每日一学(每周工作日) |
序号 | 产品线 | 时间(2024-至今) | 知识点 | 是否发送 |
1 | AF | 12.2日 | 云威胁情报网关开启条件:
1AF设备需有云威胁情报网关授权,且云端云情报网关授权已完成开通。
2云威胁情报网关与云图-SASE产品关联,需要有一个云图账号(若没有需要注册)。
3开启隐私设置,授权云端安全防护及云威胁分析,并选项应为“上传所有威胁信息,云智更新安全能力库”或“上传HASH等非文件类型未知威胁,云智更新安全能力库”之一。
4若客户有强防通报需求,可以考虑开启防通报严格模式。
5若内网主机到内网服务器流量经过AF,且内网服务器未采用标准的内网地址,需将该部分网段添加进排流策略。
6若AF部署在非互联网出口,上游有其他设备,需要放通特定域名和端口 | 是 |
2 | HCI | 12.2日 | 超融合存储扩容的问题:
最大容量主机与最小容量主机的差值小于等于2倍,如果出现超过2倍的情况会存在两个方面的影响:
①当小盘主机写满时会出现副本降级(即两副本降为单副本,高危隐患)
②大盘会出现读写性能瓶颈,进而影响全集群存储读写性能。(4T盘和8T盘,4T读写效率高于8T读写)。
EDS同上。 | 是 |
3 | AF | 12.3日 | 云威胁情报网关注意事项:
1防通报场景,AF8.0.85R需要配置僵尸网络的拒绝策略,但此项配置不影响8.0.85R版本的云威胁情报网关功能生效。
2AF8.0.85R引流到SASE检测是通过云安全访问模块的引流策略抓取引流的流量,而AF8.0.90和8.0.95引流到SASE检测是通过匹配到僵尸网络拒绝策略。
3排流策略优先级高于引流策略,也高于云情报的僵尸网络引流匹配。
4截止AF8.0.95版本,AF默认的manage口(eth0)不能用于探测口 | 是 |
4 | HCI | 12.3日 | 不同的虚拟机格式导入超融合:
①确保导入的OVA、OVF模板是从VMware上导出的。如果是其他第三方平台,建议先导入到VMware再导出到HCI
②如果是从VMware Workstation中导出的虚拟机,注意如果名称带有中文,则无法导入到超融合平台,需要先重命名
③如需使用vhd、vhdx或者qcow2格式的镜像文件,请选择创建新的虚拟机,并在新建、编辑虚拟机磁盘时选择使用已有磁盘,挂载需要使用的镜像文件。 | 是 |
5 | AF | 12.4日 | AF连接云威胁情报网关需要放通的域名如下:
rt-sase.sangfor.com.cn:443
logcenter-sase.sangfor.com.cn:6443
sase.sangfor.com.cn:443
x.sangfor.com.cn:443
注:AF8.0.95版本及以上版本需要额外放通:auth.sangfor.com.cn:443、analysis.sangfor.com.cn:443 | 是 |
6 | adesk | 12.4日 | 要恢复VMP的密码,可以按照以下步骤进行操作:
准备一个U盘,U盘可以是单分区或多分区,单分区的U盘必须是FAT32格式,多分区的U盘第一个分区必须是FAT32格式。
创建一个txt文档,文件名必须是“reset-password.txt”(空白文档)。该文档可以在Windows上创建,也可以直接在U盘上创建,但必须确保该文档放在U盘的根目录下或第一个分区下。
将U盘插入设备USB接口,然后重启设备。
当设备重新启动后,在浏览器打开登录界面,能打开的时候再拔出U盘。
查看U盘中的结果,文件如果变成了“reset-password.log”,则表示恢复密码成功,文件中会记录恢复后的控制台密码。如果失败,请重试。
注意事项:
VMP只支持U盘方式恢复密码,如果一次恢复不成功,建议检查文件名称是否设置有问题,也可以尝试更换U盘或多尝试几次。
如果VMP密码忘记,但VDC密码记得,可以通过VDC找回VMP密码,但需要协调工程师远程协助操作 | 是 |
7 | AF | 12.5日 | 路由模式存在多线路场景,在云威胁情报网关界面处接入只能选一个接口,剩下的未防护到的接口在 云安全访问服务界面创建引流线路进行防护。具体线路配置方式同云威胁情报网关页面接入方式,此处出接口即为情报网关对接接口。创建后,待链路状态正常即可。(只需创建线路即可,不需要创建引流、排流策略)
注意:若af为出口路由多线路部署且多个线路分配的PoP IP地址相同,需额外针对每个出接口配置策略路由,有几个出接口配置了情报网关防护,就需要配置几条策略路由策略。(若未配置,则线路状态会周期性波动、波动期间情报网关失效) | 是 |
8 | adesk | 12.5日 | 在3D场景下,虚拟机识别不到显卡解决思路:
1、确认主机服务器有显卡:首先,需要登录VMP控制台,查看[实体机]-[详情]-[主机信息],确认该物理机是否有显卡。如果服务器没有显卡,则虚拟机无法添加显卡。
2、添加显卡:如果主机有显卡,需要在虚拟机中添加显卡。登录VMP控制台,找到目标虚拟机,点击[更多]-[编辑]-[添加硬件]-[添加显卡],然后保存配置。请注意,添加显卡后需要重启虚拟机才能生效。
3、检查虚拟机操作系统:确保虚拟机的操作系统为64位。如果选择的是32位操作系统,则无法添加显卡。
4、VGPU授权服务器:虚拟机使用显卡需要搭建VGPU授权服务器,确保该功能已正确配置。
5、显卡驱动安装:如果虚拟机已经添加了显卡,但仍然无法识别,可能是显卡驱动未正确安装。确保安装的显卡驱动是适用于当前版本的驱动,并且在安装前确认虚拟机已重启。 | 是 |
9 | AF | 12.6日 | 若AF为虚拟网线部署模式接入云威胁情报,则需要一个三层接口(不能为带外管理口,网络接口旁有绿色“带外管理”)且配置能够访问互联网的IP,将其连接到上游设备(推荐)或下游设备(需要配置二次穿透)。该接口出网的上游出口应尽量与实际业务流量上游出口一致,以确保链路探测功能正常工作。
