SANGFOR_AC/SG_新增和改动功能介绍
laoyan 2018-06-13 11:09:24
分 享

    AC/SG12.0.8

  • 2018-06-13

    【目标客户】
    可针对所有 AC 新、老客户
    【主要应用场景】
    DC升级场景
    1.支持网关升级,默认给内置 DC 升级为内置 BA
    2.支持外置 DC 的升级为外置 BA
    稳定性提升
    1.适用所有 AC11.X 使用场景

  • AC/SG12.0.6

  • 2018-01-16

    【目标客户】
    高校、企业、政府等,对上网数据有进一步分析需求的客户

    【主要应用场景】
    (1)教育局/企业,关注全网的网络状态,帮助分析全网应用、流量、攻击、威胁等现状,帮助看清全网网络态势;体现工作绩效
    (2)在高校,随着智慧校园的建设推进,数据分析越来越受到关注,通过对学生上网数据分析,提高教学管理效率,同时为学生提供更好的服务
    (3)企业/政府等行业,客户对上网的数据有分析需求,通过数据分析帮助管理者做决策和提升工作效率

    【主要价值点】
    (1)优化AC/SG首页
    (2)优化对接行为感知系统,同时支持更多数据挖掘应用,数据分析商店新增:带宽分析、泄密追踪分析、离职倾向分析、工作效率分析4款免费应用

  • AC12.0.5

  • 2017-12-07

    【主要应用场景】
    一、准入审计
    内网PC的微信客户端聊天审计
    二、准入静默模式
    客户环境中存在AD域环境,期望实现准入客户端的无感知安装,无感知审计场景
    三、跨三层取MAC
    客户环境中存在3层网络环境,并且需要使用MAC免认证的功能。
    四、准入补丁规则检测
    1.计划任务支持到指定网络地址下载可执行程序,或上传可执行程序到设备再下发到PC上执行任务并检测执行结果。
    2.对终端环境进行检查,检查系统是否安装重要补丁,某微软公告补丁和深信服公告补丁,或客户自定义的补丁。并对终端是否安装进行检测,保障终端的安全
    3.准入规则可视化。支持在准入规则页面查看违规用户及生效用户的详情信息,违规的具体原因。
    五、稳定性提升
    适用所有AC使用场景

    【主要价值点】
    1.解决11.x版本发布后出现的高频次、影响客户业务、重要模块的网上问题,大幅度提升产品质量。
    2.新增PC微信客户端审计功能,支持聊天消息审计和溯源,助力企业安全能力建设
    3.新增日志存储空间检测功能,满足安全法日志存储要求,助力企业安全能力建设
    4.新增准入补丁规则检测功能,及时发现并消除windows的PC上补丁漏洞风险,助力企业安全能力建设
    5.新增arp跨三层取mac方案,提升跨三层取MAC性能至秒机响应,在也不担心三层环境下mac无法识别终端mac问题
    6.优化准入模块,大幅度提升准入客户端并发性能和功能的易用性改进
    7.优化防共享模块,更高的识别率和更低误判率

  • AC12.0R3

  • 2017-11-06

    一:跨三层取 MAC
    1.新增 ARP 或 DHCP 取 MAC 功能支持

    二:准入
    1.新增静默模式支持
    2.新增 MSI 包界面 下载支持
    说明:
    1.界面支持静默开关,默认关闭
    2.静默模式下,优先保证用户网络能 够正常连通,不管用户是否安装准入 客户端都可以正常上网,不会有任何 提示
    3.非静默模式下,用户需要安装准入 之后才能上网;不安装会有浏览器重 定向提示

    三:Radius 单点登陆
    1.提供配置接口单点登陆用户名称, 正则表达式过滤(使用的时候需要在后台修改配置)

