
1.
Connectez-vous à l'adresse https://support.paloaltonetworks.com
à l'aide de vos informations d'identification de compte.
2.
Sélectionnez
Ressources
et cliquez sur
Ajouter des codes d'autorisation VM-Series
.
3.
Dans le champ
Ajouter un code d'autorisation VM-Series
, saisissez le code d'autorisation de capacité reçu par e-mail, puis cliquez sur la coche tout à droite pour enregistrer vos données. La page affiche alors la liste des codes d'autorisation enregistrés dans votre compte de support.
Vous pouvez suivre le nombre de pare-feu VM-Series déployés et le nombre de licences encore disponibles pouvant
être utilisées par rapport à chaque code d'autorisation. Lorsque toutes les licences disponibles sont utilisées, le code d'autorisation ne s'affiche pas sur la pages Codes d'autorisation VM-Series. Pour afficher toutes les ressources déployées, sélectionnez
Ressources > Périphériques
.
Guide de déploiement VM-Series
À propos du pare-feu VM-Series Licence et mise à niveau du Pare-feu série VM
Activation de la licence
Pour activer la licence sur votre pare-feu VM-Series, vous devez d'abord le déployer, puis effectuer la configuration initiale. Pour obtenir des instructions sur le déploiement de votre pare-feu VM-Series, reportez-vous à la section
.
Tant que vous n'activez pas la licence sur le pare-feu VM-Series, celui-ci ne dispose d'aucun numéro de série, les adresses MAC des interfaces de plan de données ne sont pas uniques et seul un nombre minimum de sessions est pris en charge. Comme les adresses MAC ne sont pas uniques tant que le pare-peu n'est pas mis sous licence, pour éviter les problèmes causée par le chevauchement des adresses MAC, assurez-vous de ne pas disposer de plusieurs pare-feu VM-Series qui ne sont pas sans licence.
Lors de l'activation de la licence, le serveur de licence utilise l'UUID et l'ID de processeur de la machine virtuelle pour générer un numéro de série unique pour le pare-feu VM-Series. Le code d'autorisation de capacité relatif au numéro de série est utilisé pour valider votre éligibilité.
Après l'application d'une licence de pare-feu VM-Series, si vous supprimez et redéployez le pare-feu VM-Series sur le même hôte (dans un environnement de laboratoire uniquement), utilisez un nom unique lors du redéploiement du pare-feu. L'utilisation d'un nom unique garantit que l'UUID affecté au pare-feu est différent de celui affecté à l'instance du pare-feu supprimée. Un UUID unique est requis pour terminer le processus de licence sans erreur.
Activation de la licence pour le pare-feu VM-Series (Version autonome)
Activation de la licence pour le pare-feu VM-Series Édition NSX
Activation de la licence pour le pare-feu VM-Series (Version autonome)
Pour activer la licence sur votre pare-feu VM-Series, vous devez d'abord le déployer, puis effectuer la configuration initiale.
Activation de la licence
• Si votre pare-feu VM-Series a un accès Internet direct.
1.
Sélectionnez
Périphérique > Licences
, puis cliquez sur le lien
Activer la fonctionnalité à l'aide du code d'autorisation
.
Pour activer la licence, le pare-feu doit être configuré avec une adresse IP, un masque réseau, une passerelle par défaut et une adresse IP de serveur DNS.
2.
Saisissez le code d'autorisation de capacité enregistré sur le portail de support. Le pare-feu se connecte alors au serveur de mise à jour (updates.paloaltonetworks.com), télécharge la licence et redémarre automatiquement.
3.
Reconnectez-vous à l'interface Web et vérifiez que le
tableau de bord
affiche un numéro de série valide. Si le terme Inconnu s'affiche, cela signifie que le périphérique n'est pas sous licence.
4.
Dans
Périphérique > Licences
, vérifiez que la licence
PA-VM
a
été ajoutée au périphérique.
Guide de déploiement VM-Series 7
Licence et mise à niveau du Pare-feu série VM À propos du pare-feu VM-Series
Activation de la licence (suite)
• Si votre pare-feu VM-Series n'a pas d'accès
Internet direct.
1.
Sélectionnez
Périphérique > Licences
, puis cliquez sur le lien
Activer la fonctionnalité à l'aide du code d'autorisation
.
2.
Cliquez sur
Télécharger le fichier d'autorisation
, puis téléchargez le fichier authorizationfile.txt sur la machine cliente.
3.
Copiez le fichier authorizationfile.txt sur un ordinateur qui a accès
à Internet, puis connectez-vous au portail de support. Cliquez sur le lien
Mes codes d'autorisation VM-Series
puis sélectionnez le code d'autorisation applicable dans la liste et cliquez sur le lien
Enregistrer la machine virtuelle
.
4.
Dans l'onglet
Enregistrer la machine virtuelle
, chargez le fichier d'autorisation. Le processus d'enregistrement est alors terminé et le numéro de série de votre pare-feu VM-Series est associé à vos enregistrements de compte.
5.
Sélectionnez
Ressources > Mes périphériques
; puis recherchez le périphérique VM-Series enregistré et cliquez sur le lien
PA-VM
. La clé de licence VM-Series est alors téléchargée sur la machine cliente.
6.
Copiez la clé de licence sur la machine qui peut accéder à l'interface Web du pare-feu VM-Series, puis sélectionnez
Périphérique > Licences
.
7.
Cliquez sur le lien
Charger manuellement la licence
et saisissez la clé de licence. Lorsque la licence de capacité est activée sur le pare-feu, un redémarrage se produit.
8.
Connectez-vous au périphérique et vérifiez que le
tableau de bord
affiche un numéro de licence valide et que la licence
PA-VM
apparaît dans l'onglet
Périphérique > Licences
.
Activation de la licence pour le pare-feu VM-Series Édition NSX
Panorama sert de point de gestion central des pare-feu VM-Series Édition NSX et le processus d'activation de la licence est automatisé. Lorsqu'un nouveau pare-feu VM-Series Édition NSX est déployé, il communique avec
Panorama pour obtenir la licence. Vous devez donc vous assurer que Panorama a accès à Internet et qu'il peut se connecter au serveur de mises à jour de Palo Alto Networks pour récupérer les licences. Pour une vue d'ensemble des composants et de la configuration requise pour le déploiement du pare-feu VM-Series Édition
NSX, reportez-vous à la section
Présentation du pare-feu VM-Series Édition NSX.
.
Pour cette solution intégrée, le code d'autorisation (PAN-VM-!000-HV-SUB-BND-NSX2, par exemple) inclut les licences d'abonnements de prévention contre les menaces, de filtrage des URL et WildFire, ainsi qu'un support premium pour la période demandée.
8 Guide de déploiement VM-Series
À propos du pare-feu VM-Series Licence et mise à niveau du Pare-feu série VM
Pour pouvoir activer la licence, vous devez avoir effectué les tâches suivantes :
Enregistrer le code d'autorisation dans le compte de support. Si vous n'avez pas enregistré le code d'autorisation, le serveur de licences ne parviendra pas à créer une licence.
Configurer VMware Service Manager et saisir ce code d'autorisation sur Panorama. Sur Panorama, sélectionnez
VMWare Service Manager
pour ajouter le
Code d'autorisation
.
Si vous avez acheté un code d'autorisation d'évaluation, vous pouvez activer sous licence jusqu'à
5 pare-feu VM-Series avec la licence de capacité VM-1000-HV pour une période de 30 ou
60 jours. Cette solution vous permettant de déployer un pare-feu VM-Series par hôte ESXi, le cluster ESXi peut inclure 5 hôtes ESXi maximum avec une licence d'évaluation.
Pour pouvoir activer les licences, effectuez les tâches suivantes :
Vérifiez que les pare-feu VM-Series que vous venez de déployer s'affichent en tant que
Périphériques gérés
et qu'ils sont connectés à Panorama.
Sélectionnez
Panorama > Déploiement de périphérique > Licences
, puis cliquez sur
Actualiser
.
Sélectionnez les pare-feu VM-Series pour lesquels vous souhaitez récupérer des licences d'abonnement, puis cliquez sur
OK
.
Panorama appliquera les licences à chaque pare-feu déployé avec le code d'autorisation correspondant.
Mise à niveau de la version du logiciel PAN-OS (Version autonome)
Maintenant que le Pare-feu série VM est connecté au réseau et que le logiciel PAN-OS de base est installé, mettez
à niveau vers la dernière version de PAN-OS. Suivez les instructions ci-dessous pour les pare-feu non déployés en configuration haute disponibilité (HD). Pour les pare-feu déployés en HD, reportez-vous au Guide des nouvelles fonctionnalités de PAN-OS 6.1
.
Mise à niveau de la version de PAN-OS (Version autonome)
1.
Dans l'interface Web, sélectionnez
Périphérique > Licences
et vérifiez que vous disposez de la licence correcte pour le Pare-feu série VM et qu'elle est activée.
Sur le pare-feu VM-Series version autonome, accédez à
Périphérique > Support
et vérifiez que vous avez activé la licence de support.
2.
(Obligatoire pour un pare-feu en production) Effectuez une copie de sauvegarde du fichier de configuration actuel.
a. Sélectionnez
Périphérique > Configuration > Opérations
, puis cliquez sur
Exporter l'instantané de configuration nommé
.
b. Sélectionnez le fichier XML contenant la configuration actuelle (par exemple,
running-config.xml
), puis cliquez sur
OK
pour exporter le fichier de configuration. c. Enregistrez le fichier exporté dans un emplacement externe au pare-feu. Vous pouvez utiliser cette sauvegarde pour restaurer la configuration en cas de problème pendant la mise à niveau.
Guide de déploiement VM-Series 9
Licence et mise à niveau du Pare-feu série VM À propos du pare-feu VM-Series
Mise à niveau de la version de PAN-OS (Version autonome) (suite)
3.
Consultez les notes de publication afin de vérifier la version de contenu requise pour la version de PAN-OS.
Les pare-feu dont vous envisagez une mise à niveau doivent exécuter la version de contenu requise pour la version de PAN-OS.
a. Sélectionnez
Périphérique > Mises à jour dynamiques
.
b. Consultez la section
Applications et menaces
ou
Applications
pour connaître la mise à jour actuelle.
c. Si le pare-feu n'exécute pas la mise à jour requise ou une mise à jour ultérieure, cliquez sur
Vérifier maintenant
pour récupérer la liste des mises à jour disponibles.
d. Localisez la mise à jour souhaitée, puis cliquez sur
Télécharger
.
e. Une fois le téléchargement terminé, cliquez sur
Installer
.
4.
Mettez à jour la version de PAN-OS sur le Pare-feu série VM.
a. Sélectionnez
Périphérique > Logiciels
.
b. Cliquez sur
Actualiser
pour afficher la dernière version du logiciel et consultez les
Notes de publication
pour obtenir la description des modifications de la version et le chemin de migration pour installer le logiciel.
c. Cliquez sur
Télécharger
pour obtenir le logiciel, puis sur
Installer
.
Mise à niveau de la version du logiciel PAN-OS (Édition NSX)
Pour le pare-feu VM-Series Édition NSX, utilisez Panorama pour mettre à niveau la version logicielle sur les pare-feu.
Mise à niveau des pare-feu VM-Series Édition NSX à l'aide de Panorama
Étape 1 Effectuez une copie de sauvegarde du fichier de configuration actuel sur chaque pare-feu géré que vous envisagez de mettre à niveau.
Bien que le pare-feu crée automatiquement une sauvegarde de la configuration, il convient d'effectuer une copie de sauvegarde avant de mettre à niveau et de l'enregistrer en externe.
1.
Sélectionnez
Périphérique > Configuration > Opérations
, puis cliquez sur
Exporter la solution de configuration des périphériques et de Panorama
. Cette option est utilisée pour générer et exporter manuellement la dernière version de la sauvegarde de configuration de Panorama et celle de chaque périphérique géré.
2.
Enregistrez le fichier exporté dans un emplacement externe au pare-feu. Vous pouvez utiliser cette sauvegarde pour restaurer la configuration en cas de problème pendant la mise à niveau.
10 Guide de déploiement VM-Series
À propos du pare-feu VM-Series Licence et mise à niveau du Pare-feu série VM
Mise à niveau des pare-feu VM-Series Édition NSX à l'aide de Panorama (suite)
Étape 2 Consultez les notes de publication afin de vérifier la version de contenu requise pour la version de PAN-OS.
Les pare-feu dont vous envisagez une mise à niveau doivent exécuter la version de contenu requise pour la version de
PAN-OS.
1.
Sélectionnez
Panorama > Déploiement du périphérique >
Mises à jour dynamiques
.
2.
Recherchez les dernières mises à jour. Cliquez sur
Vérifier maintenant
(situé dans le coin inférieur gauche de la fenêtre) pour vérifier les dernières mises à jour. Le lien dans la colonne
Action
indique si une mise à jour est disponible. Si une version est disponible, le lien
Télécharger
s'affiche.
3.
Cliquez sur
Télécharger
pour télécharger la version sélectionnée. Une fois le téléchargement réussi, le lien de la colonne
Action
passe de
Télécharger
à
Installer.
4.
Cliquez sur
Installer
et sélectionnez les périphériques sur lesquels vous voulez installer la mise à jour. Une fois l'installation terminée, une coche s'affiche dans la colonne
Actuellement installé
.
Étape 3 Déployez les mises à jour logicielles sur les pare-feu sélectionnés.
Si vos périphériques sont configurés en HD, veillez à décocher la case
Regrouper les homologues HD
et mettez à niveau un homologue HD à la fois.
1.
Sélectionnez
Panorama > Déploiement du périphérique >
Logiciel
.
2.
Recherchez les dernières mises à jour. Cliquez sur
Vérifier maintenant
(situé dans le coin inférieur gauche de la fenêtre) pour vérifier les dernières mises à jour. Le lien dans la colonne
Action
indique si une mise à jour est disponible.
3.
Consultez le
Nom de fichier
et cliquez sur
Télécharger
.
Vérifiez que les versions de logiciel que vous téléchargez correspondent à celles des modèles de pare-feu déployés sur votre réseau. Une fois le téléchargement réussi, le lien de la colonne
Action
passe de
Télécharger
à
Installer.
4.
Cliquez sur
Installer
et sélectionnez les périphériques sur lesquels vous voulez installer la version de logiciel.
5.
Sélectionnez
Redémarrer après chaque installation
, puis cliquez sur
OK
.
6.
Si vous disposez de périphériques configurés en HD, décochez la case
Regrouper les homologues HD
et mettez à niveau un homologue HD à la fois.
Étape 4 Vérifiez la version logicielle et de contenu exécutées sur chaque périphérique géré.
1.
Sélectionnez
Panorama > Périphériques gérés
.
2.
Localisez le(s) périphérique(s) et examinez les versions de contenu et de logiciel sur le tableau.
Guide de déploiement VM-Series 11
Licence et mise à niveau du Pare-feu série VM À propos du pare-feu VM-Series
Mise à niveau du modèle VM-Series
Le processus de licence du pare-feu VM-Series utilise l'UUID et l'ID de processeur pour générer un numéro de série unique pour chaque pare-feu VM-Series. Par conséquent, lorsque vous générez une licence, celle-ci est mappée à une instance spécifique du pare-feu VM-Series et ne peut être modifiée.
Afin d'appliquer une nouvelle licence de capacité à un pare-feu qui a été précédemment mis sous licence, vous devez cloner le pare-feu VM-Series (entièrement configuré) existant. Pendant le clonage, un UUID unique est affecté au pare-feu. Vous pouvez ainsi appliquer une nouvelle licence à l'instance clonée du pare-feu.
Suivez les instructions de cette section si vous :
migrez depuis une licence d'évaluation vers une licence de production ;
mettez à niveau le modèle pour en augmenter la capacité. Par exemple, vous souhaitez effectuer une mise à niveau depuis la licence VM-200 vers la licence VM-1000-HV.
Migration de la licence sur le pare-feu VM-Series
Étape 1 Mettez le pare-feu VM-Series hors tension.
Étape 2 Clonez le pare-feu VM-Series.
Étape 3 Mettez la nouvelle instance du pare-feu VM-Series sous tension.
Si vous effectuez un clonage manuel, lorsque vous y êtes invité, indiquez que vous copiez et ne déplacez pas le pare-feu.
1.
Lancez la console série du pare-feu sur l'interface Web vSphere/SDX et saisissez la commande suivante :
show system info
2.
Vérifiez que :
• le numéro de série est inconnu ;
• le pare-feu ne dispose d'aucune licence ;
• la configuration est intacte.
Reportez-vous à la section
Enregistrement du pare-feu VM-Series .
Étape 4 Enregistrez le nouveau code d'autorisation sur le portail de support.
Étape 5 Appliquez la nouvelle licence.
Reportez-vous à la section
Une fois la licence appliquée au nouveau pare-feu, supprimez l'instance précédente du pare-feu pour éviter un conflit de configuration ou d'affectation d'adresse IP.
12 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur un serveur ESXi
Le Pare-feu série VM est distribué au format Open Virtualization Format (OVF), devenu la norme en matière de configuration en package et de déploiement de machines virtuelles. Vous pouvez installer cette solution sur tout périphérique capable d'exécuter VMware ESXi.
Afin de déployer un pare-feu VM-Series, vous devez maîtriser VMware et vSphere, y compris la mise en réseau vSphere, l'installation et la configuration de l'hôte ESXi et le déploiement de la machine virtuelle invitée.
Si vous souhaitez automatiser le processus de déploiement d'un pare-feu VM-Series, vous pouvez créer un modèle standard or comportant la configuration optimale et les politiques, et utiliser l'API LvSphere et l'API XML PAN-OS pour déployer rapidement de nouveaux pare-feux VM-Series sur votre réseau. Pour plus d'informations, consultez l'article : Automatisation du centre de données VM Series .
Pour plus d'informations, reportez-vous aux rubriques suivantes :
Déploiements pris en charge sur VMware vSphere Hypervisor (ESXi)
Configuration système requise et limitations
Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)
Résolution des problèmes de déploiement ESXi
Guide de déploiement VM-Series 13
Déploiements pris en charge sur VMware vSphere
Hypervisor (ESXi)
Configuration d'un Pare-feu série VM sur un serveur ESXi
Déploiements pris en charge sur VMware vSphere
Hypervisor (ESXi)
Vous pouvez déployer une ou plusieurs instances du pare-feu VM-Series sur le serveur ESXi. Positionnez le pare-feu VM-Series sur le réseau en fonction de votre topologie : Choisissez parmi les options suivantes (pour les environnements n'utilisant pas VMware NSX) :
Un pare-feu VM-Series par hôte ESXi : chaque serveur de machine virtuelle sur l'hôte ESXi passe par le pare-feu avant de quitter l'hôte pour le réseau physique. Les serveurs de machine virtuelle sont reliés au pare-feu via des commutateurs virtuels standard. Les serveurs invités ne disposent d'aucune autre connectivité réseau ; par conséquent, le pare-feu peut voir et contrôler le trafic quittant l'hôte ESXi. Une variante de ce cas d'utilisation est d'exiger également que tout le trafic passe par le pare-feu, y compris le trafic de serveur à serveur (trafic est-ouest) sur le même hôte ESXi.
Un pare-feu VM-Series par réseau virtuel : déployez un pare-feu VM-Series pour chaque réseau virtuel.
Si vous avez conçu votre réseau de telle manière qu'un ou plusieurs hôtes ESXi disposent d'un groupe de machines virtuelles appartenant au réseau interne, d'un groupe appartenant au réseau externe et d'autres au réseau DMZ, vous pouvez déployer un pare-feu VM-Series pour protéger les serveurs de chaque groupe.
Si un groupe ou un réseau virtuel ne partage aucun commutateur virtuel ou groupe de ports avec les autres réseaux virtuels, il est complètement isolé de tous les autres réseaux virtuels sur ou entre les hôtes. Comme il n'existe aucun autre chemin d'accès virtuel ou physique aux autres réseaux, les serveurs de chaque réseau virtuel doivent utiliser le pare-feu pour communiquer avec les autres réseaux. Par conséquent, le pare-feu peut voir et contrôler tout le trafic quittant le commutateur virtuel (standard ou distribué) associé à chaque réseau virtuel.
Environnement hybride : les hôtes physiques et virtuels sont utilisés. Le pare-feu VM-Series peut être déployé dans un emplacement d'agrégation classique au lieu d'un pare-feu physique pour offrir les avantages d'une plate-forme serveur courante à tous les périphériques et dissocier les dépendances de mise à niveau matérielle et logicielle.
Poursuivez avec les sections
Configuration système requise et limitations
et Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)
.
14 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur un serveur ESXi Configuration système requise et limitations
Configuration système requise et limitations
Cette section décrit la configuration requise et les limitations du pare-feu VM-Series sur VMware vSphere
Hypervisor (ESXi). Pour déployer le pare-feu VM-Series, reportez-vous à la section
Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)
.
Configuration requise
Vous pouvez créer et déployer plusieurs instances du pare-feu VM-Series sur un serveur ESXi. Comme chaque instance du pare-feu requiert une allocation minimum des ressources (nombre de processeurs, mémoire et espace disque) sur le serveur ESXi, assurez-vous de vous conformer aux spécifications ci-dessous pour obtenir des performances optimales.
Le Pare-feu série VM requiert la configuration système suivante :
VMware ESXi avec vSphere 5.0, 5.1 et 5.5 pour un pare-feu VM-Series exécutant PAN-OS 6.1.
Au minimum deux vCPU par Pare-feu série VM. Un pour le plan de gestion, l'autre pour le plan de données.
Vous pouvez affecter 2 ou 6 vCPU supplémentaires pour allouer un total de 2, 4 ou 8 vCPU au pare-feu, le plan de gestion utilise un seul vCPU et tout vCPU supplémentaire est affecté au plan de données.
Au minimum deux interfaces réseau (vmNIC). Une vmNIC sera dédiée à l'interface de gestion, l'autre à l'interface de données. Il est possible d'ajouter jusqu'à huit vmNIC supplémentaires pour le trafic de données.
Pour des interfaces supplémentaires, utilisez VGT (VLAN Guest Tagging) sur le serveur ESXi ou configurez des sous-interfaces sur le pare-feu.
Si vous déployez le pare-feu VM-Series à l'aide de la couche 2, Virtual Wire ou des interfaces TAP, vous devez activer le mode de proximité sur le groupe de ports du commutateur virtuel auquel les interfaces de données sont associées sur le pare-feu. Si le mode de proximité n'est pas activé, le pare-feu ne recevra aucun trafic car les adresses MAC de destination affectées par PAN-OS seront différentes des adresses MAC vmNIC affectées par vSphere. Par défaut, vSphere ne transfère pas de trame à une machine virtuelle si l'adresse MAC de destination de la trame ne correspond pas à l'adresse MAC vmNIC.
Si vous déployez le pare-feu VM-Series à l'aide d'interfaces de couche 3, vous pouvez définir l'adresse MAC vmNIC de sorte qu'elle corresponde à l'adresse MAC PAN-OS en modifiant manuellement l'adresse MAC afin que chaque vmNIC dans vSphere corresponde à celle affectée sur le pare-feu VM-Series. Cette modification doit être apportée lorsque le pare-feu VM-Series est hors tension. Le pare-feu pourra alors recevoir les trames qui lui sont destinées.
Au minimum 4 Go de mémoire pour tous les modèles, excepté le VM-1000-HV, qui nécessite 5 Go. Toute mémoire supplémentaire sera utilisée par le plan de gestion seulement. Si vous appliquez la
Au minimum 40 Go d'espace disque virtuel. Vous pouvez ajouter de l'espace disque supplémentaire de
40 Go à 2 To à des fins de journalisation.
Guide de déploiement VM-Series 15
Configuration système requise et limitations Configuration d'un Pare-feu série VM sur un serveur ESXi
Limitations
Les fonctionnalités du Pare-feu série VM sont similaires à celles des pare-feu matériels Palo Alto Networks, mais avec les limitations suivantes :
Des cœurs de processeurs dédiés sont recommandés.
Seule la configuration Haute disponibilité (HD) allégée est prise en charge (active/passive sans basculement
à inspection d'état).
La configuration Haute disponibilité (HD) « Surveillance des liaisons » n'est prise en charge que sur les installations VMware ESXi qui acceptent les E/S DirectPath.
Jusqu'à 10 ports peuvent être configurés ; il s'agit d'une limitation VMware. Un port sera utilisé pour le trafic de gestion et jusqu'à 9 ports peuvent être utilisés pour le trafic de données.
Seul le pilote vmxnet3 est pris en charge.
Les systèmes virtuels ne sont pas pris en charge.
vMotion sur le pare-feu n'est pas pris en charge.
Les trames Jumbo ne sont pas prises en charge.
L'agrégation des liaisons doit être activée sur l'hôte ESXi.
16 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur un serveur ESXi Installation d'un Pare-feu série VM sur VMware vSphere
Hypervisor (ESXi)
Installation d'un Pare-feu série VM sur VMware vSphere
Hypervisor (ESXi)
Pour installer un pare-feu VM-Series vous devez avoir accès au modèle OVF (Open Virtualization Format).
Utilisez le code d'autorisation contenu dans l'e-mail de confirmation de commande que vous avez reçu pour enregistrer votre pare-feu VM-Series et accéder au modèle OVF. Le modèle OVF est téléchargé sous forme d'archive compressée comportant trois fichiers : le fichier descripteur OVF (extension .ovf) qui contient toutes les métadonnées relatives au module et à son contenu, le fichier manifeste OVF (extension .mf) qui contient le résumé SHA-1 de chaque fichier du module et le fichier image du disque virtuel (extension .wmdk) qui contient la version virtualisée du pare-feu.
Configuration du pare-feu VM-Series sur un serveur ESXi
Configuration initiale sur le VM-Series sur ESXi
Configuration du pare-feu VM-Series sur un serveur ESXi
Suivez ces instructions pour déployer le pare-feu VM-Series sur un serveur ESXi (autonome). Pour déployer le
pare-feu VM-Series Édition NSX, reportez-vous à la section Configuration d'un pare-feu VM-Series
.
Configuration du pare-feu VM-Series
Étape 1 Téléchargez le fichier .zip qui contient le modèle OVF.
Enregistrez votre pare-feu VM-Series et obtenez le modèle OVF à l'adresse : https://support.paloaltonetworks.com.
Le fichier .zip contient les fichier d'installation de base. Une fois cette installation terminée, vous devrez télécharger et installer la version la plus récente de PAN-OS sur le portail de support. Vous profiterez ainsi des derniers correctifs appliqués depuis la création de l'image de base. Pour obtenir des instructions, reportez-vous à la section
Mise à niveau de la version du logiciel PAN-OS (Version autonome) .
Guide de déploiement VM-Series 17
Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)
Configuration d'un Pare-feu série VM sur un serveur ESXi
Configuration du pare-feu VM-Series (suite)
Étape 2 Avant de déployer le modèle OVF, configurez un ou plusieurs commutateurs virtuels standard et distribués, dont vous aurez besoin pour le Pare-feu série VM.
Si vous déployez le
Pare-feu série VM avec la couche 2, Virtual Vire ou des interfaces TAP, tout commutateur virtuel associé doit autoriser les nœuds suivants (défini sur
Accepter) :
– Mode de proximité
– Modifications d'adresse MAC
– Fausses transmissions
– Pour plus de détails, consultez la configuration requise de l'interface réseau dans la section
Pour configurer un commutateur virtuel standard pour recevoir des trames pour le pare-feu VM-Series :
1.
Configurez un commutateur virtuel standard depuis le client vSphere en sélectionnant
Accueil > Inventaire > Hôtes et clusters
.
2.
Cliquez sur l'onglet
Configuration
puis, sous
Matériel
, cliquez sur
Mise en réseau
. Pour chaque commutateur virtuel standard associé au
Pare-feu série VM, cliquez sur
Propriétés
.
3.
Sélectionnez le commutateur virtuel et cliquez sur
Modifier
. Dans les propriétés vSwitch, cliquez sur l'onglet
Sécurité
, définissez
Mode de proximité, Modifications d'adresse MAC
et
Fausses transmissions
sur
Accepter
, puis cliquez
OK
. Cette modification sera appliquée à l'ensemble des groupes de ports sur le commutateur virtuel.
Pour configurer un commutateur virtuel distribuer pour recevoir des trames pour le pare-feu VM-Series :
1.
Sélectionnez
Accueil > Inventaire > Mise en réseau
. Sélectionnez le
groupe de ports distribués
que vous souhaitez modifier, puis l'onglet
Récapitulatif
.
2.
Cliquez sur
Modifier les paramètres
, sélectionnez
Politiques >
Sécurité
, définissez
Mode de proximité, Modifications d'adresse MAC
et
Fausses transmissions
sur
Accepter
, puis cliquez
OK
.
18 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur un serveur ESXi Installation d'un Pare-feu série VM sur VMware vSphere
Hypervisor (ESXi)
Configuration du pare-feu VM-Series (suite)
Étape 3 Déployez le modèle OVF.
Si vous ajoutez des interfaces supplémentaires
(vmNIC) au pare-feu
VM-Series, un redémarrage est nécessaire car les nouvelles interfaces sont détectées pendant le cycle de démarrage. Pour ne pas redémarrer le pare-feu, veillez à ajouter les interfaces lors du déploiement initial ou pendant une fenêtre maintenance où vous pouvez redémarrer le pare-feu.
1.
Connectez-vous à vCenter à l'aide du client vSphere. Il est également possible d'accéder directement à l'hôte ESXi cible, si besoin.
2.
Depuis le client vSphere, sélectionnez
Fichier > Déployer le modèle OVF
.
3.
Accédez au modèle OVF que vous avez téléchargé à l' Étape 1
, sélectionnez le fichier, puis cliquez sur
Suivant
. Passez en revue les détails du modèle, puis cliquez à nouveau sur
Suivant
.
4.
Donnez un nom à l'instance du Pare-feu série VM et, dans la fenêtre
Emplacement d'inventaire
, sélectionnez un centre de données et un dossier, puis cliquez sur
Suivant
.
5.
Sélectionnez un hôte ESXi pour le Pare-feu série VM et cliquez sur
Suivant
.
6.
Sélectionnez le magasin de données à utiliser pour le Pare-feu série VM et cliquez sur
Suivant
.
7.
Conservez les paramètres par défaut pour la configuration du magasin de données et cliquez sur
Suivant
. L'option par défaut est
Allocation statique avec mise à zéro tardive
.
8.
Sélectionnez les réseaux à utiliser pour les deux premières vmNIC. Une vmNIC sera dédiée à l'interface de gestion, l'autre au premier port de données. Vérifiez que les
réseaux sources
sont mappés aux bons
réseaux de destination
.
9.
Passez en revue les détails, cochez la case
Mise sous tension après le déploiement
, puis cliquez sur
Suivant
.
Pour voir la progression de l'installation, surveillez la liste des
tâches récentes
.
Guide de déploiement VM-Series
10.
Une fois le déploiement terminé, cliquez sur l'onglet
Récapitulatif
pour afficher le statut actuel.
19
Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)
Configuration d'un Pare-feu série VM sur un serveur ESXi
Configuration initiale sur le VM-Series sur ESXi
Utilisez la console d'appareil virtuel sur le serveur ESXi pour configurer l'accès réseau au pare-feu VM-Series.
Vous devez d'abord configurer l'interface de gestion, puis accéder à l'interface Web pour effectuer des tâches de configuration supplémentaires. Si vous utilisez Panorama pour la gestion centralisée, reportez-vous au Guide de l'administrateur Panorama pour plus d'informations sur la gestion du périphérique à l'aide de Panorama.
Configurer l'interface de gestion
Étape 1 Contactez votre administrateur réseau pour obtenir les informations requises.
