一、版本名称
AF8.0.32
二、版本概述
【新增】云端黑客 IP 防护
云端收集全网高危黑客 IP 情报,通过现有安全策略精细化对有攻击行为的黑客 IP 实时封堵 准确率高达99%,高危黑客行为 IP 情报动态更新,有效避免白 IP 被误封的情况,管理员不用再花费大量时间和精力查看日志来排障,提升安全运营工作效率 3.7*24小时持续保护 ,最短2小时更新,保障全网高危黑客行为 IP 都处于防护状态
【优化】黑白名单
将【封锁攻击者 IP】更名为【临时封锁名单】,将【封堵名单】更名为【永久封锁名单】,统一放置在黑名单页面内黑白名单的封堵和放行支持至 dns、url 级别
【新增】蜜罐联动
AF 联动蜜罐,诱捕攻击者 IP 前往模拟服务器,可在保护服务器的情况下全方面识别黑客的攻击手法后封锁 IP,提高 AF 攻击防护能力通过使用蜜罐平台,将 AF 引流的黑客 IP 转至模拟服务器中,避免真实业务环境遭受攻击
【新增】X-Forwarded-For
识别攻击者通过代理服务器攻击真实服务器的真实 IP,解决 CDN 场景及代理服务器场景WAF 误判高的问题
【优化】服务器安全能力提升
引入 Web 智能语义引擎,优化了 SQL,XSS,WEBSHELL 后门扫描模块,提升攻击的检出率和降低白流量的误判率,适用于护网场景;增加 SSH 中低频爆破防护,提升口令爆破检测能力。
【新增】AF 自身安全的加固
修复登录前和登录后的已知所有高危严重漏洞
三、升级方法
包括升级说明、升级步骤、升级注意事项等等
1. 升级说明
⚫ 支持从哪些版本升级
➢ 中文版本 for 实体机: AF8.0.32(20201118).ssu
AF7.1 正式版 -> AF8.0.32 版本
AF7.2 正式版 -> AF8.0.32 版本
AF7.3 正式版 -> AF8.0.32 版本
AF7.3.0R1 正式版-> AF8.0.32 版本
AF7.4 正式版 -> AF8.0.32 版本
AF7.5.0 正式版 -> AF8.0.32 版本
AF7.5.1 正式版 -> AF8.0.32 版本
AF8.0.2 正式版 -> AF8.0.32 版本
AF8.0.5 正式版 -> AF8.0.32 版本
AF8.0.6 正式版 -> AF8.0.32 版本
AF8.0.6R1 Beta 版-> AF8.0.32 版本
AF8.0.7 正式版 -> AF8.0.32 版本
AF8.0.7R2 正式版 -> AF8.0.32 版本
AF8.0.8 正式版 -> AF8.0.32 版本
AF8.0.9 正式版 -> AF8.0.32 版本
AF8.0.10 正式版 -> AF8.0.32 版本
AF8.0.13 正式版-> AF8.0.32 版本
AF8.0.16 Beta 版-> AF8.0.32 版本
AF8.0.17 正式版-> AF8.0.32 版本
AF8.0.18 Beta 版-> AF8.0.32 版本
AF8.0.19 正式版-> AF8.0.32 版本
AF8.0.20 Beta 版-> AF8.0.32 版本
AF8.0.22 Beta 版-> AF8.0.32 版本
AF8.0.23 正式版-> AF8.0.32 版本
AF8.0.26 正式版-> AF8.0.32 版本
AF8.0.28 Beta 版-> AF8.0.32 版本
AF8.0.30 正式版-> AF8.0.32 版本
AF8.0.32 Beta 版-> AF8.0.32 版本
➢ 中文版本 for 虚拟机 aCloud 平台:AF8.0.32(20201118).ssu
vAF7.1R3 正式版-> vAF8.0.32 版本
