Web Gateway 7.7.0 Versionshinweise - Knowledge Center

Versionshinweise
Revision A
McAfee Web Gateway 7.7.0
Inhalt
Informationen zu dieser Version
Neue Funktionen und Verbesserungen
Behobene Probleme
Installationsanweisungen
Bekannte Probleme
Quellen für Produktinformationen
Informationen zu dieser Version
Dieses Dokument enthält Informationen über die aktuelle Version. Es wird dringend empfohlen, das
gesamte Dokument zu lesen.
®
McAfee Web Gateway (Web Gateway) 7.7.0 wird als kontrollierte Version bereitgestellt. Dies ist eine
Hauptversion, die neue Funktionen und Verbesserungen bietet und in der in Vorversionen enthaltene
Probleme behoben wurden.
Wenn bereits die Bündelungskonfiguration implementiert ist, die vor der Veröffentlichung
von Web Gateway 7.5.2 als nicht unterstützte Funktion verfügbar war, müssen Sie vor dem
Upgrade auf die neue Version alle Einstellungen dieser vorherigen Konfiguration entfernen,
da die Appliance sonst möglicherweise in einen instabilen Zustand versetzt wird.
Nach dem Upgrade können Sie die Netzwerkschnittstellenbündelung wieder entsprechend
der Beschreibung im Kapitel Systemkonfiguration des Produkthandbuchs für McAfee Web
Gateway implementieren.
1
Neue Funktionen und Verbesserungen
Diese Version des Produkts beinhaltet die folgenden neuen Funktionen und Verbesserungen.
Zusätzliche HSM-Lösungen
Für die Verwendung eines Hardware Security Module (HSM) sind zusätzliche Lösungen verfügbar, die
die Sicherheit mit privaten Schlüsseln erhöhen.
Sie können remote mit einem Hardware Security Module arbeiten, indem Sie die Lösung SafeNet
Network HSM verwenden, die von einem Intel-Partner (Gemalto) bereitgestellt wird, oder eine
Emulation mithilfe von OpenSSL ausführen.
Weitere Informationen hierzu finden Sie im Kapitel Web-Filterung des McAfee Web
Gateway-Produkthandbuchs.
Konfiguration der Mandanten-ID
Es kann eine Mandanten-ID konfiguriert werden, die einen Kunden als Eigentümer einer bestimmten
Instanz von Web Gateway und gleichzeitig auch von anderen Intel-Sicherheitsprodukten, die dieser
Kunde erworben hat, identifizieren.
®
®
®
™
Verwenden Sie das Web Gateway und McAfee ePolicy Orchestrator Cloud (McAfee ePO
Cloud)-Schnittstellen, um eine Mandanten-ID zu konfigurieren.
Weitere Informationen hierzu finden Sie im Kapitel Zentrale Verwaltung des McAfee Web
Gateway-Produkthandbuchs.
Cloud-Sandboxing
Es wurde ein Regelsatz für den Versand von Dateien an das neue Cloud Threat Defense-Produkt
erstellt, das Datei-Sandboxing und Analysen, einschließlich IoCs, für die Erkennung und Verhinderung
von Bedrohungen bietet.
Cloud Threat Defense wird separat lizenziert und bald zur Verfügung stehen.
Optimierte Verarbeitung von Netzwerkprotokollen
Es wurden einige Optimierungen für die Verarbeitung von Netzwerkprotokollen implementiert.
•
Das HTTP/2-Protokoll steht jetzt für die Konfiguration der Netzwerkkommunikation zur Verfügung.
•
Einige Verbesserungen für die Konfiguration der Untersuchung von SSL-gesichertem Datenverkehr
wurden implementiert.
•
Die Bibliothek Open SSL 1.0.2j kommt jetzt für die Verarbeitung von SSL-gesichertem
Datenverkehr zum Einsatz.
