12-230202(2021-12- 了解特征庫升 特征庫升級前準 配置特征庫在線升 了解特征庫在線升 配置設備與華為安全中心通 配置設備與代理服務器通 配置特征庫定時在線升 配置特征庫手動在線升 配置特征庫離線升 導入運營商地址 加載URL分類預置 配置文件信譽熱點庫升 配置URL信譽熱點庫升 配置智能檢測引擎庫升 配置設備對接HiSecInsight更新本地信譽信 配置設備對接外部升級服務器更新外部惡意URL信 配置特征庫版本回 配置特征庫恢復到預置版 110202(2021-12-設備安全檢測能力的目的（詳見3特征庫應用在哪些業(yè)務場景中？）。方式將華為安全中心最新發(fā)布的特征庫更新到防火墻設備中（詳見4如何將特征庫升220202(2021-12-2-1防火墻支持的特征庫或ISPV500R001C80V500R005C00V600R006C00本的URL說明

防火墻目前支持兩類熱點庫，分別為文件信譽熱點庫和URL2-2說明

在防火墻設備中，傳統(tǒng)的威脅檢測是通過將流量中提取的特征信息與設備中加載的特征庫中的特性信息進行匹配來實現的。此種檢測方式只能夠識別并防御已知威脅，無法快速應對網絡中層出不窮的未知威脅。為了解決上述問題，華為E系列AI火墻產品新增了智能檢測引擎，通過基于機器學習和深度學習的安全檢測算法有效檢測未知威脅。2-3說明2-4URLHiSec（原外部惡意URL說明330202(2021-12-3-1APTIP運營商地址庫是存放網絡內所有地址的文件，供智能選路特性的選路功能使用。當防火墻作為出口網關連接多個網絡時，通過選路功能可以使訪問特定網絡的流量從相應出接口轉發(fā)，保證流量轉發(fā)使用最短路徑，提高轉發(fā)效率。集，其中存儲了主流網站的URL分類信息。動將L分類預置庫加載到預定義L分類緩存中。加載的L分類預置庫對L分類和分類同時生效，通過L過濾或過濾功能，設APTURL防火墻從HiSecInsight上獲取的本地信譽信息中御、URL防火墻從HiSecInsight上獲取的本地信譽信息中URL440202(2021-12-說明本文檔以USG6000/USG9500V500R005C20及USG6000EV600R007C20加載URL配置URL配置設備對接HiSecInsight配置設備對接外部升級服務器更新外部惡意URL4-1>>>>>IP（），特征>>>（isecuritei.o），>特征庫升級”，選擇對應的產品類型、產品系列、產品名稱和產品版本后，在“L預置庫”頁簽下載L分類預置庫文件。>HiSecInsight（原測結果以日志的方式發(fā)送給HiSecInsight，HiSec防火墻與HiSecInsight建立連接后，可以通過本地信譽定時升級功能從HiSecInsight下載本地信譽信息，更新

檢查設備的CF步驟1檢查設備的LicenseCLIWebdisplay 1.License步驟2檢查設備的CF4-2CFIP說明對于USG9500來說，系統(tǒng)沒有CFcard2CLIWeb檢查設備的CF displayenginememoryall命令回顯中的“SystemFree步驟3CLIWeb 在升級特征庫前，需要確認設備當前的特征庫升級狀態(tài)“Curent”是否為空閑狀態(tài)“e”。只有升級狀態(tài)為空閑時，才能進行升級操步驟4CLIWebdisplayversion{{av-sdb|cnc|file-reputationip-reputation|ips-sdb|sa-sdb}*|location-|asset-sdbdisplayversionaie->----

4-14-2說明HTTP協(xié)議存在安全風險，請嚴格限定安全策略的匹配條件。推薦使用直接在線代理服務器的操作系統(tǒng)為Windows時，推薦使用軟件CCProxyLinux時，推薦使用軟件Squid。代理服務器需要保證開啟HTTP協(xié)議端口和4（PUT、GET、CONNECT和POST）說明4-3特征庫直接在線升級的交互流程設備發(fā)送的請求數據中提供了設備型號、設備版本、設備ESN、特征庫類型、特征庫當前版本和國家（可選）等信息。這些數據僅用來標識設備及其所在的國家如果設備與控制服務器連接使用的協(xié)議為HTTP～15000（動態(tài)分配）說明源IP時），主機無法向備機同步特征庫，此時可以在主機上配置updatehrp-standby