vAF8.0.8 正式版-> vAF8.0.32 版本
vAF8.0.9 正式版-> vAF8.0.32 版本
vAF8.0.10 正式版 -> vAF8.0.32 版本
vAF8.0.13 正式版-> vAF8.0.32 版本
vAF8.0.17 正式版-> vAF8.0.32 版本
vAF8.0.23 正式版-> vAF8.0.32 版本
vAF8.0.26 正式版-> vAF8.0.32 版本
➢ 中文版本 for 虚拟机 aBos 平台:AF8.0.32(20201118).ssu
vAF7.5.3 正式版-> vAF8.0.32 版本
vAF8.0.8 正式版-> vAF8.0.32 版本
vAF8.0.9 正式版-> vAF8.0.32 版本
vAF8.0.10 正式版 -> vAF8.0.32 版本
vAF8.0.13 正式版-> vAF8.0.32 版本
vAF8.0.17 正式版-> vAF8.0.32 版本
vAF8.0.23 正式版-> vAF8.0.32 版本
vAF8.0.26 正式版-> vAF8.0.32 版本
⚫ 升级限定条件
1、 不支持定制版本升级
2、 不支持 KB 包版本升级
3、 不支持英文版本升级
4、 只支持三年内发布的版本升级
5、 低于 AF8.0.7 版本如果启用了“支持数据包多次穿越设备”,则不支持平滑升级,需要手动禁用后再升级,升级之后进入[系统]--[通用配置]--[多次穿越设置]再重新配置
6、 双机设备升级,需先拆除双机(禁用双机热备、配置同步)再升级;
7、 低于 AF8.0.7 版本存在以下 VPN 配置的场景,则禁止升级和导入 AF8.0.32:
1)低版本配置了移动用户或移动虚拟 IP 地址池
处理方法:需删除移动用户或移动虚拟 IP 地址池
2)低版本配置了 VPN 的动态路由
处理方法:需进入【网络】 - 【IPSecVPN 】- 【高级设置】 - 【动态路由设置】,
关闭路由选择信息协议
3)低版本开启了缺省用户且认证方式为本地认证
处理方法:需进入【IPSecVPN】 - 【用户管理】 - 【缺省用户】,禁用本地认证的缺省用户
4)低版本开启了 VPN 的组播或广播功能
处理方法:需进入【IPSecVPN 】- 【基本设置】 - 【高级】,关闭组播、广播功能
5)低版本的 VPN 基本设置配置的 MTU 不在 576-1500 范围内
处理方法:需进入【IPSecVPN】 - 【基本设置】,修改 MTU 值
6)低版本使用 IPSecVPN 第三方对接,对应线路没有加入多线路设置
处理方法:【IPSecVPN】-【多线路设置】勾选[网关模式]下启用多线路,新增第三方对接对应的线路
7)低版本使用 IPSecVPN 第三方对接,多线路设置存在对应线路,但没开启多线路
处理方法:【IPSecVPN】-【多线路设置】勾选[网关模式]下启用多线路
8)低版本 IPSecVPN 基本设置配置非直连 Internet
处理方法:【IPSecVPN】-【基本设置】将[非直连 Internet]修改为[直连 Internet]
9)低版本 IPSecVPN 多线路设置配置线路为非直连 Internet
处理方法:【IPSecVPN】-【多线路设置】修改线路出口连接模式为[非直连 Internet]为[直连 Internet]
10)低版本对接 Sangfor VPN 的外网接口没有选择接口区域中的[与 IPSecVPN 出口线路匹配](单线路场景)
处理方法:根据提示操作即可
11)IPSec VPN 模块的第三方对接中,存在与单个设备的出入站乘积超过 64,请分别对设备 xxx/设备 yyy 的出入站策略进行合并或删减后再升级,删减的策略待升级后重新添加
