Print topic

Fireware XTM 11.5.1 发行说明

支持的设备 XTM 2、3、5 和 8 系列
XTM 1050、XTM 2050
Fireware XTM OS 内部版本 335614
WatchGuard System Manager 内部版本 335801
修订日期

2012 年 2 月 16 日

简介

12 月 13 日,WatchGuard 发布了 WatchGuard System Manager 11.5.1 版的更新版。 这次更新的名称为 WatchGuard System Manager v11.5.1 Update 1(内部版本号为 331994),修复了两个秘密报告的关于 WSM 11.5.1 Log Server 和 Report Server 的跨站脚本漏洞。 (通常,XSS 缺陷会让攻击者获得受害者浏览器中的提升权限,包括让攻击者能够运行脚本或其他代码。) 这些漏洞不会让攻击者获得访问 XTM 设备或更改防火墙规则的权限,但有可能让攻击者能够在未经授权的情况下访问计算机。

更新2包括所有的变化更新1。
 
感谢 Sec-1 的 Wayne Murphy 报告这些 XSS 缺陷。

WatchGuard 非常高兴宣布 Fireware XTM 11.5.1 版和 WatchGuard System Manager 11.5.1 版的正式发布。 您可在任意 WatchGuard XTM 设备上安装 Fireware XTM OS 11.5.1 版软件,其中包括 2 系列、新的 XTM 330、5 系列、8 系列、XTM 1050 和新的 XTM 2050 设备。

以下是 Fireware XTM 11.5.1 版所有新功能的亮点。

采用全新的 Log and Report Manager Web UI

以全新的 Log and Report Manager Web UI 将 LogViewer、Report Manager 和 Reporting Web UI 取代为单一、易用、快速、基于 Web 的用户界面。 本发行说明稍后将提供更多相关信息。 其他新增的日志和报告功能包括:

网络新功能

SMTP 代理已增强,可支持 TLS 加密

SMTP 代理现在可实施加密的用户身份验证和端到端邮件正文加密。

Centralized Management 的新功能

无客户端单点登录

使用 Fireware XTM 11.5.1 版,您将获得改进的单点登录准确性,而无需在您的所有计算机上安装 SSO 客户端软件。 单点登录代理软件包中包括一个新的 Event Log Monitor 工具,在每个域的域控制器上安装该工具后,该工具可以对已登录任何这些域的所有用户拉取其正确的用户凭据。

FIPS 支持

运行 Fireware XTM 11.5.1 版时,如果采用与 IPSec 兼容的方式进行配置,则 WatchGuard XTM 设备现在符合 FIPS 140-2 第 2 级安全的总体要求。

除了这些激动人心的新功能之外,我们还特地向现有客户群发布大量修补程序。 有关详细信息,请参阅本发行说明稍后的已解决的问题一节。

有关 Fireware XTM 11.5.1 版提供的功能增强的详细信息,请参阅 Fireware XTM 11.5.1 版的新增功能

开始之前

安装本版本之前,请确保已准备好以下事项:

请注意,您可在运行早期 Fireware XTM 11 版本的设备上安装和使用 WatchGuard System Manager 11.5.1 版和所有 WSM 服务器组件。 如果是这样,我们建议您使用与 Fireware XTM OS 版本相符的产品文档。

该产品的文档可见于 WatchGuard 网站,网址为:www.watchguard.com/help/documentation

本地化

Fireware XTM 管理用户界面(WSM 应用程序套装和 Web UI)已在 11.5.1 版中进行本地化。 支持的语言有:

除了这些语言之外,我们还在 11.5.1 版发布中提供韩文和繁体中文的 Web UI 本地化支持。 只对 Web UI 本身进行了本地化。 在这两个语言版本中,WSM 和所有帮助文件和用户文档仍为英文。

请注意,大多数数据输入仍必须然使用标准的 ASCII 字符。 您可在某些 UI 部分使用非 ASCII 字符,其中包括:

