Nouvelles fonctionnalités et améliorations de SMC 3.6
Gestion des administrateurs
Restriction des droits d'accès des administrateurs
Le super administrateur de SMC peut désormais restreindre le droit d'accès en écriture des administrateurs à certains dossiers et donc à certains firewalls. Cette fonctionnalité permet de renforcer la sécurité de votre parc en segmentant son administration. Chaque administrateur gère ainsi ses firewalls SNS, tout en conservant un accès en lecture seule aux autres firewalls rattachés à SMC.
Cette restriction se configure dans le profil des administrateurs.
Configuration des firewalls
Mise en œuvre de la QoS
Vous pouvez désormais configurer la QoS (Qualité de service) sur votre parc de firewalls SNS depuis SMC.
Le nouveau menu Configuration > Qualité de service vous permet d'ajouter des files d'attente et des Traffic shapers. Un nouvel onglet QoS dans les paramètres des firewalls permet ensuite de les associer aux interfaces réseau des firewalls. Enfin, vous pouvez également sélectionner les files d'attente créées sur SMC dans les règles de filtrage.
SMC permet aussi de récupérer la configuration de la QoS si elle est déjà existante sur les firewalls.
La mise en œuvre de la QoS depuis SMC est compatible avec les firewalls SNS à partir de la version 4.3.15 LTSB ou 4.5.3.
Routage dynamique avec BIRD version 2
SMC 3.6 permet de configurer et déployer du routage dynamique utilisant la version 2 de BIRD, sur des firewalls SNS à partir de la version 4.8.1 EA. La version 1 de BIRD reste utilisable dans SMC.
Attention, il n'est plus possible de gérer le routage dynamique sur des firewalls SNS en versions 4.8.1 EA et supérieures depuis une version de SMC inférieure à la 3.6. Le déploiement de la configuration est refusé par le firewall et celui-ci remonte une erreur.
Veuillez également consulter la préconisation suivante concernant la mise à jour de SMC en version 3.6 et des firewalls SNS en version 4.8.1 EA.
Interfaces réseau des firewalls
Pour les interfaces de type agrégat, le mode broadcast est désormais disponible dans SMC. Ce mode est compatible avec les firewalls SNS en versions 4.3.25, 4.7.5, 4.8.1 et supérieures.
Vous pouvez consulter les Notes de version SNS pour plus d'informations.
Variables d'environnement
Variable SMC_PROXY_RESPONSE_TIMEOUT
La valeur par défaut de la variable SMC_PROXY_RESPONSE_TIMEOUT passe de 120 secondes à 300 secondes. Certaines commandes envoyées par SMC aux firewalls SNS nécessitent plus de 120 secondes pour s'exécuter. Cette augmentation du délai permet d'éviter leur échec.
Topologies VPN
Utilisation des groupes Diffie-Hellman dans les profils de chiffrement
Pour les firewalls à partir de la version 4.8, il est maintenant possible de configurer plusieurs méthodes d'échange de clés Diffie-Hellman (DH) dans les profils de chiffrement, pour les propositions IKE et IPsec.
L'API publique de SMC a été mise à jour en conséquence, via les routes sur les topologies. Le champ "proposals" contient désormais une donnée supplémentaire nommée "dh". Le champ "pfs" est désormais un tableau afin de pouvoir retourner plusieurs valeurs.
Obsolescence des groupes Diffie-Hellman
Les groupes DH suivants sont désormais obsolètes dans SMC, comme sur les firewalls SNS. Ils sont affichés avec la mention "obsolète" dans les profils de chiffrement.
-
DH25 (ECDH with 192-bit NIST ECG)
-
DH26 (ECDH with 224-bit NIST ECG)
-
DH27 (ECDH with 224-bit Brainpool ECG)
Système
Journalisation
Les fichiers de journaux contenus dans /var/log/fwadmin-server ont été supprimés et leur contenu a été déplacé dans /data/log/fwadmin-server.
Documentation de SMC
Accès à la documentation
Depuis l'interface web d'administration de SMC, le lien vers la documentation dirige désormais vers le site web de la Documentation technique. Vous accédez ainsi à l'ensemble de la documentation de la dernière version du produit.
Pour un usage de SMC en mode déconnecté, vous pouvez télécharger les versions PDF ou HTML des documents sur le site web.
API publique de SMC
Des nouvelles routes API ont été ajoutées en version 3.6 de SMC. Elles sont listées ci-après. Pour plus de détails sur les routes de l'API publique de SMC, reportez-vous à la documentation en ligne. Cette documentation est également accessible depuis l'interface web d'administration de SMC.
Personnalisation du port de l'API publique
Vous pouvez maintenant modifier le port d'écoute par défaut de l'API publique de SMC à l'aide de la variable d'environnement SMC_PUBLIC_API_PORT_INT.
