一�、版本名稱
AF8.0.35
二��、版本概述
【新增】主動安全防御
(1)主動誘捕外網攻擊�,保護真實業務�����;通過偽裝服務混淆黑客�,轉移攻擊��,增強對 APT��、0day 攻擊的防御對抗���。
(2)主動誘捕內網攻擊�����,阻斷橫向擴散����;通過偽裝服務的訪問情況感知內網失陷主機���,及時阻斷內網擴散攻擊��,保護核心業務��。
(3)聯合云端����,快速檢測分析并溯源黑客畫像�����;通過聯合云端高級捕獲與分析技術�,獲取攻擊方的指紋信息���、工具��、手法��、攻擊軌跡等�����,匯總形成攻擊者畫像����,并封堵攻擊源����,實現快速檢測���、分析����、阻斷�、溯源攻擊��,保護業務資產安全����。
【新增】賬號安全專項防護
(1)全攻擊鏈識別賬號風險����;針對賬號安全利用的攻擊鏈���,從事前的賬號入口(其中包括特權賬號的檢測)����、弱口令賬號檢測�����,事中的口令爆破(含慢速����、分布式爆破)檢測��,到事后的異常登錄情況���,全面識別賬號風險�����。
(2)支持 50+個常用協議��;
(3)支持 40+個常見 WEB 組件���;
【新增】API&命令行
(1)支持 API���,提高自動化能力���;內置 API 幫助文檔�����,清晰直觀易使用��。
(2)支持命令行���;首個正式支持命令行版本���,更高的使用效率正在向你招手�����。
【優化】全新界面及菜單邏輯
(1)全新 UI 界面�����;全新的現代化風格 UI 頁面����,帶來全新的使用體驗����。
(2)導航整合優化���;安全運營�、監控�����、策略頁面全新整合上線��。
(3)新增懸浮菜單工作臺���;左樹菜單新增“圖釘”圖標���,可固定菜單至懸浮臺�����,方便快捷切換���,同時懸浮臺可拖動至任意位置�����,點擊后可展開收起��。
【優化】網絡配置體驗提升
地址轉換�、應用控制策略����、路由等網絡配置體驗大幅優化����,無彈窗配置���,融合搜索和選擇����,讓配置策略更簡單更高效��。
三����、升級方法
包括升級說明����、升級步驟����、升級注意事項等等
升級說明
當前版本 升級路徑 注意事項
AF8.0.35(中文)
支持以下版本直接升級到 AF8.0.35 版本:AF8.0.35_B��、AF8.0.32�、AF8.0.25_B
低版本設備需先升級到 AF8.0.32��,再升級前置包 AF8.0.35_pre.ssu, 最后升級正式版本
AF8.0.35(英文)
支持以下版本直接升級到 AF8.0.35 版本:AF8.0.26
低版本設備需先升級到 AF8.0.26
VAF 不支持升級 AF8.0.35�,下一個正式版本支持
升級限定條件
資源類
1.CF設備��,ROOT目錄空間低于400M 無法升級
措施:聯系400處理
2.fwlog剩余空間小于2G��,限制升級
措施:聯系400處理
3.CF卡設備��,ROOT目錄空間低于400M 無法升級
措施:聯系400處理
配置類:
1�、url分類庫�����,自定義url的條數大于10000����,限制升級
措施:優化自定義url�,刪除無用配置
2�����、https����、ssh�����、vpn���、sslvpn自定義的監聽端口為8084���、8085限制升級
措施:修改自定義端口����,使用其它端口
3�、低于35版本存在自定義協議端口號的ACL/NAT/策略路由等策略����,升級到8035版本后會將自定義端口及服務轉換為自定義服務�,當自定義服務超過10000條時����。限制升級
措施:優化自定義服務����,刪除無用配置
4���、應用識別智能庫P2P行為排除掃描端口配置超過10個���,限制升級
措施:縮減排除掃描端口配置
5�����、低于AF8.0.35版本單條ACL策略引用服務超過250個�����,限制升級
措施:優化策略及服務配置��,降低引用數量
6����、CPU為2核且內存為2G的設備��,acl配置超過512條�����,限制升級
措施:優化ACL配置����,刪除無用配置
7�����、isp地址庫����,ip地址段超過10000個ip�����,限制升級
措施:刪除無用配置��,減少ip數
8���、循環時間計劃��,配置時間段超過64條���,限制升級
措施:優化自定義時間計劃����,刪除無用配置�����,降低時間段
9���、自定義應用����,有應用或類型重復(非名稱重復)�,限制升級
措施:優化自定義應用配置�,刪除重復配置
10�����、(中文版本)存在ACL策略名稱為Default Policy�����、策略組名稱為Default PolicyGroup�����,限制升級
措施:將Default Policy 或 Default Policy Group 改為其他名稱
11�����、存在自定義服務�����,配置名稱為local_https�����、local_snmp�����、local_ssh的自定義服務�����,
限制升級
措施:將local_https�����、local_snmp�����、local_ssh改為其他名稱
12�����、策略名稱為.或..限制升級(如:策略名稱為:.)