注意:若连接至下游设备需要配置二次穿透,以便该状态检测数据包可以正常通过防火墙。否则链路状态一直为已断开 | 是 |
10 | adesk | 12.6日 | 虚拟机之间网络和端口不通,参照以下步骤进行排查和解决:
1、检查IP地址冲突:确保连接同一台虚拟交换机的两台虚拟机没有IP地址冲突。可以通过命令行工具检查IP地址的使用情况。
2、同一网段:检查两台虚拟机配置的IP地址是否在同一网段。如果不在同一网段,尝试将它们配置为同一网段的IP地址。
3、防火墙设置:检查两台虚拟机的防火墙设置,确保没有拦截通信。可以尝试临时关闭Windows防火墙进行测试。
4、虚拟机运行位置:确认两台虚拟机是否运行在同一台主机上。如果不在同一主机上,可以尝试将它们迁移到同一台主机上运行,看看是否能够正常通信。
5、交换机问题:如果两台虚拟机在同一主机上正常,但仍然无法通信,检查与服务器直连的交换机是否存在问题。 | 是 |
11 | SIP—LOGGER | 12.12日 | 要恢复硬件SIP-Logger的密码,您可以按照以下步骤操作:
在U盘(FAT32格式)根目录中放入一个空的reset-password.txt文件。
将U盘插入物理机的USB接口。
重启物理机。
重置成功后,U盘中的reset-password.txt文件会被删除。
启动后,密码会变成 admin/admin。
请确保您使用的是SIP-Logger 3.0.4及其之后的版本 | 是 |
12 | adesk | 12.12日 | 虚拟机时间慢,尝试以下几种方法来解决这个问题:
1、重启虚拟机:虚拟机在每次重启时会自动同步VMP平台的时间。如果时间异常,可以尝试重启虚拟机[3]。
2、搭建NTP时间服务器:如果重启虚拟机后问题依然存在,可以考虑搭建NTP(网络时间协议)时间服务器,并将虚拟机设置为与NTP服务器时间同步。
3、检查虚拟机内部计时:虚拟机的时间取决于其内部计时机制,确保虚拟机的系统时间设置正确。如果虚拟机的时间与宿主机时间差异较大,可能需要手动调整。
4、注册表设置:在某些情况下,虚拟机的时间设置可能与注册表项有关。您可以检查注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation”下的设置,确保相关值设置(该注册表值修改为0)正确. | 是 |
13 | EDR | 12.13日 | EDR的root密码根据不同版本和安装镜像类型有所不同,具体如下:
OVA模板的Linux密码:
EDR 3.7.2及以上版本:默认帐号密码是 root/great@cause
EDR 3.2.9r1-3.5.30版本:默认帐号密码是 root/edr@sangfor
EDR 3.2.9r1版本之前:默认帐号密码是 root/root
CSSP里面的EDR OVA模板:默认帐号密码是 root/sangfor123
ISO模板的Linux密码:
EDR 3.7.2及以上版本:默认帐号密码是 root/great@cause
EDR 3.2.9r1-3.5.30版本:默认帐号密码是 root/edr@sangfor
EDR 3.2.9R1之前的版本:默认帐号密码是 root/sangfor123 | 是 |
14 | adesk | 12.13日 | 虚拟机蓝屏或系统崩溃的原因及排查思路:
1、可能原因
①中病毒:恶意软件可能导致系统不稳定。
②第三方驱动:不兼容或损坏的驱动程序可能引发蓝屏。
③Agent相关组件驱动:某些Agent组件可能与系统不兼容。
④硬件问题:宿主机的硬件故障也可能影响虚拟机的稳定性[1]。
2、排查思路
①重启虚拟机:首先尝试重启虚拟机,看看是否能恢复正常。
②调整调试选项:
对于4.9以上版本的虚拟机管理平台(VMP),可以选择对应的虚拟机,进入[更多]-[编辑]-[高级]-[调试选项],去掉使用fastIO磁盘的勾选,然后保存并重启虚拟机。
③进入安全模式:尝试进入安全模式,卸载最近安装的软件或安全软件,看看是否能解决问题。
④分析Dump文件:如果虚拟机蓝屏,可以使用工具(如windbg)分析生成的Dump文件,查找导致蓝屏的具体原因。
⑤新建虚拟机:如果以上方法都无法解决,可以考虑新建一个虚拟机,并将蓝屏虚拟机的磁盘挂载到新建的虚拟机上。 | 是 |
15 | EDR | 12.16日 | 要恢复EDR的密码,您需要进行以下步骤:
1协调远程工程师:EDR MGR控制台的admin账号密码恢复需要协调远程工程师进行具体操作。
2提供申请函:您需要提供一份[重置密码申请函]作为备案。
3自助提单:建议您关注微信公众号[深信服技术服务],通过自助提单的方式协调。
4转人工客服:如果您无法自助提单,可以选择转人工客服来协调工程师 | 是 |
16 | HCI | 12.16日 | 系统盘或缓存盘使用寿命到期,面向客户回复话术:
①固态硬盘的寿命受读写频次影响,若经深信服鉴定,固态硬盘因读写频次超过最大限制导致无法继续使用,深信服将不会按照保修政策予以维修和更换,
②磁盘属于消耗品,就像汽车轮胎一样,磨损完了就是要花钱换新的,属于自然损耗,不属于故障报修,所以不再维保范围内。 | 是 |
17 | EDR | 12.17日 | 截止标准版本aES6.0.2R1,EDR终端是在线,离线,已禁用,已降级状态会占用授权;卸载、未授权、未安装、已移除状态不占用授权,可释放授权 | 是 |
18 | HCI | 12.17日 | 超融合主机杀毒软件安装情况
截止到标准版本HCI6.1.0R1,超融合平台的底层不支持安装第三方的杀毒软件,但可以通过购买HCI中的云安全中心组件,安装深信服EDR杀毒软件。 | 是 |
19 | ATRUST | 12.18日 | aTrust客户端接入后需要访问资源的时候才会申请虚拟ip地址,访问web资源或者隧道资源都可以,成功访问到资源之后才能在在线用户看到分配的虚拟ip,aTrust针对web资源或者隧道资源都支持以虚拟IP地址为源访问资源服务 | 是 |
