SonicOS 7.1 版本須知
版本 7.1.1-7040
2023 年 12 月
SonicOS 7.1.1 是 SonicOS 的主要功能版本。
重要
- SonicOS 7.1.1 韌體在 NSsp 15700 的 MySonicWall 上不可用。請聯絡服務客戶經理以取得韌體。
- Network Security Manager (NSM) 2.3.5 不支援 SonicOS 7.1.1。NSM 2.4 將支援 SonicOS 7.1.1。
相容性與安裝備註
- 支援大多數流行的瀏覽器,但在儀表板上即時圖形顯示時,優先選擇 Google Chrome。
- 需要 MySonicWall 帳戶。
新增功能
-
DNS 篩選
引入了一項重大更新,旨在增強線上體驗的安全性和效率,包括:
- 防範惡意網站:透過 DNS 篩選主動阻止對已知惡意網域的存取可以降低惡意軟體感染和其他網路攻擊的風險。
- 增強頻寬:透過阻止訪問不必要或不需要的網站,可以減少頻寬消耗並優化網路速度
- 篩選不當內容:DNS 篩選透過封鎖存取託管露骨內容、暴力或令人反感的資料的網站來提供額外的保護層。
-
內容篩選 5.0
內容篩選引擎 5.0 的推出提供了重大增強功能:
- 類別擴展:增加支援類別的數量和類型,從而改善網站的分類。
- 基於信譽的阻止:基於信譽的 URL 封鎖可根據信譽主動識別並封鎖可疑實體。
-
網路存取控制支援
SonicOS 提供 API,以便 NAC 供應商可以將安全内容傳到 SonicWall 防火牆。使用安全内容 SonicOS 建立緩解操作的原則,從 NAC 供應商獲取動態使用者角色和其他資訊,建立資訊模型並執行流量篩選。SonicOS 可以同時支援來自不同供應商的多個 NAC 伺服器。
-
SonicWave AX 支援
SonicOS 7.1.1 將 SonicWave 600 系列存取點與防火牆整合。
如果 SonicWave 600 系列存取點連綫到防火牆的 WLAN 區域,該防火墻已設定了版本 7.0.x 並由 WNM 管理的,則在將防火牆更新為 SonicOS 7.1 后可以獲取存取點。升級防火牆後,所有 WNM 設定將不再可用。為了確保無縫管理,請在 WLAN 區域上停用 SonicPoint/SonicWave 管理。
-
NSv 增強功能
-
NSv 基礎從 SonicCore 更新為 SonicCoreX
此更新引入了安全啟動、虛擬 TPM 和許多效能增強功能。
-
NSV 啓動
SonicOS 7.1.1 引入了 NSv 的啓動功能,為大規模部署設定 NSv 防火牆提供了靈活、一致且可擴展的流程。
基於 Token 的註冊
基於 Token 的註冊將啓動檔案中的 MySonicWall 使用者名稱和密碼用字串取代,以使用基本組態和許可證資訊自動進行大規模部署。這也有助於防止濫用 MySonicWall 憑證,該憑證可用於存取使用相同帳戶的其他註冊產品的資訊。
升級到 NSv 的 7.1.1 版本需要部署新的 NSv 安裝並匯入從目前安裝匯出的備份設定和憑證。更多資訊,請參見 NSv 從 7.0.1 升級到 7.1.1。
-
-
自動更新韌體支援
此功能簡化了防火牆保持最新的韌體版本、修補程式和安全性更新。
NSsp 15700 不支援此功能。
-
能夠在外部儲存體模組上存儲威脅/系統監控、稽核記錄和封包擷取檔案
使用外部儲存體來存儲系統記錄、威脅記錄、AppFlow 報告資料和封包擷取,確保即使在防火牆重新啟動後,這些功能的歷史資料仍然保留。也可以搜尋外部儲存體中存儲的資料。
NSsp 15700 不支援此功能。
-
UI 監控和頁面增強
SonicOS 7.1.1 引入了多項使用者介面增強功能以提高其易用性:
- 儀表板顯示有關許可證同步和特徵標記更新的最後一次許可證管理器聯絡人的詳細資訊。
- 説明滑塊上提供了新的 Capture Labs 圖示。按此圖示時將開啟一個新的瀏覽器標籤或視窗,其中顯示 SonicWall Capture Labs 網站。
