StoneOS 5.5R10 F版本说明
《StoneOS 5.5R10 F版本说明》包含了5.5R10所有已发布的F版本说明,主要介绍了F版本的新增功能,已知问题及升级说明等内容。
- StoneOS 5.5R10F6
- StoneOS 5.5R10F5
- StoneOS 5.5R10F4
- StoneOS 5.5R10F3
- StoneOS 5.5R10F2
- StoneOS 5.5R10F1
StoneOS 5.5R10F6
发布概述
发布日期:2024年06月28日
5.5R10F6版本新增16个功能,合入32个功能。本次发布在硬件、系统、策略、VPN、SNMP等方面均有所增强,其重点功能包含:
- 威胁日志等监控数据上传至云平台和智源功能支持的平台范围扩大,在该版本新增支持X系列型号和SG-6000-K9180/K6580型号。
- 新增支持配置抓包模式,通过指定抓包模式,可以抓取接口全流量的数据报文,或者所有已建立会话且符合抓包规则的数据报文。
- 支持配置对ARP表项自动探测的次数,或关闭ARP自动探测。
- VXLAN支持引用IPSec隧道,将VXLAN报文加密封装在IPSec报文中,保证VXLAN隧道传输中的数据安全。
- 支持AD Script单点登录与SSO Monitor单点登录结合使用,提升防火墙和AD服务器之间的联动速度。
所有功能概述,请参见本文档新增功能部分。
相关功能操作方面的新增和修改,请参见《StoneOS 5.5R10 F版本新功能说明》。
版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=43157
5.5R10F6继承/合入详情:
- 继承5.5R10F5的全部FR及已解决问题;
- 合入5.5R10P6的全部FR、已知问题及已解决问题;
- 合入5.5R10F1.X的部分FR,合入FR为FR36021;
- 合入5.5R10F3.X的部分FR,合入FR为FR38570;
- 合入5.5R10F4.X的部分FR,合入FR为FR40365、FR39815、FR40041;
- 合入5.5R10F5.X的部分FR,合入FR为FR40651。
- 合入5.5R10P6M2的部分FR,合入FR为FR39985、FR41433、FR41437、FR41445、FR41451、FR41735、FR41737、FR41739、FR41741、FR41743、FR41745、FR41747、FR41749、FR41751、FR41753、FR41755、FR41757、FR41759、FR41761、FR41763、FR41765、FR41767、FR41769、FR41771、FR41773、FR41775。
平台和系统文件
| 产品型号 | 系统文件 |
|---|---|
| SG-6000-A7600/A6800/A5860/A5800/A5660/A5600/A5560 /A5550/A5500/A5260/A5250/A5200/A5160/A5150/A5100 /A3810/A3800/A3700/A3610/A3600/A3000/A2810/A2800 /A2710/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200/B3000/B2000 |
SG6000-A-1-5.5R10F6.img
SG6000-A-1-5.5R10F6-v6.img |
| SG-6000-A200/A200G4(4G版)/A200W(WLAN版) /A200WG4(WLAN+4G版) B600/SDW500/SDW500W/SDW500G4/SDW500WG4 /SDW300/SDW300W/SDW300G4/SDW300WG4 |
SG6000-A-3-5.5R10F6.bin
SG6000-A-3-5.5R10F6-v6.bin |
| SG-6000-X20812/X20803 | SG6000-XN-5.5R10F6.img
SG6000-XN-5.5R10F6-v6.img |
| SG-6000-X10800/X9180 |
SG6000-XL-5.5R10F6.bin
SG6000-XL-5.5R10F6-v6.bin |
| SG-6000-X8180 | SG6000-XM-5.5R10F6.bin
SG6000-XM-5.5R10F6-v6.bin |
| SG-6000-X7180 |
SG6000-X7180-5.5R10F6.bin
SG6000-X7180-5.5R10F6-v6.bin |
| SG-6000-X6150-GS |
SG6000-X6150-GS-5.5R10F6.bin SG6000-X6150-GS-5.5R10F6-v6.bin |
| SG-6000-K9180 | SG6000-K-1-5.5R10F6.img
SG6000-K-1-5.5R10F6-v6.img |
| SG-6000-K2680/K2380 | SG6000-K-2-5.5R10F6.img
SG6000-K-2-5.5R10F6-v6.img |
| SG-6000-K6280-GS/K6580 | SG6000-K-5-5.5R10F6.img SG6000-K-5-5.5R10F6-v6.img |
| SG-6000-K5680/K3680-GS/K3280/K2580/K2560/K1280 | SG6000-K-4-5.5R10F6.img
SG6000-K-4-5.5R10F6-v6.img |
|
SG-6000-E5960/E5760
/E5660
/E5560
/E5568
/E5260
/E5268/E3965 /E5168 /C6050 /C5650 /C5450 |
SG6000-M-2-5.5R10F6.bin
SG6000-M-2-5.5R10F6-v6.bin |
| SG-6000-A2200 /A1800 /A1600 /E6360
/E6368
/E6160
/E6168
/E3960
/E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300 /E1700/E1606 /E1600 /E1100(WLAN版) /E1100(WLAN版+3G-WCDMA版) /E1100(WLAN版+3G-CDMA版) /E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版) /E1100(WLAN版+4G版) /E1100W-GM /E1600-GM /E1700-GM /E2300-GM /E2800-GM /E3660-GM /E3960-GM /C5250/C5050 /C4550 /C4100 /C4000 /C3100 /C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600 |
SG6000-M-3-5.5R10F6.bin
SG6000-M-3-5.5R10F6-v6.bin |
| SG-6000-VM01 /VM02 /VM04 /VM08 | ARM平台: SG6000-CloudEdge-5.5R10F6-ARM-CLOUD.qcow2/img SG6000-CloudEdge-5.5R10F6-ARM-CLOUD-v6.qcow2/img SG6000-CloudEdge-5.5R10F6-ARM-KVM.qcow2/img SG6000-CloudEdge-5.5R10F6-ARM-KVM-v6.qcow2/img |
| X86平台: SG6000-CloudEdge-5.5R10F6 SG6000-CloudEdge-5.5R10F6-v6 (请根据云平台要求选择对应的格式,包括:.img、.ova、.vhd、.qcow2 和.vmdk 格式。) |
|
| SG-6000-VM01-KL/VM02-KL/VM04-KL/VM08-KL | ARM平台: SG6000-CloudEdge-KL-5.5R10F6-ARM-CLOUD.qcow2/img SG6000-CloudEdge-KL-5.5R10F6-ARM-CLOUD-v6.qcow2/img SG6000-CloudEdge-KL-5.5R10F6-ARM-KVM.qcow2/img SG6000-CloudEdge-KL-5.5R10F6-ARM-KVM-v6.qcow2/img |
| X86平台: SG6000-CloudEdge-KL-5.5R10F6 SG6000-CloudEdge-KL-5.5R10F6-v6 (请根据云平台要求选择对应的格式,包括:.img、.ova、.vhd、.qcow2 和.vmdk 格式。) |
新增功能
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| 硬件 | ||
| 41433 | 巨帧报文(Jumbo Frame)转发功能支持的平台范围扩大,在该版本新增支持SG-6000-K6280-GS型号。 | K6280-GS |
| 系统 | ||
| 39985 | 支持会话延迟删除期间收到新的TCP SYN报文可以新建会话功能,即如果新收到的TCP SYN报文匹配到的会话已经处于会话延迟删除状态,系统会删除匹配到的会话,同时建立一个新的相同五元组的会话进行后续报文转发。 | A, K, X, E, CloudEdge, C, B, SDW |
| 41735 | 支持通过show environment power命令获取电源模块的SN序列号。 | A系列A3800及以上型号设备, X8180, X9180, X10800, X20812, K9180 |
| 支持通过show environment fan命令获取风扇盘的SN序列号。 | A系列A3800及以上型号设备, X20812, X8180 | |
| 41741 | 支持通过命令行关闭或重新启用指定的SSH算法,避免因SSH算法出现安全漏洞对用户的业务造成影响。 | A, K, X, E, CloudEdge, C, B, SDW |
| 38570 | 设备支持作为NTP服务端为其他客户端提供时钟同步的服务。 | A, K, X, E, CloudEdge, C, B, SDW |
| 41745 | 支持邮件开局功能,管理员在HSM上进行配置并以邮件的方式将开局配置信息通过URL链接发送至开局人员的邮箱,实现零配置开局。 | A(不含A200G4), K, X, E, CloudEdge, C, B, SDW(不含SDW300G4 /SDW500G4) |
| 41747 | 支持通过show environment power命令获取电源模块的PN号。 | A系列A3800及以上型号设备, X8180, X9180, X10800, K9180 |
| 支持通过show environment fan命令获取风扇盘的PN号。 | A系列A3800及以上型号设备, X8180 | |
| 支持通过show transceiver命令获取光模块的PN号。 | A, K, X, E, CloudEdge, C, B, SDW | |
| 41755 | X8180的10GE(SFP+)光接口支持通过sfp-to-copper命令降速到100M。 |
X8180 |
| 41765 | 支持对show命令的输出信息进行定时刷新。 | A, K, X, E, CloudEdge, C, B |
| 35753/39056 | 支持上传威胁日志、流量排名、设备信息等数据至云平台的平台范围扩大,在该版本新增支持X系列型号和SG-6000-K9180/K6580型号。 | K9180, K6580, X |
| 39058 | 支持上传威胁日志和证据报文数据至智源的平台范围扩大,在该版本新增支持X系列型号和SG-6000-K9180/K6580型号。 说明:仅安装有硬盘的设备型号支持上传证据报文。 |
|
| 38556 | 支持对Docker占用设备存储的情况进行监控及查看。 | A(不含A2200, A1800, A1600, A200, A200G4, A200W, A200WG4), CloudEdge |
| 网络 | ||
| 33389 | 支持通过CLI命令开启/关闭会话结束日志记录TCP状态信息功能。 | A, K, X, E, CloudEdge, C, B, SDW |
| 会话详情页面新增支持清除会话和显示TCP状态功能。 | ||
| 支持通过CLI命令清除会话资源申请失败的次数。 | ||
| 35041 | 在FTP服务器与防火墙之间存在支持NAT但不支持ALG功能的设备,且该设备对FTP服务器进行了NAT转换的场景下,支持开启/关闭使用服务器外部IP建立数据连接功能,以确保数据能正常传输。 | |
| 41808 | 全局网络参数新增支持配置VPN分片方式。 | |
| 支持查看当前系统使用的VPN分片方式。 | ||
| 策略 | ||
| 41753 | 新增延迟地址更新时间功能,用户在批量修改地址簿中的地址条目后,系统不会立即将修改后的地址条目同步给引用该地址簿的策略,而是在指定的延迟时间结束后进行同步,避免由于策略配置的频繁更新而造成策略下发缓慢的情况,提高策略配置更新效率。 | A, K, X, E, CloudEdge, C, B |
| 41761 | 策略规则支持配置会话超时时间,超出会话超时时间后,连接将断开。 | |
| 支持在会话详情页面筛选长连接会话。 | ||
| 38671 | 支持配置对ARP表项自动探测的次数,或关闭ARP自动探测。 | A, K, X, E, CloudEdge, C, B, SDW |
| 对象 | ||
| 41757 | 新增show track命令用于查看系统中所有监测对象的配置信息。 |
A, K, X, E, CloudEdge, C, B |
| 41767 | 支持大量NAT规则引用同一对象,并且引用对象变更时不会造成IPC消息堵塞。 | |
| 优化大量NAT规则引用同一对象情况下的配置下发速度。 | ||
| 38974 |
|
A, K, X, E, CloudEdge, C, B, SDW |
| 认证 | ||
| 39815 | HTTP(S)短信网关支持配置ESB协议子类型,实现与ESB短信平台对接。 | A, K, X, E, CloudEdge, C, B, SDW |
| 40651 |
支持AD Script单点登录与SSO Monitor单点登录结合使用,提升防火墙和AD服务器之间的联动速度。
|
A, E, CloudEdge, C, B, SDW |
| 提高部分A系列设备可配置的认证用户数。 | A2710, A2700 | |
| 分析诊断 | ||
| 36021 | 新增支持配置抓包模式,通过指定抓包模式,可以抓取接口全流量的数据报文,或者所有已建立会话且符合抓包规则的数据报文。 | A, K, X, E, CloudEdge, C, B, SDW |
| HA | ||
| 41759 | HA A/P模式下支持配置HA基础虚MAC,在避免系统生成的HA虚MAC地址重复的基础上,可以降低维护难度。 | A, K, X, E, CloudEdge, C, B, SDW |
| 41775 | 在双向NAT配置下,优化HA A/P模式HA切换时的SIP通话机制。 | |
| 日志 | ||
| 41773 | 会话日志支持根据源IP和目的IP聚合。 | A, X, B,(以上系列均 仅针对安装有硬盘的 设备)K, CloudEdge |
| VPN | ||
| 38128 | VXLAN支持引用IPSec隧道,将VXLAN报文加密封装在IPSec报文中,保证VXLAN隧道传输中的数据安全。 | A, K, X, E, CloudEdge, C, B, SDW |
| 威胁防护 | ||
| 41445 | A系列部分设备支持升级至全量的入侵防御特征库。 | A200, A200G4, A200W, A200WG4, A1000, A1100, B600, B2000 |
| 41437 | E系列部分设备支持升级至全量的入侵防御特征库。 | E1606, E1700, E2300, E2800, E2860, E2868, E3662, E3668, E3960, E3968, E3965, E5168, E5260, E5268, E5560, E5568, E5660, E5760, E5960, E1700-GM, E2300-GM, E2800-GM, E3662-GM, E3960-GM, C1300, C1500, C2000, C3000, C2100, C3100, C4000, C4100, C4550, C5050, C5250, C5450, C5650, C6050 |
| 云·界 | ||
| 40365 | 云·界新增4款国产系列平台:SG-6000-VM01-KL、SG-6000-VM02-KL、SG-6000-VM04-KL和SG-6000-VM08-KL。 | CloudEdge国产系列 |
| 云·界国产系列平台支持查看设备CPU型号和操作系统的内核版本信息。 | ||
| 40832/41871 | 为云·界安装V3版本许可证时,支持自动校验平台型号与许可证携带的产品型号是否一致,并提示相关信息,避免云·界国产系列与非国产系列平台许可证混装。 | CloudEdge |
| RESTful API | ||
| 41769 | 支持通过RESTful API接口配置基于国家地址位置的地址簿。 | A, K, X, E, CloudEdge, C, B, SDW |
| 41771 | 支持通过RESTful API接口查询ARP表项的总数量和已使用数量。 | |
| 支持通过RESTful API接口过滤查询ARP表项的详细信息。 | ||
| 33389 | 支持通过RESTful API接口清除所有或指定条件的会话。 | |
| 支持通过RESTful API接口查看会话详情的TCP状态信息。 | ||
| 41759 | 支持通过RESTful API接口配置和查看HA基础虚MAC。 | |
| 41808 | 支持通过RESTful API配置和查看VPN分片方式。 | |
| SNMP | ||
| 41451 | 支持通过SNMP获取Top32用户和Top32应用在不同时间段的流量和会话信息。 | A, K, X, E, CloudEdge, C, B, SDW |
| 41737 | 支持通过SNMP获取地址簿在不同时间段的流量和会话信息。 | |
