https://support.huawei.com/hedex/hdx.do?docid=EDOC1100084128&id=ZH-CN_XTASK_0182273715
升级特征库
及时升级入侵防御和恶意域名可以使设备更好地防御网络中的威胁。
升级前准备
升级入侵防御和恶意域名特征库之前请做好如下准备工作,保证升级成功完成。
升级入侵防御和恶意域名特征库前,请确认已购买并成功激活支持入侵防御和恶意域名特征库升级服务的License。入侵防御特征库和恶意域名库使用同一个License。
具体操作如下:
如果待升级特征库对应的状态为“Disabled”,则需要激活License,具体操作请参见License管理。
执行命令display license,查看待升级特征库的License是否被激活,是否过期。
升级入侵防御和恶意域名特征库前,需要确认设备的CF卡剩余空间和内存剩余空间是否满足条件,入侵防御和恶意域名特征库升级所需CF卡空间和内存空间如下表所示。
特征库
CF卡空间
内存空间
入侵防御特征库(IPS-SDB)
≥30MB
恶意域名库
≥10MB
具体操作如下:
USG6307E/6311E/6311E-POE/6510E/6510E-POE:≥30MB
USG6331E/6530E:≥50MB
USG6306E/6308E/6312E/6322E/6332E/6515E:≥50MB
USG6305E/6309E/6315E/6325E/6335E/6525E:≥50MB
USG6350E/6360E/6380E/6550E/6560E/6580E:≥90MB
USG6355E/6365E/6385E/6555E/6565E/6585E:≥90MB
USG6395E/6615E/6625E:≥110MB
USG6635E/6655E:≥130MB
USG6630E:≥310MB
USG6650E:≥310MB
USG6680E:≥310MB
USG6712E/6716E:≥510MB
USG6307E/6311E/6311E-POE/6510E/6510E-POE:≥52MB
USG6331E/6530E:≥100MB
USG6306E/6308E/6312E/6322E/6332E/6515E:≥440MB
USG6305E/6309E/6315E/6325E/6335E/6525E:≥440MB
USG6350E/6360E/6380E/6550E/6560E/6580E:≥480MB
USG6355E/6365E/6385E/6555E/6565E/6585E:≥480MB
USG6395E/6615E/6625E:≥500MB
USG6635E/6655E:≥520MB
USG6630E:≥700MB
USG6650E:≥700MB
USG6680E:≥700MB
USG6712E/6716E:≥900MB
在用户视图下,执行命令dir查看主控板CF卡的剩余空间。
其中,FW的显示信息如下:
<sysname> dirDirectory of hda1:/ Idx Attr Size(Byte) Date Time FileName 0 -rw- 754 Feb 06 2015 15:35:33 private-data.txt 1 -rw- 5,805 Feb 06 2015 15:35:51 cfgfile.zip 2 drw- - Feb 06 2015 09:07:58 default-sdb 3 drw- - Jul 08 2014 17:02:48 conf ........ 48 -rw- 36 Jan 30 2015 10:28:44 $_patchstate_reboot 49 -rw- 1,063 Feb 06 2015 09:13:26 nlog.log 50 -rw- 173,569,921 Feb 04 2015 20:31:10 sup_c30.bin 1,200,576 KB total (379,168 KB free)
如果剩余空间不足,需要删除无用文件。在用户视图下,执行命令delete删除CF卡中的无用文件。
执行带/unreserved参数的delete命令后,文件将被直接删除,不能恢复。
特征库升级不能并行操作,因此在特征库升级前,请确认当前的升级状态是否为空闲。只有升级状态为空闲时,才能进行升级操作。
具体操作如下:
执行命令display update status查看当前特征库的升级状态。
<sysname> display update status Current Update Status: Idle.
