Nouvelles fonctionnalités et améliorations de SMC 3.6

Gestion des administrateurs

Restriction des droits d'accès des administrateurs

Le super administrateur de SMC peut désormais restreindre le droit d'accès en écriture des administrateurs à certains dossiers et donc à certains firewalls. Cette fonctionnalité permet de renforcer la sécurité de votre parc en segmentant son administration. Chaque administrateur gère ainsi ses firewalls SNS, tout en conservant un accès en lecture seule aux autres firewalls rattachés à SMC.

Cette restriction se configure dans le profil des administrateurs.

En savoir plus

Configuration des firewalls

Mise en œuvre de la QoS

Vous pouvez désormais configurer la QoS (Qualité de service) sur votre parc de firewalls SNS depuis SMC.

Le nouveau menu Configuration > Qualité de service vous permet d'ajouter des files d'attente et des Traffic shapers. Un nouvel onglet QoS dans les paramètres des firewalls permet ensuite de les associer aux interfaces réseau des firewalls. Enfin, vous pouvez également sélectionner les files d'attente créées sur SMC dans les règles de filtrage.

SMC permet aussi de récupérer la configuration de la QoS si elle est déjà existante sur les firewalls.

La mise en œuvre de la QoS depuis SMC est compatible avec les firewalls SNS à partir de la version 4.3.15 LTSB ou 4.5.3.

En savoir plus

Routage dynamique avec BIRD version 2

SMC 3.6 permet de configurer et déployer du routage dynamique utilisant la version 2 de BIRD, sur des firewalls SNS à partir de la version 4.8.1 EA. La version 1 de BIRD reste utilisable dans SMC.

Attention, il n'est plus possible de gérer le routage dynamique sur des firewalls SNS en versions 4.8.1 EA et supérieures depuis une version de SMC inférieure à la 3.6. Le déploiement de la configuration est refusé par le firewall et celui-ci remonte une erreur.

Veuillez également consulter la préconisation suivante concernant la mise à jour de SMC en version 3.6 et des firewalls SNS en version 4.8.1 EA.

En savoir plus

Interfaces réseau des firewalls

Pour les interfaces de type agrégat, le mode broadcast est désormais disponible dans SMC. Ce mode est compatible avec les firewalls SNS en versions 4.3.25, 4.7.5, 4.8.1 et supérieures.

Vous pouvez consulter les Notes de version SNS pour plus d'informations.

En savoir plus

Variables d'environnement

Variable SMC_PROXY_RESPONSE_TIMEOUT

La valeur par défaut de la variable SMC_PROXY_RESPONSE_TIMEOUT passe de 120 secondes à 300 secondes. Certaines commandes envoyées par SMC aux firewalls SNS nécessitent plus de 120 secondes pour s'exécuter. Cette augmentation du délai permet d'éviter leur échec.

En savoir plus

Topologies VPN

Utilisation des groupes Diffie-Hellman dans les profils de chiffrement

Pour les firewalls à partir de la version 4.8, il est maintenant possible de configurer plusieurs méthodes d'échange de clés Diffie-Hellman (DH) dans les profils de chiffrement, pour les propositions IKE et IPsec.

L'API publique de SMC a été mise à jour en conséquence, via les routes sur les topologies. Le champ "proposals" contient désormais une donnée supplémentaire nommée "dh". Le champ "pfs" est désormais un tableau afin de pouvoir retourner plusieurs valeurs.

Obsolescence des groupes Diffie-Hellman

Les groupes DH suivants sont désormais obsolètes dans SMC, comme sur les firewalls SNS. Ils sont affichés avec la mention "obsolète" dans les profils de chiffrement.

  • DH25 (ECDH with 192-bit NIST ECG)

  • DH26 (ECDH with 224-bit NIST ECG)

  • DH27 (ECDH with 224-bit Brainpool ECG)

Système

Journalisation

Les fichiers de journaux contenus dans /var/log/fwadmin-server ont été supprimés et leur contenu a été déplacé dans /data/log/fwadmin-server.

Documentation de SMC

Accès à la documentation

Depuis l'interface web d'administration de SMC, le lien vers la documentation dirige désormais vers le site web de la Documentation technique. Vous accédez ainsi à l'ensemble de la documentation de la dernière version du produit.

Pour un usage de SMC en mode déconnecté, vous pouvez télécharger les versions PDF ou HTML des documents sur le site web.

API publique de SMC

Des nouvelles routes API ont été ajoutées en version 3.6 de SMC. Elles sont listées ci-après. Pour plus de détails sur les routes de l'API publique de SMC, reportez-vous à la documentation en ligne. Cette documentation est également accessible depuis l'interface web d'administration de SMC.

