注意:海外产品需要使用海外版本aCheck工具进行巡检,请前往以下链接下载:https://community.sangfor.com/plugin.php?id=service:download&action=view&fid=144#/62/all 优先使用“Sangfor Checks_SEA.zip”
1. AF(含各子品类):AF6.2及以上版本
2. NIPS:全版本支持
3. WAF:全版本支持(WAF8.0.61不支持)
4. FW:全版本支持
5. VAF:AF6.2及以上版本
6. 新架构:8.0.50,8.0.51,8.0.55,8.0.59,8.0.60,8.0.65,8.0.69,8.0.70,8.0.71,8.0.75,8.0.77,8.0.79,8.0.82,8.0.83,8.0.85,8.0.85.312,8.0.86,8.0.87,8.0.90,8.0.92,8.0.95(新架构的其他版本不要问了,就是不支持)
1. 巡检所使用密码,必须为<admin账号>对应的密码,如admin账号修改为其他账号名,也必须使用修改后账号名以及对应的密码;
举例:设备初始的账号为admin,密码为admin,但是客户将账号修改为supadmin,密码改为Sangfor@123,那么巡检时账号密码用supadmin/Sangfor@123 (巡检时使用修改后的账号和密码)
2. 当前设备为国密、涉密等默认使用<三权分立>的账号体系,必须使用<system账号>对应的密码;
3. 纪元平台巡检及巡检前的探测功能,均是采用模拟登录的过程,而非只测试端口连通性,所以如遇到telnet端口可以通过,但纪元平台测试不通,老架构请尝试用updater工具检查是否可连接设备正常,新架构不涉及到51111端口,只使用443端口。
1. 进入深信服防火墙AF控制台,打开【网络】-【接口】-【区域】页面,点击当前连接设备IP的接口所在区域,在“允许管理设备”勾选“SSH”即可,如下图:
2. 验证telnet 51111 端口是否正常(巡检与控制台(Web UI)端口无关,无需关注控制台端口);
3. 若“检测端口连通性”提示不通,但是51111端口是正常的,那么可以忽略控制台连接不通提示,直接点击开始巡检(51111端口一定要通,否则一定无法巡检);
(1)若51111端口正常,但是巡检依旧报错,AF老架构请尝试用SANGFOR_Updater工具检查是否可连接设备正常,若无法连接,联系400排查处理;
(2)经400排查后,SANGFOR_Updater检查确认可以正常连接后,一定要把SANGFOR_Updater关闭(点击工具右上角关闭),否则纪元平台巡检依旧会报错
(3)AF特殊情况:如连接AF的IP所在接口,存在访问的来回路径不一致,会导致51111端口可以telnet通,但访问不成功。解决方案是使用来回路径一致的接口访问;(解决方法:①直连设备 ②联系400)
(4)AF特殊情况:如界面已开启了updater权限,但telnet不通,可以通过SSH进后台,netstat –anpt |grep 51111看是否被监听,如未监控可执行updateme_bak拉起;(若不会操作,联系400)
1. 进入深信服防火墙AF控制台,打开【网络】-【接口】-【物理接口】页面,选择当前连接设备IP的接口,单击接口名称或在操作栏点击<编辑>进入编辑页面,在“系统维护”勾选“启用”即可。如下图所示:
2. 验证telnet 51111 与 22345 两个端口是否正常(51111端口一定要通,否则一定无法巡检)如果确实不通联系400处理;
3. 若“检测端口连通性”提示不通,但是51111 与 22345 两个端口是正常的,那么可以忽略此提示,直接继续巡检;
1. 无需额外开启其他端口,直接使用WEB控制台的端口进行巡检。可直接连接设备IP进行;
2. 关闭动态验证码;
需要注意:新架构控制台受验证码影响,有小概率验证码会识别失败。临时处理方案可前往:【系统】-【通用配置】-【控制台配置】,关闭<动态验证码>功能,巡检结束后再开启。该功能开启/关闭不影响业务。如下图所示:
 |
 |
3. 开启webAPI,路径:系统 → 管理员账号 → admin 勾选web API
4. 若“检测端口连通性”提示“连通性检测失败”,那么可以忽略此提示,直接继续巡检;
6. 开始巡检出现如下错误,请再次检查 验证码是否关闭、API是否开启
建议使用Chrome浏览器访问!