• Adresse IP du port MGT
• Masque réseau
• Passerelle par défaut
• Adresse IP de serveur DNS
Étape 2 Accédez à la console du pare-feu VM-Series.
Étape 3 Configurez les paramètres d'accès réseau pour l'interface de gestion.
Saisissez la commande suivante : set deviceconfig system ip-address <Adresse IP du pare-feu> netmask <masque réseau> default-gateway <Adresse IP de la passerelle> dns-setting servers primary <Adresse IP du serveur DNS> où
<Adresse IP du pare-feu>
est l'adresse IP que vous voulez affecter à l'interface de gestion,
<masque réseau>
est le masque de sous-réseau,
<Adresse IP de la passerelle>
est l'adresse IP de la passerelle réseau et
<Adresse IP du serveur DNS>
est l'adresse IP du serveur DNS.
Étape 4 Validez vos modifications et quittez le mode Configuration.
1.
Cliquez sur l'onglet
Console
sur le serveur ESXi pour le pare-feu VM-Series, ou faites un clic droit dur le pare-feu VM-Series et sélectionnez
Ouvrir la console
.
2.
Appuyez sur Entrée pour accéder à l'écran de connexion.
3.
Saisissez le nom d'utilisateur/mot de passe (admin/admin) par défaut pour vous connecter.
4.
Saisissez
configure
pour passer en mode configuration.
Étape 5 Vérifiez l'accès réseau aux services externes nécessaire à la gestion de pare-feu, notamment au serveur de mise à jour Palo
Alto Networks.
Saisissez
commit
.
Saisissez
exit
.
Pour vérifier que le pare-feu dispose d'un accès réseau externe, utilisez l'utilitaire ping. Vérifiez la connectivité à la passerelle par défaut, au serveur
DNS et au serveur de mise à jour Palo Alto Networks, comme indiqué dans l'exemple qui suit : admin@VM_200-Corp> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84) bytes of data.
64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=40.5 ms
64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=53.6 ms
64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=79.5 ms
Une fois la connectivité vérifiée, appuyez sur les touches Ctrl+C pour mettre fin aux commandes ping.
Un pare-feu VM-Series sans licence peut traiter jusqu'à 200 sessions simultanées. Selon l'environnement, la limite de session peut être atteinte très rapidement. Par conséquent, appliquez le code d'autorisation de capacité et récupérez une licence avant de commencer à tester le pare-feu VM-Series ; sinon, les résultats obtenus peuvent être imprévisibles s'il existe un autre trafic sur le(s) groupe(s) de ports.
20 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur un serveur ESXi Résolution des problèmes de déploiement ESXi
Résolution des problèmes de déploiement ESXi
La plupart des étapes de dépannage pour le Pare-feu série VM sont similaires à celles des versions matérielles de PAN-OS. En cas de problème, consultez les compteurs de l'interface, les fichiers journaux du système, et si nécessaire, utilisez le débogage pour créer des captures. Pour plus d'informations sur la résolution des problèmes de PAN-OS, reportez-vous à l'article Résolution des problèmes basée sur les paquets
.
Les sections suivantes décrivent comment résoudre les problèmes les plus courants :
Résolution des problèmes de base
Résolution des problèmes de base
Recommandation pour les outils de résolution des problèmes réseau
Il est recommandé de disposer d'un poste de résolution des problèmes distinct pour capturer le trafic ou injecter des paquets de test dans l'environnement virtuel. Il peut être utile de créer un nouveau système d'exploitation de toutes pièces à l'aide des outils de résolution des problèmes courants installés, tels que tcpdump, nmap, hping, traceroute, iperf, tcpedit, netcat, etc. Cette machine peut alors être mise hors tension et convertie en un modèle. Chaque fois que les outils sont nécessaires, le client de résolution des problèmes (la machine virtuelle) peut être rapidement déployé sur le(s) commutateur(s) virtuel(s) en question et utilisé pour isoler les problèmes de mise en réseau. Une fois le test terminé, l'instance peut simplement être supprimée et le modèle utilisé à nouveau la prochaine fois qu'il est requis.
En cas de problèmes de performances du pare-feu, commencez par consulter le
tableau de bord
depuis l'interface Web du pare-feu. Pour afficher les alertes ou créer un dossier de support technique ou un fichier de vidage des statistiques, sélectionnez
Périphérique > Support
.
Pour obtenir des informations sur le client vSphere, sélectionnez
Accueil > Inventaire > Machines virtuelles et modèles
depuis le client vSphere, puis l'instance du Pare-feu série VM et cliquez sur l'onglet
Récapitulatif
. Sous
Ressources
, consultez les statistiques relatives à la consommation de mémoire, de la capacité processeur et de stockage. Pour obtenir l'historique des ressources, cliquez sur l'onglet
Performances
et contrôlez la consommation des ressources.
Problèmes d'installation
Problèmes de déploiement du modèle OVF
Le pare-feu VM-Series est fourni sous forme de fichier .OVF (Open Virtualization Format) téléchargeable. Le modèle OVF est téléchargé sous forme d'archive compressée contenant trois fichiers. Si vous rencontrez des problèmes lors du déploiement, assurez-vous que les trois fichiers soient décompressés et, si nécessaire, téléchargez et extrayez le fichier .OVF à nouveau.
Guide de déploiement VM-Series 21
Résolution des problèmes de déploiement ESXi Configuration d'un Pare-feu série VM sur un serveur ESXi
Le fichier descripteur OVF (extension .ovf) contient toutes les métadonnées relatives au module et
à son contenu.
Le fichier manifeste OVF (extension .mf) contient le résumé SHA-1 de chaque fichier du module.
Le fichier image du disque virtuel (extension .wmdk) contient la version virtualisée du pare-feu.
Ce fichier est volumineux pour le pare-feu VM-Series ; il fait environ 900 Mo et doit être présent sur l'ordinateur exécutant le client vSphere ou doit être accessible en tant qu'URL de l'OVF. Assurez-vous que la connexion réseau soit suffisante entre l'ordinateur client vSphere et l'hôte ESXi cible. Tout pare-feu sur le chemin doit autoriser les ports TCP 902 et 443 depuis le client vSphere vers l'/les hôte(s) ESXi. La bande passante doit être suffisante et la latence doit être faible, sinon le déploiement OVF peut prendre des heures ou expirer et échouer.
Pourquoi le pare-feu démarre-t-il en mode maintenance ?
Si vous avez acheté la licence VM-1000-HV et que vous déployez le pare-feu VM-Series en mode autonome sur un serveur VMware ESXi ou Citrix SDX, vous devez allouer au minimum 5 Go de mémoire au pare-feu VM-Series.
Pour résoudre ce problème, vous devez modifier le fichier image de base (reportez-vous à la section
Pourquoi dois-je modifier le fichier image de base pour la licence VM-1000-HV ?
) ou les paramètres sur l'hôte ESXi ou
le serveur vCenter avant de mettre le pare-feu VM-Series sous tension.
Vérifiez également que l'interface est VMXnet3 ; la définition du type d'interface sur un autre format entraînera le démarrage du pare-feu en mode maintenance.
Pourquoi dois-je modifier le fichier image de base pour la licence VM-1000-HV ?
Si vous avez acheté la licence VM-1000-HV et déployez le pare-feu VM-Series en mode autonome sur un serveur VMware ESXi ou sur un serveur Citrix SDX, suivez ces instructions pour modifier les attributs suivants définis dans le fichier image de base (.ovf ou .xva) du pare-feu VM-Series.
Important : la modification des valeurs autres que celles répertoriées ci-dessous invalidera le fichier image de base.
Modification du fichier image de base (uniquement si la licence VM-1000-HV est utilisée en mode autonome)
Étape 1 Ouvrez le fichier image de base, par exemple 6.1.0, à l'aide d'un outil d'édition de texte tel que le Bloc-Notes.
22 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur un serveur ESXi Résolution des problèmes de déploiement ESXi
Modification du fichier image de base (uniquement si la licence VM-1000-HV est utilisée en mode autonome) (suite)
Étape 2 Recherchez 4096, modifiez la mémoire allouée et définissez-la sur 5012 (c'est-à-dire 5 Go) ici :
<Item>
<rasd:AllocationUnits>byte * 2^20</rasd:AllocationUnits>
<rasd:Description>Memory Size</rasd:Description>
<rasd:ElementName>4096MB of memory</rasd:ElementName>
<rasd:InstanceID>2</rasd:InstanceID>
<rasd:ResourceType>4</rasd:ResourceType>
<rasd:VirtualQuantity>4096</rasd:VirtualQuantity>
<Item>
<rasd:AllocationUnits>byte * 2^20</rasd:AllocationUnits>
<rasd:Description>Memory Size</rasd:Description>
<rasd:ElementName>5102MB of memory</rasd:ElementName>
<rasd:InstanceID>2</rasd:InstanceID>
<rasd:ResourceType>5</rasd:ResourceType>
<rasd:VirtualQuantity>5012</rasd:VirtualQuantity>
Étape 3 Modifiez le nombre de cœurs de processeurs virtuels alloués (de 2 à 4 ou 8, comme souhaité) pour votre déploiement :
<Item>
<rasd:AllocationUnits>hertz * 10^6</rasd:AllocationUnits>
<rasd:Description>Number of Virtual CPUs</rasd:Description>
<rasd:ElementName>2 virtual CPU(s)</rasd:ElementName>
<rasd:InstanceID>1</rasd:InstanceID>
<rasd:ResourceType>3</rasd:ResourceType>
<rasd:VirtualQuantity>2</rasd:VirtualQuantity>
<vmw:CoresPerSocket ovf:required="false">2</vmw:CoresPerSocket>
</Item>
<Item>
<rasd:AllocationUnits>hertz * 10^6</rasd:AllocationUnits>
<rasd:Description>Number of Virtual CPUs</rasd:Description>
<rasd:ElementName>4 virtual CPU(s)</rasd:ElementName>
<rasd:InstanceID>1</rasd:InstanceID>
<rasd:ResourceType>3</rasd:ResourceType>
<rasd:VirtualQuantity>4</rasd:VirtualQuantity>
<vmw:CoresPerSocket ovf:required="false">2</vmw:CoresPerSocket>
</Item>
Vous pouvez également déployer le pare-feu et, avant de le mettre le sous tension, modifier la mémoire et l'allocation de processeurs virtuels directement sur l'hôte ESXi ou le serveur vCenter.
Guide de déploiement VM-Series 23
Résolution des problèmes de déploiement ESXi
Problèmes de licence
Configuration d'un Pare-feu série VM sur un serveur ESXi
Pourquoi ne puis-je pas appliquer la licence de fonctionnalité ou de support ?
Avez-vous appliqué le code d'autorisation de capacité au pare-feu VM-Series ? Avant d'activer la licence de fonctionnalité ou de support, vous devez appliquer le code d'autorisation de capacité de manière à ce que je périphérique puisse obtenir une numéro de série. Ce numéro de série est requis pour activer les autres licences sur le pare-feu VM-Series.
Pourquoi mon pare-feu VM-Series cloné ne dispose pas d'une licence valide ?
VMware affecte un UUID unique à chaque machine virtuelle, y compris le pare-feu VM-Series. Par conséquent, lorsqu'un pare-feu VM-Series est cloné, un nouvel UUID lui est affecté. Comme le numéro de série et la licence pour chaque instance du pare-feu VM-Series est associé à l'UUID, le clonage d'un pare-feu VM-Series sous licence donne lieu à un nouveau pare-feu disposant d'une licence non valide. Vous avez besoin d'un nouveau code d'autorisation pou activer la licence sur le pare-feu qui vient d'être déployé. Vous devez appliquer le code d'autorisation de capacité et une nouvelle licence de support afin d'obtenir des fonctionnalités, un support et des mises à jour logicielles complets sur le pare-feu VM-Series.
Le déplacement du pare-feu VM-Series invalide-t-il la licence ?
Si vous déplacez manuellement le pare-feu VM-Series entre deux hôtes, veillez à sélectionner l'option
Cet invité a été déplacé
pour éviter l'invalidation de la licence.
Problèmes de connectivité
Pourquoi le pare-feu VM-Series ne reçoit aucun trafic réseau ?
Sur le pare-feu VM-Series, vérifiez les journaux de trafic (
Surveillance > Journaux
). Si les journaux sont vides, utilisez la commande de la CLI suivante pour afficher les paquets sur les interfaces du pare-feu VM-Series :
show counter global filter delta yes
Global counters:
Elapsed time since last sampling: 594.544 seconds
--------------------------------------------------------------------------------
Total counters shown: 0
--------------------------------------------------------------------------------
Dans l'environnement vSphere, recherchez les problèmes suivants :
Vérifiez les groupes de ports et assurez-vous que le pare-feu et la/les machine(s) virtuelle(s) se trouvent sur le bon groupe de ports.
24 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur un serveur ESXi Résolution des problèmes de déploiement ESXi
Vérifiez que les interfaces sont correctement mappées.
Adaptateur réseau 1 = gestion
Adaptateur réseau 1 = Ethernet 1/1
Adaptateur réseau 3 = Ethernet 1/2
Pour chaque machine virtuelle, accédez aux paramètres et vérifiez que l'interface est mappée au bon groupe de ports.
Vérifiez que le mode de proximité est activé pour chaque groupe de ports ou pour le commutateur.
Comme les adresses MAC PAN-OS sont différentes des adresses MAC VMNIC affectées par vSphere, le groupe de ports (ou vSwitch) doit être en mode de proximité.
Vérifiez les paramètres VLAN sur vSphere.
L'utilisation du paramètre VLAN pour le groupe de ports vSphere vise deux objectifs : déterminer les groupes de ports qui partagent un domaine de couche 2 et si les ports de liaison montante sont marqués (802.1Q).
Vérifiez les paramètres de port du commutateur physique.
Si un ID de réseau local virtuel est spécifié sur un groupe de port dotés de ports de liaison montante, vSphere utilise 802.1Q pour marquer les trames sortantes. L'étiquette doit correspondre à la configuration sur le commutateur physique, sinon le trafic ne passe pas.
Vérifiez les statistiques de port si vous utilisez des commutateurs distribués (vDS) ; les commutateurs standard ne fournissent aucune statistique de port.
Guide de déploiement VM-Series 25
Résolution des problèmes de déploiement ESXi Configuration d'un Pare-feu série VM sur un serveur ESXi
26 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Pour réduire l'encombrement et consolider les fonctionnalités clés sur un seul serveur, vous pouvez déployer une ou plusieurs instances du pare-feu VM-Series sur le serveur Citrix SDX. Le déploiement du pare-feu VM-Series conjointement avec NetScaler VPX sécurise la mise à disposition d'applications, ainsi que la sécurité, la disponibilité, les performances et la visibilité du réseau.
À propos du pare-feu VM-Series sur le serveur SDX
Configuration système requise et limitations
Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix
Installation du Pare-feu série VM sur le serveur SDX
Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series
Guide de déploiement VM-Series
27
À propos du pare-feu VM-Series sur le serveur SDX Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
À propos du pare-feu VM-Series sur le serveur SDX
Une ou plusieurs instances du pare-feu VM-Series peuvent être déployées pour sécuriser le trafic est-ouest et/ou nord-sud sur le réseau ; les interfaces de câble virtuel, de couche 2 et de couche 3 sont prises en charge. Pour déployer le pare-feu, reportez-vous à la section
Installation du Pare-feu série VM sur le serveur SDX .
Une fois déployé, le pare-feu VM-Series fonctionne harmonieusement avec NetScaler VPX (si nécessaire), qui est un appareil NetScaler virtuel déployé sur le serveur SDX. NetScaler VPX fournit des fonctionnalités d'équilibrage de la charge et de gestion du trafic ; celui-ci est généralement déployé sur une batterie de serveurs pour faciliter l'accès aux serveurs. Pour une présentation complète de la fonctionnalité NetScaler, reportez-vous
à la page http:www.citrix.com/netscaler . Lorsque le pare-feu VM-Series est associé à NetScaler VPX, les fonctionnalités complémentaires optimisent la gestion du trafic, l'équilibrage de la charge et la sécurité du réseau/des applications.
Ce document part du principe que vous maîtrisez la mise en réseau et la configuration sur NetScaler VPX. Afin de fournir un contexte pour les termes utilisés dans cette section, voici un bref rappel des adresses IP appartenant à NetScaler auxquelles ce document fait référence.
Adresse IP NetScaler (NSIP) : une NSIP est l'adresse IP permettant la gestion et l'accès au système général de NetScaler, ainsi que la communication HD.
Adresse IP mappée (MIP) : une MIP est utilisée pour les connexions côté serveur. Ce n'est pas une adresse IP de NetScaler. Dans la plupart des cas, lorsque NetScaler reçoit un paquet, il remplace l'adresse IP source par une MIP avant d'envoyer le paquet au serveur. Lorsque les serveurs sont extraits des clients,
NetScaler gère les connexions de manière plus efficace.
Adresse IP de serveur virtuel (VIP) : une VIP est l'adresse IP associée à un serveur. Il s'agit de l'adresse IP publique à laquelle les clients se connectent. Plusieurs VIP peuvent être configurées lors de la gestion d'un large trafic par NetScaler.
Adresse IP de sous-réseau (SNIP) : lorsque NetScaler est associé à plusieurs sous-réseaux, des SNIP peuvent
être configurées pour être utilisées comme MIP fournissant un accès à ces sous-réseaux. Les SNIP peuvent
être associées à des réseaux locaux virtuels et des interfaces spécifiques.
Pour obtenir des exemples de déploiement conjoint du pare-feu VM-Series et de NetScaler VPX, reportez-vous
à la section
Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix .
28 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Configuration système requise et limitations
Configuration système requise et limitations
Cette section décrit la configuration requise et les limitations du pare-feu VM-Series sur le serveur Citrix SDX.
Configuration requise
Vous pouvez déployer plusieurs instances du pare-feu VM-Series sur un serveur Citrix SDX. Comme chaque instance du pare-feu requiert une allocation minimum des ressources (nombre de processeurs, mémoire et espace disque) sur le serveur SDX, assurez-vous de vous conformer aux spécifications ci-dessous pour obtenir des performances optimales.
Configuration requise Détails
Plates-formes SDX • 11500, 13500, 14500, 16500, 18500, 20500 ;
• 17550, 19550, 20550, 21550
Version SDX 10.1+
La version 10.1 n'est pas prise en charge ; une version logicielle ultérieure est requise.
6.0.2 ou version ultérieure Version Citrix XenServer
Ressources système minimum
Prévoyez et allouez le nombre total d'interfaces de données dont vous pourriez avoir besoin sur le pare-feu VM-Series.
Cette tâche est essentielle lors du déploiement initial, car l'ajout ou la suppression d'interfaces sur le pare-feu VM-Series après le déploiement initial entraîne le remappage des interfaces de données (Ethernet 1/1 et Ethernet 1/2) sur le pare-feu aux adaptateurs sur le serveur SDX. Chaque interface de données est mappée séquentiellement à l'adaptateur dont la valeur numérique est la plus faible ; ce remappage peut entraîner une non-correspondance de configuration sur le pare-feu
• Deux vCPU par Pare-feu série VM. Un vCPU sera utilisé pour le plan de gestion, l'autre pour le plan de données. Vous pouvez ajouter des vCPU comme suit : 2, 4 ou 8 vCPU ; des vCPU supplémentaires sont affectés au plan de données.
• Deux interfaces réseau : une dédiée au trafic de gestion et une au trafic de données. Pour le trafic de gestion, vous pouvez utiliser les interfaces 0/x sur le plan de gestion ou les interfaces 10/x sur le plan de données. Affectez des interfaces réseau pour le trafic de données, tel que requis pour votre topologie de réseau.
• 4 Go de mémoire (5 Go pour VM-1000-HV). Toute mémoire supplémentaire allouée est utilisée uniquement par le plan de gestion.
• 40 Go d'espace disque virtuel. Vous pouvez ajouter de l'espace supplémentaire de 40 Go (minimum) à 2 To (maximum). L'espace disque supplémentaire est utilisé à des fins de journalisation uniquement.
Guide de déploiement VM-Series 29
Configuration système requise et limitations Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Limitations
Le Pare-feu série VM déployé sur le serveur Citrix SDX présente les limitations suivantes :
24 ports maximum peuvent être configurés. Un port sera utilisé pour le trafic de gestion et jusqu'à 23 ports peuvent être utilisés pour le trafic de données.
Les trames Jumbo ne sont pas prises en charge.
L'agrégation des liaisons n'est pas prise en charge.
Pour déployer le pare-feu, reportez-vous à la section
Installation du Pare-feu série VM sur le serveur SDX .
30 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix
Déploiements pris en charge : pare-feu VM-Series sur le
SDX Citrix
Dans les scénarios suivants, le pare-feu VM-Series sécurise le trafic destiné aux serveurs sur le réseau. Il fonctionne conjointement avec NetScaler VPX pour gérer le trafic avant ou après qu'il ait atteint
NetScaler VPX.
Scénario 1 : sécurisation du trafic nord-sud
Scénario 2 : sécurisation du trafic est-ouest (Pare-feu VM-Series sur le SDK Citrix)
Scénario 1 : sécurisation du trafic nord-sud
Pour sécuriser le trafic nord-sud à l'aide d'un pare-feu VM-Series sur un serveur SDX, vous disposez des options suivantes :
Déploiement du pare-feu VM-Series entre NetScaler VPX et les serveurs
Déploiement du pare-feu VM-Series avant NetScaler VPX
Déploiement du pare-feu VM-Series entre NetScaler VPX et les serveurs
Le pare-feu de périmètre sécurise tout le trafic sur le réseau. Tout le trafic autorisé sur le réseau passe par
NetScaler VPX, puis par le pare-feu VM-Series, avant que la requête ne soit transférée aux serveurs.
Dans ce scénario, le pare-feu VM-Series sécurise le trafic nord-sud et peut être déployé à l'aide d'interfaces de câble virtuel, L2 ou L3.
Déploiement du pare-feu VM-Series à l'aide d'interfaces L3
Déploiement du pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel
Guide de déploiement VM-Series 31
Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Déploiement du pare-feu VM-Series à l'aide d'interfaces L3
Le déploiement du pare-feu à l'aide d'interfaces L3 permet une évolution encore plus facile lorsque vous déployez de nouveaux serveurs et sous-réseaux. Vous pouvez déployer plusieurs instances du pare-feu pour gérer le trafic sur chaque nouveau sous-réseau, puis configurer les pare-feux en tant que paire haute HD, si nécessaire.
L'utilisation d'une interface L3 vous permet d'apporter des modifications minimes à la configuration réseau/serveur SDX car la SNIP d'accès aux serveurs est supprimée de NetScaler VPX et est configurée sur le pare-feu VM-Series. De cette façon, une seule interface de données est utilisée sur le pare-feu VM-Series ; une seule zone peut donc être définie. Par conséquent, lors de la définition des règles de politique, vous devez spécifier les sous-réseaux/les adresses IP source et de destination auxquels appliquer les règles de sécurité.
Pour plus de détails, reportez-vous à la section
Déploiement du pare-feu VM-Series à l'aide d'interfaces L3
.
Topologie après l'ajout du pare-feu VM-Series à l'aide d'interfaces L3
Dans cet exemple, l'adresse IP publique à laquelle les clients se connectent (VIP de NetScaler VPX) est
192.168.1.10. Afin de fournir l'accès aux serveurs sur le sous-réseau 192.168.2.x, la configuration de
NetScaler VPX fait référence aux sous-réseaux (SNIP) 192.168.1.1 et 192.168.2.1. Selon votre configuration réseau et les itinéraires par défaut, il se peut que l'acheminement sur les serveurs doive être modifié.
Lorsque vous configurez le pare-feu VM-Series, vous devez ajouter une interface de données (par exemple,
Ethernet 1/1) et lui affecter deux adresses IP. Une adresse IP doit se trouver sur le même sous-réseau que la
VIP et l'autre sur le même sous-réseau que les serveurs. Dans cet exemple, les adresses IP affectées à l'interface de données sont 192.168.1.2 et 192.168.2.1. Comme une seule interface de données est utilisée sur le pare-feu VM-Series, toute le trafic appartient à une seule zone et tout le trafic intra-zone est implicitement autorisé dans la politique. Par conséquent, lors de la définition des règles de politique, vous devez spécifier les sous-réseaux/les adresses IP source et de destination auxquels appliquer les règles de sécurité.
Même après l'ajout d'un pare-feu VM-Series sur le serveur SDX, l'adresse IP à laquelle les clients continuent de se connecter est la VIP de NetScaler VPX (192.168.1.10). Toutefois, pour acheminer tout le trafic via le pare-feu, sur NetScaler VPX, vous pouvez définir un itinéraire vers le sous-réseau 192.168.2.x. Dans cet exemple, pour accéder aux serveurs, cet itinéraire doit faire référence à l'adresse IP 192.168.1.2 affectée à l'interface de données sur le pare-feu VM-Series. Tout le trafic destiné aux serveurs est alors acheminé depuis NetScaler VPX vers le pare-feu, puis vers les serveurs. Le trafic de retour utilise l'interface 192.168.2.1 sur le pare-feu VM-Series et la
SNIP 192.168.1.1 comme saut suivant.
32 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix
Pour la conformité aux exigences de sécurité, si l'USIP (adresse IP source du client utilisé) et activée sur NetScaler VPX, le pare-feu VM-Series requiert un itinéraire pointant vers la
SNIP 192.168.1.1, dans cet exemple. Si une adresse IP (mappée/SNIP) NAT est utilisée, vous n'avez pas besoin de définir un itinéraire par défaut sur le pare-feu VM-Series.
Pour obtenir des instructions, reportez-vous à la section
Déploiement du pare-feu VM-Series à l'aide d'interfaces L3 .
Déploiement du pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel
Le déploiement du pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel requiert la reconfiguration de NetScaler VPX pour supprimer la connexion directe aux serveurs. Le pare-feu VM-Series peut alors être câblé et configuré pour intercepter et appliquer la politique de manière transparente sur le trafic destiné aux serveurs. De cette façon, deux interfaces de données sont créées sur le pare-feu et chacune appartient à une zone distincte. La politique de sécurité est définie pour autoriser le trafic entre les zones source et de destination. Pour plus de détails, reportez-vous à la section
Déploiement du pare-feu VM-Series à l'aide d'interfaces de couche 2 (L2) ou de câble virtuel .
Topologie après l'ajout du pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel
Guide de déploiement VM-Series 33
Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Déploiement du pare-feu VM-Series avant NetScaler VPX
Dans ce scénario, le pare-feu de périmètre est remplacé par le pare-feu VM-Series qui peut être déployé à l'aide d'interfaces L3, L2 ou de câble virtuel. Tout le trafic sur votre réseau est sécurisé par le pare-feu VM-Series avant que la requête n'atteigne NetScaler VPX est ne soit transférée aux serveurs. Pour plus de détails, reportez-vous
à la section
Déploiement du pare-feu VM-Series avant NetScaler VPX .
Scénario 2 : sécurisation du trafic est-ouest (Pare-feu VM-Series sur le SDK
Citrix)
Le pare-feu VM-Series est déployé avec deux systèmes NetScaler VPX qui traitent différents segments de serveur sur votre réseau ou fonctionnent comme points de terminaison pour les tunnels SSL. Dans ce scénario, le pare-feu de périmètre sécurise le trafic entrant. Ensuite, le trafic destiné aux serveurs DMZ passe par
NetScaler VPX qui équilibre la charge de la requête. Pour ajouter une couche de sécurité supplémentaire au réseau interne, tout le trafic est-ouest entre le réseau DMZ et le réseau d'entreprise est acheminé via le pare-feu VM-Series. Le pare-feu peut appliquer la sécurité réseau et valider l'accès pour ce trafic. Pour plus de
34 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Installation du Pare-feu série VM sur le serveur SDX
Installation du Pare-feu série VM sur le serveur SDX
Un compte de support et une licence VM-Series valide sont requis pour obtenir le fichier image de base .xva nécessaire pour installer le pare-feu VM-Series sur le serveur SDX. Si vous n'avez pas encore enregistré dans votre compte le code d'autorisation de capacité contenu dans l'e-mail de confirmation de commande que vous
avez reçu, reportez-vous à la section Enregistrement du pare-feu VM-Series
. Une fois l'enregistrement terminé, continuez les tâches suivantes :
Chargement de l'image sur le serveur SDX
Configuration du pare-feu VM-Series sur le serveur SDX
Chargement de l'image sur le serveur SDX
Pour configurer le pare-feu VM-Series, vous devez obtenir le fichier image .xva et le charger sur le serveur SDX.
Chargement de l'image XVA sur le serveur SDX
Étape 1 Téléchargez et extrayez le fichier image de base compressé sur un ordinateur local.
1.
Accédez à la page https://support.paloaltonetworks.com/ et téléchargez le fichier .zip
Image de base VM-Series pour
Citrix SDX
.
2.
Décompressez le fichier image de base (.zip) et extrayez le fichier
.xva
.
Ce fichier .xva est requis pour installer le pare-feu VM-Series.
Étape 2 Chargez l'image depuis l'ordinateur local sur le serveur Citrix SDX.
1.
Ouvrez votre navigateur Web et connectez-vous au serveur SDX.
2.
Sélectionnez
Configuration > Palo Alto VM-Series > Images logicielles
.
3.
Dans la liste déroulante
Action
, sélectionnez
Charger
..., puis
accédez
à l'emplacement du fichier image .xva enregistré.
4.
Sélectionnez l'image et cliquez sur
Ouvrir
.
5.
Chargez
l'image sur le serveur SDX.
Guide de déploiement VM-Series 35
Installation du Pare-feu série VM sur le serveur SDX Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Configuration du pare-feu VM-Series sur le serveur SDX
Configuration du pare-feu VM-Series sur le serveur SDX
Étape 1 Accédez au serveur SDX.
Ouvrez votre navigateur Web et connectez-vous au serveur SDX.
Étape 2 Créez le pare-feu VM-Series.
Allouez le nombre total d'interfaces de données dont vous pourriez avoir besoin sur le pare-feu VM-Series lors du déploiement initial. L'ajout ou la suppression d'interfaces sur le pare-feu VM-Series après le déploiement initial entraîne le remappage des interfaces de données (Ethernet 1/1 et
Ethernet 1/2) sur le pare-feu aux adaptateurs sur le serveur SDX.
Chaque interface de données est mappée séquentiellement à l'adaptateur dont la valeur numérique est la plus faible ; ce remappage peut entraîner une non-correspondance de configuration sur le pare-feu.
1.
Sélectionnez
Configuration > Palo Alto VM-Series > Instances
2.
Cliquez sur
Ajouter
.
3.
Donnez un nom au pare-feu VM-Series.
4.
Sélectionnez l'image xva précédemment chargée. Cette image est requise pour configurer le pare-feu.
5.
Allouez la mémoire, l'espace disque supplémentaire et les CPU virtuels pour le pare-feu VM-Series. Pour vérifier les recommandations d'allocation, reportez-vous à la section
.
6.
Sélectionnez les interfaces réseau :
• Utilisez les interfaces de gestion 0/1 ou 0/2 et affectez-leur une adresse IP, un masque réseau et une adresse IP de passerelle.
Si nécessaire, vous pouvez utiliser une interface de données sur le serveur SDX pour la gestion du pare-feu.
• Sélectionnez les interfaces de données à utiliser pour la gestion du trafic depuis et vers le pare-feu.
Si vous envisagez de déployer les interfaces en tant qu'interfaces de couche 2 ou de câble virtuel, sélectionnez l'option
Autoriser le mode L2
pour que le pare-feu puisse recevoir et transférer des paquets pour d'autres adresses MAC que sa propre adresse MAC.
7.