- 物件和規則關係檢視器提供安全和存取規則的圖形表示。
- 現在可以使用全域搜尋來搜尋為物件和設定檔指定的值。
-
原則模式增強
-
入侵防護服務 (IPS) 微調功能
現在可以選擇性地啟用和停用特定的入侵防護服務規則。
SonicOS 7.1.1 允許管理員繞過一組特定的 IPS 特徵標記進行檢查,透過選擇性地停用選定的 IPS 特徵標記來減少誤報。
在物件 > IPS 威脅頁面上,IPS 特徵標記預設為啟用狀態。停用想要忽略的 IPS 簽名,系統無需採取任何動作。
-
閘道防毒和防間諜軟體威脅設定檔支援
管理員現在可以將防間諜軟體和閘道防毒設定檔設定為操作設定檔。可以設定簽名,以便它們需要對特定安全性原則進行驗證,同時忽略其他簽名。此增強功能消除了對已知簽名的不必要檢查。
-
能夠在介面上啟用管理標籤 (HTTPS/PING/SSH) 和來源 (IP)
SonicOS 7.1.1 提供啟用管理服務功能(例如 HTTP、HTTPS、Ping、SNMP 和 SSH)的能力,並允許從任何介面上的特定 IP 位址物件或群組來管理這些服務。
-
能夠查看防間諜軟體、閘道防毒和入侵保護設定檔物件
SonicOS 7.1.1 簡化了規則建立,並允許使用者在單一頁面中查看所有物件和設定檔,無論在應用程式中的位置如何。物件檢視器功能讓使用者能夠在使用者介面中取得物件和設定檔的摘要。如果需要在規則中使用搜尋到的物件,使用者可以簡單將其拖放到規則頁面中的相應下拉清單中,這樣可以更方便地找到並選擇所需的物件。
-
陰影功能增強
SonicOS 7.1.1 擴展了陰影功能以處理大量原則或規則,新增了編輯一組安全規則以及根據現有規則的位置在上方或下方新增規則的功能。
-
改進的篩選和搜尋
SonicOS 7.1.1 透過新增基於欄的篩選來擴展篩選和搜尋支援。韌體版本和序號現在顯示在側邊欄上,以便始終可見。
-
-
對 SonicWall Capture 安全設備的使用中/待命高可用性支援
-
SonicOS 7.1.1 為 SonicWall 擷取安全設備 提供使用中/待命高可用性支援。
-
-
工具支援增強
對技術支援報告頁面上的一些診斷和報告工具進行了多項增強。
- 佈局已變更,新增了操作部分,可以在其中下載多個不同的報告。
- 為下載系統記錄按鈕新增了工具提示。
- 系統記錄檔案包包括 CSV 格式的事件記錄。
已解決的問題
| 問題 ID | 問題說明 |
|---|---|
| GEN7-15658 | 封包擷取不顯示某些應用程式特徵標記。 |
| GEN7-19707 | 無法停用允許 Geo-IP/Botnet 篩選地圖資料庫檔上載選項。 |
| GEN7-24864 | 封包鏡像不適用於本機封包鏡像。 |
| GEN7-26633 | 當 SIP UDP 框架超過一定大小時,傳入和傳出呼叫的連入音訊皆不可用。 |
| GEN7-28520 | 紅色或黃色警報不會觸發防火牆前面板上的警報指示燈。 |
| GEN7-31345 | 當檔案複製到 Azure 中 NSv 執行個體後面的 LAN 裝置時,透過 VPN 的 SMB 檔案傳輸速度會顯著下降。 |
| GEN7-31899 | DOS 原則頁面的組態無法稽核 |
| GEN7-35181 | 在某些情況下,同步韌體可能無法如預期運作。 |
| GEN7-35248 | 移除一個介面的 DHCPv6 首碼委託會清除其他介面的首碼委託設定。 |
| GEN7-35275 | 在 Web 管理介面中啟用強制 DNS 代理所有 DNS 請求的效果已改善:如果防火牆本身發送 DNS 查詢,此類封包將不會進入 DNS 代理模組。2.在診斷頁面上,如果我們在固定快取中新增固定網域項目並啟用此選項,則不會解析該網域。但韌體是否解析其他非堆疊模組中的固定項目並不重要。 |
| GEN7-36178 | 如果伺服器回應時間超過 2 秒,FTP 自動化就會失敗。 |
