StoneOS 5.5R10 M版本说明
《StoneOS 5.5R10 M版本说明》包含了5.5R10所有已发布的M版本说明,主要介绍了M版本的新增功能,已知问题及升级说明等内容。
5.5R10P6M2
发布概述
发布日期:2024年5月31日
本次发布在硬件、系统、策略等方面均有所增强。重点功能及优化如下:
- 巨帧报文(Jumbo Frame)转发功能支持的平台范围扩大,在该版本新增支持SG-6000-K6280-GS平台。
- A系列和E系列部分设备支持升级至全量的入侵防御特征库。
- 支持邮件开局功能,管理员在HSM上进行配置并以邮件的方式将开局配置信息通过URL链接发送至开局人员的邮箱,实现零配置开局。
5.5R10P6M2继承/合入详情:
- 合入5.5R10P6的全部FR及已解决问题;
- 合入5.5R8P9M5.X的FR38297;
- 合入5.5R8P10M6的FR39585、FR39571、FR39573、FR39569、FR39565;
- 合入5.5R8P11M7的FR39579、FR39559、FR39575、FR39567;
- 合入5.5R8P12M8的FR39581;
- 合入5.5R8P13M9的FR39563;
- 合入5.5R8P14M10的FR39597、FR39593、FR39595、FR39591;
- 合入5.5R8P15M11的FR39603、FR39601、FR39583;
- 合入R8P17M11的FR39599。
相关功能操作方面的新增和修改,请参见《StoneOS 5.5R10 M版本增补说明》。
版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=42607
平台和系统文件
产品型号 | 系统文件 |
---|---|
SG-6000-A7600/A6800/A5860/A5800/A5660/A5600/A5560/ A5550/A5500/A5260/A5250/A5200/A5160/A5150/A5100 /A3810/A3800/A3700/A3610/A3600/A3000/A2810/A2800 /A2710/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200/B3000/B2000 |
SG6000-A-1-5.5R10P6M2.img
SG6000-A-1-5.5R10P6M2-v6.img |
SG-6000-A200/A200G4(4G版)/A200W(WLAN版) /A200WG4(WLAN+4G版) B600/SDW500/SDW500W/SDW500G4/SDW500WG4 /SDW300/SDW300W/SDW300G4/SDW300WG4 |
SG6000-A-3-5.5R10P6M2.bin
SG6000-A-3-5.5R10P6M2-v6.bin |
SG-6000-X20812/X20803 | SG6000-XN-5.5R10P6M2.img
SG6000-XN-5.5R10P6M2-v6.img |
SG-6000-X10800/X9180 |
SG6000-XL-5.5R10P6M2.bin
SG6000-XL-5.5R10P6M2-v6.bin |
SG-6000-X8180 | SG6000-XM-5.5R10P6M2.bin
SG6000-XM-5.5R10P6M2-v6.bin |
SG-6000-X7180 |
SG6000-X7180-5.5R10P6M2.bin
SG6000-X7180-5.5R10P6M2-v6.bin |
SG-6000-X6150-GS |
SG6000-X6150-GS-5.5R10P6M2.bin SG6000-X6150-GS-5.5R10P6M2-v6.bin |
SG-6000-K9180 | SG6000-K-1-5.5R10P6M2.img
SG6000-K-1-5.5R10P6M2-v6.img |
SG-6000-K2680/K2380 | SG6000-K-2-5.5R10P6M2.img
SG6000-K-2-5.5R10P6M2-v6.img |
SG-6000-K6280-GS/K6580 | SG6000-K-5-5.5R10P6M2.img SG6000-K-5-5.5R10P6M2-v6.img |
SG-6000-K5680/K3680-GS/K3280/K2580/K2560/K1280 | SG6000-K-4-5.5R10P6M2.img
SG6000-K-4-5.5R10P6M2-v6.img |
SG-6000-E5960/E5760
/E5660
/E5560
/E5568
/E5260
/E5268/E3965 /E5168 /C6050 /C5650 /C5450 |
SG6000-M-2-5.5R10P6M2.bin
SG6000-M-2-5.5R10P6M2-v6.bin |
SG-6000-A2200/A1800/A1600/E6360
/E6368
/E6160
/E6168
/E3960
/E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300 /E1700/E1606 /E1600 /E1100(WLAN版) /E1100(WLAN版+3G-WCDMA版) /E1100(WLAN版+3G-CDMA版) /E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版) /E1100(WLAN版+4G版) /E1100W-GM /E1600-GM /E1700-GM /E2300-GM /E2800-GM /E3660-GM /E3960-GM /C5250/C5050 /C4550 /C4100 /C4000 /C3100 /C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600 |
SG6000-M-3-5.5R10P6M2.bin
SG6000-M-3-5.5R10P6M2-v6.bin |
SG-6000-VM01 /VM02 /VM04 /VM08 |
SG6000-CloudEdge-5.5R10P6M2 SG6000-CloudEdge-5.5R10P6M2-v6 |
新增功能
编号 | 功能描述 | 涉及平台 |
---|---|---|
硬件 | ||
41431 | 巨帧报文(Jumbo Frame)转发功能支持的平台范围扩大,在该版本新增支持SG-6000-K6280-GS平台。 | K6280-GS |
系统 | ||
39581 | 支持对show命令的输出信息进行定时刷新。 | A, K, X, E, CloudEdge, C, B, SDW |
39597 | X8180的10GE(SFP+)光接口支持通过光转电降速到100M。 | X8180 |
39605 | 支持通过show environment power命令获取电源模块的PN号。 | A系列A3800及以上型 号设备, X8180, X9180, X10800, K9180 |
支持通过show environment fan命令获取风扇盘的PN号。 | A系列A3800及以上型 号设备, X8180 |
|
支持通过show transceiver命令获取光模块的PN号。 | A, K, E, X, CloudEdge, C, B, SDW |
|
39561 | 支持会话延迟删除期间收到新的TCP SYN报文可以新建会话功能,即如果新收到的TCP SYN报文匹配到的会话已经处于会话延迟删除状态,系统会删除匹配到的会话,同时建立一个新的相同五元组的会话进行后续报文转发。 | A, K, E, X, CloudEdge, C, B, SDW |
33160 | 支持通过show environment power命令获取电源模块的SN序列号。 | A系列A3800及以上型 号设备, X8180, X9180, X10800, K9180 |
支持通过show environment fan命令获取风扇盘的SN序列号。 | A系列A3800及以上型 号设备, X8180 |
|
41421 | 支持通过命令行关闭或重新启用指定的SSH算法,避免因SSH算法出现安全漏洞对用户的业务造成影响。 | A, K, X, E, CloudEdge, C, B, SDW |
41413 | 支持邮件开局功能,管理员在HSM上进行配置并以邮件的方式将开局配置信息通过URL链接发送至开局人员的邮箱,实现零配置开局。 | A, K, X, E, CloudEdge, C, B, SDW |
NAT | ||
39567 | 支持通过命令行进行以下操作:
|
A, K, E, X, CloudEdge, C, B, SDW |
威胁防护 | ||
41443 | A系列部分设备支持升级至全量的入侵防御特征库。 | A200, A200G4, A200W, A200WG4, A1000, A1100, B600, B2000 |
41435 | E系列部分设备支持升级至全量的入侵防御特征库。 | E1606, E1700, E2300, E2800, E2860, E2868, E3662, E3668, E3960, E3968, E3965, E5168, E5260, E5268, E5560, E5568, E5660, E5760, E5960, E1700-GM, E2300-GM, E2800-GM, E3662-GM, E3960-GM, C1300, C1500, C2000, C3000, C2100, C3100, C4000, C4100, C4550, C5050, C5250, C5450, C5650, C6050 |
策略 | ||
39575 | 支持通过命令行进行以下操作:
|
A, K, E, X, CloudEdge, C, B, SDW |
39573 | 会话限制支持将单个IP加入动态IP黑名单进行阻断,并指定对该IP的阻断时间。 | A, K, E, X, CloudEdge, C, B, SDW |
39583 |
|
A, K, E, X, CloudEdge, C, B, SDW |
39599 | 新增延迟地址更新时间功能,用户在批量修改地址簿中的地址条目后,系统不会立即将修改后的地址条目同步给引用该地址簿的策略,而是在指定的延迟时间结束后进行同步,避免由于策略配置的频繁更新而造成策略下发缓慢的情况,提高策略配置更新效率。 | A, K, E, X, CloudEdge, C, B, SDW |
对象 | ||
39571 |
|
A, K, E, X, CloudEdge, C, B, SDW |
39595 | 新增show track 命令用于查看系统中所有监测对象的配置信息。 |
A, K, E, X, CloudEdge, C, B, SDW |
路由 | ||
39565 |
|
A, K, E, X, CloudEdge, C, B, SDW |
短信认证 | ||
39585 | SSL VPN支持通过LDAP服务器进行短信认证。 | A, K, E, X, CloudEdge, C, B, SDW |
日志 | ||
38297 | 会话日志支持根据源IP和目的IP聚合。 | A, X, B,(以上系列均 仅针对安装有硬盘的 设备)K, CloudEdge |
SNMP | ||
39579 | 支持通过WebUI配置IPv6 SNMP,包括配置IPv6类型的SNMP主机、Trap主机和V3用户。 | A, K, E, X, CloudEdge, C, B, SDW |
39591 | 支持通过SNMP获取CPU核的实时利用率以及最近1分钟/最近1小时的平均利用率。 | A(不含A200/A200G4 /A200W/A200WG4/ A6800/A7600), K, E, X, CloudEdge, C, B(不含B600/B600G4/B600W/ B600WG4) |
