小贝优选——防火墙自动升级特征库失败案例

不涉及

不涉及

防火墙点击立即升级特征库后，报错“连接特征库服务器失败，请单击<特征库服务器状态检测>按钮，检查服务器状态。”（如果测试失败，那意味着防火墙到这两个域名不可达：1. www.h3c.com；2. downloadcdn.h3c.com；如果测试成功，那意味着防火墙到这两个域名可达，但是无法http层面交互失败）

可以防火墙上ping上述两个域名，看下解析结果，然后写ACL进行抓包，查看失败原因。

案例失败可能原因举例如下，作为一个参考，大多数情况下只要保证防火墙到上述两个域名可达（安全策略，多运营商等价路由出口等问题）

1）防火墙没有配置dns服务器，导致无法解析上述两个域名；

2）防火墙安全策略未放通，导致防火墙本身去访问上述两个域名不通；

3）防火墙配置的双运营商等价路由出口，防火墙从运营商A获得的DNS解析结果，然后获取特征库更新的流量走了B运营商导致出现访问不通的问题；

4）防火墙上配置了静态域名绑定，绑定错了地址（例如： ip host www.h3c.com 1.1.1.1，实际上1.1.1.1这个地址可达但是不是我们官方的地址），导致“特征库服务器状态检测>按钮，检查服务器状态”测试是成功的，但是防火墙点击立即升级特征库后，报错“连接特征库服务器失败“。

参考分析过程中例举的可能进行排查。总结后的思路就是防火墙要和这两个域名能正常建立连接：1. www.h3c.com；2. downloadcdn.h3c.com