SGOS 6.4 Feature Change Reference

Blue Coat 系统 ProxySG 设备 SGOS 6.4.x 升级 / 降级功能更改参考 SGOS 6.4.x 版

Blue Coat SGOS 6.4 升级 / 降级功能更改参考联系方式美洲 : Blue Coat Systems Inc. 420 North Mary Ave Sunnyvale, CA 94085-4121 世界其他地区 : Blue Coat Systems International SARL 3a Route des Arsenaux 1700 Fribourg, Switzerland http://www.bluecoat.com/contact/customer-support http://www.bluecoat.com 如对本文档有任何意见或反馈, 请发送至 : documentation@bluecoat.com ii

Copyright 1999-2012 Blue Coat Systems, Inc. All rights reserved worldwide. No part of this document may be reproduced by any means nor modified, decompiled, disassembled, published or distributed, in whole or in part, or translated to any electronic medium or other means without the written consent of Blue Coat Systems, Inc. All right, title and interest in and to the Software and documentation are and shall remain the exclusive property of Blue Coat Systems, Inc. and its licensors. ProxyAV, ProxyOne, CacheOS, SGOS, SG, Spyware Interceptor, Scope, ProxyRA Connector, ProxyRA Manager, Remote Access and MACH5 are trademarks of Blue Coat Systems, Inc. and CacheFlow, Blue Coat, Accelerating The Internet, ProxySG, WinProxy, PacketShaper, PacketShaper Xpress, PolicyCenter, PacketWise, AccessNow, Ositis, Powering Internet Management, The Ultimate Internet Sharing Solution, Cerberian, Permeo, Permeo Technologies, Inc., and the Cerberian and Permeo logos are registered trademarks of Blue Coat Systems, Inc. All other trademarks contained in this document and in the Software are the property of their respective owners. BLUE COAT SYSTEMS, INC. AND BLUE COAT SYSTEMS INTERNATIONAL SARL (COLLECTIVELY BLUE COAT ) DISCLAIM ALL WARRANTIES, CONDITIONS OR OTHER TERMS, EXPRESS OR IMPLIED, STATUTORY OR OTHERWISE, ON SOFTWARE AND DOCUMENTATION FURNISHED HEREUNDER INCLUDING WITHOUT LIMITATION THE WARRANTIES OF DESIGN, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL BLUE COAT, ITS SUPPLIERS OR ITS LICENSORS BE LIABLE FOR ANY DAMAGES, WHETHER ARISING IN TORT, CONTRACT OR ANY OTHER LEGAL THEORY EVEN IF BLUE COAT SYSTEMS, INC. HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. Americas: Rest of the World: Blue Coat Systems, Inc. Blue Coat Systems International SARL 420 N. Mary Ave. 3a Route des Arsenaux Sunnyvale, CA 94085 1700 Fribourg, Switzerland 文档编号 :231-03034-zh_CN 文档版本 :SGOS 6.4.1 2012 年 11 月 iii

Blue Coat SGOS 6.4 升级 / 降级功能更改参考 iv

内容第 1 章 : 前期准备工作关于文档组织结构... 5 文档约定... 5 第 2 章 : 特定功能的升级行为 SGOS 6.4.x 中引入的功能变化... 7 多 Windows 域支持... 7 SAML 身份验证支持... 8 重新协商中的客户端证书绕过列表... 8 对 SSL 中间 CA 证书缓存的支持... 8 ProxySG VA MACH5 Edition... 9 自动策略同步... 9 第 3 章 : 弃用和取消通知 SGOS 6.4.x 中的取消功能和弃用... 11 禁用检测信号... 11 会话监控高级 URL... 12 v

SGOS 升级 / 降级功能更改参考 vi

第 1 章 : 前期准备工作本文档介绍升级到此发行版或从此发行版降级对新功能和现有功能有什么影响 Blue Coat 强烈建议您在尝试升级到 SGOS 6.4 之前阅读本文档在升级之前, 您还应查阅以下文档 : 关于文档组织结构 Blue Coat SGOS 6.4.x 发行说明 Blue Coat SGOS 6.4.x 升级指南现有功能和策略的执行方式可能与以前的版本不同, 升级到此版本可能需要额外进行一些配置调整本文档经过适当组织以便于引用, 并分成以下章节 : 表 1 1 文档组织结构章节标题说明第 1 章前期准备工作本章讨论相关的 Blue Coat 文档以及文档约定第 2 章特定功能的升级行为本章识别 SGOS 6.4 中的新行为并讨论任何升级 / 降级问题第 3 章弃用和取消通知本章列出将来的版本中逐步淘汰的任何命令和选项文档约定下面的部分列出了本手册中使用的印刷和命令行界面 (CLI) 语法约定表 1 2 印刷约定约定定义斜体第一次使用新术语或 Blue Coat 专有术语 Courier 字体出现在管理员工作站中的命令行界面文本 Courier 斜体命令行变量, 会被有关您网络系统适当方面的文字名或值替换 Courier 粗体必须按所示方式输入的文本 { } 必须提供括号内的参数之一 5