| GEN7-37282 | 僅限 TZ 型號、NSa2700、NSa3700 和 NSv 型號: 如果停用狀態容錯移轉設定然後再次啟用,連線快取將無法與備用裝置正確同步。 |
| GEN7-37326 | 編輯 WAN GroupVPN 設定,然後立即啟用或停用 WAN GroupVPN 將導致某些組態設定遺失。 |
| GEN7-37501 | 在包含無線用戶端 MAC 的拒絕 Mac 篩選清單變更為無 Mac 位址之後,或者如果拒絕 Mac 篩選清單已被停用,則無線用戶端仍然被封鎖。 |
| GEN7-37511 | 使用 6to4AutoTunnel 新增基於原則的路由時嘗試設定閘道時,會顯示錯誤「閘道必須是預設的」。 |
| GEN7-38529 | 對於具有 MGMT 介面的裝置,預設的高可用性活動訊號介面是 MGMT。預設值應為控制 HA 介面。 |
| GEN7-38767 | SSL VPN 入口網站無法正確處理巨型框架。 |
| GEN7-39795 | 當使用者以系統管理員登入時,不會顯示封包監控頁面。 |
| GEN7-39850 | 當為閘道的基於 IPv6 原則的路由選擇 6to4AutoTunnel 介面時,管理介面將顯示警告閘道必須是預設的。 |
| GEN7-39990 | 在高可用性閑置裝置上,由於條件檢查,工作負載平衡操作無法正確設定。 |
| GEN7-40116 | 嘗試使用 VMWare 上託管的 NSv 的 X0 連接埠時,透過網站到網站 VPN 進行 HTTPS 管理失敗。 |
| GEN7-40300 | 變更 SSL-VPN 用戶端網路位址 IPv4 池時,即使報告已成功變更,也可能尚未啟動變更。 |
| GEN7-40352 | 選擇 29 的阻止時新增內容篩選器設定檔物件。的阻止時新增內容篩選器設定檔物件則導致錯誤:命令 'category "1. 暴力/仇恨/種族歧視" block' 不相符。 |
| GEN7-40886 | M-LAG/LACP 不適用於華為多機箱交換機,因為交換器無法管理 132 位元組 LACP BPDU。 |
| GEN7-40997 | 來源編輯管理存取規則中使用的 FQDN AO 不會繼承新的 DNS 記錄變更,這會導致維護過時的項目並在這種情況下丟棄流量 原則丟棄.如果位址物件的主機清單中已存在主機,則位址物件表和原則表格將無法正確同步。 |
| GEN7-41630 | 已停用的 IPv6 VPN 原則在編輯後將變成啟用狀態。 |
| GEN7-41656 | 即使存在基於使用者的內容篩選服務 (CFS) 原則,SSO 強制執行也會在所有區域中顯示為停用。 |
| GEN7-43151 | 高可用性容錯移轉後,用戶端會失去網際網路存取權限,因為裝置從 Capture Client 收到不相符的序號,並且錯誤地將用戶端視為無效。 |
| GEN7-43386 | 如果 VPN 通道使用 AESGCM 進行階段 1 加密,則該指令 show vpn tunnel 不顯示加密並顯示不正確的 PRF 演算法。 |
| GEN7-43436 | 即使 SSL-VPN 服務已停用,虛擬辦公室入口網站仍然可以訪問。 |
| GEN7-43505 | 當驗證方法設定為憑證時,無法為 DHCP over VPN 新增中央閘道 VPN 原則。 |
| GEN7-43710 | 使用 Web 管理介面編輯 WAN 群組 VPN 時,如果預先共用金鑰包含不可列印的字符,則會顯示錯誤。 |
| GEN7-44890 | SSL-VPN 入口網站頁面無法顯示姓名中含有@符號的使用者的書籤。使用「name@domain.com」而不是簡單的「名稱」作為顯示名稱的 LDAP 使用者會導致 LDAP 使用者無法在 SSL-VPN 入口網頁中儲存書籤。 |
已知問題
| 問題 ID | 問題說明 |
|---|---|
| GEN7-28519 | 啟用 MD5 驗證時,無法建立邊界閘道通訊協定 (BGP)。 |
