IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.7.24 LTSB
Système
VPN IPsec
Référence support 81691
Une anomalie dans l'ordonnanceur de processus / threads en cas de changement de priorité dynamique pouvait provoquer des pertes de paquets sur un firewall soumis à une forte activité. Cette anomalie a été résolue.
Optimisation des performances
Référence support 82430
Afin d'optimiser les performances du firewall dans certains contextes spécifiques, une option a été ajoutée permettant de désactiver la synchronisation des événements ASQ liés à la haute disponibilité.
Référence support 81691
Afin d'optimiser les performances du firewall, la répartition des CPU sur les tâches de chiffrement et de déchiffrement a été améliorée.
VPN IPsec IKEv2
Référence support 79713
L'opération de réauthentification en phase 1 d'un tunnel IPsec IKEv2 pouvait se terminer trop rapidement entraînant ainsi le rejet à tort de paquets légitimes. Pour éviter ce phénomène, un nouveau paramètre peut être utilisé afin de retarder la suppression de l'ancienne IKE SA.
Fonction d'optimisation de l'initialisation de réserve d'adresses pour le NAT
Référence support 81691
Afin d'éviter un arrêt inopiné du firewall dans le cas où deux interfaces non incluses dans un bridge possèdent la même adresse IP, une option a été ajoutée permettant de désactiver la fonction d'optimisation de l'initialisation de réserve d'adresses pour le NAT.
Filtrage et NAT
Référence support 81369
Un mécanisme d'optimisation permettant d’éviter une perte de paquets réseau au rechargement d'une politique de NAT possédant un grand nombre de règles peut être activé à l’aide la commande CLI / Serverd CONFIG PROTOCOL IP COMMON IPS CONFIG en ajoutant le paramètre natdiff aux paramètres existants de l'option OptimizeRuleMatch.
A partir d’une configuration par défaut, utilisez les paramètres suivants : OptimizeRuleMatch=equal,diff,cache,natdiff.
Toute modification doit ensuite être validée par la commande CONFIG PROTOCOL IP ACTIVATE.
Notez que ce mécanisme est désactivé par défaut.
Référence support 78647
L'export au format CSV des règles de filtrage / NAT générait à tort une valeur "Any" pour le champ "#nat_to_target" du fichier d'export, dans le cas où une règle de filtrage n'était associée à aucune règle de NAT. Cette anomalie empêchait alors l'import de ce fichier CSV dans SMC si la règle de filtrage concernée avait pour action "Bloquer".
Création d'interfaces
Référence support 75064
Une configuration comportant plusieurs centaines d'interfaces (interfaces virtuelles, VLAN, ...) entraînait une consommation CPU excessive suite au rechargement répété du fichier de configuration des interfaces réseau.
Prévention d'intrusion
Proxy SSL
Référence support 80792
Le trafic de l'application Zoom étant incompatible avec l'analyse antivirale, ses CN ont été ajoutés au groupe de CN proxyssl_bypass.