39601 | 支持通过SNMP获取设备逻辑接口的最大带宽。 | A, K, E, X, CloudEdge, C, B, SDW |
33160 | 支持通过SNMP获取设备的整机功率。 | A系列A3800及以上型号设备, X8180, X9180, X10800, K9180 |
41449 | 支持通过SNMP获取Top32用户和Top32应用在不同时间段的流量和会话信息。 | A, K, E, X, CloudEdge, C, B, SDW |
41427 | 支持通过SNMP获取地址簿在不同时间段的流量和会话信息。 | A, K, E, X, CloudEdge, C, B, SDW |
HA | ||
39559 | 在双向NAT配置下,优化HA A/P模式HA切换时的SIP通话机制。 | A, K, E, X, CloudEdge, C, B, SDW |
39593 | HA A/P模式下支持配置HA基础虚MAC,在避免系统生成的HA虚MAC地址重复的基础上,可以降低维护难度。 | A, K, E, X, CloudEdge, C, B, SDW |
RESTful API | ||
39563 |
|
A, K, E, X, CloudEdge, C, B, SDW |
39569 | 支持通过RESTful API接口配置基于国家地址位置的地址簿。 | A, K, E, X, CloudEdge, C, B, SDW |
已知问题
编号 | 功能描述 | 涉及平台 |
---|---|---|
SSL VPN | ||
323249 | 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。 |
A, K, E, X, CloudEdge, C, B, SDW |
329424 | 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。 | |
287915 | 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。 建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。 |
A, K, E, X, CloudEdge, C |
333797/333798 | 设备在未安装SCVPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SCVPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。 |
A, K, E, X, CloudEdge, C, B, SDW |
329186 | 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。 建议:通过手动方式选择已安装的证书。 |
A, K, E, X, CloudEdge, C, B, SDW |
335090 | 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
327602 | 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
313034 | 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
334346/332965 | SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
335092 | 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。 |
A, K, E, X, CloudEdge, C, B, SDW |
323920 | Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。
建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。 |
A, K, E, X, CloudEdge, C, B, SDW |
网络 | ||
268866-1(268866) | 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 | K9180 |
QoS | ||
251079-0E0(280588) | QoS不支持Peer-mode非对称路由场景下对user的限速。 | A, K, E, X, CloudEdge, C |
HA | ||
286815 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 | A, K, E, X, CloudEdge, C |
云·界 | ||
310941-1(310941) | 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 | CloudEdge |
5.5R10P5M1
发布概述
发布日期:2024年3月22日
本次发布在路由和策略方面均有所增强。重点功能及优化如下:
- 支持通过WebUI配置PIM和PIMv6。
- 支持配置非直连组播源的组播源地址,可以满足组播源DR与组播源跨网段组播的场景。
- 支持通过WebUI和CLI方式配置接口的PIM被动模式,实现对组播流量的安全可控。
5.5R10P5M1继承/合入详情:
- 合入5.5R10P5的全部FR及已解决问题;
- 合入5.5R8P9M5.X的FR38293;
- 合入5.5R10F3.X的FR39293;
- 合入5.5R9F5的FR39295。
相关功能操作方面的新增和修改,请参见《StoneOS 5.5R10 M版本增补说明》。
版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=40675
平台和系统文件
产品型号 | 系统文件 |
---|---|
SG-6000-A7600/A6800/A5860/A5800/A5660/A5600/A5560/ A5550/A5500/A5260/A5250/A5200/A5160/A5150/A5100 /A3810/A3800/A3700/A3610/A3600/A3000/A2810/A2800 /A2710/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200/B3000/B2000 |
SG6000-A-1-5.5R10P5M1.img
SG6000-A-1-5.5R10P5M1-v6.img |
SG-6000-A200/A200G4(4G版)/A200W(WLAN版) /A200WG4(WLAN+4G版) B600/SDW500/SDW500W/SDW500G4/SDW500WG4 /SDW300/SDW300W/SDW300G4/SDW300WG4 |
SG6000-A-3-5.5R10P5M1.bin
SG6000-A-3-5.5R10P5M1-v6.bin |
SG-6000-X20812/X20803 | SG6000-XN-5.5R10P5M1.img
SG6000-XN-5.5R10P5M1-v6.img |
SG-6000-X10800/X9180 |
SG6000-XL-5.5R10P5M1.bin
SG6000-XL-5.5R10P5M1-v6.bin |
SG-6000-X8180 | SG6000-XM-5.5R10P5M1.bin
SG6000-XM-5.5R10P5M1-v6.bin |
SG-6000-X7180 |
SG6000-X7180-5.5R10P5M1.bin
SG6000-X7180-5.5R10P5M1-v6.bin |
SG-6000-X6150-GS |
SG6000-X6150-GS-5.5R10P5M1.bin SG6000-X6150-GS-5.5R10P5M1-v6.bin |
SG-6000-K9180 | SG6000-K-1-5.5R10P5M1.img
SG6000-K-1-5.5R10P5M1-v6.img |
SG-6000-K2680/K2380 | SG6000-K-2-5.5R10P5M1.img
SG6000-K-2-5.5R10P5M1-v6.img |
SG-6000-K6280-GS/K6580 | SG6000-K-5-5.5R10P5M1.img SG6000-K-5-5.5R10P5M1-v6.img |
SG-6000-K5680/K3680-GS/K3280/K2580/K2560/K1280 | SG6000-K-4-5.5R10P5M1.img
SG6000-K-4-5.5R10P5M1-v6.img |
SG-6000-E5960/E5760
/E5660
/E5560
/E5568
/E5260
/E5268/E3965 /E5168 /C6050 /C5650 /C5450 |
SG6000-M-2-5.5R10P5M1.bin
SG6000-M-2-5.5R10P5M1-v6.bin |
SG-6000-A2200/A1800/A1600/E6360
/E6368
/E6160
/E6168
/E3960
/E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300 /E1700/E1606 /E1600 /E1100(WLAN版) /E1100(WLAN版+3G-WCDMA版) /E1100(WLAN版+3G-CDMA版) /E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版) /E1100(WLAN版+4G版) /E1100W-GM /E1600-GM /E1700-GM /E2300-GM /E2800-GM /E3660-GM /E3960-GM /C5250/C5050 /C4550 /C4100 /C4000 /C3100 /C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600 |
SG6000-M-3-5.5R10P5M1.bin
SG6000-M-3-5.5R10P5M1-v6.bin |
SG-6000-VM01 /VM02 /VM04 /VM08 |
SG6000-CloudEdge-5.5R10P5M1 SG6000-CloudEdge-5.5R10P5M1-v6 |
新增功能
编号 | 功能描述 | 涉及平台 |
---|---|---|
路由 | ||
39295 | 支持通过WebUI配置PIM和PIMv6。 | A, K, E, X, CloudEdge, C, B, SDW |
39293 | 支持配置非直连组播源的组播源地址,可以满足组播源DR与组播源跨网段组播的场景。 | |
38118 | 支持通过WebUI和CLI方式配置接口的PIM被动模式,实现对组播流量的安全可控。 | |
策略 | ||
38293 | 流量达到会话限制策略配置的阈值后,系统支持通过事件日志和SNMP Trap报文发送告警信息。 | A, K, E, X, CloudEdge, C, B, SDW |
会话限制策略首次产生告警信息后,如果该策略的统计数连续30秒内不超过阈值,系统支持通过事件日志和SNMP Trap报文发送告警清除信息。 |
已知问题
编号 | 功能描述 | 涉及平台 |
---|---|---|
SSL VPN | ||
323249 | 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。 |
A, K, E, X, CloudEdge, C, B, SDW |
329424 | 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。 | |