20 | adesk | 12.18日 | 在VDC上指定用户虚拟机IP不生效的情况,可能由以下几个原因引起:
可能原因
虚拟机Agent状态异常:确保虚拟机的Agent处于正常状态,只有在Agent正常的情况下,IP地址的指定才会生效[8]。
未重启虚拟机:在VDC上修改IP地址后,如果没有重启虚拟机,可能导致IP地址未能更新。
IP地址冲突:指定的IP地址可能与网络中其他设备的IP地址冲突,导致无法正常下发。
虚拟机内部设置问题:虚拟机内部的网络设置可能不正确,例如网卡配置错误。
解决方案
检查Agent状态:登录VDC,查看虚拟机的Agent状态,确保其为绿色正常状态。
重启虚拟机:在VDC控制台中重启虚拟机,以确保新的IP设置生效。
更换IP地址:如果怀疑IP地址冲突,可以尝试更换一个未被使用的IP地址进行指定。
检查虚拟机内部设置:
确保虚拟机的网络适配器设置正确,选择手动配置IP地址。
在虚拟机内部检查网络配置,确保没有安全软件或其他设置干扰IP地址的指定 | 是 |
21 | AF | 12.19日 | 截止标准版本AF8.0.95,AF暂时不支持同步历史日志给Syslog服务器,只支持同步实时日志给Syslog服务器 | 是 |
22 | AD | 12.19日 | 两台主备部署的AD之间若使用管理口做备心跳口,则备机会出现管理口无法ping通情况,但不影响业务以及控制台正常登录,建议单独接一根线做备心跳口。每台设备单独再起一个独立的接口做带外管理,且这个接口不能被用作心跳口,这样管理口的ICMP协议数据包就可以正常发出,即不会出现无法ping通情况。 | 是 |
23 | OSM | 12.20日 | OSM升级3.0.12版本的注意事项如下:
1、升级后,页面提示弹框UI元素有变动,如果遇到用户名及密码输入正确,但是提示登录失败,需要清除浏览器缓存重新开浏览器页面访问,避免缓存影响
2、升级后,单点登录控件需要重新安装:请安装在默认路径下,可直接覆盖安装,控件路径无需重新配置
3、升级后,应用发布服务器需要更新应用发布控件:
(1)Windows 应用发布:控件需要更新为 1.0.0.12 版本,请安装在默认路径下
(2)国产化应用发布(底层麒麟 V10):需要安装最新的 remoteapp_20240411.run 文件
4、升级前所配置的运维审计报表模板无法继续使用,需要在升级后重新进行
5、升级后,使用国产化应用发布的,密码需统一修改为 Sangfor@123
6、升级后,原 syslog 服务模块移至【告警策略-告警/审计外发】,需要重新配置
7、升级前【审计留存】存在配置的,建议升级后重新保存进行挂载一下
8、升级后,mysql 代理端口默认关闭,如果有相关业务,需要手动开启 | 是 |
24 | HCI | 12.20日 | HCI恢复密码:
1、准备U盘:U盘可以是单分区或多分区,单分区的U盘必须是FAT32格式,多分区的U盘第一个分区必须是FAT32格式。
2、创建文档:创建一个名为“reset-password.txt”的空白文档,确保该文档放在U盘的根目录下。
3、插入U盘:将U盘插入集群中的主控服务器USB接口。
对于HCI6.3.0R1之前版本,插入后需重启HCI主控设备。
对于HCI6.3.0R1及之后版本,无需重启,插入后可直接进入控制台界面,点击RESET PASSWORD即可恢复初始密码admin。
4、拔出U盘:设备重新启动后,在浏览器打开登录界面时再拔出U盘。
5、查看结果:如果U盘中的文件变成“reset-password.log”,则表示恢复密码成功,文件中会记录恢复后的控制台密码。如果失败,请重试几次。
注意:HCI集群中多台主机时只需恢复集群控制器的密码即可。如果不清楚哪台是主控,需要集群内每台设备都恢复一下密码 | 是 |
25 | SIP | 12.23日 | SIP只可以使用U盘恢复密码,具体的操作步骤如下:
1、准备一个空闲的U盘,U盘格式为FAT32
2、新建一个txt文档,将其重命名为reset-password,将txt文档拷贝到U盘根目录;
3、SIP上插入U盘,重启设备
4、等待10分钟左右再拔出U盘
5、查看U盘中的结果文件reset-password.log (若恢复成功在该文件中记录恢复后的控制台密码【admin/admin】,否则记录的是恢复失败信息)
注意:如是软件SIP,需要先在虚拟机上挂载U盘 然后再通过U盘进行密码重置 | 是 |
26 | HCI | 12.23日 | 缓存盘或数据盘替换:
1、先将故障磁盘拔出,将新磁盘插到故障磁盘主机上。
2、在[存储]-[虚拟存储]-[硬盘管理]-[故障磁盘]或者[虚拟存储]-[配置]-[故障磁盘]点击更换磁盘。
3、勾选“我已准备完成”,点击下一步,选择用于替换的新磁盘。
4、勾选“我确定更换磁盘”,点击完成以执行更换操作。
5、更换完成后,可以在平台的配置界面看到已经没有故障的磁盘。
6、替换完成后,进行一键检测,确认平台运行稳定 | 是 |
27 | SIP | 12.24日 | STA从SIP同步规则库需要连接SIP的端口,默认端口是TCP4488和TCP443
STA连接SIP的端口可以修改:在STA控制台【系统】-【安全感知平台】-【传输端口】-【设置】中修改
SIP升级规则库使用端口是TCP80端口
安全感知平台更新规则库连接的域名可以在设备界面上查看,查看步骤为【系统配置】-【升级管理】-【升级设置】-【升级服务器设置】选择相关的升级服务器下面会显示服务器域名。具体域名如下:
update1.sangfor.net
update2.sangfor.net
update3.sangfor.net
注:截止标准版本STA老架构3.0.78和STA新架构3.0.79,STA不支持联网更新规则库,需要连接SIP自动更新 | 是 |
28 | HCI | 12.24日 | web界面检测副本一致性办法:
1、从标准版本HCI5.8.8开始,一键检测支持勾选【虚拟存储数据检测】选项,支持界面检测副本完整性。