| GEN7-34246 |
瀏覽器網路時間鎖定和登入機制 (NTLM) 驗證功能可能無法如預期運作。 使用者必須登入其裝置進行身份驗證。 |
| GEN7-34484 | 防火牆重啟後稽核記錄將被清除。 |
| GEN7-37742 | 僅 NSv: 不允許透過 SSH 登入管理控制台。 |
| GEN7-41011 | 從 LDAP 匯入的群組不會自動填入 LDAP 位置。 |
| GEN7-41040 | 安全性原則是從 SSO 繞過設定自動新增的,但不應新增至在原則模式下設定的防火牆。 |
| GEN7-41102 | 當在防火牆上為匯入的使用者啟用密碼變更時,密碼變更頁面不會提示輸入新密碼。 |
| GEN7-41340 | 當子 VLAN WAN 介面的父介面設定為未指派時,其連接的路由將變為灰色。 |
| GEN7-41593 | 如果升級高可用性對時啟用了 LACP,則應停用高可用性來升級,並且每個防火牆必須單獨升級。 |
| GEN7-41996 | 停用自動調整日光節約時間時鐘設定不會變更目前系統時間。 |
| GEN7-42202 | 自訂上傳的殭屍網路簽署檔案不會儲存在防火牆上,並且在防火牆重新啟動時會遺失。 |
| GEN7-43016 |
限 VMWare ESXi UI 版本: 使用以下方式部署 NSv 時
|
| GEN7-43049 | 上傳韌體並使用出廠預設設定重新啟動防火牆後,Web 管理介面中顯示網路錯誤時,可能會間歇性地出現問題。API 發送回應並在重新啟動防火牆之前關閉 HTTP 連接,使防火牆看起來可以訪問。 |
| GEN7-43500 | 變更本機使用者的名稱後,該項目仍顯示在伺服器 DPI SSL 排除/包含清單中,且無法選擇變更名稱的使用者。 |
| GEN7-43554 |
新增無效網域後,無法在自訂惡意網域清單和白名單頁面上新增有效網域,因為設定變更仍待處理。 登出防火牆,然後重新登入。 |
| GEN7-43677 | 選擇即時圖表重新整理率的選項不可用。(預設情況下,資料每 5 秒重新整理一次。) |
| GEN7-43890 | 啟用啟用 UDP 總和檢查碼執行後,如果 L2TP 用戶端位於 NAT 之後,則 L2TP 用戶端將無法連接,因為在使用 NAT 的傳輸模式下,因為傳輸過程中 IP 標題部分的變更,UDP 標題將具有不正確的總和檢查碼。 |
| GEN7-44642 | 僅限 NSsp 15700: 當 MGMT/機箱 IP 和 X1/Aux IP 位於相同子網路時,無法存取使用 X1 連接埠的 HTTPS 管理。 |
| GEN7-44690 | 設定 LDAPS 且使用者嘗試使用 CAC 進行驗證時,SSL-VPN 登入無法進行身份驗證。 |
| GEN7-44809 |
可能會出現 CPU 使用率過高的情況,導致控制台無回應且無法匯出技術支援報告 (TSR)。 在診斷頁面上停用收集主要記憶體呼叫者。(需要重新啟動防火牆才能套用此變更。) |
| GEN7-44866 | 當使用 Safari Web 瀏覽器透過 Web 管理介面管理防火牆時,設定韌體自動更新排程會導致錯誤。 |
| GEN7-44892 |
在未設定 PIN 的情況下使用帶 Radius 的 RSA 安全 ID Pin 並嘗試使用 NetExtender 登入時,在提示中輸入 PIN 後,使用者需要在下一個提示中輸入 PIN + SecureID 未顯示,且 NetExtender 顯示訊息「Login incorrect - Incorrect username/password(登入不正確 - 使用者名稱/密碼不正確)」。 管理員登出使用者。使用者之後應該能夠成功連線。 |
| GEN7-44899 | DNS 規則在設計上不支援 MAC 或 FQDN 類型的位址物件。地址物件群組目前繞過此限制。 |
| GEN7-44909 | 在使用者按重新整理之前,威脅記錄頁面不會顯示任何資料。 |
