H3C SecPath ACG1000-IMW110-R6616P02 版本软件及说明书 (支持2GB及以上内存硬件款型、2023年度稳定版本)
2024/1/9 19:27:58
H3C SecPathACG1000-IMW110-R6616P02 版本说明书
9.1 SecPathACG1000-IMW110-R6616P02版本解决问题列表·· 22
9.2 SecPathACG1000-IMW110-R6616版本解决问题列表·· 22
9.3 SecPathACG1000-IMW110-R6614P10版本解决问题列表·· 23
9.4 SecPathACG1000-IMW110-R6614P09版本解决问题列表·· 23
9.5 SecPathACG1000-IMW110-R6614P08版本解决问题列表·· 23
9.6 SecPathACG1000-IMW110-R6614L07版本解决问题列表·· 23
9.7 SecPathACG1000-IMW110-R6614L06版本解决问题列表·· 23
9.8 SecPathACG1000-IMW110-R6614P05版本解决问题列表·· 23
9.9 SecPathACG1000-IMW110-R6614P04版本解决问题列表·· 24
9.10 SecPathACG1000-IMW110-R6614P03版本解决问题列表·· 24
9.11 SecPathACG1000-IMW110-R6614L02版本解决问题列表·· 25
9.12 SecPathACG1000-IMW110-R6614P01版本解决问题列表·· 25
9.13 SecPathACG1000-IMW110-R6614版本解决问题列表·· 25
9.14 SecPathACG1000-IMW110-F6613P03版本解决问题列表·· 35
9.15 SecPathACG1000-IMW110-F6613P02版本解决问题列表·· 36
9.1 SecPathACG1000-IMW110-F6613P01版本解决问题列表·· 36
9.2 SecPathACG1000-IMW110-F6613版本解决问题列表·· 36
9.3 SecPathACG1000-IMW110-R6612版本解决问题列表·· 36
9.4 SecPathACG1000-IMW110-R6611P09版本解决问题列表·· 36
9.5 SecPathACG1000-IMW110-R6611P07版本解决问题列表·· 37
9.6 SecPathACG1000-IMW110-R6611P06版本解决问题列表·· 38
9.7 SecPathACG1000-IMW110-R6611L05版本解决问题列表·· 39
9.8 SecPathACG1000-IMW110-R6611P04版本解决问题列表·· 39
9.9 SecPathACG1000-IMW110-R6611P03版本解决问题列表·· 40
9.10 SecPathACG1000-IMW110-R6611P02版本解决问题列表·· 40
9.11 SecPathACG1000-IMW110-R6611P01版本解决问题列表·· 40
9.12 SecPathACG1000-IMW110-R6611版本解决问题列表·· 41
9.13 SecPathACG1000-IMW110-F6610P03版本解决问题列表·· 42
9.14 SecPathACG1000-IMW110-F6610P02版本解决问题列表·· 43
9.15 SecPathACG1000-IMW110-F6610P01版本解决问题列表·· 44
9.16 SecPathACG1000-IMW110-F6610版本解决问题列表·· 44
9.17 SecPathACG1000-IMW110-R6609P06版本解决问题列表·· 44
9.18 SecPathACG1000-IMW110-R6609P02版本解决问题列表·· 45
9.19 SecPathACG1000-IMW110-R6609版本解决问题列表·· 46
9.20 SecPathACG1000-IMW110-F6608P01版本解决问题列表·· 47
9.21 SecPathACG1000-IMW110-F6608版本解决问题列表·· 48
9.22 SecPathACG1000-IMW110-R6606P08版本解决问题列表·· 48
9.23 SecPathACG1000-IMW110-R6606P07版本解决问题列表·· 48
9.24 SecPathACG1000-IMW110-R6606P06版本解决问题列表·· 49
9.25 SecPathACG1000-IMW110-R6606P05版本解决问题列表·· 49
9.26 SecPathACG1000-IMW110-R6606P04版本解决问题列表·· 50
9.27 SecPathACG1000-IMW110-R6606P03版本解决问题列表·· 50
9.28 SecPathACG1000-IMW110-R6606P02版本解决问题列表·· 50
9.29 SecPathACG1000-IMW110-R6606P01版本解决问题列表·· 51
9.30 SecPathACG1000-IMW110-R6606版本解决问题列表·· 52
9.31 SecPathACG1000-IMW110-R6605P03版本解决问题列表·· 52
9.32 SecPathACG1000-IMW110-R6605P02版本解决问题列表·· 52
9.33 SecPathACG1000-IMW110-R6605P01版本解决问题列表·· 52
9.34 SecPathACG1000-IMW110-R6605版本解决问题列表·· 53
9.35 SecPathACG1000-IMW110-R6604P01版本解决问题列表·· 54
9.36 SecPathACG1000-IMW110-R6604版本解决问题列表·· 56
9.37 SecPathACG1000-IMW110-F6603P03版本解决问题列表·· 56
9.38 SecPathACG1000-IMW110-F6603P02版本解决问题列表·· 57
9.39 SecPathACG1000-IMW110-R6603P01版本解决问题列表·· 58
9.40 SecPathACG1000-IMW110-R6603版本解决问题列表·· 58
9.41 SecPathACG1000-IMW110-E6602版本解决问题列表·· 59
表目录
本文介绍了SecPathACG1000-IMW110-R6616P02版本的特性、使用限制、存在问题及规避措施等,在加载版本前,建议您备份配置文件,并进行内部验证,以避免可能存在的风险。
本文档需和随版本发布的《H3C SecPathACG1000-IMW110-R6616P02版本说明书(软件特性变更说明)》,以及本文“相关资料”中的文档一起配合使用。
版本号:i-Ware software,Version 1.10,Release 6616P02
注:该版本号可在任何视图下执行display version命令查看。
版本号 | 基础版本号 | 发布日期 | 版本类型 | 备注 |
R6616P02 | R6616 | 2023-12-28 | 正式版本 | 年度版本 |
R6616 | R6614P09 | 2023-09-26 | 正式版本 | 解决问题、合入新特性 |
R6614P10 | R6614P09 | 2023-08-18 | 正式版本 | 解决问题、合入新特性 |
R6614P09 | R6614P08 | 2023-06-30 | 正式版本 | 支持新款型、解决网上问题、新增特性 |
R6614P08 | R6614P05 | 2023-02-27 | 正式版本 | 解决问题、合入新特性 |
R6614L07 | R6614P05 | 2023-02-16 | 正式版本 | 新增特性 |
R6614L06 | R6614P05 | 2023-01-16 | 正式版本 | 新增特性 |
R6614P05 | R6614P04 | 2023-01-16 | 正式版本 | 解决问题 |
R6614P04 | R6614P03 | 2022-11-29 | 正式版本 | 解决问题 |
R6614P03 | R6614P01 | 2022-10-29 | 正式版本 | 解决问题、合入新特性 |
R6614L02 | R6614P01 | 2022-09-22 | 正式版本 | 合入新特性 |
R6614P01 | R6614 | 2022-09-02 | 正式版本 | 解决问题、新增特性 |
R6614 | F6613P03 | 2022-06-29 | 正式版本 | 解决问题、新增特性 |
F6613P03 | F6613P02 | 2022-03-31 | 特性版本 | 解决问题、新增特性 |
F6613P02 | F6613P01 | 2022-02-21 | 特性版本 | 解决问题、新增特性 |
F6613P01 | F6613 | 2021-08-30 | 特性版本 | 解决问题、新增特性 |
F6613 | R6612 | 2021-04-30 | 特性版本 | 新增特性 |
R6612 | R6611P09 | 2020-11-30 | 正式版本 | 新增特性 |
R6611P09 | R6611P07 | 2020-10-29 | 正式版本 | 解决问题、新增特性 |
R6611P07 | R6611P06 | 2020-09-16 | 正式版本 | 解决问题 |
R6611P06 | R6611P04 | 2020-06-24 | 正式版本 | 解决问题、新增特性 |
R6611L05 | R6611P04 | 2020-05-08 | 正式版本 | 解决问题:解决流量控制策略配置每IP限速,测试限速速率波动较大 |
R6611P04 | R6611P03 | 2020-03-30 | 正式版本 | 解决问题:解决升级特征库后修改控制策略导致设备异常重启 |
R6611P03 | R6611P02 | 2020-03-19 | 正式版本 | 解决问题 |
R6611P02 | R6611P01 | 2020-02-28 | 正式版本 | 解决问题、新增特性 |
R6611P01 | R6611 | 2020-01-06 | 正式版本 | 解决问题、新增特性 |
R6611 | F6610P03 | 2019-11-18 | 正式版本 | 解决问题 |
F6610P03 | F6610P02 | 2019-10-15 | 正式版本 | 解决问题:解决非经上报导致设备频繁重启;HA主备透明模式部署,接口状态无法同步等问题 |
F6610P02 | F6610P01 | 2019-08-15 | 正式版本 | 解决问题:解决无法直接跳转到Manager问题、解决HA主备系统配置显示不同步问题等 |
F6610P01 | F6610 | 2019-07-25 | 正式版本 | 新增安全云联动特性、修复遗留问题 |
F6610 | R6609P06 | 2019-05-14 | 特性版本 | 新增特性 |
R6609P06 | R6609P02 | 2018-12-11 | 正式版本 | 解决问题:修复漏洞;解决LADP同步导致设备重启问题;解决GRE配置失效问题等 |
R6609P02 | R6609 | 2018-09-17 | 正式版本 | 解决问题:修复任子行、中科新业、恒邦三家厂商的非经日志无法显示问题;超MTU值的非IP报文导致串联ACG设备出现延迟与丢包 |
R6609 | F6608P01 | 2018-07-16 | 正式版本 | 解决问题;新增支持型号 |
F6608P01 | F6608 | 2018/05/31 | 特性版本 | 解决问题 |
F6608 | R6606 | 2018/01/24 | 特性版本 | 新增特性 |
R6606P08 | R6606P07 | 2017/12/28 | 补丁版本 | 解决问题 |
R6606P07 | R6606P06 | 2017/11/29 | 补丁版本 | 解决问题:未开启免认证时可绕过;QOS模式下支持流保序 |
R6606P06 | R6606P05 | 2017/9/21 | 补丁版本 | 解决问题:snmp/ssh攻击导致内存耗尽问题等 |
R6606P05 | R6606P04 | 2017/7/21 | 补丁版本 | 解决问题:支持保序功能,避免访问某些网站页面异常;某些特定环境下系统异常问题 |
R6606P04 | R6606P03 | 2017/5/30 | 补丁版本 | 公司更名,支持新型号ACG1010-X1/ACG1030-X1/ACG1050-X1 |
R6606P03 | R6606P02 | 2017/3/30 | 补丁版本 | 修改问题:ALG FTP映射网络不通问题 |
R6606P02 | R6606P01 | 2016/12/12 | 补丁版本 |
|
R6606P01 | R6606 | 2016/10/25 | 补丁版本 |
|
R6606 | R6605P03 | 2016/7/5 | 正式版本 |
|
R6605P03 | R6605P02 | 2016/5/24 | 补丁版本 |
|
R6605P02 | R6605P01 | 2016/3/18 | 补丁版本 |
|
R6605P01 | R6605 | 2015/12/31 | 补丁版本 |
|
R6605 | R6604P01 | 2015/12/2 | 正式版本 |
|
R6604P01 | R6604 | 2015/7/29 | 补丁版本 |
|
R6604 | R6603P03 | 2015/6/16 | 正式版本 |
|
F6603P03 | F6603P02 | 2015/4/27 | 特性版本 | 修复本地认证用户修改用户密码可控性bug |
F6603P02 | R6603P01 | 2015/3/5 | 特性版本 |
|
R6603P01 | R6603 | 2015/2/3 | 补丁版本 | 本地Web认证、审计功能性能优化 |
R6603 | Ess 6602 | 2014/12/26 | 正式版本 | Release版本 |
Ess 6602 | 首次发布 | 2014/10/20 | ESS版本 | 无 |
在升级版本之前,请注意与本版本配套的软、硬件条件必须符合下表的要求。
| H3C SecPath ACG1000系列 | |||||
| 型号 | ACG1005-PWR ACG1000-SE-PWR ACG1000-SE ACG1000-BE-PWR ACG1000-BE ACG1000-AK150 ACG1000-AK230 ACG1000-AK240 ACG1000-AK250 ACG1000-AK260 ACG1000-TE ACG1000-ME ACG1010-X1 ACG1030-X1 ACG1050-X1 ACG1060-X1 ACG1070-X1 ACG1000-C9130 ACG1000-C9150 ACG1000-C9160 ACG1000-AK215 ACG1000-AK225 ACG1000-AK255 ACG1000-AK265 ACG1000-B100 ACG1000-B200 ACG1000-B300 ACG1000-AI-10 ACG1000-AK2010 | ACG1000-AK270 ACG1000-AK280 ACG1000-AE ACG1000-C9170 ACG1000-AK275 ACG1000-AI-30 ACG1000-AK9201 | ACG1000-PE ACG1000-EE ACG1000-AK285 ACG1000-ME-G ACG1000-AK9203 ACG1000-AK9205 ACG1000-AK9210 | ACG1000-XE1 ACG1000-AE-G ACG1000-Blade-E | ACG1000-Blade-X |
内存 | 2GB | 4GB | 8GB | 16GB | 32GB | |
| 目标文件名称及MD5校验码 | 1、ACG1000-ME-G&ACG1000-AE-G 升级包:SecPathACG1000-IMW110-R6616P02-ARM_FT.BIN MD5:FA23F236E2269AB60EE11A67DAD8ADD7 生产包:SecPathACG1000-IMW110-R6616P02-ARM_FT-ALL.BIN MD5: 46D6372C662A9E83E3415E0C3697EFB8
2、除“1”中型号外其他上表中列的型号 升级包:SecPathACG1000-IMW110-R6616P02.BIN MD5: D0F719A4A6F5337C587D4C5C7DAFA1A4 生产包:SecPathACG1000-IMW110-R6616P02-ALL.BIN MD5: DE0681BF8CE72CC536DBB361328482B9 | ||||
| SSL VPN客户端 | 安卓:SSLVPNClient_20200519.apk MD5:9A6A75E7145BF91A8B3421341B672E4D Windows:SSLVPNClient_20220824.exe MD5:E31D21844A23977DA596A8CD04D36EA5 | ||||
| IC卡认证客户端 | ic_card.exe MD5: 13D50425D832359798FA86E217E2984D | ||||
| BA配套版本号 | SecPathACG1000BA-IMW110-E6401P02及之后版本 | ||||
| ACG Manager配套版本号 | SecPathACG1000 SACG-7.0-R0306及之后版本 | ||||
| EBM配套版本号 | iNode PC 7.3 (E0589) | ||||
| XDR配套版本号 | XdrSetup-1.3.180.1_20230601.exe MD5:DC75FA38091057629A890A32A08A66F7 | ||||
| IMC配套版本号 | iMC PLAT 7.3 (E0710) | ||||
| 备注 | ACG1000-ME-G、ACG1000-AE-G 请务必使用SecPathACG1000-IMW110-R6616P02-ARM_FT.BIN版本。 其他款型设备,请使用SecPathACG1000-IMW110-R6616P02.BIN版本。 | ||||
1、版本升级前需备份原有配置文件,版本回退需清除配置导入原有配置文件即可。
ACG1000-ME-G、ACG1000-AE-G款型,请务必使用SecPathACG1000-IMW110-R6616P02-ARM_FT.BIN版本。
其他款型设备,请使用SecPathACG1000-IMW110-R6616P02.BIN版本。
2、内存1G设备不支持升级到R6611及以后版本。
R6614版本可用于2G内存及以上设备升级,不能用于升级1G内存设备。可以登录设备命令行,执行display hardware info命令查看设备内存大小。
3、跨版本升级后访问设备web页面前清除浏览器缓存,避免浏览器缓存导致登录异常及登录后页面显示异常。
4、R6609P06及以前版本若直接升至F6613及之后版本,请通过通过命令行进行升级,具体方法请参见附录B.4.1。
5、设备从R6611及后续版本升级到R6616版本及之后版本,版本升级配置兼容性说明:
1)版本及配置支持向上兼容,不支持向下兼容,为避免反复升降级版本或切换版本后出现配置丢失显示异常等问题,务必在低版本升级之前先将配置文件导出备份,后续版本进行降级时直接导入备份的配置文件即可确保配置恢复和显示正常
2)端口扫描立即条目只做一次配置恢复,不支持降级,降级后再次升级需要重新配置条目
3)弱密码扫描.立即扫描条目(弱密码扫描模块的立即扫描条目配置完成后立即开始扫描,扫描完成后,该条目变成历史记录,等于条目已经失效,不会写配置文件。升级后弱密码立即扫描条目不做恢复,重新配置即可。)
4)设备从R6616之前版本升级到R6616及之后版本时,本地创建的用户配置“初次认证修改密码”的,版本升级之后由于用户架构修改,不管之前是否修改过密码,版本升级之后初次认证仍需要修改密码,后续再升级R6616及之后版本已修改密码的不需要在修改密码。如果升级R6616及之后版本后不想修改密码,可以在本地用户配置中取消勾选“初次认证修改密码”项。
6、数据库升级兼容性注意事项:
设备从R6611及后续版本升级R6616版本之后,数据库只支持升级一次,若数据库升级后,回退到R6611及后续版本,再升级到R6616及之后版本,不再做日志升级兼容操作。
l 以下几个模块的数据不做恢复:
1)弱密码扫描.立即扫描条目和结果(弱密码扫描模块的立即扫描条目配置完成后立即开始扫描,扫描完成后,该条目变成历史记录,等于条目已经失效,不会写配置文件。升级后弱密码立即扫描条目不做恢复,重新配置即可。)
2)端口扫描立即条目只做一次配置恢复,不支持降级,降级后再次升级需要重新配置条目
3)端口扫描结果
4)用户信息中心模块历史的数据
5)终端发现日志,移动终端管理模块的移动终端管理数据和终端发现趋势的历史数据
这几类数据从R6611及后续版本升级到R6616版本之后数据不会恢复也不能从CLI通过命令下载。
数据库特性变化参考特性变更说明。
7、设备在三权模式下,从R6612系列及之前版本升级到R6614及之后版本,三权account、authority,audit和admin账户均被初始化,同时通过admin账户登录设备web页面,无法显示主页信息,需要重新配置admin权限
8、R6611P21及之前版本配置DHCP服务器个数规格没有限制,R6612及之后版本限制此规格为256个,升级后超过规格配置的DHCP服务无法配置启用。
9、ACG1030、ACG1040、ACG1050、ACG1000-S、ACG1000-AK140等停产款型不支持升级R6612及之后版本。
其他升级事项请参考章节6 版本使用限制及注意事项。
无
有关本版本及历史版本的软件特性及命令行的变更信息说明,请参见随版本发布的文档《H3C SecPathACG1000-IMW110-R6616P02版本说明书(软件特性变更说明书)》。
无
无
在更新软件版本之前,强烈建议您通过《H3C SecPathACG1000-IMW110-R6616P02版本说明书(软件特性变更说明书)》了解版本间的软件特性变更情况,评估变更可能对业务造成的影响,同时请查阅相关的配套资料。
· 版本升级后,日志恢复的形式如下:
1) “系统日志,操作日志,安全日志,告警日志, 资产日志“可以恢复,即UI界面上可以看到升级之前的日志。这5种日志,每种日志最大恢复50W条。
2) 除以上5种日志以外,“数据中心>日志中心”的其它所有日志升级之后,UI界面上看不到,用户想看升级之前的日志,需要通过FTP导出成CSV文件来查看。单次最大导出50W条
3) 除上述两类以外,其它存储在数据库里面的数据不做日志兼容性处理,即升级到R6616版本后,数据不提供日志恢复和导出。
4) 数据库升级日志兼容性列表:
升级后旧数据 | 日志类别 | 数据表名称 | |
处理方式 | |||
支持日志恢复 | 系统日志 | t_log_event |
|
操作日志 | t_log_operate |
| |
安全日志 | t_log_ips | 入侵防御 | |
log_ips_high_alarm | ips高阶告警-告警规则 | ||
t_log_av | 病毒防护 | ||
t_log_waf_ruledefend | WEB防护》规则防护 | ||
t_log_waf_advdefend | WEB防护》高级防护 | ||
t_log_attack | 安全防护 | ||
t_log_behavior_model | 行为模型 | ||
t_log_bfd | 防爆力破解 | ||
t_log_wpd | 弱密码防护 | ||
t_log_servconn | 非法外联防护 | ||
告警日志 | t_log_alarm | 系统管理》系统告警 | |
t_log_alarm | 系统管理》告警日志 | ||
资产日志 | log_assets_mgt | 策略配置》对象管理 | |
log_assets_serv | 策略配置》资产管理 | ||
支持日志导出(导入操作参考特性变更说明书) | 控制日志 | t_log_app_filter | 应用控制 |
t_log_malware_app | 恶意URL | ||
审计日志 | t_log_webaccess | 访问网站 | |
t_log_im | IM聊天软件 | ||
t_log_bbs | 社区日志 | ||
t_log_search_engine | 搜索引擎 | ||
t_log_mail | 邮件 | ||
t_log_file_transfer | 文件传输 | ||
t_log_relax_stock | 娱乐/股票 | ||
t_log_proto_audit | 协议审计 | ||
t_log_other | 其它应用 | ||
终端日志 | t_log_ushare | 共享接入 | |
t_log_login_logout | 用户上下线 | ||
t_log_term_mgt | 移动终端 | ||
t_log_quota | 流量限额 | ||
t_log_ddi_user_online_offline | DDI终端用户 | ||
t_log_user_reg | 用户自注册》用户注册申请 | ||
t_log_user_approval | 用户自注册》用户注册审批 | ||
终端审计日志 | t_log_inode_cdburn | 光驱刻录日志 | |
t_log_inode_print | 打印审计日志 | ||
t_log_inode_usb | USB设备识别日志 | ||
t_log_inode_btfile | 蓝牙文件审计日志 | ||
t_log_inode_btchg | 蓝牙配对改变日志 | ||
t_log_inode_web | 网页浏览记录日志 | ||
t_log_inode_forum | 论坛发帖记录日志 | ||
t_log_inode_mail | 邮件记录日志 | ||
t_log_inode_chat | 聊天记录日志 | ||
t_log_inode_app | 应用程序使用日志 | ||
客户端日志 | t_log_xdr_im | 聊天 | |
(ui别名: terminalim) | |||
t_log_xdr_browser | 浏览器日志 | ||
(ui别名: browser) | |||
t_log_xdr_mail | 邮件日志 | ||
(ui别名:terminalmail) | |||
t_log_xdr_usb | USB事件日志 | ||
(ui别名: usb) | |||
t_log_xdr_process | 进程列表日志 | ||
(ui别名: progress) |
1、 设备从R6611及后续版本升级R6616及之后版本之后,数据库只支持升级一次,若数据库升级后,回退到R6611及后续版本,再升级到R6616版本,不再做日志升级兼容操作。
2、 以下几个模块的数据不做恢复:
1) 弱密码扫描.立即扫描条目和结果(弱密码扫描模块的立即扫描条目配置完成后立即开始扫描,扫描完成后,该条目变成历史记录,等于条目已经失效,不会写配置文件。升级后弱密码立即扫描条目不做恢复,重新配置即可。)
2) 端口扫描立即条目只做一次配置恢复,不支持降级,降级后再次升级需要重新配置条目
3) 端口扫描结果
4) 用户信息中心模块历史的数据
5) 终端发现日志移动终端管理模块的移动终端管理数据和终端发现趋势的历史数据
这几类数据从R6611及后续版本升级到R6616版本之后数据不会恢复也不能从CLI通过命令导出。
· 日志每天记录上限说明;
1) 对于无硬盘设备,所有支持的日志的规格都是50万条。即:单日日志记录不能超过50万,累积日志记录也不能超过50万条
2) 对于有硬盘设备,系统日志和操作日志的规格是150万条。单日日志记录不能超过150万,累积日志记录也不能超过150万条
对于有硬盘设备,除系统日志和操作日志外,没有规格限制。单日日记纪录条数无限制,累积日志记录也无限制,但是会受制于磁盘容量限制
· 日志导出上限说明;
1) 不查询直接导出:导出的是所有日志。最多支持导出100万条数据(即如果日志量超过100万条,则导出最近的100万条日志),最多导出180天的数据(即如果日志量跨度超过180天,则导出最近的180天的日志)。
2) 查询后导出:导出的是经过查询后的日志。最多支持导出100万条最新的数据。
· 修改时间,日志保存删除说明:
预设条件:系统时间为2023-06-30,日志保存期限为90天。(为了便于说明问题每个月按30天计算)
· 日志保存期限的检测:
1) 若修改的系统时间变小(值为2023-05-29),则日志最大保存期限为[2023-02-30 至 2023-05-30]。
检测过程简述:
日志保存期限的检测任务,会在后台周期轮询; 检测日志文件最后修改的时间是否在[ 至 2023-02-30 至 2023-05-30]之内,若不在此范围则删除此日志文件。
说明:
日志检测的颗粒度是按照文件进行的(每个文件可以存储5万条日志),即根据文件最后的修改时间进行判断日志文件是否在保存期限范围[2023-02-30 至 2023-05-30]内;而不是对文件内的具体日志内容进行检测的,因此系统时间突然 变小会存在多删除日志的情况。
例如:
系统时间修改前2023-06-30 00:00:00,存在一个日志文件 /t_log_event/20230601-144600.log,
文件大小为5万条,最后一条日志的时间2023-06-01 14:46:00 ,第一条日志的时间是2023-05-01 14:46:00
系统时间修改成2023-05-29 00:00:00,则日志最大保存期限为[2023-02-30 至 2023-05-30],
需要删除 /t_log_event/20230601-144600.log 这个文件,则 [2023-05-01 至 2023-05-30 14:46:00]内的日志也被删除
2) 若修改的系统时间变大(值为2023-07-30),则日志最大保存期限为[ 2023-04-30 至 2023-07-30 ]。
检测过程简述:
日志保存期限的检测任务,会在后台周期轮询; 检测日志文件最后修改的时间是否在[ 2023-04-30 至 2023-07-30 ]之内,若不在此范围则删除此日志文件。
说明:
日志检测的颗粒度是按照文件进行的(每个文件可以存储5万条日志),即根据文件最后的修改时间进行判断日志文件是否在保存期限范围[2023-04-30 至 2023-07-30]内;而不是对文件内的具体日志内容进行检测的,因此系统时间突然 变大会存在少删除日志的情况。
例如:
系统时间修改前2023-06-30 00:00:00,存在一个日志文件 /t_log_event/20230430-144600.log,
文件大小为5万条,最后一条日志的时间2023-04-30 14:46:00 ,第一条日志的时间是2023-03-01 14:46:00
系统时间修改成2023-07-30 00:00:00,则日志最大保存期限为[2023-04-30 至 2023-07-30],
