Print topic

Notes de publication de Fireware XTM v11.4

Périphériques pris en charge XTM 2, 5 et 8 Series
XTM 1050
Version du système d'exploitation Fireware XTM Version initiale : 306888
Version localisée : 318582
Génération de WatchGuard System Manager Version initiale : 307425
Version localisée : 318951
Date de révision 19 mai 2011

Introduction

WSM v11.4 et Fireware XTM v11.4 ont été mis à jour pour prendre en charge les langues suivantes : français, japonais, espagnol et chinois simplifié. Il n'y a aucun changement de fonctionnalités entre cette version v11.4 et la version v11.4 initiale, sauf l'interface localisée. Pour plus d'informations, reportez-vous à la rubrique Localisation.

WatchGuard est ravi de lancer Fireware XTM v11.4. Grâce à notre nouveau service Application Control, Fireware XTM v11.4 met la puissance et le contrôle entre vos mains et vous donne une meilleure visibilité sur votre réseau avec de nouvelles fonctions pratiques d'authentification, de génération de rapports et de gestion centralisée.

Vous pouvez installer le logiciel Fireware XTM v11.4 sur tout périphérique XTM, y compris 2 Series, 5 Series, 8 Series et XTM 1050 Bien que WatchGuard System Manager/Policy Manager v11.4 ait été conçu pour gérer les périphériques Fireware XTM v11.3 et Fireware XTM v11.4 naturellement, il n'est pas possible d'installer Fireware XTM OS v11.4 sur les appareils WatchGuard e-Series.

Voici les points importants de la série de nouvelles fonctionnalités dans Fireware XTM v11.4.

Application Control — Il n'a jamais été plus facile de décider qui, quoi, quand, où, pourquoi et comment les applications sont utilisées sur votre réseau. Vous pouvez effectuer un contrôle granulaire de plus de 1 500 applications, organisées en différentes catégories. Le service Application Control vous laisse forer depuis la catégorie de l'application (Messagerie instantanée) vers le nom de l'application (MSN IM) et jusqu'à la fonction de l'application (Transfert de fichiers).

IPS amélioré — La nouvelle implémentation d'IPS est plus facile à configurer, et analyse désormais le trafic sur tous les ports. Fireware XTM Web UI est doté d'un nouvel onglet Signature pour faciliter la recherche d'informations sur les signatures.

Historique de configuration et prise en charge du retour arrière — WatchGuard Management Server fournit désormais une liste indexée de fichiers de configuration de périphériques gérés horodatés de manière à pouvoir aisément revenir à une configuration antérieure au besoin.

Une plus grande souplesse de gestion grâce à Centralized Management

Une meilleure génération de rapports — Plusieurs nouveaux rapports clés vous présentent les données sur les activités d'Application Control, des points d'accès Rogue Access Point Detection sans fil et de bail DHCP. Vous pouvez maintenant exécuter des rapports sur demande, planifier des rapports et envoyer des notifications par e-mail que les rapports sont prêts à être visualisés.

Une journalisation améliorée — Il y a eu plusieurs améliorations de la performance du Log Server, y compris la capacité de supprimer les messages du journal de diagnostic depuis le Log Server afin de contrôler la taille de la base de données, ainsi que l'adoption d'une nouvelle méthode d'insertion des messages du journal dans la base de données qui aboutit à une réduction de 50 % de son volume.

Nouvelles options d'authentification — Avec Fireware XTM v11.4, nous avons le plaisir de vous proposer une nouvelle série de fonctionnalités d'authentification pour vous aider à créer une stratégie de sécurité basée sur des utilisateurs et des groupes (et pas des adresses IP). Elles comprennent :

Rogue Access Point Detection sans fil — Les périphériques  XTM 2 Series sans fil peuvent désormais rechercher les points d'accès non autorisés qui sont à portée et créer des rapports sur ceux-ci.

Configuration complète du proxy depuis l'interface Web UI — Les nouvelles options de configuration de l'interface Web UI en augmentent la convivialité.

Configuration du FireCluster actif/passif en mode d'insertion — Cette configuration est maintenant prise en charge pour les périphériques WatchGuard XTM configurés en mode d'insertion et en mode routé. Notez qu'il s'agit d'une nouvelle procédure de mise à niveau d'un FireCluster vers Fireware XTM v11.4, décrite plus loin dans ce document.

Activer des périphériques XTM depuis l'Assistant Web Setup Wizard — Si vous avez un compte WatchGuard déjà configuré, vous pouvez maintenant activer un nouveau périphérique directement depuis l'Assistant Web Setup Wizard.

Avant de commencer

Avant d'installer Fireware XTM v11.4, assurez-vous d'avoir :

Notez que vous pouvez installer et utiliser WatchGuard System Manager v11.4 et tous les composants de serveur WSM avec les périphériques fonctionnant sous des versions antérieures de Fireware XTM v11. Dans ce cas, nous vous recommandons d'utiliser la documentation du produit qui correspond à la version de votre système d'exploitation Fireware  XTM.

