H3C SECBLADEIVNGFWS5500-CMW710-R8560P41 版本说明书

目  录

1 版本信息·· 1

1.1 版本号·· 1

1.2 历史版本信息·· 1

1.3 版本配套表·· 1

1.4 ISSU版本兼容列表·· 3

1.5 版本升级注意事项·· 4

2 硬件特性变更说明·· 4

3 软件特性及命令行变更说明·· 4

4 MIB变更说明·· 4

5 操作方式变更说明·· 5

6 版本使用限制及注意事项·· 5

7 License管理·· 6

7.1 License简介·· 6

7.2 License申请及安装·· 6

8 存在问题与规避措施·· 6

9 解决问题列表·· 6

9.1 R8560P41版本解决问题列表·· 6

9.2 R8560P33版本解决问题列表·· 6

9.3 R8560P27版本解决问题列表·· 8

9.4 R8560P20版本解决问题列表·· 8

9.5 R8560P18版本解决问题列表·· 13

9.6 A8560P1213版本解决问题列表·· 15

9.7 R8535P2415版本解决问题列表·· 16

9.8 R8535P2412版本解决问题列表·· 16

9.9 F8535P16版本解决问题列表·· 16

9.10 E8535P08版本解决问题列表·· 16

9.11 R8523P21版本解决问题列表·· 16

9.12 R8523P16版本解决问题列表·· 16

10 相关资料·· 16

10.1 相关资料清单·· 16

10.2 资料获取方式·· 17

11 技术支持·· 17

附录 A 本版本支持的软、硬件特性列表·· 18

A.1 版本硬件特性·· 18

A.2 版本软件特性·· 19

附录 B 修复的安全漏洞·· 22

B.1 R8560P41及以前版本修复的安全漏洞·· 22

附录 C 版本升级操作指导·· 24

C.1 NGFW插卡与主网络设备适配关系·· 24

C.2 设备软件简介·· 26

C.2.1 BootWare程序·· 26

C.2.2 启动软件包·· 26

C.2.3 配置文件简介·· 27

C.3 软件升级方式简介·· 27

C.4 升级前的准备·· 27

C.5 升级启动文件·· 28

C.5.1 通过命令行升级启动文件·· 28

C.5.2 通过BootWare菜单升级启动文件·· 34

C.6 升级BootWare文件·· 38

C.6.1 通过命令行升级BootWare文件·· 38

C.6.2 通过BootWare菜单升级BootWare文件·· 39

C.7 通过BootWare菜单进行文件管理·· 41

C.8 软件升级失败的处理·· 45

表目录

表1 历史版本信息表....................................................................................................................... 1

表2 版本配套表.............................................................................................................................. 2

表3 ISSU版本兼容列表................................................................................................................. 3

表4 MIB文件变更说明................................................................................................................... 4

表5 LSPM6FWD、LSPM6FWDB硬件特性.................................................................................. 18

表6 LSPM6FWD8属性(分销S5500交换机SecBlade NGFW 模块)............................................. 18

表7 产品软件特性........................................................................................................................ 19

表8 NGFW插卡型号以及适配的网络主机表................................................................................. 24

表9 软件升级方式简介................................................................................................................. 27

表10 显示信息描述表................................................................................................................... 35

表11 BootWare主菜单................................................................................................................. 35

表12 以太网口子菜单................................................................................................................... 36

表13 以太网参数设置说明............................................................................................................ 37

表14 BootWare操作菜单............................................................................................................. 39

表15 BootWare操作以太网子菜单............................................................................................... 40

表16 文件控制子菜单................................................................................................................... 41

本文介绍了R8560P41版本的特性、使用限制、存在问题及规避措施等，在加载R8560P41版本前，建议您备份配置文件，并进行内部验证，以避免可能存在的风险。

本文档需和随版本发布的《H3C SECBLADEIVNGFWS5500-CMW710-R8560P41版本说明书(软件特性变更说明)》，以及本文“10  相关资料”中的文档一起配合使用。

1  版本信息

1.1  版本号

版本号：Comware Software, Version 7.1.064, Release 8560P41

注：该版本号可在命令行任何视图下用display version命令查看，见注①。

1.2  历史版本信息

表1 历史版本信息表

1.3  版本配套表

表2 版本配套表

示例：查看SecBlade IV NGFW的软件版本和BootWare版本号方式如下：

<Sysname> display version   

H3C Comware Software, Version 7.1.064, Release 8560P41     

Copyright (c) 2004-2023 New H3C Technologies Co., Ltd. All rights reserved.

H3C SecBlade IV NGFW Module uptime is 0 weeks, 1 day, 0 hours, 4 minutes

Last reboot reason: User reboot                                                    

Boot image: sda0:/BLADE4FW-73-CMW710-BOOT-R8560P41.bin

Boot image version: 7.1.064, Release 8560P41 

Compiled Nov 06 2023 14:00:00

System image: sda0:/BLADE4FW-73-CMW710-SYSTEM-R8560P41.bin

System image version: 7.1.064, Release 8560P41 

Compiled Nov 06 2023 14:00:00

Feature image(s) list: 

sda0:/BLADE4FW-73-CMW710-SECESCAN-R8560P41.bin, version: 7.1.064   

Compiled Nov 06 2023 14:00:00

SLOT 2                                                                         

Uptime is 0 weeks, 0 days, 2 hours, 17 minutes                                  

CPU type:           Multi-core CPU                                             

DDR3 :               4080M bytes                                               

SD0:                7695M bytes                                                 

Board Top    PCB Version:  Ver.A                                               

Board Bottom PCB Version:  Ver.B                                               

CPLD Version:       6.0                                                         

Release Version:    SecBlade IV FW Enhanced Module-8560P41                    

Basic  BootWare Version:1.05        ----注②                                     

Extend BootWare Version:1.05

H3C SecBlade IV NGFW Module V800R005B06D660SP41        

Comware V700R001B64D060SP41

1.4  ISSU版本兼容列表

ISSU（In-Service Software Upgrade，不中断业务升级）升级分为兼容性升级和不兼容性升级。由于18个月以上的版本不进行兼容性验证，下表仅列出本版本与18个月以内的历史版本之间的ISSU升级方式。关于ISSU的详细介绍，请参见与设备配套的“基础配置指导”中的“ISSU”。