    四:高可用性
    网桥模式下不在支持主备模式

    五:主要修复问题
    1、DC-端口占用:ldbr 占用了 lmdlan 的 51981 端口 导致 vpn 异常重启
    2、DC-数据报表:KeeWah 内置数据中心导出问题,没有用户名
    3、DC-内容索引:【CTI】新老日志合入失败,导致没法正常 索引
    4、DC-数据报表:【CTI】离职风险报表--用户名一栏没有 【显示名】
    5、上网权限:HTTPS 白名单失效--现象:上网策略拒绝了所有的 ssl,同时放 通了自定义的 baidu.com;导致 https 的 百度没有放通
    6、内核:AC11.6 与飞塔防火墙正常建立第三方 vpn,但是业务访问很慢--原因:交换机对一些少于 60 字节的数据包会进行填充操作,导致经过设备后实际长度 与 ip 头部的长度不一致(只出现在路由 模式设备),当某些设备会严格校验 ip 长度字段的时候就会出现丢包
    7、流量管理:用户域 OU 发生变化导致策略丢失; 排除用户匹配不到新组策略--问题:用户在 ad 上管理用户,在流控通道中 配置对域用户 a 的策略。在 ad 域上对用户 a 移动另外一个 ou 下 面,但是流控通道中的配置记录的用户 a 还是属于原来的 ou 下导致策略匹配不同步
    8、用户管理和认证:ipmac 绑定修改不会实时生效--现象:用户已经在在线列表中上线,然后重新 修改绑定信息,使得用户 a 不符合绑定条 件,此时在线用户列表中用户 a 不会被下线
    9、用户管理和认证:支持所有域用户名格式(用户名,用户名@ 域名,域名\用户名)--用户的域用户登陆使用的是 A\user 这 种形式登陆的,导致的认证的时候没有认证通过
    10、网络配置:大量用户 DHCP 的时候出现冲突,租期时间 未到的情况下,地址分配给了其他用户
    11、url_handle:URL 断言出现设备宕机问题--SSLdriver 模块从证书中取到的颁发者 有时长度为 0,导致调度进入 url 识别模 块导致断言宕机...

    更多修复问题请参见官方发布文档:http://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=38178

  • AC12.0R1

  • 2017-10-18

    一、统一认证:集中认证、统一管理

    不管学校是多分支部署还是运营商代建部署,所有分支控制器把用户认证页面统一重定向到统一认证中心,实现有线和无线用户都统一认证、统一管理。
    通过支持和各品牌控制器对接获取MAC地址的方式,可实现多分支有线无线上网接一次认证,全网无缝漫游,无论在分支或总部,连接SSID即可上网。

    二、数据价值首页展示:行为分析、安全可视

    适用于AC的所有上网场景
    在首页即可直接展示用户认证、流量分析、行为分析的汇总信息,突显AC的核心功能。同时结合数据分析技术帮助用户用户发现网络中的行为风险,让安全更可视。

  • AC/SG11.9R1

  • 2017-04-14

    【主要应用场景】

    一、企业互联网出口路由备份场景
    在出口网关部署主主AC双出口,与内网核心交换机上分别起OSPF协议,交换路由。实现以下效果:
    1.默认情况下内网PC路由走主网关出口;
    2.当主网关出口故障或者网络异常的情况,内网内心交换机能够自动路由到备路由器上,内网用户上网无影响。

    二、证券客户分支总部路由备份场景
    客户是总部与分支的组网环境,总部与分支之间通过VPN进行访问。为了达到业务稳定性性的要求,在总部部署了主备数据中心,主备数据中心分别有不同的网络出口,在主备数据中心的出口防火墙已经启用了OSPF功能。分支部署AC网关与主备数据中心建立VPN连接,同时在分支AC上也运行OSPF实现与主备数据中心交换路由。实现以下效果
    1.新增分支出口时,不用管理员在数据中心加路由,网络可以直接互通;
    2.数据中心增加业务时,管理员不要到所有分支出口去增加路由,网络可以直接互通;
    3.主数据中心网络异常或者故障后,分支的业务能够自动路由到备数据中心访问,保证业务稳定性运行。

    三、数据分析商店使用场景
    1.教育局/企业,关注全网的网络状态,帮助分析全网应用、流量、攻击、威胁等现状,帮助看清全网网络态势;体现工作绩效体现;
    2.在高校,随着智慧校园的建设推进,数据分析越来越受到关注,通过对学生数据的分析,帮助提高教学管理效率;根据数据做一些教学改进决策,为学生提供更好的服务。
    3.企业/政府等行业,留存了很多上网侧的数据,客户对数据有分析需求,期望通过对数据分析帮助做管理决策和效率改进,让数据产生价值。

