更新internal
internalservererror 时间:2021-03-06 阅读:()
1思科系统公司www.
cisco.
comFireSIGHT系统版本说明版本5.
4.
0.
3和版本5.
4.
1.
2首次发行日期:2015年7月21日最后更新日期:2016年8月29日即使您熟悉更新过程,也请务必通读并理解这些版本说明.
这些版本说明描述了受支持的平台、新增功能和更改的功能、已知问题和已解决的问题,以及产品和网络浏览器的兼容性.
它们还包含有关以下设备的先决条件、警告以及具体安装说明的详细信息:系列3防御中心(DC750、DC1500、DC2000、DC3500和DC4000)系列2和系列3受管设备(3D500、3D6500、3D1000、3D2000、3D2100、3D2500、3D3500、3D4500、3D7010、3D7020、3D7030、3D7050、3D7110、3D7115、3D7120、3D7125、3D8120、3D8130、3D8140、3D8250、3D8260、3D8270、3D8290、3D8350、3D8360、3D8370和3D8390、AMP7150、AMP8050、AMP8150、AMP8350、AMP8360、AMP8370和AMP8390)具备FirePOWER服务的思科ASA(ASA5506-X、ASA5506H-X、ASA5506W-X、ASA5508-X、ASA5512-X、ASA5515-X、ASA5516-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40、ASA5585-X-SSP-60和ISA3000)64位虚拟防御中心说明:虚拟受管设备或适用于BlueCoatX系列的思科NGIPS不支持此更新.
提示:有关FireSIGHT系统的详细信息,请参阅联机帮助或从支持站点下载《FireSIGHT系统用户指南》.
这些版本说明适用于FireSIGHT系统版本5.
4.
0.
3和版本5.
4.
1.
2.
物理和可更新为版本5.
4.
0.
3.
您可以更新思科ASAFirePOWER模块、物理防御中心和虚拟防御中心至版本5.
4.
1.
2.
请注意,您可以采用以下方式更新设备:物理和虚拟防御中心(DC750、DC1500、DC2000、DC3500和DC4000)必须运行版本5.
4才能更新至版本5.
4.
1.
2.
如果防御中心运行的是较低版本,必须先更新为版本5.
4,然后才能更新为版本5.
4.
1.
2.
说明:运行版本5.
4.
1.
1的防御中心可以更新其设备,但是,如果您的防御中心运行的仍是版本5.
4,您将无法解密或检查SSL流量.
如果您打算解密或检查SSL流量,请将防御中心更新至版本5.
4.
1.
2.
注意:您可以使用至少运行版本5.
4的防御中心将设备更新为版本5.
4.
0.
3或版本5.
4.
1.
2.
但是,如果您打算解密或检查SSL流量,则需要先将防御中心更新为不低于版本5.
4.
1,然后再更新设备.
系列2设备(3D500、3D1000、3D2000、3D2100、3D2500、3D3500、3D4500和3D6500)必须运行版本5.
4才能更新至版本5.
4.
0.
3.
如果系列2运行的是较低版本,必须先更新为版本5.
4,然后才能更新为版本5.
4.
0.
3.
系列3设备(3D7010、3D7020、3D7030、3D7050、3D7110、3D7115、3D7120、3D7125、3D8120、3D8130、3D8140、3D8250、3D8260、3D8270、3D8290、3D8350、3D8360、3D8370和3D8390、AMP7150、AMP8050、AMP8150、AMP8350、AMP8360、AMP8370和AMP8390)必须运行版本5.
4才能更新至版本5.
4.
0.
3.
如果系列3运行的是较低版本,必须先更新为版本5.
4,然后才能更新为版本5.
4.
0.
3.
2FireSIGHT系统版本说明新功能ASAFirePOWER模块(ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40和ASA5585-X-SSP-60)设备必须运行版本5.
4才能更新至版本5.
4.
0.
3.
如果ASAFirePOWER模块运行的是较低版本,必须先更新为版本5.
4,然后才能更新为版本5.
4.
0.
3.
ASAFirePOWER模块(ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X和ASA5516-X)必须至少运行版本5.
4.
1才能更新至版本5.
4.
1.
2思科ISA3000设备必须运行版本5.
4.
1.
2才能由运行版本5.
4.
1.
2的防御中心来管理.
有关部署和安装模块的详细信息,请参阅《思科ASAFirePOWER模块快速入门指南》.
有关详细信息,请参阅以下各节:新功能,第2页文档更新,第8页准备工作:重要更新和兼容性说明,第8页安装更新,第12页已解决的问题,第17页已知问题,第24页获取帮助,第30页新功能版本说明的这一节汇总了FireSIGHT系统版本5.
4.
0.
3和版本5.
4.
1.
2中新增及更新的特性和功能:平台增强功能,第2页术语,第2页更改的功能,第3页早期版本引入的特性和功能,第3页有关详细信息,请参阅《FireSIGHT系统用户指南》、《FireSIGHT系统安装指南》、《FireSIGHT系统虚拟安装指南》和《安装和配置指南》.
平台增强功能思科ISA3000管理思科ISA3000是一个装有DIN导轨的坚固型工业安全设备.
它功率小,不使用电扇,具有千兆位以太网和专用管理端口.
该型号预安装有ASAFirePOWER模块.
该型号的特殊功能包括自定义的透明模式默认配置,以及允许流量在出现功率损耗时继续通过设备的硬件旁路功能.
ISA3000可作为一个独立设备或受管设备进行管理.
您可以在ASDM中通过ASAFIREPOWER配置来管理独立ASAFirePOWER模块,以及通过防御中心管理受管ASAFirePOWER模块.
术语如果您参阅版本5.
3.
1.
x或版本5.
3.
0.
x的相应文档,可能会注意到这些文档中使用的术语与版本5.
4.
0.
3和版本5.
4.
1.
2文档中的术语有所不同.
3FireSIGHT系统版本说明新功能提示:思科文档可能会将防御中心称为FireSIGHT管理中心.
防御中心和FireSIGHT管理中心是同一个设备.
更改的功能您必须将相同的访问控制策略应用于要组成堆栈或集群的所有设备,才能配置堆栈或集群.
您现在可以选择在应用策略的过程中不检查流量,以防止网络中断.
系统不再将发现事件状态报告至"运行状况策略"(HealthPolicy)页面.
您现在可以创建引用访问控制规则网络条件集的访问控制策略,以拦截包含::/0的所有IPv6地址;或者创建引用网络规则集的访问控制策略,以拦截包含0.
0.
0.
0/0的所有IPv4地址.
现在,当CPU使用率从高水平变为正常状态时,系统会为所有CPU报告进行事件报告.
早期版本引入的特性和功能5.
4.
1中更新了以下功能:FirePOWER服务管理功能,第4页平台增强功能,第4页国际兼容性增强,第5页表1术语更改适用于版本5.
4.
0.
3和版本5.
4.
1.
2的术语说明思科原称为SourcefireFireSIGHT系统以前是Sourcefire3D系统防御中心FireSIGHT防御中心思科FireSIGHT管理中心原称为Sourcefire防御中心设备受管设备以前是Sourcefire受管设备适用于BlueCoatX系列的思科NGIPS原称为用于X系列的Sourcefire软件FireSIGHT受管设备是指FireSIGHT防御中心管理的所有设备(受管设备和ASA设备)思科自适应安全设备(ASA)ASA设备是指思科ASA硬件具备FirePOWER服务的思科ASA是指安装了ASAFirePOWER模块的ASA设备ASAFirePOWER模块是指安装在兼容ASA设备上的硬件和软件模块ASA软件是指安装在思科ASA设备上的基本软件自适应安全设备管理器(ASDM)是指用于管理ASA功能的自适应安全设备管理器直接管理是指使用ASDM集中管理管理ASA5506-X中的ASAFirePOWER模块.
集中管理是指使用FireSIGHT管理ASA5506-X中的ASAFirePOWER模块防御中心4FireSIGHT系统版本说明新功能FirePOWER服务管理功能集中管理具备FirePOWER服务的思科ASA5506-X防御中心现在能够以与管理所有其他ASA5500-X设备相同的方式管理运行于ASA5506-X设备的FirePOWER服务(ASAFirePOWER设备).
如此一来,只要ASA平台运行9.
3.
1版或更高版本,且ASAFirePOWER设备运行版本5.
4.
1或更高版本,就可以从单个防御中心管理运行ASAFirePOWER设备的多台ASA5506-X设备.
管理员可以配置入侵检测和防御策略、高级恶意软件防护、应用控制、用户和组控制、文件控制以及URL过滤,然后将这些配置同时应用于多台ASA5506-X设备.
此外,防御中心在单个视图中提供关键控制面板、事件视图、警报功能以及来自所有ASAFirePOWER设备的报告.
直接管理具备FirePOWER服务的思科ASA5506-X思科自适应安全设备管理器(ASDM)可用于执行前面列出的ASAFirePOWER管理功能,但一次只能管理一台ASA5506-X设备.
此外,您可以直接管理系统策略、许可、备份和还原.
具备FirePOWER服务的思科ASA的管理限制目前,思科ASAFirePOWER产品由两款相互紧密集成的产品组成:ASA防火墙和FirePOWER下一代入侵防御系统(NGIPS).
虽然这两款产品之间已实现关键数据共享,但统一管理平台仍在开发中.
由于这个原因,思科ASA功能目前通过思科SecurityManager(CSM)或自适应安全设备管理器(ASDM)进行管理,FirePOWER服务功能通过思科防御中心进行管理.
因此,防御中心不支持以下任何功能:基于思科ASA硬件的功能,包括集群、堆叠、交换、路由、虚拟专用网络(VPN)和网络地址转换(NAT).
配置ASA接口.
此外,如果FirePOWER服务是在SPAN端口模式下部署,配置的任何ASA接口都不会显示.
关闭、重启或管理ASA流程.
从ASA设备创建或还原备份.
使用VLAN标记条件编写访问控制规则来匹配流量.
说明:ASA平台提供上述功能,可通过ASA命令行界面(CLI)和ASDM配置这些功能.
有关详细信息,请参阅ASAFirePOWER模块文档.
平台增强功能VMware工具支持现在VMware工具可与FireSIGHT系统虚拟设备配合使用.
这样可实现软关机、迁移及其他特定于虚拟设备的功能,从而增强与VMware环境之间的兼容性,并改善虚拟设备管理.
以下设备支持VMware工具:64位虚拟防御中心64位虚拟受管设备说明:从版本5.
4开始,FireSIGHT系统支持版本ESXi5.
1和版本ESXi5.
5.
VMware虚拟设备支持VMXNET3接口虚拟设备现在支持VMXNET3接口类型,让您可以使用带宽高达10Gbits/s的高速网络接口.
多个管理接口现在,您可以在系列3防御中心、FirePOWER(系列3)受管设备和虚拟防御中心上使用多个管理接口.
可以将一个接口设置为用于传输管理流量,另一个接口设置为用于传输事件流量.
这样可改进某些环境中的部署选项.
系列3支持版本5.
4引入了3D7050作为70xx子系列设备,该设备搭载双核四线程处理器,具有8GBRAM和80GB硬盘驱动器.
5FireSIGHT系统版本说明新功能LACP支持FirePOWER(系列3)设备现在可以参与链路汇聚控制协议(LACP)(IEEE802.
3ad)协商,以将多条链路汇聚成一条链路.
这样可实现链路冗余和带宽共享.
防御中心2000(DC2000)DC2000是新推出的防御中心设备平台,其性能和容量是DC1500的两倍.
防御中心4000(DC4000)DC4000是新推出的防御中心设备平台,其性能和容量是DC3500的两倍.
国际兼容性增强Unicode支持系统现在会显示通过文件检测、恶意软件检测和FireAMP文件事件检测到的文件名.
这样可以显示非西文字符(包括双字节编码字符).
关联规则中的地理位置数据和安全情报数据关联规则引擎经过更新,可提供连接数据、地理位置数据和安全情报数据.
这样,您可以根据这两个新的约束生成关联事件或采取关联操作.
例如,如果从特定国家/地区检测到Impact1入侵事件,您可以设置警报,将这些信息记录到外部系统日志服务器.
支持FireAMP私有云有了版本5.
4,您可以使用FireAMP私有云而非思科公共云.
要使用FireAMP私有云,需要安装私有云虚拟设备.
私有云协调与公共云之间的交互,使您可以从公共云收集威胁信息,而且不会泄露您所用网络上的信息.
版本5.
4更新了以下特性和功能:检测和安全增强功能,第5页先前更改的功能,第6页检测和安全增强功能集成式SSL解密FirePOWER(系列3)设备现在可以先识别SSL通信和解密流量,再应用攻击检测、应用检测和恶意软件检测.
您可以在任何受支持的系列3设备部署模式下(包括内联和被动模式)使用SSL解密.
SSL策略用于控制企业内部使用的SSL的特性,其中的SSL规则用于对加密流量日志记录和处理实行精细控制.
简化了规范化和预处理程序配置现在,您可以在访问控制策略(而非入侵策略)中配置流量规范化和预处理.
这样可以简化配置,尤其对于新用户来说.
敏感数据预处理程序、规则状态、警报和事件阈值仍可在单个入侵策略级别进行配置.
Snort规则语言中新增了file_type关键字启用用于检测的文件类型规范的Snort规则语言中有新的file_type关键字可用.
这是现有flowbits驱动方法的简化替代方法.
扩展了来自FireAMP连接器的IoC支持FireAMP提供的危害表现(IoC)列表现在是动态且通过数据驱动的.
当有新的IoC可用时,防御中心会自动支持它们.
这在任何采用FireAMP的部署中均可增强IoC关联功能.
6FireSIGHT系统版本说明新功能受保护的规则内容Snort规则语言新增了一项适用于高安全性环境的功能.
您现在可以使用哈希数据创建Snort内容匹配.
这样,规则编写人员可以指定要搜索的内容,但绝不会泄露纯文本内容.
先前更改的功能版本5.
4.
1.
1引入了以下功能:现在,当您上传入侵规则或安装入侵规则更新时,系统会清除所有入侵策略锁定.
版本5.
4.
1引入了以下功能:注册的ASA设备现在有了可配置的高级选项,这些选项位于"设备管理"(DeviceManagement)页面(设备[Devices]>设备管理[DeviceManagement])的"高级"(Advanced)选项卡中.
ASA设备现在支持showusersCLI命令.
在"警报"(Alerts)页面的"高级恶意软件防护警报"(AdvancedMalwareProtectionsAlerts)选项卡中,只能针对追溯性事件或基于网络的恶意软件事件配置警报.
版本5.
4更新了以下特性和功能:您现在可以在事件查看器中查看连接事件的VLAN标记(分析[Analysis]>连接[Connections]>事件[Events]).
系统现在会识别通过FTP、HTTP和MDNS协议进行的登录尝试.
您限制可以单独从发现事件选择存档的连接事件,并将所选的事件传输到eStreamer客户端.
运行状况策略中不再提供发现事件运行状况监控器.
扩展数据包视图"(ExpandPacketView)原来是版本4.
10.
x中的选项,现在成为版本5.
4中的一个可配置选项;可通过"事件视图设置"(EventViewSettings)选项卡(管理员[Admin]>用户首选项[UserPreferences]>事件视图设置[EventViewSettings])访问该选项.
现在以.
rtf文件导入自定义入侵规则会生成无效的规则文件"rtf_rule.
rtf":必须是纯文本文件,这是一个ASCII或UTF-8编码警告.
您现在可以通过"入侵事件图"(IntrusionEventGraphs)页面(概述[Overview]>摘要[Summary]>入侵事件图表[IntrusionEventGraphs])生成以下入侵事件性能图表:-在TCP流量/数据包中规范化的ECN标志-在TCP流量/会话中规范化的ECN标记-ICMPv4回显规范化-ICMPv6回显规范化-IPv4DF标记规范化-IPv4选项规范化-IPv4保留标记规范化-IPv4调整大小规范化-IPv4TOS规范化-IPv4TTL规范化-IPv6TTL规范化7FireSIGHT系统版本说明新功能-IPv6选项规范化-TCP报头填充规范化-无选项TCP规范化-TCPNS标记规范化-TCP选项规范化-规范化已阻止的TCP数据包-TCP保留标记规范化-TCP分段重组规范化-TCPSYN选项规范化-总TCP过滤的数据包-TCP时间戳ECR规范化-总UDP过滤的数据包-TCP紧急标记规范化当配置已显示列时,您现在可以在"连接事件"(ConnectionEvents)表视图和"安全情报事件"(SecurityIntelligenceEvents)表视图中配置HTTP引用(HTTPReferrer)和用户代理(UserAgent)字段.
您现在可以通过"访问控制策略"(AccessControlPolicy)页面(策略[Policies]>访问控制[AccessControl])查看与您的访问控制策略中各个规则相关的警告.
在访问控制策略编辑器中,将鼠标指针悬停在规则名称旁边的警报图标上,并读取工具提示文本中的警告,这样便可查看相应规则的警告;或者,选择页面顶部的显示警告(ShowWarnings)按钮,这样便可查看与您的访问控制策略中引用的所有规则相关的警告.
在版本5.
4中,当您在启用内联模式(InlineMode)的情况下创建网络分析策略时,内联规范化会自动启用.
在早期版本,您必须在内联入侵策略中手动启用内联规范化.
请注意,从版本5.
3.
x更新为版本5.
4不会更改内联规范化设置.
您现在可以添加访问控制规则端口条件,用以指定不包含在协议(Protocol)下拉列表中的未分配的协议号.
您不再需要在访问控制策略中使用辅助规则来控制FTP数据信道.
新增了解压缩SWF文件(LZMA)、解压缩SWF文件(缩小)和解压缩PDF文件(默认)HTTP预处理程序检查选项,为PDF和SWF文件内容提供增强的解压缩支持.
TCP流预处理程序现在对于SMTP、POP3和IMAP协议具有更好的感知能力.
系统现在对于应用流量中的信息具有更强的检测能力,包括检测DNS流量中的应用数据,以及检测使用其他协议的用户.
您现在可以将LDAP身份验证配置为使用通用访问卡(CAC),并将所用的CAC与用户名关联,这样用户使用该访问卡便可直接登录系统.
系统增强了GPRS隧道协议(GTP)支持.
8FireSIGHT系统版本说明文档更新文档更新您可以从支持站点下载所有更新的文档.
在版本5.
4.
0.
3和版本5.
4.
1.
2中,以下文档进行了更新,以反映功能的新增和更改情况,并且解决报告的文档问题:《FireSIGHT系统联机帮助》《FireSIGHT系统联机帮助》(SEU)《FireSIGHT系统用户指南》《FireSIGHT系统安装指南》《FireSIGHT系统虚拟安装指南》更新后的版本5.
4.
0.
3和版本5.
4.
1.
2文档包含以下错误:《FireSIGHT系统用户指南》未反映以下情况:在内存有限的设备上,入侵策略编号可能无法与多个变量集配对.
在您可以应用仅引用一个入侵策略的访问控制策略的情况下,请验证对入侵策略的每次引用都与相同的变量集配对.
将入侵策略与不同的变量集配对会导致占用内存.
关于使用用户名"admin"以及在部署安装向导中指定的新的管理员帐户密码在VMware控制台登录虚拟设备,《FireSIGHT系统虚拟安装指南》包含如下错误的表述:如果您没有使用向导更改密码,或者正在使用ESXiOVF模板进行部署,请使用"Cisco"作为密码.
正确的表述应该是:如果您没有使用向导更改密码,或者正在使用ESXiOVF模板进行部署,请使用Sourcefire作为密码.
(CSCut77002)准备工作:重要更新和兼容性说明在开始版本5.
4.
0.
3和版本5.
4.
1.
2的更新过程之前,您应熟悉更新过程中的系统行为,以及任何兼容性问题或者更新前后需要进行的配置更改.
注意:思科强烈建议您在维护时间段、或在中断对部署影响最小的时间段执行更新.
有关详细信息,请参阅以下各节:配置和事件备份准则,第8页更新期间的流量和检查,第9页更新过程中的审计日志记录,第9页更新为版本5.
4.
0.
3和版本5.
4.
1.
2的版本要求,第9页更新为版本5.
4.
0.
3和版本5.
4.
1.
2的时间和磁盘空间要求,第10页更新为版本5.
4.
0.
3和版本5.
4.
1.
2后的产品兼容性,第10页还原为上一版本,第11页配置和事件备份准则在您开始更新之前,思科强烈建议删除或移动设备上的所有备份文件,然后将当前的事件和配置数据备份到外部位置.
使用防御中心备份自己及其管理的设备的事件和配置数据.
有关备份和恢复功能的详细信息,请参阅《FireSIGHT系统用户指南》.
注意:防御中心会清除来自以前的更新的本地存储备份.
要保留存档的备份,请将备份存储到外部.
注意:如果在更新至版本5.
4.
1.
2前,您的MC2000或MC4000运行的BIOS版本不是2.
0.
1b或更高版本,更新将会失败.
在设备启动时按F2打开BIOS设置实用程序并确认BIOS版本.
如果您需要更新BIOS版本,或者由于BIOS版本导致更新失败,请联系支持部门.
9FireSIGHT系统版本说明准备工作:重要更新和兼容性说明更新期间的流量和检查更新过程会重启受管设备.
取决于设备的配置和部署方式,以下功能会受到影响:流量检查,包括应用感知和控制、URL过滤、安全情报、入侵检测和防御以及连接日志记录流量,包括交换、路由、NAT、VPN及相关功能链路状态请注意,当您更新集群设备时,系统会每次更新一台设备,以避免流量中断.
流量检查和链路状态在内联部署中,受管设备(取决于型号)可通过应用控制、用户控制、URL过滤、安全情报和入侵防御,以及交换、路由、NAT和VPN来影响流量.
有关设备功能的详细信息,请参阅《FireSIGHT系统安装指南》.
下表提供了有关流量、检查和链路状态在更新时会受到何种影响(取决于部署)的详细信息.
请注意,无论您如何配置任何内联集,在更新过程中都不会执行交换、路由、NAT和VPN.
交换和路由系列3设备在更新过程中不会执行交换、路由、NAT、VPN或相关功能.
如果您将设备配置为仅执行交换和路由,则网络流量在更新过程中会被阻止.
更新过程中的审计日志记录在更新具有Web界面的设备时,系统完成其更新前任务之后,简化的更新界面页面将会显示.
直到更新过程完成和设备重新启动之后,对设备的登录尝试才会反映在审核日志中.
更新为版本5.
4.
0.
3和版本5.
4.
1.
2的版本要求您可以使用至少运行版本5.
4的防御中心将设备更新为版本5.
4.
0.
3或版本5.
4.
1.
2.
但是,如果您打算解密或检查SSL流量,则需要先将防御中心更新为不低于版本5.
4.
1,然后再更新设备.
要更新为版本5.
4.
1.
2,防御中心必须至少运行版本5.
4.
如果运行的是较低版本,可从支持站点获取更新.
注意:虚拟受管设备或适用于BlueCoatX系列的思科NGIPS不支持此更新.
防御中心必须至少运行版本5.
4才可将其受管设备更新为版本5.
4.
1.
2.
设备或ASA模块的当前版本与发行版本(版本5.
4.
0.
3)越接近,更新所需的时间就越少.
表2网络流量中断部署网络流量是否被中断带有可配置旁路的内联(内联集启用了可配置旁路选项)网络流量会在更新过程中的两个时间点发生中断:更新过程开始时,在链路关闭和打开(摆动),以及网卡切换到硬件旁路时,流量会短暂中断.
硬件旁路期间不会检查流量.
更新完成后,在链路摆动以及网卡退出旁路时,流量会再次短暂中断.
端点重新连接,并与传感器接口重新建立链路后,将会再次检查流量.
虚拟设备、具备FirePOWER服务的思科ASA8000Series设备上的非旁路NetMod或71xx系列设备上的SFP收发器不支持"可配置旁路"(configurablebypass)选项.
线内在整个更新过程中,网络流量会被阻止.
被动在更新过程中,网络流量不会中断,但也不会对其进行检查.
10FireSIGHT系统版本说明准备工作:重要更新和兼容性说明注意:如果在更新至版本5.
4.
1.
1前,您的MC2000或MC4000运行的BIOS版本不是2.
0.
1b或更高版本,更新将会失败.
在设备启动时按F2打开BIOS设置实用程序并确认BIOS版本.
如果您需要更新BIOS版本,或者由于BIOS版本导致更新失败,请联系支持部门.
更新为版本5.
4.
0.
3和版本5.
4.
1.
2的时间和磁盘空间要求下表提供了版本5.
4.
0.
3和版本5.
4.
1.
2更新的磁盘空间和时间准则.
