Documentation Oracle Cloud Infrastructure

Mise à niveau d'une stratégie de pare-feu

Une nouvelle version de la stratégie de pare-feu est disponible. La mise à niveau contient de nouvelles fonctionnalités qui vous donnent une plus grande flexibilité et des limites de composants plus élevées pour les stratégies.

Nouvelles fonctionnalités pour les stratégies mises à niveau

  • Limites accrues pour les composants de stratégie : les composants de stratégie ont été précédemment configurés en tant qu'attributs de la stratégie. La nouvelle version renvoie les composants de stratégie en tant qu'objets distincts portant leur propre nom. Cela permet d'augmenter le nombre de composants que vous pouvez avoir dans chaque stratégie associée et de déplacer des composants entre des listes au sein de la stratégie. Reportez-vous au tableau ci-après de cette rubrique qui présente des détails sur chaque composant et ses limites.
  • Améliorations opérationnelles : la mise à jour d'un pare-feu n'entraîne plus de réinitialisation de la connexion.
  • Composants de stratégie d'import en masse : vous pouvez désormais importer des composants de stratégie en masse à l'aide d'un fichier .json. Vous pouvez importer le nombre maximal de composants autorisés dans un fichier. Le service Network Firewall fournit un modèle .json pour chaque type de composant que vous pouvez télécharger et utiliser pour construire un fichier d'import. Pour plus d'informations, reportez-vous à Import de composants de stratégie de pare-feu.
  • Réorganiser facilement les règles de sécurité et de décryptage : lorsque vous créez ou modifiez une règle, vous pouvez indiquer sa position par rapport aux autres règles de la stratégie. En plus de spécifier la règle comme première ou dernière règle de la liste, vous pouvez spécifier une position personnalisée pour la règle. Une position personnalisée vous permet de définir la position de la règle comme étant avant ou après une autre règle dans la liste. Vous pouvez réorganiser les règles lors de la création, lors de la modification d'une règle ou dans la liste affichée sur la page de détails de la stratégie. Pour plus d'informations, reportez-vous à Ajout d'une règle de décryptage à une stratégie de pare-feu et à Ajout d'une règle de sécurité à une stratégie de pare-feu.
  • Rechercher des composants : les composants étant désormais des objets indépendants, vous pouvez utiliser la fonction de recherche pour les rechercher par nom.
  • Migration facile : utilisez le workflow suivant pour mettre à niveau vos stratégies vers la nouvelle version. Lorsque vous mettez à niveau une stratégie, tous les pare-feu associés sont également mis à niveau.

Détails du composant de stratégie

Le tableau suivant présente les différents composants avec le nombre maximal et le nom d'objet d'API précédents et actuels. Pour plus d'informations sur les attributs et les dépendances de chaque composant et pour obtenir des instructions sur leur création, reportez-vous à Création et gestion de stratégies de pare-feu.
Composant Maximum précédent Nouveau maximum API
Règle de sécurité 25 pour chaque politique 10 000 pour chaque stratégie
  • SecurityRule
  • CreateSecurityRule
  • UpdateSecurityRule
  • DeleteSecurityRule
  • GetSecurityRule
  • ListSecurityRules
  • BulkUploadSecurityRules
Règle de décryptage 25 pour chaque politique 1 000 pour chaque stratégie
  • DecryptionRule
  • CreateDecryptionRule
  • UpdateDecryptionRule
  • DeleteDecryptionRule
  • GetDecryptionRule
  • ListDecryptionRules
  • BulkUploadDecryptionRules
Listes d'applications 25 pour chaque politique 2 500 pour chaque politique
  • ApplicationGroup
  • CreateApplicationGroup
  • UpdateApplicationGroup
  • DeleteApplicationGroup
  • GetApplicationGroup
  • ListApplicationGroups
  • BulkUploadApplicationGroups
Applications NOT APPLICABLE (Nouveau composant : précédemment un attribut de listes d'applications) 1 000 pour chaque liste d'applications. 6 000 applications pour chaque stratégie.
  • Application
  • CreateApplication
  • UpdateApplication
  • DeleteApplication
  • GetApplication
  • ListApplications
  • BulkUploadApplications
Listes de services NON APPLICABLE (Nouveau composant) 2 500 pour chaque politique
  • ServiceList
  • CreateServiceList
  • UpdateServiceList
  • DeleteServiceList
  • GetServiceList
  • ListServiceLists
  • BulkUploadServiceLists
Services NON APPLICABLE (Nouveau composant) 1 000 pour chaque liste de services. 1 900 services pour chaque stratégie.
  • Service
  • CreateService
  • UpdateService
  • DeleteService
  • GetService
  • ListServices
  • BulkUploadServices
Listes d'URL 25 pour chaque politique
  • 1 000 listes d'URL pour chaque stratégie
  • 1 000 URL pour chaque liste.
  • UrlList
  • CreateUrlList
  • UpdateUrlList
  • DeleteUrlList
  • GetUrlList
  • ListUrlLists
  • BulkUploadUrlLists
Listes d'adresses 25 pour chaque politique
  • 20 000 listes d'adresses au total pour chaque stratégie
  • 2 000 adresses de type nom de domaine qualifié complet pour chaque stratégie
  • 1 000 adresses pour chaque liste
  • AddressList
  • CreateAddressList
  • UpdateAddressList
  • DeleteAddressList
  • GetAddressList
  • ListAddressLists
  • BulkUploadAddressLists
Clés secrètes mises en correspondance 25 pour chaque politique 300 pour chaque stratégie
  • MappedSecret
  • CreateMappedSecret
  • UpdateMappedSecret
  • DeleteMappedSecret
  • GetMappedSecret
  • ListMappedSecrets
  • BulkUploadMappedSecrets
Profils de décryptage 25 pour chaque politique 500 pour chaque stratégie
  • DecryptionProfile
  • CreateDecryptionProfile
  • UpdateDecryptionProfile
  • DeleteDecryptionProfile
  • GetDecryptionProfile
  • ListDecryptionProfiles
  • BulkUploadDecryptionProfiles