Consultez le récapitulatif puis cliquez sur
Terminer
pour lancer le processus d'installation. La configuration du pare-feu prendra
5 à 8 minutes. Une fois la configuration terminée, utilisez l'adresse IP de gestion pour lancer l'interface Web du pare-feu.
Poursuivez avec la section Activation de la licence .
36 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Cette section fournit des informations sur le déploiement du NetScaler VPX et du pare-feu VM-Series sur le serveur Citrix SDX :
Déploiement du pare-feu VM-Series à l'aide d'interfaces L3
Déploiement du pare-feu VM-Series à l'aide d'interfaces de couche 2 (L2) ou de câble virtuel
Déploiement du pare-feu VM-Series avant NetScaler VPX (à l'aide d'interfaces de câble virtuel)
Déploiement du pare-feu VM-Series à l'aide d'interfaces L3
Pour sécuriser le trafic nord-sud, ce scénario vous indique comment déployer le pare-feu VM-Series à l'aide d'interfaces L3 ; le pare-feu VM-Series est placé de manière à sécuriser le trafic entre NetScaler VPX et les serveurs sur votre réseau.
Topologie avant l'ajout du pare-feu VM-Series
Guide de déploiement VM-Series 37
Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Topologie après l'ajout du pare-feu VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Le tableau suivant décrit les tâches que vous devez effectuer pour déployer le pare-feu VM-Series. Pour obtenir des instructions sur la configuration du pare-feu, reportez-vous à la
Documentation PAN-OS
. Le flux de travail et la configuration sur NetScaler VPX de ce document ; pour plus d'informations sur la configuration de
NetScaler VPX, reportez-vous à la documentation Citrix.
38 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Configuration du pare-feu VM-Series pour traiter le trafic nord-sud à l'aide d'interfaces L3
Étape 1
Installation du Pare-feu série VM sur le serveur SDX .
Étape 2 Configurez l'interface de données sur le pare-feu.
Lors de la configuration du pare-feu VM-Series sur le serveur SDX, vous devez vous assurer de sélectionner la bonne interface de données pour que le pare-feu puisse accéder au(x) serveur(s).
1.
Sélectionnez
Réseau > Routeur virtuel
, puis cliquez sur le lien
par défaut
pour ouvrir la boîte de dialogue Routeur Virtuel et
ajoutez
l'interface au routeur virtuel.
2.
(Requis uniquement si l'option USIP est activée sur
NetScaler VPX) Dans l'onglet
Itinéraires statiques
du routeur virtuel, sélectionnez l'interface et ajoutez la SNIP NetScaler
(192.68.1.1 dans cet exemple) comme
saut suivant
. L'itinéraire défini ici est utilisé pour acheminer le trafic depuis le pare-feu vers NetScaler VPX.
3.
Sélectionnez
Réseau > Interfaces > Ethernet
et choisissez l'interface que vous voulez configurer.
4.
Sélectionnez le
Type d'interface
. Bien que votre choix dépende ici de votre topologie de réseau, cet exemple utilise la
couche 3
.
5.
Dans l'onglet
Configuration
, sélectionnez
par défaut
dans la liste déroulante
Routeur virtuel
.
6.
Sélectionnez
Nouvelle zone
dans la liste déroulante
Zone de sécurité
. Dans la boîte de dialogue Zone, donnez un
nom
à la nouvelle zone, par exemple, Par défaut, puis cliquez sur
OK
.
7.
Sélectionnez l'onglet
IPv4 ou IPv6
, cliquez sur
Ajouter
dans la section IP, puis saisissez deux adresses IP (une pour chaque sous-réseau traité) et un masque réseau à affecter à l'interface.
Par exemple, 192.168.1.2 et 192.168.2.1.
8.
(Facultatif) Pour envoyer des requêtes ping ou SSH à l'interface, sélectionnez
Avancé > Autres informations
, développez la liste déroulante
Profil de gestion
et sélectionnez
Nouveau profil de gestion
. Donnez un
nom
au profil, sélectionnez
Ping
et
SSH
, puis cliquez sur
OK
.
9.
Pour enregistrer la configuration de l'interface, cliquez sur
OK
.
10.
Cliquez sur
Valider
pour enregistrer vos modifications sur le pare-feu.
Guide de déploiement VM-Series 39
Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Configuration du pare-feu VM-Series pour traiter le trafic nord-sud à l'aide d'interfaces L3 (suite)
Étape 3 Créez une politique de base pour autoriser le trafic entre NetScaler VPX et les serveurs Web.
Dans cet exemple, comme une seule interface de données a été configurée, des adresses IP source et de destination sont spécifiées pour autoriser le trafic entre
NetScaler VPX et les serveurs.
1.
Sélectionnez
Politiques > Sécurité
, puis cliquez sur
Ajouter
.
2.
Dans l'onglet
Général
, donnez un nom descriptif à la règle.
3.
Dans l'onglet
Source
, sélectionnez
Ajouter
dans la section
Adresse source, puis cliquez sur le lien
Adresse
.
4.
Créez un nouvel objet d'adresse qui spécifie la SNIP de
NetScaler VPX. Dans cet exemple, cette adresse IP est la source de toutes les requêtes envoyées aux serveurs.
5.
Dans l'onglet
Destination
, sélectionnez
Ajouter
dans la section
Adresse de destination, puis cliquez sur le lien
Adresse
.
6.
Créez un nouvel objet d'adresse qui spécifie le sous-réseau des serveurs Web. Dans cet exemple, ce sous-réseau héberge tous les serveurs Web qui traitent les requêtes.
7.
Dans l'onglet
Application
, sélectionnez Navigation Web.
8.
Dans l'onglet
Actions
, effectuez les tâches suivantes : a. Définissez le
Paramètre d'action
sur
Autoriser
. b. Joignez les profils par défaut pour l'antivirus, l'antispyware et la protection contre les vulnérabilités, sous
Paramètre de profil
.
9.
Vérifiez que la journalisation est activée en fin session sous
Options
. Seul le trafic qui correspond à une règle de sécurité sera consigné.
10.
Créez une autre règle pour refuser tout autre trafic des adresses IP sources et de destination sur le réseau.
Comme tout le trafic intra-zone est autorisé par défaut, pour refuser le trafic autre que la navigation Web, vous devez créer une règle de refus qui bloque explicitement tout autre trafic.
Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series
.
Pour une vue d'ensemble des déploiements, reportez-vous à la section
Déploiements pris en charge : pare-feu
40 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Déploiement du pare-feu VM-Series à l'aide d'interfaces de couche 2 (L2) ou de câble virtuel
Pour sécuriser le trafic nord-sud, ce scénario vous indique comment déployer le pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel. Le pare-feu VM-Series sécurise le trafic destiné aux serveurs. La requête arrive à l'adresse VIP de NetScaler VPX et est traitée par le pare-feu VM-Series avant d'atteindre les serveurs.
Sur le chemin du retour, le trafic est dirigé vers la SNIP de NetScaler VPX et est traité par le pare-feu VM-Series avant d'être renvoyé au client.
Topologie après l'ajout du pare-feu VM-Series
Le tableau suivant décrit les tâches de configuration de base que vous devez effectuer pour déployer le pare-feu VM-Series. Pour obtenir des instructions sur la configuration du pare-feu, reportez-vous à la documentation PAN-OS . Le flux de travail et la configuration sur NetScaler VPX de ce document ; pour plus d'informations sur la configuration de NetScaler VPX, reportez-vous à la documentation Citrix.
Configuration du pare-feu VM-Series pour traiter le trafic nord-sud à l'aide d'interfaces L2 ou de câble virtuel
Étape 1
Installation du Pare-feu série VM sur le serveur SDX .
Sur le serveur SDX, assurez-vous de sélectionner l'option
Autoriser le mode L2
sur chaque interface de données. Ce paramètre permet au pare-feu de transférer des paquets destinés à la VIP de
NetScaler VPX.
Guide de déploiement VM-Series 41
Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Configuration du pare-feu VM-Series pour traiter le trafic nord-sud à l'aide d'interfaces L2 ou de câble virtuel (suite)
Étape 2 Recâblez l'interface côté serveur affectée à
NetScaler VPX.
Comme NetScaler VPX redémarre lors qu'il est recâblé, déterminez si vous souhaitez effectuer cette tâche lors de l'affichage d'une fenêtre de maintenance.
Si vous avez déjà déployé NetScaler VPX et que vous ajoutez le pare-feu VM-Series au serveur SDX, vous disposez de deux ports affectés à VPX. Lors du déploiement du pare-feu VM-Series,
NetScaler VPX requiert alors un seul port pour la gestion du trafic côté client.
Par conséquent, avant de configurer les interfaces de données sur le pare-feu VM-Series, vous devez retirer le câble de l'interface qui connecte VPX à la batterie de serveurs et le relier au pare-feu de manière à ce que tout le trafic vers la batterie de serveurs soit traité par le pare-feu.
Étape 3 Configurez les interfaces de données.
Cet exemple indique la configuration des interfaces de câble virtuel.
1.
Lancez l'interface Web du pare-feu.
2.
Sélectionnez
Réseau > Interfaces >Ethernet
.
3.
Cliquez sur le lien d'une interface (par exemple, Ethernet 1/1) et définissez le
type d'interface
sur
Couche 2
ou
Câble virtuel
.
Configuration du câble virtuel
Chaque interface de câble virtuel (Ethernet 1/1 et Ethernet 1/2) doit être connectée à une zone de sécurité et à un câble virtuel. Pour configurer ces paramètres, sélectionnez l'onglet
Configuration
et effectuez les tâches suivantes : a. Dans la liste déroulante Câble virtuel, cliquez sur
Nouveau câble virtuel
, donnez-lui un
nom
, puis affectez-lui les deux interfaces de données (Ethernet 1/1 et Ethernet 1/2) et cliquez sur
OK
.
Lors de la configuration de l'interface Ethernet 1/2, sélectionnez ce câble virtuel.
b. Sélectionnez
Nouvelle zone
dans la liste déroulante
Zone de sécurité
, puis donnez-lui un
nom
, par exemple Client, et cliquez sur
OK
.
Configuration de la couche 2
Chaque interface de couche 2 requiert une zone de sécurité.
Sélectionnez l'onglet
Configuration
et effectuez les tâches suivantes : a. Sélectionnez
Nouvelle zone
dans la liste déroulante
Zone de sécurité
, puis donnez-lui un
nom
, par exemple Client, et cliquez sur
OK
.
4.
Répétez les étapes
ci-dessus pour l'autre interface.
5.
Cliquez sur
Valider
pour enregistrer les modifications sur le pare-feu.
42 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Configuration du pare-feu VM-Series pour traiter le trafic nord-sud à l'aide d'interfaces L2 ou de câble virtuel (suite)
Étape 4 Créez une règle de politique de base pour autoriser le trafic via le pare-feu.
Cet exemple vous indique comment autoriser le trafic entre NetScaler VPX et les serveurs Web.
1.
Sélectionnez
Politiques > Sécurité
, puis cliquez sur
Ajouter
.
2.
Dans l'onglet
Général
, donnez un nom descriptif à la règle.
3.
Dans l'onglet
Source
, sélectionnez la zone côté client définie en regard de
Zone source
. Dans cet exemple, sélectionnez Client.
4.
Dans l'onglet
Destination
, sélectionnez la zone côté serveur définie en regard de
Zone de destination
. Dans cet exemple, sélectionnez Serveur.
5.
Dans l'onglet
Application
, cliquez sur
Ajouter
pour sélectionner les applications auxquelles vous souhaitez accéder.
6.
Dans l'onglet
Actions
, effectuez les tâches suivantes : a. Définissez le
Paramètre d'action
sur
Autoriser
. b. Joignez les profils par défaut pour l'antivirus, l'antispyware, la protection contre les vulnérabilités et le filtrage des URL, sous
Paramètre de profil
.
7.
Vérifiez que la journalisation est activée en fin session sous
Options
. Seul le trafic qui correspond à une règle de sécurité sera consigné.
Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series .
Pour une vue d'ensemble des déploiements, reportez-vous à la section
Déploiements pris en charge : pare-feu
Guide de déploiement VM-Series 43
Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Déploiement du pare-feu VM-Series avant NetScaler VPX
L'exemple suivant vous indique comment déployer le pare-feu VM-Series pour traiter et sécuriser le trafic avant qu'il n'atteigne NetScaler VPX. Dans cet exemple, le pare-feu VM-Series est déployé à l'aide d'interfaces de câble virtuel et les requêtes de connexion du client sont destinées à la VIP de NetScaler VPX. Veuillez noter que vous pouvez déployer le pare-feu VM-Series à l'aide d'interfaces L2 ou L3, selon vos besoins spécifiques.
Topologie avant l'ajout du pare-feu VM-Series
Topologie après l'ajout du pare-feu VM-Series
Le tableau suivant décrit les tâches de configuration de base que vous devez effectuer sur le pare-feu VM-Series.
Pour obtenir des instructions sur la configuration du pare-feu, reportez-vous à la documentation PAN-OS .
Le flux de travail et la configuration sur NetScaler VPX de ce document ; pour plus d'informations sur la configuration de NetScaler VPX, reportez-vous à la documentation Citrix.
44 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Configuration du pare-feu VM-Series avant NetScaler VPX à l'aide d'interfaces de câble virtuel
Étape 1
Installation du Pare-feu série VM sur le serveur SDX .
Étape 2 Recâblez l'interface côté client affectée à
NetScaler VPX.
Comme NetScaler VPX redémarre lors qu'il est recâblé, déterminez si vous souhaitez effectuer cette tâche lors de l'affichage d'une fenêtre de maintenance.
Si vous avez déjà déployé NetScaler VPX et que vous ajoutez le pare-feu VM-Series au serveur SDX, vous disposez de deux ports affectés à VPX. Lors du déploiement du pare-feu VM-Series,
NetScaler VPX requiert alors un seul port qui le connecte à la batterie de serveurs.
Par conséquent, avant de configurer les interfaces de données sur le pare-feu VM-Series, vous devez retirer le câble de l'interface qui connecte VPX au trafic côté client et le relier au pare-feu de manière
à ce que tout le trafic entrant soit traité par le pare-feu.
Étape 3 Configurez les interfaces de données.
Sur le serveur SDX, assurez-vous de sélectionner l'option
Autoriser le mode L2
sur l'interface de données. Ce paramètre permet au pare-feu de transférer des paquets destinés à la VIP de
NetScaler VPX.
1.
Lancez l'interface Web du pare-feu.
2.
Sélectionnez
Réseau > Interfaces >Ethernet
.
3.
Cliquez sur le lien d'une interface (par exemple, Ethernet 1/1) et définissez le
type d'interface
sur
Câble virtuel
.
4.
Cliquez sur le lien de l'autre interface et définissez le
type d'interface
sur
Câble virtuel
.
5.
Chaque interface de câble virtuel doit être connectée à une zone de sécurité et à un câble virtuel. Pour configurer ces paramètres, sélectionnez l'onglet
Configuration
et effectuez les tâches suivantes :
• Dans la liste déroulante Câble virtuel, cliquez sur
Nouveau câble virtuel
, donnez-lui un
nom
, puis affectez-lui les deux interfaces de données (Ethernet 1/1 et Ethernet 1/2) et cliquez sur
OK
.
Lors de la configuration de l'interface Ethernet 1/2, sélectionnez ce câble virtuel.
• Sélectionnez
Nouvelle zone
dans la liste déroulante
Zone de sécurité
, puis donnez-lui un
nom
, par exemple Client, et cliquez sur
OK
.
6.
Répétez l'étape
5 ci-dessus pour l'autre interface.
7.
Cliquez sur
Valider
pour enregistrer les modifications sur le pare-feu.
Guide de déploiement VM-Series 45
Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Configuration du pare-feu VM-Series avant NetScaler VPX à l'aide d'interfaces de câble virtuel (suite)
Étape 4 Créez une règle de politique de base pour autoriser le trafic via le pare-feu.
Cet exemple vous indique comment autoriser le trafic entre NetScaler VPX et les serveurs Web.
1.
Sélectionnez
Politiques > Sécurité
, puis cliquez sur
Ajouter
.
2.
Dans l'onglet
Général
, donnez un nom descriptif à la règle.
3.
Dans l'onglet
Source
, sélectionnez la zone côté client définie en regard de
Zone source
. Dans cet exemple, sélectionnez Client.
4.
Dans l'onglet
Destination
, sélectionnez la zone côté serveur définie en regard de
Zone de destination
. Dans cet exemple, sélectionnez Serveur.
5.
Dans l'onglet
Application
, cliquez sur
Ajouter
pour sélectionner les applications auxquelles vous souhaitez accéder.
6.
Dans l'onglet
Actions
, effectuez les tâches suivantes : a. Définissez le
Paramètre d'action
sur
Autoriser
. b. Joignez les profils par défaut pour l'antivirus, l'antispyware, la protection contre les vulnérabilités et le filtrage des URL, sous
Paramètre de profil
.
7.
Vérifiez que la journalisation est activée en fin session sous
Options
. Seul le trafic qui correspond à une règle de sécurité sera consigné.
Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series
.
Pour une vue d'ensemble des déploiements, reportez-vous à la section
Déploiements pris en charge : pare-feu
46 Guide de déploiement VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series
Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series
L'exemple suivant vous indique comment déployer votre pare-feu VM-Series pour sécuriser les serveurs d'applications ou de bases de données sur votre réseau. Ce scénario vous est utile si vous disposez de deux instances NetScaler VPX, une qui authentifie les utilisateurs, met fin aux connexions SSL et équilibre la charge des requêtes vers les serveurs DMZ, et l'autre qui équilibre la charge des connexions vers les serveurs d'entreprise qui hébergent les serveurs d'applications et de bases de données sur votre réseau.
Topologie avant l'ajout du pare-feu VM-Series
La communication entre les serveurs du réseau DMZ et les serveurs du centre de données d'entreprise est traitée par les deux instances NetScaler VPX. Pour le contenu qui réside dans le centre de données d'entreprise, une nouvelle requête est envoyée à l'autre instance NetScaler VPX qui la transfère vers le serveur approprié.
Lorsque le pare-feu VM-Series est déployé (cet exemple utilise des interfaces de couche 3), le flux de trafic est comme suit :
Toutes les requêtes entrantes sont authentifiées et la connexion SSL est terminée sur la première instance NetScaler VPX. Pour le contenu qui réside sur le réseau DMZ, NetScaler VPX initie une nouvelle connexion au serveur pour récupérer le contenu demandé. Veuillez noter que le trafic nord-sud destiné au centre de données d'entreprise ou aux serveurs du réseau DMZ est traité par le pare-feu de périmètre et non par le pare-feu VM-Series.
Par exemple, lorsqu'un utilisateur (adresse IP source 1.1.1.1) demande du contenu d'un serveur sur le réseau DMZ, l'adresse IP de destination est 20.5.5.1 (VIP de NetScaler VPX). NetScaler VPX remplace alors l'adresse IP de destination, en fonction du protocole, par l'adresse IP du serveur interne, par exemple,
192.168.10.10. Le trafic de retour du serveur est renvoyé à NetScaler VPX à l'adresse 20.5.5.1 et envoyé à l'utilisateur à l'adresse IP 1.1.1.1.
Guide de déploiement VM-Series 47
Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series
Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
Toutes les requêtes entre les serveurs DMZ et le centre de données d'entreprise sont traitées par le pare-feu VM-Series. Pour le contenu qui réside dans le centre de données d'entreprise, la requête est traitée de manière transparente (si le pare-feu est déployé à l'aide d'interfaces L2 ou de câble virtuel) ou acheminée (à l'aide d'interfaces de couche 3) par le pare-feu VM-Series. Elle est ensuite envoyée à la seconde instance NetScaler VPX.
Cette instance NetScaler VPX équilibre la charge de la requête entre les serveurs du centre de données d'entreprise et traite la requête. Le trafic de retour utilise le même chemin que la requête entrante.
Par exemple, lorsqu'un serveur du réseau DMZ (par exemple, 192.168.10.10) requiert du contenu d'un serveur du centre de données d'entreprise (par exemple, 172.16.10.20), l'adresse IP de destination est 172.168.10.3 (la VIP de la seconde instance NetScaler). La requête est envoyé au pare-feu VM-Series à l'adresse 192.168.10.2, où le pare-feu effectue une recherche de politique et achemine la requête vers l'adresse 172.168.10.3. La seconde instance NetScaler VPX remplace l'adresse IP de destination, en fonction du protocole, par l'adresse IP du serveur interne 172.16.10.20. Le trafic de retour de l'adresse 172.168.10.20 est alors envoyé à NetScaler VPX à l'adresse 172.168.10.3 ; l'adresse IP source de la requête est définie sur 172.168.10.3 et la requête est acheminée vers le pare-feu VM-Series à l'adresse 172.168.10.2. Sur le pare-feu VM-Series, une recherche de politique est de nouveau effectuée et le trafic est acheminé vers le serveur du réseau DMZ (192.168.10.10).
Afin de filtrer et de créer des rapports d'activité des utilisateurs sur votre réseau, comme toutes les requêtes sont initiées depuis NetScaler VPX, vous devez activer l'
insertion d'en-tête HTTP ou l'
option TCP pour l'insertion IP sur la première instance NetScaler VPX.
.
Configuration du pare-feu VM-Series pour sécuriser le trafic est-ouest
Étape 1
Installation du Pare-feu série
Étape 2
Étape 3
Étape 4
Recâblez les interfaces affectées
à NetScaler VPX.
Configurez les interfaces de données.
Créez une politique de sécurité pour autoriser le trafic des applications entre le réseau
DMZ et le centre de données d'entreprise.
Zone : DMZ à D'entreprise
Veuillez noter que la règle de refus implicite bloque tout le trafic intra-zone, excepté celui qui est explicitement autorisé par la politique de sécurité.
Si vous envisagez de déployer le pare-feu VM-Series à l'aide d'interfaces L2 ou de câble virtuel, assurez-vous d'activer le mode L2 sur chaque interface de données du serveur SDX.
Comme NetScaler VPX redémarre lors qu'il est recâblé, déterminez si vous souhaitez effectuer cette tâche lors de l'affichage d'une fenêtre de maintenance.
Sélectionnez
Réseau > Interfaces
, puis affectez les interfaces de couche 3
(reportez-vous à l'
), de couche 2 (reportez-vous à l' Étape 3
) ou de câble virtuel (reportez-vous à l'
1.
Cliquez sur
Ajouter
dans la section
Politiques > Sécurité
.
2.
Dans l'onglet
Général
, donnez un nom descriptif à la règle.
3.
Dans l'onglet
Source
, définissez la
zone source
sur DMZ et l'
adresse source
sur 192.168.10.0/24.
4.
Dans l'onglet
Destination
, définissez la
zone de destination
sur
D'entreprise et l'
adresse de destination
sur 172.168.10.0/24
5.
Dans l'onglet
Application
, sélectionnez les applications que vous souhaitez autoriser. Par exemple, Oracle.
6.
Définissez le
service
sur
Par défaut de l'application
.
7.
Dans l'onglet
Actions
, définissez le
Paramètre d'action
sur Autoriser.
8.
Laissez toutes les autres options sur leurs valeurs par défaut.
9.
Cliquez sur
Valider
pour enregistrer vos modifications.
Pour la sécurisation du trafic nord-sud, reportez-vous à la section
Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series .
Pour une vue d'ensemble des déploiements, reportez-vous à la section
Déploiements pris en charge : pare-feu
48 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series
Édition NSX
Le pare-feu VM-Series Édition NSX a été conjointement développé par Palo Alto Networks et VMware.
L'API NetX permet à cette solution d'intégrer les pare-feux de dernière génération Palo Alto Networks et
Panorama aux serveurs VMware ESXi afin de fournir une visibilité complète et une mise en œuvre d'applications sécurisée pour tout le trafic du centre de données, y compris les communications de machine virtuelle intra-hôte.
Les rubriques suivantes fournissent des informations sur le pare-feu VM-Series Édition NSX :
Présentation du pare-feu VM-Series Édition NSX
Liste de contrôle de déploiement du pare-feu VM-Series Édition NSX
Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama
Enregistrement du pare-feu VM-Series en tant que service sur NSX Manager
Déploiement du pare-feu VM-Series
Redirection du trafic d'invités n'exécutant pas VMware Tools
Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama
Guide de déploiement VM-Series 49
Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX
Présentation du pare-feu VM-Series Édition NSX
NSX, la plate-forme de mise en réseau et de sécurité conçue pour le SDDC (Software-Defined Data Center), permet de déployer le pare-feu Palo Alto Networks en tant que service sur un cluster de serveurs ESXi. Le terme
SDDC est un terme VMware qui fait référence à un centre de données où l'infrastructure (ressources de calcul, réseau et stockage) est virtualisée à l'aide de VMware NSX.
Pour suivre l'évolution du SDDC flexible, l'édition NSX du pare-feu VM-Series simplifie le processus de déploiement d'un pare-feu de dernière génération Palo Alto Networks et d'application de la sécurité et de la conformité du trafic est-ouest dans le SDDC. Pour plus d'informations sur le pare-feu VM-Series Édition NSX, reportez-vous aux rubriques suivantes :
Composants de la solution Édition NSX
Fonctionnement des composants de la solution Édition NSX
Avantages de la solution Édition NSX
50 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX
Composants de la solution Édition NSX
de cette solution conjointe Palo Alto Networks et VMware. Les rubriques qui suivent décrivent plus en détail chaque composant :
Ports/protocoles utilisés pour la communication réseau
Tableau : Composants VMware
Composant Description
Serveur ESXi
Le serveur vCenter est l'outil de gestion centralisée de la suite vSphere.
La plate-forme de mise en réseau et de sécurité de VMware doit être installée et enregistrée sur le serveur vCenter. NSX Manager et requis pour déployer le pare-feu VM-Series
Édition NSX sur les hôtes ESXi d'un cluster ESXi.
ESXi est un hyperviseur qui permet la virtualisation informatique.
Tableau : Composants Palo Alto Networks
Composant Description
PAN-OS L'image de base VM-Series (PA-VM-NSX-6.1.1.zip) est utilisée pour le déploiement du pare-feu VM-Series Édition NSX avec PAN-OS version 6.1.
La configuration système minimale requise pour le déploiement du pare-feu VM-Series
Édition NSX sur le serveur ESXi est la suivante :
• Deux vCPU. Un pour le plan de gestion, l'autre pour le plan de données.
Vous pouvez affecter 2 ou 6 vCPU supplémentaires pour allouer un total de 2, 4 ou
8 vCPU au pare-feu, le plan de gestion utilise un seul vCPU et tout vCPU supplémentaire est affecté au plan de données.
• 5 Go de mémoire. Toute mémoire supplémentaire sera utilisée par le plan de gestion seulement.
• 40 Go d'espace disque virtuel.
Guide de déploiement VM-Series 51
Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX
Composant
Panorama doit exécuter la même version ou une version ultérieure que les pare-feu qu'il doit gérer.
Description
Panorama est l'outil de gestion centralisée pour les pare-feux de dernière génération Palo
Alto Networks. Dans cette solution, Panorama fonctionne avec NSX Manager pour déployer, mettre sous licence et gérer de manière centralisée la configuration et les politiques sur le pare-feu VM-Series Édition NSX.
Panorama doit pouvoir se connecter à NSX Manager, au serveur vCenter, aux pare-feux VM-Series et au serveur de mise à jour Palo Alto Networks.
La configuration système minimale requise pour Panorama est la suivante :
• Deux processeurs à 8 cœurs (2,2 GHz) ; utilisez 3 GHz si vous disposez d'au moins
10 pare-feux.
• 4 Go de RAM ; 16 Go recommandés si vous disposez d'au moins 10 pare-feux.
• 40 Go d'espace disque ; pour augmenter cette capacité, vous devez ajouter un disque virtuel ou configurer l'accès à un magasin de données NFS. Pour plus de détails, reportez-vous à la documentation Panorama .
La seule licence VM-Series disponible pour cette solution est la VM-1000 en mode hyperviseur (VM-1000-HV).
Tableau : Versions prises en charge
Composant Versions prises en charge
Serveur vCenter
Serveur ESXi
NSX Manager
5.5
5.5
• 6.0 avec Panorama 6.0 et PAN-OS 6.0
Pour déployer le pare-feu VM-Series Édition NSX avec NSX Manager 6.0, reportez-vous au Guide de déploiement VM-Series pour la version 6.0.
• 6.1 avec Panorama 6.1.1 et PAN-OS 6.0.x ou 6.1.x (instructions dans ce guide) ;
VM-Series image de base NSX est disponible uniquement pour PAN-OS 6.1.1 (et non pour 6.1.0).
Pour utiliser NSX Manager 6.1 avec Panorama 6.0 et PAN-OS 6.0, vous devez utiliser la solution décrite dans l' article KB lorsque vous suivez les instructions de ce guide.
52 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX
Serveur vCenter
Le serveur vCenter est requis pour gérer NSX Manager et les hôtes ESXi dans votre centre de données. Dans cette solution conjointe, les hôtes ESXi doivent être organisés en un ou plusieurs clusters sur le serveur vCenter et connectés à un commutateur virtuel distribué.
Pour plus d'informations sur les clusters, le commutateur virtuel distribué, DRS et le serveur vCenter, reportez-vous à la documentation VMware : http://www.vmware.com/support/vcenter-server.html.
NSX Manager
NSX est la plate-forme de virtualisation réseau de VMware qui est entièrement intégrée à vSphere.
Le pare-feu NSX et Service Composer sont les fonctionnalités clés de NSX Manager. Le pare-feu NSX est un pare-feu logique qui vous permet d'associer des services réseau et de sécurité aux machines virtuelles ;
Service Composer vous permet de regrouper des machines virtuelles et de créer une politique pour rediriger le trafic vers le pare-feu VM-Series (appelé le service Pare-feu de dernière génération Palo Alto Networks sur NSX Manager).
Panorama
Panorama est utilisé pour enregistrer l'édition NSX du pare-feu VM-Series en tant que service Pare-feu de dernière
génération Palo Alto Networks sur NSX Manager. L'enregistrement du service Pare-feu de dernière génération Palo
Alto Networks sur NSX Manager permet à ce dernier de déployer l'édition NSX du pare-feu VM-Series sur chaque hôte ESXi dans le cluster ESXi.
Panorama sert de point de gestion central des pare-feux VM-Series Édition NSX. Lorsqu'un nouveau pare-feu VM-Series Édition NSX est déployé, il communique avec Panorama pour obtenir la licence et reçoit sa configuration/ses politiques de Panorama. Tous les éléments de configuration, politiques, objets et groupes d'adresses dynamiques présents sur les pare-feux VM-Series Édition NSX peuvent être gérés de façon centralisée sur Panorama à l'aide de groupes de périphériques et de modèles. L'intégration de l'API XML REST dans cette solution permet la synchronisation de Panorama avec NSX Manager et les pare-feux VM-Series
Édition NSX afin de pouvoir utiliser des groupes d'adresses dynamiques et de partager du contexte entre l'environnement virtualisé et l'application de la sécurité. Pour plus d'informations, consultez la section
Application de politiques à l'aide de groupes d'adresses dynamiques .
Guide de déploiement VM-Series 53
Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX
VM-Series Édition NSX
Le pare-feu VM-Series Édition NSX est le pare-feu VM-Series déployé sur l'hyperviseur ESXi. L'intégration dans l'API NetX permet d'automatiser le processus d'installation du pare-feu VM-Series sur l'hyperviseur ESXi et le transfert du trafic par l'hyperviseur vers le pare-feu VM-Series, sans utiliser la configuration vSwitch ; par conséquent, aucune modification de la topologie du réseau virtuel n'est requise.
