Points d'attention pour une mise à jour depuis une version 4.3 LTSB
IMPORTANT
Si vous envisagez de mettre à jour un firewall depuis une version 4.3 LTSB vers la version 4.8 LTSB, nous vous recommandons de lire attentivement cette section.
NOTE
La liste exhaustive des changements de comportements automatiques liés à la mise à jour de votre firewall SNS en version 4.8 LTSB depuis la dernière version 4.3 LTSB disponible est consultable dans la section Changements de comportement de ces Notes de Versions.
Chemin de mise à jour depuis une version 4.3 LTSB
Il est fortement recommandé de mettre à jour votre firewall depuis la version SNS 4.3 LTSB la plus récente en passant par la version SNS 4.3.24 LTSB si nécessaire.
La liste exhaustive des changement de comportements intervenus en version SNS 4.8 LTSB est consultable dans la section Changements de comportement de ces Notes de Versions.
| Version d'origine | Mises à jour intermédiaires requises |
|---|---|
| 4.3.23 LTSB ou inférieure |
Version 4.3.24 LTSB recommandée, car la partition de secours du firewall serait inutilisable après un passage direct vers la nouvelle version |
| 4.3.24 LTSB ou supérieure | Aucune |
Routage Dynamique BIRD
La version 1 du moteur de routage dynamique BIRD est à présent considérée comme obsolète et sera supprimée dans une version SNS à venir. La version 2 du moteur de routage dynamique BIRD étant disponible en version SNS 4.8. LTSB, il est fortement conseillé de migrer les configuration BIRD v1 vers BIRD v2.
Lors de la mise à jour d'une configuration utilisant BIRD v1 vers une version SNS 4.8 LTSB, la configuration initiale est conservée et il est nécessaire de réaliser manuellement la migration de configuration de BIRD v1 vers BIRD v2.
Dans le cas où votre parc de firewalls SNS est géré par un serveur SMC, il n'est pas possible de gérer le routage dynamique de vos firewalls en version SNS 4.8 LTSB depuis une version de SMC inférieure à la 3.6.
Firewalls équipés d'un TPM
Après une mise à jour en version SNS 4.8 LTSB, les secrets stockés dans le TPM nécessitent d'être scellés avec les nouvelles caractéristiques techniques du système à l'aide de la commande CLI / Serverd :
SYSTEM TPM PCRSEAL tpmpassword=<TPMpassword>
Notez que dans le cas d'un cluster, cette action doit être réalisée pour les deux membres du cluster depuis le firewall actif en ajoutant le paramètre "serial=passive" pour sceller les secrets du firewall passif depuis le firewall actif.
Pour plus d'informations sur le module TPM, veuillez consulter la section Trusted Platform Module du manuel utilisateur SNS ainsi que la Note Technique Configurer le module TPM et protéger les clés privées de certificats du firewall SNS.
Pour les firewalls supportant Secure Boot dans l'UEFI (modèles SN-XS-Series-170, SN-S-Series-220, SN-S-Series-320, SN-M-Series-520, SN-M-Series-720, SN-M-Series-920, SN1100, SN3100, SN-L-Series-2200, SN-L-Series-3200, SN-XL-Series-5200, SN-XL-Series-6200, SNi10, SNi20, SNxr1200), il est fortement recommandé d'activer Secure Boot avant de procéder à cette opération de rescellement des secrets.
Pour plus d'information sur les impacts de l'activation de Secure Boot, veuillez consulter la Note Technique Gérer Secure Boot dans l'UEFI des firewalls SNS.
Suppression de l'analyse protocolaire OSCAR, MSN, YMSG et eDonkey
Les protocoles OSCAR, MSN, YMSG et eDonkey étant obsolètes, le moteur de prévention d'intrusion ne prend plus en charge leur analyse. Après mise à jour en version SNS 4.8 LTSB d'une configuration présentant une règle de filtrage relative à l'un de ces protocoles, cette règle est ignorée et un message d'avertissement est affiché au sein de la politique de filtrage concernée.
VPN SSL
La version SNS 4.8 LTSB ajoutant l'option data-cipher au fichier de configuration des clients VPN SSL, les clients VPN SSL v2 ne sont plus compatibles avec SNS 4.8 LTSB.
La compression est désormais désactivée par défaut. Il est possible de consulter et de changer l'état de la compression (activée ou désactivée) depuis la console CLI. Il est fortement déconseillé de réactiver la compression, car c'est une fonctionnalité qui ne sera plus supportée dans une version ultérieure de SNS.
Catégories de réputation
Les catégories de réputation Exchange Online, Microsoft Authentication, Office 365, Office Online, SharePoint Online et Skype for business, présentes dans les versions antérieures ne sont plus disponibles depuis la version SNS 4.4.1. Après mise à jour en version SNS 4.8 LTSB d'une configuration utilisant l'une de ces catégories, les règles de filtrage faisant appel à ces catégories deviennent inopérantes jusqu'au remplacement de ces catégories par les services Web introduits en version SNS 4.4.1.
Fonctionnalités et algorithmes devenus obsolètes en version SNS 4.8 LTSB
Les fonctionnalités et algorithmes listés ci-après sont devenus obsolètes en version SNS 4.8 LTSB et sont amenés à être supprimés dans une prochaine version de firmware SNS.
Network Vulnerability Manager (SNVM)
Le module SNVM est obsolète. Il sera supporté toute la durée de vie de la versions SNS 4.8 LTSB. Pour plus d'informations sur la date de fin de vie du module SNVM, reportez-vous à la section Services du Cycle de vie produits.
Filtrage URL / SSL
La base d'URL embarquée est obsolète. Pour continuer d'utiliser du filtrage URL / SSL, vous pouvez souscrire à l'option Extended Web Control.
VPN Serveur PPTP
La fonctionnalité Serveur PPTP est obsolète.
Protocole SCEP (enregistrement de certificats)
Les algorithmes de hachage md2, mdc-2, md4, md5, rmd160, et l'algorithme de chiffrement des-ede3-cbc sont obsolètes.
Agent SNMPv3
L'algorithme d'authentification MD5 et les algorithmes de chiffrement DES et SHA1 utilisés par l'Agent SNMPv3 sont obsolètes.
Annuaire LDAP interne
Les algorithmes de hachage des mots de passe MD5, SMD5, SHA, SSHA, SHA256, SHA384 et SHA512 utilisés par l'annuaire LDAP interne sont obsolètes.
VPN SSL Portail
La fonctionnalité VPN SSL Portail est obsolète.