Déployer Firebox Cloud sur Microsoft Azure

Avant de créer une machine virtuelle Firebox Cloud, vous devez créer un compte Microsoft Azure. Lorsque vous créez votre compte, vous indiquez les informations de facturation et les informations d'identification de sécurité que vous utilisez pour vous connecter au portail Microsoft Azure. Firebox Cloud nécessite un compte de stockage. Vous pouvez créer un compte de stockage avant de déployer Firebox Cloud, ou vous pouvez en créer un au moment du déploiement.

Identifier l'Abonnement Logiciel et le Type de Licence de Firebox Cloud

Lorsque vous créez une machine virtuelle Firebox Cloud dans Azure, vous sélectionnez l'un des deux abonnements logiciels suivants.

Firebox Cloud (BYOL)

Avec l'abonnement logiciel Bring Your Own License (BYOL), vous achetez une licence Firebox Cloud d'une taille définie : Petite, Moyenne, Grande ou Très Grande. La licence Firebox Cloud détermine le nombre maximal de cœurs de processeurs Azure pouvant être utilisés par la machine virtuelle Firebox Cloud.

Lorsque vous créez une machine virtuelle Firebox Cloud (BYOL), vous sélectionnez le Type de Licence. Pour déployer votre machine virtuelle avec les ressources appropriées, sélectionnez le Type de Licence correspondant au type de licence de votre Firebox Cloud.

Firebox Cloud (PAYG)

Avec l'abonnement logiciel Pay As You Go (PAYG), vous n'achetez pas de licence Firebox Cloud. L'option PAYG comprend un essai gratuit de 30 jours.

Pour plus d'informations sur les options de licence et les essais, consultez Gamme de Licences Firebox Cloud.

Créer une Paire de Clés pour l'Authentification SSH

Avant de créer une instance Firebox Cloud, vous devez générer une paire de clés publique/privée RSA SSH-2. Vous pouvez utiliser puttygen ou la commande ssh-keygen sous Linux pour générer la paire de clés.

  • Utilisez la clé publique lorsque vous déployez votre instance Firebox Cloud.
  • Utilisez la clé privée pour les connexions ssh à la Command Line Interface (CLI) de Fireware de votre instance Firebox Cloud.

Pour utiliser l'utilitaire puttygen pour générer un paire de clés RSA SSH-2 :

  1. Téléchargez et installez l'utilitaire PuTTYgen depuis www.putty.org.
  2. Lancez PuTTYgen.
  3. Cliquez sur Générer.
  4. Déplacez le curseur dans la zone vierge pour générer des données aléatoires.
    PuTTYgen utilise les mouvements du curseur pour générer la paire de clés.

Screen shot of the PuTTY Key Generator

  1. Pour enregistrer la clé publique générée dans un fichier, cliquez sur Enregistrer la clé publique.
  2. (Facultatif) Indiquez un mot de passe pour protéger le fichier de la clé privée.
  3. Pour enregistrer la clé privée générée dans un fichier, cliquez sur Enregistrer la clé privée.

Enregistrez la clé privée dans un endroit sûr. Vous devez fournir la clé privée pour vous connecter à l'interface en ligne de commande Fireware.

Déployer Firebox Cloud

Pour créer l'instance Firebox Cloud :

  1. Connectez-vous au portail Azure avec vos identifiants Microsoft Azure.
  2. Cliquez sur Créer une ressource.
    La Place de marché Azure s'ouvre.
  3. Dans la zone de texte Recherche, entrez Firebox Cloud.
  4. Sélectionnez WatchGuard Firebox Cloud.
    Les options de licence de WatchGuard Firebox Cloud s'ouvrent.

Screen shot of the Firebox Cloud license options

  1. Dans la liste déroulante Sélectionner un abonnement logiciel, sélectionnez WatchGuard Firebox Cloud (BYOL) ou WatchGuard Firebox Cloud (PAYG).
  2. Cliquez sur Créer.
    Les étapes de configuration de la VM s’ouvrent.

Screen shot of the Firebox Cloud template steps in Microsoft Azure

  1. À l'étape Bases, indiquez des informations de base concernant votre machine virtuelle.