处理方法:根据提示操作即可
12)低版本 IPSecVPN 的第三方对接存在第一阶段或者第二阶段被禁用,或者存在没有绑定的配置。
处理方法:需要先删除或者启用被禁用的配置,使其第一阶段配置和第二阶段配置关联绑定。再进行升级
8、 设备开启了外置数据中心不支持升级,请联系深信服客服处理
9、 数据库服务异常,禁止升级,请检查数据库服务状态
10、 低于 AF8.0.23 版本设备内存小于 4G(不含 4G),若已配置 SSLVPN 序列号,则禁止升级到 AF8.0.32 版本。
处理方法:将已配置 SSLVPN 序列号删除,方可升级到当前 AF8.0.32 版本;
11、 对于 vAF 虚拟机,vAF-100 设备属于 1 核 2G 内存,禁止升级到 AF8.0.32 版本:
处理方法:关闭 vAF 虚拟机,并调整虚拟机配置,调整为 2 核 4G 或更高型号 vAF 后,重新启动,即可升级到当前 AF8.0.32 版本;
12、 低于 AF8.0.23 版本设备内存为 2G,若已配置“杀毒引擎更新”序列号,并且在生效时间内,则禁止升级到 AF8.0.32 版本。
注意:2G 低端设备由于本地硬件资源限制,将病毒查杀引擎迁移到云端,通过云鉴订阅服务提供病毒检测。
处理方法:
1、如客户已开启云鉴订阅服务,将已配置“杀毒引擎更新”序列号删除即可;
2、如客户未开启云鉴订阅服务,建议引导客户更换云鉴订阅服务授权来使用病毒查杀能力。
3、如果客户的 AF 不能接入互联网或不接受接入互联网,建议客户使用的产品最高只能升级 AF8.0.17 版本。
注:AF 现网的 2G 设备型号:
国内市场:AF-1000-A300,AF-1000-A400,AF-1000-L4170,AF-1000-L4175,AF-1000-B1080,AF-1000-B1120,AF-520,AF1020,AF1120
国外市场:M4500
2. 升级步骤
⚫ 非双机设备升级
步骤 1:确认是否可能升级:是否定制包,不让升级;是否打 kb 包,需要研发确认正式包是否解决 kb 包内容;确认是否正式发布包,如果是 beta 包(带 B 标记),需要先升级到前一个版本正式包,后再升级;确认磁盘空间是否足够。
步骤 2:获取升级包以及对应 md5 值文件,确认升级包 md5 值正确
步骤 3:备份配置
步骤 4:AF7.1 及以上版本,直接使用升级客户端升级 AF8.0.32(20201118).ssu;
步骤 5:升级成功后,确认客户网络是否正常、设备控制台打开正常
⚫ 双机设备升级
步骤 1:先拆除双机(禁用双机热备、配置同步),然后按非双机设备升级步骤升级
步骤 2:主、备设备均升级成功后,开启双机热备
3. 升级注意事项
1)AF8.0.7 以前(不含)版本配置了 IPsecVPN 且对接成功,同时不配置多线路设置时:若先升级 AF8.0.7 之后再升级 AF8.0.32,则可以升级成功但 IPsecVPN 会对接失败(需要启用[多线路设置]并将 VPN 线路加入[多线路设置])
2)AF8.0.7 以前(不含)版本对接 Sangfor VPN 的外网接口,部分选择/部分未选择【接口区域 】中的[与 IPSecVPN 出口线路匹配](多线路场景):升级 AF8.0.32 后,未选择接口区域中的[与 IPSecVPN 出口线路匹配]的 VPN 线路会对接失败
3)ipsec vpn 内网服务去掉生效时间,升级后统一都放开。
影响:若是客户低于 AF8.0.23 版本设置了生效时间段,升级到 AF8.0.32 后,会将生效时间重置为全天放通。会导致客户原本部分时间段断网的情况下,现在全天放通。