287915 | 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。 建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。 |
A, K, E, X, CloudEdge, C |
333797/333798 | 设备在未安装SCVPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SCVPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。 |
A, K, E, X, CloudEdge, C, B, SDW |
329186 | 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。 建议:通过手动方式选择已安装的证书。 |
A, K, E, X, CloudEdge, C, B, SDW |
335090 | 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
327602 | 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
313034 | 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
334346/332965 | SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
335092 | 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。 |
A, K, E, X, CloudEdge, C, B, SDW |
323920 | Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。
建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。 |
A, K, E, X, CloudEdge, C, B, SDW |
网络 | ||
268866-1(268866) | 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 | K9180 |
QoS | ||
251079-0E0(280588) | QoS不支持Peer-mode非对称路由场景下对user的限速。 | A, K, E, X, CloudEdge, C |
HA | ||
286815 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 | A, K, E, X, CloudEdge, C |
云·界 | ||
310941-1(310941) | 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 | CloudEdge |
5.5R10
发布概述
发布日期:2023年1月17日
发布StoneOS 5.5R10版本,推出332个新功能特性、十余款新平台,优化产品易用性和稳定性,重点功能包含:
- A系列、K系列防火墙发布新型号平台,包括SG-6000-A7600、A6800、A5600、A5200、A5100、A2800、A2700、A200、A200W、A200G4、A200WG4,K5680、K6280-GS、K3680-GS。
- 新增零信任网络访问(ZTNA)方案,作为基于SDP框架的远程安全访问方案,基于用户身份、终端设备的状态、访问时间等维度对访问流量进行管控,并动态调整用户可访问的授权应用范围,其关键特性包括支持单包授权(SPA)、主机安全状态检查、应用资源(组)功能,以及支持配置独立且极其易用的零信任访问策略。遵循零信任“持续验证,永不信任”的核心理念,在提升安全性的同时支持通过升级SSL VPN客户端即可实现ZTNA方案;
- 优化威胁防护功能:重点支持加密流量检测功能,通过对加密流量进行特征数据提取以识别威胁流量;支持Flood攻击防护阈值学习功能,通过对正常网络环境下所通过流量的最大速率的统计,为配置攻击防护提供合理的攻击检测阈值参考,进一步提升防火墙的智能化安全能力,降低管理员的配置成本;
- 提升了日志、监控和诊断能力,重点支持长期监控功能,可实现长达6个月的历史流量监控统计;支持会话日志和NAT日志输出到硬盘功能等;
- 同时,配合新增的WebUI开局向导、NAT规则冗余检测、HSVRP高可靠组网等新功能特性,系统的可用性得到全方位的提升。
版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=31796
平台和系统文件
产品型号 | 系统文件 |
---|---|
SG-6000-A7600/A6800/A5800/A5600/A5500/A5200 /A5100/A3800/A3700/A3600 /A3000/A2800/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200 /B3000/B2000 |
SG6000-A-1-5.5R10.img
SG6000-A-1-5.5R10-v6.img |
SG-6000-A200/A200G4(4G版)/A200W(WLAN版) /A200WG4(WLAN+4G版) B600/SDW500/SDW500W/SDW500G4/SDW500WG4 /SDW300/SDW300W/SDW300G4/SDW300WG4 |
SG6000-A-3-5.5R10.bin
SG6000-A-3-5.5R10-v6.bin |
SG-6000-X10800/X9180 |
SG6000-XL-5.5R10.bin
SG6000-XL-5.5R10-v6.bin |
SG-6000-X8180 | SG6000-XM-5.5R10.bin
SG6000-XM-5.5R10-v6.bin |
SG-6000-X7180 |
SG6000-X7180-5.5R10.bin
SG6000-X7180-5.5R10-v6.bin |
SG-6000-X6150-GS |
SG6000-X6150-GS-5.5R10.bin SG6000-X6150-GS-5.5R10-v6.bin |
SG-6000-K9180 | SG6000-K-1-5.5R10.img
SG6000-K-1-5.5R10-v6.img |
SG-6000-K2680/K2380 | SG6000-K-2-5.5R10.img
SG6000-K-2-5.5R10-v6.img |
SG-6000-K6280-GS | SG6000-K-5-5.5R10.img SG6000-K-5-5.5R10-v6.img |
SG-6000-K5680/K3680-GS/K3280/K2580 | SG6000-K-4-5.5R10.img
SG6000-K-4-5.5R10-v6.img |
SG-6000-E5960/E5760 /E5660 /E5560 /E5568 /E5260 /E5268/E3965 /E5168 /C6050 /C5650 /C5450 |
SG6000-M-2-5.5R10.bin
SG6000-M-2-5.5R10-v6.bin |
SG-6000-E6360
/E6368
/E6160
/E6168
/E3960
/E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300 /E1700/E1606 /E1600 /E1100(WLAN版) /E1100(WLAN版+3G-WCDMA版) /E1100(WLAN版+3G-CDMA版) /E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版) /E1100(WLAN版+4G版) /E1100W-GM /E1600-GM /E1700-GM /E2300-GM /E2800-GM /E3660-GM /E3960-GM /C5250/C5050 /C4550 /C4100 /C4000 /C3100 /C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600 |
SG6000-M-3-5.5R10.bin
SG6000-M-3-5.5R10-v6.bin |
SG-6000-VM01 /VM02 /VM04 /VM08 |
SG6000-CloudEdge-5.5R10 SG6000-CloudEdge-5.5R10-v6 |
新增功能
编号 | 功能描述 | 涉及平台 |
---|---|---|
平台支持 | ||
A系列防火墙 | ||
25003 | A系列设备新增支持IOC-A-2QSFP+模块。 | A3700, A3800 |
25555/22979 /22981/26067/ 27676/27668 |
A系列设备新增支持SG-6000-A7600、SG-6000-A6800、SG-6000-A5600、SG-6000-A5200、SG-6000-A5100、SG-6000-A2800、SG-6000-A2700、SG-6000-A200W(WLAN版)、SG-6000-A200G4(4G版)和A200WG4(WLAN+4G版)平台。 | A |
28541/28544 | 支持IPv6报文转发的硬件加速功能。 | A7600, A6800 |
28547 | SG-6000-A7600/A6800的光接口可通过命令exec port-mode 切 换成2x40GE(QSFP+)+2x100GE(QSFP28)模式、2x100GE(QSFP28)+2x40GE(QSFP+)模式或4x100GE(QSFP28)模式。 | |
K系列防火墙 | ||
26226/26229 /27672 |
K系列设备新增支持SG-6000-K5680、SG-6000-K6280-GS、SG-6000-K3680-GS平台。 | K |
X系列防火墙 | ||
24366 |
X8180新增支持:
|
X8180 |
SDW | ||
28555/28556 /28557/28558 / 28560/28564 /28565/28566 |
新增支持SG-6000-SDW500、SG-6000-SDW500W、SG6000-SDW500G4、SG-6000-SDW500WG4、SG-6000- SDW300、SG-6000-SDW300W、SG-6000-SDW300G4、SG-6000-SDW300WG4平台。 | SDW |
策略 | ||
23316 | 支持通过WebUI方式查看安全策略、SNAT规则、DNAT规则、iQoS管道、策略路由的地址/服务条目详情,以及查看共享接入、DNS代理的地址条目详情。 | A, K, E, X, CloudEdge, C, B |
SDW系列支持通过WebUI方式查看安全策略、SNAT规则、DNAT规则、iQoS管道、策略路由的地址/服务条目详情,以及查看DNS代理的地址条目详情。 | SDW | |
24379 | 支持安全策略、DNS代理规则、静态特征规则、iQoS管道、策略路由、监控配置、共享接入、用户监控这些功能模块在引用地址簿时可以基于IP地址进行模糊搜索。 | A, K, E, X, CloudEdge, C, B |
SDW系列支持安全策略、DNS代理规则、静态特征规则、iQoS管道、策略路由、监控配置、用户监控这些功能模块在引用地址簿时可以基于IP地址进行模糊搜索。 | SDW | |
26334 | 边界流量过滤功能支持配置真实IP黑名单,阻断发起攻击的真实客户端IP地址。 | A, K, E, X, CloudEdge, C, B, SDW |
24119 | 支持基于SCTP协议的安全策略。 | A, K, E, X, CloudEdge, C, B, SDW |
25420 | 支持启用多安全域模式。多安全域模式下,安全策略支持配置多个源安全域和目的安全域。一条安全策略最多支持配置16个源/目的安全域。 | A, K, E, X, CloudEdge, C, B, SDW |