| 41735 | 支持通过SNMP获取设备的整机功率。 | A系列A3800及以上型号设备, X8180, X9180, X10800, X20812, K9180 |
| 41751 | 支持通过SNMP获取设备逻辑接口的最大带宽。 | A, K, X, E, CloudEdge, C, B |
| 41763 | 支持通过SNMP获取CPU核的实时利用率以及最近1分钟/最近1小时的平均利用率。 | A, K9180, K6280-GS, K5680, K3680, K3280, K2680, K2580, K2560, K2380, X10800, X8180, E, CloudEdge, C, B |
| 33389 | 支持通过SNMP获取设备整机中申请分配会话资源失败的总次数。 | A, K, X, E, CloudEdge, C, B, SDW |
| 29630 | 支持通过SNMP查看NAT规则的命中统计信息。 | |
| 41151 | 支持通过SNMP获取OSPF/OSPFv3/BGP邻居状态和BFD会话状态变更为DOWN的告警消息。 | |
| 41157 | 支持通过SNMP获取系统进程异常的告警消息。 | |
| 41159 | 支持通过SNMP获取设备当前NAT会话并发连接数和新建连接速率。 | |
已知问题
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| SSL VPN | ||
| 323249 | 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329424 | 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。 | |
| 287915 | 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。 建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。 |
A, K, E, X, CloudEdge, C |
| 333797/333798 | 设备在未安装SSL VPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SSL VPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329186 | 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。 建议:通过手动方式选择已安装的证书。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 335090 | 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 327602 | 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
| 313034 | 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 334346/332965 | SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 335092 | 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 323920 | Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。
建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 网络 | ||
| 268866-1(268866) | 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 | K9180 |
| 382629-1(382629) | 不支持单独配置通配符“*”来匹配所有域名,如需匹配ABC.com时,不支持配置“*”,可配置为“*.com”。 | A, K, E, X, CloudEdge, C, B, SDW |
| QoS | ||
| 251079-0E0(280588) | QoS不支持Peer-mode非对称路由场景下对user的限速。 | A, K, E, X, CloudEdge, C |
| 策略 | ||
| 332856 | 聚合策略不支持在添加策略时使用aggregate-rule{ name name | id} [ top | before {namerule-name| id} | after {namerule-name| id} ] 指定策略成员在聚合策略中的位置。 |
A, K, E, X, CloudEdge, C, B, SDW |
| RESTful API | ||
| 348396 | 通过RESTful API接口查看单条预定义应用可能出现错误的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
| HA | ||
| 286815 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 | A, K, E, X, CloudEdge, C |
| 330370 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备Webauth在线用户的情况。 | |
| 云·界 | ||
| 310941-1(310941) | 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 | CloudEdge |
StoneOS 5.5R10F5
发布概述
发布日期:2024年03月22日
5.5R10F5版本新增4个功能,合入60个功能。本次发布的新功能主要包括:网络方面,IOC-A-F-4SFP+、IOC-A-F-8SFP+、IOC-A-F-8GE接口扩展模块支持接口镜像功能,可以将接口的流量镜像到其它接口,对流量进行监控和分析;认证方面,支持启用/禁用SSL证书校验功能,当防火墙设备通过SSL加密的方式连接Active Directory/LDAP认证服务器时,如果用户无法获取认证服务器证书,可以选择禁用SSL证书校验功能,实现即使不导入证书,防火墙设备也可以成功连接至认证服务器;威胁防护方面,优化边界流量过滤Service黑名单、真实IP黑名单、MAC黑名单、IP信誉库日志产生机制,使分布式设备统一在主卡发送日志,确保一条命中记录一分钟只产生一条聚合日志。同时,RESTful API方面也有所增强。
所有功能概述,请参见本文档新增功能部分。
相关功能操作方面的新增和修改,请参见《StoneOS 5.5R10 F版本新功能说明》。
版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=40733
5.5R10F5继承/合入详情:
- 继承5.5R10F4的全部FR及已解决问题;
- 合入5.5R10P5的全部FR、已知问题及已解决问题;
- 合入5.5R10F3.X的部分FR,合入FR为FR37812、FR38301;
- 合入5.5R10F4.X的部分FR,合入FR为FR38691、FR38695、FR38699、FR39511;
- 合入5.5R10P4.X的部分FR,合入FR为FR38559。
平台和系统文件
| 产品型号 | 系统文件 |
|---|---|
| SG-6000-A7600/A6800/A5860/A5800/A5660/A5600/A5560 /A5550/A5500/A5260/A5250/A5200/A5160/A5150/A5100 /A3810/A3800/A3700/A3610/A3600/A3000/A2810/A2800 /A2710/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200/B3000/B2000 |
SG6000-A-1-5.5R10F5.img
SG6000-A-1-5.5R10F5-v6.img |
| SG-6000-A200/A200G4(4G版)/A200W(WLAN版) /A200WG4(WLAN+4G版) B600/SDW500/SDW500W/SDW500G4/SDW500WG4 /SDW300/SDW300W/SDW300G4/SDW300WG4 |
SG6000-A-3-5.5R10F5.bin
SG6000-A-3-5.5R10F5-v6.bin |
| SG-6000-X20812/X20803 | SG6000-XN-5.5R10F5.img
SG6000-XN-5.5R10F5-v6.img |
| SG-6000-X10800/X9180 |
SG6000-XL-5.5R10F5.bin
SG6000-XL-5.5R10F5-v6.bin |
| SG-6000-X8180 | SG6000-XM-5.5R10F5.bin
SG6000-XM-5.5R10F5-v6.bin |
| SG-6000-X7180 |
SG6000-X7180-5.5R10F5.bin
SG6000-X7180-5.5R10F5-v6.bin |
| SG-6000-X6150-GS |
SG6000-X6150-GS-5.5R10F5.bin SG6000-X6150-GS-5.5R10F5-v6.bin |
| SG-6000-K9180 | SG6000-K-1-5.5R10F5.img
SG6000-K-1-5.5R10F5-v6.img |
| SG-6000-K2680/K2380 | SG6000-K-2-5.5R10F5.img
SG6000-K-2-5.5R10F5-v6.img |
| SG-6000-K6280-GS/K6580 | SG6000-K-5-5.5R10F5.img SG6000-K-5-5.5R10F5-v6.img |
| SG-6000-K5680/K3680-GS/K3280/K2580/K2560/K1280 | SG6000-K-4-5.5R10F5.img
SG6000-K-4-5.5R10F5-v6.img |
|
SG-6000-E5960/E5760
/E5660
/E5560
/E5568
/E5260
/E5268/E3965 /E5168 /C6050 /C5650 /C5450 |
SG6000-M-2-5.5R10F5.bin
SG6000-M-2-5.5R10F5-v6.bin |
| SG-6000-A2200 /A1800 /A1600 /E6360
/E6368
/E6160
/E6168
/E3960
/E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300 /E1700/E1606 /E1600 /E1100(WLAN版) /E1100(WLAN版+3G-WCDMA版) /E1100(WLAN版+3G-CDMA版) /E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版) /E1100(WLAN版+4G版) /E1100W-GM /E1600-GM /E1700-GM /E2300-GM /E2800-GM /E3660-GM /E3960-GM /C5250/C5050 /C4550 /C4100 /C4000 /C3100 /C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600 |
SG6000-M-3-5.5R10F5.bin
SG6000-M-3-5.5R10F5-v6.bin |
| SG-6000-VM01 /VM02 /VM04 /VM08 |
SG6000-CloudEdge-5.5R10F5 SG6000-CloudEdge-5.5R10F5-v6 |
新增功能
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| 硬件 | ||
| 39205 | A系列新增支持2U Bypass扩展模块:IOC-A-4MM-BE、IOC-A-4SM-BE。 | A5860, A5660, A5560, A5260, A5160 |
| 33051 | 针对不同的业务场景,支持切换SIOM模块的工作模式,以提升设备性能。 | X, K9180 |
| WebUI | ||
| 39197 | 策略/NAT/用户监控的会话详情页面支持展示发包数、收包数、发送流量、接收流量。 | A, K, X, E, CloudEdge, C, B, SDW |
| 系统 | ||
| 39239 | 优化连接山石云平台功能,包括:
|
A, K, X, E, CloudEdge, C, B, SDW |
| 39235 | 支持通过show ssh命令查看SSH当前在线用户数。 |
|
| 39189 | 新增配置下发失败后的重试机制,减少直接报错和手动重试次数,提高配置下发的成功率。 | |
新增exec retrytime命令用于指定配置下发的最长重试时间,默认重试时间为5秒。 |
||
| 36289 | 新增fragment centralized-mode命令用于配置IP分片报文是否在IOM/SIOM模块进行重组,以实现分片报文从不同IOM/SIOM模块进入设备时可以正常进行流量转发。 |
X, K9180 |
| 39167 | 系统支持使用“管理员USBKey”或“操作员USBKey”激活并管理密码卡。 说明:使用该功能需通过“安全操作员(operator)”角色登录设备。 |
A2000-GM, A3000-GM |
| 网络 | ||
| 37259 | IOC-A-F-4SFP+、IOC-A-F-8SFP+、IOC-A-F-8GE接口扩展模块支持接口镜像功能,可以将接口的流量镜像到其它接口,对流量进行监控和分析。 | SG-6000-A3810/A3610/A2810/A2710 |
| 策略 | ||
| 39241 | 会话限制功能支持限制每秒新建会话数。 | A, K, X, E, CloudEdge, C, B, SDW |
| 对象 | ||
| 39225 | 新增有序地址簿功能,支持按照地址成员的配置顺序保存地址成员。 | A, K, X, E, CloudEdge, C, B, SDW |
| NAT | ||
| 39191 | NAT功能支持引用有序地址簿,实现在单条NAT规则中多个IP地址按照指定的IP顺序一对一进行转换。 | A, K, X, E, CloudEdge, C, B, SDW |
| 路由 | ||
| 38301 | 支持BGP路由反射器功能。 | A, K, X, E, CloudEdge, C, B, SDW |
| 认证 | ||
| 35529 | 支持启用/禁用SSL证书校验功能。当防火墙设备通过SSL加密的方式连接Active Directory/LDAP认证服务器时,如果用户无法获取认证服务器证书,可以选择禁用SSL证书校验功能,实现即使不导入证书,防火墙设备也可以成功连接至认证服务器。 | A, K, X, E, CloudEdge, C, B, SDW |
| ALG | ||
| 38559 | ALG新增支持SIP协议Record-Route多URI格式。 | A, K, X, E, CloudEdge, C, B, SDW |
| 39245 | 设备开启DNS ALG功能后,系统支持通过WebUI或CLI方式配置DNAT是否参与DNS改写,避免DNS响应报文在仅需要匹配DNS改写规则的情况下误匹配DNAT规则,造成业务访问异常。 | |
| HA | ||
| 39135/39213
/ 39215/39217/ 39219/39221/ 39223 |
优化HA批量同步机制,当备设备的配置多于主设备或配置顺序与主设备不一致时,可以批量同步成功。 | A, K, X, E, CloudEdge, C, B, SDW |
| 39187 | 支持通过BFD监测HA主备设备的工作状态,实现设备故障时的主备快速切换。 | |
| VPN | ||
| 39185 | 在SSL VPN短信认证场景中,SGIP协议类型的短信网关支持配置短信模板。 | A, K, X, E, CloudEdge, C, B, SDW |
| 许可证 | ||
| 39127 | 优化入侵防御、病毒过滤、僵尸网络防御三种功能的试用许可证使用规则,若用户申请的是Version 3版本的试用许可证,过期后将无法继续使用功能。 说明:使用 show license license-name命令可查看许可证版本。 |
A, K, X, E, CloudEdge, C, B, SDW |
| 监控 | ||
| 38691 |
|
A, K, X, E, CloudEdge, C, B, SDW |
|
K, CloudEdge, 带硬盘的E系列,带硬盘的A1600/A1800/A2200及其它A系列型号(不含A200/A200G4/A200W/A200WG4), X8180/X20812/X20803, 带硬盘的C系列, B系列(不含B600/B600G4/B600W/B600WG4) | |
| 日志 | ||
| 37812 |
|
CloudEdge, K(不含K9180), 带硬盘的A(不含A2200、A1800和 A1600)、X和B系列 |
| 39133 | 支持在威胁日志及威胁事件页面展示攻击结果并通过筛选条件查看指定攻击结果的日志条目。 | A, K, X, E, CloudEdge, C, B, SDW |
| 39261 | 对于弱密码威胁日志,支持管理员在威胁日志中查看具体的弱密码信息。 | |
| 39157 | 支持在威胁日志中展示攻击者IP和受害者IP。 | |
| 支持通过攻击者和受害者筛选查看指定条件的日志。 | ||
| 支持将攻击者的IP加入黑名单进行阻断。 | ||
| 39139 | 支持通过筛选条件查看指定关联账号、认证用户的威胁日志。 | |
| 支持在威胁日志中显示攻击中使用的用户名。 | ||
| 38903 | 支持通过命令行配置日志ID格式为十六进制或十进制,默认日志ID格式为十进制。 | |
| 37325 | 支持为事件日志和流量日志配置不同的Facility字段以示区别。 | |
