Fireware XTM 11.5.1 发行说明
简介
12 月 13 日,WatchGuard 发布了 WatchGuard System Manager 11.5.1 版的更新版。 这次更新的名称为 WatchGuard System Manager v11.5.1 Update 1(内部版本号为 331994),修复了两个秘密报告的关于 WSM 11.5.1 Log Server 和 Report Server 的跨站脚本漏洞。 (通常,XSS 缺陷会让攻击者获得受害者浏览器中的提升权限,包括让攻击者能够运行脚本或其他代码。) 这些漏洞不会让攻击者获得访问 XTM 设备或更改防火墙规则的权限,但有可能让攻击者能够在未经授权的情况下访问计算机。
更新2包括所有的变化更新1。
感谢 Sec-1 的 Wayne Murphy 报告这些 XSS 缺陷。
WatchGuard 非常高兴宣布 Fireware XTM 11.5.1 版和 WatchGuard System Manager 11.5.1 版的正式发布。 您可在任意 WatchGuard XTM 设备上安装 Fireware XTM OS 11.5.1 版软件,其中包括 2 系列、新的 XTM 330、5 系列、8 系列、XTM 1050 和新的 XTM 2050 设备。
以下是 Fireware XTM 11.5.1 版所有新功能的亮点。
采用全新的 Log and Report Manager Web UI
以全新的 Log and Report Manager Web UI 将 LogViewer、Report Manager 和 Reporting Web UI 取代为单一、易用、快速、基于 Web 的用户界面。 本发行说明稍后将提供更多相关信息。 其他新增的日志和报告功能包括:
- 自动集成 WatchGuard Reports 和 ConnectWise - 将 XTM 设备注册到 ConnectWise 服务器,然后获得自动的“带宽”、“入侵”、“筛选的站点”和“站点排名”报告。
- 日志消息现在以 UTC 时间戳存储 - 存储在 Log Server 数据库中的日志消息现在采用日志消息本身的时间戳,而非日志消息到达 Log Server 的时间。 要使用此功能,必须将 Log Server 和 Report Server 升级到 11.5.1 版。 请参阅本发行说明稍后的“Log Server 升级详细信息”和“Report Server 升级详细信息”两节,了解关于此功能升级的重要信息。
网络新功能
- Mobile VPN with IPSec 支持 Apple® iPad、iPhone、iPod touch 和 Mac OS 设备。 有关详细信息,请参阅此帮助主题。
- 适用于 Mac 的 Moblie VPN with SSL 客户端 64 位支持。
- 改进的动态路由选择支持 - 包括对以下各项中的动态路由选择功能的支持:FireCluster、配置验证以及 Quagga 开源动态路由选择程序包“幕后”更新。
- 关键 IPv6 网络功能支持 - 通过 Fireware XTM 11.5.1 版,我们已添加在所有 XTM 网络接口上执行 IPv6 IP 地址静态配置的支持、针对无状态地址自动配置的路由器通告,以及使用 IPv6 地址添加静态路由和 DNS/WINS 服务器的功能。 此版本会验证 IPv6 网络功能是否正常;不会提供针对 IPv6 流量的防火墙功能,但将作为后续版本实施 IPv6 防火墙功能的基础。 未来发行的版本将实现更多高级 IPv6 功能,包括隧道功能、DHCP、本机 IPv6 安全功能以及其他安全服务。
SMTP 代理已增强,可支持 TLS 加密
SMTP 代理现在可实施加密的用户身份验证和端到端邮件正文加密。
Centralized Management 的新功能
- 现在可以为身份验证服务器和已授权的用户和组配置继承设置。
- 添加了新的搜索功能来帮助您快速查找管理的设备。
无客户端单点登录
使用 Fireware XTM 11.5.1 版,您将获得改进的单点登录准确性,而无需在您的所有计算机上安装 SSO 客户端软件。 单点登录代理软件包中包括一个新的 Event Log Monitor 工具,在每个域的域控制器上安装该工具后,该工具可以对已登录任何这些域的所有用户拉取其正确的用户凭据。
FIPS 支持
运行 Fireware XTM 11.5.1 版时,如果采用与 IPSec 兼容的方式进行配置,则 WatchGuard XTM 设备现在符合 FIPS 140-2 第 2 级安全的总体要求。
除了这些激动人心的新功能之外,我们还特地向现有客户群发布大量修补程序。 有关详细信息,请参阅本发行说明稍后的已解决的问题一节。
有关 Fireware XTM 11.5.1 版提供的功能增强的详细信息,请参阅 Fireware XTM 11.5.1 版的新增功能。
开始之前
安装本版本之前,请确保已准备好以下事项:
- WatchGuard XTM 2 系列、3 系列、5 系列、8 系列、XTM 1050 或 XTM 2050 设备。
- 以下列出了必需的硬件和软件组件。
- XTM 设备的功能密钥 — 如果将 XTM 设备从较早版本的 Fireware XTM OS 进行升级,您可使用现有的功能密钥。
请注意,您可在运行早期 Fireware XTM 11 版本的设备上安装和使用 WatchGuard System Manager 11.5.1 版和所有 WSM 服务器组件。 如果是这样,我们建议您使用与 Fireware XTM OS 版本相符的产品文档。
该产品的文档可见于 WatchGuard 网站,网址为:www.watchguard.com/help/documentation。
本地化
Fireware XTM 管理用户界面(WSM 应用程序套装和 Web UI)已在 11.5.1 版中进行本地化。 支持的语言有:
- 中文(简体,中华人民共和国)
- 法文(法国)
- 日文
- 西班牙文(拉丁美洲地区)
除了这些语言之外,我们还在 11.5.1 版发布中提供韩文和繁体中文的 Web UI 本地化支持。 只对 Web UI 本身进行了本地化。 在这两个语言版本中,WSM 和所有帮助文件和用户文档仍为英文。
请注意,大多数数据输入仍必须然使用标准的 ASCII 字符。 您可在某些 UI 部分使用非 ASCII 字符,其中包括:
- 代理拒绝消息
- 无线 Hotspot 标题、术语和状态,以及消息
- WatchGuard Server Center 用户、组和角色名称
从设备操作系统返回的所有数据(如日志数据)都会以英文显示。 此外,Web UI 系统状态菜单中的所有条目和第三方公司提供的所有软件组件仍将是英文。
Fireware XTM Web UI
默认情况下,Web UI 会以您的 Web 浏览器中设置的语言启动。 当前所选语言的名称会显示在每个页面的顶部。 要更改为其它语言,请单击显示的语言名称。 将出现下拉列表,然后可以选择要使用的语言。
WatchGuard System Manager
在安装 WSM 时,可以选择要安装的语言包。 显示在 WSM 中的语言将和 Microsoft Windows 环境中所选的语言匹配。 例如,如果使用的是 Windows XP 且希望使用日文版的 WSM,请前往“控制面板”>“区域和语言选项”,然后从语言列表中选择日文。
Log and Report Manager、CA Manager、Quarantine Web UI 和无线 Hotspot
这些 Web 页面将自动以 Web 浏览器中设置的首选语言显示。
Fireware XTM 和 WSM 11.5.1 版操作系统的兼容性
*支持 Microsoft Windows Server 2008 32 位和 64 位;支持 Windows Server 2008 R2 64 位。
* * 采用手动身份验证方式的 Terminal Services 支持功能适用于 Microsoft Terminal Services 或 Citrix XenApp 4.5、5.0、6.0 和 6.5 环境。
*** 需要 Microsoft Windows Server 2003 SP2。
系统要求
下载软件
- 登录 WatchGuard 门户并选择“Articles & Software”(文章与软件)选项卡。
- 在“Search”(搜索)区域,清除“Articles”(文章)复选框并搜索可用的“Software Downloads”(软件下载)。 选择要下载其相关软件的 XTM 设备。
可供下载的软件文件有若干个。 请参见下列说明,以便了解您的升级操作需要哪些软件包。
WatchGuard System Manager
所有用户现在都可以下载 WatchGuard System Manager 软件。 可以通过该软件包安装 WSM 和 WatchGuard Server Center 软件:
