Administration des firewalls SNS
Version des firewalls administrés
Il est désormais possible d'administrer des firewalls en version 5 depuis SMC 3.8.
Pour connaître les versions maximales pouvant être administrées par une version donnée de SMC, consultez le document Cycle de vie produits.
Mise à jour des firewalls depuis SMC
Il est désormais possible de mettre à jour les firewalls directement depuis l'interface d'administration de SMC et depuis l'API publique. Auparavant, la mise à jour était possible uniquement via script CLI SNS. Accédez au nouveau panneau de mise à jour des firewalls par le menu Déploiement.
Si un firewall n'est pas connecté au moment de l'exécution de la mise à jour, elle est différée et exécutée à la reconnexion du firewall.
Les firewalls utilisant le module TPM ne peuvent pas être mis à jour via ce panneau.
Configuration des firewalls SNS
Vérification de la cohérence de la configuration des firewalls
Si vous désactivez la vérification de cohérence de façon permanente via la variable d'environnement SMC_CFGCHECK_ENABLED, un nouveau bouton Lancer la vérification permet de lancer manuellement une vérification de la configuration, depuis le contrôleur de cohérence, de façon ponctuelle.
De plus, lorsque la vérification de cohérence est désactivée, des vérifications automatiques sont néanmoins effectuées à chaque déploiement de configuration. La nouvelle variable d'environnement SMC_CFGCHECK_BEFORE_DEPLOY_ENABLED permet de désactiver ces vérifications automatiques.
Nouvelles vérifications de cohérence
De nouvelles vérifications de cohérence permettent de garantir la bonne utilisation des algorithmes de chiffrement KEM (Key Encapsulation Mechanism) dans SMC.
Désactivation du mode Diffusion Restreinte (DR)
À partir de la version 3.8 :
-
La désactivation du mode DR sur SMC n'entraîne plus de déploiement de configuration et la désactivation du mode DR sur les firewalls rattachés à SMC.
-
Il est possible de rattacher des firewalls en mode DR à un serveur SMC dont le mode DR n'est pas activé.
Topologies VPN
Nouveaux profils de chiffrement
Deux nouveaux profils de chiffrement sont désormais disponibles dans la configuration des topologies VPN :
-
PQCEncryption
-
PQCTransition
Ils contiennent les nouveaux algorithmes d'échange de clés permettant de se protéger contre les attaques de type "stocker maintenant, déchiffrer plus tard" (Quantum-safe Key Encapsulation Mechanism (KEM)).
Clé pré-partagée post-quantique
Il est désormais possible de configurer une clé pré-partagée post-quantique (PPK) dans la configuration des topologies VPN utilisant l'authentification par certificat X.509.
Arrêt du support de l'algorithme 3DES dans les profils de chiffrement
Il n'est désormais plus possible de déployer une topologie VPN associée à un profil de chiffrement utilisant l'algorithme 3DES lorsque l'un des correspondants de la topologie est en version 5 et supérieure de SNS.
De plus, il n'est plus possible de sélectionner l'algorithme 3DES dans un nouveau profil de chiffrement.
Base d'objets
Création d'objets Machine et Groupe depuis les objets Routeur
Depuis la fenêtre de création ou de modification d'un objet Routeur, il est désormais possible de créer directement :
-
un objet Machine depuis la colonne Machine des onglets Passerelles et Passerelles de secours.
-
un objet Machine ou Groupe depuis la colonne Test de la disponibilité des onglets Passerelles et Passerelles de secours.
Utilisation du caractère @
Il est désormais possible d'utiliser le caractère @ dans les commentaires des objets.
Configuration du réseau
Support des médias 50 et 100 Gbps full duplex
Dans la configuration avancée des interfaces qui le supportent, vous pouvez désormais sélectionner les médias 50 et 100 Gbps full duplex pour les modèles de firewalls compatibles.
Système
Rapport de diagnostic du serveur
Dans le rapport de diagnostic, une nouvelle section affiche le numéro de série des firewalls qui tentent de se connecter à la place d'un autre firewall, rattaché avec le même package par exemple.
Variables d'environnement
Variable SMC_MONITOR_ROUTE_POLLING_PERIOD_INT
La nouvelle variable d'environnement SMC_MONITOR_ROUTE_POLLING_PERIOD_INT permet d'ajuster la fréquence d'interrogation d'un firewall pour superviser les routes configurées. Par défaut la valeur de la variable est de 60000 millisecondes. Il s'agit de la valeur minimale. Pour désactiver la variable et arrêter l'interrogation, vous pouvez indiquer la valeur 0.
API publique de SMC
De nouvelles routes API ont été ajoutées en version 3.8 de SMC. Elles sont listées ci-après. Pour plus de détails sur les routes de l'API publique de SMC, reportez-vous à la documentation en ligne. Cette documentation est également accessible depuis l'interface web d'administration de SMC.
Mise à jour des firewalls SNS
Cinq nouvelles routes API sont disponibles dans l'API publique de SMC pour mettre à jour les firewalls SNS.
| Route | Permet de |
|---|---|
| POST /papi/v1/sns-update/attachments |
Joindre un ou plusieurs fichiers de mise à jour des firewalls. |
| POST /papi/v1/sns-update |
Indiquer l'URL d'un serveur HTTPS sur lequel SMC peut télécharger les fichiers de mise à jour. |
| POST /papi/v1/sns-update/execute |
Exécuter une mise à jour sur un ou plusieurs firewalls connectés à SMC. La mise à jour via SMC des firewalls utilisant le module TPM n'est pas possible. |
| GET /papi/v1/sns-update/progress | Suivre la progression d'une mise à jour en cours sur un ou plusieurs firewalls. |
| POST /papi/sns-update/cancel | Annuler une mise à jour en attente. |
Topologies et tunnels VPN
Deux nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les topologies et les tunnels VPN :
| Route | Permet de |
|---|---|
| POST /papi/v1/vpn/topologies | Ajouter une topologie VPN. |
| DELETE /papi/v1/vpn/topologies/{uuidOrName} | Supprimer une topologie VPN. |
Firewalls
Deux nouvelles routes API sont disponibles dans l'API publique de SMC pour gérer les firewalls :
| Route | Permet de |
|---|---|
| PUT /papi/v1/firewalls/{uuidOrName} |
Modifier les informations d'un firewall. |
| DELETE /papi/v1/firewalls/{uuidOrName} |
Supprimer un firewall du serveur SMC. |