Déployer FireboxV ou XTMv sur VMware ESXi

Cette procédure d'installation décrit le déploiement et la configuration d'un dispositif virtuel FireboxV ou XTMv sur un hôte VMware vSphere ESXi.

Conditions Préalables à l'Installation

Configuration requise pour FireboxV WatchGuard et VMware :

  • VMware ESXi 6.0, 6.5, 6.7, ou 7.0

Configuration requise pour XTMv WatchGuard et VMware :

  • VMware ESXi 6.0

Matériel et Ressources du Système

  • Le matériel requis par les périphériques FireboxV et XTMv est identique à celui de VMware ESXi.
    Pour obtenir des informations concernant la compatibilité du matériel VMware, consultez le Guide de compatibilité VMware à l'adresse http://www.vmware.com/resources/compatibility/search.php.
  • Chaque machine virtuelle FireboxV ou XTMv nécessite 5 Go d'espace libre.
  • Les autres ressources système varient en fonction du modèle de FireboxV
Modèle de FireboxV Mémoire Totale Minimum Mémoire Recommandée Nombre maximal de vCPU
Petite

2 048 Mo*

 4 096 Mo 2
Moyenne 4 096 Mo 4 096 Mo 4
Large 4 096 Mo 8 192 Mo 8
Extra Large 4 096 Mo 16 383 Mo 16

* 4 096 Mo de mémoire sont nécessaires pour activer Access Portal et IntelligentAV, et pour utiliser le jeu de signatures complètes pour IPS/Application Control

Modèle de XTMv Mémoire Nombre de vCPU recommandés
Small Office Edition 2 048 Mo 1
Medium Office Edition 4 096 Mo 2
Large Office Edition 4 096 Mo 3
Datacenter Edition 4 096 Mo 8

Certains clients WatchGuard ont utilisé vMotion avec succès pour migrer une machine virtuelle XTMv entre deux hôtes ESXi tandis que la machine virtuelle XTMv était démarrée et faisait transiter du trafic. Cependant, nous vous recommandons si possible d'arrêter la machine virtuelle FireboxV ou XTMv avant de la migrer d'un hôte ESXi à un autre.

Avant de Commencer

Afin de préparer votre installation, veillez à disposer des éléments suivants :

  • Numéro de série du périphérique FireboxV ou XTMv

    Vous obtenez le numéro de série d'un périphérique virtuel FireboxV ou XTMv lors de son achat.
  • Clé de fonctionnalité FireboxV ou XTMv
    La clé de fonctionnalité contient le numéro de série du périphérique ainsi que les fonctionnalités sous licence.
  • Fichier Open Virtual Machine Format WatchGuard FireboxV ou XTMv (.ovf)
    Le nom du fichier est Fireboxv_<version>.ovf ou xtmv_<version>.ovf, où <version> correspond à la version Fireware.
  • WatchGuard System Manager (Facultatif)

    La version de WSM doit être égale ou supérieure à celle de Fireware

Pour obtenir la clé de fonctionnalité :

  1. Accédez à l'adresse www.watchguard.com/activate puis activez le numéro de série du périphérique.
    Le processus d'activation crée une clé de fonctionnalité pour le Firebox.
  2. Copiez la clé de fonctionnalité dans un fichier texte local.

Pour télécharger le programme d'installation ainsi que d'autres logiciels à utiliser avec votre Firebox :

  1. Accédez à l'adresse software.watchguard.com puis sélectionnez FireboxV ou XTMv pour VMware.
  2. Téléchargez le fichier zip pour FireboxV ou le modèle .ova pour XTMv.
  3. Téléchargez WatchGuard System Manager (facultatif).

Description de l'Installation

Afin d'effectuer l'installation initiale:

  1. Dans le Client VMware vSphere, déployez le dispositif virtuel FireboxV ou XTMv sur l'hôte ESXi puis démarrez la machine virtuelle FireboxV ou XTMv.
  2. Connectez-vous à la machine virtuelle FireboxV ou XTMv et lancez l'assistant Web Setup Wizard pour procéder à sa configuration de base.
  3. Allouez des ressources supplémentaires à la machine virtuelle FireboxV ou XTMv.

Ce guide décrit comment exécuter l'assistant Web Setup Wizard de manière à créer la configuration initiale de votre machine virtuelle FireboxV. Si vous avez installé WatchGuard System Manager sur un ordinateur situé sur le réseau approuvé du FireboxV ou du XTMv au lieu de l'assistant Web Setup Wizard, vous pouvez utiliser l'assistant Quick Setup Wizard de WatchGuard System Manager de manière à découvrir la machine virtuelle et procéder à sa configuration de base.

