一、版本名称
AF8.0.23
二、版本概述
【新增】IPsec VPN 支持ike v2 协议
(1)IPsec VPN 支持ike v2 协议
【优化】VPN 第三方接入UI 重构
(1)VPN 第三方接入UI 重构,提升用户体验
【优化】安全防护能力提升
(1)支持HTTP 重点组件的高危漏洞识别,识别后能够进行有效安全防护
(2)提升多种绕过方式的解析能力、引擎识别能力,可以有效避免攻击者利用绕过方式突破安全防护
【优化】安全防护效果增强
(1)增强multipart 头部异常检测和chunk 异常检测等
(2)增强了解码能力,增加了对异常BASE64 检测功能
(3)对webshell 上传,代码注入,命令注入增加了专项引擎和白名单,提升了检测能力
【优化】SSL VPN 优化
(1)合入最新SSL VPN 版本,大幅提高AF 的SSL VPN 的易用性、适应性和稳定性
(2)SSL VPN 全面浏览器兼容,支持chrome/firefox/Edge/IE 等主流浏览器
(3)SSL VPN 全面客户端兼容,支持Android、iOS、ubuntu、中标麒麟等主流操作系统
(4)优化SSL VPN 认证方式,增加如LDAP 认证方式,提高认证易用性
三、升级方法
包括升级说明、升级步骤、升级注意事项等等
- 升级说明
支持从哪些版本升级
中文版本for 实体机: AF8.0.23(20200511).ssu
AF7.1 正式版-> AF8.0.23 版本
AF7.2 正式版-> AF8.0.23 版本
AF7.3 正式版-> AF8.0.23 版本
AF7.3.0R1 正式版-> AF8.0.23 版本
AF7.4 正式版-> AF8.0.23 版本
AF7.5.0 正式版-> AF8.0.23 版本
AF7.5.1 正式版-> AF8.0.23 版本
AF8.0.2 正式版-> AF8.0.23 版本
AF8.0.5 正式版-> AF8.0.23 版本
AF8.0.6 正式版-> AF8.0.23 版本
AF8.0.6R1 Beta 版-> AF8.0.23 版本
AF8.0.7 正式版-> AF8.0.23 版本
AF8.0.7R2 正式版-> AF8.0.23 版本
AF8.0.8 正式版-> AF8.0.23 版本
AF8.0.9 正式版-> AF8.0.23 版本
AF8.0.10 正式版-> AF8.0.23 版本
AF8.0.13 正式版-> AF8.0.23 版本
AF8.0.17 正式版-> AF8.0.23 版本
AF8.0.18 Beta 版-> AF8.0.23 版本
AF8.0.19 正式版-> AF8.0.23 版本
AF8.0.20 Beta 版-> AF8.0.23 版本
AF8.0.22 Beta 版-> AF8.0.23 版本
AF8.0.23 Beta 版-> AF8.0.23 版本
中文版本for 虚拟机aBos 平台:AF8.0.23(20200511).ssu
vAF7.5.3 正式版-> vAF8.0.23 版本
vAF8.0.8 正式版-> vAF8.0.23 版本
vAF8.0.9 正式版-> vAF8.0.23 版本
vAF8.0.13 正式版-> vAF8.0.23 版本
vAF8.0.17 正式版-> vAF8.0.23 版本
vAF8.0.18 Beta 版-> vAF8.0.23 版本
vAF8.0.19 正式版-> vAF8.0.23 版本
vAF8.0.20 Beta 版-> vAF8.0.23 版本
vAF8.0.22 Beta 版-> vAF8.0.23 版本
vAF8.0.23 Beta 版-> vAF8.0.23 版本
英文版本for 虚拟机aBos 平台:AF8.0.23(20200511).ssu
vAF8.0.8 正式版-> vAF8.0.23 版本
vAF8.0.9 正式版-> vAF8.0.23 版本
vAF8.0.13 正式版-> vAF8.0.23 版本
vAF8.0.17 正式版-> vAF8.0.23 版本
vAF8.0.18 Beta 版-> vAF8.0.23 版本
vAF8.0.19 正式版-> vAF8.0.23 版本
vAF8.0.20 Beta 版-> vAF8.0.23 版本
vAF8.0.22 Beta 版-> vAF8.0.23 版本
vAF8.0.23 Beta 版-> vAF8.0.23 版本
升级限定条件