WSM11_5_1s.exe — 使用此文件将 WatchGuard System Manager 从 11.x 版升级到 WSM 11.5.1 版。
Fireware XTM OS
为您的硬件选择合适的 Fireware XTM OS 映像。 如果要从运行 Microsoft Windows 操作系统的计算机安装该操作系统,请下载 .exe 文件。 如果将从运行非 Windows 操作系统的计算机安装该操作系统,请使用 .zip 文件。
单点登录软件
如果使用单点登录,有两个文件可供下载:
- WG-Authentication-Gateway.exe(SSO 代理软件 - 单点登录所需,包含适用于无客户端 SSO 的可选 Event Log Monitor)
- WG-Authentication-Client.msi(SSO 客户端软件 - 可选)
有关如何安装及设置单点登录,请参见产品文档。
Terminal Services 认证软件
- TO_AGENT_32_11_5_1.exe(32 位支持)
- TO_AGENT_64_11_5_1.exe(64 位支持)
Windows 和 Mac 的 Mobile VPN with SSL 客户端
如果要通过 SSL 实现移动 VPN,有两个文件可供下载:
- WG-MVPN-SSL_11_5_1.exe(适用于 Windows 的客户端软件)
- WG-MVPN-SSL_11_5_1.dmg(适用于 Mac 的客户端软件)
适用于 Windows 的 Mobile VPN with IPSec 客户端
您可从我们的网站下载新的适用于 Windows 的 Shrew Soft VPN 客户端。 有关 Shrew Soft VPN 客户端的详细信息,请参阅帮助或访问 Shrew Soft, Inc. 网站。
从 Fireware XTM 11.x 版升级至 11.5.1 版
从 Fireware XTM 11.x 版升级至 Fireware XTM 11.5.1 版之前,请下载并保存与您所要升级的 WatchGuard 设备相匹配的 Fireware XTM 操作系统文件。 您可以在 WatchGuard 门户上的“Articles & Software”(文章与软件)选项卡中查找所有可用软件。 您可使用 Policy Manager 或 Web UI 来完成升级步骤。 强烈建议您在升级前备份设备配置、WatchGuard Management Server 配置和 Log Server 与 Report Server 数据库。 没有这两个备份文件将不能进行降级。
备份 WatchGuard Management Server 配置
从安装 Management Server 的计算机中:
- 在 WatchGuard Server Center 中,选择“文件”>“备份/恢复”。
将启动 WatchGuard Server Center Backup/Restore Wizard。
- 单击“下一步”。
将显示“选择操作”屏幕。
- 选择“备份设置”。
- 单击“下一步”。
将显示“指定备份文件”屏幕。
- 单击“浏览”为备份文件选择位置。 请确保将配置文件保存到以后恢复配置时可以访问的位置。
- 单击“下一步”。
将显示“WatchGuard Server Center Backup/Restore Wizard 已完成”的屏幕。
- 单击“关闭”退出向导。
备份 Log Server、Report Server、Quarantine Server
由于 Log Server 和 Report Server 数据库结构在升级至 WSM 11.5.1 版时会发生改变,因此请务必备份 Log Server 和 Report Server 数据,以供降级时使用。 如果使用了 Quarantine Server,可能还需对其进行备份。
- 在 WatchGuard Server Center 中,请注意 Log Server 和 Report Server 数据库的安装路径。 然后,停止所有服务器。
- 在“控制面板”>“管理工具”>“服务”中,停止 PostgreSQL-8.2 Server。
- 对包含 Log Server 和 Report Server 配置的目录中的内容进行备份或复制。
在 Windows XP SP2 或 Windows Server 2003 中,如果接受默认安装,Log Server 和 Report Server 数据库将位于以下位置:
%SYSTEMDRIVE%\Documents and Settings\WatchGuard
在 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 中,如果接受默认安装,Log Server 和 Report Server 数据库将位于以下位置:
%SYSTEMDRIVE%\ProgramData\WatchGuard
- 如果不使用默认位置,请备份 Log Server 和 Report Server 数据库目录。 可在 WatchGuard Server Center 的 Log Server 和 Report Server“数据库维护”选项卡上查找数据库位置。 默认情况下,数据库位于步骤 3 所列的目录中,该步骤并非必需。
- 如果不使用默认位置,请备份存储数据库备份文件的 Log Server 目录。 Log Server“数据库维护”选项卡中会显示此目录路径。
- 如果不使用默认位置,请备份存储“可用报告”的 XML 文件的 Report Server 目录。 Report Server“服务器设置”选项卡中会显示此目录路径。
通过 Web UI 升级至 Fireware XTM 11.5.1 版
- 转到“系统”>“备份映像”或使用 USB 备份功能备份当前的配置文件。
- 在管理计算机上,启动从 WatchGuard 软件下载中心下载的操作系统软件文件。
如果使用基于 Windows 的安装程序,该安装会将名为 [xtm series]_[product code].sysa-dl l 的升级文件提取至默认位置:C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.5.1\[model]。
- 通过 Web UI 连接到 XTM 设备,然后选择“系统”>“升级操作系统”。
- 浏览到步骤 2 中 [xtm series]_[product code].sysa-dl 的位置,然后单击“升级”。
从 WSM/Policy Manager 11.x 版升级至 Fireware XTM 11.5.1 版
- 选择“文件”>“备份”或使用 USB 备份功能来备份当前的配置文件。
- 在管理计算机上,启动从 WatchGuard 门户下载的操作系统可执行文件。 该安装会将名为 [xtm series]_[product code].sysa-dl l 的升级文件提取至默认位置:C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.5.1\[model]。
- 安装并打开 WatchGuard System Manager 11.5.1 版。 连接至 XTM 设备并启动 Policy Manager。
- 在 Policy Manager 中,选择“文件”>“升级”。 系统提示时,找到并选择步骤 2 中的 [xtm series]_[product code].sysa-dl 文件。
有关 WatchGuard 服务器软件升级的常规信息
从 11.0.1 版或更高版本更新至 WSM 11.5.1 版时,无需卸载以前的 11.x 版服务器或客户端软件。 可在现有安装的基础上安装 11.5.1 版服务器和客户端软件,以升级 WatchGuard 软件组件。 如果使用外部 PostgreSQL 数据库,建议您升级到您所用的 PostgreSQL 服务器发行版的最新次要版本,或确保在升级前您所用的版本对于您所在时区而言是最新的。 在 Log Server 升级和 Report Server 升级期间,现有日志和报告数据的时间戳将转换为本地时区的 UTC 格式。 此处提供了对于每项升级应了解的具体详细信息:
Log Server 升级详细信息
- UTC 迁移将按照从数据库最新数据到最旧数据的顺序进行。 如果数据库中有大量数据,UTC 转换可能需要较长时间。
- 只有完成迁移后,Log and Report Manager Web UI 中才会出现数据。
- 如果启用了失败通知,Log Server 将在迁移开始、完成以及出现错误时发送电子邮件通知。
- 如果在迁移期间停止 Log Server,则会在重新启动 Log Server 时自动继续迁移过程。
- 在迁移期间,Report Server 无法访问任何日志数据。
- 可将 WSM 11.4 版或较早版本的 LogViewer 与 11.5.1 版 Log Server 结合使用。