Abonnement

Le nom de l'abonnement Azure où la machine virtuelle et les ressources sont conservées. Il s'agit du compte facturé par Microsoft pour le stockage et l'utilisation de la VM.

Groupe de ressources

Un groupe de ressources est un ensemble de ressources partageant un cycle de vie, des permissions et des stratégies identiques. Tous les objets, tels que les réseaux, les interfaces et les données de l'instance Firebox Cloud seront associés au groupe de ressources choisi. Le groupe de ressources n'a pas d'effet sur le réseau et la connectivité du Firebox vers les ressources Azure existantes.

Microsoft Azure ne prend pas en charge le déploiement d'une application gérée vers un groupe de ressources comportant des ressources existantes. Vous devez créer un nouveau groupe de ressources ou utiliser un groupe de ressources vide.

Emplacement

La région Azure de cette instance Firebox Cloud.

Nom de la Machine Virtuelle Firebox Cloud

Le nom de la machine virtuelle Firebox Cloud sur le portail Azure.

  1. Cliquez sur Suivant : Paramètres de la Machine Virtuelle si vous utilisez l'option BYOL ou Suivant : Taille et Informations Principales de la Machine Virtuelle si vous utilisez l'option PAYG.
    Les étapes de configuration Paramètres de la Machine Virtuelle s'ouvrent.

Screen shot of the Virtual Machines Settings page in Azure

  1. À l'étape Paramètres de la Machine Virtuelle, spécifiez les détails de configuration de la machine virtuelle.

Type de Licence Firebox Cloud et Taille de la Machine Virtuelle — pour Firebox Cloud (BYOL)

Pour une licence BYOL, sélectionnez le Type de Licence Firebox Cloud. Il s'agit de la licence Firebox Cloud que vous avez achetée à WatchGuard ou à un revendeur WatchGuard. Choisissez Petite, Moyenne, Grande ou Très Grande. Après avoir sélectionné le Type de Licence, une taille de machine virtuelle appropriée est sélectionnée par défaut. Pour sélectionner une autre taille, cliquez sur Modifier la taille. Un Groupe à Haute Disponibilité est créé dans le cadre du déploiement BYOL.

Niveau de la Machine Virtuelle Azure et Taille de la Machine Virtuelle — pour Firebox Cloud (PAYG)

Pour une licence PAYG, sélectionnez le niveau de la machine virtuelle Azure. Choisissez Admissible à un Niveau Gratuit ou Standard. Après avoir sélectionné le niveau de la machine virtuelle, une taille de machine virtuelle appropriée est sélectionnée par défaut. Pour sélectionner une autre taille, cliquez sur Modifier la taille.

Clé publique SSH

La clé publique de ce Firebox. Vous pouvez utiliser puttygen ou la commande ssh-keygen sous Linux pour générer la paire de clés. Vous devez utiliser la clé privée associée à cette clé publique pour vous connecter à la CLI Firebox Cloud.

Compte de stockage

Le nom du compte de stockage utilisé pour conserver les fichiers journaux de diagnostic de démarrage. Le compte de stockage que vous choisissez ne doit pas figurer dans un autre groupe de ressources de votre abonnement. Les fichiers journaux de diagnostic de démarrage contiennent des informations qui peuvent aider l'assistance technique WatchGuard à résoudre les problèmes.

  1. Cliquez sur Suivant : Paramètres Réseau si vous utilisez l'option BYOL ou Réseau si vous utilisez l'option PAYG.

Screen shot of the Network Settings page in the Firebox Cloud Azure Wizard

  1. À l'étape Paramètres du Réseau, indiquez les informations requises de configuration du réseau.

Réseau virtuel

Le réseau virtuel à utiliser pour ce Firebox Cloud. Par défaut, un nouvel espace d'adresses disponible avec un masque de réseau /16 est sélectionné. Vous pouvez utiliser le réseau virtuel par défaut, modifier le réseau virtuel par défaut ou choisir un autre réseau virtuel existant.

Sous-réseau externe (Public)

Examinez et configurez le sous-réseau à utiliser pour le réseau Externe (Public).