Geänderte Proxy-Konfiguration
Die Proxy-Konfiguration unter Verwendung einer Systemkonsole wurde optimiert, während einige
ältere Funktionen jetzt nicht mehr zur Verfügung stehen.
2
•
Ein Proxy, der in der Benutzeroberfläche einer Web Gateway-Appliance für die Verwendung bei der
Aktualisierung von Filterinformationen konfiguriert wurde, kann auch für die Verwendung bei der
Aktualisierung des MLOS-Betriebssystems konfiguriert werden.
•
Auch die Bandbreitenbeschränkung kann für die Verarbeitung des Web-Datenverkehrs konfiguriert
werden, wenn Web Gateway als Proxy im transparenten Modus oder im Modus
Proxy-Hochverfügbarkeit ausgeführt wird.
•
Bei der Konfiguration einer Zieladresse für einen ICAP-Client kann anstelle einer IP-Adresse ein
vollständig qualifizierter Domänenname angegeben werden.
•
Die integrierte SOCKS-Proxy-Lösung, die für eine frühere Web Gateway-Version implementiert
wurde, umfasst nicht mehr die Option für die Ausführung eines Proxys vom Typ SOCKS Dante.
Die Migration von einer Konfiguration mit dem Proxy SOCKS Dante zu einer mit der geänderten
Version der integrierten Lösung ist allerdings möglich.
•
Optionen für die Konfiguration von ICQ- und Yahoo-Proxys auf dem Web Gateway wurden entfernt.
Verschiedene Konfigurationsverbesserungen
Verbesserungen bezüglich Konfigurationsaufgaben wurden implementiert.
•
Wenn der Administrator eine Konfigurationsänderung in der Benutzeroberfläche speichert, wird eine
Option zum Speichern eines Kommentars zu der Änderung angezeigt.
•
Im UNIX-Zeitschema wurden zwei neue Eigenschaften für die Speicherung von Datum und Zeit als
Zeichenfolge im GMT- oder ISO-Format hinzugefügt.
•
Listen mit Web-Sicherheitselementen, die dem Administrator bereitgestellt werden, werden als
bereitgestellte Listen und nicht als verwaltete Listen in der Benutzeroberfläche bezeichnet, da diese
Listen eigentlich nicht von Intel verwaltet werden.
•
Einstellungen für die Konfiguration der Cache-Verwendung im Web Gateway wurden geändert.
Behobene Probleme
Die folgenden Probleme wurden in dieser Produktversion behoben. Bugzilla-Referenznummern sind in
Klammern angegeben.
Netzwerkkommunikation
•
Wenn Web Gateway als SOCKS-Proxy mithilfe der Kerberos-Authentifizierungsmethode ausgeführt
wurde, wurde eine Anfrage nicht an das Internet weitergeleitet, da der SOCKS-Proxy die
Authentifizierungsverarbeitung durch Kerberos nicht akzeptierte. (1132829)
•
Wenn McAfee Client Proxy für die Weiterleitung von Datenverkehr an Web Gateway verwendet
wurde, konnte die ursprüngliche Client-IP-Adresse nicht von jeder Eigenschaft erreicht werden, da
die Kopfzeile, die die IP-Adresse enthielt, nicht richtig entschlüsselt wurde. (1139163)
•
Zugriff auf ein Web-Portal war blockiert, da der Web-Server ein abgelaufenes Zertifikat gesendet
hat, während ein neues bereits auf Web Gateway registriert wurde. (1140586)
•
Nach Durchführung einer Sicherung und Wiederherstellung für Web Gateway wurden die
konfigurierten Regeln für die Verarbeitung statischer Routen nicht mehr eingehalten. (1141680)
•
Bei der Verarbeitung einer Antwort, die von einem Proxy am nächsten Hop an Web Gateway
gesendet wird, wurden die Kopfzeilenangaben zur Inhaltslänge nicht entsprechend der
Konfiguration in den Regeln entfernt, wodurch die Antwort nicht an den Client der Anfrage
weitergeleitet wurde. (1144491)
•
Web Gateway konnte keine TLS-Verbindung zu einem bestimmten Web-Server öffnen, der die
Verwendung eines älteren SHA-Signaturalgorithmus erforderte. Es wurde eine Funktion zur
Verwendung älterer Signaturen implementiert, die die Einrichtung der SSL-Verbindung zulassen.
