H3C新一代防火墙(NGFW)融合了很多应用安全层面的功能,比如IPS(入侵检测系统)、ACG(应用识别)、AV(防病毒)、URL(超链接)检测、WAF(web应用防火墙)等功能,统称为DPI(深度报文检测),又称为内容安全。
防火墙设备在出厂时会自带一个基础版本的特征库,也就是1.0.0版本,能满足普通用户的基本要求,如果对应用安全有更高的要求,比如要实时更新特征库,跟上时代的变化,就要购买License,才能更新;包括本地升级、在线升级和在线定时升级等功能都要License授权。
但是也不是说购买了授权就一帆风顺了,可能也会出现升级失败的异常情况。本文将对一些常见场景进行分析,并给出解决方案。
问题现象:
1、设备使用过程中虽然设备可以配置DPI功能,但是特征库升级不可用;
2、安装完license之后,特征库能够本地升级,但是在线升级不成功;
告警信息:
1、操作失败:没有找到有效的license。
2、连接特征库服务器失败。
3、特征库已是最新版本,不需要进行升级。
原因分析:
升级的前提是已经购买并注册license授权。
通过查看流量日志以及抓包,可以看到特征库升级的分为以下步骤:
1、检查设备是否已经安装正确的license授权,如果未授权则返回“操作失败:没有找到有效的license”;
2、发起DNS解析请求,解析www.h3c.com.cn,获取IP地址;
3、将预定义URL中的域名替换为IP地址,发起HTTP访问请求,向服务器发送自己的设备信息(SN等)进行授权校验,以及发送现有的设备类型、特征库类型及版本号;(如果连接失败,则返回“连接特征库服务器失败”)
4、进行特征库版本信息比对,如果当前版本低于服务器版本,则发送请求通过http下载协议下载特征库;如果当前版本不低于服务器端版本,则返回“特征库已是最新版本,不需要进行升级”;
5、下载成功之后,进行安装,升级成功之后提示“升级完成”或对话框消失,可以看到特征库版本更新。
以下为正常升级时的流量统计信息:
命令行提示:
%May 16 06:40:39:244 2017 F1060 ANTI-VIR/4/Warning: Update signature package successfully.
如果版本已是最新,流量统计信息如下:
不会进行文件下载以及升级操作。
以下为debug dns报文信息,可以看到请求解析的是www.h3c.com.cn的域名:
<F1060>*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Starting A resolving for www.h3c.com.cn
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in local database
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in dynamic cache
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Successfully resolved www.h3c.com.cn: host name is www.h3c.com.cn, address is 10.63.16.77
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Starting AAAA resolving for www.h3c.com.cn
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in local database
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn in dynamic cache
*May 16 07:36:17:930 2017 F1060 DNS/7/EVENT: -Context=1; Trying to resolve www.h3c.com.cn by contacting DNS server 10.72.66.36 through UDP
*May 16 07:36:17:931 2017 F1060 DNS/7/PACKET: -Context=1; Sent:
Question:
QName = www.h3c.com.cn
QType = AAAA (28)
QClass = IN (1)
第一个发送设备信息的HTTP请求报文:
<ns1:deviceNumber>210235A35K0088000003</ns1:deviceNumber>
<ns1:featureType>5</ns1:featureType>
<ns1:featureVersion>01000052</ns1:featureVersion>
<ns1:productType>0x0101</ns1:productType>
下载文件的HTTP请求报文:
解决方法:
1、购买并激活安装对应的license授权,确认状态为in use;
2、在设备上正确配置DNS服务器,并测试可以正常解析到www.h3c.com.cn域名的IP地址;
3、检查现网是否存在多个出口的情况,检查安全策略是否有阻断日志,检查是否有策略路由导致目的地址不可达。
经过测试,是现网两条等价路由导致,断掉一条链路之后在线升级成功。
建议与总结:
1、一定要购买并激活安装对应的license授权,确认状态为in use,否则会因为没有可用license导致不能升级;
2、可以先进行本地升级测试,确认license已经生效,可以正常升级特征库;
3、需要在设备上正确配置DNS服务器,因为www.h3c.com.cn在公网已经禁ping,所以测试可以正常解析到www.h3c.com.cn域名的IP地址即可;
4、检查设备域间策略配置,是否有报文阻断日志,如果有,需要放通升级的流量;
5、检查现网是否存在多个出口的情况,查看是否有出口不可用的情况,或者是否因为配置策略路由导致流量无法到达特征库服务器,建议先单独使用一根链路进行测试。