- 如果已配置 Log Server 使用外部 PostgreSQL 数据库,请务必升级到您所用的 PostgreSQL 服务器发行版的最新次要版本,或确保在升级前您所用的版本对于您所在时区而言是最新的。 对于设置为 Log Server 安装过程组成部分的 Log Server 数据库,升级过程将自动进行。
Report Server 升级详细信息
- 如果 Report Server 数据库中有大量数据,UTC 转换可能需要较长时间。
- 如果启用了失败通知,Report Server 将在迁移开始、完成以及出现错误时发送电子邮件通知。
- 在迁移期间,Report Server 无法访问任何日志数据。 按需报告在 UTC 迁移完成后才可用。 大多数现有存档报告仍将处于可用状态,现有存档报告中的时间戳不会更新为 UTC。
- 如果在迁移期间停止 Report Server,则会在重新启动 Report Server 时自动继续迁移过程。
- 无法将 11.5.1 版 Report Server 与运行较早软件版本的 Log Server 结合使用。 必须使用 Log Server 11.5.1 版和新的 11.5.1 版 Log and Report Manager Web UI。
将 FireCluster 从 Fireware XTM 11.x 版升级至 11.5.1 版
有两种方法可升级 FireCluster 上的 Fireware XTM 操作系统。 使用哪种方法取决于您当前使用的 Fireware XTM 版本。
从 Fireware XTM 11.4.x 版升级 FireCluster
使用以下步骤将 FireCluster 从 Fireware XTM 11.4.x 版升级至 Fireware XTM 11.5.1 版:
- 在 Policy Manager 中,打开群集配置文件
- 选择“文件”>“升级”。
- 键入配置密码。
- 键入或选择升级文件的位置。
- 要创建备份映像,请选择“是”。
将显示群集成员列表。
- 选中每台要升级设备的复选框。
每台设备完成升级后会显示一条消息。
升级完成后,每个群集成员将重启并重新加入群集。 如果同时升级群集中的两台设备,将依次进行升级。 这是为了确保在升级时不会出现网络访问中断。
Policy Manager 会先升级备份主控设备。 第一个成员的升级完成后,该设备将成为新的群集主控设备。 然后 Policy Manager 将升级第二台设备。
要从远程位置执行升级,请确保在外部接口上配置了 FireCluster 管理接口 IP 地址,并且管理 IP 地址是公共地址且可路由。 有关详细信息,请参阅“关于管理 IP 地址的接口”。
从 Fireware XTM 11.3.x 版升级 FireCluster
要将 FireCluster 从 Fireware XTM 11.3.x 版升级至 Fireware XTM 11.5.1 版,必须执行手动升级。 有关手动升级步骤,请参阅知识库文章升级 FireCluster 的 Fireware XTM 操作系统。
降级说明
从 WSM 11.5.1 版降级至 WSM 11.x 版
如果要从 11.5.1 版恢复至早期版本的 WSM,您必须卸载 WSM 11.5.1 版。 在卸载时,请在卸载程序询问是否要删除服务器配置和数据文件时选择是。 删除服务器配置和数据文件后,您必须恢复在升级至 WSM 11.5.1 版之前备份的数据和服务器配置文件。
接着,安装在升级至 WSM 11.5.1 版之前所使用的相同版本的 WSM。 安装程序将检测现有的服务器配置,并尝试从完成对话框重新启动服务器。 如果使用的是 WatchGuard Management Server,请使用 WatchGuard Server Center 来恢复在首次升级至 WSM 11.5.1 版之前创建的 Management Server 配置备份。 检查是否所有的 WatchGuard 服务器都在运行。
无法将 XTM 2050 或 XTM 330 降级至低于 11.5.1 版的 Fireware XTM 操作系统版本
从 Fireware XTM 11.5.1 版降级至 Fireware XTM 11.x 版
如果要从 Fireware XTM 11.5.1 版降级至早期版本的 Fireware XTM,您可以:
- 恢复在升级至 Fireware XTM 11.5.1 版时创建的完整备份映像,以完成降级;或
- 使用在升级前创建的 USB 备份文件作为自动恢复映像,然后将 USB 驱动器插入设备后以恢复模式启动。
要以恢复模式启动 WatchGuard XTM 330、5 系列、8 系列、XTM 1050 或 XTM 2050 设备:
- 断开 XTM 设备电源。
- 在接通设备电源的同时,按住设备前面板上的向上箭头。
- 继续按住此按钮,直到 LCD 显示屏上显示“正在启动恢复模式”。
要以恢复模式启动 WatchGuard XTM 2 系列设备:
- 断开电源。
- 将电源连接至设备时按住设备背面的重置按钮。
- 一直按住该按钮直至前面的 Attn 灯变成长亮的橙色。
Log and Report Manager Web UI
WatchGuard System Manager 11.5.1 版已对日志和报告查看工具实施了重要更新,我们为此感到自豪。 LogViewer、Report Manager 和 Reporting Web UI 工具的功能已合并到新的 Log and Report Manager Web UI 中。 这三个重要可视化工具的功能现在在一个界面中提供,而此界面将根据您的用户访问权限以及您所安装的 WatchGuard 服务器软件类型来动态创建。
日志查看工具的更改
升级后的日志查看组件将提供改进的性能,包括高性能数据导出功能。 该新工具还引入了日志频率可视化功能。 11.5.1 版之前的 LogViewer 的以下次要功能尚未推进到新的 Log and Report Manager Web UI 中:
- 从 Log and Report Manager “将选定内容另存为…”.html、.pdf 或 .xml 的功能。 您可以通过“操作 > 导出日志”菜单将日志消息另存为 .csv 文件。
- 直接从 Log and Report Manager“将选定内容发送为…”.csv 或 .pdf 的功能。 您可以使用自己喜欢的电子邮件程序手动发送导出的 .csv 文件。
- 使用 Log and Report Manager“导出所选数据”到 sqlite 数据库格式或从 sqlite 数据库“导入数据”的功能。 您可以使用 Log Server 导出数据。
- 搜索管理器和高级搜索选项也已弃用,并取代为简单易用的搜索功能,这种功能根据选择的日志类型和时间范围执行全文搜索。
报告查看工具的更改
升级后的报告查看工具功能包括深化报告数据的功能并引入了报告透视。 根据设计,Log and Report Manager Web UI 将为您提供交互式报告体验,而不是生成静态的报告内容。 不过,Report Server 将继续支持生成静态 .html 和 .pdf 报告。 因此,以下选项尚未推进到新的 Log and Report Manager Web UI 中:
- 直接从 Log and Report Manager“另存为…”.csv、.html 或 .pdf 文件格式的功能。 注意,您可以直接将摘要报告保存为 .pdf 格式。
- “发送到…”某个电子邮件地址的功能。
- 已移除某些报告类型可用的报告筛选选项。
用户报告查看工具的更改
Reporting Web UI 已完全由新的 Log and Report Manager Web UI 所取代。 您可以使用此新工具为您的用户授予报告访问权限。 添加自定义徽标和颜色的功能在此版本中已弃用。
有关新的 Log and Report Manager Web UI 功能的详细信息,请参阅 WatchGuard System Manager 帮助。
已解决的问题
Fireware XTM 11.5.1 版解决了一系列在较早的 Fireware XTM 11.x 版中发现的问题。
常规
- 大量经过身份验证的用户通过 FireCluster 连接时不再会造成设备不稳定。 [62343]
- 当配置多 WAN 模式使用域名进行外部接口监视时,Loggerd 和 wgif_static 进程不再使用大量 CPU 资源。 [61510]
- Loggerd 进程稳定性得到提高。 [63836]
- 以前长时间运行订阅服务后将发生问题,造成 WSM 无法管理和备份设备,此问题现已解决。 [62966]
- 时区信息已更新。 Fireware XTM 现在支持所有的三种巴西夏令时,并更正了阿根廷时区。 [59983, 58137, 62233]
- DNS 请求不再使用同一源端口。 这解决了 VU#800113 所述的一个漏洞。 [56866]
- GRED 进程不再频繁崩溃。 [61986, 60104, 59905]
- XTM 2 系列设备上的状态灯现在将在建立管理连接时点亮 30 秒。 [59065]
- 随机崩溃并显示错误消息“EIP: f8ced295”的问题已得到解决。 [57523]