表3 ISSU版本兼容列表

1.5  版本升级注意事项

无

2  硬件特性变更说明

无

3  软件特性及命令行变更说明

有关本版本及历史版本的软件特性及命令行的变更信息说明，请参见随版本发布的文档《H3C SECBLADEIVNGFWS5500-CMW710-R8560P41版本说明书(软件特性变更说明)》。

4  MIB变更说明

表4 MIB文件变更说明

5  操作方式变更说明

无

6  版本使用限制及注意事项

在更新软件版本之前，强烈建议您通过《H3C SECBLADEIVNGFWS5500-CMW710-R8560P41版本说明书(软件特性变更说明)》了解版本间的软件特性变更情况，评估变更可能对业务造成的影响，同时请查阅相关的配套资料：

(1)      浏览器支持Chrome 31及以上版本、Firefox 19及以上版本、Safari 5及以上版本、Internet Explorer 9及以上版本。

(2)      SSL VPN Web接入方式，部分资源内容还不能进行URL改写。

(3)      DPI业务不支持热备，ISSU升级过程中，老会话会出现Bypass的情况。同时， DPI业务在ISSU升级时不满足2秒内的性能规格，仍然需要2分钟左右。

(4)      RTSP ALG对于setup报文载荷中的目的地址无法进行转换。

(5)      不支持web与命令行混用，对于同一个特性模块，不能同时既使用命令行，又使用WEB进行配置；

(6)      安全策略（默认加速）和对象策略开启加速的情况下，一条rule引用服务对象组嵌套的情况下，会将所有的源端口和目的端口进行或操作（如源端口是0到65535，目的端口是0到65535，开启加速算完之后会变成源目的端口都是0到65535），导致流量全通。

(7)      在同一设备上，一条报文流不能既做NAT又做AFT。

(8)      AFT不支持双机热备、不支持VLAN口、子接口、成员口子接口的冗余口、Context下的共享口。

(9)      关于手工升级AV/URL特征库的使用说明：官网AV和URL区分大小库，名称中包含h的为大库，否则为小库。比如V7-AV-H-1.0.68.dat为大库，V7-AV-1.0.68.dat为小库。 用户手工升级AV和URL特征库时，设备内存8G以上，同时存储介质(Flash, SD卡，CF卡等)容量为1G以上才能默认升级大库，否则只能默认升级小库。

7  License管理

7.1  License简介

License即授权，指新华三技术有限公司授予用户使用特定软件功能的合法权限。

产品需要通过License授权的软件功能以及License授权的相关属性，请参见产品配套的《H3C SecBlade FW&IPS插卡产品 License支持情况说明》。

7.2  License申请及安装

H3C网站提供License的激活申请、设备授权迁移申请等功能：

http://www.h3c.com/cn/License

有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息，请参见《H3C 安全产品 License注册演示视频》、《H3C 安全产品 License注册演示图解》、《H3C 安全产品 License注册演示典型配置举例》和《H3C 安全产品 License使用指南》。

H3C提供了License相关的FAQ，如您在操作过程中遇到问题，可查阅《H3C 安全产品 License注册用户FAQ》。

8  存在问题与规避措施

·              无。

9  解决问题列表

9.1  R8560P41版本解决问题列表

1. 202208270490

·              问题现象：icmp-error的debug不受acl控制直接刷屏。

·              问题产生条件：打开session相关的debug。

9.2  R8560P33版本解决问题列表

1. 202208270490

·              问题现象：icmp-error的debug不受acl控制直接刷屏。

·              问题产生条件：打开session相关的debug。

2. 202208221416

·              问题现象：概率性出现context挂住在STATICRT4/STATICRT6进程20min后才能恢复。

·              问题产生条件：context内配置静态路由1k+,聚合子接口1k+，拷机反复启停context。

3. 202203211334

·              问题现象：ipsec策略会一直处于加载中。

·              问题产生条件：新建ipsec策略，保护数据流下发后会生成一条acl，此时返回acl编辑，添加一条策略引用地址对象，返回点击ipsec策略。

