专业知识
SANGFOR_AF 产品_v8.0.45 版本发布文档
2021-08-28
一、版本名称
AF8.0.45
二、版本概述
【优化】双机聚合部署1. 双机聚合部署,分别支持上下游路由器和上下游交换机场景
解决原双机主主部署下,数据包来回路径不一致导致安全功能失效问题;
2. 双机聚合部署,双机数据同步口支持聚合口
解决双机主主聚合部署,双机同步口数据流量大,超过单网口带宽限制问题;
【优化】双机功能
1. 主备双机切换优化
解决原主备双机中,对主机配置操作过程中弹出双机切换风险提示告警。目前本版本对于不会造成主备切换的配置操作,不再弹出风险提示告警;
2. 支持双机隐藏接口
解决新老AF设备因为网口数量不同,主备双机部署后,备控设备网口数量页面显示异常问题;
【优化】多次穿越设置
1. 支持自动识别多次穿越 AF 设备流量
解决老版本启用多次穿越功能,需要手动配置 IP 等参数问题,目前本版本支持对多次穿越数据流量实现自动识别;
【优化】应用控制功能
1. 系统链接跟踪优化
解决TCP链接处于半关闭状态下,链接跟踪提前释放,导致应用控制功能出现误判问题。
2. 域名应用控制功能优化
解决老版本DNS缓存周期超长,导致缓存记录数量超限问题。
3. 网卡高级参数中MTU设置支持最大1796字节的数据包
解决老版本AF网卡参数仅支持最大MTU为1500数据包,导致实际客户业务中存在大数据包,如VXLAN协议等大数据包,无法通过AF的问题。
【优化】网上问题
解决2019年至2020年,影响客户业务若干P1/P2级别网上问题,提升防火墙稳定性。
⚫ 升级限定条件
2. 不支持定制版本升级;
2. 域名应用控制功能优化
解决老版本DNS缓存周期超长,导致缓存记录数量超限问题。
3. 网卡高级参数中MTU设置支持最大1796字节的数据包
解决老版本AF网卡参数仅支持最大MTU为1500数据包,导致实际客户业务中存在大数据包,如VXLAN协议等大数据包,无法通过AF的问题。
【优化】网上问题
解决2019年至2020年,影响客户业务若干P1/P2级别网上问题,提升防火墙稳定性。
三、升级方法
包括升级说明、升级步骤、升级注意事项等等
升级说明|
当前版本 |
升级路径 |
注意事项 |
|
AF8.0.45 中文版 |
支持以下版本直接升级到 AF8.0.45 版本: AF8.0.32 正式版、AF8.0.35 正式版、AF8.0.43 |
低版本设备需先升级到 AF8.0.32、AF8.0.35、AF8.0.43 版本 |
⚫ 升级限定条件
通用类:
1. aCheck工具检测通过,方可升级;2. 不支持定制版本升级;
3. 不支持KB包版本升级;
4. vAF虚拟平台,限制升级;
2. fwlog剩余空间小于2G,限制升级;
措施:联系400处理;
措施:优化自定义 url,删除无用配置;
2. https、ssh、vpn、sslvpn自定义的监听端口为8084、8085限制升级;
措施:优化自定义 url,删除无用配置;
3. 低于35版本存在自定义协议端口号的ACL/NAT/策略路由等策略,升级到8045版本后会将自定义端口及服务转换为自定义服务,当自定义服务超过10000条时。限制升级;
措施:优化自定义服务,删除无用配置;
4. 应用识别智能库P2P行为排除扫描端口配置超过10个,限制升级;
措施:缩减排除扫描端口配置;
5. 低于AF8.0.35版本单条ACL策略引用服务超过250个,限制升级;
措施:优化策略及服务配置,降低引用数量;
6. CPU为2核且内存为2G的设备,ACL配置超过512条,限制升级;
4. vAF虚拟平台,限制升级;
资源类:
1. CF设备,ROOT目录空间低于400M 无法升级; 措施:联系400处理;2. fwlog剩余空间小于2G,限制升级;
措施:联系400处理;
配置类:
1. url分类库,自定义url的条数大于10000,限制升级;措施:优化自定义 url,删除无用配置;
2. https、ssh、vpn、sslvpn自定义的监听端口为8084、8085限制升级;
措施:优化自定义 url,删除无用配置;
3. 低于35版本存在自定义协议端口号的ACL/NAT/策略路由等策略,升级到8045版本后会将自定义端口及服务转换为自定义服务,当自定义服务超过10000条时。限制升级;
措施:优化自定义服务,删除无用配置;
4. 应用识别智能库P2P行为排除扫描端口配置超过10个,限制升级;
措施:缩减排除扫描端口配置;
5. 低于AF8.0.35版本单条ACL策略引用服务超过250个,限制升级;
措施:优化策略及服务配置,降低引用数量;
6. CPU为2核且内存为2G的设备,ACL配置超过512条,限制升级;
措施:优化ACL配置,删除无用配置;
7. ISP地址库,IP地址段超过10000个IP,限制升级;
措施:删除无用配置,减少ip数量;
8. 循环时间计划,配置时间段超过64条,限制升级;
措施:删除无用配置,减少ip数量;
9. 自定义应用,有应用或类型重复(非名称重复),限制升级;
措施:优化自定义应用配置,删除重复配置;
10.(中文版本)存在ACL策略名称为Default Policy、策略组名称为Default Policy Group,限制升级;
措施:将Default Policy 或 Default Policy Group 改为其他名称;
11. 存在自定义服务,配置名称为local_https、local_snmp、local_ssh的自定义服务,限制升级;
措施:将local_https、local_snmp、local_ssh改为其他名称;