25514 | 支持识别ICMPv6类型为5-99和102-126的流量,并对流量进行策略规则控制。 | A, K, E, X, CloudEdge, C, B, SDW |
27712 | 安全策略支持基于DSCP字段对IPv4流量进行访问控制。 | A, K, E, X, CloudEdge, C, B, SDW |
28559 | 支持识别VLAN流量,并基于VLAN ID对流量进行访问控制。 | A, K, E, X, CloudEdge, C, B, SDW |
24494 | 当使用HTTPS方式登录设备时,支持基于国密SSL协议的双因素认证(用户名密码和USB Key证书认证)。 | A, K, E, X, CloudEdge, C, B, SDW |
VPN | ||
21761 | 支持自定义Secure Connect客户端下载源,支持类型:Windows、macOS、Linux。 | A, K, E, X, CloudEdge, C, B, SDW |
22089 | 优化Hillstone Secure Connect Windows、macOS、Linux、Android和iOS客户端功能和界面。 | A, K, E, X, CloudEdge, C, B, SDW |
24906 | K9180支持国密算法。 | K9180 |
25153 | SSL VPN支持对接PICC 4A服务器完成扫码登录认证。 | A, K, E, X, CloudEdge, C, B, SDW |
17756 | IPSec VPN功能UI界面支持查看和解绑/删除VPN与隧道接口、安全策略、GRE VPN和L2TP VPN的关联配置,并支持在删除VPN条目时一次解绑/删除所有关联项,用户无需到各个模块分别解绑/删除。 | A, K, E, X, CloudEdge, C, B, SDW |
24369 | IKEv1 VPN支持配置自定义IKE协商端口池。当VPN通过UDP 500端口协商首包超时失败时,系统可以使用自定义端口池中的端口进行IKE协商,建立IPSec连接。 | A, K, E, X, CloudEdge, C, B, SDW |
25055 | 安全隧道对端状态检测(DPD)支持on-demand模式,对 ISAKMP网关是否存在进行检测。 | A, K, E, X, CloudEdge, C, B, SDW |
25057 | IKEv1 VPN 支持DH Group 18。 | A, K, E, X, CloudEdge, C, B, SDW |
25059 | IKEv1 VPN 第二阶段加密算法支持AES-GCM-128、AES-GCM-192、AES-GCM256。 | A, K, E, X, CloudEdge, C, B, SDW |
25066 | SSL VPN支持HTTP(S)协议类型的短信网关,并且可以指定测试短信的内容。 | A, K, E, X, CloudEdge, C, B, SDW |
25746 | 优化IPSec VPN监控功能,增加展示持续时间、发送/接收速率、最近建立时间、最后断开时间、断开原因及当日断开次数信息条目。 | A, K, E, X, CloudEdge, C, B, SDW |
27700 | 支持通过USB Key数字证书的证书DN关联SSL VPN资源列表。 | A, K, E, X, CloudEdge, C, B, SDW |
27714 | VXLAN功能新增支持X系列设备及K9180。 | K9180, X |
28562 | IKEv1 VPN支持配置智能选路功能,实现链路质量探测和链路切换功能。 | A, K, E, X, CloudEdge, C, B, SDW |
零信任网络访问(ZTNA) | ||
26089/26108 /26109/26970 /26974/26975 /26976/27643 /27683/27690 /27708/27710 /27795/27796 /27798/27800 /27801/27825 /27848/27945 /27535 |
支持零信任网络访问(ZTNA)解决方案。ZTNA是基于SDP框架的远程安全访问方案,基于用户身份、终端设备的状态、访问时间等维度对访问流量进行管控,并动态调整用户可访问的授权应用范围。 |
A, K, E, X, CloudEdge, C, B, SDW |
HA | ||
25310 | 支持HSVRP功能。当部署HA Peer Mode时,HA设备的各组业务接口通过引用HSVRP组,使得两台设备各自正常工作的同时互为备份,即在一台设备故障的情况下,另一台设备可以接管原本流向故障设备业务接口的流量,从而保障网络通信的稳定性。 | A, K, E, X, CloudEdge, C, B, SDW |
23221 | 在主设备向备设备同步特征库文件后,支持定期检查主备设备特征库的配置一致性。 | A, K, E, X, CloudEdge, C, B |
24468 | HA A/P模式备份防火墙Flow session支持重新匹配路由。 | A, K, E, X, CloudEdge, C, B, SDW |
26441 | 在HA 孪生模式 AP(Active-Passive)部署场景下,支持主备设备间同步DHCP Server或Client的动态数据信息。 | A, K, E, X, CloudEdge, C, B, SDW |
25546 | 支持通过WebUI查看HA主备设备的配置一致性。 | A, K, E, X, CloudEdge, C, B, SDW |
25335 |
重构HA WebUI配置界面,提高界面易用性:
|
A, K, E, X, CloudEdge, C, B, SDW |
25506 | 支持配置接口vswitchifx:1作为HA Peer 模式下组1接口,用于二层和三层混合模式数据转发;并支持在HA Peer二层模式下, 通过vswitchifx:1接口进行设备管理。 | A, K, E, X, CloudEdge, C, B |
27703 | 在孪生模式A/A模式部署场景中,支持配置首包转发Bounce Back功能。 | A系列A3000及以上型号设备, E系列E3960及以上型号设备, X系列所型号设备, B系列B4600及以上型号设备 |
开局向导 | ||
23397 | 新增WebUI开局安装向导,帮助用户按照指引的步骤完成防火墙设备的初始配置,包括系统时间、许可证等基本配置、路由模式的部署以及安全策略相关的防护配置。用户也可以选择跳过安装向导。 | A, K(不含K9180), E, CloudEdge, C, B, SDW |
数据安全 | ||
24770/25498 /26599 |
预定义关键字类别新增predef_bank_card和predef_email_address,用于在内容过滤和URL过滤功能中实现基于银行卡号和邮箱账号关键字的过滤和阻断。 | A, K, E, X, CloudEdge, C, B |
威胁防护 | ||
25239 | 特征库更新频率支持每月自定义时间更新。 | A, K, E, X, CloudEdge, C, B |
25252 | 支持通过WebUI查看特征库的最新版本并支持手动检查特征库的最新版本。 | A, K, E, X, CloudEdge, C, B |
24475 | 入侵防御功能支持抓包功能。 | A/K/B (以上系列均仅针对安装有硬盘的设备), CloudEdge |
26263 | 自定义入侵检测特征规则支持配置攻击流量方向,使得攻击源的判断更加准确。 | A, K, E, X, CloudEdge, C, B |
26265 | 支持将入侵防御和病毒过滤威胁日志的攻击源IP加入黑名单。 | A, K, E, X, CloudEdge, C, B |
26267 | 支持对FTP/Telnet/POP3/IMAP/SMTP协议的明文密码进行密码强度检测,帮助用户进行密码管理,避免弱密码导致的安全隐患。 | A, K, E, X, CloudEdge, C, B |
26270 | 优化弱口令检测功能,支持用户自定义FTP/Telnet/POP3/IMAP/SMTP协议的明文密码的弱口令检测条件。 | A, K, E, X, CloudEdge, C, B |
26271 | 优化可疑UA(User-Agent)检测功能。 | A, K, E, X, CloudEdge, C, B |
26272 | 优化SQL注入和XSS注入攻击防护功能,误报/漏报率更低。 | A, K, E, X, CloudEdge, C, B |
26273 | 支持对IP协议扫描攻击和UDP端口扫描攻击进行防护。 | A, K, E, X, CloudEdge, C, B, SDW |
26276 | 支持对入侵防御引擎检测出的威胁抓取完整的威胁数据,并支持用户下载威胁数据进行查看和分析。 | A/K/B (以上系列均仅针对安装有硬盘的设备), CloudEdge |
26277 | 支持对IMAP/SSH/LDAP/SMB/VNC/RDP协议下的暴力破解攻击进行防护。 | A, K, E, X, CloudEdge, C, B |
26278 | 支持敏感目录扫描检查功能,可有效防护针对Web服务器的敏感目录扫描攻击。 | A, K, E, X, CloudEdge, C, B |
27468 | 支持对反弹shell攻击进行检测和防护。 | A, K, E, X, CloudEdge, C, B |
27773 | 入侵防御功能的防护动作支持设置更长的阻断IP/阻断服务时长。 | A, K, E, X, CloudEdge, C, B |
26589 | 支持将除现有的PE、APK、JAR、MS-Office、PDF、 SWF、RAR、ZIP、ELF、Script外的其他类型的文件上传到本地沙箱(智影)进行检测。 | A, K, E, X, CloudEdge, C, B |
25264 | 支持通过HTTP、HTTPS类型服务器自动更新边界流量过滤黑名单库。 | A, K, E, X, CloudEdge, C, B, SDW |
25223 | 支持加密流量检测功能,通过对加密攻击流量进行特征数据提取以识别威胁流量。 | A (不含A200, A200W, A200G4, A200WG4, A6800, A7600), CloudEdge, K2380, K2680 |
25228 | 支持Flood攻击防护阈值学习功能,通过对正常网络环境下所通过流量的最大速率的统计,为配置攻击防护提供合理的攻击检测阈值参考。 | A, K, E, CloudEdge, C, B, SDW |
25747 | 支持对ICMP重定向攻击进行检测和防护,并将IP地址扫描和端口扫描的可配置阈值时间增加至1800000ms。 | A, K, E, X, CloudEdge, C, B, SDW |
23641 | 支持SIP Flood攻击防护功能。 | A, K, E, X, CloudEdge, C, B |
25036 | 开启云沙箱(云影)防护/本地沙箱(智影)防护功能,并将设备成功注册到云沙箱/本地沙箱,在传输文件后,支持将所传输文件的上下文信息传送到云沙箱/本地沙箱。 | A, K, E, X, CloudEdge, C, B |
25062 | 支持配置全局白名单,系统对全局白名单中的IP地址直接放行,不做任何安全检查。 | A, K, E, X, CloudEdge, C, B |
25422 | 病毒过滤、沙箱防护和数据安全模块支持对SMB断点续传场景下传输的文件进行过滤和阻断。 | A, K, E, X, CloudEdge, C, B |
25856 | 僵尸网络防御的威胁日志和iCenter支持显示IOC关联的恶意威胁标签、恶意家族、攻击团伙信息。 | A, K, E, X, CloudEdge, C, B |
27706 |