4)Ipsec vpn 阶段二安全提议默认值被修改。由 ESP+MD5+3DES 修改为 ESP+AES+SHA1。
影响:与低版本使用默认配置进行对接时存在不一致导致对接不上问题。
5)低于 AF8.0.23 与 AF8.0.23 及以后版本对接时,由于低版本主模式没有身份类型,23 及以后版本必须身份类型必须配置为 ipv4 才能支持为空,ipsec vpn 对接才能成功。
6)AF 有连接 SIP 上报的,升级 AF8.0.32 版本后,需要同步升级 SIP 的版本到 SIP3.0.53 及以上版本。
7)低于 AF8.0.19 版本升级到 AF8.0.32 版本,日志优先转换最近 7 天的日志,正常情况下(CPU、内存空闲 40%以上;网络正常),转换需要时间 1 小时 30 分钟。
8)设备开启了外置数据中心不支持升级 AF8.0.32 版本
9)使用 GCS 升级,fwlog 必须剩余 3G 以上才能升级,低于或等于 3G 会导致不能升级。
10)fwlib 空间少于 400M,会被限制升级。
11)2G 设备配置了“SSL VPN 序列号”or“杀毒引擎更新序列号”并且在生效时间内,会被限制升级,并且升级报错信息为:“您当前的系统内存状况无法升级到 AF 新版本,如需升级,请联系深信服科技客服进行处理!”
12)关于关闭 ssh 端口(update 升级工具连接设备需要开启 ssh)版本默认关闭 ssh 端口;若是开启后 8h 自动关闭;每次重启设备会关闭 ssh 端口;
13) AF8.0.32 的 SSLVPN 不支持在 XP 系统上使用,XP 用户升级到 AF8.0.32 后会导致无法使用 SSLVPN
14) 支持 C246 的 AF-2000-I484 和 I482 设备不支持升级
四、版本新功能介绍
云端黑客IP 防护
1、防护增强
云端收集全网高危黑客 IP 情报,通过现有安全策略精细化对有攻击行为的黑客 IP 实时封堵;
2、极低误判
准确率高达 99%,高危黑客行为 IP 情报动态更新,有效避免白 IP 被误封的情况,管理员不用再花费大量时间和精力查看日志来排障,提升安全运营工作效率;
3、全程有效
7*24 小时持续保护 ,最短 2小时更新,保障全网高危黑客行为 IP 都处于防护状态
蜜罐联动
1、防护增强
AF 联动蜜罐,诱捕攻击者IP 前往模拟服务器,可在保护服务器的情况下全方面识别黑客的攻击手法后封锁IP,提高 AF 攻击防护能力。
2、平台级联动
通过使用蜜罐平台,将 AF 引流的黑客 IP 转至模拟服务器中,避免真实业务环境遭受攻击。
黑白名单
1、统一编排
将【封锁攻击者 IP】更名为【临时封锁名单】,将【封堵名单】更名为【永久封锁名单】,统一放置在黑名单页面内。
2、全面支持
黑白名单的封堵和放行支持至 DNS、URL 级别
XForwarded-For
CDN 场景有效防护。识别攻击者通过代理服务器攻击真实服务器的真实 IP,解决 CDN 场景及代理服务器场景 WAF 误判高的问题
安全防护能力提升
SQL,XSS,WEBSHELL后门扫描增强引入 Web 智能语义引擎,提升攻击的检出率和降低白流量的误判率,适用于护网场景。增加 SSH 中低频爆破防护,提升口令爆破检测能力。
五、修复问题
无
六、其他注意事项
1、升级客户端版本说明
升级客户端支持 update6.0 版本,不支持 update5.0 升级
2、规则库说明
1)在控制台-》系统-》系统维护-》系统更新-》库升级中,在线升级最新规则库;
2)在规则服务器中,获取离线升级包
3、集中管理支持 BBC 的集中管理,但不支持 SC 的集中管理
4、支持直通,开启直通时,无需要重启
5、低版本双机升级,先禁用双机热备、配置同步再升级
6、不支持降级
