Déployer FireboxV ou XTMv sur Hyper-V

La procédure d'installation décrit le déploiement et la configuration d'une machine virtuelle FireboxV sur Microsoft Windows Server 2012 possédant le rôle Hyper-V. Les étapes d'installations sont similaires aux autres environnements Hyper-V.

Configuration requise pour FireboxV WatchGuard et Hyper-V :

• Windows Server ou Hyper-V Server 2012 R2, 2016 ou 2019

Configuration requise pour XTMv WatchGuard et Hyper-V :

• Windows Server et Hyper-V Server 2012 R2 ou 2016

FireCluster n'est pas pris en charge pour FireboxV ou XTMv sur Hyper-V.

Conditions Préalables à l'Installation

L'environnement Microsoft Hyper-V doit répondre aux exigences suivantes :

Hyper-V

• Pour créer et exécuter des machines virtuelles sur un serveur Windows Server, vous devez installer le rôle Hyper-V.
• Veillez à mettre à jour votre serveur Windows Server ou Hyper-V server vers sa dernière version.
• Les procédures de ce document utilisent Hyper-V Manager sur Windows Server 2012 R2 de manière à déployer, configurer et provisionner la machine virtuelle FireboxV dans l'environnement Hyper-V. Vous pouvez également utiliser l'interface System Center Virtual Machine Manager (VMM) ou le rôle Hyper-V d'un ordinateur client au lieu de Hyper-V Manager.

Matériel et Ressources du Système

• Matériel : Tout matériel répondant aux exigences de Hyper-V Server ou Windows Server
• Chaque machine virtuelle FireboxV nécessite 5 Go d'espace libre
• Les autres ressources système varient en fonction du modèle de FireboxV ou XTMv

Vous pouvez également allouer jusqu'à 8 cartes réseau supplémentaires, qui correspondent aux interfaces de 0 à 7 dans la configuration Fireware.

Tous les modèles FireboxV et XTMv prennent en charge jusqu'à 10 interfaces. Étant donné qu'il est impossible d'utiliser les cartes réseau héritées sur une machine virtuelle FireboxV ou XTMv, la limite pratique pour un FireboxV ou XTMv dans un environnement Hyper-V est de huit.

Avant de Commencer

Afin de préparer votre installation, veillez à disposer des éléments suivants :

• Hyper-V installé sur Windows Server ou Hyper-V Server 2012 R2, 2016 ou 2019
• Numéro de série du FireboxV ou XTMv.
  Vous obtenez le numéro de série d'un périphérique virtuel FireboxV lors de son achat.
• Clé de fonctionnalité FireboxV ou XTMv
  La clé de fonctionnalité contient le numéro de série du périphérique ainsi que les fonctionnalités sous licence.
• Fichier disque dur virtuel (.vhd) de WatchGuard FireboxV
  Le nom du fichier est fireboxv_<version>.vhd, où <version> est la version Fireware.
• WatchGuard System Manager (facultatif)
  La version de WSM doit être identique ou ultérieure à celle de Fireware

Pour obtenir la clé de fonctionnalité :

1. Accédez à l'adresse www.watchguard.com/activate puis activez le numéro de série du périphérique.
   Le processus d'activation crée une clé de fonctionnalité pour le Firebox.
2. Copiez la clé de fonctionnalité dans un fichier texte local.

Pour télécharger le programme d'installation ainsi que d'autres logiciels à utiliser avec votre Firebox :

1. Accédez à l'adresse software.watchguard.com puis sélectionnez FireboxV ou XTMv pour Hyper-V.
2. Téléchargez le fichier zip pour FireboxV ou XTMv.
3. Téléchargez WatchGuard System Manager (facultatif).

Décompressez le fichier .vhd du fichier .zip à un emplacement du serveur Windows où Hyper-V a été installé. Il peut s'avérer utile d'extraire le fichier .vhd à l'emplacement de stockage par défaut des disques durs virtuels de Hyper-V. Sur Windows Server 2012, l'emplacement par défaut est C:\Users\Public\Public Documents\Hyper-V\Virtual hard disks.

Étant donné qu'un fichier .vhd est un disque dur virtuel, il ne peut pas être utilisé simultanément pour plusieurs machines virtuelles démarrées. Pour déployer des machines virtuelles FireboxV supplémentaires, veillez à enregistrer une copie du fichier .vhd décompressé avec un nom unique pour chaque machine virtuelle. Lorsque vous ajoutez ensuite la machine virtuelle, veillez à sélectionner le fichier .vhd correspondant à utiliser.