4. 202110110730

·              问题现象：使用终端工具登录设备，显示乱码。

·              问题产生条件：设备配置lldp，lldp邻居查看lldp list。

5. 202212061332

·              问题现象：rbm双机组网下，sslvpn登出后用户残留。

·              问题产生条件：rbm双机组网下，进行双机主备倒换，sslvpn用户登出。

6. 202302021535

·              问题现象：使用mib读取接口下的CRC错包节点失败。

·              问题产生条件：使用mib工具读取设备接口下CRC错包节点。

7. 202301130123

·              问题现象：设备web概览页面卡死。

·              问题产生条件：反复操作设备概览页面，小概率出现问题。

8. 202210271302

·              问题现象：点击配置管理提示请求异常。

问题产生条件：设备连接云平台，点击配置管理。

9. 202211151880

·              问题现象：删除对象组，命令行挂死。

问题产生条件：设备连配置地址对象组并在ACL中引用，删除ACL后继续删除地址对象组。

10. 202208290804

·              问题现象：2123批次SKYHIGH EMMC存在概率性异常，EMMC会无法正常读写。

·              问题产生条件：2123批次SKYHIGH EMMC默认设置为Backgroud Auto Scan模式。

11. 202212280029

·              问题现象：设备起来后光口模式下下LED灯黄灯和绿灯都亮。

·              问题产生条件：F1010替代单板设备正常启动。

12. 202202161032

·              问题现象：设备ipsec协商失败。

·              问题产生条件：设备配置ipsec，且ipsec引用的acl进行加速。

13. 202211171041

·              问题现象：设备无法显示ntop日志。

·              问题产生条件：设备上安全策略日志开启快速日志。

14. 202212220028

·              问题现象：web界面资产安全分析无近期数据。

·              问题产生条件：使用设备web进行资产安全分析。

15. 202203310348

·              问题现象：web界面系统日志没有信息显示。

·              问题产生条件：登录设备页面，查看系统日志。

16. 202209151648

·              问题现象：custom host相关配置会丢。

问题产生条件：跨版本升级走文本配置恢复，custom host相关配置除了ip信誉的其他的都会丢。

17. 202209230343

·              问题现象：服务器证书无法导入。

·              问题产生条件：内网服务器证书校验错误，服务器证书无法导入。

9.3  R8560P27版本解决问题列表

1. 202203211334

·              问题现象：ipsec策略会一直处于加载中。

·              问题产生条件：新建ipsec策略，保护数据流下发后会生成一条acl，此时返回acl编辑，添加一条策略引用地址对象，返回点击ipsec策略。

2. 202201211282

·              问题现象：无法通过其他合法X-Forwarded-For字段获取真实IP。

·              问题产生条件：配置真实IP检测结果取X-Forwarded-For最后一个地址，HTTP报文存在多个X-Forwarded-For字段且最后一个X-Forwarded-For字段不合法时。

3. 202203230475

·              问题现象：导出本地秘钥对报错。

·              问题产生条件：输入满长的合法字符后导出时会自动添加前缀长度。

4. 202203220866

·              问题现象：配置无法下发，查询功能处理也有问题。

·              问题产生条件：源地址池对于合法的ipv6地址校验有误。

5. 202203151300

·              问题现象：主机用户context的VRRP没有回应ARP给到RBM导致状态一直处于backup，无法回切流量不通。

·              问题产生条件：RBM+VRRP主备组网，当备机异常使得RBM心跳线Down后。

9.4  R8560P20版本解决问题列表

1. 202011190266

·              问题现象：SSLVPN没有放通本机辅助安全策略。

·              问题产生条件：SSLVPN放通本机辅助安全策略。

2. 202201050510

·              问题现象：secp进程用户态内存泄露。

·              问题产生条件：设备创建vsys后，反复重启vsysd进程。

3. 202201071326

·              问题现象：添加删除nat配置影响当前链接。

·              问题产生条件：新需求“添加删除nat配置不影响当前链接，只对新建链接生效”。

4. 202112170420

·              问题现象：ipv6的AVC限速不生效。

·              问题产生条件：开启inspect bypass。

5. 202112131792

·              问题现象：进程启动失败。

·              问题产生条件：加载dev包文件。

6. 202112280142

·              问题现象：sslvpn的外网侧连接死锁业务板重启。

·              问题产生条件：设备从内网服务器收到报文后，通过sslvpn-ac口送给sslvpn模块转发，在调用TCP发送后，又送给了SSLVPN-AC口，重入了转发。

7. 202112290093

·              问题现象：ipv6接入资源中的路由列表表项配置不能实备。

·              问题产生条件：RBM组网，context下。

8. 202112281005

·              问题现象：view /proc/cpuinfo里面增加厂商信息和cpu具体型号信息。

·              问题产生条件：新需求。

9. 202107200142

·              问题现象：设备概率性死循环重启。

·              问题产生条件：设备在热插拔u盘的时候。

10. 202201050371

·              问题现象：同一个三元组流的分片报文和非分片报文不能按照三元组分流上送同一个核处理。

·              问题产生条件：CN78XX CN73XX CPU设备配置三元组分流。

11. 202201040678

·              问题现象：域名方式时无法发送邮件。

·              问题产生条件：邮件服务器中邮件服务器地址配置为域名方式时。

12. 202112310060

·              问题现象：新建日志主机中的安全策略日志应修改为安全策略配置日志防止混淆。

·              问题产生条件：WEB上系统-日志配置-基本配置-快速日志。

13. 202112221291

·              问题现象：无法命中规则。

·              问题产生条件：配置IPS策略，打入符合特征的攻击报文（subac带care_all选项）。

14. 202201050068

·              问题现象：web只能显示主墙的检查结果；根墙只能显示主墙的结果，都未显示虚墙是否一致，实现不合理。

·              问题产生条件：RBM配置信息一致性检查。

15. 202201050068

·              问题现象：内存需进行优化。

·              问题产生条件：混合流量下开启数据过滤功能，单板1.5W/s新建17W会话并发下业务板反复进出内存门限，NTOP进程所在业务板NTOP进程用户态占用约3G左右。

16. 202112231404

·              问题现象：打入相同URI的流量无法命中CC攻击。

·              问题产生条件：CC攻击防护路径为8的倍数时。

17. 202201040066

·              问题现象：设备业务板死机进kdb。

·              问题产生条件：打入应用层流量，将app-profile下的waf策略从default切换到带CC防攻击的自定义waf策略。

18. 202112151220

·              问题现象：带宽策略未显示完整或不显示ipv6报文流标签及扩展报文头。

·              问题产生条件：配置带有多个ipv6扩展头的带宽策略，高级查询的查询结果中。

19. 202112221169

·              问题现象：URL分类搜索不支持模糊匹配和精准匹配“cisco”。

·              问题产生条件：URL分类搜索需要支持模糊匹配和精准匹配“cisco”。

20. 202112210283

·              问题现象：保存配置后重启此用户context报启动超时context起不来。

·              问题产生条件：用户context下创建vsys，vsys下创建安全策略。

21. 202110270540

·              问题现象：创建服务对象组无法达到1024规格。

·              问题产生条件：当前服务对象组与协议端口共用1024的规格，实际创建时在满足条件的基础上会提示达到上限，无法创建成功。

22. 202112231548

·              问题现象：不支持icmp日志输出国电日志格式。

·              问题产生条件：新需求，需要支持icmp日志输出国电日志格式。

23. 202112281054

·              问题现象：重新配置目的地址转换动作为no-nat无法配置。

·              问题产生条件：配置全局NAT双向转换规则，先配置目的地址转换动作为no-nat，然后配置源地址转换动作并绑定vsys，再将目的地址转换动作删除。