源安全區(qū)域為Local當在線升級方式選擇HTTPS時，需要放行HTTPS當在線升級方式選擇TP時，需要放行TP和P（P需要放行1端口和9端口）協(xié)議，其中TP用于設備與升級中心交互，P用于下載特征庫文件（連接P控制通道）。此外，還需要放行自定義服務流量，協(xié)議為P端口為1～（用于連接P數據通道）。步驟1CLIWebsystem- updateserver{domaindomain-name|ipip-address}[portport-number]updatedownload-serveraging-timeage-updateonline-mode{http|https updatehostsourceipip-address[vpn-instancevpn-instance]IP過命令updatehostsourceipip->端口：服務器端口，默認為443updatehostsourceipip-addressvpn-instancevpn-CLIWeb當配置updatehost當配置updatehostsourceipip-address[vpn-instancevpn-instance]時，必須配置vpn-instance6.可選配置設備通過HTTPS協(xié)議與華的CA步驟2配置DNSCLIWeb啟用DNSdns 配置DNS服務器的IPdnsserverip- >DNS>DNS如果設備通過VPN實例連接外網，DNS服務器也在外網，還需要配置設備向指定VPNDNS服務器發(fā)送DNSdnsservervpn-instancevpn- 步驟3配置安全策略，允許設備訪問華為安全中心升級服務器和DNSCLIWebrulenamepolicy_namesource-zonelocaldestination-zoneuntrustservicehttpsservicednsactionpermitrulenamepolicy_namesource-zonelocaldestination-zoneuntrustservicehttpserviceftpserviceprotocoltcpdestination-port10001to15000serviceprotocoltcpdestination-port32119actionpermit安全策服務：HTTPS、----CLIWeb通過pinghost命令測試設備與華為安全>

源安全區(qū)域為Local由于設備只支持HTTP代理，因此需要放行HTTP步驟1CLIWebsystem- updateproxy updateproxy{domaindomain-name|ipip-address}[portport-number][useruser-name[passwordpassword]]DNS>步驟2配置DNSCLIWeb啟用DNSdns 配置DNS服務器的IPdnsserverip- >DNS>DNS步驟3配置安全策略，允許設備訪問代理服務器和DNSCLIWebrulenamepolicy_namesource-zonelocaldestination-zoneuntrustservicehttpservicednsactionpermit安全策服務：HTTP、----CLIWeb通過pinghost命令測試設備與華為安全>

IP說明步驟1CLIWebsystem- updateschedule{av-sdb|cnc|file-reputation|ip-reputation|ips-sdb|sa-sdb|location-sdb}enableupdateabort終止特征庫在線升級的操>步驟2CLIWebupdateschedule[{daily|weekly{MonTue|Wed|Thu|Fri|Sat|Sun}}timeupdateschedule{av-sdb|cnc|file-reputation|ip-reputation|ips-sdb{hourlyminute|{daily|weekly{Mon||Wed|Thu|Fri|Sat|Sun}}timeupdateschedulesa-sdb{daily|{Mon|Tue|Wed|Thu|Fri|Sat|Sun}updateschedulelocation-sdbweekly{|Tue|Wed|Thu|Fri|Sat|Sun}>步驟3可選CLIWebupdateconfirm{av-sdb|cnc|file-reputation|ip-reputation|ips-sdb|sa-sdb}updateapply{av-sdb|cnc|file-|ip-reputation|ips-sdb|sa-sdbupdateforceapply{av-sdb|cnc|file-reputation|ip-reputation|ips-sdb|sa-sdb}執(zhí)行命令updateforceapply會導致IAE>步驟4可選CLIWebupdatescheduleretry-download缺省值是3600updatescheduleretry-loadintervalinterval-缺省值是3600----CLIWebdisplayupdate displayenginedisplayversion{{av-sdb|cnc|file-reputation|ip-reputation|ips-sdb|sa-sdb}*|location-sdb|asset-sdb>

步驟1CLIWebsystem- updateonline{av-sdb|cnc|file-|ip-reputation|ips-sdb|sa-sdb|location-sdb}updateabort終止特征庫在線升級的操updateforceonline{av-sdb|cnc|file-reputation|ip-reputation|ips-sdb|sa-sdb執(zhí)行命令updateforceonline會導致IAE>步驟2可選CLIWebupdateconfirm{av-sdb|cnc|file-reputation|ip-reputation|ips-sdb|sa-sdb}updateapply{av-sdb|cnc|file-|ip-reputation|ips-sdb|sa-sdb>----CLIWebdisplayenginedisplayversion{{av-sdb|cnc|file-reputationip-reputation|ips-sdb|sa-sdb}*|location-|asset-sdb>

4-4步驟1登錄華為安全中心（），特征庫升CLIWebsystem-CLIWebsystem- updatelocal{av-sdb|cnc|file-reputation|ip-reputation|ips-sdb|sa-sdb|location-sdb|asset-sdb}filefilename:updateforcelocal{av-sdb|cnc|file-reputation|ip-reputation|ips-sdb|sa-sdb}filefilename執(zhí)行命令eoel會導致引擎短時間內不生效，且重置所有相關會話表，請謹慎使用！>----CLIWebdisplayenginedisplayversion{{av-sdb|cnc|file-reputationip-reputation|ips-sdb|sa-sdb}*|location-|asset-sdb>