    【版本价值点】

    1、数据分析商店
    (1)沉迷网络分析优化化,帮助学校发现沉迷网络的学生,便于进行有针对性的辅导和教育,拯救更多被网络毒害的学生;
    (2)图书馆资源优化,帮助高校分析已购买资源的优化,减少资源浪费;帮助高校分析未购买资源的热度,引入新的资源,给学校师生带来价值;分析恶意下载行为,维护全体师生利益;
    (3)校园网贷分析,帮助学校及时发现高危网贷学生,提供及时准确的沟通辅导对象,防止不良后果发生;
    (4)全网上网态势分析,帮助分析全网应用、流量、攻击、威胁等现状,帮助看清全网网络态势;体现工作绩效体现;
    (5)办公网上网态势分析,通过收集上网行为管理的上网数据和下一代防火墙的安全数据,针对特定办公网提供网络管理和安全可视化,帮助管理员直观掌握整体网络上网概况,及时发现威胁并处理。
    (6)在校生孕况分析,对在校学生的怀孕状况进行分析统计,及时发现可能发生的风险,帮助辅导员及时发现风险学生,并进行辅导沟通,避免在校怀孕对学生、学生家庭和学校造成不良影响。
    (7)事件感知,根据特定关键字组分析某类事件是否发生,方便对某类事件进行跟踪和对相关人员进行干预,防止恶性事件对组织产生恶劣影响。
    (8)支持在线更新app应用,后续会根据不同的行业推出更多的应用,帮助客户分析数据,辅助决策和管理。

    2、ospf组网
    (1)支持OSPF协议,能够实现网络中的路由动态学习,减少管理员的网络维护成本。
    (2)支持GRE协议,能够支持分支与总部环境下的OSPF组网场景。

    其他合入功能:
    1.AC11.8R1网监功能全部合入
    2.国际带宽功能合入

  • AC/SG11.8

  • 2016-12-23

    【目标客户】

    1、微信连 wifi 认证:商超、酒店、医院、餐饮等结合微信认证进行营销的客户 2、第三方日志对接:全国各地存在网监监管需求的客户

    【主要应用场景】

    1、微信连 wifi 认证
    (1)商超、餐饮等场景,开启微信连 wifi 认证,通过公众号一键关注的入口能力,将进入门 店的用户转化为粉丝,为后续营销和服务作进一步铺垫
    (2)酒店场景,顾客使用微信连 wifi 关注酒店公众号,可以查询周边信息,订餐,自助办理 退房,延住等等,不用排队等候,简单快捷
    (3)医院场景,用户使用微信连 wifi 认证就能关注医院公众号,通过线上完成挂号缴费等业 务,减少挂号窗口和缴费窗口人流量,减少无效到医院的次数和人数,对患者进行合理分流, 有效减轻了医院工作人员的负担,节省医院人力成本,也促进用户从线下到线上的转化

    2、第三方日志对接
    1)各地网监的监管要求越来越严格,主要针对网监场景,解决网监从对接,测试,拨测, 实施等一系列问题,提高网监对接的效率

  • AC/SG6.1R1

  • 2016-8-1

    【简要介绍版本更新内容】

    AC/SG6.1R1 是针对一些 AC/SG6.X 及低版本用户由于一些特殊原 因无法升级使用 11.X 版本使用,由于低版本需要打的补丁包和已知 bug 比较多,给用户带来困扰和没有更新补丁所带来的未知风险; AC/SG6.1R1 版本相较于 AC/SG6.1 版本没有界面功能的修改,主要用 于合入老版本及 AC/SG6.1 版本的已知 bug。

    【修复问题】

    【终端识别】
    (1)User-Agent 方法不识别 android 和 ios
    (2)驱动需要记录应用和 url 检查方法对应关系 2.移动终端提取 http 头部信息不完整导致误判
    (3)具体应用和 url 检查方法对应关系需要下发驱动
    (4)后台记录日志工具 wireless_dlog 合入到 acwireless 作为一个单独的 线程执行 2.日志文件压缩方式由原来一天压缩多个文件改为一天只压缩一个 zip 文件
    (5)单个日志文件的大小为 20M【指压缩前的】 4.一天记录日志的个数不再限制,日志文件超过 20M 后会重新再次新增 一个日志文件继续记录日志
    (6)每天定时赋值压缩日志文件,同时删掉过时的日志文件