12. 策略名称为.或..限制升级(如:策略名称为:);
措施:将策略改为其他名称;
13. 管理员账号为tcpdump,限制升级;
措施:修改管理员账号名称;
配置、日志、数据是否平滑升级
7. ISP地址库,IP地址段超过10000个IP,限制升级;
措施:删除无用配置,减少ip数量;
8. 循环时间计划,配置时间段超过64条,限制升级;
措施:删除无用配置,减少ip数量;
9. 自定义应用,有应用或类型重复(非名称重复),限制升级;
措施:优化自定义应用配置,删除重复配置;
10.(中文版本)存在ACL策略名称为Default Policy、策略组名称为Default Policy Group,限制升级;
措施:将Default Policy 或 Default Policy Group 改为其他名称;
11. 存在自定义服务,配置名称为local_https、local_snmp、local_ssh的自定义服务,限制升级;
措施:将local_https、local_snmp、local_ssh改为其他名称;
12. 策略名称为.或..限制升级(如:策略名称为:);
措施:将策略改为其他名称;
13. 管理员账号为tcpdump,限制升级;
措施:修改管理员账号名称;
配置、日志、数据是否平滑升级
兼容
SC/BBC支持说明
是否支持SC:否是否支持BBC:是
支持直通说明
支持直通;
双机/多机/集群/分布式支持说明
1. 是否支持双机:是,双机升级,先禁用双机热备、配置同步;再升级;
2. 是否支持多机:不涉及
3. 是否支持主主:支持
4. 是否支持集群:不涉及
5. 是否需要拆分布式:不涉及
升级步骤
非双机设备升级
步骤 1.确认是否可能升级:是定制包,不能升级;是否打 KB 包,需要研发确认正式包; 步骤 2.是否解决 KB 包内容;确认中文版是否为 AF8.0.32、AF8.0.35 或 AF8.0.43 版
本。如果不是,中文版需要先升级到 AF8.0.32、AF8.0.35 或 AF8.0.43,然后再升级到AF8.0.45;
步骤 3.获取升级包以及对应 md5 值文件,确认升级包 md5 值正确; 步骤 4.备份配置;
步骤 5.AF8.0.32、AF8.0.35、AF8.0.43 中文版本的设备,直接使用升级客户端或者控制台制台界面加载 AF.8.0.45(20210816).ssu 升级包升级;
步骤 6.升级成功后,确认客户网络是否正常、设备控制台打开正常;
SC/BBC支持说明
是否支持SC:否是否支持BBC:是
支持直通说明
支持直通;
双机/多机/集群/分布式支持说明
1. 是否支持双机:是,双机升级,先禁用双机热备、配置同步;再升级;
2. 是否支持多机:不涉及
3. 是否支持主主:支持
4. 是否支持集群:不涉及
5. 是否需要拆分布式:不涉及
升级步骤
非双机设备升级
步骤 1.确认是否可能升级:是定制包,不能升级;是否打 KB 包,需要研发确认正式包; 步骤 2.是否解决 KB 包内容;确认中文版是否为 AF8.0.32、AF8.0.35 或 AF8.0.43 版
本。如果不是,中文版需要先升级到 AF8.0.32、AF8.0.35 或 AF8.0.43,然后再升级到AF8.0.45;
步骤 3.获取升级包以及对应 md5 值文件,确认升级包 md5 值正确; 步骤 4.备份配置;
步骤 5.AF8.0.32、AF8.0.35、AF8.0.43 中文版本的设备,直接使用升级客户端或者控制台制台界面加载 AF.8.0.45(20210816).ssu 升级包升级;
步骤 6.升级成功后,确认客户网络是否正常、设备控制台打开正常;
双机设备升级
步骤 1.先拆除双机(禁用双机热备、配置同步),然后按非双机设备升级步骤升级;
步骤 2.主、备设备均升级成功后,开启双机热备;
四、版本新功能介绍
|
所属模块 |
功能介绍 |
界面展示 |
|
双机聚合 |
1、双机聚合支持上下游路由器场景 补充部署场景,双机聚合新增上下游部署路由器场景 2、双机聚合数据同步口支持聚合口 解决数据同步口带宽压力,支持选择聚合口,提升双机聚合可 靠性。 |
 |
|
自动识别多次穿透 |
1、自动识别多次穿透防火墙的流量,无需配置源 IP,目的IP,大幅提升多次穿透功能易用性 |
 |
|
应用层性能优化 |
1、优化应用层调度机制,解决应用层负载不均衡的问题 解决因源 IP 单一出现负载不均衡的问 题,提供高级配置选项“应用层四元组调度”,可以选择调度方式。默认开启 2、内部逻辑优化提升性能 针对多个模块进行内 部逻辑优化处理,提升性能。 |
 |
|
双机切换优化 |
1、修改非双机相关的配置不引发双机切换,提升双机可靠 性。 |
|
|
网上问题优化 |
1、解决 OSPF 若干问题,提升网络适应性 2、修复若干宕机, 进程出 core 问题, 提升稳定性 3、修复若干 IPV6 问题,提升网络适应性 4、修复若干双机热 备问题,提升双机可靠性 5、修复若干应用控制,内存泄露,严重 影响业务的问题 |
 |
|
6、修复若干网上问题 7、修复相同五元组TCP 连接复用导致连 接异常的问题。 |
五、修复问题
无
六、其他注意事项
1、升级客户端版本说明
升级客户端支持SANGFOR_Updater6.2、SANGFOR_Updater6.1版本,不支持SANGFOR_Updater5.0升级2、规则库说明
1) 在控制台-》系统-》安全能力更新中,在线升级最新规则库;2) 在规则服务器中,获取离线升级包
3、集中管理支持 BBC 的集中管理,但不支持 SC 的集中管理
4、支持直通,开启直通时,无需要重启5、不支持降级