防火墙IPS/AV升级及URL分类查询失败定位步骤

发布时间:  2014-12-26 浏览次数:  353 下载次数:  0
问题描述
防火墙IPS/AV升级及URL分类查询功能需要防火墙连接到华为安全中心,在项目交付或维护中,很多工程师遇到过IPS/AV升级失败或者URL分类查询失败的问题,现将该类问题的常见定位方法整理。
处理过程
1、ping sec.huawei.com,确认设备跟安全服务中心是否连通。
2、ping DNS 服务器,确认设备跟DNS服务器是否连通。
3、display license,确认是否购买license,商用还是非商用,是否正常激活。
   注:对于非商用license,需要提供ESN号联系安全服务中心(需要请TAC或办事处工程师协助)确认非商用license是否导入安全服务中心。
      商用license是自动导入,无需人工处理。
4、display security server查看查询服务器状态。
5、debugging update all/terminal debugging/terminal monitor/,采集升级的debug信息。
   该debug会有升级连接的服务器域名和端口,可以根据域名和端口帮助判断是否被中间设备阻止。
6、对于URL分类查询,提供ESN号联系URL查询服务器(需要请TAC或办事处工程师协助),检查URL升级服务器是否有连接记录。
建议与总结
1、非商用licnes没有导入安全中心;
2、连接升级服务器的报文被中间设备阻断;
3、当客户dns配置为私网DNS服务器的时候,可能因为解析的升级服务器地址不是我们实际的IP地址导致升级不成功,可以尝试使用类似8.8.8.8的DNS服务器测试看看。

END