Déployer une configuration sur des firewalls

A chaque création ou modification de la configuration sur le serveur SMC, vous devez déployer la configuration sur les firewalls.

Tous les déploiements sont enregistrés dans l'historique de déploiement. Reportez-vous à la section Charger et déployer une ancienne configuration.

Lors d'un déploiement, les informations suivantes sont transmises aux firewalls :

  • Les objets utilisés dans les règles de filtrage ou de translation liées au firewall ou à ses dossiers parents.
  • Les objets pour lesquels vous avez choisi le déploiement sur tous les firewalls ou pour lesquels vous avez sélectionné les firewalls sur lesquels les déployer. Pour plus d'informations, reportez-vous à la section Gérer les objets.
  • Si le firewall fait partie d'une topologie VPN : les objets Réseau, Machine et/ou Groupe et l'autorité de certification associés à cette topologie, ainsi que les informations sur le certificat sélectionné pour le firewall dans la topologie (le certificat est déjà installé sur le firewall).

Pour réaliser cette opération, vous devez posséder le droit d'accès en écriture sur les firewalls. Pour plus d'informations, reportez-vous à la section Restreindre les droits d'accès des administrateurs de dossiers.

  1. Allez dans le menu Déploiement > Déploiement de configuration ou cliquez sur le bouton Icône Déployer la configuration dans le bandeau supérieur de l'interface. Ce bouton devient orange lorsque des modifications ont été apportées à la configuration.
  2. Choisissez les firewalls dans l'onglet Sélection des firewalls.
  3. Renseignez un commentaire en bas du panneau si nécessaire. Ce commentaire sera affiché dans l'historique de déploiement.
  4. Cliquez sur Déployer la configuration à côté du champ de commentaire. L'onglet Déploiement s'ouvre automatiquement. Une barre d'état indique l'avancement et le résultat du déploiement pour chaque firewall.
    Lors du déroulement d'un déploiement ou une exécution de script CLI SNS, vous ne pouvez pas lancer un autre déploiement mais il est possible de préparer un déploiement dans l'onglet Sélection des firewalls.
  5. Pendant ou après le déploiement, vous pouvez cliquer sur la barre d'état d'un firewall pour afficher un résumé du déploiement sur ce firewall. Pour obtenir plus d'informations sur le déploiement, utilisez la commande clogs dans l'interface de ligne de commande.
  6. Un résumé du déploiement est visible en bas du panneau, affichant les réussites, les avertissements, les erreurs et les déploiements reportés.
  7. Vous pouvez également filtrer la liste des firewalls en sélectionnant un résultat de déploiement dans la liste déroulante tout en haut de la liste.

    Écran de déploiement de la configuration
    En cas de déploiement réussi, le numéro de déploiement sera incrémenté dans la colonne Déploiement.

    ASTUCE
    Si la configuration a été déployée sur des firewalls déconnectés, le déploiement est reporté et les firewalls récupèrent la configuration la prochaine fois qu'ils se connectent.

  8. En cas d'erreur, reportez-vous aux journaux du serveur SMC. Vous pouvez également vous connecter aux journaux et rapports d'activité d'un firewall en cliquant sur l'icône Icône Traces dans la colonne Actions et consulter les journaux du firewall.
  9. Si le firewall doit être redémarré pour terminer le déploiement, ceci est indiqué par l'état de santé "Redémarrage nécessaire". Vous pouvez lancer le redémarrage directement depuis l'écran de déploiement en cliquant sur le bouton Redémarrer en bas de l'écran. Vous pouvez également redémarrer le firewall plus tard depuis les écrans de supervision, configuration et déploiement ou en cliquant sur l'information affichée à droite dans le bandeau supérieur de l'interface :

    10. Redémarrage du firewall nécessaire
  10. Après un premier déploiement, le serveur SMC vérifie régulièrement si la configuration sur le firewall correspond toujours à la configuration sur SMC. Reportez-vous à la section Détecter des modifications de la configuration locale sur des firewalls.

Les étapes sont identiques à celles de la section précédente.

La configuration est d'abord déployée sur le nœud actif du cluster. Le serveur SMC effectue ensuite une synchronisation des deux nœuds du cluster.

Si le nœud passif n'est pas connecté au nœud actif au moment du déploiement, le serveur SMC effectuera une synchronisation des deux nœuds du cluster lorsque le nœud passif se reconnectera au nœud actif.

Vous pouvez utiliser la commande smc-deploy pour déployer une configuration en ligne de commande.

Faites suivre la commande de la liste des firewalls ciblés par le déploiement avec l'une des deux options :

  • --all : déployer sur tous les firewalls,
  • --firewall-list <firewallNames> : déployer sur certains firewalls (séparés par des virgules).

Pour voir les autres options de cette commande, tapez smc-deploy --help.

Au début du déploiement, le numéro du déploiement s'affiche.