La documentation pour ce produit est disponible sur le site Web de WatchGuard à l'adresse www.watchguard.com/help/documentation.

Localisation

La version v11.4 des interfaces utilisateur de gestion de Fireware XTM (suite d'applications WSM et Web UI) a été localisée. Les langues suivantes sont prises en charge :

Outre ces langues, nous offrons une prise en charge pour l'interface Web UI en coréen et chinois traditionnel avec la version v11.4. Uniquement l'interface Web UI a été localisée. WSM, les fichiers d'aide et la documentation utilisateur restent en anglais pour ces deux langues.

Notez que la plupart des saisies de données doivent encore être effectuées avec des caractères ASCII standard. Vous pouvez utiliser des caractères non ASCII dans certaines zones de l'interface, notamment pour les zones suivantes :

Toutes les données renvoyées à partir du système d'exploitation du périphérique (par exemple, des données de journal) sont affichées uniquement en anglais. De plus, tous les éléments du menu d'état du système Web UI et tous les composants logiciels fournis par des entreprises tierces restent en anglais.

Fireware XTM Web UI

L'interface Web UI démarre par défaut dans la langue que vous avez définie dans votre navigateur Web. La langue sélectionnée apparaît en haut de chaque page. Pour changer la langue, cliquez sur le nom de langue qui s'affiche. Une liste déroulante s'affiche et vous pouvez y sélectionner la langue que vous souhaitez utiliser.

WatchGuard System Manager

Lorsque vous installez WSM, vous pouvez sélectionner les packs de langues que vous souhaitez installer. La langue affichée dans WSM correspond à celle que vous sélectionnez dans votre environnement Microsoft Windows. Par exemple, si vous utilisez Windows XP et que vous souhaitez utiliser WSM en japonais, accédez à Panneau de configuration > Options régionales et linguistiques, puis sélectionnez Japonais dans la liste de langues.

Reporting Web UI, CA Manager, Quarantaine Web UI et Hotspot sans fil

Ces pages Web s'affichent automatiquement dans la langue que vous avez définie dans votre navigateur Web.

Compatibilité de Fireware XTM et du système d'exploitation WSM v11.4

WSM/
Composant de Fireware XTM
Microsoft 
Windows 
XP SP2
(32 bits)
Microsoft Windows
Vista
(32 bits)
Microsoft Windows Vista
(64 bits)
Microsoft Windows 7
(32 bits et
64 bits)
Microsoft 
Windows
 Server
2003
(32 bits)
Microsoft 
Windows
 Server 2008 et 2008 R2*
Mac OS X
v10.5 et v10.6
Application WSM (WatchGuard System Manager)

Fireware XTM Web UI
Navigateurs pris en charge :
IE 7 et 8, Firefox 3.x

Serveurs WatchGuard

Logiciel agent Single Sign-On (SSO)

Logiciel client Single Sign-On (SSO)

Logiciel agent Terminal Services

Logiciel client Mobile VPN with IPSec

 

Logiciel client Mobile VPN with SSL

**

* Prise en charge de Microsoft Windows Server 2008 32 bits et 64 bits ; ainsi que de Windows Server 2008 R2 64 bits.

** Prise en charge de Mac OS X pour le client VPN SSL

Configuration requise

  Si vous avez installé uniquement le logiciel client WatchGuard System Manager Si vous installez WatchGuard System Manager et le logiciel serveur WatchGuard

Processeur minimal

Intel Pentium IV

1 GHz

Intel Pentium IV

2 GHz

Mémoire minimale

1 Go

2 Go

Espace disque minimal disponible

250 Mo

1 Go

Résolution d’écran minimale recommandée

1024 x 768

1024 x 768

Téléchargement du logiciel

  1. Allez sur le site Web LiveSecurity, à la page Software Downloads (Téléchargements de logiciels) à http://www.watchguard.com/archive/softwarecenter.asp.
  2. Connectez-vous au site Web LiveSecurity. Sélectionnez ensuite la gamme de produits que vous utilisez et recherchez la section relative au téléchargement du logiciel Fireware XTM.

Plusieurs fichiers de logiciel sont disponibles au téléchargement. Consultez les descriptions pour connaître les packages logiciels dont vous avez besoin pour votre mise à niveau.

WatchGuard System Manager

Tous les utilisateurs peuvent télécharger le logiciel WatchGuard System Manager. Grâce à ce package logiciel, vous pouvez installer WSM et le logiciel WatchGuard Server Center :

WSM11_4s.exe — Utilisez ce fichier pour mettre à niveau WatchGuard System Manager de v10.2.x ou v11.x vers WSM v11.3.2.  

Système d’exploitation Fireware XTM

Sélectionnez l’image du système d’exploitation Fireware XTM appropriée pour votre matériel. Téléchargez le fichier .exe si vous voulez installer le système d'exploitation depuis un ordinateur sous Microsoft Windows. Utilisez le fichier .zip si vous voulez installer le système d'exploitation depuis un ordinateur autre que Windows.