- XTM 设备现在可在“阻止的站点”条目中接受 /32 子网掩码。 [59737]
- 在经历代理流量激增后,XTM 830 或 XTM 1050 上不再停止流量。 [63468]
联网
- 如果在没有进行 Fireware XTM Pro 升级的 XTM 设备上配置了多个外部接口,该设备不再尝试对外部接口进行多 WAN 链路监视。 [60228]
- 在多 WAN 配置中,如果两个外部接口配置为使用 PPPoE 使用相同的默认网关,其中一个外部接口不再在一段时间后变为非活动状态。 [61147]
- 在多 WAN 配置中,如果两个外部接口配置为使用 DHCP 使用相同的默认网关,其中一个外部接口不再在一段时间后变为非活动状态。 [61152]
- 在多 WAN 配置中,如果一个接口配置为 PPPoE,而另一个接口连接到 WatchGuard 3G Extend 设备,则连接到 3G Extend 的外部接口不再在一段时间后显示失败的接口状态。 [61511]
- 大量 TCP SYN 数据包不再导致外部接口状态标记为中断状态。 [60606]
- XTM 1050 上经身份验证的用户会话数不再限于 1000 个。 [61916]
- 以前版本有一个问题可导致 DHCP 中继在通过与使用 PPPoE 的设备之间形成的分支机构 VPN 隧道时失败,此版本解决了该问题。 [41702]
- FTP 跳转攻击现在将被 FTP 数据包筛选器策略阻止。 [60278]
- 当您配置在受信任网络上有多个 IP 地址的别名,然后在动态 NAT 条目中使用该别名时,动态 NAT 现在作用于该别名中配置的所有地址。 [41700]
- 使用静态 PPPoE 时,现在可以配置 XTM 设备是否接受服务器发送的其他 IP 地址。 [61930]
- 现在可以为配置为桥接模式的 XTM 设备配置“流量管理”和 QoS。 [62259]
代理
- 此版本在多个方面提高了代理稳定性。 [62693,62925,62934,63107,63222,62104, 58076, 63566, 61492, 62423, 62345, 62451]
- 此版本改进了代理的 TCP Selective ACK 功能。 改进后的 Selective ACK 应该会解决在未使用 Gateway AV 或 IPS 的情况下报告大型文件下载拖延 HTTP 和 FTP 流量的问题。 这些 Selective ACK 改进功能还有助于在高延迟的损耗型网络上提高代理吞吐量。 [60249, 42691, 60422, 39876, 39150, 60943]
- 包含大量病毒文件的电子邮件不会再投递给用户。 [61620]
- 挂断之前保持的 PC 电话连接现在会在挂断时中断。 [59374]
- 使用 Dialogic Diva SoftIP 拨打的来电现在可具有双向音频。 [58054]
- 1-to-1 NAT with SIP-ALG 现在能正确运行。 [61009]
- SMTP 命令中冒号后的空格现在将被移除,解决了 RFC5321 违规问题。 [63867]
- SMTP 代理 ESMTP BDAT 选项现在能正确运行。 [59850]
- 此版本引入了对 Secure SMTP over TLS 的支持。 [3755]
- 启用 Gateway AV 时,FTP 部分下载 (REST)、FTP 上传和 FTP 传输某些 .xls 文件现在能正常工作。 [60933, 63009, 57440]
- Web 浏览器请求的那些不支持 TLS 级别的网站现在能够显示了。 [59831]
- 代理连接清理逻辑已得到改进,能够更快地移除某些过期连接。 [60378]
- 一条关于添加到阻止的站点 -1 秒的误导性日志消息现在已更正为显示“60 分钟”。 [60061]
- 若干导致 Gateway AV“作业打开失败错误”的问题已得到解决 [56182, 61807]
- 如果配置 HTTPS 时启用 WebBlocker 来阻止“下载”类别,使用通配符根据网站证书拒绝的连接现在可正确执行,从而阻止这些网站。 [60401]
- 诊断日志级别现在可配置在代理操作级别。
FireCluster
- 以前有一个问题导致主动/主动 FireCluster 为主机(这些主机是 FireCluster 发送数据包的目标)发送过量 ARP 请求,该问题现已得到解决。 [62358]
- 现在无需再在发生 FireCluster 故障转移之后重新启动 FireCluster 中的设备来使第三方证书生效。 [62518]
- 某些客户在设置 FireCluster 时遇到认证守护程序中出现的内存泄漏已得到解决。 [60609]
- 配置为主动/主动或主动/被动 FireCluster 组成部分的 XTM 设备现在可配置采用动态路由选择。 [39442]
- 以前有一个问题,当 ARP 响应中未返回虚拟 MAC 地址时,将导致 1-to-1 NAT 流量在 FireCluster 中断,该问题现已得到解决。 [60036]
Mobile VPN with SSL
- Mobile VPN with SSL 现在能使用具有一次性密码的 RADIUS 双重身份验证。 [63360]
- Mobile VPN with SSL 连接和身份验证尝试通过属于主动/被动 FireCluster 的 XTM 设备不再随机失败。 [61858, 61267]
- 适用于 Mac 的 Mobile VPN with SSL 客户端现在能使用自己的 DNS 服务器以及 VPN 分配的 DNS 服务器。 [60872]
- 适用于 Mac 的 Mobile VPN with SSL 现在能与外部身份验证服务器正确配合工作。 [61597]
- Mobile VPN with SSL Windows 客户端现在能在德文 Windows XP 操作系统上正确工作。 [56323]
- 中断 Mobile VPN with SSL Mac 客户端连接时,不再禁用 AirPort 接口。 [39914]
- Mobile VPN with SSL 身份验证连接不再导致 XTM 设备上的 CPU 用量激增。 [56592]
- 第一位 Mobile VPN with SSL 用户尝试从 XTM 设备下载客户端软件时,第二条 Mobile VPN with SSL 连接不再中断。 [59795]
- 无论是 TCP 还是 UDP 连接,指向次 XTM IP 地址的 Mobile VPN with SSL 连接现在均能正确工作。 [60015]
- 此版本支持 Mobile VPN with SSL Mac 客户端与 Mac OSX 10.6 版及 10.7 版(64 位)的组合。 [61727]
Mobile VPN (IPSec)
- 此版本引入了 Mobile VPN with IPSec 对 iPhone 和 iPad 内置 Cisco IPSec 客户端的支持。 [41602]
- Shrew Soft IPSec 客户端现在能正确适用通过 Fireware XTM Web UI 生成的客户端配置。 [63881]
- Shrew Soft IPSec 客户端不再分配位于已配置的虚拟 IP 地址池之外的 IP 地址。 [63213]
Mobile VPN (PPTP)
- Mobile VPN with PPTP 3G iOS 与 XTM 设备之间的连接现在能正常工作。 [61638]
Branch Office VPN
- 现在,从 11.3.2 版升级后,采用 IPSec 证书的分支机构 VPN 隧道能正常工作。 [62019]
- 将第 2 阶段 SA 过期时间设置为 0(同时将生命时间和生命大小值设置为 0)时,XTM 设备不再将重新生成密钥生命时间更改为 8 小时。 [37209]
- 现在可成功建立采用证书配置的分支机构 VPN 隧道。 [62019]
- 配置为 Drop-in 网络模式的两台 XTM 设备之间的分支机构 VPN 隧道现在能正常工作。 [61899]
身份验证
- 此版本为身份验证性能提供重大改进,当大量用户同时根据 Firebox 身份验证数据库进行身份验证时,身份验证性能大幅提升。 [61760]
- Active Directory 组的名称大小上限已从 31 个字符增加到 42 个字符。 [60909, 58570]
- XTM 设备不再向 RADIUS 服务器发送重复的身份验证请求。 [42164]
- 除了 Microsoft Terminal Services 或 Citrix XenApp 4.5 及 5.0 之外,此版本还引入了 Terminal Services 对 Citrix XenApp 6.0 和 6.5 的支持。 [61124]
- 无人参与的自动化系统和更新服务现在能正确使用 Terminal Services 身份验证。 [59247]
- 在服务器上更改 Active Directory 用户所属的组后,SSO 代理现在可在该用户下次登录域时识别对组信息的变更。 [60185]