| GEN7-45060 | 僅 TZ 系列: 當兩個 SonicWave 裝置使用網格閘道方法透過內建無線連線並且內部無線頁面上的無線電模式從 2.4G 變更時,防火牆可能會間歇性重新啟動 至5G 混合-80M-48。 |
| GEN7-45077 | 自篩選器選擇全部時,按存取規則頁面上的圖表會顯示已使用規則的無資料。 |
| GEN7-45081 | 當登入由Network Security Manager (NSM) 管理的防火牆且會話已過期時,按一下設定或非設定將會失敗,並且不會將使用者重新導向到再次登入。 |
| GEN7-45110 | 在存取規則中編輯 NAC 原則,然後變更來源位址群組會導致顯示錯誤訊息: <地址物件名稱> 不是一個合理的值。 |
| GEN7-45163 | 當應用程式規則原則名稱後面跟著空白時,應用程式規則符合次數顯示為零。 |
| GEN7-45194 | 基於 VPN 的 SD-WAN 群組顯示在 SLA 探查頁面的下拉清單中,但應排除。 |
| GEN7-45207 | 當 LDAP 伺服器具有作為動態 LDAP 伺服器新增的子網域並使用 LDAP 搜尋子網域中的使用者名稱時,Web 管理介面可能會變得無回應。 |
| GEN7-45225 | 當 U0 在 WAN 負載平衡中設定為最終備份且 X1 未設定時,Web 管理介面和控制台診斷 ping 無法到達網際網路。 |
| GEN7-45241 |
當 CPU 達到 100% 時下載系統記錄或 TSR 時可能會出現間歇性問題。 一種可能的解決方法是在「裝置>診斷>技術支援報告」頁面上停用「支持目的的定期安全的診斷報告」。 |
| GEN7-45252 | 僅限 NSsp 15700: 當備用防火牆無法從上傳的韌體啟動時,會出現間歇性問題 「Wrong firmware to boot(韌體啟動錯誤)」 按一下使用目前設定重新啟動映像後將顯示在 CLI 中。在防火牆上強制進行容錯轉移後,升級將成功完成。 |
| GEN7-45257 | 當防火牆從 SonicOS 7.0.1 升級到 SonicOS 7.1.1 時,LDAP 使用者建立的書籤不可見。 |
| GEN7-45303 | 當存在大量 FTP 資料通道 (20000) 且工作階段在短時間內過期時,快取將被刪除。這可能會導致防火牆 CPU 使用率較高,並且在處理連綫快取計時器時變得無回應。這種情況極不可能發生,但這是防火牆本身的限制。 |
其他參考
GEN7-21050, GEN7-30510, GEN7-30873, GEN7-32613, GEN7-36401, GEN7-37384, GEN7-37924, GEN7-38708, GEN7-39004, GEN7-39068, GEN7-39249, GEN7-39837, GEN7-40176, GEN7-40351, GEN7-40379, GEN7-40499, GEN7-40657, GEN7-40659, GEN7-40662, GEN7-40738, GEN7-40780, GEN7-40803, GEN7-40913, GEN7-41276, GEN7-41658, GEN7-41967, GEN7-42015, GEN7-42120, GEN7-42230, GEN7-42246, GEN7-42417, GEN7-42425, GEN7-42545, GEN7-42955, GEN7-42956, GEN7-42964, GEN7-43124, GEN7-43319, GEN7-43448, GEN7-43732, GEN7-43774, GEN7-43799, GEN7-44083, GEN7-44255, GEN7-44281, GEN7-44538
Was This Article Helpful?
Help us to improve our support portal