Print topic

Fireware XTM 11.6.1 发行说明

支持的设备 XTMv、XTM 2、3、5 和 8 系列
XTM 1050、XTM 2050
Fireware XTM OS 内部版本

346666

WatchGuard System Manager 内部版本 347361
修订日期

2012 年 8 月 8 日

简介

WatchGuard 很高兴地宣布发布 Fireware XTM v11.6.1 版和 WatchGuard System Manager v11.6.1 版。您可以在任意 WatchGuard XTM 设备上安装 Fireware XTM OS v11.6.1,包括 2 系列、3 系列、5 系列、8 系列、XTM 1050 和 2050 设备,以及任意版本的 XTMv。 该版本中引入了对新的高性能 XTM 5 系列型号 515、525、535 和 545 的支持,以及为本地化用户接口和文档提供更新服务。 该版本还包括一些关键产品增强:

最后,此版本中包含一些关键漏洞修复,并在 已解决的问题 该部分中有所描述。

有关 Fireware XTM v11.6.1 版中包含的功能增强的详细信息,请参阅产品文档或查看 Fireware XTM v11.6.1 版的新增功能

开始之前

安装本版本之前,请确保已准备好以下事项:

请注意,您可在运行 Fireware XTM v11 较早版本的设备上安装和使用 WatchGuard System Manager v11.6.1 版和所有 WSM 服务器组件。 如果是这样,我们建议您使用与 Fireware XTM OS 版本相符的产品文档。

如果您拥有新的 XTM 物理设备,请确保使用 随设备附带的 XTM 快速启动指南中的说明。 如果是新的 XTMv 安装,请确保仔细阅读 XTMv 设置指南 以获得重要的安装和设置说明。

该产品的文档可从 WatchGuard 网站上找到,网址为: www.watchguard.com/help/documentation

Fireware XTM 和 WSM 11.6.1 版操作系统的兼容性

WSM/
Fireware XTM 组件
Microsoft Windows XP SP2
(32 位)
Microsoft Windows Vista
(32 位 和
64 位)
Microsoft Windows 7
(32 位 和
64 位)

Microsoft Windows
服务器
2003
(32 位)

Microsoft
Windows
服务器
2008 和 2008 R2*
Mac OS X
10.5 版和 10.6 版和 10.7 版
WatchGuard System Manager 应用程序

Fireware XTM Web UI
支持的浏览器:
IE 7、IE 8、Firefox 3.x 及更高版本

Log and Report Manager Web UI
支持的浏览器:Firefox 3.5 及更高版本、IE8 及更高版本、Safari 5.0 及更高版本、Chrome 10 及更高版本。 需要 Javascript。
WatchGuard 服务器

单一登录代理软件
(包括 Event Log Monitor)

单点登录客户端软件

Terminal Services 代理软件**

***

Mobile VPN with IPSec 客户端软件

 

支持 Native (Cisco) IPSec 客户端
Mobile VPN with SSL 客户端软件

*支持 Microsoft Windows Server 2008 32 位和 64 位;支持 Windows Server 2008 R2 64 位。

* * 采用手动或单一登录认证方式的 Terminal Services 支持功能适用于 Microsoft Terminal Services 或 Citrix XenApp 4.5、5.0、6.0 和 6.5 环境。

*** 需要 Microsoft Windows Server 2003 SP2。

认证支持

此表为您提供了关于密钥功能或 Fireware XTM 所支持的认证服务器类型的概览。 使用认证服务器,您能够在您的 XTM 设备配置中配置基于用户和基于组的防火墙以及 VPN 策略。 在各类第三方认证服务器的支持下,您可以指定故障转移的备份服务器 IP 地址。

— 由 WatchGuard 提供完整支持

— 尚不支持,但是由 WatchGuard 客户成功地进行了测试

  Active Directory1 LDAP RADIUS2 SecurID2 Firebox
(Firebox-DB)
本地认证
Mobile VPN with IPSec/Shrew Soft 3
适用于 iPhone/iPad iOS 和 Mac OS X 的 Mobile VPN with IPSec
适用于 Windows 的 Moblie VPN with SSL 4 4
适用于 Mac 的 Moblie VPN with SSL 5
Mobile VPN with PPTP 不可用
端口 4100 上的内建认证网页
Windows 单一登录支持
(配有或未配有客户端软件)
Terminal Services 手动认证
通过单一登录的 Terminal Services 认证 6
Citrix 手动认证
  1. 除非另有说明,Active Directory 支持包括单域和多域支持。
  2. RADIUS 和 SecurID 支持包括一次性密码和与 RADIUS 集成的询问/响应认证。 在很多情况下,SecurID 也可用于与其他 RADIUS 实施项(包括 Vasco)一同使用。
  3. Shrew Soft 客户端不支持双重认证。
  4. Fireware XTM 支持 RADIUS Filter ID 11 进行组认证。
  5. 支持 PIN 码 + Tokencode 模式。 不支持 Next Tokencode 模式和 SMS OneTimePasswords。
  6. 仅支持单域 Active Directory 配置。
  7. 有关 WatchGuard TO Agent 和 SSO Agent 所支持的操作系统兼容性的详细信息,请参阅最新的 Fireware XTM 和 WSM 操作系统兼容性表。