24. 202112070212

·              问题现象：RBM重新连接后切换记录记录的切换原因是Local device rebooted，但是设备并没有重启。

·              问题产生条件：RBM组网下，在主墙下删除RBM配置再重新下发RBM配置。

25. 202112240054

·              问题现象：DR优先级配置成0后下发不生效。

·              问题产生条件：WEB-ADVPN-VAMC-隧道配置。

26. 202112280141

·              问题现象：统计计数，一部分有计数，一部分没计数。

·              问题产生条件：多业务板卡，出接口nat匹配统计计数。

27. 202112150914

·              问题现象：重启备机context，启动完成后会话没有批备到备机。

·              问题产生条件：RBM+Context组网，关闭配置信息自动备份功能情况下。

28. 202112231515

·              问题现象：两个不同版本间有会话同步问题。

·              问题产生条件：RBM环境下，两个不同版本间有会话同步问题，请进行兼容性处理。

29. 202112020108

·              问题现象：匹配全局NAT流量下冗余切换内存分配异常进入KDB。

·              问题产生条件：GRE隧道打入分片的应用层协议流量，开启ALG。

30. 202112020998

·              问题现象：备设备不同步，导致主备配置不一致。

·              问题产生条件：VRRP双机热备组网，nat policy（基于对象组的动态nat、基于对象组的动态nat444）配置，主设备上配置后备设备同步，但主设备上删除配置。

31. 202112280140

·              问题现象：输入26个字母及0-9数字进行查询，c/d/e/i/o/r/s/t/v/y/3/7查询无效。

·              问题产生条件：SSLVPN 模板管理的WEB页面。

32. 202112280071

·              问题现象：web只能显示主墙的检查结果；根墙只能显示主墙的结果，都未显示虚墙是否一致，实现不合理。

·              问题产生条件：RBM配置信息一致性检查。

33. 202112170459

·              问题现象：context,Context下的实备功能不生效。

·              问题产生条件：RBM主备组网下，先在备设备上建立Context起来后，在在主设备上建立同名同id的context,Context。

34. 202112201465

·              问题现象：二层转发环境，sctp报文不通，cookie_Ack被丢弃。

·              问题产生条件：F1090等小端设备。

35. 202112231552

·              问题现象：trace.log日志中报NAT66模块日志。

·              问题产生条件：出接口配置nat outbound，打v4/v6混合流量。

36. 202112141220

·              问题现象：打开web界面安全策略---编辑---查看安全域Vlan79属于未选中。

·              问题产生条件：命令行下创建安全域Vlan79,安全策略引用安全域为vlan79。

37. 202112210016

·              问题现象：定制功能失效。

·              问题产生条件：清空flash下custom.conf文件中的内容使其变成大小为0字节的文件。

38. 202111110695

·              问题现象：0x81d0049(sslvpn)内存泄露。

·              问题产生条件：反复点击发送短信验证码但不进行登录操作。

39. 202110290592

·              问题现象：0x81d004b内存长时间不释放。

·              问题产生条件：未绑定手机号用户首次登录时发送绑定手机号的验证码后无认证超时限制。

40. 202110110494

·              问题现象：打攻击流量设备出现断言。针对各邮件协议发生app-change时，AC匹配概率性存在失败。

·              问题产生条件：打攻击流量设备出现断言。针对各邮件协议发生app-change时，AC匹配概率性存在失败。

41. 202112100911

·              问题现象：主备倒换后，iNode自动重连失败，同时出现iNode卡顿或卡死的情况。

·              问题产生条件：IRF冗余主备组网，使用最新的E0585版本INode做短信认证。

42. 202201040767

·              问题现象：单板不进行伪模块告警。

·              问题产生条件：在LSQM2FWDSC0上插入 未写入电子标签的SFP+光模块时。

43. 202112310056

·              问题现象：正常的ipv6报文被识别为非法报文丢弃。

·              问题产生条件：携带hop by hop +dest扩展头的正常的ipv6报文。

44. 202112150013

·              问题现象：ATK模块导致业务板异常重启。

·              问题产生条件：Context启停操作。

45. 202112291376

·              问题现象：ntop进程异常生成core文件。

·              问题产生条件：开启对应的日志开关并打入匹配审计和ips的流量日志。

46. 202110290703

·              问题现象：主设备因访问非法地址导致进kdb。

·              问题产生条件：IRF主备组网，流量压力下跑脚本重启自定义context。

47. 202108160775

·              问题现象：IPsecPolicy模式下对于IPSEC感兴趣流，缺省不进行源NAT转换。

·              问题产生条件：新需求。

48. 202201050830

·              问题现象：合入aft支持热备项目。

·              问题产生条件：新需求。

9.5  R8560P18版本解决问题列表

1. 202104131908

·              问题现象：多台设备出现重启后读写flash执行失败。

·              问题产生条件：设备反复上下电+反复读写FLASH验证，fixdisk flash 修复指令下发后继续反复读写无问题。

2. 202003090454

·              问题现象：L2TP接入用户的上下线不生成日志。

·              问题产生条件：L2TP接入用户的上下线。

3. 202004071275

·              问题现象：aclmgrd进程异常退出，并产生相应的core文件。

·              问题产生条件：设备流量下无任何操作。

4. 202107100405

·              问题现象：配置日志，联机帮助跳转错误。

·              问题产生条件：web上系统--日志设置---安全策略配置日志，联机帮助跳转错误，故障处理的联机帮助内容为空，更改菜单结构，请统一修改并排。