- SSO 代理的 Telnet 支持已增强,包括了一条命令,此命令可供管理员用来检查运行于特定 IP 地址上的 SSO 客户端软件版本,或查看该代理目前连接到的所有 SSO 客户端。 [59226]
Management Server
- 继承设置已更新,可防止可能将错误策略应用于客户无线流量的情况。 [61906]
- Management Server 流量现在将绕过零路由 VPN 隧道,因此现在可以使来自受管设备的租用过期,而不会造成 WSM 崩溃或更新失败。 [61548, 59788, 55775,61452]
- 更改 Management Server 管理员密码后,Mobile VPN with IPSec 配置文件生成过程不再失败。 [64203, 59491]
- 现在可以在 Centralized Management 策略模板中使用用户名和组名称。 [57831]
- 此版本包括一个新的 Management Server 通知选项,用于在动态定址的受管设备的 IP 地址发生变化时发送通知。 [59685]
- 用户分配的基于角色的访问角色将限制用户对于某台设备的可见性,这些角色不再会看到所有设备的受管 VPN 隧道。 [59556]
- Management Server 性能已得到提升。 [63385,63675, 63377, 63292, 63137]
- 如果隧道的设备名称长度超过 45 个字符,设备更新不再失败。 [62230]
Policy Manager
- 现在可以从 Policy Manager 或 Web UI 添加包含下划线“_”字符的 Active Directory 域。 [61237]
- 以前有几个问题会导致在从 10.x 版升级到 11.x 版后无法保存配置文件,此版本已解决这些问题。 [62130, 61815, 61022]
Web UI
- 现在可以管理未定义外部接口 IP 地址的设备配置中的策略。 [64285]
- 对 Mobile VPN with SSL 配置的更改不再影响定义为 SSLVPN 组成员的用户。 [60994]
- Web UI 和 Policy Manager 现在能持续处理零路由 VPN。 [61325, 61324]
安全服务
- IPS 现在允许进行正常 ICMP 数据包拆分,从而成功传递数据包或得到拆分的数据包。 [61813]
- Twitter 网站遭到 WebBlocker 拒绝时不再部分加载。 [60558]
- Gateway A/V 服务现在可以正确阻止包含在被动模式 FTP 上传中的病毒。 [60831]
证书
- 现在可以从 Firebox System Manager 中正确删除挂起的证书请求。 [61769]
- 以前有一个问题导致您在尝试导入 CA 根证书时产生 Firebox System Manager 错误消息,此问题现已解决。 [60697]
- DigNotar 根 CA 已从受信任 CA 列表中移除。 [63246]
无线
- 以 802.11n (5Ghz) 连接的无线客户端所发出的流量不再偶然中断。 [42280]
- 现在可以将“非法 AP 检测”的计划成功更改为每周计划。 [62370]
- 此版本改进了无线功能,使无线客户端中断连接的几率降低。 [57957]
- 当 XTM 设备配置为采用共享密钥加密方式时,现在可以成功建立无线连接。 [59703]
- 此版本已解决影响 XTM 2 系列无线设备的内存泄漏问题。 [60615]
日志记录
- 以前有几个问题会阻止故障转移到次 Log Server,此版本已解决这些问题。 [63702, 63418]
- 存储在 Log Server 数据库中的日志消息现在采用日志消息本身的时间戳,而非日志消息到达 Log Server 的时间。 [58918]
- Log Collector 进程已改进,现在可以更好地检测错误情况,并可在发生连接问题时更好地恢复。 [61306]
- 以前有一个问题,当大量日志客户端发出大量 Log Server 重新连接请求时,将导致 Log Server 停止工作,此问题现已得到解决。 [61810, 62360]
- 当 XTM 设备是 FireCluster 的成员时,现在可以直接通过 WatchGuard Server Center 从 Log Server 配置中成功移除 XTM 设备。 [61935]
- 将数据库大小上限设置为小于当前大小的值时,Log Server 不再显示异常的数据库大小。 以前发生这种情况是因为 Report Server 会拉取数据并阻止 Log Server drop table 操作。 [62184]
- 采用外部 PostgreSQL 安装方法的 Log Server 现在能够在从 11.3.2 版升级后正常工作。 [59964]
- 配置为桥接模式的 XTM 设备的日志消息现在能正确显示源接口和目标接口。 [40997]
- 现在可以禁用当达到所配置的 Log Server 数据库大小上限时专门发送的电子邮件通知消息。 [62327]
- 已解决导致在安装 Log Server 时发生“logging_res.loc”错误的问题。 [39684]
- 现在可以在 Log Server 数据库备份事件失败时正确发送所配置的通知消息。 [61748]
Firebox System Manager (FSM)
- 现在可以使用标准的“Ctrl-F”功能在“Firebox System Manager 状态报告”选项卡上搜索数据。 [60911]
- 现在可以将“阻止的站点”列表导出到文本文件。 如果需要,您可以将“阻止的站点”列表导入到其他 XTM 配置文件。 [62323]
- XTM 设备为用户名中有“&”字符的源用户生成日志流量时,Traffic Monitor 不再挂起或显示空白。 [62837]
- 对 XTM 2 系列设备使用 Traffic Monitor 时,如果同时从 WSM 和 CLI 进行并发登录,Traffic Monitor 不再显示空白。 [60993]
- 服务监视按策略连接总数现在准确显示。
已知问题
这些是 Fireware XTM 11.5.1 版和所有管理应用程序的已知问题。 如果可行,我们将提供解决此问题的方法。
常规
- 将 USB 驱动器连接到 XTM 设备时,设备不会自动向 USB 驱动器保存单个支持快照。 [64499]
Workaround
请使用 Command Line Interface 命令“USB diagnostic enable”使设备能够以指定的时间间隔向 USB 驱动器保存诊断支持快照。 有关此命令的详细信息,请参阅 Command Line Interface 参考。
- 使用“源 IP”选项配置基于策略的动态 NAT 时,必须添加源 IP 地址作为外部网络上的次地址。 [64292]
- 对于先于 XTM 11.5.1 版生产的 XTM 型号 2、5、8 和 1050,显示在 Firebox System Manager 状态报告中的“Sysb”版本将显示为空白。
- 11.5.1 版中的 ICMP 洪水攻击保护的工作原理与早期版本不同。 在 11.5.1 版中,XTM 设备会计算 ping 请求与回复的合并总数,而不再只是 ping 请求的总数。 由于 ICMP 洪水攻击保护的默认阈值未增加,因此洪水攻击保护的触发频率可能比早期版本高。 [63094]
Workaround
在“默认数据包处理”设置中,将“丢弃 ICMP 洪水攻击”的阈值从默认的 1000 个数据包/秒增加到更大的数值。
- 当 XTM 设备的可用内存大小低于 20M 时,将 XTM 设备配置保存到设备中可导致网络中断。 [64474]
- 要关闭 XTM 5 Series 设备,您必须按住后部的电源开关 4-5 秒。 [42459]
- 在 XTM 5 Series 设备上,当使用后部电源开关关闭设备时,网络接口 0 的链接灯将保持亮起。 [42388]
- 对于 XTM 5 Series 设备,接口 0 不支持 Auto-MDIX,也不会自动感应电缆极性。
- 在 XTM 330 设备上,连续快按 LCD 按钮(每秒 5 次)可能会锁定显示屏。 显示屏将在系统重新启动后自行更正。 [64358]
- 在 XTM 2 系列设备上,平均负载始终显示为 1 或更大值,即使设备上无负载时也是如此。 [63898]
- XTM 2 Series 设备重新引导最高可花费 5 分钟。
- 当您使用 Policy Manager > 文件 > 备份或恢复功能时,成功完成处理过程可能会花费较长时间。 [35450]
- 您无法使用 Web UI 中的“升级操作系统”选项将 XTM 2 系列设备从 11.5.1 版降级到 11.4.1 版。 [63323]
Workaround
使用 CLI 或使用系统 > 备份映像和系统 > 恢复映像菜单选项降级操作系统。