请注意,使用防御中心更新受管设备时,防御中心需要其/Volume分区有额外的磁盘空间.
注意:在更新过程中的任何时候都不得重新开始更新或重启设备.
思科提供的时间预估仅供参考,实际更新时间因设备型号、部署和配置而异.
请注意,在更新的预先检查部分和重启后,系统可能会呈非活动状态;这是预期的行为.
如果遇到更新进度方面的问题,请联系支持部门.
更新为版本5.
4.
0.
3和版本5.
4.
1.
2后的产品兼容性必须使用版本至少为版本5.
4.
1的防御中心来管理运行版本5.
4.
1.
2的设备.
要管理ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X或ASA5516-X设备上的ASAFirePOWER模块,必须至少使用防御中心的版本5.
4.
1.
设备必须至少运行下表中确定的版本,才能由运行版本5.
4.
1.
2的防御中心来管理.
表3时间和磁盘空间要求设备/上的空间/Volume上的空间管理器中的/Volume上的空间Time系列2受管设备52MB3297MB831MB80分钟系列3受管设备154MB5383MB1155MB42分钟系列3防御中心181MB3683MBn/a120分钟虚拟防御中心181MB3683MBn/a因硬件而异ASA5512-X,ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40和ASA5585-X-SSP-60上的具备FirePOWER服务的思科ASA55MB3617MB737MB35分钟ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X、ASA5516-X和ISA3000上的具备FirePOWER服务的思科ASA8MB1609MB377MB76分钟表4管理版本要求设备要由运行版本5.
4.
1.
2的防御中心管理必须达到的最低版本FirePOWER受管设备FireSIGHT系统的版本5.
3ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40和ASA5585-X-SSP-60上的具备FirePOWER服务的思科ASAFireSIGHT系统的版本5.
3.
1ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X、ASA5516-X和ISA3000上的具备FirePOWER服务的思科ASAFireSIGHT系统5.
4.
1版本11FireSIGHT系统版本说明准备工作:重要更新和兼容性说明操作系统兼容性您可以在以下托管环境中托管运行版本5.
4.
1.
2的64位虚拟设备:VMwarevSphere虚拟机监控程序/VMwareESXi5.
1VMwarevSphere虚拟机监控程序/VMwareESXi5.
5VMwarevCloudDirector5.
1您可以在运行9.
3.
1版或更高版本的以下ASA平台上安装运行版本5.
4.
0.
3的ASAFirePOWER模块:ASA5512-XASA5515-XASA5525-XASA5545-XASA5555-XASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40和ASA5585-X-SSP-60在运行版本9.
3.
2.
2的ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X、ASA5516-X和ISA3000设备中,只能安装运行版本5.
4.
1.
2的ASAFirePOWER模块.
有关详细信息,请参阅《FireSIGHT系统安装指南》或《FireSIGHT系统虚拟安装指南》.
网络浏览器兼容性经测试,FireSIGHT系统版本5.
4.
0.
3和版本5.
4.
1.
2的Web界面兼容下表所列的浏览器.
注意:如果使用MicrosoftInternetExplorer11浏览器,必须在InternetExplorer设置中禁用将文件上传到服务器时包含本地目录路径(Includelocaldirectorypathwhenuploadingfilestoserver)选项(工具[Tools]>Internet选项[InternetOptions]>安全[Security]>自定义级别[Customlevel]).
屏幕分辨率兼容性思科建议,至少选择1280像素宽的屏幕分辨率.
用户界面兼容低分辨率,但高分辨率可优化显示效果.
还原为上一版本如果您由于某种原因,需要将设备还原为FireSIGHT系统的上一版本,请联系支持部门,以便了解详细信息.
重映像设备如果您因故需要将设备重新映像至当前版本的FireSIGHT系统,请参阅《FireSIGHT系统虚拟安装指南》(对于虚拟设备)以及《FireSIGHT系统安装指南》的"将FireSIGHT系统设备还原为出厂默认设置"一节(对于所有其他设备).
表5受支持的网络浏览器浏览器需要启用的选项和设置Chrome43JavaScript、CookieFirefox38JavaScript、Cookie、安全套接字层(SSL)v3MicrosoftInternetExplorer9、10和11JavaScript、Cookie、安全套接字层(SSL)v3、128位加密、活动脚本安全设置、兼容性视图、将检查存储网页的较新版本设置为自动12FireSIGHT系统版本说明安装更新要从版本5.
4.
1映像更新至版本5.
4.
0.
3或版本5.
4.
1.
2,请参阅准备工作:重要更新和兼容性说明,第8页和安装更新,第12页.
从支持站点下载以下文件:注意:请直接从支持站点下载映像.
如果通过邮件传输映像文件,可能会损坏该文件.
对于系列3防御中心:Sourcefire_Defense_Center_S3-5.
4.
0-763-Restore.
iso对于虚拟防御中心:Sourcefire_Defense_Center_Virtual64_VMWare-5.
4.
0-763.
tar.
gz对于系列2受管设备:Sourcefire_3D_Device_500-5.
4.
0-Restore.
isoSourcefire_3D_Device_1000-5.
4.
0-Restore.
isoSourcefire_3D_Device_2000-5.
4.
0-Restore.
isoSourcefire_3D_Device_2100-5.
4.
0-Restore.
isoSourcefire_3D_Device_2500-5.
4.
0-Restore.
isoSourcefire_3D_Device_3500-5.
4.
0-Restore.
isoSourcefire_3D_Device_45100-5.
4.
0-Restore.
isoSourcefire_3D_Device_6500-5.
4.
0-Restore.
iso对于系列3受管设备:Sourcefire_3D_Device_S3-5.
4.
0-763-Restore.
iso对于ASAFirePOWER模块:asasfr-sys-5.
4.
0-763.
pkg对于具备FirePOWER服务的思科ASA(ASA5506-X、ASA5506H-X、ASA5506W-X、ASA5508-X和ASA5516-X):asasfr-5500X-boot-5.
4.
1-211.
imgasafr-sys-5.
4.
1-211.
pkg说明:要在具备FirePOWER服务的思科ASA上安装ASAFirePOWER模块版本5.
4.
1.
2映像,请参阅《思科ASAFirePOWER模块快速入门指南》,了解部署和安装模块的详细信息.
安装更新在您开始更新之前,必须通读和理解这些版本说明,特别是准备工作:重要更新和兼容性说明,第8页.
要将运行不低于版本5.
4.
1的防御中心更新为版本5.
4.
1.
2,将运行不低于版本5.
4.
1的具备FirePOWER服务的思科ASA更新为版本5.
4.
1.
2,以及将运行不低于FireSIGHT系统的版本5.
4的受管设备和ASAFirePOWER模块更新为版本5.
4.
0.
3,请参阅以下章节中所述的准则和步骤:更新防御中心,第13页更新受管设备、ASAFirePOWER模块,第15页说明:虚拟受管设备或适用于BlueCoatX系列的思科NGIPS不支持此更新.
注意:在更新期间不要重启或关闭设备,直至看到登录提示.
系统在更新的预先检查部分可能呈非活动状态;这是预期的行为,不需要您重新启动或关闭设备.
何时执行更新由于更新过程可能会影响流量检查、流量和链路状态,思科强烈建议您在维护时段或者在中断对部署影响最小的时间执行更新.
13FireSIGHT系统版本说明安装更新安装方法使用防御中心的网络界面执行更新.
先更新防御中心,然后用它更新其管理的设备.
安装顺序先更新防御中心,再更新其管理的设备.
在成对的防御中心上安装更新开始更新高可用性对中的一个防御中心时,如果它尚未就绪,另一个防御中心将会变为主防御中心.
此外,成对的防御中心将会停止共享配置信息;成对的防御中心在常规同步过程中不会接收软件更新.
为确保操作的连续性,请不要同时更新成对的防御中心.
应先完成辅助防御中心的更新操作步骤,然后再更新主防御中心.
在集群设备上安装更新在集群设备上安装更新时,系统每次对一台设备执行更新.
更新开始时,系统会先将更新应用至辅助设备;辅助设备会进入维护模式,直到所有必须进程均已重新启动,随后辅助设备会再次处理流量.
接下来,系统会以相同的过程,将更新应用至主设备.
在堆叠设备上安装更新在堆叠设备上安装更新时,系统同时进行更新.
更新完成后,每台设备都会恢复正常运行.
请注意:如果主设备先于所有辅助设备完成更新,则在所有设备完成更新之前,堆栈会以受限的混合版本状态运行.
如果主设备晚于所有辅助设备完成更新,堆栈会在主设备完成更新后恢复正常运行.
安装后在防御中心或受管设备上执行更新后,必须重新应用设备配置和访问控制策略.
应用访问控制策略可能会导致流量和处理的短时间暂停,还可能会导致一些数据包未经检查地通过.
有关详细信息,请参阅《FireSIGHT系统用户指南》.
您还应执行多个额外的更新后步骤,以确保部署可正常执行.
其中包括:验证更新是否已成功确保部署中的所有设备都能够成功通信更新至版本5.
4.
1.
2的最新补丁(如有),以利用最新的增强功能和安全修复程序或者,更新入侵规则和漏洞数据库(VDB),并重新应用访问控制策略根据新功能,第2页中的信息,进行必要的配置更改.
以下各节不仅包括有关执行更新的详细说明,还包括有关完成任何更新后步骤的详细说明.
确保完成所有列出的任务.
更新防御中心按照本节所述的操作步骤更新防御中心(包括虚拟防御中心).
对于版本5.
4.
1.
2更新,防御中心会重启.
注意:如果在更新至版本5.
4.
1.
2前,您的MC2000或MC4000运行的BIOS版本不是2.
0.
1b或更高版本,更新将会失败.
在设备启动时按F2打开BIOS设置实用程序并确认BIOS版本.
如果您需要更新BIOS版本,或者由于BIOS版本导致更新失败,请联系支持部门.
CSCus10407注意:在更新防御中心之前,请将访问控制策略重新应用至所有受管设备.
否则,对受管设备的最终更新可能会失败.
注意:在更新期间不要重启或关闭设备,直至看到登录提示.
系统在更新的预先检查部分可能呈非活动状态;这是预期的行为,不需要您重新启动或关闭设备.
14FireSIGHT系统版本说明安装更新说明:将防御中心更新为版本5.
4.
1.
2会从设备中删除现有的卸载程序.
说明:如果您在启用了内联规范化的情况下将当前运行版本5.
3.
x的防御中心更新为版本5.
4,更新过程不会更改策略的行为.
系统会根据需要添加用户层,以保留沿用的设置.
要更新防御中心,请执行以下操作:1.
阅读这些版本说明,并完成必要的更新前任务.
有关详细信息,请参阅准备工作:重要更新和兼容性说明,第8页.
2.
从支持站点下载更新:-对于系列3和虚拟防御中心:Sourcefire_3D_Defense_Center_S3_Upgrade-5.
4.
1.
2-38.
sh说明:请直接从支持站点下载更新.
如果通过邮件传输更新文件,可能会损坏该文件.
3.
选择系统(System)>更新(Updates),然后在产品更新(ProductUpdates)选项卡中点击上传更新(UploadUpdate),将更新上传到防御中心.
浏览到更新并点击Upload.
更新将会上传到防御中心.
网络界面会显示您上传的更新的类型、其版本号以及生成更新的日期和时间.
该页面还会指明在更新过程中是否需要重新启动.
4.
确保部署中的设备能够成功通信,并且运行状况监控器未报告任何问题.
5.
查看任务队列(系统[System]>监控[Monitoring]>任务状态[TaskStatus]),确保没有正在进行的任务.
必须等到所有长时间运行的任务都完成后,才能开始更新.
正在运行的任务会在更新开始时停止,成为失败的任务,并且不能恢复;您必须在更新完成后,将其从任务队列中手动删除.
任务队列每10秒自动刷新一次.
6.
选择系统(System)>更新(Updates).
7.
点击上传的更新旁边的安装图标.
8.
选择防御中心并点击安装(Install).
确认要安装更新并重新启动防御中心.
更新过程将会开始.
您可以开始在任务队列(系统[System]>监控[Monitoring]>任务状态[TaskStatus])中监控更新进度.
但是,在防御中心完成其必要的更新前检查后,系统会使您注销.
当您重新登录时,系统会显示"更新状态"(UpgradeStatus)页面.
"更新状态"(UpgradeStatus)页面会显示进度条,提供当前正在运行的脚本的相关详细信息.
如果更新由于任何原因而失败,该页面会显示错误信息,其中指明失败的时间和日期、更新失败时正在运行的脚本,并提供有关如何联系支持部门的说明.
请不要重新开始更新.
注意:如果更新出现任何其他问题(例如,手动刷新"更新状态"[UpdateStatus]页面后,几分钟都没有显示进度),请不要重新开始更新,而应联系支持部门.
更新完成后,防御中心会显示成功消息,并重新启动.
[它是否会重新启动]更新过程将会开始.
您可以在任务队列中监控更新进度(系统[System]>监控[Monitoring]>任务状态[TaskStatus]).
注意:在更新完成并且防御中心重新启动之前,请不要使用Web界面执行任何其他任务.
在更新完成之前,网络界面可能会变得不可用,并且防御中心可能会使您注销.
这是预期的行为;重新登录便可查看任务队列.
如果更新仍在运行,请不要使用网络界面,直到更新完成.
如果更新出现问题(例如,如果任务队列指示更新已失败,或者手动刷新任务队列后,几分钟都没有显示进度),请不要重新开始更新,而应联系支持部门.
15FireSIGHT系统版本说明安装更新9.
在更新完成后,应清除浏览器缓存,并强制要求浏览器重新加载.
否则,用户界面可能会出现意外行为.
10.
登录至防御中心.
11.
阅读并接受《最终用户许可协议(EULA)》.
请注意,如果您不接受EULA,系统会将您从设备注销.
12.
选择帮助(Help)>关于(About),确认软件版本是否已正确列出:版本5.
4.
1.
2.
另请注意,防御中心上的规则更新和VDB的版本;您随后会需要这些信息.
13.
确认部署中的设备能够成功通信,并且运行状况监控器未报告任何问题.
14.
如果支持站点上的可用规则更新比防御中心上的规则要新,请导入较新的规则.
此时请勿自动应用已导入的规则.
有关规则更新的详细信息,请参阅《FireSIGHT系统用户指南》.
15.
如果支持站点上的可用VDB比防御中心上的VDB要新,请安装最新的VDB.
安装VDB更新会导致流量和处理的短时间暂停,还可能会导致一些数据包未经检查地通过.
有关详细信息,请参阅《FireSIGHT系统用户指南》.
16.
将设备配置重新应用到所有受管设备.
要重新激活灰显的应用(Apply)按钮,请在设备配置中编辑任意界面,然后在不进行更改的情况下,点击保存(Save).
17.
将访问控制策略重新应用到所有受管设备.
注意:请勿单独重新应用入侵策略;必须完全重新应用所有访问控制策略.
应用访问控制策略可能会导致流量和处理的短时间暂停,还可能会导致一些数据包未经检查地通过.
有关详细信息,请参阅《FireSIGHT系统用户指南》.
18.
如果支持站点提供了高于版本5.
4.
1.
2的补丁,请按照该版本的《FireSIGHT系统版本说明》所述,应用最新的补丁.
必须更新至最新补丁才可利用最新增强功能和安全修复程序.
更新受管设备、ASAFirePOWER模块在将防御中心更新至版本5.
4.
1.
1后,可以使用它们来更新其管理的设备.
防御中心必须至少运行版本5.
4才可将其受管设备更新为版本5.
4.
0.
3或版本5.
4.
1.
2.
由于它们没有Web界面,因此,必须使用防御中心来更新虚拟受管设备、和ASAFirePOWER模块.
更新受管设备分两步进行.
首先,从支持站点下载更新,并将其上传到管理防御中心.
接着,安装软件.
可一次对多台设备进行更新,但这些设备必须都使用同一个更新文件.
对于版本5.
4.
0.
3更新,所有设备都会重启,而且VAP组会重新加载.
系列3设备在更新过程中不会执行流量检查、交换、路由、NAT、VPN或相关功能.
更新过程还可能会影响流量和链路状态,具体取决于设备的配置和部署.
有关详细信息,请参阅更新期间的流量和检查,第9页.
注意:在更新受管设备之前,请使用其管理防御中心将适当的访问控制策略重新应用至受管设备.
否则,受管设备的更新可能会失败.
注意:在更新期间不要重启或关闭设备,直至看到登录提示.
系统在更新的预先检查部分可能呈非活动状态;这是预期的行为,不需要您重新启动或关闭设备.
要更新受管设备、ASAFirePOWER模块,请执行以下操作:1.
阅读这些版本说明,并完成必要的更新前任务.
说明:请直接从支持站点下载更新.
如果通过邮件传输更新文件,可能会损坏该文件.
有关详细信息,请参阅准备工作:重要更新和兼容性说明,第8页.
2.
可以更新设备的管理防御中心上的软件;请参阅更新防御中心,第13页.
16FireSIGHT系统版本说明安装更新3.
从支持站点下载更新:-对于系列2受管设备:Sourcefire_3D_Device_Upgrade-5.
4.
0.
3-37.
sh-对于系列3受管设备:Sourcefire_3D_Device_S3_Upgrade-5.
4.
0.
3-37.
sh-对于虚拟受管设备:Sourcefire_3D_Device_Virtual64_VMware_Upgrade-5.
4.
0.
3-37.
sh-对于ASAFirePOWER模块(555X-X-SSP-X和558X-X-SSP-X):Cisco_Network_Sensor_Upgrade-5.
4.
0.
3-37.
sh-对于ASAFirePOWER模块(ASA5506-X、ASA5506W-X、ASA5506H-X、5508-X和ASA5516-X):Cisco_Network_Sensor_Upgrade-5.
4.
1.
2-23.
sh4.
选择系统(System)>更新(Updates),然后在"产品更新"(ProductUpdates)选项卡中点击上传更新(UploadUpdate),将更新上传到防御中心.
浏览到更新并点击上传(Upload).
更新将会上传到防御中心.
网络界面会显示您上传的更新的类型、其版本号以及生成更新的日期和时间.
该页面还会指明在更新过程中是否需要重新启动.
5.
确保部署中的设备能够成功通信,并且运行状况监控器未报告任何问题.
6.
点击要安装的更新旁边的安装图标.
7.
选择要安装更新的设备.
如果要更新堆叠对,选择该对的一个成员,会自动选择另一个成员.
您必须同时更新堆叠对中的成员.
8.
点击安装.
确认要安装更新并重新启动设备.
9.
更新过程将会开始.
可在防御中心的任务队列(系统[System]>监控[Monitoring]>任务状态[TaskStatus])中监控更新进度.
请注意,在更新过程中,受管设备可能会重新启动两次;这是预期的行为.
注意:如果更新遇到问题(例如,如果任务队列指示更新失败,或者手动刷新任务队列后几分钟不显示进度),请勿重新开始更新,而应联系支持部门.
10.
选择设备(Devices)>设备管理(DeviceManagement),并确认更新的设备是否具有正确的软件版本:版本5.
4.
0.
3.
11.
确认部署中的设备能够成功通信,并且运行状况监控器未报告任何问题.
12.
将设备配置重新应用到所有受管设备.
提示:要重新激活灰显的应用(Apply)按钮,请在设备配置中编辑任意接口,然后在不进行更改的情况下点击保存(Save).
13.
将访问控制策略重新应用到所有受管设备.
应用访问控制策略可能会导致流量和处理的短时间暂停,还可能会导致一些数据包未经检查地通过.
有关详细信息,请参阅《FireSIGHT系统用户指南》.
14.
如果支持站点提供了版本5.
4.
0.
3的补丁,请按照该版本的《FireSIGHT系统版本说明》所述,应用最新的补丁.
必须更新至最新补丁才可利用最新增强功能和安全修复程序.
17FireSIGHT系统版本说明已解决的问题已解决的问题您可以使用思科漏洞搜索工具(https://tools.
cisco.
com/bugsearch/)跟踪此版本解决的缺陷.
需要有思科帐户才能使用该工具.
要查看更早期版本中解决的缺陷,请访问传统说明跟踪系统.
版本5.
4.
0.
3和版本5.
4.
1.
2中已解决的问题:安全问题解决了会使客户端连接遭到外部攻击的多个SSLv3漏洞,如CVE-2015-0286、CVE-2015-0287、CVE-2015-0289、CVE-2015-0292和CVE-2015-0293中所述.
安全问题解决了跨站脚本(XSS)漏洞问题,如CVE-2015-0707中所述.
安全问题解决了Linux及其他第三方的多个漏洞问题,如CVE-2011-2699、CVE-2012-2744、CVE-2012-3400和CVE-2015-1781中所述.
安全问题解决了HTTP连接处理漏洞,该漏洞允许用户被重定向到恶意网站,如CVE-2015-0706中所述.
安全问题解决了以下问题:如果FirePOWER7000或8000系列受管设备检查出流量中存在格式不正确的数据包数据,系统可能会出现微引擎故障.
(CSCuu10871、CSCuu26678)如果路由是系列3设备上配置的,系统可以转发源路由IPv4数据包,这样会通过不同于在路由器上配置的路径传输数据包,而且可以避开网络安全措施.
(132121/CSCze88520)解决了以下问题:如果您从生成的事件查看某些文件的威胁评分,系统会错误地将威胁评分报告为数字,而非低、中、高或非常高.
(142290/CSCze93722)改进了URL过滤.
(144198/CSCze94590)解决了以下问题:7000Series设备的被动接口报告的出口安全区和接口不正确.
(144624/CSCze95206)解决了以下问题:如果您在"对象管理"(ObjectManagement)页面中编辑了接口安全区,当堆栈设备配置不是最新版本时,它仍显示为最新版本.
(144626/CSCze94847)解决了以下问题:如果您启用远程存储,并在防御中心上创建预定的邮件警报响应,则预定的邮件警报会禁用远程存储,且远程存储备份会失败.
(145288/CSCze95993)解决了以下问题:如果网络上的用户在地址栏中输入非小写的URL,则包含Web应用条件的访问控制规则与流量不匹配.
(CSCur37364)解决了以下问题:如果将高可用性配置的防御中心添加到系统,会导致辅助防御中心覆盖系统文件列表中现有的SHA-256值.
(CSCur57708)解决了以下问题:如果创建的关联规则会在发生入侵事件或连接事件,且条件将入口安全区、出口安全区、入口接口或出口接口匹配为条件,则系统无法识别您创建的规则,且无法针对与该规则匹配的流量生成事件.
(CSCur59840)改进了多个控制面板构件.
(CSCus11068)解决了以下问题:在Snort重启过程中,系统有时会出现延迟情况.
(CSCus13247)解决了一个漏洞,该漏洞导致采用uuencode编码的邮件的文件名无法显示在文件事件和恶意软件事件中.
(CSCus30831)解决了以下问题:某些HTTPS流量检查会导致误报.
(CSCus32474)解决了以下问题:如果已注册ASAFirePOWER设备的密码包含不受支持的字符,系统会生成内部服务器错误(InternalServerError)消息.
(CSCus68604)解决了以下问题:系统在用户第二次尝试通过HTTP下载可疑文件时才生成恶意软件警报,而不是在用户第一次尝试下载可疑文件时就生成警报.
(CSCus83151)18FireSIGHT系统版本说明已解决的问题解决了以下问题:如果在"用户管理"(UserManagement)页面的"自定义用户角色"(CustomUserRole)选项卡中创建用户角色,系统会禁用某些复选框,但会启用被禁用复选框下的某些可用选项.
(CSCus87248)解决了以下问题:如果文件下载过程受阻并重新下载文件,则系统无法识别文件类型,或者系统会生成不正确的SHA-256值.
(CSCus87799)如果系统在VDB安装后重启或重新加载,且未选中防火墙策略的在应用策略期间检查流量(InspectTrafficDuringPolicyApply)选项,则在重启过程中网络连接可能会断开.
(CSCut08225)解决了以下问题:如果创建的访问控制规则被配置为向外部系统日志服务器发送事件,当系统检测到多个截断的统一文件时,设备会停止向系统日志服务器发送连接事件.
(CSCut14629)提高了SFDatacorrelator在处理过往邮件和eStreamer警报时的性能.
(CSCut23688)解决了以下问题:四端口10Gbps非旁路网络模块上的FirePOWER光纤端口不能可靠地实现与APCONIntellaFlex或IntellaPatch品牌设备之间的链路连接.
(CSCut24654)解决了以下问题:系统在"网络文件轨迹"(NetworkFileTrajectory)页面上显示不正确的文件类型信息.
(CSCut27978)解决了以下问题:在"入侵事件"(IntrusionEvents)表视图中启用"原始客户端IP"列并查看一行或多行时,系统会生成错误.