Le pare-feu VM-Series Édition NSX prend en charge uniquement les interfaces de câble virtuel. Dans cette
édition, les interfaces Ethernet 1/1 et Ethernet 1/2 sont reliées entre elles par un câble virtuel et utilisent l'API de plan de données NetX pour communiquer avec l'hyperviseur. Les interfaces de couche 2 ou 3 ne sont ni requises ni prises en charge sur le pare-feu VM-Series Édition NSX ; par conséquent, aucune action de commutation ou d'acheminement ne peut être effectuée par le pare-feu.
La seule licence disponible pour cette version du pare-feu VM-Series est la VM-1000-HV. Pour obtenir un bref
résumé des capacités, reportez-vous aux Modèles VM-Series
; pour des informations complètes sur les capacités maximales prises en charge sur la licence VM-1000-HV, consultez la Fiche technique VM-Series .
Ports/protocoles utilisés pour la communication réseau
Pour activer la communication réseau nécessaire au déploiement du pare-feu VMware édition NSX, vous devez utiliser les protocoles/ports et applications suivants.
Panorama : pour obtenir des mises à jour logicielles et des mises à jour dynamiques, Panorama utilise SSL pour accéder à updates.paloaltonetworks.com
sur TCP/443 ; cette URL utilise l'infrastructure CDN. Si vous avez besoin d'une adresse IP unique, utilisez staticupdates.paloaltonetworks.com
. L'App-ID pour les mises
à jour est paloalto-updates.
NSX Manager et Panorama utilisent SSL pour communiquer le TCP/443.
VM-Series Édition NSX : si vous envisagez d'utiliser WildFire, les pare-feu VM-Series doivent pouvoir accéder à wildfire.paloaltonetworks.com
sur le port 443. Il s'agit d'une connexion SSL et l'App-ID est paloalto-wildfire-cloud.
L'interface de gestion sur le pare-feu VM-Series utilise SSL pour communiquer avec Panorama sur
TCP/3789.
Serveur vCenter : le serveur vCenter doit pouvoir accéder au serveur Web de déploiement hébergeant l'OVF VM-Series. Le port est TCP/80 par défaut et l'App-ID web-browsing.
54 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX
Fonctionnement des composants de la solution Édition NSX
Pour répondre aux problèmes de sécurité dans le SDDC, NSX Manager, les serveurs ESXi et Panorama fonctionnent harmonieusement pour automatiser le déploiement du pare-feu VM-Series.
1. Enregistrement du service Pare-feu de dernière génération Palo Alto Networks : la première étape est l'enregistrement du pare-feu de dernière génération Palo Alto Networks en tant que service sur NSX Manager.
Le processus d'enregistrement utilise l'API de plan de données NetX pour permettre la communication bidirectionnelle entre Panorama et NSX Manager. Panorama est configuré avec l'adresse IP et les informations d'identification d'accès pour initier une connexion et enregistrer le service Pare-feu de dernière génération Palo
Alto Networks sur NSX Manager. La configuration inclut l'URL d'accès à l'image de base VM-Series requise pour déployer le pare-feu VM-Series Édition NSX, ainsi que le code d'autorisation pour récupérer la licence et le groupe de périphériques auquel les pare-feux VM-Series appartiennent. NSX Manager utilise cette connexion au plan de gestion pour partager les mises à jour des modifications effectuées dans l'environnement virtuel avec
Panorama.
2. Déploiement automatique du pare-feu VM-Series à partir de NSX Manager : NSX Manager récupère l'image de base VM-Series à partir de l'URL spécifiée lors de l'enregistrement et installe une instance du pare-feu VM-Series sur chaque hôte ESXi du cluster ESXi. À partir d'un pool d'adresses IP de gestion statiques
(que vous avez défini sur NSX Manager), une adresse IP de gestion est affectée au pare-feu VM-Series et l'adresse IP de Panorama est fournie au pare-feu. Lorsque le pare-feu démarre, l'API d'intégration au plan de données NetX se connecte au pare-feu VM-Series à l'hyperviseur de manière à ce qu'il puisse recevoir le trafic de vSwitch.
Guide de déploiement VM-Series 55
Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX
3. Établissement de la communication entre le pare-feu VM-Series et Panorama : le pare-feu VM-Series initie ensuite une connexion à Panorama pour obtenir sa licence. Panorama récupère la licence auprès du serveur de mise à jour et l'applique sur le pare-feu. Le pare-feu VM-Series reçoit la licence (VM-1000-HV) et redémarre avec un numéro de série valide.
4. Installation de la configuration/politique à partir de Panorama sur le pare-feu VM-Series : le pare-feu VM-Series se reconnecte à Panorama et fournit son numéro de série. Panorama ajoute le pare-feu au groupe de périphériques défini lors du processus d'enregistrement et applique la politique par défaut sur le pare-feu. Le pare-feu VM-Series est alors disponible en tant que machine virtuelle de sécurité qui peut être, en outre, configurée pour la mise en œuvre d'applications sécurisée sur le réseau.
5. Application de règles de redirection du trafic à partir du pare-feu NSX : dans Service Composer sur le pare-feu NSX, créez des groupes de sécurité et définissez des règles d'introspection réseau spécifiant les invités dont le trafic est redirigé vers le pare-feu VM-Series. Reportez-vous à la section
pour plus de détails.
Pour s'assurer que le trafic provenant des invités est redirigé vers le pare-feu VM-Series, VMware
Tools doit être installé sur chaque invité. Si VMware Tools n'est pas installé, NSX Manager ne connaît pas l'adresse IP de l'invité et le trafic ne peut donc pas être redirigé vers le pare-feu
6. Réception de mises à jour en temps réel de NSX Manager : NSX Manager envoie des mises à jour en temps réel des modifications effectuées dans l'environnement virtuel à Panorama. Ces mises à jour incluent des informations sur les groupes de sécurité et les adresses IP des invités qui font partie du groupe de sécurité dont le trafic est redirigé vers le pare-feu VM-Series. Reportez-vous à la section
pour plus de détails.
7. Utilisation de groupes d'adresses dynamiques dans la politique et application de mises à jour
dynamiques à partir de Panorama sur les pare-feux VM-Series : sur Panorama, utilisez les mises à jour en temps réel pour créer des groupes d'adresses dynamiques, les associer aux politiques de sécurité et appliquer ces politiques aux pare-feux VM-Series. Chaque pare-feu VM-Series du groupe de périphériques dispose du même ensemble de politiques et alors complètement marshalé pour sécuriser le SDDC. Reportez-vous à la section
Application de politiques à l'aide de groupes d'adresses dynamiques pour plus de détails.
56 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX
Règles de politique intégrées
Le pare-feu NSX et le pare-feu VM-Series fonctionnent conjointement pour appliquer la sécurité ; chacun fournit un ensemble de règles de gestion du trafic qui sont appliquées au trafic sur chaque hôte ESXi. Le premier ensemble de règles est défini sur le pare-feu NSX ; ces règles déterminent les invités du cluster dont le trafic est redirigé vers le pare-feu V-Series. Le second ensemble de règles (règles de pare-feu de dernière génération Palo
Alto Networks) est défini sur Panorama et est appliqué sur les pare-feux VM-Series. Il s'agit de règles d'application de la sécurité destinées au trafic qui est redirigé vers le service Pare-feu de dernière génération Palo
Alto Networks. Ces règles déterminent comment le pare-feu VM-Series doit traiter (c'est-à-dire autoriser, refuser, inspecter et limiter) l'application en vue de sa mise en œuvre sécurisée sur votre réseau.
Règles définies sur le pare-feu NSX : les règles de redirection du trafic des invités sur chaque hôte ESXi sont configurées sur NSX Manager. Service Composer sur NSX Manager vous permet de définir le type de sécurité, notamment les règles à appliquer aux invités du cluster ESXi. Pour définir des règles sur le pare-feu NSX, vous devez d'abord agréger les invités dans des groupes de sécurité, puis créer des politiques NSX Service Composer pour rediriger le trafic de ces groupes de sécurité vers le service Pare-feu de dernière génération Palo Alto Networks et/ou le pare-feu NSX.
Le schéma suivant illustre la manière dont les groupes de sécurité peuvent être composés d'invités sur différents hôtes ESXi d'un cluster.
Pour le trafic qui doit être inspecté et sécurisé par le pare-feu VM-Series, les politiques NSX Service
Composer redirigent le trafic vers le service Pare-feu de dernière génération Palo Alto Networks. Ce trafic est alors redirigé vers le pare-feu VM-Series ; il est traité par le pare-feu VM-Series avant d'atteindre le commutateur virtuel.
Guide de déploiement VM-Series 57
Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX
Le trafic qui ne doit pas être inspecté par le pare-feu VM-Series, par exemple, une sauvegarde de données réseau ou le trafic vers un contrôleur de domaine interne n'a pas besoin d'être redirigé vers le pare-feu VM-Series et peut être envoyé vers le commutateur virtuel pour un traitement ultérieur.
Règles gérées de manière centralisée sur Panorama et appliquées par le pare-feu VM-Series : les règles de pare-feu de dernière génération sont appliquées par le pare-feu VM-Series. Ces règles sont définies et gérées de manière centralisée sur Panorama à l'aide de modèles et de groupes de périphériques, puis appliquées sur les pare-feux VM-Series. Le pare-feu VM-Series applique ensuite la politique de sécurité en la faisant correspondre avec l'adresse IP source ou de destination (l'utilisation de groupes d'adresses dynamiques permet au pare-feu de renseigner les membres des groupes en temps réel) et transfère le trafic aux filtres sur le pare-feu NSX.
Pour comprendre comment NSX Manager et Panorama restent synchronisés avec les modifications apportées au SDDC et vous assurer que le pare-feu VM-Series applique uniformément la politique,
reportez-vous à la section Application de politiques à l'aide de groupes d'adresses dynamiques
.
Application de politiques à l'aide de groupes d'adresses dynamiques
Contrairement aux autres versions du pare-feu VM-Series, l'édition NSX n'utilise pas les zones de sécurité comme méthode de segmentation, car les deux interfaces de câble virtuel appartiennent à la même zone. À la place, l'édition NSX utilise des groupes d'adresses dynamiques pour segmenter le trafic.
Un groupe d'adresses dynamiques est utilisé comme objet source ou de destination dans la politique de sécurité.
Comme les adresses IP changent constamment dans un environnement de centre de données, les groupes d'adresses dynamiques permettent d'automatiser le processus de référencement des adresses IP sources et/ou de destination dans les politiques de sécurité. Contrairement aux objets d'adresse statiques qui doivent être chargés manuellement dans la configuration et validés à chaque modification d'adresse (ajout, suppression ou déplacement), les groupes d'adresses dynamiques s'adaptent automatiquement aux modifications.
Tous les groupes de sécurité définis sur NSX Manager sont automatiquement fournis sous forme de mises à jour à Panorama à l'aide de l'intégration du plan de gestion à l'API NetX et peuvent être utilisés comme critères de filtre pour créer des groupes d'adresses dynamiques ; le pare-feu filtre par nom du groupe de sécurité, qui est une étiquette, pour trouver tous les membres qui appartiennent à un groupe de sécurité.
58 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX
Si, par exemple, vous disposez d'une architecture multiniveau pour les applications Web, sur NSX Manager, créez trois groupes de sécurité pour les serveurs Web frontaux, d'applications et de bases de données.
NSX Manager met à jour Panorama avec le nom des groupes de sécurité et l'adresse IP des invités de chaque groupe de sécurité.
Sur Panorama, vous pouvez alors créer trois groupes d'adresses dynamiques à faire correspondre avec les objets marqués comme base de données, application et site Web frontal. Ensuite, dans la politique de sécurité, vous pouvez utiliser les groupes d'adresses dynamiques comme objets sources ou de destination, définir les applications autorisées à traverser ces serveurs et appliquer les règles sur les pare-feux VM-Series.
Chaque fois qu'un invité est ajouté ou modifié dans le cluster ESXi ou qu'un groupe de sécurité est créé ou mis
à jour, NSX Manager utilise l'API XML REST PAN-OS pour mettre à jour Panorama avec l'adresse IP et le groupe de sécurité auquel l'invité appartient. Pour suivre le flux d'informations, reportez-vous à la section
Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama .
Afin de s'assurer que le nom de chaque groupe de sécurité est unique, le serveur vCenter affecte un ID MOB (Managed Object Reference) au nom que vous avez défini pour le groupe de sécurité.
La syntaxe utilisée pour afficher le nom du groupe de sécurité sur Panorama est
nomspécifié-groupedesécurité-numéro ; par exemple, siteWebfrontal-groupe de sécurité-47.
Guide de déploiement VM-Series 59
Présentation du pare-feu VM-Series Édition NSX Configuration d'un pare-feu VM-Series Édition NSX
Lorsque Panorama reçoit la notification de l'API, .il vérifie/met à jour l'adresse IP de chaque invité et le groupe de sécurité auquel l'invité appartient. Puis, Panorama applique ces mises à jour en temps réel à tous les pare-feux du groupe de périphériques et en informe les groupes de périphériques dans la configuration du gestionnaire de services sur Panorama.
Sur chaque pare-feu, toutes les règles de politique qui font référence à ces groupes d'adresses dynamiques sont mises à jour au moment de l'exécution. Comme le pare-feu fait correspondre les étiquettes des groupes de sécurité pour déterminer les membres d'un groupe d'adresses dynamiques, vous n'avez pas besoin de modifier ou de mettre à jour la politique lorsque vous effectuez des modifications dans l'environnement virtuel.
Le pare-feu fait correspondre les étiquettes pour trouver les membres actuels de chaque groupe d'adresses dynamiques et applique la politique de sécurité à l'adresse IP source/de destination incluse dans le groupe.
60 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Présentation du pare-feu VM-Series Édition NSX
Avantages de la solution Édition NSX
L'édition NSX du pare-feu VM-Series est destinée à la sécurisation de la communication est-ouest dans le
SDDC. Le déploiement du pare-feu offre les avantages suivants :
Déploiement automatisé : NSX Manager automatise le processus de mise à disposition des services de sécurité du pare-feu de dernière génération et le pare-feu VM-Series permet l'application transparente de la sécurité. Lorsqu'un nouvel hôte ESXi est ajouté à un cluster, un nouveau pare-feu VM-Series est automatiquement déployé, configuré et disponible pour l'application immédiate de politiques sans aucune intervention manuelle. Le flux de travail automatisé vous permet de suivre l'évolution des déploiements de machine virtuelle dans votre centre de données. Grâce au mode hyperviseur du pare-feu, la reconfiguration des ports/des commutateurs virtuels/de la topologie de réseau n'est plus nécessaire ; comme chaque hôte ESXi dispose d'une instance du pare-feu, le trafic n'a pas besoin de traverser le réseau ou d'être redirigé pour l'inspection et l'application uniforme des politiques.
Intégration plus étroite entre l'environnement virtuel et l'application de la sécurité pour une
sécurité dynamique : les groupes d'adresses dynamiques assurent la sensibilisation aux modifications des machines virtuelles/applications et garantissent que la politique de sécurité reste synchronisée avec les modifications effectuées sur le réseau. Cette sensibilisation permet la visibilité et la protection des applications dans un environnement flexible.
Gestion centralisée renforcée : les pare-feux déployés à l'aide de cette solution are mis sous licence et gérés par Panorama, l'outil de gestion centralisée de Palo Alto Networks. L'utilisation de Panorama pour gérer les pare-feux de périmètre et de centre de données (les pare-feux matériels et virtuels) vous permet de centraliser la gestion des politiques et d'appliquer les politiques de manière uniforme et flexible sur le réseau.
En résumé, cette solution garantit la sécurisation de la nature dynamique du réseau virtuel avec des frais administratifs minimes. Vous pouvez déployer des applications de manière plus rapide, efficace et sécurisée.
Guide de déploiement VM-Series 61
Liste de contrôle de déploiement du pare-feu VM-Series
Édition NSX
Configuration d'un pare-feu VM-Series Édition NSX
Liste de contrôle de déploiement du pare-feu VM-Series
Édition NSX
Pour déployer l'édition NSX du pare-feu VM-Series, utilisez le flux de travail suivant :
Étape 1 : configuration des composants : pour déployer le pare-feu VM-Series Édition NSX,
– Configurez le serveur vCenter, puis installez et enregistrez NSX Manager sur le serveur vCenter.
Si vous n'avez pas encore configuré le(s) commutateur(s) virtuel(s) et regroupé les hôtes ESXi dans des clusters, reportez-vous à la documentation VMware pour obtenir des instructions sur la configuration de l'environnement vSphere. Ce document ne décrit pas le processus de configuration des composants VMware de cette solution.
– Mettez à niveau Panorama vers la version 6.1.1.
Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama
. Si vous êtes novice, consultez la documentation Panorama pour plus d'instructions sur la configuration de Panorama.
– Téléchargez et enregistrez le modèle .ovf pour l'édition NSX du pare-feu VM-Series sur un serveur Web. NSX Manager doit disposer d'un accès réseau à ce serveur Web de manière à pouvoir déployer le pare-feu VM-Series comme souhaité. Vous ne pouvez pas héberger le modèle .ovf sur
Panorama.
– L'enregistrement du code d'autorisation de capacité du pare-feu VM-Series Édition NSX dans votre compte de support sur le portail de support. Pour plus de détails, reportez-vous à la section
Licence et mise à niveau du Pare-feu série VM
.
réseau qui peuvent être déployés de manière transparente en tant que services par NSX Manager.
La connexion entre Panorama et NSX Manager est également requise pour la mise sous licence et la configuration du pare-feu.
Étape 3 :
déploiement des pare-feu et création des politiques : installez le pare-feu VM-Series et créez des politiques pour rediriger et sécuriser le trafic vers le pare-feu VM-Series. Consultez les sections
Déploiement du pare-feu VM-Series
.
– (Sur NSX Manager) Activez SpoofGuard et définissez des règles pour bloquer les protocoles non IP.
– (Sur NSX Manager) Définissez le pool d'adresses IP. Une adresse IP de l'intervalle définie est affectée
à l'interface de gestion de chaque instance du pare-feu VM-Series.
– (Sur NSX Manager) Déployez le pare-feu VM-Series. NSX Manager déploie automatiquement une instance du pare-feu VM-1000-HV sur chaque hôte ESXi du cluster.
– (Sur NSX Manager) Configurez les groupes de sécurité. Un groupe de sécurité regroupe les invités/applications spécifiés de manière à ce que vous puissiez appliquer la politique au groupe.
Créez ensuite des politiques de pare-feu NSX pour rediriger le trafic vers le profil de service Palo Alto
Networks.
NSX Manager utilise l'adresse IP comme critère de correspondance pour rediriger le trafic vers le pare-feu VM-Series. Si
VMware Tools n'est pas installé sur l'invité, reportez-vous à la section
Redirection du trafic d'invités n'exécutant pas
62 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Liste de contrôle de déploiement du pare-feu VM-Series
Édition NSX
– (Sur Panorama) Appliquez les politiques sur le pare-feu VM-Series. Sur Panorama, définissez, appliquez et gérez les politiques de manière centralisée sur tous les pare-feux VM-Series. Sur Panorama, créez des groupes d'adresses dynamiques pour chaque groupe de sécurité, référencez les groupes d'adresses dynamiques dans la politique et appliquez les politiques aux pare-feux gérés.
Ce système de gestion centralisée vous permet de sécuriser les invités/applications avec une intervention administrative minime.
Étape 4 : surveillance et application de la sécurité réseau : Panorama offre une vue graphique complète du trafic réseau. Avec les outils de visibilité de Panorama (fonctionnalités de centre de commande de l'application (ACC), de journaux et de création de rapports) vous pouvez analyser, enquêter et générer des rapports sur toutes les activités du réseau, identifier les zones susceptibles d'avoir un impact sur la sécurité et les transposer dans des politiques de mise en œuvre d'application sécurisées. Pour plus d'informations, reportez-vous au Guide de l'administrateur Panorama .
Guide de déploiement VM-Series 63
Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama
Configuration d'un pare-feu VM-Series Édition NSX
Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama
Pour gérer les pare-feux VM-Series Édition NSX à l'aide de Panorama, ils doivent appartenir à un groupe de périphériques ; l'ajout d'un pare-feu à un modèle est facultatif. Les groupes de périphériques vous permettent de regrouper les pare-feux qui nécessitent des politiques et des objets similaires comme unités logiques ; la configuration est définie à l'aide des onglets
Objets
et
Politiques
sur Panorama. Les modèles sont utilisés pour configurer les paramètres requis pour que le fonctionnement des pare-feux VM-Series sur le réseau ; la configuration est définie à l'aide des onglets
Périphérique
et
réseau
du Panorama. Vous pouvez, par exemple, utiliser des modèles pour définir l'accès administratif au pare-feu ou des paramètres de journal et des profils de serveur sur les pare-feux gérés.
Si vous êtes novice, reportez-vous au Guide de l'administrateur Panorama pour plus d'instructions sur la configuration de Panorama.
Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama
Étape 1 Connectez-vous à l'interface Web
Panorama
Étape 2
Étape 3
Ajoutez un groupe de périphériques.
(Facultatif) Ajoutez un modèle.
Avec une connexion sécurisée (https) fournie par un navigateur Web, connectez-vous à l'aide de l'adresse IP et du mot de passe affectés à l'interface de gestion lors la configuration initiale.
(https://<Adresse IP>)
1.
Sélectionnez
Panorama > Groupes de périphériques
, puis cliquez sur
Ajouter
.
2.
Saisissez un
nom
unique et une
description
afin d'identifier le groupe de périphériques.
3.
Cliquez sur
OK
.
Une fois que les pare-feux ont été déployés et configurés, ils s'affichent sous
Panorama > Périphériques gérés
et sont répertoriés dans le groupe de périphériques.
4.
Cliquez sur
Valider
, puis sélectionnez
Panorama
comme
Type de validation
pour enregistrer les modifications apportées à la configuration active sur Panorama.
1.
Sélectionnez
Panorama > Modèles
, puis cliquez sur
Ajouter
.
2.
Saisissez un
nom
unique et une
description
pour identifier le modèle.
Les options du
Mode opérationnel
, les cases à cocher
Systèmes virtuels
et
VPN Désactiver le mode
ne s'appliquent pas au pare-feu VM-Series.
3.
Cliquez sur
OK
.
4.
Cliquez sur
Valider
, puis sélectionnez
Panorama
en tant que
Type de validation
pour enregistrer les modifications de la configuration en cours sur Panorama.
64 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Enregistrement du pare-feu VM-Series en tant que service sur
NSX Manager
Enregistrement du pare-feu VM-Series en tant que service sur NSX Manager
Afin d'automatiser la configuration du pare-feu VM-Series Édition NSX, activez la communication entre
NSX Manager et Panorama. Il s'agit d'une configuration unique, qui ne doit être modifiée que si l'adresse IP de
NSX Manager change ou si la licence de capacité pour le déploiement du pare-feu VM-Series est dépassée.
Utilisation de Panorama pour enregistrer le pare-feu VM-Series en tant que service
Étape 1 Connectez-vous à l'interface Web Panorama Avec une connexion sécurisée (https) fournie par un navigateur Web, connectez-vous à l'aide de l'adresse IP et du mot de passe affectés à l'interface de gestion (https://<Adresse IP>).
Étape 2 Configurez l'accès à NSX Manager.
1.
Sélectionnez
Panorama > VMware Service Manager
.
2.
Saisissez le
nom du gestionnaire de services
.
Sur NSX Manager, ce nom s'affiche dans la colonne
Gestionnaire de services sous
Mise en réseau et sécurité >
Définitions de service
.
Reportez-vous à a capture d'écran à
3.
(Facultatif) Ajoutez une
description
qui identifie le pare-feu VM-Series en tant que service.
4.
Saisissez l'
URL NSX Manager
(adresse IP ou nom de domaine complet) qui permet d'accéder à NSX Manager.
5.
Saisissez les informations d'identification de
connexion
NSX Manager
(nom d'utilisateur et mot de passe) de manière à ce que Panorama puisse s'authentifier auprès de NSX Manager.
Étape 3 Spécifiez l'emplacement du fichier OVF.
Extrayez et enregistrez les fichiers .ovf et
.vmdk dans le même répertoire. Ces deux fichiers permettent de déployer chaque instance du pare-feu.
Si nécessaire, modifiez les paramètres de sécurité sur le serveur pour pouvoir télécharger les types de fichiers. Par exemple, sur le serveur IIS, modifiez la configuration des types Mime ; sur un serveur Apache, modifiez le fichier .htaccess.
Dans l'
URL du modèle OVF VM-Series
, ajoutez l'emplacement du serveur Web qui héberge le fichier .ovf. Les protocoles http et https sont tous les deux pris en charge. Par exemple, saisissez
https://acme.com/software/PA-VM-NSX-6.1.1.ovf
Étape 4 Ajoutez le code d'autorisation.
Le code d'autorisation doit correspondre à la solution du modèle
NSX de VM-Series, par exemple, PAN-VM-1000-HV-PERP-
BND-NSX.
Vérifiez que la capacité/quantité de commande permet de répondre aux besoins de votre réseau.
Saisissez le code d'autorisation contenu dans l'e-mail de confirmation de commande que vous avez reçu. Le code d'autorisation est utilisé pour mettre sous licence chaque instance du pare-feu VM-Series.
Sur le portail de support, vous pouvez consulter le nombre de pare-feu que vous êtes autorisé à déployer et le nombre de licences qui ont été utilisées par rapport au nombre total de licences activées par votre code d'autorisation.
Guide de déploiement VM-Series 65
Enregistrement du pare-feu VM-Series en tant que service sur
NSX Manager
Configuration d'un pare-feu VM-Series Édition NSX
Utilisation de Panorama pour enregistrer le pare-feu VM-Series en tant que service (suite)
Étape 5 Spécifiez le groupe de périphériques auquel les pare-feux appartiennent et éventuellement le modèle.
Comme les pare-feux déployés dans cette solution sont gérés de manière centralisée à partir de Panorama, vous devez spécifier le
groupe de périphériques
auquel les pare-feux appartiennent.
Tous les pare-feux déployés à l'aide du code d'autorisation défini à
l' Étape 4 appartiennent au modèle et au groupe de périphériques
spécifiés lors du déploiement initial. Si vous souhaitez réaffecter les pare-feux, vous devez les déplacer manuellement dans un modèle ou un groupe de périphériques distinct, après les avoir déployés.
Étape 6 Configurez la notification des différents groupes de périphériques lorsque de nouvelles machines virtuelles sont configurées ou lorsque des modifications sont effectuées sur le réseau.
Étape 7 Validez vos modifications sur Panorama.
Pour créer une sensibilité au contexte entre les environnements virtuel et de sécurité de manière à ce que la politique soit uniformément appliquée à tout le trafic redirigé vers les pare-feux, vous devez sélectionner les groupes de périphériques qui doivent
être informés.
Sélectionnez les groupes de périphériques applicables dans
Informer les groupes de périphériques
.
Les pare-feux des groupes de périphériques spécifiés reçoivent une mise à jour en temps réel des groupes de sécurité et des adresses IP.
Les pare-feux utilisent cette mise à jour pour déterminer la liste la plus récente des membres qui constituent les groupes d'adresses dynamiques référencés dans la politique.
Sélectionnez
Valider
et le type de validation
Panorama
.
Étape 8 Vérifiez l'état de la connexion sur Panorama. Affiche le statut de la connexion entre Panorama et NSX Manager.
Lorsque la connexion a réussi, l'état affiché est :
Enregistré
. Cela indique que Panorama et NSX Manager sont synchronisés et que le pare-feu VM-Series est enregistré en tant que service sur
NSX Manager.
Lorsque la connexion a échoué, l'état affiché peut être :
•
Non connecté
: impossible d'atteindre/établir une connexion réseau à NSX Manager.
•
Non autorisé
: les informations d'identification d'accès (nom d'utilisateur et/ou mot de passe) ne sont pas correctes.
•
Non enregistré
: le service, le gestionnaire de services ou le profil de service n'est pas disponible ou a été supprimé sur
NSX Manager.
•
Désynchronisé
: les paramètres de configuration définis sur
Panorama sont différents de ceux définis sur NSX Manager.
•
Aucun service/profil de service
: indique une configuration incomplète sur NSX Manager.
66 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Enregistrement du pare-feu VM-Series en tant que service sur
NSX Manager
Utilisation de Panorama pour enregistrer le pare-feu VM-Series en tant que service (suite)
Étape 9 Vérifiez que le pare-feu est enregistré en tant que service sur NSX Manager.
1. Sur le client Web vSphere, sélectionnez
Mise en réseau et sécurité > Définitions de service
.
2. Vérifiez que le
pare-feu de dernière génération Palo Alto Networks
s'affiche dans la liste des services disponibles pour l'installation.
Guide de déploiement VM-Series 67
Déploiement du pare-feu VM-Series Configuration d'un pare-feu VM-Series Édition NSX
Déploiement du pare-feu VM-Series
Après l'enregistrement du pare-feu VM-Series en tant que service (Pare-feu de dernière génération Palo Alto
Networks) sur NSX Manager, effectuez les tâches suivantes sur NSX Manager.
Définition d'un pool d'adresses IP
Préparation de l'hôte ESXi pour le pare-feu VM-Series
Déploiement du service Pare-feu de dernière génération Palo Alto Networks
68 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Déploiement du pare-feu VM-Series
Activation de SpoofGuard
Le pare-feu distribué NSX ne peut rediriger le trafic vers le pare-feu VM-Series que lorsqu'il correspond à une adresse IP connue du serveur vCenter. Cela signifie que tout trafic L2 non IP, ou tout trafic IP ne correspondant pas aux adresses IP connues du serveur vCenter, ne correspondra pas aux règles de redirection définies sur NSX
Manager et ne sera pas redirigé vers le pare-feu VM-Series. Ainsi, pour s'assurer que tout le trafic est correctement filtré, vous devez effectuer les étapes suivantes :
Activez SpoofGuard pour empêcher le trafic IP inconnu de contourner le pare-feu VM-Series.
Lorsque SpoofGuard est activé, si l'adresse IP d'une machine virtuelle change, le trafic de la machine virtuelle sera bloqué jusqu'à ce que vous inspectiez et approuviez le changement d'adresse IP dans l'interface NSX
SpoofGuard.
Configurez les règles de pare-feu NSX pour bloquer le trafic L2 non IP qui ne peut pas être redirigé vers le pare-feu VM-Series.
vCenter utilise VMware Tools pour détecter les adresses IP de chaque invité.
Si VMware Tools n'est pas installé sur certains invités, reportez-vous à la section
Redirection du trafic d'invités n'exécutant pas VMware Tools
.
Activation de SpoofGuard et blocage du trafic L2 non IP
Étape 1 Activez SpoofGuard pour les groupes de ports contenant les invités.
Lorsqu'il est activé, pour chaque carte réseau, SpoofGuard recherche dans les paquets l'adresse MAC attendue et son adresse IP correspondante.
1. Sélectionnez
Mise en réseau et sécurité > SpoofGuard
.
2. Cliquez sur
Ajouter
pour créer une nouvelle politique, puis sélectionnez les options suivantes :
• SpoofGuard :
Activé
• Mode de fonctionnement :
Approuver automatiquement les affectations IP à leur première utilisation
.
•
Autoriser une adresse locale comme adresse valide dans l'espace de noms
.
• Sélectionnez Réseaux : Sélectionnez les groupes de ports auxquels les invités sont connectés.
Guide de déploiement VM-Series 69
Déploiement du pare-feu VM-Series Configuration d'un pare-feu VM-Series Édition NSX
Activation de SpoofGuard et blocage du trafic L2 non IP (suite)
Étape 2 Sélectionnez les protocoles IP à autoriser.
1. Sélectionnez
Mise en réseau et sécurité > Pare-feu > Ethernet
.
2.
Ajoutez
une règle autorisant le trafic
ARP
,
IPv4
et
IPv6
.