步驟1登錄華為安全中心（），特征庫升說明目的IP地址范圍僅支持IP步驟2CLIWeb>>----URL

L分類預置庫是出廠預置的，設備初次上電時會自動將LL分類緩存中。如果設備本地沒有加載L分類預置庫或需要更新現有的L分類預置庫，管理員需要通過華為安全中心（isecuritei.o）下載配套版本的分類預置庫，手動上傳并加載到設備中。加載的L分類預置庫對L分類和分類同時生效，通過L過濾或過濾功能，設備可以對一些常見的網站或域名進行訪問控制。步驟1獲取URL登錄華為安全中心（），特征庫升步驟2加載URL分類預置庫。CLIWebsystem- 加載URLimporturl-sdbfile >URL----

步驟1CLIWebsystem- updateschedulehot-file-reputationupdateschedulehot-file-reputation>步驟2CLIWebsystem- updateonlinehot-file- 步驟3updateonlineaging-timeaging- 缺省情況下，熱點庫在線升級的老化時間為12----URL

步驟1配置URL缺省情況下，URLCLIWebsystem- url-filterreputationupdate url-filterreputationupdateintervalinterval->>URL過URL步驟2配置URLCLIWebsystem- 立即升級URLupdateonlinehot-url- 步驟3updateonlineaging-timeaging- 缺省情況下，熱點庫在線升級的老化時間為12----

步驟1CLIWebsystem- updatescheduleaie-sdb updateabort終止智能檢測引擎庫在線updatescheduleaie-sdb{hourlyminute{daily|weekly{Mon|Tue|Wed|Thu||Sat|Sun}}timeupdatescheduleretry-downloadintervalinterval-value缺省值是3600updatescheduleretry-load缺省值是3600>步驟2CLIWebsystem- updateonlineaie- updateabort終止智能檢測引擎庫在線>步驟3登錄華為安全中心（），特征庫CLIWebsystem- updatelocalaie-sdbfile >----CLIWebdisplayupdate displayversionaie- >–單擊“重新安裝”，可立即進–單擊“終止升級”，可停止重–單擊“重新安裝”，可立即進–單擊“立即升級”，系統(tǒng)將刪HiSecInsight

HiSecInsightHiSecInsight沙箱的檢測結果無法及時共享給網絡中的其他防火墻設備，如果網絡中的其他防火墻發(fā)現了同樣的可疑文件或L，還需要重新提交FieHunte威脅檢測和響應的效率。為了解決上述問題，防火墻可以通過與FieHunte沙箱、HiSec聯動實現本地信譽聯動業(yè)務。通過本地信譽聯動，可以將FieHunte沙箱檢測出的風險目標（威脅文件、惡意L）通過HiSec匯聚為內部情報資源，以本地信譽的形式共享給網絡中的防火墻設備，實現本地威脅情報的全網共享，提升全網的威脅檢測及響應效率。4-5本地信譽信息的升級需要防火墻與HiSecInsight建立連接，定期檢查HiSecInsight中是否生成了新版本的本地信譽信息。如果HiSecInsight中存在新版本的本地信譽信步驟1配置防火墻與HiSecInsightCLIWebsystem- 配置防火墻與HiSecInsight的對接參>中配置防火墻與HiSecInsight的連接步驟2CLIWebupdateschedulecis updateschedulecisminute >----CLIWeb>

設備支持基于外部惡意L信息實現L過濾的功能。外部惡意L信息是第三方網站發(fā)布的惡意L文本文件，設備通過對接外部升級服務器更新外部惡意L其加載到設備緩存中。開啟外部動態(tài)惡意L過濾功能后，當用戶請求訪問L備會將L與緩存中的外部動態(tài)惡意L信息進行匹配，如果匹配，則直接阻斷該請求。為了能夠及時識別并阻斷最新的惡意L，需要定期從外部升級服務器更新外部惡意L信息，以便更新設備緩存中的惡意L信息。步驟1更新外部惡意URLURL惡意URL文本文件的格式目前只能是TXT惡意URL文本文件的大小要求不能超過15MB惡意URL文本文件中可以輸入URL或者IP一行只能輸入一條URL或者一個IP地址，且URL或者IP1279例如，TXT格式的惡意URL文本文件示意圖如圖4-64-6TXTURL步驟2system- 步驟3 說明設備與外部升級服務器連接僅支持導入PEM格式的CA正在被引用的CA證書不能修改或者刪除。通過undoupdateext-serverext-url-sdb命令刪步驟4配置DNS啟用DNSdns 配置DNS服務器的IPdnsserverip- 步驟5配置在線升級請求報文的源IP指定接口的IP地址和VPN實例作為在線升級請求報文的源地址和VPN updatehostsourceipip-address[vpn-instancevpn-instance 當接口下存在多個IP地址時，建議通過命令updatehostsourceipip-address直接指說明如果設備通過VPNVPN當配置updatehostsourceipip-addressvpn-instancevpn-instance]步驟6配置安全策略，允許設備訪問華為安全中心升級服務器和DNSrulenamepolicy_namesource-zonelocaldestination-zoneuntrustservicehttpsservicednsactionpermit步驟7開啟外部惡意URLupdatescheduleext-url-sdb 配置外部