H3C新一代防火墙（NGFW）融合了很多应用安全层面的功能，比如IPS（入侵检测系统）、ACG（应用识别）、AV（防病毒）、URL（超链接）检测、WAF（web应用防火墙）等功能，统称为DPI（深度报文检测），又称为内容安全。

防火墙设备在出厂时会自带一个基础版本的特征库，也就是1.0.0版本，能满足普通用户的基本要求，如果对应用安全有更高的要求，比如要实时更新特征库，跟上时代的变化，就要购买License，才能更新；包括本地升级、在线升级和在线定时升级等功能都要License授权。

但是也不是说购买了授权就一帆风顺了，可能也会出现升级失败的异常情况。本文将对一些常见场景进行分析，并给出解决方案。

问题现象：

1、设备使用过程中虽然设备可以配置DPI功能，但是特征库升级不可用；

2、安装完license之后，特征库能够本地升级，但是在线升级不成功；

告警信息：

1、操作失败：没有找到有效的license。

2、连接特征库服务器失败。

3、特征库已是最新版本，不需要进行升级。

原因分析：

升级的前提是已经购买并注册license授权。

通过查看流量日志以及抓包，可以看到特征库升级的分为以下步骤：

1、检查设备是否已经安装正确的license授权，如果未授权则返回“操作失败：没有找到有效的license”；

2、发起DNS解析请求，解析www.h3c.com.cn，获取IP地址；

3、将预定义URL中的域名替换为IP地址，发起HTTP访问请求，向服务器发送自己的设备信息（SN等）进行授权校验，以及发送现有的设备类型、特征库类型及版本号；（如果连接失败，则返回“连接特征库服务器失败”）

4、进行特征库版本信息比对，如果当前版本低于服务器版本，则发送请求通过http下载协议下载特征库；如果当前版本不低于服务器端版本，则返回“特征库已是最新版本，不需要进行升级”；

5、下载成功之后，进行安装，升级成功之后提示“升级完成”或对话框消失，可以看到特征库版本更新。

以下为正常升级时的流量统计信息：

命令行提示：

%May 16 06:40:39:244 2017 F1060 ANTI-VIR/4/Warning: Update signature package successfully.

如果版本已是最新，流量统计信息如下：

不会进行文件下载以及升级操作。

以下为debug dns报文信息，可以看到请求解析的是www.h3c.com.cn的域名：

<F1060>*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Starting A resolving for www.h3c.com.cn
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in local database
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in dynamic cache
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Successfully resolved www.h3c.com.cn: host name is www.h3c.com.cn, address is 10.63.16.77
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Starting AAAA resolving for www.h3c.com.cn
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in local database
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in dynamic cache
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn by contacting DNS server 10.72.66.36 through UDP
*May 16 07:36:17:931 2017 F1060 DNS/7/PACKET: -Context=1; Sent:
Question:
QName  = www.h3c.com.cn
QType  = AAAA (28)
QClass = IN (1)

第一个发送设备信息的HTTP请求报文：

<ns1:deviceNumber>210235A35K0088000003</ns1:deviceNumber>
<ns1:featureType>5</ns1:featureType>
<ns1:featureVersion>01000052</ns1:featureVersion>
<ns1:productType>0x0101</ns1:productType>

下载文件的HTTP请求报文：

解决方法：

1、购买并激活安装对应的license授权，确认状态为in use；

2、在设备上正确配置DNS服务器，并测试可以正常解析到www.h3c.com.cn域名的IP地址；

3、检查现网是否存在多个出口的情况，检查安全策略是否有阻断日志，检查是否有策略路由导致目的地址不可达。

经过测试，是现网两条等价路由导致，断掉一条链路之后在线升级成功。

建议与总结：

1、一定要购买并激活安装对应的license授权，确认状态为in use，否则会因为没有可用license导致不能升级；

2、可以先进行本地升级测试，确认license已经生效，可以正常升级特征库；

3、需要在设备上正确配置DNS服务器，因为www.h3c.com.cn在公网已经禁ping，所以测试可以正常解析到www.h3c.com.cn域名的IP地址即可；

4、检查设备域间策略配置，是否有报文阻断日志，如果有，需要放通升级的流量；

5、检查现网是否存在多个出口的情况，查看是否有出口不可用的情况，或者是否因为配置策略路由导致流量无法到达特征库服务器，建议先单独使用一根链路进行测试。