2021年深信服AF主动安全防御版本上市

---

一、版本名称

AF8.0.35

二、版本概述

【新增】主动安全防御

（1）主动诱捕外网攻击，保护真实业务；通过伪装服务混淆黑客，转移攻击，增强对 APT、0day 攻击的防御对抗。

（2）主动诱捕内网攻击，阻断横向扩散；通过伪装服务的访问情况感知内网失陷主机，及时阻断内网扩散攻击，保护核心业务。

（3）联合云端，快速检测分析并溯源黑客画像；通过联合云端高级捕获与分析技术，获取攻击方的指纹信息、工具、手法、攻击轨迹等，汇总形成攻击者画像，并封堵攻击源，实现快速检测、分析、阻断、溯源攻击，保护业务资产安全。

【新增】账号安全专项防护

（1）全攻击链识别账号风险；针对账号安全利用的攻击链，从事前的账号入口（其中包括特权账号的检测）、弱口令账号检测，事中的口令爆破（含慢速、分布式爆破）检测，到事后的异常登录情况，全面识别账号风险。

（2）支持 50+个常用协议；

（3）支持 40+个常见 WEB 组件；

【新增】API&命令行

（1）支持 API，提高自动化能力；内置 API 帮助文档，清晰直观易使用。

（2）支持命令行；首个正式支持命令行版本，更高的使用效率正在向你招手。

【优化】全新界面及菜单逻辑

（1）全新 UI 界面；全新的现代化风格 UI 页面，带来全新的使用体验。

（2）导航整合优化；安全运营、监控、策略页面全新整合上线。

（3）新增悬浮菜单工作台；左树菜单新增“图钉”图标，可固定菜单至悬浮台，方便快捷切换，同时悬浮台可拖动至任意位置，点击后可展开收起。

【优化】网络配置体验提升

地址转换、应用控制策略、路由等网络配置体验大幅优化，无弹窗配置，融合搜索和选择，让配置策略更简单更高效。 

三、升级方法

包括升级说明、升级步骤、升级注意事项等等

升级说明

当前版本 升级路径 注意事项

AF8.0.35（中文）支持以下版本直接升级到 AF8.0.35 版本：AF8.0.35_B、AF8.0.32、AF8.0.25_B

低版本设备需先升级到 AF8.0.32，再升级前置包 AF8.0.35_pre.ssu, 最后升级正式版本

AF8.0.35（英文）

支持以下版本直接升级到 AF8.0.35 版本：AF8.0.26

低版本设备需先升级到 AF8.0.26

VAF 不支持升级 AF8.0.35，下一个正式版本支持

 

升级限定条件

资源类

1．CF设备，ROOT目录空间低于400M 无法升级

措施：联系400处理

2．fwlog剩余空间小于2G，限制升级

措施：联系400处理

3．CF卡设备，ROOT目录空间低于400M 无法升级

措施：联系400处理

配置类：

1. url分类库，自定义url的条数大于10000，限制升级

措施：优化自定义url，删除无用配置

2. https、ssh、vpn、sslvpn自定义的监听端口为8084、8085限制升级

措施：修改自定义端口，使用其它端口

3. 低于35版本存在自定义协议端口号的ACL/NAT/策略路由等策略，升级到8035版本后会将自定义端口及服务转换为自定义服务，当自定义服务超过10000条时。限制升

