SecPath F1000-AI-35 特征库无法自动升级

ping通吗

下面给你 Web 界面 + 命令行两套完整配置，专门解决 F1000-AI-35 “特征服务器连接失败”（DNS + 策略 + 路由全放行）。
一、先确认三件事（必做）
License 有效：系统→升级中心→特征库升级，看 IPS/AV 等是否有有效授权，过期不能升级。
能上网：防火墙出接口（如 G0/0/1）配置公网 IP 或 PPPoE，有默认路由。
时间正确：系统时间必须准确，否则证书 / 校验会失败。
二、配置 DNS 服务器（Web + 命令行）
Web 界面
网络 → DNS → DNS 客户端


点击 “添加”，填入：
主 DNS：114.114.114.114
备 DNS：8.8.8.8
网络 → DNS → 高级设置 → 开启 DNS 代理 → 确定。


命令行（直接复制）
bash
运行
system-view
ip dns enable
dns server 114.114.114.114
dns server 8.8.8.8
dns proxy enable
save
验证 DNS
bash
运行
ping www.h3c.com
nslookup www.h3c.com
能解析出 IP 就 OK；www.h3c.com公网禁 ping，能解析即可。
三、安全域与接口归属（关键）
假设：
外网口：G0/0/1 → Untrust 域
内网口：G0/0/2 → Trust 域
Web
网络 → 接口 → 选 G0/0/1 → 安全域 → 选 Untrust → 确定。
命令行
bash
运行
interface GigabitEthernet 0/0/1
zone untrust
quit
四、安全策略放行（必须放行 Local→Untrust）
Web 界面（新建 3 条策略）
策略 1：Local→Untrust（设备自己升级用）
名称：Allow_Local_Upgrade
源安全域：Local
目的安全域：Untrust
类型：IPv4
动作：允许
服务：DNS-UDP、HTTP、HTTPS
确定。


策略 2：Trust→Untrust（内网上网，可选）
名称：Allow_Trust_Internet
源：Trust；目的：Untrust；动作：允许；服务：IP。
策略 3：Untrust→Local（放行 443/80，可选）
名称：Allow_Upgrade_Server
源：Untrust；目的：Local；目的端口：80、443；动作：允许。
命令行（直接复制，一条到位）
bash
运行
security-policy ip
rule name Allow_Local_Upgrade
source-zone local
destination-zone untrust
service dns-udp http https
action permit
rule name Allow_Trust_Internet
source-zone trust
destination-zone untrust
action permit
quit
save
五、路由配置（确保能到公网）
Web
网络 → 路由 → 静态路由 → IPv4 静态路由 → 新建：
目的：0.0.0.0/0
下一跳：运营商网关（如223.5.5.5）或出接口 G0/0/1。
命令行
bash
运行
ip route-static 0.0.0.0 0 GigabitEthernet 0/0/1
六、开启自动升级
Web
系统 → 升级中心 → 特征库升级：
勾选 “开启定时升级”。
升级中心地址：默认 sec.h3c.com，端口443。
设定时间（如每周日 02:00）→ 确定。


命令行
bash
运行
ips signature auto-update
av signature auto-update
七、常见坑（你大概率卡在这）
没放 Local→Untrust：能 ping 外网但升级失败，必须放行 Local 域。
DNS 配错 / 没开代理：解析不了sec.h3c.com，用上面 114+8.8 并开代理。
时间错误：证书校验失败，同步系统时间。
License 过期：特征库能看不能更，重新授权。
运营商封 443/80：换升级时间或联系运营商放行。
八、一键排障命令（复制逐条执行）
bash
运行
display dns server
display security-policy ip rule | include local
ping sec.h3c.com
nslookup sec.h3c.com
display ip routing-table

local-untrust放通

防火墙本地管理地址能上外网

配置dns server x.x.x.x

SecPath F1000-AI-35 特征库无法自动升级，确实和 DNS 及安全策略配置不当有关。我从底层连通到功能配置，为你整理了详细的步骤。

 操作步骤概览

为了确保能 连接特征库服务器 → 解析域名 → 放行业务流量，需要按照以下三步进行配置：

1. 配置DNS：让防火墙能解析升级服务器的域名。

2. 放行策略：允许防火墙自身（Local安全域）发起DNS查询和特征库下载流量。

3. 开启升级：在Web界面完成最终的配置。

以下是详细的配置方法：

1.  配置DNS

这是解决问题的基础，主要用于解析 H3C 升级服务器的域名（如 update.h3c.com）。

• Web配置：在“网络 > DNS > DNS客户端”中添加DNS服务器。推荐使用公共DNS，如主用 114.114.114.114，备用 8.8.8.8。建议同时在“网络 > DNS > 高级设置”中开启DNS代理功能。

• CLI配置：

  system-view

  ip dns enable # 开启DNS解析功能[reference:5] dns server 114.114.114.114 # 添加主DNS[reference:6] dns server 8.8.8.8 # 添加备DNS[reference:7] dns proxy enable # 开启DNS代理[reference:8] save配置后，可以用 ping www.h3c.com 验证域名解析是否生效。

2.  放行安全策略

这是最容易遗漏的一环。特征库升级是由防火墙自身（属Local安全域）主动发起的，因此需放行从Local到Untrust（或Any）的流量。

• Web配置：在“策略 > 安全策略”页面新建策略，关键参数如下：

  • 名称：local-untrust-update

  • 源安全域：Local

  • 目的安全域：Untrust（如果不知道升级服务器IP，可先设为Any）

  • 服务：选择 dns、http 和 https

  • 动作：允许

• CLI配置：

  system-view

  security-policy rule name permit-local-update source-zone local destination-zone untrust # 或 any service dns service http service https action permit quit security-policy apply

  关于安全域的说明：Local 代表防火墙设备本身。特征库升级时，防火墙的IP是源IP，需确保其能访问外网。如果防火墙出接口在Untrust域，则目的安全域需为Untrust。

3. 开启特征库自动升级

完成网络和策略配置后，即可在Web界面操作。

• Web配置：在“系统 > 升级中心 > 特征库升级”页面，勾选“开启定时升级”复选框，并设置一个合适的时间。也可直接点击“立即升级”按钮手动触发。

  • 如果设备需要通过代理上网，可在此页面配置代理服务器地址。

  • 如果自动升级一直失败，可在 H3C 特征库服务专区-40下载特征库文件，通过“本地升级”功能手动导入。