不需要删除 /t_log_event/20230430-144600.log 这个文件,则 [2023-03-01 14:46:00 至 2023-04-30 14:46:00]内的日志不会被删除
特例:
若系统时间修改的范围大于10天,则立即对系统和操作日志进行是否超出日志最大保存期限的检测,其他日志在凌晨4点进行日志最大保存期限的检测。系统和操作日志进行是否超出日志最大保存期限检测时,会保留cur.csv文件不被删除。
· 页面所有日志最大只展示最新的10000:
说明:
1) 若日志数目少于1万条,页面可以显示所有日志[通过翻页查看]
2) 若日志数目大于等于1万条,页面可以显示最新的1万条日志[通过翻页查看]
· 磁盘使用率很高,从R6616之前的版本升级到R6616版本时候, 旧的PG数据库日志删除机制:
说明:
根据R6616之前的版本中pg库日志原来的删除机制,R6616删除pg的逻辑设计如下:
硬盘使用率 >= 90%
- 获取pg库中,最老日志的日期(min_date)
- 删除/disk/mail/目录下小于min_date的文件
- 删除/disk/inode_file/log/目录下小于min_date的文件
硬盘使用率 >= 80%
1. 获取最老日志的日期(min_date)
2. 删除pg库中min_date日期的日志天表
3. 删除/disk/mail/目录下, min_date日期的文件
4. 删除/disk/inode_file/log/目录下, min_date日期的文件
5. 若此时硬盘使用率 >= 80%,且本轮删除老日志的循环次数小于20次,则重复(1-5)的步骤; 否则结束本轮老日志的删除。
说明:
1. logdb原来的删除机制不变,只对pg库的删除做了变更
2. pg库完全删除前,不删除新产生的日志
· R6611P03以前版本为:当磁盘使用率超过95%时开始进行删除,到85%时停止删除,随着磁盘容量越来越大,支持审计记录日志的越来越多,如果集中删除的同时又在写入大量新日志,可能会造成磁盘繁忙,存在风险。
· R6611P03及以后版本为:当磁盘使用率超过90%时就会删除日志,每半小时检查一次磁盘利用率,每次删除最老1天的日志,同时对于邮件、邮件附件、网盘文件这种留存的原始文件进行文件个数限制,每天最多10万个(邮件、邮件附件、网盘存储的文件个数共用同一个10万的规格),对于日志没有条数限制,即当此类日志超过10万时还会记录相关日志信息,但是无法下载原始文件。
默认情况下,设备对每秒产生的IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、命令日志和其他应用日志存在如下的阈值限制:
· ACG1000-SE-PWR ACG1000-ME/ACG1000-TE/ACG1060-X1/ ACG1000-C9130/ ACG1000-C9150/ ACG1000-C9160每秒25条。
· ACG1000-AK230/ ACG1000-AK240/ ACG1000-AK250/ ACG1000-AK260/ ACG1000-AK270/ ACG1000-AE/ACG1070-X1/ ACG1000-C9170/ ACG1000-AK215/ ACG1000-AK225/ ACG1000-AK255/ ACG1000-AK265/ ACG1000-AK275/ ACG1000-AK285/每秒50条。
· ACG1000-AK280/ ACG1000-AK285/ACG1000-EE/ACG1000-PE/ACG1000-XE1每秒100条。
对于基于MAC的转发策略,只支持PC与设备直连的组网(其中可以有二层交换机)。
大批量用户导入时,导入操作会消耗大量的CPU资源,CPU资源无法满足时会导致其他进程无法响应现象。
由于PHP性能导致RADIUS和LDAP第三方认证每秒超过20个用户同时登录认证时延约为5秒。当有大量用户上线场景时建议选用iMC或本地认证方式。
在大流量系统负荷满的情况下,详细应用流量统计中,有些应用统计会出现统计为空的情况,影响查看应用流量统计中的应用及对应的用户信息。
· 新设备不建议开启实时保存,由于开启后频繁快速操作或者配合HA使用时对设备资源消耗过大,可能存在以下现象:
¡ SNMP用户同步过程中,连续生成2次录入用户任务,第一次的用户录入大概率无法同步到备设备;
¡ IPv4控制策略引用一条空的url对象,然后在url对象页面添加内容,概率出现引用关系消失;
¡ 在自动保存配置的过程中,同时删除多个用户,提示信息有误等问题。
· 如果开启了实时保存,需要在每次执行完配置后等待1-2分钟,设备完全保存好配置后再进行相关的操作。
· 审计策略:R6614版本审计策略>高级配置,多了终端型号参数、vlan、DSCP参数,manager上无这些参数。当前下发后,终端型号为any,vlan为any,DSCP为any。不影响下发。
· 控制策略:
· R6614版本控制策略描述下面有个“日志”选项,manager没此参数。当前下发后不勾选此选项,不影响配置下发。
· R6614控制策略>入侵防御配置,默认的规则模板有变,导致Manager这边无论配置的事件集是什么,下发到R6614 ACG规则模板都是ALL。另外R6614 ACG的入侵防御配置界面也有变化,R6614裁剪掉了一些功能。
· 控制策略>URL过滤>URL控制,R6614版本多了一个DNS过滤,而manager没此参数。当前下发后不勾选此选项,不影响配置下发。
· 控制策略>应用过滤>邮件控制,R6614版本多了接收邮件参数和附件名关键字参数,而manager没此参数,默认下发不勾选,不影响配置下发。
· 控制策略>应用过滤>web关键字>搜索引擎/http上传/网页内容,处理动作和ACG R6614版本有变化,R6614版本为放行、阻断;但manager是告警、拒绝。导致manager模板上配置的是告警,实际下发到R6614 ACG上对应为放行,拒绝对应阻断。不影响策略下发。
· ACG R6614版本上新增了控制策略>应用过滤>文件类型过滤和协议过滤功能,但Manager上无此参数配置。当前不影响下发。
· R6614版本控制策略>高级配置,多了终端型号、vlan、DSCP参数,manager上无此参数。当前下发后,终端型号为any,vlan为any,DSCP为any,不影响下发。
· 流量控制策略:流量控制策略>新建通道多了终端型号参数、vlan和DSCP参数,限制通道多了vlan和DSCP参数,manager上无此参数。当前下发后,终端类型为any,vlan为any,DSCP为any,不影响下发。
· 对象:应用对象,R6614版本和Manager的自定义应用配置界面发生变化。当前不影响下发。
· Manager配置模板中对特殊字符处理同R6611系列版本,R6614系列和R6611系列部分输出框对特殊字符的限制如果出现变化,会导致Manager端可以成功保存配置模板但是下发到ACG失败。
· IPV6:ACG R6614多处支持IPV6,但是Manager不支持。如:地址对象、审计策略、控制策略。
· 从ACG侧同步到BA的用户无法删除。可以根据ACG同步到BA的用户组进行选择分析或不分析,分析即占用授权,不分析不占用授权。
· 行为感知分析平台(BA)操作系统时区时间、ACG设备时间、浏览器时间要保持一致
· 请勿将R6614基线或F6613基线或6612基线版本对接BA后,再回退到到R6611基线版本对接BA使用。
1、EBM客户端修改IP地址后,在线终端的IP显示的还是修改之前的IP。
2、HA 主备环境中,备机可以修改插件模板, 防火墙的认证模板设置也是都可以配置的。
3、授权管理,在线终端 不支持HA主备环境。备机授权得重新导入,在线终端,流量同步过来会自动识别。
4、终端插件安装后需要重启才会生效。
5、聊天记录日志, 发送图片或者文件的时候,文件上传不是实时的 终端插件可能有延迟, 可能日志产生了,但是文件还没传完,一开始点击下载,可能存在 文件不存在的情况
6、论坛聊天记录,未实现
7、光驱刻录审计,必须指定特定的软件:C:\iNode DAMAgent\components\LdCdBurn.exe
8、光驱刻录日志,刻录文件大小 是指的总的文件夹的大小,详情里面会有文件夹里面每个文件的大小,不会每一条显示的某一个文件的大小。设计如此。
9、授权管理,在线终端 不支持HA主备环境。备机授权得重新导入,在线终端,流量同步过来会自动识。
10、蓝牙传输审计,只审计PC 发送的,不审计接收的。
11、终端插件客户端一旦安装了,授权使用数会加一,如果客户端卸载了不会立即减一,按照注册数判断,一个月自动清理一次。
12、移动终端不支持插件安装
13、邮件审计不支持 webMail 邮件审计目前未实现。
14、ACG上的EBM Server服务出现挂掉了,可能是下载hostid导致的。
15、当前设计EBM审计的图片名称会被改为其他字符串。
16、开启聊天图片监控,微信未审计到图片日志。
17、插件的安装以及每次重启inode会受到360杀毒软件的拦截。
18、EBM连续发多条聊天记录,存在漏审的现象。
19、EBM日志上传间隔和每次上报最大条数不准确。
20、微信版本仅支持3.4及之前版本审计
浏览器审计、控制支持的浏览器及推荐版本如下表。
浏览器 | 推荐版本 |
谷歌 64位 | 104.0.5112.81 |
火狐 64位 | 106.0.2 |
Microsoft Edge 64位 | 106.0.1370.52 |
IE11 64位 | 9.11.19041.0 |
360安全 64位 | 13.1.6230.0 |
360极速浏览器 32位 | 13.5.2036.0 |
搜狗浏览器 64位 | 11.0.1.34700 |
· 跨版本升级后访问设备web页面前清除浏览器缓存,避免浏览器缓存导致登录异常及登录后页面显示异常。
· 设备在三权模式下,从R6612系列及之前版本升级到R6614及之后版本,三权account、authority,audit和admin账户均被初始化,同时通过admin账户登录设备web页面,无法显示主页信息,需要重新配置admin权限
· R6611P21及之前版本配置DHCP服务器个数规格没有限制,R6612及之后版本限制此规格为256个,升级后超过规格配置的DHCP服务无法配置启用。
· ACG1030、ACG1040、ACG1050、ACG1000-S、ACG1000-AK140等停产款型不支持升级R6612及之后版本。
· 内存1G设备不支持升级到R6611及以后版本,仅支持2G及以上内存设备升级到R6611及以后的版本
· R6609P06及以前版本通过web管理页面升级版本时有150M大小的限制,而R6611P01版本超过了此大小,因此需要通过命令行进行升级。
· R6609P06及以前版本升级到F6610及之后版本,其中IPv4策略模块配置为审计时,子策略中应用审计、url审计,恶意站点兼容为IPv4控制策略和IPv4审计策略,其中关键字支持配置所有应用且为阻断的兼容,其余应用审计的关键字配置会丢失,需重新配置,升级后审计对象兼容为全部。
· R6609P06及以前版本升级到F6610及之后版本,由于数据库表重新创建会丢失当天的审计日志、无线非经日志,升级版本之后新产生日志正常,因此为减少影响建议版本凌晨升级。
· 首次由R6609系列版本升级至F6610及之后版本时,为保证兼容性,特征库自动升级;后续继续升级F6610系列版本,则不会更新原有版本特征库,需要手动升级或开启特征库自动升级。
· R6609P06及以前版本升级到F6610及之后版本特征库会变为F6610及之后版本带的特征库,F6610及之后回退R6609P06及以前版本的时候,特征库会变为R6609P06版本及以前版本的特征库,但特征库版本号仍显示为F6610及之后的版本号。
· R6611P06及以前版本升级到F6612P01及以后的版本,控制日志、审计日志丢升级当天的日志,之前的日志存在,升级后能正常记录日志,为防止当天日志丢失建议在凌晨进行版本升级。
· R6611P06及以前版本升级到F6612P01及之后版本,IPv4地址对象和IPv6地址对象合并为地址对象,IPv4审计策略更名为审计策略,IPv4控制策略和IPv6控制策略合并为控制策略,合并后IPv4策略在前面,IPv6策略在后面,如果超过控制策略规格,会丢失部分控制策略配置。
· R6611P06及以前的版本升级到R6614黑名单历史记录页面去掉,黑名单页面变更为黑名单记录,只有永久黑名单才支持配置恢复
· R6611P06及以前的版本升级到R6614 版本IPS复制的模板丢失,除了自定义规则,其它所有配置不进行恢复,如果原来控制策略中配置了IPS策略,则默认恢复为引用All模板的IPS策略
· R6611P03以前版本为:当磁盘使用率超过95%时开始进行删除,到85%时停止删除,随着磁盘容量越来越大,支持审计记录日志的越来越多,如果集中删除的同时又在写入大量新日志,可能会造成磁盘繁忙,存在风险。
· R6611P03及以后版本磁盘使用率超高时删除方式变更,R6611P03及以后版本为:当磁盘使用率超过90%时就会删除日志,每半小时检查一次磁盘利用率,每次删除最老1天的日志,同时对于邮件、邮件附件、网盘文件这种留存的原始文件进行文件个数限制,每天最多10万个(邮件、邮件附件、网盘存储的文件个数共用同一个10万的规格),对于日志没有条数限制,即当此类日志超过10万时还会记录相关日志信息,但是无法下载原始文件。
· 不适配Manager R0304及之前版本。
ACG1000-AK280在E6401P01及之前版本中万兆口ID为XGE0/XGE1,为与设备外观丝印保持一致,F6608及以上版本中万兆口ID由XGE0/XGE1改为XGE24/XGE25,新版本升级时会造成万兆口配置无法同步。可通过两种方式处理:
a. 在升级前,将配置文件导出,将XGE0关键字替换为XGE24,将XGE1关键字替换为XGE25,之后保存配置,当设备升级后重新导入配置文件即可。
b. 若未能及时保存配置文件,升级新版本后,可将万兆口相关配置重新配置。
· 由于F6607与F6608及以上版本非经日志字段有较大差别,升级后会重新生成新表,丢失当天的表,这样就会导致当天的审计日志丢失,但不会影响之前的老数据,所以升级时建议在凌晨12点后进行,将影响降到最低。
· 不带非经功能的版本可直接升级到F6608及以上版本,不需要清库,但建议在凌晨12点后进行,因为当天的表会重建,导致丢失当天的审计日志。
出接口MTU为1500时,报文不需要分片,可以达到最大限制带宽;若自定义MTU小于1500,则由于分片导致QoS限制可能会出现未达到最大限制带宽。尽量避免报文分片场景。
· HA环境下,不支持同步应用/用户流量统计,当HA设备切换后,不能看到原有的应用/用户流量统计数据。
· HA主备同步时无法同步Web Portal自定义配置。
· HA主主模式,同时配置监控地址同步和地址探测,接口down掉恢复正常后,主主状态不能恢复到正常状态,建议在HA主主模式避免配置地址探测,不影响业务使用。
· 微信认证一台设备下只支持一个SSID,暂不支持多个SSID。
· 微信公众号包含服务号、订阅号、企业号,微信连wifi功能支持订阅号和服务号,目前企业号本身没有微信连wifi功能。
· 若使用订阅号进行微信认证,PC在进行微信认证的时候,由于订阅号限制,手机微信扫描PC Portal页面上的二维码会提示未注册的情况,此情况跟微信更新有关,有时候不存在此限制。
· 微信认证用户IP必须在用户识别范围中,否则无法唤醒微信;因为在微信认证用户上线之前,终端会发送一个放通流量的报文给设备,设备根据此报文的五元组来确定用户IP,若用户IP不在识别范围内,设备IP在识别范围内则会导致设备的IP被识别成用户IP,终端流量不能放通,则无法唤起微信。
· 设备上的SSID是可选配置,可以为空,如果要设置,就一定要跟微信公众上号设置的SSID保持一致,否则可能导致微信公众号提示未注册的情况。
· ACG下联设备为二层设备时,认证用户的网关不能是二层设备上的VLAN接口的IP地址,否则在ACG会出现用户MAC来回切换,一会是二层设备VLAN接口的MAC,一会是用户的真实MAC,导致不能唤起微信或认证成功后很快被踢下线。
· 微信认证支持手机扫描商户二维码自动连接SSID,有些IOS扫码后可直接根据页面提示跳转到设置里,有些IOS则需要手动进到设置中配置,此为IOS限制,一般安卓手机无此限制。
· 部分安卓手机弹出Portal页面,点击一键微信连WIFI后,页面无反应或者会有提示信息“该浏览器不支持自动跳转微信请手动打开微信”,此时请更换浏览器尝试,如果能自动跳转,则忽略提示信息。
· 不支持HTTPS。
· 自定义广告定义暂不支持ha同步,如HA切换后需要重新配置流量劫持。
· 自定义广告配置仅可由WEB界面来配置。
· 广告推送域名白名单仅支持命令行配置。
· 流量劫持广告弹出与出口网速带宽、广告过滤软件等都关,网速慢的情况下图片加载慢。
· 一个网页多个跳转后广告无法弹出原因是同一条连接发起了多个get请求只对第一个get请求作插入;302跳转的情况可以处理。
· 网站弹出广告页面显示不完全受网速等条件限制,如广告弹出较慢刷新页面或者等待页面加载完全后,广告可以显示。
· 个别网站在开启流量劫持的情况下,网页停留一段时间后,提示网页已重置(网页邮箱);这类网站会定期向服务器端发送请求报文,与流量劫持插入代码冲突,导致网页显示重置。建议,在域名白名单排除掉该网站。
· 广告Server IP务必保证全网用户可达,否则无法进行广告推送。
· 一些网站结构为frameset框架布局,主界面里包含多个其它请求,广告图片会显示多个。建议:此类网站加入域名白名单排除掉该网站。
· 广告不弹出的情况下开启debug http hijack查看HTTP请求是否匹配到流量劫持。
· 问题原因:
HA配置导入同步流程,在主墙导入配置后,配置是按照条目批量写入设备,有个时间差,此时立即删除配置,再次导入,容易造成配置不一致
· 规避方案:
1、配置不一致后,手动点击ha同步,配置发送给ha备机,备机重启后,ha状态一致(重启过程中不要操作主机)
2、导入过程中,不要立即删除配置,等导入配置并同步备机完成后,在进行操作
现象1:页面新建后页面未加载前,频繁点击新建,一段时间后页面”连接已重置“
现象2:分析类模块,页面需要请求大量数据,频繁切换,页面显示空白等待不响应
现象3:页面提示”服务器响应出错“
现象4:刷新页面后提示”无法访问网站“
问题原因:
(1)、浏览器每次进入页面,会开启一根请求进程
(2)、数据采用递归方式发起请求,直到数据获取成功后才会停止请求,在此过程中会发起很多次请求
(3)、每个请求处理完成后才会处理下一个请求
(4)、页面没响应完前,频繁操作,导致页面显示异常(浏览器的机制)
(5)、为了防止此类异常操作导致设备挂死影响正常转发业务,对web进程做了保护,此时会进行重启web进程后让页面恢复正常
综上,会出现服务器处理繁忙,部分请求响应失败,浏览器提示“服务器响应出错”的现象。
规避措施如下:访问设备页面数据加载完前不要频繁切换页面,等服务器响应完成后可以正常回显。
License即授权,指新华三技术有限公司授予用户使用特定软件功能的合法权限。
产品需要通过License授权的软件功能以及License授权的相关属性,请参见产品配套的
《H3C SecPath ACG1000系列应用控制网关License使用指南》。
H3C网站提供License的激活申请、设备授权迁移申请等功能:
有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见《H3C SecPath ACG1000系列应用控制网关License使用指南》。
· 问题现象:策略配置-URL对象-自定义URL对象,对已有自定义URL对象进行编辑时,在关联URL中加入.加空格可以提交成功,保存再次进入编辑页面,空格消失,再次提交报错,新建自定义URL对象时也会报错
· 问题产生条件:配置自定义URL对象
· 规避措施:避免使用.空格。
· 问题现象:设备存在大量数据表的情况下,导出数据统计,一直提示正在生成文件,等了很久也没完成,刷新之后也没有可以导出的文件。研发确认是数据库里数据表太多,在生成过程中已经出错停止了,页面显示正在生成,需要和日志保存期限做关联!
· 问题产生条件:设备存在大量数据表的情况下,导出数据统计
· 规避措施:无,设备长时间运行存在大量数据表的情况下才可能出现。
· 问题现象:自定义URL内容提示信息支持句号,实际配置的时候不支持此字符。
· 问题产生条件:自定义URL内容配置带“。”
· 规避措施:避免自定义URL内容配置带句号。
· 问题现象:邮件日志点击详情,无法查看附件名。
· 问题产生条件:查看邮件日志详情
· 规避措施:无;仅显示问题,影响范围较小。
· 问题现象:微信认证使用小程序认证方式,部分手机型号通过浏览器进行认证偶发性出现小程序跳转不过去。
· 问题产生条件:微信认证使用小程序认证方式
· 规避措施:通过打开无线网认证界面进行认证。
· 问题现象:终端行为管理>业务插件>在线终端,统计计数比实际的记录多1条,记录不准确。
· 问题产生条件:使用EBM终端上线。
· 规避措施:无;仅显示问题,影响范围较小。
· 问题现象:微信认证,认证方式选择小程序时,还会对认证URL认证方式下的认证步骤说明进行校验。
· 问题产生条件:认证步骤说明配置不支持字符,微信认证选择小程序。
· 规避措施:认证步骤说明配置支持的字符。
· 问题现象:软件层面版本升级时未校验硬件平台。
· 问题产生条件:升级版本
· 规避措施:请web界面升级正确的版本,若升级错误可在menboot下重新升级正确的版本。
无
· 问题现象:无线非经》厂商配置》应用关系对照表,在已存在应用关系对应配置情况下重复创建,可以直接提交,缺少判断,只能查询到默认配置的应用关系对应情况,删除时需要删除两次才能把默认的应用关系对应配置删除。
· 问题产生条件:在已存在应用关系对应配置情况下重复创建,提交后查询的还是系统默认的配置,需要删除两次才能删除系统默认配置。
· 问题现象:在线用户有0.0.0.0的在线用户展示和统计,应该过滤,不展示也不显示。
· 问题产生条件:网络中存在0.0.0.0地址的用户。
· 问题现象:钉钉认证,部分手机钉钉认证过程中,通过触发的portal 跳转钉钉页面失败,概率出现无法跳转的现象。
· 问题产生条件:手机进行钉钉认证。
· 问题现象:无硬盘设备页面修改日志保存期限提交失败。
· 问题产生条件:无硬盘设备页面修改日志保存期限。
· 问题现象:设备出现断网。
· 问题产生条件:设备配置EBM功能并长时间运行。
· 问题现象:web页面登录时,输入用户名密码验证码后双击回车键登录主页卡死。
· 问题产生条件:登录时双击回车键。
· 问题现象:配置URL阻断,使用浏览器访问阻断的URL可以访问成功。
· 问题产生条件:使用谷歌浏览器访问阻断的URL。
无
无
· 问题现象:内网资产管理由于安全加固修改,导致无硬盘设备发现资产无法入库,无资产数据。
· 问题产生条件:使用无硬盘的设备升级至R6614P04。
· 问题现象:进入到服务器管理》短信服务配置有些配置下发提交无反应,既不提示成功,也不提示失败。
· 问题产生条件:开启WAF防护,配置短信服务器。
· 问题现象:ARP/ND攻击防护中,ARP表项展示,对于mac全0的有统计,但是web页面不显示。
· 问题产生条件:构造mac全0的进行ARP攻击。
· 问题现象:数据库用户同步,配置sql查询语句为selct!@~%&^%$#@!*()_+[];'./{}:后,点击提交没反应,数据库服务器列表也显示不出来。
· 问题产生条件:数据库用户同步sql语句配置为异常字符。
· 问题现象:1、服务器管理-短信服务,网关地址,提示字符1-1024,但是实际输入1024个字符提示,输入的内容长度超过最长限制。2、服务器管理-短信服务-贝壳找房,短信内容前缀,提示输入1-31字符,实际输入32字符也可以成功保存3、服务器管理-短息服务-http协议-报文主体,参数值没有提示支持的长度,响应成功标记缺少长度以及字符校验。
· 问题产生条件:1、配置1024个字符。2、短信服务器短信内容前缀配置为32个字符。3、服务器管理http协议报文主体配置不在支持范围的长度。
· 问题现象:1、 终端自注册,注册信息提交后提示“注册信息提交成功,即可上网”,实际如果选择的是审批,需要审批后才能上网。提示不合理。2、 审批列表如果查询的用户名较长,会导致web界面排版显示异常。
· 问题产生条件:1、终端自注册配置为审批。2、审批列表查询用户名输入超过支持的字符长度的内容。
· 问题现象:1、二维码认证,访客填写用户信息较长会导致二维码展示不出来2、访客填写的用户信息为 异常字符,会导致展示出来的二维码扫描不出来。
· 问题产生条件:1、二维码认证输入的访客信息信息超出实际支持的字符。2、二维码认证访客填写的字符包含异常字符。
· 问题现象:ACG联动IMC进行portal server 进行无感知认证,在IMC侧强制下线用户,ACG 侧用户下线失败。
· 问题产生条件:ACG联动IMC进行portal server进行无感知认证,并在IMC侧强制用户下线。
无
· 问题现象:版本由于snmp存在内存泄漏,导致设备异常重启。
· 问题产生条件:网络中有snmp攻击,攻击者使用带有错误的snmp团体报文连接设备,触发设备发送大量 snmp inform(trap)报文,inform报文需要等待服务器响应,acg等待处理响应的过程不会释放内存,导致短时间大量攻击时内存存在被耗尽的情况。
· 问题现象:流量下多次点击导出用户邮件审计报表,用户上网行为次数统计报表后页面无响应,report进程异常,与xml vtysh交互无响应,同时配置丢失,只能重启恢复。
· 问题产生条件:流量下多次点击导出报表。
· 问题现象:SNMP配置中的TRAP地址检验不准确,导致输入0时,提交成功后,此处的字段不生效,且一些非法地址可以输入并配置成功。
· 问题产生条件:TRAP地址输入框检验不准确,非法输入配置成功。
· 问题现象:自定义监测地址处输入html实体字符后被反转义导致输入和显示不一致。
· 问题产生条件:自定义监测地址处输入html实体字符后被反转义。
· 问题现象:认证策略,下载的模板里面,action里的认证方式与数字序号匹配不一致。
· 问题产生条件:认证策略下载模板或导入认证策略。
· 问题现象:修改插件推送模板,系统日志记录内容有误。
· 问题产生条件:修改插件推送模板,系统日志记录内容有误。
· 问题现象:网管页面,认证配置设备注册名称长度范围和注册密码长度范围与manager上名称和密码长度范围不一致,会影响manager和设备侧对接,请统一。
· 问题产生条件:manager纳管ACG。
· 问题现象:资产识别设定页面,排除地址间用;分隔时报ipv6子网掩码范围不对,提示错误。
· 问题产生条件:资产识别设定页面,配置排除地址。
· 问题现象:黑名单页面导入较长文件名时提示不明确。
· 问题产生条件:黑名单页面导入较长文件名。
· 问题现象:经过NAT64转换的用户流量,用户实时流速挂在了目的V6地址和转换后的源V4,上下行均有统计;而用户流量统计在这两个地址上分别只了下行和上行有值,统计逻辑混乱需整改。
· 问题产生条件:用户均没有挂在原始的会话源IP上;实时统计和流量汇总统计上/下行矛盾。
· 问题现象:manager上控制日志文件控制类型日志的源端口和目的端口与设备上反了,应以设备为准。
· 问题产生条件:设备发送日志到manager。
· 问题现象:流量穿过设备且无任何NAT,微信收消息的审计日志,在manager上呈现的日志,源/目的端口和设备反了,设备端的问题。
· 问题产生条件:设备发送日志到manager。
· 问题现象:在用户自注册对象中,用户自选所属组的用户组移动后,用户组的路径未更新。
· 问题产生条件:用户组路径信息没有随用户组的变化而更新,获取的还是以前的信息。
· 问题现象:配置源NAT,控制策略,审计策略等配置,流量下反复增删源NAT,一段时间后设备重启。
· 问题产生条件:配置源NAT,控制策略,审计策略等配置,流量下反复增删源NAT。
· 问题现象:新建应用缓存,不勾选模糊匹配的情况下,对URL输入的校验存在问题导致无法下发URL配置。
· 问题产生条件:配置应用缓存。
· 问题现象:编辑包含1w条内容的URL分类“-1”,内容新增失败,新建其它URL分类也无法添加类似内容,均提示配置已存在于分类-1,实际配置并不存在;配置URL内容时设备会对部分字符做转义,导致下发内容与实际配置不符。
· 问题产生条件:编辑包含1w条内容的URL分类“-1”,内容新增失败;配置URL内容时设备会对部分字符做转义,导致下发内容与实际配置不符。
· 问题现象:在http协议的短信服务中,报文主体的参数设置,删除中间参数后,无法提交。
· 问题产生条件:配置http协议的短信服务。
· 问题现象:入侵日志未对X-Forward-For字段做校验,可构造报文进行XSS注入攻击。
· 问题产生条件:XSS注入攻击。
· 问题现象:新建SNMP用户,用户名为~时,弹出的提示信息是操作失败,错误信息不明确,请优化。
· 问题产生条件:配置SNMP用户名为~。
· 问题现象:跑脚本增删bgp配置,怀疑由于进程残留,导致无法新建发布网段,导致流量不通,严重影响使用。
· 问题产生条件:后台执行no router bgp。
· 问题现象:SSLVPN策略导出后资源配置被截断,导出内容不全;导入时长度限制为2047,导致导入策略无法引用所有资源。
· 问题产生条件:导入导出SSLVPN策略。
· 问题现象:代理策略匹配次数未做点击清零,但是可点击状态且高亮,提单优化。
· 问题产生条件:点击代理策略匹配次数。
· 问题现象:编辑SSLVPN全局配置,串口打印异常“ cp: can't stat 'mnt/syscfg.con': No such file or directory”。
· 问题产生条件:编辑SSLVPN全局配置。
· 问题现象:添加黑名单自定义时间秒数换算后的结果,换算单位与预定义不一致,展示风格与预定义不一致,不方便查看。
· 问题产生条件:查看黑名单。
· 问题现象:攻击链查询窗口处标题有误。
· 问题产生条件:查看攻击链查询窗口。
· 问题现象:新建IKE策略选择本地源端口时,接口下拉框仅可选择4094个子接口,命令行配置则可选择满规格12287子接口中的任意接口,请修改。
· 问题产生条件:命令行配置新建IKE策略。
· 问题现象:黑名单页面,页面选择每页50时,全选的启用、禁用按钮不生效。
· 问题产生条件:全选黑名单的启用、禁用按钮。
· 问题现象:安全事件分析查看数据详情的链接和日志中心查询数据的表格不一致,导致查看详情时源/目的端口、源/目的Mac显示为空,而日志中心处数据显示是原始日志完全的,请修改。
· 问题产生条件:安全事件分析查看数据详情的链接和日志中心查询数据的表格不一致。
· 问题现象:搜索关键字排名,关键字中含特殊字符,有排名结果,但点进去日志内容为空。
· 问题产生条件:搜索关键字排名。
· 问题现象:自定义url,一个条目里面配置多个对象,编辑查看发现最后多了一个回车符,会导致数量+1,满规格对象配置的时候编辑查看无法提交。
· 问题产生条件:自定义url配置多个对象。
· 问题现象:HA主备测试环境配置端口扫描任务,没有存在在执行的任务,新建的立即执行的任务不执行,同时设备出现异常重启,异常重启后重新配置端口扫描任务可以执行,设备有大量子接口和策略配置,怀疑和设备重启之前进程挂死有关,已收集异常信息同步进行确认,请优化说明!