系统要求

  如果只安装了 WatchGuard System Manager 客户端软件 如果安装了 WatchGuard System Manager 和 WatchGuard Server 软件

CPU 最低要求

Intel Pentium IV

1GHz

Intel Pentium IV

2GHz

最小内存

1 GB

2 GB

最小可用磁盘空间

250 MB

1 GB

建议最低屏幕分辨率

1024x768

1024x768

XTMv 系统要求

要安装 XTMv 虚拟设备,必须在您使用的 ESXi 版本所支持的任意服务器硬件上安装 VMware ESXi 4.1 或 5.0 主机。 您还必须在支持的 Windows 计算机中安装 VMware vSphere Client 4.1 或 5.0。 如果愿意的话,您可以使用 vCenter Server 代替 vSphere 客户端。

XTMv 的硬件要求与 VMware ESXi 的硬件要求相同。 有关 VMware 硬件兼容性的详细信息,请参阅 VMware 兼容性指南,地址是
http://www.vmware.com/resources/compatibility/search.php

每台 XTMv 虚拟机需要 3 GB 的磁盘空间。

推荐的资源分配设置

  小型办公室 中型办公室 大型办公室 数据中心

虚拟 CPU

1

2

4 8 个或更多

内存

1 GB

2 GB

4 GB 4 GB 或更多

下载软件

  1. 请登录至 WatchGuard 门户 并选择文章与软件选项卡。
  2. 从搜索部分中,取消选中文章和已知问题复选框并搜索可用的软件下载。 选择要下载其相关软件的 XTM 设备。

可供下载的软件文件有若干个。 请参见下列说明,以便了解您的升级操作需要哪些软件包。

WatchGuard System Manager

所有用户现在都可以下载 WatchGuard System Manager 软件。 可以通过该软件包安装 WSM 和 WatchGuard Server Center 软件:

WSM11_6_1s.exe — 使用此文件将 WatchGuard System Manager 从 v11.x 版升级至 WSM v11.6.1 版。  

Fireware XTM OS

为您的 XTM 设备选择正确的 Fireware XTM OS 映像。 如果想要使用 WSM 安装或升级 OS,请使用 .exe 文件。 如果想要使用 Fireware XTM Web UI 安装或升级 OS,请使用 .zip 文件。 使用 .ova 文件部署新的 XTMv 设备。

拥有的硬件 从这些 Fireware XTM OS 包中选择
XTM 2050
XTM_OS_XTM2050_11_6_1.exe 
xtm_xtm2050_11_6_1.zip

XTM 1050

XTM_OS_XTM1050_11_6_1.exe 
xtm_xtm1050_11_6_1.zip

XTM 8 系列

XTM_OS_XTM8_11_6_1.exe
xtm_xtm8_11_6_1.zip

XTM 5 系列

XTM_OS_XTM5_11_6_1.exe
xtm_xtm5_11_6_1.zip
XTM 330
XTM_OS_XTM330_11_6_1.exe
xtm_xtm330_11_6_1.zip
XTM 33
XTM_OS_XTM33_11_6_1.exe
xtm_xtm33_11_6_1.zip

XTM 2 系列
型号
21、22、23

XTM_OS_XTM2_11_6_1.exe
xtm_xtm2_11_6_1.zip
XTM 2 系列

型号 25、26
XTM_OS_XTM2A6_11_6_1.exe
xtm_xtm2a6_11_6_1.zip
XTMv
全部版本
xtmv_11_6_1.ova
xtmv_11_6_1.exe 
xtmv_11_6_1.zip

单一登录软件

如果使用单一登录,有两个文件可供下载。

有关如何安装和设置单一登录的信息,请参阅产品文档。

Terminal Services 认证软件

Windows 和 Mac 的 Mobile VPN with SSL 客户端

如果要通过 SSL 实现移动 VPN,有两个文件可供下载:

适用于 Windows 的 Mobile VPN with IPSec 客户端

您可从我们的网站下载适用于 Windows 的 Shrew Soft VPN 客户端。 有关 Shrew Soft VPN 客户端的详细信息,请参阅帮助或访问 Shrew Soft, Inc. 的网站

