IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Nouvelles fonctionnalités de SNS 3.11.1 LTSB
La mise à jour d'un firewall depuis une version SNS 3.10.x ou 3.11.x LTSB vers une version SNS 4.0.x ne doit pas être réalisée et n'est pas supportée.
Veuillez-vous reporter à la section Préconisations pour plus d’informations.
Long-Term Support Branch (LTSB)
La version SNS 3.11 dispose du label LTSB permettant de la considérer comme stable à long terme avec une prise en charge assurée pendant 12 mois minimum.
Veuillez-vous reporter à la section Compatibilité pour connaître les produits compatibles. Pour plus d'informations sur le label LTSB, reportez-vous aux documents de la partie Produit > Cycle de vie des produits disponibles sur MyStormshield.
Firewalls industriels modèle SNi20
La version SNS 3.11.1 LTSB assure la compatibilité avec les nouveaux firewalls industriels SNi20.
Les fonctionnalités listées ci-dessous ne sont pas disponibles sur ces firewalls dans les versions SNS 3.11.x LTSB et sont uniquement disponibles à partir de la version SNS 4.1.1 :
- Bypass matériel,
- Sécurisation matérielle des secrets des VPN grâce au module TPM,
- Agrégation de liens (LACP),
- Protocoles de gestion des boucles réseau (RSTP et MSTP).
Pour plus d'informations, reportez-vous sur la page produit du modèle SNi20.
Haute disponibilité
Réduction du temps de bascule en cas de défaillance d'une interface
Dans une configuration en haute disponibilité, en cas de défaillance d'une interface d'un nœud du cluster, le temps de bascule du nœud passif en état actif a été réduit à environ une seconde, réduisant ainsi la coupure du trafic réseau.
Système
Client NTP
Il est désormais possible de configurer l'interface par laquelle les requêtes NTP transitent. Auparavant, le démon en charge de la synchronisation du temps sur un firewall SNS faisait transiter ses requêtes par l'interface par défaut.
Ce nouveau paramètre est uniquement modifiable à l'aide de la commande CLI / Serverd :
CONFIG NTP SERVER ADD name=<hostname|groupname> bindaddr=<Firewall_obj>
CONFIG NTP ACTIVATE
Pour plus d'informations concernant la syntaxe de cette commande, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Taille des clés de certificats générés par le proxy SSL
La taille des clés de certificats générés par le proxy SSL peut désormais être configurée.
Ce paramètre est uniquement modifiable à l'aide des commandes CLI / Serverd :
PKI CA CONFIG UPDATE caname=<name> server_size=<size>
PKI ACTIVATE
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Récupération régulière des CRL
Il est désormais possible de préciser l'adresse IP présentée par le firewall pour la Récupération régulière des listes de révocation de certificats (CRL).
Cette adresse est exclusivement configurable à l'aide de la commande CLI / Serverd :
PKI CONFIG UPDATE checkcrlbindaddr=<bindaddr>
Pour plus d'informations concernant la syntaxe de cette commande, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Authentification
LDAP
Il est désormais possible de configurer le serveur LDAP de secours sur un port différent du serveur LDAP principal.
Certificats et PKI
Récupération des CRL
Lorsqu'une autorité racine intègre des points de distribution de listes de certificats révoqués (CRLDP), la récupération des CRL s'effectue désormais automatiquement depuis ces points de distribution lorsqu'une application utilise le certificat de l'autorité racine.
Fonctionnalités obsolètes
Filtrage et NAT - Fonctionnalité de Cache HTTP
La possibilité d'utiliser la fonction Cache HTTP au sein d'une règle de filtrage étant amenée à disparaître dans une future version de SNS, un message d'avertissement est maintenant affiché pour encourager les administrateurs à modifier leur configuration.
Ce message s'affiche sous la grille de filtrage dans le champ Vérification de la politique.
VPN IPsec - Correspondants de secours
L'utilisation de correspondants de secours (désigné en tant que "Configuration de secours") étant obsolète et amenée à disparaître dans une future version de SNS, un message d'avertissement est maintenant affiché pour encourager les administrateurs à modifier leur configuration. Ce message s'affiche sous la grille des politiques IPsec dans le champ Vérification de la politique.
Pour ce cas d'usage, privilégiez l'utilisation d'interfaces IPsec virtuelles avec des objets routeurs ou du routage dynamique.