Si vous avez…. Sélectionnez parmi ces packages de système d'exploitation Fireware XTM.

XTM 1050

XTM_OS_1050_11_4.exe 
XTM_OS_1050_11_4.zip

XTM 8 Series

XTM_OS_XTM8_11_4.exe
XTM_OS_8_11_4.zip

XTM 5 Series

XTM_OS_XTM5_11_4.exe
XTM_OS_5_11_4.zip

XTM 2 Series

XTM_OS_XTM2_11_4.exe
XTM_OS_2_11_4.zip

Logiciel Single Sign-on (SSO)

Deux fichiers sont disponibles au téléchargement pour les utilisateurs de Single Sign-On :

Pour plus d'informations sur l'installation et la configuration de Single Sign-On, consultez la documentation du produit.

Logiciel d'authentification Terminal Services

Client Mobile VPN with SSL pour Windows et Mac

Deux fichiers sont disponibles au téléchargement pour les utilisateurs de Mobile VPN with SSL :

Mise à niveau de Fireware XTM v11.x vers v11.4

Avant d'effectuer la mise à niveau de Fireware XTM v11.x vers Fireware XTM v11.4, allez à la page Software Downloads (Téléchargements de logiciels). Téléchargez et enregistrez le fichier qui correspond au périphérique WatchGuard que vous souhaitez mettre à niveau. Vous pouvez utiliser Policy Manager ou Web UI pour terminer la procédure de mise à niveau. Nous vous conseillons vivement de sauvegarder la configuration de votre périphérique ET la configuration de votre WatchGuard Management Server avant la mise à niveau. Il serait impossible de revenir à la version antérieure sans ces deux fichiers de sauvegarde.

Si vous avez participé au programme bêta de WatchGuard et effectuez la mise à niveau d'une version de pré-lancement vers Fireware XTM v11.4, vous devez désinstaller manuellement le logiciel WSM v11.4 de pré-lancement de votre ordinateur de gestion avant d'installer WSM v11.4. Nous vous conseillons vivement de sauvegarder la configuration de votre périphérique ET votre configuration WatchGuard Management Server avant de désinstaller WSM. Il est impossible d'écraser votre installation WSM existante avec un logiciel WSM utilisant le même numéro de version.

Sauvegarder votre configuration WatchGuard Management Server

Depuis l'ordinateur où vous avez installé le Management Server :

  1. Dans WatchGuard Server Center, sélectionnez Fichier > Sauvegarder/Restaurer.
    L'Assistant WatchGuard Server Center Backup/Restore Wizard démarre..
  2. Cliquez sur Suivant.
    L'écran de sélection d'une action s'affiche.
  3. Sélectionnez Paramètres de sauvegarde.
  4. Cliquez sur Suivant.
    L'écran Spécifier un fichier de sauvegarde s'ouvre.
  5. Cliquez sur Parcourir pour sélectionner un emplacement pour le fichier de sauvegarde. Assurez-vous d'enregistrer le fichier de configuration à un emplacement auquel vous pourrez accéder plus tard pour rétablir le fichier de configuration.
  6. Cliquez sur Suivant.
    L'écran indiquant que l'Assistant WatchGuard Server Center Backup/Restore Wizard a terminé s'affiche.
  7. Cliquez sur Terminer pour quitter l'Assistant.

Sauvegarder Log Server, Report Server et Quarantine Server

Puisque la structure de base de données de Log Server et Report Server change lorsque vous effectuez la mise à niveau vers WSM v11.4, il est important de sauvegarder vos données Log Server et Report Server v11.3.x au cas où vous souhaiteriez revenir à la version WSM 11.3.2. Nous vous conseillons aussi de sauvegarder votre Quarantine Server, le cas échéant.

  1. Depuis WatchGuard Server Center, notez le chemin d'accès dans lequel votre base de données Log Server et Report Server est installée. Ensuite, arrêtez tous les serveurs.
  2. Depuis Panneau de configuration > Outils d'administration > Services, arrêtez le serveur PostgreSQL-8.2.
  3. Sauvegardez ou faites une copie du contenu du répertoire contenant votre configuration Log Server et Report Server.
    Sous Windows XP SP2 ou Windows Server 2003, si vous avez accepté l'installation par défaut, la base de données Log Server et Report Server se trouvera à cet endroit :
    %SYSTEMDRIVE%\Documents and Settings\WatchGuard
    Sous Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2, si vous avez accepté l'installation par défaut, la base de données Log Server et Report Server se trouvera à cet emplacement :
    %SYSTEMDRIVE%\ProgramData\WatchGuard
  4. Sauvegardez le répertoire contenant la base de données Log Server et Report Server, s'il y a eu un changement par rapport à la valeur par défaut. Les emplacements de la base de données sont indiqués dans WatchGuard Server Center, sous les onglets Maintenance de la base de données de Log Server et de Report Server. Par défaut, la base de données se situe dans le répertoire listé à l'étape 3, et cette étape n'est pas nécessaire.
  5. Sauvegardez le répertoire Log Server où les fichiers de sauvegarde de la base de données sont stockés, s'il y a eu un changement par rapport à la valeur par défaut. L'onglet Maintenance de la base de données de Log Server indique ce chemin d'accès.
  6. Sauvegardez le répertoire Report Server où les fichiers XML des rapports disponibles sont stockés, s'il y a eu un changement par rapport à la valeur par défaut. L'onglet Paramètres de serveur de Report Server indique ce chemin d'accès.