Sous-réseau approuvé (Privé)

Examinez et configurez le sous-réseau à utiliser pour le réseau Approuvé (Privé).

Groupe de Sécurité Réseau Externe

Un groupe de sécurité du réseau contient les règles de sécurité autorisant ou refusant le trafic réseau entrant vers la machine virtuelle ou le trafic sortant issu de celle-ci. Si vous sélectionnez Aucun, aucun groupe de sécurité réseau externe n'est appliqué. Si vous sélectionnez Gestion Uniquement, un groupe de sécurité réseau externe est appliqué de manière à autoriser le trafic entrant sur les ports TCP 8080, 4118 et 4117 pour les connexions de la Web UI, la CLI et WatchGuard System Manager vers le Firebox. Si vous sélectionnez Tout Autoriser, l'ensemble du trafic entrant vers le Firebox est autorisé.

Adresse IP publique

Choisissez ou créez une adresse IP publique à utiliser pour votre interface externe Firebox Cloud. Pour une nouvelle adresse IP publique, spécifiez un nom et sélectionnez le type de SKU (Base ou Standard). Si vous sélectionnez le type Base, sélectionnez le type d'assignation des adresses IP (Dynamique ou Statique).

Les connexions entrantes vers une adresse IP publique présentant le type de SKU Standard échouent à moins de créer et d'associer un groupe de sécurité du réseau et d'autoriser explicitement le trafic entrant désiré. Pour de plus amples informations, consultez l'article Types et méthodes d'attribution des adresses IP dans Azure de la documentation de Microsoft Azure.

Pour attribuer une adresse IP secondaire, consultez Attribuer plusieurs adresses IP à des machines virtuelles à l'aide du portail Azure.

Intitulé du nom de domaine

Indiquez l'intitulé DNS de l'adresse IP publique de Firebox Cloud. Il ne doit être composé que de chiffres et de lettres minuscules.

  1. Cliquez sur Suivant : Vérifier + Créer.
  2. À l'étape Suivant : Vérifier + Créer, vérifiez les informations et corrigez les éventuelles erreurs.
  3. Cliquez sur Créer.
    Le déploiement commence.

À la fin du déploiement, vous pouvez accéder au groupe de ressources ou épingler la MV au tableau de bord Microsoft Azure.

Trouver l'Identifiant d'Instance (Identifiant de MV)

Après avoir déployé votre instance Firebox Cloud, vous devez trouver l'Identifiant d'Instance ou Identifiant de MV. Vous en aurez besoin pour activer votre licence et pour vous identifier à Fireware Web UI pour exécuter l'assistant d'installation Firebox Cloud Setup Wizard. Vous trouverez l'Identifiant d'Instance dans le nom du conteneur de stockage des journaux de diagnostic de démarrage.

Pour trouver l'Identifiant d'Instance de Firebox Cloud :

  1. Dans le menu de navigation Azure à gauche, sélectionnez Comptes de stockage.
  2. Cliquez sur le nom du compte de stockage associé à votre instance Firebox Cloud.
  3. Dans la section Service Blob, sélectionnez Conteneurs.
  4. Recherchez le conteneur de diagnostic de démarrage. Le nom de ce conteneur est au format :
    <bootdiagnostics>-<vmname>-<vmid>
    Par exemple :
    bootdiagnostics-fbcloud-11111111-2222-3333-4444-f86331913a6d
  5. Copiez l'Identifiant de MV indiqué à la fin du nom du conteneur.

Vous avez besoin de cet Identifiant d'Instance pour activer votre licence Firebox Cloud et exécuter l'assistant d'installation de Firebox Cloud Setup Wizard.

Activer Votre Licence Firebox Cloud

Pour Firebox Cloud avec une licence BYOL, vous devez activer le numéro de série de Firebox Cloud sur le portail WatchGuard. Avant d'activer Firebox Cloud, vous devez posséder le numéro de série Firebox Cloud fourni par WatchGuard et connaitre l'Identifiant d'Instance Firebox Cloud.