· 问题产生条件:在没有存在在执行的任务的HA主备环境中配置立即执行的端口扫描任务。
· 问题现象:短信服务http服务,如果中间有参数空着,提交后查看和之前配置的不一样
· 问题产生条件:短信服务http服务中,中间空置一条参数。
· 问题现象:入侵防御日志有编码问题。
· 问题产生条件:查看入侵防御日志。
· 问题现象:开启应用缓存功能,配置大量接口(8000多子接口),测试仪打流,设备CPU 100%没办法访问,流量基本不通,确认是应用缓存开了之后查找本地ip,遍历所有接口导致,请修改!
· 问题产生条件:开启应用缓存功能,配置大量接口,测试仪打流。
· 问题现象:Dhcp option 43配置之后无名称记录,查看存在多个无名称的配置,保存配置重启,打印Unknown command,重启之后配置丢失,请修改!
· 问题产生条件:配置Dhcp option 43。
· 问题现象:登录页面,验证码输入中待特殊字符,登录跳转到404 - Not Found页面,请修改!
· 问题产生条件:登陆页面验证码输入特殊字符点击登录。
· 问题现象:创建弱密码扫描任务,开始日期显示星期四(实际日期),刷新一下显示星期五(日期有误),再刷新就正常了,非必现,但是每次重新创建之后刷新出现概率很高,请修改!
· 问题产生条件:创建弱密码扫描任务。
· 问题现象:R6611系列、R6612系列版本存在命令注入漏洞(CNVD-C-2022-201810、CNVD-C-2022-207904、CNVD-C-2022-239805),以及OpenSSL拒绝服务漏洞(CVE-2022-0778),同时F6613和R6614版本也涉及OpenSSL拒绝服务漏洞(CVE-2022-0778)和命令注入漏洞(CNVD-C-2022-239805)问题,请修改!
· 问题产生条件:存在相关漏洞。
· 问题现象:R6612系列版本存在命令执行漏洞(CNVD-C-2022-241034、CNVD-C-2022-220902、CNVD-C-2022-261204、CNVD-C-2022-296934),请修改!
· 问题产生条件:存在相关漏洞。
· 问题现象:策略配置-安全设置-安全防护-弱密码防护的HTTP服务参数设置中URL字段未进行url合法输入校验,与其他模块实现不一致。
· 问题产生条件:弱密码防护的HTTP服务参数设置中URL字段输入非法url。
· 问题现象:控制策略配置应用过滤-文件过滤,打ftp传输文件产生应用控制日志,没法识别行为,日志导出的行为是(null),应该是上传或下载。
· 问题产生条件:打ftp传输文件,导出产生的应用控制日志。
· 问题现象:配置满规格控制策略,删除一条后再创建一条后保存配置重启,由于再创建的策略id复用了已存在的策略id导致配置丢失。
· 问题产生条件:满规格控制策略下,删除一条再创建一条后保存配置重启。
· 问题现象:点击保存配置后开始保存的进度条展示页面,提交和取消按钮没有屏蔽,还可以点击操作,但无效。
· 问题产生条件:主页点击保存配置。
· 问题现象:接口下配置主从ipv6地址为eui-64类型后,去使能eui-64,将该地址保存为静态配置方式,主地址报冲突无法保存,从地址正常下发
· 问题产生条件:接口下配置主从ipv6地址。
· 问题现象:数据中心-统计报表-数据统计,IPS网络安全分析处显示了攻击目的Top20的数据,导出文件时设置Top值300,实际导出的文件只有Top10的数据,实现不明确,请修改。。
· 问题产生条件:导出IPS网络安全分析Top值为300的报表。
· 问题现象:导出终端日志-用户自注册日志后,串口打印Failed to identify log type. 导致该动作无法被统计到操作日志中。
· 问题产生条件:导出终端日志-用户自注册日志后,串口打印Failed to identify log type。
· 问题现象:主页-行为管理-流量分析,展示的信息不可链接跳转,但是鼠标是可点击的小手状态,请修改。
· 问题产生条件:鼠标挪移到流量分析上。
· 问题现象:数据中心-统计报表-数据统计,IPS网络安全分析处,攻击目的TOP的百分比全部显示为“INF%”,无法正常显示数据。
· 问题产生条件:查看IPS网络安全分析。
· 问题现象:配置文件较大的情况下,修改一些配置,页面保存完配置进行重启,配置没有完全保存到。主备同步配置后,备机起来仍与主设备不同。
· 问题产生条件:主备环境下导入较大的配置文件。
· 问题现象:HA环境中,用户生成ha对比的配置文件时过慢超过150s,导致主设备AAA模块被lock,主设备异常重启。
· 问题产生条件:HA环境中生成ha对比的配置文件。
· 问题现象:由于缺乏mysql数据库登录特征,导致无法审计到mysql数据库登录动作。
· 问题产生条件:特征库问题。
· 问题现象:导入用户,当excel中"绑定地址"格式错误时,设备校验失败导致一直处于“导入用户”状态,请修改。
· 问题产生条件:导入"绑定地址"格式错误的用户excel。
· 问题现象:安全日志中日志分类名称,只有“入侵日志”名称未能和功能名称统一,不完整,应该是“入侵防御日志”,请优化。
· 问题产生条件:查看安全日志日志分类名称。
· 问题现象:保存配置,设备串口打印Error: Failed to send and receive message。
· 问题产生条件:保存配置。
· 问题现象:控制策略配置文件类型过滤,在论坛回帖回复内容包含文件类型关键字时被误识别为文件并进行文件类型过滤动作处理。
· 问题产生条件:发送包含文件类型关键字的内容。
· 问题现象:用户上网行为次数统计报表页面用户上网统计数据为空。。
· 问题产生条件:查看用户上网行为次数统计报表。
· 问题现象:控制策略配置文件类型过滤,然后上传能命中过滤规则的超长名称文件,应用控制日志不更新,重启后日志显示为空。
· 问题产生条件:上传能命中过滤规则的超长名称文件。
· 问题现象:属性组下,选择用户所有页,再点击删除,会错误的将自定义的用户组删除。。
· 问题产生条件:属性组下,选择用户所有页,再点击删除。
· 问题现象:在一个用户组下,用选择全部的所有页选择,移动到用户子组下,用户子组消失,创建同名用户子组,提示已存在。
· 问题产生条件:将用户组移动到用户子组下。
· 问题现象:模板上对隔离和阻断的关联关系处理逻辑存在问题。
· 问题产生条件:配置入侵防御模板。
· 问题现象:SSLVPN模块多处导入功能存在异常,请统一修改。
· 问题产生条件:配置SSLVPN资源。
· 问题现象:监测对象处不支持属性组,请裁剪属性组子树。
· 问题产生条件:配置故障监控中心。
· 问题现象:流量下查看资产安全分析-攻击链详情,源目的端口源目的mac信息为空,原始日志数据中是有该信息的,停流后一段时间后才能查询到
· 问题产生条件:大流量背景下查看攻击链详情
· 问题现象:恶意网站访问排名和用户恶意网站审计此时统计排名,百分比皆是INF%,功能失效。
· 问题产生条件:查看意网站访问排名和用户恶意网站审计排名。
· 问题现象:审计日志-其他日志,对同一个会话有报文交互生成2条相同源目的端口号的日志,发送到manager其中一条日志的源/目的端口号必然反。
· 问题产生条件:设备外发日志到Manager。
· 问题现象:流控策略,新建线路和通道时修改带宽单位,带宽数值会变化,新建限制和惩罚通道修改带宽单位,带宽数值不会变化,实现不一样。
· 问题产生条件:配置流控策略的带宽数值。
· 问题现象:一定流量下,控制策略日志中http应用被误识别成了h.245 p2p流媒体应用。
· 问题产生条件:配置控制策略。
· 问题现象:统计报表-配置管理,新建IPS业务系统名称是非法字符~或者和其他合法字符混用,弹出的提示信息为空。
· 问题产生条件:配置IPS业务系统名称。
· 问题现象:adobe打开pdf报表,所有的“排名”,都渲染成了“排吊”。
· 问题产生条件:使用adobe打开pdf报表。
· 问题现象:Web防护-防护策略-精确访问控制,精确访问控制规则对于描述信息的校验存在问题,导致可以新增含非法字符的精确访问规则,但提交防护策略时报错,且提示信息模糊,未指出具体错误模块。
· 问题产生条件:配置精确访问控制规则。
· 问题现象:配置IP-MAC绑定,名称取最长,保存配置重启后配置丢失
· 问题产生条件:配置超长的IP-MAC绑定名称。
· 问题现象:高级防护页面,被攻击URLTOP10悬浮url显示的位置需要优化,稍微长点的url即使鼠标放在最右边,也看不到完整的url
· 问题产生条件:鼠标查看较长的url
· 问题现象:规则防护和高级防护页面,被攻击URL TOP10,后面url悬浮显示的次数不对,全部是第一条的次数。
· 问题产生条件:查看被攻击URL TOP10
· 问题现象:认证策略页面,全选当前页无法上下移动。
· 问题产生条件: 上下移动认证策略
· 问题现象:IPsec配置界面,IKE查询框须与该模块其它查询框名称保持一致。。
· 问题产生条件:使用IKE查询框
· 问题现象:入侵日志-告警规则,浏览器的分辨率是100%时,打开的标签只能显示6个,其他的4个标签被隐藏,需要调整分辨率才能看到,需优化。
· 问题产生条件:查看告警规则
· 问题现象:新建角色授权为只读的数据中心或策略配置等管理用户并登录设备,多处业务模块中,只读授权的角色管理员可以越权下载导出或删除数据配置,只读角色管理员越权。
· 问题产生条件:使用只读权限管理员登录
· 问题现象:持续配置200+个接口的ospf6,进程卡死,系统日志报无法分配内存,命令行持续报错卡住。
· 问题产生条件:配置较多子接口的ospf进程
· 问题现象:新建角色授权为“主页”的管理用户并登录设备,多处有统计的数据可以点击链接至详情,之后内容为空,若未放开访问权限请增加说明。
· 问题产生条件:使用授权主页功能的用户登录设备
· 问题现象:新建角色授权为“数据中心”的管理用户并登录设备,各模块对于“登录用户没有操作权限”弹框格式不一致,请统一。
· 问题产生条件:使用授权数据中心功能的用户登录设备
· 问题现象:配置自定义IPS规则,HTTP协议字段取X-Forward-For时,配置方式选择等于时实际实现为包含。
· 问题产生条件:配置IPS规则X-Forward-For字段
· 问题现象:在manager集中运维中,先将设备配置文件备份,再保存配置文件重启,设备提示cp: can't stat '/mnt/cert_name': No such file or directory。。
· 问题产生条件:使用manager纳管设备进行集中运维
· 问题现象:postgresql数据库的表中有带#的字段时,详细内容中的#转义有误。
· 问题产生条件:使用postgresql数据库
· 问题现象:http文件下载方向,从服务器下载到病毒文件后,日志详情归属地被错误标记到了源ip处了。
· 问题产生条件:http下载文件
· 问题现象:接口状态同步组处理聚合口逻辑问题,在没有删除接口状态同步组配置的情况下,依次删除聚合口成员口,最后一个物理口不能up。
· 问题产生条件:配置接口状态同步组
· 问题现象:安全域与接口名字一样时,先创建接口,再创建安全域会提示不允许创建;先创建安全域后创建接口,可以创建成功。
· 问题产生条件:配置安全域和接口名字一致。
· 问题现象:新建一个立即执行的弱密码扫描任务,配置刚下发在“待执行”状态时开始日期为“星期四”,任务执行后才变为实际创建时间。
· 问题产生条件:新建弱密码扫描任务
· 问题现象:背景流量下拷机反复增/删、隧道口反复引用/去应用IPsec及IKE策略,一段时间后,IPsec内存占用不释放。
· 问题产生条件:反复增删、引用IPsec的IKE策略
· 问题现象:HA环境下,配置控制策略、nat、审计策略等,打七层和四层流量匹配,主设备跑控制策略启停和保存配置脚本,一段时间后,主设备ifmd-1631 is locked,并生成nmi的core文件,主设备重启。
· 问题产生条件:大量背景流下,反复启用禁用策略
· 问题现象:禁用聚合接口,将物理口从聚合接口删除,物理口状态还是禁用。up的物理口加入到聚合接口仍然是up,实现不合理。
· 问题产生条件:禁用聚合接口
· 问题现象:控制策略、审计策略、流量控制策略等涉及VLAN匹配的地方,vlan配置边界范围和生效情况需要重新梳理,现在功能实现矛盾。
· 问题产生条件:策略处配置vlan
· 问题现象:域名类型的http代理请求,配合全局dns使用,修改dns服务器地址时,走了新的域名解析流程,未走dns缓存流程,需要修改。
· 问题产生条件:http代理配合全局dns使用
· 问题现象:Postgresql数据库使用pgadmin4客户端增删改表中的数据时,审计日志中的其他应用日志没有审计记录。
· 问题产生条件:Postgresql数据库使用pgadmin4客户端增删改表中的数据
· 问题现象:限制通道特定操作下,编辑限制通道提示“保障带宽不能大于最大带宽”,请修改!。
· 问题产生条件:配置限制通道
· 问题现象:ips模块缺少严重程度字段,有些已有字段存在歧义,请修改!。
· 问题产生条件:配置ips模块
· 问题现象:设备解析处理LDAP异常报文出错,导致设备异常重启。
· 问题产生条件:解析LDAP异常报文
· 问题现象:本地web认证界面,偶发性出现输入用户名密码后点击登录按钮没反应。经研发定位,初步定位未认证加密提交流程中加解密不对称导致。
· 问题产生条件:进行本地认证
· 问题现象:设备正常运行一段时间后,出现异常重启,导致业务中断
· 问题产生条件:设备上长时间有大量日志,占用内存较多缺少保护机制
· 问题现象:设备无法进行SSH或者Telnet登录
· 问题产生条件:设备长时间运行并受到网络攻击SSH无法登录,需要重启设备
· 问题现象:对桥口进行ARP扫描,扫描结果中ARP表项不完整
· 问题产生条件:设备物理口加入桥,对桥口配置IP并进行ARP扫描
· 问题现象:进行LDAP认证设备重启
· 问题产生条件:将两个LDAP服务器加入到同一个组里,并把用户同步到本地,开启第三方认证选择LDAP服务器,用户进行ldap认证,认证账号使用同步到本地的用户
· 问题现象:短信认证页面无法获取验证码,portal页面提示未知异常
· 问题产生条件:设备配置先配置一个错误的DNS,然后在修改为正确的DNS,进行短信认证
· 问题现象:设备运行120多天,flow内存使用率很高且不释放,导致出现业务异常中断,web页面也无法访问
· 问题产生条件:开启用户态协议栈及https弹portal,配置认证策略,认证的https请求不完整报文过设备(例如有TCP三次握手和GET等报文,但无后续RST、FIN结束报文),同时设备要长时间运行,至少要49天后才会开始内存泄漏
· 问题现象:从ACG manager管理ACG设备页面,登录失败,提示“你未登录平台禁止访问”
· 问题产生条件:ACG manager管理ACG设备页面
· 问题现象:使用绿盟漏扫扫描设备含OpenSSH 命令注入中危漏洞(CVE-2020-15778)漏洞
· 问题产生条件:使用绿盟漏扫扫描
无
· 问题现象:设备配置静态NAT或目的NAT映射,通过SNMPwalk工具无法正常读取映射设备接口流量节点oid(1.3.6.1.2.1.31.1.1.1.6.1)。
· 问题产生条件:设备做DNAT转换读取内部节点。
· 问题现象:新建自定义URL对象,里面包含200条自定义url,提交后再次点击编辑进行修改,可以添加url或者不做修改再次提交会提示达到256的规格,配置无法正常下发。
· 问题产生条件:新建自定义URL,配置200条域名提交,再次编辑不做修改或添加域名提交。
· 问题现象:使用漏洞扫描软件扫描ACG或者使用谷歌浏览器通过查看框架的源代码查看首页Jquery版本为3.3.1。
· 问题产生条件:使用漏洞扫描软件扫描ACG或者使用谷歌浏览器通过查看框架的源代码查看首页Jquery版本。
· 问题现象:漏洞扫描软件提示有中危漏洞,需要升级JQuery版本至3.5.0或者以上版本。
· 问题产生条件:使用洞扫描软件扫描ACG设备。
· 问题现象:设备重启后无法正常启动。
· 问题产生条件:手动杀死进程,产生core文件,在mnt目录下查看超出了5个core文件
· 问题现象:ACG设备执行立即同步LDAP用户,查看设备上不能同步2500个用户。
· 问题产生条件:AD服务器上配置2500个用户,设备配置ldap服务器以及AD用户同步配置,执行立即同步,查看设备同步用户数。
· 问题现象:内网环境进行ping操作有丢包。
· 问题产生条件:250M背景流+15M dns流量,设备不断新建地址对象,配置不能命中的域名,执行ping操作。
· 问题现象:在线用户处查看用户为静态绑定,该用户无流量在线时长显示为70小时,不自动下线。
· 问题产生条件:本地创建用户并配置IP地址,触发流量使用户上线后停掉流量。
· 问题现象:1、控制策略url过滤配置test2(www.zzzyjy.cn:8091)放通,访问test2无法访问。2、编辑地址对象test2时,报错配置重启。
· 问题产生条件:1、自定义url配置test2 (www.zzzyjy.cn:8091),控制策略设置url过滤规则,test2放通,拒绝所有url。访问test2 可看到无法访问。2、配置地址对象test2 为http://www.zzzyjy.cn:8091,提交后点击编辑。
· 问题现象:1、导出设备抓包文件,提示404-Not Found。2、导出配置文件,提示配置文件导出失败。
· 问题产生条件: 访问设备,导出设备抓包文件有404提示;部分已停产设备导出配置文件失败。
· 问题现象:设备重启后发现绑定的用户ip地址范围丢失,设备串口有error信息打印。
· 问题产生条件:1、新建用户test,配置主机地址为1.1.1.1。2、新建用户test1,配置地址范围1.1.1.1-1.1.1.100,排除地址1.1.1.1。3、保存配置重启即可看到现象。
· 问题现象:客户端本地认证页面输入超长密码后,设备连接不上。
· 问题产生条件:配置本地认证,测试仪打流,客户端本地认证页面输入超长密码,具体数据为复制的一篇超长txt文本内容,点击提交。
· 问题现象:第三方LDAP认证,认证策略配置自动录入,在线用户处查看只有属性组ldap用户,组织结构中无该用户。
· 问题产生条件:配置web本地认证,启用第三方LDAP认证,认证策略配置自动录入,查看在线用户组织结构显示。
· 问题现象:设备健康统计整机转发流量页面选择最近一小时,面积图呈现齿轮状。
· 问题产生条件:设备健康统计整机转发流量页面选择最近一小时。
· 问题现象:设备开启QOS相关策略,查看CPU使用率偏高。
· 问题产生条件:设备开启QOS策略,测试仪打入流量。
· 问题现象:CPU使用率过高,设备异常重启。
· 问题产生条件:现网流量200M的情况下,开启审计cpu 100%,设备低概率重启。
· 问题现象:本地认证配置中页面跳转设置为之前访问的网站,在认证时访问https的网站进行认证,但是认证完成之后不会跳转到之前访问的页面。
· 问题产生条件:开启本地认证,页面跳转设置配置为之前访问的页面
· 问题现象:设备HA主备透明模式部署,用户反馈上网卡顿丢包,终端Ping出口设备延迟有丢包。
· 问题产生条件:配置每用户限速流控策略、流量超过配置的每用户限速流量、WEB界面修改已配置的流控通道优先级
· 问题现象:设备配置流量控制策略,1.引用组织结构下两个相同名称的用户组,策略提交之后,再次点击编辑提交,只显示一个用户组;2.引用组织结构下两个相同的用户组中的一个,策略提交之后,再次点击编辑提交,然后查看并不是刚开始配置引用的那一个用户组了。
· 问题产生条件:用户组织结构中存在相同的用户组名、流量控制策略进行引用配置
· 问题现象:触发防暴力破解后,页面日志不显示,导出可以看到相应的日志。
· 问题产生条件:启用防暴力破解功能,点击服务,选中已勾选的服务,不做修改提交,查看服务选中情况;触发防暴力破解,查看日志记录情况。
· 问题现象:WEB防护策略,禁用第一条策略,启用第二条策略的网页防篡改功能,防篡改网页缓存页面无法正常显示缓存数据;导出web防护的高级防护日志,日志级别为“错误”的没有值。
· 问题产生条件:配置WEB防护策略,禁用第一条策略,启用第二条策略的网页防篡改功能,查看防篡改网页缓存页面;日志级别选择“错误”,触发WEB防护策略,导出查看WEB防护的高级防护日志。
· 问题现象:未开启解密策略的情况下,URL控制配置拒绝访问“商业”类网站,但是访问https://www.taobao.com类加密网站仍可以访问成功。
· 问题产生条件:不开启解密策略,配置拒绝的URL控制策略,可以成功访问。
· 问题现象:流量控制策略配置每IP限速,测试限速速率波动较大。
· 问题产生条件:配置流量控制策略,使用每IP限速。
· 问题现象:背景流下在较老的特征库升级到新特征库后,删除或者修改引用应用分类的控制策略,大概率出现设备异常重启。
· 问题产生条件:升级的新特征库较老特征库分类中有新增加的应用,且此分类升级前被策略进行了引用。
· 问题现象:设备配置审计、控制策略,测试仪长时间打混合应用流量,产生各种日志,在磁盘使用较高(90%以上)的情况下出现异常重启。
· 问题产生条件:大量的smtp邮件审计文件,磁盘使用率超过95%触发删除日志文件。
· 问题现象:与openldap服务器对接无法认证成功。
· 问题产生条件:开启第三方ldap认证,ldap服务器使用openldap。
· 问题现象:设备升级到R6611P01版本一直卡住不动,无法正常启动,然后再次掉电重启可正常启动。
· 问题产生条件:配置文件中带有日志相关配置项升级新版本启动。
· 问题现象:设备运行一段时间后出现了异常重启现象。
· 问题产生条件:大量现网业务长时间运行。
· 问题现象:原OpenSSL版本存在安全隐患,存在open ssl漏洞以及rsa数字证书漏洞,故升级到OpenSSL 1.0.2t版本。
· 问题产生条件:无。
· 问题现象:LDAP认证,输入错误的用户名密码之后,认证页面无响应,无提示信息。
· 问题产生条件:第三方认证选择LDAP服务器组。
· 问题现象:审计日志下任一类型日志超过50000条之后,一定操作下查询,数据显示异常。
· 问题产生条件:审计日志下任一类型日志超过50000条之后,查询后返回到第一页。
· 问题现象:IP-MAC绑定\认证策略导入功能未对异常字符校验,导入大量异常字符导致页面异常,导入少量异常字符则无法修改。
· 问题产生条件:IP-MAC绑定\认证策略导入异常字符。
· 问题现象:HA主备环境下,创建报表管理任务后通过ftp方式发送,主备设备首次会生成同名的文件,无法两个都正常发送成功。
· 问题产生条件:HA主备环境,创建报表管理任务,并通过FTP发送。
· 问题现象:审计日志查询页面下,通过SQL注入攻击查询含有大量返回项的过滤项,网页挂死,一段时间后设备狗叫重启。
· 问题产生条件:审计日志存在大量日志,查询输入’--的SQL注入攻击。
· 问题现象:配置厂商配置与场所配置并导出,修改厂商配置的对接厂商为“请选择”并提交,再导入场所配置文件,导入失败后设备重启。
· 问题产生条件:将无线非经的厂商修改为请选择,然后导入厂商配置。
· 问题现象:配置256个聚合子接口,通过pppoe协商获得IP,第253、254子接口pppoe 会话持续震荡,串口在输入任何命令后持续打印2019/08/15 02:44:11 unknown: can"t accept app socket : accept_sock 5, Too many open files,影响使用。
· 问题产生条件:配置256个聚合子接口,通过pppoe协商获得IP。
· 问题现象:HA主主环境下,流量匹配源nat、目的nat、ipv4控制策略、dns服务,打流到设备cpu100%,其中一台设备重启启。
· 问题产生条件:HA主主环境,打sip业务流量。
· 问题现象:HA主备环境下,主设备曾经切换为备有备过来的会话,配置了SNAT、dnat、GRE隧道口,打ftp、sipng、http混合流停流后,清除会话,主设备NAT模块段错误死机。
· 问题产生条件:HA主备。
· 问题现象:负载均衡->链路负载均衡,没有流量,Control Memory很高的情况下,命令行配置链路负载均衡,web界面一定操作下,设备狗叫重启。
· 问题产生条件:CLI下只配置一个接口,在页面编辑链路负载均衡策略下发。
· 问题现象:网络时断时续,后来发现对端设备上显示连接ACG的端口up/down、up/down,再登录ACG的网管地址,发现设备刚启动两分钟,也就是ACG设备异常重启了。
· 问题产生条件:开启无线非经功能,配置上报周期为5分钟,网络不好导致非经FTP上报的zip文件上传失败,而且失败累积的次数小于10次。
· 问题现象:设备HA主备透明模式部署,25/26接口配置了接口状态同步组,在开启fdb refresh enable命令后,出现将25口拔掉后,26接口不down的情况。
· 问题产生条件:HA主备透明模式部署,开启fdb refresh enable,配置接口状态同步组。
· 问题现象:设备HA主备透明模式部署,HA监控显示两端配置不相同,手动同步配置,备机启动后依然显示不相同。
· 问题产生条件:将接口加入到聚合口或桥口,然后在HA主机同步配置到备机,备机重启后加入到桥口或聚合口的物理口下会自动出现允许https访问的配置。
· 问题现象:用户上下线日志中存在大量用户下线原因为“未知”。
· 问题产生条件:imc第三方同步用户发送过来的同一IP对应用户发生改变,导致前一用户被踢出时出现下线原因显示为“未知”。
· 问题现象:将所有业务流量停止,清除所有会话后,DP内存使用率一直显示97%以上不释放。
· 问题产生条件:某接口上配置了大量的子接口,每个子接口上都配置了IP地址,然后在对端设备频繁shutdown、no shutdown所连接口,此时会造成设备物理口及其子接口频繁shutdown、no shutdown,一段时间后出现DP内存不释放的现象。
· 问题现象:无线非经上报设备资料中属性create_time有问题,出现24:07:57,导致平台报错。
· 问题产生条件:设备资料创建时间字段添加了错误的时间,导致出现上述问题,目前修改为上报时获取设备当前的时间点进行上报,不会在出现此问题。
· 问题现象:F6610及以上版本被R0304版本Manager纳管后,web界面上存在数据中心的按钮,但是不支持跳转。
· 问题产生条件:无。
· 问题现象:一定配置下,主机手动同步配置,备机重启后,两者显示配置不同。
· 问题产生条件:主机手动同步配置。
· 问题现象:在SSL VPN的资源池页面,选择多个资源后点击“导出”按钮,web页面刷新后实际无导出,也没有任何错误提示。
· 问题产生条件:选择5个左右的SSL VPN资源进行导出。
· 问题现象:在上网行为管理/证书管理/自动获取CRL页面,点击“立即获取”后,即使网络不可达无法正常获取,页面也只单纯刷新一次,无失败的提示。
· 问题产生条件:自动化获取CRL失败。
· 问题现象:web认证、单点登录认证、portal认证和免认证的用户被ACG管理员强制下线后,用户上下线日志中显示下线原因为未知。
· 问题产生条件:web认证、单点登录认证、portal认证和免认证的用户被ACG管理员强制下线败。
· 问题现象:在IPsec快速配置页面,保护网段配置选择“保护接口”,掩码空白的情况下提示“保护网段不能为空”的错误提示信息。
· 问题产生条件:在IPsec快速配置页面,保护网段配置选择“保护接口”,掩码留为空白。
· 问题现象:某惩罚通道被防共享模块引用,点删除按钮,页面没有任何提示;类似的,删除被引用的公告页面,也无提示消息。
· 问题产生条件:惩罚通道和公共页面被防共享模块引用后,点击删除按钮。
· 问题现象:ACG F6610命令行配置邮箱服务器收件地址命令行中receiver拼写错误,2、配置审计策略,out-interface下的参数显示IF_IN,参数错误应为OUT_IN。
· 问题产生条件:ACG F6610,命令行配置邮箱服务器;配置审计策略时,查看out-interface的参数显示。
· 问题现象:在静态路由配置界面,新增一条与已有配置相同目的地址,不同出接口的配置,保存无任何提示,列表页面也无显示。
· 问题产生条件:新增一条与已有配置相同目的地址,不同出接口的静态路由。
· 问题现象:FTP服务器设置密码中包含“@#”等特殊字符时,无法验证通过。
· 问题产生条件:FTP服务器设置密码中包含“@#”等特殊字符时。
· 问题现象:修改微信认证用户名为tid,非经平台收到的终端上下线日志存在异常,日志中用户名信息为openid。
· 问题产生条件:配置微信认证取tid为用户名,查看非经日志用户名内容为openid。
· 问题现象:开启混合认证移动终端使用微信认证有认证过程,但无法认证成功,切换为单独的微信认证可以成功。
· 问题产生条件:开启混合认证。
无,首次发布。
· 问题现象:radius管理员用户登录WEB界面,提示与第三方认证服务器连接失败,但是登录到设备上查看日志提示用户名或密码错误,与实际不符合。
· 问题产生条件:radius管理员登陆ACG设备。
· 问题现象:网络配置->DHCP服务器->排除范围中编辑第一条信息显示第二条信息的内容,编辑第二条信息显示第一条信息内容。
· 问题产生条件:使用DHCP排除范围地址功能。
· 问题现象:存在curl-remote buffer漏洞和openssh漏洞。
· 问题产生条件:无。
· 问题现象: LDAP+web认证测试时,有时出现设备重启。
· 问题产生条件:openldap库的私有连接connect超时。
· 问题现象:ACG中开启认证策略,接口未开启任何服务时,输入http://X.X.X.X(设备IP):8000端口可以打开ACG web认证页面。
· 问题产生条件:ACG开启认证策略,在接口未开启任何服务时,输入http://X.X.X.X(设备IP):8000。
· 问题现象:配置广告对象,需添加图片中包含特殊字符?和=时,提示图片URL格式错误。
· 问题产生条件:URL配置含有特殊字符?和=。
· 问题现象:当cpu 0核很高的时候,导致监听用户无法上线,产生大量匿名用户可以上网 。
· 问题产生条件:cpu 0核使用率将近100%。
· 问题现象:配置GRE over IPSec时,GRE隧道无法建立 。
· 问题产生条件:配置GRE VPN 隧道。
· 问题现象:设备串接进网络中,网络延迟大,丢包严重。
· 问题产生条件:网络中存在超过MTU值的非IP报文。
· 问题现象:任子行、中科新业、恒邦三家厂商的非经日志无法显示。