从设备操作系统返回的所有数据(如日志数据)都会以英文显示。 此外,Web UI 系统状态菜单中的所有条目和第三方公司提供的所有软件组件仍将是英文。

Fireware XTM Web UI

默认情况下,Web UI 会以您的 Web 浏览器中设置的语言启动。 当前所选语言的名称会显示在每个页面的顶部。 要更改为其它语言,请单击显示的语言名称。 将出现下拉列表,然后可以选择要使用的语言。

WatchGuard System Manager

在安装 WSM 时,可以选择要安装的语言包。 显示在 WSM 中的语言将和 Microsoft Windows 环境中所选的语言匹配。 例如,如果使用的是 Windows XP 且希望使用日文版的 WSM,请前往“控制面板”>“区域和语言选项”,然后从语言列表中选择日文。

Log and Report Manager、CA Manager、Quarantine Web UI 和无线 Hotspot

这些 Web 页面将自动以 Web 浏览器中设置的首选语言显示。

Fireware XTM 和 WSM 11.5.1 版操作系统的兼容性

WSM/
Fireware XTM 组件
Microsoft Windows XP SP2
(32 位)
Microsoft Windows Vista
(32 位 和
64 位)
Microsoft Windows 7
(32 位 和
64 位)

Microsoft Windows
服务器
2003
(32 位)

Microsoft
Windows
服务器
2008 和 2008 R2*
Mac OS X
10.5 版和 10.6 版和 10.7 版
WatchGuard System Manager 应用程序

Fireware XTM Web UI
支持的浏览器:
IE 7、IE 8、Firefox 3.x 及以上版本

Log and Report Manager Web UI
支持的浏览器: Firefox 3.5 及以上版本、IE8 及以上版本、Safari 5.0 及以上版本、Chrome 10 及以上版本。 需要 Javascript。
WatchGuard 服务器

单点登录代理软件
(包括 Event Log Monitor)

单点登录客户端软件

Terminal Services Agent 软件**

***

Mobile VPN with IPSec 客户端软件

 

支持使用本机 IPSec 客户端软件的 iOS 设备
Mobile VPN with SSL 客户端软件

*支持 Microsoft Windows Server 2008 32 位和 64 位;支持 Windows Server 2008 R2 64 位。

* * 采用手动身份验证方式的 Terminal Services 支持功能适用于 Microsoft Terminal Services 或 Citrix XenApp 4.5、5.0、6.0 和 6.5 环境。

*** 需要 Microsoft Windows Server 2003 SP2。

系统要求

  如果只安装了 WatchGuard System Manager 客户端软件 如果安装了 WatchGuard System Manager 和 WatchGuard Server 软件

CPU 最低要求

Intel Pentium IV

1GHz

Intel Pentium IV

2GHz

最小内存

1 GB

2 GB

最小可用磁盘空间

250 MB

1 GB

建议最低屏幕分辨率

1024x768

1024x768

下载软件

  1. 登录 WatchGuard 门户并选择“Articles & Software”(文章与软件)选项卡。
  2. 在“Search”(搜索)区域,清除“Articles”(文章)复选框并搜索可用的“Software Downloads”(软件下载)。 选择要下载其相关软件的 XTM 设备。

可供下载的软件文件有若干个。 请参见下列说明,以便了解您的升级操作需要哪些软件包。

WatchGuard System Manager

所有用户现在都可以下载 WatchGuard System Manager 软件。 可以通过该软件包安装 WSM 和 WatchGuard Server Center 软件:

WSM11_5_1s.exe — 使用此文件将 WatchGuard System Manager 从 11.x 版升级到 WSM 11.5.1 版。  

Fireware XTM OS

为您的硬件选择合适的 Fireware XTM OS 映像。 如果要从运行 Microsoft Windows 操作系统的计算机安装该操作系统,请下载 .exe 文件。 如果将从运行非 Windows 操作系统的计算机安装该操作系统,请使用 .zip 文件。

拥有的硬件 从这些 Fireware XTM OS 包中选择
XTM 2050
XTM_OS_XTM2050_11_5_1.exe 
xtm_xtm2050_11_5_1.zip