注意:在做任何和存储相关的高危操作前后务必检查集群的副本一致性。 | 是 |
29 | SIP | 12.25日 | STA(潜伏威胁探针)与SIP(安全信息平台)之间的通信需要确保以下TCP端口能够正常通信:
TCP 4430:用于STA接入和同步数据(HTTPS协议)。
TCP 443:用于探针版本升级。
TCP 4488:用于探针规则库更新 | 是 |
30 | HCI | 12.25日 | 虚拟存储磁盘个数比:
SSD和HDD的个数比推荐值为1:3~6,建议采用1:4,即1个SSD硬盘对应4个机械硬盘。SSD和HDD个数比最大为1:1
虚拟存储中磁盘容量比:
SSD和HDD的容量比推荐值为1:10,一般不要低于1:20 | 是 |
31 | SIP | 12.26日 | STA的升级可以通过以下几种方法进行:
方法一:使用升级客户端离线加载升级包
需要确保升级客户端能够访问STA的51111端口。
方法二:在SIP页面上进行升级
通过SIP平台的[系统管理]-[升级管理]-[潜伏威胁探针升级]导入探针的升级包进行升级。
需要放通STA到SIP的443和4488端口。
方法三:从STA控制台界面导入升级
从标准STA3.0.43版本开始,关闭了51111端口,支持从STA控制台界面导入升级包进行升级。
在[系统]-[系统配置]-[系统升级]中导入升级包即可。
注意事项:
探针每10分钟向平台检测一次是否有新版本,当探针数量较多时,每个时间内只有一台探针进行升级包下载,以减少对网络的影响。
在感知平台上传探针升级包后,若探针升级服务在有效期且与感知平台的4488端口通信正常,探针会在一天内完成升级。
STA设备加载升级包后会自动重启,建议在业务空闲时进行操作。
升级过程的时间受升级包大小、设备负载、网络环境等因素影响,正常情况下升级一个版本的时间大约为10分钟 | 是 |
32 | adesk | 12.26日 | 关于Windows 11的支持情况,以下是相关信息:
支持版本:
从标准版本VDI 5.5.1版本开始,Windows 11操作系统可以使用VDI客户端连接虚拟机。
从标准版本VDI 5.5.3版本开始,支持创建Windows 11虚拟机并安装Agent。 | 是 |
33 | SIP | 1.2日 | 安全感知平台接入深信服设备需要使用端口:
STA 同步端口使用SIP的TCP4430;联动端口:无;
AF 同步端口使用SIP的TCP4430;联动端口使用AF的TCP7443;
AC 同步端口:SIP:UDP1775;联动端口:AC:TCP7443;
EDR 同步端口:SIP:TCP7443;联动端口:EDR:TCP443;
VSS 同步端口:SIP:TCP4430;联动端口:无;
SSL VPN 同步端口:SIP:UDP514;联动端口:无 | 是 |
34 | adesk | 1.2日 | 派生的虚拟机转换成模板的问题:
转换限制:
派生出来的虚拟机不可以直接转换成模板,可以通过克隆该虚拟机,然后将克隆后的虚拟机转换成模板。
支持条件:
仅支持单磁盘虚拟机转换成模板,即有个人盘的虚拟机不能转换成模板。
虚拟机状态要求:
截止标准版本VDI 5.9.1,虚拟机转换为模板需要是关机状态。
开机状态的虚拟机、派生的虚拟机、有两个或两个以上磁盘的虚拟机,正在克隆和迁移中的虚拟机均不支持转换成模板 | 是 |
35 | SIP | 1.3日 | 1、SIP与AF联动分为自动处置和手动处置
2、截止标准版本SIP3.0.92,SIP联动AF下发策略包含:【封锁源IP】、【访问控制】、【隔离主机】、【封锁域名/URL/IP】、【封锁攻击者IP】,在AF界面对应功能模块都可查询到
3、从标准版本AF7.5.1版本开始,且设备已经接入安全感知后,才支持SIP下发联动封锁策略给AF
4、从标准版本AF8.0.2版本开始,且设备已经接入安全感知后,才支持SIP下发应用控制策略给AF
5、截止标准版本SIP3.0.92,SIP暂不支持根据IP范围或者IP网段下发联动封锁 (即便下发时可以填写,但是在AF上也看不到下发的网段或者地址范围)
6、截止标准版本SIP3.0.92,SIP联动AF下发封锁策略,不支持直接永久封锁,但可以下发访问控制策略实现永久封堵的效果,若需要联动下发永久,需要自定义响应策略将AF的动作改为添加地址黑名单
7、SIP【重保中心】-【联动封锁】模块中下发联动封锁需要AF为8.0.28以上版本且需完成双向认证配置 | 是 |
36 | adesk | 1.3日 | VDI场景下,分辨率是一条路径上的整体结果,显示器、终端、虚拟机三者遵循短板原理,如显示器支持的分辨率低,虚拟机支持4k,整体也是按照显示器的分辨率为准;再比如显示器支持4K分辨率,但是终端本身支持的最高分辨率低于4K(可能没有独立显卡,或者CPU集显不支持此分辨率),最终显示的分辨率也是达不到4K | 是 |
37 | SIP | 1.6日 | 截止标准版本SIP3.0.92,SIP暂不支持接口绑定,SIP配置网关暂不支持自动生成默认路由,默认路由需要手动配置 | 是 |
38 | HCI | 1.6日 | 磁盘分配方式转换注意事项:
动态分配可以改为预分配,但不能改为精简分配。
预分配的磁盘暂时不支持转换成精简分配或动态分配。
精简分配的磁盘可以转换成预分配,也可以转换成动态分配。
只有在虚拟机关机的情况下,才能修改磁盘分配模式。如果按钮是灰色,可能是因为动态分配磁盘不可选,或者虚拟机未关机。
修改磁盘模式会导致虚拟机快照丢失,转换时会有提示,确认转换后会自动删除快照。 | 是 |
39 | SIP | 1.7日 | 安全感知定义资产跟探针定义资产的区别是:
探针定义内网网段会主动去扫描发现内网对应的服务器和终端, 发现后同步到SIP 。
安全感知定义的受监控网段,基于被接入设备同步的数据,生成终端和服务器 | 是 |