Pour activer votre Firebox dans l'assistant Web Setup Wizard, vous devez posséder son numéro de série. Il n'est pas possible d'utiliser un numéro de série se terminant par 000000000, car il correspond à un périphérique non activé.

Considérations relatives au Réseau

Lorsque vous créez un dispositif virtuel FireboxV ou XTMv, il est configuré à l'origine avec deux interfaces actives.

Interface externe

L'interface externe « Interface 0 » est configurée par défaut pour obtenir une adresse IP auprès d'un serveur DHCP. Pour vous connecter à cette interface lors de la configuration initiale du périphérique, vous devez la mapper à un réseau de destination pourvu d'un serveur DHCP.

Interface approuvée

L'interface approuvée « Interface 1 » possède par défaut l'adresse IP 10.0.1.1.

Lorsque vous créez une machine virtuelle FireboxV ou XTMv dans l'environnement ESXi, vous devez mapper chacune de ces interfaces à un réseau de destination avant d'exécuter l'assistant Fireware Web Setup Wizard.

Pour une stabilité et des performances réseau optimales, nous vous conseillons de choisir une carte réseau virtuelle vmxnet3 pour chaque interface Firebox. N'utilisez pas de carte réseau virtuelle e1000.

Après avoir créé la machine virtuelle FireboxV ou XTMv, vous pouvez activer et configurer des interfaces réseau supplémentaires. Pour le bon fonctionnement des interfaces supplémentaires, vous devez configurer la machine virtuelle FireboxV ou XTMv dans le Client Web vSphere.

Vous devez configurer les adresses MAC de l'ESXi par ordre croissant correspondant à numéro d'interface ESXi. Vous veillerez ainsi à ce que les interfaces Firebox correspondent aux interfaces ESXi comme suit :

Interface FireboxV ou XTMv Interface ESXi Adresse MAC de l'interface ESXi
eth0 1 22:22:22:22:22:20
eth1 2 22:22:22:22:22:21
eth2 3 22:22:22:22:22:22
eth3 4 22:22:22:22:22:23

Déployer le Dispositif Virtuel FireboxV ou XTMv

Vous pouvez utiliser le Client vSphere, le Client Web vSphere ou le Serveur vCenter pour déployer le Dispositif Virtuel FireboxV ou XTMv (fichier modèle OVF). Le fichier modèle OVF installe une machine virtuelle 64 bits.

Les différentes versions de VMware ESXi prennent en charge différents clients VMware. Vous pouvez utiliser n'importe quel client pris en charge pour déployer le fichier .ova et assigner les ressources nécessaires au Firebox. Par exemple, VMware 6.5 prend en charge les clients suivants :

  • Client de l'Hôte VMware
  • Client vSphere HTML5
  • Client vSphere Web
  • vSphere Appliance Management UI (VAMI) - HTML5
  • PSC Management UI - HTML5

Les procédures suivantes décrivent le déploiement d'une machine virtuelle sur le Client de l'Hôte ESXi.

Pour obtenir des informations concernant le déploiement d'une machine virtuelle et la configuration des ressources nécessaires d'un autre client VMware, consultez la documentation du client VMware correspondant.

Les anciennes versions d'ESXi prennent en charge le Client vSphere Windows, qui n'est pas pris en charge par la version 6.5 et les versions ultérieures. Pour obtenir les instructions d'utilisation du client vSphere Windows pour l'installation d'une machine virtuelle FireboxV ou XTMv, consultez la version v11.11 du Guide de Configuration de WatchGuard XTMv disponible sur la page de documentation à l'adresse https://www.watchguard.com/wgrd-help/documentation/xtm

Pour utiliser le Client de l'Hôte VMware afin de déployer la machine virtuelle FireboxV :

  1. Connectez-vous au Client d'Hôte VMware à l'adresse https://<Hôte_ESXi>/UI.
    Remplacez <Hôte_ESXi> par le FQDN ou l'adresse IP de votre hôte ESXi.
  2. Dans le volet Navigateur, sélectionnez Hôte.
  3. Sélectionnez Actions > Créer/Enregistrer une Machine Virtuelle.
    L'assistant New virtual machine wizard démarre.
  4. Effectuez les étapes de l'assistant Nouvelle machine virtuelle.

L'assistant vous permet d'effectuer les étapes suivantes :

Type de création

Sélectionnez Déployer une machine virtuelle à partir d'un fichier OVF ou OVA.

Contrat de licence

Lisez et acceptez le Contrat de Licence Utilisateur Final de WatchGuard.

Nom

Spécifiez le nom de la machine virtuelle.

Fichier OVA

Le file .ovf du FireboxV ou XTMv que vous avez téléchargé auprès de WatchGuard

Datastore de destination

Sélectionnez un datastore possédant au moins 5 Go d'espace libre.