| 39169 | 支持在威胁日志中显示威胁数据。 | A, K, E, B, C(以上系列均仅针对安装有硬盘的设备), X20812, X20803, X8180, CloudEdge |
| 威胁防护 | ||
| 38749 | 优化边界流量过滤Service黑名单、真实IP黑名单、MAC黑名单、IP信誉库日志产生机制,使分布式设备统一在主卡发送日志,确保一条命中记录一分钟只产生一条聚合日志。 | X, K9180, K6580 |
| 39137/39165/ 39163 |
支持将检测到的可疑行为与MITRE ATT&CK®模型进行映射,并在威胁日志和iCenter的威胁事件中进行展示,帮助用户更好地识别可疑行为。 | A, K, X, E, CloudEdge, C, B, SDW |
| 支持对MITRE ATT&CK®知识库进行升级。 | ||
| 39151/39153 | 支持HTTP明文密码检测功能,对登录成功的HTTP报文中的密码字段进行检测,若密码字段没有经过加密,则发出报警日志。 | |
| 支持HTTP口令防护功能,对实际报文中代表用户名、密码、登录成功或失败的字段进行自定义配置。 | ||
| 39161 | 优化IPS引擎检测率。 | |
| 39181/39211 | 支持通过CLI命令方式配置IPS HTTP多重解码功能,对经过URL或Unicode方式编码的HTTP协议报文进行多重解码,从而增强系统的检测防护能力。 | |
| 39141 | 优化IPS引擎,支持base64编码扫描解析。 | |
| 38899 | IPS抓包功能新增支持K6580、X8180、X20803和X20812平台。 | K6580, X8180, X20803, X20812 |
| RESTful API | ||
| 39087 | 支持通过RESTful API接口对API Token进行创建、查询、更新、续期、删除、启用、禁用操作。 | A, K, X, E, CloudEdge, C, B, SDW |
| 38695 | 支持通过RESTful API接口对应用组,应用过滤组进行创建,查询,更新,删除操作。 | |
| 38699 | 支持通过RESTful API接口对iQoS进行配置。 | |
| 39511 | 支持通过RESTful API接口进行链路配置并查看接口的采样流量信息,包括延迟、丢包率、抖动。 | |
| 39197 | 支持通过RESTful API获取会话的发包数、收包数、发送流量、接收流量。 | |
| 39245 | 支持通过RESTful API接口开启或关闭DNAT参与DNS改写功能。 | |
| SNMP | ||
| 39235 | 支持通过SNMP获取SSH当前连接数和SSH最大连接数。 | A, K, X, E, CloudEdge, C, B, SDW |
已知问题
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| SSL VPN | ||
| 323249 | 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329424 | 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。 | |
| 287915 | 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。 建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。 |
A, K, E, X, CloudEdge, C |
| 333797/333798 | 设备在未安装SSL VPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SSL VPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329186 | 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。 建议:通过手动方式选择已安装的证书。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 335090 | 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 327602 | 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
| 313034 | 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 334346/332965 | SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 335092 | 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 323920 | Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。
建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 网络 | ||
| 268866-1(268866) | 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 | K9180 |
| 382629-1(382629) | 不支持单独配置通配符“*”来匹配所有域名,如需匹配ABC.com时,不支持配置“*”,可配置为“*.com”。 | A, K, E, X, CloudEdge, C, B, SDW |
| QoS | ||
| 251079-0E0(280588) | QoS不支持Peer-mode非对称路由场景下对user的限速。 | A, K, E, X, CloudEdge, C |
| 策略 | ||
| 332856 | 聚合策略不支持在添加策略时使用aggregate-rule{ name name | id} [ top | before {namerule-name| id} | after {namerule-name| id} ] 指定策略成员在聚合策略中的位置。 |
A, K, E, X, CloudEdge, C, B, SDW |
| RESTful API | ||
| 348396 | 通过RESTful API接口查看单条预定义应用可能出现错误的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
| HA | ||
| 286815 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 | A, K, E, X, CloudEdge, C |
| 330370 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备Webauth在线用户的情况。 | |
| 云·界 | ||
| 310941-1(310941) | 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 | CloudEdge |
StoneOS 5.5R10F4
发布概述
发布日期:2023年12月22日
5.5R10F4版本新增43个功能,合入79个功能。本次发布的重点功能包含:
- IoT终端识别功能增强:IoT安全防护功能支持本地IoT资产识别和云端IoT资产识别能力。防火墙从网络流量中提取IoT设备指纹信息并上送至本地或云端资产识别模块,其通过多种识别技术识别IoT设备,并将识别结果返回给防火墙。
- ZTNA能力增强:应用资源支持配置连续端口,易于管理员配置策略;支持自动获取应用资源图标,用于应用资源在ZTNA Portal页面的图标展示;支持配置国产操作系统终端标签,可以对国产操作系统Kylin V10和UOS 20进行终端信息管理。
- 支持配置OAuth2认证服务器,可以在SSL VPN、ZTNA、WebAuth这三种用户接入场景下使用OAuth2认证。
- 新增容器管理功能,支持容器的新建、启停、移除,导入镜像文件功能。
- 防火墙支持蜜罐联动。借助防火墙的部署位置构造多种服务陷阱,将网络攻击流量诱骗至蜜罐服务,从而对其进行攻击取证、溯源和防护联动,最终加固真实资产的保护力度。
- 支持链路持续性主动探测,可针对目的IP/域名持续性探测链路的延时、丢包和抖动数据。
- URL过滤模块支持Restful API接口功能。用户可利用此能力实现自动化运维管理的定制开发工作,从而简化上网行为管控的维护过程。
- 云·界连接授权管理系统失联30 天后,从设备自动重启优化为锁定配置。
所有功能概述,请参见本文档新增功能部分。
相关功能操作方面的新增和修改,请参见《StoneOS 5.5R10 F版本新功能说明》。
版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=39099
5.5R10F4继承/合入详情:
- 继承5.5R10F3的全部FR及已解决问题;
- 合入5.5R10P4的全部FR、已知问题及已解决问题;
- 合入5.5R10P3的部分FR,合入FR为FR34797;
平台和系统文件
| 产品型号 | 系统文件 |
|---|---|
| SG-6000-A5550/A5500/A5260/A5250/A5200/A5160/A5150/A5100 /A3810/A3800/A3700/A3610/A3600/A3000/A2810/A2800 /A2710/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200 /B3000/B2000 A7600/A6800/A5860/A5800/A5660/A5600/A5560/ |
SG6000-A-1-5.5R10F4.img
SG6000-A-1-5.5R10F4-v6.img |
| SG-6000-A200/A200G4(4G版)/A200W(WLAN版) /A200WG4(WLAN+4G版) B600/SDW500/SDW500W/SDW500G4/SDW500WG4 /SDW300/SDW300W/SDW300G4/SDW300WG4 |
SG6000-A-3-5.5R10F4.bin
SG6000-A-3-5.5R10F4-v6.bin |
| SG-6000-X20812/X20803 | SG6000-XN-5.5R10F4.img
SG6000-XN-5.5R10F4-v6.img |
| SG-6000-X10800/X9180 |
SG6000-XL-5.5R10F4.bin
SG6000-XL-5.5R10F4-v6.bin |
| SG-6000-X8180 | SG6000-XM-5.5R10F4.bin
SG6000-XM-5.5R10F4-v6.bin |
| SG-6000-X7180 |
SG6000-X7180-5.5R10F4.bin
SG6000-X7180-5.5R10F4-v6.bin |
| SG-6000-X6150-GS |
SG6000-X6150-GS-5.5R10F4.bin SG6000-X6150-GS-5.5R10F4-v6.bin |
| SG-6000-K9180 | SG6000-K-1-5.5R10F4.img
SG6000-K-1-5.5R10F4-v6.img |
| SG-6000-K2680/K2380 | SG6000-K-2-5.5R10F4.img
SG6000-K-2-5.5R10F4-v6.img |
| SG-6000-K6280-GS/K6580 | SG6000-K-5-5.5R10F4.img SG6000-K-5-5.5R10F4-v6.img |
| SG-6000-K5680/K3680-GS/K3280/K2580/K2560/K1280 | SG6000-K-4-5.5R10F4.img
SG6000-K-4-5.5R10F4-v6.img |
| SG-6000-E5960/E5760 /E5660 /E5560 /E5568 /E5260 /E5268/E3965 /E5168 /C6050 /C5650 /C5450 |
SG6000-M-2-5.5R10F4.bin
SG6000-M-2-5.5R10F4-v6.bin |
| SG-6000-A2200 /A1800 /A1600 /E6360
/E6368
/E6160
/E6168
/E3960
/E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300 /E1700/E1606 /E1600 /E1100(WLAN版) /E1100(WLAN版+3G-WCDMA版) /E1100(WLAN版+3G-CDMA版) /E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版) /E1100(WLAN版+4G版) /E1100W-GM /E1600-GM /E1700-GM /E2300-GM /E2800-GM /E3660-GM /E3960-GM /C5250/C5050 /C4550 /C4100 /C4000 /C3100 /C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600 |
SG6000-M-3-5.5R10F4.bin
SG6000-M-3-5.5R10F4-v6.bin |
| SG-6000-VM01 /VM02 /VM04 /VM08 |
SG6000-CloudEdge-5.5R10F4 SG6000-CloudEdge-5.5R10F4-v6 |
新增功能
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| 硬件 | ||
| 36705 | SG-6000-K2680设备支持CF卡,存储空间为32G。 | K2680 |
| 36681 | SG-6000-K6280-GS设备支持eMMC,存储空间为64G。 | K6280-GS |
| 36659 | A系列新增支持SG-6000-A3810、SG-6000-A3610、SG-6000-A2810和SG-6000-A2710平台。 | A3810, A3610, A2810, A2710 |
| 36563 | A系列新增支持SG-6000-A2200、SG-6000-A1800和SG-6000-A1600平台。 | A2200, A1800, A1600 |
| 36579 | X系列新增支持高端分布式防火墙SG-6000-X20803平台。SG-6000-X20803支持双主控、双电源,且支持拓展3个SIOM模块。 | X20803 |
| 36839 | A系列新增支持SG-6000-A5860、SG-6000-A5660、SG-6000-A5560、SG-6000-A5260和SG-6000-A5160平台。 | A5860, A5660, A5560, A5260, A5160 |
| 32496 | A系列部分设备的1GE(SFP)光接口支持降速为100Mbps。降速后,支持使用1GE(SFP)单模光模块及对应光纤与对端的100Mbps光接口进行对接。 | A5500/A5200/A5100/A3810/A3610/ A2810/A2710/A3800/A3700/A3600/ A3000/A3000-GM/A2800/A2700 |
| 系统 | ||
| 36591 | 支持问题反馈模板。当用户发现许可证中的信息与实际信息不一致,或者遇到其他与许可证相关的问题时,可以使用该模板填写需要反馈的问题,并将内容一键复制粘贴至邮箱进行反馈。 | A, K, X, E, CloudEdge, C, B, SDW |
| 36743 |
|
|
| 36521 | 云·界连接LMS时支持配置IPv6地址。 | CloudEdge |
| 36543 | VSYS支持DHCP零配置开局功能。 | A, B, K3280, K2680, K2580, K2380 |
| 34281 | 支持连接智源平台,防火墙设备作为网络设备与智源连接后,支持将威胁日志及证据报文发送至智源进行分析。 | A, K, E, X, CloudEdge, C, B, SDW |
| 27416/37341 | 支持Docker管理功能,可以在系统中创建Docker,为Docker分配系统资源,导入Docker镜像文件,并基于Docker运行容器应用。 | A、B |
| 29058/34005/ 31650/32980/ 34207/34211/ 34209 |
|
A, K, E, X, C, B, SDW |
| 策略 | ||
| 36593 | 策略规则调用服务时,支持将服务内容作为关键字进行模糊搜索,以筛选出指定的策略规则。 | A, K, E, X, CloudEdge, C, B |
| 配置策略规则的服务时,支持对服务的名称、协议类型、端口号等条件进行筛选。 | ||
| 36657 | 在无DNS服务器的场景下,防火墙的安全策略可以基于域名或域名簿,对HTTP/HTTPS访问流量进行控制。 | A, K, X, E, CloudEdge, C, B, SDW |
| 29058/34005/ 31650/32980/ 34207/34211/ 34209 |
支持配置基于设备对象的策略规则。 | A, K, E, X, C, B, SDW |
| NAT | ||
| 36669 | 扩大SNAT规则/双向NAT规则在动态端口模式下转换IP的地址范围。 | A, K, X, E, CloudEdge, C, B, SDW |
| 监控 | ||
| 36703 | 长期监控功能新增“并发连接”和“新建连接”两种排行依据,用户可以根据IP/应用的并发连接数或新建连接数查询统计数据。 | A, K(不含K9180), B (以上系列均针对安装有硬盘的设备) |
| 29969 | 支持通过链路探测规则进行持续性链路质量探测,包括延迟、抖动和丢包率。 | A, K, E, X, CloudEdge, C, B, SDW |
| 路由 | ||
| 29749 | 支持在Vif接口上配置组播服务反射MSR功能。 | A, K(不含K9180、K6580), E, CloudEdge, C, B, SDW |