40 | HCI | 1.7日 | 深信服的一体机服务器,原则上不允许使用三方的硬件,例如硬盘会存在无法签名的情况。如因其他必要因素需要使用三方硬件,则风险为不再提供硬件质保服务,同时需要邮件向深信服总部报备。 | 是 |
41 | SIP | 1.8日 | 使用SIP是必须要配置资产,安全数据分析都基于资产,如不配置资产会导致数据无法分析。
SIP配置资产的步骤:
方法一(手动添加):
以标准版本SIP3.0.77版本操作路径示例:在【资产中心】-【资产感知】-【主机资产】里进行新增内网资产和资产组,新增资产时支持自定义主机名
方法二(手动导入):
以标准版本SIP3.0.677版本操作路径示例:在【资产中心】-【资产感知】-【主机资产】里导入资产/资产组,即可下载CSV示例文件,按照格式填好表格导入即可
方法三(自动发现-资产识别):
以标准版本SIP3.0.77版本操作路径示例:在【资产中心】-【资产管理】-【主机资产】中编辑资产组,选择自动识别即可 | 是 |
42 | adesk | 1.8日 | 标准版本VDI5.5.1版本开始win11操作系统使用VDI客户端连接虚拟机
标准版本VDI5.5.3版本开始支持创建win11虚拟机并安装agent | 是 |
43 | SIP | 1.10日 | 截止标准版本SIP3.0.92,DHCP场景下可以通过MAC地址视角来定位问题终端或通过用户视角定位问题终端
1、其中用户视角需要AC、IDTrust、VPN、信锐NAC接入到SIP,同步过来用户信息,用户信息里包含MAC信息
2、MAC地址视角需要SIP上开启跨三层取MAC,通过SNMP协议监控交换机等DHCP服务器,主动获取交换机的ARP信息表来定位问题终端。
SIP资产感知里选择动态IP-用户名,会显示如下信息:
1、资产列表里面会显示所有识别到的内容,包括主机名、mac
2、失陷终端的暂时则会存在用户的角度
3、日志里暂无主机名显示
以标准版本SIP3.0.77版本为例,SIP设备上同步过来AC的用户信息在【资产中心】-【资产感知】-【资产管理】-【主机资产】-【用户列表】中显示。
注意:
1、启动探针自动获取mac后,探针能够通过交换机或路由器的ARP表获取到准确的mac,提高资产识别能力,资产探针最低版本为STA3.0.26
2、截止标准版本SIP3.0.92,SIP不支持使用SNMPV3做跨三层取MAC,只能使用SNMPV1/V2做跨三层取MAC | 是 |
44 | adesk | 1.10日 | 一个VMP集群只能被一个VDC管理,一个VDC可以添加多个VMP集群 。
截止标准版本VDI5.9.1,一个VDC最多能添加10个VMP集群 | 是 |
45 | SIP | 1.14日 | STA的版本区分新架构和旧架构主要通过版本号来判断。从3.0.30版本开始,单数版本为新架构,偶数版本为旧架构。具体来说:
新架构版本:3.0.31、3.0.33等(单数)
旧架构版本:3.0.30、3.0.32等(偶数)
新架构和旧架构在处理能力上有所不同,新架构的处理能力更强。需要注意的是,新架构只能升级新架构的包,而旧架构只能升级旧架构的升级包 | 是 |
46 | HCI | 1.14日 | 物理PC迁移为虚拟机:
物理PC操作系统可以通过SCMT工具迁移至HCI平台然后导出虚拟机,再导入桌面云框架下,安装agent工具即可使用。如需要做模板使用,则只能留存一个磁盘。 | 是 |
47 | SIP | 1.15日 | SIP平台级联使用场景:
1、将下级单位SIP的数据同步到上级单位的SIP,下级平台支持向上级平台上报资产信息、安全事件、以及脆弱性风险。
资产信息:受监控内部IP组、业务/服务器、终端、分支
安全事件:已失陷事件、高可疑事件、低可疑事件
脆弱性风险:漏洞风险、配置风险、弱密码、Web明文传输
2、上级平台可以实时监控下级单位是否发生了严重的安全事件
3、上级平台可以处置下级平台产生的风险安全事件、脆弱性事件 | 是 |
48 | 信创授权 | 1.15日 | 在做信创超融合授权合并时,aPOS授权默认不合并,需要单独找储运在合并订单的基础上增开对应户数量的aPOS授权。 | 是 |
49 | atrust | 2.17日 | 在Windows Server系统上安装atrust客户端时,需要按照以下步骤进行操作:
重命名安装包:在Windows Server系统中,您需要将客户端安装包的名称进行修改,增加一个[WinServer]的标记。具体来说,将原名称为aTrustInstallerXXX.exe的安装包修改为aTrustInstallerXXX[WinServer].exe
注意事项:请确保在Server系统上,客户端的基础功能是最小可用的,因此在安装之前,务必确认是有人操作的终端(非无人值守),且一人一机,避免多用户共享的情况 | 是 |
50 | adesk | 2.17日 | 在VDC上导入虚拟机和用户的关联关系时,需要将虚拟机关机,否则导入报错,当存在UPM配置重定向时,删除虚拟机,将导致重定向文件被同步删除,将虚拟机恢复后,重定向文件自行恢复,如出现文件丢失情况,可使用第三方软件恢复,如EasyRecovery Professional等。 | 是 |
51 | atrust | 2.18日 | atrust2.5.10版本更新内容如下
1.IPv6支持能力升级,支持IPSEC组网与接入,代理网关支持代理上网;
2.移动端aTrust APP认证能力增强;
3.超级APPH5应用访问速度优化;
4.信创沙箱标准化,信创客户端适配范围提升,支持中科方德、鸿蒙Next | 是 |
52 | HCI | 2.18日 | HCI三网合一的要求主要涉及网口的复用和配置,具体如下:
网口复用:网口复用是指不同类型的网口使用服务器的同一个网口。虽然在网口足够的情况下,不建议进行网口复用,因为这可能导致带宽抢占和网络卡顿[2]。
优先建议:在设备网口不足的情况下,优先建议将VXLAN网络与业务网络进行复用.
