H3C防火墙特征库升级失败排查

本文涉及的产品
云防火墙,500元 1000GB
.cn 域名,1个 12个月
全局流量管理 GTM,标准版 1个月
简介: H3C防火墙特征库升级失败排查

H3C新一代防火墙(NGFW)融合了很多应用安全层面的功能,比如IPS(入侵检测系统)、ACG(应用识别)、AV(防病毒)、URL(超链接)检测、WAF(web应用防火墙)等功能,统称为DPI(深度报文检测),又称为内容安全。


防火墙设备在出厂时会自带一个基础版本的特征库,也就是1.0.0版本,能满足普通用户的基本要求,如果对应用安全有更高的要求,比如要实时更新特征库,跟上时代的变化,就要购买License,才能更新;包括本地升级、在线升级和在线定时升级等功能都要License授权。

1677076847988.jpg

但是也不是说购买了授权就一帆风顺了,可能也会出现升级失败的异常情况。本文将对一些常见场景进行分析,并给出解决方案。


问题现象:


1、设备使用过程中虽然设备可以配置DPI功能,但是特征库升级不可用;

2、安装完license之后,特征库能够本地升级,但是在线升级不成功;


告警信息:


1、操作失败:没有找到有效的license。

1677076883414.jpg

 

2、连接特征库服务器失败。

1677076889166.jpg

 

3、特征库已是最新版本,不需要进行升级。

1677076896285.jpg


原因分析


升级的前提是已经购买并注册license授权。

通过查看流量日志以及抓包,可以看到特征库升级的分为以下步骤:


1、检查设备是否已经安装正确的license授权,如果未授权则返回“操作失败:没有找到有效的license”;


2、发起DNS解析请求,解析www.h3c.com.cn,获取IP地址;


3、将预定义URL中的域名替换为IP地址,发起HTTP访问请求,向服务器发送自己的设备信息(SN等)进行授权校验,以及发送现有的设备类型、特征库类型及版本号;(如果连接失败,则返回“连接特征库服务器失败”)


4、进行特征库版本信息比对,如果当前版本低于服务器版本,则发送请求通过http下载协议下载特征库;如果当前版本不低于服务器端版本,则返回“特征库已是最新版本,不需要进行升级”;


5、下载成功之后,进行安装,升级成功之后提示“升级完成”或对话框消失,可以看到特征库版本更新。


以下为正常升级时的流量统计信息:

1677076940087.jpg

命令行提示:

%May 16 06:40:39:244 2017 F1060 ANTI-VIR/4/Warning: Update signature package successfully.

如果版本已是最新,流量统计信息如下:

1677076968150.jpg

不会进行文件下载以及升级操作。

以下为debug dns报文信息,可以看到请求解析的是www.h3c.com.cn的域名:

<F1060>*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Starting A resolving for www.h3c.com.cn
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in local database
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in dynamic cache
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Successfully resolved www.h3c.com.cn: host name is www.h3c.com.cn, address is 10.63.16.77
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Starting AAAA resolving for www.h3c.com.cn
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in local database
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in dynamic cache
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn by contacting DNS server 10.72.66.36 through UDP
*May 16 07:36:17:931 2017 F1060 DNS/7/PACKET: -Context=1; Sent:
Question:
QName  = www.h3c.com.cn
QType  = AAAA (28)
QClass = IN (1)

第一个发送设备信息的HTTP请求报文:

 

1677077029103.jpg

<ns1:deviceNumber>210235A35K0088000003</ns1:deviceNumber>
<ns1:featureType>5</ns1:featureType>
<ns1:featureVersion>01000052</ns1:featureVersion>
<ns1:productType>0x0101</ns1:productType>

下载文件的HTTP请求报文:


1677077065671.jpg

解决方法:


1、购买并激活安装对应的license授权,确认状态为in use;


2、在设备上正确配置DNS服务器,并测试可以正常解析到www.h3c.com.cn域名的IP地址;


3、检查现网是否存在多个出口的情况,检查安全策略是否有阻断日志,检查是否有策略路由导致目的地址不可达。


经过测试,是现网两条等价路由导致,断掉一条链路之后在线升级成功。


建议与总结


1、一定要购买并激活安装对应的license授权,确认状态为in use,否则会因为没有可用license导致不能升级;


2、可以先进行本地升级测试,确认license已经生效,可以正常升级特征库;


3、需要在设备上正确配置DNS服务器,因为www.h3c.com.cn在公网已经禁ping,所以测试可以正常解析到www.h3c.com.cn域名的IP地址即可;


4、检查设备域间策略配置,是否有报文阻断日志,如果有,需要放通升级的流量;


5、检查现网是否存在多个出口的情况,查看是否有出口不可用的情况,或者是否因为配置策略路由导致流量无法到达特征库服务器,建议先单独使用一根链路进行测试。


相关文章
|
存储 负载均衡 网络安全
H3C防火墙授权相关问题
H3C防火墙授权相关问题
H3C防火墙授权相关问题
|
云安全 安全 Cloud Native
|
云安全 安全 Cloud Native
重磅发布:云防火墙企业级方案2.0新升级
企业上云后,网络架构发生本质改变,尤其随着数字业务越来越多元,东西南北向流量愈发复杂,如何以更简单、更自动化的方式在云上构建一道可以跟随业务灵活弹性变动的安全防线,是必须要解的难题之一。
137 0
|
安全 网络安全
H3C防火墙基础配置操作
H3C防火墙基础配置操作
H3C防火墙基础配置操作
|
Web App开发 测试技术 网络安全
下一篇
无影云桌面