IPS规则库

华三官网通就可以：

华三 SecPath IPS / 防火墙 互联网自动升级特征库完整域名、端口、放行规则
一、核心升级域名（IPS 入侵防御、AV 病毒、URL 应用库共用一套服务器）
1. 主升级域名（设备默认内置）
sec.h3c.com（HTTPS 443，新一代云升级服务，AI 系列 F1000-AI、ACG1000、T 系列 IPS 默认）
update.h3c.com（HTTP/HTTPS，老款 V7 防火墙、IPS 通用升级地址）
www.h3c.com.cn（校验授权、SN、特征库版本，基础域名校验依赖）
www.h3c.com（国际备用节点，海外组网设备自动切换）
完整访问 URL 示例（设备内置）
https://update.h3c.com/h3cupdate/addupdate.asp
二、通信端口要求（防火墙安全策略必须放行）
业务下载端口
HTTPS：TCP 443（主流，新一代设备全部走 443 加密下载）
HTTP：TCP 80（老版本备用通道，部分校验接口使用）
DNS 解析端口（必备）
UDP 53（设备必须配置 DNS 服务器，否则无法解析升级域名 IP）
无需放行 FTP/TFTP，在线自动升级仅 HTTP/HTTPS
三、配套辅助域名（校验、证书、授权校验）
license.h3c.com：License 授权在线校验，无有效 IPS 授权会直接拒绝下载特征库
ca.h3c.com：HTTPS 证书可信根证书校验，阻断后 HTTPS 握手失败、升级报错
dl.h3c.com：大体积特征库分流下载节点
四、安全域放行策略模板（Local→Untrust，V7 防火墙）
ios
system-view
security-policy ip
# 允许DNS解析域名
rule permit name Allow_DNS source-zone Local dest-zone Untrust service udp domain
# 允许特征库升级HTTPS/HTTP
rule permit name Allow_Signature_Update source-zone Local dest-zone Untrust service tcp 80
rule permit name Allow_Signature_Update443 source-zone Local dest-zone Untrust service tcp 443
# 限制仅访问华三升级域名（可选精细化控制）
rule permit source-zone Local dest-zone Untrust destination-address domain sec.h3c.com
rule permit source-zone Local dest-zone Untrust destination-address domain update.h3c.com
rule permit source-zone Local dest-zone Untrust destination-address domain license.h3c.com
五、关键注意事项
DNS 不可缺失
设备必须配置可用 DNS（114.114.114.114 / 8.8.8.8），执行nslookup update.h3c.com验证解析；仅配静态 IP、无 DNS 会直接升级失败。
Local 域流量放行
升级流量发自防火墙本机 Local 安全域，不是内网 Trust 用户，策略源域必须写Local，只放 Trust→Untrust 无效。
NAT 出口要求
若设备管理地址走内网 NAT 上网，确保 Local 域流量能正常做源 NAT 访问外网 443/80。
License 前提
IPS 特征库在线升级需要IPS 特征库有效授权，授权过期 / 未导入，即使域名通也无法下载更新。
无法解析域名临时替代方案
可联系 400 获取升级服务器公网 IP 段，添加静态域名映射ip host update.h3c.com 升级IP。
六、极简清单（防火墙 / 上网策略直接复制放行）
需要放行域名
sec.h3c.com、update.h3c.com、www.h3c.com.cn、license.h3c.com、ca.h3c.com
需要放行端口
UDP 53(DNS)、TCP 80(HTTP)、TCP 443(HTTPS)
流量方向
设备 Local 安全域 → 外网 Untrust 安全域

H3C (新华三)

• 默认升级域名：www.h3c.com.cn 或 downloadcdn.h3c.com
• 协议与端口：通常使用默认的 HTTP/HTTPS 端口（TCP 80 / TCP 443），无需对出方向端口做过于严格的限制，只需放通上述域名即可。
• 网络要求：除了确保路由可达和 DNS 解析正常外，还需要配置安全策略，明确放通从 Local 区域到 Untrust 区域（即设备自身访问外网）的流量。