支持管理口、业务口和VXLAN口的复用,即三网复用。管理口和VXLAN可以使用VLAN子接口。
支持管理口、业务口、VXLAN口和存储口复用相同的物理网口,即四网复用。四网复用必须是万兆聚合口。 | 是 |
53 | atrust | 2.20日 | SSLVPN配置支持导入atrust,2.3.10及之后版本,可以通过图形化界面简单易用地导入VPN配置。
具体配置路径为:
[系统管理] - [特性中心] 启用 [VPN配置转换工具]
[系统管理] - [系统运维] - [VPN配置转换] 按照指引导入.bcf的VPN配置文件
注意:持导入VPN M7.5及更高版本的SSLVPN配置,其中推荐导入的SSLVPN配置版本为M7.5、M7.6.8R2、M7.6.9R1 | 是 |
54 | 云计算基础 | 2.20日 | IaaS层服务(Infrastructure as a Service),即基础设施即服务,是云计算的一种服务模式,主要提供虚拟化的计算资源,包括服务器、存储、网络等基础设施。用户可以通过互联网租用这些资源,无需购买和维护物理设备。
IaaS层服务的主要内容
计算资源:提供虚拟服务器(虚拟机),用户可以在这些虚拟机上部署和运行各种应用程序。
存储资源:包括块存储和对象存储,提供高可用性和可扩展的存储解决方案。
网络资源:包括虚拟私有云(VPC)、负载均衡器、防火墙等,帮助用户构建和管理虚拟网络。
IaaS层服务的优势和特点
按需计费:用户只需支付实际使用的资源,无需提前购买和维护大量硬件设备。
弹性伸缩:根据需求动态调整资源,避免资源浪费。
自动化管理:提供自动化工具和平台,简化资源配置、部署和监控等操作。
高可用性和容错性:通过虚拟化技术实现资源的冗余和故障恢复。 | 是 |
55 | atrust | 2.21日 | aTrsut 标准版本2.3.10及以下版本对接老的外置数据中心(当前已经下架,不再提供安装包)可不需要设备授权,即可使用日志存储能力;
从标准版本2.4.10开始,aTrust对外提供的外置数据中心为aTrust分析中心,需收费和授权才可使用日志存储、WEB审计和录屏等能力。
注意:
1. 若客户原先已经部署了老的外置数据中心,aTrust低于2.4.10版本依旧可正常使用;
2. 若aTrust升级到了2.4.10版本,但依旧想要使用老的外置数据中心,则需将版本升级至4.0.2版本(此时,2.4.10新增的UEM外发审批功能不支持) | 是 |
56 | 云计算基础 | 2.21日 | PaaS(Platform as a Service,平台即服务)是一种云计算服务模式,它为用户提供一个在线平台,支持在完全托管的基础设施上开发、运行和管理应用程序。用户无需管理底层基础设施(如服务器、存储和网络)或平台的运行时环境,只需专注于编写和部署应用代码。
云计算的PaaS层服务包括以下几种主要服务:
操作系统虚拟化:PaaS提供虚拟化操作系统,允许用户部署各种操作系统和应用程序
开发工具:PaaS集成了开发工具和集成开发环境(IDE),简化了应用程序开发
数据库服务:PaaS提供托管数据库服务,为应用程序提供数据存储和管理功能
网络和安全服务:PaaS提供安全措施,如防火墙、入侵检测和身份验证,以保护应用程序和数据
应用程序生命周期管理:PaaS提供应用程序生命周期管理工具,用于部署、测试和更新应用程序
分布式数据处理服务:包括分布式并行数据库服务(如Hive、HBase)、关系型数据库服务(如MySQL、Oracle、SQL Server)、分布式文件系统服务(如HDFS、GridFS)、内存数据库服务(如SQLite、Redis)、图数据库服务(如Titan、Neo4j)、全文数据库服务(如Solr、Elasticsearch)等
机器学习服务:包括监督学习、无监督学习、半监督学习和强化学习等服务
离线计算服务、实时计算服务、流式计算服务、内存计算服务(如Spark、Storm)等
传输交换、任务调度、加密解密、服务总线、授权服务、认证服务、API网关(安全服务)、地理位置服务(提供地理图层、数据和应用接口服务)、多媒体服务(如图形处理、语音、视频等多媒体相关的处理服务) | 是 |
57 | atrust | 2.24日 | atrust部署外置数据中心的条件
1atrust外置数据中心支持的平台:
aTrust外置数据中心是以镜像的形式进行部署,支持部署在可以导入ISO格式镜像的虚拟化平台;
2、硬件资源准备
准备一台如下规格的虚拟机/硬件服务器:
CPU:建议大于等于 16核,主频 2.4GHZ 以上;
内存:至少大于 32G,建议 64G 以上;
磁盘:系统盘大于256G,系统盘根据业务情况,建议 3T 以上 | 是 |
58 | 云计算基础 | 2.24日 | SaaS(Software-as-a-Service,软件即服务)是一种基于云计算的软件交付模式,其中软件应用程序部署在云端服务器上,并通过互联网向用户提供服务。用户无需购买、安装和维护软件,只需通过浏览器或移动应用等客户端访问和使用软件功能.