3.
Ajoutez
une règle bloquant tout autre trafic.
70 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Déploiement du pare-feu VM-Series
Définition d'un pool d'adresses IP
Le pool d'adresses IP est une plage d'adresses IP (statiques) réservées pour établir l'accès de gestion aux pare-feux VM-Series. Lorsque NSX Manager déploie un nouveau pare-feu VM-Series, la première adresse IP disponible de cette plage est affectée à l'interface de gestion du pare-feu.
Définition d'un pool d'adresses IP
Étape 1 Dans
Inventaire de mise en réseau et de sécurité
, sélectionnez
NSX Manager
, puis double-cliquez pour accéder aux informations de configuration de NSX Manager.
Étape 2 Sélectionnez
Gestion > Regroupement d'objets > Pools d'adresses IP
.
Étape 3 Cliquez sur
Ajouter un pool d'adresses IP
et spécifiez les informations d'accès réseau requises à l'écran, y compris la plage d'adresses IP que vous souhaitez utiliser pour le pare-feu de dernière génération Palo Alto
Networks.
Guide de déploiement VM-Series 71
Déploiement du pare-feu VM-Series Configuration d'un pare-feu VM-Series Édition NSX
Préparation de l'hôte ESXi pour le pare-feu VM-Series
Avant de déployer le pare-feu VM-Series, chaque invité du cluster doit disposer des composants NSX nécessaires pour permettre au pare-feu NSX et au pare-feu VM-Series de fonctionner ensemble. NSX Manager installe les composants, c'est-à-dire l'Ethernet Adapter Module (fichier .eam) et le kit de développement logiciel
(SDK), requis pour déployer le pare-feu VM-Series.
Préparation des hôtes ESXi pour le pare-feu VM-Series
1.
Sur NSX Manager, sélectionnez
Mise en réseau et sécurité > Installation > Préparation de l'hôte
.
2.
Cliquez sur
Installer
et vérifiez que l'état de l'installation est réussi.
Lors de l'ajout de nouveaux hôtes ESXi à un cluster, ce processus est automatisé et les composants NSX nécessaires sont automatiquement installés sur chaque invité de l'hôte ESXi.
3.
Si l'état de l'installation n'est pas prêt ou qu'un avertissement s'affiche à l'écran, cliquez sur le lien
Résoudre
. Pour surveiller la progression de la nouvelle tentative d'installation, cliquez sur le lien
Plus de tâches
et vérifiez si les tâches suivantes ont été effectuées correctement :
72 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Déploiement du pare-feu VM-Series
Déploiement du service Pare-feu de dernière génération Palo Alto Networks
Suivez les étapes ci-dessous pour automatiser le processus de déploiement d'une instance du pare-feu VM-Series
Édition NSX sur chaque hôte ESXi du cluster spécifié.
Déploiement du service Pare-feu de dernière génération Palo Alto Networks
Étape 1 Sélectionnez
Mise en réseau et sécurité > Installation > Déploiements de service
.
Étape 2 Cliquez sur
Nouveau déploiement de service
(icône en forme de plus vert), puis sélectionnez le service
Pare-feu de dernière génération Palo Alto Networks
. Cliquez sur
Suivant
.
Étape 3 Sélectionnez le
centre de données
et le(s) cluster(s) sur le(s)quel(s) déployer le service. Une instance du pare-feu est déployée sur chaque hôte du/des cluster(s) sélectionné(s).
Étape 4 Sélectionnez le magasin de données à partir duquel allouer de l'espace disque au pare-feu. Sélectionnez l'une des options suivantes en fonction de votre déploiement.
• Si vous avez alloué un stockage partagé au cluster, sélectionnez un magasin de données partagé disponible.
• Si vous n'avez pas alloué de stockage partagé au cluster, sélectionnez l'option
Spécifié sur l'hôte
.
Assurez-vous de sélectionner le stockage sur chaque hôte ESXi du cluster. De plus, sélectionnez le réseau à utiliser pour le trafic de gestion sur le pare-feu VM-Series.
Étape 5 Sélectionnez le groupe de ports qui fournit l'accès du trafic réseau de gestion au pare-feu.
Guide de déploiement VM-Series 73
Déploiement du pare-feu VM-Series Configuration d'un pare-feu VM-Series Édition NSX
Déploiement du service Pare-feu de dernière génération Palo Alto Networks (suite)
Étape 6
Sélectionnez le pool d'adresses IP (que vous avez défini dans Définition d'un pool d'adresses IP
) à partir duquel affecter une adresse IP de gestion à chaque pare-feu déployé.
Étape 7 Vérifiez la configuration et cliquez sur
Terminer
.
Étape 8 Assurez-vous que NSX Manager indique que l'
état de l'installation
est
réussi
. Ce processus peut prendre un moment ; cliquez sur le lien
Plus de tâches
sur vCenter pour surveiller la progression de l'installation.
Si l'installation du pare-feu VM-Series échoue, un message d'erreur s'affiche dans la colonne État de l'installation. Vous pouvez également utiliser l'onglet
Tâches
et
Log Browser
sur NSX Manager pour consulter les détails de l'échec. Pour connaître les étapes de résolution des problèmes, reportez-vous à la documentation VMware.
Étape 9 Vérifiez que le pare-feu est déployé et connecté à Panorama.
Sur le serveur vCenter, sélectionnez
Hôtes et clusters
pour vérifier que chaque hôte du/des cluster(s) dispose d'une instance du pare-feu.
74 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Déploiement du pare-feu VM-Series
Déploiement du service Pare-feu de dernière génération Palo Alto Networks (suite)
Étape 10 Accédez à l'interface Web Panorama pour vous assurer que les pare-feux VM-Series sont connectés et synchronisés avec Panorama.
1. Sélectionnez
Panorama > Périphériques gérés
pour vérifier que les pare-feux sont connectés et synchronisés.
2. Cliquez sur
Valider
et sélectionnez le type de validation
Panorama
.
Une validation Panorama régulière est requise pour vous assurer que Panorama enregistre les numéros de série de périphérique dans la configuration. Si vous redémarrez Panorama sans valider les modifications, les périphériques gérés ne se reconnectent pas à Panorama ; bien que le groupe de périphériques s'affiche dans la liste des périphériques, les périphériques n'apparaissent pas dans
Panorama > Périphériques gérés
.
Étape 11 Vérifiez que la licence de capacité est appliquée et appliquez toute licence supplémentaire achetée. Vous devez au moins activer la licence de support sur chaque pare-feu.
1. Sélectionnez
Panorama > Déploiement de périphérique > Licences
pour vérifier que la licence de capacité VM-Series est appliquée.
2. Pour appliquer des licences supplémentaires sur les pare-feux VM-Series :
• Dans
Panorama > Déploiement de périphérique > Licences
, cliquez sur
Activer
• Recherchez ou filtrez le pare-feu, puis dans la colonne
Code d'autorisation
, saisissez le code d'autorisation pour activer la licence. Un seul code d'autorisation peut être saisi pour chaque pare-feu.
3. Cliquez sur
Activer
, puis vérifiez que l'activation de la licence a réussi.
Étape 12
Guide de déploiement VM-Series 75
Création de politiques Configuration d'un pare-feu VM-Series Édition NSX
Création de politiques
Les rubriques suivantes décrivent comment créer des politiques sur NSX Manager pour rediriger le trafic vers le pare-feu VM-Series, ainsi que sur Panorama, et les appliquer sur le pare-feu VM-Series de manière à ce qu'il puisse les appliquer à son tour au trafic redirigé.
Définition de politiques sur NSX Manager
Application de politiques sur le pare-feu VM-Series
76 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Création de politiques
Définition de politiques sur NSX Manager
Pour que le pare-feu VM-Series puisse sécuriser le trafic, vous devez effectuer les tâches suivantes :
Configuration de groupes de sécurité sur NSX Manager
Redirection du trafic vers le pare-feu VM-Series
Application de politiques sur le pare-feu VM-Series
.
Configuration de groupes de sécurité sur NSX Manager
Un groupe de sécurité est un conteneur logique qui regroupe des invités sur plusieurs hôtes ESXi d'un cluster.
La création de groupes de sécurité facilite la gestion et la sécurisation des invités ; pour comprendre comment les groupes de sécurité permettent l'application de politiques, reportez-vous à la section
Application de politiques à l'aide de groupes d'adresses dynamiques .
Configuration de groupes de sécurité sur NSX Manager
Étape 1 Sélectionnez
Mise en réseau et sécurité > Service Composer > Groupes de sécurité
et ajoutez un
nouveau groupe de sécurité
.
Étape 2 Ajoutez un
nom
et une
description
. Ce nom s'affiche dans la liste des critères de correspondance lors de la définition de groupes d'adresses dynamiques sur Panorama.
Étape 3 Sélectionnez les invités qui constituent le groupe de sécurité. Vous pouvez ajouter des membres de manière dynamique ou statique. Vous pouvez
Définir l'appartenance dynamique
en mettant en correspondance des
étiquettes de sécurité (recommandé) ou
Sélectionner les objets à inclure
de manière statique. Dans la capture d'écran suivante, les invités appartenant au groupe de sécurité sont sélectionnés à l'aide de l'option
Type d'objets
: Option
Machine virtuelle
.
Étape 4 Vérifiez les informations et cliquez sur
OK
pour créer le groupe de sécurité.
Guide de déploiement VM-Series 77
Création de politiques Configuration d'un pare-feu VM-Series Édition NSX
Redirection du trafic vers le pare-feu VM-Series
N'appliquez pas les politiques de redirection du trafic, à moins que vous ne connaissiez le fonctionnement des règles sur NSX Manager, ainsi que sur le pare-feu VM-Series et Panorama. La politique par défaut sur le pare-feu VM-Series est définie sur Refuser tout ; cela signifie que tout le trafic redirigé vers le pare-feu VM-Series est abandonné. Pour créer des politiques sur Panorama et les appliquer sur le pare-feu VM-Series, reportez-vous
à la section
Application de politiques sur le pare-feu VM-Series
.
Définition de règles de pare-feu NSX pour rediriger le trafic vers le pare-feu VM-Series
Étape 1 Sélectionnez
Mise en réseau et sécurité > Pare-feu > Configuration
, puis cliquez sur
Services de sécurité partenaire
.
Étape 2 Dans la colonne Action, cliquez sur l'icône en forme de plus vert, puis ajoutez un
Nom
de règle.
Étape 3 Spécifiez la
Source
de laquelle le trafic doit être redirigé. Dans la liste déroulante
Type d'objet
, sélectionnez
Groupe de sécurité
et sélectionnez parmi les groupes définis précédemment. Cliquez sur
OK
.
Étape 4 Spécifiez la
Destination
du trafic. Dans la liste déroulante
Type d'objet
, sélectionnez
Groupe de sécurité
et sélectionnez le groupe approprié. Cliquez sur
OK
.
78 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Création de politiques
Définition de règles de pare-feu NSX pour rediriger le trafic vers le pare-feu VM-Series (suite)
Étape 5 Spécifiez l'
Action
pour le trafic. Redirigez le trafic vers le profil de service Palo Alto Networks créé précédemment ;
Profil Palo Alto Networks 1
dans ce flux de travail.
Ce profil spécifie les réseaux/groupes de ports/groupes de sécurité desquels le pare-feu reçoit le trafic de données.
Si, par exemple, vous souhaitez inspecter tout le trafic entrant depuis les groupes de sécurité vers les serveurs Web frontaux et tout le trafic sortant depuis les serveurs vers les groupes de sécurité, la règle est la suivante :
Étape 6 Liez un ou plusieurs groupe(s) de sécurité ou groupe(s) de ports distribués ou commutateur(s) logique(s) au profil de service Palo Alto Networks. Vous ne pouvez pas combiner et faire correspondre les types d'objets.
Le trafic de chaque hôte ESXi inclus dans votre sélection sera redirigé vers le pare-feu.
1. Dans la colonne
Action
des règles de pare-feu que vous venez de créer, cliquez sur le lien
Profil Palo Alto
Networks 1
.
2. Sélectionnez le
Type d'objet
et le ou les objet(s) que vous souhaitez lier au profil, puis cliquez sur
OK
.
3.
Publiez
vos modifications.
Guide de déploiement VM-Series 79
Création de politiques Configuration d'un pare-feu VM-Series Édition NSX
Application de politiques sur le pare-feu VM-Series
Une fois les politiques de sécurité créées sur NSX Manager, les noms des groupes de sécurité référencés dans la politique de sécurité sont disponibles sur Panorama. Vous pouvez alors utiliser Panorama pour gérer les politiques de manière centralisée sur les pare-feux VM-Series.
Pour gérer la politique centralisée, vous devez d'abord créer un/des groupe(s) d'adresses dynamiques qui correspond(ent) au nom du/des groupe(s) de sécurité défini(s) sur NSX Manager. Ensuite, associez le groupe d'adresses dynamiques comme adresse source ou de destination à la politique de sécurité et appliquez-le aux pare-feux ; ces derniers peuvent récupérer de manière dynamique les adresses IP des machines virtuelles de chaque groupe de sécurité afin d'appliquer la conformité du trafic depuis ou vers les machines virtuelles du groupe spécifié.
80 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Création de politiques
Définition d'une politique sur Panorama
Étape 1 Créez des groupes d'adresses dynamiques.
1.
Connectez-vous à l'interface Web Panorama
2.
Sélectionnez
Objets > Groupes d'adresses
.
3.
Sélectionnez le
groupe de périphériques
créé pour la gestion des pare-feux VM-Series Édition NSX à la section
Création d'un groupe de périphériques et d'un modèle de périphérique sur
.
4.
Cliquez sur
Ajouter
et saisissez un
nom
et une
description
pour identifier le groupe d'adresses.
5.
Définissez le
type
sur
Dynamique
.
6.
Cliquez sur
Ajouter un critère de correspondance
.
Sélectionnez l'opérateur
Et
ou
Ou
, puis cliquez sur en regard du/des nom(s) du/des groupe(s) de sécurité à mettre en correspondance.
Les groupes de sécurité qui s'affichent dans la boite de dialogue Critères de correspondance sont dérivés des groupes définis dans Service Composer sur
NSX Manager. Seuls les groupes de sécurité référencés dans les politiques de sécurité et dont le trafic est redirigé vers le pare-feu VM-Series sont disponibles ici.
Guide de déploiement VM-Series
7.
Cliquez sur
OK
.
8.
à
7 pour créer le nombre approprié de
groupes d'adresses dynamiques pour votre réseau.
9.
Cliquez sur
Valider
.
81
Création de politiques Configuration d'un pare-feu VM-Series Édition NSX
Définition d'une politique sur Panorama (suite)
Étape 2 Créez des politiques de sécurité.
1.
Sélectionnez
Politiques > Sécurité
.
2.
Sélectionnez le
groupe de périphériques
créé pour la gestion des pare-feux VM-Series Édition NSX à la section
Création d'un groupe de périphériques et d'un modèle de périphérique sur
.
3.
Cliquez sur
Ajouter
et saisissez un
nom
et une
description
pour identifier la règle. Dans cet exemple, la règle de sécurité autorise tout le trafic entre les serveurs Web frontaux et les serveurs d'applications.
4.
Sous
Adresse source
et
Adresse de destination
, sélectionnez ou saisissez une adresse, un groupe d'adresses ou une région.
Dans cet exemple, un groupe d'adresses est sélectionné. Il s'agit du groupe d'adresses dynamiques créé à l'
5.
Sélectionnez l'
application
à autoriser. Dans cet exemple, un
groupe d'applications
est créé ; il s'agit d'un groupe statique d'applications spécifiques.
a. Cliquez sur
Ajouter
et sélectionnez
Nouveau groupe d'applications
.
b. Cliquez sur
Ajouter
pour sélectionner l'application que vous souhaitez inclure dans le groupe. Dans cet exemple, la suivante est sélectionnée : c. Cliquez sur
OK
pour créer le groupe d'applications.
6.
Spécifiez l'action (
Autoriser
ou
Refuser
) pour le trafic, puis associez éventuellement les profils de sécurité par défaut pour l'antivirus, l'antispyware et la protection contre les vulnérabilités sous
Profils.
7.
à
6 ci-dessus pour créer des règles de
sécurité pertinentes.
8.
Cliquez sur
Valider
et sélectionnez le type de validation
Panorama
. Cliquez sur
OK.
82 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Création de politiques
Définition d'une politique sur Panorama (suite)
Étape 3 Appliquez les politiques sur les pare-feux VM-Series Édition NSX.
1.
Cliquez sur
Valider
et sélectionnez le type de validation
Groupes de périphériques
.
2.
Sélectionnez le groupe de périphériques, c'est-à-dire le groupe de périphériques NSX dans cet exemple, puis cliquez sur
OK
.
3.
Vérifiez que la validation a réussi.
Étape 4 Assurez-vous que les membres du groupe d'adresses dynamiques sont renseignés sur le pare-feu VM-Series.
1.
À partir de Panorama, changez de contexte de périphérique pour lancer l'interface Web d'un pare-feu sur lequel vous avez appliqué des politiques.
Vous ne pouvez pas vérifier les membres (adresses IP enregistrées) du groupe d'adresses dynamiques sur Panorama. Ces informations ne peuvent être consultées qu'à partir du pare-feu VM-Series qui applique la politique.
2.
Sur le pare-feu VM-Series, sélectionnez
Politiques > Sécurité
et sélectionnez une règle.
3.
Cliquez sur la flèche déroulante en regard du lien du groupe d'adresses et sélectionnez
Inspecter
. Vous pouvez également vérifier que les critères de correspondance sont corrects.
4.
Cliquez sur le lien
Plus
et vérifiez que la liste des adresses IP enregistrées s'affiche.
Étape 5 (Facultatif) Utilisez un modèle pour appliquer une configuration de périphérique et réseau de base, notamment à un serveur DNS, NTP,
Syslog ou à une bannière de connexion.
La politique est appliquée à toutes les adresses IP qui appartiennent à ce groupe d'adresses et s'affichent ici.
Pour plus d'informations sur l'utilisation des modèles, reportez-vous au Guide de l'administrateur Panorama .
Guide de déploiement VM-Series 83
Redirection du trafic d'invités n'exécutant pas VMware Tools Configuration d'un pare-feu VM-Series Édition NSX
Redirection du trafic d'invités n'exécutant pas
VMware Tools
VMware Tools contient un utilitaire qui permet à NSX Manager de collecter les adresses IP de chaque invité exécuté dans le cluster. NSX Manager utilise l'adresse IP comme critère de correspondance pour rediriger le trafic vers le pare-feu VM-Series. Si VMware Tools n'est pas installé sur chaque invité, les adresses IP de l'invité sont inaccessibles à NSX Manager et le trafic ne peut pas être redirigé vers le pare-feu VM-Series.
Les étapes suivantes vous permettent de configurer les invités manuellement sans VMware Tools de sorte que le trafic de chacun d'entre eux puisse être géré par le pare-feu VM-Series.
Redirection du trafic d'invités n'exécutant pas VMware Tools
Étape 1 Créez un ensemble IP incluant les invités à sécuriser par le pare-feu VM-Series. Cet ensemble IP sera utilisé
comme objet source ou de destination dans une règle de pare-feu distribué à l' Étape 4 ci-dessous.
1. Sélectionnez
NSX Managers > Gestion > Regroupement d'objets > Ensembles IP
.
2. Cliquez sur
Ajouter
et saisissez l'adresse IP de chaque invité sur lequel VMware Tools n'est pas installé et qui doit être sécurisé par le pare-feu VM-Series. Utilisez des virgules pour séparer chaque adresse IP ; les plages ou sous-réseaux IP ne sont pas valides.
Étape 2 Vérifiez que SpoofGuard est activé. S'il ne l'est pas, reportez-vous à la section
Étape 3 Approuvez manuellement les adresses IP de chaque invité dans SpoofGuard ; cette opération confirme que les adresses IP approuvées sont exactes pour cette carte réseau. Pour une adresse IP configurée manuellement, veillez à ajouter l'adresse IP à l'ensemble IP avant de l'approuver dans SpoofGuard.
1. Sélectionnez la nouvelle règle SpoofGuard créée précédemment et sélectionnez
Afficher : Cartes réseau virtuelles inactives
.
2. Sélectionnez l'invité et ajoutez l'adresse IP dans le champ Approuver IP, puis publiez les modifications.
3. Passez en revue et approuvez toutes les adresses IP approuvées précédemment également.
Étape 4 Associez les ensembles IP aux groupes de sécurité sur NSX afin d'appliquer la politique.
1. Sélectionnez
Mise en réseau et sécurité > Service Composer > Groupes de sécurité
.
2. Sélectionnez
Sélectionner les objets à inclure > Ensembles IP
, puis ajoutez l'objet d'ensemble IP à inclure.
84 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama
Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama
Pour appliquer des politiques de sécurité dans un pare-feu VM-Series et un centre de données intégré NSX,
Panorama doit être en mesure d'obtenir des informations sur les modifications apportées au paysage virtuel.
À mesure que de nouvelles machines virtuelles sont déployées, modifiées ou supprimées, NSX Manager signale
à Panorama les adresses IP ajoutées et supprimées de groupes de sécurité sur NSX Manager. Panorama transmet ensuite à son tour ces informations aux pare-feu VM-Series. Les groupes d'adresses dynamiques référencés dans des politiques de pare-feu sont comparés à ces informations pour déterminer les membres appartenant au groupe. Ce processus permet au pare-feu d'appliquer une politique de sécurité sur la base du contexte, sécurisant ainsi le trafic depuis et vers ces machines virtuelles. Pour plus d'informations sur les groupes d'adresses dynamiques, reportez-vous à la section
Application de politiques à l'aide de groupes d'adresses dynamiques
.
Le diagramme suivant illustre comment les informations sont transmises entre NSX Manager et Panorama.
Pour comprendre ce processus, suivons la mise à jour d'informations envoyée par NSX Manager à Panorama lorsqu'un nouveau serveur est ajouté à un groupe de sécurité. Utilisez les éléments en surbrillance dans le résultat de chaque phase de cet exemple pour déterminer où le processus a échoué.
Flux entre NSX Manager et Panorama
Étape 1 Pour afficher les mises à jour en temps réel, connectez-vous à l'interface de ligne de commande Panorama.
Connectez-vous à l'interface de ligne de commande sur Panorama .
Guide de déploiement VM-Series 85
Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama
Configuration d'un pare-feu VM-Series Édition NSX
Flux entre NSX Manager et Panorama (suite)
Étape 2 Vérifiez que la requête de NSX Manager est transmise au serveur Web sur
Panorama.
Pour consultez le journal du serveur Web sur Panorama pendant une mise à jour de groupe de sécurité NSX, utilisez la commande suivante : admin@Panorama> tail follow yes webserver-log
cmsaccess.log
127.0.0.1 - - [Wed Dec 03 14:24:11 2014 PST]
"POST /unauth/php/RestApiAuthenticator.php
HTTP/1.1" 200 433
127.0.0.1 - - [Wed Dec 03 14:24:11 2014 PST] "PUT
/api/index.php?client=wget&file-name=dummy
&type= vmware/
vmware/2.0/si/serviceprofile/serviceprofi le-1/containerset HTTP/1.0" 200 446
Si votre résultat n'inclut pas les éléments ci-dessus, recherchez les problèmes de routage. Envoyez une requête ping à Panorama depuis NSX Manager et recherchez les
ACL ou autres périphériques de sécurité réseau pouvant bloquer la communication entre NSX Manager et
Panorama.
86 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama
Flux entre NSX Manager et Panorama (suite)
Étape 3 Vérifiez que la requête est analysée par le démon PHP sur Panorama.
1.
Activez le débogage à l'aide de l'URL suivante : https://<IP_Panorama>/php/debug/utils/de bug.php
2.
À partir de l'interface de ligne de commande, saisissez la commande suivante pour afficher les journaux générés par le serveur PHP : admin@Panorama> tail follow yes mp-log
php.debug.log
[2014/12/03 14:24:11]
<request cmd="op" cookie="0604879067249569" refresh="no">
<operations xml="yes">
<show>
<cli>
...
<request>
<partner>
<vmware-service-manager>
<update>
<method>PUT</method>
<type>update</type>
<username>_vsm_admin</username>
<password>4006474760514053</password>
<url>/vmware/2.0/si/serviceprofile/serviceprofil e-1/containerset</url>
<data><![CDATA[
<containerSet><container><id>securitygroup-10</i d><name>WebServers</name><description></descript ion><revision>8</revision><type>IP</type><addres s>10.3.4.185</address><address>10.3.4.186</addre ss><address>15.0.0.203</address><address>15.0.0.
202</address></container></containerSet>]]></dat a>
</update>
</vmware-service-manager>
</partner>
</request>
</operations>
</request>
Guide de déploiement VM-Series 87
Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama
Configuration d'un pare-feu VM-Series Édition NSX
Flux entre NSX Manager et Panorama (suite)
Étape 4 Les informations sont traitées par le serveur de gestion sur Panorama.
1.
Activez le débogage sur le serveur de gestion à l'aide de la commande suivante : admin@Panorama>
debug management-server on debug
2.
Saisissez la commande suivante pour afficher les journaux générés par le journal configd : admin@Panorama> tail follow yes mp-log
configd.log
3.
Dans le résultat, vérifiez que la mise à jour a été transmise par le démon PHP au démon du serveur de gestion.
2014-12-03 14:24:11.143 -0800 debug: pan_job_progress_monitor(pan_job_mgr.c:3694): job-monitor: updated 0 jobs
……
2014-12-03 14:24:11.641 -0800 debug: recursive_add_params(pan_op_ctxt.c:158): >
'url'='/vmware/2.0/si/serviceprofile/serviceprof ile-1/containerset'
2014-12-03 14:24:11.641 -0800 debug: recursive_add_params(pan_op_ctxt.c:158): >
'data'='
<containerSet><container><id>securitygroup-10</i d><name>WebServers</name><description></descript ion><revision>8</revision><type>IP</type><addres s>10.3.4.185</address><address>10.3.4.186</addre ss><address>15.0.0.203</address><address>15.0.0.
202</address></container></containerSet>'
2014-12-03 14:24:11.641 -0800 Received vshield update: PUT
/vmware/2.0/si/serviceprofile/serviceprofile-1/c ontainerset
Received dynamic address update from VSM:
<request cmd='op' cookie='0604879067249569' client="xmlapi"><operations xml='yes'><request>
<partner>
<vmware-service-manager>
<update>
<method>PUT</method>
<type>update</type>
<username>_vsm_admin</username>
<password>4006474760514053</password>
<url>/vmware/2.0/si/serviceprofile/serviceprofil e-1/containerset</url>
<data><![CDATA[
<containerSet><container><id>securitygroup-10</i d><name>WebServers</name><description></descript ion><revision>8</revision><type>IP</type><addres s>10.3.4.185</address><address>10.3.4.186</addre ss><address>15.0.0.203</address><address>15.0.0.
202</address></container></containerSet>]]>
</data>
</update>
88 Guide de déploiement VM-Series
Configuration d'un pare-feu VM-Series Édition NSX Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama
Flux entre NSX Manager et Panorama (suite)
4.
Recherchez la liste d'adresses IP et d'étiquettes de groupes de sécurité.
2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3721):
ip: 10.3.4.185
2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):
tag:
WebServers-securitygroup-10
2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3721):
ip: 15.0.0.202
2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):
tag:
WebServers-securitygroup-10
pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):
tag:
DomainControllers-securitygroup-16
2014-12-03 14:24:11.647 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3721):
ip: 15.0.0.201
2014-12-03 14:24:11.648 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):
tag:
SQLServers-securitygroup-11
2014-12-03 14:24:11.665 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):
tag:
SharePointServers-securitygroup-13
2014-12-03 14:24:11.665 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3721): i
p: 10.3.4.187
2014-12-03 14:24:11.665 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/ pan_cfg_mongo_tables.c:3738):
tag:
SharePointServers-securitygroup-13
...
Guide de déploiement VM-Series 89
Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama
Configuration d'un pare-feu VM-Series Édition NSX
Flux entre NSX Manager et Panorama (suite)
5.
Pour finir, vérifiez que la mise à jour a été transmise par le démon du serveur de gestion aux pare-feu gérés.
Send to device: 007900002079 [UNREG: 0;
REG: 2] with dynamic address update :
<request cmd='op' cookie='0604879067249569' target-
….
<register>
<entry ip="15.0.0.203">
<tag>
<member>WebServers-securitygroup-10</member
>
</tag>
</entry>
<entry ip="10.3.4.186">
<tag>
<member>WebServers-securitygroup-10</member
>
</tag>
</entry>
</register>
Lorsque ce processus est terminé, les pare-feu peuvent appliquer la politique et sécuriser correctement ces serveurs.
90 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS
Le pare-feu VM-Series peut être déployé dans le cloud Amazon Web Services (AWS). Il peut ensuite être configuré pour sécuriser l'accès aux applications déployées sur des instances EC2 et placées dans un Virtual
Private Cloud (VPC) dans AWS.
À propos du pare-feu VM-Series dans AWS
Déploiements pris en charge dans AWS
Déploiement du pare-feu VM-Series dans AWS
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances
Cas pratique : Pare-feu VM-Series en tant que passerelles GlobalProtect dans AWS
Liste des attributs surveillés dans AWS VPC
Guide de déploiement VM-Series
91
À propos du pare-feu VM-Series dans AWS Configuration du pare-feu VM-Series dans AWS
À propos du pare-feu VM-Series dans AWS
L'AWS (Amazon Web Service) est un service de cloud public qui vous permet d'exécuter vos applications sur une infrastructure partagée gérée par Amazon. Ces applications peuvent être déployées sur une capacité informatique évolutive ou des instances EC2 dans différentes régions de l'AWS et accessibles aux utilisateurs sur Internet. Pour garantir la cohérence de la mise en réseau et la simplicité de gestion des instances EC2,
Amazon propose le VPC (Virtual Private Cloud). Un VPC est réparti à partir du cloud public AWS et est affecté
à un bloc CIDR à partir de l'espace réseau privé (RFC 1918). Dans un VPC, vous pouvez fractionner des sous-réseaux public/privé en fonction de vos besoins et déployer les applications sur les instances EC2 de ces sous-réseaux. Ensuite, pour autoriser l'accès aux applications du VPC, vous pouvez déployer le pare-feu
VM-Series sur une instance EC2. Le pare-feu VM-Series peut alors être configuré pour sécuriser le trafic depuis et vers les instances EC2 du VPC.
Ce document part du principe que vous maîtrisez la mise en réseau et la configuration du VPC AWS. Afin de fournir un contexte pour les termes utilisés dans cette section, voici un bref rappel des termes AWS (certaines définitions proviennent directement du glossaire AWS) auxquels ce document fait référence.
Terme Description
EC2
AMI
Type d'instance
ENI
Elastic Compute Cloud
Services Web vous permettant de lancer et de gérer des instances de serveur Linux/UNIX et
Windows dans des centres de données d'Amazon.
Amazon Machine Image
Fournit les informations nécessaires au lancement d'une instance ; il s'agit d'un serveur virtuel dans le cloud.
L'AMI VM-Series est une image machine cryptée incluant le système d'exploitation nécessaire
à l'instanciation du pare-feu VM-Series sur une instance EC2.
Caractéristiques techniques définies par Amazon stipulant la mémoire, le processeur, la capacité de stockage et le coût horaire d'une instance. Certains types d'instances sont conçus pour des applications standard alors que d'autres sont conçus pour des applications utilisant le processeur, la mémoire, etc., de manière intensive.
Elastic Network Interface
Interface réseau supplémentaire pouvant être associée à une instance EC2. Les ENI peuvent inclure une adresse IP privée principale, une ou plusieurs adresse(s) IP privée(s) secondaire(s), une adresse IP publique, une adresse IP élastique (facultative), une adresse MAC, une adhésion à des groupes de sécurité spécifiés, une description et un indicateur de vérification de source/destination.