(1144894)
3
•
Wenn Web Gateway als SOCKS-Proxy ausgeführt wurde, verhinderte die
Textkörpergrößen-Eigenschaft im Zugriffsprotokoll das Schreiben von Protokollzeilen. Zeilen
konnten nicht geschrieben werden, da die Größe des Textkörpers nicht berechnet werden konnte.
Dies lag daran, dass eine interne ID nicht richtig festgelegt wurde. (1146957)
•
Wenn Web Gateway für die Filterung von Datenverkehr im Modus FTP über WCCP bei gleichzeitiger
Spoofing-Aktivierung für Client-IP-Adressen konfiguriert wurde, wurden Synchronisierungsanfragen
vom aktiven FTP-Server auf Web Gateway ignoriert. (1151584)
•
Wenn die Medientypfilterung auf Web Gateway aktiviert wurde, führte die Verarbeitung von
HTTP-Datenverkehr zu einem internen Server-Fehler, da Web Gateway einige Skripten eines
unbekannten Skripttyps, die bei diesem Datenverkehr versendet wurden, gelöscht hat. (1152454)
•
Statische Routen, die auf Web Gateway konfiguriert wurden, wurden unter dem Routing
Information Protocol ignoriert und schließlich gelöscht. Dies lag an einem Buffer Overflow, der
durch die große Anzahl an Routen verursacht wurde. (1153204)
Web-Filterung
•
Ein Leerzeichen innerhalb des Dateipfads einer URL sorgte für eine falsche URL-Kategorisierung.
(1131993)
•
Wenn die Regeln im standardmäßigen Regelsatz für die HTML-Filterung verarbeitet wurden, wurden
Web-Objekte ohne HTML-Bezug während des Downloads beschädigt, da diese Regeln aufgrund
ungeeigneter Regelsatzkriterien auch darauf angewendet wurden. (1138608)
•
Wenn Aktualisierungen für die Anti-Malware Engine auf Web Gateway durchgeführt wurden,
dauerte die erneute Initialisierung ungewöhnlich lange. Dies wirkte sich auch auf die Verarbeitung
von Anfragen aus, für die eine Überprüfung der Eigenschaft Antivirus.IsInfected erforderlich war.
(1145537)
•
Ein Problem bei der Ermittlung des Zertifikatausstellers in einer SSL-gesicherten Kommunikation
hat zum Ausfall des Koordinator-Subsystems mit dem Term-Signal 6 geführt. (1149925)
•
Ein privater Schlüssel für eine standardmäßige Zertifizierungsstelle, der in einem Regelsatz für die
Verarbeitung von McAfee ePO Cloud-Anfragen verwendet wurde, enthielt eine Leerstelle. Dies
führte zu einer ungültigen Länge bei der Decodierung für den Schlüssel vor dessen
Verschlüsselung.
Der Schlüssel wurde deshalb vom Kernprozess abgelehnt, und die Konfiguration konnte nach
Anwendung von Änderungen nicht gespeichert werden. (1150070)
•
Nach dem Scannen durch den ICAP-Server wurden Dateien beschädigt vom Web Gateway
zurückgegeben, da die Paketgrößenangaben beschädigt worden waren. (1152631)
Schwachstellen
•
Web Gateway war von der Schwachstelle CVE-2015-2600 nicht betroffen, die die Verwendung eines
Open SSH-Servers betraf. Ein für die Behebung dieser Schwachstelle aktualisiertes Paket wurde
dennoch implementiert.