从 Fireware XTM 11.x 版升级至 11.6.1 版

从 Fireware XTM v11.x 版升级至 Fireware XTM v11.6.1 版之前,请下载并保存与您所要升级的 WatchGuard 设备相匹配的 Fireware XTM 操作系统文件。 所有可用软件都可以在 WatchGuard 门户、文章和软件选项卡中找到。 您可使用 Policy Manager 或 Web UI 来完成升级步骤。 强烈建议您在升级前备份设备配置和 WatchGuard Management Server 配置。 没有这些备份文件将无法进行降级。

如果使用的是 WatchGuard System Manager (WSM),请确保您的 WSM 版本不低于安装在 XTM 设备中的 Fireware XTM OS 的版本和安装在 Management Server 上 的 WSM 的版本。

如果您正在将 WSM v11.4.x 版或更早版本升级至 WSM v11.6.1 版,使用知识库文章 6995 中介绍的步骤备份 Log and Report Server 数据非常重要。 由于 Log and Report Server 数据库的结构在 WSM v11.5.1 版中发生更改,此操作非常必要。 首次升级至 WSM v11.5.1 版或更高版本时,现有日志和报告数据的时间戳将从本地时区更改为 UTC 时间。 知识库文章为您提供了关于升级的详细信息以及关于 Log and Report Manager 的重要信息(WSM v11.5.1 版中同时更新)。

备份 WatchGuard Management Server 配置

从安装 Management Server 的计算机中:

  1. 在 WatchGuard Server Center 中,选择 备份/恢复管理服务器
    将启动 WatchGuard Server Center Backup/Restore Wizard
  2. 单击 下一步
    将显示选择操作屏幕。
  3. 选择 备份设置
  4. 单击 下一步
    将显示指定备份文件屏幕。
  5. 单击 浏览 以选择备份文件的位置。 请确保将配置文件保存到以后恢复配置时可以访问的位置。
  6. 单击 下一步
    将显示 WatchGuard Server Center Backup/Restore Wizard 已完成的屏幕。
  7. 单击 完成 以退出向导。

通过 Web UI 升级至 Fireware XTM v11.6.1 版

  1. 前往 系统 > 备份映像 或使用 USB 备份功能来备份当前的配置文件。
  2. 在管理计算机上,启动从 WatchGuard 软件下载中心下载的操作系统软件文件。
    如果使用基于 Windows 的安装程序,此安装将提取出更新文件,文件名为 [xtm series]_[product code].sysa-dl l,默认路径为 C:\Program Files(x86)\Common files\WatchGuard\resources\FirewareXTM\11.6.1\[model](或 [model][product_code])。
  3. 使用 Web UI 连接至 XTM 设备,并选择 系统 > 升级操作系统
  4. 浏览到步骤 2 中 [xtm series]_[product code].sysa-dl 的位置并单击 升级

从 WSM/Policy Manager v11.x 版升级至 Fireware XTM v11.6.1 版

  1. 选择 文件 > 备份 或使用 USB 备份功能来备份当前的配置文件。
  2. 在管理计算机上,启动从 WatchGuard 门户下载的操作系统可执行文件。 此安装将提取出更新文件,文件名为 [xtm series]_[product code].sysa-dl l,默认路径为 C:\Program Files(x86)\Common files\WatchGuard\resources\FirewareXTM\11.6.1\[model](或 [model][product_code])。
  3. 安装并打开 WatchGuard System Manager v11.6.1 版。 连接至 XTM 设备并启动 Policy Manager。
  4. 在 Policy Manager 中,选择 文件 > 升级。 出现提示时,浏览到步骤 2 [xtm series]_[product code].sysa-dl 中的文件并选中它。

有关 WatchGuard 服务器软件升级的常规信息

从 v11.0.1 版或更高版本更新至 WSM v11.6.x 版时,无需卸载以前的 v11.x 版服务器或客户端软件。 可在现有安装的基础上安装 v11.6.x 版服务器和客户端软件,从而升级 WatchGuard 软件组件。

将 FireCluster 从 Fireware XTM 11.x 版升级至 11.6.1 版

有两种方法来升级 FireCluster 上的 Fireware XTM 操作系统。 使用哪种方法取决于您当前使用的 Fireware XTM 版本。

将 FireCluster 从 Fireware XTM v11.4.x 版或 v11.5.x 版升级

使用以下步骤将 FireCluster 从 Fireware XTM v11.4.x 版或 v11.5.x 版升级至 Fireware XTM v11.6.x 版:

