Préconisations

Avant de migrer une configuration existante vers la version 3 de firmware, veuillez :

Protocole SSL

Depuis la version 3.7.0 de firmware, les suites de chiffrement présentant un niveau de sécurité faible (suites basées sur MD5, SHA1 et DES) ne sont plus disponibles pour le protocole SSL utilisé par les différents composants du firewall (VPN SSL, Proxy SSL, ...).

Pour les configurations qui utilisent ces suites de chiffrement, il est nécessaire de choisir des algorithmes de niveau de sécurité supérieur avant d'effectuer la migration du firewall en version SNS 3.7.0 ou supérieure.

VPN IPsec

Référence support 66421

Avant de mettre à jour le firewall en version 3, vérifiez votre configuration VPN IPsec de la manière suivante :

Dans le menu Configuration > VPN > VPN IPsec > onglet Identification, vérifiez que les adresses e-mail indiquées dans la zone Tunnels nomades : Clés-prépartagées soient correctement formées, et corrigez-les si besoin.

Si une adresse contient une irrégularité (e.g., product@stormshield ou product@stormshield.e), l'activation de la politique IPsec échouera avec l'erreur Failed to parse PSK list from slotfile.

Méthode d'authentification "Agent SSO"

Dans une configuration utilisant la méthode d'authentification "Agent SSO", il est nécessaire d'effectuer la migration de SN SSO Agent dans une version égale ou supérieure à la version 1.4 avant de réaliser celle du firewall.

Il est également nécessaire de renseigner le champ "Nom de domaine" dans la configuration de SN SSO Agent avant migration du firewall. Ce nom de domaine doit correspondre au nom réel du domaine (exemple : stormshield.eu) pour permettre le fonctionnement de SN SSO Agent.

Microsoft Internet Explorer

L’utilisation du navigateur Microsoft Internet Explorer, y compris dans sa version 11, peut entraîner une importante dégradation de l’expérience utilisateur. Il est donc fortement recommandé d'utiliser l'un des navigateurs listés dans la section Compatibilité.

Extended Web Control

Si le mode synchrone est activé pour la solution de filtrage d’URL Extended Web Control (paramètre X-CloudURL_Async=0 dans la section [Config] du fichier de configuration ConfigFiles/proxy), il est impératif de le désactiver avant de mettre à jour le firewall en v3. Pour ce faire, supprimez la ligne contenant ce paramètre X-CloudURL_Async.

Mise à jour d'un cluster avec plusieurs liens de haute disponibilité

Pour un cluster mettant en œuvre plus d'un lien dédié à la haute disponibilité, il est nécessaire de s'assurer que le lien principal est actif avant de procéder à la mise à jour en version 3.

Routage par politique de filtrage

Si une remise en configuration d’usine du firewall (defaultconfig) est réalisée suite à une migration d'une version 1 vers une version 2 puis vers une version 3, l’ordre d’évaluation du routage est modifié et le routage par politique de filtrage [PBR] devient prioritaire (routage par politique de filtrage > routage statique > routage dynamique >…> routage par défaut). En revanche, en l’absence de remise en configuration d’usine du firewall, l’ordre d’évaluation reste inchangé par rapport à la version 1 (routage statique > routage dynamique > routage par politique de filtrage [PBR] > routage par interface > routage par répartition de charge > routage par défaut).

Politique de filtrage et utilisateurs

Dans les versions précédentes de firmware, la politique de filtrage ne distinguait pas les utilisateurs des groupes. En version 3, la gestion des annuaires multiples impose une vérification stricte des utilisateurs. Une migration de configuration vers la version 3 de firmware peut ainsi générer des avertissements invitant l'administrateur à ressaisir les utilisateurs dans sa politique de filtrage pour lever cette ambiguïté.