F1000-AI-90 特征库等升级URL
- 0关注
- 0收藏,57浏览
问题描述:
客户防火墙置于内网,无法使用自动升级特征库功能以及自动升级版本。他配置了一个代理服务器,想要将对应下载URL放在代理服务器上实现内网防火墙自动升级,这个可以实现吗?对应域名或者URL是什么呢?
离线的我已查询到为如下
F1000-AI-90推荐版本链接
https://www.h3c.com/cn/d_202507/2605462_30005_0.htm
特征库更新URL:https://www.h3c.com/cn/Products___Technology/Products/IP_Security/Characteristic_Service_Area/
最佳答案
客户防火墙置于内网,通过代理服务器实现特征库自动升级,这个方案是可行的。
根据H3C官方资料,特征库在线升级的连接是到H3C官网。推荐的方式是在防火墙上直接配置代理服务器,并放行升级所需的域名。
需放行的域名(推荐)
特征库升级的核心是域名,强烈建议仅放行域名,因为H3C升级服务器的IP可能会变化,若只放行固定IP,后续可能导致升级失败。
您需要在代理服务器上放行以下域名:
| 用途 | 域名 | 说明 |
|---|---|---|
| 特征库升级 | www.h3c.com | 核心升级服务器域名 |
| 特征库下载 | downloadcdn.h3c.com | 用于实际下载特征库文件,与主域名配合使用 |
防火墙侧配置
配置代理服务器:登录防火墙Web界面,进入“系统 > 升级中心 > 特征库升级”页面,点击“配置代理服务器”,填写您客户内网代理服务器的IP地址、端口以及认证信息(如果需要)。
检查License:确保对应业务的特征库升级License有效且状态为“In use”。
配置DNS:正确配置DNS服务器地址,以便设备能解析升级服务器的域名。
配置安全策略:放行从设备本机(
local)到外网(untrust)的流量,确保设备能主动访问外网进行升级。配置路由:确保设备有到达代理服务器的默认路由。
方案对比:在线自动升级 vs. 离线手动升级
| 方案 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
| 在线自动升级 | 自动化程度高,无需人工干预 | 需要设备能访问外网或代理服务器 | 您的首选方案,能有效利用现有的代理服务器 |
| 离线手动升级 | 不依赖网络,操作自主可控 | 需要定期手动下载和上传,运维繁琐 | 当网络条件不满足或出于安全考虑,不希望设备与外网有任何连接时 |
您已找到了离线升级包的官方下载入口 www.h3c.com/cn/Products___Technology/Products/IP_Security/Characteristic_Service_Area/,如果在线升级因故失败,可随时回退到离线升级方案。
1. 代理中转访问官方升级服务器:
官方升级域名:update.h3c.com(特征库、版本自动升级均使用该域名,无需手动指定具体URL路径)
关键配置命令(先备份配置):
upgrade proxy http ip X.X.X.X port XXXX //X替换为代理服务器IP和端口
upgrade proxy http username XXX password XXX //若代理需认证,添加此命令
auto-update enable //开启特征库自动升级
test upgrade-server //测试连通性
2. 本地代理作为离线升级源(将下载的特征库/版本文件放在代理HTTP服务目录):
配置防火墙指向本地代理URL:
upgrade url feature http://<代理IP>/<特征库文件名>.dat
upgrade url version http://<代理IP>/<版本文件名>.bin
auto-update enable //开启自动升级(需确保文件路径匹配)
注意:操作前务必备份设备配置,离线升级需确保文件为H3C官方适配F1000-AI-90的版本/特征库。
暂无评论
一、官方自动升级域名 / URL(F1000-AI-90)
1. 系统版本升级(固件)
- 域名:
update.h3c.com - URL:
http://update.h3c.com
2. 特征库升级(IPS/AV/ 应用 / URL 等)
- 域名:
sec.h3c.com - URL:
http://sec.h3c.com - 你查到的官网页面:https://www.h3c.com/cn/Products___Technology/Products/IP_Security/Characteristic_Service_Area/ 是手动下载页,自动升级用的是上面的
sec.h3c.com。
3. 备用(部分版本用)
dl.h3c.comwww.h3c.com(仅页面,不用于直接升级)
二、内网代理 + 镜像实现方案(可行)
1. 代理服务器要求
- 能上网,可转发 HTTP/80;
- 防火墙配置:代理 IP + 端口可达、DNS 能解析update.h3c.com/sec.h3c.com。
2. 防火墙配置代理(Web/CLI)
- 代理 IP:你的代理服务器 IP
- 端口:80(或自定义)
- 不填用户名 / 密码(无认证时)
system-view
update proxy enable
update proxy ip x.x.x.x port 80 # 代理服务器IP:80
3. 内网搭建镜像源(完全离线自动升级)
- 从官网手动下载:
- 按官网目录结构放到 Nginx/html 下,例如:plaintext
http://内网IP/sec/... (对应sec.h3c.com) http://内网IP/update/... (对应update.h3c.com) - 防火墙升级中心把升级地址改为内网镜像 IP,或在防火墙 / 代理上做DNS 劫持:
update.h3c.com→ 内网镜像 IPsec.h3c.com→ 内网镜像 IP
三、关键注意点
- 仅 HTTP/80:F1000-AI-90 自动升级不支持 HTTPS/443,镜像 / 代理必须走 80 端口。
- 授权有效:特征库自动升级需对应授权(IPS/AV 等)在有效期内。
- DNS 必配:用域名升级时,防火墙必须配置DNS 服务器(如 223.5.5.5)。
四、你直接可用的信息汇总
- 固件升级:
http://update.h3c.com - 特征库升级:
http://sec.h3c.com - 代理配置:开启代理,填代理 IP:80
- 内网镜像:按官网目录结构用 Nginx 做 HTTP 静态源
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论