  1. 在 Policy Manager 中,打开群集配置文件
  2. 选择 文件 > 升级
  3. 键入配置密码。
  4. 键入或选择升级文件的位置。
  5. 要创建备份映像,请选择
    将显示群集成员列表。
  6. 选中每台要升级设备的复选框。
    每台设备完成升级后会显示一条消息。

升级完成后,每个群集成员将重启并重新加入群集。 如果同时升级群集中的两台设备,将依次进行升级。 这是为了确保在升级时不会出现网络访问中断。

Policy Manager 首先将备份成员升级,然后等待其重新引导并作为备份重新加入群集。 接着,Policy Manager 升级主控设备。 请注意,主控设备角色在重新引导以结束升级流程之前不会发生更改。 那时,备份将作为主控设备进行接管。

要从远程位置执行升级,请确保在外部接口上配置了 FireCluster 管理接口 IP 地址,并且管理 IP 地址是公共地址且可路由。 有关详细信息,请参阅 关于管理 IP 地址的接口

从 Fireware XTM 11.3.x 版升级 FireCluster

要将 FireCluster 从 Fireware XTM v11.3.x 版升级至 Fireware XTM v11.6.x 版,必须执行手动升级。 有关手动升级的步骤,请参阅知识库文章。 升级 FireCluster 的 Fireware XTM 操作系统

降级说明

从 WSM v11.6.x 版降级至 WSM v11.x 版

如果要从 v11.6.x 版还原至较早版本的 WSM,您必须卸载 WSM v11.6.x 版。 在卸载时,请在卸载程序询问是否要删除服务器配置和数据文件时选择 。 删除服务器配置和数据文件后,您必须恢复在升级至 WSM v11.6.x 版之前所备份的数据和服务器配置文件。

接着,安装在升级至 WSM v11.6.x 版之前所使用的相同版本的 WSM。 安装程序将检测现有的服务器配置,并尝试从 完成 对话框重新启动服务器。 如果使用的是 WatchGuard Management Server,请使用 WatchGuard Server Center 来恢复在首次升级至 WSM v11.6.x 版之前所创建的 Management Server 配置备份。 检查是否所有的 WatchGuard 服务器都在运行。

从 Fireware XTM v11.6.x 版降级至 Fireware XTM v11.x 版

无法将 XTM 2050、XTM 330 或 XTM 33 设备降级至低于 v11.5.1 版的 Fireware XTM OS 版本。 无法将 XTM 5 系列型号 515、525、535 或 545 降级至低于 v11.6.1 版的 Fireware XTM OS 版本。 无法将 XTMv 降级至低于 v11.5.4 版的 Fireware XTM OS 版本。

如果要从 Fireware XTM v11.6.x 版降级至较早版本的 Fireware XTM,您可以:

要以恢复模式启动 WatchGuard XTM 330、5 系列、8 系列、XTM 1050 或 XTM 2050 设备:

  1. 断开 XTM 设备电源。
  2. 在接通设备电源的同时,按住设备前面板上的向上箭头。
  3. 一直按住此按钮,直到 LCD 显示屏上显示“正在启动恢复模式”。

要以恢复模式启动 WatchGuard XTM 2 系列或 XTM 33 设备:

  1. 断开电源。
  2. 将电源连接至设备时按住设备背面的重置按钮。
  3. 一直按住该按钮直至前面的 Attn 灯变成长亮的橙色。

已解决的问题

Fireware XTM v11.6.1 版本解决了一系列在较早的 Fireware XTM v11.x 版本中所发现的问题。

常规

WatchGuard System Manager

Web UI

Centralized Management

日志记录和报告

代理和安全服务

联网 

Command Line Interface

FireCluster

Mobile VPN

已知问题

这些是 Fireware XTM v11.6.1 版和所有管理应用程序的已知问题。 如果可行,我们将提供解决此问题的方法。

常规

Workaround
请使用 CLI 命令“usb diagnostic enable”使设备能够将诊断支持快照保存到 USB 驱动器。 有关该命令的详细信息,请参阅 Command Line Interface 参考指南

Workaround
在 默认数据包处理”设置中,将 丢弃 ICMP 洪水攻击”的阈值从默认的 1000 个数据包/秒增加到更大的数值。

XTMv

Workaround
如果从路径 Firebox System Manager > 查看 > 证书来手动删除证书,然后重新引导 XTMv 设备,则将自动生成带有正确序列号的自签名证书。

WatchGuard System Manager

Workaround
从 WSM 连接到 Management Server。 选择受管理的设备并选择 更新设备。 选择单选按钮 重设服务器配置(IP 地址/主机名、共享密钥)

