Importer des règles depuis un fichier CSV

Cette fonctionnalité permet d'effectuer un import de règles depuis un fichier CSV créé manuellement ou exporté depuis un firewall SNS. Le même fichier peut contenir des règles de filtrage et de translation.

Un exemple de fichier CSV "example-import-rules.csv" est disponible sur le serveur, dans le dossier /opt/stormshield/examples/csv/.

Vous pouvez soit exporter des règles existantes depuis un firewall soit créer un nouveau fichier CSV.

Pour exporter le fichier CSV depuis un firewall :

  1. Connectez-vous au firewall.
  2. Allez dans le menu Politique de sécurité > Filtrage et NAT.
  3. En haut du panneau, choisissez d'afficher la politique globale ou locale que vous souhaitez exporter. Seules les règles du slot actif sont exportées.
  4. Cliquez sur le bouton Exporter.

IMPORTANT
Vérifiez que le logiciel d'édition du fichier CSV n'a pas modifié le caractère délimiteur ",". L'import sur le serveur SMC risque de ne pas être possible sinon. Pour plus d'informations sur le caractère délimiteur, reportez-vous à la section Choisir le caractère délimiteur dans les fichiers CSV.

Pour créer un nouveau fichier CSV, afin de connaître le détail des lignes d'en-têtes, vous pouvez :

  • Vous inspirer d'un export de règles depuis un firewall,
  • Consulter l'exemple disponible directement sur le serveur SMC comme indiqué ci-dessus.

Notez que vous devez créer un fichier CSV par dossier de règles ainsi qu'un fichier CSV par firewall pour les règles spécifiques au firewall.

Vous devez posséder un accès en lecture-écriture pour importer des règles.

Si les règles font référence à des objets de votre configuration SNS qui ne sont pas déjà présents dans la configuration SMC, vous devez les importer au préalable sur le serveur. Pour plus d'informations sur l'import d'objets, reportez-vous à la section Importer des objets.

  1. Dans le menu Configuration > Firewalls et Dossiers, naviguez jusqu'au niveau de dossier ou jusqu'au firewall sur lequel vous souhaitez importer les règles.
  2. Ouvrez l'onglet Filtrage et translation et choisissez Règles de filtrage ou Règles de translation. Les deux types de règles peuvent être importés depuis l'un ou l'autre des onglets et depuis le même fichier CSV.
  3. Cliquez sur le bouton Importer dans la barre d'outils.
  4. Sélectionnez le fichier CSV à importer.
  5. Choisissez d'ajouter les règles aux règles déjà existantes ou de les remplacer par les nouvelles règles importées. Lorsque vous sélectionnez la première option, les nouvelles règles sont ajoutées dans un séparateur indiquant la date de l'import, après les règles existantes.
    Par défaut, les règles sont importées dans les règles de priorité haute d'un dossier. Pour importer des règles dans les règles de priorité basse, spécifiez la valeur "low" dans la colonne #smc_folder_prio du fichier CSV (dernière colonne). Si le fichier provient d'un export depuis un firewall, cette colonne n'est pas présente et vous devez l'ajouter manuellement.

NOTE
Si vous souhaitez importer une politique de sécurité contenant des jeux de règles, vous devez d'abord les créer sur le serveur SMC. Pour plus d'informations, reportez-vous à la section Créer des jeux de règles.

En cas d'erreur, consultez le résumé de l'import.

Aucune autre action ne peut être effectuée sur le serveur pendant l'import de règles.

La commande d'import des règles est la suivante : smc-import-rules

Elle s'accompagne de différentes options selon l'utilisation.

Nous vous recommandons de posséder un accès exclusif en lecture-écriture à la session d'administration au moment de l'import.

Les jeux de règles ne peuvent pas être importés en ligne de commande.

Dans les deux cas suivants, pour chaque règle importée, le statut de l'import est affiché. En cas d'échec d'import d'une règle, la raison est donnée et aucune règle ni objet n'est importé. La totalité du fichier CSV est cependant parcourue afin que le serveur SMC relève toutes les erreurs potentielles. Corrigez ces erreurs avant de retenter un import.

Les règles importées en ligne de commande sont ajoutées après les règles déjà existantes.

Si les règles font référence à des objets de votre configuration SNS qui ne sont pas déjà présents dans la configuration SMC, vous pouvez également les importer sur le serveur, en même temps que les règles.

Vous importez les règles et les objets référencés dans les règles :

  1. Exportez la liste des objets au format CSV depuis un firewall SNS en suivant la procédure de la section Créer le fichier CSV.
  2. Copiez les deux fichiers CSV (règles et objets) sur le serveur SMC à l'aide du protocole SSH, dans le répertoire /tmp par exemple.
  3. Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
  4. Selon la destination des règles, tapez la commande :
    • smc-import-rules /tmp/fichier-de-regles.csv --objects /tmp/fichier-objets.csv --firewall firewall-de-destination : la destination des règles est un firewall,
    • smc-import-rules /tmp/fichier-de-regles.csv --objects /tmp/fichier-objets.csv --folder dossier-de-destination : la destination des règles est un dossier. Par défaut, les règles sont importées dans les règles de priorité haute d'un dossier. Pour importer des règles dans les règles de priorité basse, ajoutez --low-priority à la fin de la commande ou bien spécifiez la valeur "low" dans la colonne #smc_folder_prio du fichier CSV (dernière colonne). Si le fichier provient d'un export depuis un firewall, cette colonne n'est pas présente et vous devez l'ajouter manuellement.

Le fichier CSV listant les objets comprend la liste complète des objets présents dans la configuration du firewall SNS, mais à cette étape le serveur SMC n'importe que les objets référencés dans les règles. Si des objets référencés dans les règles sont déjà présents sur le serveur, ils ne sont pas ré-importés.

Cependant, si besoin, vous pouvez forcer la mise à jour de ces objets avec l'option --update :

smc-import-rules /tmp/fichier-de-regles.csv --update --objects /tmp/fichier-d-objets.csv --folder dossier-de-destination --low-priority

Vous importez les règles seules (sans objet) :

  1. Commencez par copier le fichier CSV sur le serveur SMC à l'aide du protocole SSH, dans le répertoire /tmp par exemple.
  2. Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
  3. Selon la destination des règles, tapez la commande :
    • smc-import-rules /tmp/fichier-de-regles.csv --firewall firewall-de-destination : la destination des règles est un firewall,
    • smc-import-rules /tmp/fichier-de-regles.csv --folder dossier-de-destination : la destination des règles est un dossier. Par défaut, les règles sont importées dans les règles de priorité haute d'un dossier. Pour importer des règles dans les règles de priorité basse, ajoutez --low-priority à la fin de la commande ou bien spécifiez la valeur "low" dans la colonne #smc_folder_prio du fichier CSV (dernière colonne). Si le fichier provient d'un export depuis un firewall, cette colonne n'est pas présente et vous devez l'ajouter manuellement.