Description de l'Installation

Afin d'effectuer l'installation initiale:

1. Créez la machine virtuelle FireboxV et sélectionnez le fichier .vhd à utiliser.
2. Assignez les cartes réseau et démarrez la machine virtuelle FireboxV ou XTMv.
3. Connectez-vous à la machine virtuelle FireboxV ou XTMv et lancez l'assistant Web Setup Wizard.
4. Allouez des ressources supplémentaires à la machine virtuelle FireboxV ou XTMv.

Ce guide décrit comment utiliser l'assistant Web Setup Wizard de manière à créer votre configuration initiale. Si vous avez installé WatchGuard System Manager sur un ordinateur situé sur le réseau approuvé du FireboxV ou du XTMv, au lieu de l'assistant Web Setup Wizard, vous pouvez utiliser l'assistant Quick Setup Wizard de WatchGuard System Manager de manière à découvrir la machine virtuelle FireboxV ou XTMv et procéder à sa configuration de base.

Pour activer votre périphérique dans l'assistant Web Setup Wizard, vous devez posséder son numéro de série. Il n'est pas possible d'utiliser un numéro de série se terminant par 000000000, car il correspond à un périphérique non activé.

Considérations relatives au Réseau

Lorsque vous créez le dispositif virtuel FireboxV, il est configuré à l'origine avec deux interfaces actives.

Interface externe

L'interface externe « Interface 0 » est configurée par défaut pour obtenir une adresse IP auprès d'un serveur DHCP. Pour vous connecter à cette interface lors de la configuration initiale du périphérique, vous devez la mapper à un réseau de destination pourvu d'un serveur DHCP.

Interface approuvée

L'interface approuvée « Interface 1 » possède par défaut l'adresse IP 10.0.1.1.

Lorsque vous créez la machine virtuelle FireboxV dans l'environnement Hyper-V, vous devez ajouter au moins deux cartes réseau (non héritées) à la machine virtuelle pour son interface externe et son interface approuvée avant d'exécuter l'assistant Web Setup Wizard pour le périphérique FireboxV.

Après avoir créé la machine virtuelle FireboxV, vous pouvez activer et configurer des interfaces réseau supplémentaires du FireboxV. Pour le bon fonctionnement des interfaces supplémentaires, vous devez configurer la machine virtuelle FireboxV dans Hyper-V Manager ou System Center VMM de manière à ajouter le nombre de cartes réseau que vous souhaitez activer dans la configuration du FireboxV.

Créer la Machine Virtuelle FireboxV ou XTMv

Vous pouvez utiliser Hyper-V Manager ou System Center VMM pour créer la machine virtuelle FireboxV. Le fichier FireboxV.vhd installe une machine virtuelle 64 bits.

Pour utiliser Hyper-V Manager :

1. Sur votre serveur Windows ou Hyper-V Server, lancez Hyper-V Manager.
2. Sélectionnez Action > Nouveau > Machine Virtuelle.
   L'assistant New Virtual Machine Wizard démarre.
3. Lorsque la page Avant de Commencer s'affiche, cliquez sur Suivant.
   La page Spécifier un Nom et un Emplacement s'ouvre.

4. Dans la zone de texte Nom, saisissez un nom pour cette machine virtuelle.

5. Pour stocker la machine virtuelle dans un fichier autre que le fichier par défaut, cochez la case Stocker la machine virtuelle dans un autre emplacement. Cliquez sur Parcourir et sélectionnez l'emplacement pour stocker la machine virtuelle. Cliquez sur Suivant.
   Pour Hyper-V 2012, la page Spécifier la Génération s'affiche.
   

6. Sur la page Spécifier la Génération, sélectionnez Génération 1. Cliquez sur Suivant.

7. Depuis la page Affecter la Mémoire, dans la zone de texte Mémoire de Démarrage, saisissez la quantité de mémoire à allouer en fonction de votre modèle de FireboxV :

   • Petite — 1 024 Mo
   • Moyenne — 2 048 Mo
   • Large ou Extra Large — 4 096 Mo

8. Cliquez sur Suivant.

9. La page Configurer le Réseau s'affiche.

10. Dans la liste déroulante Connexion sélectionnez l'adaptateur de réseau virtuel à utiliser pour l'interface externe, Eth0. Ne choisissez pas de carte réseau héritée.