| 36859 | 支持配置非直连组播源的组播源地址,可以满足组播源DR与组播源跨网段组播的场景。 | A, K, E, X, CloudEdge, C, B, SDW |
| IPv6 | ||
| 36557 | 优化IPv6 ND表项刷新机制,支持配置ND表项的老化时间,对于超过老化时间的ND表项支持直接删除或者重新进行有效性探测。 | A, K, E, X, CloudEdge, C, B |
| AAA服务器 | ||
| 33185 |
|
A, K, E, X, CloudEdge, C, B, SDW |
| VPN | ||
| 33723 | Hillstone Secure Connect客户端支持OAuth2认证方式。 | A, K, E, X, CloudEdge, C, B, SDW |
| 35629 | 优化SSL VPN和ZTNA功能,支持在配置隧道路由时指定用户组或角色。用户成功登录SSL VPN/ZTNA客户端后,防火墙将下发该用户所属用户组或角色的隧道路由。 | |
| 32641 | L2TP VPN支持用户下线告警功能,通过创建用户下线告警模板并在L2TP VPN实例引用,实现对下线用户情况的监控。 | |
| 支持通过SNMP查询L2TP VPN在线用户数。 | ||
| 支持通过“公网IP”查询L2TP VPN在线用户。 | ||
| ZTNA | ||
| 29000 | 支持配置国产操作系统终端标签,支持对国产操作系统Kylin V10和UOS 20进行终端信息管理。 | A, K, E, X, CloudEdge, C, B, SDW |
| 35263 | 支持上传应用资源的Logo图标或通过配置超链接后自动获取Logo图标,用于应用资源在ZTNA Portal页面的图标展示。 | |
| 31579 | ZTNA的应用资源规则支持配置端口范围。 | |
| 云平台 | ||
| 30073 | 支持将UDP类型的DNS流量上传到云端。 | A, K(不含K9180、K6580), E, CloudEdge, C, B, SDW |
| 用户认证 | ||
| 34797 | SSO Monitor最大认证用户数从4096增加至8096。 | E2860, E2868 |
| RESTful API | ||
| 36583 | 支持通过RESTful API接口导出.csv格式的设备特征库列表文件。 | A, K, E, X, CloudEdge, C, B, SDW |
| 36551 | 支持通过RESTful API查看设备每个CPU的实时利用率。 | |
| 36657 | 策略配置接口增加域名(domain)和域名簿(domain_book)字段。 | |
| 36671 | 支持通过RESTful API接口开启反弹shell检测和防护能力。 | |
| 36673 | 支持通过RESTful API接口取消或恢复配置直连路由优先功能。 | |
| 34325/35049 | 支持通过RESTful API统计任意数据类型和任意组织方式的自定义统计集数据。 | |
| 33288 |
|
|
| 33220 | 支持通过RESTful API配置抓包自流量功能。 | |
| 34301 | 支持通过RESTful API配置响应Traceroute流量功能。 | |
| 35627 | 支持通过RESTful API配置自定义HA MAC地址。 | |
| 36411 | 支持通过RESTful API配置接口首包代理功能。 | |
| 36441 | 支持通过RESTful API配置隧道接口的Virtual Wire功能。 | |
| 日志 | ||
| 36631 |
|
K(不含K9180), CloudEdge, 带硬盘的A(不含A2200, A1800, A1600)、X和B系列 |
| 35781 | 会话日志过滤条件新增“AAA:用户@主机”和“应用”,支持通过WebUI方式查看指定AAA服务器的用户或应用的会话日志信息。 | A, K, E, X, CloudEdge, C, B, SDW |
| 33269 |
|
A, K, E, X, CloudEdge, C, B, SDW |
| 威胁防护 | ||
| 36683 | 支持手动导入/导出、自动导入、查询、删除僵尸网络防御黑名单库 。 | A(不含A2200, A1800, A1600), K, X, CloudEdge, B |
| 36687 | 优化僵尸网络防御威胁日志和威胁事件的名称。 | A, K, X, E, CloudEdge, C, B |
| 36699 | 扩大僵尸网络防御黑白名单容量上限,并采用共享资源配置方式管理僵尸网络防御黑白名单容量。 | |
| 36691 |
|
A, K, E, X, CloudEdge, C, B, SDW |
| 36695 | 攻击防护功能支持对网络扫描行为进行阻断。 | |
| 33244 | 新增蜜罐诱捕功能,防火墙设备支持与山石网科智网欺骗诱捕系统(简称“蜜罐系统”)联动,通过在防火墙设备中连接蜜罐系统并配置诱捕规则,将命中诱捕规则的攻击者IP引流到蜜罐系统中进行封堵,避免用户的真实业务环境遭到攻击。 | |
| 36663 |
|
A(不含A200/A1600/A1800/A2200), K2680, K2380, K6280-GS, K6580, K9180, X20803, X20812, CloudEdge, B(不含B600) |
|
A(不含A200/A1600/A1800/A2200), K2680, K2380, K6280-GS, CloudEdge, B(不含B600) | |
| 36513 |
|
A, X, K6580,K9180,B |
| DNS | ||
| 36601 |
|
A, K, E, X, CloudEdge, C, B |
| 36837 | 支持通过ip domain interval-time命令配置设备向DNS服务器发送DNS请求的最大时间间隔。 |
|
| 36597 |
|
|
| 36595 | DNS解析配置的自定义保存时间范围扩大至60到86400秒。 | |
| 36835 | 支持通过CLI配置DNS Snooping主动解析UDP报文的长度。 | |
| 36759 | 支持安全DNS功能,通过对接360安全DNS,在提升传输安全性的同时,进一步增强恶意域名的检测和防护能力。 | A, K, E, X, CloudEdge, C, B, SDW |
| 接口 | ||
| 36547 |
|
A, K, E, X, CloudEdge, C, B, SDW |
| 35627 | 支持配置接口的自定义HA MAC地址,用于在HA场景下主设备的流量转发。 | |
| 36411 | 支持开启接口首包代理功能,获取并记录接口流量中HTTP/HTTPS报文内的域名信息。 | |
| 36441 | 优化Virtual Wire配置,支持选择隧道接口配置为Virtual Wire接口对。 | |
| 网络 | ||
| 32310 | 支持应用层快转功能,当应用层安全功能仅开启入侵防御功能且当达到入侵防御规则(IPS Profile)中配置的协议扫描最大长度时,使用该功能可使应用层流量将不再上送业务模块卡(SSM模块)或CPU进行解析处理,从而提高系统性能。 | A7600、A6800、X、K9180 |
| 33220 | 优化在线抓包任务,新增“包含自流量”功能开关,启用后抓取的数据包中将包含设备自身收发流量。 | A, K, E, X, CloudEdge, C, B, SDW |
| 34301 | 支持开启/关闭响应Traceroute流量功能,来控制设备对非设备自身Traceroute流量不进行响应,以实现隐藏设备IP地址信息的目的,减少设备被发现并攻击的可能。 | |
| 短信网关 | ||
| 33271 | HTTP(S)协议短信网关属性字段支持配置为数组对象,以数组形式存储参数值。 | A, K, E, X, CloudEdge, C, B, SDW |
| 32841 | 支持为HTTP(S)协议短信网关属性配置节点名称,协议子类型增加“ZGC”,实现与中关村短信网关平台对接。 | |
| MIB | ||
| 35733 | Trap信息新增时间属性,用于表示Trap信息的发生时间。 | A, K, E, X, CloudEdge, C, B, SDW |
| 36571 | 支持风扇、温度、电源恢复正常的Trap信息。 | A(不含A1100、A1000、A200、 A200W、A200G4、A200WG4), K(不含K9180), E, C, B(不含B600、B600G4、B600W、B600WG4、B2000) |
| 支持温度、电源恢复正常的Trap信息。 | A1100, A1000, A200, A200W, A200G4, A200WG4, B600, B600G4, B600W, B600WG4, B2000, SDW |
|
| 36573 | 支持CPU利用率、内存状态、磁盘空间、接口带宽利用率恢复正常的Trap信息。 |
A, K(不含K9180), CloudEdge, E, C, B, SDW |
| 支持硬盘利用率的Trap信息。 注意:仅带硬盘的设备支持硬盘利用率的Trap信息。 |
A, K(不含K9180), E, C, B | |
| 云·界 | ||
| 37217 | 云·界与LMS失联30天后从设备自动重启优化为锁定配置。 | CloudEdge |
| 对象 | ||
| 29058/34005/ 31650/32980/ 34207/34211/ 34209 |
新增设备对象配置,可以按照设备的多种维度(包括设备厂商、类型、设备型号、操作系统等)将一个或多个IoT设备归类配置成一个设备集合。并且支持查看根据设备对象属性映射的IoT设备IP详情。 | A, K, E, X, C, B, SDW |
| IoT安全监控 | ||
| 29058/34005/ 31650/32980/ 34207/34211/ 34209 |
|
A, K, E, X, C, B, SDW |
| 支持内置本地资产识别,使用防火墙系统的Docker管理功能,将资产识别系统部署在防火墙内部进行IoT资产识别。 | A(A2600及以上型号)、B(B3200及以上型号) | |
已知问题
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| SSL VPN | ||
| 323249 | 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329424 | 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。 | |
| 287915 | 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。 建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。 |
A, K, E, X, CloudEdge, C |
| 333797/333798 | 设备在未安装SSL VPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SSL VPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329186 | 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。 建议:通过手动方式选择已安装的证书。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 335090 | 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 327602 | 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
| 313034 | 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 334346/332965 | SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 335092 | 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 323920 | Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。
建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 网络 | ||
| 268866-1(268866) | 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 | K9180 |
| 382629-1(382629) | 不支持单独配置通配符“*”来匹配所有域名,如需匹配ABC.com时,不支持配置“*”,可配置为“*.com”。 | A, K, E, X, CloudEdge, C, B, SDW |
| QoS | ||
| 251079-0E0(280588) | QoS不支持Peer-mode非对称路由场景下对user的限速。 | A, K, E, X, CloudEdge, C |
| 策略 | ||
| 332856 | 聚合策略不支持在添加策略时使用aggregate-rule{ name name | id} [ top | before {namerule-name| id} | after {namerule-name| id} ] 指定策略成员在聚合策略中的位置。 |
A, K, E, X, CloudEdge, C, B, SDW |
| RESTful API | ||
| 348396 | 通过RESTful API接口查看单条预定义应用可能出现错误的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
| HA | ||
| 286815 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 | A, K, E, X, CloudEdge, C |
| 330370 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备Webauth在线用户的情况。 | |
| 云·界 | ||
| 310941-1(310941) | 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 | CloudEdge |
StoneOS 5.5R10F3
发布概述
发布日期:2023年9月28日
5.5R10F3版本新增13个功能,合入134个功能。本次发布的新功能主要包括:系统方面,防火墙支持作为SSH或者Telnet客户端,连接并登录其它SSH或者Telnet服务器设备;对象方面,用户可以根据需要自定义IP地址的地理位置信息;认证方面,HTTPS Web认证场景中支持引用系统中已配置的证书链;云平台方面,支持根据云平台或者HSM下发的配置脚本执行相应的配置命令,另外,支持将接口统计信息上报至云·景;云·界方面,支持指定HA对端IP和下一跳网关,实现跨三层网络HA协商与同步,在阿里云上支持部署HA的Peer Actve-Actve(A/A)工作模式,实现跨AZ的HA协商与同步。同时,在日志和RESTful API方面也有所增强。
所有功能概述,请参见本文档新增功能部分。
相关功能操作方面的新增和修改,请参见《StoneOS 5.5R10 F版本新功能说明》。
版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=37445
5.5R10F3继承/合入详情:
- 继承5.5R10F2的全部FR及已解决问题;
- 合入5.5R10P3的全部FR及已解决问题;
- 合入5.5R9F1.7的部分FR,合入FR为FR34135;
- 合入R10F1.X的部分FR,合入FR为FR32946;
- 合入5.5R9F2.X的部分FR,合入FR为FR32838。
平台和系统文件
| 产品型号 | 系统文件 |
|---|---|
| SG-6000-A7600/A6800/A5800/A5600/A5550/A5500/A5250/A5200/A5150 /A5100/A3800/A3700/A3600 /A3000/A2800/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200 /B3000/B2000 |
SG6000-A-1-5.5R10F3.img
SG6000-A-1-5.5R10F3-v6.img |
| SG-6000-A200/A200G4(4G版)/A200W(WLAN版) /A200WG4(WLAN+4G版) B600/SDW500/SDW500W/SDW500G4/SDW500WG4 /SDW300/SDW300W/SDW300G4/SDW300WG4 |
SG6000-A-3-5.5R10F3.bin
SG6000-A-3-5.5R10F3-v6.bin |
| SG-6000-X20812 | SG6000-XN-5.5R10F3.img
SG6000-XN-5.5R10F3-v6.img |
| SG-6000-X10800/X9180 |
SG6000-XL-5.5R10F3.bin
SG6000-XL-5.5R10F3-v6.bin |
| SG-6000-X8180 | SG6000-XM-5.5R10F3.bin
SG6000-XM-5.5R10F3-v6.bin |
| SG-6000-X7180 |
SG6000-X7180-5.5R10F3.bin
SG6000-X7180-5.5R10F3-v6.bin |
| SG-6000-X6150-GS |
SG6000-X6150-GS-5.5R10F3.bin SG6000-X6150-GS-5.5R10F3-v6.bin |
| SG-6000-K9180 | SG6000-K-1-5.5R10F3.img
SG6000-K-1-5.5R10F3-v6.img |
| SG-6000-K2680/K2380 | SG6000-K-2-5.5R10F3.img