Pour activer votre licence Firebox Cloud :

  1. Accédez à l'adresse www.watchguard.com.
  2. Cliquez sur Assistance technique.
  3. Cliquez sur Activer des Produits.
  4. Connectez-vous à votre compte Client WatchGuard ou au portail Partenaires. Si vous ne possédez pas de compte, vous pouvez en créer un.
  5. Si besoin, accédez au Centre d'aide et de support puis sélectionnez Mon WatchGuard > Activer un Produit.
  6. Lorsque vous y êtes invité, indiquez le numéro de série de votre Firebox Cloud ainsi que l'Identifiant d'Instance.
  7. Une fois l'activation terminée, copiez la clé de fonctionnalité et enregistrez-la dans un fichier local.

Pour de plus amples informations concernant l'activation de votre licence Firebox Cloud, consultez Activer un Périphérique ou une Fonctionnalité WatchGuard.

Exécuter l'Assistant Firebox Cloud Setup Wizard

Après avoir déployé Firebox Cloud, vous pouvez vous connecter à Fireware Web UI via l'adresse IP publique de manière à exécuter l'assistant Firebox Cloud Setup Wizard. Vous pouvez utiliser l'assistant pour définir les mots de passe d'administration de Firebox Cloud.

Pour exécuter l'assistant Firebox Cloud Setup Wizard :

  1. Connectez-vous à Fireware Web UI de votre Firebox Cloud avec l'adresse IP publique :
    https://<eth0_public_IP>:8080
  2. Connectez-vous avec le nom d'utilisateur et le mot de passe du compte Administrateur par défaut :
    • Nom d'utilisateur — admin
    • Mot de Passe — L'Identifiant d'Instance Firebox Cloud

    La page de bienvenue de l'assistant Firebox Cloud Setup Wizard s'ouvre.

  3. Cliquez sur Suivant.
    L'assistant de configuration se lance.
  4. Lisez et acceptez le Contrat de Licence Utilisateur Final. Cliquez sur Suivant.

Capture d'écran de l'étape Créer des mots de passe de l'assistant Web Setup Wizard

  1. Spécifiez de nouveaux mots de passe pour les comptes d'utilisateur intégrés status et admin.
  2. Cliquez sur Suivant.
    La configuration est enregistrée sur Firebox Cloud et l'assistant se termine.

Se Connecter à Fireware Web UI

Pour vous connecter à Fireware Web UI et administrer Firebox Cloud :

  1. Ouvrez un navigateur web et accédez à l'adresse IP publique de votre instance Firebox Cloud :
    https://<eth0_public_IP>:8080
  2. Connectez-vous avec le compte d'utilisateur admin. Veillez à spécifier le mot de passe que vous avez défini dans l'assistant Firebox Cloud Setup Wizard.

Par défaut, Firebox Cloud autorise plusieurs utilisateurs possédant le rôle Administrateur du Périphérique à se connecter simultanément. Pour éviter les modifications effectuées simultanément par différents administrateurs, la configuration est verrouillée par défaut. Pour déverrouiller la configuration afin d'effectuer des modifications, cliquez sur l'icône Verrouillé.

Si vous préférez n'autoriser qu'un seul Administrateur du Périphérique à se connecter simultanément, sélectionnez Système > Paramètres Globaux et décochez la case Autoriser plusieurs Administrateurs du Périphérique à se connecter simultanément.

Microsoft Azure met automatiquement fin à votre connexion de gestion à Firebox Cloud après 30 minutes d'inactivité. Pour éviter des déconnexions inattendues de votre session de gestion, ne configurez pas le Délai d'Inactivité de Session de Gestion de la page Fireware Authentification > Paramètres à une valeur supérieure à 30 minutes.

Ajouter la Clé de Fonctionnalité

Si vous avez reçu ou téléchargé une clé de fonctionnalité Firebox Cloud sous forme de fichier, dans l'assistant Feature Key Wizard, choisissez Oui, j'ai une copie locale de la clé de fonctionnalité et collez la clé de fonctionnalité dans l'assistant.

Si vous avez activé une licence Firebox Cloud sur le portail WatchGuard, votre clé de fonctionnalité est disponible directement auprès de WatchGuard. Vous devez ajouter cette clé de fonctionnalité à la configuration de Firebox Cloud de manière à activer l'ensemble des fonctionnalités et des options de configuration de Firebox Cloud.