静态IP黑名单、动态IP黑名单支持按照指定用户进行阻断或控制。 黑名单库自动更新配置中支持指定更新周期,按照周期进行更新;同时,支持立即更新黑名单库。 黑名单库支持配置不带掩码的主机IP地址。 优化边界流量过滤的聚合日志,支持按照源IP、目的IP和命中IP进行聚合。 |
A, K, E, X, CloudEdge, C, B |
支持导出非根VSYS下的黑名单库。 | A(不含A200, A200W, A200G4, A200WG4), B (不含B600, B600W, B600G4, B600WG4, B2000) |
|
27715 | 入侵防御自定义特征支持正则表达式。 | A, K, E, X, CloudEdge, C, B |
对象 | ||
30097 | 自定义应用支持配置应用的类别、子类别、所使用的的技术和特征。 | A, K, E, X, CloudEdge, C, B, SDW |
26931 | 支持配置Ping报文动态ID功能,使同一个监测对象发送的ICMP报文的ID为动态随机值。 | A, K, E, X, CloudEdge, C, B, SDW |
监控 | ||
27134 |
支持长期监控功能:
|
K(不含K9180), A/B
(以上系列均仅针对安装有硬盘的设备) |
27135 |
|
A/B (以上系列均仅针对安装有硬盘的设备) |
26537 | 用户监控的用户详情统计信息支持显示主机名称。 | A, K, E, X, C, B, SDW |
25337 | WebUI“监控 > 报表”功能新增“报表状态”页面,显示报表任务的运行状态、运行时间、失败原因等信息,并且支持手动停止指定的报表任务。 | A, K, E, X, CloudEdge, C, B, SDW |
DNS | ||
24304 | 支持DNS主动解析缓存在设备上的保存时间为DNS服务器返回值。 | A, K, E, X, CloudEdge, C, B |
NAT | ||
24391 | 支持监控SNAT规则端口资源使用率,当端口资源耗尽或使用率超出配置的阈值时,记录告警日志。 | A, K, E, X, CloudEdge, C, B, SDW |
24472 | DNAT规则支持转换源地址,即双向NAT,支持IPv4、NAT46、NAT64、IPv6场景。 | A, K, E, X, CloudEdge, C, B, SDW |
25021 | DNS Rewrite规则支持配置域名重写和基于优先级匹配规则。 | A, K, E, X, CloudEdge, C, B, SDW |
25139 | NAT64的SNAT规则支持配置静态地址端口块。 | A, K, E, X, CloudEdge, C, B, SDW |
23389 | 支持通过WebUI配置DNS改写和查看DNS改写动态映射表。 | A, K, E, X, CloudEdge, C, B, SDW |
12812/13413 | 支持对SNAT、DNAT、BNAT规则设置时间表、安全域。 | A, K, E, X, CloudEdge, C, B, SDW |
14470 | 支持NAT规则冗余检测功能。 | A, K, E, X, CloudEdge, C, B, SDW |
28561 | IPv4 BNAT规则支持配置的内网和外网IP地址个数上限分别增加至2 32;IPv6 BNAT规则支持配置的内网和外网IP地址个数上限分别增加至2 80。 | |
系统 | ||
23850 | 支持热补丁升级功能,在保证业务不中断的情况下,对设备当前软件版本问题进行修复。 | A, K, E, X, CloudEdge, C, B, SDW |
24301 |
|
A, K, E, X, CloudEdge, C, B, SDW |
26162 | 支持对小于等于9216字节的IPv4/IPv6巨帧报文(Jumbo Frame)的转发。 | A, K(不含K9180), E, X(不含X8180), CloudEdge, C, B, SDW |
26909 | 优化系统新建会话性能。 | A5800 |
27136 | 设备恢复正常工作状态时,前面板告警指示灯(ALM灯)能够自动清除告警提示。 | A, K, E, X, C, B, SDW |
27397 | 支持低时延模式,通过调整接口队列数量和批量发包参数,最大程度上的降低时延。 | A, K |
23634 | 新增show memory filesys命令用于查看系统内存中文件系统所占用的内存大小。 | A, K, E, X, CloudEdge, C, B, SDW |
23645 | 支持使用调试功能时配置优先级和定时器。通过指定业务优先,可以避免调试功能影响业务转发。通过指定执行时间,可以控制调试功能的执行时间。 | A, K, E, X, CloudEdge, C, B, SDW |
25819 | 新增logging debug to file命令用于将调试日志输出到文件,并支持设置文件大小。 | A, K, E, X, CloudEdge, C, B, SDW |
22613 | 修改登录WebUI时的Cookie校验方式,允许用户通过同一个NAT IP同时访问多个设备。 | A, K, E, X, CloudEdge, C, B, SDW |
25403 | 优化数据结构,提升同步大量LDAP/AD用户和用户组时的性能,降低CPU使用率。 | A, K, E, X, CloudEdge, C, B, SDW |
24996 | 支持通过升级服务器自动更新ISP信息库。 | A, K, E, X, CloudEdge, C, B, SDW |
19558 | 支持通过API Token登录设备的RESTful API。 | A, K, E, X, CloudEdge, C, B, SDW |
22887 | 支持在线抓包功能抓取入接口或出接口的数据包。 | A, K, E, X, CloudEdge, C, B, SDW |
13042 | 支持通过短信或邮箱二次认证的方式登录设备的WebUI。 | A, K, E, X, CloudEdge, C, B, SDW |
23027 | 支持通过CLI方式查看设备进程信息中的IPC队列长度。 | A, K, E, X, CloudEdge, C, B, SDW |
23028 | 支持通过CLI方式查看光口模块的波长和最大传输距离。 | A, K, E, X, CloudEdge, C, B, SDW |
25508 |
|
A, E, C, B, K9180, X8180, X9180, X10800 |
25997 | 支持升级数据库数据,例如日志、报表等,将系统版本升级后数据库中的旧版本数据格式,升级至符合当前版本的数据格式。 | A, K, CloudEdge, B, SDW |
21011/23950 | 支持当基于二层安全域部署时对MPLS报文进行安全控制。 | A, K, E, X, CloudEdge, C, B, SDW |
23948 | 应用特征库支持应用GB/T 28181和GB/T 35114。应用识别结果为SIP时,进一步判断是否为GB/T 28181和GB/T 35114。 | A, K, E, X, CloudEdge, C, B, SDW |
25741 | 防火墙支持向HSM设备上送链路应用数据,例如应用延时、抖动、丢包率等等。 | A, K, E, X, CloudEdge, C, B, SDW |
26399 | 在SIP ALG应用场景,系统支持基于RFC3311处理SIP Update消息,包括在启用了NAT的环境。 | A, K, E, X, CloudEdge, C, B, SDW |
26319 | 支持历史密码检查功能,用户在修改密码时不能重复使用最近n次内已使用的密码。 | A, K, E, X, CloudEdge, C, B, SDW |
IPv6 | ||
22772 | 地址簿IPv6地址成员支持配置通配符掩码,IPv6通配符掩码地址支持被其它IPv6地址簿和策略规则引用。 | A, K, E, X, CloudEdge, C, B, SDW |
24921 | GRE隧道支持同时配置IPv4和IPv6类型的网关,以便同时处理两种IP类型的流量。 | A, K, E, X, CloudEdge, C, B, SDW |
25030 | 支持对IPv6地址的流量进行出站负载均衡。 | A, K, E, X, CloudEdge, C, B, SDW |
25053 | IPv6支持6RD(IPv6 Rapid Deployment on IPv4 Infrastructures) 隧道。6RD建立在6to4隧道的机制之上,可以使用服务供应商 提供的IPv6的前缀替换掉6to4自动隧道的固定前缀 (2002::/16) | A, K, E, X, CloudEdge, C, B, SDW |
27697 | Full-cone NAT支持IPv6。 | A, K, E, X, CloudEdge, C, B, SDW |
27705 | 三层接口的IPv6 RA报文支持携带RDNSS和DNSSL配置选项,收到配置选项的IPv6主机可以进行自动DNS配置。 | A, K, E, X, CloudEdge, C, B, SDW |
27722 | 支持查看IPv6地址簿条目配置信息。 | A, K, E, X, CloudEdge, C, B, SDW |
iQoS | ||
27713 | iQoS子管道内每IP/用户的最大带宽上限支持动态调整。 | A, K, E, X, CloudEdge, C, B, SDW |
路由 | ||
27406 | 当接口没有连接组播接收者,或者连接的组播接收者无法发送IGMP Report报文时,可以通过配置Join-group将接口加入到组播组,接收来自组播组的数据。 | A, K, E, X, CloudEdge, C, B, SDW |
24309 | X系列设备支持通过IPsec隧道创建BFD邻居。 | X,K9180 |
12768 | OSPFv3支持在区域内和接口下开启AH或ESP加密认证功能。 | A, K, E, X, CloudEdge, C, B, SDW |
24371 | 支持域名路由。域名路由支持配置目的域名和下一跳地址,通过DNS Snooping主动解析或者被动解析建立并更新目的域名与IP地址的映射关系信息,生成路由。 | A, K, E, X, CloudEdge, C, B, SDW |
25044 | BGP支持平滑重启(GR)功能。 | A, K, E, X, CloudEdge, C, B, SDW |
SSL代理 | ||
25046 | SSL代理支持解密RDPS和FTPS流量。 | A, K, E, X, CloudEdge, C, B, SDW |
27701 | SSL代理支持会话复用功能。 | A, K, E, X, CloudEdge, C, B, SDW |
认证 | ||
23957 |
SSO Monitor与AD Agent功能增强:
|
A, K, E, X, CloudEdge, C, B, SDW |
25070 | ACC短信网关发送请求时支持增加校验码字段。 | A, K, E, X, CloudEdge, C, B, SDW |
25138 | RADIUS Snooping在生成认证用户时,支持过滤掉用户名以指定字符串结尾的用户,只对未过滤掉的用户名生成认证用户信息。 | A, K, E, X, CloudEdge, C, B, SDW |
25393 | PKI支持配置PKCS#7、PKCS#12和CERT-BUNDLE格式的证书链,并支持检查证书链和PKI信任域内证书的有效性。 | A, K, E, X, CloudEdge, C, B, SDW |
25307 |
LDAP和Active Directory同步配置优化:
|
A, K, E, X, CloudEdge, C, B, SDW |