SG6000-K-2-5.5R10F3-v6.img |
| SG-6000-K6280-GS/K6580 | SG6000-K-5-5.5R10F3.img SG6000-K-5-5.5R10F3-v6.img |
| SG-6000-K5680/K3680-GS/K3280/K2580/K2560/K1280 | SG6000-K-4-5.5R10F3.img
SG6000-K-4-5.5R10F3-v6.img |
| SG-6000-E5960/E5760 /E5660 /E5560 /E5568 /E5260 /E5268/E3965 /E5168 /C6050 /C5650 /C5450 |
SG6000-M-2-5.5R10F3.bin
SG6000-M-2-5.5R10F3-v6.bin |
| SG-6000-VM01 /VM02 /VM04 /VM08 |
SG6000-CloudEdge-5.5R10F3 SG6000-CloudEdge-5.5R10F3-v6 |
新增功能
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| 硬件 | ||
| 34491 | 新增支持SG-6000-K2560国产化平台。 | K2560 |
| 34565 | 新增支持国产化低端防火墙SG-6000-K1280平台,以满足基层行业的信创设备需求。 | K1280 |
| 34579 | 新增支持X系列平台SG-6000-X20812。 | X20812 |
| 34581 | 新增支持A系列平台SG-6000-A5550、SG-6000-A5250和SG-6000-A5150。 | A |
| 34567 | 新增支持国产化高端防火墙SG-6000-K6580平台。 | K6580 |
| 系统 | ||
| 32838 | 防火墙设备支持作为SSH或者Telnet客户端,连接并登录其它SSH或者Telnet服务器设备。 | A, K, E, X, CloudEdge, C, B, SDW |
| 34725 | 支持通过开启/关闭SNMP OID统计功能,查看SNMP OID统计详情和状态。 | |
| 34885 | 支持配置自动备份文件到FTP服务器时的CPU阈值,当CPU占用率超过指定阈值时,该周期内不向FTP服务器发送配置文件,等待下个周期再次尝试发送。 | |
| 34599 |
|
|
| 34707 | 支持DHCP零配置开局。对于A系列设备和部分K系列设备(K3280/K2680/K2580/K2380),出厂设备的ethernet0/3接口的默认配置中新增安全域配置、开启DHCP配置以及Option 60配置,上电启动后即可通过DHCP方式自动获取并加载配置文件以完成自动部署。 | A, B, K3280, K2680, K2580, K2380, SDW |
| 支持通过命令行开启或关闭DHCP客户端携带Option 60字段(供应商类型标识符)功能,并支持自定义配置Option 60字段信息。 | A, K, E, X, CloudEdge, C, B, SDW | |
| 对象 | ||
| 29675/32730 |
|
A, K, E, X, CloudEdge, C, B, SDW |
| 策略 | ||
| 34497 | 安全策略支持匹配DNAT转换后的目的地址。 | A, K, E, X, CloudEdge, C, B, SDW |
| NAT | ||
| 34849 | SNAT支持NPTv6转换模式,实现IPv6地址转换。 | A, K, X, E, CloudEdge, C, B, SDW |
| SNMP | ||
| 34723 |
|
A, K, X, E, CloudEdge, C, B, SDW |
| 34851 | 支持通过SNMP获取BGP邻居信息,包括BGP邻居的IP地址、状态、AS号及实例VRouter。 | |
| 网络 | ||
| 34821 | 开启L4层检查功能后,系统对流经L4层的TCP协议报文进行检查,若检查出TCP包存在异常,则将该TCP包丢弃。 | A, K, E, X, CloudEdge, C, B, SDW |
| 34809 | 支持通过克隆MAC地址的方式,为三层隧道接口配置相同的MAC地址。 | CloudEdge |
| 34709 | X系列设备支持对BGP、Track ICMP和Track DNS协议报文进行优先处理,以增强设备稳定性。 | X |
| 认证 | ||
| 33357 | HTTPS Web认证场景中支持引用系统中已配置的证书链。 | A, K, E, X, CloudEdge, C, B, SDW |
| VPN | ||
| 34807/34815 | VXLAN支持配置三层隧道接口。 | CloudEdge |
| 在非根VSYS中VXLAN静态隧道的出接口支持配置为子接口。 | A, K, E, X, CloudEdge, C, B, SDW | |
| 34775 |
|
|
| 34799/34865 |
|
|
| ZTNA | ||
| 34731 | 终端标签日志支持输出到设备硬盘中。 | X20812 |
| 高可靠性 | ||
| 34559 | 支持通过SNMP获取HA Active-Passive(A/P)模式下HA组的设备状态,包括对端设备HA状态、主设备和备份设备HA状态、主设备和备份设备状态变更历史次数。 | A, K, X, E, CloudEdge, C, B, SDW |
| 34863 |
|
|
| 34729 | HSVRP组虚拟IP支持配置IPv6地址。 | |
| 威胁防护 | ||
| 34873 |
支持IP验证功能,对于DNS Reply Flood和DNS Query Flood攻击防护功能,DNS报文计数超过阈值后,通过对源IP进行动态验证,在一段时间内对通过验证的IP地址的流量进行放行;对于SYN-Proxy和SYN-Cookie功能,SYN包超过阈值后,在一段时间内对成功代理通过验证的IP地址不再进行重复的代理,直接放行。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 监控 | ||
| 34557 |
|
A, K, E, X, CloudEdge, C, B, SDW |
| 34845 |
|
|
| 故障诊断 | ||
| 34801 |
|
A, K, E, X, CloudEdge, C, B, SDW |
| 34881 | X系列设备支持数据包路径检测功能。 | X |
| 云平台 | ||
| 29695 | 支持根据云平台或者HSM下发的配置脚本执行相应的命令配置。 | A, K, E, X, CloudEdge, C, B, SDW |
| 34135 | 支持将接口统计信息上报至云·景,包括各个接口的上行最大速率、下行最大速率、上行平均速率和下行平均速率,并支持按照云·景的上报周期上报统计信息。 | |
| 34787/34789 | 统一设备与云平台连接的控制通道和数据传输通道,并支持将全量威胁信息同步至云平台,以提高安全运营效率。 | A, K, E, CloudEdge, C, B, SDW |
| 34495 | 支持通过云·景安装所有许可证文件,并在许可证发生变更时,向云·景上报最新的许可证数据。 | A, K, E, X, CloudEdge, C, B, SDW |
| 34785 | 支持将配置文件上传至云·景,并通过云·景进行配置文件的恢复。 | |
| 34769 | 支持将SNAT规则可配置最大数目和当前已配置规则数目上传至云平台。 | |
| 34779 | 支持将ARP表、MAC表、会话资源使用率上传至云平台。 说明:X系列和K9180设备仅支持将所有业务模块的会话总和进行上传。 |
|
| 34777 | 支持将策略规则资源利用率上传至云平台,包括设备可配置的策略规则数和当前已配置的策略规则数。 | |
| 34771 | 支持将设备各CPU的使用率和温度信息、内存的总容量和已使用容量上传至云平台。 | X, K9810 |
| 34735/34773/ 34783/34781/34499 |
|
A, K(除K9180、K6580), E, CloudEdge, C, B, SDW |
| RESTful API | ||
| 34399 | 支持通过RESTful API接口新建、编辑、删除、查询入侵防御白名单。 | A, K, E, X, CloudEdge, C, B |
| 34409 | 支持通过RESTful API接口查询热点威胁情报信息,根据发布时间过滤热点威胁情报信息,进行热点威胁情报配置,开启热点威胁情报推送。 | |
| 34413 | 支持通过RESTful API接口进行僵尸网络防御日志聚合。 | |
| 34407 | 支持通过RESTful API接口查询TOP 10威胁信息,并能够根据目的IP、源IP、威胁名称、时间过滤TOP 10威胁信息。 | A, K, E, X, CloudEdge, C, B, SDW |
| 34411 | 支持通过RESTful API接口删除网卡。 | |
| 33229 | 支持通过RESTful API接口进行SSL VPN用户和主机ID的绑定和解绑。 | |
| 34821 | 支持通过RESTful API接口开启和关闭系统对流经L4层的TCP协议报文进行检查的功能。 | |
| 34801 |
|
|
| 34815 | 支持通过RESTful API接口配置VXLAN隧道绑定到三层安全域。 | CloudEdge |
| 34819 | 支持通过RESTful API接口查看各模块的丢包排名及所有模块的丢包总数。 | A, CloudEdge, B |
| 34533 | 支持通过RESTful API接口添加/删除/编辑聚合策略、为聚合策略添加/删除成员、查看命中分析结果。 | A, K, E, X, CloudEdge, C, B, SDW |
| 34535 | 支持通过RESTful API接口添加/删除/编辑信任域、查看信任域列表及信任域详细信息,导入/导出信任域证书。 | |
| 34829 | 支持通过RESTful API接口进行版本升级。 | |
| 34833 | 支持通过RESTful API接口配置/修改/删除VSYS配额、查看VSYS配置列表。 | |
| 34541 | 支持通过RESTful API接口配置/导出Debug日志、查看Debug日志配置。 | |
| 34839 | 支持通过RESTful API接口添加/编辑基于国家/地区的IPv4地址簿。 | |
| 34843 |
|
|
| 34561 | 支持通过RESTful API接口查看/添加/删除IPv6邻居缓存表项。 | |
| Capacity | ||
| 34727 | 所有VSYS下可配置的NAT数量之和与设备可配置的NAT数量保持一致。 | A, K, E, X, CloudEdge, C, B, SDW |
| 34871 | 优化VSYS Capacity逻辑,设备可配置的VSYS数量中不包含根VSYS。 | |
| 日志 | ||
| 32946 |
|
A, K, E, X, CloudEdge, C, B, SDW |
| 34571 |
|
X20812 |
| 云·界 | ||
| 29095 | 云·界支持指定HA对端IP和下一跳网关,实现跨三层网络HA协商与同步。 | CloudEdge |
| 32100 | 云·界在阿里云上支持部署HA的Peer Actve-Actve(A/A)工作模式,实现跨AZ的HA协商与同步。 | |
已知问题
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| SSL VPN | ||
| 323249 | 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329424 | 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。 | |
| 287915 | 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。 建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。 |
A, K, E, X, CloudEdge, C |
| 333797 /333798 |
设备在未安装SSL VPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SSL VPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329186 | 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。 建议:通过手动方式选择已安装的证书。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 335090 | 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 327602 | 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
| 313034 | 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 334346 /332965 |
SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 335092 | 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 323920 | Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。 建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 网络 | ||
| 268866-1(268866) | 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 | K9180 |
| QoS | ||
| 251079-0E0(280588) | QoS不支持Peer-mode非对称路由场景下对user的限速。 | A, K, E, X, CloudEdge, C |
| 策略 | ||
| 332856 | 聚合策略不支持在添加策略时使用aggregate-rule{ name name | id} [ top | before {namerule-name| id} | after {namerule-name| id} ] 指定策略成员在聚合策略中的位置。 |
A, K, E, X, CloudEdge, C, B, SDW |
| RESTful API | ||
| 348396 | 通过RESTful API接口查看单条预定义应用可能出现错误的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
| HA | ||
| 286815 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 | A, K, E, X, CloudEdge, C, B, SDW |
| 330370 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备Webauth在线用户的情况。 | |
| 云·界 | ||
| 310941-1(310941) | 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 | CloudEdge |
StoneOS 5.5R10F2
发布概述
发布日期:2023年6月26日
5.5R10F2版本新增9个功能,合入13个功能。本次发布的重点功能包括地址簿功能增强,配置“国家/地区”成员的地址簿时,如果国家/地区选择“中国”,可以进一步配置省份和城市,同时,支持批量添加或者批量排除地址簿成员;高可靠性功能增强,支持VRRP功能,可以与支持标准VRRP协议的其它厂商设备实现相互协商,能够在网络的默认网关出现故障时,及时将业务流量切换到备份设备,实现网关的冗余备份,保证网络通信的可靠性。
所有功能概述,请参见本文档新增功能部分。
相关功能操作方面的新增和修改,请参见《StoneOS 5.5R10 F版本新功能说明》。
版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=34949
5.5R10F2继承/合入详情:
- 继承5.5R10F1的全部FR及已解决问题;
- 合入5.5R10P2的全部FR及已解决问题;
- 合入5.5R9T的部分FR,合入FR为FR31298;
- 合入5.5R10F1.X的部分FR,合入FR为FR33677;
- 合入5.5R9F4.X的部分FR,合入FR为FR30772;
- 合入5.5R9F5.X的部分FR,合入FR为FR31348、FR30698;
- 合入5.5R9F6.X的部分FR,合入FR为FR33155;
- 合入5.5R10B的部分FR,合入FR为FR30690。
平台和系统文件
| 产品型号 | 系统文件 |
|---|---|
| SG-6000-A7600/A6800/A5800/A5600/A5500/A5200 /A5100/A3800/A3700/A3600 /A3000/A2800/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200 /B3000/B2000 |
SG6000-A-1-5.5R10F2.img
SG6000-A-1-5.5R10F2-v6.img |
| SG-6000-A200/A200G4(4G版)/A200W(WLAN版) /A200WG4(WLAN+4G版) B600/SDW500/SDW500W/SDW500G4/SDW500WG4 /SDW300/SDW300W/SDW300G4/SDW300WG4 |
SG6000-A-3-5.5R10F2.bin
SG6000-A-3-5.5R10F2-v6.bin |
| SG-6000-X10800/X9180 |
SG6000-XL-5.5R10F2.bin