· 问题产生条件:使用非经功能,商场选择为任子行、中科新业、恒邦中任何一家。
· 问题现象:HA环境下,仅支持本地认证用户同步,不支持微信认证用户和短信认证用户的同步。
· 问题产生条件:HA环境下,用户认证方式为短信认证和微信认证。
· 问题现象:为兼容之前的版本,负载均衡策略中存在“应用”栏,可配置但不生效。R6609P02版本将“应用”栏置灰以避免误解。
· 问题产生条件:无。
· 问题现象:LDAP服务器只同步AD域用户的登录名,而不是通过通用名标识cn和upn区分AD域用户的显示名和登录名。
· 问题产生条件:LDAP服务器同步AD域用户。
· 问题现象:ACG认证过程中用户名称不区分大小写,导致与区分用户名大小写的LDAP服务器同步时策略无法使用。R6609P02版本默认LDAP认证时用户名称区分大小写,但可通过命令行进行修改。
· 问题产生条件:部分LDAP服务器区分用户名大小写,部分不区分。
· 问题现象:不开Https解密策略的情况下无法审计主流https网站。
· 问题产生条件:无。
· 问题现象:修改无线非经配置后小概率出现设备web界面无法访问。
· 问题产生条件:修改无线非经配置。
· 问题现象:PC访问服务器时,在TCP三次握手后会话被异常删除,导致连接断开,数据无法加载。
· 问题产生条件:无。
· 问题现象:接口同步组中的接口在频繁执行shutdown/no shutdown操作后概率性不UP。
· 问题产生条件:使用脚本频繁shutdown/no shutdown接口状态同步组中的接口。
· 问题现象:设备运行一段时间概率 性出现短信认证点击发送验证码无反应,已经认证上线的用户可以正常上网。
· 问题产生条件:设备长时间运行,CPU使用率较高时会出现php-cgi进程异常退出无法自启动导致认证异常。
· 问题现象:防共享功能,IOS11.3误识别被阻断。
· 问题产生条件:IOS11.3及以上终端使用时间戳 方式进行识别,一个终端会被识别成多个用户。
· 问题现象:设备运行一段时间后web认证界面弹不出来,手动输入认证界面的URL也无法加载认证界面。
· 问题产生条件:大量认证用户的场景中开启本地认证。
· 问题现象:开启非经功能长时间运行,硬盘使用率很高,达到95%以上后没有自动清除数据库中的非经日志。
· 问题产生条件:开启非经功能长时间运行。
· 问题现象:使用360wifi共享热点,手机上网断开后使用PC上网,审计日志中的终端类型仍然为手机。
· 问题产生条件:使用共享热点上网,多终端接入。
· 问题现象: ping down接口时页面和后台提示不一致。
· 问题产生条件:将接口shutdown,然后分别在CLI和UI上ping此接口的IP地址。
· 问题现象:四层背景流量下,新建子接口的主IP与从IP冲突后多次提交,设备异常重启。
· 问题产生条件:配置DDNS,同时创建大量子接口,子接口下主从IP冲突,然后不停的点击提交。
· 问题现象:ACG1000配置微信白名单,阻断http网页浏览之后微信无法正常发送图片。
· 问题产生条件:配置微信白名单,通过IPV4策略阻断网页浏览应用。
· 问题现象:LDAP认证慢,输入账号名密码之后需要10s左右完成认证。
· 问题产生条件:配置本地认证,认证服务器配置为LDAP。
· 问题现象:用户信息中心根据用户名查询只能查询第一页的记录,其他页的数据查询后无结果返回。
· 问题产生条件:用户信息中心根据用户名查询,查询的数据在其他页。
· 问题现象:主主组网,当HA绑定的地址探测状态是正常的情况下,设备的HA状态依然是N。
· 问题产生条件:HA环境绑定地址探测,备机地址探测不生效。
· 问题现象:创建一个密码为a1<>+=/^*:[{)的用户,无法登陆设备进行管理,并弹出空白提示框。
· 问题产生条件:创建管理员账号,密码使用特殊字符会存在转义问题。
· 问题现象: HA主备环境测试仪打新建同时回放微信流量,一段时间后出现内存泄露crash。
· 问题产生条件:开WEB认证,同时回放微信流量。
· 无
· 问题现象:两台ACG设备做HA,发现状态显示配置不同步;手动点击同步,备机重启后状态仍显示配置不同步。
· 问题产生条件:两台ACG设备开启HA功能,并手动修改备机设备的管理员密码使其主备管理员密码不一致。
· 问题现象:ACG设备有三个出口,其中一条出口配置基于应用(P2P流量)的策略路由,设备在网运行过程中不定时出现基于应用的策略路由出口流量瞬间降为零的现象,导致部分网络业务不通。
· 问题产生条件:ACG设备配置三个出口,其中一条配置基于应用的策略路由,内网访问外网产生该应用流量就会有该问题现象。
· 问题现象:clear database无法清除后台邮件日志数据。
· 问题产生条件:ACG中接收大量邮件日志,例如邮件日志占用磁盘空间50%时,执行clear database清楚数据库命令后,硬盘使用空间不会完全释放。
· 问题现象:用户绑定了两个静态MAC地址,通过csv文件导入设备,导入后发现只成功导入了一个MAC地址。
· 问题产生条件:在用户页面添加一个账号绑定三个MAC地址,导出之后,打开csv文件看有三个MAC地址,将设备原有配置删除再次导入csv文件,查看用户绑定的MAC地址只有最后一个。
· 问题现象:特定条件下设备异常重启。
· 问题产生条件:向设备打入特殊的telnet报文,概率出现重启情况。
· 问题现象:设备开启免认证和Portal认证,Portal认证可修改URl可以跳过Portal认证,进行上网。
· 问题产生条件:设备开启免认证和Portal认证,修改Portal认证的URL,手动访问free认认证的Portal页面。
· 问题现象:跨三层认证成功mac再同步时会把用户踢出。
· 问题产生条件:开启跨三层MAC地址学习,关闭MAC地址学习,用户进行认证,再开启MAC地址学习。
· 问题现象:开启QOS策略后,HTTP服务器外网下载文件速度慢。
· 问题产生条件:ACG设备桥模式部署,设备开启QOS功能,外网PC通过Http下载内网服务器资源。
· 问题现象:设备开启了SNMP功能,在遭到SNMP攻击时异常重启。
· 问题产生条件:大量SNMP报文冲击造成snmpd内存泄露。
· 问题现象:设备开启了SSH端口,在遭到SSH攻击时异常重启。
· 问题产生条件:SSH每用户登陆或不登陆都会创建一个ssh进程,所以遇到ssh攻击时,会创建大量的ssh进程,最后导致系统内存耗尽,设备重启。
· 问题现象:ACG1000设备光口shutdown后,仍然会发光,有时导致对端设备端口不能联动关闭。
· 问题产生条件:硬件在shutdown的时候,没有关光,对端设备检测到有光的情况下就是UP的。
· 问题现象:ACG1000设备开启免认证功能,使用苹果手机弹出认证界面后WiFi图标无法点亮。
· 问题产生条件:Apple用户在通过网络身份认证后,重新向APPLE服务器发起连接,由于没有域名探测机制,导致再次被设备重定向。
· 问题现象:有些情况下在menuboot下重置管理员密码,密码重置不成功。
· 问题产生条件:管理员密码忘记或者admin状态被禁用,有时在menuboot中重置不生效。
· 问题现象:IPSec穿越NAT场景下,分支结构有可能出现隧道接口down掉情况从而导致vpn业务中断。
· 问题产生条件:分支机构收到源端口号500到目的端口号4500的二阶段SA删除信息,接着又收到源端口号4500到目的端口号4500的二阶段SA删除信息。
· 问题现象:ACG断网时内存使用突增到100%,之后内存下降到15%,cpu下降到趋于0。
· 问题产生条件:当一个流很大,并且传输速率很快的时候,该问题有时出现。
· 问题现象:HA主主模式下,设备出现死机重启现象。
· 问题产生条件:HA主主模式配置下,未配置NAT功能,其中一台设备收到另外设备的同步流量中包含有NAT相关信息。
· 问题现象:访问百度网页有打不开主页的情况。
· 问题产生条件:当设备收到乱序的IP报文后,没有进行保序操作。
· 问题现象:通过mib browser读取设备相关mib节点信息,无法获取到设备的版本信息。
· 问题产生条件:开启SNMP,在mib browser中导入设备对应的mib库。
· 问题现象:通过漏扫设备对ACG设备进行漏洞扫描,发现OpenSSH存在漏洞;
· 问题产生条件:对设备进行漏洞扫描。
· 问题现象:对某些iMC用户,用户信息中心和在线用户管理显示的所属组不一致。
· 问题产生条件:用户登陆成功后注销下线,下线后在iMC上修改该用户用户组名称,修改后再次登录上线。
· 问题现象:客户端通过ACG的目的NAT访问内网FTP服务数据连接不通(FTP服务器端口为21,目的NAT配置为非21转换为21),FTP被动模式访问。
· 问题产生条件:FTP客户端通过被动模式连接映射后的服务器和端口。
· 问题现象:与MSR等硬件设备对接光口不亮。
· 问题产生条件:MSR等设备对接。
· 问题现象:PC的分辨率是1024*760或者更低就被错误识别成移动端,导致认证不成功。
· 问题产生条件:PC分辨率为1024*760。
· 问题现象:无法在Web和CLI中查看SN序列号。
· 问题产生条件:升级到R6606P01版本。
· 问题现象:迅雷误识别。
· 问题产生条件:使用迅雷下载并阻断。
· 问题现象:用户信息中心显示用户组与在线用户组显示组别不一致。
· 问题产生条件:使用iMC同步用户认证。
· 问题现象:微信认证跳转URL有误问题。
· 问题产生条件:客户从demo版本升级到新版本后使用微信跳转页面。
· 问题现象:无法认证成功,点击登录按钮重新弹出认证界面。
· 问题产生条件:开启强制登录间隔后。
· 问题现象:防共享误识别。
· 问题产生条件:客户针对防共享识别率测试 。
· 问题现象:认证点击提交按钮无反映。
· 问题产生条件:IOS设备进行本地Web认证。
· 问题现象:页面一直显示加载中。
· 问题产生条件:使用审计用户登录,IPsec快速配置后提交。
· 问题现象:页面未提示无权限。
· 问题产生条件:审计用户登录,系统维护下的信息收集,点击删除按钮,弹出提示框后点击确定。
· 问题现象:页面未提示无权限。
· 问题产生条件:使用审计用户登录,SSL VPN监控下的清除按钮。
· 问题现象:微信认证二维码图片预览显示异常。
· 问题产生条件:微信认证预览功能开启HTTPS未开启HTTP的情况下。
· 问题现象:访问加入白名单的URL会出现不能访问。
· 问题产生条件:添加URL白名单。
· 问题现象:PPPoE拨号成功状态下掉线,无法自动重连PPPoE。
· 问题产生条件:PPPoE服务器发送报文异常,致不能重新拨号。
· 问题现象:无法删除带空格的用户。
· 问题产生条件:配置文件导入时用户名带空格。
· 问题现象:显示异常,无法显示完全。点击操作打开之后为空白,并且无法删除此用户。
· 问题产生条件:本地用户导入操作时,用户名超过10个字符导致。
· 问题现象:设备不断重启。
· 问题产生条件:接口接收缺少字节的异常报文,导致设备重启。
· 问题现象:在系统信息和命令行查看设备型号,字符k显示小写。
· 问题产生条件:这个问题是由于没注意字符大小些导致的。
· 问题现象:非认证用户用户IP冻结功能不生效。
· 问题产生条件:目前冻结动作冻结的是用户,然后匿名用户没有用户名,所以导致无法冻结匿名用户。
· 问题现象:用户被禁用后配置被清空。
· 问题产生条件:这个问题是 由于源码设计不易用导致的,具体原因为在禁用时后台会将该用户信息清楚仅保留用户名称。
· 问题现象:App缓存,上传大量文件,包含一些大文件,清除配置重启设备,webui上显示文件删除,其实后端仍占用存储空间,需要进入后才能清理。
· 问题产生条件:进行erase 清除配置时,只是清除了配置信息,并没有对文件进行清除,所以导致bug中问题。
· 问题现象:HA主主,配置同步session,其中一台设备上线,另外一台设备不实时同步。
· 问题产生条件:用户同步时,状态检查错误,造成同步用户的ipc被deny掉。
· 问题现象:最近一天横轴显示时间点间隔不是整2小时,前后会差几分钟。
· 问题产生条件:在挂载定时器时,为了减少地址器的误差,减了一部分误差产生的时间,实际不需要。
· 问题现象:设备向网管端注册,注册地址为0.0.0.0。
· 问题产生条件:设备自动注册,源IP地址获取方式有点问题,不是从socket获取的,而是通过查路由得到,某些情况下会出问题。
· 问题现象:配置基于优先级的负载均衡(未开启会话保持),其中某个接口不配置带宽, 修改策略为基于带宽,策略仍然生效。
· 问题产生条件:基于带宽比的负载均衡策略,如果组下有未配置带宽的接口,则该负载均衡组不会生效。而对于策略为优先级的负载均衡组,则没有该要求。
· 问题现象:测试仪打流,静态绑定的MAC用户,流停止后,40分钟后,绑定MAC的用户老化后,无下线日志。
· 问题产生条件:用户超时下线时,会先做一些清理动作,其中就有识别结果recog与它所属的用户解绑定,将识别结果中的。
用户置空,然后会发下线日志。发日志时需要用到识别结果中的用户信息,但是在之前已将用户置空,所以未能发送日志;
· 问题现象:三权模式下,当已经存在用户名为test的系统管理员账号时,把另一个账号管理员修改为test的用户名,修改成功。
· 问题产生条件:针对新修改的用户名称没有进行重名判断,所以导致bug中问题;
· 问题现象:ACG审计邮件时,使用QQ邮箱发送邮件,邮件接收者地址有单数的反斜杠且反斜杠刚好在第1024个字符时设备重启。
· 问题产生条件:当使用QQ发邮件时,邮件接收者地址有单数反斜杠且反斜杠刚好在第1024个字符时导致。
· 问题现象:系统信息收集导出后查看配置信息,路由信息无法显示。
· 问题产生条件:信息导出,路由部分为show 而非dispaly。
· 问题现象:当在线用户同步显示IPv4及IPv6地址时,冻结v6地址无法生效。
· 问题产生条件:由于用户冻结实现只对v4地址冻结,未对用户做处理。
· 问题现象:DHCP排除范围地址段提交错误报错后为新建,易用性较差。
· 问题产生条件:由于重新提交错误地址,前台未与后台交互,先行在前台创建用户下发后台;
· 问题现象:上传同一URL不同文件的app缓存,显示剩余存储空间不正确。
· 问题产生条件:后台文件存储为同一文件,导致文件覆盖。
· 问题现象:新建管理IP,操作日志为modify。
· 问题产生条件:后台没有对应新建管理IP日志。
· 问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。
· 问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。
· 问题现象:配置P2P下载、流媒体策略拒绝后,网页上无法查看百度文库PPT和豆丁网内容。
· 问题产生条件:流媒体预定义组中包含了flash特征,致使配置流媒体阻断策略后无法访问PPT等内容。
· 问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。
· 问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。
· 问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。
· 问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。
· 问题现象:ACG接收iMC下发的用户信息后,ACG会在17、8个小时会自动将该用户强制下线。
· 问题产生条件:设备端未对iMC推送的用户类型做特殊控制,致使iMC下发的用户在线时长是默认值,超出默认值后设备将会对该用户进行强制下线操作。
· 问题现象:设备中存在本地认证配置的背景下,用户使用迅雷在某些特殊的服务器上进行下载。将该在用户本地认证的状态下强制下线,迅雷仍可下载。
· 问题产生条件:本地认证用户下线后,ACG会清除该用户的所有会话。但公网上的某些迅雷服务器会主动向内网建立会话,这些由外到内的报文没有匹配到用户策略而直接放行。
· 问题现象:使用微信认证策略,向已关注的公众号中发送关键字。收到的回复信息时间较长。
· 问题产生条件:微信V6.1版本发送关键字时,某些报文使用非80、8080端口。设备端收到非80、8080端口的报文会进行重传。重传次数较多,导致发送关键字延迟大。
· 问题现象:新建和编辑用户类型为静态绑定IP,提交后类型显示为空。
· 问题产生条件:新建和编辑用户类型前后台参数不一致导致,后台对前端配置的参数不识别。出现配置为空的现象。
· 问题现象:正常配置自定义Portal页面功能,完成后使用IE9浏览器进行本地认证。输入用户名、密码后点击登录按钮无反应。
· 问题产生条件:IE9浏览器对JS调试代码的不兼容导致在该浏览器下认证异常。
· 问题现象:用户配置不允许修改密码,自定义Portal界面仍然出现修改密码按钮,能够进行修改密码操作。
· 问题产生条件:自定义认证界面未判断用户修改密码的参数,导致问题的产生。
· 问题现象:创建IPv4策略,在此策略中添加20条以上的应用审计策略。点击策略的展开按钮(按钮在ID后面有颜色的方块处),翻页查看应用审计策略时,第二页仍显示第一页的审计策略,第三页、第四页也是相同的情况。
· 问题产生条件:因Web中的策略索引信息没有上传到CP,导致查看应用审计策略分页显示失效。
· 问题现象:开启应用识别后新建性能比未开启下降约70%。
· 问题产生条件:开启应用识别后测试新建性能与未开启做比对。
· 问题现象:曾引用的RADIUS组可以被删除。
· 问题产生条件:RADIUS组在被引用后做修改为不再引用,再对该RADIUS组执行删除动作。
· 问题现象:接口为非PPPoE接口仍可被策略路由引用,导致路由失效。
· 问题产生条件:接口为PPPoE接口被策略路由引用,修改为物理接口后该路由仍可引用该接口。
· 问题现象:本地始发ping从等价路由转发有丢包。
· 问题产生条件:新建两条等价路由,ping包从本地始发,指定本地IP为源ping对端环回口时会一通、一不通的回显。
· 问题现象:策略路由仅可选则单个应用无法选择应用组。
· 问题产生条件:策略路由仅可选择单个应用,无法选择类似“P2P下载”这类应用组。
· 问题现象:管理设备后缀为/webui/?g=main登录框显示为3个。
· 问题产生条件:管理IP后缀为/webui/?g=main。
· 问题现象:RADIUS认证限制用户登录数为2,3个用户认证登录均可成功。
· 问题产生条件:第三方用户由于没有添加登陆限制,导致该用户登录数无效。
· 问题现象:微信认证时,当跳转URL中同时含有host和path字段时,认证失败。
· 问题现象:配置本地认证用户并禁止该用户修改密码,使用创建的用户认证,认证成功后刷新计时页面就会出现修改密码按钮。
· 问题产生条件:刷新页面同时,如果用户已登录会发送keepalive请求,但keepalive接口里未增加是否允许修改密码的属性。
· 问题现象:ACG与iMC做联动Portal认证,设备重启后,显示iMC服务器上用户仍然在线。
· 问题产生条件:ACG与iMC做联动Portal认证,用户已经认证成功,可正常使用网络,设备重启,显示设备认证用户已下线,但iMC服务器上显示认证用户仍在线。
· 问题现象:Portal Server端用户未下线,导致再次上线时失败。
· 问题产生条件:ACG与iMC做联动Portal认证,用户已经认证成功后,iMC强制用户下线,ACG未同步下线报文给Portal Server,导致下一次用户上线将无法成功。
· 问题现象:用户处于root组内,而没有归属于正确的用户组内。
· 问题产生条件:用户下线后在短时间内(大概五分钟)再次上线时,ACG1000上查看在线用户时,用户处于root组下,而没有归属于正确的用户组内。
· 问题现象:用户处于root组内,而没有归属于正确的用户组内。
· 问题产生条件:用户下线后在短时间内(大概五分钟)再次上线时,ACG1000上查看在线用户时,用户处于root组下,而没有归属于正确的用户组内。
· 问题现象:iMC联动认证时,在认证页面输入错误的密码,认证不成功,提示“设备拒绝请求”,而不是“密码错误”。
· 问题产生条件: iMC联动认证时,在认证页面输入错误的密码。
· 问题现象:当请求方向报文不经过ACG转发,而响应报文通过ACG转发时,默认ACG会将SYN ACK报文丢弃,导致业务不通。
· 问题产生条件: iMC联动认证时,请求方向报文和响应报文转发路径不一致导致。
· 问题现象:当配置本地认证用户策略,多用户使用同一个用户登录时,如某个用户更改当前用户密码后其他用户均无法使用该用户登录。
· 问题产生条件:配置本地认证用户策略时,未对是否修改密码选项进行控制。
· 问题现象:开启本地Web认证功能后,CPU core0利用率达到100%。
· 问题产生条件:开启本地Web认证功能,并发30个以上的认证用户。
· 问题现象:开启审计所有模块审计功能后,CPU core0利用率达到100%。
· 问题产生条件:开启所有模块的审计功能并记录到本地数据库,按照产品规格打入背景流量。
· 问题现象:本地Web认证成功后,页面不再跳转到配置的URL页面。
· 问题产生条件:本地Web认证成功后修改密码。
· 问题现象:本地Web认证密码存放在第三方RADIUS服务器上,认证时设备异常重启
· 问题产生条件:进行本地Web认证时将用户名密码存放在第三方服务器上,认证时输入错误的用户名和密码。
· 问题现象:流量监控统计有偏差。
· 问题产生条件:某种应用的连接长时间保持或存在跨天的情况;在应用的连接断开之前,无法看到该业务的流量统计,流量监控统计有偏差。
· 问题现象:被拒绝的应用连接仍统计少量流量。
· 问题产生条件:被IPv4策略拒绝的流量在流量排名界面上仍然能够查看到少量流量。流量匹配到动作为阻断的IPv4策略,产生的流量阻断会话包含部分流量。
· 问题现象:无法看到部分特殊应用的流量统计信息。
· 问题产生条件:应用连接维持时间小于1秒时,无法统计该类应用流量。
· 问题现象:首页流量统计存在偏差。
· 问题产生条件:应用连接保持时间小于10秒,首页流量统计存在偏差。
· 问题现象:配置IPv6隧道时,无法在页面中直接修改。
· 问题产生条件:配置IPv6隧道时,使用地址或接口方式配置产生错误后,无法在页面中直接修改。
· 问题现象:在用户组中添加大量用户时,用户选择框被清空。
· 问题产生条件:用户组添加用户数最大为1024,当添加超过1024个用户到用户组时,会导致成员选择框被清空。
· 问题现象:创建与匹配关键字对象时大小写区分实现不一致。
· 问题产生条件:用户组添加用户数最大为1024,当添加超过1024个用户到用户组时,会导致成员选择框被清空。
· 问题现象:用户认证通过以后定时被设备踢下线。
· 问题产生条件:用户通过iMC做认证,ACG做为Portal设备,用户认证成功以后会定期被ACG踢下线。
· 问题现象:在iMC踢出用户不生效
· 问题产生条件:ACG与iMC做联动Portal认证时,在iMC上踢出用户,ACG上并未踢出用户,用户仍在线,可正常通信。
· 问题现象:ACG与iMC做联动Portal认证,iMC上用户在线时长全部为0。
· 问题产生条件:ACG与iMC做联动Portal认证,用户已经认证成功,可正常使用网络,但是在线时长信息有误,全部为0。
· 问题现象:ACG上提出用户无法再次认证,重复登录后才能认证。
· 问题产生条件:在ACG上踢出用户后,如果再重新打开页面认证,会出现“Portal认证失败,该用户正在认证中,请稍后重试。”,需要重新上线二三次才可以正常上线。
首次发布,无问题列表。
您可以通过访问如下链接获取帮助:
· 请访问网址http://www.h3c.com/cn/Technical_Documents ,选择产品类型和产品型号,在“诊断维护”分类下查询相关案例。
· 请访问知了社区网址https://zhiliao.h3c.com/,输入产品型号或功能关键字,搜索相关案例。
· H3C SecPath ACG1000系列应用控制网关 快速安装指南
· H3C SecPath ACG10X0[BX00]系列应用控制网关 快速安装指南
· H3C SecPath ACG1000-X[AK2X0][AK2X5]系列应用控制网关 快速安装指南
· H3C SecPath ACG1000-C9000系列应用控制网关 快速安装指南
· H3C SecPath ACG1000系列应用控制网关 安装指导
· H3C SecPath ACG1000系列应用控制网关 License使用指南
· H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6614)
· H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6614)
· H3C SecPath ACG1000系列应用控制网关 命令参考(R6614)
· H3C SecPath ACG1000系列应用控制网关 配置指导(R6614)
您可以通过H3C网站(www.h3c.com)获取最新的产品资料:
(1) 请访问网址:http://www.h3c.com/cn/Technical_Documents;
(2) 选择产品类别和产品型号,即可查询和下载与该产品相关的手册。
用户支持邮箱:service@h3c.com
技术支持热线电话:400-810-0504(手机、固话均可拨打)
项目 | SecPath ACG1000-AK230 | SecPath ACG1000-AK240 | SecPath ACG1000-AK250 | SecPath ACG1000-AK260 | SecPath ACG1000-AK270 | SecPath ACG1000-AK280 |
管理接口 | 任一业务接口 | 任一业务接口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 |
业务接口 | 4GE(Combo)+10GE(电) | 4GE(Combo)+10GE(电) | 12GE+12SPF | 12GE+12SPF | 12GE+12SPF | 12GE+12SPF+2XFP |
BYPASS接口 | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) |
扩展槽 | 2 | 2 | 1 | 1 | 1 | 1 |
接口模块 | 无 | 无 | 无 | 无 | 无 | 无 |
PoE供电接口 | 无 | 支持8个口POE | 无 | 无 | 无 | 无 |
尺寸(长×高×深/mm) | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*300mm |
额定功率 | 25W | 120W(POE)+25W | 60W*2 | 60W*2 | 60W*2 | 60W*2 |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 4.7KG | 5.1KG | 5.1KG | 5.1KG | 5.1KG | 5.1KG |
项目 | ACG1000-SE-PWR | ACG1000-SE | ACG1030-X1 | ACG1050-X1 |
管理接口 | 任一业务接口 | 任一业务接口 | 任一业务接口 | 任一业务接口 |
业务接口 | 4GE(Combo)+10GE(电) | 4GE(Combo)+10GE(电) | 4GE(Combo)+10GE(电) | 4GE(Combo)+10GE(电) |
BYPASS接口 | ge0、ge1支持断电bypass | ge0、ge1支持断电bypass | ge0、ge1支持断电bypass | ge0、ge1支持断电bypass |
扩展槽 | 无 | 无 | 1 | 1 |
接口模块 | 无 | 无 | 无 | 无 |
PoE供电接口 | 支持8口POE Port 6-13支持POE | 无 | 无 | 支持8口POE Port 6-13支持POE |
尺寸(长×高×深/mm) | 440*44*263 | 440*44*263 | 440*44*263 | 440*44*263 |
额定功率 | 25W+120W(POE) | 25W | 25W | 125W+25W |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 3.1KG | 2.9KG | 2.9KG | 3.1KG |
项目 | ACG1000-TE | ACG1000-ME | ACG1060-X1 | ACG1070-X1 | ACG1000-AE | ACG1000-PE | ACG1000-EE | ACG1000-XE1 |
管理接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 |
业务接口 | 12GE(光)+12GE(电) | 12GE(光)+12GE(电) | 12GE(光)+12GE(电) | 12GE(光)+12GE(电) | 12GE(光)+12GE(电)+2万兆 | 12GE(光)+12GE(电)+4万兆 | 12GE(光)+12GE(电)+4万兆 | 12GE(光)+12GE(电)+8万兆 |
BYPASS接口 | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持2对bypass(GE0和GE1、GE2和GE3) | 支持2对bypass(GE0和GE1、GE2和GE3) | 支持2对bypass(GE0和GE1、GE2和GE3) |
扩展槽 | 无 | 无 | 无 | 无 | 1 | 无 | 无 | 无 |
接口模块 | 无 | 无 | 无 | 无 | 无 | 无 | 无 | 无 |
PoE供电接口 | 无 | 无 | 无 | 无 | 无 | 无 | 无 | 无 |
尺寸(长×高×深/mm) | 440*44*263 | 440*44*263 | 440*44*263 | 440*44*263 | 440*86*300 | 440*86*415 | 440*86*415 | 440*86*415 |
额定功率 | 120W | 120W | 120W | 120W | 120W | 300W | 300W | 300W |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 3.85kg | 3.85kg | 3.85kg | 3.85kg | 5.2kg | 8.2kg | 8.2kg | 8.2kg |