(CSCut41458)解决了以下问题:"追溯性恶意软件事件"表不包含追溯性恶意软件事件的新旧处置字段.
(CSCut83512)解决了以下问题:如果在不重启SFR5585-X服务卡的情况下重启配置有大量子接口的ASA5585-X设备,SFR5585-X服务卡出现故障.
(CSCut89619)解决了在配置的域名中不包含DNS条目时,Web界面页面无法加载的问题.
(CSCut89714)解决了以下问题:如果您在防御中心遇到云连接中断情况时从防御中心删除恶意软件许可证,系统会连续生成如下运行状况监控器警报:无法连接云(Cannotconnecttocloud).
(CSCut95470)解决了以下问题:配置WindowsTGM代理会导致检测预处理程序中断.
(CSCut95588)禁用多管理器接口配置中的其中一个管理接口不再会禁用通信信道.
(CSCut95915)解决了以下问题:如果您在防御中心启用代理,会造成URL数据库更新下载失败.
(CSCut99976)解决了以下问题:如果链路汇聚组(LAG)被配置为使用链路汇聚控制协议(LACP),当LAG接口遇到大量的广播流量时,LAG接口会进入强制关闭状态.
(CSCuu04209)解决了以下问题:如果云连续检查新的更新,系统会出现问题.
(CSCuu04844)如果您尝试创建名称相同的两个关联策略,系统会生成警报.
(CSCuu14720)解决了以下问题:如果将ASA5585-X设备降级为较旧版本,Linux不会按预期自动降级.
(CSCuu14965)解决了以下问题:系统在"系统负载"控制面板构件中显示不正确的内存使用量.
(CSCuu19742)改进了系列3理设备上适用于简单网络管理协议(SNMP)代理的CPU性能报告.
(CSCuu31029)改进了CPU性能.
(CSCuu35011)解决了以下问题:运行ASA平台版本9.
3(3)或9.
4(1)的ASA5506-X设备如果遇到问题,会停止处理流量.
(CSCuu38535)解决了以下问题:过度使用内存会导致系统重新开始进程,进而可能导致网络连接中断.
(CSCuu88135)解决了以下问题:在从"报告"(Report)页面生成报告时,如果点击可配置的中继主机(RelayHost)选项旁边的"编辑"图标,则网络浏览器会重定向到内部服务器错误网页.
(CSCuv01286)19FireSIGHT系统版本说明已解决的问题早期版本中解决的问题之前解决的问题按版本列出.
版本5.
4.
1.
1和版本5.
4.
0.
2中解决的问题:安全问题解决了会使客户端连接遭到外部攻击的多个SSLv3漏洞,如CVE-2014-3569、CVE-2014-3570、CVE-2014-3572和CVE-2015-0204中所述.
安全问题解决了一个随机脚本注入漏洞,该漏洞使未经身份验证的远程攻击者可以攻击GNUC函数库的DNS解析功能,如CVE-2015-0235中所述.
安全问题解决了多个跨站脚本(XSS)和随机HTML注入漏洞问题.
(CSCus03591、CSCus03762、CSCus04436、CSCus07858、CSCus07875)安全问题解决了通用唯一标识符(UUID)处理方面的一个漏洞问题.
(CSCus06097)解决了以下问题:查看规则文档时,如果在入侵规则编辑器中编辑本地规则,系统会对已生成的事件数据显示当前的本地规则配置,而不显示触发这些数据的规则配置.
(145118/CSCze95346)解决了以下问题:如果您备份和还原防御中心,系统不会备份或还原安全情报对象.
(CSCur42337、CSCur35624)解决了系列3受管设备的以下问题:在设备重启过程中,支持旁路的内联集可能会断开内联连接多达25秒.
(CSCur64678)解决了以下问题:在某些情况下,您无法获得有关URL类别或URL信誉的信息.
(CSCur38971、CSCus59492)解决了以下问题:如果从网络图的"漏洞"(vulnerabilities)选项卡根据客户端应用展开漏洞,系统不会显示关联的主机.
(CSCur86191)解决了以下问题:在某些情况下,如果其中一项访问控制规则操作设置为"拦截"(Block)或"交互拦截"(InteractiveBlock),则主机无法始终显示拦截页面.
(CSCus06868)解决了在使用Windows文件共享(SMB)时,因报告名称中包含不受支持的字符,致使系统不支持生成多个报告类型的问题.
(CSCus21871)解决了以下问题:如果将创建的SSL策略设置为"不解密"(DoNotDecrypt),并尝试建立会话,系统会错误地将该会话报告为"已被拦截",但事实并非如此.
(CSCus41127)解决了以下问题:如果将引用文件策略的访问控制规则置于带有Web应用条件的访问控制规则后面,且所引用的文件策略带有恶意软件拦截规则,则系统无法识别恶意软件文件.
(CSCus64393、CSCus64526)解决了以下问题:如果系统的管理接口和控制接口使用同一个VLAN,而管理接口使用IPv6地址,则管理接口不可用.
(CSCus64678)解决了以下问题:如果系统包含SSL可视性设备(SSLVA)或思科SSL设备,且您创建包含Web应用类别和恶意软件拦截规则的文件策略,则您第一次通过HTTPS下载文件时会失败.
请注意,运行版本3.
8.
4的SSL设备已解决了这个问题.
解决了以下问题:如果应用的访问控制策略引用URL过滤许可证、安全情报许可证或配置为用于检查以下任何设备的SSL策略,则系统会遇到问题:7000Series、ASA5506-X、ASA5506H-X和ASA5506W-X.
(CSCut02823)进一步精简了关联事件表.
(CSCut02984)解决了以下问题:如果在启用了"Spero分析"和"文件捕获"功能的情况下创建文件策略,则系统无法捕获在传入流量中检测到的文件.
(CSCut06837)20FireSIGHT系统版本说明已解决的问题如果应用的访问控制策略具有规则集且使用的都是IPv4源地址,则系统会评估使用IPv6源地址的流量,就好像规则中没有设置源地址一样.
如果应用的访问控制策略具有规则集且使用的都是IPv6源地址,则系统会评估使用IPv4源地址的流量,就好像规则中没有设置源地址一样.
如果应用的访问控制策略具有规则集且使用的都是IPv4目的地址,则系统会评估使用IPv6目的地址的流量,就好像规则中没有设置目的地址一样.
如果应用的访问控制策略具有规则集且使用的都是IPv6目的地址,则系统会评估使用IPv4目的地址的流量,就好像规则中没有设置目的地址一样.
(CSCut48596)解决了以下罕见问题:如果系列3设备检测到流向堆叠设备的流量,则系统会遇到问题,无法处理流量.
(CSCut53335)版本5.
4.
1中解决的问题:安全问题解决了会使客户端连接遭到外部攻击的多个SSLv3漏洞.
该次修复针对CVE-2014-3566.
安全问题解决了一个随机脚本注入漏洞,该漏洞使未经身份验证的远程攻击者可以通过bash执行命令.
该次修复针对CVE-2014-6271和CVE-2014-7169.
安全问题解决了通用唯一标识符(UUID)处理方面的未经授权访问漏洞.
安全问题解决了主机属性的跨站脚本(XSS)漏洞.
安全问题解决了HTML注入漏洞问题.
加快了在应用访问控制策略过程中重新加载Snort配置的速度.
(112070/CSCze87966、CSCur19687)解决了以下问题:如果在创建的SSL策略中,文件"会话未缓存"(SessionNotCached)选项设置为不解密(DoNotDecrypt)或拦截(Block),且SSL会话重用功能已启用,那么,当会话刷新时,系统会在"连接事件"(ConnectionEvents)表视图的SSL状态(SSLStatus)列中显示未缓存会话错误.
(143335/CSCze93608)解决了以下问题:如果向运行版本5.
4的防御中心注册运行版本5.
3.
X的设备,则系统无法显示"入侵事件"(IntrusionEvents)表视图和"连接事件"(ConnectionEvents)表视图的网络分析策略(NetworkAnalysisPolicy)列的数据.
(143349/CSCze94484)解决了以下问题:在设备进入维护模式且遇到电源故障的情况下,如果您尝试重启集群系列3设备,则系统无法恢复.
(143504/CSCze94928)更新了《FireSIGHT系统用户指南》,以反映以下情况:应用访问控制策略可能会导致流量和处理出现短暂中断.
(143514/CSCze94971)访问控制策略现在有以下日志记录功能:在连接开始和结束时进行日志记录、在连接结束时进行日志记录以及连接时不进行日志记录.
(143507/CSCze94975)解决了以下问题:如果系统生成文件事件,系统会在Web界面的多个页面上错误地截断包含冒号的文件事件文件名.
(143666/CSCze94954)解决了以下问题:如果您禁用包含入侵策略或变量集的访问控制规则,而所包含的入侵策略或变量集不同于任何已启用的访问控制规则,那么策略应用会失败,且系统会遇到问题.
(143871/CSCze94114、144635/CSCze95200)改进了生成报告时的磁盘管理器清理能力.
(143933/CSCze94240、143934/CSCze94286)解决了以下问题:单个主机配置文件无法正确显示多个IP地址.
(144259/CSCze94623)解决了以下问题:解密的SSL会话在连接日志中将URL显示为http://而非https://.
(144485/CSCze95739)解决了以下问题:如果创建的自定义网络变量和默认变量具有相同的名称,但两者的名称大写不一样,则系统会误以为自定义变量和默认变量是同一个变量,因此会禁止您删除自定义变量.
(144488/CSCze95591、144544/CSCze95599)解决了以下问题:如果您对DHCP启用防御中心或受管设备的eth1,则系统会在eth0和eth1都启用了DHCP的情况下错误地保存配置.
(144525/CSCze95666)21FireSIGHT系统版本说明已解决的问题解决了以下问题:如果在启用了存档文件类型的设备上应用访问控制规则,且该设备运行低于版本211的漏洞数据库(VDB),则策略应用会失败.
(144533/CSCze95570)解决了以下问题:系统将DNS流量当作OpenVPN、QQ和Viber流量来处理.
(144548/CSCze95536)解决了以下问题:无法禁用规则或数据包延迟阈值计时器.
(144555/CSCze95704)解决了以下问题:如果在连接到8000Series受管设备的网络模块上创建链路聚合组(LAG)接口,然后关闭设备,那么,在关闭设备后删除网络模块会导致错误.
(144576/CSCze95166)解决了以下问题:从系统删除URL过滤许可证会导致云连接中断.
(144578/CSCze95183)解决了以下问题:如果在通过ASA会话命令登录的情况下,在ASA5506-X设备上使用SFRsystemrestartCLI命令,则设备会停止进程,且不会重新开始这些进程.
(144609/CSCze94873)解决了以下问题:网络浏览器会将您创建的HTML报告错误地显示为二进制数据.
(144667/CSCze95195)解决了以下问题:无法导入和导出防御中心策略.
(144806/CSCze95396、144905/CSCze96093)解决了以下问题:为源端口或目标端口定义大量端口会导致策略应用失败.
(144933/CSCze95305)解决了以下问题:系统在更新过程中会遇到FSIC故障.
(144964/CSCze95780)解决了以下问题:如果您尝试在不使用代理选项的情况下建立私有云连接,即使您取消选中"使用代理"(useproxy)选项,系统仍会尝试通过代理连接私有云.
(144968/CSCze95801)解决了以下问题:如果您在管理X-Series设备时尝试下载更新,则自动更新会失败.
(145060/CSCze95372)解决了以下问题:如果您尝试使用下载更新(DownloadUpdates)按钮来更新系统,则用户界面会提供不准确的补丁版本.
(145174/CSCze95284)解决了以下问题:在海拔为2000英尺的位置,AMP8150会发出过大噪音,因为其送风风扇的运行速度为20,000RPM或更快;但报告的风扇转速低至0RPM.
更新BMC固件或应用此更新可解决固件问题;如果要暂时解决问题以便进行更新,请使用ipmimcresetcoldCLI命令重置AMP8150基板管理控制器(BMC).
请注意,重置后,必须重新建立LAN上串行(SOL)会话.
(CSCus59936)解决了以下问题:在裁剪数据以适应窗口(TrimDatatoWindow)选项已启用的情况下,内联规范化预处理程序会错误地调整数据包大小.
(CSCur80901)版本5.
4中解决的问题:安全问题解决了Linux及其他第三方的多个漏洞问题,如CVE-2013-0343、CVE-2013-2164、CVE-2013-2206、CVE-2013-2232、CVE-2013-2234、CVE-2013-2888、CVE-2013-3552、CVE-2013-4387、CVE-2013-4470、CVE-2013-4786、CVE-2007-6750、CVE-2013-7263和CVE-2013-7265中所述.
安全问题解决了多个注入漏洞,包括HTML和命令行注入.
安全问题解决了多个跨站脚本(XSS)漏洞.
安全问题解决了多个跨站请求伪造(CSRF)漏洞.
安全问题解决了多个参数处理和配置错误漏洞.
如果访问控制规则配置为拦截(Block)、拦截并重置(Blockwithreset)、交互拦截(Interactiveblock)、交互拦截并重置(InteractiveBlockwithreset)或监控(Monitor),则选择信誉级别时会同时选择严重性高于所选级别的所有信誉.
如果访问控制规则配置为允许(Allow)或信任(Trust),则选择信誉级别时会同时选择严重性低于所选级别的所有信誉.
(111747/CSCze87908)系统会阻止您使用IPv6地址来配置与用户代理之间的连接.
(124377/CSCze88700)22FireSIGHT系统版本说明已解决的问题解决了以下问题:在某些情况下,系统会在入侵事件性能图表中包含无关的数据.
(124934/CSCze87728)改进了eStreamer绩效指标的功能.
(129840/CSCze89231)解决了以下问题:如果在系统开始修剪之前,磁盘空间使用率超过磁盘空间阈值,则大型系统备份会失败.
(132501/CSCze88368)解决了以下问题:使用RunQuery工具执行SHOWTABLES命令会导致查询失败.
(132685/CSCze89153)解决了以下问题:在某些情况下,对受管设备执行远程备份会在防御中心上生成大量备份文件.
(133040/CSCze89204)您现在可以在受管设备的Web界面中,通过"管理接口"(ManagementInterfaces)页面(系统[System]>本地[Local]>配置[Configuration]>管理接口[ManagementInterfaces])的"接口"(Interface)选项卡编辑最大传输单位(MTU).
不再可以从防御中心受管设备编辑管理接口的MTU.
(133802/CSCze89748)解决了以下问题:在预处理程序选项已启用的情况下,入侵规则针对事件生成的系统日志警报消息会引致SnortAlert消息而非自定义消息.
(134270/CSCze88831)解决了以下问题:如果在启动了快速端口扫描(FastPortScan)和使用来自事件的端口(UsePortfromEvent)选项的情况下配置Nmap扫描补救措施,则补救措施会失败.
(134499/CSCze88810)解决了以下问题:如果在高可用性系统中启用"连接结束"日志记录,而会话提前终止,则系统不会报告会话或报告不正确的时间戳.
(134806/CSCze89822)解决了以下问题:防御中心和云之间的通信问题不会生成运行状况警报.
(134888/CSCze90122)解决了以下问题:如果从"事件视图设置"(EventViewSettings)页面启用解析IP地址(ResolveIPAddresses),系统不会按预期在控制面板或事件视图中解析与IPv6地址相关联的主机名.
(135182/CSCze90155)自定义HTTP响应页面现在最多支持50,000个纯文本字符.
(136295/CSCze90383)解决了以下问题:如果指定之前在运行Windows操作系统的计算机上创建的源URL,系统会在"安全情报"(SecurityIntelligence)选项卡的工具提示中显示不正确的已提交IP地址数量.
(136557/CSCze89888)解决了以下问题:如果禁用受管设备上的物理接口,与该物理接口关联的逻辑接口也会被禁用,但这些逻辑接口在编辑器的"接口"(Interfaces)选项卡中仍显示为绿色.
(136560/CSCze89894)解决了以下问题:如果将访问控制策略应用到多台设备,防御中心会在Web界面的"任务状态"(TaskStatus)页面、"访问控制策略"(AccessControlPolicy)页面和"设备管理"(DeviceManagement)页面上显示不同的任务状态.
(136614/CSCze89936)解决了以下问题:具有TCP协议条件的自定义入侵规则根据UDP流量而非TCP流量生成事件.
(136843/CSCze89941)解决了以下问题:捕获的文件表被错误地列为自定义表库的选项.
(136844/CSCze89977)解决了以下问题:系统对DNP3预处理程序规则145:1、145:2、145:3、145:4、145:5和145:6生成误报.
(137145/CSCze90786)解决了以下问题:如果使用超过40个字符的主机名注册受管设备,设备注册会失败.
(137235/CSCze90144)解决了以下问题:如果在过滤条件中包括任何以下特殊字符,系统无法正确地在对象管理器中过滤对象:美元符号($)、脱字号(^)、星号(*)、方括号([])、竖线(|)、正斜杠(\)、句点(.
)和问号().
(137493/CSCze90413)解决了以下问题:如果在系统策略中启用简单网络管理协议(SNMP)轮询,并且在某个集群受管设备上修改接口配置,则系统会生成错误的SNMP轮询请求.
(137546/CSCze90000)解决了以下问题:在访问控制规则中启用系统日志或简单网络管理协议(SNMP)连接日志记录会导致系统问题.
(137952/CSCze90538)23FireSIGHT系统版本说明已解决的问题解决了以下问题:即使未计算出SHA256值,文件事件的表视图似乎仍支持按文件名查看文件轨迹.
(138155/CSCze90676)解决了以下问题:如果生成HTML或PDF格式的报告,且该报告包含与x轴文件名相同的图表,则系统不会在x轴中显示UTF-8字符.
(138297/CSCze90799)解决了以下问题:在极少数情况下,修改和重新应用入侵策略几百次会导致入侵规则更新和系统更新需要超过24小时才能完成.
(138333/CSCze90747)解决了以下问题:如果尝试将地理位置数据库(GeoDB)更新为防御中心上已安装的版本,则系统会生成错误信息.
(138348/CSCze90813)解决了以下问题:记录到外部系统日志或简单网络管理协议(SNMP)陷阱服务器的连接事件的URL信誉值不正确.
(138504/CSCze91066)解决了以下问题:如果在部署中应用多个访问控制策略,并搜索与特定访问控制规则匹配的入侵或连接事件,会检索到其他策略中不相关的规则生成的事件.
(138542/CSCze91690)解决了以下问题:似乎支持剪切并粘贴访问控制规则.
(138713/CSCze91012)解决了以下问题:如果防御中心运行的是版本5.
3,eStreamer运行的也是版本5.
3,则防御中心上的安全情报事件会错误地混淆目标IP值和源IP值.
(138740/CSCze91402)解决了以下问题:如果将设置为内联模式下丢弃的入侵策略应用到具有被动接口的设备,则系统不会生成有关被忽略的内联规范化设置的警告.
(139177/CSCze91163)解决了以下问题:在极少数情况下,"任务状态"(TaskStatus)页面会将失败的系统策略错误地报告为已成功应用.
(139428/CSCze92142)解决了以下问题:系统不会在系列2备或虚拟设备上执行最大传输单位(MTU)设置.
(139620/CSCze91705)解决了以下问题:如果配置并保存通过其基本策略彼此引用的三个或更多的入侵策略,系统不会更新"入侵策略"(IntrusionPolicy)页面上策略的上次修改(LastModified)日期.
(139647/CSCze91353)解决了以下问题:如果配置并保存一份报告,该报告带有一个包含从使用夏令时(DST)过渡到不使用DST的过渡日的时段,系统会将该时段调整为比指定时间提前1小时开始.
(139713/CSCze91697)解决了以下问题:如果在受管设备的虚拟路由器之间交换接口,则系统不会激活交换接口的休眠静态路由.
(139929/CSCze91619)解决了以下问题:如果未向防御中心注册设备,且防御中心没有数据,那么,查看"入侵事件图表"(IntrusionEventsGraph)页面(概述[Overview]>摘要[Summary]>入侵事件图表[IntrusionEventGraphs])会导致出现以下错误:警告:由于不是内联模式,规范化被禁用(WARNING:normalizationsdisabledbecausenotinline).
(140117/CSCze92324)解决了以下问题:系统允许在外部经过身份验证的用户使用FireSIGHT系统Web界面修改密码.
(140143/CSCze91938)解决了以下问题:无法一次就成功导入自定义HTTPS证书.
(140283/CSCze92162)解决了以下问题:在"安排"(Scheduling)页面(系统[System]>工具[Tools]>安排[Scheduling])上新建任务会导致系统显示授权错误信息.
(140575/CSCze92225)解决了以下问题:旁路模式显示为集群设备的一个选项,即使该选项无法启用.
(140604/CSCze92047)解决了以下问题:以条形图形式创建的报告最多显示10天.
(140833/CSCze92405)解决了以下问题:如果用户密码已过期,"用户管理"(UserManagement)页面上的密码生存期(PasswordLifetime)列会显示负值.
(140839/CSCze92338)24FireSIGHT系统版本说明已知问题解决了以下问题:如果禁用引用入侵策略的访问控制规则,然后重新应用访问控制规则,则系统会错误地指出设备的入侵策略已过时.
(141044/CSCze92012)解决了以下问题:无法删除第三方漏洞.
(141103/CSCze92621)解决了以下问题:系统故意不存储的文件连同失败的文件存储(FailedFileStorage)值错误地显示在事件查看器和控制面板中.
(141196/CSCze92629)解决了以下问题:系统提供的保存的搜索PublicAddressesOnly包含172.
16.
0.
0/12私有IP地址范围.
(141285/CSCze92654)解决了以下问题:如果将防御中心更新为版本5.
4,该更新会覆盖对"连接摘要"(ConnectionSummary)控制面板(概述[Overview]>控制面板[Dashboards]>连接摘要[ConnectionSummary])所做的任何更改.
(141363/CSCze92812)解决了以下问题:报告不会为IP地址解析主机名.
(141393/CSCze92797)解决了以下问题:如果在访问控制策略中启用了HTTP拦截响应,当Web服务器的工作主机达到其打开连接极限时,HTTP拦截响应会导致会话保持打开状态以及Web服务器超时.
(141440/CSCze92753)解决了以下问题:保存太多次入侵策略修订会导致系统性能问题.
(141501/CSCze92792)解决了以下问题:3D9900设备的安全区外的被动接口不会生成入侵事件和连接事件.
(141663/CSCze93022)现在,只需从操作菜单选择将此规则设置为在所有本地创建的策略中生成事件(Setthisruletogenerateeventsinalllocallycreatedpolicies)选项,便可从所生成事件的数据包视图启用规则.
(142058/CSCze93416)解决了以下问题:在极少数情况下,系列3设备会遇到延迟.
(142110/CSCze93561)解决了以下问题:如果防御中心将文件发送到云以在沙盒环境中执行动态分析,而云在50分钟内不可用,则文件状态会保持为已发送供分析而非"超时".
(142309/CSCze93757)解决了以下问题:如果防御中心错误地分配无效的串行信头,则防御中心无法成功地将事件发送到eStreamer客户端.
(143201/CSCze93686)解决了以下问题:如果在"按应用列出的拒绝连接"控制面板构件中点击某个应用,系统不会正常地将得出的事件视图限制为被阻止的连接.
(143376/CSCze93645)解决了以下问题:如果仅以CSV格式生成报告,则报告部分查询会忽略沿用时间窗口的选项.
(143403/CSCze94376)解决了以下问题:如果系统出现丢包情况,则Modbus预处理程序无法生成事件.
(142450/CSCze95921)解决了以下问题:如果创建引用SSL策略的访问控制规则,且该SSL策略设置为用于解密流量,则策略应用会失败.
(144518/CSCze94864)解决了以下问题:如果创建入侵策略或网络分析策略并向其添加共享层,然后导出和导入新策略,则系统会生成后端导入失败错误,且不会导入策略.
(144905/CSCze96093)已知问题版本5.
4.
0.
3和版本5.
4.
1.
2中报告了以下已知问题:在某些情况下,如果尝试导入另一策略引用的策略作为共享层或一个基本策略,策略导入可能会失败.
(144946/CSCze96151)在某些情况下,如果系统在策略应用过程中丢失防御中心与设备之间的连接,"网络发现"(NetworkDiscovery)页面(策略[Policies]>网络发现[NetworkDiscovery])会显示应用到设备(applytodevices).
对此的解决方法是,编辑并重新应用网络发现策略.
(CSCur81583)在系统上运行故障排除可能会导致延迟.
(CSCus19876)25FireSIGHT系统版本说明已知问题如果您无法通过授权代理连接云,但可以通过直接连接进行连接,请联系支持部门.