SaaS的特点
按需付费:用户只需支付实际使用的服务费用,降低了初期投资成本。
易于使用:通过浏览器或移动应用即可访问,无需复杂的安装和维护。
灵活性高:用户可以根据需求调整服务,适应企业发展的变化。
维护和更新:服务商负责软件的维护和更新,确保用户始终使用最新版本。
多用户访问:支持多用户同时在线使用,适合团队协作和远程办公。 | 是 |
59 | atrust | 2.25日 | 从标准版本2.2.10+SP4开始,aTrust支持隧道应用配置排除IP地址;
aTrust隧道资源排除地址的作用是在发布一个网段的地址后需要部分地址不需要走隧道排除这部分地址;
aTrust隧道资源排除地址配置路径:
在【业务管理】-【应用管理】-【应用列表】中点击对应的隧道资源或新增隧道资源,在隧道资源应用设置页面的服务器地址设置中勾选排除部分服务器地址设置选项,即可设置隧道资源排除地址信息; | 是 |
60 | HCI | 2.25日 | HCI6.10.0版本价值:
DRS2.0两种调度机制:
性能均衡模式:集群中主机出现资源不平衡时,将高负载主机上的虚拟机迁移到低负载主机上
根据灵敏度阈值选出高负载主机,将其虚拟机迁移到低负载主机上,使各主机间资源负载达到平衡
成本最优模式:集群存在2个及以上主机负载低于80%时,会通过迁移尽可能空余出某台主机的资源
在迁移之前做一个迁移后的模拟和计算,如果迁移后负载高于80%,则不会进行迁移
按照内存负载对主机进行排序,将低负载主机的虚拟机迁移到高负载主机,空余出主机资源
DRS迁移的网口会自动选择:根据源和目的主机,优先选择网口能互通的,然后再选择网口速率最大的,速率一样,按照vxlan口,vs存储网口,管理口顺序选则。 | 是 |
61 | atrust | 2.26日 | atrust如何使用纪元平台巡检:
进入深信服aTrust控制台,打开【系统管理】-【系统运维】-【设备巡检】页面,选择【acheck巡检】,点击<开启acheck巡检授权>。开启后将对应密钥输入平台巡检页面,授权开启后两小时内有效。 | 是 |
62 | HCI | 2.26日 | HCI6.10.0版本价值:
HA2.0相较于HA1.0的优化:从被动响应到主动预测的高可用技术进步
1、检测亚健康状态主动处置而非出现故障了被动迁移
2、智能预测资源需求腾挪主机资源而非直接发生 HA 失败 | 是 |
63 | atrust | 2.27日 | aTrust部署在虚拟平台上安装性能优化工具(vmtools)需要满足以下条件
1、aTrust标准版本2.1.12及以上版本
2、云平台要求VMware6.5及以上版本或者深信服超融合acloud 586及以上版本
3、其他云平台暂不支持安装性能优化工具 | 是 |
64 | HCI | 2.27日 | 相对比H3C和smartx、云宏,HA2.0的优势:
1.检测机制全(硬件、平台、VM),容错类型更多(包括HA机制本身),覆盖更多的故障、异常场景;
2.主动处置异常:可支持HA、部分不严重场景可以智能热迁移,减少事后处置的情况;
3.调度位置更合理:除了调度到客户预留资源范围内,还能结合智能调度引擎的推荐,推荐更合理的调度位置 | 是 |
65 | atrust | 2.28日 | 从标准版本2.2.6开始,aTrust支持给用户绑定虚拟IP,在虚拟IP配置界面配置独享虚拟IP即可实现
aTrust 设置独享虚拟IP的配置路径如下:
综合网关设备在【系统管理】-【网络部署】【虚拟ip】-【独享虚拟IP】处设置即可;
分离式设备在控制中心的【系统管理】-【代理网关管理】-代理网关节点处设置独享虚拟ip;
注意事项:
1、aTrust用户不可以绑定一个虚拟IP段,只能绑定单个虚拟IP,可以设置绑定多个虚拟IP;用户没有绑定虚拟IP时,用户将从默认虚拟IP池获取虚拟IP。
2、aTrust配置独享虚拟IP无法选择适用对象,需要手动输入用户信息,系统会自动筛选出再进行选择 | 是 |
66 | HCI | 2.28日 | HCI6.10.0版本价值:
资源预留是指在部分主机上预留一定资源空间,这部分资源不会被系统、其它虚拟机使用,当某主机故障或容灾切换时,能使用预留主机资源立即恢复虚拟机,降低因资源不足导致业务故障恢复失败的风险。
RightSize技术:当主机可用内存小于虚拟机配置所需时,允许使用RightSize来判断,即RightSize小于主机剩余可用计算内存时,则允许开机。
腾挪:当集群内剩余的虚拟机都没有足够的资源来让虚拟机HA时,会由系统尝试整理碎片资源,对原有虚拟机进行腾挪。即当RightSize也无法成功时,会使用腾挪(热迁移)其他虚拟机的方式为当前故障虚拟机提供可运行位置。 | 是 |
67 | atrust | 3.3日 | aTrust的Open API能实现如下功能:
配合客户的OA或工单系统,完成自动化流程审批(如通过工单系统审批后,自动创建用户、自动创建应用、自动将应用和用户关联)等等;
客户没有AD/LDAP等可以同步的用户目录服务器,可以通过Open API,实现通过工单或OA系统,批量写入aTrust,实现精细化授权;
或者也可以配合客户的OA或工单系统,查询数据,如用户信息,SPA安全码,等
具体的相关接口链接请参考API手册 | 是 |
68 | HCI | 3.3日 | HCI6.10.0版本价值:
基于SPDK的Turbo加速:
SPDK(Storage Performance Development Kit?)一种用于构建高性能存储应用程序的工具包。超融合在虚拟化层使用 SPDK-vHost 技术使虚拟机运行在用户态,使 IO 流可以绕过内核直接访问硬件,从而减少虚拟化陷入陷出引发的调度性能开销。
通过基于 SPDK-vHost 的 Turbo 加速技术将大块混合读写的平均时延从 4ms 降低到 2ms ,吞吐效率提升 50% 左右。小块 IOPS 提升 20% 以上,大幅领先国内友商。 | 是 |
69 | atrust | 3.4日 | atrust Open API开启方式:【系统管理】-【开放平台】-【Open API】里面设置即可,API地址是控制中心地址,端口是控制后台端口,rust设备API接口可以设置访问IP白名单设置只允许哪些IP地址可以访问Open API接口 | 是 |