92 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS À propos du pare-feu VM-Series dans AWS
Terme
Types d'adresses IP des instances EC2
VPC
IGW
Sous-réseaux
Groupes de sécurité
Description
Une instance EC2 peut comporter différents types d'adresses IP.
• Adresse IP publique : Adresse IP pouvant être acheminée sur Internet.
• Adresse IP privée : Adresse IP dans la plage d'adresses IP privées tel que défini dans
RFC 1918. Vous pouvez choisir d'affecter manuellement une adresse IP ou d'affecter automatiquement une adresse IP de la plage dans le bloc CIDR du sous-réseau dans lequel vous lancez l'instance EC2.
Si vous affectez une adresse IP manuellement, Amazon réserve les quatre (4) premières adresses IP et la dernière (1) adresse IP à chaque sous-réseau à des fins de mise en réseau IP.
• Adresse IP élastique (EIP) : Adresse IP statique que vous avez allouée dans Amazon EC2 ou Amazon VPC, puis associée à une instance. Les adresses IP élastiques sont liées à votre compte, et non à une instance spécifique. Elles sont dites élastiques car vous pouvez les allouer, associer, dissocier et libérer facilement en fonction de vos besoins.
Une instance dans un sous-réseau public peut comporter une adresse IP privée, une adresse IP publique et une adresse IP élastique (EIP). Une instance dans un sous-réseau privé comportera une adresse IP privée et, éventuellement, une EIP.
Virtual Private Cloud
Réseau élastique alimenté par des services d'infrastructure, de plate-forme et d'application qui partagent une sécurité et une interconnexion communes.
Passerelle Internet fournie par Amazon.
Connecte un réseau à Internet. Vous pouvez acheminer du trafic d'adresses IP en dehors de votre VPC vers la passerelle Internet.
Segment de la plage d'adresses IP d'un VPC auquel des instances EC2 peuvent être liées. Les instances EC2 sont regroupées par sous-réseaux en fonction de vos besoins de sécurité et opérationnels.
Il existe deux types de sous-réseaux :
• Sous-réseau privé : Les instances EC2 de ce sous-réseau ne peuvent pas accéder à Internet.
• Sous-réseau public : La passerelle Internet est liée au sous-réseau public, et les instances
EC2 de ce sous-réseau peuvent accéder à Internet.
Un groupe de sécurité est lié à une ENI et spécifie la liste de protocoles, de ports et de plages d'adresses IP autorisées pour établir des connexions entrantes/sortantes sur l'interface.
Dans AWS VPC, les groupes de sécurité et les ACL réseau contrôlent le trafic entrant et sortant. Les groupes de sécurité régulent l'accès à l'instance EC2, tandis que les ACL réseau régulent l'accès au sous-réseau. Étant donné que vous déployez le pare-feu
VM-Series, définissez des règles plus strictes dans vos groupes de sécurité et ACL réseau, et autorisez le pare-feu à activer des applications en toute sécurité dans le VPC.
Tables de routage Ensemble de règles de routage contrôlant le trafic sortant d'un sous-réseau associé à la table de routage. Un sous-réseau ne peut être associé qu'à une seule table de routage.
Guide de déploiement VM-Series
93
À propos du pare-feu VM-Series dans AWS
Terme
Paire de clés
Description
Configuration du pare-feu VM-Series dans AWS
Ensemble d'informations d'identification de sécurité utilisé pour prouver votre identité de manière électronique. La paire de clés comporte une clé privée et une clé publique. Lorsque vous lancez le pare-feu VM-Series, générez une paire de clés ou sélectionnez-en une existante pour le pare-feu VM-Series. La clé privée est requise pour accéder au pare-feu en mode maintenance.
94 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Déploiements pris en charge dans AWS
Déploiements pris en charge dans AWS
Le pare-feu VM-Series sécurise le trafic entrant et sortant vers et depuis des instances
Cloud (
VPC ) AWS. Le VPC AWS ne prenant en charge qu'un réseau IP (capacités de mise en réseau de
couche 3), le pare-feu VM-Series ne peut être déployé qu'avec des interfaces de couche 3.
Déployez le pare-feu VM-Series pour sécuriser les instances EC2 hébergées dans le Virtual Private Cloud
(VPC) AWS.
Si vous hébergez vos applications dans le cloud AWS, déployez le pare-feu VM-Series pour protéger et activer en toute sécurité des applications destinées aux utilisateurs ayant accès à ces applications sur Internet.
Par exemple, le diagramme suivant illustre le pare-feu VM-Series déployé dans le sous-réseau du périmètre auquel la passerelle Internet est liée. La ou les application(s) sont(est) déployée(s) dans le sous-réseau privé, qui ne dispose pas d'un accès direct à Internet.
Lorsque les utilisateurs doivent accéder aux applications du sous-réseau privé, le pare-feu reçoit la requête et la dirige vers l'application appropriée après vérification de la politique de sécurité et exécution de la règle
NAT de destination. Sur le chemin de retour, le pare-feu reçoit le trafic, applique la politique de sécurité et
Sécurisation des instances EC2 dans le cloud AWS
.
Déployez le pare-feu VM-Series pour l'accès VPN entre le réseau d'entreprise et les instances EC2 du Virtual
Private Cloud (VPC) AWS.
Pour connecter votre réseau d'entreprise aux applications déployées dans le cloud AWS, vous pouvez configurer le pare-feu en tant que point de terminaison d'un tunnel VPN IPSec. Ce tunnel VPN permet aux utilisateurs de votre réseau d'accéder en toute sécurité aux applications du cloud.
Pour une gestion centralisée, une mise en œuvre cohérente des politiques sur l'ensemble du réseau, et la journalisation et la génération de rapports centralisées, vous pouvez également déployer Panorama dans votre réseau d'entreprise. Si vous devez configurer un accès VPN à plusieurs VPC, l'utilisation de Panorama vous permet de regrouper les pare-feu par région et de les gérer facilement.
Guide de déploiement VM-Series
95
Déploiements pris en charge dans AWS Configuration du pare-feu VM-Series dans AWS
Déployez le pare-feu VM-Series en tant que passerelle GlobalProtect pour sécuriser l'accès d'utilisateurs distants à partir d'ordinateurs portables. L'agent GlobalProtect sur l'ordinateur portable se connecte à la passerelle et, en fonction de la requête, la passerelle établit une connexion VPN au réseau d'entreprise ou achemine la requête sur Internet. Pour garantir la conformité de la sécurité des utilisateurs de périphériques mobiles (utilisant l'application GlobalProtect), la passerelle GlobalProtect est combinée au Gestionnaire de sécurité mobile GlobalProtect. Le Gestionnaire de sécurité mobile GlobalProtect garantit que les périphériques mobiles sont gérés et configurés avec les paramètres de périphériques et informations de compte permettant d'utiliser les applications et réseaux d'entreprise.
96 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Déploiement du pare-feu VM-Series dans AWS
Déploiement du pare-feu VM-Series dans AWS
Configuration système requise et limitations pour VM-Series dans AWS
Planification de la fiche de travail du pare-feu VM-Series dans AWS VPC
Lancement du pare-feu VM-Series dans AWS
Obtention de l'AMI
L'AMI pour le pare-feu VM-Series est disponible dans l'AWS Marketplace avec l'option Bring Your Own
License (BYOL). Pour acheter les licences, contactez votre ingénieur ou revendeur Palo Alto Networks Systems.
Configuration système requise et limitations pour VM-Series dans AWS
Configuration requise
Types d'instances EC2
Elastic Block Storage (EBS)
Amazon
Mise en réseau
Détails
Déployez le pare-feu VM-Series sur l'un des types d'instances EC2 suivants :
• m3.xlarge
• m3.2xlarge
• c3.xlarge
• c3.2xlarge
• c3.4xlarge
• c3.8xlarge
La configuration ressource requise du pare-feu VM-Series est la suivante : vCPU : 2 ; Mémoire : 4 Go ; 5 Go pour le VM-1000-HV ; Disque : 40 Go.
Si vous déployez le pare-feu VM-Series sur un type d'instance EC2 non conforme à cette configuration requise, le pare-feu démarrera en mode maintenance.
Le pare-feu VM-Series doit utiliser le volume Elastic Block Storage (EBS) Amazon pour le stockage. L'optimisation EBS offre une meilleure pile de configuration et une capacité supplémentaire dédiée aux E/S EBS Amazon.
L'AWS ne prenant en charge que les capacités de mise en réseau de couche 3, le pare-feu VM-Series ne peut être déployé qu'avec des interfaces de couche 3. Les interfaces de couche 2, Virtual Wire, VLAN et sous-interfaces ne sont pas prises en charge sur le pare-feu VM-Series déployé dans le VPC AWS.
Guide de déploiement VM-Series
97
Déploiement du pare-feu VM-Series dans AWS Configuration du pare-feu VM-Series dans AWS
Configuration requise
Interfaces
Autorisation de support et licences
Détails
Prise en charge d'un total de huit interfaces (si disponibles) : une interface de gestion et un maximum de sept ENI (Elastic Network Interface) pour le trafic de données. Le pare-feu VM-Series ne prend pas l'association à chaud d'ENI. Pour détecter l'ajout ou la suppression d'une ENI, vous devez redémarrer le pare-feu.
Le type d'instance EC2 choisi détermine le nombre total d'ENI que vous pouvez activer. Par exemple, le type c3.8xlarge prend en charge huit (8) ENI.
Un compte de support et une licence VM-Series valide sont requis pour obtenir le
fichier image de machine ( AMI
) Amazon qui est nécessaire pour installer le pare-feu VM-Series dans AWS VPC.
Les licences requises pour le pare-feu VM-Series (licence de capacité, licence de support et abonnements de prévention contre les menaces, de filtrage des URL et
WildFire, etc.) doivent être achetées auprès de Palo Alto Networks. Pour acheter les licences pour votre déploiement, contactez votre représentant commercial.
Planification de la fiche de travail du pare-feu VM-Series dans AWS VPC
Pour simplifier le déploiement, planifiez les sous-réseaux du VPC et les instances EC2 que vous souhaitez déployer dans chaque sous-réseau. Avant de commencer, consultez le tableau ci-dessous pour disposer des informations réseau nécessaires au déploiement et à l'insertion du pare-feu VM-Series dans le flux de trafic du VPC :
Élément de configuration Valeur
CIDR VPC
Groupes de sécurité
Sous-réseau (public) CIDR
Sous-réseau (privé) CIDR
Sous-réseau (public) Table de routage
Sous-réseau (privé) Table de routage
Groupes de sécurité
• Règles d'accès de gestion au pare-feu (eth0/0)
• Règles d'accès aux interfaces de plan de données du pare-feu
• Règles d'accès aux interfaces affectées aux serveurs d'applications
98 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Déploiement du pare-feu VM-Series dans AWS
Élément de configuration Valeur
EC2 Instance 1 (pare-feu VM-Series)
Une EIP n'est requise que pour l'interface de plan de données liée au sous-réseau public.
EC2 Instance 2 (application à sécuriser)
Répétez ces valeurs pour les autres applications déployées.
Sous-réseau :
Type d'instance :
IP de l'interface de gestion :
EIP de l'interface de gestion :
Interface de plan de données eth1/1
• IP privée :
• EIP (si nécessaire) :
• Groupe de sécurité :
Interface de plan de données eth1/2
• IP privée :
• EIP (si nécessaire) :
• Groupe de sécurité :
Sous-réseau :
Type d'instance :
IP de l'interface de gestion :
Passerelle par défaut :
Interface de plan de données 1
• IP privée
Lancement du pare-feu VM-Series dans AWS
Si vous n'avez pas encore enregistré dans votre compte le code d'autorisation de capacité contenu dans l'e-mail
comme suit :
Lancement du pare-feu VM-Series dans AWS VPC
Étape 1 Accédez à la console AWS.
Connectez-vous à la console AWS et sélectionnez le tableau de bord EC2.
Guide de déploiement VM-Series
99
Déploiement du pare-feu VM-Series dans AWS Configuration du pare-feu VM-Series dans AWS
Lancement du pare-feu VM-Series dans AWS VPC (suite)
Étape 2 Configurez le VPC en fonction de vos besoins réseau.
Que vous lanciez le pare-feu VM-Series dans un VPC existant ou que vous créiez un nouveau VPC, le pare-feu VM-Series doit être en mesure de recevoir le trafic des instances EC2 et d'établir des communications entrantes et sortantes entre le VPC et Internet.
Reportez-vous à la documentation d'AWS
VPC pour obtenir des instructions sur la création d'un VPC et sur sa configuration pour l'accès.
Pour un exemple avec un flux de travail complet, reportez-vous à la section
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
.
1.
Créez un nouveau VPC ou utilisez un VPC existant.
2.
Vérifiez que les composants réseau et de sécurité sont définis de manière appropriée.
• Activez la communication avec Internet. Le VPC par défaut inclut une passerelle Internet et si vous installez le pare-feu
VM-Series dans le sous-réseau par défaut, il a accès à
Internet.
• Créez des sous-réseaux. Les sous-réseaux sont des segments de la plage d'adresses IP affectée au VPC dans lequel vous lancez les instances EC2. Le pare-feu VM-Series doit appartenir au sous-réseau public pour pouvoir être configuré pour l'accès à Internet.
• Si nécessaire, créez des groupes de sécurité pour gérer le trafic entrant et sortant des instances EC2/sous-réseaux.
• Ajoutez des itinéraires à la table de routage pour un sous-réseau privé afin de vous assurer que le trafic peut être acheminé entre des sous-réseaux et des groupes de sécurité du VPC, le cas échéant.
100 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Déploiement du pare-feu VM-Series dans AWS
Lancement du pare-feu VM-Series dans AWS VPC (suite)
Étape 3 Lancez le pare-feu VM-Series.
Bien que vous puissiez ajouter des interfaces réseau supplémentaires au pare-feu VM-Series lorsque vous le lancez, associez d'autres interfaces réseau après le lancement du pare-feu afin de réduire le nombre de problèmes au déploiement de l'instance.
1.
Sur le tableau de bord EC2, cliquez sur
Lancer l'instance
.
2.
Sélectionnez l'AMI VM-Series. Pour obtenir l'AMI, reportez-vous à la section
3.
Lancez le pare-feu VM-Series sur une instance EC2.
a. Choisissez le
Type d'instance EC2
(m3.xlarge, c3.xlarge ou c3.8xlarge) pour allouer les ressources nécessaires au pare-feu, puis cliquez sur
Suivant
.
b. Sélectionnez le VPC.
c. Sélectionnez le sous-réseau public auquel l'interface de gestion du pare-feu VM-Series sera liée.
d. Sélectionnez
Affecter automatiquement une adresse IP publique
. Ceci vous permet d'obtenir une adresse IP accessible publiquement pour l'interface de gestion du pare-feu VM-Series.
Vous pouvez lier une adresse IP élastique à l'interface de gestion ultérieurement. Contrairement à l'adresse IP publique qui est dissociée du pare-feu lorsque l'instance est fermée, l'adresse IP élastique est persistante et peut être reliée
à une nouvelle instance (ou de remplacement) du pare-feu
VM-Series sans reconfigurer l'adresse IP si vous devez y faire référence.
e. Sélectionnez
Lancer en tant qu'instance optimisée EBS
.
Cette paire de clés est requise lorsque vous accédez pour la première fois au pare-feu. Elle est également nécessaire pour accéder au pare-feu en mode maintenance. f. Acceptez les paramètres de
Stockage
par défaut.
g. Ignorez l'étiquetage. Vous pouvez ajouter des étiquettes ultérieurement.
h. Sélectionnez un
Groupe de sécurité
existant ou créez-en un nouveau. Ce groupe de sécurité vise à limiter l'accès à l'interface de gestion du pare-feu.
i. Lorsque vous y êtes invité, sélectionnez l'option
SSD
adaptée
à votre configuration. j. Sélectionnez
Vérifier et lancer
. Vérifiez que vos sélections sont correctes, puis cliquez sur
Lancer
. k. Sélectionnez une paire de clés existante ou créez-en une, et acceptez l'avis de non-responsabilité de la clé. l. Téléchargez et enregistrez la clé privée dans un emplacement sûr ; l'extension de fichier est .pem. Vous ne pouvez pas régénérer cette clé en cas de perte.
Le lancement du pare-feu VM-Series prend 5 à 7 minutes.
Vous pouvez voir la progression sur le tableau de bord EC2.
Une fois le processus terminé, le pare-feu VM-Series s'affiche sur la page
Instances
du tableau de bord EC2.
Guide de déploiement VM-Series
101
Déploiement du pare-feu VM-Series dans AWS Configuration du pare-feu VM-Series dans AWS
Lancement du pare-feu VM-Series dans AWS VPC (suite)
Étape 4 Configurez un nouveau mot de passe administratif pour le pare-feu.
Le mot de passe par défaut est admin.
À l'aide de l'interface de ligne de commande (CLI), configurez un mot de passe unique pour le pare-feu pour pouvoir accéder à l'interface Web du pare-feu.
Étape 5 Arrêtez le pare-feu VM-Series.
1.
2.
Utilisez l'adresse IP publique vers SSH dans l'interface de ligne de commande (CLI) du pare-feu VM-Series.
Vous aurez besoin de la clé privée utilisée ou créée
pare-feu :
ssh-i
-
Saisissez la commande suivante pour vous connecter au
<private_key.pem>
admin@
<adresse-IP-publique>
3.
Configurez un nouveau mot de passe à l'aide de la commande suivante, et suivez les invites affichées à l'écran :
Configuration set mgt-config users admin password commit
4.
Fermez la session SSH.
1.
Sur le tableau de bord EC2, sélectionnez
Instances
.
2.
Dans la liste, sélectionnez le pare-feu VM-Series, puis cliquez sur
Actions > Arrêter
.
102 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Déploiement du pare-feu VM-Series dans AWS
Lancement du pare-feu VM-Series dans AWS VPC (suite)
Étape 6 Créez la ou les interface(s) réseau virtuel et associez-les(la) au pare-feu VM-Series.
Les interfaces réseau virtuel sont appelées des interfaces réseau élastiques (ENI) dans AWS, et servent d'interfaces réseau de plan de données sur le pare-feu. Ces interfaces sont utilisées pour la gestion du trafic de données depuis/vers le pare-feu.
Vous aurez besoin d'au moins deux ENI.
Vous pouvez ajouter jusqu'à sept ENI pour gérer le trafic de données sur le pare-feu VM-Series. Vérifiez le type de votre instance EC2 pour connaître le nombre maximum qu'il peut prendre en charge.
1.
Sur le tableau de bord EC2, sélectionnez
Interfaces réseau
, puis cliquez sur
Créer une interface réseau
.
2.
Donnez un nom descriptif à l'interface.
3.
Sélectionnez le sous-réseau. Utilisez l'ID de sous-réseau pour vérifier que vous avez sélectionné le bon sous-réseau. Vous ne pouvez lier qu'une seule ENI à une instance d'un même sous-réseau.
4.
Saisissez l'adresse
IP privée
pour l'affecter à l'interface ou sélectionnez
Affectation automatique
pour affecter automatiquement une adresse IP parmi les adresses IP disponibles du sous-réseau sélectionné.
5.
Sélectionnez le
Groupe de sécurité
contrôlant l'accès à l'interface réseau de plan de données.
6.
Cliquez sur
Oui, créer
.
Pour détecter les nouvelles ENI liées, le pare-feu VM-Series doit
être redémarré. Si vous n'avez pas encore arrêté le pare-feu, procédez à l'activation de licence, ce qui entraîne un redémarrage du pare-feu. Une fois le pare-feu redémarré, les ENI sont détectées.
7.
Pour associer l'ENI au pare-feu VM-Series, sélectionnez l'interface que vous venez de créer, puis cliquez sur
Associer
.
Étape 7 Activez les licences sur le pare-feu VM-Series.
Cette tâche n'est pas exécutée sur la console de gestion AWS.
Accédez au portail de support de
Palo Alto Networks et l'interface Web du pare-feu VM-Series est nécessaire pour l'activation de la licence.
8.
Sélectionnez l'
ID d'instance
du pare-feu VM-Series, puis cliquez sur
Associer
.
9.
Répétez les étapes ci-dessus pour créer et associer au moins une
ENI supplémentaire au pare-feu.
Reportez-vous à la section
Guide de déploiement VM-Series
103
Déploiement du pare-feu VM-Series dans AWS Configuration du pare-feu VM-Series dans AWS
Lancement du pare-feu VM-Series dans AWS VPC (suite)
Étape 8 Désactivez la vérification de la source/destination sur chaque interface réseau de plan de données du pare-feu.
La désactivation de cette option permet
à l'interface de gérer le trafic réseau non destiné à l'adresse IP affectée à l'interface réseau.
1.
2.
Sur le tableau de bord EC2, sélectionnez l'interface réseau, eth1/1 par exemple, dans l'onglet
Dans la liste déroulante
source/dest. Vérifier
Action
Interfaces réseau
, sélectionnez
.
Modifier la
Étape 9 Configurez les interfaces réseau de plan de données en tant qu'interfaces de couche 3 sur le pare-feu.
Pour un exemple de configuration,
dans la section
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS .
3.
Cliquez sur
Désactivé
et
enregistrez
vos modifications.
4.
Répétez les étapes 1 à 3 pour chaque interface de plan de données du pare-feu.
1.
2.
Ouvrez un navigateur Web et saisissez l'adresse IP publique ou l'EIP affectée à l'interface de gestion du pare-feu VM-Series.
Sélectionnez
Réseau > Interfaces > Ethernet
la liaison de l'interface est activée.
.
Avant de configurer les interfaces réseau, vérifiez que
. Si la liaison
Sur les serveurs d'applications du VPC, définissez l'interface réseau de plan de données du pare-feu en tant que passerelle par défaut.
n'est pas activée, redémarrez le pare-feu.
3.
Cliquez sur la liaison
ethernet 1/1
et configurez comme suit :
–
Type d'interface
:
Couche 3
– Dans l'onglet
Configuration
, affectez l'interface au routeur par défaut.
– Dans l'onglet
Configuration
, développez la liste déroulante
Zone de sécurité
et sélectionnez
Nouvelle zone
.
Définissez une nouvelle zone, VM_Series_Non approuvée par exemple, puis cliquez sur
OK
.
– Dans l'onglet
IPv4
, sélectionnez
Statique
ou
Client DHCP
.
Si vous utilisez l'option
Statique
, cliquez sur
Ajouter
dans la section IP, puis saisissez l'adresse IP et le masque réseau pour l'interface, par exemple, 10.0.0.10/24.
Assurez-vous que l'adresse IP correspond à l'adresse IP
ENI que vous avez affectée précédemment.
Si vous utilisez DHCP, sélectionnez
Client DHCP
; l'adresse IP privée que vous avez affectée à l'ENI dans la console de gestion AWS est automatiquement acquise.
4.
Cliquez sur la liaison
ethernet 1/2
et configurez comme suit :
– Type d'interface : Couche 3
– Zone de sécurité : VM_Series_Approuvée
–
Adresse IP
: Sélectionnez le bouton radio
Statique
ou
Client DHCP
.
Pour l'option Statique, cliquez sur
Ajouter
dans la section IP, puis saisissez l'adresse IP et le masque réseau pour l'interface.
Assurez-vous que l'adresse IP correspond à l'adresse IP ENI associée que vous avez affectée précédemment.
104 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Déploiement du pare-feu VM-Series dans AWS
Lancement du pare-feu VM-Series dans AWS VPC (suite)
Pour l'option DHCP, décochez la case
Créer automatiquement un itinéraire par défaut en direction de la passerelle par défaut fournie par le serveur
. Pour une interface associée au sous-réseau privé du VPC, la désactivation de cette option garantit que le trafic géré par cette interface n'est pas dirigé directement vers la passerelle Internet sur le VPC.
Étape 10 Créez des règles NAT pour autoriser le trafic entrant et sortant des serveurs déployés dans le VPC.
Étape 11 Créez des politiques de sécurité pour autoriser/refuser le trafic vers les/des serveurs déployés dans le VPC.
1.
Sélectionnez
Politiques > NAT
sur l'interface Web du pare-feu.
2.
Créez une règle NAT pour autoriser le trafic entre l'interface réseau de plan de données sur le pare-feu et l'interface serveur
Web dans le VPC.
3.
Créez une règle NAT pour autoriser l'accès sortant pour le trafic entre le serveur Web et Internet.
1.
Sélectionnez
Politiques > Sécurité
sur l'interface Web du pare-feu.
2.
Cliquez sur
Ajouter
, puis spécifiez les zones, applications et options de journalisation que vous souhaitez exécuter afin de limiter et d'auditer le trafic traversant le réseau.
1.
Cliquez sur
Valider
Étape 12 Validez les modifications apportées au pare-feu.
Étape 13 Vérifiez que le pare-feu VM-Series sécurise le trafic et que les règles NAT sont appliquées.
1.
Sélectionnez du pare-feu.
Surveillance > Logs > Trafic
sur l'interface Web
2.
Consultez les logs pour vérifier que les applications sur le réseau sont conformes aux politiques de sécurité que vous avez mises en œuvre.
Guide de déploiement VM-Series
105
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
Dans cet exemple, le VPC est déployé dans le réseau 10.0.0.0/16 avec deux sous-réseaux /24 : 10.0.0.0/24 et
10.0.1.0/24. Le pare-feu VM-Series sera lancé dans le sous-réseau 10.0.0.0/24 auquel la passerelle Internet est liée. Le sous-réseau 10.0.1.0/24 est un sous-réseau privé qui hébergera les instances EC2 devant être sécurisées par le pare-feu VM-Series. Tout serveur sur ce sous-réseau privé utilise NAT pour une adresse IP acheminable
(il s'agit d'une adresse IP élastique) afin d'accéder à Internet. Utilisez la
plages de sous-réseaux, d'interfaces réseau et des adresses IP associées des instances EC2, et de groupes de sécurité, le processus de configuration sera simplifié et plus fiable.
L'image suivante illustre le flux de trafic logique vers/depuis le serveur Web et Internet. Le trafic vers/depuis le serveur Web est envoyé à l'interface de données du pare-feu VM-Series associé au sous-réseau privé. Le pare-feu applique une politique et des processus de trafic entrant/sortant depuis/vers la passerelle Internet du
VPC. L'image illustre également les groupes de sécurité auxquels les interfaces de données sont associées.
106 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud
Étape 1 Créez un nouveau VPC avec un sous-réseau public (ou sélectionnez un
VPC existant).
1.
Connectez-vous à la console AWS et sélectionnez le tableau de bord
VPC
.
2.
Vérifiez que vous avez sélectionné la zone géographique appropriée (région AWS). Le VPC sera déployé dans la région sélectionnée.
3.
Sélectionnez
Démarrer l'assistant VPC
, puis
VPC avec un seul sous-réseau public
.
Dans cet exemple, le bloc CIDR IP du VPC est 10.0.0.0/16, le nom du VPC est Cloud DC, le sous-réseau public est 10.0.0.0/24, et le nom du sous-réseau est Cloud DC Public. Vous créerez un sous-réseau privé après la création du VPC.
4.
Cliquez sur
Créer un VPC
.
Guide de déploiement VM-Series
107
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
Étape 2 Créez un sous-réseau privé.
Sélectionnez
Sous-réseaux
Fournissez les informations.
, puis cliquez sur
Créer un sous-réseau
.
Dans cet exemple, le
Nom d'étiquette
du sous-réseau est Web/DB
Server Subnet. Il est créé dans le VPC Cloud Datacenter et affecté au bloc CIDR 10.0.1.0/24.
Étape 3 Créez une nouvelle table de routage pour chaque sous-réseau.
Bien qu'une table de routage principale soit automatiquement créée sur le
VPC, nous recommandons de créer de nouvelles tables de routage plutôt que de modifier la table de routage par défaut.
Pour diriger le trafic sortant de chaque sous-réseau, vous ajouterez des itinéraires à la table de routage associée
à chaque sous-réseau, ultérieurement dans ce flux de travail.
1.
Sélectionnez
Tables de routage
>
Créer une table de routage
.
2.
Ajoutez un
Nom
, CloudDC-public-subnet-RT par exemple, sélectionnez le
VPC
que vous avez créé à l' Étape 1 , puis cliquez sur
Oui, créer
.
3.
Sélectionnez la table de routage, cliquez sur
Associations de sous-réseau
, puis sélectionnez le sous-réseau public.
4.
Sélectionnez
Créer une table de routage
.
5.
Ajoutez un
Nom
, CloudDC-private-subnet-RT par exemple, sélectionnez le
VPC
que vous avez créé à l' Étape 1 , puis cliquez sur
Oui, créer
.
6.
Sélectionnez la table de routage, cliquez sur
Associations de sous-réseau
, puis sélectionnez le sous-réseau privé.
108 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
Étape 4 Créez des groupes de sécurité pour limiter l'accès Internet entrant/sortant aux instances EC2 dans le VPC.
Par défaut, AWS interdit la communication entre des interfaces n'appartenant pas au même groupe de sécurité.
Sélectionnez
Groupes de sécurité
, puis cliquez sur le bouton
Créer un groupe de sécurité
. Dans cet exemple, nous créons trois groupes de sécurité avec les règles d'accès entrant suivantes :
• CloudDC-Management qui spécifie les protocoles et adresses IP source pouvant se connecter à l'interface de gestion du pare-feu
VM-Series. Vous avez besoin, au minimum, de SSH et HTTPS.
Dans cet exemple, nous activons SSH, ICMP, HTTP et HTTPS sur les interfaces associées à ce groupe de sécurité.
L'interface de gestion (eth 0/0) du pare-feu VM-Series sera affectée à CloudDC-management-sg.
• Public-Server-CloudDC qui spécifie les adresses IP source pouvant se connecter via HTTP, FTP, SSH dans le VPC. Ce groupe autorise le trafic entre le réseau externe et le pare-feu.
L'interface de plan de données eth 1/1 du pare-feu VM-Series sera affectée à Public-Server-CloudDC.
• Private-Server-CloudDC qui dispose d'un accès très limité. Il permet uniquement aux autres instances EC2 du même sous-réseau de communiquer entre elles et avec le pare-feu
VM-Series.
L'interface de plan de données eth1/2 du pare-feu VM-Series et l'application du sous-réseau privés seront associées à ce groupe de sécurité.
Étape 5 Déployez le pare-feu VM-Series.
Seule l'interface réseau principale qui servira d'interface de gestion sera associée et configurée pour le pare-feu lors du premier lancement.
Les interfaces réseau nécessaires pour la gestion du trafic de données
.
de la section
Lancement du pare-feu VM-Series dans AWS
.
Guide de déploiement VM-Series
109
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
Étape 6 Créez et associez la ou les interface(s) réseau virtuel, également appelée(s)
ENI (Elastic Network Interface), au pare-feu VM-Series. Ces ENI sont utilisées pour la gestion du trafic de données depuis/vers le pare-feu.
1.
2.
Sur le tableau de bord EC2, sélectionnez cliquez sur
Créer une interface réseau
Donnez un nom descriptif à l'interface.
.
Interfaces réseau
, puis
3.
Sélectionnez le sous-réseau. Utilisez l'ID de sous-réseau pour vérifier que vous avez sélectionné le bon sous-réseau. Vous ne pouvez lier qu'une seule ENI à une instance d'un même sous-réseau.
4.
Saisissez l'adresse
IP privée
que vous souhaitez affecter à l'interface ou sélectionnez
Affectation automatique
pour affecter automatiquement une adresse IP parmi les adresses IP disponibles du sous-réseau sélectionné.
5.