23956/25418 | 在AAA认证服务器信息定时同步完成后,如果认证用户的用户组发生变化,系统会匹配新用户组对应的策略规则。 | A, K, E, X, CloudEdge, C, B, SDW |
25028 | LDAP服务器支持配置认证和同步Base-DN,以及LDAP服务器和Active-Directory服务器支持配置同步对象。 | A, K, E, X, CloudEdge, C, B, SDW |
25425 | 支持通过Agile Controller实现单点登录。 | A, K, E, X, CloudEdge, C, B, SDW |
25427 | 查询认证用户信息时,支持基于IP/IP段和用户组筛选出特定的用户信息。 | A, K, E, X, CloudEdge, C, B, SDW |
25664 | PKI支持配置使用者可选名称字段、WebAuth被动认证地址支持域名形式。 | A, K, E, X, CloudEdge, C, B, SDW |
26001 | 短信网关认证支持对接贝壳短信网关进行SSL VPN认证和Web认证。 | A, K, E, X, CloudEdge, C, B, SDW |
26432 | 通过RADIUS服务器进行认证时,支持配置LOCAL NAS IP,可保证复杂网络环境下RADIUS服务器与设备之间通信正常。 | A, K, E, X, CloudEdge, C, B, SDW |
26613/26614 | X系列设备支持的SSO RADIUS最大在线用户数从30000增加到100000。 | X7180, X8180, X10800, X9180 |
优化SSO RADIUS功能,使其开启/关闭、关闭/开启操作的时间间隔必须大于20秒。 | A, K, E, X, CloudEdge, C, B, SDW | |
27698 | 支持基于Radius计费报文中的用户属性进行角色映射,实现基于用户属性的认证和管控。 | A, K, E, X, CloudEdge, C, B, SDW |
27704 | 支持基于AD/LDAP认证服务器中的用户属性进行角色映射,实现基于用户属性的认证和管控。 | A, K, E, X, CloudEdge, C, B, SDW |
27711 | 支持通过SSL加密方式连接AD/LDAP服务器。 | A, K, E, X, CloudEdge, C, B, SDW |
27719 | 当系统本地没有没有用户和用户组信息时,Agile Controller功能支持从AD/LDAP服务器查询认证用户所属的用户组。 | A, K, E, X, CloudEdge, C, B, SDW |
27720 | 支持通过阿里云短信网关进行Web认证。 | A, K, E, X, CloudEdge, C, B, SDW |
网络 | ||
25697 | 支持将DHCP中继报文的源IP地址替换为中继代理接口的IP地址。 | A, K, E, X, CloudEdge, C, B, SDW |
25562 | 支持接口下的ARP学习限制和邻居发现学习限制功能,对接口下的ARP学习和邻居发现学习的最大表项数量进行限制。 | A, K, E, X, CloudEdge, C, B, SDW |
22657 | 支持在非根VSYS下配置Full-cone NAT功能。 | A (不含A200, A200W, A200G4, A200WG4, A1000, A1100), K, E, X, C, B (不含B600, B600W, B600G4, B600WG4, B2000) |
链路负载均衡 | ||
25504 | 多SSM卡设备支持对隧道接口的流量进行链路负载均衡。当出口包含隧道接口时,支持的选路方式包括:基于缓存选路、基于IP选路、基于链路整体带宽利用率选路。 | K9180, X7180, X8180, X9180, X10800 |
SNMP | ||
24291 | 支持通过SNMP获取物理接口硬件丢包数据。 | A, K, E, X, C, B, SDW |
25023 |
在HA A/P模式下,备份设备支持上报Trap信息。 |
A, K, E, X, C, B, SDW |
在HA A/A Peer模式下,group1里处于主动状态的接口所在的设备支持上报Trap信息。 |
A, K, E, X, C, B, SDW | |
更新SNMP OID 1.3.6.1.4.1.28557.3.3的信息描述为“板卡温度超出阈值时的通知消息”。 | A, K, E, X, C, B, SDW | |
25237 | 新增HILLSTONE-VSYSNEW-MIB库作为新的VSYS MIB。新的VSYS MIB基本功能和原有的HILLSTONE-VSYS-MIB库一致,而且支持获取根VSYS信息。原有的VSYS MIB不建议再使用。 | A (不含A200, A200W, A200G4, A200WG4, A1000, A1100), K, E, X, C, B(不含B600, B600W, B600G4, B600WG4, B2000) |
27017 | 支持配置发送SNMP Trap报文的源IP地址。 | A, K, E, X, CloudEdge, C, B, SDW |
25042 | 支持通过SNMP查询SLB服务器信息,包括服务器IP、连接数和状态。 | A, K, E, X, CloudEdge, C, B |
26000 | 支持通过SNMP获取设备最近一天TOP10的应用流量数据。 | A, K, E, X, CloudEdge, C, B, SDW |
日志 | ||
26360 | 会话和NAT日志支持存储到本地硬盘。 | A/K/B (以上系列均仅针对安装有硬盘的设备) |
26933 | 支持以CSV格式导出设备日志信息。 | A, K, E, X, CloudEdge, C, B, SDW |
26935 |
|
A, K, E, X, CloudEdge, C, B |
29111 | 优化日志信息输出到本地硬盘功能。当将会话日志和NAT日志输出到本地硬盘时,支持将日志处理进程和数据库存储进程绑定至Core MAX; | A (针对SG-6000-A2700及以上型号且安装有硬盘的设备), B (针对SG-6000-B3600及以上型号且安装有硬盘的设备) |
优化日志信息输出到本地硬盘功能。当将会话日志和NAT日志输出到本地硬盘时,支持配置日志信息发送至日志处理进程的速率。 | A/B (以上系列均仅针对安装有硬盘的设备) |
|
26264 | 优化日志存储方式及日志查询速度。 | A, K, CloudEdge, B |
26266 | 支持对病毒日志和僵尸网络日志进行日志聚合,优化日志显示。 | A, K, E, X, CloudEdge, C, B |
24892 | 支持对导出的日志文件进行加密。 | A, K, E, X, CloudEdge, C, B, SDW |
26587 | 支持通过X-Forwarded-For字段获取威胁事件的真实源IP并展示在威胁日志中。 | A, K, E, X, CloudEdge, C, B, SDW |
26588 | 针对不同检测引擎产生的威胁日志,优化外发的威胁日志信息内容,增加扫描次数、文件MD5信息、黑名单IP/域名等内容。 | A, K, E, X, CloudEdge, C, B, SDW |
23508 | 威胁日志列表默认展示“处理动作”列,且在切换页面或重新登录后,列设置将持续生效。 | A, K, E, X, CloudEdge, C, B, SDW |
24383 | 支持按照中国联通(CUCC)日志格式发送NAT444日志信息,包括分配端口块日志、释放端口块日志、新建会话日志及断开会话日志。 | A, K, E, X, CloudEdge, C, B, SDW |
25034 | 支持配置在威胁日志中记录认证用户名称。 | A, K, E, X, CloudEdge, C, B, SDW |
报表 | ||
25184 |
优化K系列报表文件格式:
|
K |
虚拟系统 | ||
25241 | 非根VSYS支持配置共享接入功能,但不支持共享接入特征库的升级配置。 | A (不含A200, A200W, A200G4, A200WG4, A1000, A1100), K, E, X, C, B (不含B600, B600W, B600G4, B600WG4, B2000) |
25572 | VSYS CPU资源修改为CPU利用率(1秒内使用CPU的资源),范围是1-10000,单位是‱。 | A (不含A200, A200W, A200G4, A200WG4, A1000, A1100), K, E, X, CloudEdge, C, B (不含B600, B600W, B600G4, B600WG4, B2000), SDW |
X系列设备支持通过show cpu slot slot-name vsys 命令查看指定VSYS在指定模块卡的CPU利用率。 | X | |
云平台 | ||
26269 | 支持将入侵防御引擎的缓存证据信息上传至云景。 | A, K, E, X, CloudEdge, C, B |
26087/26088 | 支持云景配置下发功能和PTF黑名单下发。 | A, K, E, X, CloudEdge, C, B, SDW |
WebUI |
||
25327 |
WebUI安全加固:
|
A, K, E, X, CloudEdge, C, B, SDW |
15057 | 支持配置WebUI登录时的浏览器页签标题为设备的主机名称、设备型号、管理地址。 | A, K, E, X, CloudEdge, C, B, SDW |
25188 | 支持通过WebUI设置设备监控概览页面的刷新间隔。 | A, K, E, X, CloudEdge, C, B, SDW |
Capacity | ||
23047 | 扩大设备可配置的服务簿和地址簿数量。 | X |
扩大策略规则引用服务簿数量。支持通过命令查看策略规则中源地址、目的地址和服务的资源使用情况。 | A, K, E, X, CloudEdge, C, B, SDW | |
28355 | K2580支持通过exec session-adjust命令将IPv4最大并发连接数调整至10000000。 | K2580 |
K3280支持通过exec session-adjust命令将IPv4最大并发连接数调整至15000000。 | K3280 | |
28200 | 扩大A系列设备的IPv4/IPv6最大并发连接数。 | A |
24567 | 扩大可配置的策略规则数目到120000条。 | X10800, X9180 |
25103 | 系统支持创建的自定义IPS Profile最大个数由32增加至 64。 | A, K, E, X, CloudEdge, C, B |
每个VSYS支持创建的自定义IPS Profile最大个数由1增加至4。 | A (不含A200, A200W, A200G4, A200WG4, A1000, A1100), K, E, X, C, B (不含B600, B600W, B600G4, B600WG4, B2000) |
|
许可证 | ||
25068 | 支持查看设备所有许可证的汇总信息,包括受许可证控制的所有功能名称、许可证状态、许可证类型、过期时间及可用资源数。 | A, K, E, X, CloudEdge, C, B, SDW |
28567 | 支持SSL VPN试用许可证。 | A, K, E, X, CloudEdge, C, B, SDW |
RESTful API | ||
25141/25145 | 支持通过RESTful API接口配置网页关键字过滤。 | A, K, E, X, CloudEdge, C, B |
27152 | 支持通过RESTful API配置聚合策略。 | A, K, E, X, CloudEdge, C, B, SDW |
25252 | 支持通过RESTful API接口查看所有特征库的版本信息。 | A, K, E, X, CloudEdge, C, B |