Workaround
关闭安装应用程序。 右键单击 Windows 任务栏上的 WatchGuard Server Center 图标,然后退出 WatchGuard Server Center。 请确保所有已侦测到的应用程序已停止,然后重试 WSM 安装或卸载。

Web UI

命令行界面 (CLI)

Workaround
使用出现在短横线后面的连续接口号作为接口号来配置接口。 对于 B1-9 接口,CLI 命令中的接口编号应在 8-15 之间。 对于 C0-1 接口,CLI 命令中的接口编号应在 16-17 之间。

代理

Workaround
使用其他浏览器,或在您的 IE 9.0 配置中启用 TLS 1.0 和 SSL 3.0。

Workaround
您可以使用 H.323 协议代替 SIP。

Workaround
1. 编辑 HTTP 代理策略。
2. 单击 视图/编辑代理
3. 选择 允许通过未修改内容的范围请求 复选框。
4. 保存对 XTM 设备的更改。

Workaround
配置 PBX 以发送带有 IP 地址而非域名的联系人标头。

安全订阅

联网

Workaround
1. 在使用 Web Setup Wizard 过程中,如要将您的计算机直接连接到 XTM 2 Series 设备, 请对计算机使用静态 IP 地址。
2. 运行 Web Setup Wizard 时,在您的计算机与 XTM 2 Series 设备间使用交换机或集线器。

多 WAN

无线

认证

Workaround
该功能只能通过 VMware 中安装的 Citrix 6.0 和 6.5 服务器进行工作。

Centralized Management

FireCluster

Workaround
手动同步备份主控设备的时间。 连接至群集,启动 Firebox System Manager,然后选择工具 > 同步时间。 此操作将群集成员的时间与管理计算机的时间同步。

Workaround
禁用交换机上的 STP,配置交换机以使用快速 STP,或使用不同的交换机。

Workaround
使用 XTM 设备的主要 IP 地址来处理活动/活动 FireCluster 的所有管理连接。

Workaround
避免使用与群集 IP 地址有冲突的 IP 地址池。

Workaround
降低系统检查 Gateway AV 更新的频率以最大程度降低发生此情况的几率。

Workaround
请勿将任一默认 IP 地址用作主要或备份群集接口 IP 地址。

日志记录和报告

Workaround
1. 在 WatchGuard Server Center 中的 Log Server 日志记录选项卡上,更改来自 Log Server 的日志消息的日志级别,并单击 应用
2. 在服务器树中,右键单击 Log Server 并选择 停止服务器。 在确认消息中,选择
3. 再次右键单击 Log Server 并选择 启动服务器

Workaround
确保您的报告计划名称仅使用在 Windows 文件名中有效的字符。 您可以在下列文章中找到有效字符 http://msdn.microsoft.com/en-us/library/windows/desktop/aa365247%28v=vs.85%29.aspx

Mobile VPN

Workaround
将 Mobile VPN with SSL 的诊断日志级别设为任何粒度低于“调试”的日志级别。

Workaround
手动安装 Mobile VPN with SSL 客户端。

Workaround
增加重新生成密钥字节计数。

Branch Office VPN

Workaround
如果使用多 WAN 且 Branch Office VPN 隧道存在无法与其远程对等方协商,必须打开多 WAN 配置并选择所选多 WAN 配置模式旁边的 配置。 确保相应的接口已包含在多 WAN 配置中。

Workaround
请勿将 任何 用于隧道路由的 本地”或 远程”部分。 更改您隧道路由的本地部分。 键入实际参与到隧道路由的 XTM 设备背后的计算机的 IP 地址。 联系远程 IPSec 对等端的管理员,以确定其隧道路由的远程部分(或其第 2 阶段 ID 的远程部分)使用了何种设备。

Workaround
在 Policy Manager 中,选择 查看 > 策略突出显示。 根据 流量类型清除突出显示的防火墙策略 复选框。

使用 CLI

11.x 版本完全支持 Fireware XTM CLI(命令行接口)。 有关如何启动和使用 CLI 的信息,请参阅 CLI 命令参考指南。 您可在文档网站上下载该 CLI 指南,网址为: http://www.watchguard.com/help/documentation/xtm.asp

技术支持

如需技术支持,请致电 WatchGuard Technical Support,也可登录 WatchGuard 门户网站,网址是: http://www.watchguard.com/support。 联系技术支持时,必须提供您注册的产品序列号或合作伙伴 ID。

 电话号码
美国最终用户877.232.3531
国际最终用户+1 206.613.0456
得到授权的 WatchGuard 分销商206.521.8375

Give us feedback  •   All product documentation  •   Knowledge Base