(CSCus83379)解决了以下问题:如果在启用了动态分析的情况下创建包含文件策略的访问控制策略,当配置的代理端口是端口80时,将会无法连接综合安全情报云来进行动态分析.
(CSCut01361)如果编辑具有多个类别条件的访问控制规则并尝试删除其中一个条件,则Web界面仅删除列出的第一个类别条件,即使您选择了其他条件.
(CSCut25082)在某些情况下,如果防御中心的数据库遇到系统问题,请确认已应用包含访问控制规则的访问控制策略.
如果您发现缺少访问控制策略或规则,请联系支持部门.
(CSCut30047)在某些情况下,如果您在8000Series设备上创建一个被动区,并在此设备上使用showfastpath-rulesCLI命令,在本该报告为活动状态时,系统会将8000Series设备规则报告为非活动状态.
(CSCut32479)"备份/还原"(Backup/Restore)页面(系统[System]>工具[Tools]>备份/还原[Backup/Restore])的"备份管理"(BackupManagement)选项卡不包含已注册的ASA55X5或ASA55X5-SSP-XX设备作为选项.
(CSCut41338)在某些情况下,如果配置高可用性并应用一条引用之前已删除的网络对象或组的访问控制规则,则系统不会识别出该网络对象或组已被删除,且会出现问题.
对此的解决方法是,删除并重新创建包含删除的对象或组的规则,然后应用策略.
(CSCut54187)对于在集群系列3设备上配置的虚拟路由器接口,系统不支持多个标准IP地址.
(CSCut58601)在某些情况下,如果更新高可用性配置的一对防御中心,则辅助防御中心的访问控制策略似乎可能是最新状态,而主防御中心的访问控制策略则不是.
请注意,系统应报告访问控制策略引用的对象和策略的正确状态.
(CSCut63260)在某些情况下,如果RNA映射列表中的最后一个条目是重复的,则SFDatacorrelator会遇到问题.
如果遇到SFDatacorrelator性能问题,请联系支持部门.
(CSCut65738)在某些情况下,如果系统连续两次遇到故障,那么,即使未配置旁路模式,系统仍可能会进入旁路模式而不是尝试从第二次故障恢复,且流量可能会通过而不被检测出.
(CSCut80892)使用Chrome浏览器时,如果尝试在"应用过滤器"(ApplicationFilters)页面(对象[Object]>对象管理[ObjectManagement]>应用过滤器[ApplicationFilters])选择所有应用过滤器,具体做法是,首先选择第一个可用的应用过滤器,然后按住Shift键并点击最后一个可用的应用过滤器,那么,只有选定的那两个应用过滤器处于选中状态.
要包括所有可用的过滤器,必须逐一选择应用.
(CSCut86012)在某些情况下,如果为内联部署配置的传感接口在系统重启时出现故障,则Snort会不断重启.
(CSCut93464)在某些情况下,如果在带有已注册设备的系统上启用配置的多个接口,并在该设备上使用showmanagersCLI命令,则系统会显示错误的IP地址.
(CSCut95947)在某些情况下,3D8xx可能会遇到错误并丢失控制信道和信息信道.
(CSCut98395)对以思科开头的RPM数据包管理器(RPM)文件进行降级处理会导致不能正确地重置RPM安装历史记录.
(CSCut98525)如果在更新设备后遇到系统问题(例如,无法访问设备),请联系支持部门.
(CSCuu01055)如果在使用systemsupportrun-rule-profilingCLI命令时出现堆栈轨迹,请重新应用访问控制策略.
(CSCuu02211)如果在未编辑的情况下将主动访问控制策略重新应用到ASAFirePOWER模块,则策略应用会失败.
(CSCuu14839)在某些情况下,如果您禁用引用入侵策略的访问控制规则,在访问控制策略成功重新应用后,"访问控制"(AccessControl)页面(策略[Policies]>访问控制[AccessControl])会将入侵策略错误地显示为过时状态.
"入侵策略"(IntrusionPolicy)页面(策略[Policies]>入侵[Intrusion]>入侵策略[IntrusionPolicy])会显示正确的策略状态.
(CSCuu15483)26FireSIGHT系统版本说明已知问题如果在"报告"(Reporting)页面(概述[Overview]>报告[Reporting])的"报告模板"(ReportTemplates)选项卡生成报告时选择发送电子邮件(Sendemail)选项,并离开"报告模板"(ReportTemplates)选项卡,然后从"报告模板"(ReportTemplates)选项卡生成另一个报告,发送电子邮件(Sendemail)复选框不会保持选中状态.
(CSCuu41580、CSCuu97750)在某些情况下,如果创建包含地理位置条件的访问控制策略,流量将会无法按预期与该条件匹配.
(CSCuu48800)"文件轨迹"(FileTrajectory)页面(分析[Analysis]>文件[Files]>网络文件轨迹[NetworkFileTrajectory])将带有危害表现的主机的第一个和最后一个主机图标显示为蓝色图标,而非显示为红色图标.
(CSCuu17950)在某些情况下,如果向防御中心注册ASAFirePOWER模块并重启ASAFirePOWER模块,则防御中心与虚拟ASA设备上VMware工具之间的数据信道连接会中断.
对此的解决方法是,重新注册ASA设备.
(CSCuu18450)根据DCE/RPC高级设置中重叠端口设置的使用改进了错误信息警告.
(CSCuu18577)在某些情况下,如果更改了配置为使用DNS名称的云IP地址,系统不会同步更改,并且可能会遇到云连接丢失的问题.
(CSCuu24587)如果在一个物理系列3设备上创建链路聚合组(LAG),则可能会在连接至思科Nexus7k交换机时出现延迟问题.
(CSCuu31626)在某些情况下,如果备份某个防御中心,将备份还原到另一个防御中心,那么,您将无法登录到带有已还原备份的防御中心.
如果在还原备份后无法登录到防御中心,请联系支持部门.
(CSCuu35238)在某些情况下,如果将系统的时区改为UTC东部的一个时区并将包含至少一个非活动周期的关联规则添加至一个关联策略,策略应用失败.
对此的解决方法是,删除旧的关联规则并将时区临时设置为UTC,重新创建包含非活动周期的关联规则并应用策略,然后重新设置时区并重新应用策略.
(CSCuu37600)在某些情况下,如果在集群系列3设备上创建路由接口,并且系统遇到网络故障,则可能会出现路由器连接丢失的问题.
(CSCuu37668)从"设备管理"(DeviceManagement)页面的"接口"选项卡(设备[Device]>设备管理[DeviceManagement]>接口[Interfaces])添加或编辑路由IP地址时,思科冗余协议(SFRP)播发间隔值似乎可编辑,即使实际上不可编辑.
(CSCuu37687)在某些情况下,如果向防御中心注册设备,然后更新注册的设备,那么,使用configuremanageraddCLI命令会禁止防御中心管理注册的设备.
对此的解决方法是,等待设备在更新后自动注册到防御中心.
(CSCuu44265)在某些情况下,如果在设备上使用systemfilecopyCLI命令,可能无法退出CLI提示符.
对此的解决方法是,使用ctr+c使命令退回到提示符.
(CSCuu48793)在某些情况下,如果系统长时间积聚大量流量,可能会导致延迟和流量中断.
(CSCuu52545)在某些情况下,如果在启用了IPv6地址的情况下,将防御中心配置为使用静态IPv4地址,并通过IPv6地址访问防御中心接口,则访问控制策略编辑器页面不会加载.
对此的解决方法是,通过静态IPv4地址查看防御中心Web界面,并删除访问控制策略上作为默认操作的入侵策略以及任何应用访问控制规则,保存该策略,然后继续通过IPv6地址使用防御中心Web界面.
使用IPv4地址对应用的策略进行任何其他更改.
(CSCuu83933)在某些情况下,系统可能会出现错误且无法恢复.
如果系统不稳定且无法通过硬复位恢复,请联系支持部门.
(CSCuu93154)如果在应用URL过滤许可证之后,将产品许可控制面板构件添加至控制面板,则产品许可控制面板构件不会列出URL过滤许可证.
(CSCuu97762)在某些情况下,如果为3D8250设备添加多个许可证,为3D8260设备或同属这个子系列的其他设备添加一个许可证,在查看"许可证"(License)页面(系统[System]>许可证[Licenses])时,系统会错误地列出最近加载的许可证的设备下的所有许可证.
即使"许可证"(License)页面错误地列出非预期设备的许可证,许可证仍可正确地应用.
(CSCuu99789)如果创建的备份具有包含空格的文件名,则无法将备份应用到防御中心.
对此的解决方法是,使备份文件名不包含空格.
(CSCuu99818)27FireSIGHT系统版本说明已知问题在某些情况下,如果尝试从"安全区"(SecurityZones)页面(对象[Objects]>对象管理[ObjectManagement]>安全区[SecurityZones])删除安全区,而ASA5500-X系列设备的已应用访问控制策略中引用了该安全区,那么,系统不会保存更改,且安全区无法删除.
对此的解决方法是,从访问控制策略删除安全区,然后从"安全区"(SecurityZones)页面删除安全区.
(CSCuv40232)在"捕获的文件摘要"(CapturedFileSummary)工作流程(分析[Analysis]>文件[Files]>捕获的文件[CapturedFiles])的表视图中,如果点击包含扩展字符的文件名,会出现内部服务器错误.
(CSCuv40941)如果在没有任何发现事件的防御中心上打开"发现统计信息"(DiscoveryStatistics)页面(概述[Overview]>摘要[Summary]>发现统计信息[DiscoveryStatistics]),会出现内部服务器错误.
(CSCuv42327)早期版本中报告了以下已知问题:在某些情况下,如果在客户端传输文件时进行MicrosoftWindows更新,则无法检测到传输的文件,因为客户端通过不同的会话将文件分成多个部分进行传输,而系统无法重组这些部分来检测完整的文件.
(112284/CSCze88424)无法将总数为4096或更多条的入侵策略(单独或作为访问控制策略的部分)重新应用至单个受管设备.
(134385/CSCze89030)在某些情况下,如果创建SSL规则并启用日志记录,则"连接事件"(connectionevents)页面(分析[Analysis]>连接[Connections]>事件[Events])不会显示URL类别或URL信誉值.
(142878/CSCze93434)如果新建报告(概述[Overview]>报告[Reporting]>报告模板[ReportTemplates]),并在使用InternetExplorer11查看Web界面时尝试插入报告参数,则报告参数不会添加到报告部分描述中.
对此的解决方法是,使用InternetExplorer10.
(142950/CSCze94011)在某些情况下,如果集群系列3设备进入维护模式后遇到电源故障,重启设备并不能使系统恢复正常.
如果设备无法从维护模式成功恢复,请联系支持部门.
(143504/CSCze94928)如果创建的访问控制规则设置为允许引用设置为解密放弃的SSL规则以及设置为"内联模式下丢弃"的入侵规则的流量,则系统会在"入侵事件"(intrusionevents)表视图(分析[Analysis]>入侵[Intrusion]>事件[Events])中将SSL状态错误地显示为Unknown.
(143665/CSCze94947)在某些情况下,访问控制策略似乎已过时,但事实并非如此.
(14412/CSCze95029)在某些情况下,如果在通过ASA会话命令登录的情况下尝试使用SFRsystemrestartCLI命令,设备可能会停止进程,且不会重新开始这些进程.
这个问题影响到除ASA5506-X以外的所有设备.
(143135/CSCze94403)在某些情况下,如果创建具有交互拦截操作的访问控制规则,并启用"连接开始"日志记录或"连接开始"和"连接结束"日志记录,则系统会以用户旁路为理由不记录"连接开始"事件.
(143357/CSCze93672、144167/CSCze94675)在某些情况下,如果将引用两个入侵策略的同一个访问控制策略应用到两台设备,编辑第一个入侵策略,然后将编辑过的策略重新应用到第一台设备,并将这两台设备组成集群,则修改过的入侵策略会在第二台设备上被标记为"已过时".
对此的解决方法是,将同样引用这两个入侵策略的另一个访问控制策略应用到第二台设备.
(144136/CSCze95126)在某些情况下,如果创建引用规则的访问控制策略,且引用的规则带有设置了"交互拦截"操作的HTTP响应页面,那么,当您尝试访问会生成HTTP响应页面的URL时,您将无法在同一个浏览器的其他选项卡中访问相同的网页.
(144419/CSCze95694)在某些情况下,系统在"连接事件"(ConnectionEvents)表视图(分析[Analysis]>连接[Connections]>事件[Events])中可能不显示以下列的策略相关信息:操作(Action)、原因(Reason)、访问控制策略(AccessControlPolicy)、访问控制规则(AccessControlRule)和网络分析策略(NetworkAnalysisPolicy).
(145142/CSCze95299)28FireSIGHT系统版本说明已知问题在某些情况下,系统在"发现统计信息"(DiscoveryStatistics)页面(概述[Overview]>摘要[Summary]>发现统计信息[DiscoveryStatistics])上统计信息摘要的以下行中不显示任何事件:事件总数(TotalEvents)、最后一小时的事件总数(TotalEventsLastHour)和最后一天的事件总数(TotalEventsLastDay).
(145153/CSCze95751)在某些情况下,如果生成入侵事件性能图表(概述[Overview]>摘要[Summary]>入侵事件性能[IntrusionEventPerformance]),并选择最后一小时(LastHour)作为时间范围,则生成的图表为空,而非包含来自"入侵事件"(intrusionevents)表视图的数据.
(145237/CSCze95774)设备可能需要等待很长时间才能接通电源.
(145248/CSCze96068)在某些情况下,如果启用"失效打开"思科冗余协议(SFRP),且该协议设置为仅在高可用性配置的ASA5515模块上进行监控,那么,当设备遇到故障转移时,模块可能会异常地多次从主用模式转变为备用模式.
(145256/CSCze95812)如果使用网络地址转换配置(NAT)运行版本5.
0或更高版本的ASAFirePOWER模块,则系统会错误地处理与所应用的访问控制策略、入侵策略和网络发现策略匹配的数据信道.
(145274/CSCze96017)在某些情况下,如果在高可用性配置系统的"警报"(Alerts)页面(策略[Policies]>操作[Actions]>警报[Alerts])的"高级恶意软件防护"(AdvancedMalwareProtections)选项卡中进行更改,所做的更改可能无法在设备之间正确同步.
(CSCur46711)如果未禁用流量配置文件便删除它,则系统会允许已删除的配置文件继续使用资源而不会产生流量.
(CSCur48345)在某些情况下,如果使用思科冗余协议(SFRP)配置系列3受管设备集群,并应用网络地址转换(NAT)规则,则该集群的主设备和辅助设备都会响应在匹配的流量中检测到的地址解析协议(ARP),但正常情况下应该只有主设备作出响应.
对此的解决方法是,在创建集群设备的NAT规则时,将主设备的SFRP接口指定为主接口,将辅助设备的SFRP接口指定为备用接口.
(CSCur55568)如果创建预定任务以在防御中心上安装新版本的漏洞数据库(VDB),那么,即使已安装了最新的VDB版本,系统也不会发出警报,且每次安排该任务时防御中心都会从主用模式切换到备用模式.
思科不建议启用自动VDB更新.
(CSCur59252)如果在81xxFamily设备上配置入侵策略中的DNS预处理程序时使用无效的IP地址,系统功能可能会成倍地减慢.
要解决此问题,请输入有效的IP地址并重新应用入侵策略.
(CSCur59598)在某些情况下,如果在虚拟设备上配置内联接口对,showtraffic-statisticsCLI命令不会显示该内联接口对中第二个接口的数据.
(CSCur59771)在某些情况下,对于可能已过期或可能已从注册的设备删除的许可证,"设备管理"(DeviceManagement)页面(设备[Devices]>设备管理[DeviceManagement])的"设备"(Device)选项卡显示是(yes),但正常情况下应显示否(no).
(CSCur61884)在某些情况下,如果从"许可证"(licenses)页面(系统[System]>许可证[Licenses])删除保护许可证,系统不会按预期递减使用的许可证数量.
对此的解决方法是,从"设备管理"(DeviceManagement)页面(设备[Devices]>设备管理[DeviceManagement])禁用许可证.
(CSCur61927)无法应用当前应用的访问控制策略中未引用的现有入侵策略.
(CSCur72904)如果有匹配的解压缩数据或非分块数据,那么,即使在ASA5506-X设备上检测到入侵情况,系统也不会生成有关用gzip压缩的HTTP流量或分块的HTTP响应数据的警报.
(CSCur77397)如果创建的入侵策略引用设置为忽略音频/视频数据信道(IgnoreAudio/VideoDataChannel)的网络分析策略,则系统会异常地生成有关会话初始协议(SIP)音频数据的警报.
(CSCur83184)如果将防御中心或受管设备的时间手动配置为过去的时间,则"运行状况监控器"(HealthMonitor)页面(运行状况[Health]>运行状况监控器[HealthMonitor])不会显示警报.
(CSCur85894)在某些情况下,如果将集群系列3受管设备的路由器接口配置为使用私有IP地址和思科冗余协议(SFRP)IP地址,则系统无法识别哪个IP地址是主地址,且不会建立开放最短路径优先(OSPF)连接.
(CSCur86355)29FireSIGHT系统版本说明已知问题在某些情况下,如果在启用了HTTP预处理程序和无限解压缩(UnlimitedDecompression)时创建网络分析策略,且有入侵规则设置为针对用gzip压缩的HTTP流量中的数据发出警报,则系统可能不会针对与应用的入侵规则匹配、超过65535字节解压缩数据的流量生成警报.
(CSCur87659)在某些情况下,如果部署大型数据库,并尝试在防御中心上创建故障排除文件,则系统会利用外部内存来执行该任务,并会生成以下错误:内存不足!
(Outofmemory!
).
(CSCur97450)如果要更新为版本5.
4.
1.
1或更高版本的DC2000和DC4000设备运行的不是BIOS版本2.
0.
1b,则更新会失败.
如果由于防御中心运行较低版本的BIOS而导致更新失败,请联系支持部门.
(CSCus10407)检测Sametime应用时可能会出现误报.
(CSCus17165)您在ASA5585-X设备上不能重置管理员用户的密码.
(CSCus17991)在某些情况下,如果与事件关联的主机已停用,则危害表现(IOC)可能无法从IOC表视图(分析[Analysis]>主机[Hosts]>危害表现[IndicationsofCompromise])删除或解析.
(CSCus24116)在某些情况下,如果应用的SSL策略中引用了单个受信任的证书颁发机构(CA)组或对象,则系统不允许从该策略删除这个组或对象.
对此的解决方法是,向策略添加其他CA组或对象,并从当前SSL策略删除受信任的CA组或对象.
(CSCus42239)如果运行版本5.
4.
1的ASA5506-X设备上未安装URL许可证,或者许可证不可用,则"云服务"(CloudServices)页面(系统[System]>本地[Local]>配置[Configuration])会错误地显示带有时间戳的上次URL过滤更新消息.
(CSCus51935)在某些情况下,如果创建单独URL对象并将其添加到URL组对象,然后修改这个组对象,则单独对象的工具提示不会反映组对象的更新值.
(CSCus51943)在某些情况下,如果在URL许可证不可用或已删除的情况下尝试添加新的URL许可证,则"云服务"(CloudServices)页面(系统[System]>本地[Local]>配置[Configuration])的启用自动更新(EnableAutomaticUpdates)选项默认为不选中,但正常情况下应默认为选中.
(CSCus53842)在某些情况下,如果安装新的入侵规则更新,然后将备份还原到设备,那么,无论入侵策略是在规则更新之前还是之后存在,系统都会错误地生成以下消息:入侵策略已过时(IntrusionPolicyisout-of-date).
(CSCus59479)在某些情况下,如果访问控制策略包含带有::/0的源地址和目的地址,则在仅应允许IPV6流量的情况下,"连接事件"(connectionevents)表视图(分析[Analysis]>连接[Connections]>事件[Events])会包含IPv4和IPv6流量生成的事件.
(CSCus63549)在某些情况下,如果从防御中心将访问控制策略应用到ASA5506-X,且该策略与启用了很多规则的多个入侵策略关联,则策略应用会失败.
对此的解决方法是,减少使用的策略.
入侵策略与变量集的每个唯一组合都算作一个策略,与访问控制策略关联的网络访问策略也算作一个策略.
(CSCus95519)在某些情况下,如果应用引用之前已删除的网络对象或组的访问控制规则,高可用性配置的防御中心不会意识到该网络对象或组已被删除,且会遇到问题.
对此的解决方法是,删除包含已删除对象或组的规则,使用对象重新创建规则,然后应用策略.
(CSCut54187)在某些情况下,如果创建引用大量LDAP组的访问控制规则,且这些组包含访问受控用户,则系统会遇到延迟,且可能不会将流量与规则进行匹配.
对此的解决方法是,限制在LDAP连接中配置的访问受限组数量.
(CSCut56233)在某些情况下,如果为生成的事件创建并编辑搜索,然后在搜索开始之前取消搜索,则系统会重定向到与搜索相关的"事件"页面,并显示错误的搜索名称.
(CSCut63265/CSCuu97738)如果将以下具备FirePOWER服务的思科ASA从版本5.
4.
1更新为版本5.
4.
1.
1,FirePOWER在更新过程中将会不可用:ASA5506-X、ASA506H-X、ASA5506W-X、ASA5508-X、ASA5516-X.
更新设备后,FirePOWER服务便可用.
对此的解决方法是,通过SSH使用tail–f/var/log/sf/Cisco_network_sensor_Patch-5.
4.
1.
1_main_upgrade_script.
log命令观察更新过程,在更新完成后在ASA模块上重启自适应安全设备管理器(ASDM).
(CSCut89599)30FireSIGHT系统版本说明获取帮助获取帮助感谢您选用FireSIGHT系统.
思科支持有关获取文档、使用思科漏洞搜索工具(BST)、提交服务请求和收集思科ASA设备其他相关信息的内容,请参阅《思科产品新特性文档》,网址为:http://www.
cisco.
com/en/US/docs/general/whatsnew/whatsnew.
html.
请订阅《思科产品新特性文档》,该内容以RSS源的形式列出所有新的和经过修订的思科技术文档,并通过阅读器应用直接将内容提供至您的桌面.
RSS源是一种免费服务.
如果有任何疑问或者需要思科ASA设备方面的帮助,请通过以下方式联系思科支持部门:请访问思科支持站点,网址为http://support.
cisco.
com/.
将问题发送至思科技术支持部门的邮箱:tac@cisco.
com.
致电思科支持部门,电话号码为:1.
408.
526.
7209或1.
800.
553.
2447.
获取文档和提交服务请求有关获取文档、使用思科漏洞搜索工具(BST)、提交服务请求和收集其他信息的信息,请参阅思科产品文档更新,其网址为:http://www.
cisco.
com/c/en/us/td/docs/general/whatsnew/whatsnew.
html.
订用思科产品文档更新,其中将所有最新及修订的思科技术文档列为RSS源并通过使用阅读器应用将相关内容直接发送至桌面.
RSS源是一种免费服务.
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标.
要查看思科商标列表,请转至此URL:www.
cisco.
com/go/trademarks.
文中提及的第三方商标为其相应所有者的财产.
"合作伙伴"一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系.
(1110R)本文档中使用的任何互联网协议(IP)地址和电话号码并非实际地址和电话号码.
本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用.
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用.
2015思科系统公司.
保留所有权利.
本文档使用含10%用后废料的再生纸在美国印制出版.
cisco.
comFireSIGHT系统版本说明版本5.
4.
0.
3和版本5.
4.
1.
2首次发行日期:2015年7月21日最后更新日期:2016年8月29日即使您熟悉更新过程,也请务必通读并理解这些版本说明.
这些版本说明描述了受支持的平台、新增功能和更改的功能、已知问题和已解决的问题,以及产品和网络浏览器的兼容性.
它们还包含有关以下设备的先决条件、警告以及具体安装说明的详细信息:系列3防御中心(DC750、DC1500、DC2000、DC3500和DC4000)系列2和系列3受管设备(3D500、3D6500、3D1000、3D2000、3D2100、3D2500、3D3500、3D4500、3D7010、3D7020、3D7030、3D7050、3D7110、3D7115、3D7120、3D7125、3D8120、3D8130、3D8140、3D8250、3D8260、3D8270、3D8290、3D8350、3D8360、3D8370和3D8390、AMP7150、AMP8050、AMP8150、AMP8350、AMP8360、AMP8370和AMP8390)具备FirePOWER服务的思科ASA(ASA5506-X、ASA5506H-X、ASA5506W-X、ASA5508-X、ASA5512-X、ASA5515-X、ASA5516-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40、ASA5585-X-SSP-60和ISA3000)64位虚拟防御中心说明:虚拟受管设备或适用于BlueCoatX系列的思科NGIPS不支持此更新.