Mappages réseau

Sélectionnez les réseaux de manière à mapper le Réseau 0 (Eth0 : Externe) et le Réseau 1 (eth1 : Approuvé). Eth) est configuré par défaut de manière à obtenir une adresse IP via un serveur DHCP. Sélectionnez une carte réseau vmxnet3 pour chaque interface.

Provisionnement des disques

Nous vous recommandons de sélectionner Épais pour allouer immédiatement le stockage complet.

Paramètres supplémentaires

Ne configurez pas les paramètres réseau supplémentaires. Vous utiliserez l'assistant Fireware Web Setup Wizard pour configurer les réseaux du Firebox.

Après avoir terminé l'assistant et effectué le déploiement, la machine virtuelle FireboxV ou XTMv s'affiche dans la liste des Machines Virtuelles. La machine virtuelle démarre automatiquement.

Paramètres Usine Par Défaut de FireboxV et XTMv

Lorsque vous démarrez une machine virtuelle FireboxV ou XTMv pour la première fois, elle adopte ses paramètres d'usine par défaut avant d'exécuter l'assistant de configuration :

  • Il y a deux interfaces actives : externe et approuvée.
  • L'adresse IP de l'interface approuvée est 10.0.1.1.
  • L'interface externe est configurée pour obtenir une adresse IP par DHCP.
  • L'interface approuvée n'est pas configurée pour assigner les adresses IP via DHCP.
    Ce paramètre diffère du paramètre par défaut des autres Firebox.
  • Les interfaces approuvées et externes acceptent toutes deux les connexions de gestion.
    Ce paramètre diffère du paramètre par défaut des autres Firebox.
  • Le mot de passe du compte administrateur est readwrite.
  • Le numéro de série d'un périphérique FireboxV ou XTMv non activé se termine par 000000000.
    Vous assignez le numéro de série réel lors de l'activation du périphérique.

Pour rechercher l'adresse IP externe assignée :

  1. Dans la liste des machines virtuelles, cliquez sur la machine virtuelle FireboxV ou XTMv.
  2. Dans la section Informations Générales > Réseau, recherchez les adresses IP.

Utiliser l'assistant Web Setup Wizard pour Créer une Configuration de Base

L'assistant Fireware Web Setup Wizard des FireboxV est presque identique à celui des autres Firebox. Sur une machine virtuelle FireboxV, vous pouvez néanmoins vous connecter sur l'interface approuvée ou l'interface externe pour exécuter l'assistant Web Setup Wizard. Une autre différence réside dans le fait que la machine virtuelle redémarre une fois l'assistant terminé de manière à pouvoir être relancée avec le nouveau numéro de série.

Si vous n'effectuez pas l'ensemble des étapes de l'assistant Web Setup Wizard en 15 minutes, l'assistant n'enregistre aucun paramètre. Vous devez vous connecter à nouveau et recommencer.

L'assistant Web Setup Wizard comprend une étape permettant d'activer votre périphérique FireboxV. Vous devez activer le Firebox avec une clé de fonctionnalité pour obtenir le numéro de série et activer toutes les fonctionnalités sous licence.

Pour procéder à la configuration de base d'une machine virtuelle FireboxV :

  1. Ouvrez un navigateur Web et connectez-vous à Fireware Web UI sur l'interface externe ou l'interface approuvée.
  • Connexion à l'interface externe — À partir de n'importe quel ordinateur du réseau externe FireboxV, connectez-vous à :
    https://<External_IP_Address>:8080
    Pour <External_IP_Address>, utilisez l'adresse IP attribuée à l'interface externe.
  • Connexion à l'interface approuvée — Depuis n'importe quel ordinateur situé sur le réseau approuvé de FireboxV, accédez à l'adresse :
    https://10.0.1.1:8080
  1. Connectez-vous à Fireware Web UI avec les informations d'identification par défaut du compte administrateur.
  • Nom d'utilisateur — admin
  • Mot de Passe — readwrite
  1. Sélectionnez Nouvelle Configuration.
  2. Effectuez les étapes de l'assistant Web Setup Wizard.

L'assistant Web Setup Wizard vous permet d'effectuer ces étapes :

Configurer l'interface Externe

Sélectionnez et configurez la méthode que votre périphérique doit utiliser pour définir une adresse IP externe. Les options disponibles sont :

  • DHCP — Entrez l'identification DHCP, telle que fournie par votre fournisseur de services Internet.
  • PPPoE — Entrez les informations PPPoE, telles que fournies par votre fournisseur de services Internet.
  • Statique — Entrez l'adresse IP statique et l'adresse IP de la passerelle, telles que fournies par votre fournisseur de services Internet.

Pour plus d'informations sur ces méthodes, consultez Configurer une Interface Externe.

