UTM模式下,更换部署网络,签名库/病毒库无法更新

发布时间:  2012-07-18 浏览次数:  112 下载次数:  0
问题描述
UTM模式下,在局点A中,签名库/病毒库在线更新成功;删除flash下的规则目录,将设备带到局点B进行演示,签名库/病毒库无法在线更新。
告警信息
处理过程

在客户出口处,找到进行NAT的设备,在设备上开启域间NAT ALG

[sysname] display interzone trust untrust      
interzone trust untrust    
detect ftp    

根因

UTM签名库/特征库是通过主动FTP方式连接到安全服务器进行下载,UTM设备若是通过我司安全产品NAT上网,域间没有开启nat alg enable ftp,会出现如下情形:

 

1、UTM设备使用端口N(N>1024)连接到服务器21端口;

2、UTM设备开始监听端口N+1;

3、服务器21端口对端口N进行应答;

4、UTM设备使用端口N发送端口N+1到服务器;

5、服务器21端口对端口N+1进行数据链路初始化;

6、由于UTM设备在我司安全设备之后,并且只做了端口监听的动作,我司安全设备中未建立端口N+1的NAT表项,该报文未能到达UTM设备,数据链路建立失败

 

导致可以正常上网却无法更新签名库/病毒库的情况。

建议与总结
打开NAT ALG功能后,签名库/病毒库升级成功

END