1、不支持定制版本升级
2、不支持KB 包版本升级
3、低版本如果启用了“支持数据包多次穿越设备”,则不支持平滑升级,需要手动禁用后再升级,升级之后进入[系统]–[通用配置]–[多次穿越设置]再重新配置
4、双机设备升级,需先拆除双机(禁用双机热备、配置同步)再升级;
5、低版本存在以下VPN 配置的场景,则禁止升级和导入AF8.0.23:
1)低版本配置了移动用户或移动虚拟IP 地址池处理方法:需删除移动用户或移动虚拟IP 地址池
2)低版本配置了VPN 的动态路由
处理方法:需进入【网络】- 【IPSecVPN 】- 【高级设置】- 【动态路由设置】,关闭路由选择信息协议
3)低版本开启了缺省用户且认证方式为本地认证
处理方法:需进入【IPSecVPN】- 【用户管理】- 【缺省用户】,禁用本地认证的缺省用户
4)低版本开启了VPN 的组播或广播功能
处理方法:需进入【IPSecVPN 】- 【基本设置】- 【高级】,关闭组播、广播功能
5)低版本的VPN 基本设置配置的MTU 不在576-1500 范围内
处理方法:需进入【IPSecVPN】- 【基本设置】,修改MTU 值
6)低版本使用IPSecVPN 第三方对接,对应线路没有加入多线路设置
处理方法:【IPSecVPN】-【多线路设置】勾选[网关模式]下启用多线路,新增第三方对接对应的线路
7)低版本使用IPSecVPN 第三方对接,多线路设置存在对应线路,但没开启多线路
处理方法:【IPSecVPN】-【多线路设置】勾选[网关模式]下启用多线路合并或删减后再升级,删减的策略待升级后重新添加
处理方法:根据提示操作即可
12)低版本IPSecVPN 的第三方对接存在第一阶段或者第二阶段被禁用,或者存在没有绑定的配置。
处理方法:需要先删除或者启用被禁用的配置,使其第一阶段配置和第二阶段配置关联绑定。再进行升级
6、设备开启了外置数据中心不支持升级,请联系深信服客服处理
7、数据库服务异常,禁止升级,请检查数据库服务状态
8、低版本设备内存为2G,若已配置SSLVPN 序列号,则禁止升级到AF8.0.23 版本。
处理方法:将已配置SSLVPN 序列号删除,方可升级到当前AF8.0.23 版本,升级后2G 低端型号将不再提供SSLVPN 功能。
9、对于vAF 虚拟机,vAF-100 设备属于1 核2G 内存,禁止升级到AF8.0.23 版本:
处理方法:关闭vAF 虚拟机,并调整虚拟机配置,调整为2 核4G 或更高型号vAF 后,重新启动,即可升级到当前AF8.0.23 版本;
10、低版本设备内存为2G,若已配置“杀毒引擎更新”序列号,并且在生效时间内,则禁止升级到AF8.0.23 版本。
注意:2G 低端设备由于本地硬件资源限制,将病毒查杀引擎迁移到云端,通过云鉴订阅服务提供病毒检测。
处理方法:1、如客户已开启云鉴订阅服务,将已配置“杀毒引擎更新”序列号删除即可;
2、如客户未开启云鉴订阅服务,建议引导客户更换云鉴订阅服务授权来使用病毒查杀能力。
3、如果客户的AF 不能接入互联网或不接受接入互联网,建议客户使用的产品最高只能升级AF8.0.17 版本。 - 升级步骤
非双机设备升级
步骤1:确认是否可能升级:是否定制包,不让升级;是否打kb 包,需要研发确认正式包是否解决kb 包内容;确认是否正式发布包,如果是beta 包(带B 标记),需要先升级到前一个版本正式包,后再升级;确认磁盘空间是否足够。
步骤2:获取升级包以及对应md5 值文件,确认升级包md5 值正确
步骤3:备份配置
步骤4:AF7.1 及以上版本,直接使用升级客户端升级AF8.0.23(20200511).ssu;
步骤5:升级成功后,确认客户网络是否正常、设备控制台打开正常
双机设备升级
步骤1:先拆除双机(禁用双机热备、配置同步),然后按非双机设备升级步骤升级
步骤2:主、备设备均升级成功后,开启双机热备 - 升级注意事项
1) AF8.0.7 以前(不含)版本配置了IPsecVPN 且对接成功,同时不配置多线路设置时:
若先升级AF8.0.7 之后再升级AF8.0.23,则可以升级成功但IPsecVPN 会对接失败(需要启用[多线路设置]并将VPN 线路加入[多线路设置])
2)AF8.0.7 以前(不含)版本对接Sangfor VPN 的外网接口,部分选择/部分未选择【接口区域】中的[与IPSecVPN 出口线路匹配](多线路场景):
升级AF8.0.23 后,未选择接口区域中的[与IPSecVPN 出口线路匹配]的VPN 线路会对接失败