Configurer les serveurs DNS et WINS (Facultatif)

Configurez les adresses de serveur DNS et WINS que vous souhaitez que le Firebox utilise.

Configurer l'interface Approuvée

Entrez l'adresse IP de l'interface approuvée. (Facultatif) Si vous souhaitez que Firebox attribue des adresses IP aux ordinateurs qui se connectent au réseau approuvé, vous pouvez activer le serveur DHCP et attribuer une plage d'adresses IP sur le même sous-réseau que l'adresse IP de l'interface.

Créez des mots de passe pour votre périphérique

Définissez de nouveaux mots de passe pour les comptes d'utilisateur intégrés état (lecture seule) et admin (lecture/écriture).

Activer la gestion à distance (facultatif)

Activez la gestion à distance si vous souhaitez gérer ce Firebox à partir de l'interface externe.

Ajouter des informations sur le périphérique

Vous pouvez entrer un nom de périphérique, un emplacement et des informations de contact pour enregistrer des informations de gestion pour ce périphérique. Par défaut, le nom de périphérique est le numéro de modèle de votre Firebox. Nous vous recommandons de choisir un nom unique que vous pouvez utiliser pour identifier facilement ce Firebox, en particulier si vous utilisez la gestion à distance. L'emplacement et les informations de contact sont facultatifs.

Définir le fuseau horaire

Sélectionnez le fuseau horaire correspondant à l'emplacement du Firebox.

Ajouter la clé de fonctionnalité

Collez le texte de la clé de fonctionnalité dans l'assistant de configuration.

Si vous n'avez pas copié la clé de fonctionnalité lorsque vous avez activé le numéro de série de votre Firebox, vous pouvez l'obtenir sur la page Détails du Produit de votre Firebox. Pour plus d'informations, consultez À propos de la Page Détails du Produit.

Configurer les Services d'Abonnement

L'assistant de configuration affiche la liste des services sous licence de la clé de fonctionnalité. L'assistant de configuration active automatiquement les services listés selon les paramètres recommandés. Pour WebBlocker, l'assistant de configuration recommande des catégorie de contenu à bloquer, et vous pouvez modifier ces paramètres dans l'assistant de configuration.

Consulter la Configuration

Après avoir passé en revue les paramètres de configuration, l'assistant de configuration enregistre la configuration sur le Firebox.

Après Avoir Exécuté l'Assistant Setup Wizard

Après avoir terminé l'assistant, la machine virtuelle FireboxV ou XTMv redémarre avec le nouveau numéro de série. L'assistant de configuration créer une configuration de base qui autorise le trafic TCP, UDP et ping sortant et bloque l'ensemble du trafic externe non demandé depuis le réseau externe. Il utilise également les adresses IP d'interface et les mots de passe d'administration que vous avez spécifiés. L'assistant active automatiquement les stratégies et les services par défaut avec les paramètres recommandés. Pour plus de détails sur les stratégies et services, consultez Stratégies et Paramètres par Défaut de l'Assistant Setup Wizard.

Si vous avez modifié l'adresse IP de l'interface que vous avez utilisée pour vous connecter à l'assistant Fireware Web Setup Wizard, vous devez utiliser la nouvelle adresse IP pour vous connecter et gérer le périphérique.

Connexions de Gestion à FireboxV et XTMv

Sur une machine virtuelle FireboxV ou XTMv, les stratégies par défaut de WatchGuard et de WatchGuard Web UI autorisent les connexions de gestion provenant de n'importe quel ordinateur appartenant aux réseaux approuvés, facultatifs ou externes. Cette configuration diffère de la configuration par défaut des autres périphériques WatchGuard, qui n'autorisent pas par défaut les connexions de gestion issues du réseau externe. Si vous ne souhaitez pas autoriser les connexions de gestion issues du réseau externe, modifiez les stratégies WatchGuard et WatchGuard Web UI en supprimant l'alias Tout-Externe de la liste De. Afin d'autoriser la gestion uniquement depuis un ordinateur spécifique du réseau externe, vous pouvez ajouter son adresse à la liste De de ces stratégies.

Vous pouvez utiliser Fireware Web UI, WatchGuard System Manager ou l'interface Fireware Command Line Interface (CLI) pour modifier la configuration de votre machine virtuelle FireboxV ou XTMv. Vous pouvez vous connecter à interface approuvée ou externe de n'importe quel ordinateur appartenant au même réseau.

Pour de plus amples informations, consultez :

Si vous devez réinitialiser un périphérique FireboxV ou XTMv et restaurer ses paramètres d'usine par défaut, vous pouvez utiliser la Command Line Interface de Fireware . Pour plus d'informations, consultez Restaurer les Paramètres Usine par Défaut d'un FireboxV ou XTMv .