防火墙不能更新特征库

H3C 防火墙提示「连接特征库服务器失败」完整排查修复方案
一、报错根因分类
弹窗提示连接特征库服务器失败，本质是防火墙无法和新华三云端特征库更新服务器建立 TCP 通信，分为 5 大类原因：
出口路由 / 运营商网络不通、DNS 解析失败；
内网出口 ACL / 安全策略拦截更新域名端口；
未配置代理服务器（内网隔离环境必须配代理）；
设备授权过期，无特征库更新权限；
云端更新域名解析变更、设备时间异常证书校验失败。
二、分步排查（从简单到复杂）
步骤 1：基础连通性测试（命令行执行）
1）测试外网连通性
plaintext
# ping 公网IP，确认出口通外网
ping 114.114.114.114
# ping 特征库域名（防火墙更新核心域名）
ping secup.h3c.com

ping 公网 IP 不通：排查默认路由、上联交换机、运营商宽带断网；
IP 通、域名 ping 不通：防火墙 DNS 配置缺失 / 错误，配置 DNS：
plaintext
system-view
dns server 114.114.114
dns server 8.8.8.8

2）测试端口连通（特征库使用 TCP 80/443）
plaintext
# 测试443端口连通性
telnet secup.h3c.com 443

telnet 失败 = 中间策略拦截 443 端口，去检查安全策略。
步骤 2：放行防火墙自身访问公网更新的安全策略（最常见故障点）
防火墙本地设备本身发起的更新流量，走local源域，很多现场只放行业务网段，漏掉 local 域策略。
plaintext
system-view
security-policy ip
# 新建规则放行本地访问特征库域名
rule name PERMIT_LOCAL_SECUP
source-zone local
destination-zone any
destination-address domain secup.h3c.com
service protocol tcp destination-port eq 80
service protocol tcp destination-port eq 443
action permit
# 若内网有DNS服务器，同时放行DNS 53端口
rule name PERMIT_LOCAL_DNS
source-zone local
destination-zone any
service udp destination-port eq domain
action permit

关键：源域必须是local，不是内网 trust 域，否则防火墙自身发起的更新报文会被拦截。
步骤 3：内网隔离环境（不能直接上互联网）→ 配置代理服务器
页面左上角有【配置代理服务器】按钮，若设备内网无直连互联网，必须填写内网 HTTP 代理：
点击页面「配置代理服务器」；
填入内网代理 IP、端口（普通 HTTP 代理，不支持 SOCKS5）；
若代理需要账号密码，同步填写认证信息；
保存后重新点击刷新升级列表。
步骤 4：检查设备授权状态（无有效授权无法拉取特征库）
Web 页面【系统 - 许可管理】查看安全业务授权（入侵防御、病毒、应用识别、URL）；
若授权过期 / 未激活，云端服务器拒绝连接，报连接失败；
处理：导入正式授权 license，临时测试可联系 400 申请临时特征库更新权限。
步骤 5：设备系统时间校验（证书校验失败会误报连接失败）
防火墙 HTTPS 访问云端会校验服务器证书，系统时间偏差超过 30 天会证书失效，断开连接：
Web【系统 - 时间管理】同步 NTP 服务器；
命令行配置 NTP：
plaintext
ntp server ***.*** prefer

同步后时间和当前北京时间 2026 年匹配，再重试更新。
步骤 6：特殊场景：URL 特征库长期未更新（截图 URL 库 2018 年）
URL 特征库单独依赖 URL 云端服务器，和入侵防御 / 病毒库域名不同；
若仅 URL 库报错、其他库正常，额外放行urlsec.h3c.com域名 443 端口；
URL 库需要单独的 URL 过滤授权，无对应授权会直接连接失败。
三、兜底离线更新方案（线上一直连不上时使用）
内网完全隔离、无法连通外网，采用离线导入特征库：
能上网的电脑访问 H3C 安全特征库下载页，输入设备 SN 下载对应型号离线特征库包；
防火墙 Web【升级中心】→【离线升级】；
上传本地下载的特征库压缩包，手动导入完成升级；
适合政企严格隔离内网场景，规避网络连通问题。
四、快速自检清单
✅ 防火墙能 ping 通secup.h3c.com，DNS 正常；
✅ 安全策略放行 local 域访问外网 80/443/53；
✅ 内网隔离环境已配置 HTTP 代理；
✅ 入侵防御、防病毒、URL、应用识别授权在有效期；
✅ 设备系统时间和北京时间无大幅偏差；
✅ 无运营商 / 内网防火墙拦截 H3C 更新域名。