级

措施：优化自定义服务，删除无用配置

4. 应用识别智能库P2P行为排除扫描端口配置超过10个，限制升级

措施：缩减排除扫描端口配置

5. 低于AF8.0.35版本单条ACL策略引用服务超过250个，限制升级

措施：优化策略及服务配置，降低引用数量

6. CPU为2核且内存为2G的设备，acl配置超过512条，限制升级

措施：优化ACL配置，删除无用配置

7. isp地址库，ip地址段超过10000个ip，限制升级

措施：删除无用配置，减少ip数

8. 循环时间计划，配置时间段超过64条，限制升级

措施：优化自定义时间计划，删除无用配置，降低时间段

9. 自定义应用，有应用或类型重复（非名称重复），限制升级

措施：优化自定义应用配置，删除重复配置

10. （中文版本）存在ACL策略名称为Default Policy、策略组名称为Default Policy

Group，限制升级

措施：将Default Policy 或 Default Policy Group 改为其他名称

11. 存在自定义服务，配置名称为local_https、local_snmp、local_ssh的自定义服务，

限制升级

措施：将local_https、local_snmp、local_ssh改为其他名称

12. 策略名称为.或..限制升级（如：策略名称为：.）

措施：将策略改为其他名称

13. 管理员账号为tcpdump，限制升级

措施：修改管理员账号名称

通用类：

1. 不支持定制版本升级

2. 不支持KB包版本升级

3.vaf 虚拟平台，不支持升级（下一个版本支持）

 

升级步骤

非双机设备升级

1. 步骤 1.确认是否可能升级：是定制包，不能升级；是否打 kb 包，需要研发确认正式包。

2. 步骤 2.是否解决 kb 包内容；确认是否是 8.0.32（中文）或者 8.0.26（英文）正式版

本，如果不是，需要先升级到 8.0.32（中文）或者 

3. 步骤 3.获取升级包以及对应 md5 值文件，确认升级包 md5 值正确

4. 步骤 4.备份配置

5. 步骤 5.8.0.32（中文）或者 8.0.26（英文）版本的设备，直接使用升级客户端或者控

制台界面加载 AF.8.0.35(20210311).ssu 升级包升级。

6. 步骤 6.升级成功后，确认客户网络是否正常、设备控制台打开正常

双机设备升级

1. 步骤 1.先拆除双机（禁用双机热备、配置同步），然后按非双机设备升级步骤升级

2. 步骤 2.主、备设备均升级成功后，开启双机热备

 

四、版本新功能介绍

所属模块 功能介绍 界面展示

主动安全防御

1、主动诱捕外网攻击，保护真实业务；通过伪装服务混淆黑客，转移攻击，增强对 APT、Oday攻击的防御对抗。

2、主动诱捕内网攻击，阻断横向扩散；通过伪装服务的访问情况感知内网失陷主机，及时阻断内网扩散攻击，保护核心业务。

3、联合云端，快速检测分析并溯源黑客画像；通过联合云端高级捕获与分析技术，获取攻击方的指纹信息、工具、手法、攻击轨迹等，汇总形成攻击者画像，并封堵攻击源，实现快速检测、分析、阻断、溯源攻击，保护业务资产安全。 

账号安全专项防护

1、全攻击链识别账号风险；针对账号安全利用的攻击链，从事前的账号入口（其中包括特权账号的检测）、弱口令账号检测，事中的口令爆破（含慢速、分布式爆破）检测，到事后的异常登录情况，全面识别账号风险。

2、支持 58 个常用协议；3、支持 45 个常见 WEB 组件；

API&命令行

1、支持 API，提高自动化能力；内置 API 帮助文档，清晰直观易使用。

2、支持命令行；首个正式支持命令行版本，更高的使用效率正在向你招手。 

全新界面及菜单逻辑

1、全新 UI 界面；全新的现代化风格 UI 页面，带来全新的使用体验。

2、导航整合优化；安全运营、监控、策略页面全新整合上线。

3、新增悬浮菜单工作台；左树菜单新增“图钉”图标，可固定菜单至悬浮台，方便快捷切换，同时悬浮台可拖动至任意位置，点击后可展开收起。

 网络配置体验提升

1、地址转换、应用控制策略、路由等网络配置体验大幅优化；无弹窗配置，融合搜索和选择，让配置策略更简单更高

效。

 

五、修复问题

无

 

六、其他注意事项

1、升级客户端版本说明

升级客户端支持SANGFOR_Updater6.2、SANGFOR_Updater6.1版本，不支持SANGFOR_Updater5.0升级

2、规则库说明

1）在控制台-》系统-》系统维护-》系统更新-》库升级中，在线升级最新规则库；

2）在规则服务器中，获取离线升级包

3、集中管理支持 BBC 的集中管理，但不支持 SC 的集中管理4、支持直通，开启直通时，无需要重启

5、不支持降级