    【用户同步】
    (1)OU 超过 4500 个导致在线用户显示在 Default 组
    (2)同步 LDAP OU 异常,用户进入 default 组

    【用户认证】
    (1)微信扫一扫获取不到 openid
    (2)ac6.0 认证后跳转不支持 https
    (3)AC6.1radius 认证显示名异常
    (4)authd 模块导致 cpu 持续 99%

    【双机】
    (1)主备模式部署,双机调度异常导致双机切换
    (2)双机频繁切换,出现网络不通

    【审计】
    SG6.1 网页版微信能审计发消息,但是不能审计收消息

    【上网加速】
    开启代理控制,网页版微信打不开好友列表

    【访问控制】
    (1)SSL 内容识别非法证书告警
    (2)购物网站有时能访问有时不行
    (3)公告页面弹不出来的问题
    (4)自定义 url 匹配错误

    【防共享】
    (1)支持配置排除误判字体
    (2)上报获取的 flash 插件字体信息
    (3)新增 ProxyRecordList.cgi 记录上报的字体信息
    (4)修改 nginx 配置对新增的 cgi 进行代理处理
    (5)支持一PC多QQ和多IP场景
    (6)微信 fake id 检测方式增加后台记日志功能 2.废掉老的抓包机制【在 proxycheck.ini 中配置抓包用户名】
    (7)防共享记日志模块由原来的独立工具合入到 proxycheck 后台 2.记录日志的方式,保存时长,老日志压缩与终端识后台日志别相似
    (8)每天定时赋值压缩日志文件,同时删掉过时的日志文件

    【断网】
    gre 协议穿透有问题

    【底层支撑】
    (1)设备发 RST 包死循环问题
    (2)AC 重定向包被设备丢包,这种环境下,必现
    (3)AC6.0 不能透传 sip 协议,全局排除没用,直通可以,拦截日志 sip 协 议认证丢包
    (4)设备没内存杀进程
    (5)SG5.6 网桥部署无法透传 OSPF 协议包

    【SNMP】
    (1)SNMP 监控不到设备信息
    (2)AC6.1 通过 SNMP 监控 AC/SG 设备的内存利用率

    【DHCP】
    (1)AC6.0 DHCP 获取的掩码同 LAN 口掩码不一致
    (2)AC 6.0,DHCP 运行状态为空
    (3)AC 的 DHCP 地址池去除 2500 个限制
    (4)AC5.7DHCP 地址没有释放就分配出去了

    【CGI】
    (1)运行状态“IM 聊天”有拦截数,但是点击查不到,直接查数据中心是有的
    (2)服务有效期,连接服务器失败
    (3)光口链接同步不生效问题
    (4)外置数据中心同步账号限制,需要放大
    (5)gcs 服务有效期显示失败
    (6)AC 设备流量超限告警功能不生效

  • SG11.2

  • 2016-6-13

    【整体概述】

    为了弥补11.0不支持代理的缺陷,解决当前SG系列上网加速功能各种不稳定网上问题,11.2对代理功能进行了重新设计,提供全新的代理方案,满足客户代理部署需求,同时合入ICAP对接功能,为金融行业客户防泄密解决方案提供支撑。
    【主要应用场景】

    1.提供HTTP、SOCKS代理上网解决方案,满足客户代理上网需求。
    【主要价值点:内置多种模板可直接使用】

    1.代理功能改进
    (1)支持单臂代理部署模式,从网络部署上隔离办公数据和业务数据,在不改变客户网络拓扑的情况下,轻松实现上网需求同时让客户的业务安全无忧。
    (2)支持对http代理、socks代理数据基于源IP地址和目标主机的权限控制,灵活掌控内网主机代理数据安全。
    (3)代理协议认证、NTML认证、Web页面认证功能为用户提供灵活的身份识别和认证方式,实现用户上网行为的精确定位。
    (4)支持对HTTP、SOCKS代理流量进行二次分类,有效识别访问网站、web流媒体、在线炒股、网络游戏等各种应用,并基于用户、时间等条件灵活管控,以保障客户关键业务服务质量。
    (5)支持PAC脚本,让管理员的代理网络部署更加随心所欲。
    (6)支持HTTP二级代理功能。
    (7)支持http、socks代理数据的forward功能。