Mise à niveau vers Fireware XTM v11.4 depuis l'interface Web UI

  1. Allez dans Système > Image de sauvegarde ou utilisez la fonction de sauvegarde USB pour sauvegarder votre fichier de configuration actuel.
  2. Sur votre ordinateur de gestion, lancez le fichier exécutable du système d'exploitation que vous avez téléchargé à partir du centre de téléchargement de logiciels WatchGuard.
    Si vous utilisez le programme d'installation basé sur Windows, cette installation extrait un fichier de mise à niveau appelé xtm_[model].sysa-dl dans l'emplacement par défaut de C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.4\[model].
  3. Connectez-vous à votre périphérique XTM à l'aide de l'interface Web UI et sélectionnez Système > Mettre à niveau le système d'exploitation.
  4. Accédez à l'emplacement du fichier xtm_[model].sysa-dl de l'étape 2 et cliquez sur Mettre à niveau.

Mise à niveau vers Fireware XTM v11.4 depuis WSM/Policy Manager v11.4

  1. Sélectionnez Fichier > Sauvegarder ou utilisez la fonction de sauvegarde USB pour sauvegarder votre fichier de configuration actuel.
  2. Sur votre ordinateur de gestion, lancez le fichier exécutable du système d'exploitation que vous avez téléchargé à partir du centre de téléchargement de logiciels WatchGuard. Cette installation extrait un fichier de mise à niveau appelé xtm_[model].sysa-dl dans l'emplacement par défaut de C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.4\[model].
  3. Installez et ouvrez WatchGuard System Manager v11.4. Connectez-vous à votre périphérique XTM et démarrez Policy Manager.
  4. Dans Policy Manager, sélectionnez Fichier > Mettre à niveau. À l'invite, accédez au fichier xtm_[model].sysa-dl de l'étape 2 et sélectionnez-le.

Mise à niveau du logiciel serveur WatchGuard

Il n'est pas nécessaire de désinstaller le serveur v11.0.x ou le logiciel client lorsque vous mettez à niveau de v11.0.1 ou d'une version ultérieure vers WSM v11.4. Vous pouvez installer le serveur v11.4 et le logiciel client par-dessus l'installation existante pour mettre à niveau les composants de votre logiciel WatchGuard.

Mise à niveau de FireCluster depuis Fireware v11.x vers v11.4

Pour mettre votre FireCluster à niveau depuis Fireware XTM v11.3.x, ou la version de pré-lancement de v11.4, vous devez effectuer une mise à niveau manuelle.

  1. À partir de WatchGuard System Manager, sélectionnez : Fichier > Se connecter à un périphérique et connectez-vous à l'adresse IP de gestion du périphérique maître dans votre FireCluster.
  2. À partir de WatchGuard System Manager, sélectionnez : Fichier > Se connecter à un périphérique et connectez-vous à l'adresse IP de gestion du périphérique maître de sauvegarde dans votre FireCluster.
  3. À partir de WatchGuard System Manager, sélectionnez le périphérique maître de sauvegarde sous l'onglet État du périphérique et lancez Firebox System Manager.
  4. À partir de Firebox System Manager, sélectionnez Outils > Cluster > Quitter. Tapez votre mot de passe admin.
    Le périphérique redémarre en état de veille. Le maître affiche le périphérique comme inactif, mais le périphérique en état de veille affiche son état de veille..
  5. À partir de WatchGuard System Manager, sélectionnez le périphérique maître de sauvegarde que vous venez de supprimer du cluster, et lancez Policy Manager.
  6. À partir de Policy Manager, sélectionnez Fichier > Mettre à niveau. Utilisez l'adresse IP de gestion du périphérique maître de sauvegarde actuellement en état de veille.
    Le périphérique se met à niveau et redémarre. Une fois cette procédure terminée, le périphérique reste en état de veille.
  7. À partir de WatchGuard System Manager, sélectionnez le périphérique maître et lancez Policy Manager.
  8. À partir de Policy Manager, sélectionnez Fichier > Mettre à niveau. Utilisez l'adresse IP de gestion du périphérique maître. Lorsque Policy Manager vous invite à sélectionner les périphériques que vous souhaitez mettre à niveau, sélectionnez uniquement le périphérique maître.
    Le périphérique maître se met à niveau et redémarre. Policy Manager affiche un message lorsque la mise à niveau se termine.
  9. À partir de Firebox System Manager, connecté au périphérique actuellement en état de veille, sélectionnez Outils > Cluster > Rejoindre
    Le périphérique en état de veille redémarre. Le cluster se reforme et exécute Fireware XTM v11.4.

