Gérer les profils d'inspection IPS sur les firewalls SNS depuis SMC

Dans SMC, il est possible de créer des règles de filtrage faisant référence à des profils d'inspection IPS définis localement sur les firewalls, en sélectionnant leur identifiant (00 à 09).

Profils d'inspection IPS

Vous ne pouvez cependant pas paramétrer ces profils directement dans SMC et ceux-ci peuvent être différents sur chaque firewall bien que portant le même identifiant.

Cette section explique comment diffuser des profils d'inspection IPS communs sur tout ou partie d’un parc de firewalls à l’aide de SMC, à partir des profils définis sur un firewall "modèle".

Cette pratique nécessite deux scripts : un premier script permettant de récupérer les profils du firewall modèle et un deuxième script permettant de diffuser ces profils sur les firewalls choisis.

IMPORTANT
Le firewall modèle et les firewalls cibles doivent être dans la même version.

Pour appliquer cette procédure, suivez les trois étapes suivantes dans l'ordre indiqué.

La première étape consiste à modifier un ou plusieurs profils IPS parmi les 10 profils disponibles sur un firewall. Ce firewall représente la configuration IPS modèle à diffuser sur les autres firewalls.

  1. Connectez-vous à l’interface web d’administration du firewall "modèle" par son adresse IP ou directement via SMC.
  2. Ouvrez le menu Protection applicative > Applications et protections.
  3. Modifiez les paramètres pour les applications et protections souhaitées.

    4. Menu Applications et protections

  4. Ouvrez le menu Protection applicative > Protocoles.
  5. Modifiez les paramètres pour les protocoles souhaités.

    6. Menu Protocoles

Le script suivant permet de récupérer les profils d'inspection IPS du firewall modèle. 

#####################################################################
# Save the IPS configuration for a given SNS firewall               
#                                                                   
# The $SAVE_TO_DATA_FILE argument indicates the name of the file in  
# which the result of the execution will be saved                   
#####################################################################
        
CONFIG BACKUP list=securityinspection $SAVE_TO_DATA_FILE("backup-IPS-Conf.na")

Pour sauvegarder les profils :

  1. Copiez le script dans un éditeur de texte et sauvegardez-le avec l'extension .script.
  2. Dans SMC, ouvrez le menu Déploiement > Scripts CLI SNS.
  3. Sélectionnez le script que vous avez sauvegardé.
  4. Sélectionnez le firewall dont les profils d'inspection IPS doivent être sauvegardés.

    5. Écran de sélection des firewalls

  5. Exécutez le script.
  6. Téléchargez l'archive générée par le script. L'archive contient la sauvegarde backup-IPS-Conf.na.

Pour plus d'informations sur l'exécution de scripts CLI SNS, reportez-vous à la section Exécuter des commandes CLI SNS sur un parc de firewalls.

(Le script suivant permet de diffuser sur les autres firewalls les profils d'inspection IPS sauvegardés précédemment. 

###############################################################
# Restore the IPS configuration for one or several SNS firewall(s) 
#
# The $FROM_DATA_FILE argument indicates the name of the file that will 
# be uploaded to the firewall(s)
###############################################################


# Restore the IPS configuration
CONFIG RESTORE list=securityinspection $FROM_DATA_FILE("backup-IPS-Conf.na")

Pour diffuser les profils :

  1. Copiez le script dans un éditeur de texte et sauvegardez-le avec l'extension .script.
  2. Dans SMC, ouvrez le menu Déploiement > Scripts CLI SNS.
  3. Sélectionnez le script que vous avez sauvegardé.
  4. Sélectionnez en tant que pièce jointe le fichier de sauvegarde .na précédemment créé.
  5. Sélectionnez les firewalls sur lesquels diffuser les profils d'inspection IPS.

    6. Écran de sélection des firewalls

  6. Exécutez le script.
  7. Vous pouvez vous connecter sur un firewall via SMC pour constater que les profils ont bien été pris en compte.