11. Cliquez sur Suivant.
12. Sélectionnez Utiliser un disque dur existant.

13. Cliquez sur Parcourir et sélectionnez l'emplacement où vous avez enregistré le fichier .vhd WatchGuard FireboxV. Cliquez sur Suivant.
14. Vérifiez le résumé. Cliquez sur Terminer.
    La machine virtuelle FireboxV s'affiche dans le volet Machines Virtuelles de Hyper-V Manager.

Ajouter des Cartes Réseau

Avant de configurer Fireware sur votre machine virtuelle FireboxV, vous devez lui ajouter deux cartes réseau virtuelles. La première à sélectionner est destinée à l'interface externe Eth0. La seconde est destinée à l'interface approuvée Eth1. Les cartes réseau virtuelles que vous utilisez pour votre périphérique FireboxV doivent être des cartes réseau et non des cartes réseau héritées.

Dans l'assistant New Virtual Machine Wizard, vous avez sélectionné la première carte réseau virtuelle. Vous devez ensuite ajouter la carte réseau virtuelle de manière à utiliser l'interface approuvée de la machine virtuelle FireboxV, Eth1. Vous devez procéder à cette opération lorsque la machine virtuelle est arrêtée.

1. Dans le volet Machines Virtuelles de Hyper-V Manager, sélectionnez la machine virtuelle FireboxV que vous venez d'ajouter.
2. Dans la liste Actions, sélectionnez Paramètres.
3. Dans la liste Matériel, sélectionnez Ajouter du Matériel.
4. Sélectionnez Carte Réseau puis cliquez sur Ajouter.
   Ne sélectionnez pas Ancienne Carte Réseau. FireboxV ne prend pas en charge les adaptateurs réseau hérités.
5. Dans la liste déroulante Commutateur Virtuel, sélectionnez le commutateur virtuel à utiliser pour l'interface approuvée du périphérique FireboxV (Eth1). Cliquez sur Appliquer.
6. Vérifiez que les deux cartes réseau figurent dans la liste du Matériel. Cliquez sur OK.

Si vous souhaitez ajouter des interfaces ou des processeurs virtuels à cette machine virtuelle, vous pouvez allouer ces ressources immédiatement avant de démarrer la machine virtuelle. Vous pouvez également effectuer cette opération ultérieurement.

Pour ajouter un processeur virtuel dans Hyper-V Manager :

1. Dans le volet Machines Virtuelles, sélectionnez la machine virtuelle FireboxV.
2. Si l'état de la machine virtuelle n'est pas Arrêté, faites un clic droit sur la machine virtuelle puis sélectionnez Arrêter.
3. Dans la liste Actions, sélectionnez Paramètres.
4. Dans la liste Matériel, sélectionner Processeur.
5. Dans la zone de texte Nombre de processeurs virtuels, saisissez ou sélectionnez le nombre de processeurs à allouer.
6. Cliquez sur Appliquer.

Pour de plus amples informations concernant l'allocation de ressources supplémentaires, consultez Configurer les Ressources dans Hyper-V.

Démarrer la Machine Virtuelle FireboxV

Vous devez ensuite démarrer la machine virtuelle FireboxV. Lorsque vous démarrez la machine virtuelle FireboxV pour la première fois, elle envoie automatiquement une diffusion DHCP pour obtenir l'adresse IP de l'interface externe. Si un serveur DHCP a été configuré sur le réseau externe, l'interface externe du FireboxV reçoit une adresse IP.

Pour démarrer la machine virtuelle FireboxV :

1. Dans le volet Machines Virtuelles de Hyper-V Manager, sélectionnez la machine virtuelle FireboxV.
2. Dans la liste Actions, cliquez sur Démarrer.
   Vous pouvez également sélectionner Action > Démarrer.
   La machine virtuelle FireboxV démarre avec les paramètres usine par défaut. L'état du périphérique est En cours d'exécution.

Paramètres Usine Par Défaut de FireboxV et XTMv

Lorsque vous démarrez une machine virtuelle FireboxV ou XTMv pour la première fois, elle adopte ses paramètres d'usine par défaut avant d'exécuter l'assistant de configuration :

• Il y a deux interfaces actives : externe et approuvée.
• L'adresse IP de l'interface approuvée est 10.0.1.1.
• L'interface externe est configurée pour obtenir une adresse IP par DHCP.
• L'interface approuvée n'est pas configurée pour assigner les adresses IP via DHCP.
  Ce paramètre diffère du paramètre par défaut des autres Firebox.
• Les interfaces approuvées et externes acceptent toutes deux les connexions de gestion.
  Ce paramètre diffère du paramètre par défaut des autres Firebox.
• Le mot de passe du compte administrateur est readwrite.
• Le numéro de série d'un périphérique FireboxV ou XTMv non activé se termine par 000000000.
  Vous assignez le numéro de série réel lors de l'activation du périphérique.