SG6000-XL-5.5R10F2-v6.bin |
| SG-6000-X8180 | SG6000-XM-5.5R10F2.bin
SG6000-XM-5.5R10F2-v6.bin |
| SG-6000-X7180 |
SG6000-X7180-5.5R10F2.bin
SG6000-X7180-5.5R10F2-v6.bin |
| SG-6000-X6150-GS |
SG6000-X6150-GS-5.5R10F2.bin SG6000-X6150-GS-5.5R10F2-v6.bin |
| SG-6000-K9180 | SG6000-K-1-5.5R10F2.img
SG6000-K-1-5.5R10F2-v6.img |
| SG-6000-K2680/K2380 | SG6000-K-2-5.5R10F2.img
SG6000-K-2-5.5R10F2-v6.img |
| SG-6000-K6280-GS | SG6000-K-5-5.5R10F2.img SG6000-K-5-5.5R10F2-v6.img |
| SG-6000-K5680/K3680-GS/K3280/K2580 | SG6000-K-4-5.5R10F2.img
SG6000-K-4-5.5R10F2-v6.img |
| SG-6000-E5960/E5760 /E5660 /E5560 /E5568 /E5260 /E5268/E3965 /E5168 /C6050 /C5650 /C5450 |
SG6000-M-2-5.5R10F2.bin
SG6000-M-2-5.5R10F2-v6.bin |
|
SG-6000-E6360
/E6368
/E6160
/E6168
/E3960
/E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300 /E1700/E1606 /E1600 /E1100(WLAN版) /E1100(WLAN版+3G-WCDMA版) /E1100(WLAN版+3G-CDMA版) /E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版) /E1100(WLAN版+4G版) /E1100W-GM /E1600-GM /E1700-GM /E2300-GM /E2800-GM /E3660-GM /E3960-GM /C5250/C5050 /C4550 /C4100 /C4000 /C3100 /C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600 |
SG6000-M-3-5.5R10F2.bin
SG6000-M-3-5.5R10F2-v6.bin |
| SG-6000-VM01 /VM02 /VM04 /VM08 |
SG6000-CloudEdge-5.5R10F2 SG6000-CloudEdge-5.5R10F2-v6 |
新增功能
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| 系统 | ||
| 33495 | X7180设备支持CPU Cache Error监控告警功能,当系统的CPU Cache Error报错次数达到指定告警阈值时,系统将生成告警日志。 | X7180 |
| 对象 | ||
| 20494 | 新建/编辑地址簿时,支持以下功能:
|
A, K, E, X, CloudEdge, C, B, SDW |
| 26501 |
|
|
| 30222 | 配置“国家/地区”成员的地址簿时,如果国家/地区选择“中国”,可以进一步配置到省份和城市。 | |
| 30221/30223/30224 | 策略规则、边界流量过滤(PTF)静态IP黑名单和策略路由支持引用配置了省份和城市的地址簿。 | |
| 策略 | ||
| 32682 | 支持为策略配置自定义属性,并基于这些属性对策略进行过滤查询。 | A, K, E, X, CloudEdge, C, B, SDW |
| VPN/ZTNA | ||
| 30690 | 支持SSL VPN/ZTNA专线功能,用户在成功登录SSL VPN/ZTNA后仅能访问隧道路由中指定网段的内网资源,不能访问互联网资源。 | A, K, E, X, CloudEdge, C, B, SDW |
| 高可靠性 | ||
| 30772 | 支持VRRP功能。VRRP功能采用标准的VRRP协议,可以与支持标准VRRP协议的其它厂商设备实现相互协商。 VRRP功能能够在网络的默认网关出现故障时,及时将业务流量切换到备份设备上,实现网关的冗余备份,保证网络通信的可靠性。VRRP功能不支持配置同步以及会话同步,仅提供网关故障时的冗余备份。 | A, K(不含K9180), E, CloudEdge, C, B, SDW |
| 用户认证 | ||
| 30698 | 通过SSO Monitor方式向StoneOS同步认证用户时,StoneOS可以主动查询认证用户在AD/LDAP服务器上所属的用户组和角色映射,实现基于用户组和角色的网络访问控制。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31348 | 支持SSO Web功能,SSO Web客户端(第三方认证系统)可以通过HTTP(S) RESTful API请求向StoneOS系统发送用户上下线报文和用户信息更新报文,StoneOS系统根据报文内容获取用户认证信息,并且可以主动查询认证用户在AD/LDAP服务器上所属的用户组和角色映射,实现单点登录以及基于用户组和角色的网络访问控制。 | A, K, E, X, CloudEdge, C, B, SDW |
| 威胁防护 | ||
| 33499 | “热点威胁情报”功能新增支持X系列和K9180设备,支持对热点威胁进行防范。 | X, K9180 |
| 监控与日志 | ||
| 30225/30623 | 支持查看威胁日志的源地区和目的地区,可以通过源地区和目的地区对威胁日志进行过滤。 | A, K, E, X, CloudEdge, C, B, SDW |
| 33497 | 日志和报表存储至本地硬盘功能新增支持X8180设备,支持的日志类型包括:事件日志、威胁日志、网络日志和配置日志。 | X8180 |
| 33501 | 输出到Syslog Server的日志信息显示主机名称,不显示设备序列号。 | A, K, E, X, CloudEdge, C, B, SDW |
| RESTful API | ||
| 33677 | 支持通过RESTful API接口新建、编辑、删除、查询微型策略。 | A, K, E, X, CloudEdge, C, B, SDW |
已知问题
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| SSL VPN | ||
| 323249 | 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329424 | 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。 | |
| 287915 | 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。 建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。 |
A, K, E, X, CloudEdge, C |
| 333797 /333798 |
设备在未安装SSL VPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SSL VPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329186 | 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。 建议:通过手动方式选择已安装的证书。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 335090 | 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 327602 | 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
| 313034 | 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 334346 /332965 |
SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 335092 | 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 323920 | Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。 建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 网络 | ||
| 268866-1(268866) | 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 | K9180 |
| QoS | ||
| 251079-0E0(280588) | QoS不支持Peer-mode非对称路由场景下对user的限速。 | A, K, E, X, CloudEdge, C |
| HA | ||
| 286815 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 | A, K, E, X, CloudEdge, C, B, SDW |
| 云·界 | ||
| 310941-1(310941) | 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 | CloudEdge |
StoneOS 5.5R10F1
发布概述
发布日期:2023年5月6日
5.5R10F1版本新增5个功能,合入107个功能。本次发布的重点功能包含:
- 新增OSPF平滑重启(OSPF GR)功能,在运行OSPF协议的网络环境中,配置OSPF平滑重启功能,可以避免因HA主备切换导致的路由震荡和流量中断;
- 优化DNS代理规则中DNS代理服务器的获取方式,支持通过Use System设置,自动获取系统中已配置的或者通过DHCP学习到的DNS服务器作为DNS代理服务器;
- 认证功能增强,支持新建AD/LDAP账号并配置账号到期时间,支持配置同步到StoneOS本地的AD/LDAP账号的到期时间,支持导入或者导出AD/LDAP账号;
- IPv6 over IPv4隧道功能增强,支持通过WebUI配置IPv6 over IPv4隧道,包括6to4自动隧道、6to4手工隧道、ISATAP隧道和6RD隧道;
- SSL VPN和ZTNA功能增强,用户可以指定允许接入的SSL VPN或者ZTNA客户端类型,可以是Windows系统客户端、Android系统客户端、iOS系统客户端、macOS系统客户端或者Linux系统客户端中的一种或者多种。
所有功能概述,请参见本文档新增功能部分。
相关功能操作方面的新增和修改,请参见《StoneOS 5.5R10 F版本新功能说明》。
版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=33364
5.5R10F1继承/合入详情:
- 继承5.5R10的全部FR及已解决问题;
- 合入5.5R10P1的全部FR及已解决问题;
- 合入5.5R8B的部分FR,合入FR为FR27137;
- 合入5.5R8P11M7的部分FR,合入FR为FR28717;
- 合入5.5R9F4.X的部分FR,合入FR包括FR31250、FR29993、FR31113、FR30819;
- 合入5.5R9F5.X的部分FR,合入FR包括FR31248、FR30703、FR31434、FR30700;
- 合入5.5R9F3的部分FR,合入FR包括FR31928、FR31929、FR31930、FR31931、FR28335、FR31932、FR31933、FR31935、FR31936、FR31937、FR31938、FR31939、FR31940、FR31941、FR31942、FR31943、FR28151、FR28153、FR31944、FR32043、FR31945、FR31946、FR28812、FR28816、FR28818、FR31947;
- 合入5.5R9F4的部分FR,合入FR包括FR31949、FR31950、FR31951、FR28386、FR28336、FR28553、FR28568、FR28633、FR31952、FR31953、FR29373、FR29366、FR29357、FR29359、FR29582、FR31954、FR31955、FR31956、FR31957、FR31958、FR31959、FR31960、FR31961、FR31964、FR31962、FR31963、FR28614、FR31966、FR31967、FR31968、FR31969、FR31970、FR31971、FR31972、FR31973、FR31975、FR31976、FR31977、FR31978、FR31979;
- 合入5.5R9F5的部分FR,合入FR包括FR29024、FR29580、FR31980、FR29690、FR29789、FR31981、FR31982、FR30490、FR31983、FR28438、FR28440、FR31984、FR31985、FR31986、FR31987、FR31988、FR31989、FR31990、FR31991、FR31992、FR31993、FR31994、FR31995、FR31996;
- 合入5.5R9F6的全部FR,合入FR包括FR31997、FR31998、FR31999、FR32000、FR32001;
- 合入5.5R10P1的部分FR,合入FR包括FR32644和FR32645。
平台和系统文件
| 产品型号 | 系统文件 |
|---|---|
| SG-6000-A7600/A6800/A5800/A5600/A5500/A5200 /A5100/A3800/A3700/A3600 /A3000/A2800/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200 /B3000/B2000 |
SG6000-A-1-5.5R10F1.img
SG6000-A-1-5.5R10F1-v6.img |
| SG-6000-A200/A200G4(4G版)/A200W(WLAN版) /A200WG4(WLAN+4G版) B600/SDW500/SDW500W/SDW500G4/SDW500WG4 /SDW300/SDW300W/SDW300G4/SDW300WG4 |
SG6000-A-3-5.5R10F1.bin
SG6000-A-3-5.5R10F1-v6.bin |
| SG-6000-X10800/X9180 |
SG6000-XL-5.5R10F1.bin
SG6000-XL-5.5R10F1-v6.bin |
| SG-6000-X8180 | SG6000-XM-5.5R10F1.bin
SG6000-XM-5.5R10F1-v6.bin |
| SG-6000-X7180 |
SG6000-X7180-5.5R10F1.bin
SG6000-X7180-5.5R10F1-v6.bin |
| SG-6000-X6150-GS |
SG6000-X6150-GS-5.5R10F1.bin SG6000-X6150-GS-5.5R10F1-v6.bin |
| SG-6000-K9180 | SG6000-K-1-5.5R10F1.img
SG6000-K-1-5.5R10F1-v6.img |
| SG-6000-K2680/K2380 | SG6000-K-2-5.5R10F1.img
SG6000-K-2-5.5R10F1-v6.img |
| SG-6000-K6280-GS | SG6000-K-5-5.5R10F1.img SG6000-K-5-5.5R10F1-v6.img |
| SG-6000-K5680/K3680-GS/K3280/K2580 | SG6000-K-4-5.5R10F1.img
SG6000-K-4-5.5R10F1-v6.img |
| SG-6000-E5960/E5760 /E5660 /E5560 /E5568 /E5260 /E5268/E3965 /E5168 /C6050 /C5650 /C5450 |
SG6000-M-2-5.5R10F1.bin
SG6000-M-2-5.5R10F1-v6.bin |
|
SG-6000-E6360
/E6368
/E6160
/E6168
/E3960
/E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300 /E1700/E1606 /E1600 /E1100(WLAN版) /E1100(WLAN版+3G-WCDMA版) /E1100(WLAN版+3G-CDMA版) /E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版) /E1100(WLAN版+4G版) /E1100W-GM /E1600-GM /E1700-GM /E2300-GM /E2800-GM /E3660-GM /E3960-GM /C5250/C5050 /C4550 /C4100 /C4000 /C3100 /C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600 |
SG6000-M-3-5.5R10F1.bin
SG6000-M-3-5.5R10F1-v6.bin |
| SG-6000-VM01 /VM02 /VM04 /VM08 |
SG6000-CloudEdge-5.5R10F1 SG6000-CloudEdge-5.5R10F1-v6 |
新增功能
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| 硬件 | ||