Sélectionnez le
Groupe de sécurité
contrôlant l'accès à l'interface réseau.
6.
Cliquez sur
Oui, créer
.
Dans cet exemple, nous créons deux interfaces avec la configuration suivante :
• Pour Eth1/1 (VM-Series-Non approuvée)
– Sous-réseau : 10.0.0.0/24
– IP privée : 10.0.0.10
– Groupe de sécurité : Serveur-public-CloudDC
• Pour Eth1/2 (VM-Series-Approuvée)
– Sous-réseau : 10.0.1.0/24
– IP privée : 10.0.1.10
– Groupe de sécurité : Serveur-privé-CloudDC
7.
Pour associer l'ENI au pare-feu VM-Series, sélectionnez l'interface que vous venez de créer, puis cliquez sur
Associer
.
8.
Sélectionnez l'
ID d'instance
du pare-feu VM-Series, puis cliquez sur
Associer
.
9.
Répétez les étapes 7 et 8 pour associer l'autre interface réseau.
110 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
Étape 7 Créez une adresse IP élastique et associez-la à l'interface réseau de plan de données du pare-feu qui doit disposer d'un accès direct à Internet.
Dans cet exemple, une EIP est affectée
à VM-Series_Non approuvée. L'EIP associée à l'interface est l'adresse IP accessible du serveur Web dans le sous-réseau privé.
1.
Sélectionnez
IP élastiques
, puis cliquez sur
Allouer une nouvelle adresse
.
2.
Sélectionnez
EC2-VPC
, puis cliquez sur
Oui, allouer
.
3.
Sélectionnez la nouvelle EIP allouée, puis cliquez sur
Associer l'adresse
.
4.
Sélectionnez l'
Interface réseau
et l'
Adresse IP privée
associée à l'interface, puis cliquez sur
Oui, associer
.
Dans cet exemple, la configuration est la suivante :
Étape 8 Désactivez la vérification de la source/destination sur chaque interface réseau associée au pare-feu
VM-Series. La désactivation de cet attribut permet à l'interface de gérer le trafic réseau non destiné à son adresse IP.
Étape 9 Dans la table de routage associée au
sous-réseau public (de l' Étape 3
), ajoutez un itinéraire par défaut vers la passerelle Internet pour le VPC.
1.
Sélectionnez l'interface réseau dans l'onglet
Interfaces réseau
.
2.
Dans la liste déroulante
Action
, sélectionnez
Modifier la source/dest
.
Vérifiez
.
3.
Cliquez sur
Désactivé
et
enregistrez
vos modifications.
4.
Répétez les étapes 1 à 3 pour d'autres interfaces réseau, firewall-1/2 dans cet exemple.
1.
Dans le tableau de bord VPC, sélectionnez
Tables de routage
et recherchez la table de routage associée au sous-réseau public.
2.
Sélectionnez la table de routage,
Itinéraires
, puis cliquez sur
Modifier
.
3.
Ajoutez un itinéraire pour transférer des paquets de ce sous-réseau
à la passerelle Internet. Dans cet exemple, 0.0.0.0.0 indique que l'ensemble du trafic depuis/vers ce sous-réseau utilisera la passerelle Internet associée au VPC.
Guide de déploiement VM-Series
111
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
Étape 10 Dans la table de routage associée au sous-réseau privé, ajoutez un itinéraire par défaut pour envoyer du trafic au pare-feu VM-Series.
L'ajout de cet itinéraire permet le transfert de trafic depuis les instances
EC2 de ce sous-réseau privé vers le pare-feu VM-Series.
1.
Dans le tableau de bord VPC, sélectionnez
Tables de routage
et recherchez la table de routage associée au sous-réseau privé.
2.
Sélectionnez la table de routage,
Itinéraires
, puis cliquez sur
Modifier
.
.
3.
Ajoutez un itinéraire pour transférer des paquets de ce sous-réseau
à l'interface réseau du pare-feu VM-Series résidant sur le même sous-réseau. Dans cet exemple, 0.0.0.0/0 indique que l'ensemble du trafic depuis/vers ce sous-réseau utilisera eni-abf355f2 (ethernet
1/2, à savoir CloudDC-VM-Series-Approuvée) sur le pare-feu
VM-Series.
Pour chaque serveur Web ou de base de données déployé sur l'instance EC2 dans le sous-réseau privé, vous devez également ajouter l'adresse IP du pare-feu VM-Series en tant que passerelle par défaut.
Effectuez l'
pare-feu VM-Series.
Étape 11 Configurez un nouveau mot de passe administratif pour le pare-feu.
Un outil SSH tel que PuTTY est nécessaire pour accéder à la CLI sur le pare-feu et modifier le mot de passe administratif par défaut. Vous ne pouvez pas accéder à l'interface Web tant que n'avez pas activé SSH et modifié le mot de passe par défaut.
1.
Utilisez l'adresse IP publique, que vous avez configurée sur le pare-feu, vers SSH dans l'interface de ligne de commande (CLI) du pare-feu VM-Series.
Vous aurez besoin de la clé privée utilisée ou créée dans Lancez le pare-feu VM-Series.
-
pour accéder à la CLI.
2.
Saisissez la commande suivante pour vous connecter au pare-feu :
ssh-i
<nom_clé_privée>
admin@
<adresse_IP_publique>
3.
Configurez un nouveau mot de passe à l'aide de la commande suivante, et suivez les invites affichées à l'écran :
set password
Configuration
Étape 12 Accédez à l'interface Web du pare-feu
VM-Series.
Étape 13 Activez les licences sur le pare-feu VM-Series.
commit
4.
Fermez la session SSH.
Ouvrez un navigateur Web et saisissez l'adresse IP publique ou l'EIP de l'interface de gestion. Par exemple : https://54.183.85.163
Reportez-vous à la section
.
112 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
Étape 14 Sur le pare-feu VM-Series, configurez les interfaces réseau de plan de données sur pare-feu en tant qu'interfaces de couche 3.
1.
Sélectionnez
Réseau > Interfaces > Ethernet
redémarrez le pare-feu.
.
Avant de configurer les interfaces réseau, vérifiez que la liaison de l'interface est activée. . Si la liaison n'est pas activée,
2.
Cliquez sur la liaison
ethernet 1/1
et configurez comme suit :
•
Type d'interface
:
Couche 3
• Sélectionnez l'onglet
Configuration
, affectez l'interface au routeur par défaut.
• Dans l'onglet
Configuration
, développez la liste déroulante
Zone de sécurité
et sélectionnez
Nouvelle zone
. Définissez une nouvelle zone, Non approuvée par exemple, puis cliquez sur
OK
.
• Sélectionnez
IPv4
, sélectionnez
Client DHCP
; l'adresse IP privée que vous avez affectée à l'interface réseau dans la console de gestion AWS est automatiquement acquise.
• Dans l'onglet
Avancé > Autres informations
, développez la liste
Profil de gestion, puis sélectionnez
Nouveau profil de gestion
.
• Saisissez un
nom
pour le profil, tel que allow_ping, sélectionnez
Ping
dans la liste des services autorisés, puis cliquez sur
OK
.
• Pour enregistrer la configuration de l'interface, cliquez sur
OK
.
3.
Cliquez sur la liaison
ethernet 1/2
et configurez comme suit :
• Type d'interface : Couche 3
• Sélectionnez l'onglet
Configuration
, affectez l'interface au routeur par défaut.
• Dans l'onglet
Configuration
, développez la liste déroulante
Zone de sécurité
et sélectionnez
Nouvelle zone
. Définissez une nouvelle zone, Approuvée par exemple, puis cliquez sur
OK
.
• Sélectionnez
IPv4
, puis
Client DHCP
.
• Dans l'onglet
IPv4
, décochez la case
Créer automatiquement un itinéraire par défaut en direction de la passerelle par défaut fournie par le serveur
. Pour une interface associée au sous-réseau privé du VPC, la désactivation de cette option garantit que le trafic géré par cette interface n'est pas dirigé directement vers la passerelle Internet (IGW) sur le VPC.
• Dans l'onglet
Avancé > Autres informations
, développez la liste
Profil de gestion, puis sélectionnez le profil allow_ping créé précédemment.
• Cliquez sur
OK
pour enregistrer la configuration de l'interface.
4.
Cliquez sur
Valider
pour enregistrer les modifications.
Guide de déploiement VM-Series
113
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
Étape 15 Sur le pare-feu VM-Series, créez des règles NAT de destination et source pour autoriser le trafic entrant/sortant vers/depuis les applications déployées dans le VPC.
1.
Sélectionnez
Politiques > NAT
.
2.
Créez une règle NAT de destination qui redirige trafic entre le pare-feu et le serveur Web.
a. Cliquez sur
Ajouter
et saisissez un nom pour la règle. Par exemple, NAT2WebServer.
b. Dans l'onglet
Paquet d'origine
, effectuez les sélections suivantes :
–
Zone source
: non approuvée (d'où provient le trafic)
–
Zone de destination
: non approuvée (la zone de l'interface de plan de données du pare-feu à laquelle l'EIP du serveur Web est associée)
–
Adresse source
: Indifférent
–
Adresse de destination
: 10.0.0.10
– Dans l'onglet
Paquet traduit
, cochez la case Traduction de l'adresse de destination, puis définissez l'
Adresse traduite
sur
10.0.1.62, à savoir l'adresse IP privée du serveur Web.
c. Cliquez sur
OK
.
3.
Créez une règle NAT source pour autoriser l'accès sortant pour le trafic entre le serveur Web et Internet.
a. Cliquez sur
Ajouter
et saisissez un nom pour la règle. Par exemple, NAT2External.
b. Dans l'onglet
Paquet d'origine
, effectuez les sélections suivantes :
–
Zone source
: approuvée (d'où provient le trafic)
–
Zone de destination
: non approuvée (la zone de l'interface de plan de données du pare-feu à laquelle l'EIP du serveur Web est associée)
–
Adresse source
: Indifférent
–
Adresse de destination
: Indifférent c. Dans l'onglet
Paquet traduit
, effectuez les sélections suivantes dans la section Traduction de l'adresse source :
–
Type de traduction
: adresse IP et port dynamiques
–
Type d'adresse
: Adresse traduite
–
Adresse traduite
: 10.0.0.10 (l'interface de plan de données du pare-feu dans la zone non approuvée)
114 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
d. Cliquez sur
OK
.
4.
Cliquez sur
Valider
pour enregistrer les politiques NAT.
Guide de déploiement VM-Series
115
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
Étape 16 Sur le pare-feu VM-Series, créez des politiques de sécurité pour gérer le trafic.
1.
Sélectionnez
Politiques > Sécurité
.
Dans cet exemple, nous avons quatre règles. Une règle qui autorise l'accès de gestion au trafic du pare-feu, une règle autorisant le trafic entrant vers le serveur Web, une troisième règle autorisant l'accès
Internet au serveur Web, et dans la dernière règle, nous modifions une règle intra-zone prédéfinie par défaut pour journaliser l'ensemble du trafic refusé.
2.
Créez une règle pour autoriser l'accès de gestion au pare-feu.
a. Cliquez sur
Ajouter
et saisissez un
Nom
pour la règle. Vérifiez que le
Type de règle
est universel.
b. Dans l'onglet
Source
, ajoutez Non approuvée en tant que
Zone source
.
c. Dans l'onglet
Destination
, ajoutez Approuvée en tant que
Zone de destination
.
d. Dans l'onglet
Applications
,
ajoutez
ping et ssh.
e. Dans l'onglet
Actions
, définissez la valeur
Action
sur Autoriser.
f. Cliquez sur
OK
.
3.
Créez une règle pour autoriser le trafic entrant vers le serveur Web.
a. Cliquez sur
Ajouter
, saisissez un
Nom
pour la règle et vérifiez que le
Type de règle
est universel.
b. Dans l'onglet
Source
, ajoutez Non approuvée en tant que
Zone source
.
c. Dans l'onglet
Destination
, ajoutez Approuvée en tant que
Zone de destination
.
d. Dans l'onglet
Applications
,
ajoutez
Navigation Web.
e. Dans l'onglet
Catégorie de service/d'URL
, vérifiez que le service est défini sur Par défaut de l'application.
f. Dans l'onglet
Actions
, définissez la valeur
Action
sur Autoriser.
g. Dans la section Paramètres de profil de l'onglet
Actions
, sélectionnez
Profils
, puis associez les profils par défaut pour l'antivirus, l'antispyware et la protection contre les vulnérabilités.
h. Cliquez sur
OK
.
116 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
Plutôt que de saisir une adresse IP statique pour le serveur Web, utilisez un groupe d'adresses dynamiques. Les groupes d'adresses dynamiques vous permettent de créer une règle qui s'adapte automatiquement aux changements.
Vous ne devez donc pas mettre à jour la politique lorsque vous lancez d'autres serveurs Web dans le sous-réseau. Pour plus de détails, reportez-vous à la section
4.
Créez une règle pour autoriser l'accès Internet au serveur Web. a. Cliquez sur
Ajouter
, saisissez un
Nom
pour la règle et vérifiez que le Type de règle est universel.
b. c. d.
Dans l'onglet
source
.
Dans l'onglet
Source
Zone de destination
.
, ajoutez Approuvée en tant que
Dans la section Adresse source de l'onglet
10.0.1.62, l'adresse IP du serveur Web.
Destination
Source
Zone
, ajoutez
, ajoutez Non approuvée en tant que e. Dans l'onglet
Catégorie de service/d'URL
, vérifiez que le service est défini sur
Par défaut de l'application
.
f. Dans l'onglet
Actions
, définissez la valeur
Action
sur Autoriser.
g. Dans la section Paramètres de profil de l'onglet
Actions
, sélectionnez
Profils
, puis associez les profils par défaut pour l'antivirus, l'antispyware et la protection contre les vulnérabilités.
h. Cliquez sur
OK
.
5.
Modifiez la règle d'interzone par défaut pour journaliser l'ensemble du trafic refusé. Cette règle d'interzone prédéfinie est évaluée lorsqu'aucune autre règle n'est explicitement définie pour faire correspondre le trafic entre différentes zones.
a. Sélectionnez la règle
Interzone par défaut
, puis cliquez sur
Remplacer
.
b. Dans l'onglet
Actions
, sélectionnez
Journaliser en fin de session
.
c. Cliquez sur
OK
.
6.
Passez en revue toutes les règles de sécurité définies sur le pare-feu.
Guide de déploiement VM-Series
7.
Cliquez sur
Valider
pour enregistrer les politiques.
117
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS Configuration du pare-feu VM-Series dans AWS
Déploiement du pare-feu VM-Series en tant que passerelle de cloud (suite)
Étape 17 Vérifiez que le pare-feu VM-Series sécurise le trafic.
1.
Ouvrez un navigateur Web et saisissez l'adresse IP du serveur Web.
2.
Connectez-vous à l'interface Web du pare-feu VM-Series et vérifiez que les logs de trafic pour les sessions apparaissent dans
Surveillance > Logs > Trafic
.
• Trafic entrant dans le serveur Web (qui arrive au niveau de l'instance EC2 dans AWS VPC) :
• Trafic sortant du serveur Web (instance EC2 dans AWS VPC) :
Le déploiement du pare-feu VM-Series en tant que passerelle de cloud est terminé !
118 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC
Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC
Dans un environnement dynamique tel qu'AWS-VPC dans lequel vous lancez de nouvelles instances EC2 à la demande, la surcharge administrative de gestion de la politique de sécurité peut être fastidieuse. L'utilisation de groupes d'adresses dynamiques dans une politique de sécurité vous apporte de la flexibilité et évite une interruption de service ou des failles de protection.
Dans cet exemple, nous montrons comment vous pouvez surveiller le VPC et utiliser des groupes d'adresses dynamiques dans une politique de sécurité pour identifier et sécuriser des instances EC2. Lorsque vous développez des instances EC2, le groupe d'adresses dynamiques regroupe toutes les adresses IP de toutes les instances correspondant aux critères définis d'appartenance au groupe, puis la politique de sécurité est appliquée au groupe. La politique de sécurité dans cet exemple autorise l'accès Internet à tous les membres du groupe.
Le flux de travail de la section suivante suppose que vous avez créé l'AWS VPC et déployé le pare-feu VM-Series et des applications sur des instances EC2. Pour obtenir des instructions sur la configuration du VPC pour le pare-feu VM-Series, reportez-vous à la section
Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
.
Guide de déploiement VM-Series
119
Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC
Configuration du pare-feu VM-Series dans AWS
Utilisation de groupes d'adresses dynamiques dans une politique
Étape 1 Configurez le pare-feu pour qu'il surveille le VPC.
1.
Sélectionnez
Périphérique > Sources d'informations de machine virtuelle
.
2.
Cliquez sur
Ajouter
et saisissez les informations suivantes : a. Un
nom
pour identifier le VPC que vous souhaitez surveiller.
Par exemple, VPC-CloudDC.
b. Définissez le
Type
sur AMS VPC.
c. Dans
Source
, saisissez l'URI du VPC. La syntaxe est ec2.<votre_région>.amazonaws.com
d. Ajoutez les informations d'identification nécessaires au pare-feu pour signer numériquement les appels de l'API aux services AWS. Vous avez besoin des éléments suivants :
–
ID de clé d'accès
: Saisissez la chaîne de texte alphanumérique qui identifie de manière unique l'utilisateur qui possède ou est autorisé à accéder au compte AWS.
–
Clé d'accès secrète
: Saisissez et confirmez le mot de passe.
e. (Facultatif) Modifiez l'
intervalle de mise à jour
sur une valeur entre 5 et 600 secondes. Par défaut, le pare-feu effectue des recherches toutes les 5 secondes. Les appels API sont mis en file d'attente et récupérés toutes les 60 secondes.
Par conséquent, les mises à jour peuvent prendre 60 secondes plus l'intervalle d'interrogation donné.
120 f. Saisissez l'
ID VPC
affiché sur le tableau de bord VPC dans la console de gestion AWS.
g. Cliquez sur
OK
et sur
Valider
pour enregistrer les modifications.
h. Vérifiez que l'
état
de connexion affiché est Connecté.
Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC
Utilisation de groupes d'adresses dynamiques dans une politique (suite)
Étape 2 Étiquetez les instances EC2 dans le VPC.
Pour une liste des étiquettes que le pare-feu VM-Series peut surveiller, reportez-vous à la section
Liste des attributs surveillés dans AWS VPC .
Une étiquette est une paire nom/valeur. Vous pouvez étiqueter les instances EC2 sur le tableau de bord EC2 dans la console de gestion
AWS ou à l'aide de l'API AWS ou de la CLI AWS.
Dans cet exemple, nous utilisons le tableau de bord EC2 pour ajouter l'étiquette :
Étape 3 Créez un groupe d'adresses dynamiques sur le pare-feu.
Consultez le didacticiel pour avoir une vue d'ensemble de la fonction.
3.
Sélectionnez
Objets > Groupes d'adresses
.
4.
Cliquez sur
Ajouter
et saisissez un
Nom
et une
Description
pour identifier le groupe d'adresses.
5.
Définissez le
type
sur
Dynamique
.
6.
Définissez les critères de correspondance. a. Cliquez sur
Ajouter un critère de correspondance
, puis sélectionnez l'opérateur
Et
. b. Sélectionnez les attributs de filtrage ou de correspondance.
Dans cet exemple, nous sélectionnons l'étiquette
ExternalAccessAllowed que vous venez de créer et l'ID de sous-réseau pour le sous-réseau privé du VPC.
Guide de déploiement VM-Series
7.
Cliquez sur
OK
.
8.
Cliquez sur
Valider
121
Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC
Configuration du pare-feu VM-Series dans AWS
Utilisation de groupes d'adresses dynamiques dans une politique (suite)
Étape 4 Utilisez le groupe d'adresses dynamiques dans une politique de sécurité.
Pour créer une règle pour autoriser l'accès Internet à tout serveur
Web appartenant au groupe d'adresses dynamiques nommé
ExternalServerAccess.
1.
Sélectionnez
Politiques > Sécurité
.
2.
Cliquez sur
Ajouter
, saisissez un
Nom
pour la règle et vérifiez que le
Type de règle
est universel.
3.
Dans l'onglet
Source
, ajoutez Approuvée en tant que
Zone source
.
4.
Dans la section Adresse source de l'onglet
Source
,
ajoutez
le groupe ExternalServerAccess que vous venez de créer.
5.
Dans l'onglet
Destination
, ajoutez Non approuvée en tant que
Zone de destination
.
6.
Dans l'onglet
Catégorie de service/d'URL
, vérifiez que le service est défini sur
Par défaut de l'application
.
7.
Dans l'onglet
Actions
, définissez la valeur
Action
sur Autoriser.
8.
Dans la section Paramètres de profil de l'onglet
Actions
, sélectionnez
Profils
, puis associez les profils par défaut pour l'antivirus, l'antispyware et la protection contre les vulnérabilités.
9.
Cliquez sur
OK
.
10.
Cliquez sur
Valider
.
Étape 5 Vérifiez que les membres du groupe d'adresses dynamiques sont renseignés sur le pare-feu.
La politique est appliquée à toutes les adresses IP qui appartiennent à ce groupe d'adresses et s'affichent ici.
1.
Sélectionnez
Politiques > Sécurité
, puis choisissez la règle.
2.
Cliquez sur la flèche déroulante en regard du lien du groupe d'adresses et sélectionnez
Inspecter
. Vous pouvez également vérifier que les critères de correspondance sont corrects.
3.
Cliquez sur le lien
Plus
et vérifiez que la liste des adresses IP enregistrées s'affiche.
122 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Liste des attributs surveillés dans AWS VPC
Liste des attributs surveillés dans AWS VPC
Les attributs (ou noms d'étiquettes) suivants peuvent être utilisés comme critères de correspondance pour les groupes d'adresses dynamiques.
Attribut Format
Architecture Architecture.<chaîne d'architecture>
Système d'exploitation invité GuestOS.<nom du système d'exploitation d'invité>
ID d'image
ID de l'instance
ImageId.<chaîne d'ID d'image>
InstanceId.<chaîne d'ID d'instance>
État de l'instance
Type d'instance
InstanceState.<état de l'instance>
InstanceType.<type d'instance>
Nom de la clé KeyName.<chaîne de nom de la clé>
Emplacement (Location, Nom du groupe, Disponibilité)
Placement.Tenancy.<chaîne>
Placement.GroupName.<chaîne>
Placement.AvailabilityZone.<chaîne>
Nom DNS privé
Nom DNS public
ID de sous-réseau
Étiquette (clé, valeur)
ID VPC
PrivateDnsName.<nom DNS privé>
PublicDnsName.<nom DNS public>
SubnetID.<chaîne d'ID de sous-réseau> aws-tag.<clé>.<valeur>
Jusqu'à 5 de ces étiquettes sont prises en charge par instance
VpcId.<chaîne d'ID de VPC>
Guide de déploiement VM-Series
123
Cas pratique : Pare-feu VM-Series en tant que passerelles
GlobalProtect dans AWS
Configuration du pare-feu VM-Series dans AWS
Cas pratique : Pare-feu VM-Series en tant que passerelles
GlobalProtect dans AWS
La protection des utilisateurs mobiles contre les menaces et les applications à risques est généralement une combinaison complexe de distribution et de configuration de la sécurité et de l'infrastructure informatique, de réponse aux besoins de bande passante et de disponibilité à divers endroits du globe, et de maîtrise du budget.
Le pare-feu VM-Series dans AWS combine la sécurité et la logistique informatique nécessaires pour protéger de manière homogène et fiable les périphériques utilisés par les utilisateurs mobiles dans des régions où vous n'êtes pas présent. En déployant le pare-feu VM-Series dans le cloud AWS, vous pouvez déployer rapidement et facilement des passerelles GlobalProtect dans n'importe quelle région sans les coûts ou la logistique informatique généralement liés à la configuration de cette infrastructure avec vos propres ressources.
Pour réduire la latence, sélectionnez les régions AWS les plus proches de vos utilisateurs, déployez les pare-feu
VM-Series sur des instances EC2 et configurez les pare-feu en tant que passerelles GlobalProtect. Grâce à cette solution, les passerelles GlobalProtect du cloud AWS appliquent la politique de sécurité du trafic Internet.
Il n'est donc pas nécessaire d'acheminer ce trafic vers le réseau d'entreprise. De plus, pour l'accès aux ressources sur le réseau d'entreprise, les pare-feu VM-Series dans AWS utilisent la fonctionnalité LSVPN afin d'établir des tunnels IPSec de retour vers le pare-feu sur le réseau d'entreprise.
Pour simplifier le déploiement et la gestion centralisée de cette infrastructure distribuée, utilisez Panorama pour configurer les composants GlobalProtect inclus dans cette solution. Facultativement, pour s'assurer que les périphériques mobiles (smartphones et tablettes) peuvent être utilisés en toute sécurité sur votre réseau, utilisez le Gestionnaire de sécurité mobile pour configurer et gérer les périphériques mobiles.
124 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series dans AWS Cas pratique : Pare-feu VM-Series en tant que passerelles
GlobalProtect dans AWS
Composants de l'infrastructure GlobalProtect
Pour bloquer les applications à risques et protéger les utilisateurs mobiles contre les logiciels malveillants, vous devez configurer l'infrastructure GlobalProtect qui inclut le portail GlobalProtect, la passerelle GlobalProtect et l'application GlobalProtect. De plus, pour l'accès aux ressources d'entreprise, vous devez configurer une connexion VPN IPSec entre les pare-feu VM-Series dans AWS et le pare-feu du siège social à l'aide de LSVPN
(un déploiement VPN en étoile).
L'agent/application GlobalProtect est installé sur chaque système utilisateur final utilisé pour accéder aux applications/ressources d'entreprise. L'agent se connecte tout d'abord au portail pour obtenir des informations sur les passerelles, puis établit une connexion VPN sécurisée avec la passerelle GlobalProtect la plus proche. La connexion VPN entre le système utilisateur final et la passerelle garantit la confidentialité des données.
Le portail GlobalProtect fournit les fonctions de gestion de l'infrastructure GlobalProtect. Chaque système utilisateur final qui fait partie du réseau GlobalProtect reçoit des informations de configuration du portail, notamment des informations sur les passerelles disponibles, ainsi que les certificats clients pouvant être requis pour se connecter aux passerelles GlobalProtect. Dans ce cas pratique, le portail GlobalProtect est un pare-feu matériel déployé dans le siège social.
La passerelle GlobalProtect fournit la mise en œuvre de prévention contre les menaces et de politique mobiles en fonction des applications, utilisateurs, contenus, périphériques et états de périphérique.
Dans ce cas pratique, les pare-feu VM-Series dans AWS servent de passerelles GlobalProtect. La passerelle
GlobalProtect analyse chaque requête client à la recherche de logiciels malveillants ou autres menaces et, si la politique le permet, envoie la requête à Internet ou au réseau d'entreprise via le tunnel IPSec (à la passerelle
LSVPN).
Pour LSVPN, vous devez configurer le portail GlobalProtect, la passerelle GlobalProtect pour LSVPN
(concentrateur) et les satellites GlobalProtect (branches).
Dans ce cas pratique, le seul pare-feu matériel du bureau est déployé en tant que portail GlobalProtect et passerelle LSVPN. Les pare-feu VM-Series dans AWS sont configurés pour servir de satellites
GlobalProtect. Les satellites GlobalProtect et la passerelle sont configurés pour établir un tunnel IPSec qui se termine sur la passerelle. Lorsqu'un utilisateur mobile demande une application ou une ressource résidant sur le réseau d'entreprise, le pare-feu VM-Series achemine la requête via le tunnel IPSec.
Déploiement de passerelles GlobalProtect dans AWS
Pour protéger les utilisateurs mobiles, en plus de déployer et de configurer les passerelles GlobalProtect dans
AWS, vous devez configurer les autres composants nécessaires à cette solution intégrée. Le tableau suivant inclut le flux de travail recommandé :
Déploiement de GlobalProtect dans AWS
• Déployez le ou les pare-feu VM-Series dans AWS.
Reportez-vous à la section
Déploiement du pare-feu VM-Series dans AWS .
Guide de déploiement VM-Series
125
Cas pratique : Pare-feu VM-Series en tant que passerelles
GlobalProtect dans AWS
Configuration du pare-feu VM-Series dans AWS
Déploiement de GlobalProtect dans AWS (suite)
• Configurez le pare-feu au niveau du siège social.
•
Configuration du portail GlobalProtect .
Dans ce cas pratique, le pare-feu est configuré en tant que portail GlobalProtect et passerelle
LSVPN.
•
Configuration du portail GlobalProtect pour le LSVPN .
•
Configuration du portail pour l'authentification de satellites
LSVPN .
•
Configuration de la passerelle GlobalProtect pour le LSVPN .
• Définissez un modèle sur Panorama pour configurer les pare-feu VM-Series dans AWS en tant que passerelles GlobalProtect et satellites
LSVPN.
•
Création de modèles sur Panorama .
Utilisez ensuite les liens ci-dessous pour définir la configuration dans les modèles.
•
Configuration du pare-feu en tant que passerelle GlobalProtect .
Pour gérer facilement ce déploiement distribué, utilisez Panorama pour configurer les pare-feu dans AWS.
•
Préparation du satellite pour l'association au LSVPN .
Reportez-vous à Créer des groupes de périphériques .
• Créez des groupes de périphériques sur
Panorama pour définir les politiques d'accès réseau et les règles d'accès Internet, et appliquez-les aux pare-feu dans AWS.
• Appliquez les modèles et les groupes de périphériques aux pare-feu dans AWS, puis vérifiez que les pare-feu sont configurés correctement.
• Déployez le logiciel client GlobalProtect.
Sur chaque système utilisateur final, l'agent ou l'application
GlobalProtect doit se connecter à la passerelle GlobalProtect.
Reportez-vous à Déployer le logiciel client GlobalProtect .
• (Facultatif) Configurez le Gestionnaire de sécurité mobile GlobalProtect.
Le Gestionnaire de sécurité mobile vous permet de configurer et de gérer des périphériques mobiles (smartphones et tablettes) pour les utiliser avec des applications d'entreprise.
Reportez-vous à Configurer le Gestionnaire de sécurité mobile .
126 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series sur KVM
La machine virtuelle basée sur le noyau (KVM) est un module de virtualisation Open Source pour serveurs exécutant des distributions Linux. Le pare-feu VM-Series peut être déployé sur un serveur Linux exécutant l'hyperviseur KVM.
Ce guide suppose que vous disposiez d'une infrastructure informatique utilisant Linux et des connaissances
élémentaires d'utilisation de Linux/des outils Linux. Les instructions s'appliquent exclusivement au déploiement du pare-feu VM-Series sur KVM.
VM-Series sur KVM : configuration système requise et conditions préalables
Déploiements pris en charge sur KVM
Installation du pare-feu VM-Series sur KVM
Guide de déploiement VM-Series
127
VM-Series sur KVM : configuration système requise et conditions préalables
Configuration du pare-feu VM-Series sur KVM
VM-Series sur KVM : configuration système requise et conditions préalables
Configuration système requise
Configuration requise
Ressources matérielles
Versions logicielles
Interfaces réseau : cartes réseau et ponts logiciels
Description
• vCPU : 2, 4, 8
• Mémoire : 4 Go ; 5 Go pour le VM-1000-HV
• Disque : 40 Go
• Types de disques pris en charge : Virtio et SCSI pour des performances optimales ;
IDE
• Contrôleurs de disque : virtio, virt-scsi, IDE
• Jeu de puces Intel-VT ou AMD-V prenant en charge la virtualisation assistée par le matériel
• Ubuntu : 12.04 LTS
• CentOS/ RedHat Enterprise Linux : 6.5
• Open vSwitch : 1.9.3 avec mode de compatibilité de pont
Le VM-Series sur KVM prend en charge un total de 25 interfaces : 1 interface de gestion et un maximum de 24 interfaces réseau pour le trafic de données.