Rechercher l'Adresse IP Externe

Si le réseau externe possède un serveur DHCP, une adresse IP est automatiquement attribuée à l'interface externe du périphérique FireboxV. Si vous souhaitez utiliser cette adresse IP pour vous connecter au périphérique, vous pouvez utiliser la Command Line Interface Fireware pour afficher l'adresse IP assignée à l'interface externe.

Pour utiliser la CLI de manière à afficher les adresses IP assignées à un périphérique FireboxV actif :

1. Dans le volet Machines Virtuelles de Hyper-V Manager, sélectionnez la machine virtuelle FireboxV.
2. Dans la liste Actions, sélectionnez Connexion.
3. Dans l'invite de nom d'utilisateur, saisissez status.
4. Dans l'invite de mot de passe, saisissez readonly.
   Il s'agit du mot de passe par défaut du compte status.
5. Saisissez show interface.
   Le résultat de la commande indique les adresses IP et l'état des interfaces Externe et Approuvée.

6. Pour vous déconnecter de la CLI Fireware, saisissez exit.

Utiliser l'assistant Web Setup Wizard pour Créer une Configuration de Base

L'assistant Fireware Web Setup Wizard des FireboxV est presque identique à celui des autres Firebox. Sur une machine virtuelle FireboxV, vous pouvez néanmoins vous connecter sur l'interface approuvée ou l'interface externe pour exécuter l'assistant Web Setup Wizard. Une autre différence réside dans le fait que la machine virtuelle redémarre une fois l'assistant terminé de manière à pouvoir être relancée avec le nouveau numéro de série.

Si vous n'effectuez pas l'ensemble des étapes de l'assistant Web Setup Wizard en 15 minutes, l'assistant n'enregistre aucun paramètre. Vous devez vous connecter à nouveau et recommencer.

L'assistant Web Setup Wizard comprend une étape permettant d'activer votre périphérique FireboxV. Vous devez activer le Firebox avec une clé de fonctionnalité pour obtenir le numéro de série et activer toutes les fonctionnalités sous licence.

Pour procéder à la configuration de base d'une machine virtuelle FireboxV :

1. Ouvrez un navigateur Web et connectez-vous à Fireware Web UI sur l'interface externe ou l'interface approuvée.

• Connexion à l'interface externe — À partir de n'importe quel ordinateur du réseau externe FireboxV, connectez-vous à :
  https://<External_IP_Address>:8080
  Pour <External_IP_Address>, utilisez l'adresse IP attribuée à l'interface externe.
• Connexion à l'interface approuvée — Depuis n'importe quel ordinateur situé sur le réseau approuvé de FireboxV, accédez à l'adresse :
  https://10.0.1.1:8080

2. Connectez-vous à Fireware Web UI avec les informations d'identification par défaut du compte administrateur.

• Nom d'utilisateur — admin
• Mot de Passe — readwrite

3. Sélectionnez Nouvelle Configuration.
4. Effectuez les étapes de l'assistant Web Setup Wizard.

L'assistant Web Setup Wizard vous permet d'effectuer ces étapes :

Configurer l'interface Externe

Sélectionnez et configurez la méthode que votre périphérique doit utiliser pour définir une adresse IP externe. Les options disponibles sont :

• DHCP — Entrez l'identification DHCP, telle que fournie par votre fournisseur de services Internet.
• PPPoE — Entrez les informations PPPoE, telles que fournies par votre fournisseur de services Internet.
• Statique — Entrez l'adresse IP statique et l'adresse IP de la passerelle, telles que fournies par votre fournisseur de services Internet.

Pour plus d'informations sur ces méthodes, consultez Configurer une Interface Externe.

Configurer les serveurs DNS et WINS (Facultatif)

Configurez les adresses de serveur DNS et WINS que vous souhaitez que le Firebox utilise.

Configurer l'interface Approuvée

Entrez l'adresse IP de l'interface approuvée. (Facultatif) Si vous souhaitez que Firebox attribue des adresses IP aux ordinateurs qui se connectent au réseau approuvé, vous pouvez activer le serveur DHCP et attribuer une plage d'adresses IP sur le même sous-réseau que l'adresse IP de l'interface.