    2.支持ICAP标准协议
    实现ICAP的请求修改协议,与第三方的ICAP服务器进行对接,为金融行业客户防泄密解决方案销售提供支撑。

    3.代理下的稳定性和可靠性改进
    更高性能、更可靠的代理设备,轻松替换bluecoat、ISA。

    4.支持自动安装SSL识别根证书
    实现了用户PC浏览器自动安装SSL识别根证书,让复杂的操作变得更简单。

  • AC11.2

  • 2016-6-13

    1.用户自己的域名在公网无法进行DNS解析时,可以通过设备做Hosts域名映射。
    2.开启ssl识别上网策略后需要用户浏览器导入设备根证书,可以通过开启安装ssl识别根证书的进行自动安装。

  • AC11.0R2

  • 2016-4-13

    【新增功能及应用场景】

    1、新增支持第三方认证系统(CAS认证服务器)

    2、支持网监对接需求(IAM除外)

    3、其它功能
    (1)告警邮件支持设置非标准端口(可使用加密邮箱发送告警邮件)
    (2)界面支持黑匣子下载
    (3)支持多个网口同时抓包

  • AC11.0

  • 2016-3-16

    【新增功能及应用场景】

    1、AC11.0为AC、10G、IAM三合一产品,在提升性能的同时功能也更强大。
    (1) 完善万兆平台的功能,包括认证功能,DC报表,防共享功能等。
    (2) 优化IAM功能,包括与AD域结合认证,移动终端管控,流控和流量配额等功能
    (3)AC和IAM的性能提升,可以丰富现有AC的选型表,将用户更加细分,满足更多客户的选型要求。
    2、用户认证改进
    合入部分用户的订制功能,让认证功能更加完善。

    3、全面支持IPv6
    认证,流控,审计,报表等均支持IPv6

    4、页面重构,提升易用性
    (1)调整页面风格,各功能的入口清晰;
    (2)首页DashBoard直观展示重要报表

    5、数据中心功能增强
    (1)增加支持终端、位置查询,支持多选用户/应用
    (2)支持多维统计:可多维度、多角度分析、递进统计、下钻数据,清晰呈现繁复关系。
    (3)自定义报表:支持任意拖拽,随意组合,随心所欲的发布报表并汇报领导

    6、数据中心性能优化
    查询性能提升,支持10G流量的查询

    7、支持多浏览器https访问
    解决了数据中心只能IE访问的烦恼,兼容多浏览器

  • AC6.1

  • 2015-5-15

    【新增功能及应用场景】

    一、网络质量监测
    AC 产品核心功能已臻完善,本版本的网络质量监测功能可提供新的差异化优势,在客户网 络发生故障后能快速指出故障排查方向及潜在问题原因;此功能可对客户网络质量给出整体 评价,并能对单用户进行网络排障,在得出网络质量差的结论后,还将给出排障建议。

    二、防共享移动终端计数优化
    防共享功能约有 25%客户开启,已属 AC 核心功能之一;老版本中能识别 PC 的具体数量,但 对移动终端只支持将 android 或 ios 平台分别算做 1 台,且无法根据客户需要排除不认为是 共享的场景(例:高校客户认可每用户 1 台 PC+1 个移动终端的上网方式,但不允许更多的 PC 或移动终端同时上网);本版本主要从三个方面实现功能优化:1.支持检测移动终端的 具体数量;2.提取手机具体型号;3.可根据客户意图灵活的配置排除场景。

    三、上网策略中新增 qq 白名单功能
    qq 白名单可以让指定的 qq 上网,不在 qq 白名单中的 qq,将无法上网,有效地保证客户的 办公效率。

吐槽一下

游客

所有吐槽
  • 暂时还没有吐槽,赶紧来吐槽!