Instructions de retour arrière

Retour arrière de WSM v11.4 à WSM v11.x

Si vous souhaitez revenir de la version v11.4 à une version antérieure de WSM, vous devez désinstaller WSM v11.4. Lors de la désinstallation, choisissez Oui lorsque le programme demande si vous voulez supprimer les fichiers de données et de configuration du serveur. Une fois les fichiers de données et de configuration du serveur supprimés, vous devez restaurer les fichiers de données et de configuration du serveur sauvegardés auparavant lors de la mise à niveau vers WSM v11.4.

Ensuite, installez la même version de WSM que vous aviez utilisée avant la mise à niveau vers WSM v11.4. Le programme d'installation devrait détecter votre configuration de serveur existante et essayer de redémarrer vos serveurs depuis la boîte de dialogue Terminer . Si vous employez un WatchGuard Management Server, utilisez WatchGuard Server Center pour restaurer la configuration de sauvegarde du Management Server que vous aviez créée lors de votre première mise à niveau vers WSM v11.4. Vérifiez que tous les serveurs WatchGuard fonctionnent.

Retour arrière de Fireware XTM v11.4 à Fireware XTM v11.3 ou une version antérieure

Si vous souhaitez revenir de la version Fireware XTM v11.4 à une version antérieure de Fireware XTM, vous devez soit :

Pour démarrer un périphérique WatchGuard XTM 5 Series, 8 Series ou XTM 1050 en mode récupération :

  1. Mettez le périphérique XTM hors tension.
  2. Pendant que vous mettez le périphérique sous tension, appuyez sur le bouton fléché vers le haut sur le panneau avant du périphérique.
  3. Maintenez le bouton enfoncé jusqu'à ce que le message Démarrage du mode récupération apparaisse sur l'affichage LCD.

Pour démarrer un périphérique WatchGuard XTM 2 Series en mode récupération :

  1. Débranchez l'alimentation.
  2. Maintenez enfoncé le bouton Reset (Réinitialiser) situé à l'arrière du périphérique pendant que vous le mettez sous tension.
  3. Assurez-vous que le témoin du bouton Attn devienne orange fixe avant de relâcher le bouton.

Application Control

Grâce au nouveau service de sécurité Application Control, vous pouvez contrôler avec un grand détail plus de 1 500 applications, organisées par catégorie. Application Control emploie une série fréquemment mise à jour de signatures pour demeurer actualisé avec les plus récentes applications et versions. Nous vous conseillons d'activer la fonction de mise à jour automatique des signatures, ou de mettre à jour manuellement les signatures sur votre périphérique XTM, de vous connecter à votre périphérique depuis Firebox System Manager puis de sélectionner l'onglet Abonnements aux services de sécurité. Lorsque vous mettez les signatures à jour, cela se fait à la fois pour IPS et pour Application Control.

Lorsque vous configurez Application Control, ou lorsque vous regardez des rapports Application Control, vous verrez peut-être des noms d'applications dont vous n'avez jamais entendu parler. Pour obtenir plus d'informations sur une application quelconque qu'Application Control peut identifier, recherchez l'application à l'adresse http://www.watchguard.com/SecurityPortal/AppDB.aspx.

Gérer des applications via SSL

De nombreuses applications basées sur le Web sont accessibles via SSL (HTTPS), mais aussi HTTP. Des entreprises offrent des connexions SSL plus sécurisées à leurs utilisateurs en chiffrant les communications. Le chiffrement SSL peut également rendre certaines applications plus difficiles à détecter pour Application Control. Lorsque vous bloquez des applications, vous devrez peut-être également bloquer la connexion SSL spécifique à cette application afin de bloquer toute forme d'accès à cette application.

Par exemple, lorsque vous choisissez de bloquer l'application Google Finance, cela empêche les utilisateurs d'utiliser les applications financières de Google. Par contre, cela ne les empêche pas d'utiliser Google Finance via SSL. Pour la bloquer, vous devez aussi sélectionner l'option pour l' Authentification de Google via SSL. Il est important de réaliser qu'une fois que vous bloquez l' Authentification de Google via SSL, toutes les applications Google via SSL seront bloquées. Par exemple, l'accès à Google Docs et Gmail via SSL sera également bloqué.

Des comportements similaires se produisent pour certaines applications Microsoft et Yahoo lorsqu'elles sont accessibles via SSL. Vous trouverez les signatures pour les authentifications via SSL pour Microsoft et Yahoo et de nombreuses autres applications dans la liste des applications d'Application Control. Une solution pour les entreprises peut être de bloquer l'accès SSL à des applications puis de configurer des contrôles granulaires sur l'accès HTTP qui est autorisé.

