如果需要在内网中更新山石安全设备的 AV或 IPS库. 山石给出的方案之一是使用InnerServer 简单测试了一下.

  • app更新不成功. IPS和AV可以使用.
  • 手动更新服务器上的文件. 安全设备可以自动同步更新.
  • InnerServer程序是cgi可执行程序. 每个更新通过web运行一个可执行程序.
  • 如果更新服务器可以访问互联网. 可以写脚本与官方服务器同步更新.

下面是记录的内容.

安装 CentOS Linux release 7.7.1908
最小安装.

登录为root或登录后su成root

#yum install httpd wget tcpdump

  • centos7里的httpd(apache2)设置不用改. 默认就可以,设置好了cgi-bin目录.

#systemctl stop firewalld.service

systemctl disable firewalld.service

systemctl enable httpd
systemctl start httpd

vi /etc/selinux/config
把SELINUX改为disable
#SELINUX=enforcing
SELINUX=e=disabled

这里重启动一次服务器. 或者执行
setenforce 0

#cd /tmp
#wget http://update1.hillstonenet.com/sig_download/server/InnerServer.tar.gz
#tar zxvf InnerServer.tar.gz

mkdir /var/Hillstone-LMS

#cd InnerServer_Install/

./install.py

目前看到的. 是在 /var/www/cgi-bin里安装下面这些文件.
app_update_sig.cgi
avdb_update_ant.cgi
idp_update_sig.cgi
update_file_error.html
update_license_expire.html
update_no_update.html
update_request_error.html
update_server_error.html
urldb_update_sig.cgi
waf_update_rule.cgi
wvs_update_rule.cgi

程序文件为ELF 64位的应用程序.

==============

strings app_update_sig.cgi |grep var

/var/Hillstone-LMS//app/app_sig3
/var/Hillstone-LMS//app/app_sig2
/var/Hillstone-LMS//app/app_sig
/var/Hillstone-LMS//oem_key1/oem_key1_1

strings avdb_update_ant.cgi |grep var

/var/Hillstone-LMS//av_nips
/var/Hillstone-LMS//av_frag
/var/Hillstone-LMS//av_small
/var/Hillstone-LMS//av_ant
/var/Hillstone-LMS//oem_key1/oem_key1_1

strings idp_update_sig.cgi |grep var

/var/Hillstone-LMS//ips_sig
/var/Hillstone-LMS//oem_key1/oem_key1_1

strings urldb_update_sig.cgi |grep var

/var/Hillstone-LMS//urldb_sig
/var/Hillstone-LMS//urldb_sig_v2
/var/Hillstone-LMS//oem_key1/oem_key1_1

=====================
如何设置使用Inner server升级
app update server1 192.168.122.16
no app update server2 这样恢复默认设置.但我在命令行上设置不成空.

ips signature update server1 192.168.122.16

av signature update server1 192.168.122.16

默认的更新服务器是这两个地址.
update1.hillstonenet.com
update2.hillstonenet.com

如何显示当前的版本.

show app info

Application identification engine version: 03.51
Application identification signature version: 3.0.180725(Standard)
Release time: 2018-07-25 15:33

show ips signature info
Error: can’t get IPS signature information

show av signature info
Error: can’t get AV signature information

如何执行更新.
exec av signature update
exec app update professional
exec app update standard
exec ips signature update

如果执行更新出错了. 如果看到问题出在哪儿.

exec app update

Update failed: error happens in server side

查看Inner Server上的
/var/log/httpd/access.log
里面会有对应的
192.168.1.1 - - [08/Dec/2020:08:32:37 -0500] “GET /cgi-bin/app_update_sig.cgi?sn=0010172112922778&version=3.0.180725&osversion=5.5&bootfile=SG6000-CloudEdge-5.5R4P21&uptime=2038&module=app&magic=9d4162791e6397941ba71295fee1e527d4f1&vendor=1&app_ver=1&local_edition=1&edition=1&oemid=6&ips_eng_ver=500&url_eng_ver=2&is_X86=1&platform_ver=2 HTTP/1.1” 200 328 “-” “curl/7.23.1 (x86_64-unknown-linux-gnu) libcurl/7.23.1 OpenSSL/1.0.2u”

把访问的url 组合起来.
我这里是
http://192.168.122.16//cgi-bin/app_update_sig.cgi?sn=0010172112922778&version=3.0.180725&osversion=5.5&bootfile=SG6000-CloudEdge-5.5R4P21&uptime=2038&module=app&magic=9d4162791e6397941ba71295fee1e527d4f1&vendor=1&app_ver=1&local_edition=1&edition=1&oemid=6&ips_eng_ver=500&url_eng_ver=2&is_X86=1&platform_ver=2%20

用浏览器打开这人 url . cgi程序是有错误输出的. 比如.

Not Found
相应的特征库没有在升级服务器上找到。
Hillstone Signature Update Server


app 怎么整都不行.改看一下ips

/cgi-bin/idp_update_sig.cgi?sn=0010172112922778&version=0.0.0&osversion=5.5&bootfile=SG6000-CloudEdge-5.5R4P21&uptime=331&module=idp&magic=b5db41c67a9aa654fb484debc4ff3fdfaab7&vendor=1&app_ver=1&local_edition=0&edition=0&oemid=6&ips_eng_ver=500&url_eng_ver=2&is_X86=1&platform_ver=2

exec ips signature update

Downloading signature package…
Extracting signature package…
Loading signature…
Update signature successfully
好用了!! 是app不讲武德!


再看一下av

/cgi-bin/avdb_update_ant.cgi?sn=0010172112922778&version=2.0.0&osversion=5.5&bootfile=SG6000-CloudEdge-5.5R4P21&uptime=1434&module=av&magic=256a87540254278874635ab14baa522d9fe2&vendor=0&app_ver=1&local_edition=0&edition=0&oemid=6&ips_eng_ver=500&url_eng_ver=2&is_X86=1&platform_ver=2

Av库2.0.x版本的库位于av/ant_v0目录
Av库2.1.x版本的库位于av/ant_av目录
Av库2.2.x版本的库位于av/ant_nips目录
5.0R4F4~5.5R1及其P版本,5.5R1F1及其后续F版本AV扫描引擎小版本号为1,"当前版本"填写2.1.0。
单品设备:NIPS、BDS、IDS、VFW04、VFW08等设备,"当前版本"填写2.2.0。
防火墙可能是2.1 nips设备可能是 2.2

听说官方的更新频率是
App 固定每2周更新一次
Av 每天进行更新
Ips约2周更新一次
Urldb约每季度更新一次
Wvs不定期更新
Waf 约2周更新一次

Logo

更多推荐