5. 202105271073

·              问题现象：RBM备份信息有误。

·              问题产生条件：RBM组网，删除context的配置不同步，vlan-unshared模式context创建后，备机同步的是vlan-shared模式。

6. 202104250322

·              问题现象：组播数据较多时不方便查看。

·              问题产生条件：组播路由界面不显示总条数不分页，当数据较多时不方便查看；igmp组播组界面为树形显示，但二级目录无法收起，数据多时不方便查。

7. 202103231677

·              问题现象：设备产生deadloop异常。

·              问题产生条件：大流量压力下，设备处于内存和CPU门限下，在bash下，打开printk开关，反复进行升级特征库，清除会话等操作，设备产生deadloop异常。

8. 202101290361

·              问题现象：IRF主备组网，context一直处于stoping状态。

·              问题产生条件：IRF主备组网，流量下重启虚墙后可能有流程拿锁但是没释放导致context一直处于stoping状态。

9. 202012031603

·              问题现象：产生一个core文件。

·              问题产生条件：没有流量、没有操作情况下，F1000-AI-80设备每隔10分钟左右产生一个core文件。

10. 202012280703

·              问题现象：备机异常重启。

·              问题产生条件： IRF主备组网，流量压力下长时间跑脚本进行冗余主备切换，可能由于atk慢速攻击模块访问非法地址导致设备进kdb。

11. 202110191203

·              问题现象：端口无法up。

·              问题产生条件：Marvell PHY 88E1680芯片出的所有接口对接S6800-54交换机时，自协商无法完成，导致端口无法up。

12. 202110120308

·              问题现象：设备启动恢复需很长时间。

·              问题产生条件：设备配置6万条URL过滤黑名单，重启设备后，配置检查重复导致设备启动恢复需很长时间。

13. 202110260796

·              问题现象：僵尸网络日志动作有误。

·              问题产生条件：av策略配置重定向动作，测试仪打入病毒流量，产生的威胁日志动作为重定向，但是产生的僵尸网络日志动作为允许。

14. 202110181190

·              问题现象：安全策略引用ipv6全范围地址段对象不生效。

·              问题产生条件：安全策略引用ipv6全范围地址段对象不生效。

15. 202108091276

·              问题现象：内存越界或访问释放后内存导致进kdb。

·              问题产生条件：irf主备组网，流量下拷机六个小时后主设备内存越界或者512字节大小内模块访问释放后内存导致进kdb。

16. 202110191133

·              问题现象：NAT66/NAT64引用ipv6全范围地址段对象不生效。

·              问题产生条件：NAT66/NAT64引用ipv6全范围地址段对象不生效。

17. 202111080021

·              问题现象：威胁日志加入白名单时不生效。

·              问题产生条件：威胁日志加入白名单时要开启白名单并激活一下才能生效，请再web上添加提示信息。

18. 202110260900

·              问题现象：web无法访问。

·              问题产生条件：实服务组以及其内的成员中均添加大量的自定义监控策略后，会产生xmlcfgd的core文件，此时会将对应的文件删除导致web无法访问。

19. 202111010839

·              问题现象：主设备重启。

·              问题产生条件：IRF组网下，配置TCP代理、全局nat、应用审计等安全业务，自定义context中打ftp和UDP流量，跑主备倒换脚本后重启堆叠主设备，主设备起来后又deadloop重启。

20. 202110271153

·              问题现象：配置不备份。

·              问题产生条件：VRRP+RBM主备组网，web配置SSLVPN资源组名称带空格字符，配置不备份。

21. 202110271511

·              问题现象：web页面为空，授权资源失败。

·              问题产生条件：VRRP+RBM主备组网，主设备新建一个字典序大的SSLVPN资源组B并授权，再新建一个小的字典序SSLVPN资源组A不授权，重启备设备，等备设备起来后，在主设备登录SSLVPN的web网关，主备倒换后，刷新web页面为空，授权资源失败。

22. 202108041387

·              问题现象：主设备访问非法地址进kdb。

·              问题产生条件：irf主备组网，两个自定义context均配置tcp应用代理，打入匹配的http流量一段时间后执行reboot虚墙。

23. 202109290284

·              问题现象：http流量，命不中url过滤策略。

·              问题产生条件：安全策略中引用http的应用，测试仪打入http流量，命不中url过滤策略。

24. 202110180794

·              问题现象：威胁日志加入白名单时不生效。

·              问题产生条件：威胁日志加入白名单时要开启白名单并激活一下才能生效，请再web上添加提示信息。

9.6  A8560P1213版本解决问题列表

无

9.7  R8535P2415版本解决问题列表

1. 202106180254

·              问题现象：web页面流量用户排行和流量应用排行统计问题。

·              问题产生条件：web页面，流量用户排行和流量应用排行是对最近一个小时已经老化的会话流量统计，当前的页面客户认为是一个累加的值，能够实时的将用户流量反应出来，需要优化页面，描述清楚，以免造成误解。

9.8  R8535P2412版本解决问题列表

1. 202009250032

·              问题现象：h3c的FW设备加载到SSM-G2平台，从平台登录web，跳转失败，不能从SSM-G2平台登录web。

·              问题产生条件：h3c的FW设备加载到SSM-G2平台，从平台登录web，跳转失败，不能从SSM-G2平台登录web。

9.9  F8535P16版本解决问题列表

无

9.10  E8535P08版本解决问题列表

无

9.11  R8523P21版本解决问题列表

无

9.12  R8523P16版本解决问题列表

无

10  相关资料

10.1  相关资料清单

·              H3C LSPM6FWDB 单板手册

·              H3C LSPM6FWD8 单板手册

·              H3C SecPath F1000[F5000][FW插卡][vFW]系列防火墙 配置指导(V7)(R8X60 R9X60 E8X60 E9X60 E1185)

·              H3C SecPath F1000[F5000][FW插卡][vFW]系列防火墙 命令参考(V7)(R8X60 R9X60 E8X60 E9X60 E1185)