以上显示信息中,Idle表示处于空闲状态,可以进行升级操作。否则不能进行升级操作,请耐心等待并重复执行上述命令直至状态显示为Idle,才能进行升级操作。
升级入侵防御和恶意域名特征库前,请确认入侵防御和恶意域名特征库的版本信息,确认是否需要升级。
具体操作如下:
执行命令display version { ips-sdb | cnc },查看待升级特征库的版本信息,从而确定是否需要升级。
<sysname> display version ips-sdb IPS SDB Update Information List: ---------------------------------------------------------------- Current Version: Signature Database Version : 2016042310 Signature Database Size(byte) : 653281 Update Time : 16:15:13 2016/05/14 Issue Time of the Update File : 17:31:13 2016/04/23 Backup Version: Signature Database Version : 2016042704 Signature Database Size(byte) : 568481 Update Time : 16:12:23 2016/05/14 Issue Time of the Update File : 13:14:59 2016/04/27 ---------------------------------------------------------------- IPS Engine Information List: ---------------------------------------------------------------- Current Version: IPS Engine Version : V200R002C20SPC015S001 IPS Engine Size(byte) : 4270561 Update Time : 16:15:13 2016/05/14 Issue Time of the Update File : 10:39:25 2016/05/14 Backup Version: IPS Engine Version : V200R002C20SPC012 IPS Engine Size(byte) : 3145728 Update Time : 16:12:23 2016/05/14 Issue Time of the Update File : 19:45:45 2016/04/27 ----------------------------------------------------------------
背景信息
入侵防御和恶意域名特征库支持在线升级和本地升级两种升级方式:
当FW可以直接通过升级中心进行通信,或者FW可以通过代理服务器与升级中心进行通信,此时可采用在线方式对入侵防御和恶意域名特征库进行升级。
在线升级又分为两种方式:
FW定期连接升级中心检查是否存在新的入侵防御和恶意域名特征库版本。如果升级中心存在新版本的入侵防御和恶意域名特征库,FW会根据设定的时间自动下载并更新本地的入侵防御和恶意域名特征库。
当用户发现网络上出现新的入侵防御和恶意域名特征库,而FW定时更新时间还没达到,或FW未启用定时更新,此时可以选择立即升级。
立即升级使用的入侵防御和恶意域名特征库的下载地址就是定时升级的下载地址,升级流程也与定时升级完全相同,区别在于立即升级不受时间限制,可以在任何时刻执行立即升级动作。
当FW与Internet物理隔离,且企业内网没有部署代理服务器时,可以采用本地升级方式。
关于特征库升级场景的详细说明请参见升级中心。
在线升级
使用在线升级方式时,如果FW可直接访问升级中心,需要在FW上配置放行HTTP协议和FTP协议的安全策略;如果FW通过代理服务器访问升级中心,需在FW上配置放行HTTP协议的安全策略。
配置升级中心。
执行命令system-view,进入系统视图。
执行命令update server { domain domain-name | ip ip-address } [ port port-number ],配置升级中心的相关信息。
默认域名为“sec.huawei.com”。
配置升级中心的域名后,必须配置DNS来解析域名,具体操作请参见3。
可选:配置代理服务器。
FW通过代理服务器连接升级中心时需要执行此步骤。
执行命令update proxy enable,开启特征库代理升级功能。
执行命令update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name [ password password ] ],配置代理服务器的域名(或IP地址)和用户名及密码。
如果代理服务器配置了域名,则必须配置DNS来解析域名,具体操作请参见3。
可选:配置DNS服务器。
执行命令dns resolve,启用DNS服务器的域名解析功能。
执行命令dns server ip-address,配置DNS服务器的IP地址。
可选:指定在线升级请求报文的源IP地址。
当管理员不指定在线升级请求报文的源IP地址时,系统将根据升级服务器的IP地址查找路由,并使用出接口的IP地址作为升级请求报文的源地址。
当接口下存在多个IP地址时,建议通过命令update host source ip ip-address直接指定升级请求报文的源地址,并确保FW可以收到响应报文。否则,可能无法正常在线升级。
如果FW通过VPN实例连接外网,则必须配置本命令,否则将导致升级失败:当配置update host source interface-type interface-number时,该接口必须绑定相应的VPN实例名称。
当配置update host source ip ip-address时,必须配置vpn-instance vpn-instance。
执行命令update host source interface-type interface-number,指定接口的IP地址和VPN实例作为在线升级请求报文的源地址和VPN实例。
执行命令update host source ip ip-address [ vpn-instance vpn-instance ],指定在线升级请求报文的源地址。
选择定时升级或立即升级。
定时升级或立即升级启动后,若因为网速太慢而影响FW的业务性能时,可以执行命令update abort终止特征库升级的操作。等待网络环境改善后再执行命令update online { ips-sdb | cnc }继续下载最新版本的特征库。
执行命令update online { ips-sdb | cnc },下载最新版本。
执行命令update schedule { ips-sdb | cnc } enable,开启特征库定时升级功能。
执行命令update schedule { ips-sdb | cnc } { hourly minute | { daily | weekly { Mon | Tue | Wed | Thu | Fri | Sat | Sun } } time },配置特征库定时升级的时间。
建议入侵防御特征库每周升级一次、恶意域名库每天升级一次,请根据网络的实际情况进行调整。
本地升级
进行本地升级前需要管理员获得升级文件,并通过SFTP、FTP或TFTP方式将升级文件上传至FW的存储器中。
下载升级包。
从安全中心平台(isecurity.huawei.com)下载特征库,具体下载升级包的步骤请参见升级中心。
将升级包从PC上传到FW的存储器中。
升级包放在FW存储器中哪个目录下都可以,一般建议放在根目录下。
特征库文件为.zip格式,无需解压缩,直接上传到FW即可。
执行命令system-view,进入系统视图。
执行命令update local { ips-sdb | cnc } file filename,进行本地升级。
版本回退
当前使用的特征库出现故障时(如出现误报、系统性能下降),可以采用版本回退的方式将当前的特征库恢复至前一个版本。
版本回退只能回退一个版本,多次回退将在当前版本和可回退版本之间循环切换。
执行命令system-view,进入系统视图。
执行命令update rollback { ips-sdb | cnc },将特征库的版本回退到可回退版本。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4560.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