提示:有关FireSIGHT系统的详细信息,请参阅联机帮助或从支持站点下载《FireSIGHT系统用户指南》.
这些版本说明适用于FireSIGHT系统版本5.
4.
0.
3和版本5.
4.
1.
2.
物理和可更新为版本5.
4.
0.
3.
您可以更新思科ASAFirePOWER模块、物理防御中心和虚拟防御中心至版本5.
4.
1.
2.
请注意,您可以采用以下方式更新设备:物理和虚拟防御中心(DC750、DC1500、DC2000、DC3500和DC4000)必须运行版本5.
4才能更新至版本5.
4.
1.
2.
如果防御中心运行的是较低版本,必须先更新为版本5.
4,然后才能更新为版本5.
4.
1.
2.
说明:运行版本5.
4.
1.
1的防御中心可以更新其设备,但是,如果您的防御中心运行的仍是版本5.
4,您将无法解密或检查SSL流量.
如果您打算解密或检查SSL流量,请将防御中心更新至版本5.
4.
1.
2.
注意:您可以使用至少运行版本5.
4的防御中心将设备更新为版本5.
4.
0.
3或版本5.
4.
1.
2.
但是,如果您打算解密或检查SSL流量,则需要先将防御中心更新为不低于版本5.
4.
1,然后再更新设备.
系列2设备(3D500、3D1000、3D2000、3D2100、3D2500、3D3500、3D4500和3D6500)必须运行版本5.
4才能更新至版本5.
4.
0.
3.
如果系列2运行的是较低版本,必须先更新为版本5.
4,然后才能更新为版本5.
4.
0.
3.
系列3设备(3D7010、3D7020、3D7030、3D7050、3D7110、3D7115、3D7120、3D7125、3D8120、3D8130、3D8140、3D8250、3D8260、3D8270、3D8290、3D8350、3D8360、3D8370和3D8390、AMP7150、AMP8050、AMP8150、AMP8350、AMP8360、AMP8370和AMP8390)必须运行版本5.
4才能更新至版本5.
4.
0.
3.
如果系列3运行的是较低版本,必须先更新为版本5.
4,然后才能更新为版本5.
4.
0.
3.
2FireSIGHT系统版本说明新功能ASAFirePOWER模块(ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40和ASA5585-X-SSP-60)设备必须运行版本5.
4才能更新至版本5.
4.
0.
3.
如果ASAFirePOWER模块运行的是较低版本,必须先更新为版本5.
4,然后才能更新为版本5.
4.
0.
3.
ASAFirePOWER模块(ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X和ASA5516-X)必须至少运行版本5.
4.
1才能更新至版本5.
4.
1.
2思科ISA3000设备必须运行版本5.
4.
1.
2才能由运行版本5.
4.
1.
2的防御中心来管理.
有关部署和安装模块的详细信息,请参阅《思科ASAFirePOWER模块快速入门指南》.
有关详细信息,请参阅以下各节:新功能,第2页文档更新,第8页准备工作:重要更新和兼容性说明,第8页安装更新,第12页已解决的问题,第17页已知问题,第24页获取帮助,第30页新功能版本说明的这一节汇总了FireSIGHT系统版本5.
4.
0.
3和版本5.
4.
1.
2中新增及更新的特性和功能:平台增强功能,第2页术语,第2页更改的功能,第3页早期版本引入的特性和功能,第3页有关详细信息,请参阅《FireSIGHT系统用户指南》、《FireSIGHT系统安装指南》、《FireSIGHT系统虚拟安装指南》和《安装和配置指南》.
平台增强功能思科ISA3000管理思科ISA3000是一个装有DIN导轨的坚固型工业安全设备.
它功率小,不使用电扇,具有千兆位以太网和专用管理端口.
该型号预安装有ASAFirePOWER模块.
该型号的特殊功能包括自定义的透明模式默认配置,以及允许流量在出现功率损耗时继续通过设备的硬件旁路功能.
ISA3000可作为一个独立设备或受管设备进行管理.
您可以在ASDM中通过ASAFIREPOWER配置来管理独立ASAFirePOWER模块,以及通过防御中心管理受管ASAFirePOWER模块.
术语如果您参阅版本5.
3.
1.
x或版本5.
3.
0.
x的相应文档,可能会注意到这些文档中使用的术语与版本5.
4.
0.
3和版本5.
4.
1.
2文档中的术语有所不同.
3FireSIGHT系统版本说明新功能提示:思科文档可能会将防御中心称为FireSIGHT管理中心.
防御中心和FireSIGHT管理中心是同一个设备.
更改的功能您必须将相同的访问控制策略应用于要组成堆栈或集群的所有设备,才能配置堆栈或集群.
您现在可以选择在应用策略的过程中不检查流量,以防止网络中断.
系统不再将发现事件状态报告至"运行状况策略"(HealthPolicy)页面.
您现在可以创建引用访问控制规则网络条件集的访问控制策略,以拦截包含::/0的所有IPv6地址;或者创建引用网络规则集的访问控制策略,以拦截包含0.
0.
0.
0/0的所有IPv4地址.
现在,当CPU使用率从高水平变为正常状态时,系统会为所有CPU报告进行事件报告.
早期版本引入的特性和功能5.
4.
1中更新了以下功能:FirePOWER服务管理功能,第4页平台增强功能,第4页国际兼容性增强,第5页表1术语更改适用于版本5.
4.
0.
3和版本5.
4.
1.
2的术语说明思科原称为SourcefireFireSIGHT系统以前是Sourcefire3D系统防御中心FireSIGHT防御中心思科FireSIGHT管理中心原称为Sourcefire防御中心设备受管设备以前是Sourcefire受管设备适用于BlueCoatX系列的思科NGIPS原称为用于X系列的Sourcefire软件FireSIGHT受管设备是指FireSIGHT防御中心管理的所有设备(受管设备和ASA设备)思科自适应安全设备(ASA)ASA设备是指思科ASA硬件具备FirePOWER服务的思科ASA是指安装了ASAFirePOWER模块的ASA设备ASAFirePOWER模块是指安装在兼容ASA设备上的硬件和软件模块ASA软件是指安装在思科ASA设备上的基本软件自适应安全设备管理器(ASDM)是指用于管理ASA功能的自适应安全设备管理器直接管理是指使用ASDM集中管理管理ASA5506-X中的ASAFirePOWER模块.
集中管理是指使用FireSIGHT管理ASA5506-X中的ASAFirePOWER模块防御中心4FireSIGHT系统版本说明新功能FirePOWER服务管理功能集中管理具备FirePOWER服务的思科ASA5506-X防御中心现在能够以与管理所有其他ASA5500-X设备相同的方式管理运行于ASA5506-X设备的FirePOWER服务(ASAFirePOWER设备).
如此一来,只要ASA平台运行9.
3.
1版或更高版本,且ASAFirePOWER设备运行版本5.
4.
1或更高版本,就可以从单个防御中心管理运行ASAFirePOWER设备的多台ASA5506-X设备.
管理员可以配置入侵检测和防御策略、高级恶意软件防护、应用控制、用户和组控制、文件控制以及URL过滤,然后将这些配置同时应用于多台ASA5506-X设备.
此外,防御中心在单个视图中提供关键控制面板、事件视图、警报功能以及来自所有ASAFirePOWER设备的报告.
直接管理具备FirePOWER服务的思科ASA5506-X思科自适应安全设备管理器(ASDM)可用于执行前面列出的ASAFirePOWER管理功能,但一次只能管理一台ASA5506-X设备.
此外,您可以直接管理系统策略、许可、备份和还原.
具备FirePOWER服务的思科ASA的管理限制目前,思科ASAFirePOWER产品由两款相互紧密集成的产品组成:ASA防火墙和FirePOWER下一代入侵防御系统(NGIPS).
虽然这两款产品之间已实现关键数据共享,但统一管理平台仍在开发中.
由于这个原因,思科ASA功能目前通过思科SecurityManager(CSM)或自适应安全设备管理器(ASDM)进行管理,FirePOWER服务功能通过思科防御中心进行管理.
因此,防御中心不支持以下任何功能:基于思科ASA硬件的功能,包括集群、堆叠、交换、路由、虚拟专用网络(VPN)和网络地址转换(NAT).
配置ASA接口.
此外,如果FirePOWER服务是在SPAN端口模式下部署,配置的任何ASA接口都不会显示.
关闭、重启或管理ASA流程.
从ASA设备创建或还原备份.
使用VLAN标记条件编写访问控制规则来匹配流量.
说明:ASA平台提供上述功能,可通过ASA命令行界面(CLI)和ASDM配置这些功能.
有关详细信息,请参阅ASAFirePOWER模块文档.
平台增强功能VMware工具支持现在VMware工具可与FireSIGHT系统虚拟设备配合使用.
这样可实现软关机、迁移及其他特定于虚拟设备的功能,从而增强与VMware环境之间的兼容性,并改善虚拟设备管理.
以下设备支持VMware工具:64位虚拟防御中心64位虚拟受管设备说明:从版本5.
4开始,FireSIGHT系统支持版本ESXi5.
1和版本ESXi5.
5.
VMware虚拟设备支持VMXNET3接口虚拟设备现在支持VMXNET3接口类型,让您可以使用带宽高达10Gbits/s的高速网络接口.
多个管理接口现在,您可以在系列3防御中心、FirePOWER(系列3)受管设备和虚拟防御中心上使用多个管理接口.
可以将一个接口设置为用于传输管理流量,另一个接口设置为用于传输事件流量.
这样可改进某些环境中的部署选项.
系列3支持版本5.
4引入了3D7050作为70xx子系列设备,该设备搭载双核四线程处理器,具有8GBRAM和80GB硬盘驱动器.
5FireSIGHT系统版本说明新功能LACP支持FirePOWER(系列3)设备现在可以参与链路汇聚控制协议(LACP)(IEEE802.
3ad)协商,以将多条链路汇聚成一条链路.
这样可实现链路冗余和带宽共享.
防御中心2000(DC2000)DC2000是新推出的防御中心设备平台,其性能和容量是DC1500的两倍.
防御中心4000(DC4000)DC4000是新推出的防御中心设备平台,其性能和容量是DC3500的两倍.
国际兼容性增强Unicode支持系统现在会显示通过文件检测、恶意软件检测和FireAMP文件事件检测到的文件名.
这样可以显示非西文字符(包括双字节编码字符).
关联规则中的地理位置数据和安全情报数据关联规则引擎经过更新,可提供连接数据、地理位置数据和安全情报数据.
这样,您可以根据这两个新的约束生成关联事件或采取关联操作.
例如,如果从特定国家/地区检测到Impact1入侵事件,您可以设置警报,将这些信息记录到外部系统日志服务器.
支持FireAMP私有云有了版本5.
4,您可以使用FireAMP私有云而非思科公共云.
要使用FireAMP私有云,需要安装私有云虚拟设备.
私有云协调与公共云之间的交互,使您可以从公共云收集威胁信息,而且不会泄露您所用网络上的信息.
版本5.
4更新了以下特性和功能:检测和安全增强功能,第5页先前更改的功能,第6页检测和安全增强功能集成式SSL解密FirePOWER(系列3)设备现在可以先识别SSL通信和解密流量,再应用攻击检测、应用检测和恶意软件检测.
您可以在任何受支持的系列3设备部署模式下(包括内联和被动模式)使用SSL解密.
SSL策略用于控制企业内部使用的SSL的特性,其中的SSL规则用于对加密流量日志记录和处理实行精细控制.
简化了规范化和预处理程序配置现在,您可以在访问控制策略(而非入侵策略)中配置流量规范化和预处理.
这样可以简化配置,尤其对于新用户来说.
敏感数据预处理程序、规则状态、警报和事件阈值仍可在单个入侵策略级别进行配置.
Snort规则语言中新增了file_type关键字启用用于检测的文件类型规范的Snort规则语言中有新的file_type关键字可用.
这是现有flowbits驱动方法的简化替代方法.
扩展了来自FireAMP连接器的IoC支持FireAMP提供的危害表现(IoC)列表现在是动态且通过数据驱动的.
当有新的IoC可用时,防御中心会自动支持它们.
这在任何采用FireAMP的部署中均可增强IoC关联功能.
6FireSIGHT系统版本说明新功能受保护的规则内容Snort规则语言新增了一项适用于高安全性环境的功能.
您现在可以使用哈希数据创建Snort内容匹配.
这样,规则编写人员可以指定要搜索的内容,但绝不会泄露纯文本内容.
先前更改的功能版本5.
4.
1.
1引入了以下功能:现在,当您上传入侵规则或安装入侵规则更新时,系统会清除所有入侵策略锁定.
版本5.
4.
1引入了以下功能:注册的ASA设备现在有了可配置的高级选项,这些选项位于"设备管理"(DeviceManagement)页面(设备[Devices]>设备管理[DeviceManagement])的"高级"(Advanced)选项卡中.
ASA设备现在支持showusersCLI命令.
在"警报"(Alerts)页面的"高级恶意软件防护警报"(AdvancedMalwareProtectionsAlerts)选项卡中,只能针对追溯性事件或基于网络的恶意软件事件配置警报.
版本5.
4更新了以下特性和功能:您现在可以在事件查看器中查看连接事件的VLAN标记(分析[Analysis]>连接[Connections]>事件[Events]).
系统现在会识别通过FTP、HTTP和MDNS协议进行的登录尝试.
您限制可以单独从发现事件选择存档的连接事件,并将所选的事件传输到eStreamer客户端.
运行状况策略中不再提供发现事件运行状况监控器.
扩展数据包视图"(ExpandPacketView)原来是版本4.
10.
x中的选项,现在成为版本5.
4中的一个可配置选项;可通过"事件视图设置"(EventViewSettings)选项卡(管理员[Admin]>用户首选项[UserPreferences]>事件视图设置[EventViewSettings])访问该选项.
现在以.
rtf文件导入自定义入侵规则会生成无效的规则文件"rtf_rule.
rtf":必须是纯文本文件,这是一个ASCII或UTF-8编码警告.
您现在可以通过"入侵事件图"(IntrusionEventGraphs)页面(概述[Overview]>摘要[Summary]>入侵事件图表[IntrusionEventGraphs])生成以下入侵事件性能图表:-在TCP流量/数据包中规范化的ECN标志-在TCP流量/会话中规范化的ECN标记-ICMPv4回显规范化-ICMPv6回显规范化-IPv4DF标记规范化-IPv4选项规范化-IPv4保留标记规范化-IPv4调整大小规范化-IPv4TOS规范化-IPv4TTL规范化-IPv6TTL规范化7FireSIGHT系统版本说明新功能-IPv6选项规范化-TCP报头填充规范化-无选项TCP规范化-TCPNS标记规范化-TCP选项规范化-规范化已阻止的TCP数据包-TCP保留标记规范化-TCP分段重组规范化-TCPSYN选项规范化-总TCP过滤的数据包-TCP时间戳ECR规范化-总UDP过滤的数据包-TCP紧急标记规范化当配置已显示列时,您现在可以在"连接事件"(ConnectionEvents)表视图和"安全情报事件"(SecurityIntelligenceEvents)表视图中配置HTTP引用(HTTPReferrer)和用户代理(UserAgent)字段.
您现在可以通过"访问控制策略"(AccessControlPolicy)页面(策略[Policies]>访问控制[AccessControl])查看与您的访问控制策略中各个规则相关的警告.
在访问控制策略编辑器中,将鼠标指针悬停在规则名称旁边的警报图标上,并读取工具提示文本中的警告,这样便可查看相应规则的警告;或者,选择页面顶部的显示警告(ShowWarnings)按钮,这样便可查看与您的访问控制策略中引用的所有规则相关的警告.
在版本5.
4中,当您在启用内联模式(InlineMode)的情况下创建网络分析策略时,内联规范化会自动启用.
在早期版本,您必须在内联入侵策略中手动启用内联规范化.
请注意,从版本5.
3.
x更新为版本5.
4不会更改内联规范化设置.
您现在可以添加访问控制规则端口条件,用以指定不包含在协议(Protocol)下拉列表中的未分配的协议号.
您不再需要在访问控制策略中使用辅助规则来控制FTP数据信道.
新增了解压缩SWF文件(LZMA)、解压缩SWF文件(缩小)和解压缩PDF文件(默认)HTTP预处理程序检查选项,为PDF和SWF文件内容提供增强的解压缩支持.
TCP流预处理程序现在对于SMTP、POP3和IMAP协议具有更好的感知能力.
系统现在对于应用流量中的信息具有更强的检测能力,包括检测DNS流量中的应用数据,以及检测使用其他协议的用户.
您现在可以将LDAP身份验证配置为使用通用访问卡(CAC),并将所用的CAC与用户名关联,这样用户使用该访问卡便可直接登录系统.
系统增强了GPRS隧道协议(GTP)支持.
8FireSIGHT系统版本说明文档更新文档更新您可以从支持站点下载所有更新的文档.
在版本5.
4.
0.
3和版本5.
4.
1.
2中,以下文档进行了更新,以反映功能的新增和更改情况,并且解决报告的文档问题:《FireSIGHT系统联机帮助》《FireSIGHT系统联机帮助》(SEU)《FireSIGHT系统用户指南》《FireSIGHT系统安装指南》《FireSIGHT系统虚拟安装指南》更新后的版本5.
4.
0.
3和版本5.
4.
1.
2文档包含以下错误:《FireSIGHT系统用户指南》未反映以下情况:在内存有限的设备上,入侵策略编号可能无法与多个变量集配对.
在您可以应用仅引用一个入侵策略的访问控制策略的情况下,请验证对入侵策略的每次引用都与相同的变量集配对.
将入侵策略与不同的变量集配对会导致占用内存.
关于使用用户名"admin"以及在部署安装向导中指定的新的管理员帐户密码在VMware控制台登录虚拟设备,《FireSIGHT系统虚拟安装指南》包含如下错误的表述:如果您没有使用向导更改密码,或者正在使用ESXiOVF模板进行部署,请使用"Cisco"作为密码.
正确的表述应该是:如果您没有使用向导更改密码,或者正在使用ESXiOVF模板进行部署,请使用Sourcefire作为密码.
(CSCut77002)准备工作:重要更新和兼容性说明在开始版本5.
4.
0.
3和版本5.
4.
1.
2的更新过程之前,您应熟悉更新过程中的系统行为,以及任何兼容性问题或者更新前后需要进行的配置更改.
注意:思科强烈建议您在维护时间段、或在中断对部署影响最小的时间段执行更新.
有关详细信息,请参阅以下各节:配置和事件备份准则,第8页更新期间的流量和检查,第9页更新过程中的审计日志记录,第9页更新为版本5.
4.
0.
3和版本5.
4.
1.
2的版本要求,第9页更新为版本5.
4.
0.
3和版本5.
4.
1.
2的时间和磁盘空间要求,第10页更新为版本5.
4.
0.
3和版本5.
4.
1.
2后的产品兼容性,第10页还原为上一版本,第11页配置和事件备份准则在您开始更新之前,思科强烈建议删除或移动设备上的所有备份文件,然后将当前的事件和配置数据备份到外部位置.
使用防御中心备份自己及其管理的设备的事件和配置数据.
有关备份和恢复功能的详细信息,请参阅《FireSIGHT系统用户指南》.
注意:防御中心会清除来自以前的更新的本地存储备份.
要保留存档的备份,请将备份存储到外部.
注意:如果在更新至版本5.
4.
1.
2前,您的MC2000或MC4000运行的BIOS版本不是2.
0.
1b或更高版本,更新将会失败.
在设备启动时按F2打开BIOS设置实用程序并确认BIOS版本.
如果您需要更新BIOS版本,或者由于BIOS版本导致更新失败,请联系支持部门.
9FireSIGHT系统版本说明准备工作:重要更新和兼容性说明更新期间的流量和检查更新过程会重启受管设备.
取决于设备的配置和部署方式,以下功能会受到影响:流量检查,包括应用感知和控制、URL过滤、安全情报、入侵检测和防御以及连接日志记录流量,包括交换、路由、NAT、VPN及相关功能链路状态请注意,当您更新集群设备时,系统会每次更新一台设备,以避免流量中断.
流量检查和链路状态在内联部署中,受管设备(取决于型号)可通过应用控制、用户控制、URL过滤、安全情报和入侵防御,以及交换、路由、NAT和VPN来影响流量.
有关设备功能的详细信息,请参阅《FireSIGHT系统安装指南》.
下表提供了有关流量、检查和链路状态在更新时会受到何种影响(取决于部署)的详细信息.
请注意,无论您如何配置任何内联集,在更新过程中都不会执行交换、路由、NAT和VPN.
交换和路由系列3设备在更新过程中不会执行交换、路由、NAT、VPN或相关功能.
如果您将设备配置为仅执行交换和路由,则网络流量在更新过程中会被阻止.
更新过程中的审计日志记录在更新具有Web界面的设备时,系统完成其更新前任务之后,简化的更新界面页面将会显示.
直到更新过程完成和设备重新启动之后,对设备的登录尝试才会反映在审核日志中.
更新为版本5.
4.
0.
3和版本5.
4.
1.
2的版本要求您可以使用至少运行版本5.
4的防御中心将设备更新为版本5.
4.
0.
3或版本5.
4.
1.
2.
但是,如果您打算解密或检查SSL流量,则需要先将防御中心更新为不低于版本5.
4.
1,然后再更新设备.
要更新为版本5.
4.
1.
2,防御中心必须至少运行版本5.
4.
如果运行的是较低版本,可从支持站点获取更新.
注意:虚拟受管设备或适用于BlueCoatX系列的思科NGIPS不支持此更新.
防御中心必须至少运行版本5.
4才可将其受管设备更新为版本5.
4.
1.
2.
设备或ASA模块的当前版本与发行版本(版本5.
4.
0.
3)越接近,更新所需的时间就越少.
表2网络流量中断部署网络流量是否被中断带有可配置旁路的内联(内联集启用了可配置旁路选项)网络流量会在更新过程中的两个时间点发生中断:更新过程开始时,在链路关闭和打开(摆动),以及网卡切换到硬件旁路时,流量会短暂中断.
硬件旁路期间不会检查流量.
更新完成后,在链路摆动以及网卡退出旁路时,流量会再次短暂中断.
端点重新连接,并与传感器接口重新建立链路后,将会再次检查流量.
虚拟设备、具备FirePOWER服务的思科ASA8000Series设备上的非旁路NetMod或71xx系列设备上的SFP收发器不支持"可配置旁路"(configurablebypass)选项.
线内在整个更新过程中,网络流量会被阻止.
被动在更新过程中,网络流量不会中断,但也不会对其进行检查.
10FireSIGHT系统版本说明准备工作:重要更新和兼容性说明注意:如果在更新至版本5.
4.
1.
1前,您的MC2000或MC4000运行的BIOS版本不是2.
0.
1b或更高版本,更新将会失败.
在设备启动时按F2打开BIOS设置实用程序并确认BIOS版本.
如果您需要更新BIOS版本,或者由于BIOS版本导致更新失败,请联系支持部门.
更新为版本5.
4.
0.
3和版本5.
4.
1.
2的时间和磁盘空间要求下表提供了版本5.
4.
0.
3和版本5.
4.
1.
2更新的磁盘空间和时间准则.
请注意,使用防御中心更新受管设备时,防御中心需要其/Volume分区有额外的磁盘空间.
注意:在更新过程中的任何时候都不得重新开始更新或重启设备.
思科提供的时间预估仅供参考,实际更新时间因设备型号、部署和配置而异.
请注意,在更新的预先检查部分和重启后,系统可能会呈非活动状态;这是预期的行为.
如果遇到更新进度方面的问题,请联系支持部门.
更新为版本5.
4.
0.
3和版本5.
4.
1.
2后的产品兼容性必须使用版本至少为版本5.
4.
1的防御中心来管理运行版本5.
4.
1.
2的设备.
要管理ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X或ASA5516-X设备上的ASAFirePOWER模块,必须至少使用防御中心的版本5.
4.
1.
设备必须至少运行下表中确定的版本,才能由运行版本5.
4.
1.
2的防御中心来管理.
表3时间和磁盘空间要求设备/上的空间/Volume上的空间管理器中的/Volume上的空间Time系列2受管设备52MB3297MB831MB80分钟系列3受管设备154MB5383MB1155MB42分钟系列3防御中心181MB3683MBn/a120分钟虚拟防御中心181MB3683MBn/a因硬件而异ASA5512-X,ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40和ASA5585-X-SSP-60上的具备FirePOWER服务的思科ASA55MB3617MB737MB35分钟ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X、ASA5516-X和ISA3000上的具备FirePOWER服务的思科ASA8MB1609MB377MB76分钟表4管理版本要求设备要由运行版本5.