·              H3C SecPath F100[F1000]系列防火墙 命令参考(V7)(R8560 R8860 R9360 R9560 R9660)

·              H3C SecPath F100[F1000]系列防火墙 配置指导(V7)(R8560 R8860 R9360 R9560 R9660)

·              H3C SecPath 防火墙产品 Web配置指导(RXX60 EXX60 E1185)(V7)

·              H3C 安全产品 日志信息参考(V7)(R8X60 R9X60 E1185)

10.2  资料获取方式

您可以通过H3C网站（www.h3c.com）获取最新的产品资料：

(1)      请访问网址：http://www.h3c.com/cn/Technical_Documents；

(2)      选择产品类别和产品型号，即可查询和下载与该产品相关的手册。

11  技术支持

用户支持邮箱：service@h3c.com

技术支持热线电话：400-810-0504（手机、固话均可拨打）

网址：http://www.h3c.com

附录 A 本版本支持的软、硬件特性列表

A.1 版本硬件特性

表5 LSPM6FWD、LSPM6FWDB硬件特性

表6 LSPM6FWD8属性(分销S5500交换机SecBlade NGFW 模块)

A.2 版本软件特性

表7 产品软件特性

附录 B 修复的安全漏洞

B.1 R8560P41及以前版本修复的安全漏洞

1. CVE-2017-3735

攻击者可利用该漏洞绕过安全限制，执行未授权的操作。

2. CVE-2019-3855

libssh2 输入验证错误漏洞libssh2是一款实现SSH2协议的客户端C库，它能够执行远程命令、文件传输，同时为远程的程序提供安全的传输通道。

3. HSVD-201904-001

TCP/IP SYN + FIN包过滤漏洞，远程主机不会丢弃设置了FIN标志的TCP SYN数据包。根据您使用的防火墙类型，攻击者可能会使用此漏洞绕过其规则。

4. HSVD-201902-001

远程主机利用TCP timestamp漏洞，获取正常上线运行时间。

5. HSVD-201901-016

CVE-2019-548：Linux kernel信息泄露漏洞。

6. javascript框架库漏洞

javascript框架库漏洞和目标URL存在内部IP地址泄露漏洞。

7. CVE-2020-10188

netkit telnet是一款使用在Linux平台中的telnet客户端程序。该程序主要用于使用TELNET协议与另一个主机进行交互通信。Netkit telnet  0.17及之前版本中的telnetd的utility.c文件存在缓冲区错误漏洞。远程攻击者可利用该漏洞执行任意代码。

8. WEB js漏洞

Web漏扫发现js的中微漏洞。

9. WEB CSRF漏洞

SSLVPN Web页面存在CSRF漏洞。

10. HTTP方法漏洞

通过调用OPTIONS方法，可以确定每个目录上允许哪些HTTP方法。

11. CRLF注入漏洞

当发送HTTP请求中包含Cookie信息，且Cookie中包含domain是一个设备上配置的domain值，或者请求为GET/enterdomain.cgi?domain=%0d%0aSomeCustomInjectedHeader:%0d%0aset

-cookie:iamyy HTTP1/1时，触发CRLF注入漏洞。

12. CVE-2019-1547

攻击者可利用该漏洞获取敏感信息。

13. CVE-2019-1563

攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。

14. CVE-2016-7056

源于crypto/ec/ecdsa_ossl.c文件的‘ecdsa_sign_setup()’函数未能正确的设置BN_FLG_CONSTTIME标识。本地攻击者利用该漏洞实施cache-timing攻击，获取ECDSA P-256私钥。

15. CVE-2018-0739

漏洞源于使用递归过度的恶意输入，构造的ASN.1类型可造成栈溢出，导致拒绝服务攻击。

16. CVE-2019-1559

攻击者可利用该漏洞绕过访问限制，获取敏感信息。

17. CVE-2018-0737

生成算法存在安全漏洞。攻击者可利用该漏洞实施时序攻击，恢复私钥。

18. CVE-2018-0732

攻击者可利用该漏洞造成拒绝服务（挂起）。

19. CVE-2019-1552

OpenSSL存在安全漏洞，攻击者可利用该漏洞绕过安全保护。

20. CVE-2019-1563

攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。

21. CVE-2018-5407

OpenSSL存在的一个本地信息泄露漏洞，本地攻击者可以利用该漏洞获取敏感信息，这可能有助于进一步的攻击。

22. X-Frame-Options属性漏洞

http报文没有设置X-Frame-Options字段，可能导致非同源的iframe插入，从而导致点击劫持。

23. CVE-2011-1473

内核SSL没有处理关闭SSL重协商字段，导致ssl客户端可以重协商成功。

24. CVE-2021-23841/CVE-2021-23840/CVE-2020-1971

修复OpenSSL存在的安全漏洞：OpenSSL在处理EDIPartyName （X.509GeneralName类型）时，使用的函数GENERAL_NAME_cmp中存在一处空指针取消引用，当使用该函数进行比较的两个参数都包含EDIPartyName时触发该漏洞。

25. CVE-2016-6329

加密算法本身问题，如果默认修改为不支持涉及漏洞的几种加密算法，可能会导致用户升级后WEB无法登陆问题。规避方案：[UNIS-ssl-server-policy-fxm]ciphersuite下不要选包含DES、3DES、RC2这种block长度为8bytes的cbc算法，可以选aes_256_cbc等算法，然后重启https服务。

26. CVE-2022-0778

修复OpenSSL BN_mod_sqrt拒绝服务漏洞：证书解析使用的BN_mod_sqrt()函数存在一个错误，它会导致在非质数的情况下永远循环。通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的，因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外，当解析特制的私钥时(包含显式椭圆曲线参数)，也可以触发无限循环。易受攻击的情况如下：使用服务器证书的TLS客户端；使用客户端证书的TLS服务器；托管服务提供商从客户处获取证书或私钥；证书颁发机构解析来自订阅者的认证请求；任何其他解析ASN.1椭圆曲线参数的程序。