措施:將策略改為其他名稱
13�、管理員賬號為tcpdump���,限制升級
措施:修改管理員賬號名稱
通用類:
-
不支持定制版本升級
-
不支持KB包版本升級
3.vaf 虛擬平臺�,不支持升級(下一個版本支持)
升級步驟
非雙機設備升級
-
步驟 1.確認是否可能升級:是定制包����,不能升級�;是否打 kb 包���,需要研發確認正式包����。
-
步驟 2.是否解決 kb 包內容�����;確認是否是 8.0.32(中文)或者 8.0.26(英文)正式版
本���,如果不是��,需要先升級到 8.0.32(中文)或者
-
步驟 3.獲取升級包以及對應 md5 值文件�����,確認升級包 md5 值正確
-
步驟 4.備份配置
-
步驟 5.8.0.32(中文)或者 8.0.26(英文)版本的設備��,直接使用升級客戶端或者控
制臺界面加載 AF.8.0.35(20210311).ssu 升級包升級�。
-
步驟 6.升級成功后��,確認客戶網絡是否正常���、設備控制臺打開正常
雙機設備升級
-
步驟 1.先拆除雙機(禁用雙機熱備�、配置同步)���,然后按非雙機設備升級步驟升級
-
步驟 2.主�、備設備均升級成功后�,開啟雙機熱備
四�����、版本新功能介紹
所屬模塊 功能介紹 界面展示
主動安全防御
1���、主動誘捕外網攻擊����,保護真實業務����;通過偽裝服務混淆黑客�����,轉移攻擊�����,增強對 APT��、Oday攻擊的防御對抗�����。
2��、主動誘捕內網攻擊��,阻斷橫向擴散���;通過偽裝服務的訪問情況感知內網失陷主機��,及時阻斷內網擴散攻擊����,保護核心業務�����。
3�、聯合云端���,快速檢測分析并溯源黑客畫像���;通過聯合云端高級捕獲與分析技術�,獲取攻擊方的指紋信息�����、工具���、手法�、攻擊軌跡等��,匯總形成攻擊者畫像����,并封堵攻擊源�,實現快速檢測�����、分析�����、阻斷����、溯源攻擊�����,保護業務資產安全���。
賬號安全專項防護
1���、全攻擊鏈識別賬號風險�����;針對賬號安全利用的攻擊鏈�,從事前的賬號入口(其中包括特權賬號的檢測)��、弱口令賬號檢測��,事中的口令爆破(含慢速��、分布式爆破)檢測����,到事后的異常登錄情況�����,全面識別賬號風險�����。
2��、支持 58 個常用協議���;3���、支持 45 個常見 WEB 組件����;
API&命令行
1����、支持 API���,提高自動化能力�����;內置 API 幫助文檔�,清晰直觀易使用��。
2�、支持命令行�����;首個正式支持命令行版本����,更高的使用效率正在向你招手����。
全新界面及菜單邏輯
1�����、全新 UI 界面�����;全新的現代化風格 UI 頁面���,帶來全新的使用體驗���。
2�����、導航整合優化�����;安全運營�����、監控�、策略頁面全新整合上線�����。
3�、新增懸浮菜單工作臺���;左樹菜單新增“圖釘”圖標��,可固定菜單至懸浮臺�����,方便快捷切換�,同時懸浮臺可拖動至任意位置�,點擊后可展開收起�。
網絡配置體驗提升
1�����、地址轉換�����、應用控制策略���、路由等網絡配置體驗大幅優化����;無彈窗配置�,融合搜索和選擇�����,讓配置策略更簡單更高效�����。
五�����、修復問題
無
六�、其他注意事項
1�、升級客戶端版本說明
升級客戶端支持SANGFOR_Updater6.2�����、SANGFOR_Updater6.1版本����,不支持SANGFOR_Updater5.0升級
2����、規則庫說明
1)在控制臺-》系統-》系統維護-》系統更新-》庫升級中����,在線升級最新規則庫�;
2)在規則服務器中���,獲取離線升級包
3�、集中管理支持 BBC 的集中管理��,但不支持 SC 的集中管理4���、支持直通�,開啟直通時����,無需要重啟
5�、不支持降級