4.
1.
2的防御中心管理必须达到的最低版本FirePOWER受管设备FireSIGHT系统的版本5.
3ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40和ASA5585-X-SSP-60上的具备FirePOWER服务的思科ASAFireSIGHT系统的版本5.
3.
1ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X、ASA5516-X和ISA3000上的具备FirePOWER服务的思科ASAFireSIGHT系统5.
4.
1版本11FireSIGHT系统版本说明准备工作:重要更新和兼容性说明操作系统兼容性您可以在以下托管环境中托管运行版本5.
4.
1.
2的64位虚拟设备:VMwarevSphere虚拟机监控程序/VMwareESXi5.
1VMwarevSphere虚拟机监控程序/VMwareESXi5.
5VMwarevCloudDirector5.
1您可以在运行9.
3.
1版或更高版本的以下ASA平台上安装运行版本5.
4.
0.
3的ASAFirePOWER模块:ASA5512-XASA5515-XASA5525-XASA5545-XASA5555-XASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40和ASA5585-X-SSP-60在运行版本9.
3.
2.
2的ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X、ASA5516-X和ISA3000设备中,只能安装运行版本5.
4.
1.
2的ASAFirePOWER模块.
有关详细信息,请参阅《FireSIGHT系统安装指南》或《FireSIGHT系统虚拟安装指南》.
网络浏览器兼容性经测试,FireSIGHT系统版本5.
4.
0.
3和版本5.
4.
1.
2的Web界面兼容下表所列的浏览器.
注意:如果使用MicrosoftInternetExplorer11浏览器,必须在InternetExplorer设置中禁用将文件上传到服务器时包含本地目录路径(Includelocaldirectorypathwhenuploadingfilestoserver)选项(工具[Tools]>Internet选项[InternetOptions]>安全[Security]>自定义级别[Customlevel]).
屏幕分辨率兼容性思科建议,至少选择1280像素宽的屏幕分辨率.
用户界面兼容低分辨率,但高分辨率可优化显示效果.
还原为上一版本如果您由于某种原因,需要将设备还原为FireSIGHT系统的上一版本,请联系支持部门,以便了解详细信息.
重映像设备如果您因故需要将设备重新映像至当前版本的FireSIGHT系统,请参阅《FireSIGHT系统虚拟安装指南》(对于虚拟设备)以及《FireSIGHT系统安装指南》的"将FireSIGHT系统设备还原为出厂默认设置"一节(对于所有其他设备).
表5受支持的网络浏览器浏览器需要启用的选项和设置Chrome43JavaScript、CookieFirefox38JavaScript、Cookie、安全套接字层(SSL)v3MicrosoftInternetExplorer9、10和11JavaScript、Cookie、安全套接字层(SSL)v3、128位加密、活动脚本安全设置、兼容性视图、将检查存储网页的较新版本设置为自动12FireSIGHT系统版本说明安装更新要从版本5.
4.
1映像更新至版本5.
4.
0.
3或版本5.
4.
1.
2,请参阅准备工作:重要更新和兼容性说明,第8页和安装更新,第12页.
从支持站点下载以下文件:注意:请直接从支持站点下载映像.
如果通过邮件传输映像文件,可能会损坏该文件.
对于系列3防御中心:Sourcefire_Defense_Center_S3-5.
4.
0-763-Restore.
iso对于虚拟防御中心:Sourcefire_Defense_Center_Virtual64_VMWare-5.
4.
0-763.
tar.
gz对于系列2受管设备:Sourcefire_3D_Device_500-5.
4.
0-Restore.
isoSourcefire_3D_Device_1000-5.
4.
0-Restore.
isoSourcefire_3D_Device_2000-5.
4.
0-Restore.
isoSourcefire_3D_Device_2100-5.
4.
0-Restore.
isoSourcefire_3D_Device_2500-5.
4.
0-Restore.
isoSourcefire_3D_Device_3500-5.
4.
0-Restore.
isoSourcefire_3D_Device_45100-5.
4.
0-Restore.
isoSourcefire_3D_Device_6500-5.
4.
0-Restore.
iso对于系列3受管设备:Sourcefire_3D_Device_S3-5.
4.
0-763-Restore.
iso对于ASAFirePOWER模块:asasfr-sys-5.
4.
0-763.
pkg对于具备FirePOWER服务的思科ASA(ASA5506-X、ASA5506H-X、ASA5506W-X、ASA5508-X和ASA5516-X):asasfr-5500X-boot-5.
4.
1-211.
imgasafr-sys-5.
4.
1-211.
pkg说明:要在具备FirePOWER服务的思科ASA上安装ASAFirePOWER模块版本5.
4.
1.
2映像,请参阅《思科ASAFirePOWER模块快速入门指南》,了解部署和安装模块的详细信息.
安装更新在您开始更新之前,必须通读和理解这些版本说明,特别是准备工作:重要更新和兼容性说明,第8页.
要将运行不低于版本5.
4.
1的防御中心更新为版本5.
4.
1.
2,将运行不低于版本5.
4.
1的具备FirePOWER服务的思科ASA更新为版本5.
4.
1.
2,以及将运行不低于FireSIGHT系统的版本5.
4的受管设备和ASAFirePOWER模块更新为版本5.
4.
0.
3,请参阅以下章节中所述的准则和步骤:更新防御中心,第13页更新受管设备、ASAFirePOWER模块,第15页说明:虚拟受管设备或适用于BlueCoatX系列的思科NGIPS不支持此更新.
注意:在更新期间不要重启或关闭设备,直至看到登录提示.
系统在更新的预先检查部分可能呈非活动状态;这是预期的行为,不需要您重新启动或关闭设备.
何时执行更新由于更新过程可能会影响流量检查、流量和链路状态,思科强烈建议您在维护时段或者在中断对部署影响最小的时间执行更新.
13FireSIGHT系统版本说明安装更新安装方法使用防御中心的网络界面执行更新.
先更新防御中心,然后用它更新其管理的设备.
安装顺序先更新防御中心,再更新其管理的设备.
在成对的防御中心上安装更新开始更新高可用性对中的一个防御中心时,如果它尚未就绪,另一个防御中心将会变为主防御中心.
此外,成对的防御中心将会停止共享配置信息;成对的防御中心在常规同步过程中不会接收软件更新.
为确保操作的连续性,请不要同时更新成对的防御中心.
应先完成辅助防御中心的更新操作步骤,然后再更新主防御中心.
在集群设备上安装更新在集群设备上安装更新时,系统每次对一台设备执行更新.
更新开始时,系统会先将更新应用至辅助设备;辅助设备会进入维护模式,直到所有必须进程均已重新启动,随后辅助设备会再次处理流量.
接下来,系统会以相同的过程,将更新应用至主设备.
在堆叠设备上安装更新在堆叠设备上安装更新时,系统同时进行更新.
更新完成后,每台设备都会恢复正常运行.
请注意:如果主设备先于所有辅助设备完成更新,则在所有设备完成更新之前,堆栈会以受限的混合版本状态运行.
如果主设备晚于所有辅助设备完成更新,堆栈会在主设备完成更新后恢复正常运行.
安装后在防御中心或受管设备上执行更新后,必须重新应用设备配置和访问控制策略.
应用访问控制策略可能会导致流量和处理的短时间暂停,还可能会导致一些数据包未经检查地通过.
有关详细信息,请参阅《FireSIGHT系统用户指南》.
您还应执行多个额外的更新后步骤,以确保部署可正常执行.
其中包括:验证更新是否已成功确保部署中的所有设备都能够成功通信更新至版本5.
4.
1.
2的最新补丁(如有),以利用最新的增强功能和安全修复程序或者,更新入侵规则和漏洞数据库(VDB),并重新应用访问控制策略根据新功能,第2页中的信息,进行必要的配置更改.
以下各节不仅包括有关执行更新的详细说明,还包括有关完成任何更新后步骤的详细说明.
确保完成所有列出的任务.
更新防御中心按照本节所述的操作步骤更新防御中心(包括虚拟防御中心).
对于版本5.
4.
1.
2更新,防御中心会重启.
注意:如果在更新至版本5.
4.
1.
2前,您的MC2000或MC4000运行的BIOS版本不是2.
0.
1b或更高版本,更新将会失败.
在设备启动时按F2打开BIOS设置实用程序并确认BIOS版本.
如果您需要更新BIOS版本,或者由于BIOS版本导致更新失败,请联系支持部门.
CSCus10407注意:在更新防御中心之前,请将访问控制策略重新应用至所有受管设备.
否则,对受管设备的最终更新可能会失败.
注意:在更新期间不要重启或关闭设备,直至看到登录提示.
系统在更新的预先检查部分可能呈非活动状态;这是预期的行为,不需要您重新启动或关闭设备.
14FireSIGHT系统版本说明安装更新说明:将防御中心更新为版本5.
4.
1.
2会从设备中删除现有的卸载程序.
说明:如果您在启用了内联规范化的情况下将当前运行版本5.
3.
x的防御中心更新为版本5.
4,更新过程不会更改策略的行为.
系统会根据需要添加用户层,以保留沿用的设置.
要更新防御中心,请执行以下操作:1.
阅读这些版本说明,并完成必要的更新前任务.
有关详细信息,请参阅准备工作:重要更新和兼容性说明,第8页.
2.
从支持站点下载更新:-对于系列3和虚拟防御中心:Sourcefire_3D_Defense_Center_S3_Upgrade-5.
4.
1.
2-38.
sh说明:请直接从支持站点下载更新.
如果通过邮件传输更新文件,可能会损坏该文件.
3.
选择系统(System)>更新(Updates),然后在产品更新(ProductUpdates)选项卡中点击上传更新(UploadUpdate),将更新上传到防御中心.
浏览到更新并点击Upload.
更新将会上传到防御中心.
网络界面会显示您上传的更新的类型、其版本号以及生成更新的日期和时间.
该页面还会指明在更新过程中是否需要重新启动.
4.
确保部署中的设备能够成功通信,并且运行状况监控器未报告任何问题.
5.
查看任务队列(系统[System]>监控[Monitoring]>任务状态[TaskStatus]),确保没有正在进行的任务.
必须等到所有长时间运行的任务都完成后,才能开始更新.
正在运行的任务会在更新开始时停止,成为失败的任务,并且不能恢复;您必须在更新完成后,将其从任务队列中手动删除.
任务队列每10秒自动刷新一次.
6.
选择系统(System)>更新(Updates).
7.
点击上传的更新旁边的安装图标.
8.
选择防御中心并点击安装(Install).
确认要安装更新并重新启动防御中心.
更新过程将会开始.
您可以开始在任务队列(系统[System]>监控[Monitoring]>任务状态[TaskStatus])中监控更新进度.
但是,在防御中心完成其必要的更新前检查后,系统会使您注销.
当您重新登录时,系统会显示"更新状态"(UpgradeStatus)页面.
"更新状态"(UpgradeStatus)页面会显示进度条,提供当前正在运行的脚本的相关详细信息.
如果更新由于任何原因而失败,该页面会显示错误信息,其中指明失败的时间和日期、更新失败时正在运行的脚本,并提供有关如何联系支持部门的说明.
请不要重新开始更新.
注意:如果更新出现任何其他问题(例如,手动刷新"更新状态"[UpdateStatus]页面后,几分钟都没有显示进度),请不要重新开始更新,而应联系支持部门.
更新完成后,防御中心会显示成功消息,并重新启动.
[它是否会重新启动]更新过程将会开始.
您可以在任务队列中监控更新进度(系统[System]>监控[Monitoring]>任务状态[TaskStatus]).
注意:在更新完成并且防御中心重新启动之前,请不要使用Web界面执行任何其他任务.
在更新完成之前,网络界面可能会变得不可用,并且防御中心可能会使您注销.
这是预期的行为;重新登录便可查看任务队列.
如果更新仍在运行,请不要使用网络界面,直到更新完成.
如果更新出现问题(例如,如果任务队列指示更新已失败,或者手动刷新任务队列后,几分钟都没有显示进度),请不要重新开始更新,而应联系支持部门.
15FireSIGHT系统版本说明安装更新9.
在更新完成后,应清除浏览器缓存,并强制要求浏览器重新加载.
否则,用户界面可能会出现意外行为.
10.
登录至防御中心.
11.
阅读并接受《最终用户许可协议(EULA)》.
请注意,如果您不接受EULA,系统会将您从设备注销.
12.
选择帮助(Help)>关于(About),确认软件版本是否已正确列出:版本5.
4.
1.
2.
另请注意,防御中心上的规则更新和VDB的版本;您随后会需要这些信息.
13.
确认部署中的设备能够成功通信,并且运行状况监控器未报告任何问题.
14.
如果支持站点上的可用规则更新比防御中心上的规则要新,请导入较新的规则.
此时请勿自动应用已导入的规则.
有关规则更新的详细信息,请参阅《FireSIGHT系统用户指南》.
15.
如果支持站点上的可用VDB比防御中心上的VDB要新,请安装最新的VDB.
安装VDB更新会导致流量和处理的短时间暂停,还可能会导致一些数据包未经检查地通过.
有关详细信息,请参阅《FireSIGHT系统用户指南》.
16.
将设备配置重新应用到所有受管设备.
要重新激活灰显的应用(Apply)按钮,请在设备配置中编辑任意界面,然后在不进行更改的情况下,点击保存(Save).
17.
将访问控制策略重新应用到所有受管设备.
注意:请勿单独重新应用入侵策略;必须完全重新应用所有访问控制策略.
应用访问控制策略可能会导致流量和处理的短时间暂停,还可能会导致一些数据包未经检查地通过.
有关详细信息,请参阅《FireSIGHT系统用户指南》.
18.
如果支持站点提供了高于版本5.
4.
1.
2的补丁,请按照该版本的《FireSIGHT系统版本说明》所述,应用最新的补丁.
必须更新至最新补丁才可利用最新增强功能和安全修复程序.
更新受管设备、ASAFirePOWER模块在将防御中心更新至版本5.
4.
1.
1后,可以使用它们来更新其管理的设备.
防御中心必须至少运行版本5.
4才可将其受管设备更新为版本5.
4.
0.
3或版本5.
4.
1.
2.
由于它们没有Web界面,因此,必须使用防御中心来更新虚拟受管设备、和ASAFirePOWER模块.
更新受管设备分两步进行.
首先,从支持站点下载更新,并将其上传到管理防御中心.
接着,安装软件.
可一次对多台设备进行更新,但这些设备必须都使用同一个更新文件.
对于版本5.
4.
0.
3更新,所有设备都会重启,而且VAP组会重新加载.
系列3设备在更新过程中不会执行流量检查、交换、路由、NAT、VPN或相关功能.
更新过程还可能会影响流量和链路状态,具体取决于设备的配置和部署.
有关详细信息,请参阅更新期间的流量和检查,第9页.
注意:在更新受管设备之前,请使用其管理防御中心将适当的访问控制策略重新应用至受管设备.
否则,受管设备的更新可能会失败.
注意:在更新期间不要重启或关闭设备,直至看到登录提示.
系统在更新的预先检查部分可能呈非活动状态;这是预期的行为,不需要您重新启动或关闭设备.
要更新受管设备、ASAFirePOWER模块,请执行以下操作:1.
阅读这些版本说明,并完成必要的更新前任务.
说明:请直接从支持站点下载更新.
如果通过邮件传输更新文件,可能会损坏该文件.
有关详细信息,请参阅准备工作:重要更新和兼容性说明,第8页.
2.
可以更新设备的管理防御中心上的软件;请参阅更新防御中心,第13页.
16FireSIGHT系统版本说明安装更新3.
从支持站点下载更新:-对于系列2受管设备:Sourcefire_3D_Device_Upgrade-5.
4.
0.
3-37.
sh-对于系列3受管设备:Sourcefire_3D_Device_S3_Upgrade-5.
4.
0.
3-37.
sh-对于虚拟受管设备:Sourcefire_3D_Device_Virtual64_VMware_Upgrade-5.
4.
0.
3-37.
sh-对于ASAFirePOWER模块(555X-X-SSP-X和558X-X-SSP-X):Cisco_Network_Sensor_Upgrade-5.
4.
0.
3-37.
sh-对于ASAFirePOWER模块(ASA5506-X、ASA5506W-X、ASA5506H-X、5508-X和ASA5516-X):Cisco_Network_Sensor_Upgrade-5.
4.
1.
2-23.
sh4.
选择系统(System)>更新(Updates),然后在"产品更新"(ProductUpdates)选项卡中点击上传更新(UploadUpdate),将更新上传到防御中心.
浏览到更新并点击上传(Upload).
更新将会上传到防御中心.
网络界面会显示您上传的更新的类型、其版本号以及生成更新的日期和时间.
该页面还会指明在更新过程中是否需要重新启动.
5.
确保部署中的设备能够成功通信,并且运行状况监控器未报告任何问题.
6.
点击要安装的更新旁边的安装图标.
7.
选择要安装更新的设备.
如果要更新堆叠对,选择该对的一个成员,会自动选择另一个成员.
您必须同时更新堆叠对中的成员.
8.
点击安装.
确认要安装更新并重新启动设备.
9.
更新过程将会开始.
可在防御中心的任务队列(系统[System]>监控[Monitoring]>任务状态[TaskStatus])中监控更新进度.
请注意,在更新过程中,受管设备可能会重新启动两次;这是预期的行为.
注意:如果更新遇到问题(例如,如果任务队列指示更新失败,或者手动刷新任务队列后几分钟不显示进度),请勿重新开始更新,而应联系支持部门.
10.
选择设备(Devices)>设备管理(DeviceManagement),并确认更新的设备是否具有正确的软件版本:版本5.
4.
0.
3.
11.
确认部署中的设备能够成功通信,并且运行状况监控器未报告任何问题.
12.
将设备配置重新应用到所有受管设备.
提示:要重新激活灰显的应用(Apply)按钮,请在设备配置中编辑任意接口,然后在不进行更改的情况下点击保存(Save).
13.
将访问控制策略重新应用到所有受管设备.
应用访问控制策略可能会导致流量和处理的短时间暂停,还可能会导致一些数据包未经检查地通过.
有关详细信息,请参阅《FireSIGHT系统用户指南》.
14.
如果支持站点提供了版本5.
4.
0.
3的补丁,请按照该版本的《FireSIGHT系统版本说明》所述,应用最新的补丁.
必须更新至最新补丁才可利用最新增强功能和安全修复程序.
17FireSIGHT系统版本说明已解决的问题已解决的问题您可以使用思科漏洞搜索工具(https://tools.
cisco.
com/bugsearch/)跟踪此版本解决的缺陷.
需要有思科帐户才能使用该工具.
要查看更早期版本中解决的缺陷,请访问传统说明跟踪系统.
版本5.
4.
0.
3和版本5.
4.
1.
2中已解决的问题:安全问题解决了会使客户端连接遭到外部攻击的多个SSLv3漏洞,如CVE-2015-0286、CVE-2015-0287、CVE-2015-0289、CVE-2015-0292和CVE-2015-0293中所述.
安全问题解决了跨站脚本(XSS)漏洞问题,如CVE-2015-0707中所述.
安全问题解决了Linux及其他第三方的多个漏洞问题,如CVE-2011-2699、CVE-2012-2744、CVE-2012-3400和CVE-2015-1781中所述.
安全问题解决了HTTP连接处理漏洞,该漏洞允许用户被重定向到恶意网站,如CVE-2015-0706中所述.
安全问题解决了以下问题:如果FirePOWER7000或8000系列受管设备检查出流量中存在格式不正确的数据包数据,系统可能会出现微引擎故障.
(CSCuu10871、CSCuu26678)如果路由是系列3设备上配置的,系统可以转发源路由IPv4数据包,这样会通过不同于在路由器上配置的路径传输数据包,而且可以避开网络安全措施.
(132121/CSCze88520)解决了以下问题:如果您从生成的事件查看某些文件的威胁评分,系统会错误地将威胁评分报告为数字,而非低、中、高或非常高.
(142290/CSCze93722)改进了URL过滤.
(144198/CSCze94590)解决了以下问题:7000Series设备的被动接口报告的出口安全区和接口不正确.
(144624/CSCze95206)解决了以下问题:如果您在"对象管理"(ObjectManagement)页面中编辑了接口安全区,当堆栈设备配置不是最新版本时,它仍显示为最新版本.
(144626/CSCze94847)解决了以下问题:如果您启用远程存储,并在防御中心上创建预定的邮件警报响应,则预定的邮件警报会禁用远程存储,且远程存储备份会失败.
(145288/CSCze95993)解决了以下问题:如果网络上的用户在地址栏中输入非小写的URL,则包含Web应用条件的访问控制规则与流量不匹配.
(CSCur37364)解决了以下问题:如果将高可用性配置的防御中心添加到系统,会导致辅助防御中心覆盖系统文件列表中现有的SHA-256值.
(CSCur57708)解决了以下问题:如果创建的关联规则会在发生入侵事件或连接事件,且条件将入口安全区、出口安全区、入口接口或出口接口匹配为条件,则系统无法识别您创建的规则,且无法针对与该规则匹配的流量生成事件.
(CSCur59840)改进了多个控制面板构件.
(CSCus11068)解决了以下问题:在Snort重启过程中,系统有时会出现延迟情况.
(CSCus13247)解决了一个漏洞,该漏洞导致采用uuencode编码的邮件的文件名无法显示在文件事件和恶意软件事件中.
(CSCus30831)解决了以下问题:某些HTTPS流量检查会导致误报.
(CSCus32474)解决了以下问题:如果已注册ASAFirePOWER设备的密码包含不受支持的字符,系统会生成内部服务器错误(InternalServerError)消息.
(CSCus68604)解决了以下问题:系统在用户第二次尝试通过HTTP下载可疑文件时才生成恶意软件警报,而不是在用户第一次尝试下载可疑文件时就生成警报.
(CSCus83151)18FireSIGHT系统版本说明已解决的问题解决了以下问题:如果在"用户管理"(UserManagement)页面的"自定义用户角色"(CustomUserRole)选项卡中创建用户角色,系统会禁用某些复选框,但会启用被禁用复选框下的某些可用选项.
(CSCus87248)解决了以下问题:如果文件下载过程受阻并重新下载文件,则系统无法识别文件类型,或者系统会生成不正确的SHA-256值.
(CSCus87799)如果系统在VDB安装后重启或重新加载,且未选中防火墙策略的在应用策略期间检查流量(InspectTrafficDuringPolicyApply)选项,则在重启过程中网络连接可能会断开.
(CSCut08225)解决了以下问题:如果创建的访问控制规则被配置为向外部系统日志服务器发送事件,当系统检测到多个截断的统一文件时,设备会停止向系统日志服务器发送连接事件.
(CSCut14629)提高了SFDatacorrelator在处理过往邮件和eStreamer警报时的性能.
(CSCut23688)解决了以下问题:四端口10Gbps非旁路网络模块上的FirePOWER光纤端口不能可靠地实现与APCONIntellaFlex或IntellaPatch品牌设备之间的链路连接.
(CSCut24654)解决了以下问题:系统在"网络文件轨迹"(NetworkFileTrajectory)页面上显示不正确的文件类型信息.
(CSCut27978)解决了以下问题:在"入侵事件"(IntrusionEvents)表视图中启用"原始客户端IP"列并查看一行或多行时,系统会生成错误.
(CSCut41458)解决了以下问题:"追溯性恶意软件事件"表不包含追溯性恶意软件事件的新旧处置字段.
(CSCut83512)解决了以下问题:如果在不重启SFR5585-X服务卡的情况下重启配置有大量子接口的ASA5585-X设备,SFR5585-X服务卡出现故障.
(CSCut89619)解决了在配置的域名中不包含DNS条目时,Web界面页面无法加载的问题.
(CSCut89714)解决了以下问题:如果您在防御中心遇到云连接中断情况时从防御中心删除恶意软件许可证,系统会连续生成如下运行状况监控器警报:无法连接云(Cannotconnecttocloud).
(CSCut95470)解决了以下问题:配置WindowsTGM代理会导致检测预处理程序中断.
(CSCut95588)禁用多管理器接口配置中的其中一个管理接口不再会禁用通信信道.
(CSCut95915)解决了以下问题:如果您在防御中心启用代理,会造成URL数据库更新下载失败.
(CSCut99976)解决了以下问题:如果链路汇聚组(LAG)被配置为使用链路汇聚控制协议(LACP),当LAG接口遇到大量的广播流量时,LAG接口会进入强制关闭状态.
(CSCuu04209)解决了以下问题:如果云连续检查新的更新,系统会出现问题.
(CSCuu04844)如果您尝试创建名称相同的两个关联策略,系统会生成警报.