27716/27718 | 支持通过RESTful API配置 DNS代理、域名簿、SSL VPN、 BGP、路由映射和静态ARP。 | A, K, E, X, CloudEdge, C, B |
云·界 | ||
24630 | 云·界支持华为云云市场严选定制型号。 | CloudEdge |
14620 | 云·界支持查看硬盘使用情况。 | |
12804 | 云·界扩大最小硬盘容量至4GB,并支持动态划分数据分区的容量大小。 | |
27133/16858 /18874/18876 |
云·界支持VSYS功能、巨帧报文( Jumbo Frame) 转发功能、日志存储功能、报表功能。 | |
23219 | 优化可配置的路由条目数、并发会话数、AAA服务器用户数以及IPv6 6to4隧道数。 | |
13895 | 设备初始化启动后,默认型号显示为VM00。 | |
25384 | 云·界支持基于功能类型将许可证状态上报至LMS,以供LMS判断设备是否需要重启使功能生效。 | |
16851 | 云·界连接LMS支持更新数字证书。 | |
11817 | 当云·界部署在AWS平台时,支持创建t2、t3、m5、m5a和c5实例。 | |
17178 | 当云·界部署在KVM平台时,VM04和VM08型号最大支持20个接口。 | |
24246 | 支持通过CLI对部署在天翼云上的云·界的WebUI进行解冻。 | |
24248 | 对云·界的HA功能进行了升级和优化,支持通过WebUI设置HA云部署的相关的配置。 | |
24482/27290 | 云·界支持通过天翼云平台、360云阵云安全管理平台进行单点登录。 | |
25026 | 云·界支持第三方软件(启明CAS服务器)通过管理员进行单点登录。 | |
25040 | 对云·界的QoS的根管道容量进行了提升和优化。 | |
27699/23952 | 云·界SR-IOV支持mellanox CX4网卡、Mellanox ConnectX-6 Dx 100 Gb/s网卡。 | |
27716/27718 | 支持通过RESTful API将VXLAN绑定到三层隧道接口。 | |
用户手册 | ||
典型配置案例 |
基于5.5R10新功能,新增典型配置案例:
|
|
日志信息参考指南 | 新增5.5R10日志,如ZTNA日志、Secure Connect客户端平台日志,优化入侵防御日志、攻击防护日志、病毒过滤日志、垃圾邮件过滤日志、僵尸网络防御日志、文件内容过滤日志、云沙箱等威胁防护相关日志、安全策略日志、NAT日志、虚拟系统日志、接口日志、路由日志等。 | |
SNMP私有MIB信息参考指南 | 新增5.5R10版本支持的V11私有MIB。新增MIB节点说明,包含HILLSTONE-VSYSNEW-MIB;在V10私有MIB的基础上添加存储设备的数量信息以及由于Session的缓存队列已满而导致的丢包数信息。 |
已知问题
编号 | 功能描述 | 涉及平台 |
---|---|---|
SSL VPN | ||
323249 | 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。 |
A, K, E, X, CloudEdge, C, B, SDW |
329424 | 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。 | |
287915 | 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。 建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。 |
A, K, E, X, CloudEdge, C |
333797/333798 | 设备在未安装SCVPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SCVPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。 |
A, K, E, X, CloudEdge, C, B, SDW |
329186 | 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。 建议:通过手动方式选择已安装的证书。 |
A, K, E, X, CloudEdge, C, B, SDW |
335090 | 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
327602 | 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
313034 | 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
334346/332965 | SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
335092 | 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。 |
A, K, E, X, CloudEdge, C, B, SDW |
323920 | Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。
建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。 |
A, K, E, X, CloudEdge, C, B, SDW |
网络 | ||
268866-1(268866) | 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 | K9180 |
QoS | ||
251079-0E0(280588) | QoS不支持Peer-mode非对称路由场景下对user的限速。 | A, K, E, X, T, CloudEdge, C |
HA | ||
286815 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 | A, K, E, X, CloudEdge, C |
云·界 | ||
310941-1(310941) | 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 | CloudEdge |
浏览器兼容性
以下浏览器通过了WebUI测试,推荐用户使用:
- Microsoft Edge
- Chrome 45及更高版本
获得帮助
山石网科 SG-6000系列安全设备配有以下手册,访问https://docs.hillstonenet.com进行下载。
- 山石网科 SG-6000 硬件参考指南
- 山石网科 SG-6000 扩展模块参考指南
- StoneOS WebUI手册
- StoneOS命令行手册 (全系列)
- StoneOS新手入门指南
- StoneOS 典型配置案例
- StoneOS日志信息参考指南
- StoneOS SNMP私有MIB信息参考指南
- 山石网科RESTful API手册
- 故障排查手册
- 云·界部署手册
服务热线:400-693-0555
官方网址:https://www.hillstonenet.com.cn
附录:版本升级说明
本附录包含各平台升级注意事项、功能模块升级注意事项、在HA环境下升级以及升级验证。
建议不要跨越较多版本进行升级,推荐升级相临近版本。如果版本跨度较大,建议仔细对比升级前后的配置。鉴于网络环境的差异性及特殊需求,可在升级前咨询400-693-0555。
各平台升级注意事项
E/X平台升级注意事项
针对E/X平台的各个版本,请注意如下事项:
- 5.0R4及之前版本升级到5.5R10及后续版本,建议先按照相关文档指导升级到5.5R4最新的P版本,然后再升级到5.5R10及后续版本。
- 5.5R1及之后的版本建议先按照相关文档指导升级到5.5R4、5.5R6或者5.5R7的最新P版本,然后再升级到5.5R10及后续版本。
云•界升级注意事项
- StoneOS 5.5R10版本,仅发布云•界的镜像文件,如需将云•界升级到5.5R10及后续版本,请注意如下事项:
- 5.5R8P11/5.5R9P4/5.5R9F4及之后版本,可直接升级至5.5R10及后续版本;
- 5.5R8P11之前所有R/F/M/P版本、5.5R9P4之前R/F/M/P版本,请先按照相关文档指导升级到5.5R8P11/5.5R9P4/5.5R9F4及之后版本,然后再升级到5.5R10及后续版本。
- 如需5.5R10版本.img格式的升级文件,请咨询400-693-0555,以获得文件以及更多帮助。
- 5.5R2及之前版本不支持升级到5.5R9及之后版本。原因如下:
- 5.5R1/5.5R2版本的默认许可证(default license)永久有效,但是只支持部分功能;而从5.5R7版本的默认许可证有效期为30天,支持全部功能。因此升级到5.5R9及之后版本后可能导致系统异常。
- img系统文件中没有预装默认许可证,升级后系统的有效期可能不会是30天,因此升级后也可能导致系统异常。
因此,5.5R2及之前版本如需升级到5.5R10及后续版本,请先按照相关文档指导升级到5.5R6P12.2,再升级到5.5R9P4/5.5R9F4及之后版本,然后再升级到5.5R10及后续版本。
- 从StoneOS 5.5R6版本开始,云•界从5.5R6之前版本升级到5.5R6及后续版本时,设备的SN码将发生变化,通过旧SN码申请的许可证将不再生效,需使用最新的SN码重新申请和安装许可证;而通过LMS、vLMS系统分发的许可证则不需要重新申请。建议:升级前,请先备份系统当前的配置。
- 从StoneOS 5.5R6版本开始,云•界的镜像文件将统一为一种型号的安装包,系统将根据用户安装的CPU许可证和虚拟机的资源配置情况,自动识别出对应的产品型号,所以当系统从5.5R6之前的版本升级到5.5R10及后续版本,需注意如下:
- 升级后,需尽快安装对应型号的CPU许可证并配置对应的虚拟机资源(vCPU和内存),系统才可正常运行。否则,可能导致系统无法正确显示设备型号或启动失败。
- 升级并安装CPU许可证后,需要重启设备,重启后,若通过命令
show version
显示对应的设备型号,说明安装正确。
- 请用户务必按照云•界VM01(2vCPU/2G内存)/VM02(2vCPU/4G内存)/VM04(4vCPU/8G内存)/VM08(8vCPU/16G内存)要求的资源配置虚拟机。若升级前没有达到最低资源配置,升级后,系统将根据用户安装的CPU许可证和虚拟机的实际资源配置情况,自动识别出相应的产品型号,有可能出现与之前型号不匹配的现象或启动失败。
- 从StoneOS5.5R4版本开始,img格式的系统文件可以自适应各虚拟化平台。
- 从StoneOS5.5R4版本开始,CloudEdge可以配置HA的虚拟MAC前缀,但是重启设备后,虚拟MAC地址会发生变化。
- 从StoneOS 5.5R3版本开始,系统文件区分IPv4和IPv6版本。
- 从StoneOS 5.5R1P15/5.5R2P8/5.5R3P6/5.5R4P4版本及以后的P版本,VM01推荐使用2vCPU/2G内存的资源配置进行启动。
- 从StoneOS 5.5R5版本开始,由于CloudEdge功能优化,要求虚拟机的最低资源配置变更为2vCPU/2G内存。
功能模块升级注意事项
HSM&HSA匹配版本说明
在使用5.5R10版本与HSA或HSM连接时,需要将HSA升级到2.11.0及之后版本、HSM升级到4.15及之后版本。
SSL Proxy功能相关配置升级说明
从StoneOS 5.5R9版本开始,系统将SSL代理配置中“不支持的版本”“不支持的加密算法”“未知错误”“客户端认证”参数的默认值由“阻断”改为“放行”。当升级到5.5R9及之后版本后,相关配置会发生变化,导致行为变更。如仍需使用阻断配置,需要手动修改。
