MongoDB cordova tcp ssis Vanilla JS vue绑定点击事件 bootstrap后台管理系统模板 后台模板 郑州网站建设 photoshop cs3 教程 php项目实战 electron教程 axure组件库下载 mac安装hadoop short几个字节 基于bootstrap的框架 plsql连接mysql数据库 python转java hbuilder插件 mysql数据库 python计算器 python环境配置 python循环语句 python支持中文 python循环10次 java在线学习 java表达式 java中的数据类型 java结构 java将数据写入文件 java接口规范 linux云服务器 网页游戏代码 房产证生成器 3dmax插件神器 字幕提取 淘宝自动发货软件 凤凰刷机 微信砍价软件 英雄联盟设置
当前位置: 首页 > 学习教程  > 编程语言

H3C防火墙特征库升级失败排查

2020/7/24 9:18:05 文章标签:

H3C新一代防火墙(NGFW)融合了很多应用安全层面的功能,比如IPS(入侵检测系统)、ACG(应用识别)、AV(防病毒)、URL(超链接)检测、WAF(web应用防火墙)等功能,统称为DPI(深度报文检测),又称为内容安全。

防火墙设备在出厂时会自带一个基础版本的特征库,也就是1.0.0版本,能满足普通用户的基本要求,如果对应用安全有更高的要求,比如要实时更新特征库,跟上时代的变化,就要购买License,才能更新;包括本地升级、在线升级和在线定时升级等功能都要License授权。

 

但是也不是说购买了授权就一帆风顺了,可能也会出现升级失败的异常情况。本文将对一些常见场景进行分析,并给出解决方案。

问题现象:

1、设备使用过程中虽然设备可以配置DPI功能,但是特征库升级不可用;

2、安装完license之后,特征库能够本地升级,但是在线升级不成功;

​​​​​​​告警信息:

1、操作失败:没有找到有效的license。

 

2、连接特征库服务器失败。

 

3、特征库已是最新版本,不需要进行升级。

 

​​​​​​​原因分析

升级的前提是已经购买并注册license授权。

通过查看流量日志以及抓包,可以看到特征库升级的分为以下步骤:

1、检查设备是否已经安装正确的license授权,如果未授权则返回“操作失败:没有找到有效的license”;

2、发起DNS解析请求,解析www.h3c.com.cn,获取IP地址;

3、将预定义URL中的域名替换为IP地址,发起HTTP访问请求,向服务器发送自己的设备信息(SN等)进行授权校验,以及发送现有的设备类型、特征库类型及版本号;(如果连接失败,则返回“连接特征库服务器失败”)

4、进行特征库版本信息比对,如果当前版本低于服务器版本,则发送请求通过http下载协议下载特征库;如果当前版本不低于服务器端版本,则返回“特征库已是最新版本,不需要进行升级”;

5、下载成功之后,进行安装,升级成功之后提示“升级完成”或对话框消失,可以看到特征库版本更新。

以下为正常升级时的流量统计信息:

 

命令行提示:

%May 16 06:40:39:244 2017 F1060 ANTI-VIR/4/Warning: Update signature package successfully.

如果版本已是最新,流量统计信息如下:

 

不会进行文件下载以及升级操作。

以下为debug dns报文信息,可以看到请求解析的是www.h3c.com.cn的域名:

<F1060>*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Starting A resolving for www.h3c.com.cn

*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in local database

*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in dynamic cache

*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Successfully resolved www.h3c.com.cn: host name is www.h3c.com.cn, address is 10.63.16.77

*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Starting AAAA resolving for www.h3c.com.cn

*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in local database

*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in dynamic cache

*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn by contacting DNS server 10.72.66.36 through UDP

 

*May 16 07:36:17:931 2017 F1060 DNS/7/PACKET: -Context=1; Sent:

Question:

QName  = www.h3c.com.cn

QType  = AAAA (28)

QClass = IN (1)

第一个发送设备信息的HTTP请求报文:

 

<ns1:deviceNumber>210235A35K0088000003</ns1:deviceNumber>

<ns1:featureType>5</ns1:featureType>

<ns1:featureVersion>01000052</ns1:featureVersion>

<ns1:productType>0x0101</ns1:productType>

下载文件的HTTP请求报文:

 

​​​​​​​解决方法:

1、购买并激活安装对应的license授权,确认状态为in use;

2、在设备上正确配置DNS服务器,并测试可以正常解析到www.h3c.com.cn域名的IP地址;

3、检查现网是否存在多个出口的情况,检查安全策略是否有阻断日志,检查是否有策略路由导致目的地址不可达。

经过测试,是现网两条等价路由导致,断掉一条链路之后在线升级成功。

​​​​​​​建议与总结

1、一定要购买并激活安装对应的license授权,确认状态为in use,否则会因为没有可用license导致不能升级;

2、可以先进行本地升级测试,确认license已经生效,可以正常升级特征库;

3、需要在设备上正确配置DNS服务器,因为www.h3c.com.cn在公网已经禁ping,所以测试可以正常解析到www.h3c.com.cn域名的IP地址即可;

4、检查设备域间策略配置,是否有报文阻断日志,如果有,需要放通升级的流量;

5、检查现网是否存在多个出口的情况,查看是否有出口不可用的情况,或者是否因为配置策略路由导致流量无法到达特征库服务器,建议先单独使用一根链路进行测试。


本文链接: http://www.dtmao.cc/news_show_50031.shtml

附件下载

相关教程

    暂无相关的数据...

共有条评论 网友评论

验证码: 看不清楚?