(CSCuu14720)解决了以下问题:如果将ASA5585-X设备降级为较旧版本,Linux不会按预期自动降级.
(CSCuu14965)解决了以下问题:系统在"系统负载"控制面板构件中显示不正确的内存使用量.
(CSCuu19742)改进了系列3理设备上适用于简单网络管理协议(SNMP)代理的CPU性能报告.
(CSCuu31029)改进了CPU性能.
(CSCuu35011)解决了以下问题:运行ASA平台版本9.
3(3)或9.
4(1)的ASA5506-X设备如果遇到问题,会停止处理流量.
(CSCuu38535)解决了以下问题:过度使用内存会导致系统重新开始进程,进而可能导致网络连接中断.
(CSCuu88135)解决了以下问题:在从"报告"(Report)页面生成报告时,如果点击可配置的中继主机(RelayHost)选项旁边的"编辑"图标,则网络浏览器会重定向到内部服务器错误网页.
(CSCuv01286)19FireSIGHT系统版本说明已解决的问题早期版本中解决的问题之前解决的问题按版本列出.
版本5.
4.
1.
1和版本5.
4.
0.
2中解决的问题:安全问题解决了会使客户端连接遭到外部攻击的多个SSLv3漏洞,如CVE-2014-3569、CVE-2014-3570、CVE-2014-3572和CVE-2015-0204中所述.
安全问题解决了一个随机脚本注入漏洞,该漏洞使未经身份验证的远程攻击者可以攻击GNUC函数库的DNS解析功能,如CVE-2015-0235中所述.
安全问题解决了多个跨站脚本(XSS)和随机HTML注入漏洞问题.
(CSCus03591、CSCus03762、CSCus04436、CSCus07858、CSCus07875)安全问题解决了通用唯一标识符(UUID)处理方面的一个漏洞问题.
(CSCus06097)解决了以下问题:查看规则文档时,如果在入侵规则编辑器中编辑本地规则,系统会对已生成的事件数据显示当前的本地规则配置,而不显示触发这些数据的规则配置.
(145118/CSCze95346)解决了以下问题:如果您备份和还原防御中心,系统不会备份或还原安全情报对象.
(CSCur42337、CSCur35624)解决了系列3受管设备的以下问题:在设备重启过程中,支持旁路的内联集可能会断开内联连接多达25秒.
(CSCur64678)解决了以下问题:在某些情况下,您无法获得有关URL类别或URL信誉的信息.
(CSCur38971、CSCus59492)解决了以下问题:如果从网络图的"漏洞"(vulnerabilities)选项卡根据客户端应用展开漏洞,系统不会显示关联的主机.
(CSCur86191)解决了以下问题:在某些情况下,如果其中一项访问控制规则操作设置为"拦截"(Block)或"交互拦截"(InteractiveBlock),则主机无法始终显示拦截页面.
(CSCus06868)解决了在使用Windows文件共享(SMB)时,因报告名称中包含不受支持的字符,致使系统不支持生成多个报告类型的问题.
(CSCus21871)解决了以下问题:如果将创建的SSL策略设置为"不解密"(DoNotDecrypt),并尝试建立会话,系统会错误地将该会话报告为"已被拦截",但事实并非如此.
(CSCus41127)解决了以下问题:如果将引用文件策略的访问控制规则置于带有Web应用条件的访问控制规则后面,且所引用的文件策略带有恶意软件拦截规则,则系统无法识别恶意软件文件.
(CSCus64393、CSCus64526)解决了以下问题:如果系统的管理接口和控制接口使用同一个VLAN,而管理接口使用IPv6地址,则管理接口不可用.
(CSCus64678)解决了以下问题:如果系统包含SSL可视性设备(SSLVA)或思科SSL设备,且您创建包含Web应用类别和恶意软件拦截规则的文件策略,则您第一次通过HTTPS下载文件时会失败.
请注意,运行版本3.
8.
4的SSL设备已解决了这个问题.
解决了以下问题:如果应用的访问控制策略引用URL过滤许可证、安全情报许可证或配置为用于检查以下任何设备的SSL策略,则系统会遇到问题:7000Series、ASA5506-X、ASA5506H-X和ASA5506W-X.
(CSCut02823)进一步精简了关联事件表.
(CSCut02984)解决了以下问题:如果在启用了"Spero分析"和"文件捕获"功能的情况下创建文件策略,则系统无法捕获在传入流量中检测到的文件.
(CSCut06837)20FireSIGHT系统版本说明已解决的问题如果应用的访问控制策略具有规则集且使用的都是IPv4源地址,则系统会评估使用IPv6源地址的流量,就好像规则中没有设置源地址一样.
如果应用的访问控制策略具有规则集且使用的都是IPv6源地址,则系统会评估使用IPv4源地址的流量,就好像规则中没有设置源地址一样.
如果应用的访问控制策略具有规则集且使用的都是IPv4目的地址,则系统会评估使用IPv6目的地址的流量,就好像规则中没有设置目的地址一样.
如果应用的访问控制策略具有规则集且使用的都是IPv6目的地址,则系统会评估使用IPv4目的地址的流量,就好像规则中没有设置目的地址一样.
(CSCut48596)解决了以下罕见问题:如果系列3设备检测到流向堆叠设备的流量,则系统会遇到问题,无法处理流量.
(CSCut53335)版本5.
4.
1中解决的问题:安全问题解决了会使客户端连接遭到外部攻击的多个SSLv3漏洞.
该次修复针对CVE-2014-3566.
安全问题解决了一个随机脚本注入漏洞,该漏洞使未经身份验证的远程攻击者可以通过bash执行命令.
该次修复针对CVE-2014-6271和CVE-2014-7169.
安全问题解决了通用唯一标识符(UUID)处理方面的未经授权访问漏洞.
安全问题解决了主机属性的跨站脚本(XSS)漏洞.
安全问题解决了HTML注入漏洞问题.
加快了在应用访问控制策略过程中重新加载Snort配置的速度.
(112070/CSCze87966、CSCur19687)解决了以下问题:如果在创建的SSL策略中,文件"会话未缓存"(SessionNotCached)选项设置为不解密(DoNotDecrypt)或拦截(Block),且SSL会话重用功能已启用,那么,当会话刷新时,系统会在"连接事件"(ConnectionEvents)表视图的SSL状态(SSLStatus)列中显示未缓存会话错误.
(143335/CSCze93608)解决了以下问题:如果向运行版本5.
4的防御中心注册运行版本5.
3.
X的设备,则系统无法显示"入侵事件"(IntrusionEvents)表视图和"连接事件"(ConnectionEvents)表视图的网络分析策略(NetworkAnalysisPolicy)列的数据.
(143349/CSCze94484)解决了以下问题:在设备进入维护模式且遇到电源故障的情况下,如果您尝试重启集群系列3设备,则系统无法恢复.
(143504/CSCze94928)更新了《FireSIGHT系统用户指南》,以反映以下情况:应用访问控制策略可能会导致流量和处理出现短暂中断.
(143514/CSCze94971)访问控制策略现在有以下日志记录功能:在连接开始和结束时进行日志记录、在连接结束时进行日志记录以及连接时不进行日志记录.
(143507/CSCze94975)解决了以下问题:如果系统生成文件事件,系统会在Web界面的多个页面上错误地截断包含冒号的文件事件文件名.
(143666/CSCze94954)解决了以下问题:如果您禁用包含入侵策略或变量集的访问控制规则,而所包含的入侵策略或变量集不同于任何已启用的访问控制规则,那么策略应用会失败,且系统会遇到问题.
(143871/CSCze94114、144635/CSCze95200)改进了生成报告时的磁盘管理器清理能力.
(143933/CSCze94240、143934/CSCze94286)解决了以下问题:单个主机配置文件无法正确显示多个IP地址.
(144259/CSCze94623)解决了以下问题:解密的SSL会话在连接日志中将URL显示为http://而非https://.
(144485/CSCze95739)解决了以下问题:如果创建的自定义网络变量和默认变量具有相同的名称,但两者的名称大写不一样,则系统会误以为自定义变量和默认变量是同一个变量,因此会禁止您删除自定义变量.
(144488/CSCze95591、144544/CSCze95599)解决了以下问题:如果您对DHCP启用防御中心或受管设备的eth1,则系统会在eth0和eth1都启用了DHCP的情况下错误地保存配置.
(144525/CSCze95666)21FireSIGHT系统版本说明已解决的问题解决了以下问题:如果在启用了存档文件类型的设备上应用访问控制规则,且该设备运行低于版本211的漏洞数据库(VDB),则策略应用会失败.
(144533/CSCze95570)解决了以下问题:系统将DNS流量当作OpenVPN、QQ和Viber流量来处理.
(144548/CSCze95536)解决了以下问题:无法禁用规则或数据包延迟阈值计时器.
(144555/CSCze95704)解决了以下问题:如果在连接到8000Series受管设备的网络模块上创建链路聚合组(LAG)接口,然后关闭设备,那么,在关闭设备后删除网络模块会导致错误.
(144576/CSCze95166)解决了以下问题:从系统删除URL过滤许可证会导致云连接中断.
(144578/CSCze95183)解决了以下问题:如果在通过ASA会话命令登录的情况下,在ASA5506-X设备上使用SFRsystemrestartCLI命令,则设备会停止进程,且不会重新开始这些进程.
(144609/CSCze94873)解决了以下问题:网络浏览器会将您创建的HTML报告错误地显示为二进制数据.
(144667/CSCze95195)解决了以下问题:无法导入和导出防御中心策略.
(144806/CSCze95396、144905/CSCze96093)解决了以下问题:为源端口或目标端口定义大量端口会导致策略应用失败.
(144933/CSCze95305)解决了以下问题:系统在更新过程中会遇到FSIC故障.
(144964/CSCze95780)解决了以下问题:如果您尝试在不使用代理选项的情况下建立私有云连接,即使您取消选中"使用代理"(useproxy)选项,系统仍会尝试通过代理连接私有云.
(144968/CSCze95801)解决了以下问题:如果您在管理X-Series设备时尝试下载更新,则自动更新会失败.
(145060/CSCze95372)解决了以下问题:如果您尝试使用下载更新(DownloadUpdates)按钮来更新系统,则用户界面会提供不准确的补丁版本.
(145174/CSCze95284)解决了以下问题:在海拔为2000英尺的位置,AMP8150会发出过大噪音,因为其送风风扇的运行速度为20,000RPM或更快;但报告的风扇转速低至0RPM.
更新BMC固件或应用此更新可解决固件问题;如果要暂时解决问题以便进行更新,请使用ipmimcresetcoldCLI命令重置AMP8150基板管理控制器(BMC).
请注意,重置后,必须重新建立LAN上串行(SOL)会话.
(CSCus59936)解决了以下问题:在裁剪数据以适应窗口(TrimDatatoWindow)选项已启用的情况下,内联规范化预处理程序会错误地调整数据包大小.
(CSCur80901)版本5.
4中解决的问题:安全问题解决了Linux及其他第三方的多个漏洞问题,如CVE-2013-0343、CVE-2013-2164、CVE-2013-2206、CVE-2013-2232、CVE-2013-2234、CVE-2013-2888、CVE-2013-3552、CVE-2013-4387、CVE-2013-4470、CVE-2013-4786、CVE-2007-6750、CVE-2013-7263和CVE-2013-7265中所述.
安全问题解决了多个注入漏洞,包括HTML和命令行注入.
安全问题解决了多个跨站脚本(XSS)漏洞.
安全问题解决了多个跨站请求伪造(CSRF)漏洞.
安全问题解决了多个参数处理和配置错误漏洞.
如果访问控制规则配置为拦截(Block)、拦截并重置(Blockwithreset)、交互拦截(Interactiveblock)、交互拦截并重置(InteractiveBlockwithreset)或监控(Monitor),则选择信誉级别时会同时选择严重性高于所选级别的所有信誉.
如果访问控制规则配置为允许(Allow)或信任(Trust),则选择信誉级别时会同时选择严重性低于所选级别的所有信誉.
(111747/CSCze87908)系统会阻止您使用IPv6地址来配置与用户代理之间的连接.
(124377/CSCze88700)22FireSIGHT系统版本说明已解决的问题解决了以下问题:在某些情况下,系统会在入侵事件性能图表中包含无关的数据.
(124934/CSCze87728)改进了eStreamer绩效指标的功能.
(129840/CSCze89231)解决了以下问题:如果在系统开始修剪之前,磁盘空间使用率超过磁盘空间阈值,则大型系统备份会失败.
(132501/CSCze88368)解决了以下问题:使用RunQuery工具执行SHOWTABLES命令会导致查询失败.
(132685/CSCze89153)解决了以下问题:在某些情况下,对受管设备执行远程备份会在防御中心上生成大量备份文件.
(133040/CSCze89204)您现在可以在受管设备的Web界面中,通过"管理接口"(ManagementInterfaces)页面(系统[System]>本地[Local]>配置[Configuration]>管理接口[ManagementInterfaces])的"接口"(Interface)选项卡编辑最大传输单位(MTU).
不再可以从防御中心受管设备编辑管理接口的MTU.
(133802/CSCze89748)解决了以下问题:在预处理程序选项已启用的情况下,入侵规则针对事件生成的系统日志警报消息会引致SnortAlert消息而非自定义消息.
(134270/CSCze88831)解决了以下问题:如果在启动了快速端口扫描(FastPortScan)和使用来自事件的端口(UsePortfromEvent)选项的情况下配置Nmap扫描补救措施,则补救措施会失败.
(134499/CSCze88810)解决了以下问题:如果在高可用性系统中启用"连接结束"日志记录,而会话提前终止,则系统不会报告会话或报告不正确的时间戳.
(134806/CSCze89822)解决了以下问题:防御中心和云之间的通信问题不会生成运行状况警报.
(134888/CSCze90122)解决了以下问题:如果从"事件视图设置"(EventViewSettings)页面启用解析IP地址(ResolveIPAddresses),系统不会按预期在控制面板或事件视图中解析与IPv6地址相关联的主机名.
(135182/CSCze90155)自定义HTTP响应页面现在最多支持50,000个纯文本字符.
(136295/CSCze90383)解决了以下问题:如果指定之前在运行Windows操作系统的计算机上创建的源URL,系统会在"安全情报"(SecurityIntelligence)选项卡的工具提示中显示不正确的已提交IP地址数量.
(136557/CSCze89888)解决了以下问题:如果禁用受管设备上的物理接口,与该物理接口关联的逻辑接口也会被禁用,但这些逻辑接口在编辑器的"接口"(Interfaces)选项卡中仍显示为绿色.
(136560/CSCze89894)解决了以下问题:如果将访问控制策略应用到多台设备,防御中心会在Web界面的"任务状态"(TaskStatus)页面、"访问控制策略"(AccessControlPolicy)页面和"设备管理"(DeviceManagement)页面上显示不同的任务状态.
(136614/CSCze89936)解决了以下问题:具有TCP协议条件的自定义入侵规则根据UDP流量而非TCP流量生成事件.
(136843/CSCze89941)解决了以下问题:捕获的文件表被错误地列为自定义表库的选项.
(136844/CSCze89977)解决了以下问题:系统对DNP3预处理程序规则145:1、145:2、145:3、145:4、145:5和145:6生成误报.
(137145/CSCze90786)解决了以下问题:如果使用超过40个字符的主机名注册受管设备,设备注册会失败.
(137235/CSCze90144)解决了以下问题:如果在过滤条件中包括任何以下特殊字符,系统无法正确地在对象管理器中过滤对象:美元符号($)、脱字号(^)、星号(*)、方括号([])、竖线(|)、正斜杠(\)、句点(.
)和问号().
(137493/CSCze90413)解决了以下问题:如果在系统策略中启用简单网络管理协议(SNMP)轮询,并且在某个集群受管设备上修改接口配置,则系统会生成错误的SNMP轮询请求.
(137546/CSCze90000)解决了以下问题:在访问控制规则中启用系统日志或简单网络管理协议(SNMP)连接日志记录会导致系统问题.
(137952/CSCze90538)23FireSIGHT系统版本说明已解决的问题解决了以下问题:即使未计算出SHA256值,文件事件的表视图似乎仍支持按文件名查看文件轨迹.
(138155/CSCze90676)解决了以下问题:如果生成HTML或PDF格式的报告,且该报告包含与x轴文件名相同的图表,则系统不会在x轴中显示UTF-8字符.
(138297/CSCze90799)解决了以下问题:在极少数情况下,修改和重新应用入侵策略几百次会导致入侵规则更新和系统更新需要超过24小时才能完成.
(138333/CSCze90747)解决了以下问题:如果尝试将地理位置数据库(GeoDB)更新为防御中心上已安装的版本,则系统会生成错误信息.
(138348/CSCze90813)解决了以下问题:记录到外部系统日志或简单网络管理协议(SNMP)陷阱服务器的连接事件的URL信誉值不正确.
(138504/CSCze91066)解决了以下问题:如果在部署中应用多个访问控制策略,并搜索与特定访问控制规则匹配的入侵或连接事件,会检索到其他策略中不相关的规则生成的事件.
(138542/CSCze91690)解决了以下问题:似乎支持剪切并粘贴访问控制规则.
(138713/CSCze91012)解决了以下问题:如果防御中心运行的是版本5.
3,eStreamer运行的也是版本5.
3,则防御中心上的安全情报事件会错误地混淆目标IP值和源IP值.
(138740/CSCze91402)解决了以下问题:如果将设置为内联模式下丢弃的入侵策略应用到具有被动接口的设备,则系统不会生成有关被忽略的内联规范化设置的警告.
(139177/CSCze91163)解决了以下问题:在极少数情况下,"任务状态"(TaskStatus)页面会将失败的系统策略错误地报告为已成功应用.
(139428/CSCze92142)解决了以下问题:系统不会在系列2备或虚拟设备上执行最大传输单位(MTU)设置.
(139620/CSCze91705)解决了以下问题:如果配置并保存通过其基本策略彼此引用的三个或更多的入侵策略,系统不会更新"入侵策略"(IntrusionPolicy)页面上策略的上次修改(LastModified)日期.
(139647/CSCze91353)解决了以下问题:如果配置并保存一份报告,该报告带有一个包含从使用夏令时(DST)过渡到不使用DST的过渡日的时段,系统会将该时段调整为比指定时间提前1小时开始.
(139713/CSCze91697)解决了以下问题:如果在受管设备的虚拟路由器之间交换接口,则系统不会激活交换接口的休眠静态路由.
(139929/CSCze91619)解决了以下问题:如果未向防御中心注册设备,且防御中心没有数据,那么,查看"入侵事件图表"(IntrusionEventsGraph)页面(概述[Overview]>摘要[Summary]>入侵事件图表[IntrusionEventGraphs])会导致出现以下错误:警告:由于不是内联模式,规范化被禁用(WARNING:normalizationsdisabledbecausenotinline).
(140117/CSCze92324)解决了以下问题:系统允许在外部经过身份验证的用户使用FireSIGHT系统Web界面修改密码.
(140143/CSCze91938)解决了以下问题:无法一次就成功导入自定义HTTPS证书.
(140283/CSCze92162)解决了以下问题:在"安排"(Scheduling)页面(系统[System]>工具[Tools]>安排[Scheduling])上新建任务会导致系统显示授权错误信息.
(140575/CSCze92225)解决了以下问题:旁路模式显示为集群设备的一个选项,即使该选项无法启用.
(140604/CSCze92047)解决了以下问题:以条形图形式创建的报告最多显示10天.
(140833/CSCze92405)解决了以下问题:如果用户密码已过期,"用户管理"(UserManagement)页面上的密码生存期(PasswordLifetime)列会显示负值.
(140839/CSCze92338)24FireSIGHT系统版本说明已知问题解决了以下问题:如果禁用引用入侵策略的访问控制规则,然后重新应用访问控制规则,则系统会错误地指出设备的入侵策略已过时.
(141044/CSCze92012)解决了以下问题:无法删除第三方漏洞.
(141103/CSCze92621)解决了以下问题:系统故意不存储的文件连同失败的文件存储(FailedFileStorage)值错误地显示在事件查看器和控制面板中.
(141196/CSCze92629)解决了以下问题:系统提供的保存的搜索PublicAddressesOnly包含172.
16.
0.
0/12私有IP地址范围.
(141285/CSCze92654)解决了以下问题:如果将防御中心更新为版本5.
4,该更新会覆盖对"连接摘要"(ConnectionSummary)控制面板(概述[Overview]>控制面板[Dashboards]>连接摘要[ConnectionSummary])所做的任何更改.
(141363/CSCze92812)解决了以下问题:报告不会为IP地址解析主机名.
(141393/CSCze92797)解决了以下问题:如果在访问控制策略中启用了HTTP拦截响应,当Web服务器的工作主机达到其打开连接极限时,HTTP拦截响应会导致会话保持打开状态以及Web服务器超时.
(141440/CSCze92753)解决了以下问题:保存太多次入侵策略修订会导致系统性能问题.
(141501/CSCze92792)解决了以下问题:3D9900设备的安全区外的被动接口不会生成入侵事件和连接事件.
(141663/CSCze93022)现在,只需从操作菜单选择将此规则设置为在所有本地创建的策略中生成事件(Setthisruletogenerateeventsinalllocallycreatedpolicies)选项,便可从所生成事件的数据包视图启用规则.
(142058/CSCze93416)解决了以下问题:在极少数情况下,系列3设备会遇到延迟.
(142110/CSCze93561)解决了以下问题:如果防御中心将文件发送到云以在沙盒环境中执行动态分析,而云在50分钟内不可用,则文件状态会保持为已发送供分析而非"超时".
(142309/CSCze93757)解决了以下问题:如果防御中心错误地分配无效的串行信头,则防御中心无法成功地将事件发送到eStreamer客户端.
(143201/CSCze93686)解决了以下问题:如果在"按应用列出的拒绝连接"控制面板构件中点击某个应用,系统不会正常地将得出的事件视图限制为被阻止的连接.
(143376/CSCze93645)解决了以下问题:如果仅以CSV格式生成报告,则报告部分查询会忽略沿用时间窗口的选项.
(143403/CSCze94376)解决了以下问题:如果系统出现丢包情况,则Modbus预处理程序无法生成事件.
(142450/CSCze95921)解决了以下问题:如果创建引用SSL策略的访问控制规则,且该SSL策略设置为用于解密流量,则策略应用会失败.
(144518/CSCze94864)解决了以下问题:如果创建入侵策略或网络分析策略并向其添加共享层,然后导出和导入新策略,则系统会生成后端导入失败错误,且不会导入策略.
(144905/CSCze96093)已知问题版本5.
4.
0.
3和版本5.
4.
1.
2中报告了以下已知问题:在某些情况下,如果尝试导入另一策略引用的策略作为共享层或一个基本策略,策略导入可能会失败.
(144946/CSCze96151)在某些情况下,如果系统在策略应用过程中丢失防御中心与设备之间的连接,"网络发现"(NetworkDiscovery)页面(策略[Policies]>网络发现[NetworkDiscovery])会显示应用到设备(applytodevices).
对此的解决方法是,编辑并重新应用网络发现策略.
(CSCur81583)在系统上运行故障排除可能会导致延迟.
(CSCus19876)25FireSIGHT系统版本说明已知问题如果您无法通过授权代理连接云,但可以通过直接连接进行连接,请联系支持部门.
(CSCus83379)解决了以下问题:如果在启用了动态分析的情况下创建包含文件策略的访问控制策略,当配置的代理端口是端口80时,将会无法连接综合安全情报云来进行动态分析.
(CSCut01361)如果编辑具有多个类别条件的访问控制规则并尝试删除其中一个条件,则Web界面仅删除列出的第一个类别条件,即使您选择了其他条件.
(CSCut25082)在某些情况下,如果防御中心的数据库遇到系统问题,请确认已应用包含访问控制规则的访问控制策略.
如果您发现缺少访问控制策略或规则,请联系支持部门.
(CSCut30047)在某些情况下,如果您在8000Series设备上创建一个被动区,并在此设备上使用showfastpath-rulesCLI命令,在本该报告为活动状态时,系统会将8000Series设备规则报告为非活动状态.
(CSCut32479)"备份/还原"(Backup/Restore)页面(系统[System]>工具[Tools]>备份/还原[Backup/Restore])的"备份管理"(BackupManagement)选项卡不包含已注册的ASA55X5或ASA55X5-SSP-XX设备作为选项.
(CSCut41338)在某些情况下,如果配置高可用性并应用一条引用之前已删除的网络对象或组的访问控制规则,则系统不会识别出该网络对象或组已被删除,且会出现问题.
对此的解决方法是,删除并重新创建包含删除的对象或组的规则,然后应用策略.