XTM 1050

XTM_OS_XTM1050_11_5_1.exe 
xtm_xtm1050_11_5_1.zip

XTM 8 系列

XTM_OS_XTM8_11_5_1.exe
xtm_xtm8_11_5_1.zip

XTM 5 系列

XTM_OS_XTM5_11_5_1.exe
xtm_xtm5_11_5_1.zip
XTM 330
XTM_OS_XTM330_11_5_1.exe
xtm_xtm330_11_5_1.zip
XTM 33 目前的软件预装在您的设备上,有没有操作系统更新,此时可用。
没有本地化的Web用户界面的 XTM 33。

XTM 2 系列

XTM_OS_XTM2_11_5_1.exe
xtm_xtm2_11_5_1.zip

单点登录软件

如果使用单点登录,有两个文件可供下载:

有关如何安装及设置单点登录,请参见产品文档。

Terminal Services 认证软件

Windows 和 Mac 的 Mobile VPN with SSL 客户端

如果要通过 SSL 实现移动 VPN,有两个文件可供下载:

适用于 Windows 的 Mobile VPN with IPSec 客户端

您可从我们的网站下载新的适用于 Windows 的 Shrew Soft VPN 客户端。 有关 Shrew Soft VPN 客户端的详细信息,请参阅帮助或访问 Shrew Soft, Inc. 网站

从 Fireware XTM 11.x 版升级至 11.5.1 版

从 Fireware XTM 11.x 版升级至 Fireware XTM 11.5.1 版之前,请下载并保存与您所要升级的 WatchGuard 设备相匹配的 Fireware XTM 操作系统文件。 您可以在 WatchGuard 门户上的“Articles & Software”(文章与软件)选项卡中查找所有可用软件。 您可使用 Policy Manager 或 Web UI 来完成升级步骤。 强烈建议您在升级前备份设备配置、WatchGuard Management Server 配置和 Log Server 与 Report Server 数据库。 没有这两个备份文件将不能进行降级。

备份 WatchGuard Management Server 配置

从安装 Management Server 的计算机中:

  1. 在 WatchGuard Server Center 中,选择“文件”>“备份/恢复”
    将启动 WatchGuard Server Center Backup/Restore Wizard
  2. 单击“下一步”
    将显示“选择操作”屏幕。
  3. 选择“备份设置”
  4. 单击“下一步”
    将显示“指定备份文件”屏幕。
  5. 单击“浏览”为备份文件选择位置。 请确保将配置文件保存到以后恢复配置时可以访问的位置。
  6. 单击“下一步”
    将显示“WatchGuard Server Center Backup/Restore Wizard 已完成”的屏幕。
  7. 单击“关闭”退出向导。

备份 Log Server、Report Server、Quarantine Server

由于 Log Server 和 Report Server 数据库结构在升级至 WSM 11.5.1 版时会发生改变,因此请务必备份 Log Server 和 Report Server 数据,以供降级时使用。 如果使用了 Quarantine Server,可能还需对其进行备份。

  1. 在 WatchGuard Server Center 中,请注意 Log Server 和 Report Server 数据库的安装路径。 然后,停止所有服务器。
  2. “控制面板”>“管理工具”>“服务”中,停止 PostgreSQL-8.2 Server。
  3. 对包含 Log Server 和 Report Server 配置的目录中的内容进行备份或复制。
    在 Windows XP SP2 或 Windows Server 2003 中,如果接受默认安装,Log Server 和 Report Server 数据库将位于以下位置:
    %SYSTEMDRIVE%\Documents and Settings\WatchGuard
    在 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 中,如果接受默认安装,Log Server 和 Report Server 数据库将位于以下位置:
    %SYSTEMDRIVE%\ProgramData\WatchGuard
  4. 如果不使用默认位置,请备份 Log Server 和 Report Server 数据库目录。 可在 WatchGuard Server Center 的 Log Server 和 Report Server“数据库维护”选项卡上查找数据库位置。 默认情况下,数据库位于步骤 3 所列的目录中,该步骤并非必需。
  5. 如果不使用默认位置,请备份存储数据库备份文件的 Log Server 目录。 Log Server“数据库维护”选项卡中会显示此目录路径。
  6. 如果不使用默认位置,请备份存储“可用报告”的 XML 文件的 Report Server 目录。 Report Server“服务器设置”选项卡中会显示此目录路径。