- Amazon Web Services (AWS) 需要使用基于 IPSec 隧道的 BGP。 Amazon.com 所述的支持 Web Services 的操作当前不受 WatchGuard 产品支持。 [41534]
WatchGuard System Manager
- 在 Firebox System Manager 中,尝试导入证书时,如果证书文件在“----BEGIN CERTIFICATE”区域上方含有文本,则导入会失败。 证书文件必须以“----BEGIN CERTIFICATE”开头并以“----END CERTIFICATE”结尾,并且只能包含一个证书。 [64081]
Workaround
编辑 cacert.pem 文件,移除出现在“----BEGIN CERTIFICATE”上方的所有文本。
- 对于没有外部接口的 XTM 设备,WatchGuard System Manager 无法显示该设备默认网关的正确 IP 地址。 [56385]
- 如果将 WatchGuard System Manager 安装在启用了 XP 兼容模式的 Windows 7 计算机中,则从 WatchGuard Server Center 上添加、更新或删除服务器安装时,可能会出现问题。 [56355]
Workaround
确保未对 WSM 11.x 版可执行文件启用 Windows XP 兼容模式。 要进行验证,请在 Windows 资源管理器中查找 wsm.exe。 右键单击可执行文件,选择“属性”,然后单击“兼容性”选项卡。
- 远程管理并配置为 Drop-in 模式的 Firebox 或 XTM 设备可能无法连接到同样配置为 Drop-in 模式且位于网关 Firebox 或 XTM 设备后的 Management Server。 [33056]
- 如果将备份图像恢复到由 Management Server 管理的托管客户端设备,共享密码可能会不同步。
Workaround
从 WSM 连接到 Management Server。 选择托管设备并选择更新设备。 选择单选按钮重置服务器配置(IP 地址/主机名、共享密匙)。
- 当 WatchGuard Server Center 运行于使用 64 位 Windows Vista 的计算机上时,您将无法成功地卸载 WatchGuard System Manager。 [39078]
Workaround
在开始卸载 WSM 前,退出 WatchGuard Server Center。 这时您将可以成功地卸载 WatchGuard System Manager。
- 当您在安装了 64 位操作系统的计算机上的 Microsoft SBS (Small Business Server) 2008 和 2011 中运行 WSM 11.3.x 版或更高版本的安装程序(仅 WSM 客户端组件或任意选定的 WSM 服务器组件)时,您会看到 Microsoft Windows 错误“IssProc.x64 已停止工作”。 在关闭错误对话框时,安装即已完成。 [57133]
Web UI
- Fireware XTM Web UI 不支持某些功能的配置。 这些功能包括:
- FireCluster
- 证书导出
- 无法打开或关闭 BOVPN 事件通知
- 无法添加或删除设备 ARP 表中的静态 ARP 条目
- 无法获取已加密的 Mobile VPN with IPSec 最终用户配置文件,即 .wgx 文件。 Web UI 仅生成纯文本版本的最终用户配置文件,文件扩展名为 .ini。
- 您无法编辑策略的名称、在策略中使用自定义地址,或使用”主机名称“(DNS 查询)将 IP 地址添加到策略中。
- 如果在 Web UI 中所配置策略的状态为“禁用”,则打开 Policy Manager 并对同一策略进行更改,策略拒绝数据包时为其分配的操作会变更为“发送 TCP RST”。 [34118]
- 如果您使用 Web UI 来编辑启用了警告设定的已有策略,则当您保存配置时,可能会禁用该警告设定。 [38585]
- 无法使用 Web UI 来创建只读 Mobile VPN with IPSec 配置文件。 [39176]
WatchGuard Server Center
- 如果在您卸载 WSM 时 WatchGuard Server Center 打开,您将看到多个关闭些应用程序的警告信息,而不只是一个。 [36901]
命令行界面 (CLI)
代理
- 当 XTM 设备处于高负载下时,有些代理连接可能错误中断。 [61925, 62503]
- 如果 XTM 设备具有多 WAN 配置(采用“循环法”、“接口溢出”或“故障转移”模式),“HTTP 代理缓存服务器”选项将无法正确发挥功能。 [61658]
- 在 HTTPS 代理中同时启用 DPI 和 OCSP 时,可能偶尔会显示证书警告或错误消息。 [63001]
- 使用 HTTP 缓存代理服务器的功能不可结合 TCP-UDP 代理使用。 [44260]
- 您无法在 Firebox 后通过 Polycom PVX 软件电话向位于外部网络的 Polycom PVX 拨打基于 SIP 的电话。 [38567]
Workaround
您可以使用 H.323 协议代替 SIP。
- 在运行 iOS 的 Apple 设备上尝试对 YouTube 视频进行流处理时,可能会看到该错误消息: “服务器未正确配置。”
Workaround
1. 编辑 HTTP 代理策略。
2. 单击“查看/编辑代理”。
3. 选中允许通过未修改内容的范围请求复选框。
4. 保存对 XTM 设备的更改。
- 在联系人标头包含域名时,SIP-ALG 不会正确发送联系人标头。 它只会发送一个空的字符串: 联系人: < >. 如果联系人标头包含 IP 地址,则 SIP-ALG 将正确发送联系人标头: 联系人: <sip:10.1.1.2:5060>. [59622]
Workaround
配置 PBX 以发送带有 IP 地址而非域名的联系人标头。
安全订阅
- Gateway AV 签名更新可在某些 XTM 5 设备上导致 FireCluster 故障转移。 [62222]
- 某些 IPS 签名信息(例如 CVE 号)在 Firebox System Manager 中不可用。 我们在 WatchGuard 网站上 IPS 的 Web 安全门户上提供搜索功能和 IPS 签名的 CVE 信息,访问网址为:http://www.watchguard.com/SecurityPortal/ThreatDB.aspx
- 尝试访问被 Application Control 阻止的应用程序或应用程序功能的用户不会获得任何通知。 例如,如果用户尝试使用被阻止的 Web 应用程序,应用程序不会加载且用户只会看到一条消息告知网页无法加载。 [59305]
- WatchGuard XTM 2 Series 设备上 Application Control 所支持的应用程序的数量大约为 300 种,这个数字小于其他 XTM 设备所支持的应用程序完整集。
- XTM 2 系列设备上包含的 IPS 签名的数量小于 3、5 和 8 系列设备或 XTM 1050 中包含的数量。 XTM 2 Series 上只有分类为严重和高级别的签名。
- Skype 检测仅阻止新的 Skype 会话。 如果在启用 Application Control 时用户已登录 Skype 且 Skype 会话已启动,Application Control 则不会检测该活动。
- 仅对于 XTM 2 Series 设备,Application Control 会在升级、备份或恢复时暂时被禁用。 当操作完成后,Application Control 会再次开始工作。
- 不能通过 WatchGuard System Manager 基于角色的管理功能为 Application Control 管理分配角色。 [59204]
- 无法通过 Branch Office VPN 隧道使用 WebBlocker Server。 [56319]
联网
- 无法在 VLAN 上配置数据流量管理操作或使用 Qos 标记。 [56971, 42093]
- 更改与策略相关的流量管理操作时,更改无法生效。 [63205]
- 无法将无线接口桥接到 VLAN 接口。 [41977]
- 如果计算机作为 DHCP 客户端直接连接到 XTM 2 Series 设备,启动 Web Setup Wizard 时 Web Setup Wizard 可能会发生故障。 出现此问题的原因在于使用向导的过程中,计算机在设备重新引导后获取 IP 地址过慢。 [42550]
Workaround
1. 在使用 Web Setup Wizard 过程中,如要将您的计算机直接连接到 XTM 2 Series 设备, 请对计算机使用静态 IP 地址。
2. 运行 Web Setup Wizard 时,在您的计算机与 XTM 2 Series 设备间使用交换机或集线器。
- 当为配置为 Drop-In 模式的 XTM 2 Series 设备配置从属网络时,可能需等待几分钟的时间使连接到从属网络的计算机出现在 XTM 2 Series 的 ARP 例表中。 [42731]