项目 | ACG1000- C9130 | ACG1000- C9150 | ACG1000- C9160 | ACG1000- C9170 |
管理接口 | 任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 |
业务接口 | 4GE(Combo)+10GE(电) | 12GE(光)+12GE(电) | 12GE(光)+12GE(电) | 12GE(光)+12GE(电)+2万兆 |
BYPASS接口 | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) |
扩展槽 | 1TF卡扩展 | 无 | 无 | 1 |
接口模块 | 无 | 无 | 无 | 无 |
PoE供电接口 | 无 | 无 | 无 | 无 |
尺寸(长×高×深/mm) | 440*44*263 | 440*44*263 | 440*44*263 | 440*86*300 |
额定功率 | 25W | 120W | 120W | 120W |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 2.9kg | 3.85kg | 3.85kg | 5.2kg |
项目 | ACG1000-AK215 | ACG1000-AK225 | ACG1000-AK255 | ACG1000-AK265 | ACG1000-AK275 | ACG1000-AK285 |
管理接口 | 任一业务接口 | 任一业务接口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 |
业务接口 | 10GE(电) | 10GE+1SFP | 12GE+12SPF | 12GE+12SPF | 12GE+12SPF | 12*GE+12*SPF+4*SFP+ |
BYPASS接口 | 无 | 无 | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持2对GE口(GE0和GE1;GE2和GE3) |
扩展槽 | 2 | 2 | 1 | 1 | 1 | 无 |
接口模块 | 无 | 无 | 无 | 无 | 无 | 无 |
PoE供电接口 | 无 | 支持4个口POE | 无 | 无 | 无 | 无 |
尺寸(长×高×深/mm) | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*415mm |
额定功率 | 25W | 60W(POE)+25W | 60W*2 | 60W*2 | 60W*2 | 300W |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 4.5KG | 4.5KG | 5.1KG | 5.1KG | 5.1KG | 8.2KG |
项目 | ACG1000-AI-10 | ACG1000-AI-30 | ACG1000-AK2010 |
管理接口 | 任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 |
业务接口 | 8GE(电) | 8GE(Combo)+24GE(电)+2万兆光 | 8GE(电) |
BYPASS接口 | 无 | 无 | 无 |
扩展槽 | 0 | 0 | 0 |
接口模块 | 无 | 无 | 无 |
PoE供电接口 | 无 | 无 | 无 |
尺寸(长×高×深/mm) | 330*230*43.6mm | 440*360*43.6mm | 330*230*43.6mm |
最大功耗 | 20W | 48W | 120W |
电源 | 100V~240V;50/60Hz;1.0A | 100V~240V;50/60Hz;2.0A | 100V~240V;50/60Hz;1.0A |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 2.8Kg | 3.7Kg | 2.8Kg |
项目 | ACG1000-ME-G | ACG1000-AE-G |
管理接口 | 任一业务接口 | 任一业务接口 |
业务接口 | 6GE(电)+4GE(光) | 6GE(电)+4GE(光) |
BYPASS接口 | 无 | 无 |
扩展槽 | 3 | 3 |
扩展槽类型 | 9803A080(NS-NIM-TG4C)、9803A082(NS-NIM-GT8B)、9803A084(NS-NIM-GP8B) | 9803A080(NS-NIM-TG4C)、9803A082(NS-NIM-GT8B)、9803A084(NS-NIM-GP8B) |
PoE供电接口 | 无 | 无 |
尺寸(长×高×深/mm) | 440*438*44.2 | 440*438*44.2 |
最大功耗 | 108.4w | 108.4w |
电源 | 100V~240V;50/60Hz;4A | 100V~240V;50/60Hz;4A |
可靠性 | ≥100,000小时 | ≥100,000小时 |
重量 | 5.64Kg | 5.64Kg |
项目 | SecPath ACG1000-AK9201 | SecPath ACG1000-AK9203 | SecPath ACG1000-AK9205 | SecPath ACG1000-AK9210 |
管理接口 | 任一业务接口 | 任一业务接口 | mgt0 | mgt0 |
业务接口 | 8个千兆电接口,2个Combo接口,2个Bypass接口 | 8个千兆电接口,2个Combo接口,2个Bypass接口 | 18个电口,4个bypass电口,8Combo口,2个万兆SFP+ | 18个电口,4个bypass电口,8Combo口,2个万兆SFP+ |
BYPASS接口 | 2个 | 2个 | 4个 | 4个 |
扩展槽 | 无 | 无 | 无 | 无 |
接口模块 | 无 | 无 | 无 | 无 |
PoE供电接口 | 无 | 无 | 无 | 无 |
尺寸(长×高×深/mm) | 440*230*44mm | 440*230*44mm | 440*360*43.6mm | 440*360*43.6mm |
额定功率 | 30W | 30W | 48W | 48W |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 3Kg | 3Kg | 3.7Kg | 3.7Kg |
(1) 使用管理员账户登录设备命令行
(2) 全局配置下执行display hardware info命令,查看当前设备Memory大小
H3C# display hardware info
hardware info:
------------------------------------------------------------------------
Hardware Version: NCNFXX_V110
POWER 1 : abnormal
POWER 2 : normal
HW Platform: SAPL_CN71XX_NC03
cpu info: CUST_SAPL_NC03 (CN7130p1.2-1500-AAP)
cpu MHz: 1500.0MHz
HW Boot is soft restart
Memory: 4096M
Flash: 3.63G
Disk: 961G
CPU Num: 4
功能 | 子功能 | 描述 |
系统组成 | 架构设计 | 支持cavium多核架构设计; |
系统组件 | 支持集中管理中心(行为管理 manager)和设备(行为管理)分离的架构,一个管理中心可以管理单台或者多台设备 | |
组网部署 | 路由模式 | 支持路由模式接入网络,主要覆盖网关转发,网关出口场景 |
透明模式 | 支持透明网桥模式接入网络,主要覆盖串行接入网络,不影响客户网络接入。 | |
旁路模式 | 支持旁路模式,无需更改网络配置,实现上网行为审计,覆盖核心交换流量镜像,设备接收审计。 | |
支持多路监听 | ||
混合模式 | 支持透明、混合(透明+路由)、支持多路桥接功能、一路桥接中可以支持多个接口,以上三种接入方式可以混合接入。 | |
Web管理 | Web浏览器支持 | IE9-IE11、Chrome53版本及以上、Firefox58版本及以上Edge。 |
目录树 | 横向导航一级目录 | 主页、数据中心、策略配置、用户管理、网络配置、系统管理 |
授权提醒 | 授权提醒 | 支持自定义授权提醒时间 |
硬件资源展示信息优化 | 硬件资源展示信息优化 | 增加磁盘的详细信息展示功能,增加磁盘有无的判断 |
首页设置 | 首页设置 | 管理员可根据需要设置首页的哪些模块开启展示 |
系统告警 | 系统告警 | 显示系统最近的10条告警信息 |
配置保存 | 配置保存 | 点击保存设备配置 |
锁定会话 | 锁定会话 | 管理员可通过设定密码来锁定/解锁当前WEBUI上的交互会话 |
管理员修改密码 | 管理员修改密码 | 完成设备的管理员密码修改 |
管理员退出 | 管理员退出 | 点击退出管理员 |
行为管理 | 在线用户 | 统计通过行为管理设备的用户数,由认证用户和匿名用户两个维度组成 |
点击用户数支持跳转到对应在线用户功能页面 | ||
审计日志 | 实时统计系统产生的审计日志条数,包含:IM聊天;邮件收发;社区论坛;文件传输;引擎搜索;股票娱乐;网站访问;其他 | |
点击审计日志条目数支持跳转到对应审计日志功能页面 | ||
流量分析 | 展示系统前两条流控通道的配置值和实时值,根据相关算法得出目前系统链路状态 | |
点击链路状态支持跳转到对应的流控配置功能页面 | ||
违规用户数 | 统计策略违规、共享终端违规、限额违规等触发的用户数 | |
点击支持跳转到对应的功能页面 | ||
系统信息 | 设备信息 | 显示软件S/N;硬件S/N;主机名称;产品型号;系统版本;系统时间;运行时间、云维护、授权区域、离线使用说明 |
主机名称支持编辑 | ||
授权信息 | 显示APP版本信息;IPS版本信息;AV版本信息;无线非经版本信息;Web防护版本信息 | |
HA状态信息 | 显示HA模式;HA通信接口;本地设备状态;対端设备状态 | |
系统资源 | 系统信息 | 默认显示CPU;内存;硬盘的实时数据 |
通过设置可以显示CPU;内存;硬盘的使用趋势图 | ||
接口状态 | 接口状态 | 默认显示系统所有接口的状态信息 |
信息包含:接口;IP地址;IPv6地址;工作模式;发送速率;接口速率 | ||
通过设置可以仅显示连接接口或未连接接口 | ||
实时流量 | 实时流量 | 模式显示整机的转发流量 |
通过设置可以显示任意接口的实时转发流量趋势图 | ||
用户流量 | 用户流量 | 默认显示用户实时流量,包含上行和下行 |
通过设置可以完成用户列表方式显示 | ||
默认显示top20的用户 | ||
相关信息包含:用户;用户组;上行;下行;总转发流速 | ||
应用流量 | 应用流量 | 默认显示top20应用的实时应用 |
默认使用热度图方式显示,可以设置显示列表方式 | ||
相关内容包含:应用类型;上行;下行;总转发流速;百分比 | ||
点击支持跳转到对应应用的监控页面 | ||
系统日志 | 系统日志 | 显示系统日志 |
审计日志 | 审计日志 | 显示系统产品的审计日志,包含:IM聊天;邮件收发;文件传输;搜索引擎 |
入侵防御 | 入侵防御 | 显示系统入侵防御分析功能 |
默认首页不开启显示该模块 | ||
攻击趋势 | 攻击趋势 | 显示系统攻击趋势分析功能 |
默认首页不开启显示该模块 | ||
威胁日志 | 威胁日志 | 显示入侵防御日志、病毒防护日志、安全防护日志 |
默认首页不开启显示该模块 | ||
会话数 | 会话数 | 显示当前设备的会话数和新增会话数 |
默认首页不开启显示该模块 | ||
系统监控 | 在线用户 | 支持管理员在线监控和强制下线 |
通过系统树形结构显示系统所有在线用户 | ||
显示用户名;所属组;IP地址;认证方式;终端类型;登录时间;在线时长;状态;操作 | ||
支持查询功能 | ||
支持多选批量操作 | ||
接口状态 | 支持查询功能 | |
接口统计计数清除、刷新 | ||
接口状态:名称、链路状态、属性、工作速率、双工模式、IP地址、IPv6地址、接收速率、发送速率、接收总包数、接收总字节数、发送总包数、发送总字节数、MAC地址 | ||
黑名单记录 | 支持通过IP/域名/MAC和生命周期新建黑名单信息 | |
记录新建的黑名单信息:启用状态;IP/域名/MAC;生命周期;剩余时间;生效时间;添加方式;状态;操作 | ||
支持黑名单记录的导入、导出、下载模板 | ||
黑名单导入可以选择对原有数据进行覆盖或跳过,导出的格式为CSV | ||
支持黑名单记录的启用、禁用 | ||
支持黑名单的查询(基于IP/域名/MAC、添加方式以及生效时间范围) | ||
记录生成的黑名单信息:启用状态、IP/域名/MAC;生命周期;剩余时间;生效时间;添加方式;状态、操作、查询 | ||
支持IPv6地址的黑名单 | ||
SSL VPN在线用户 | 显示SSL VPN客户端接入的用户状态 | |
显示用户名称;源IP;源端口;虚拟IP;发送字节数;接收字节数;登录时间;在线时长;状态;操作 | ||
支持针对某一用户或某些用户冻结和强制注销 | ||
支持查询功能 | ||
实时流速监控 | 统计用户的实时流速以及连接数 | |
显示用户名;用户组;上行速率;下行速率;总速率;当前会话数 | ||
统计应用的实时流速以及连接数 | ||
显示应用名;上行速率;下行速率;总速率;当前会话数 | ||
支持查询功能 | ||
内网资产管理 | 主动监控网络的虚拟资产信息 | |
资产的新建(资产IP、资产描述、用户、部门、重要度、操作系统) | ||
资产的导入、导出,导入支持对原有资产进行覆盖或者跳过,导出文件格式CSV | ||
资产配置的查询(资产IP、资产描述、用户、部门、重要度、操作系统、可用服务、状态、来源、服务标识) | ||
支持IPv6资产识别 | ||
资产识别的开启关闭 | ||
资产的识别范围设置(子网、范围、主机、排除地址) | ||
服务标识的添加(50个) | ||
显示资产IP;资产描述;用户;部门;重要度;操作系统;可用服务;来源;状态;操作 | ||
故障监控中心 | 单用户检测 | |
设置检测对象(用户名或IP地址) | ||
默认访问“www.ce.cn”完成检测的重定向 | ||
设置所有页面重定向(http)、自定义检测地址 | ||
网络故障排查:支持统计自定义时间内的流量或接口异常事件,事件类型包括:内网DOS、网口丢包、ARP/ND异常、流量告警事件 | ||
解密策略故障排查:支持查询用户名、故障状态、解密策略 | ||
解密策略故障排查:显示用户名、终端MAC、所属组、主机IP地址、匹配解密策略、证书安装情况、异常详情、准入客户安装情况 | ||
数据分析 | 用户流量统计 | 支持以柱状图、表格形式展示用户流量 |
支持统计TOP50用户明细流量 | ||
支持统计最近1小时、最近1天或最近1周的应用流量,支持统计双向、上行或下行应用流量 | ||
支持点击用户名跳转至该用户的应用趋势图和应用详细列表 | ||
应用流量统计 | 支持以趋势图、饼状图、表格形式展示应用流量 | |
支持统计TOP15应用明细流量 | ||
支持统计最近1小时、最近1天或最近1周的应用流量,支持统计双向、上行或下行应用流量 | ||
支持根据实际流量值动态调整趋势图纵轴流量大小,可点击应用名选择去除或展示该应用流量 | ||
支持分析TOP15应用流量占用比例,可点击应用名选择去除或展示该应用流量占用比例 | ||
支持展示TOP15 应用上行、下行和总流量,可点击应用名跳转至该应用流量趋势图和流量详细列表 | ||
用户信息中心 | 支持时间轴方式记录账号网络访问过程 | |
支持将客户多种审计条件统一管理查看 | ||
支持以时间和用户的维度进行查询 | ||
显示用户名;用户组;IM聊天;社区;搜索引擎;文件传输;邮件;网络娱乐;其它;网站访问 | ||
设备流量统计 | 支持接口上下行统计,包含最近1小时、最近1天、最近1周 | |
支持设备转发数据历史的可视化 | ||
支持每个接口收发数据历史的可视化 | ||
设备健康统计 | 支持对设备整机转发流量,会话数,CPU使用率,内存、会话信息5项统计趋势图 | |
支持时间筛选查阅历史使用情况 | ||
支持通过显示时间段逐级钻取相关数据,直到最近1小时范围 | ||
会话监控统计 | 支持IPv6会话监控 | |
支持统计设备的会话趋势图 | ||
支持统计历史最近1小时,最近1天,最近1周的历史会话趋势去 | ||
实时会话支持源维度排名 | ||
实时会话支持目的维度排名 | ||
会话支持基于源的统计排名,且支持作为条件查询实时会话 | ||
实时会话信息展示:用户;用户组;源地址;源端口;目的地址;目的端口;协议;类型;应用;发送流量;接收流量;总流量;创建时间 | ||
安全分析 | 安全事件分析 | 分析最近一天、最近一周、最近一月、自定义时间范围的数据 |
安全分析功能的开启、关闭 | ||
支持展示攻击源地域分布、攻击源地域TOP10/50 | ||
支持安全事件的查询,维度包括:开始时间、结束时间、级别、事件类型、攻击源、归属地以及攻击目的 | ||
支持安全事件的展示,维度包括:攻击源、归属地、级别、攻击次数、开始时间、结束时间以及操作 | ||
资产安全分析 | 安全分析功能的开启、关闭 | |
支持资产风险级别的展示,维度为低、中、高和无 | ||
支持资产操作系统的展示,维度为:Windows、ios、android | ||
支持资产的风险重置和查询,维度包括:资产IP、风险级别、资产描述、用户、部门、重要度、操作系统、来源以及状态 | ||
支持资产信息的展示,维度包括:资产IP、资产描述、用户、部门、风险级别、重要度、操作系统、来源、状态以及操作 | ||
WEB防护分析 | 分析最近一天、最近一周、最近一月、自定义时间范围的数据 | |
安全分析功能的开启、关闭 | ||
统计防护规则的攻击趋势每天一个时间点 | ||
攻击类型分布 | ||
被攻击Top10的URL | ||
高级防护支持防护策略的筛选 | ||
统计精确访问控制、防盗链、CSRF攻击防护、CC攻击防护的防护数量和被攻击URL TOP10 | ||
日志中心 | 系统日志 | 支持记录系统关键事件日志,支持中文显示、支持导出功能 |
操作日志 | 支持记录管理员操作日志,支持中文显示,支持导出功能 | |
日志查询 | 支持分页查询、查询的暂停和继续 | |
日志导出 | 支持基于用户查询的结果,进行导出操作;只允许导出14天数据 | |
控制日志-应用控制日志 | 支持记录产生的应用控制日志,支持导出功能 | |
控制日志-恶意URL日志 | 支持记录用户、用户MAC、源地址、目的地址、网站名、URL、终端类型和时间等 | |
查询,可自定义查询条件;支持日志导出;支持中文显示 | ||
审计日志-访问网站日志 | 记录用户访问网络的行为日志,支持记录:用户;用户mac;URL分类;网页标题;URL;级别;时间;操作 | |
查询,可自定义查询条件;支持日志导出;支持中文显示 | ||
审计日志-IM聊天软件日志 | 支持记录用户、用户MAC、应用、用户ID、行为、终端类型、级别、时间和操作等内容 | |
查询,可自定义查询条件;支持日志导出;支持中文显示 | ||
审计日志-社区日志 | 支持审计用户、用户MAC、应用、账号、行为、内容、终端类型、级别、时间和操作等内容 | |
查询,可自定义查询条件;支持日志导出;支持中文显示 | ||
审计日志-搜索引擎日志 | 支持审计用户、用户MAC、应用、行为、内容、终端类型、级别、时间和操作等内容 | |
查询,可自定义查询条件;支持日志导出;支持中文显示 | ||
审计日志-邮件日志 | 支持审计用户、用户MAC、应用、行为、发件人、收件人、主题、内容、级别、时间和操作等内容 | |
查询,可自定义查询条件;支持日志导出;支持中文显示 | ||
审计日志-文件传输日志 | 支持审计用户、用户MAC、应用、账号、行为、文件、终端类型、级别、时间和操作等内容 | |
查询,可自定义查询条件;支持日志导出;支持中文显示 | ||
审计日志-娱乐/股票日志 | 支持审计用户、用户MAC、应用、行为、终端类型、级别、时间和操作等内容 | |
查询,可自定义查询条件;支持日志导出;支持中文显示 | ||
审计日志-协议审计日志 | 支持基础协议审计用户、用户MAC、应用、账号、级别、时间和操作等内容 | |
查询,可自定义查询条件;支持日志导出;支持中文显示 | ||
审计日志-其它应用日志 | 支持审计用户、用户MAC、应用、行为、终端类型、级别、时间和操作等内容 | |
查询,可自定义查询条件;支持日志导出;支持中文显示 | ||
安全日志-入侵检测日志 | 支持记录IPS日志,支持中文显示,支持查询、查询条件重置、导出功能 | |
支持日志聚合,聚合方式:不聚合、按规则聚合、按源IP聚合、按目的IP聚合、按源目的IP聚合 | ||
支持告警规则的新建、删除、清除、启用、禁用等功能 | ||
支持告警规则的展示,包含:状态、规则名称、事件类型、动作、告警方式、级别、频率、日志条数、命中次数、详情、操作 | ||
支持告警规则新建时的维度:规则名称、源地址、目的地址、代理地址、源端口、目的端口、级别、动作、事件类型、发生频率、外发设置、告警邮件 | ||
安全日志-安全防护日志 | 支持记录攻击防护日志,支持中文显示,支持导出、查询、查询条件重置 | |
支持显示:时间、日志级别、源MAC、源IP、源端口、归属地、目的IP、目的端口、协议、威胁名称、威胁类型、攻击次数、接口、开始时间 | ||
安全日志-病毒防护日志 | 支持记录AV日志,支持中文显示,支持导出、查询、查询条件重置 | |
支持显示:时间、日志级别、用户名称、源地址、源端口、目的地址、目的端口、归属地、病毒名称、文件名、协议类型、行为、病毒类型、操作 | ||
安全日志-WEB防护日志 | 支持规则触发的防护日志,支持查询,导出、查询条件重置 | |
规则防护日志支持显示:时间、日志级别、源地址、归属地、请求方法、请求URL、事件类型、事件描述、处理动作、操作 | ||
支持高级防护日志,支持查询,导出、查询条件重置 | ||
高级防护日志支持显示:时间、日志级别、源地址、归属地、请求方法、请求URL、事件类型、事件描述、处理动作、操作 | ||
安全日志-防暴力破解日志 | 支持暴力破解日志,支持查询,导出、查询条件重置 | |
支持显示:时间;源地址;归属地;目的地址;服务;破解成功;破解账号;防御动作 | ||
安全日志-弱密码防护日志 | 支持记录弱密码防护日志,支持查询,导出、查询条件重置 | |
支持显示:时间;源地址;服务器地址;服务;用户名称;弱密码类型 | ||
安全日志-行为模型日志 | 支持行为模型日志的查询、导出、查询条件重置 | |
支持显示:时间、日志级别、源地址、源端口、目的地址、目的端口、归属地、协议类型、行为类型、详细信息、行为描述、动作、操作 | ||
安全日志-非法外联防护日志 | 支持非法外联防护日志的查询、导出、查询条件重置 | |
支持显示:时间、名称、服务器地址、外联地址、归属地、端口、协议、行为 | ||
终端日志-共享接入日志 | 支持记录共享接入日志,支持查询,导出 | |
支持显示:用户名;所属组;IP;用户mac;终端数量;惩罚方式;发现时间;操作 | ||
终端日志-用户上下线日志 | 支持记录用户上下线日志;支持查询;导出 | |
支持显示:时间;日志级别;日志内容 | ||
日志内容分列为:用户名、IP、MAC及用户组; | ||
终端日志-移动终端日志 | 支持记录移动终端日志;支持查询;导出 | |
支持显示:用户名;主机IP地址;所属组;终端类型;状态;发现时间;操作 | ||
终端日志-流量限额日志 | 支持记录流量限额日志;支持查询;导出 | |
支持显示:用户名;所属组;用户mac;策略名称;行为类别;事件类型;动作;日志级别;时间;操作 | ||
终端日志-DDI终端用户日志 | 支持记录终端上下线日志;支持查询;导出 | |
支持显示:时间;日志级别;日志内容 | ||
终端日志-用户自注册日志 | 支持用户注册申请日志的查询、重置和导出功能 | |
用户注册申请日志的查询维度包含:开始时间、结束时间、用户名、用户IP、用户mac、用户组以及手机号 | ||
支持用户注册日志的信息展示,维度包含:申请时间、用户名、用户IP、用户mac、手机号、邮箱以及用户组 | ||
支持用户注册审批日志的查询、重置和导出 | ||
用户注册审批日志的查询维度包含:开始时间、结束时间、用户名以及审批结果 | ||
支持用户注册审批日志的信息查看,维度包含:审批时间、申请时间、申请类型、用户名、用户组、账号有效期、详细信息以及审批结果 | ||
客户端日志-聊天日志 | 支持查询;导出 | |
支持记录:用户IP;用户MAC;聊天软件;发送昵称;行为;聊天摘要;产生时间;文件名;文件大小;操作;详细 | ||
客户端日志-浏览器日志 | 支持查询;导出 | |
支持记录:用户IP、用户MAC;URL;域名;标题;行为;产生时间 | ||
客户端日志-邮件日志 | 支持查询;导出 | |
支持记录:用户IP、用户MAC;行为;发件人;收件人;主题;产生时间;是否有附件;附件名;邮件大小;操作 | ||
客户端日志-USB事件日志 | 支持查询;导出 | |
支持记录:用户IP、用户MAC;事件类型;产生时间;文件名;文件大小;文件路径;操作 | ||
客户端日志-进程列表日志 | 支持查询;导出 | |
支持记录:用户IP、用户MAC;产生时间;进程 ID;进程名称;描述;用户;CPU;内存 | ||
终端审计日志-光驱刻录日志 | 支持光驱刻录日志的查询和重置 | |
支持显示:IP、MAC地址、刻录时间、刻录驱动器名称、刻录盘名称、刻录文件大小(MB)、详细信息以及文件下载 | ||
终端审计日志-打印审计日志 | 支持打印审计日志的查询和重置 | |
支持显示:IP、MAC地址、打印时间、打印机名称、文件大小(B)、文件名称、打印总页数、打印份数以及文件下载 | ||
终端审计日志-USB设备识别日志 | 支持USB设备识别日志的查询和重置 | |
支持显示:IP、MAC地址、事件类型、插拔时间、设备描述信息、设备类别以及设备类型 | ||
终端审计日志-蓝牙文件审计日志 | 支持蓝牙文件审计日志的查询和重置 | |
支持显示:IP、MAC地址、操作时间、文件名称、文件大小(KB)、操作类型以及文件下载 | ||
终端审计日志-蓝牙配对改变日志 | 支持蓝牙配对改变日志的查询和重置 | |
支持展示:IP、MAC地址、变更时间、设备地址、设备名称、设备类型以及变更类型 | ||
终端审计日志-网页浏览记录日志 | 支持网页浏览记录日志的查询和重置 | |
支持展示:IP、MAC地址、网页浏览时间、网页浏览URL、网站名称以及网页标题 | ||
终端审计日志-论坛发帖记录日志 | 支持论坛发帖记录日志的查询和重置 | |
支持展示:IP、MAC地址、发帖时间、帖子URL、帖子标题、作者以及文件下载 | ||
终端审计日志-邮件记录日志 | 支持邮件记录日志的查询和重置 | |
支持展示:IP、MAC地址、邮件接收/发送时间、邮件收发标志、邮件标题、邮件发送者、邮件接收者、邮件是否有附件、文件大小(B)、文件名称、阅读标志以及文件下载 | ||
终端审计日志-聊天记录日志 | 支持聊天记录日志的查询和重置 | |
支持展示:IP、MAC地址、消息时间、聊天会话信息、聊天记录类型、聊天工具类型、文件名称、文件大小(KB)、详细信息以及文件下载 | ||
终端审计日志-应用程序使用日志 | 支持应用程序使用日志的查询和重置 | |
支持显示:IP、MAC地址、操作时间、日志类型、日志描述以及进程名称 | ||
系统会话日志 | 针对系统会话生成会话日志 | |
统计报表 | 报表管理 | 支持新建,删除报表任务 |
报表任务支持报表名称;报表类型;统计时间;报表格式;外发设置;外发邮箱; | ||
报表模板:内置自定义模板;网络概况;工作效率;数据统计多种模板 | ||
自定义模板支持:设备;数据统计;网络质量;网络安全 | ||
支持报表任务的启用;禁用 | ||
支持针对历史报表进行管理 | ||
数据统计 | 支持实时统计数据实时生成报表 | |
实时数据包含: | ||
配置管理 | 支持配置报表空间大小 | |
支持配置报表统计top数 | ||
IPS业务系统管理新建删除 | ||
控制策略 | 策略分组 | 针对策略支持按照一定条件分组管理 |
会话查询功能增强 | 控制策略点击匹配次数可跳转至会话监控统计 | |
策略分析 | 支持分析冲突策略、冗余策略、隐藏策略、可合并策略、空策略、过期策略、忽略策略 | |
支持策略分组,进行区分化管理和运维 | ||
支持实时或者周期性对所有安全策略进行分析,支持关闭策略分析 | ||
支持检测策略宽松度,支持总体、单策略宽松度分析 | ||
支持图形化展示策略分析概况,问题策略分布,总体策略宽松度评分 | ||
支持问题列表式显示问题策略,展示问题策略与正常策略的对照关系 | ||
支持忽略问题策略,减少干扰 | ||
基础配置 | 支持控制策略的新建、删除、查询、启用、禁用、优先级调整、匹配数清零等操作 | |
支持控制策略的复制 | ||
支持策略动作为允许时记录日志 | ||
支持设置设备的默认规则的动作:允许、拒绝、分时访问(规则支持弹Portal、阻断) | ||
控制策略的条件支持:用户;接口;源地址(新增IP归属地维度);目的地址(新增IP归属地维度);应用;服务等维度 | ||
策略动作包含:入侵防御;病毒防护;URL过滤;应用过滤;终端公告提醒; | ||
入侵防御 | 支持调用入侵防御事件集完成入侵防御 | |
支持配置防护模式控制是否进行阻断,可选择仅检测记录日志不阻断,也可以选择根据模板进行阻断 | ||
病毒防护 | 支持针对HTTP;FTP;IMAP;POP3;SMTP协议完成AV病毒查杀 | |
URL过滤 | 支持URL过滤控制、审计规则的新建、删除、修改 | |
支持规则的启用禁用 | ||
支持恶意URL过滤 | ||
支持预定义和自定义URL分类过滤 | ||
支持URL阻断和审计(动作:允许 、拒绝) | ||