SSL VPN功能相关配置升级说明
- 从StoneOS 5.5R10版本开始,SSL VPN 客户端重构,推出新版SSL VPN 客户端,同时支持Windows、macOS、Linux、Android和iOS系统。若使用新版SSL VPN客户端(v5.0.0及其以后版本),需注意:“通信稳定性优化”功能配置中增加“自动”选项,如果选择了“自动”,会根据服务器是否开启TCP端口,自动选择连接方式。
- 从StoneOS 5.5R10版本开始,“SSL VPN 地址池”功能调整为“接入地址池”功能,相关命令行和WebUI页面均有所调整,例如:
scvpn pool
pool-name
命令替换为access-address-pool
pool-name
;通过WebUI配置可选择“对象 > 接入地址池”。当把系统从5.5R10之前的版本升级到5.5R10及后续版本时,原先的配置将继续保留,可正常使用。 - 从StoneOS 5.5R9版本开始,SSL VPN Windows客户端支持数据传输可靠性配置。若使用SSL VPN客户端(V1.4.9.1281及其以后版本),需注意以下事项。旧版本客户端(V1.4.9.1279及之前的版本)不受此影响。
- 当服务器开启TCP端口时,SSL VPN客户端是否勾选“通信稳定性优化”功能,均可以成功连接。
- 当服务器不开启TCP端口时,SSL VPN客户端若勾选了“通信稳定性优化”功能,会报错。取消勾选后,可正常使用。
- 从StoneOS 5.5R9版本开始,SSL VPN不再支持通过RSA Server进行RSA SecurID Token认证的方式。当把系统从5.5R9之前的版本升级到5.5R9及后续版本时,请采用其他认证方式。
IPS特征库升级说明
从StoneOS 5.5R8P2版本开始,入侵防御特征库支持3.0版本,用户可根据需要升级到最新版本的IPS特征库,防护能力更强。设备上原有的2.0版本IPS特征库在系统升级后仍可使用。如需升级特征库,可在“系统 > 升级 >特征库升级”中在线升级或者离线下载3.0版本的入侵防御特征库进行升级。
QoS功能相关配置升级说明
从StoneOS 5.5R1版本开始,系统支持智能流量管理(iQoS)功能,且从5.5R2版本开始,iQoS功能自动开启。当把系统从已配置QoS功能的低版本升级到5.5R7及之后版本时,用户需使用exec iqos enable
命令启用iQoS功能,iQoS功能仅支持CLI配置,系统会对QoS的配置保留,但配置不生效且不能被修改。当用户需使用QoS功能时,使用exec iqos disable
命令禁用iQoS功能,系统会对iQoS配置保留并将保存的QoS配置重新生效。
从StoneOS 5.5R6版本开始,X平台支持通过IOM模块获取iQoS功能。通过IOM模块获取iQoS功能前,需确保系统已安装iQoS许可证。
链路负载均衡功能升级说明
从StoneOS 5.5R4版本开始,llb outbound
相关命令不再支持,用新的命令llb rule
替代,当把系统从5.5R4之前的版本升级到5.5R7版本及后续版本时,已有的配置信息会丢失,需要重新配置。
Web认证功能升级说明
从StoneOS 5.5R5版本开始,Web认证功能有所调整,当把系统从5.5R5之前的版本升级到5.5R10及后续版本时,原先上传的定制文件(如Web认证背景图片、网页重定向提示页面背景图片)将丢失,需要重新定制。
IM审计功能升级说明
从StoneOS 5.5R5版本开始,IM审计功能重新调整。当把系统从5.5R5之前的版本升级到5.5R10及后续版本时,IM审计相关的配置会丢失。建议:升级完成后,通过WebUI重新配置该功能。
文件过滤功能升级说明
从StoneOS 5.5R5版本开始,文件过滤功能重新调整。当把系统从5.5R5之前的版本升级到5.5R10及后续版本时,通过文件名称和文件大小进行文件过滤的相关配置会丢失。建议:重新配置该功能。
终端识别功能升级说明
从StoneOS 5.5R6版本开始,终端接入识别功能重新调整为共享接入功能,host share-access detect enable命令将不再支持。当把系统从5.5R6之前的版本升级到5.5R10及后续版本时,原先的配置将丢失,需要用户重新配置共享接入功能。
AD Agent相关配置升级说明
在StoneOS 5.5R10之前的版本上,在需要使用AD Agent软件获取用户信息时,系统支持通过SSO Monitor对接AD Agent软件,也支持在Active Directory服务器配置模式下配置AD服务监控功能。从StoneOS 5.5R10版本开始,AD服务监控功能与Active Directory服务器配置解耦,与SSO Monitor模块整合,StoneOS 5.5R10不再支持配置AD服务监控功能。在版本升级到StoneOS 5.5R10后,系统中已配置的AD服务监控功能会自动转换成SSO Monitor功能对接AD Agent软件配置。可通过show user-sso client sso-monitor profile-name查看配置,转换后的SSO Monitor Profile名称与AD服务器名称相同。
SSO Monitor相关配置升级说明
从StoneOS 5.5R10版本开始,SSO Monitor支持对接多个外部服务器实现冗余备份。在版本升级到StoneOS 5.5R10后,系统中已配置的SSO Monitor的host x.x.x.x会自动转换成host1 x.x.x.x配置。可通过show user-sso client sso-monitor profile-name查看配置。
在HA环境下升级
升级环境
HA组网环境中的升级拓扑,参考如下:
准备项目
序号 | 检查项目 | 详细信息 |
---|---|---|
1 | 准备升级参考文档 | 升级过程需要参考的文档已经打印随身携带或存储在电脑中。 |
2 | 准备新版本系统软件 | 从山石网科取得升级需要的新版本。 |
3 | 查询当前软件版本 | 根据产品型号和软件版本及相关的注意事项,选择合适的升级方法。 |
4 | 检查设备运行状态 |
|
5 | 搭建通过TFTP或FTP升级的环境 | 在如上升级环境拓扑的基础上搭建基于TFTP或FTP升级的环境。 |
6 | 备份配置文件 | 导出配置文件,如果新版本运行的配置与之前版本差异比较大,升级后需要对比配置文件,丢失的配置需要按照新版本的命令要求重新配置。 |
升级操作
建议不要跨越较多版本进行升级,推荐升级相临近版本。如果版本跨度较大,建议仔细对比升级前后的配置,具体方法参见检查配置是否恢复。如有需要,请咨询400-693-0555。
E/X系列平台从5.0相关版本升级到5.5R10及后续版本
- 升级前检查主备设备配置,保证升级前主备设备的启动配置文件的配置是相同的。
- 先移除设备B的业务线,再移除设备B的HA心跳线,使备份设备B下线。此时,用户的业务通过设备A转发。
- 关闭设备B的HA功能后,参照各平台升级注意事项,升级设备B到5.5R4最新的P版本。
- 设备B升级成功后,先连接设备B的HA心跳线,然后开启设备B的HA功能,与设备A进行HA协商。
- 等待协商、配置和会话同步完成后,连接设备B的业务线。此时,用户的业务仍然通过设备A转发。
- 手动进行HA主备切换,此时设备B成为主设备,用户的业务切换到设备B进行转发。
- 先移除设备A的业务线,再移除设备A的HA心跳线。
- 关闭设备A的HA功能后,升级设备A到5.5R4最新的P版本,成功升级设备A后,继续升级设备A到5.5R10或后续版本。
- 设备A升级后进行重启,重启成功后,设备A为5.5R10或后续版本。
- 连接设备A的HA心跳线,然后开启设备A的HA功能,与设备B进行HA协商。
- 等待协商、配置和会话同步完成后,连接设备A的业务线。
- 可手动进行HA切换,使设备B成为备份设备。此时,用户的业务由设备A进行转发。
- 先移除设备B上的业务线,再移除设备B的HA心跳线。
- 关闭设备B的HA功能后,升级设备B到5.5R10或后续版本,升级成功后重启设备B。
- 设备B升级成功后,连接设备B的HA心跳线,然后开启设备B的HA功能,与设备A进行HA协商。
- 等待协商、配置和会话同步完成后,连接设备B的业务线。
- 升级完成。
A/E/X/K系列平台从5.5相关版本升级到5.5R10及后续版本
升级前准备
- 将设备A和设备B当前的配置备份至本地。
- 检查主备设备的配置,保证升级前主备设备的配置一致。
- 确保当前业务处于正常状态。
- 将5.510版本的系统文件分别导入至设备A和设备B。
- 若设备启用了抢占模式,请先关闭,待全部升级完成后再开启;若绑定了HA组的监测对象,请先取消绑定,待全部升级完成后再恢复。
设备B升级
- 先移除设备B的业务线、再移除其HA心跳线,将设备B脱网。
- 在设备B上执行save命令,保存配置后,重启设备B,进行升级。重启成功后,检查设备B的版本、HA相关配置是否正确。
- 导出设备B的配置,并与升级前的配置进行对比,查看配置是否有丢失等异常。
- 分别在设备B和设备A上执行show ha group config命令查看设备A和设备B的priority值,确保设备A的priority值小于设备B,即设备A的优先级高于设备B。若出现设备A的priority值大于设备B的情况,修改设备B的priority值,使其大于设备A的priority值。
- 先连接设备B的HA心跳线,等待设备B和设备A的主备协商成功,即设备A为主设备;再连接设备B的业务线。
HA同步及主备切换
- 在主设备A上执行exec ha sync all命令,手动同步设备A和设备B的配置。
- 在主设备A上分别执行show arp,show session generic等命令,检查ARP表和会话信息等相关信息是否同步完成。
- 在主设备A上执行show logging alarm命令,确认提示信息“Admin batch synchronization of HA group 0 has completed.”出现,表示配置同步完成。
- 在主设备A上执行exec ha master switch-over命令,手动进行主备切换。切换成功后,设备B变为主设备。
设备A升级
- 先移除设备A的业务线、再移除其HA心跳线,将设备A脱网。此时,确认设备B上的用户业务是否正常。
- 在设备A上执行save命令,保存配置后,重启设备A,进行升级。重启成功后,检查设备A的版本、HA相关配置是否正确。
- 导出设备A的配置,并与升级前的配置进行对比,查看配置是否有丢失等异常。
- 分别在设备A和设备B上执行show ha group config命令查看设备A和设备B的priority值,确保设备A的priority值大于设备B,即设备A的优先级低于设备B。
- 先连接设备A的HA心跳线,等待设备A和设备B的主备协商成功,即设备B为主设备;再连接设备A的业务线。
HA同步
- 在设备B上执行exec ha sync all命令,手动同步设备A和设备B的配置。
- 在设备B上分别执行show arp,show session generic等命令,检查ARP表和会话信息等相关信息是否同步完成。
- 在设备B上执行show logging alarm命令,确认提示信息“Admin batch synchronization of HA group 0 has completed.”出现,表示配置同步完成。
完成升级
- (可选)在设备B上执行exec ha master switch-over命令,手动进行主备切换,重新将设备A变为主设备。
- 升级完成。
升级验证
A/E/X/K系列平台升级验证
升级完成后,通过show version
命令来验证系统是否已经成功升级到新版本。
检查配置是否恢复
升级完成后,再次导出当前配置文件,与升级前备份的配置文件进行对比,看配置是否有丢失,如果有丢失,请确认是否新版本该配置命令发生了变化,如果有变化需要按照新的命令重新配置。
验证基本业务
升级完成后,做一些基本业务的验证,检查是否能正常工作。