- 在启用 MAC 访问控制列表或添加新的 MAC 地址后,必须重新启动您的 XTM 设备才能使更改生效。 [39987]
- 您必须确保所有禁用的网络接口均未使用与任何活动的网络接口相同的 IP 地址,否则将出现活动网络接口或路由问题。 [37807]
- 如果选中“仅允许发自或发送至这些 MAC/IP 地址的数据流量”复选框来启用 MAC/IP 绑定,但不向表中添加任何条目,则不会激活 MAC/IP 绑定功能。 这样可以确保管理员不会意外地阻止自己与其 XTM 设备的连接。 [36934]
- 当您从桥接网络中的计算机上保存配置,而该配置包含网络接口配置更改时,任何作为桥接配置一部分的网络接口均将自动断开并重新连接。 [39474]
- 当您将配置于外部接口上的 VLAN 的 IP 地址从静态更改为 PPPoE,而 Firebox 无法获取 PPPoE 地址时,Firebox System Manager 以及 Web UI 可能会继续显示之前使用的静态 IP 地址。 [39374]
- 在通过“混合路由模式”配置来配置 XTM 设备时,所有桥接的接口都会在 Web UI 中将其接口和默认网关 IP 地址显示为 0.0.0.0。 [39389]
- 在以网桥模式配置 XTM 设备时,XTM 设备上 LCD 屏幕会将桥接接口的 IP 地址显示为 0.0.0.0。 [39324]
- 当在桥接模式中配置 XTM 设备时,可通过用户接口配置 HTTP 重定向功能(本版本不支持)。 [38870]
- 当以网桥模式配置 XTM 设备时,静态 MAC/IP 地址绑定功能将无效。 [36900]
- 将 XTM 设备配置为使用网桥模式时,XTM 设备的物理接口在日志消息中不会正确显示。 该接口将显示为 tbrX。 [36783]
- 在您将配置模式从混合路由更改至桥接,或由桥接更改至混合路由模式后,CLI 和 Web UI 可能仍会继续显示之前的配置模式。 [38896]
- RIPv1 动态路由无效。 [40880]
- 当管理员通过 Firebox System Manager >“阻止的站点”选项卡将 IP 地址添加到“临时阻止的站点”列表后,如仍接收到来自该 IP 地址的流量,则其阻止到期时间将不断重置。 [42089]
无线
- 将 XTM 2 无线设备连接到访问点时,日志文件中将显示大量不必要的失败消息。 [64342]
多 WAN
- 当您为 WAN 故障转移启用“多 WAN 立即故障回复”选项时,某些流量可能会逐渐进行故障转移。 [42363]
- 当以循环模式启用多 WAN 后,无法使用“HTTP 代理缓存服务器”选项。 [57561]
身份验证
- 如果使用 Terminal Service 身份验证,必须在安装 TO AGENT 软件后重新启动服务器。
- 配置 XTM 设备以便使用 RADIUS 身份验证服务器时,此版本中的超时和重试设置无效。 [62953]
- 在启用 TLS 的 Active Directory 环境中,不支持无客户端 SSO。
- 如果使用 Terminal Services 认证,不会对 TCP 或 UDP 以外的任何协议的数据流量进行认证。 其中包括 DNS、NetBIOS 和 ICMP 数据流量。
- Terminal Services 身份验证支持在单点登录中无效。
- 使用 Terminal Services 身份验证时,不能使用自动将用户重定向到身份验证页面以进行身份验证选项。
- 为使 XTM 设备能正确处理来自 Terminal 或 Citrix 服务器的系统相关数据流量,Terminal Services Agent 会使用一种名为 Backend-Service 的特定用户帐户。 鉴于此,您可能需要添加策略以允许来自该用户帐户的数据流量通过您的 XTM 设备。 您可在产品帮助系统中了解有关 Backend-Service 运作方式的详细信息。
- 为使认证重定向功能正常运作,不能通过基于 IP 地址或包含 IP 地址的别名的传出策略来允许 HTTP 或 HTTPS 数据流量。 验证重定向功能仅在用于端口 80 和 443 的策略针对用户或用户组验证进行配置后可用。 [37241]
Centralized Management
- 如果将 Centralized Management 与订阅早期版本 WSM 中的模板的设备一同使用,当您从 WSM 11.x 版升级至 11.4 版或更高版本时,这些模板会被更新且设备不会再订阅这些模板。 每个设备都会保留其模板配置。 现有设备更新后,会在其对象名称中使用“T_”(以匹配先前订阅这些模板的设备中的对象名称)。 升级后,可在修订历史记录中查看升级过程中发生的模板升级。
- 当 XTM 模板应用到受管设备时,Management Server 只会在新的修订将与当前修订不同时为该设备创建一个新的配置修订。 同样,也不会出现为何未创建新配置修订的反馈信息。 [57934]
FireCluster
- 当 Mobile VPN with SSL 或 Mobile VPN with PPTP 配置为使用含有群集 IP 地址的 IP 地址池时,FireCluster 备份主控设备变为非活动状态。 [63762]
Workaround
避免使用与群集 IP 地址有冲突的 IP 地址池。
- 如果无法通过管理 IP 地址访问 Log Server,则只能连接当前 FireCluster 主控设备。 如果 Log Server 是通过外部网络连接的,但管理 IP 地址位于可信任网络或可选网络,则可能发生这种情况。 [64482]
- 如果将 FireCluster 的网络配置从路由模式更改为 Drop-in 模式,然后再改回路由模式,则群集接口的 IP 地址在 Policy Manager 网络 > 配置对话框中显示不正确。 正确的群集接口显示在 FireCluster 配置对话框中。 [63905]
- 在内存不足的系统中,Gateway AV 更新可能导致 FireCluster 故障转移 [62222]
Workaround
降低系统检查 Gateway AV 更新的频率以最大程度降低发生此情况的几率。
- 如果受监视的链路在两个 FireCluster 成员上均出现故障,非主控设备成员会切换到被动模式,因此不会处理任何数据流量。 如果多 WAN 故障转移是由与链路监视器主机的连接故障所引起的,则不会触发 FireCluster 故障转移。 只有在物理接口停止工作或无响应时才会发生 FireCluster 故障转移。
- 每个 XTM 设备都有分配给设备接口的一系列默认 IP 地址,范围起始值为 10.0.0.1。 最大的默认 IP 地址取决于接口的数量。 如果将主要或备份群集接口的 IP 地址设置为任一默认 IP 地址,则两个设备都会重新启动,且备份主控设备会变得不活动。 [57663]
Workaround
请勿将任一默认 IP 地址用作主要或备份群集接口 IP 地址。
- 如含有主动/主动 FireCluster 并使用了 WebBlocker 替代功能,可能会提示您输入替代密码两次。 [39263]
- FireCluster 中启用的每个网络接口会自动受 FireCluster 监视。 您必须确保所有启用的接口均物理连接至网络设备。
- 如果使用 HP ProCurve 交换机,您可能无法在主动/主动模式中配置您的 FireCluster,因为这些交换机可能不支持添加静态 ARP 条目。 [41396]
- 如果您使用来自同一网络的 Mobile VPN with IPSec 客户端作为 FireCluster 上配置的外部网络地址,则某些流量可能将不能通过 VPN 隧道。 [38672]
- 当连接至被动 FireCluster 成员时,Mobile VPN with PPTP 用户不会出现在 Firebox System Manager 中。 当使用主动/被动 FireCluster 时,PPTP 只连接到主动 Firebox。 [36467]
- 无法将 VLAN 接口 IP 地址用于 FireCluster 管理 IP 地址。 [45159]
- 要将 FireCluster 从 11.3.x 版手动升级至 11.5.1 版,管理计算机必须与 FireCluster 管理 IP 地址位于同一网络。 [63278]
日志记录和报告
- 某些以前可用的报告在新的 Log and Report Manager 中可能尚不可用或不完整。 这些报告包括:
- 报警摘要报告 [64420]
- 被拒绝的数据包摘要报告 [63192]
- 有些报告缺少统计列。 [62981]
- Log Manager 不支持导出搜索结果。 [63198]
- 当搜索字符串有一个或多个“+”字符时,Log Manager 不显示任何搜索结果。 [63931]
- 定义精细搜索参数的功能在新的 Log and Report Manager 中尚不可用。 [63536]