27. CVE-2021-3711

修复OpenSSL SM2解密缓冲区溢出漏洞，该漏洞由于 OpenSSL解密SM2加密数据时调用API  函数EVP_PKEY_decrypt，其计算缓冲区大小存在错误导致导致缓冲区溢出。

28. CVE-2021-3712

修复OpenSSL ASN.1 strings读取缓冲区溢出漏洞，该漏洞由于 OpenSSL用于存储ASN.1字符串的结构ASN_1_String在创建是没有严格遵守字符串的Null字节结尾，在打印时可能发生读取缓冲区溢出。

29. 栈溢出漏洞

Comware系统处理 flag 参数时会根据用户提供的字符串长度将数据拷贝到栈缓冲区，没有合理限制拷贝长度，存在栈溢出漏洞，攻击者多次触发此漏洞最终将导致 web 管理不可用，造成拒绝服务攻击。

附录 C 版本升级操作指导

C.1 NGFW插卡与主网络设备适配关系

NGFW插卡是业界领先的高性能安全防护产品。NGFW插卡可以承载在不同主网络设备上，插卡型号以及适配的主网络设备类型如下表所示。

表8 NGFW插卡型号以及适配的网络主机表

C.2 设备软件简介

设备软件主要包括Bootware程序和启动软件包。

·              Bootware文件对存储器进行容量检查和测试，初始化硬件并显示设备的硬件参数。

·              启动文件一方面提供对主要部件的硬件驱动和适配功能，另一方面实现对业务特性的支持。

C.2.1 BootWare程序

设备开机最先运行的程序是BootWare程序，它能够引导硬件启动、引导启动软件包运行、提供BootWare菜单功能。BootWare程序存储在设备的BootWare（芯片）中。完整的BootWare包含BootWare基本段和BootWare扩展段。

·              BootWare基本段是指完成系统基本初始化的BootWare。

·              BootWare扩展段具有丰富的人机交互功能，用于接口的初始化，可以实现升级应用程序和引导系统。

通常情况下，BootWare文件是一个后缀名为.btw的文件（例如：main.btw）。

C.2.2 启动软件包

1. 启动软件包的分类

启动软件包是用于引导设备启动的程序文件，按其功能可以分为以下几类：

·              Boot软件包（简称Boot包）：包含Linux内核程序，提供进程管理、内存管理、文件系统管理、应急Shell等功能。

·              System软件包（简称System包）：包含Comware内核和基本功能模块的程序，比如设备管理、接口管理、配置管理和路由模块等。

·              Feature软件包（简称Feature包）：用于业务定制的程序，能够提供更丰富的业务。一个Feature包可能包含一种或多种业务。是否支持Feature包以及支持哪些Feature包与设备的型号有关，请以设备的实际情况为准。

·              Patch软件包（简称补丁包）：用来修复设备软件缺陷的程序文件。补丁包与软件版本一一对应，补丁包只能修复与其对应的启动软件包的缺陷，不涉及功能的添加和删除。

设备必须具有Boot包和System包才能正常运行，Feature包可以根据用户需要选择安装，补丁包只在需要修复设备软件缺陷时安装。

2. 启动软件包的发布形式

启动软件包有以下两种发布形式：

·              BIN文件：后缀为.bin的文件。一个BIN文件就是一个启动软件包。要升级的BIN文件之间版本必须兼容才能升级成功。

·              IPE（Image Package Envelope，复合软件包套件）文件：后缀为.ipe的文件。它是多个软件包的集合，产品通常会将同一个版本需要升级的所有类型的软件包都压缩到一个IPE文件中发布。用户将该IPE文件加载到设备后，设备会自动将它解压缩成多个BIN文件。用户再使用这些BIN文件升级设备即可，从而能够减少启动软件包之间的版本管理问题。

3. 主/备用启动软件包以及软件包列表

用户在配置设备下次启动使用的软件包时，需要指定软件包的名称，以及软件包的主用/备用属性。

·              设备会将所有具有主用属性的软件包的名称存储在主用启动软件包列表中，将所有具有备用属性的软件包的名称存储在备用启动软件包列表中。

·              当设备启动时，优先使用主用启动软件包列表中的软件包，如果主用启动软件包列表中软件包不存在或者不可用，再使用备用启动软件包列表中的软件包。

C.2.3 配置文件简介

配置文件是用来保存配置的文件。配置文件主要用于：

·              将当前配置保存到配置文件，以便设备重启后，这些配置能够继续生效。

·              使用配置文件，用户可以非常方便地查阅配置信息。

设备缺省的配置文件名为startup.cfg。

C.3 软件升级方式简介

表9 软件升级方式简介

C.4 升级前的准备

TFTP（Trivial File Transfer Protocol，简单文件传输协议）是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。设备作为TFTP Client，文件服务器（通常为PC）作为TFTP Server，用户通过在终端输入相应命令，可将本设备的启动文件上传到文件服务器上，或者从文件服务器下载启动文件到设备中。

FTP（File Transfer Protocol，文件传输协议）在TCP/IP协议族中属于应用层协议，主要向用户提供远程主机之间的文件传输。设备作为FTP Client，文件服务器（通常为PC）为FTP Server。

在升级设备启动文件前，请完成如下准备工作：

·              在设备出厂前，已配置接口GigabitEthernet1/0/1的IP地址为192.168.0.1/24，此接口已被加入Management安全域和Management VPN多实例。用户需配置文件服务器IP地址，确保设备与文件服务器路由可达。

·              开启文件服务器的TFTP/FTP Server功能。

·              通过配置终端登录到设备的命令行配置界面中。

·              将设备的升级启动文件拷贝到文件服务器上，并正确设置TFTP/FTP Server的访问路径。

C.5 升级启动文件

C.5.1 通过命令行升级启动文件

通过命令行升级启动文件，可以采用以下方式：

·              使用TFTP协议升级设备的启动文件

·              使用FTP协议升级设备的启动文件

1. 使用TFTP协议升级设备的启动文件

设备作为TFTP Client，访问TFTP文件服务器的指定路径，完成启动文件的备份与升级操作，

具体操作步骤如下：

(1)      备份当前启动文件和配置文件

# 在命令行配置界面的任意视图下，执行save命令保存设备当前配置信息：

<Sysname> save

The current configuration will be written to the device. Are you sure? [Y/N]:Y

Please input the file name(*.cfg)[sda0:/startup_admin.cfg]

(To leave the existing filename unchanged, press the enter key):

sda0:/startup_admin.cfg exists, overwrite? [Y/N]:Y

Validating file. Please wait...