URL日志选项:不记录、紧急、告警、严重、错误、警告、通知、信息、调试 | ||
应用过滤-应用控制 | 支持选择任意一种应用完成应用控制;阻断;允许 | |
支持应用控制策略的新建、删除、启用、禁用、查询、优先级调整 | ||
每条控制策略支持新建64条应用控制策略 | ||
应用过滤-邮件控制 | 控制发送邮件时是否过滤(只支持SMTP发送邮件) | |
控制接收邮件时是否过滤(只支持POP3、IMAP接收邮件) | ||
支持针对发邮件的发件人黑白名单过滤 | ||
支持针对发邮件的收件人黑白名单过滤 | ||
支持针对收、发邮件的标题和内容关键字过滤 | ||
支持针对收、发邮件的附件名关键字过滤 | ||
支持针对收、发邮件的邮件大小完成控制,范围支持0-100M | ||
支持针对收、发邮件的附件个数控制,范围支持0-100个 | ||
支持设置邮件控制的日志级别 | ||
应用过滤-WEB关键字控制 | 支持基于搜索引擎的关键字过滤 | |
搜索引擎的关键字过滤支持新建、新建、删除、查询、启用、禁用、优先级调整 | ||
每条控制策略支持新建64条搜索引擎关键字策略 | ||
支持基于http上传内容的关键字过滤 | ||
http上传的关键字过滤支持新建、新建、删除、查询、启用、禁用、优先级调整 | ||
每条控制策略支持新建64条HTTP上传关键字策略 | ||
支持基于网页内容的关键字过滤 | ||
网页内容的关键字过滤支持新建、新建、删除、查询、启用、禁用、优先级调整 | ||
每条控制策略支持新建64条网页内容策略 | ||
应用过滤-虚拟账号 | 支持QQ账号的黑白名单控制 | |
支持设置QQ账号控制日志的级别设置 | ||
应用过滤-文件类型过滤 | 支持基于文件类型进行文件传输控制:阻断;允许 | |
支持添加文件类型 | ||
支持基于文件传输方向进行过滤 | ||
支持排除网站 | ||
支持设置文件类型过滤的日志级别 | ||
文件类型过滤支持新建、删除、查询、启用、禁用、优先级调整 | ||
支持对HTTP和FTP传输进行限制 | ||
协议过滤 | 支持FTP协议过滤;启用、禁用 | |
支持配置命令、处理动作、日志级别 | ||
支持Telnet协议过滤 | ||
支持配置文件名、命令、处理动作、日志级别 | ||
支持DNS过滤 | ||
支持配置域名、处理动作、日志级别 | ||
终端公告提醒 | 支持通过策略完成终端公告推送设置 | |
支持设置终端公告的时间间隔或者定时推送 | ||
时间间隔范围支持10-1440分钟 | ||
支持管理员指定公告页面 | ||
支持调用外部公告页面 | ||
高级配置 | 支持配置连接的时间、老化时间、终端选择、终端型号、VLAN、DSCP | |
支持IPv6协议,支持IPv6扩展头识别、控制功能、flow标签控制 | ||
IPv6控制策略 | 支持IPv6网络的控制策略 | |
审计策略 | 基础配置 | 审计策略支持新建,删除,启用,禁用,优先级调整;匹配次数清零 |
支持审计策略的复制 | ||
支持基于:用户;接口;源地址;目的地址维度的匹配条件 | ||
支持基于时间维度、终端类型严格管理 | ||
审计对象-HTTP类审计 | 支持基于访问网页的行为审计 | |
支持针对微博、论坛等相关网络社区的审计 | ||
支持网页搜索内容的审计 | ||
支持HTTP协议外发文件的审计 | ||
支持HTTP协议文件下载的审计 | ||
支持Web网盘上传文件的审计 | ||
支持Web网盘下载文件的审计 | ||
审计对象-邮件类审计 | 支持基于SMTP协议发送邮件的整体邮件审计 | |
支持基于IMAP;POP3协议的收邮件整体审计 | ||
支持Web mail的外发邮件内容审计 | ||
支持Web mail的外发邮件附件审计 | ||
支持Web mail的接收邮件内容审计 | ||
支持Web mail的接收邮件附件审计 | ||
审计对象-即时通讯类审计 | 支持PC版QQ聊天内容和传输文件审计 | |
支持PC版微信聊天内容和传输文件审计 | ||
支持QQ:Win 7和微信:Win10 操作系统 | ||
支持推送终端插件页面 | ||
支持未安装插件禁止上网和允许上网配置 | ||
支持网页版微信聊天内容审计(配置SSL解密) | ||
支持移动版飞信内容审计(配置SSL解密) | ||
支持其他即时通讯软件行为审计 | ||
审计对象-基础协议类审计 | 支持FTP基础网络协议账号、命令、文件名审计 | |
支持列表形式展现审计内容 | ||
支持会话形式展现审计内容 | ||
审计对象-娱乐股票类审计 | 支持审计娱乐股票类应用的账号、评论等 | |
支持基于自定义关键字控制账号登录 | ||
审计对象-网络应用类审计 | 支持审计其他28大类应用升级 | |
支持审计类的选择删除 | ||
高级配置 | 支持时间、日志级别、终端、终端型号、VLAN、DSCP | |
IPv6审计策略 | 支持IPv6网络的审计策略 | |
NAT转换策略 | 源NAT | 支持配置的新建、删除、修改、启用、禁用、优先级调整、匹配次数清零 |
支持调整源NAT策略的匹配顺序 | ||
地址类型支持IPv4和IPv6的选择 | ||
源地址转换类型:支持基于出接口、地址池或不转换 | ||
支持日志记录开启、关闭 | ||
目的NAT | 支持配置的新建、删除、修改、启用、禁用、优先级调整、匹配次数清零 | |
支持调整目的NAT策略的匹配顺序 | ||
地址类型支持IPv4和IPv6的选择 | ||
目的地址转换类型:地址映射、端口映射、不转换 | ||
支持NAT Mapping的开启关闭 | ||
支持日志记录开启、关闭 | ||
静态NAT | 支持配置的新建、删除、修改、启用、禁用、优先级调整、匹配次数清零 | |
支持调整静态NAT策略的匹配顺序 | ||
地址类型支持IPv4和IPv6的选择 | ||
支持日志记录开启、关闭 | ||
地址池 | 支持NAT地址池的新建、删除、修改 | |
地址类型支持IPv4和IPv6的选择 | ||
NAT64 | 支持配置的新建、删除、修改、启用、禁用、匹配次数清零 | |
支持转换前目的地址前缀和转换后源地址的配置 | ||
支持日志记录开启、关闭 | ||
支持静态地址转换 | ||
NAT46 | 支持配置的新建、删除、修改、启用、禁用、匹配次数清零 | |
支持转换前目的地址、转换后源地址前缀和转换后目的地址的配置 | ||
支持日志记录开启、关闭 | ||
IPv6 NAT | 支持NAT66 | |
ALG | 动态端口支持协议ALG:H.323、SIP、FTP、TFTP、PPTP | |
FTP、TFTP、SIP支持非标准端口设置 | ||
FTP、TFTP支持IPv6 | ||
负载均衡策略 | 链路负载均衡 | 基于七元组的链路负载均衡策略 |
基于域名的负载均衡策略 | ||
基于接口,接口组的负载均衡策略 | ||
支持排除直连网段和特定网段的负载均衡 | ||
链路负载均衡策略支持新建,修改、删除 | ||
负载均衡接口支持PPPoE,DHCP,TUNNEL、聚合链路、三层接口 | ||
支持负载均衡策略启用、禁用 | ||
支持负载均衡策略优先级调整 | ||
负载均衡接口支持DNS-DNAT功能 | ||
基于ICMP的接口探测机制 | ||
支持基于源地址HASH的链路负载均衡 | ||
支持配置排除地址、地址段不做负载均衡 | ||
支持负载均衡测试命中次数统计 | ||
支持基于优先级的链路负载均衡 | ||
服务器负载均衡 | 支持服务器负载均衡策略新建、修改、删除 | |
服务器负载均衡策略支持启用、禁用 | ||
服务器负载均衡策略支持优先级调整 | ||
支持基于端口和地址转换的负载均衡策略 | ||
支持负载均衡策略命中次数统计 | ||
支持一个公网IP映射到内网多台服务器,服务器间支持连接和源地址HASH,支持服务器健康检查 | ||
流量控制策略 | 线路管理 | 支持基于接口的上下行带宽管理,可基于接口配置多级通道 |
支持动态流控,监控线路流量情况,大于等于链路阀值,线路下的通道流控工作,小于线路阀值,线路下的通道流控不工作 | ||
线路/通道详细信息 | 支持流控通道中的线路/通道的详细信息的查看,支持流量使用Top10应用和用户的信息展示 | |
策略匹配 | 支持源地址和目的地址分别匹配策略 | |
流控分级分权 | 流控策略区分超级管理员和普通管理员;线路和一级通道仅支持超级管理员创建和修改;超级管理员可将一级通道指定分配给普通管理员 | |
限速通道 | 支持建立全局的限速通道 | |
支持VLAN和DSCP等条件的匹配 | ||
惩罚通道 | 支持建立全局的惩罚通道,供需要的功能调用 | |
通道管理 | 支持高、中、低优先级通道设置 | |
支持用户/组、应用、服务、地址、时间的通道匹配 | ||
支持保障带宽(最小带宽) | ||
支持限制带宽(最大带宽) | ||
支持每IP限速 | ||
支持每用户限速 | ||
支持自动支持流量整形 | ||
支持匹配条件:匹配用户/组、应用、服务、地址(支持匹配源地址和目的地址,二者新增IP归属地维度配置)、终端型号、时间、VLAN、DSCP | ||
排除策略 | 支持用户、IP地址排除,不做流量控制。 | |
流量监控 | 支持每个线路、通道的流量情况,支持查询,支持显示优先级和状态 | |
IPv6 QoS | 支持IPv6流量控制策略 | |
用户限额策略 | 限额策略 | 支持限额策略的新建、删除、修改(用户时长,流量额度限制策略) |
支持限额策略启用、禁用 | ||
限额策略支持优先级调整 | ||
限额策略支持用户、源地址、目的地址、时间、应用五个维度的条件匹配 | ||
限额策略支持流量和时长两种类型 | ||
限额策略支持日限额和月限额两种统计维度 | ||
限额策略支持阀值提醒,阀值自定义,启用、禁用 | ||
限额策略阀值提醒支持终端网页提醒 | ||
支持超过限额策略的时长惩罚、禁止上网惩罚,以及惩罚的启用、禁用 | ||
限额用户支持统计,统计内容支持单个和批量删除 | ||
SSL解密策略 | 通用功能 | 支持针对HTTPS网站、HTTPS门户搜索等内容进行审计、支持审计HTTPS加密邮箱,支持审计主题、内容、附件等,支持本地下载邮件原件 |
配置管理 | 解密策略(基于SSL加密流量解密策略,包括HTTPS网站解密和SSL加密邮箱解密)支持新建、删除、修改 | |
解密策略支持启用、禁用 | ||
支持基于入接口,源地址,目的地址多维度的解密策略 | ||
支持解密类型:HTTPS解密、邮箱解密 | ||
解密策略支持全局解密证书的选择 | ||
支持解密策略排除特定的站点 | ||
HTTPS网页解密 | 支持预定义HTTPS页面解密 | |
支持自定义HTTPS页面解密 | ||
SSL加密邮箱解密 | 支持SSL加密网页版邮箱解密 | |
支持SSL加密客户端邮箱解密 | ||
广告推送策略 | 通用功能 | 支持配置在用户上网时弹出广告页面,可配置点击广告后的返回页面和广告弹出时间 |
支持PC端支持推送4个方位的广告,手机端支持推送全屏广告 | ||
广告对象 | 支持广告对象的新建、删除、修改 | |
支持广告对象描述0-127字符 | ||
支持本地广告图片上传 | ||
支持本地和第三方广告(支持迈普AAS)设置广告对象 | ||
广告策略 | 广告策略支持新建、删除、修改 | |
广告策略支持启用、禁用 | ||
广告策略支持优先级调整 | ||
广告策略支持:用户、源接口、目的接口、源地址、目的地址、时间维度的匹配 | ||
广告策略支持广告推动间隔的配置 | ||
广告策略支持广告对象的引用 | ||
会话控制管理 | 每IP会话限制 | 支持新建会话限制条目 |
条目显示支持:地址对象;会话限制;每秒新建限制 | ||
支持IPv6会话监控,会话控制 | ||
限制阻断 | 支持查询 | |
支持记录系统阻断的IP | ||
支持显示:IP地址;连接数;会话限制;每秒新建;每秒新建限制;限制阻断统计;地址对象 | ||
共享接入管理 | 通用功能 | 支持识别通过硬件和软件共享网络的行为,根据预定义终端阀值,限制用户私接网络行为 |
共享接入监控 | 提供查询功能,查询维度:用户名、终端数量、MAC地址、IP地址 | |
显示维度:用户名、所属组、IP、MAC、终端数量、终端类型、状态、发现时间、操作 | ||
页面提供刷新功能 | ||
提供基于用户的冻结、解锁功能 | ||
共享接入配置 | 共享检测功能开启、关闭 | |
自动阻断功能开启、关闭 | ||
支持设置惩罚动作为:阻断、限速 | ||
惩罚动作是否发送日志、终端阀值设置、冻结时长设置 | ||
例外:基于单IP电脑终端数和移动终端数自定义 | ||
阻断提示信息自定义,长度1-1024 | ||
支持基于主机和地址范围的白名单添加方式 | ||
移动终端管理 | 移动终端管理 | 支持统计系统设备的移动终端 |
支持针对识别条目添加受信任IP | ||
支持针对冻结终端批量解除冻结 | ||
支持显示:IP地址;用户名;终端类型;详情;状态;发现时间 | ||
终端接入配置 | 支持终端接入配置功能的启用、禁用 | |
支持发现移动终端后:邮件告警;冻结上网;设置冻结时长 | ||
冻结时长默认5分钟;范围支持1-1440分钟 | ||
支持配置受信任用户 | ||
受信任列表支持查询 | ||
终端发现趋势 | 支持统计最近1小时、最近1天或最近1周终端发现趋势 | |
支持列表显示具体的终端日志 | ||
支持管理员自定义时间范围 | ||
全局白名单 | 全局白名单 | 全局白名单的新建、删除、启用、禁用 |
全局白名单的查询 | ||
基于IP、范围、子网、MAC、域名的全局白名单 | ||
支持填写IPv6地址,支持IPv6网络 | ||
增加对域名地址的识别匹配和放通 | ||
对象管理 | 应用对象 | 支持应用总数和支撑规则总数的展示 |
对象管理-应用对象 | 预定义应用 | 显示预定义分类,支持30个分类 |
支持基于应用名称的查询 | ||
显示分类下应用的属性:名称、平台、风险级别、流行度、描述 | ||
应用标签对象 | 支持新建、删除、修改 | |
系统内置多种常用应用标签:降低工作效率;高带宽消耗;限速应用;移动应用;智能识别应用;保障应用;安全风险;外发文件泄露风险;论坛和微博发帖;发送电子邮件、海外应用 | ||
自定义应用 | 应用的自定义、支持IPv6 | |
支持配置应用的名称、描述、风险级别、应用类、数据包方向、协议、端口、IP地址、目标域名、关键字的识别(文本和正则表达式两种匹配模式) | ||
支持DNS的域名学习模式(引用数据包特征中的目标域名或指定域名) | ||
识别模式 | 支持修改识别模式以达到对应识别目的 | |
智能模式:应用引擎将尽可能多的方法识别应用流量 | ||
快速模式:应用引擎关闭部分智能分析以提高性能 | ||
关闭模式:应用引擎关闭 | ||
应用智能识别 | 支持P2P行为的智能设备设置 | |
支持迅雷行为的智能识别设置 | ||
覆盖智能识别应用学习结果,对于访问不同网站的相同学习结果,覆盖旧学习结果,保存最新学习结果 | ||
真实文件类型识别,通过文件头部特定字段识别文件真实类型(支持标准MIME格式上传和下载网站) | ||
URL策略支持Referer字段查询匹配,支持放行域名下包含的外部资源链接 | ||
支持web在线代理识别,默认关闭;开启时识别代理流量,关闭时,识别真实应用流量 | ||
对象管理-地址对象 | 地址对象 | 显示预定义地址对象,支持6类,内容包含ISP路由 |
支持新建、删除、修改,支持批量删除;批量导入导出 | ||
支持子网地址、范围地址、主机地址、域名的添加方式 | ||
支持排除地址 | ||
地址对象支持IPv6地址 | ||
地址组对象 | 支持新建、删除、修改,支持批量删除 | |
支持组嵌套 | ||
IP归属地 | 支持新建、删除、修改、查询 | |
新建项:子网地址、范围地址、主机地址、实际归属地 | ||
地址探测 | 支持地址探测的新建,删除 | |
地址探测配置项包含:名称、探测目标、探测类型、出接口、间隔时间、重试次数 | ||
探测类型:ping、tcp、dns | ||
地址探测组 | 支持地址探测组的新建,删除,修改 | |
配置项包含:名称、描述、是否开启严格模式、选择成员 | ||
对象管理-服务对象 | 预定义服务 | 支持89种预定义服务(例如BGP协议预定义端口为179,FTP协议预定义端口为21) |
自定义服务 | 支持新建、删除、修改,支持批量删除;批量导入导出 | |
支持协议类型:TCP、UDP、ICMP、其他协议号 | ||
服务组 | 支持新建、删除、修改,支持批量删除 | |
支持预定义自定义服务添加 | ||
支持组嵌套 | ||
非标准端口配置 | 非标准端口ALG(FTP、TFTP、SIP、RTSP) | |
对象管理-时间对象 | 通用 | 支持新建、删除、修改时间对象,支持批量删除 |
支持预定于日计划always,时间为全天 | ||
时间类型 | 支持定义日计划、周计划、月计划、单次计划 | |
单次计划支持定义循环时间,包括日计划、周计划或月计划 | ||
对象管理-URL对象 | 恶意URL白名单 | 支持对恶意URL手工排除 |
恶意URL黑名单 | 支持对恶意URL手工加入 | |
预定义 | 支持57种预定义URL分类 | |
HTTPS对象 | 支持配置HTTPS对象 | |
URL白名单 | 支持配置全局的URL白名单 | |
阻断提示 | 支持基于任何URL相关的阻断的提示自定义 | |
自定义 | 支持新建、删除、修改,支持批量删除和导入/导出 | |
对象管理-关键字对象 | 自定义 | 支持新建、删除、修改,支持批量删除 |
对象管理-文件类型对象 | 自定义 | 支持新建、删除、修改,支持批量删除 |
预定义 | 支持8种预定义文件类型:电影;音频;文本;图片;压缩文件;应用程序;office系列;其他 | |
对象管理-公告页面 | 公告页面 | 支持终端页面的设置 |
终端公告页面支持预览 | ||
其他页面 | 其他页面支持管理员自定义 | |
支持其他页面预览 | ||
URL控制界面明确提示:被阻断的URL、该URL分类以及触发了哪条策略 | ||
对象管理-CA服务器 | 根CA配置管理 | 支持生成和删除根CA证书,证书支持选配部门、组织、位置、省、地区、电子邮件和密码等内容,支持设置证书有效期(1-18000天) |
证书秘钥大小支持:1024/1536/2048位 | ||
支持导入、导出CA根证书 | ||
支持更新CRL,导出CRL列表 | ||
支持CRL周期设置和CA本地CRL下载URL配置 | ||
用户证书管理 | 支持生成和删除证书,证书支持选配部门、组织、位置、省、地区、电子邮件等内容 | |
对象管理-本地证书 | 本地证书 | 支持本地证书导入 |
CA | 支持CA导入 | |
CRL | 支持CRL导入 | |
国密 | 支持国密导入 | |
自动获取CRL | 支持自动获取CRL | |
支持HTTP和LDAP两种下载方式 | ||
支持自动下载周期管理员自定义(1-720小时) | ||
安全设置-入侵防御 | 模板 | 显示预定义的最大规则模板、Windows规则模板、类Unix规则模板、Web规则模板 |
预定义模板不支持编辑,支持派生,对派生的版本可以进行编辑、删除 | ||
点击预定义模板显示详细规则列表,包括规则的严重程度、启用状态、日志级别、是否阻断、隔离、抓包、CVE、CNNVD、操作系统、发布年份、厂商、操作、协议 | ||
支持展示的入侵防御规则,可点击跳转至防御规则说明网页,网页内容包括:防御规则名称、事件信息、影响系统、事件详细、处理建议等信息 | ||
支持通过规则ID、名称、CVE、CNNVD进行查询 | ||
支持自定义高级查询 | ||
支持配置HTTP、DNS、SMTP、POP3、FTP等协议的异常检查 | ||
支持模板的新建、编辑、删除,点击新建模板可以自定义添加规则 | ||
支持5000+预定义入侵防御规则,包括用户提权、任意代码执行、木马/后门、Web攻击、拒绝服务、信息泄露、蠕虫/病毒、挖矿、缓冲区溢出、SQL注入、Web序列化、Webshell、木马外联、其它等 | ||
支持IPv6网络的IPS入侵防御以及生成日志 | ||
规则库 | 显示预定义的16类规则库 | |
支持IPS规则中低风险默认动作设置为放行 | ||
支持自定义入侵防御规则,包括名称、严重程度(低、中、高、紧急)、检测方向(双向检测、向客户端、向服务端)、协议字段配置(协议、协议字段、配置方式、配置内容),协议字段配置支持与方式添加,协议字段支持或方式添加 | ||
新建的自定义规则会自动添加到预定义模板 | ||
安全设置-病毒防护 | 防病毒设定 | 默认支持20万病毒特征库,高端型号支持拓展至800万特征库(行为管理1000-PE和行为管理1000-XE1型号)。默认为全库加载,如果高端型号需要,可以单独提供全库 |
支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀 | ||
支持扫描预定义的文件类型,包括exe、doc、wps、ppt、xl、com、bat、dll、hta、tar、scr、pif、cpl、vb等;支持自定义添加文件类型,可进行启用或禁用的操作。 | ||
支持查杀邮件正文/附件、网页及下载文件中包含的病毒 | ||
支持ZIP/RAR等压缩文件的病毒查杀,最大解压层数的设置。默认值5;范围:5-20 | ||
支持IPv6网络的病毒防护以及生成日志 | ||
病毒列表 | 支持展示和搜索病毒特征库 | |
安全设置-安全防护 | ARP/ND攻击防护 | 支持关闭ARP/ND学习功能 |
通过主动保护的启用禁用来控制防ARP/ND功能的开启和关闭 | ||
支持设置时间间隔1-10秒 | ||
支持新建主动保护的接口列表 | ||
支持ND反向查询 | ||
支持每MAC的IP个数检查配置,数量为0-1024,0为不检查 | ||
支持显示设备的ARP表 | ||
支持显示设备的ND表 | ||
支持ARP表的清除、查询、IP-MAC绑定、一键绑定 | ||
支持ND表的清除、查询、IP-MAC绑定、一键绑定 | ||
支持显示IP-MAC绑定列表,支持新建、选择、删除、导入、导出、下载模板、唯一性设置、支持查询 | ||
支持设置ARPFlood/NDFlood攻击防护启用、禁用 | ||
支持设置阈值和抑制时长 | ||
ARP/ND学习控制新建 | ||
支持接口级ARP/ND控制 | ||
支持IPv6 ND攻击防护 | ||
异常包攻击防御 | IPv4异常包防御:Ping of Death;Land-Base;Tear Drop;Tcp fl行为管理;Winnuke;Smurf;IP选项;IP Spoof;Jolt2;tcp sack | |
IPv6异常包防御:Winnuke;Land-Base;Tcp fl行为管理;Fr行为管理gle;IP Spoof | ||
扫描攻击防御的新建、删除 | ||
接口级扫描攻击防御 | ||
启用、禁用端口扫描防护 | ||
设置扫描频率 | ||
是否加入黑名单 | ||
加入黑名单时间设置 | ||
启用、禁用IP扫描防护 | ||
设置扫描频率 | ||
是否加入黑名单 | ||
加入黑名单时间设置 | ||
支持IPv6扫描攻击防御 | ||
DoS攻击防护 | 目的IP防御和接口防御 | |
新建目的IP防御规则 | ||
目的IP防护规则:设定保护主机的IP地址;设定SYN flood阈值;设定UDP flood阈值;设定ICMP flood阈值;设定DNS flood阈值 | ||
新建接口防御规则 | ||
设置接口防御的规则 | ||
接口防御SYN flood阈值,基于源主机、目标主机设置 | ||
接口防御UDP flood阈值,基于源主机、目标主机设置 | ||
接口防御ICMP flood阈值,基于源主机、目标主机设置 | ||
接口防御DNS flood阈值,基于源主机、目标主机设置 | ||
防暴力破解 | 支持防暴力破解的启用、禁用 | |
支持服务的选择,内置12种服务可以设置 | ||
支持web登录的保护 | ||
支持设置攻击者加入黑名单的时间 | ||
支持IPv6网络的防暴力破解 | ||
弱密码防护 | 弱密码防护的启用、禁用 | |
弱密码防护服务的选择,内置6种服务,telnet、ftp、imap、pop3、smtp、http | ||
弱密码规则选择,内置7中弱密码规则 | ||
支持管理员自定义弱密码 | ||
支持IPv6网络的弱密码防护 | ||
非法外联防护 | 支持非法外联防护规则的新建、删除、启用、禁用、匹配次数清零 | |
非法外联规则支持日志、动作、名称、服务器地址对象、服务器外联地址等的设置 | ||
非法外联学习支持服务器地址设置、外联地址白名单设置、学习时长设置、外联协议白名单编辑、进度统计 | ||
支持添加服务器合法连接 | ||
支持连接的删除 | ||
支持IPv6网络的非法外联防护 | ||
行为模型 | 支持DNS隧道的行为模型检测 | |
支持开启日志、检测宽松度设置、检测方式、处理动作设置、支持使用预置白名单、支持自定义白名单IP | ||
安全设置-WEB防护 | 防护策略 | 支持防护策略的增、删、改、查、启用、禁用、优先级调整 |
策略新建支持:名称(1-31字符);源地址;目的地址;服务端口;域名、描述(0-127字符);规则防护;精确访问控制;防盗链;CSRF攻击防护;CC攻击防护;应用隐藏;网页防篡改 | ||
规则防护支持启用;禁用;日志开启关闭;防护等级设置:高中低;防护类型设置:通用攻击、SQL注入攻击、XSS攻击、目录遍历、恶意扫描与爬虫、WebShell攻击、会话劫持、敏感信息泄露、服务器防护、CMS漏洞防护 | ||
精细访问控制支持启用;禁用;支持新建控制规则,删除控制规则,调整规则优先级; | ||
防盗链支持启用;禁用 | ||
CSRF攻击防护支持启用;禁用 | ||
CC攻击防护支持启用;禁用 | ||
应用隐藏支持启用、禁用 | ||
网页防篡改支持启用、禁用 | ||
支持IPv6网络的Web防护 | ||
规则库 | 支持:通用攻击、SQL注入攻击、XSS攻击、目录遍历、恶意扫描与爬虫、WebShell攻击、会话劫持、敏感信息泄露、服务器防护、CMS漏洞防护等10种类型 | |
支持查询,维度为:名称、规则ID以及级别 | ||
支持命中次数清零 | ||
防篡改网页缓存 | 支持缓存和清理 | |
安全设置-风险扫描 | 端口扫描 | 端口扫描任务新建 |
新建任务支持:任务名称;扫描地址项目;资产发现同步;扫描端口自定义或模糊端口;扫描类型;任务描述 | ||
端口扫描仅支持TCP | ||
扫描结果支持显示、删除 | ||
支持IPv6网络的端口扫描 | ||
弱密码扫描 | 支持新建扫描任务 | |
支持:任务名称;扫描地址项目;服务;扫描方式;空密码检测;用户名和密码相同检测;扫描类型;任务描述 | ||
支持预定义login_default、fast_scan_dic、full_scan_dic三个字典 | ||
支持字典新建、删除、批量删除、查找条目 | ||
新建字典支持:名称;描述;自定义字典 | ||
支持显示扫描结果、删除 | ||
支持IPv6网络的弱密码扫描 | ||
用户管理 | 用户组织结构 | 树形用户组织结构,左侧展示树,右侧展示节点信息 |
左侧树形组织结构支持查询 | ||
树的深度最多支持8层 | ||
右侧显示组路径、组信息、用户数等相关信息 | ||
支持新建用户组,用户 | ||
支持选择完成批量操作 | ||
支持用户、用户组的删除,移动 | ||
支持用户、用户组的导入、导出 | ||
支持右侧组节点信息的查询 | ||
支持属性组概念,可以将属性相同的用户划分到一个属性组统一引用处理 | ||
系统内置认证属性 | ||
支持自定义属性,对组织架构(用户属性)进行精确划分,通过属性值对用户分配精细权限 | ||
用户识别支持IPv6 | ||
用户同步 | 支持SNMP、ARP、LDAP、数据库同步三种用户同步方式 | |
支持同步用户任务的新建和删除 | ||
在进行LDAP用户同步时,支持一个用户同属于多个安全组的情况 | ||
SNMP方式同步的用户,支持在“操作-同步结果”处进行IP-MAC查询 | ||
第三方用户同步支持第三方用户同步、radius用户同步、web用户同步、其他用户同步、未同步用户portal推送、数据库用户同步 | ||
IP-MAC绑定 | 支持显示IP-MAC绑定列表,支持新建、选择、删除、导入、导出、下载模板、唯一性设置、支持查询 | |
高级选项 | 新建和删除属性,列表项:属性、属性值、操作 | |
认证管理 | 认证策略 | 认证策略支持新建、删除、启用、禁用、移动、导入、导出、下载模板、查询 |
认证策略包含名称、描述、源接口、源地址、目的接口、目的地址、认证方式、用户范围、时间、用户组、用户有效时间、IP-MAC绑定、录入用户绑定、启用自注册 | ||
录入用户绑定支持IP、MAC,支持进行认证有效期的设置 | ||
认证方式包含:本地WEB认证、微信认证、短信认证、Portal Server、免认证、SAM认证、单点登录、访客二维码认证、IC卡认证、APP认证、POP3认证、钉钉认证、酒店会员认证、第三方小程序认证、企业微信认证、CAS认证、OAUTH认证、混合认证 | ||
混合认证包含:微信认证、本地WEB认证、短信认证、访客二维码认证、免认证、APP认证、POP3认证、钉钉认证、IC卡认证、CAS认证、OAUTH认证 | ||
本地WEB认证支持指定用户组织结构,结构内的用户完成认证,结构外的用户不支持认证 | ||
支持IPv6本地认证 | ||
认证方式-本地WEB认证 | 本地认证用户唯一性检查,一个账号仅允许一个终端登录,一个账号允许重复登录,可配置登录终端数 | |
本地WEB认证支持加密通道传输认证信息 | ||
客户端超时机制:心跳超时、流量超时 | ||
强制重登录时间间隔设置 | ||
无感知生效时间间隔设置 | ||
认证后页面跳转设置:之前访问的页面、重定向URL、认证结果页面 | ||
认证方式-微信认证 | 微信认证超时时间设置 | |
微信认证无感知时间设置 | ||
微信认证用户名设置:IP地址;OpenID;手机号 | ||
