防火墙自动更新特征库失败典型分析

不涉及

不涉及

防火墙自动更新特征库失败典型分析

失败日志如下：

%Oct 16 03:01:02:083 2022 F08-FXXX-XXXX-Internet DPIM/4/IPS_WARNING: Failed to update signature package in phase DOWNLOAD.

针对防火墙自动更新的流量进行抓包并追踪http流，如下：

POST /License/LicenseService.asmx HTTP/1.1

Host: www.h3c.com

Accept: */*

Content-Type: text/xml; charset=utf-8

Content-Length: 467

<?xml version="1.0" encoding="UTF-8"?>

<SOAP-ENV:Envelope xmlns:SOAP-ENV="***.***/soap/envelope/" xmlns:ns1="http://www.h3c.com/">

<SOAP-ENV:Body>

<ns1:Get4ParamsUrl>

<ns1:deviceNumber>210235A1XXB22600G012</ns1:deviceNumber>

<ns1:featureType>7</ns1:featureType>

<ns1:featureVersion>01000172</ns1:featureVersion>

<ns1:productType>0x0101</ns1:productType>

</ns1:Get4ParamsUrl>

</SOAP-ENV:Body></SOAP-ENV:Envelope>

HTTP/1.1 200 OK

Cache-Control: private, max-age=0

Content-Type: text/xml; charset=utf-8

Access-Control-Allow-Origin: https://wsso.h3c.com

Date: Wed, 28 Sep 2022 08:08:54 GMT

Content-Length: 448

<?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:soap="***.***/soap/envelope/" xmlns:xsi="***.***/2001/XMLSchema-instance" xmlns:xsd="***.***/2001/XMLSchema"><soap:Body><Get4ParamsUrlResponse xmlns="http://www.h3c.com/"><Get4ParamsUrlResult>http://downloadcdn.h3c.com/cn/202209/26/20220926_31656_V7-AV-H-1.0.177_0_30003_0.dat</Get4ParamsUrlResult></Get4ParamsUrlResponse></soap:Body></soap:Envelope>

可以看出官网已经返回了正确的链接。

但是后续的下载特征库文件的报文没有抓到，抓包的acl如下所示：

#

acl advanced 3333

 description test

 rule 0 permit ip destination 60.191.123.44 0    ---www.h3c.com

 rule 5 permit ip destination 221.12.31.26 0  ---www.h3c.com

 rule 10 permit ip destination 60.12.237.197 0        ---downloadcdn.h3c.com

 rule 15 permit ip destination 163.171.198.110 0    ---downloadcdn.h3c.com

 rule 20 permit ip source 60.191.123.44 0

 rule 25 permit ip source 221.12.31.26 0

 rule 30 permit ip source 60.12.237.197 0

 rule 35 permit ip source 163.171.198.110 0

#

理论上来说，防火墙如果针对downloadcdn.h3c.com的域名解析结果无误的话，应该是能抓到报文的，结果却没有。

因此，在防火墙上进行ping测试，发现针对downloadcdn.h3c.com这个域名，防火墙得到的结果一直在变化。

查看防火墙上配置的dns server地址，发现如下;

# 

 dns server 114.114.114.114 

 dns server 8.8.8.8

#

经过测试发现8.8.8.8的解析不是很准确，删除后，用114.114.114.114的地址来解析，显示正常。

删除 dns server 8.8.8.8，保留114.114.114.114。

其他建议：由于防火墙默认特征库更新时间点为凌晨01:00:00至03:00:00之间，可能会对服务器造成压力。建议避开高峰时间段进行更新。

1.1.56  update schedule

update schedule命令用来配置定期自动在线升级IPS特征库的时间。

undo update schedule命令用来恢复缺省情况。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情况】

设备在每天01:00:00至03:00:00之间自动在线升级IPS特征库。

【视图】

自动升级配置视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

daily：表示自动升级周期为每天。

weekly：表示以一周为周期，在指定的一天进行自动升级。

fri：表示星期五。

mon：表示星期一。

sat：表示星期六。

sun：表示星期日。

thu：表示星期四。

tue：表示星期二。

wed：表示星期三。

start-time time：指定自动升级开始时间，time的格式为hh:mm:ss，取值范围为00:00:00～23:59:59。

tingle minutes：指定抖动时间，即实际自动升级开始时间的偏差范围，取值范围为0～120，单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围，例如，指定自动升级的开始时间为01:00:00，抖动时间为60分钟，则自动升级的时间范围为00:30:00至01:30:00。

【使用指导】

非缺省vSystem不支持本命令。

【举例】

# 配置IPS特征库的定期自动在线升级时间为每周一20:30:00，抖动时间为10分钟。

<Sysname> system-view

[Sysname] ips signature auto-update

[Sysname-ips-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10