Saved the current configuration to mainboard device successfully.

<Sysname>

# 在命令行配置界面的用户视图下，执行dir命令查看设备当前的文件系统，确认启动文件及配置文件名，以及SD卡的剩余空间，保证SD卡有足够空间放入新的启动文件：

<Sysname> dir

Directory of sda0:

   0 -rw-     5390336 Jan 04 2011 01:44:14   BLADE4FW-73-CMW710-BOOT-D8301P02.bi

n

   1 -rw-     2053120 Feb 19 2016 09:38:36   BLADE4FW-73-CMW710-DEVKIT-D8301P02.

bin

   2 -rw-       34816 Feb 19 2016 09:39:04   BLADE4FW-73-CMW710-MANUFACTURE-D830

1P02.bin

   3 -rw-    59172864 Jan 04 2011 01:44:16   BLADE4FW-73-CMW710-SYSTEM-D8301P02.

bin

   4 drw-           - Jan 01 2011 00:00:09   diagfile

   5 drw-           - Jan 01 2011 00:00:09   dpi

   6 -rw-         735 Jan 01 2011 00:00:20   hostkey

   7 -rw-         109 Jan 01 2011 04:03:23   ifindex.dat

   8 drw-           - Jan 01 2011 20:23:38   license

   9 drw-           - Jan 04 2011 01:44:36   logfile

  10 drw-           - Jan 01 2011 00:00:20   pki

  11 drw-           - Jan 01 2011 00:00:09   seclog

  12 -rw-         591 Jan 01 2011 00:00:20   serverkey

  13 -rw-        2662 Jan 01 2011 04:03:23   startup.cfg

  14 -rw-       57521 Jan 01 2011 04:03:23   startup.mdb

7860200 KB total (7794928 KB free)

<Sysname>

# 在命令行配置界面的用户视图下，执行tftp put命令分别将配置文件startup.cfg备份到TFTP文件服务器上：

<Sysname> tftp 192.168.0.2 put startup.cfg vpn-instance management

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

                                 Dload  Upload   Total   Spent    Left  Speed

100  2745    0     0  100  2745      0  43889 --:--:-- --:--:-- --:--:--  446k

Writing file...Done.

<Sysname>

(2)      升级启动文件

# 在命令行配置界面的用户视图下，执行tftp get命令将启动文件8042fw4_73.ipe导入到设备的SD卡中：

<Sysname> tftp 192.168.0.2 get 8042fw4_73.ipe vpn-instance management

Press CTRL+C to abort.

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

                                 Dload  Upload   Total   Spent    Left  Speed

100 61.1M  100 61.1M    0     0   489k      0  0:02:07  0:02:07 --:--:--  538k

<Sysname>

# 在命令行配置界面的用户视图下，执行boot-loader命令设置设备下次启动使用的启动文件为8042fw4_73.ipe，并指定启动文件类型为main：

<Sysname> boot-loader file sda0:/8042fw4_73.ipe slot 1 main

Verifying the file sda0:/8042fw4_73.ipe on slot 1....Done.

H3C SecBlade IV NGFW Module images in IPE:

  BLADE4FW-73-CMW710-BOOT-D8301P03.bin

  BLADE4FW-73-CMW710-SYSTEM-D8301P03.bin

This command will set the main startup software images. Continue? [Y/N]:Y

Add images to slot 1.

Decompressing file BLADE4FW-73-CMW710-BOOT-D8301P03.bin to sda0:/BLADE4FW-73-CMW710-BOOT-D8301P03.bin...Done.

Decompressing file BLADE4FW-73-CMW710-SYSTEM-D8301P03.bin to sda0:/BLADE4FW-73-CMW710-SYSTEM-D8301P03.bin..........Done.

Decompression completed.

You are recommended to delete the .ipe file after you set startup software images for all slots.

Do you want to delete sda0:/8042fw4_73.ipe now? [Y/N]:N

The images that have passed all examinations will be used as the main startup software images at the next reboot on slot 1.

# 在命令行配置界面的用户视图下，执行display boot-loader命令查看设备的启动程序文件信息：

<Sysname> display boot-loader

Software images on slot 1:

Current software images:

  sda0:/BLADE4FW-73-CMW710-BOOT-D8301P03.bin

  sda0:/BLADE4FW-73-CMW710-SYSTEM-D8301P03.bin

Main startup software images:

  sda0:/BLADE4FW-73-CMW710-BOOT-D8301P03.bin

  sda0:/BLADE4FW-73-CMW710-SYSTEM-D8301P03.bin

Backup startup software images:

  None

<Sysname>

# 在命令行配置界面的用户视图下，执行reboot命令重启设备：

<Sysname> reboot

 Start to check configuration with next startup configuration file, please wait.

........DONE!

 This command will reboot the device. Continue? [Y/N]:y

Now rebooting, please wait...

……略……

# 设备重启后，通过display version命令查看设备的启动文件版本信息是否与升级的启动文件一致。

<Sysname> display version

H3C Comware Software, Version 7.1.064, Demo 8301P03

Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C SecBlade IV NGFW Module uptime is 0 weeks, 0 days, 0 hours, 21 minutes

Last reboot reason: User reboot