70 | HCI | 3.4日 | HCI6.10.0版本价值:
RDMA无损网络:
RDMA(Remote Direct Memory Access)允许计算机之间直接传输数据到内存而无需操作系统介入处理,以避免传统的TCP/IP网络协议栈在系统调用和内存复制等操作上带来的性能开销。分布式存储基于 RDMA 技术可以显著减少数据在不同节点传输的延迟,提高存储网络通信的效率。
深信服超融合虚拟存储引入 RDMA 技术,使用 RoCE v2 传输协议,借助单双边混合的通信方式大幅提升了存储性能 写性能提升35%以上,小块写场景下更是性能超越友商90%。 | 是 |
71 | atrust | 3.5日 | aTrust从2.0.5开始支持一个账号多人同时登入;
配置路径:
在【业务管理】-【策略配置】-【用户策略】中新建或者编辑用户策略,“账号安全”里面可以上设置PC或者移动端的同时在线终端个数(支持设置的范围是:0-1000个)
注意事项:
1、同时在线设备上限个数配置为“0”是代表不允许用户登录
2、当超过终端个数时,会注销最早登录的终端
3、被踢下线的用户有对应的注销提醒 | 是 |
72 | HCI | 3.5日 | HCI6.10.0版本价值:
无代理备份接口:
基于云平台提供的 OpenAPI 接口和磁盘数据访问 SDK,第三方备份应用可以实现对云平台的虚拟机及其磁盘设备的配置和数据操作,以实现对云平台虚拟机的备份和恢复业务开发。第三方备份厂商可基于该接口进行二次开发,以支持对深信服HCI的虚拟机备份恢复。不需要在云平台或者虚拟机中安装插件即可实现对虚拟机的备份。 | 是 |
73 | atrust | 3.6日 | 从标准版本2.2.6开始,aTrust设备支持英文操作系统接入aTrust。
如果是2.2.6版本的aTrust客户端接入低版本设备会出现部分界面显示中文的情况,截止2410版本,atrust客户端只支持中文和英文操作系统 | 是 |
74 | SCP | 3.6日 | HCI6.10.0版本价值:
SCP云主机支持业务网IPv6配置,路由器支持IPv6下L2和L3的转发能力及常见的路由配置;支持IPv6功能的NFV(vAF和vAD),满足平台承载IPv6业务安全防护、网络访问稳定性;SCP虚拟网络和租户补齐对IPV6的支持,包括虚拟路由器、租户、EIP等。 | 是 |
75 | atrust | 3.7日 | aTrust客户端超时注销时间设置比较长,如果一直有流量肯定是一直在线的,aTrust目前还没有超时强制注销机制;换网络后客户端会自动重连,会一直重连直到注销,会重连3次左右,每30秒左右重连一次直到注销,无流量情况下,到了超时注销时间会注销 | 是 |
76 | HCI | 3.7日 | 从标准版本HCI6.1.0开始,可对平台上的所有用户强制下发密码策略,包括密码长度、密码复杂度、密码有效期与错误输入次数。配置路径:HCI控制台-【系统管理】-【管理员与权限管理】选择用户可以设置登录与密码策略,在里面可设置控制台用户密码复杂度 | 是 |
77 | atrust | 3.10日 | aTrust软件和硬件设备恢复出厂设置,aTrust设备授权信息都会被清空;aTrust设备恢复出厂后硬件特征信息都不变的情况,是可以重新将之前的授权信息导入设备使用 | 是 |
78 | HCI | 3.10日 | 虚拟机最佳实践:
1、vCPU配置:检查虚拟CPU配置,确保不超过物理CPU的实际核数和颗数。建议“虚拟插槽数”不要超过物理主机的CPU个数,“每个插槽的核数”不要超过物理CPU单个CPU线程数。
2、大页内存:虚拟机应开启大页内存,以提高内存访问效率。
3、磁盘设置:将虚拟机的磁盘设置为预分配,这样可以减少运行时的性能损耗。
4、标记重要虚拟机:勾选标记为重要虚拟机,以确保其在资源分配时优先考虑。
5、使用fastio/virtio磁盘:勾选使用fastio/virtio磁盘,以提高磁盘I/O性能。
6、内存管理:取消“内存自动回收”选项,以避免不必要的性能波动。
7、Windows操作系统设置:如果操作系统是Windows,则需开启"使用HostCPU"和“高性能时钟”,以优化性能。 | 是 |
79 | atrust | 3.11日 | aTrust支持的认证方式有如下:
主要认证有:用户名密码、LDAP/AD认证、CAS票据认证、radius账号认证、证书认证、短信主认证、OAuth2.0票据认证、钉钉认证、企业微信认证、从标准版本aTrust2.2.16开始,客户端支持普密Ukey认证;
二次认证有(也叫辅助认证):短信辅助认证、radius令牌认证、TOTP动态令牌认证、第三方令牌认证,证书认证,从标准版本aTrust2.2.16开始,客户端支持普密Ukey认证;
截止标准版本2.4.10,aTrust 用户暂不支持邮箱认证
截止到标准版本2.2.16,aTrust暂不支持硬件特征码认证 | 是 |
80 | EDS | 3.11日 | 集群组网:
EDS集群网络类型包括管理网、存储私网和存储外网三类不同网络。
管理网络:用于平台管理和集群状态维护,要求所有EDS主机的管理口IP在同一网段。
存储私网:负责存储节点间的数据通信,采用链路聚合或无链路聚合的方式连接。
存储外网:用于对外连接客户端提供存储业务。
操作步骤:
1、连接管理主机:
在准备的管理主机上通过浏览器连接其中一台存储主机,输入管理IP地址,登录管理界面。
2、配置网络:
确保所有EDS主机的管理口IP地址为同网段,并接入同一交换机。
存储私网地址需提前规划好,不支持修改。
3、集群搭建:
在管理界面选择“立即部署”,输入集群的IP地址、子网掩码及集群名称,选择部署模式(独立部署或融合部署)。
4、添加物理主机:
根据填写的集群IP网络地址段触发主机自动扫描,确认所有主机都被识别后,点击“下一步”。
注意事项
在创建集群前,确保所有网卡已插好,后续添加网卡需联系研发技术支持。
集群部署后,部署模式不支持修改,因此建议根据业务需求提前规划好。 | 是 |
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员1级 