- 在 Log and Report Manager 中查看时,“Web 活动趋势”报告的 PDF 输出在 x 轴上不包含时间标签。 该报告下方的表中包括日期和时间信息。 [64162]
- 从 Fireware XTM 11.4.x 版升级到 11.5.1 版时,在升级期间左右生成的报告可能不会显示在 Log and Report Manager 中。 [64325]
- 在 WatchGuard Server Center >“Report Server > 服务器设置”选项卡中,您在“ConnectWise 服务器(站点)”中键入的服务器名称是区分大小写的。 如果 ConnectWise 服务器名称与您在 CA 证书中为 ConnectWise 服务器指定的服务器名称不完全匹配,则报告会失败,将显示“错误: 证书验证失败。” [64393]
Workaround
确保在 Report Server ConnectWise 集成设置中指定的 ConnectWise 服务器名称与您导入的 CA 证书中的服务器名称具有完全相同的大小写。
- Log and Report Manager 日志搜索结果页面上的刷新选项不起作用。 [63082]
- 如果每天报告计划名称中包含冒号(例如: “1:35”),则系统将返回错误。 [63427]
- 在 32 位 Windows 系统上,Log Collector 达到 2GB 虚拟大小限制时会崩溃。 [64249]
- 新的 Log and Report Manager 中有两个排序问题。 按目标排序时,字段将以 IP 地址排序,而不以目标主机名称(如果可用)排序。 按部署排序时,某些处于“拒绝”状态的项目在组中排序不准确。 [62879]
- 在 Windows Small Business Server (SBS) 上安装 WSM 时,可能显示“IssProc.x64 已停止工作”错误。 [57133]
- 全新的灵活报告计划选项改变了群在报告用户界面中的呈现方式。 如果在 WSM 11.0 版 - 11.3 版的 Report Server 上配置了组,则当您升级至 WSM 11.4.x 版或更高版本后,现有的每个组都会被转换且在 Report Server 用户界面中显示为计划的任务。 此转换不会丢失信息。
- 11.3 版中配置的每天或每周“存档的报告”会在升级至 WSM 11.4 版或更高版本后自动转换为计划的报告。
Mobile VPN
- 使用来自 iPhone 或 iPad 的内置 IPSec 客户端时,客户端连接的持续时间达到 1 小时 45 分钟时将中断连接。 这是由 iPhone/iPad 所用的 Cisco 客户端存在的限制所造成的。 必须重新连接 IPSec 客户端来重新建立 VPN 隧道。 [63147]
- Mobile VPN with SSL MAC 客户端在中断连接后无法移除已分配的 DNS 服务器。 [64418]
- 来自 Android 移动设备的 Mobile VPN with PPTP 连接无法在 3G 手机网络上持续有效。 [63451]
- 如果唯一的外部接口是外部 VLAN 接口,则 Fireware XTM Web UI 不允许您启用 Mobile VPN with SSL。 [63871]
Workaround
如果唯一的外部接口是外部 VLAN 接口,请使用 Policy Manager 配置 Mobile VPN with SSL。
- 当 XTM 设备具有多 WAN 配置(采用循环法模式)时,来自 Mobile VPN with IPSec 客户端的连接可能通过错误的外部接口路由。 [64386]
- 您不能配置 Mobile VPN with SSL 将网络流量桥接到桥接接口。 [61844]
- Mobile VPN with SSL 用户不能通过终结于主动/主动 FireCluster 的分支机构 VPN 隧道连接到某些网络资源。 [61549]
- 如果在 XTM 设备接口与 Shrew Soft VPN 客户端之间建立了一条 VPN 隧道,则将无法 ping 此接口的 IP 地址。 您可以 ping 位于该网络上的计算机,但不能 ping 此接口 IP 地址本身。 [60988]
- 如果有多个同时连接到 XTM 设备的 Shrew Soft VPN 客户端发出第 2 阶段的重新生成密钥,则客户端连接可能中断。 [60261]
- Shrew Soft VPN 客户端发出的第 1 阶段重新生成密钥会导致客户端中断连接(如果连接时间超过 24 小时)。 在这种情况下,我们建议您将 XTM 设备上的重新生成密钥设置为 23 小时,比 Shrew Soft 客户端配置中通过硬编码设置的重新生成密钥少一小时。 这将强制 XTM 设备发出重新生成密钥,并向客户端提供必须重新建立隧道的通知。 [60260, 60259]
- 如在 FTP 传输期间发生 IPSec 重新生成密钥事件,Mobile VPN with IPSec 连接上的连续 FTP 会话将终止。 [32769]
Workaround
增加重新生成密钥字节计数。
- 当您使用 Web UI 或 CLI 配置 Mobile VPN with IPSec 用户配置文件时,含扩展身份认证的用户组可能会不正确的显示为 Firebox 本地身份认证组。 [39695]
- 用户将其 Mobile VPN with SSL 客户端从 Fireware XTM v11.2.1 升级至 Fireware XTM 更新版本的尝试将失败。 升级失败不会损害 v11.2.1 客户端的安装。 [43970]
Workaround
要将 Mobile VPN with SSL 客户端从 11.2.1 版升级至 11.3 版,请使用 Web 浏览器连接到 https://<Firebox 或 XTM 设备的 IP 地址>/sslvpn.html。 在此可下载并安装新的客户端软件。 您也可从“Software Downloads”页面上下载客户端软件并将其电邮至您的用户,以在其计算机上进行安装。
- 当身份验证算法设置为 SHA 256 时,Mobile VPN for SSL Mac 客户端可能无法连接到 XTM 设备。 [35724]
Branch Office VPN
- 在以多 WAN 模式配置 XTM 设备时,您必须选择要包含在多 WAN 配置中的接口。 如果选择了某个接口使其不包含在多 WAN 配置中(即,清除了该接口的复选框),系统不会为该网络创建路由。 如果已将 Branch Office VPN 配置为包含同一接口,则会产生问题。 在此情况下,VPN 隧道无法与其远程对等方进行协商。 [57153]
Workaround
如果使用多 WAN 且 Branch Office VPN 隧道存在无法与其远程对等方协商,必须打开多 WAN 配置并选择所选多 WAN 配置模式旁边的“配置”。 确保相应的接口已包含在多 WAN 配置中。
- 如果 XTM 设备的外部 IP 地址中存在包含 IP 50 和 IP 51 协议的入站静态 NAT 策略,则 Branch Office VPN 隧道不会传递数据流量。 [41822]
- 当 CRL 分发点(如 WatchGuard Management Server 或您使用的第三方分发站点)离线时,将无法建立托管 Branch Office VPN 隧道。 [55946]
- BOVPN 隧道路由中对任意的使用在 Fireware XTM 中进行了更改。 如果 Branch Office VPN 隧道为隧道路由的本地部分使用了“任意”,则 Fireware XTM 将其解释为网络 0.0.0.0 以及子网掩码 0.0.0.0(以斜线记法为 0.0.0.0/0)。 如远程 IPSec 对等端未将 0.0.0.0/0 作为其第 2 阶段 ID 发送,第 2 阶段协商将失败。 [40098]
Workaround
请勿对隧道路由的本地或远程部分使用任意。 更改您隧道路由的本地部分。 键入实际参与了隧道路由的 Firebox 后的计算机的 IP 地址。 联系远程 IPSec 对等端的管理员,以确定其隧道路由的远程部分(或其第 2 阶段 ID 的远程部分)使用了何种设备。
- 如果在您的配置中存在较大数量的 Branch Office VPN 隧道,在 Policy Manager 中显示这些隧道可能会花费较长时间。 [35919]
使用 CLI
11.x 版本完全支持 Fireware XTM CLI(命令行接口)。 有关如何启动并使用 CLI 的信息,请参阅 CLI 命令参考指南,该指南已针对此版本进行了更新。 您可在文档网站上下载该 CLI 指南,地址为:http://www.watchguard.com/help/documentation/xtm.asp。技术支持
要获取技术支持,请通过电话或登录 WatchGuard 门户网站(网址为 http://www.watchguard.com/support)与 WatchGuard Technical Support 联系。 联系技术支持时,必须提供您注册的产品序列号或合作伙伴 ID。