ACG1000特征库更新导致部分网络问题

：APP-R3.1.569 特征库对 connecttest.txt 等正常测试 / 业务 URL 存在误判，属于该版本特征库的已知问题，需临时白名单 + 回退 / 等新版修正。
一、确认是否误判（必做）
查日志（Web / 命令行）
Web：日志中心→URL 过滤 / 违法信息，搜索 connecttest.txt，看拦截原因是 “违法信息”。
命令行：
plaintext
display log | include connecttest.txt
display url-filter statistics
验证 URL 合法性
直接浏览器访问该 URL，确认内容为正常测试文件（如微软 / Windows 网络连通性检测文件），无违规内容。
二、临时解决（立刻恢复）
1. 加白名单（推荐，不影响安全）
Web：策略→URL 过滤→白名单，添加：
精确：*.*/connecttest.txt
或域名：*.***.***（常见）
命令行：
plaintext
malware-url url *.*/connecttest.txt
（白名单精确匹配，需与日志中 URL 完全一致）
2. 特征库回退（紧急恢复）
plaintext
feature-db rollback 旧版本号 # 如R3.1.568，需提前备份配置
回退会短暂中断 DPI 业务，建议低峰操作。
三、根本解决（长期）
联系 H3C 400 / 原厂工单
提供：设备型号、系统版本、特征库 R3.1.569、误判 URL 列表、拦截日志。
原厂会在后续特征库（如 R3.1.570+）修正该误判规则。
等待特征库更新
开启自动升级，或手动更新到下一个修复版本。
四、为什么会误判
connecttest.txt 是 Windows / 企业常用网络连通性测试文件，本身合法。
R3.1.569 特征库规则过严，将部分正常 URL 误归类为 “违法信息”。
非个别现象，同版本用户反馈多例类似误判。
五、操作顺序（最简）
查日志确认误判 → 2. 加 URL 白名单 → 3. （可选）回退特征库 → 4. 提交工单等修复。

特征库是 最新版本吗？

一、 调整策略配置（优先排除法）

1. 检查策略匹配顺序：ACG的策略是“自上而下”匹配的。请确认您的控制策略中，是否将“拒绝所有”或“阻断违法网站”的规则置于了正常业务放行规则之前。建议将允许指定URL的白名单策略置于高位。
2. 添加临时白名单：在定位问题期间，可将当前被误拦截的域名（如 ***.***/connecttest.txt）单独添加到URL白名单中，以保障网络畅通。

二、 核查URL对象格式规范

1. 通配符匹配机制：ACG对于通配符是不匹配主域名本身的。例如配置了 *.***.***，只能匹配子域名，无法匹配 ***.*** 本身。如果主域名被拦截，需要单独增加一条不加通配符的主域名配置。此外，模糊域名的通配符只能加在前面（如 *baidu.com），加在后面（如 www.baidu.*）是无法生效的。
2. 字符格式要求：确保输入的域名全部使用英文字符，避免包含中文标点、多余空格或不规范的HTTP头信息，否则会导致匹配失败或被错误识别。

三、 验证授权与特征库状态

1. 确认授权有效性：应用识别和URL分类高度依赖特征库。若设备的官方维保授权已过期，即使手动上传了新的特征库文件，系统也会因授权失效而拒绝正确生效，极易引发大面积误拦截。
2. 检查版本兼容性：虽然您当前使用的是最新的 APP-R3.1.569 版本，但某些新版本可能存在已知BUG（如Host头截断等）。建议在【系统配置】>【升级中心】查看是否有更新的稳定版固件推荐。

四、 日志分析与原厂反馈

1. 查阅URL过滤日志：前往“日志中心”，通过源IP、目的域名等信息查询具体的拦截记录。对比日志中实际捕获到的Host值与您配置的URL对象是否完全一致。
2. 联系H3C技术支持更正：由于特征库属于云端下发的核心安全数据，如果您确认该网站（如 /connecttest.txt 等常见测试文件或正常业务链接）确属误判，最直接的解决办法是收集相关的URL过滤日志和设备版本号，直接提交给H3C官方技术支持（或拨打400热线）。原厂核实后会向特征库研发团队提交修正申请，在下一次特征库更新中予以更正。