| 29580 | 在安装了1T硬盘的SG-6000-X9180设备上,通过WebUI或者show disk命令查看硬盘信息时,硬盘容量大小显示为930G。 |
X9180 |
| 31999 | A系列和B系列设备新增支持4T硬盘。 | A, B (以上系列均仅针对安装有硬盘的设备) |
| 系统 | ||
| 31930 | 系统启动时,支持将USB中时间戳最新的配置文件作为启动文件。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31993/31994 | E系列和C系列设备支持通过shutdown命令关机。 |
E, C |
| 29993 | 支持通过本地升级方式批量升级相同软件版本和相同型号设备的特征库。 | A, K, E, X, CloudEdge, C, B, SDW |
| 27137 | 支持TSO/LRO功能,通过网卡对TCP数据进行聚合或分片转发,从而提高系统接收TCP数据包的能力,减轻CPU负荷。 | CloudEdge |
| 31949 | 新增SSL代理域名白名单特征库,并支持自动升级。 | A, K, E, X, CloudEdge, C, B, SDW |
| 29359 | 支持将IPSec VPN断开原因上送至HSM。 | |
| 31984 | 海外设备WebUI支持葡萄牙语。 | A(不含A200/A200G4/A200W/A200WG4) |
| 31992 | HA场景下的主设备与备份设备的Engine ID可以不一致,避免在SNMPv3 Trap功能开启的情况下,HA主备设备切换时Trap主机无法正常接收Trap告警信息。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31995 | 支持通过export tech-support命令导出所有硬件模块的tech-support文件。 |
X, K9180 |
| 31996 | 支持自定义修改登录页面的产品名称。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31998 | 万兆接口支持Auto Tuning功能。当检测到接口状态异常时,通过Auto Tuning功能优化接口参数,以降低接收端的比特误码率。 | A(不含A200/A200G4/A200W/A200WG4), K9180, X(不含X7180), B(不含B600/B600G4/B600W/B600WG4) |
| 32001 | 支持通过命令行开启或关闭TCP报文时间戳。 | A, K, E, X, C, B, SDW |
| 路由 | ||
| 21986 | 支持OSPF平滑重启(OSPF GR)功能。在运行OSPF协议的网络环境中,避免因HA主备切换导致的路由震荡和流量中断。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31953 | 防火墙组播协议功能支持MLD以及IPv6 PIM-SM模式。 | |
| 31983 | 支持通过WebUI配置PIM和PIMv6。 | |
| 31964 |
|
|
| 策略 | ||
| 31928 | 支持策略助手流量统计功能,统计通过策略助手提取到的流量的命中数、上行报文数、下行报文数、上行字节数及下行字节数。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31929 | 支持策略流量统计功能,统计命中策略规则的系统流量的上行报文数、下行报文数、上行字节数、下行字节数。 | |
| 28440 | 支持通过命令行进行以下操作:
|
|
| 31985 | 策略规则新增过滤条件“用户”,该过滤条件支持针对用户/用户组/角色的模糊查询以及针对用户/用户组的精准查询,从而筛选出符合条件的策略规则。 | |
| 31962 | 会话限制支持将单个IP加入动态IP黑名单进行阻断,并指定对该IP的阻断时间。 | |
| 网络 | ||
| 31946 | 通过DHCP动态获取IP地址的接口支持向服务端发送带有Option26的请求报文,从而获取服务端分配的MTU。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31950 | 新增本地ARP代理功能,并支持通过命令行查看接口本地ARP代理开启情况。 | |
| 28633 | 设备LLDP信息中的系统名称支持随用户配置的主机名称变化。 | |
| 31980/31978 | A系列、B系列和SDW系列设备支持外置4G模块,型号为中兴MF79U和MF833V。 | SG-6000-A5800/A5600
/A5500/A5200/A5100
/A3800/A3700/A3600
/A3000/A2800/A2700
/A2600/A2000/A1100
/A1000/A200/A200W, B5600/B5200/B5000 /B4600/B3600/B3200 /B3000/B2000/B600 /B600W , SDW |
| 29024 | DNS代理服务器支持通过Use System设置,自动获取系统的DNS服务器。 | A, K, E, X, CloudEdge, C, B, SDW |
| 28438 | 支持通过命令行进行以下操作:
|
|
| 对象 | ||
| 28386 | 支持导入或导出自定义地址簿条目、自定义应用/应用组、自定义服务/服务组。 | A, K, E, X, CloudEdge, C, B, SDW |
| 28336 | 支持对防火墙地址簿内的成员添加描述。 | |
| 认证 | ||
| 31434 | 支持简化认证功能,系统使用设备中配置的认证方式(通过命令行auth-method {plain | digest-md5}配置)与Active-Directory/LDAP服务器进行连接,不再查询服务器的加密方式。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 31248 | SSO Monitor支持关联已配置的地址簿,在生成认证用户时,只生成在IP范围内的用户。 | |
| 30700 |
|
|
| 28151 | HTTP(S)短信网关支持配置MAS协议子类型,实现与移动云MAS短信平台对接。 | |
| 32043 | 短信网关认证支持对接中国移动音乐短信服务平台进行SSL VPN认证和Web认证。 | |
| 28614 | SSL VPN支持通过LDAP服务器进行短信认证。 | |
| 31981 | 支持角色黑名单功能,映射到黑名单中角色的用户将认证登录失败,支持的认证登录方式包含SSL VPN/ZTNA/WebAuth/L2TP/802.1X/IPSec VPN(UserGroup)。 | |
| 31973 | HTTP(S)短信网关支持配置EMAY协议子类型,实现与亿美短信平台对接。 | |
| 31986 | 用户通过PICC Secure Connect客户端登录并完成二维码扫码认证后,支持在防火墙进行本地账号检查,检查账号是否存在以及账号是否过期,并对即将过期的账号进行剩余有效天数提醒。 | |
| 31987 | 在SSL VPN短信认证场景中,系统支持获取AD/LDAP服务器的“TelephoneNumber”字段作为用户手机号码。当用户登录SSL VPN时,系统会将短信验证码发送至该号码。 | |
| 32645 | 提高防火墙的认证级别,避免出现当AD服务器认证级别高于防火墙时,两者无法正常连接的情况。 | |
| 30490 | Web认证支持本地账户到期提醒功能。如果系统采用本地认证服务器进行用户认证,当账户即将到期的用户进行Web认证时,Web认证登录页面会提示账户的剩余有效天数。 | |
| 30338 | SSL VPN和ZTNA支持本地账户到期提醒功能。如果系统采用本地认证服务器进行SSL VPN/ZTNA客户端用户身份认证,当账户即将到期的用户通过客户端登录SSL VPN/ZTNA时,客户端会弹出窗口提示账户的剩余有效天数。 | |
| SNMP | ||
| 31250 | 支持通过SNMP查询光模块信息,包括光模块的当前温度、发送电源电压、发送偏置电流、发送光功率、接收光功率。 | A200/A200G4/A200W/A200WG4, SDW |
| 28717 | 支持通过WebUI配置IPv6 SNMP,包括配置IPv6类型的SNMP主机、Trap主机和V3用户。 | A, K, E, X, CloudEdge, C, B, SDW |
| VPN/ZTNA | ||
| 29476 | 用户可以配置允许接入的SSL VPN和ZTNA客户端类型,包括Windows系统客户端、Android系统客户端、iOS系统客户端、macOS系统客户端和Linux系统客户端中的一种或者多种。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31966 | 支持检测客户端主机的特定注册表键值、表项名以及表项值是否存在。 | |
| 29789 | 支持配置强制下线时间表功能,时间表生效后,系统会强制SSL VPN在线用户或者ZTNA在线用户下线。 | |
| 威胁防护 | ||
| 28568 | 新增病毒过滤白名单,支持将URL/MD5值加入白名单,以减少误报。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31997 | 攻击防护模块威胁事件和威胁日志支持显示Flood类攻击的攻击流量信息。 | |
| IPv6 | ||
| 23314 | 支持通过WebUI配置IPv6 over IPv4隧道,包括6to4自动隧道、6to4手工隧道、ISATAP隧道和6RD隧道。 | A, K, E, X, CloudEdge, C, B, SDW |
| IoT | ||
| 30232 | 系统支持连接主动探测模块,通过主动探测模块识别网络视频监控设备。 | A, K, E, X, C, B |
| 31957 | X系列支持IoT功能。 | X |
| 31958 | 支持在设备重启后保存自定义添加的IoT设备信息。 | A, B |
| 31961 | 支持IoT视频监控许可证,提供IoT策略功能,并授权接入监控的IoT设备的最大数量。 | A, K, E, X, C, B |
| SLB | ||
| 30703 | 支持配置SLB服务器的优先级及最小活跃真实服务数,系统按照配置的最小活跃服务器数,从高优先级依次向低优先级检查,当检查到的当前优先级活跃服务器数满足最小活跃服务器数时,该优先级范围内的活跃服务器将会参与流量的分配;当不满足最小活跃服务器数或其中有服务器状态变为不可达导致目前优先级范围内的活跃服务数小于最小活跃服务器数时,继续检查低一优先级的服务器,直到活跃服务器数满足最小活跃服务器数。 | A, K, E, X, CloudEdge, C, B, SDW |
| 监控与日志 | ||
| 31113 | 支持显示会话日志的策略名称。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31944 | 会话和NAT日志支持存储到本地硬盘。 | A/B/K
(以上系列均仅针对安装有硬盘的设备) |
| 31951 | 设备监控支持展示CPU/内存利用率趋势图。 | A, K, E, X, C, B, SDW |
| 31952 | 报表支持统计IoT设备信息和IoT设备在线信息,IoT监控概览新增在线设备趋势图。 | A, K, E, X, C, B |
| 31954 | 优化IoT监控页面,增加投屏监控模式页面。 | |
| 31955 | IoT监控功能支持识别和监控更多厂商的多种类型设备。 | |
| 31956 | IoT功能支持配置监控设备的所属区域。 | |
| 31959 | IoT监控概览支持统计离线设备厂商和设备类型。 | |
| 29690 | SG-6000-X9180支持将日志信息存储到设备硬盘,包括事件、威胁、配置、网络和云沙箱日志信息。 | X9180(针对安装有硬盘的设备) |
| 云平台 | ||
| 31941 | 支持将基于源IP、目的IP、应用的流量统计数据上传至云·景。 | A, K(不含K9180), E, CloudEdge, C, B, SDW |
| 31942 | 支持将更丰富的威胁信息上传至云·景。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31960 | 支持将设备的IoT数据上送至云·景。 | A, K, E, X, C, B |
| 31967 | 支持将设备指定周期内的接口流量和速率数据上送至云·景,并动态配置上报周期。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31968 | 支持将设备的开机时间和Bypass模块状态上送至云·景。 | A(不含A200), E2800, C2100, C1300 |
| 31969 | 支持将设备的SSL VPN在线用户数上送至云·景。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31971 | 支持将入侵防御模块的威胁日志携带证据信息上送至云·景。 | A, E, X10800, CloudEdge, C, B |
| 31972 | 支持将基于IP的在线用户数上送至云·景。 | |
| 31990 | 支持通过云·景远程升级防火墙设备的系统版本。 | A, K, E, X, CloudEdge, C, B, SDW |
| RESTful API | ||
| 31931 | 支持通过RESTful API接口新建、编辑、查询、删除本地用户/用户组。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31933 | 支持通过RESTful API接口分别查询成员为非地址簿条目的地址簿以及成员为地址簿条目的地址簿。 | |
| 31935 | 支持通过RESTful API接口查询地址簿条目、服务、服务组的关联项。 | |
| 31936 | 支持通过RESTfull API接口查询引用安全域的策略规则ID。 | |
| 31937 | 支持通过RESTful API接口批量清除策略规则的命中数。 | |
| 31938 | 支持通过RESTful API接口根据多个策略规则ID批量查询策略规则。 | |
| 31939 | 支持通过RESTful API接口导入或者导出策略规则、地址条目、自定义应用/应用组、自定义服务/服务组。 | |
| 29373 | 支持通过RESTful API接口展示整机出向流量和整机入向流量。 | |
| 29366 | 支持通过RESTful API接口下发shutdown指令。 | |
| 29357 | 支持通过RESTful API接口获取HA状态以及进行HA主备切换。 | |
| 云·界支持HA Peer Active-Active(A/A)模式。 | CloudEdge | |
| 29582 | 支持通过RESTful API接口获取磁盘使用率。 | |
| 28553 |
|
A, K, E, X, CloudEdge, C, B |
| Capacity | ||
| 32000 | 接口组支持物理接口数量由8个增加至16个。 | A, K, E, X, CloudEdge, C, B, SDW |
| 31963 | 可配置的防火墙接口二级IP地址扩展至32个。 | |
| 28335 | 扩展设备中静态路由和BGP路由条目的数量。 | X10800, X9180, X8180 |
| 28153 | X系列设备支持的AD Agent最大在线用户数增加到100000。 | X7180, X8180, X10800, X9180 |
已知问题
| 编号 | 功能描述 | 涉及平台 |
|---|---|---|
| SSL VPN | ||
| 323249 | 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329424 | 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。 | |
| 287915 | 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。 建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。 |
A, K, E, X, CloudEdge, C |
| 333797 /333798 |
设备在未安装SSL VPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SSL VPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 329186 | 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。 建议:通过手动方式选择已安装的证书。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 335090 | 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 327602 | 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 | A, K, E, X, CloudEdge, C, B, SDW |
| 313034 | 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 334346 /332965 |
SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 | A, K, E, X, CloudEdge, C, B, SDW |
| 335092 | 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 323920 | Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。
建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。 |