通过 Web UI 升级至 Fireware XTM 11.5.1 版

  1. 转到“系统”>“备份映像”或使用 USB 备份功能备份当前的配置文件。
  2. 在管理计算机上,启动从 WatchGuard 软件下载中心下载的操作系统软件文件。
    如果使用基于 Windows 的安装程序,该安装会将名为 [xtm series]_[product code].sysa-dl l 的升级文件提取至默认位置:C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.5.1\[model]。
  3. 通过 Web UI 连接到 XTM 设备,然后选择“系统”>“升级操作系统”
  4. 浏览到步骤 2 中 [xtm series]_[product code].sysa-dl 的位置,然后单击“升级”

从 WSM/Policy Manager 11.x 版升级至 Fireware XTM 11.5.1 版

  1. 选择“文件”>“备份”或使用 USB 备份功能来备份当前的配置文件。
  2. 在管理计算机上,启动从 WatchGuard 门户下载的操作系统可执行文件。 该安装会将名为 [xtm series]_[product code].sysa-dl l 的升级文件提取至默认位置:C:\Program Files\Common files\WatchGuard\resources\FirewareXTM\11.5.1\[model]。
  3. 安装并打开 WatchGuard System Manager 11.5.1 版。 连接至 XTM 设备并启动 Policy Manager。
  4. 在 Policy Manager 中,选择“文件”>“升级”。 系统提示时,找到并选择步骤 2 中的 [xtm series]_[product code].sysa-dl 文件。

有关 WatchGuard 服务器软件升级的常规信息

从 11.0.1 版或更高版本更新至 WSM 11.5.1 版时,无需卸载以前的 11.x 版服务器或客户端软件。 可在现有安装的基础上安装 11.5.1 版服务器和客户端软件,以升级 WatchGuard 软件组件。 如果使用外部 PostgreSQL 数据库,建议您升级到您所用的 PostgreSQL 服务器发行版的最新次要版本,或确保在升级前您所用的版本对于您所在时区而言是最新的。 在 Log Server 升级和 Report Server 升级期间,现有日志和报告数据的时间戳将转换为本地时区的 UTC 格式。 此处提供了对于每项升级应了解的具体详细信息:

Log Server 升级详细信息

Report Server 升级详细信息

将 FireCluster 从 Fireware XTM 11.x 版升级至 11.5.1 版

有两种方法可升级 FireCluster 上的 Fireware XTM 操作系统。 使用哪种方法取决于您当前使用的 Fireware XTM 版本。

从 Fireware XTM 11.4.x 版升级 FireCluster

使用以下步骤将 FireCluster 从 Fireware XTM 11.4.x 版升级至 Fireware XTM 11.5.1 版:

  1. 在 Policy Manager 中,打开群集配置文件
  2. 选择“文件”>“升级”。
  3. 键入配置密码。
  4. 键入或选择升级文件的位置。
  5. 要创建备份映像,请选择“”。
    将显示群集成员列表。
  6. 选中每台要升级设备的复选框。
    每台设备完成升级后会显示一条消息。

升级完成后,每个群集成员将重启并重新加入群集。 如果同时升级群集中的两台设备,将依次进行升级。 这是为了确保在升级时不会出现网络访问中断。

Policy Manager 会先升级备份主控设备。 第一个成员的升级完成后,该设备将成为新的群集主控设备。 然后 Policy Manager 将升级第二台设备。

要从远程位置执行升级,请确保在外部接口上配置了 FireCluster 管理接口 IP 地址,并且管理 IP 地址是公共地址且可路由。 有关详细信息,请参阅“关于管理 IP 地址的接口”。

从 Fireware XTM 11.3.x 版升级 FireCluster

要将 FireCluster 从 Fireware XTM 11.3.x 版升级至 Fireware XTM 11.5.1 版,必须执行手动升级。 有关手动升级步骤,请参阅知识库文章升级 FireCluster 的 Fireware XTM 操作系统

