第1 章版本名称
SSL VPN M7.6.9R1
第2 章版本概述
- 合规改进
支持IPv6 接入:aWork 客户端支持IPv6 域名登录SSL 设备 - 安全能力增强
- aWork 支持TOTP 动态令牌认证
- 封装应用支持应用锁:提升使用过程安全性,优化本地认证使用体验
- 双域SDK 安全能力增强:提供锁屏密码检测、root/越狱检测、擦除本地数据等能力
- 合入已发布的安全补丁,提升SSL 服务端和客户端安全防护能力
- 产品体验&品质改进
- aWork 支持非强制更新,减少产品交付和运维成本
- aWork 支持自助找回密码
- 控制台封装发布模块易用性改进,提高用户完成应用更新、下架操作的成功率;
- 兼容性优化
- 对主流手机厂商的旗舰机型进行适配(华为P40、iPhoneSE、三星S20、小米10、oppo findX2、vivo NEX 3S)
第3 章升级方法
3.1 支持升级版本
3.1.1 物理机
支持从M7.6.6 正式版、M7.6.6R1 正式版、M7.6.7 正式版、M7.6.7R1 正式版、M7.6.7R2正式版、M7.6.8 正式版、M7.6.8R1 正式版、M7.6.8R2 正式版、M7.6.9R1 Beta 版升级。
3.1.2 vSSL
支持从M7.6.6 正式版、M7.6.6R1 正式版、M7.6.7 正式版、M7.6.7R1 正式版、M7.6.7R2正式版、M7.6.8 正式版、M7.6.8R1 正式版、M7.6.8R2 正式版、M7.6.9R1 Beta 版升级。
3.2 升级软件限定条件
1、不支持集群/分布式集群的环境下升级
处理方法:禁用集群/分布式集群功能
2、7.6.6-7.6.6R1 版本不支持启用使用第三方认证(CAS 账号认证、Sangfor 认证、自定义接口认证)功能升级
处理方法:禁用第三方认证
3、7.6.6-7.6.6R1 版本不支持启用永久在线的设备升级
处理方法:禁用永久在线
4、7.6.6-7.6.6R1 版本不支持启用VPN 多客户端的设备升级
处理方法:禁用VPN 多客户端
5、7.6.6-7.6.6R1 版本不支持启用FTP、Mail 类型的WEB 资源的设备升级
处理方法:删除FTP、Mail 类型的WEB 资源
6、7.6.6-7.6.6R1 版本不支持存在自定义主题的设备升级
处理办法:删除自定义主题
7、不支持占用7005、7010、9527、9528 端口的设备升级
处理办法:修改控制台配置的端口为其他端口
8、7.6.6-7.6.8R1 版本不支持配置syslog 对接的设备升级
处理办法:禁用syslog 对接
9、7.6.7-7.6.8R1 版本不支持主题管理中主题的登录前公告、登录后公告配置了html标签的设备升级
处理办法:删除html 相关语法
10、有定制单号封装的安全应用,设备不支持升级
处理方法:删除定制单号封装应用或者使用标准版本封装
11、设备无法连接封装平台无法升级
处理方法:检查设备与封装平台(https://ea.sangfor.com:8800)的网络连通性
12、已启用Exchange 推送功能的设备,不支持升级,关闭该功能可升级
处理方法:禁用Exchange 推送功能
3.3 升级硬件限定条件
1、只支持2G 及以上内存设备升级
2、只支持SSD 设备,不支持CF 卡设备升级
3、只支持64 位CPU 设备升级
3.4 升级步骤
3.4.1 单台设备升级步骤
步骤1:确认是否可以升级:是否有定制,若有禁止升级;是否有技术支持补丁包,需联系400 确认版本是否合入;确认是否正式发布包,如果是beta 包(带B 标记),需要先升级到当前版本正式包,后再升级;确认硬件、软件是否满足升级条件。
步骤2:获取升级包以及对应MD5 值文件,确认升级包MD5 值正确
步骤3:备份配置
步骤4:升级前先确认SSL 版本,如果是M7.6.6 以下版本,先使用升级客户端,按照升级路线图升级到M7.6.6 版本,然后使用升级客户端加载SSLM7.6.9R1(20200728)_built-up_DLAN6.0.0(20200619)升级,升级会重启设备;如果是M7.5 及以后版本设备,直接使用升级客户端加载SSLM7.6.9R120200728)_built-up_DLAN6.0.0(20200619)升级。
步骤5:升级成功后,确认客户网络、业务是否正常、设备控制台打开是否正常
3.4.2 双机/集群/分布式集群设备升级步骤
步骤1:禁用双机/集群/分布式集群,然后按照单台设备升级步骤升级
步骤2:升级完成后组建集群/分布式集群(M7.5 以后版本以主备集群替代双机)
3.4.3 升级注意事项
1、升级会重启设备,请合理安排时间
2、M7.5 以后版本以主备集群替代双机方案
3、有使用Webagent 的设备升级到7.6.9R1 版本,请使用7.6.8R2 及以后版本的 Webagent。
4、SSL 设备更新到新版本后,建议所有应用都重新封装发布,若不更新,则无法使用 新功能。
5、若使用用户签名证书(iOS),从低于M7.6.8R1 版本升级,升级后需要导入包含 GroupID 的iOS 描述文件(深信服试用证书无影响),需要重新封装发布aWork 和所有安全 应用。
第4 章版本新功能介绍
1、aWork 和双域SDK 在IPv6 环境下,能够支持域名解析为IPv6 地址接入,暂不支持直接输入IPv6 地址接入;
2、VPN 加密隧道、普通沙箱封装的APP 支持TLS1.1、TLS1.2 协议。
3、aWork 支持找回密码功能;
4、aWork 支持TOTP 动态令牌功能;
5、aWork 支持非强制更新,用户可自定义选择更新时间,控制台可以配置更新日志;
6、Android 版aWork 不支持截屏与录屏;
7、Android 版aWork 支持清除沙箱数据
8、新增应用锁功能;
9、免密认证与应用锁结偶,可单独配置;
10、控制台在应用商店,将【下架】和【上架】从【操作】中挪出来,增强易用性;
11、控制台将移动设备管理中的安全审计移动到左树,改名为截屏审计,增强易用性;
12、控制台在应用封装上传应用页面优化;
13、控制台在应用商店发布应用页面优化;
14、控制台支持恢复默认配置;
15、控制台高危操作改进
启用/禁用移动设备管理设置时告知管理员操作影响;
添加虚拟IP 池地址或者删除虚拟IP 池地址或者编辑虚拟IP 池地址时,告知管理员操作影响;
更新证书-选择【使用内置CA 为设备颁发证书】,告知管理员操作影响;
更新证书-选择【使用自签名证书】,告知管理员操作影响;
删除本地子网保存的时候添加提示,告知管理员操作影响;
16、对主流手机厂商的旗舰机型进行适配(华为P40、iPhoneSE、三星S20、小米10、oppo findX2、vivo NEX 3S),aWork 沙箱功能都能正常使用;
17、产品安全性优化。
第5 章其他注意事项
设备恢复出场设置后需要重新实施安全优化包。