A, K, E, X, CloudEdge, C, B, SDW |
| 网络 | ||
| 268866-1(268866) | 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 | K9180 |
| QoS | ||
| 251079-0E0(280588) | QoS不支持Peer-mode非对称路由场景下对user的限速。 | A, K, E, X, CloudEdge, C |
| HA | ||
| 286815 | HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 | A, K, E, X, CloudEdge, C |
| 云·界 | ||
| 310941-1(310941) | 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 | CloudEdge |
浏览器兼容性
以下浏览器通过了WebUI测试,推荐用户使用:
- IE11
- Chrome 45及更高版本
获得帮助
山石网科 SG-6000系列安全设备配有以下手册,访问https://docs.hillstonenet.com进行下载。
- 山石网科 SG-6000 硬件参考指南
- 山石网科 SG-6000 扩展模块参考指南
- StoneOS WebUI手册
- StoneOS命令行手册 (全系列)
- StoneOS新手入门指南
- StoneOS 典型配置案例
- StoneOS日志信息参考指南
- StoneOS SNMP私有MIB信息参考指南
- 山石网科RESTful API手册
- 故障排查手册
- 云·界部署手册
服务热线: 400-693-0555
官方网址:https://www.hillstonenet.com.cn
附录:版本升级说明
本附录包含各平台升级注意事项、功能模块升级注意事项、在HA环境下升级以及升级验证。
建议不要跨越较多版本进行升级,推荐升级相临近版本。如果版本跨度较大,建议仔细对比升级前后的配置。鉴于网络环境的差异性及特殊需求,可在升级前咨询 400-693-0555。
各平台升级注意事项
E/X平台升级注意事项
针对E/X平台的各个版本,请注意如下事项:
- 5.0R4及之前版本升级到5.5R10及后续版本,建议先按照相关文档指导升级到5.5R4最新的P版本,然后再升级到5.5R10及后续版本。
- 5.5R1及之后的版本建议先按照相关文档指导升级到5.5R4、5.5R6或者5.5R7的最新P版本,然后再升级到5.5R10及后续版本。
云•界升级注意事项
- StoneOS 5.5R10版本,仅发布云•界的镜像文件,如需将云•界升级到5.5R10及后续版本,请注意如下事项:
- 5.5R8P11/5.5R9P4/5.5R9F4及之后版本,可直接升级至5.5R10及后续版本;
- 5.5R8P11之前所有R/F/M/P版本、5.5R9P4之前R/F/M/P版本,请先按照相关文档指导升级到5.5R8P11/5.5R9P4/5.5R9F4及之后版本,然后再升级到5.5R10及后续版本。
- 如需5.5R10版本.img格式的升级文件,请咨询 400-693-0555,以获得文件以及更多帮助。
- 5.5R2及之前版本不支持升级到5.5R9及之后版本。原因如下:
- 5.5R1/5.5R2版本的默认许可证(default license)永久有效,但是只支持部分功能;而从5.5R7版本的默认许可证有效期为30天,支持全部功能。因此升级到5.5R9及之后版本后可能导致系统异常。
- img系统文件中没有预装默认许可证,升级后系统的有效期可能不会是30天,因此升级后也可能导致系统异常。
因此,5.5R2及之前版本如需升级到5.5R10及后续版本,请先按照相关文档指导升级到5.5R6P12.2,再升级到5.5R9P4/5.5R9F4及之后版本,然后再升级到5.5R10及后续版本。
- 从StoneOS 5.5R6版本开始,云•界从5.5R6之前版本升级到5.5R6及后续版本时,设备的SN码将发生变化,通过旧SN码申请的许可证将不再生效,需使用最新的SN码重新申请和安装许可证;而通过LMS、vLMS系统分发的许可证则不需要重新申请。建议:升级前,请先备份系统当前的配置。
- 从StoneOS 5.5R6版本开始,云•界的镜像文件将统一为一种型号的安装包,系统将根据用户安装的CPU许可证和虚拟机的资源配置情况,自动识别出对应的产品型号,所以当系统从5.5R6之前的版本升级到5.5R10及后续版本,需注意如下:
- 升级后,需尽快安装对应型号的CPU许可证并配置对应的虚拟机资源(vCPU和内存),系统才可正常运行。否则,可能导致系统无法正确显示设备型号或启动失败。
- 升级并安装CPU许可证后,需要重启设备,重启后,若通过命令
show version显示对应的设备型号,说明安装正确。
- 请用户务必按照云•界VM01(2vCPU/2G内存)/VM02(2vCPU/4G内存)/VM04(4vCPU/8G内存)/VM08(8vCPU/16G内存)要求的资源配置虚拟机。若升级前没有达到最低资源配置,升级后,系统将根据用户安装的CPU许可证和虚拟机的实际资源配置情况,自动识别出相应的产品型号,有可能出现与之前型号不匹配的现象或启动失败。
- 从StoneOS5.5R4版本开始,img格式的系统文件可以自适应各虚拟化平台。
- 从StoneOS5.5R4版本开始,CloudEdge可以配置HA的虚拟MAC前缀,但是重启设备后,虚拟MAC地址会发生变化。
- 从StoneOS 5.5R3版本开始,系统文件区分IPv4和IPv6版本。
- 从StoneOS 5.5R1P15/5.5R2P8/5.5R3P6/5.5R4P4版本及以后的P版本,VM01推荐使用2vCPU/2G内存的资源配置进行启动。
- 从StoneOS 5.5R5版本开始,由于CloudEdge功能优化,要求虚拟机的最低资源配置变更为2vCPU/2G内存。
功能模块升级注意事项
HSM&HSA匹配版本说明
在使用5.5R10版本与HSA或HSM连接时,需要将HSA升级到2.11.0及之后版本、HSM升级到4.15及之后版本。
SSL Proxy功能相关配置升级说明
从StoneOS 5.5R9版本开始,系统将SSL代理配置中“不支持的版本”“不支持的加密算法”“未知错误”“客户端认证”参数的默认值由“阻断”改为“放行”。当升级到5.5R9及之后版本后,相关配置会发生变化,导致行为变更。如仍需使用阻断配置,需要手动修改。
SSL VPN功能相关配置升级说明
- 从StoneOS 5.5R10版本开始,SSL VPN 客户端重构,推出新版SSL VPN 客户端,同时支持Windows、macOS、Linux、Android和iOS系统。若使用新版SSL VPN客户端(v5.0.0及其以后版本),需注意:“通信稳定性优化”功能配置中增加“自动”选项,如果选择了“自动”,会根据服务器是否开启TCP端口,自动选择连接方式。
- 从StoneOS 5.5R10版本开始,“SSL VPN 地址池”功能调整为“接入地址池”功能,相关命令行和WebUI页面均有所调整,例如:
scvpn poolpool-name命令替换为access-address-poolpool-name;通过WebUI配置可选择“对象 > 接入地址池”。当把系统从5.5R10之前的版本升级到5.5R10及后续版本时,原先的配置将继续保留,可正常使用。 - 从StoneOS 5.5R9版本开始,SSL VPN Windows客户端支持数据传输可靠性配置。若使用SSL VPN客户端(V1.4.9.1281及其以后版本),需注意以下事项。旧版本客户端(V1.4.9.1279及之前的版本)不受此影响。
- 当服务器开启TCP端口时,SSL VPN客户端是否勾选“通信稳定性优化”功能,均可以成功连接。
- 当服务器不开启TCP端口时,SSL VPN客户端若勾选了“通信稳定性优化”功能,会报错。取消勾选后,可正常使用。
- 从StoneOS 5.5R9版本开始,SSL VPN不再支持通过RSA Server进行RSA SecurID Token认证的方式。当把系统从5.5R9之前的版本升级到5.5R9及后续版本时,请采用其他认证方式。
IPS特征库升级说明
从StoneOS 5.5R8P2版本开始,入侵防御特征库支持3.0版本,用户可根据需要升级到最新版本的IPS特征库,防护能力更强。设备上原有的2.0版本IPS特征库在系统升级后仍可使用。如需升级特征库,可在“系统 > 升级 >特征库升级”中在线升级或者离线下载3.0版本的入侵防御特征库进行升级。
QoS功能相关配置升级说明
从StoneOS 5.5R1版本开始,系统支持智能流量管理(iQoS)功能,且从5.5R2版本开始,iQoS功能自动开启。当把系统从已配置QoS功能的低版本升级到5.5R7及之后版本时,用户需使用exec iqos enable命令启用iQoS功能,iQoS功能仅支持CLI配置,系统会对QoS的配置保留,但配置不生效且不能被修改。当用户需使用QoS功能时,使用exec iqos disable命令禁用iQoS功能,系统会对iQoS配置保留并将保存的QoS配置重新生效。
从StoneOS 5.5R6版本开始,X平台支持通过IOM模块获取iQoS功能。通过IOM模块获取iQoS功能前,需确保系统已安装iQoS许可证。
链路负载均衡功能升级说明
从StoneOS 5.5R4版本开始,llb outbound相关命令不再支持,用新的命令llb rule替代,当把系统从5.5R4之前的版本升级到5.5R7版本及后续版本时,已有的配置信息会丢失,需要重新配置。
Web认证功能升级说明
从StoneOS 5.5R5版本开始,Web认证功能有所调整,当把系统从5.5R5之前的版本升级到5.5R10及后续版本时,原先上传的定制文件(如Web认证背景图片、网页重定向提示页面背景图片)将丢失,需要重新定制。
IM审计功能升级说明
从StoneOS 5.5R5版本开始,IM审计功能重新调整。当把系统从5.5R5之前的版本升级到5.5R10及后续版本时,IM审计相关的配置会丢失。建议:升级完成后,通过WebUI重新配置该功能。
文件过滤功能升级说明
从StoneOS 5.5R5版本开始,文件过滤功能重新调整。当把系统从5.5R5之前的版本升级到5.5R10及后续版本时,通过文件名称和文件大小进行文件过滤的相关配置会丢失。建议:重新配置该功能。
终端识别功能升级说明
从StoneOS 5.5R6版本开始,终端接入识别功能重新调整为共享接入功能,host share-access detect enable命令将不再支持。当把系统从5.5R6之前的版本升级到5.5R10及后续版本时,原先的配置将丢失,需要用户重新配置共享接入功能。
AD Agent相关配置升级说明
在StoneOS 5.5R10之前的版本上,在需要使用AD Agent软件获取用户信息时,系统支持通过SSO Monitor对接AD Agent软件,也支持在Active Directory服务器配置模式下配置AD服务监控功能。从StoneOS 5.5R10版本开始,AD服务监控功能与Active Directory服务器配置解耦,与SSO Monitor模块整合,StoneOS 5.5R10不再支持配置AD服务监控功能。在版本升级到StoneOS 5.5R10后,系统中已配置的AD服务监控功能会自动转换成SSO Monitor功能对接AD Agent软件配置。可通过show user-sso client sso-monitor profile-name查看配置,转换后的SSO Monitor Profile名称与AD服务器名称相同。
SSO Monitor相关配置升级说明
从StoneOS 5.5R10版本开始,SSO Monitor支持对接多个外部服务器实现冗余备份。在版本升级到StoneOS 5.5R10后,系统中已配置的SSO Monitor的host x.x.x.x会自动转换成host1 x.x.x.x配置。可通过show user-sso client sso-monitor profile-name查看配置。
在HA环境下升级
升级环境
HA组网环境中的升级拓扑,参考如下:
准备项目
| 序号 | 检查项目 | 详细信息 |
|---|---|---|
| 1 | 准备升级参考文档 | 升级过程需要参考的文档已经打印随身携带或存储在电脑中。 |
| 2 | 准备新版本系统软件 | 从山石网科取得升级需要的新版本。 |
| 3 | 查询当前软件版本 | 根据产品型号和软件版本及相关的注意事项,选择合适的升级方法。 |
| 4 | 检查设备运行状态 |
|
| 5 | 搭建通过TFTP或FTP升级的环境 | 在如上升级环境拓扑的基础上搭建基于TFTP或FTP升级的环境。 |
| 6 | 备份配置文件 | 导出配置文件,如果新版本运行的配置与之前版本差异比较大,升级后需要对比配置文件,丢失的配置需要按照新版本的命令要求重新配置。 |
升级操作
建议不要跨越较多版本进行升级,推荐升级相临近版本。如果版本跨度较大,建议仔细对比升级前后的配置,具体方法参见检查配置是否恢复。如有需要,请咨询 400-693-0555。
E/X系列平台从5.0相关版本升级到5.5R10及后续版本
- 升级前检查主备设备配置,保证升级前主备设备的启动配置文件的配置是相同的。
- 先移除设备B的业务线,再移除设备B的HA心跳线,使备份设备B下线。此时,用户的业务通过设备A转发。
- 关闭设备B的HA功能后,参照各平台升级注意事项,升级设备B到5.5R4最新的P版本。
- 设备B升级成功后,先连接设备B的HA心跳线,然后开启设备B的HA功能,与设备A进行HA协商。
- 等待协商、配置和会话同步完成后,连接设备B的业务线。此时,用户的业务仍然通过设备A转发。
- 手动进行HA主备切换,此时设备B成为主设备,用户的业务切换到设备B进行转发。
- 先移除设备A的业务线,再移除设备A的HA心跳线。
- 关闭设备A的HA功能后,升级设备A到5.5R4最新的P版本,成功升级设备A后,继续升级设备A到5.5R10或后续版本。
- 设备A升级后进行重启,重启成功后,设备A为5.5R10或后续版本。
- 连接设备A的HA心跳线,然后开启设备A的HA功能,与设备B进行HA协商。
- 等待协商、配置和会话同步完成后,连接设备A的业务线。
- 可手动进行HA切换,使设备B成为备份设备。此时,用户的业务由设备A进行转发。
- 先移除设备B上的业务线,再移除设备B的HA心跳线。
- 关闭设备B的HA功能后,升级设备B到5.5R10或后续版本,升级成功后重启设备B。
- 设备B升级成功后,连接设备B的HA心跳线,然后开启设备B的HA功能,与设备A进行HA协商。
- 等待协商、配置和会话同步完成后,连接设备B的业务线。
- 升级完成。
A/E/X/K系列平台从5.5相关版本升级到5.5R10及后续版本
升级前准备
- 将设备A和设备B当前的配置备份至本地。
- 检查主备设备的配置,保证升级前主备设备的配置一致。
- 确保当前业务处于正常状态。
- 将5.510版本的系统文件分别导入至设备A和设备B。
- 若设备启用了抢占模式,请先关闭,待全部升级完成后再开启;若绑定了HA组的监测对象,请先取消绑定,待全部升级完成后再恢复。
设备B升级
- 先移除设备B的业务线、再移除其HA心跳线,将设备B脱网。
- 在设备B上执行save命令,保存配置后,重启设备B,进行升级。重启成功后,检查设备B的版本、HA相关配置是否正确。
- 导出设备B的配置,并与升级前的配置进行对比,查看配置是否有丢失等异常。
- 分别在设备B和设备A上执行show ha group config命令查看设备A和设备B的priority值,确保设备A的priority值小于设备B,即设备A的优先级高于设备B。若出现设备A的priority值大于设备B的情况,修改设备B的priority值,使其大于设备A的priority值。
- 先连接设备B的HA心跳线,等待设备B和设备A的主备协商成功,即设备A为主设备;再连接设备B的业务线。
HA同步及主备切换
- 在主设备A上执行exec ha sync all命令,手动同步设备A和设备B的配置。
- 在主设备A上分别执行show arp,show session generic等命令,检查ARP表和会话信息等相关信息是否同步完成。
- 在主设备A上执行show logging alarm命令,确认提示信息“Admin batch synchronization of HA group 0 has completed.”出现,表示配置同步完成。
- 在主设备A上执行exec ha master switch-over命令,手动进行主备切换。切换成功后,设备B变为主设备。
设备A升级
- 先移除设备A的业务线、再移除其HA心跳线,将设备A脱网。此时,确认设备B上的用户业务是否正常。
- 在设备A上执行save命令,保存配置后,重启设备A,进行升级。重启成功后,检查设备A的版本、HA相关配置是否正确。
- 导出设备A的配置,并与升级前的配置进行对比,查看配置是否有丢失等异常。
- 分别在设备A和设备B上执行show ha group config命令查看设备A和设备B的priority值,确保设备A的priority值大于设备B,即设备A的优先级低于设备B。
- 先连接设备A的HA心跳线,等待设备A和设备B的主备协商成功,即设备B为主设备;再连接设备A的业务线。
HA同步
- 在设备B上执行exec ha sync all命令,手动同步设备A和设备B的配置。
- 在设备B上分别执行show arp,show session generic等命令,检查ARP表和会话信息等相关信息是否同步完成。
- 在设备B上执行show logging alarm命令,确认提示信息“Admin batch synchronization of HA group 0 has completed.”出现,表示配置同步完成。
完成升级
- (可选)在设备B上执行exec ha master switch-over命令,手动进行主备切换,重新将设备A变为主设备。
- 升级完成。
升级验证
A/E/X/K系列平台升级验证
升级完成后,通过show version命令来验证系统是否已经成功升级到新版本。
检查配置是否恢复
升级完成后,再次导出当前配置文件,与升级前备份的配置文件进行对比,看配置是否有丢失,如果有丢失,请确认是否新版本该配置命令发生了变化,如果有变化需要按照新的命令重新配置。
验证基本业务
升级完成后,做一些基本业务的验证,检查是否能正常工作。