降级说明

从 WSM 11.5.1 版降级至 WSM 11.x 版

如果要从 11.5.1 版恢复至早期版本的 WSM,您必须卸载 WSM 11.5.1 版。 在卸载时,请在卸载程序询问是否要删除服务器配置和数据文件时选择。 删除服务器配置和数据文件后,您必须恢复在升级至 WSM 11.5.1 版之前备份的数据和服务器配置文件。

接着,安装在升级至 WSM 11.5.1 版之前所使用的相同版本的 WSM。 安装程序将检测现有的服务器配置,并尝试从完成对话框重新启动服务器。 如果使用的是 WatchGuard Management Server,请使用 WatchGuard Server Center 来恢复在首次升级至 WSM 11.5.1 版之前创建的 Management Server 配置备份。 检查是否所有的 WatchGuard 服务器都在运行。

无法将 XTM 2050 或 XTM 330 降级至低于 11.5.1 版的 Fireware XTM 操作系统版本

从 Fireware XTM 11.5.1 版降级至 Fireware XTM 11.x 版

如果要从 Fireware XTM 11.5.1 版降级至早期版本的 Fireware XTM,您可以:

要以恢复模式启动 WatchGuard XTM 330、5 系列、8 系列、XTM 1050 或 XTM 2050 设备:

  1. 断开 XTM 设备电源。
  2. 在接通设备电源的同时,按住设备前面板上的向上箭头。
  3. 继续按住此按钮,直到 LCD 显示屏上显示“正在启动恢复模式”。

要以恢复模式启动 WatchGuard XTM 2 系列设备:

  1. 断开电源。
  2. 将电源连接至设备时按住设备背面的重置按钮。
  3. 一直按住该按钮直至前面的 Attn 灯变成长亮的橙色。

Log and Report Manager Web UI

WatchGuard System Manager 11.5.1 版已对日志和报告查看工具实施了重要更新,我们为此感到自豪。 LogViewer、Report Manager 和 Reporting Web UI 工具的功能已合并到新的 Log and Report Manager Web UI 中。 这三个重要可视化工具的功能现在在一个界面中提供,而此界面将根据您的用户访问权限以及您所安装的 WatchGuard 服务器软件类型来动态创建。

日志查看工具的更改

升级后的日志查看组件将提供改进的性能,包括高性能数据导出功能。 该新工具还引入了日志频率可视化功能。 11.5.1 版之前的 LogViewer 的以下次要功能尚未推进到新的 Log and Report Manager Web UI 中:

报告查看工具的更改

升级后的报告查看工具功能包括深化报告数据的功能并引入了报告透视。 根据设计,Log and Report Manager Web UI 将为您提供交互式报告体验,而不是生成静态的报告内容。 不过,Report Server 将继续支持生成静态 .html 和 .pdf 报告。 因此,以下选项尚未推进到新的 Log and Report Manager Web UI 中:

用户报告查看工具的更改

Reporting Web UI 已完全由新的 Log and Report Manager Web UI 所取代。 您可以使用此新工具为您的用户授予报告访问权限。 添加自定义徽标和颜色的功能在此版本中已弃用。

有关新的 Log and Report Manager Web UI 功能的详细信息,请参阅 WatchGuard System Manager 帮助。

已解决的问题

Fireware XTM 11.5.1 版解决了一系列在较早的 Fireware XTM 11.x 版中发现的问题。

常规

联网

代理

FireCluster

Mobile VPN with SSL

Mobile VPN (IPSec)

Mobile VPN (PPTP)

Branch Office VPN

身份验证

Management Server

Policy Manager

Web UI

安全服务

证书

无线

日志记录

Firebox System Manager (FSM)

已知问题

这些是 Fireware XTM 11.5.1 版和所有管理应用程序的已知问题。 如果可行,我们将提供解决此问题的方法。

常规

Workaround
请使用 Command Line Interface 命令“USB diagnostic enable”使设备能够以指定的时间间隔向 USB 驱动器保存诊断支持快照。 有关此命令的详细信息,请参阅 Command Line Interface 参考。

