解決下一代防火墻升級病毒特征庫問題

■ 內蒙古 杜云雷

編者按：企業采購完安全設備不能束之高閣，而應充分發揮它們的真正價值。筆者單位采購的華為下一代防火墻在配置之初并未完全開啟相關安全功能，筆者對此進行了詳細的配置。

筆者單位購置了華為下一代防火墻，其中附帶了幾個功能包：入侵防御（IPS）、反病毒庫（AV）以及應用識別特征庫等。最初在安裝時廠家只是給激活了功能，并沒有提及升級的問題，而且一開始也并沒有啟用。作為安全管理員，就得負起責任，把安全功能都真正用起來。

筆者點擊進入防火墻Web 管理頁面，首頁日志提示特征庫升級失敗，看日期是每天定時升級，問題已經持續幾年。進入“系統→升級中心”，發現就是如圖1 的幾個功能每天定時升級，狀態顯示“升級服務器域名解析失敗，請檢查配置或網絡連接”。如圖2 所示。

筆者手動點擊“立即升級”，但依然失敗。此時顯示升級中心的地址是“sec.huawei.com”，很明顯，問題就是防火墻不能連接外網進行升級。

解決思路

在策略菜單下的安全策略里新建一條DNS 安全策略，方向是從local 域到untrust 域，也就是開通防火墻到外網的策略。如圖3 所示。

圖1 升級中心

圖2 升級特征庫報錯

回到升級中心再次點擊“特征庫升級”，還是不行。

點擊頁面右下角的CLI控制臺進行測試：ping sec.huawei.com，不通。ping www.baidu.com，也不通。

進入網絡管理，查看防火墻DNS 已經進行了配置。繼續輸入：

sys 進入防火墻命令行模式

dns resolve 開啟動態域名解析功能

dns proxy enable 開啟DNS 代理功能

重新ping sec.huawei.com，終于通了。只要到升級中心網絡通了，升級特征庫就應該沒問題了。之后全部成功升級到了最新版。如圖4 所示。

升級完特征庫就大功告成了嗎？還差一步，那就是在每一條開啟的策略里啟用特征庫的檢查選項，內容安全欄有這幾個特征庫圖標才說明真正生效了。如圖5 所示。

經驗總結

硬件配軟件，軟件配模塊。既然買了模塊，就得學會開啟它，這樣才能提升企業整體網絡安全防護能力。

圖3 新建防火墻策略

圖4 升級特征庫成功

圖5 策略啟用特征庫

企業網絡安全涉及到的設備有很多，特別是在等保2.0 標準下，安全運維工作相比之前要求更高，堡壘機、下一代防火墻、日志和數據庫審計、上網行為管理等關鍵網絡安全設備都需完備，作為安全人員，還是需要腳踏實地多學習實踐，把自家安全設備功能吃透，搭建起成套的網絡安全防護體系，而不是僅滿足能用。