Pour une liste complète des problèmes connus concernant Application Control, consultez la rubrique Problèmes connus/Abonnements aux services de sécurité ci-dessous.

Intrusion Prevention Service

Notre mise en œuvre d'IPS (Intrusion Prevention Service) s'est beaucoup améliorée dans la version Fireware XTM v11.4. Nous avons implémenté une nouvelle série de signatures dotée d'une meilleure performance et efficacité. IPS n'est plus limité uniquement aux ports et protocoles utilisés avec des proxies. Il peut désormais être également appliqué aux stratégies de filtres de paquets. Les signatures ont été classées en 5 niveaux de menace plus faciles à comprendre. Vous trouverez plus d'informations à propos de chaque signature directement depuis l'interface utilisateur, et vous pouvez faire un clic droit pour simplement ajouter une signature à une liste d'exceptions.

Dans Fireware XTM v11.4, vous pouvez maintenant créer une action IPS globale, qui s'applique au trafic de tous les ports. Vous avez la capacité d'activer ou de désactiver IPS au niveau d'une stratégie pour répondre aux besoins de votre entreprise. Toutes les stratégies pour lesquelles IPS est activé utilisent la même action IPS. Il n'est pas possible d'utiliser plus d'une action IPS dans votre configuration simultanément.

Ce tableau est une synthèse utile des différences entre IPS dans Fireware XTM v11.4 et IPS dans des versions Fireware XTM antérieures.

  IPS dans Fireware XTM v11.4 IPS dans des versions Fireware XTM antérieures
Configuration d'IPS Configurez les paramètres IPS de manière globale, mais activez/désactivez IPS par stratégie. La configuration IPS globale s'applique à toutes les stratégies où IPS est activé.* Activez IPS avec un Assistant. Vous devez configurer les paramètres IPS pour chaque stratégie. Chaque stratégie où IPS est activé peut avoir une configuration IPS différente.
IPS dans les stratégies IPS est automatiquement activé pour toutes les stratégies. IPS analyse le trafic sur tous les ports. IPS peut être configuré pour seulement les stratégies de proxy DNS, FTP, SMTP, HTTP, POP3 et TCP/UDP.
Niveaux de menace Cinq niveaux de menace : Critique, Élevée, Moyenne, Faible, Information Niveau de menace chiffré entre 1 et 100. 100 est le niveau de menace le plus grave.
Exceptions de signatures Vous pouvez désormais configurer IPS pour autoriser, bloquer ou abandonner le trafic qui correspond à chaque exception de signature. IPS autorise le trafic qui correspond aux exceptions de signatures.
Où consulter les informations sur les signatures IPS Dans Firebox System Manager, sous l'onglet Services d'abonnement , cliquez sur Afficher pour voir les informations concernant chaque signature IPS.  
Dans Fireware XTMWeb UI, sélectionnez Services d'abonnement > IPS, puis sélectionnez l'onglet Signatures pour voir les informations concernant chaque signature IPS.    
Des informations supplémentaires sur les signatures IPS sont publiées sur le site Web de WatchGuard à l'adresse http://www.watchguard.com/SecurityPortal/ThreatDB.aspx.    
Depuis ce portail de sécurité, vous pouvez rechercher un identifiant de signature. Cliquez sur l'identifiant de signature pour afficher les liens vers des informations supplémentaires sur les signatures, y compris l'identifiant CVE, l'identifiant Bugtraq et d'autres informations, le cas échéant. Dans Firebox System Manager, sous l'onglet Services d'abonnement , cliquez sur Afficher pour voir les informations concernant chaque signature IPS.  
L'identifiant CVE (CVE-ID) est affiché dans la liste de signatures dans Firebox System Manager pour les signatures qui ont un identifiant CVE associé.    
Les informations de signature ne sont pas disponibles dans l'interface Fireware XTM Web UI de la version v11.3.x.    

* Pour les clients qui utilisent le protocole HTTPS avec DPI, il est important de noter que l'analyse IPS se fait avant le déchiffrement du flux HTTPS ; IPS n'est donc pas un outil efficace pour bloquer des tentatives d'intrusions pouvant passer par votre périphérique XTM en tant que flux HTTPS chiffré.

Lorsque vous effectuez la mise à niveau vers Fireware XTM v11.4, votre configuration IPS est mise à jour pour correspondre aux options de la configuration v11.4. Durant la mise à niveau :

Centralized Management

WSM v11.4 innove avec un nouveau flux de travail lié à l'utilisation des modèles. Le nouveau flux de travail vous donne un niveau inégalé de contrôle et de souplesse sur les périphériques Firebox et XTM que vous gérez ; il est donc important que vous compreniez ce nouveau flux de travail avant d'effectuer la mise à niveau.

