Fazer Upgrade de uma Política de Firewall
Uma nova versão da política de firewall está disponível. O upgrade contém novos recursos que oferecem maior flexibilidade e limites de componentes mais altos para políticas.
Novos recursos para políticas atualizadas
- Limites aumentados para componentes de política: Os componentes de política foram configurados anteriormente como atributos da política. A nova versão refatora os componentes da política como objetos separados com seus próprios nomes. Isso permite um aumento no número de componentes que você pode ter em cada política associada e a capacidade de mover componentes entre listas dentro da política. Consulte a tabela mais adiante neste tópico que mostra detalhes sobre cada componente e seus limites.
- Melhorias operacionais: A atualização de um firewall não causa mais uma redefinição de conexão.
- Componentes de política de importação em massa: Agora você pode importar componentes de política em massa usando um arquivo
.json. Você pode importar o máximo de componentes permitidos em um arquivo. O serviço Network Firewall fornece um modelo.jsonpara cada tipo de componente que você pode fazer download e usar para construir um arquivo de importação. Consulte Importar Componentes de Política do Firewall para obter mais informações. - Reordenar facilmente regras de segurança e decriptografia: Ao criar ou editar uma regra, você pode especificar sua posição da regra em relação a outras regras na política. Além de especificar a regra como a primeira ou a última regra na lista, você pode especificar uma posição personalizada para a regra. Uma posição personalizada permite definir a posição da regra como anterior ou posterior a outra regra na lista. Você pode reordenar regras durante a criação, ao editar uma regra ou pode reordenar regras na lista mostrada na página de detalhes da política. Consulte Adicionar uma Regra de Decriptografia a uma Política do Firewall e Adicionar uma Regra de Segurança a uma Política do Firewall para obter mais informações.
- Procurar componentes: Como os componentes agora são objetos independentes, você pode usar a função Pesquisar para localizá-los por Nome.
- Migração fácil: Use o workflow a seguir para fazer upgrade de suas políticas para a nova versão. Quando você faz upgrade de uma política, todos os firewalls associados também são atualizados.
Detalhes do componente da política
A tabela a seguir mostra os diferentes componentes com o máximo anterior e atual e o nome do objeto da API. Para obter mais informações sobre os atributos e dependências de cada componente e instruções sobre como criá-los, consulte Criando e Gerenciando Políticas de Firewall.
| Componente | Máximo anterior | Novo máx | APIs |
|---|---|---|---|
| Regra de segurança | 25 para cada política | 10.000 para cada política |
|
| Regra de decriptografia | 25 para cada política | 1.000 para cada política |
|
| Listas de Aplicativos | 25 para cada política | 2.500 para cada política |
|
| Aplicativos | NÃO APLICÁVEL (Novo componente: anteriormente um atributo de listas de aplicativos) | 1.000 para cada lista de aplicativos. 6.000 aplicativos para cada política. |
|
| Listas de Serviços | NÃO APLICÁVEL (Novo componente) | 2.500 para cada política |
|
| Serviços | NÃO APLICÁVEL (Novo componente) | 1.000 para cada lista de serviços. 1.900 serviços para cada política. |
|
| Listas de URLs | 25 para cada política |
|
|
| Listas de Endereços | 25 para cada política |
|
|
| Segredos Mapeados | 25 para cada política | 300 para cada política |
|
| Perfis de Decriptografia | 25 para cada política | 500 para cada política |
|
Evitando problemas de upgrade da política
As políticas de firewall com os seguintes atributos podem causar um problema e o upgrade não pode continuar:
- Se uma política de firewall contiver uma lista de aplicativos com um nome com mais de 24 caracteres. Considere renomear listas de aplicativos para 24 caracteres ou menos para evitar esse problema.
- Se uma política de firewall contiver regras de segurança em que qualquer um dos aplicativos, URLs, origens ou destinos da lista contenha mais de 25 elementos. Considere dividir as regras de segurança em várias regras com menos de 25 elementos cada para evitar esse problema.
- Se uma política de firewall contiver regras de decriptografia em que qualquer uma das origens da lista ou destinos contenha mais de 25 elementos. Considere dividir as regras de decriptografia em várias regras com menos de 25 elementos cada para evitar esse problema.
Se uma política de firewall estiver anexada a um firewall, considere clonar a política, fazer as alterações sugeridas e, em seguida, alterar o firewall para usar a nova política clonada antes de fazer upgrade. Para clonar uma política, consulte Clonar a política. Para alterar o firewall, consulte Alterar um Firewall.
Fazer upgrade de políticas de firewall
Todos os novos firewalls e políticas que você cria usam automaticamente a nova versão do serviço. Firewalls e políticas que existiam antes da nova versão ser lançada continuam a usar a versão antiga do serviço até que você faça upgrade delas. Cada política que usa a versão anterior tem uma notação ao lado dela na página Lista de Políticas para que você possa informar quais políticas estão usando a versão antiga ou a nova.
O processo de upgrade leva vários minutos para ser concluído, mas não afeta o tráfego em nenhum firewall que use a política.
Importante
- Durante o processo de upgrade, você não pode alterar a política ou seus componentes.
- Depois que você fizer upgrade de uma política para usar a nova versão, ela não poderá ser submetida a downgrade de volta para a versão antiga.
- Quando você faz upgrade de uma política, também é feito um upgrade automático do firewall associado. Após a conclusão do upgrade, os firewalls anexados não podem mais usar versões antigas de políticas.
- Depois que um firewall é atualizado, ele não pode ser submetido a downgrade de volta para a versão antiga. Um firewall é atualizado quando sua política anexada é atualizada ou quando é alternada de uma política antiga para uma política atualizada.