(CSCut54187)对于在集群系列3设备上配置的虚拟路由器接口,系统不支持多个标准IP地址.
(CSCut58601)在某些情况下,如果更新高可用性配置的一对防御中心,则辅助防御中心的访问控制策略似乎可能是最新状态,而主防御中心的访问控制策略则不是.
请注意,系统应报告访问控制策略引用的对象和策略的正确状态.
(CSCut63260)在某些情况下,如果RNA映射列表中的最后一个条目是重复的,则SFDatacorrelator会遇到问题.
如果遇到SFDatacorrelator性能问题,请联系支持部门.
(CSCut65738)在某些情况下,如果系统连续两次遇到故障,那么,即使未配置旁路模式,系统仍可能会进入旁路模式而不是尝试从第二次故障恢复,且流量可能会通过而不被检测出.
(CSCut80892)使用Chrome浏览器时,如果尝试在"应用过滤器"(ApplicationFilters)页面(对象[Object]>对象管理[ObjectManagement]>应用过滤器[ApplicationFilters])选择所有应用过滤器,具体做法是,首先选择第一个可用的应用过滤器,然后按住Shift键并点击最后一个可用的应用过滤器,那么,只有选定的那两个应用过滤器处于选中状态.
要包括所有可用的过滤器,必须逐一选择应用.
(CSCut86012)在某些情况下,如果为内联部署配置的传感接口在系统重启时出现故障,则Snort会不断重启.
(CSCut93464)在某些情况下,如果在带有已注册设备的系统上启用配置的多个接口,并在该设备上使用showmanagersCLI命令,则系统会显示错误的IP地址.
(CSCut95947)在某些情况下,3D8xx可能会遇到错误并丢失控制信道和信息信道.
(CSCut98395)对以思科开头的RPM数据包管理器(RPM)文件进行降级处理会导致不能正确地重置RPM安装历史记录.
(CSCut98525)如果在更新设备后遇到系统问题(例如,无法访问设备),请联系支持部门.
(CSCuu01055)如果在使用systemsupportrun-rule-profilingCLI命令时出现堆栈轨迹,请重新应用访问控制策略.
(CSCuu02211)如果在未编辑的情况下将主动访问控制策略重新应用到ASAFirePOWER模块,则策略应用会失败.
(CSCuu14839)在某些情况下,如果您禁用引用入侵策略的访问控制规则,在访问控制策略成功重新应用后,"访问控制"(AccessControl)页面(策略[Policies]>访问控制[AccessControl])会将入侵策略错误地显示为过时状态.
"入侵策略"(IntrusionPolicy)页面(策略[Policies]>入侵[Intrusion]>入侵策略[IntrusionPolicy])会显示正确的策略状态.
(CSCuu15483)26FireSIGHT系统版本说明已知问题如果在"报告"(Reporting)页面(概述[Overview]>报告[Reporting])的"报告模板"(ReportTemplates)选项卡生成报告时选择发送电子邮件(Sendemail)选项,并离开"报告模板"(ReportTemplates)选项卡,然后从"报告模板"(ReportTemplates)选项卡生成另一个报告,发送电子邮件(Sendemail)复选框不会保持选中状态.
(CSCuu41580、CSCuu97750)在某些情况下,如果创建包含地理位置条件的访问控制策略,流量将会无法按预期与该条件匹配.
(CSCuu48800)"文件轨迹"(FileTrajectory)页面(分析[Analysis]>文件[Files]>网络文件轨迹[NetworkFileTrajectory])将带有危害表现的主机的第一个和最后一个主机图标显示为蓝色图标,而非显示为红色图标.
(CSCuu17950)在某些情况下,如果向防御中心注册ASAFirePOWER模块并重启ASAFirePOWER模块,则防御中心与虚拟ASA设备上VMware工具之间的数据信道连接会中断.
对此的解决方法是,重新注册ASA设备.
(CSCuu18450)根据DCE/RPC高级设置中重叠端口设置的使用改进了错误信息警告.
(CSCuu18577)在某些情况下,如果更改了配置为使用DNS名称的云IP地址,系统不会同步更改,并且可能会遇到云连接丢失的问题.
(CSCuu24587)如果在一个物理系列3设备上创建链路聚合组(LAG),则可能会在连接至思科Nexus7k交换机时出现延迟问题.
(CSCuu31626)在某些情况下,如果备份某个防御中心,将备份还原到另一个防御中心,那么,您将无法登录到带有已还原备份的防御中心.
如果在还原备份后无法登录到防御中心,请联系支持部门.
(CSCuu35238)在某些情况下,如果将系统的时区改为UTC东部的一个时区并将包含至少一个非活动周期的关联规则添加至一个关联策略,策略应用失败.
对此的解决方法是,删除旧的关联规则并将时区临时设置为UTC,重新创建包含非活动周期的关联规则并应用策略,然后重新设置时区并重新应用策略.
(CSCuu37600)在某些情况下,如果在集群系列3设备上创建路由接口,并且系统遇到网络故障,则可能会出现路由器连接丢失的问题.
(CSCuu37668)从"设备管理"(DeviceManagement)页面的"接口"选项卡(设备[Device]>设备管理[DeviceManagement]>接口[Interfaces])添加或编辑路由IP地址时,思科冗余协议(SFRP)播发间隔值似乎可编辑,即使实际上不可编辑.
(CSCuu37687)在某些情况下,如果向防御中心注册设备,然后更新注册的设备,那么,使用configuremanageraddCLI命令会禁止防御中心管理注册的设备.
对此的解决方法是,等待设备在更新后自动注册到防御中心.
(CSCuu44265)在某些情况下,如果在设备上使用systemfilecopyCLI命令,可能无法退出CLI提示符.
对此的解决方法是,使用ctr+c使命令退回到提示符.
(CSCuu48793)在某些情况下,如果系统长时间积聚大量流量,可能会导致延迟和流量中断.
(CSCuu52545)在某些情况下,如果在启用了IPv6地址的情况下,将防御中心配置为使用静态IPv4地址,并通过IPv6地址访问防御中心接口,则访问控制策略编辑器页面不会加载.
对此的解决方法是,通过静态IPv4地址查看防御中心Web界面,并删除访问控制策略上作为默认操作的入侵策略以及任何应用访问控制规则,保存该策略,然后继续通过IPv6地址使用防御中心Web界面.
使用IPv4地址对应用的策略进行任何其他更改.
(CSCuu83933)在某些情况下,系统可能会出现错误且无法恢复.
如果系统不稳定且无法通过硬复位恢复,请联系支持部门.
(CSCuu93154)如果在应用URL过滤许可证之后,将产品许可控制面板构件添加至控制面板,则产品许可控制面板构件不会列出URL过滤许可证.
(CSCuu97762)在某些情况下,如果为3D8250设备添加多个许可证,为3D8260设备或同属这个子系列的其他设备添加一个许可证,在查看"许可证"(License)页面(系统[System]>许可证[Licenses])时,系统会错误地列出最近加载的许可证的设备下的所有许可证.
即使"许可证"(License)页面错误地列出非预期设备的许可证,许可证仍可正确地应用.
(CSCuu99789)如果创建的备份具有包含空格的文件名,则无法将备份应用到防御中心.
对此的解决方法是,使备份文件名不包含空格.
(CSCuu99818)27FireSIGHT系统版本说明已知问题在某些情况下,如果尝试从"安全区"(SecurityZones)页面(对象[Objects]>对象管理[ObjectManagement]>安全区[SecurityZones])删除安全区,而ASA5500-X系列设备的已应用访问控制策略中引用了该安全区,那么,系统不会保存更改,且安全区无法删除.
对此的解决方法是,从访问控制策略删除安全区,然后从"安全区"(SecurityZones)页面删除安全区.
(CSCuv40232)在"捕获的文件摘要"(CapturedFileSummary)工作流程(分析[Analysis]>文件[Files]>捕获的文件[CapturedFiles])的表视图中,如果点击包含扩展字符的文件名,会出现内部服务器错误.
(CSCuv40941)如果在没有任何发现事件的防御中心上打开"发现统计信息"(DiscoveryStatistics)页面(概述[Overview]>摘要[Summary]>发现统计信息[DiscoveryStatistics]),会出现内部服务器错误.
(CSCuv42327)早期版本中报告了以下已知问题:在某些情况下,如果在客户端传输文件时进行MicrosoftWindows更新,则无法检测到传输的文件,因为客户端通过不同的会话将文件分成多个部分进行传输,而系统无法重组这些部分来检测完整的文件.
(112284/CSCze88424)无法将总数为4096或更多条的入侵策略(单独或作为访问控制策略的部分)重新应用至单个受管设备.
(134385/CSCze89030)在某些情况下,如果创建SSL规则并启用日志记录,则"连接事件"(connectionevents)页面(分析[Analysis]>连接[Connections]>事件[Events])不会显示URL类别或URL信誉值.
(142878/CSCze93434)如果新建报告(概述[Overview]>报告[Reporting]>报告模板[ReportTemplates]),并在使用InternetExplorer11查看Web界面时尝试插入报告参数,则报告参数不会添加到报告部分描述中.
对此的解决方法是,使用InternetExplorer10.
(142950/CSCze94011)在某些情况下,如果集群系列3设备进入维护模式后遇到电源故障,重启设备并不能使系统恢复正常.
如果设备无法从维护模式成功恢复,请联系支持部门.
(143504/CSCze94928)如果创建的访问控制规则设置为允许引用设置为解密放弃的SSL规则以及设置为"内联模式下丢弃"的入侵规则的流量,则系统会在"入侵事件"(intrusionevents)表视图(分析[Analysis]>入侵[Intrusion]>事件[Events])中将SSL状态错误地显示为Unknown.
(143665/CSCze94947)在某些情况下,访问控制策略似乎已过时,但事实并非如此.
(14412/CSCze95029)在某些情况下,如果在通过ASA会话命令登录的情况下尝试使用SFRsystemrestartCLI命令,设备可能会停止进程,且不会重新开始这些进程.
这个问题影响到除ASA5506-X以外的所有设备.
(143135/CSCze94403)在某些情况下,如果创建具有交互拦截操作的访问控制规则,并启用"连接开始"日志记录或"连接开始"和"连接结束"日志记录,则系统会以用户旁路为理由不记录"连接开始"事件.
(143357/CSCze93672、144167/CSCze94675)在某些情况下,如果将引用两个入侵策略的同一个访问控制策略应用到两台设备,编辑第一个入侵策略,然后将编辑过的策略重新应用到第一台设备,并将这两台设备组成集群,则修改过的入侵策略会在第二台设备上被标记为"已过时".
对此的解决方法是,将同样引用这两个入侵策略的另一个访问控制策略应用到第二台设备.
(144136/CSCze95126)在某些情况下,如果创建引用规则的访问控制策略,且引用的规则带有设置了"交互拦截"操作的HTTP响应页面,那么,当您尝试访问会生成HTTP响应页面的URL时,您将无法在同一个浏览器的其他选项卡中访问相同的网页.
(144419/CSCze95694)在某些情况下,系统在"连接事件"(ConnectionEvents)表视图(分析[Analysis]>连接[Connections]>事件[Events])中可能不显示以下列的策略相关信息:操作(Action)、原因(Reason)、访问控制策略(AccessControlPolicy)、访问控制规则(AccessControlRule)和网络分析策略(NetworkAnalysisPolicy).
(145142/CSCze95299)28FireSIGHT系统版本说明已知问题在某些情况下,系统在"发现统计信息"(DiscoveryStatistics)页面(概述[Overview]>摘要[Summary]>发现统计信息[DiscoveryStatistics])上统计信息摘要的以下行中不显示任何事件:事件总数(TotalEvents)、最后一小时的事件总数(TotalEventsLastHour)和最后一天的事件总数(TotalEventsLastDay).
(145153/CSCze95751)在某些情况下,如果生成入侵事件性能图表(概述[Overview]>摘要[Summary]>入侵事件性能[IntrusionEventPerformance]),并选择最后一小时(LastHour)作为时间范围,则生成的图表为空,而非包含来自"入侵事件"(intrusionevents)表视图的数据.
(145237/CSCze95774)设备可能需要等待很长时间才能接通电源.
(145248/CSCze96068)在某些情况下,如果启用"失效打开"思科冗余协议(SFRP),且该协议设置为仅在高可用性配置的ASA5515模块上进行监控,那么,当设备遇到故障转移时,模块可能会异常地多次从主用模式转变为备用模式.
(145256/CSCze95812)如果使用网络地址转换配置(NAT)运行版本5.
0或更高版本的ASAFirePOWER模块,则系统会错误地处理与所应用的访问控制策略、入侵策略和网络发现策略匹配的数据信道.
(145274/CSCze96017)在某些情况下,如果在高可用性配置系统的"警报"(Alerts)页面(策略[Policies]>操作[Actions]>警报[Alerts])的"高级恶意软件防护"(AdvancedMalwareProtections)选项卡中进行更改,所做的更改可能无法在设备之间正确同步.
(CSCur46711)如果未禁用流量配置文件便删除它,则系统会允许已删除的配置文件继续使用资源而不会产生流量.
(CSCur48345)在某些情况下,如果使用思科冗余协议(SFRP)配置系列3受管设备集群,并应用网络地址转换(NAT)规则,则该集群的主设备和辅助设备都会响应在匹配的流量中检测到的地址解析协议(ARP),但正常情况下应该只有主设备作出响应.
对此的解决方法是,在创建集群设备的NAT规则时,将主设备的SFRP接口指定为主接口,将辅助设备的SFRP接口指定为备用接口.
(CSCur55568)如果创建预定任务以在防御中心上安装新版本的漏洞数据库(VDB),那么,即使已安装了最新的VDB版本,系统也不会发出警报,且每次安排该任务时防御中心都会从主用模式切换到备用模式.
思科不建议启用自动VDB更新.
(CSCur59252)如果在81xxFamily设备上配置入侵策略中的DNS预处理程序时使用无效的IP地址,系统功能可能会成倍地减慢.
要解决此问题,请输入有效的IP地址并重新应用入侵策略.
(CSCur59598)在某些情况下,如果在虚拟设备上配置内联接口对,showtraffic-statisticsCLI命令不会显示该内联接口对中第二个接口的数据.
(CSCur59771)在某些情况下,对于可能已过期或可能已从注册的设备删除的许可证,"设备管理"(DeviceManagement)页面(设备[Devices]>设备管理[DeviceManagement])的"设备"(Device)选项卡显示是(yes),但正常情况下应显示否(no).
(CSCur61884)在某些情况下,如果从"许可证"(licenses)页面(系统[System]>许可证[Licenses])删除保护许可证,系统不会按预期递减使用的许可证数量.
对此的解决方法是,从"设备管理"(DeviceManagement)页面(设备[Devices]>设备管理[DeviceManagement])禁用许可证.
(CSCur61927)无法应用当前应用的访问控制策略中未引用的现有入侵策略.
(CSCur72904)如果有匹配的解压缩数据或非分块数据,那么,即使在ASA5506-X设备上检测到入侵情况,系统也不会生成有关用gzip压缩的HTTP流量或分块的HTTP响应数据的警报.
(CSCur77397)如果创建的入侵策略引用设置为忽略音频/视频数据信道(IgnoreAudio/VideoDataChannel)的网络分析策略,则系统会异常地生成有关会话初始协议(SIP)音频数据的警报.
(CSCur83184)如果将防御中心或受管设备的时间手动配置为过去的时间,则"运行状况监控器"(HealthMonitor)页面(运行状况[Health]>运行状况监控器[HealthMonitor])不会显示警报.
(CSCur85894)在某些情况下,如果将集群系列3受管设备的路由器接口配置为使用私有IP地址和思科冗余协议(SFRP)IP地址,则系统无法识别哪个IP地址是主地址,且不会建立开放最短路径优先(OSPF)连接.
(CSCur86355)29FireSIGHT系统版本说明已知问题在某些情况下,如果在启用了HTTP预处理程序和无限解压缩(UnlimitedDecompression)时创建网络分析策略,且有入侵规则设置为针对用gzip压缩的HTTP流量中的数据发出警报,则系统可能不会针对与应用的入侵规则匹配、超过65535字节解压缩数据的流量生成警报.
(CSCur87659)在某些情况下,如果部署大型数据库,并尝试在防御中心上创建故障排除文件,则系统会利用外部内存来执行该任务,并会生成以下错误:内存不足!
(Outofmemory!
).
(CSCur97450)如果要更新为版本5.
4.
1.
1或更高版本的DC2000和DC4000设备运行的不是BIOS版本2.
0.
1b,则更新会失败.
如果由于防御中心运行较低版本的BIOS而导致更新失败,请联系支持部门.
(CSCus10407)检测Sametime应用时可能会出现误报.
(CSCus17165)您在ASA5585-X设备上不能重置管理员用户的密码.
(CSCus17991)在某些情况下,如果与事件关联的主机已停用,则危害表现(IOC)可能无法从IOC表视图(分析[Analysis]>主机[Hosts]>危害表现[IndicationsofCompromise])删除或解析.
(CSCus24116)在某些情况下,如果应用的SSL策略中引用了单个受信任的证书颁发机构(CA)组或对象,则系统不允许从该策略删除这个组或对象.
对此的解决方法是,向策略添加其他CA组或对象,并从当前SSL策略删除受信任的CA组或对象.
(CSCus42239)如果运行版本5.
4.
1的ASA5506-X设备上未安装URL许可证,或者许可证不可用,则"云服务"(CloudServices)页面(系统[System]>本地[Local]>配置[Configuration])会错误地显示带有时间戳的上次URL过滤更新消息.
(CSCus51935)在某些情况下,如果创建单独URL对象并将其添加到URL组对象,然后修改这个组对象,则单独对象的工具提示不会反映组对象的更新值.
(CSCus51943)在某些情况下,如果在URL许可证不可用或已删除的情况下尝试添加新的URL许可证,则"云服务"(CloudServices)页面(系统[System]>本地[Local]>配置[Configuration])的启用自动更新(EnableAutomaticUpdates)选项默认为不选中,但正常情况下应默认为选中.
(CSCus53842)在某些情况下,如果安装新的入侵规则更新,然后将备份还原到设备,那么,无论入侵策略是在规则更新之前还是之后存在,系统都会错误地生成以下消息:入侵策略已过时(IntrusionPolicyisout-of-date).
(CSCus59479)在某些情况下,如果访问控制策略包含带有::/0的源地址和目的地址,则在仅应允许IPV6流量的情况下,"连接事件"(connectionevents)表视图(分析[Analysis]>连接[Connections]>事件[Events])会包含IPv4和IPv6流量生成的事件.
(CSCus63549)在某些情况下,如果从防御中心将访问控制策略应用到ASA5506-X,且该策略与启用了很多规则的多个入侵策略关联,则策略应用会失败.
对此的解决方法是,减少使用的策略.
入侵策略与变量集的每个唯一组合都算作一个策略,与访问控制策略关联的网络访问策略也算作一个策略.
(CSCus95519)在某些情况下,如果应用引用之前已删除的网络对象或组的访问控制规则,高可用性配置的防御中心不会意识到该网络对象或组已被删除,且会遇到问题.
对此的解决方法是,删除包含已删除对象或组的规则,使用对象重新创建规则,然后应用策略.
(CSCut54187)在某些情况下,如果创建引用大量LDAP组的访问控制规则,且这些组包含访问受控用户,则系统会遇到延迟,且可能不会将流量与规则进行匹配.
对此的解决方法是,限制在LDAP连接中配置的访问受限组数量.
(CSCut56233)在某些情况下,如果为生成的事件创建并编辑搜索,然后在搜索开始之前取消搜索,则系统会重定向到与搜索相关的"事件"页面,并显示错误的搜索名称.
(CSCut63265/CSCuu97738)如果将以下具备FirePOWER服务的思科ASA从版本5.
4.
1更新为版本5.
4.
1.
1,FirePOWER在更新过程中将会不可用:ASA5506-X、ASA506H-X、ASA5506W-X、ASA5508-X、ASA5516-X.
更新设备后,FirePOWER服务便可用.
对此的解决方法是,通过SSH使用tail–f/var/log/sf/Cisco_network_sensor_Patch-5.
4.
1.
1_main_upgrade_script.
log命令观察更新过程,在更新完成后在ASA模块上重启自适应安全设备管理器(ASDM).
(CSCut89599)30FireSIGHT系统版本说明获取帮助获取帮助感谢您选用FireSIGHT系统.
思科支持有关获取文档、使用思科漏洞搜索工具(BST)、提交服务请求和收集思科ASA设备其他相关信息的内容,请参阅《思科产品新特性文档》,网址为:http://www.
cisco.
com/en/US/docs/general/whatsnew/whatsnew.
html.
请订阅《思科产品新特性文档》,该内容以RSS源的形式列出所有新的和经过修订的思科技术文档,并通过阅读器应用直接将内容提供至您的桌面.
RSS源是一种免费服务.
如果有任何疑问或者需要思科ASA设备方面的帮助,请通过以下方式联系思科支持部门:请访问思科支持站点,网址为http://support.
cisco.
com/.
将问题发送至思科技术支持部门的邮箱:tac@cisco.
com.
致电思科支持部门,电话号码为:1.
408.
526.
7209或1.
800.
553.
2447.
获取文档和提交服务请求有关获取文档、使用思科漏洞搜索工具(BST)、提交服务请求和收集其他信息的信息,请参阅思科产品文档更新,其网址为:http://www.
cisco.
com/c/en/us/td/docs/general/whatsnew/whatsnew.
html.
订用思科产品文档更新,其中将所有最新及修订的思科技术文档列为RSS源并通过使用阅读器应用将相关内容直接发送至桌面.
RSS源是一种免费服务.
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标.
要查看思科商标列表,请转至此URL:www.
cisco.
com/go/trademarks.
文中提及的第三方商标为其相应所有者的财产.
"合作伙伴"一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系.
(1110R)本文档中使用的任何互联网协议(IP)地址和电话号码并非实际地址和电话号码.
本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用.
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用.
2015思科系统公司.
保留所有权利.
本文档使用含10%用后废料的再生纸在美国印制出版.
- 更新internal相关文档
- defaultinternalservererror
- Writeinternalservererror
- Myersinternalservererror
- increasedinternalservererror
- 参数internalservererror
- Agents_GetWin32Consoleinternalservererror
VirtVPS抗投诉瑞士VPS上线10美元/月
专心做抗投诉服务器的VirtVPS上线瑞士机房,看中的就是瑞士对隐私的保护,有需要欧洲抗投诉VPS的朋友不要错过了。VirtVPS这次上新的瑞士服务器采用E-2276G处理器,Windows/Linux操作系统可选。VirtVPS成立于2018年,主营荷兰、芬兰、德国、英国机房的离岸虚拟主机托管、VPS、独立服务器、游戏服务器和外汇服务器业务。VirtVPS 提供世界上最全面的安全、完全受保护和私...
咖啡主机22元/月起,美国洛杉矶弹性轻量云主机仅13元/月起,高防云20G防御仅18元/月
咖啡主机怎么样?咖啡主机是一家国人主机销售商,成立于2016年8月,之前云服务器网已经多次分享过他家的云服务器产品了,商家主要销售香港、洛杉矶等地的VPS产品,Cera机房 三网直连去程 回程CUVIP优化 本产品并非原生地区本土IP,线路方面都有CN2直连国内,机器比较稳定。咖啡主机目前推出美国洛杉矶弹性轻量云主机仅13元/月起,高防云20G防御仅18元/月;香港弹性云服务器,香港HKBN CN...
新加坡云服务器 1核2Gg 46元/月 香港云服务器 1核2G 74元/月 LightNode
LightNode是一家成立于2002年,总部位于香港的VPS服务商。提供基于KVM虚拟化技术.支持CentOS、Ubuntu或者Windows等操作系统。公司名:厦门靠谱云股份有限公司官方网站:https://www.lightnode.com拥有高质量香港CN2 GIA与东南亚节点(河内、曼谷、迪拜等)。最低月付7.71美金,按时付费,可随时取消。灵活满足开发建站、游戏应用、外贸电商等需求。首...
internalservererror为你推荐
-
phpcms模板phpcms为什么PHPCMS就是不能出一套好看的默认模板开启javascript如何启用JavaScript?360arp防火墙在哪360ARP防火墙哪里下载?正大天地网二三线城市适合做生鲜b2b电商吗网站后台密码破解我找到了网站的后台地址,怎么才可以破解密码骑士人才系统公司要采购一套人才系统源码,看了一下骑士和嘉缘的,谁家的比较好一点呢?托就不要回答了。discuz论坛discuz论坛要怎么弄discuzx2Discuz! Database Error怎么解决谷歌新漏洞Google hacking???财务单据会计的单据怎么写