Créez des mots de passe pour votre périphérique

Définissez de nouveaux mots de passe pour les comptes d'utilisateur intégrés état (lecture seule) et admin (lecture/écriture).

Activer la gestion à distance (facultatif)

Activez la gestion à distance si vous souhaitez gérer ce Firebox à partir de l'interface externe.

Ajouter des informations sur le périphérique

Vous pouvez entrer un nom de périphérique, un emplacement et des informations de contact pour enregistrer des informations de gestion pour ce périphérique. Par défaut, le nom de périphérique est le numéro de modèle de votre Firebox. Nous vous recommandons de choisir un nom unique que vous pouvez utiliser pour identifier facilement ce Firebox, en particulier si vous utilisez la gestion à distance. L'emplacement et les informations de contact sont facultatifs.

Définir le fuseau horaire

Sélectionnez le fuseau horaire correspondant à l'emplacement du Firebox.

Ajouter la clé de fonctionnalité

Collez le texte de la clé de fonctionnalité dans l'assistant de configuration.

Si vous n'avez pas copié la clé de fonctionnalité lorsque vous avez activé le numéro de série de votre Firebox, vous pouvez l'obtenir sur la page Détails du Produit de votre Firebox. Pour plus d'informations, consultez À propos de la Page Détails du Produit.

Configurer les Services d'Abonnement

L'assistant de configuration affiche la liste des services sous licence de la clé de fonctionnalité. L'assistant de configuration active automatiquement les services listés selon les paramètres recommandés. Pour WebBlocker, l'assistant de configuration recommande des catégorie de contenu à bloquer, et vous pouvez modifier ces paramètres dans l'assistant de configuration.

Consulter la Configuration

Après avoir passé en revue les paramètres de configuration, l'assistant de configuration enregistre la configuration sur le Firebox.

Après Avoir Exécuté l'Assistant Setup Wizard

Après avoir terminé l'assistant, la machine virtuelle FireboxV ou XTMv redémarre avec le nouveau numéro de série. L'assistant de configuration créer une configuration de base qui autorise le trafic TCP, UDP et ping sortant et bloque l'ensemble du trafic externe non demandé depuis le réseau externe. Il utilise également les adresses IP d'interface et les mots de passe d'administration que vous avez spécifiés. L'assistant active automatiquement les stratégies et les services par défaut avec les paramètres recommandés. Pour plus de détails sur les stratégies et services, consultez Stratégies et Paramètres par Défaut de l'Assistant Setup Wizard.

Si vous avez modifié l'adresse IP de l'interface que vous avez utilisée pour vous connecter à l'assistant Fireware Web Setup Wizard, vous devez utiliser la nouvelle adresse IP pour vous connecter et gérer le périphérique.

Connexions de Gestion à FireboxV et XTMv

Sur une machine virtuelle FireboxV ou XTMv, les stratégies par défaut de WatchGuard et de WatchGuard Web UI autorisent les connexions de gestion provenant de n'importe quel ordinateur appartenant aux réseaux approuvés, facultatifs ou externes. Cette configuration diffère de la configuration par défaut des autres périphériques WatchGuard, qui n'autorisent pas par défaut les connexions de gestion issues du réseau externe. Si vous ne souhaitez pas autoriser les connexions de gestion issues du réseau externe, modifiez les stratégies WatchGuard et WatchGuard Web UI en supprimant l'alias Tout-Externe de la liste De. Afin d'autoriser la gestion uniquement depuis un ordinateur spécifique du réseau externe, vous pouvez ajouter son adresse à la liste De de ces stratégies.

Vous pouvez utiliser Fireware Web UI, WatchGuard System Manager ou l'interface Fireware Command Line Interface (CLI) pour modifier la configuration de votre machine virtuelle FireboxV ou XTMv. Vous pouvez vous connecter à interface approuvée ou externe de n'importe quel ordinateur appartenant au même réseau.

Pour de plus amples informations, consultez :

• Se Connecter à Fireware Web UI
• Se Connecter à un Périphérique avec WatchGuard System Manager

Si vous devez réinitialiser un périphérique FireboxV ou XTMv et restaurer ses paramètres d'usine par défaut, vous pouvez utiliser la Command Line Interface de Fireware . Pour plus d'informations, consultez Restaurer les Paramètres Usine par Défaut d'un FireboxV ou XTMv .