微信认证公众号相关参数设置 | ||
微信认证支持通过公众号菜单或发消息完成认证,仅支持手机端认证 | ||
新增小程序认证方式 | ||
认证方式-短信认证 | 短信认证超时时间设置 | |
短信认证无感知时间设置 | ||
短信认证数据传输使用HTTPS | ||
认证后页面跳转设置:之前访问的页面、重定向URL、认证结果页面 | ||
短信接口设置 | ||
支持:亿美软通、凌凯、一信通、佳诺、阿里云、梦网科技、移动云MAS、诺尔、银泰定制短信、融合云信、名传无线、君隆科技、东软平台、玄武科技、贝壳找房 | ||
支持HTTP和SOAP通用短信网关 | ||
认证方式-Portal Server | 支持配置认证服务器、portal服务器 | |
支持快速无感知功能 | ||
支持超时时间设置 | ||
支持认证URL填写 | ||
支持Portal逃生功能(不启用、全部逃生、认证用户逃生) | ||
支持探测portal服务器 | ||
认证方式-免认证 | 支持免认证超时时间 | |
认证后页面跳转设置:之前访问的页面、重定向URL、认证结果页面 | ||
免认证会弹出portal页面,终端用户确认之后可以继续上网 | ||
认证方式-单点登录 | 功能的启用、禁用 | |
单点登录程序下载 | ||
单点登录会话秘钥设置 | ||
支持数据库单点登录 | ||
AD域支持基于日志的单点登录,AD域认证的环境中支持通过读取AD的日志,获取用户和IP的上线信息 | ||
支持AD域单点登录:支持新建、删除、启用、禁用 | ||
AD域单点登录配置项:是否启用、名称、域DNS服务器、域名、域服务器IP、域账号、域账号密码、日志ServerID | ||
AD域单点登录列表项:名称、域控制器、域名、最近获取时间、最近获取人数、状态、操作 | ||
认证方式-访客二维码认证 | 超时时间设置 | |
二维码超时时间设置 | ||
无感知时间设置 | ||
认证后页面跳转设置:之前访问的页面、重定向URL、认证结果页面 | ||
审核配置设置,选择审核权限的用户 | ||
审核方式选择:弹出页面,审核人备注;不弹页面以审核人身份登录;访客填写用户信息,审核人扫码,授权访客上网 | ||
认证方式-IC卡认证 | 支持德卡的卡机刷卡认证 | |
支持提前录入IC卡信息,只允许提前录入卡号的用户认证上线 | ||
设置超时时间、是否本地检查 | ||
认证方式-APP认证 | APP认证的启用、禁用 | |
APP认证的超时时间设置 | ||
APP认证的无感知时间设置 | ||
APP认证的服务器白名单设置:IP或域名 | ||
支持用户名提取规则的配置 | ||
支持推送APP下载地址的设置:PC下载地址、IOS下载地址、Android下载地址 | ||
针对http的登录方式可以管理获取用户登录行为完成APP认证 | ||
认证方式-POP3认证 | 配置POP3认证服务器 | |
配置POP3认证超时时间 | ||
配置POP3认证无感知时间 | ||
认证后页面跳转设置:之前访问的页面、重定向URL、认证结果页面 | ||
认证方式-钉钉认证 | 支持钉钉认证的启用禁用 | |
支持钉钉认证超时时间的配置 | ||
支持认证后页面跳转设置:之前访问的页面、重定向URL、认证结果页面 | ||
支持钉钉接口参数的配置(详细可点击配置指导查看) | ||
支持自动获取所属组的配置 | ||
认证方式-酒店会员认证 | 支持配置设备ID、超时时间、Portal URL、认证URL、公钥以及私钥 | |
CAS认证 | 支持配置认证服务器、超时时间、强制重登陆间隔、无感知、页面跳转设置 | |
认证方式-OAUTH认证 | 支持配置认证服务器、超时时间、强制重登陆间隔、无感知、页面跳转设置 | |
认证方式-第三方小程序认证 | 支持配置超时时间和加密秘钥 | |
认证方式-企业微信认证 | 支持功能的启用、禁用 | |
支持配置超时时间 | ||
支持认证后页面跳转设置:之前访问的页面、重定向URL、认证结果页面 | ||
支持接口参数配置向导的展示 | ||
支持接口参数的配置(回调地址、AppID、AppSecret以及AgentId) | ||
支持“自动获取所属用户组”的开启或者关闭 | ||
支持用户组的选择 | ||
认证方式-混合认证 | 认证后页面跳转设置:之前访问的页面、重定向URL、认证结果页面 | |
认证方式-认证模板设置 | 支持设置本地认证模板、微信认证模板、短信认证模板、免认证模板、二维码认证模板、APP认证模板、POP3认证模板、钉钉认证模板、企业微信认证模板、CAS认证模板、OAUTH认证模板、混合认证模板,支持Portal认证模板导入和导出 | |
支持PC端和终端认证页面的预览 | ||
支持对所有模板的编辑和重置,微信认证模板支持对认证成功页面的编辑,混合认证模板支持对短信认证发送按钮颜色的配置以及对免认证进行描述 | ||
认证服务器 | 支持认证服务器的新建、删除 | |
支持LDAP服务器、RADIUS服务器、POP3服务器、数据库服务器、CAS服务器和OAUTH服务器 | ||
支持认证服务器组的新建、删除 | ||
支持LDAP组、RADIUS组和POP3组的设置 | ||
用户自注册 | 支持自注册用户的新建、删除 | |
支持用户账号注册和终端注册 | ||
支持用户自注册对象的对象名称、注册内容项、审批方式、对象类型、操作等维度信息的查看 | ||
用户自注册-审核列表 | 支持管理员对自注册用户相关信息的查看 | |
支持管理员对自注册用户查询、重置、(批量)通过、(批量)拒绝等操作 | ||
高级选项 | 支持配置用户认证的识别范围和识别模式 | |
支持设置第三方认证,Radius和Ldap | ||
支持配置https弹portal | ||
支持https弹portal告警消除 | ||
支持加密认证告警消除 | ||
支持用户MAC无感知的开启关闭 | ||
支持伪Portal抑制的选择:HTTP 302和Html-refresh | ||
支持用户认证验证码(只对本地认证、免认证、POP3认证和混合认证中的本地认证、免认证、POP3认证生效) | ||
支持用户认证方式:绑定范围与密码同时校验 | ||
高级选项-第三方用户同步 | 标准第三方用户同步接口UDP9999 ,支持两个服务器设置 | |
Radius用户同步支持设置启用禁用、认证和计费端口,选择归属用户组 | ||
web认证监听用户同步支持设置启用禁用、web服务器、认证类型等相关参数(设备监听http的认证) | ||
支持深澜、城市热点、PPPoE、安美、DDI终端用户认证服务器的用户同步 | ||
未同步用户弹Portal:支持启用、同步用户IP范围、重定向URL | ||
数据库用户同步:支持启用、同步IP范围、支持配置数据库服务器相关参数、同步间隔 | ||
高级选项-认证策略白名单 | 支持配置主机名、是否排除 | |
支持对名单进行新建、删除 | ||
客户端审计 | 插件推送 | 插件推送支持是否启用、源IP地址范围、插件上传 |
插件模板配置列表显示:插件名称、描述、预览、操作 | ||
可查看插件推送页面、可修改或更新插件 | ||
终端审计 | 终端审计支持配置监听服务、HTTPS加密传输、保活周期、是否启用审计、IM审计相关配置、是否开启浏览器上网审计、客户端邮件审计配置、USB审计配置、进程列表审计是否开启 | |
在线终端支持查看和查询,列表字段包含:IP地址、MAC地址、系统版本、系统补丁 | ||
终端行为管理 | 插件推送 | 支持启用,禁用终端插件推送功能 |
支持上传终端插件 | ||
支持终端插件基于源IP范围进行推送 | ||
源IP范围内支持终端未安装插件允许上网 | ||
支持插件推送,对常用软件提供插件进行审计或控制行为,将信息传输给设备端,以设备+终端插件的方式解决信息审计问题 | ||
插件模板 | 系统内置插件终端推送模板 | |
插件模板区分pc和手机端 | ||
模板支持预览功能 | ||
插件模板支持管理员修改 | ||
业务配置 | 支持启用、禁用终端行为管理功能 | |
支持配置策略请求周期 | ||
支持配置终端日志上报间隔、上报最大条数、保留时长 | ||
授权管理 | 默认支持5台终端设备的管理 | |
支持通过license授权增加终端管理的设备 | ||
显示授权数、使用数、在线终端数、license失效时间等信息。 | ||
在线终端 | 支持在线终端IP、MAC信息的查看 | |
终端行为-外设监控策略 | 支持启用、禁用终端外设监控管理功能 | |
支持限制终端可移动磁盘、网络盘(网上邻居)、光盘(光驱)等硬盘的使用 | ||
支持限制终端光驱驱动器、USB设备等驱动器的使用 | ||
支持审计USB设备类型、限制蓝牙文件备份,支持设置蓝牙文件备份阈值 | ||
支持终端打印权限控制 | ||
支持光驱刻录限制 | ||
终端行为-上网行为审计 | 支持对终端上网行为进行管理 | |
支持终端聊天附件发送控制 | ||
支持设置发送文件备份阈值 | ||
支持对终端聊天内容、图片、工具文件的审计 | ||
支持终端网页浏览记录的审计 | ||
支持终端论坛发帖审计 | ||
支持终端PopMail邮件内容审计 | ||
支持终端WebMail网页邮件审计 | ||
IM内容审计 | ||
邮件审计 | ||
浏览器内容审计 | ||
U盘保卫 | ||
进程监控 | ||
终端行为-应用程序限制 | 支持基于窗口标题对应用程序进行限制 | |
支持基于软件版本对应用程序进行控制,维度包括:进程名称、限制方式、软件原始文件名、软件MD5 | ||
终端行为-水印策略 | 支持终端水印策略的启用、禁用 | |
支持打印水印和屏幕水印的设置 | ||
支持定制水印内容 | ||
接口配置 | 物理接口 | 支持物理接口的查询 |
支持物理接口的启用/关闭、查询 | ||
IPv4地址类型:静态(支持主从)、DHCP动态获取IP、PPPoE动态获取IP | ||
IPv6地址类型:静态(支持主从)、DHCP动态获取IP、无状态自动获取 | ||
IPv6地址类型:PPPoE动态获取IP、ND-RA获取 | ||
接口配置为DHCP方式获取地址,支持接受下发的DNS | ||
接口管理方式:HTTPS、SSH、Http、Telnet、Ping、Center-monitor | ||
电口协商模式:自动、强制(可设置双工和速率);光口协商模式:自协商 | ||
工作模式:路由模式、桥模式 | ||
接口描述:描述字符长度(0-127) | ||
接口支持设置为内网、外网口,便于链路流量统计 | ||
MTU支持修改范围1280-1500 | ||
支持vlan trunk功能 | ||
子接口 | 支持子接口的新建、删除、批量删除、查询、修改 | |
子接口ID范围支持1-4094 | ||
支持接口的启用/关闭 | ||
IPv4地址类型:静态(支持主从)、DHCP动态获取IP、PPPoE动态获取IP | ||
IPv6地址类型:静态(支持主从)、DHCP动态获取IP、无状态自动获取 | ||
IPv6地址类型:PPPoE动态获取IP、ND-RA获取 | ||
接口描述:描述字符长度(0-127) | ||
接口管理方式:HTTPS、SSH、Http、Telnet、Ping、Center-monitor | ||
MTU支持修改范围1280-1500 | ||
网桥接口 | 支持网桥接口的新建、删除、批量删除、查询、修改 | |
桥接口ID:0-255 | ||
支持接口的启用/关闭 | ||
IPv4地址类型:静态(支持主从)、DHCP动态获取、PPPoE动态获取 | ||
IPv6地址类型:静态(支持主从)、DHCP动态获取IP、无状态自动获取 | ||
IPv6地址类型:PPPoE动态获取IP、ND-RA获取 | ||
接口描述:描述字符长度(0-127) | ||
接口管理方式:HTTPS、SSH、Http、Telnet、Ping、Center-monitor | ||
MTU,修改范围1280-1500 | ||
聚合接口(ACG) | 支持聚合接口的新建、删除、批量删除、查询、修改 | |
负载分担支持配置逐流分担(可配置源IP、目的IP、源端口、目的端口)、逐包分担 | ||
模式支持配置手工、LACP | ||
LACP支持配置:优先级、超时模式、最大激活链路数、最小激活链路数 | ||
聚合接口ID:0-255 | ||
支持多接口嵌套 | ||
支持接口的启用/关闭 | ||
IPv4地址类型:静态(支持主从)、DHCP动态获取、PPPoE动态获取 | ||
IPv6地址类型:静态(支持主从)、DHCP动态获取IP、无状态自动获取 | ||
IPv6地址类型:PPPoE动态获取IP、ND-RA获取 | ||
接口描述:描述字符长度(0-127) | ||
接口管理方式:HTTPS、SSH、Http、Telnet、Ping、Center-monitor | ||
MTU支持的修改范围1280-1500 | ||
聚合接口支持加入到接口状态同步组 | ||
隧道接口(Tunnel) | 隧道模式:IPv6隧道、IPsec隧道、SSL隧道、GRE | |
支持key和校验检查 | ||
IPv4地址类型:支持静态配置 | ||
IPv6地址类型:支持静态配置 | ||
接口管理方式:HTTPS、SSH、Http、Telnet、Ping、Center-monitor | ||
MTU支持的修改范围1280-1480 | ||
无线接口 | 支持联通4G上网卡 | |
安全域 | 支持安全域的新建、修改、删除 | |
支持启用、禁用域内接口互访;默认域内接口互相访问,域间访问需IPv4策略针对相关域配置为允许 | ||
支持将接口、子接口和二层接口加入对应的域 | ||
虚拟网线 | 虚拟网线的新建、删除、批量删除 | |
支持将一对接口添加到一条虚拟网线中 | ||
虚拟网线的接口支持联动 | ||
虚拟网线支持基于vlan允许范围的过滤 | ||
路由管理 | 路由信息 | 显示设备IPv4路由表,支持查询 |
支持显示配置的VRF | ||
支持非对称路由(数据传输时去和回经过的节点不同)(底层特性,界面无相关配置) | ||
静态路由 | 支持静态路由的新建、删除、批量删除、启用/禁用、查询 | |
支持基于路由权重的多链路负载均衡 | ||
支持路由优先级 | ||
支持显示配置的VRF | ||
支持修改静态路由,无需删除后重建 | ||
RIP信息 | 支持启用禁用 | |
支持RIP版本v1、v2 | ||
RIP定时器修改(更新、超时、失效) | ||
支持缺省路由发布和路由重发布 | ||
RIP网络新建、删除 | ||
支持RIP Keychain 新建、删除 | ||
支持RIP扩展 | ||
支持接口下发送版本和接收版本的设置 | ||
支持认证方式:Text、MD5、HMAC-SHA256、不需要认证 | ||
OSPF信息 | 支持启用禁用 | |
支持路由器ID的指定 | ||
支持缺省路由发布、路由重发布 | ||
支持OSPF网络区域信息的新建、查询、删除、修改 | ||
支持基于接口配置OSPF协议,配置内容包括优先级、发送开销、网络类型、认证和老化计时等信息 | ||
支持认证方式:Text、MD5、HMAC-SHA256、不需要认证 | ||
支持OSPFv3邻居认证 | ||
策略路由 | 支持策略路由的新建、删除、批量删除、修改 | |
支持调整策略路由的匹配顺序 | ||
支持基于5元组、时间、入接口策略路由 | ||
基于用户的策略路由 | ||
基于应用的策略路由 | ||
支持基于路由权重的多链路负载均衡 | ||
支持IPv6的策略路由 | ||
ISP路由 | 支持内置中国联通、中国电信、教育网、中国移动ISP地址段信息 | |
支持自定义ISP信息 | ||
自定义运营商地址对象支持新建、删除和修改 | ||
支持ISP路由策略创建,删除 | ||
BGP信息 | 支持启用和禁用 | |
支持AS号和路由标识的设置 | ||
OSPF6信息 | 支持启用和禁用 | |
支持路由器ID的指定 | ||
支持路由重发布:直连路由、静态路由 | ||
支持OSPF6网络区域信息的新建、查询、删除、修改 | ||
支持OSPF6接口的新建,维度包含:接口和区域 | ||
支持OSPF6接口的信息展示,维度包含:接口名称、域以及操作 | ||
VPN-IPSec VPN | IKE第一阶段协商模式 | 支持IKEv1 |
支持主模式和野蛮模式 | ||
IKE身份认证 | 预共享密钥 | |
数字证书 | ||
国密认证 | ||
加密/HASH算法 | 算法包括SM3、SM4、SM4_SHA1、SM4_SM3、AES128、AES128_SHA1、AES128_SM3、AES192、AES192_SHA1、AES192_SM3、AES256、AES256_SHA1、AES256_SM3 | |
IPsec冷备份 | 支持IPsec冷备份,主VPN断开,备VPN触发开始建立。主VPN建立连接期间,备VPN不接收和发送报文。 | |
IPSec封装模式和协议 | 支持隧道模式 | |
支持ESP和AH封装(ESP协议号50;AH协议号51,AH对全部数据认证,ESP对不包含IP头的数据认证) | ||
部署模式 | 支持快速配置模式,可与同品牌产品快速对接IPsecVPN;支持第三方标准IPsec对接,可与其他厂商标准IPsecVPN进行对接 | |
VPN对端地址支持设置为静态IP、动态IP或域名 | ||
支持星型组网结构,即一个中心节点,多个分支节点 | ||
支持IPsecVPN客户端远程接入,可配置接入用户组、DNS和用户WINS | ||
配置方式 | 基于路由(隧道口)配置 | |
支持Ipsec端口的修改 | ||
其他特性 | 支持启用DPD检测(对等体状态探测)功能,用于探测对端VPN是否存活。支持设置检测间隔、失败重试间隔和失败重试次数。 | |
支持NAT穿越,即支持与NAT设备下联设备建立VPN连接 | ||
支持配置本地ID值,用于VPN双方身份校验,ID值支持选择:无、FQDN、U-FQDN或IP地址 | ||
支持配置DH组算法,用于对称密钥交换,可选择DH1、DH2或DH5 | ||
支持配置PFS,用于提高协商过程的安全性,可选择无、PFS1、PFS2或PFS5 | ||
支持IPv6 | ||
维护手段 | 支持展示IPsecVPN一阶段(IKE SA)的连接状态,内容包括“对端网关”、“本地网关”、“状态”、过期时间等 | |
支持展示二阶段(IPsec SA)的连接状态,内容包括包括“对端网关”、“本地网关”、“状态”、过期时间/过期流量、流量(入/出)、源网络、目的网络等 | ||
流量统计 | 支持统计VPN入和出方向的流量 | |
用户功能 | 支持用户强制下线 | |
IPsec快速配置1 | 支持设备作为VPN分支节点和中心节点 | |
支持基于预共享秘钥配置 | ||
设备做为分支节点,最多支持配置4个中心地址 | ||
支持分支到同一个中心多条链路优先级调整 | ||
支持分支到中心保护网段,网段一对一映射 | ||
支持基于保护接口和保护子网动态发布到对端 | ||
设备作为中心节点,支持指定本段IP地址 | ||
支持中心端保护网段的网段一对一映射 | ||
支持动态Ipsec功能的监控 | ||
支持IPv6 | ||
VPN-SSL VPN | SSL VPN | 支持IPv6 |
资源 | 支持配置资源IP,资源IP范围 | |
支持资源导入导出 | ||
支持配置预定义资源类型,自定义资源类型 | ||
门户页面 | 支持配置门户页面,标题,logo,公告 | |
支持配置客户端下载链接 | ||
策略 | 支持对用户授权资源,进行访问控制 | |
支持拨入时间段限制 | ||
支持配置强制下线时间 | ||
策略支持导入导出 | ||
全局配置 | 支持选择2个SSL VPN拨入接口 | |
支持配置SSL VPN端口,全局DNS,地址池,默认路由 | ||
支持用户多处登录 | ||
支持防暴力破解功能 | ||
SSL VPN 加密类型 | 支持OpenSSL加密库中的SSLv3/TLSv1协议函数库 | |
基础网络-DHCP服务 | DHCP服务类型 | 支持开启、关闭接口的DHCP服务 |
支持DHCP SERVER | ||
支持DHCP中继代理 | ||
服务器属性 | 支持DHCP服务器的新建、删除、修改 | |
DHCP服务器网络配置包括:网关、子网、开始及结束IP地址 | ||
租约可以配位无限、有限时长 | ||
高级属性:DNS支持2个,Wins支持2个,根据不同的作用域分别响应DHCP请求,支持AC1和AC2,支持选项252和选项253两个私有字段 | ||
支持排除地址、排除地址支持新建、修改、删除 | ||
支持IP-MAC绑定、支持新建、修改、删除 | ||
DHCP监视器 | 显示、查询DHCP服务已经分配的IP地址、MAC地址/DUID、、开始时间、结束时间 | |
可以手动清除已经分配的DHCP地址 | ||
DHCP v6 | 支持IPv6 DHCP服务 | |
支持client、server、relay模式 | ||
基础网络—DNS服务 | DNS server | 支持DNS代理的启用,禁用功能 |
支持4个DNS服务器 | ||
支持IPv6 DNS服务器 | ||
DNS 透明代理 | 代理接口支持三层接口 | |
支持DNS透明代理的启用、禁用 | ||
支持DNS透明代理的新建、删除、修改 | ||
实现基于优先级的dns代理算法 | ||
实现基于权重的dns代理算法 | ||
实现基于接口流量的DNS代理算法 | ||
支持静态域名配置 | ||
支持特定域名特定dns服务器解析 | ||
静态域名和特定域名支持模糊匹配 | ||
支持dns透明代理缓存管理 | ||
基础网络-DDNS服务 | DDNS | DDNS策略支持新建、删除、修改 |
支持DDNS的启用禁用 | ||
支持花生壳、阿里云DDNS客户端以及域名IP绑定功能 | ||
基础网络-应用缓存 | 应用缓存 | 支持应用的本地缓存,常用的应用直接通过设备下载,无需通过互联网来下载。(如QQ,可以自定义URL路径及文件) |
APP动态缓存 | 支持配置到特定服务器的APP下载,设备自动根据配置域名下载APP,并缓存到本地 | |
支持统计APP动态缓存命中总数,每个下载链接下的下载数之和 | ||
支持自动回收机制 | ||
支持管理员进行选择删除功能 | ||
APP模糊匹配 | 支持终端请求URL的模糊匹配(用户每次下载APP时,请求域名的host字段可能会不一样,但是path字段是不变的,当设备检测path字段与配置URL的path字段相同时,则匹配应用缓存规则) | |
基础网络-服务质量管理 | 服务质量管理 | 支持通过PING、TCP、DNS探测,统计探测目标(IP地址或者域名)的响应来进行服务质量评估 |
支持指定接口探测 | ||
支持自定义间隔时间探测 | ||
基础网络-端口镜像 | 镜像接口 | 支持镜像接口的新建、修改和删除 |
物理接口支持作为镜像接口和被镜像接口 | ||
镜像功能 | 支持将多个物理接口的流量镜像到一个接口 | |
支持基于接口全部流量,上行流量,下行流量的镜像 | ||
基础网络-部署方式 | 旁路部署 | 支持设定任意物理接口为旁路接口 |
高级配置 | 支持旁路阻断、旁路认证 | |
基础网络-VRF配置 | 接口虚拟化 | VRF支持新建、修改、删除 |
接口默认属于root(public),创建VRF后可把接口添加到VRF内,一个接口只能属于一个VRF。 | ||
IP地址重叠 | 不同VRF下的接口可以配置相同的IP地址 | |
静态路由 | 支持静态路由 | |
基础网络-IPv6网络 | 基础功能 | IPv6路由通告 |
IPv6静态路由 | ||
支持基于五元组安全策略 | ||
支持扩展报文头中的逐跳报文的处理、分片报文处理 | ||
支持手工隧道,6to4隧道,ISATAP | ||
防畸形报文攻击 | ||
基础网络-代理上网 | 代理服务 | 支持HTTP代理、SOCKS4/SOCKS5代理 |
支持代理中代理端口和代理认证的配置 | ||
支持自动配置、编辑PAC脚本 | ||
代理策略 | 支持HTTP代理、SOCKS4/SOCKS5代理策略的配置 | |
支持策略配置中是否启用、名称、描述、源地址、目的地址、动作、二级代理服务器、代理上网IP的配置 | ||
支持配置策略的新建、查询、删除、启用、禁用、优先级调整、匹配次数清零、默认规则更改 | ||
二级代理服务器 | 支持新建、删除、查询 | |
新建项:名称、描述、服务器地址、端口、服务器认证、用户名、密码 | ||
展示项:名称、描述、索引、服务器地址、端口、引用、操作 | ||
基础网络-网络引流 | GRE网络引流 | 支持是否启用、引流接口、引流对象 |
IPSec网络引流 | 支持是否启用、引流接口、引流对象 | |
系统设定 | 管理员 | 支持管理员的新建、修改、删除以及展示管理员信息 |
管理员信息包含:用户名、角色、创建者、用户组、认证类型、描述以及管理地址 | ||
管理员参数:用户名、描述、认证类型(本地、Radius、LDAP)、密码、确认密码、三个管理IP网段、管理员角色、用户组(非admin角色可选) | ||
支持管理员分级分权:支持按照层级创建管理员,并为其绑定用户组和角色 | ||
管理员角色支持:admin、audit(只有读权限)和自定义管理员 | ||
自定义管理员包含:名称、描述、权限管理以及权限列表,支持指定读写权限 | ||
管理员密码要求:密码必须包括数字、字母以及字符(!@#$%',-.),8-31 字符 | ||
支持显示在线管理员信息 | ||
在线管理员信息包含:用户名、管理地址、访问方式、登录时间、操作 | ||
支持剔除在线管理员 | ||
显示阻断的管理员信息(多次密码尝试错误的管理员) | ||
阻断的管理员信息包含:用户名、登录地址、访问方式、开始阻断时间、解除阻断时间、操作 | ||
管理设定 | 配置实时保存功能的开启、关闭 | |
管理员唯一性检查的开启和关闭 | ||
管理员双因子认证功能,支持Ukey | ||
最大登录尝试次数设置1-5、默认为5次 | ||
登录失败阻断时间间隔设置10-3600秒,默认60秒 | ||
页面超时时间设置1-480分钟 | ||
Web在线管理员数设置1-20个,默认20个 | ||
管理员认证方式配置:本地认证和外部认证 | ||
管理员外部认证支持Radius和Ldap两种服务器 | ||
可以配置外部管理服务器异常是否开启本地认证 | ||
HTTPS管理端口设置 | ||
HTTP管理端口设置 | ||
TELNET管理端口设置 | ||
SSH管理端口设置 | ||
密码周期功能的开启和关闭,支持设置1-180天 | ||
设备管理模式切换:普通模式(默认)、三权模式 | ||
时间设定 | 当前系统时间显示 | |
手动设定系统设计:日期、时间、时区 | ||
NTP时间同步设定:主服务器、备服务器、时间同步间隔 | ||
支持NTPv6 | ||
SNMP配置 | SNMP代理功能的启用、禁用 | |
SNMP版本信息选择:v1、v2c、v3 | ||
支持IPv6环境的SNMP协议 | ||
TRAP版本的信息选择:v1;v2c notification;v2c inform | ||
trap地址设置 | ||
位置设置 | ||
读团体名设置 | ||
写团体名设置 | ||
SNMP用户的新建、删除、查询 | ||
SNMP用户参数包含:用户名、认证类型、认证密码、加密 | ||
认证类型包含:none、md5、sha、sha256 | ||
加密方式支持:none、AES、DES | ||
快速配置 | 支持快速配置设备 | |
默认首次登录设备显示快速配置 | ||
快速配置支持设置下次登录不再显示 | ||
快速配置支持网关模式、网桥模式、旁路模式 | ||
网管配置 | 支持与NMS、BIMS、CMTUNNEL三种设备类型进行对接 | |
配置与网管端一致的用户名和密码 | ||
支持syslog和ftp两种协议传输,可配置端口和网管地址 | ||
日志设定-日志服务器 | 日志服务器支持启用禁用 | |
日志服务器支持配置三台 | ||
日志服务器支持发送普通syslog日志和非经日志,二选一 | ||
日志服务器指端端口设置默认udp 514端口 | ||
支持设置日志发送的源IP地址 | ||
syslog日志支持IPv6地址格式 | ||
日志设定-日志过滤 | 支持日志发送的统一配置 | |
支持设定系统日志、安全日志、流日志、Ipsec日志、上网行为日志的发送设定 | ||
支持设置日志的存储时间范围1-180天,默认90天 | ||
日志设定-保存期限 | 支持设置审计日志、系统日志、操作日志、安全日志、系统会话日志的保存期限,审计、系统、安全日志默认90天,操作日志默认365天,系统会话日志默认7天,范围90-365天 | |
日志设定-系统会话日志设定 | 支持会话创建日志、会话结束日志、长连接会话日志、DNS会话日志 | |
匹配条件:源地址、源端口、目的地址、目的端口、协议(TCP、UDP、ICMP、ICMP6、IGMP、其他) | ||
高可用性-HA全局配置 | HA工作模式选择:不启用、主备、主主 | |
主备模式:支持配置同步、运行状态同步、库同步 | ||
主主模式:支持运行状态同步、监控接口地址同步 | ||
主备模式支持抢占模式的开启和关闭,支持配置模式的延迟时间默认60秒,范围1-180秒 | ||
主主模式下新增支持主控和备控模式,支持配置与库同步 | ||
支持HA主主配置同步 | ||
支持HA配置不同步时,收集信息文件(信息收集-手动采集,下载diff文件,来查看区别) | ||
HA通信接口配置 | ||
被监控接口配置 | ||
地址探测配置 | ||
HA状态监控,显示本地和对端设备,显示:设备名称、主备状态、系统配置、WAF库、IPS库、AV库、APP库、URL库、TI库 | ||
HA接口管理地址配置支持新建删除 | ||
高可用性-接口状态同步组 | 接口状态同步组支持新建、删除 | |
接口状态组支持配置名称,选择组成成员 | ||
在选择组员成员时,支持选择聚合口 | ||
高可用性-接口状态探测 | 接口状态探测的新建、删除 | |
接口状态探测支持选择监控接口和地址探测对象 | ||
无线非经 | 支持国标(GA/WA3011.1-2015)数据格式对接 | |