Variables
Six nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les variables globales et les valeurs qui leur sont assignées pour chaque firewall :
Route | Permet de |
---|---|
GET /papi/v1/variables | Lister toutes les variables globales et les valeurs assignées pour chaque firewall. |
POST /papi/v1/variables | Ajouter une variable globale. |
GET /papi/v1/variables/{uuidOrName}/uses | Lister les utilisations d'une variable globale dans les objets. |
DELETE /papi/v1/variables/{uuidOrName} | Supprimer une variable globale. |
PUT /papi/v1/variables/{uuidOrName} | Modifier une variable globale. |
PUT /papi/v1/variables/{variableUuidOrName}/{firewallUuidOrName} | Assigner ou modifier la valeur d'une variable globale sur un firewall. |
Gestion des certificats
Quatre nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les certificats :
Route | Permet de |
---|---|
GET /certificates | Lister les certificats importés sur tous les firewalls et leurs caractéristiques respectives. |
GET /certificates/{uuid} | Lister les caractéristiques d'un certificat importé sur un firewall. |
GET /certificates/authorities | Lister toutes les autorités de certification et leurs caractéristiques respectives. |
GET /certificates/authorities/{uuid} | Lister les caractéristiques d'une autorité de certification. |
Interfaces
Une nouvelle route API est disponible dans l'API publique de SMC pour lister les interfaces d'un firewall :
Route | Permet de |
---|---|
GET /firewalls/{uuidOrName}/interfaces | Lister toutes les interfaces d'un firewall et leurs caractéristiques respectives. |
Routes
Une nouvelle route API est disponible dans l'API publique de SMC pour lister les routes :
Route | Permet de |
---|---|
GET /firewalls/{uuidOrName}/routes | Lister toutes les routes d'un firewall et leurs caractéristiques respectives. |
QoS
15 nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer la configuration de la QoS :
Route | Permet de |
---|---|
GET /qos/queues/ | Lister toutes les files d'attente ajoutées sur SMC et leurs caractéristiques respectives. |
GET /qos/queues/{uuidOrName} | Lister les caractéristiques d'une file d'attente. |
POST /qos/queues | Ajouter une file d'attente. |
PUT /qos/queues/{uuidOrName} | Modifier une file d'attente. |
DELETE /qos/queues/{uuidOrName} | Supprimer une file d'attente. |
GET /qos/traffic-shapers | Lister tous les Traffic shapers ajoutés sur SMC et leurs caractéristiques respectives. |
GET /qos/traffic-shapers/{uuidOrName} | Lister les caractéristiques d'un Traffic shaper. |
POST /qos/traffic-shapers | Ajouter un Traffic shaper. |
PUT /qos/traffic-shapers/{uuidOrName} | Modifier un Traffic shaper. |
DELETE /qos/traffic-shapers/{uuidOrName} | Supprimer un Traffic shaper. |
GET/firewalls/{uuidOrName}/interfaces-with-qos | Lister toutes les interfaces d'un firewall auxquelles sont associées des données de QoS. |
GET/firewalls/{uuidOrName}/interfaces-with-qos/{ifaceUuidOrName} | Lister les données de QoS associées à une interface spécifique d'un firewall. |
POST /firewalls/{uuidOrName}/interfaces-with-qos/{ifaceUuidOrName} | Associer un Traffic shaper et des files d'attente à une interface réseau. |
PUT /firewalls/{uuidOrName}/interfaces-with-qos/{ifaceUuidOrName} | Modifier la configuration de la QoS sur une interface réseau. |
DELETE /firewalls/{uuidOrName}/interfaces-with-qos/{ifaceUuidOrName} | Supprimer la configuration de la QoS sur une interface réseau. |
Règles de filtrage et de translation
Sept nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les règles de filtrage et de translation pour des firewalls ou des dossiers de façon unitaire :
Route | Permet de |
---|---|
DELETE /rules/{uuid} | Supprimer une règle de filtrage, une règle de translation ou un séparateur. |
POST /firewalls/{uuidOrName}/filter-policy/rules | Ajouter une règle de filtrage sur un firewall en choisissant sa position. |
POST /firewalls/{uuidOrName}/nat-policy/rules | Ajouter une règle de translation sur un firewall en choisissant sa position. |
POST /folders/{uuidOrName}/filter-policy/rules | Ajouter une règle de filtrage dans un dossier en choisissant sa position. |
POST /folders/{uuidOrName}/nat-policy/rules | Ajouter une règle de translation dans un dossier en choisissant sa position. |
PUT /filter-policy/rules/{uuid} | Modifier une règle de filtrage. |
PUT /nat-policy/rules/{uuid} | Modifier une règle de translation. |