Ein aktualisiertes Paket, das die Schwachstelle CVE-2016-3115 angeht, wurde ebenfalls
implementiert. Web Gateway wird also nicht länger von der Schwachstelle beeinträchtigt.
(1112008)
•
4
Web Gateway war von der Schwachstelle betroffen, die in der Sicherheitsankündigung NTP-4.2.8p7
beschrieben ist. Seit der Implementierung einer Problembehebung, die auch eine Reihe ähnlicher
Schwachstellen abdeckte, ist Web Gateway hiervon nicht mehr betroffen. (1137393)
•
Web Gateway war von der Schwachstelle CVE-2016-6515 betroffen, die den Einsatz von
Kennwörtern mit unbeschränkter Länge zuließ, wenn OpenSSH beteiligt war. Seit Implementierung
einer Problembehebung ist Web Gateway hiervon nicht mehr betroffen. (1156225)
•
Web Gateway war von der Schwachstelle CVE-2016-1762 und mehreren späteren Schwachstellen
betroffen, die die Bibliothek libxml2 offenlegten. Seit Implementierung einer Problembehebung ist
Web Gateway hiervon nicht mehr betroffen. (1159511)
Sonstiges
•
Als Web Gateway für die Filterung von SOCKS-Datenverkehr konfiguriert wurde, ist die
Benutzerauthentifizierung fehlgeschlagen und Web Gateway hat die Verbindung geschlossen.
(1152258)
•
Beim Download einer Zip-Datei wurde keine Fortschrittsseite angezeigt, da zuvor eine
Medientyp-Filterregel verarbeitet wurde, die einen vollständigen Download erforderte.
Die Regelverfolgung wurde gestartet, um das Problem zu beheben, ist aber fehlgeschlagen, weil
das Limit für die Anzahl der Regelelemente, die gleichzeitig verfolgt werden können, überschritten
wurde. (1155082)
•
Der Kernprozess auf Web Gateway ist während einer URL-Verarbeitung mehrmals fehlgeschlagen,
da es ein Problem mit der Synchronisierung von Protokollierung-Threads gab. (1156628)
•
Die Verwendung einer Blockierungsseite zum Blockieren mehrerer Anfragen für den Web-Zugriff
führte fälschlicherweise zu einem Warnungsanruf. (1158404)
Installationsanweisungen
Die Anforderungen für die Installation dieser neuen Produktversion hängen von der Version ab, die Sie
derzeit ausführen.
•
Version 7.3.x bis 7.6.x: Sie können nach der Aktivierung eines Repositorys ein Upgrade auf die
neue Version durchführen. Informationen hierzu finden Sie unter Upgrade von Version 7.3.x oder
höher.
•
Version 7.0.x bis 7.2.x: Sie können ein Upgrade auf die neue Version durchführen, nachdem Sie
eine Konfigurationssicherung erstellt haben. Informationen hierzu finden Sie unter Upgrade von
7.2.x oder Versionen vor 7.x.
Alternativ können Sie eine Konfigurationssicherung erstellen, ein Image der neuen Version der
Appliance einspielen und die Sicherung installieren.
Verwenden Sie hierfür die Optionen unter Troubleshooting | Backup/Restore (Fehlerbehebung | Sichern/
Wiederherstellen) auf der Benutzeroberfläche.
•
6.8.x oder 6.9.x: Sie müssen ein Image der neuen Version auf die Appliance aufspielen.
Laden Sie ein Image der neuen Version von der Download-Seite des McAfee Content & Cloud Security
Portal herunter: https://contentsecurity.mcafee.com/software_mwg7_download.
Weitere Informationen zum Aufspielen eines Images finden Sie im Installationshandbuch für McAfee
Web Gateway.
Upgrade von Version 7.3.x oder höher
Bei Verwendung von Version 7.3.x oder höher können Sie nach der Aktivierung eines Repositorys ein
Upgrade auf die neue Version durchführen.