3)ipsec vpn 内网服务去掉生效时间,升级后统一都放开。
影响:若是客户低版本设置了生效时间段,升级到AF8.0.23 后,会将生效时间重置为全天放通。会导致客户原本部分时间段断网的情况下,现在全天放通。
4)Ipsec vpn 阶段二安全提议默认值被修改。由ESP+MD5+3DES 修改为ESP+AES+SHA1。
影响:与低版本使用默认配置进行对接时存在不一致导致对接不上问题。
5)低于AF8.0.23 与AF8.0.23 版本对接时,由于低版本主模式没有身份类型,23 版本必须身份类型必须配置为ipv4 才能支持为空,ipsec vpn 对接才能成功。
6)AF 有连接SIP 上报的,升级AF8.0.23 版本后,需要同步升级SIP 的版本到SIP3.0.37以上版本。
7)升级到AF8.0.23 版本,日志优先转换最近7 天的日志,正常情况下(CPU、内存空闲40%以上;网络正常),转换需要时间1 小时30 分钟。
8)设备开启了外置数据中心不支持升级AF8.0.23 版本
9)使用GCS 升级,fwlog 必须剩余3G 以上才能升级,低于或等于3G 会导致不能升级。
10)fwlib 空间少于400M,会被限制升级。
11)2G 设备配置了“SSL VPN 序列号”or“杀毒引擎更新序列号”并且在生效时间内,会被限制升级,并且升级报错信息为:“您当前的系统内存状况无法升级到AF 新版本,如需升级,请联系深信服科技客服进行处理!”
12)关于关闭ssh 端口(update 升级工具连接设备需要开启ssh)版本默认关闭ssh 端口;若是开启后8h 自动关闭;每次重启设备会关闭ssh 端口;
四、版本新功能介绍
WAF 防护专项引擎增强
对webshell 上传,代码注入,命令注入增加了专项引擎和白名单,提升了检测能力
HTTP 协议异常加强
增强multipart 头部异常检测和chunk 异常检测等
解码能力加强
增强了解码能力,增加了对异常BASE64 检测功能
SSLVPN 优化
SSL VPN 全面浏览器兼容,支持chrome/firefox/Edge/IE 等主流浏览器
SSLVPN 优化
SSL VPN 全面客户端兼容,支持Android、iOS、ubuntu、中标麒麟等主流操作系统
SSLVPN 优化
优化SSL VPN 认证方式,增加如LDAP 认证方式,提高认证易用性支持ikev2 协议
IPsec VPN 支持ike v2 协议
VPN 第三方接入UI 重构
VPN 第三方接入UI 重构,提升用户体验业务资产管理
1、支持智能化资产管理,只需输入服务器资产范围,即可自动化进行资产梳理,主动发现关联资产、离线资产、端口异常资产,并持续更新状态;
2、支持可视化业务拓扑,通过持续的流量日志分析,可以自动生成内网可视化业务拓扑图,帮助看清业务的访问逻辑,被正在使用的应用与端口,帮助运维人员发现异常违规的访问;
3、支持最小化资产管理,通过关系图很容易查看到主机的应用和端口使用情况,通过与ACL 中实际开放端口的对比,可以轻松发现冗余的应用端口和离线资产,从而帮助企业解决“离线资产难管理”、“端口开发过大”等问题。
应用控制-策略优化
新增了策略优化的动态策略检测功能,能够根据服务器流量状态和端口实际流量来判断策略冗余情况(能够检测出应用控制策略长期未使用的策略)。
监控调整原内置数据中心至导航菜单左树,其中包括日志、会话、统计、状态、报表、设置六项;
1、新增监控->日志,包括行为日志、安全日志、系统日志,包含应用控制日志、统一化安全日志等;
2、新增监控->会话,包括原来的流量排行、异常流量、会话排行、流量管理状态;
3、新增监控->统计,包括应用统计与流量统计;
4、新增监控->状态,包括设备状态与DHCP 运行状态;
5、新增监控->报表,包括安全风险报表与报表订阅;
6、新增监控->设置,包括了日志设置、告警设置与日志库。
五、修复问题
无
六、其他注意事项
1、升级客户端版本说明
升级客户端支持update6.0 版本,不支持update5.0 升级
2、规则库说明
1)在控制台-》系统-》系统维护-》系统更新-》库升级中,在线升级最新规则库;
2)在规则服务器中,获取离线升级包
3、集中管理支持BBC 的集中管理,但不支持SC 的集中管理
4、支持直通,开启直通时,无需要重启
5、低版本双机升级,先禁用双机热备、配置同步再升级
6、不支持降级