Après avoir ajouté la clé de fonctionnalité, Firebox Cloud redémarre automatiquement avec un nouveau numéro de série.

Pour ajouter la clé de fonctionnalité dans Fireware Web UI :

  1. Sélectionnez Système > Clé de Fonctionnalité.
    La page de l'assistant Feature Key Wizard s'ouvre.

Capture d'écran de la page d'accueil de l'assistant Feature Key Wizard

  1. Pour déverrouiller le fichier de configuration, cliquez sur l'icône Verrouillé.
  2. Cliquez sur Suivant pour télécharger et installer la clé de fonctionnalité.
  3. Sur la page Synthèse, vérifiez que votre clé de fonctionnalité a été correctement installée.
    Une fois votre clé de fonctionnalité installée, la page Synthèse indique Récupération de la Clé de Fonctionnalité Réussie.

Capture d'écran de la page Synthèse de l'assistant Feature Key Wizard

  1. Cliquez sur Suivant.
    L'assistant se termine et Firebox Cloud redémarre avec un nouveau numéro de série.

Étapes Suivantes

Après avoir exécuté l'assistant de configuration et ajouté la clé de fonctionnalité, vous pouvez utiliser Fireware Web UI ou Policy Manager pour configurer les paramètres de Firebox Cloud.

Activer la synchronisation de clé de fonctionnalité

Configurez Firebox Cloud pour qu'il vérifie automatiquement les mises à jour de clé de fonctionnalité lorsque les services sont sur le point d'expirer.

Pour activer la synchronisation de clé de fonctionnalité depuis Fireware Web UI :

  1. Sélectionnez Système > Clé de Fonctionnalité.
  2. Sélectionnez la case à cocher Activer la synchronisation automatique de clé de fonctionnalité.
  3. Cliquez sur Enregistrer.

Pour activer la synchronisation de clé de fonctionnalité depuis Policy Manager :

  1. Connectez-vous à Firebox Cloud depuis WatchGuard System Manager.
  2. Ouvrez Policy Manager.
  3. Sélectionnez Système > Clés de Fonctionnalité.
  4. Sélectionnez la case à cocher Activer la synchronisation automatique de clé de fonctionnalité.
  5. Cliquez sur Enregistrer.

Configurer Firebox Cloud de Manière à Transmettre des Informations à WatchGuard

Pour autoriser Firebox Cloud à transmettre des informations depuis Fireware Web UI :

  1. Sélectionnez Système > Paramètres Globaux.
  2. Cochez la case Envoyer un retour d'informations du périphérique à WatchGuard.
  3. Cochez la case Envoyer chaque jour les Rapports de Pannes à WatchGuard.

Pour autoriser Firebox Cloud à transmettre des informations depuis Policy Manager :

  1. Connectez-vous à Firebox Cloud depuis WatchGuard System Manager.
  2. Ouvrez Policy Manager.
  3. Sélectionnez Installation > Paramètres globaux.
  4. Cochez la case Envoyer un retour d'informations du périphérique à WatchGuard.
  5. Cochez la case Envoyer chaque jour les Rapports de Pannes à WatchGuard.

Configurer les Stratégies et les Services de Pare-feu

Les stratégies par défaut de WatchGuard et de WatchGuard Web UI autorisent les connexions de gestion provenant de n'importe quel ordinateur appartenant aux réseaux approuvés, facultatifs ou externes. Si vous ne souhaitez pas autoriser les connexions de gestion issues du réseau externe, modifiez les stratégies WatchGuard et WatchGuard Web UI en supprimant l'alias Tout-Externe de la liste De. Afin d'autoriser la gestion uniquement depuis un ordinateur spécifique du réseau externe, vous pouvez ajouter son adresse à la liste De de ces stratégies.

Configurez d'autres stratégies et services comme vous le feriez pour n'importe quel autre Firebox.

Firebox Cloud ne prend pas en charge toutes les fonctionnalités de Fireware. Pour obtenir un résumé des différences entre Firebox Cloud et les autres modèles de Firebox, consultez Différences des Fonctionnalités de Firebox Cloud.