Personnalisation du port de l'API publique

Vous pouvez maintenant modifier le port d'écoute par défaut de l'API publique de SMC à l'aide de la variable d'environnement SMC_PUBLIC_API_PORT_INT.

En savoir plus

Variables

Six nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les variables globales et les valeurs qui leur sont assignées pour chaque firewall :

Route Permet de
GET /papi/v1/variables Lister toutes les variables globales et les valeurs assignées pour chaque firewall.
POST /papi/v1/variables Ajouter une variable globale.
GET /papi/v1/variables/{uuidOrName}/uses Lister les utilisations d'une variable globale dans les objets.
DELETE /papi/v1/variables/{uuidOrName} Supprimer une variable globale.
PUT /papi/v1/variables/{uuidOrName} Modifier une variable globale.
PUT /papi/v1/variables/{variableUuidOrName}/{firewallUuidOrName} Assigner ou modifier la valeur d'une variable globale sur un firewall.

Gestion des certificats

Quatre nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les certificats :

Route Permet de
GET /certificates Lister les certificats importés sur tous les firewalls et leurs caractéristiques respectives.
GET /certificates/{uuid} Lister les caractéristiques d'un certificat importé sur un firewall.
GET /certificates/authorities Lister toutes les autorités de certification et leurs caractéristiques respectives.
GET /certificates/authorities/{uuid} Lister les caractéristiques d'une autorité de certification.

Interfaces

Une nouvelle route API est disponible dans l'API publique de SMC pour lister les interfaces d'un firewall :

Route Permet de
GET /firewalls/{uuidOrName}/interfaces Lister toutes les interfaces d'un firewall et leurs caractéristiques respectives.

Routes

Une nouvelle route API est disponible dans l'API publique de SMC pour lister les routes :

Route Permet de
GET /firewalls/{uuidOrName}/routes Lister toutes les routes d'un firewall et leurs caractéristiques respectives.

QoS

15 nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer la configuration de la QoS :

Route Permet de
GET /qos/queues/ Lister toutes les files d'attente ajoutées sur SMC et leurs caractéristiques respectives.
GET /qos/queues/{uuidOrName} Lister les caractéristiques d'une file d'attente.
POST /qos/queues Ajouter une file d'attente.
PUT /qos/queues/{uuidOrName} Modifier une file d'attente.
DELETE /qos/queues/{uuidOrName} Supprimer une file d'attente.
GET /qos/traffic-shapers Lister tous les Traffic shapers ajoutés sur SMC et leurs caractéristiques respectives.
GET /qos/traffic-shapers/{uuidOrName} Lister les caractéristiques d'un Traffic shaper.
POST /qos/traffic-shapers Ajouter un Traffic shaper.
PUT /qos/traffic-shapers/{uuidOrName} Modifier un Traffic shaper.
DELETE /qos/traffic-shapers/{uuidOrName} Supprimer un Traffic shaper.
GET/firewalls/{uuidOrName}/interfaces-with-qos Lister toutes les interfaces d'un firewall auxquelles sont associées des données de QoS.
GET/firewalls/{uuidOrName}/interfaces-with-qos/{ifaceUuidOrName} Lister les données de QoS associées à une interface spécifique d'un firewall.
POST /firewalls/{uuidOrName}/interfaces-with-qos/{ifaceUuidOrName} Associer un Traffic shaper et des files d'attente à une interface réseau.
PUT /firewalls/{uuidOrName}/interfaces-with-qos/{ifaceUuidOrName} Modifier la configuration de la QoS sur une interface réseau.
DELETE /firewalls/{uuidOrName}/interfaces-with-qos/{ifaceUuidOrName} Supprimer la configuration de la QoS sur une interface réseau.

Règles de filtrage et de translation

Sept nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les règles de filtrage et de translation pour des firewalls ou des dossiers de façon unitaire :

Route Permet de
DELETE /rules/{uuid} Supprimer une règle de filtrage, une règle de translation ou un séparateur.
POST /firewalls/{uuidOrName}/filter-policy/rules Ajouter une règle de filtrage sur un firewall en choisissant sa position.
POST /firewalls/{uuidOrName}/nat-policy/rules Ajouter une règle de translation sur un firewall en choisissant sa position.
POST /folders/{uuidOrName}/filter-policy/rules Ajouter une règle de filtrage dans un dossier en choisissant sa position.
POST /folders/{uuidOrName}/nat-policy/rules Ajouter une règle de translation dans un dossier en choisissant sa position.
PUT /filter-policy/rules/{uuid} Modifier une règle de filtrage.
PUT /nat-policy/rules/{uuid} Modifier une règle de translation.