Le pare-feu VM-Series déployé sur KVM prend en charge les commutateurs virtuels basés sur le logiciel tels que le pont Linux ou le pont Open vSwitch, et dirigent la connectivité vers le PCI Pass-Thru ou une carte compatible avec SR-IOV.
• Sur le pont Linux et OVS, les pilotes e1000 et virtio sont pris en charge ; le pilote par défaut rtl8139 n'est pas pris en charge.
• Pour la prise en charge du PCI Pass-Thru/SR-IOV, le pare-feu VM-Series a été testé pour les cartes réseau suivantes :
– Carte réseau 1G basée sur Intel 82576 : Prise en charge de SR-IOV sur toutes les distributions Linux prises en charge ; prise en charge de PCI Pass-Thru sur toutes sauf Ubuntu 12.04 LTS.
– Carte réseau 10G basée sur Intel 82599 : Prise en charge de SR-IOV sur toutes les distributions Linux prises en charge ; prise en charge de PCI Pass-Thru sur toutes sauf Ubuntu 12.04 LTS.
– Carte réseau 10G basée sur Broadcom 57112 et 578xx : Prise en charge de
SR-IOV sur toutes les distributions Linux prises en charge ; pas de prise en charge de PCI Pass-Thru.
• Pilotes : igb ; ixgbe ; bnx2x
• Pilotes : igbvf ; ixgbevf ; bnx2x
Interfaces compatibles avec SR-IOV affectées au pare-feu VM-Series ; elles doivent être configurées en tant qu'interfaces de couche 3 ou interfaces HD.
128 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series sur KVM VM-Series sur KVM : configuration système requise et conditions préalables
Options d'association du VM-Series sur le réseau
Avec un pont Linux ou OVS, le trafic de données utilise le pont logiciel pour connecter des invités au même hôte. Pour la connectivité externe, le trafic de données utilise l'interface physique à laquelle le pont est associé.
Avec le PCI Pass-Thru, le trafic de données est transmis directement entre l'invité et l'interface physique à laquelle il est associé. Lorsque l'interface est associée à un invité, elle n'est pas disponible pour l'hôte ou les autres invités sur l'hôte.
Avec SR-IOV, le trafic de données est transmis directement entre l'invité et la fonction virtuelle à laquelle il est associé.
Conditions préalables du VM-Series sur KVM
Avant d'installer le pare-feu VM-Series sur le serveur Linux, consultez les sections suivantes :
Préparation au déploiement du pare-feu VM-Series
Guide de déploiement VM-Series
129
VM-Series sur KVM : configuration système requise et conditions préalables
Configuration du pare-feu VM-Series sur KVM
Préparation du serveur Linux
Vérifiez la version de la distribution Linux. Pour une liste des versions prises en charge, reportez-vous à la
section Configuration système requise
.
Vérifiez que vous avez installé et configuré les outils KVM et modules nécessaires à la création et à la gestion des machines virtuelles, Libvirt par exemple.
Si vous souhaitez utiliser un contrôleur de disque SCSI pour accéder au disque sur lequel le pare-feu
VM-Series stocke des données, utilisez la commande virsh pour associer le contrôleur virtio-scsi au pare-feu VM-Series. Vous pouvez alors modifier le modèle XML du pare-feu VM-Series pour autoriser l'utilisation du contrôleur virtio-scsi. Pour obtenir des instructions, reportez-vous à la section
Autorisation de l'utilisation d'un contrôleur SCSI .
KVM sur Ubuntu 12.04 ne prend pas en charge le contrôleur virtio-scsi.
Vérifiez que vous avez configuré l'infrastructure de mise en réseau pour rediriger le trafic entre les invités et le pare-feu VM-Series, et pour la connectivité avec un serveur externe ou Internet. Le pare-feu
VM-Series peut se connecter via un pont Linux, Open vSwitch, PCI Pass-Thru ou une carte réseau compatible avec SR-IOV.
– Vérifiez que la liaison de toutes les interfaces que vous envisagez d'utiliser est active. Vous devrez parfois l'activer manuellement.
– Vérifiez l'ID PCI de toutes les interfaces. Pour afficher la liste, utilisez la commande : Virsh nodedev-list –tree
– Si vous utilisez un pont Linux ou OVS, vérifiez que vous avez configuré les ponts nécessaires à l'envoi/la réception de trafic vers/depuis le pare-feu. Si ce n'est pas le cas, créez le ou les pont(s) et vérifiez que vous êtes prêt à installer le pare-feu.
– Si vous utilisez PCI Pass-Thru ou SR-IOV, vérifiez que les extensions de virtualisation (VT-d/IOMMU) sont activées dans le BIOS. Par exemple, pour activer IOMMU, intel_iommu=on doit être défini dans /etc/grub.conf. Pour obtenir des instructions, reportez-vous à la documentation fournie par le fournisseur de votre système.
– Si vous utilisez PCI Pass-Thru, vérifiez que le pare-feu VM-Series dispose d'un accès exclusif à la ou aux interfaces que vous envisagez d'associer.
Pour activer l'accès exclusif, vous devez dissocier manuellement la ou les interface(s) du serveur Linux.
Pour obtenir des instructions, reportez-vous à la documentation fournie par le fournisseur de votre carte réseau.
Pour dissocier manuellement la ou les interface(s) du serveur, utilisez la commande :
Virsh nodedev-detach <ID PCI de l'interface>, par exemple, pci_0000_07_10_0
Dans certains cas, dans /etc/libvirt/qemu.conf, vous devez peut-être supprimer le commentaire relaxed_acs_check = 1.
– Si vous utilisez SR-IOV, vérifiez que la fonction virtuelle est activée pour chaque port que vous envisagez d'utiliser sur la carte réseau. Avec SR-IOV, un seul port Ethernet (fonction physique) peut
être fractionné en plusieurs fonctions virtuelles. Un invité peut être mappé à une ou plusieurs fonctions virtuelles.
130 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series sur KVM VM-Series sur KVM : configuration système requise et conditions préalables
Pour activer des fonctions virtuelles, vous devez :
1. Créer un nouveau fichier à l'emplacement suivant : /etc/modprobe.d/
2. Modifier le fichier à l'aide de l'éditeur vi pour que les fonctions soient persistantes : vim /etc/modprobe.d/igb.conf
3. Activer le nombre de fonctions virtuelles requises : options igb max_vfs=4
Après avoir enregistré les modifications et redémarré le serveur Linux, chaque interface (ou fonction physique) de cet exemple aura 4 fonctions virtuelles.
Reportez-vous à la documentation fournie par le fournisseur de votre réseau pour plus de détails sur le nombre réel de fonctions virtuelles prises en charge et pour obtenir des instructions sur leur activation.
Préparation au déploiement du pare-feu VM-Series
Achetez le modèle VM-Series et enregistrez le code d'autorisation sur le portail de support de Palo Alto
Networks. Consultez les sections
Création d'un compte de support et
Enregistrement du pare-feu VM-Series .
Obtenez l'image qcow2 et enregistrez-la sur le serveur Linux. Selon la procédure recommandée, copiez l'image dans le dossier suivant : /var/lib/libvirt/qemu/images
Si vous envisagez de déployer plusieurs instances du pare-feu VM-Series, effectuez le nombre de copies nécessaire de l'image. Chaque instance du pare-feu VM-Series conservant une liaison avec l'image .qcow2 utilisée pour déployer le pare-feu, pour éviter tout problème de corruption de données, assurez-vous que chaque image est indépendante et utilisée par une seule instance du pare-feu.
Guide de déploiement VM-Series
131
Déploiements pris en charge sur KVM Configuration du pare-feu VM-Series sur KVM
Déploiements pris en charge sur KVM
Vous pouvez déployer une instance du pare-feu VM-Series par hôte Linux (un client) ou plusieurs instances de pare-feu VM-Series sur un hôte Linux. Le pare-feu VM-Series peut être déployé avec des interfaces Virtual Wire, de Couche 2, ou de Couche 3. Si vous envisagez d'utiliser des interfaces compatibles avec SR-IOV sur le pare-feu VM-Series, vous ne pouvez configurer les interfaces qu'en tant qu'interfaces de couche 3.
Sécurisation du trafic sur un hôte
Sécurisation du trafic entre des hôtes Linux
Sécurisation du trafic sur un hôte
Pour sécuriser le trafic est-ouest entre les invités sur un serveur Linux, le pare-feu VM-Series peut être déployé avec des interfaces Virtual Wire, de Couche 2, ou de Couche 3. L'illustration ci-dessous montre le pare-feu avec des interfaces de couche 3, dans laquelle le pare-feu et les autres invités sont connectés via des ponts Linux.
Dans ce déploiement, l'ensemble du trafic entre les serveurs Web et les serveurs de base de données est acheminé via le pare-feu ; le trafic entre les serveurs de base de données uniquement ou entre les serveurs Web uniquement est traité par le pont et n'est pas acheminé via le pare-feu.
132 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series sur KVM Déploiements pris en charge sur KVM
Sécurisation du trafic entre des hôtes Linux
Pour sécuriser vos charges de travail, plusieurs instances de pare-feu VM-Series peuvent être déployées sur un hôte Linux. Par exemple, si vous souhaitez isoler le trafic de services ou clients distincts, vous pouvez utiliser des balises VLAN pour isoler logiquement du trafic réseau et l'acheminer vers le pare-feu VM-Series approprié.
Dans l'exemple suivant, un hôte Linux héberge les pare-feu VM-Series pour deux clients, Client A et Client B, et la charge de travail du Client B est répartie entre deux serveurs. Pour isoler le trafic et le diriger vers le pare-feu
VM-Series configuré pour chaque client, des VLAN sont utilisés.
Guide de déploiement VM-Series
133
Déploiements pris en charge sur KVM Configuration du pare-feu VM-Series sur KVM
Dans une autre variation de ce déploiement, une paire de pare-feu VM-Series est déployée dans une configuration haute disponibilité. Les pare-feu VM-Series dans l'illustration suivante sont déployés sur un serveur Linux avec des cartes compatibles avec SR-IOV. Avec SR-IOV, un seul port Ethernet (fonction physique) peut être fractionné en plusieurs fonctions virtuelles. Chaque fonction virtuelle associée au pare-feu VM-Series est configurée en tant qu'interface de couche 3. L'homologue actif de la paire HD sécurise le trafic acheminé depuis les invités déployés sur un autre serveur Linux.
134 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series sur KVM Installation du pare-feu VM-Series sur KVM
Installation du pare-feu VM-Series sur KVM
L'API libvirt utilisée pour gérer KVM inclut un ensemble d'outils vous permettant de créer et de gérer des machines virtuelles. Pour installer le pare-feu VM-Series sur KVM, vous pouvez utiliser l'une des méthodes suivantes :
Créez manuellement la définition XML du pare-feu VM-Series, puis utilisez virsh pour importer la définition.
Virsh est l'outil le plus puissant vous permettant de gérer intégralement la machine virtuelle.
Utilisez la commande virt-install pour créer la définition du pare-feu VM-Series et pour l'installer.
Utilisez l'interface utilisateur du bureau nommée virt-manager ; virt-manager propose un assistant pratique vous guidant dans le processus d'installation.
La procédure suivante utilise virt-manager pour installer le pare-feu VM-Series sur un serveur exécutant KVM sur RHEL. Les instructions d'utilisation de virsh ou virt-install ne sont pas incluses dans ce document.
Si vous déployez plusieurs pare-feu VM-Series et que vous souhaitez automatiser la configuration initiale sur le
.
Guide de déploiement VM-Series
135
Installation du pare-feu VM-Series sur KVM
Installation du VM-Series sur KVM
Étape 1 Installez le pare-feu VM-Series.
Configuration du pare-feu VM-Series sur KVM
1.
Sur Virt-manager, sélectionnez
Créer une nouvelle machine virtuelle
.
2.
Donnez un
Nom
descriptif au pare-feu VM-Series.
136
3.
Sélectionnez
Importer une image de disque existante
, recherchez l'image, puis définissez le
Type de système d'exploitation
: Linux et la
Version
: Red Hat Enterprise
Linux 6.
Si vous préférez, vous pouvez conserver le type et la version du système d'exploitation Générique.
4.
Définissez la
Mémoire
sur 4 096 Mo ; ou 5 120 Mo si vous avez acheté la licence VM-1000-HV.
5.
Définissez la valeur
Processeur
sur 2, 4 ou 8.
Guide de déploiement VM-Series
Configuration du pare-feu VM-Series sur KVM
Installation du VM-Series sur KVM (suite)
Installation du pare-feu VM-Series sur KVM
6.
Sélectionnez
Personnaliser la configuration avant d'installer
.
7.
Sous Options avancées, sélectionnez le pont pour l'interface de gestion, et acceptez les valeurs par défaut.
Guide de déploiement VM-Series
137
Installation du pare-feu VM-Series sur KVM
Installation du VM-Series sur KVM (suite)
Configuration du pare-feu VM-Series sur KVM
8.
Pour modifier les paramètres du disque : a. Sélectionnez
Disque
, développez Options avancées et sélectionnez
Format de stockage
— qcow2 ;
Bus de disque
—Virtio ou IDE en fonction de votre configuration.
Si vous souhaitez utiliser un bus de disque SCSI, reportez-vous à la section
Autorisation de l'utilisation d'un contrôleur SCSI
.
b. Développez Options de performances et définissez le
Mode cache
pour la double écriture. Ce paramètre réduit la durée d'installation et optimise la vitesse d'exécution sur le pare-feu VM-Series.
138 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series sur KVM
Installation du VM-Series sur KVM (suite)
Installation du pare-feu VM-Series sur KVM
9.
Pour ajouter des cartes réseau pour les interfaces de données : a. Sélectionnez
Ajouter un matériel
>
Réseau
si vous utilisez un pont logiciel comme le pont Linux ou l'Open vSwitch.
• Pour le
Périphérique hôte
, saisissez le nom du pont ou sélectionnez-le dans la liste déroulante.
• Pour spécifier le pilote, définissez le
Modèle de périphérique
sur e-1000 ou virtio. Ce sont les seuls types d'interface virtuelle pris en charge.
b. Sélectionnez
Ajouter un matériel
>
Périphérique hôte PCI
pour PCI Pass-Thru ou un périphérique compatible avec
SR-IOV.
Guide de déploiement VM-Series
• Dans la liste
Périphérique hôte
, sélectionnez l'interface sur la carte ou la fonction virtuelle.
c. Cliquez sur
Appliquer
ou
Terminer
.
10.
Cliquez sur Démarrer l'installation .
139
Installation du pare-feu VM-Series sur KVM Configuration du pare-feu VM-Series sur KVM
Installation du VM-Series sur KVM (suite)
Par défaut, le modèle XML du pare-feu
VM-Series est créé et stocké dans etc/libvirt/qemu.
11.
Patientez 5 à 7 minutes que l'installation se termine.
Étape 2 Configurez les paramètres d'accès réseau pour l'interface de gestion.
1.
Ouvrez une connexion à la console.
2.
Connectez-vous au pare-feu avec le nom d'utilisateur/mot de passe par défaut : admin/admin.
3.
Saisissez la commande suivante : set deviceconfig system ip-address
<Adresse IP du pare-feu> netmask <masque réseau> default-gateway <Adresse IP de la passerelle> dns-setting servers primary
<Adresse IP du serveur DNS> où <Adresse IP du pare-feu> est l'adresse IP que vous voulez affecter à l'interface de gestion, <masque réseau> est le masque de sous-réseau, <Adresse IP de la passerelle> est l'adresse IP de la passerelle réseau et <Adresse IP du serveur DNS> est l'adresse IP du serveur DNS.
Étape 3 Vérifiez les ports sur l'hôte qui sont mappés aux interfaces sur le pare-feu
VM-Series. Pour vérifier l'ordre des interfaces sur l'hôte Linux, reportez-vous
à la section
Vérification du PCI-ID de commande d'interfaces réseau sur le pare-feu VM-Series .
Pour vous assurer que le trafic est géré par l'interface appropriée, utilisez la commande suivante pour identifier les ports sur l'hôte qui sont mappés aux ports sur le pare-feu VM-Series.
admin@PAN-VM> debug show vm-series interfaces
all
Phoenix_interface Base-OS_port Base-OS_MAC PCI-ID
mgt eth0 52:54:00:d7:91:52 0000:00:03.0
Ethernet1/1 eth1 52:54:00:fe:8c:80 0000:00:06.0
Ethernet1/2 eth2 0e:c6:6b:b4:72:06 0000:00:07.0
Ethernet1/3 eth3 06:1b:a5:7e:a5:78 0000:00:08.0
Ethernet1/4 eth4 26:a9:26:54:27:a1 0000:00:09.0
Ethernet1/5 eth5 52:54:00:f4:62:13 0000:00:10.0
Étape 4 Accédez à l'interface Web du pare-feu
VM-Series, puis configurez les interfaces et définissez des règles de sécurité et des règles NAT afin d'activer en toute sécurité les applications que vous souhaitez sécuriser.
Reportez-vous au Guide de l'administrateur PAN-OS .
140 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series sur KVM Installation du pare-feu VM-Series sur KVM
Autorisation de l'utilisation d'un contrôleur SCSI
Si vous souhaitez que le pare-feu VM-Series utilise le type de bus de disque SCSI pour accéder au disque virtuel, suivez les instructions ci-dessous pour associer le contrôleur virtio-scsi au pare-feu, puis autorisez l'utilisation du contrôleur virtio-scsi.
KVM sur Ubuntu 12.04 ne prend pas en charge le contrôleur virtio-scsi ; le contrôleur virtio-scsi ne peut être activé que sur le pare-feu VM-Series exécuté sur RHEL ou CentOS.
Ce processus requiert virsh car le gestionnaire Virt ne prend pas en charge le contrôleur virtio-scsi.
Autorisation du pare-feu VM-Series à utiliser un contrôleur SCSI
1.
Créez un fichier XML pour le contrôleur SCSI. Dans cet exemple, il est nommé virt-scsi.xml.
[root@localhost ~]# cat /root/virt-scsi.xml
<controller type='scsi' index='0' model='virtio-scsi'>
<address type='pci' domain='0x0000' bus='0x00' slot='0x0b'function='0x0'/>
</controller>
Assurez-vous que le logement utilisé pour le contrôleur virtio-scsi n'est pas en conflit avec un autre périphérique.
2.
Associez ce contrôleur au modèle XML du pare-feu VM-Series.
[root@localhost ~]# virsh attach-device --config <nom_VM-Series>
/root/virt-scsi.xml
Device attached successfully
3.
Autorisez le pare-feu à utiliser le contrôleur SCSI.
[root@localhost ~]# virsh attach-disk
<nom_VM-Series>/var/lib/libvirt/images/PA-VM-6.1.0-c73.qcow2 sda --cache none --persistent
Disk attached successfully
4.
Modifiez le modèle XML du pare-feu VM-Series. Dans le modèle XML, modifiez le disque cible et le bus de disque utilisés par le pare-feu.
Par défaut, le modèle XML est stocké dans etc/libvirt/qemu.
<disk type='file' device='disk'>
<driver name='qemu' type='qcow2' cache='writeback'/>
<source file='/var/lib/libvirt/images/PA-VM-6.1.0-c73.qcow2'/>
<target dev='sda' bus='scsi'/>
<address type='drive' controller='0' bus='0' target='0' unit='0'/>
</disk>
Guide de déploiement VM-Series
141
Installation du pare-feu VM-Series sur KVM Configuration du pare-feu VM-Series sur KVM
Vérification du PCI-ID de commande d'interfaces réseau sur le pare-feu
VM-Series
Que vous utilisiez une interface virtuelle (pont Linux/OVS) ou un périphérique PCI (PCI Pass-Thru ou une carte compatible avec SR-IOV) pour la connectivité au pare-feu VM-Series, ce dernier traite l'interface comme un périphérique PCI. L'affectation d'une interface sur le pare-feu VM-Series est basée sur le PCI-ID, une valeur combinant le bus, périphérique ou logement, et la fonction de l'interface. Les interfaces sont classées en commençant par le plus petit PCI-ID, ce qui signifie que l'interface de gestion (eth0) du pare-feu est affectée à l'interface avec le plus petit PCI-ID.
Supposons que vous affectez quatre interfaces au pare-feu VM-Series : trois interfaces virtuelles de type virtio et e1000, la quatrième étant un périphérique PCI. Pour afficher le PCI-ID de chaque interface, saisissez la commande virsh dumpxml $domain <nom du pare-feu VM-Series> sur l'hôte Linux pour afficher la liste des interfaces associées au pare-feu VM-Series. Dans le résultat, vérifiez la configuration de mise en réseau suivante :
<interface type='bridge'>
<mac address='52:54:00:d7:91:52'/>
<source bridge='mgmt-br'/>
<model type='virtio'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>
<interface type='bridge'>
<mac address='52:54:00:f4:62:13'/>
<source bridge='br8'/>
<model type='e1000'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x10' function='0x0'/>
</interface>
<interface type='bridge'>
<mac address='52:54:00:fe:8c:80'/>
<source bridge='br8'/>
<model type='e1000'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/>
</interface>
142 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series sur KVM Installation du pare-feu VM-Series sur KVM
<hostdev mode='subsystem' type='pci' managed='yes'>
<source>
<address domain='0x0000' bus='0x08' slot='0x10' function='0x1'/>
</source>
<address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x0'/>
</hostdev>
Dans cet exemple, le PCI-ID pour chaque interface est le suivant :
PCI-ID de la première interface virtuelle : 00:03:00
PCI-ID de la deuxième interface virtuelle : 00:10:00
PCI-ID de la troisième interface virtuelle : 00:06:00
PCI-ID de la quatrième interface virtuelle : 00:07:00
Ainsi, sur le pare-feu VM-Series, l'interface avec le PCI-ID 00:03:00 est affectée à eth0 (interface de gestion), l'interface avec le PCI-ID 00:06:00 à eth1 (ethernet1/1), l'interface avec le PCI-ID 00:07:00 à eth2 (ethernet1/2) et l'interface avec le PCI-ID 00:10:00 à eth3 (ethernet1/3).
Utilisation d'un fichier ISO pour déployer le pare-feu VM-Series
Si vous souhaitez transmettre un script au pare-feu VM-Series au démarrage, vous pouvez monter un CD-ROM avec un fichier ISO. Le fichier ISO vous permet de définir un fichier XML d'amorçage incluant les paramètres de configuration initiale du port de gestion du pare-feu. Au premier démarrage, le pare-feu VM-Series consulte le fichier bootstrap-networkconfig.xml et utilise ses valeurs.
Si une seule erreur se produit lors de l'analyse du fichier d'amorçage, le pare-feu VM-Series rejette l'ensemble de la configuration définie dans ce fichier et démarre avec les valeurs par défaut.
Guide de déploiement VM-Series
143
Installation du pare-feu VM-Series sur KVM Configuration du pare-feu VM-Series sur KVM
Création d'un fichier ISO de démarrage
Étape 1 Créez le fichier XML et définissez-le en tant qu'instance de machine virtuelle.
Par exemple : user-PowerEdge-R510:~/kvm_script$ sudo vi
/etc/libvirt/qemu/PAN_Firewall_DC1.xml
Pour un exemple de fichier, reportez-vous
à la section Exemple de fichier XML pour le pare-feu VM-Series
.
user-PowerEdge-R510:~/kvm_script$ sudo virsh
define/etc/libvirt/qemu/PAN_Firewall_DC1.xml
Dans cet exemple, le pare-feu VM-Series est nommé PAN_Firewall_DC1.
Domain PAN_Firewall_DC1_bootstp defined from
/etc/libvirt/qemu/PAN_Firewall_DC1.xml
user-PowerEdge-R510:~/kvm_script$ sudo virsh
-q attach-interface
PAN_Firewall_DC1_bootstp bridge br1
--model=virtio --persistent
user-PowerEdge-R510:~/kvm_script$ virsh list
--all
Id Name State
---------------------------------------------
- PAN_Firewall_DC1_bootstp shut off
Étape 2 Créez le fichier XML d'amorçage.
Vous pouvez définir les paramètres de configuration initiale dans ce fichier et le nommer bootstrap-networkconfig.
Si vous ne souhaitez pas inclure un paramètre, panorama-server-secondary par exemple. Supprimez toute la ligne du fichier. Si vous laissez le champ d'adresse IP vide, le fichier ne sera pas correctement analysé.
Utilisez l'exemple suivant comme modèle pour le fichier bootstrap-networkconfig. Le fichier bootstrap-networkconfig ne peut inclure que les paramètres suivants :
<vm-initcfg>
<hostname>VM_Société_ABC</hostname>
<ip-address>10.5.132.162</ip-address>
<netmask>255.255.254.0</netmask>
<default-gateway>10.5.132.1</default-gateway>
<dns-primary>10.44.2.10</dns-primary>
<dns-secondary>8.8.8.8</dns-secondary>
<panorama-server-primary>10.5.133.4</panora ma-server-primary>
<panorama-server-secondary>10.5.133.5</pano rama-server-secondary>
</vm-initcfg>
Étape 3 Créez le fichier ISO. Dans cet exemple, nous utilisons mkisofs.
Enregistrez le fichier ISO dans le répertoire d'images
(/var/lib/libvirt/image) ou le répertoire qemu (/etc/libvirt/qemu) pour vous assurer que le pare-feu a accès en lecture au fichier ISO.
Par exemple :
# mkisofs -J -R -v -V "Bootstrap" -A
"Bootstrap" -ldots -l -allow-lowercase
-allow-multidot -o
<nom-de-fichier-iso>
bootstrap-networkconfig.xml
Étape 4 Associez le fichier ISO au lecteur de
CD-ROM.
Par exemple :
# virsh -q attach-disk <nom-machine-virtuelle>
<nom-de-fichier-iso> sdc --type cdrom --mode
readonly –persistent\
144 Guide de déploiement VM-Series
Configuration du pare-feu VM-Series sur KVM
Exemple de fichier XML pour le pare-feu VM-Series
<?xml version="1.0"?>
<domain type="kvm">
<name>PAN_Firewall_DC1</name>
<memory>4194304</memory>
<currentMemory>4194304</currentMemory>
<vcpu placement="static">2</vcpu>
<os>
<type arch="x86_64">hvm</type>
<boot dev="hd"/>
</os>
<features>
<acpi/>
<apic/>
<pae/>
</features>
<clock offset="utc"/>
<on_poweroff>destroy</on_poweroff>
<on_reboot>restart</on_reboot>
<on_crash>restart</on_crash>
<devices>
<emulator>/usr/libexec/qemu-kvm</emulator>
<disk type="fichier" device="disque">
<driver type="qcow2" name="qemu"/>
<source file="/var/lib/libvirt/images/panos-kvm.qcow2"/>
<target dev="vda" bus="virtio"/>
</disk>
<controller type="usb" index="0"/>
<controller type="ide" index="0"/>
<controller type="scsi" index="0"/>
<serial type="pty">
<source path="/dev/pts/1"/>
<target port="0"/>
<alias name="série0"/>
</serial>
<console type="pty" tty="/dev/pts/1">
<source path="/dev/pts/1"/>
<target type="série" port="0"/>
<alias name="série0"/>
Installation du pare-feu VM-Series sur KVM
Guide de déploiement VM-Series
145
Installation du pare-feu VM-Series sur KVM
</console>
<input type="souris" bus="ps2"/>
<graphics type="vnc" port="5900" autoport="oui"/>
</devices>
</domain>
Configuration du pare-feu VM-Series sur KVM
146 Guide de déploiement VM-Series
publicité
Fonctionnalités clés
- Déploiement flexible sur plusieurs plates-formes
- Protection contre les menaces
- Filtrage des URL
- Prévention des pertes de données
- Intégration avec VMware NSX
- Fonctionnalités de haute disponibilité
- Gestion centralisée avec Panorama
Réponses et questions fréquentes
Où puis-je trouver les dernières notes de publication pour le pare-feu VM-Series ?
Comment puis-je me connecter au pare-feu VM-Series sans accès Internet ?
Comment mettre à niveau la version du logiciel PAN-OS sur le pare-feu VM-Series ?
Manuels associés
publicité
Sommaire
- 1 Palo Alto Networks®
- 3 Table des matières
- 7 À propos du pare-feu VM-Series
- 8 Modèles VM-Series
- 9 Déploiements VM-Series
- 11 Licence et mise à niveau du Pare-feu série VM
- 19 Configuration d'un Pare-feu série VM sur un serveur ESXi
- 20 Déploiements pris en charge sur VMware vSphere Hypervisor (ESXi)
- 21 Configuration système requise et limitations
- 21 Configuration requise
- 22 Limitations
- 23 Installation d'un Pare-feu série VM sur VMware vSphere Hypervisor (ESXi)
- 27 Résolution des problèmes de déploiement ESXi
- 27 Résolution des problèmes de base
- 27 Problèmes d'installation
- 30 Problèmes de licence
- 30 Problèmes de connectivité
- 33 Configuration d'un Pare-feu série VM sur le serveur Citrix SDX
- 34 À propos du pare-feu VM-Series sur le serveur SDX
- 35 Configuration système requise et limitations
- 35 Configuration requise
- 36 Limitations
- 37 Déploiements pris en charge : pare-feu VM-Series sur le SDX Citrix
- 37 Scénario 1 : sécurisation du trafic nord-sud
- 40 Scénario 2 : sécurisation du trafic est-ouest (Pare-feu VM-Series sur le SDK Citrix)
- 41 Installation du Pare-feu série VM sur le serveur SDX
- 41 Chargement de l'image sur le serveur SDX
- 42 Configuration du pare-feu VM-Series sur le serveur SDX
- 43 Sécurisation du trafic nord-sud à l'aide du pare-feu VM-Series
- 53 Sécurisation du trafic est-ouest à l'aide du pare-feu VM-Series
- 55 Configuration d'un pare-feu VM-Series Édition NSX
- 56 Présentation du pare-feu VM-Series Édition NSX
- 68 Liste de contrôle de déploiement du pare-feu VM-Series Édition NSX
- 70 Création d'un groupe de périphériques et d'un modèle de périphérique sur Panorama
- 71 Enregistrement du pare-feu VM-Series en tant que service sur NSX Manager
- 74 Déploiement du pare-feu VM-Series
- 82 Création de politiques
- 90 Redirection du trafic d'invités n'exécutant pas VMware Tools
- 91 Groupes d'adresses dynamiques : transmission d'informations entre NSX Manager et Panorama
- 97 Configuration du pare-feu VM-Series dans AWS
- 98 À propos du pare-feu VM-Series dans AWS
- 101 Déploiements pris en charge dans AWS
- 103 Déploiement du pare-feu VM-Series dans AWS
- 112 Cas pratique : Sécurisation des instances EC2 dans le cloud AWS
- 125 Cas pratique : Utilisation de groupes d'adresses dynamiques pour sécuriser les nouvelles instances EC2 dans VPC
- 129 Liste des attributs surveillés dans AWS VPC
- 130 Cas pratique : Pare-feu VM-Series en tant que passerelles GlobalProtect dans AWS
- 131 Composants de l'infrastructure GlobalProtect
- 131 Déploiement de passerelles GlobalProtect dans AWS
- 133 Configuration du pare-feu VM-Series sur KVM
- 134 VM-Series sur KVM : configuration système requise et conditions préalables
- 134 Configuration système requise
- 135 Options d'association du VM-Series sur le réseau
- 135 Conditions préalables du VM-Series sur KVM
- 138 Déploiements pris en charge sur KVM
- 138 Sécurisation du trafic sur un hôte
- 139 Sécurisation du trafic entre des hôtes Linux
- 141 Installation du pare-feu VM-Series sur KVM