Sie können das Upgrade über die Benutzeroberfläche oder über eine Systemkonsole durchführen.
5
Aktivieren des Repository
Aktivieren Sie das Repository für die neue Version über eine lokale Systemkonsole oder per
Remote-Zugriff über SSH.
Vorgehensweise
1
Melden Sie sich bei der Appliance an, für die Sie das Upgrade durchführen möchten.
2
Führen Sie den folgenden Befehl aus:
mwg-switch-repo 7.7.0
Sie können jetzt über die Benutzeroberfläche oder von einer Systemkonsole aus ein Upgrade auf die
neue Version durchführen.
Upgrade über die Benutzeroberfläche
Für die Durchführung des Upgrades können Sie die in der Benutzeroberfläche vorhandenen Optionen
verwenden.
Vorgehensweise
1
Wählen Sie Konfiguration | Appliances.
2
Wählen Sie in der Appliance-Struktur die Appliance aus, auf der Sie das Upgrade durchführen
möchten.
Die Appliance-Symbolleiste wird oben rechts von der Registerkarte angezeigt.
3
Klicken Sie auf Update Appliance Software (Appliance-Software aktualisieren).
Daraufhin wird das Upgrade auf die neue Version durchgeführt. Dabei werden Sie von der
Benutzeroberfläche abgemeldet.
4
Wenn Sie in einer Meldung über den Abschluss des Upgrades informiert werden, führen Sie
Folgendes durch:
a
Melden Sie sich bei der Benutzeroberfläche an.
b
Wählen Sie Configuration | Appliances (Konfiguration | Appliances) und dann die Appliance aus.
c
Klicken Sie auf der Symbolleiste der Appliance auf Reboot (Neu starten).
Nach dem Neustart können Sie sich wieder bei der Benutzeroberfläche anmelden und dann mit der
neuen Version arbeiten.
6
Upgrade über eine Systemkonsole
Sie können das Upgrade über eine lokale Systemkonsole oder per Remote-Zugriff über SSH
durchführen.
Vorgehensweise
1
Melden Sie sich bei der Appliance an, für die Sie das Upgrade durchführen möchten.
2
Führen Sie die folgenden Befehle aus:
yum upgrade yum yumconf\*
yum upgrade
Daraufhin wird das Upgrade auf die neue Version durchgeführt.
3
Wenn Sie in einer Meldung über den Abschluss des Upgrades informiert werden, führen Sie den
folgenden Befehl aus:
reboot
Nach Abschluss des Neustarts wird eine Anmeldeaufforderung angezeigt. Sie können sich jetzt bei
der Benutzeroberfläche anmelden und anschließend mit der neuen Version arbeiten.
Upgrade von 7.2.x oder Versionen vor 7.x.
Erstellen Sie bei Ausführung einer 7.2.x-Version oder einer älteren 7.x-Version eine
Konfigurationssicherung, und führen Sie dann mittels der Systemkonsole ein Upgrade auf die neue
Version durch.
Der Upgrade-Prozess beinhaltet ein größeres Upgrade des Betriebssystems. Er umfasst mehrere
Schritte und dauert länger als üblich. Sollte dieser Prozess fehlschlagen oder unterbrochen werden,
können Sie ein Image der neuen Version der Appliance einspielen und die Konfigurationssicherung
installieren.
Laden Sie ein Image der neuen Version von der Download-Seite des McAfee Content & Cloud Security
Portal herunter: https://contentsecurity.mcafee.com/software_mwg7_download.
Weitere Informationen zum Aufspielen eines Images finden Sie im Installationshandbuch für McAfee
Web Gateway.
Vorgehensweise
1
Erstellen Sie eine Konfigurationssicherung.
Verwenden Sie hierfür die Optionen unter Troubleshooting | Backup/Restore (Fehlerbehebung | Sichern/
Wiederherstellen) auf der Benutzeroberfläche.