Avec WSM v11.4, les périphériques ne s'abonnent plus à des modèles de configuration. Désormais, vous pouvez créer et appliquer de multiples modèles à vos périphériques. Lorsque vous appliquez un modèle à un périphérique, le contenu du modèle est fusionné avec le plus récent fichier de configuration stocké pour ce périphérique sur le Management Server et enregistré comme révision du fichier de configuration. Le périphérique vérifie toujours et télécharge au besoin son plus récent fichier de configuration lorsqu'il contacte le Management Server.

Vous pouvez créer de multiples modèles et les appliquer à un périphérique ou groupe de périphériques dans un ordre défini, un à la fois. Pour appliquer un modèle à un groupe de périphériques, créez simplement un dossier de périphériques et glissez-déposez votre modèle dans ce dossier.

Une autre nouvelle fonctionnalité de modèle puissante dans WSM v11.4 est l'héritage de modèles. Avec cette fonctionnalité, vous pouvez déterminer si vous souhaitez que la valeur d'un paramètre de configuration dans le modèle remplace la valeur du même paramètre dans le fichier de configuration du périphérique lorsque le modèle est appliqué. Si deux modèles n'ont aucun paramètre de configuration en commun, vous pouvez les appliquer dans n'importe quel ordre. Si deux modèles contiennent des paramètres de configuration en commun, vous devez les appliquer soigneusement dans l'ordre souhaité pour vous assurer que toute mise à jour ne remplace pas par mégarde les paramètres déjà appliqués au périphérique, ou utilisez les nouveaux paramètres d'héritage afin de contrôler quelles stratégies sont mises à jour sur vos périphériques.

Il est important de comprendre que les changements apportés à un modèle ne sont plus automatiquement appliqués aux périphériques gérés. Vous devez désormais sélectionner manuellement les périphériques auxquels appliquer un changement. Cela vous confère un plus grand contrôle sur les mises à jour de configuration pour vos périphériques gérés.

Si vous utilisiez Centralized Management avec des périphériques abonnés à des modèles dans des versions antérieures de WSM, lorsque vous faites une mise à niveau de WSM 11.x vers v11.4, ces modèles sont mis à jour et les périphériques ne sont plus abonnés (bien que vous puissiez continuer à mettre à jour ces périphériques à l'aide du même modèle, en fonction des changements de flux de travail identifiés ci-dessus). Chaque périphérique conserve la configuration de son modèle. Les modèles existants sont mis à jour pour utiliser « T_ » dans leurs noms d'objet (pour correspondre aux noms d'objet dans les périphériques qui y étaient abonnés). Après la mise à niveau, vous pourrez constater la mise à niveau du modèle dans l'historique de révision.

Problèmes résolus

La publication de la version Fireware XTM v11.4 résout un bon nombre de disfonctionnements découverts dans les publications précédentes de la version Fireware XTM v11.x.

Général

Authentification

Single Sign-On

CLI

Web UI

FireCluster

Mobile VPN

Branch Office VPN

Mise en réseau

Proxies

WatchGuard Log Server et Report Server

WatchGuard System Manager (WSM)

Firebox System Manager

Problèmes connus

À l'instar de toutes les applications de gestion, Fireware XTM v11.4 a des problèmes connus. Quand cela est possible, nous proposons un moyen pour contourner le problème.

Général

WatchGuard System Manager

Workaround
Assurez-vous que le mode de compatibilité XP n'est pas activé dans le fichier exécutable de WSM v11.x. Pour vérifier, naviguez jusqu'au fichier wsm.exe dans l'Explorateur Windows. Faites un clic droit sur le fichier exécutable, sélectionnez Propriétés puis cliquez sur l'onglet Compatibilité.

Workaround
Connectez-vous à Management Server à partir de WSM. Sélectionnez le périphérique géré et choisissez Mettre à jour le périphérique. Activez la case d'option Réinitialiser la configuration du serveur (Adresse IP/Nom d'hôte, secret partagé) ).

Workaround
Quittez WatchGuard Server Center avant de lancer la désinstallation de WSM. Vous pouvez ensuite désinstaller WatchGuard System Manager correctement.

Web UI

WatchGuard Server Center

Command Line Interface (CLI)

Proxies

Workaround
Vous pouvez utiliser le protocole H.323 à la place du protocole SIP.

Workaround
1. Modifiez votre stratégie de proxy HTTP.
2. Cliquez sur Afficher/Modifier le proxy.
3. Cochez la case Autoriser les requêtes de plage via « non modifié ».
4. Enregistrez les modifications apportées à votre périphérique XTM.

Workaround
Configurez le système de gestion des appels (PBX) pour envoyer l'en-tête Contact avec une adresse IP, pas un nom de domaine.

Abonnements aux services de sécurité

Mise en réseau

Workaround
1. Si votre ordinateur est connecté directement à un périphérique XTM 2 Series lors de l'exécution de l'Assistant Web Setup Wizard, utilisez une adresse IP statique sur votre ordinateur.
2. Utilisez un commutateur ou un concentrateur entre votre ordinateur et le périphérique XTM 2 Series lorsque vous lancez l'Assistant Web Setup Wizard.

