客户问题： 防火【huǒ】墙USG6585E双【shuāng】机【jī】热备【bèi】,备机不参与网【wǎng】络转发。但是安全特征库许可【kě】证license已经到期了，已经购买【mǎi】了许可证，怎【zěn】么在线激活，并保【bǎo】证定时在【zài】线升级【jí】。或【huò】者【zhě】怎么样可【kě】以【yǐ】使得备机本身的流量参与网络转【zhuǎn】发（也就是备【bèi】机自己能够上网）？

解答：在备机上手动激活License，正常情况下特征库会自动从主机上同步到备机上。

也可以在备机上执行命令update hrp-standby enable，配置备机特征库的单独升级功能。

缺省情【qíng】况【kuàng】下【xià】，关闭备机特征库的单独升级功能，即主【zhǔ】机【jī】升级【jí】特征库后，会自【zì】动向备【bèi】机同步特征库【kù】完成升级。

默认情况下，主【zhǔ】机升级特征库后【hòu】，会自动向备【bèi】机同步特征库完成【chéng】升级，这样既提升了特征【zhēng】库升级的效率，也【yě】避免了【le】主备机【jī】内容安【ān】全检【jiǎn】测【cè】能【néng】力不一致的问题，但是【shì】如果主机无法向备机同【tóng】步特征【zhēng】库，例【lì】如主机和备机之间的心跳【tiào】口连【lián】接异常，可以【yǐ】配【pèi】置该命令，使备机【jī】单【dān】独升级特征库。

手动激活License-Web登【dēng】录Web界面，选择“系统 > License管【guǎn】理【lǐ】”。

不同机型支【zhī】持【chí】的License资源存在差异【yì】，此【cǐ】处【chù】截图只供【gòng】参考，请以设备实际显示的界面为准。License控【kòng】制项支持明【míng】细【xì】，请参考License控制项介【jiè】绍。

在“License激活方式【shì】”中选择“本地【dì】手动【dòng】激活”。单击“浏览”，选择待上传的【de】License文【wén】件【jiàn】。单击“激【jī】活”，激活当前【qián】License文件。手动【dòng】激活License-CLI执行命【mìng】令dir，查看是否有【yǒu】足够存储空间存放License文件。将License文件上传至存储器的【de】根目录下。

License文【wén】件后缀为*.dat，请存【cún】放于存储器【qì】的根目录下【xià】。License文件可以被【bèi】重命名，但不能更【gèng】改扩展名“.dat”，否则系【xì】统将无法正常加载【zǎi】License文【wén】件【jiàn】。

执【zhí】行命令system-view，进【jìn】入【rù】系统【tǒng】视图。执行命【mìng】令license active file-name，手动激活指定的License文件。只有当【dāng】设备ESN、软件版本等信息完全与License文件内容吻合的情【qíng】况下【xià】，License才能成功被【bèi】激活。

系【xì】统中只能存在一个处于激活状态的License文件，激活新的License将会使旧的License失效。 License文【wén】件是存储在设【shè】备的CF卡上的，文件激【jī】活后，在【zài】设【shè】备【bèi】运行【háng】期间不可以在CF卡上【shàng】手动删除License文件。如果【guǒ】出现CF卡损坏或者【zhě】在【zài】BootROM下【xià】误删【shān】除了【le】License文件【jiàn】，此【cǐ】时如果不重启设备，License文件还可以正常使用，不会产生【shēng】业务【wù】中【zhōng】断；如果【guǒ】重启【qǐ】了设备，FW会发现License文件丢失，产生业务【wù】中断【duàn】。这时FW会发送一条告警FWLCNS_1.3.6.1.4.1.2011.6.122.16.5.19 hwLicenseFileLose通【tōng】知【zhī】用户文件【jiàn】丢失，需【xū】要重新上【shàng】传License文件到CF卡上【shàng】，然后【hòu】进行激活License文件恢复业务正【zhèng】常运行。

执行save命令，保存当前激活的License文件。

激活License后，可以通【tōng】过命令display license，查看License的信息【xī】。

特征库本地升级

当设备无法访问升级中心时，可以在本地手动升级特征库。

前提条件

进行本【běn】地升级前需要管理员获得升级文件，并通【tōng】过SFTP、FTP或TFTP方式将【jiāng】升级文件【jiàn】上传至【zhì】FW的存储器中。

操作步骤下载升级文件。

a.登【dēng】录华为【wéi】安【ān】全中心（isecurity.huawei.com），选择“特征库升【shēng】级 > 特征库升级”。

b.选择对应的产品类型、产品系列、产品名称和产品版本。

c.点击待升级特征库对应的页签。

d.下载特征库文件。

点击右侧的下载图标，在弹出的“详细信息”页面下载特征库文件。

部【bù】分特征库文件提供了【le】辅助文件以【yǐ】供参考，用于进【jìn】一步描【miáo】述特【tè】征【zhēng】库或版本变更内容。

业务感知特征库的【de】辅【fǔ】助文件：文件【jiàn】“SA-SDB_Classified Application Protocol ID_x.x.xls”中提【tí】供中英文双语【yǔ】对照，描述了FW支持的应【yīng】用【yòng】大类、应用小类、软件信【xìn】息、应用信息【xī】以及应用承载信息。文件【jiàn】名称中的“x.x”表示【shì】版本【běn】，对应不同的特征【zhēng】库版【bǎn】本【běn】。请按照设备上实【shí】际支持的内容，查看【kàn】对应的辅【fǔ】助文件。

入侵防【fáng】御特征库的辅助【zhù】文件：描述IPS签名【míng】的【de】增加、删除和修【xiū】改情况，并【bìng】对签【qiān】名的漏洞信【xìn】息进行描述。

反病毒特征库的辅助文件：描述发生变化的病毒家族信息。

将升级包从PC上传到FW的存储器中。

升级包放在【zài】FW存储器中哪个目录下都【dōu】可以，一般【bān】建【jiàn】议放在根目录下。特【tè】征库文件【jiàn】为.zip格【gé】式，无需解压缩，直接上传到FW即可。

执行命令system-view，进入系统视图。执行命令update local { av-sdb | cnc | file-reputation | ip-reputation | ips-sdb | sa-sdb | location-sdb | asset-sdb } file filename，进行本地升级。可选：执行命令update hrp-standby enable，配置备机特征库的单独升级功能。

缺【quē】省情况下【xià】，关闭备机特征库的单独升级功【gōng】能，即主机升级特征库后【hòu】，会自动向备机同步特征库完成升级。默认情况下，主机升级特【tè】征库【kù】后，会自【zì】动向【xiàng】备机同步特征库【kù】完【wán】成升级，这样既提升了特征【zhēng】库升级的效率【lǜ】，也避免了主备【bèi】机内【nèi】容安全检测能力不一致的问题【tí】，但是【shì】如【rú】果主机无【wú】法向备机【jī】同【tóng】步特征【zhēng】库，例如主【zhǔ】机【jī】和备机之间【jiān】的【de】心跳【tiào】口连接异常【cháng】，可以配置该命令，使备机单独升级【jí】特征库。

来源 华为技术手册

标签： #cf登陆超时说本机网络防火墙设置问题