支持任子行、派博、华三、虹旭、爱思、锐安、宽广智通、网博、云辰、携网、兆物、恒邦、中新、博网、派博-上海、网博(加密)、美亚柏科、盛世光明、烽火科技、中科新业、新网程、网盾、海康、白虹、西软、兴容、佰安、珠海网盈、网络督察、安博通、纳斯威尔、中科新业(国标)、任子行(加密)、浙江青兴等主流后端公安平台的直接对接 | ||
支持任子行非经SDK | ||
BA平台配置 | 支持启用BA分析平台的对接 | |
BA分析平台可以针对行为管理的数据二次加工,更加贴近业务。 | ||
支持配置BA平台的地址、同步策略名、接入秘钥 | ||
系统维护 | 系统升级 | 支持管理员手动升级相关库:系统软件、补丁、URL分类、应用库、入侵防御库、病毒库、无线非经库 |
支持系统自动审计,自动升级支持:入侵防御库、病毒库、URL库、应用库、WEB防护库 | ||
支持使用默认升级服务器和指定特定升级服务器 | ||
支持设定定时升级,选择每周的时间,每月的时间,每天的时间点 | ||
显示补丁上传记录,支持补丁执行 | ||
支持通过代理服务器进行升级,支持配置:是否开启该功能、主机IP、端口、是否开启验证用户、用户、密码 | ||
显示升级历史记录 | ||
系统重启 | 支持系统重启和恢复出厂设置 | |
支持保存配置开关的开启和关闭 | ||
配置文件 | 支持配置文件的导入、导出 | |
支持拷贝主配置文件到备份配置文件 | ||
支持恢复备份配置文件到主配置文件 | ||
授权管理 | 支持许可证的导入 | |
授权模块包含:基础功能、应用监控、URL分类、SSL VPN、入侵防御、病毒防护、应用监控升级、URL分类库升级、SSL VPN接入数、入侵防御库升级、病毒防护库升级 | ||
系统告警 | 支持事件告警的启用、禁用 | |
事件告警支持:CPU告警、内存告警、硬盘告警、会话告警、整机流量告警、证书过期告警、Ipsec 连接断开告警、移动终端管理告警、LDAP服务器对接失败告警、配置变更报警、负载均衡出接口报警、授权提醒 | ||
告警方式支持邮件 | ||
支持以短信形式告警,支持配置:短信对象、短信接收号码 | ||
支持配置邮件告警的启用、禁用 | ||
支持配置收件地址列表和收件标题 | ||
支持配置立即发送和间隔时间发送 | ||
支持记录告警日志,支持查询和导出功能 | ||
系统诊断工具 | 支持Ping探测 | |
支持Traceroute探测 | ||
支持TCP Syn探测 | ||
支持上网故障检测,针对常用的问题排错手段实现页面化使用 | ||
信息收集 | 设置方式:手动搜集和自动收集 | |
收集内容操作:下载、查看、删除 | ||
抓包工具 | 支持按照过滤条件抓取数据报文 | |
支持将报文下载到本地保存查看 | ||
支持多接口同时抓包 | ||
支持仅抓取新建会话,以及设置会话数 | ||
支持选择应用抓包 | ||
服务器管理 | FTP服务器 | 支持设置FTP服务器供系统其它功能调用 |
邮件服务器 | 支持设置邮件服务器供系统其它功能调用 | |
短信服务 | 提供15家短信平台、HTTP和SOAP通用短信网关等短信服务供系统其他功能调用 | |
区域防窜货 | 初始状态 | 首次登录设备,在未完成快速接入Internet配置,连接云平台前,设备将一直处在初始状态下,初始状态下的设备并发连接数将限制为100。 |
正常状态 | 当设备已完成云平台连接,且设备的物理地址和设备允许的接入地域一致时,设备将正常使用,功能不受限。 | |
窜货状态 | 当设备已完成云平台连接,但设备的物理地址和设备允许的接入地域不一致时,判定设备为窜货,并发连接数将限制为100。 | |
离线已授权 | 当设备在授权区域内使用,申请离线授权通过后,设备将与云平台断开连接,设备可以正常使用,功能不受限。 | |
离线未授权 | 当设备在授权区域内使用,但并未申请离线授权或离线授权未通过时,设备将在有限时间内正常使用,超过并发连接数将限制为100。 |
· 本章显示信息仅为软件升级过程的举例说明,实际显示信息与设备版本的实际情况相关,可能会略有差别,请以设备版本实际显示信息情况为准。
· 设备的默认存储介质为CF卡。
设备软件主要包括系统启动文件和MenuBoot文件。
启动文件是用于引导设备启动的程序文件。
通常情况下,启动文件是后缀名为.bin的文件(例如:SecPathACG1000-IMW110-R6603P02.BIN)。
配置文件是保存设备配置信息的文件。配置文件主要用于:
· 将当前配置保存到配置文件,以便设备重启后,这些配置能够继续生效。
· 使用配置文件,用户可以非常方便地查阅配置信息。
设备的配置文件名为syscfg.con、syscfg.bcp,其中,syscfg.con用于保存同时支持通过命令行与Web所做的配置,syscfg.bcp用于备份配置文件。
· 执行copy running-config backup-config 命令将当前运行文件拷贝到备份配置中。
· 执行copy startup-config backup-config 命令将已保存的配置文件拷贝到备份配置中。
· 执行copy backup-config startup-config 命令将备份配置文件恢复到启动文件中。
升级对象 | 升级方式 | 说明 |
升级启动文件 | 通过命令行升级启动文件 | · 对于Web方式升级启动文件,无需开启TFTP/FTP Server功能 · 由于不同软件版本之间配置文件信息不兼容,会造成升级后设备的配置与升级前不相同,请您仔细查阅相应章节内容,以便确认待升级版本的特性变更情况 |
通过Web升级启动文件 | ||
通过MenuBoot菜单升级启动文件 |
TFTP/FTP Server由用户自己购买和安装,设备不附带此软件。
TFTP(Trivial File Transfer Protocol,简单文件传输协议)是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。设备作为TFTP Client,文件服务器(通常为PC)作为TFTP Server,用户通过在终端输入相应命令,可将本设备的启动文件上传到文件服务器上,或者从文件服务器下载启动文件到设备中。
FTP(File Transfer Protocol,文件传输协议)在TCP/IP协议族中属于应用层协议,主要向用户提供远程主机之间的文件传输。设备作为FTP Client,文件服务器(通常为PC)为FTP Server。
在升级设备启动文件前,请完成如下准备工作:
· 配置ACG的管理口IP地址。
· 开启文件服务器的TFTP/FTP Server功能。
· 通过配置终端登录到命令行配置界面中。
· 将升级启动文件拷贝到文件服务器上,并正确设置TFTP/FTP Server的访问路径。
B.4.1 通过命令行升级启动文件
· 通过命令行升级启动文件,可以采用以下方式:使用FTP协议升级设备的启动文件
· 使用TFTP协议升级设备的启动文件
· 使用FTP协议升级设备的启动文件
1. 使用TFTP协议升级设备的启动文件
设备作为TFTP Client,访问TFTP文件服务器的指定路径,完成启动文件的备份与升级操作,具体操作步骤如下:
(1) 备份当前启动文件和配置文件
步骤1 在命令行配置界面的任意视图下,执行save命令保存设备当前配置信息:
H3C# save config
Building configuration...
Save configuration ok !
步骤2 在命令行配置界面的用户视图下,执行display version命令,确认当前版本号:
H3C# display version
i-Ware software,Version 1.10, Release 6605, Build time is Jan 28 2015 17:31:46
System uptime: 0 days 0 hours 42 minutes
Firmware is SecPathACG1000-IMW110-R6605.BIN
Application signature version: ACG-APP-R3.1.4
Software S/N : 110100100115022860784559
Model : ACG1000-S
Platform : PLATFORM_MC1220
Basic Functionality : License valid
Application Audit and Control : License valid
Malware URL Category : License valid
Virtual Private Network : License valid
Application Audit and Control Update Service : License valid
Malware URL Category Update Service : License valid
Virtual Private Network Tunnel Limit : License valid
步骤3 在命令行配置界面的用户视图下,执行copy startup-config将配置文件syscfg.con备份到TFTP文件服务器上:
H3C# copy startup-config tftp 192.168.0.2 syscfg.con
H3C#
(2) 升级启动文件
本节中,以即将升级的启动文件SecPathACG1000-IMW110-F6603P02.BIN,版本1.10, Release 6603P02为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。
步骤4 在命令行配置界面的用户视图下,执行copy tftp命令将启动文件SecPathACG1000-IMW110-F6603P02.BIN 导入到CF卡中:
H3C# copy tftp 192.168.2.185 SecPathACG1000-IMW110-F6603P02.BIN ver
Download file SecPathACG1000-IMW110-F6603P02.BIN ....
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
#####################################################
Download file(SecPathACG1000-IMW110-F6603P02.BIN) success.
Checking images valid success.
Install system................................................ success
Update images success.
步骤5 在命令行配置界面的用户视图下,执行reboot命令重启设备:
H3C# reboot
Save current configuration? Please enter "y/n" to confirm: y
Building configuration...
Save configuration ok !
The system will be rebooted! Please enter "y/n" to confirm: y
……略……
步骤6 设备重启后,通过display version命令查看设备的当前版本信息是否与升级的版本一致
i-Ware software,Version 1.10, Release 6603P02, Build time is Mar 5 2015 15:32:26
System uptime: 0 days 0 hours 5 minutes
Firmware is SecPathACG1000-IMW110-F6603P02.BIN
Application signature version: ACG-APP-R3.1.4
Software S/N : 110100100115022860784559
Device S/N : 219801A0QQ914AP00001
Model : ACG1000-S
Platform : PLATFORM_MC1220
Basic Functionality : License valid
Application Audit and Control : License valid
Malware URL Category : License valid
Virtual Private Network : License valid
Application Audit and Control Update Service : License valid
Malware URL Category Update Service : License valid
Virtual Private Network Tunnel Limit : License valid
2. H3C#使用FTP协议升级设备的启动文件
设备作为FTP Client,访问FTP文件服务器的指定路径,完成启动文件的备份及升级操作,具体操作步骤如下:
(1) 备份当前启动文件和配置文件
步骤7 在命令行配置界面的用户视图下,执行save命令保存设备当前配置信息:
H3C# save config
Building configuration...
Save configuration ok !
步骤8 在命令行配置界面的用户视图下,执行display version命令,确认当前版本号:
H3C# display version
i-Ware software,Version 1.10,Release 6603P01, Build time is Jan 28 2015 17:31:46
System uptime: 0 days 0 hours 42 minutes
Firmware is SecPathACG1000-IMW110-R6603P01.BIN
Application signature version: ACG-APP-R3.1.4
Software S/N : 110100200114052620813527
Model : ACG1000-M
Platform : PLATFORM_MC5200
Basic Functionality : License valid
Application Audit and Control : License valid
Malware URL Category : License valid
Virtual Private Network : License valid
Application Audit and Control Update Service : License valid
Malware URL Category Update Service : License valid
Virtual Private Network Tunnel Limit : License valid
步骤9 在命令行配置界面的用户视图下,执行copy startup-config将配置文件syscfg.con备份到FTP文件服务器上:
H3C# copy startup-config ftp anonymous test 192.168.0.2 syscfg.con
(2) 升级启动文件
本节中,以即将升级的启动文件SecPathACG1000-IMW110-F6603P02.BIN,版本1.10,Release 6603P02为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。
步骤10 在命令行配置界面的用户视图下,执行copy ftp命令将启动文件SecPathACG1000-IMW110-R6603.BIN导入到设备的CF卡中:
H3C# copy ftp user password 192.168.2.185 SecPathACG1000-IMW110-F6603P02.BIN ver
Download file SecPathACG1000-IMW110-F6603P02.BIN ....
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
#####################################################
Download file(SecPathACG1000-IMW110-F6603P02.BIN) success.
Checking images valid success.
Install system................................................ success
Update images success.
步骤11 在命令行配置界面的用户视图下,执行reboot命令重启设备:
H3C# reboot
Save current configuration? Please enter "y/n" to confirm: y
Building configuration...
Save configuration ok !
The system will be rebooted! Please enter "y/n" to confirm: y
步骤12 设备重启后,通过display version命令查看设备的当前版本信息是否与升级的版本一致
i-Ware software,Version 1.10, Release 6603P02, Build time is Mar 5 2015 15:32:26
System uptime: 0 days 0 hours 5 minutes
Firmware is SecPathACG1000-IMW110-F6603P02.BIN
Application signature version: ACG-APP-R3.1.4
Software S/N : 110100100115022860784559
Device S/N : 219801A0QQ914AP00001
Model : ACG1000-S
Platform : PLATFORM_MC1220
Basic Functionality : License valid
Application Audit and Control : License valid
Malware URL Category : License valid
Virtual Private Network : License valid
Application Audit and Control Update Service : License valid
Malware URL Category Update Service : License valid
Virtual Private Network Tunnel Limit : License valid
设备支持Web网管功能,管理员可以使用Web界面方便直观地管理、维护和升级。
设备在出厂前,已经设置了缺省的Web登录信息,用户可以直接使用该缺省信息登录Web界面。
表4 设备缺省Web登录信息表
登录信息项 | 设备默认配置 |
用户名 | admin |
密码 | admin |
接口IP地址 | 192.168.1.1/24 |
(1) 连接设备和PC。
用以太网线将PC和设备的以太网口相连。
(2) 为PC配置IP地址,确保能与设备互通。
修改IP地址为192.168.1.0/24(除192.168.1.1),例如192.168.1.2。
(3) 启动浏览器,输入登录信息。
在PC上启动浏览器,在地址栏中输入IP地址“192.168.1.1”后回车,即可进入设备的Web登录页面,输入设备默认的用户名、密码和验证码,单击<登录>按钮即可登录。
(4) 在导航栏中选择“系统管理 > 系统设定>系统升级”,进入如下图所示的页面。
(5) 单击<上传>按钮开始进行软件升级。
软件升级需要一定的时间。升级完成后,手动执行重启命令重启设备。
B.4.3 通过MenuBoot菜单升级启动文件
通过MenuBoot菜单升级启动文件,可以采用以下方式:
· 通过以太网口利用FTP升级启动文件
1. 连接console线缆进入MenuBoot菜单
以下显示信息与设备实际情况相关,可能会略有差别。
设备上电和重新启动的过程中,在配置终端的屏幕上首先将显示 输入Ctrl+C进入menuboot 菜单,
PrRss Ctrl+C to stop auto start : 03
reading menuboot
.......................................[ 25.391419] tmp421 0-004c: Could not read configuration register (-5)
/sbin/rc starting
Mounting file systems
Setting up loopback
……
===============================================================
| BOOT MENU(V2.0-20140812) |
| 1. Upgrade image by FTP. |
| 2. Upgrade menuboot by FTP. |
| 3. Check and repare file system. |
| 4. Reset administrator passowrd. |
| 5. Producing test. |
| 6. Aging test. |
| 7. Display production and aging recored. |
| 8. Advance functions. |
| 0. Reboot. |
| |
===============================================================
该菜单含义如下:
表5 MenuBoot主菜单
说明 | |
<1> Upgrade image by FTP | 通过FTP升级启动文件 |
<2> Upgrade menuboot by FTP | 通过FTP升级menuboot |
<3> Check and repare file system | 检测/修复文件系统 |
<4> Reset administrator passowrd | 恢复管理员默认密码 |
<5> Producing test | 装备测试,检查端口基础通讯功能 |
<6> Aging test | 老化测试,长时间进行收发报文压力测试 |
<7> Display production and aging recored | 显示装备测试和老化测试的结果 |
<8> Advance functions | 暂不支持 |
<0> Reboot | 重新启动设备 |
2. 通过以太网口利用FTP升级启动文件
(1) 在MenuBoot主菜单下键入<1>,可以进入通过FTP升级启动文件,分别输入如下信息:
Please input your choice[0-8]:1
Local IP[A.B.C.D/M]:192.168.0.1/24
Server IP[A.B.C.D]:192.168.0.2
Gateway IP[A.B.C.D]:192.168.0.254
image name[xxx.bin]:SecPathACG1000-IMW110-F6603P02.BIN
显示 | 说明 |
LOCAL IP | 设备自己的IP地址 |
Server IP | FTP服务器IP地址 |
Gateway IP | 网关IP地址,当与服务器不在同一网段时需要配置网关地址 |
image name | 升级版本名称 |
(2) 升级完成后,键入<0>重启设备使新升级文件生效:
Download file SecPathACG1000-IMW110-F6603P02.BIN ....
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
##############################################
Download file(SecPathACG1000-IMW110-F6603P02.BIN) success.
Checking images valid success.
Install system......................................................................... success
Update images success.
===============================================================
| BOOT MENU(V2.0-20140812) |
| 1. Upgrade image by FTP. |
| 2. Upgrade menuboot by FTP. |
| 3. Check and repare file system. |
| 4. Reset administrator passowrd. |
| 5. Producing test. |
| 6. Aging test. |
| 7. Display production and aging recored. |
| 8. Advance functions. |
| 0. Reboot. |
| |
===============================================================
Please input your choice[0-8]: 0
设备加载升级文件,需要2分钟左右
设备重启,需要3分钟左右
升级失败后,用户可以通过以下方式尝试解决软件升级失败问题。
(1) 请检查物理接口是否连接完好,请确保接口物理连接正确,并观察指示灯是否正常。
(2) 通过Console口登录设备时,请检查超级终端相关参数是否设置正确,如波特率、数据位等。
(3) 请检查FTP Server或者TFTP Server等软件是否正常运行,相关设置是否正确。
(4) 如果文件在加载结束后出现如下提示:image desc magic check fail.请检查文件是否可用。
(5) 如果上述检查均正常,请联系H3C技术服务人员。
C.1 存储器规格差异说明
因为部分设备存在不同的硬件版本,所以其存储器的规格存在差异,具体差异请参考图3表7中的详细信息。
通过图3中的方式,可以获取设备的硬件版本信息,比如B0是此设备的硬件版本。
设备 | 存储器类型 | 规格 |
ACG1000-SE-PWR ACG1000-SE ACG1030-X1 ACG1050-X1 ACG1000-AK230 ACG1000-AK240 ACG1000-AK250 ACG1000-AK260 ACG1000-C9130 | Flash | 4GB Nand Flash |
内存 | · DDR3 · 2GB | |
硬盘 | 500GB(B0以下版本) 1TB(B0及B0以上版本) | |
ACG1000-BE-PWR ACG1000-BE ACG1010-X1 | Flash | 4GBNand Flash |
内存 | · DDR3 · 1GB(B0以下版本) · 2GB(B0及B0以上版本) | |
硬盘 | N/A | |
ACG1005-PWR | Flash | 4GBNand Flash |
内存 | · DDR3 · 1GB · 2GB(C0及C0以上版本) | |
硬盘 | N/A | |
ACG1000-AK270 ACG1000-AK280 | Flash | 4GB Nand Flash |
内存 | · DDR3 · 4GB | |
硬盘 | 500GB(D0以下版本) 1TB(D0及D0以上版本) | |
ACG1000-XE1 | Flash | 4GB Nand Flash |
内存 | · DDR4 · 16GB | |
硬盘 | 1TB(B0以下版本) 2TB(B0及B0以上版本) | |
ACG1000-PE ACG1000-EE | Flash | 4GB Nand Flash |
内存 | · DDR4 · 8GB | |
硬盘 | 1TB(B0以下版本) 2TB(B0以及B0以上版本) | |
ACG1000-AE ACG1000-C9170 | Flash | 4GB Nand Flash |
内存 | · DDR3 · 4GB | |
硬盘 | 1TB(B0以下版本) 2TB(B0及B0以上版本) | |
ACG1000-ME ACG1000-TE ACG1060-X1 ACG1070-X1 ACG1000-C9150 ACG1000-C9160 | Flash | 4GB Nand Flash |
内存 | · DDR3 · 2GB | |
硬盘 | 1TB(B0以下版本) 2TB(B0及B0以上版本) | |
ACG1000-AK215 ACG1000-AK225 | Flash | 4GB Nand Flash |
内存 | · DDR3 · 2GB | |
硬盘 | · 500GB(B0以下版本) · 1TB(B0及B0以上版本) | |
ACG1000-AK255 ACG1000-AK265 | Flash | · 4GB Nand Flash |
内存 | · DDR3 · 2GB | |
硬盘 | · 1TB(B0以下版本) · 2TB(B0及B0以上版本) | |
ACG1000-AK275 | Flash | · 4GB Nand Flash |
内存 | · DDR3 · 4GB | |
硬盘 | · 1TB(B0以下版本) · 2TB(B0及B0以上版本) |
1. 任何从本网站下载的软件都是H3C公司受著作权保护的产品。
2. 使用软件必须受最终用户许可协议的条款的约束,该许可协议随软件附上或包含在软件中。
3. 除非最终用户首先同意许可协议的条款,否则不能安装任何附有或内含许可协议的软件。
4. 软件仅供最终用户根据许可协议的规定下载使用。
5. 最终用户在用下载软件进行升级及使用的过程中,应严格遵守操作指导书,对于未按指导书而引起的问题,责任由使用者自负。
6. 对于任何与许可协议条款不符的软件复制或再分发均被法律明确禁止,并可导致严重的民事及刑事处罚。
7. 所下载的软件版本仅限美国以外的地区使用。