Blue Coat SGOS 6.4 升级 / 降级功能更改参考表 1 2 印刷约定 ( 续 ) 约定定义 [ ] 括起一个或多个可选参数此竖线用于描述强制或可选列表中的选项例如 : configure {terminal network url} 6

第 2 章 : 特定功能的升级行为本章提供关于升级到 SGOS 6.4 或从此版本降级会如何影响特定功能的重要信息, 并介绍升级后管理员可采取的措施如果未提到具体功能, 则没有已知的升级或降级问题或注意事项本指南假定您从支持直接升级的版本升级到 SGOS 6.4 SGOS 6.4 支持从 SGOS 5.4.x 5.5.x 6.1.x 6.2.x 和 6.3.x 的特定发行版直接升级请查阅 SGOS 6.4.x 发行说明或升级 / 降级指南以了解具体的发行版本号注 : 如果 ProxySG 降级到不支持任何新 CPL 触发器的发行版, 则无法编译使用这些触发器的策略 SGOS 6.4.x 中引入的功能变化本节介绍 SGOS 6.4.x 中引入的功能所发生的行为变化升级和降级信息按组件提供多 Windows 域支持 ( 第 7 页 ) SAML 身份验证支持 ( 第 8 页 ) 重新协商中的客户端证书绕过列表 ( 第 8 页 ) 对 SSL 中间 CA 证书缓存的支持 ( 第 8 页 ) ProxySG VA MACH5 Edition ( 第 9 页 ) 自动策略同步 ( 第 9 页 ) 多 Windows 域支持在 SGOS 6.2 和 6.3 中,ProxySG 必须加入 Exchange 服务器所在的同一个 Windows 域以便加速加密 MAPI 流量 ; 这些版本中的限制是只能加入一个域从 SGOS 6.4 开始,ProxySG 可以加入多个域, 并可用于配置 IWA Direct 以及加密 MAPI 功能影响 : 从较早的发行版升级 SGOS 6.2 和 6.3 版本不要求您在配置加密 MAPI 时指定 Windows 域, 因为只有一个域可用如果在升级到 SGOS 6.4 时启用了加密 MAPI, 加密 MAPI 配置将自动引用现有的域 ; 这是因为 SGOS 6.4 现在需要指定一个域请注意, 如果您尝试离开该域,ProxySG 将不会允许此操作, 因为配置中引用了该域如果您要离开该域, 需要首先将其删除影响 : 降级到较早的发行版如果您在 SGOS 6.4 中加入 Windows 域, 然后又降级到 6.3 或 6.2, 域配置将被锁定 ( 您不能离开加入或以其他方式更改该域 ) 要在 6.2 或 6.3 中加入该域, 您必须在启动 6.4, 离开该域, 然后再启动较早的版本 7

Blue Coat SGOS 6.4 升级 / 降级功能更改参考相关文档 SGOS 6.4 管理指南 SAML 身份验证支持 SGOS 6.4 中增加了带有安全断言标记语言 (SAML) 2.0 的身份验证支持影响 : 降级到较早的发行版如果您建立了 SAML 领域并计划降级到较早版本的 SGOS, 则必须从策略中删除对 SAML 的引用较早版本的 SGOS 无法识别 SAML 领域类型相关文档 SGOS 6.4 管理指南重新协商中的客户端证书绕过列表 SGOS 6.4 增加了对重新协商中的客户端证书绕过列表的支持影响 : 降级到较早的发行版包括 client.certificate.requested 条件的现有策略现在可在 SSL 重新协商期间请求客户端身份验证的任何其他服务器上执行如果降级到较早发行版的 SGOS, 当作为连接握手的一部分请求客户端证书时, 该条件仍将正确工作, 但是在重新协商期间请求客户端证书时, 其将不会返回 true 为了避免这种情况, 您必须记录 SSL 客户端证书请求列表中的条目, 并在执行降级之前手动将其添加到策略在较早版本的 SGOS 中, 服务器重新协商并请求客户端证书而策略中没有选中的客户端证书时, 该条件总是会造成连接中断注 : 降级后, 如果用户访问未包含在 SSL 客户端证书请求列表中的网站但该网站在重新协商中请求客户端证书, 这些用户的连接将会中断在这种情况下, 当用户通知您这些连接问题时, 可以将这些网站手动添加到策略中相关文档 SGOS 6.4 命令行参考对 SSL 中间 CA 证书缓存的支持 SGOS 6.4.1 中增加了对中间 CA 证书缓存操作的支持影响 : 降级到较早的发行版如果您已在 ProxySG 设备上启用中间 CA 证书缓存, 并随后降级到较早版本的 SGOS, 缓存的中间证书将不再可用相关文档 SGOS 6.4 管理指南 8