Eviter les problèmes de mise à niveau de stratégie

Les stratégies de pare-feu avec les attributs suivants peuvent causer un problème et la mise à niveau ne peut pas continuer :

  • Si une stratégie de pare-feu contient une liste d'applications dont le nom comporte plus de 24 caractères. Envisagez de renommer les listes d'applications en 24 caractères ou moins pour éviter ce problème.
  • Si une stratégie de pare-feu contient des règles de sécurité dans lesquelles l'une des applications de liste, URL, sources ou destinations contient plus de 25 éléments. Envisagez de diviser les règles de sécurité en plusieurs règles avec moins de 25 éléments chacune pour éviter ce problème.
  • Si une stratégie de pare-feu contient des règles de décryptage dans lesquelles l'une des sources de liste ou des destinations contient plus de 25 éléments. Envisagez de diviser les règles de décryptage en plusieurs règles avec moins de 25 éléments chacune pour éviter ce problème.

Si une stratégie de pare-feu est attachée à un pare-feu, envisagez de cloner la stratégie, d'apporter les modifications suggérées, puis de modifier le pare-feu pour qu'il utilise la nouvelle stratégie clonée avant la mise à niveau. Pour cloner une stratégie, reportez-vous à Clonage de la stratégie. Pour modifier le pare-feu, reportez-vous à Modification d'un pare-feu.

Mettre à niveau les stratégies de pare-feu

Toutes les stratégies et pare-feu que vous créez utilisent automatiquement la nouvelle version du service. Les pare-feu et les stratégies qui existaient avant la publication de la nouvelle version continuent d'utiliser l'ancienne version du service jusqu'à ce que vous les mettiez à niveau. Chaque stratégie qui utilise la version précédente comporte une notation en regard de celle-ci dans la page Liste des stratégies afin que vous puissiez indiquer quelles stratégies utilisent l'ancienne ou la nouvelle version.

Le processus de mise à niveau prend plusieurs minutes, mais n'affecte pas le trafic sur les pare-feu qui utilisent la stratégie.
Important

  • Pendant le processus de mise à niveau, vous ne pouvez pas modifier la stratégie ou ses composants.
  • Une fois que vous avez mis à niveau une stratégie pour utiliser la nouvelle version, elle ne peut plus être rétrogradée à l'ancienne version.
  • Lorsque vous mettez à niveau une stratégie, tout pare-feu associé est aussi mis à niveau automatiquement. Une fois la mise à niveau terminée, les pare-feu attachés ne peuvent plus utiliser les anciennes versions des stratégies.
  • Une fois le pare-feu mis à niveau, il ne peut plus être rétrogradé vers l'ancienne version. Un pare-feu est mis à niveau lorsque sa stratégie attachée est mise à niveau ou lorsqu'il est passé d'une ancienne stratégie à une stratégie mise à niveau.

Utilisation de la console

  1. Dans le menu de navigation, sélectionnez Identité et sécurité. Accédez à Pare-feu, sélectionnez Stratégies de pare-feu réseau.
  2. Recherchez dans la liste une stratégie indiquant la notation prête à être mise à niveau.
  3. Sélectionnez la police.
  4. Dans le message d'information Mettre à niveau la stratégie pour utiliser les nouvelles fonctionnalités, sélectionnez Mettre à niveau la stratégie.
    Une fois la mise à niveau terminée, un message s'affiche sur la page de détails de la stratégie vous indiquant que vous pouvez commencer à utiliser les nouvelles fonctionnalités. Tout pare-feu attaché à la stratégie est également mis à niveau et ne peut être attaché qu'aux stratégies mises à niveau.