Workaround
在“默认数据包处理”设置中,将“丢弃 ICMP 洪水攻击”的阈值从默认的 1000 个数据包/秒增加到更大的数值。

Workaround
使用 CLI 或使用系统 > 备份映像系统 > 恢复映像菜单选项降级操作系统。

WatchGuard System Manager

Workaround
编辑 cacert.pem 文件,移除出现在“----BEGIN CERTIFICATE”上方的所有文本。

Workaround
确保未对 WSM 11.x 版可执行文件启用 Windows XP 兼容模式。 要进行验证,请在 Windows 资源管理器中查找 wsm.exe。 右键单击可执行文件,选择“属性”,然后单击“兼容性”选项卡。

Workaround
从 WSM 连接到 Management Server。 选择托管设备并选择更新设备。 选择单选按钮重置服务器配置(IP 地址/主机名、共享密匙)

Workaround
在开始卸载 WSM 前,退出 WatchGuard Server Center。 这时您将可以成功地卸载 WatchGuard System Manager。

Web UI

WatchGuard Server Center

命令行界面 (CLI)

代理

Workaround
您可以使用 H.323 协议代替 SIP。

Workaround
1. 编辑 HTTP 代理策略。
2. 单击“查看/编辑代理”
3. 选中允许通过未修改内容的范围请求复选框。
4. 保存对 XTM 设备的更改。

Workaround
配置 PBX 以发送带有 IP 地址而非域名的联系人标头。

安全订阅

联网

Workaround
1. 在使用 Web Setup Wizard 过程中,如要将您的计算机直接连接到 XTM 2 Series 设备, 请对计算机使用静态 IP 地址。
2. 运行 Web Setup Wizard 时,在您的计算机与 XTM 2 Series 设备间使用交换机或集线器。

无线

多 WAN

身份验证

Centralized Management

FireCluster

Workaround
避免使用与群集 IP 地址有冲突的 IP 地址池。

Workaround
降低系统检查 Gateway AV 更新的频率以最大程度降低发生此情况的几率。

Workaround
请勿将任一默认 IP 地址用作主要或备份群集接口 IP 地址。

日志记录和报告

Workaround
确保在 Report Server ConnectWise 集成设置中指定的 ConnectWise 服务器名称与您导入的 CA 证书中的服务器名称具有完全相同的大小写。

Mobile VPN

Workaround
如果唯一的外部接口是外部 VLAN 接口,请使用 Policy Manager 配置 Mobile VPN with SSL。

Workaround
增加重新生成密钥字节计数。

Workaround
要将 Mobile VPN with SSL 客户端从 11.2.1 版升级至 11.3 版,请使用 Web 浏览器连接到 https://<Firebox 或 XTM 设备的 IP 地址>/sslvpn.html。 在此可下载并安装新的客户端软件。 您也可从“Software Downloads”页面上下载客户端软件并将其电邮至您的用户,以在其计算机上进行安装。

Branch Office VPN

Workaround
如果使用多 WAN 且 Branch Office VPN 隧道存在无法与其远程对等方协商,必须打开多 WAN 配置并选择所选多 WAN 配置模式旁边的“配置”。 确保相应的接口已包含在多 WAN 配置中。

Workaround
请勿对隧道路由的本地或远程部分使用任意。 更改您隧道路由的本地部分。 键入实际参与了隧道路由的 Firebox 后的计算机的 IP 地址。 联系远程 IPSec 对等端的管理员,以确定其隧道路由的远程部分(或其第 2 阶段 ID 的远程部分)使用了何种设备。

使用 CLI

11.x 版本完全支持 Fireware XTM CLI(命令行接口)。 有关如何启动并使用 CLI 的信息,请参阅 CLI 命令参考指南,该指南已针对此版本进行了更新。 您可在文档网站上下载该 CLI 指南,地址为:http://www.watchguard.com/help/documentation/xtm.asp

技术支持

要获取技术支持,请通过电话或登录 WatchGuard 门户网站(网址为 http://www.watchguard.com/support)与 WatchGuard Technical Support 联系。 联系技术支持时,必须提供您注册的产品序列号或合作伙伴 ID。

 电话号码
美国最终用户877.232.3531
国际最终用户+1 206.613.0456
得到授权的 WatchGuard 分销商206.521.8375

Give us feedback  •   All product documentation  •   Knowledge Base