第 2 章 : 特定功能的升级行为 ProxySG VA MACH5 Edition SGOS 6.4.x ProxySG 虚拟设备 MACH5 Edition 将会修改安全配置影响 : 降级到较早的发行版安装并运行 SGOS 6.4.x VA 发行版后, 对 SGOS 6.4.x 安全配置所做的更改会导致其与以前的版本不兼容这意味着不支持降级回较早的 VA 发行版如果加载 6.4.x 版以下的 SGOS,ProxySG VA 仍将启动, 但只能进行控制台访问您无法通过浏览器或 SSH 客户端访问 VA 此外, 使用加密的密码或密钥环 ( 证书 ) 的任何功能都将无法工作这种降级情形适用于新 VA 安装以及从较早 SGOS 版本升级的 VA 如果意外降级, 应使用虚拟控制台将机器重新启动回 6.4 发行版 : 1. 使用 VMware 客户端登录 ESX/i 服务器 2. 选择 ProxySG VA 3. 选择 Console 选项卡, 单击控制台窗口内部以激活鼠标 4. 在启用模式下登录 ProxySG VA 5. 重新启动之前, 输入下面的命令以将 SGOS 6.4 设置为默认映像 : # config t #(config)installed-systems #(config installed-systems) view <--locate the system number of the 6.4 image (e.g., 1) #(config installed-systems) default <system number> <--for example, default 1 #(config installed-systems) exit #(config) exit 6. 输入 restart upgrade CLI 命令以重新启动 ProxySG 相关文档 ProxySG 虚拟设备 MACH5 Edition 初始配置指南 ( 附录 B) 自动策略同步自动策略同步功能用于集成本地部署的 ProxySG 设备与高级实验室网络 (ALN), 以创建可全局应用于本地和远程用户的筛选策略这是更大的 Blue Coat 通用策略功能的一部分影响 : 降级到较早的发行版如果您降级到较早的 SGOS 版本, 将会失去自动策略同步云服务功能然而, 如果您随后升级至 SGOS 6.4 或更高版本 ( 且并未恢复出厂默认值 ), 则可以恢复以下云服务设置 : 注册状态 ( 已注册 / 未注册 ) 常规策略订阅状态 ( 启用 / 禁用 ) 云网络状态 ( 生产 /ALN) 相关文档自动策略同步指南 9

Blue Coat SGOS 6.4 升级 / 降级功能更改参考 10

第 3 章 : 弃用和取消通知本章提供关于 SGOS 6.4.x 中的弃用和取消功能的详细信息 SGOS 6.4.x 中的取消功能和弃用禁用检测信号下面的功能在 SGOS 6.4.x 中已取消禁用检测信号的功能已从 SGOS 6.4.x 的管理控制台中取消现在, 您只能从 CLI 管理客户体验计划和监控设置 ( 检测信号 ), 如下所示 : 禁用检测信号 : SGOS#(config) diagnostics SGOS#(config diagnostics) heartbeat disable 手动发送检测信号消息 : 如果禁用自动检测信号消息, 仍然可以通过输入以下命令手动发送检测信号消息 : SGOS#(config) diagnostics SGOS#(config diagnostics) send-heartbeat 禁用监控 : 在启用了监控的情况下 ( 默认启用 ), 只要设备重启,Blue Coat 就会通过 HTTPS 收到经过加密的信息类似于检测信号消息, 发送的数据不包含任何隐私信息 ; 它包含了重启摘要信息和每日检测信号从而对由于系统问题而发生的 ProxySG 意外重启实施跟踪, 并使得 Blue Coat 可以及时处理系统问题输入以下命令可禁用监控 : SGOS#(config) diagnostics SGOS#(config diagnostics) monitor disable 启用检测信号和 / 或监控 : 如您已禁用检测信号和 / 或监控, 可以通过输入以下命令重新启用 : SGOS#(config diagnostics) heartbeat enable SGOS#(config diagnostics) monitor enable 11

Blue Coat SGOS 6.4 升级 / 降级功能更改参考会话监控高级 URL 在较早版本的 SGOS 中, 可从管理控制台的 Statistics > Advanced 下获得会话监控链接这些链接在 SGOS 6.4.x 中已取消 ; 但是, 您仍可通过在 Web 浏览器地址栏中输入这些高级 URL 以进行手动访问重置统计信息 https://<proxysg_ip_address>:8082/sessionmonitor/resetstats 报告统计信息 https://<proxysg_ip_address>:8082/sessionmonitor/stats 在会话表中查找 IP 地址 https://<proxysg_ip_address>:8082/sessionmonitor/lookup/<ip_address> 12