Multi-WAN

Authentification

Centralized Management

FireCluster

Workaround
Connectez-vous directement à vos périphériques XTM et vérifiez que le cluster est activé. Si le cluster est désactivé, connectez-vous directement à votre périphérique XTM doté de Policy Manager et chargez la configuration du cluster sur votre périphérique. Une fois le cluster activé, connectez-vous directement au cluster via Firebox System Manager à l'aide de son adresse IP de gestion et utilisez la commande Cluster > Outils > Rejoindre . Il se peut que le périphérique redémarre.

Workaround
N'utilisez aucune des adresses IP comme adresse IP de l'interface du cluster primaire ou de sauvegarde.

Journalisation et génération de rapports

Workaround
Ouvrez le Gestionnaire des tâches de Windows et arrêtez le processus. À partir de la boîte de dialogue d'installation de WatchGuard System Manager, cliquez sur Réessayer. L'installation devrait se poursuivre. Il se peut que vous deviez démarrer manuellement le fichier C:\WINDOWS\system32\wbem\wmiprvse.exe plus tard.

Mobile VPN

Workaround
Augmentez le nombre d'octets alloués au renouvellement des clés.

Workaround
Pour mettre à niveau votre client Mobile VPN with SSL de v11.2.1 vers v11.3, utilisez votre navigateur Web pour vous connecter à https://<IP address of a Firebox or XTM device>/sslvpn.html. Vous pouvez ensuite télécharger et installer le nouveau logiciel client. Vous pouvez également télécharger le logiciel client à partir de la page de téléchargement du logiciel et l'envoyer par e-mail à vos utilisateurs pour qu'ils l'installent sur leurs ordinateurs.

Branch Office VPN

Workaround
Si vous utilisez le multi-WAN et avez des problèmes avec vos tunnels Branch Office VPN qui n'arrivent pas à négocier avec leurs pairs distants, vous devez ouvrir votre configuration multi-WAN et sélectionner Configurer à côté du mode de configuration multi-WAN que vous avez choisi. Assurez-vous que les interfaces correctes sont incluses dans votre configuration multi-WAN.

Workaround
N'utilisez pas l'option Toute route pour la partie locale ou distante de la route du tunnel. Modifiez la partie locale de la route de votre tunnel. Saisissez les adresses IP des ordinateurs derrière le Firebox qui participent actuellement au routage du tunnel. Contactez l'administrateur du pair distant IPSec pour déterminer la partie distante de sa route du tunnel utilisée par ce périphérique (ou la partie distante de son ID de phase 2).

Mises à jour de l'API Services Web

Si vous utilisez l'API Services Web pour la journalisation et la génération de rapports, vous devez mettre à jour la version du schéma pour pouvoir utiliser les nouveaux types de rapports disponibles dans WSM v11.4 et pris en charge par l'API Services Web. Ces nouveaux rapports incluent :

Pour assurer la compatibilité avec Fireware XTM v11.4, les clients de services Web doivent générer à nouveau le code stub à partir du fichier LogsService.wsdl et mettre à jour toute référence à la version du schéma dans leur code d'utilisateur. Par exemple, dans le code ci-dessous, vous devez mettre à jour «  2010/04 » avec «  2010/11 ».

Exemple d'utilisation de code Java dans WSM v11.3

javax.xml.namespace.QName qName = new javax.xml.namespace.QName(
"http://www.watchguard.com/schema/xsd/LogsService/2010/04",
"AuthCredentials"
);

Utilisation du code Java mise à jour dans WSM v11.4

javax.xml.namespace.QName qName = new javax.xml.namespace.QName(
"http://www.watchguard.com/schema/xsd/LogsService/2010/11",
"AuthCredentials"
);

Utilisation du CLI

Fireware XTM CLI (Command Line Interface) est pris en charge intégralement par les versions v11.x. Pour plus d'informations sur le démarrage et l'utilisation du CLI, consultez le Guide de référence de commande CLI, lequel a été mis à jour pour cette publication. Vous pouvez télécharger le guide CLI depuis le site Web de documentation à l'adresse http://www.watchguard.com/help/documentation/xtm.asp.

Assistance technique

Pour obtenir une assistance technique, contactez le Support technique WatchGuard par téléphone ou sur le Web à l'adresse http://www.watchguard.com/support. Lorsque vous contactez le Support technique, vous devez fournir le numéro de série de votre produit enregistré, la clé LiveSecurity ou l'ID partenaire.

 Numéro de téléphone
Utilisateurs finaux aux États-Unis877.232.3531
Utilisateurs finaux internationaux+1 206.613.0456
Revendeurs WatchGuard agréés206.521.8375

Give us feedback  •   All product documentation  •   Knowledge Base