2
Melden Sie sich über die lokale Systemkonsole oder über SSH bei der Appliance an, für die Sie das
Upgrade durchführen möchten.
3
Führen Sie die folgenden Befehle aus:
yum upgrade yum yumconf\*
mwg-dist-upgrade 7.7.0
Das Upgrade auf die neue Version erfolgt in zwei Phasen. Die Appliance wird nach jeder Phase
automatisch neu gestartet.
7
4
Schließen Sie die Installation auf eine der folgenden Arten ab:
•
Vorgehensweise bei Verwendung einer lokalen Systemkonsole:
Nach Abschluss des zweiten Systemneustarts wird eine Anmeldeaufforderung angezeigt. Sie
können sich jetzt an der Benutzeroberfläche anmelden und anschließend mit der neuen Version
arbeiten.
•
Vorgehensweise bei Verwendung von SSH:
Beim Neustart der Appliance nach der ersten Upgrade-Phase wird die Verbindung getrennt und
die zweite Upgrade-Phase initiiert.
Nach Abschluss dieser Phase (einschließlich dem automatischen Neustart) können Sie sich bei
der Benutzeroberfläche anmelden und anschließend mit der neuen Version arbeiten.
Mit dem folgenden Befehl können Sie Meldungen über den Upgrade-Vorgang anzeigen:
tail -F /opt/mwg/log/update/mlos2.upgrade.log
Drücken Sie nach Abschluss des Upgrades Strg+C, um den Vorgang zu beenden. Sie können
sich nun bei der Benutzeroberfläche anmelden und anschließend mit der neuen Version
arbeiten.
Bekannte Probleme
Die bei dieser Produktversion bekannten Probleme sind im Knowledge Center-Artikel KB87762
aufgeführt.
Quellen für Produktinformationen
Im ServicePortal finden Sie Informationen zu veröffentlichten Produkten, unter anderem die
Produktdokumentation und technische Hilfsartikel.
Vorgehensweise
1
Rufen Sie das ServicePortal unter https://support.mcafee.com auf, und klicken Sie auf die
Registerkarte Knowledge Center.
2
Klicken Sie im Fenster Knowledge Base unter Inhaltsquelle auf Produktdokumentation.
3
Wählen Sie ein Produkt aus, und klicken Sie dann auf Suchen, um eine Liste der gewünschten
Dokumente anzuzeigen.
Produktdokumentation
Für jedes Produkt von McAfee steht ein umfassender Dokumentationssatz zur Verfügung. Folgende
Produktdokumentationen stehen für Web Gateway zur Verfügung:
8
•
McAfee Web Gateway-Produkthandbuch: Beschreibt die Funktionen und Merkmale von Web
Gateway und bietet einen Überblick über das Produkt sowie ausführliche Anleitungen zur
Konfiguration und Wartung.
•
McAfee Web Gateway-Installationshandbuch: Beschreibt das Einrichten von Web Gateway sowie
unterschiedliche Geräte, die mit dem Produkt ausgeführt werden können
•
McAfee Web Gateway-Referenzhandbuch – Änderungsprotokoll für Regelsätze – Stellt eine Liste mit
Änderungen an bereits vorhandenen Regelsätzen und Ergänzungen neuer Regelsätze für die
Richtlinienkonfiguration auf Web Gateway bereit
•
Technische Hinweise für McAfee Web Gateway – SSO-Katalog – Stellt eine Liste mit
Cloud-Anwendungen und -Diensten bereit, die von Web Gateway mit vorkonfigurierten
Konnektoren bzw. Konnektorvorlagen unterstützt werden
© 2016 Intel Corporation
Intel und das Intel-Logo sind Marken oder eingetragene Marken der Intel Corporation. McAfee und das McAfee-Logo sind Marken
oder eingetragene Marken von McAfee, Inc. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
0A15

Download Report