Lorsque vous êtes sur le point de déployer une configuration sur des firewalls, SMC peut afficher un avertissement pour indiquer que d'autres administrateurs ont réalisé des modifications depuis le dernier déploiement.

Vous pouvez alors choisir d'annuler le déploiement ou de le poursuivre. Si vous choisissez de poursuivre le déploiement, les modifications réalisées par les autres administrateurs sont également déployées sur les firewalls sélectionnés.

Par défaut, cette fonctionnalité est désactivée. Pour l'activer :

  1. Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
  2. Dans le fichier /data/config/fwadmin-env.conf.local, ajoutez la variable d'environnement SMC_WARNING_MODIFICATION_ENABLED=true.
  3. Redémarrez le serveur avec la commande nrestart smc.
AVERTISSEMENT
Cette fonctionnalité comporte les limitations suivantes :

  • SMC ne prend en compte que les modifications de configuration réalisées dans l'interface web d'administration pour déclencher l'avertissement. Les modifications réalisées via l'interface de ligne de commande ou via l'API publique de SMC ne sont pas prises en compte.

  • Toute modification de la configuration d'un firewall déclenche l'avertissement, quels que soient les firewalls sélectionnés pour le déploiement, et même si le firewall en question ne fait pas partie de la sélection ou ne fait pas partie du périmètre d'administration de l'administrateur qui déploie.

  • Toute création de ressource, c'est-à-dire objet ou jeu de règles, même si elle est non utilisée ou immédiatement supprimée, déclenche l'avertissement.

  • Toute manipulation des séparateurs de règles (déplier/replier) déclenche l'avertissement.

  • Lors d'un déploiement, la liste des modifications en attente est vidée, quels que soient les firewalls sélectionnés pour le déploiement. Cela signifie que si vous réalisez une modification sur le firewall A, et qu'un autre administrateur déploie sur le firewall B dans un premier temps, puis sur le firewall A dans un second temps, il ne verra l'avertissement qu'au moment du premier déploiement.

  • Si un administrateur restaure une sauvegarde sur SMC, la liste des modifications en attente est vidée. Il n'y aura pas d'avertissement au prochain déploiement.

  • Lorsqu'un déploiement de configuration échoue sur un firewall, la liste des modifications en attente est vidée.


Avant qu'une nouvelle configuration déployée par SMC ne soit installée sur un firewall SNS, sa configuration est sauvegardée. Ainsi, si un déploiement altère la connexion entre le serveur SMC et un firewall SNS, la sauvegarde la plus récente est restaurée. Ce mécanisme garantit que le firewall SNS sera toujours joignable par le serveur SMC. Vous pouvez gérer cette fonctionnalité pour chaque firewall à l'aide de trois variables d'environnement :

Variable Description

SMC_DEPLOYMENT_TIMEOUT_BEFORE_ROLLBACK_INT

Par défaut : 30 secondes

Définit le temps d'attente en secondes pendant lequel SMC essaie de rétablir la connexion. Passé ce délai, la configuration précédente est restaurée.

SMC_SNS_DEPLOYMENT_ROLLBACK_TIMEOUT_INT

Par défaut : 180 secondes

Définit le temps d'attente en secondes entre la restauration de la configuration et la reconnexion au serveur SMC. Si la connexion n'est pas rétablie passé ce délai, le déploiement est considéré comme ayant échoué.

Nous vous recommandons de ne pas fixer une valeur inférieure à la valeur par défaut.
SMC_FW_DEPLOYMENT_ROLLBACK_ENABLED Permet de désactiver la fonctionnalité. Par défaut, elle est activée.

Si vous rencontrez des problèmes lors d'un déploiement de configuration, commencez par consulter les fichiers de journaux suivants.

Côté SMC

/data/log/fwadmin-server/server.log

Côté firewalls

/log/l_system

La validation du déploiement échoue

  • Situation : Après un déploiement de la configuration sur le firewall, l'état du firewall passe en Critique et indique "Validation de configuration". La commande CONFIG STATUS VALIDATE a donc échoué.

  • Cause : Le mot de passe utilisé pour valider la configuration sur le firewall SNS a peut-être été modifié et ne correspond plus à celui enregistré sur SMC. Consultez les journaux du serveur pour connaître la cause exacte.

  • Solution : Connectez-vous sur le firewall pour corriger le problème. Dans le cas d'un mot de passe incorrect, exécutez la commande CONFIG STATUS REMOVE.

Il n'est pas possible de déployer une configuration sur certains firewalls

  • Situation : Certains firewalls ne peuvent pas être sélectionnés pour le déploiement.

  • Cause : Une exécution de script CLI SNS est en cours ou en état différé sur le firewall et il n'est donc pas possible de déployer une configuration sur ce firewall.

  • Solution : Attendez la fin de l'exécution du script ou la reconnexion du firewall pour que l'exécution se termine. Vous pouvez aussi annuler l'exécution du script depuis le menu Scripts CLI SNS.