Importer des firewalls SNS depuis un fichier CSV

Pour importer rapidement un grand nombre de firewalls dans SMC et générer leur package de rattachement, vous pouvez créer un fichier CSV et l'importer sur le serveur depuis l'interface web ou depuis l'interface de ligne de commande.

Vous devez être administrateur général pour réaliser cette opération, c'est-à-dire posséder le droit d'écriture sur tous les dossiers dans l'interface web de SMC. Pour plus d'informations, reportez-vous à la section Restreindre les droits d'accès des administrateurs de dossiers.

Un exemple de fichier CSV "example-import-firewalls.csv" est disponible sur le serveur, dans le dossier /opt/stormshield/examples/csv/.

Le fichier peut contenir les paramètres suivants organisés en colonnes, séparés par des virgules. L'ordre des colonnes n'a pas d'importance. Seule la valeur de la première colonne #fwname est obligatoire, les autres colonnes peuvent être vides :

  • #fwname : le nom du firewall,
  • #fwversion : la version du firewall utilisée pour déterminer la version du package de rattachement généré. Si ce champ n'est pas renseigné, c'est la version 4.0.0 qui est utilisée.
  • #fwdesc : la description du firewall,
  • #fwplace : le lieu du firewall,
  • #folder : le dossier de destination du firewall. Il est possible de spécifier un chemin sous forme <dossier1>/<dossier2>/... pour préciser le dossier de destination au sein de la hiérarchie des dossiers. Si les dossiers spécifiés n'existent pas déjà, le serveur SMC les crée. Si ce champ n'est pas renseigné, le dossier par défaut est le dossier racine.

  • #vpn_fw_public_ip_address : l'adresse IP de contact du firewall déterminée manuellement dans ses paramètres et utilisée dans les topologies VPN,

  • #vpn_fw_local_address : l'interface de sortie du firewall utilisée comme source dans les tunnels VPN,
  • #network_cfg_deploy : définit si les interfaces réseau et le routage sont administrables via le serveur SMC. Si ce champ n'est pas renseigné, l'option est désactivée par défaut.

  • #pkg_fw_address : l'adresse de contact du firewall détectée par SMC,

  • #pkg_fw_netmask : le masque de sous-réseau,

  • #pkg_fw_gateway : la passerelle par défaut du firewall,

  • #pkg_smc_addresses (IP1:PORT1:BINDADDR1,IP2:PORT2) : l'adresse IP, le port et l'interface de sortie du serveur SMC. Cette information est nécessaire pour le package de rattachement. Le port et l'interface de sortie sont optionnels. À partir de la version 3.9 des firewalls SNS, vous pouvez spécifier une interface de sortie par adresse IP. Pour les firewalls en versions 3.7.X à 3.8.X, seule la première interface de sortie est prise en compte.
  • vpn_fw_subject_dn : dans le cas de certificats obtenus par les protocoles SCEP ou EST, le Distinguished Name du sujet du certificat par défaut du firewall,
  • vpn_fw_issuer_dn : dans le cas de certificats obtenus par les protocoles SCEP ou EST, le Distinguished Name de l'émetteur du certificat par défaut du firewall.

IMPORTANT
Vérifiez que le logiciel d'édition du fichier CSV n'a pas modifié le caractère délimiteur ",". L'import sur le serveur SMC risque de ne pas être possible sinon. Pour plus d'informations sur le caractère délimiteur, reportez-vous à la section Choisir le caractère délimiteur dans les fichiers CSV.

  1. Sélectionnez Supervision > Firewalls et cliquez sur Importer des firewalls.
    Bouton Importer des firewalls
  2. Sélectionnez le fichier CSV.
  3. Cochez les options nécessaires.
  4. La fenêtre suivante affiche un résumé des opérations et permet de télécharger les packages de rattachement si vous avez coché l'option.

Si parmi les firewalls listés dans le fichier, certains existent déjà sur SMC, leurs propriétés sont mises à jour avec les nouvelles valeurs renseignées dans le fichier. Si une cellule du fichier est vide, la valeur est considérée comme vide et l'ancienne valeur est écrasée.

Si vous souhaitez conserver une valeur existante, supprimez la colonne dans le fichier CSV.

IMPORTANT
Lorsque plusieurs administrateurs sont connectés simultanément, nous vous recommandons d'importer des firewalls depuis l'interface web plutôt qu'en ligne de commande, pour que les différents administrateurs soient prévenus des modifications.

  1. Commencez par copier le fichier CSV sur le serveur SMC à l'aide du protocole SSH, dans le répertoire /data/tmp par exemple. Cet exemple est repris dans la suite de la procédure.
  2. Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
  3. Tapez la commande :
    smc-import-firewalls /data/tmp/nomfichier.csv.

Pour changer la valeur du caractère délimiteur, utilisez la variable d'environnement SMC_CSV_DELIMITER. Pour plus d'informations, reportez-vous à la section Choisir le caractère délimiteur dans les fichiers CSV.

Les packages de rattachement générés sont disponibles dans le répertoire /tmp/import-firewalls-[date de l'import].

Un statut d'import s'affiche pour chaque firewall, ainsi qu'un résumé à la fin de l'exécution de l'import.

Exécution de l'import de firewall en ligne de commande

Vous avez également la possibilité :

  • D'importer les firewalls sans générer les packages de rattachement, en utilisant l'option --firewall-only :

smc-import-firewalls /data/tmp/nomfichier.csv --firewall-only

  • De générer uniquement les packages de rattachement, en utilisant l'option --package-only :

smc-import-firewalls /data/tmp/nomfichier.csv --package-only

Si un firewall importé existait déjà dans SMC, il est automatiquement mis à jour après l'exécution du script.