在深信服AF和深信服AC的环境中，禁止上网的终端实现杀软火绒可更新病毒库 10

请教
在深信服AF和深信服AC的环境中，禁止上网的终端实现杀软火绒可更新病毒库；
网关是深信服防火墙，AC是单网桥模式：运营商光猫-深信服防火墙-深信服上网行为管理-核心交换机...
需要怎么开通，谢谢。

在您的网络环境中，需要通过 深信服防火墙（AF） 和 上网行为管理（AC） 实现禁止终端上网，但允许火绒杀毒软件更新病毒库。以下是具体配置步骤：

1. 确认火绒更新的域名/IP和端口
火绒病毒库更新通常通过以下方式：

域名：如 update.huorong.cn、down2.huorong.cn 等（需抓包或参考火绒官方文档）。

IP段：火绒可能使用CDN，建议获取其更新的IP范围（可联系火绒技术支持或通过流量日志分析）。

端口：通常为 HTTP/80、HTTPS/443，可能还包括其他端口（如DNS的53端口）。

2. 在深信服防火墙（AF）上配置放行规则
步骤1：创建地址对象
进入 AF控制台 → 策略 → 对象管理 → 地址：

添加火绒更新的域名（如 update.huorong.cn）或IP段（如 123.123.123.0/24）。

步骤2：创建服务对象
进入 服务 → 添加 HTTP(80)、HTTPS(443) 及其他火绒需要的端口（如DNS的53）。

步骤3：配置安全策略
进入 策略 → 安全策略 → 新增策略：

源地址：选择需要更新火绒的终端IP或地址组。

目的地址：选择火绒的域名/IP对象。

服务：选择 HTTP/HTTPS/DNS 等。

动作：允许。

应用：可选 ANY 或指定 HTTP/HTTPS。

日志：建议启用，便于排查。

3. 在深信服AC（网桥模式）上配置放行规则
由于AC是网桥模式，主要依赖AF做控制，但仍需确认：

步骤1：检查AC的审计策略
进入 AC控制台 → 策略管理 → 上网策略 → 审计策略：

确保没有全局拦截 HTTP/HTTPS，或为火绒域名/IP设置例外。

步骤2：放行火绒域名/IP（可选）
进入 策略管理 → 上网权限策略 → 新增策略：

适用对象：选择需要更新的终端IP组。

访问目的：添加火绒的域名或IP。

动作：允许。

时间：设为全天。

4. 验证配置
在终端测试：

使用 ping update.huorong.cn 检查域名解析是否正常。

通过浏览器或抓包工具（如Wireshark）确认能否访问火绒更新服务器。

检查AF/AC日志：

在AF的 日志中心 查看安全策略是否命中。

在AC的 日志查询 中确认火绒流量是否被放行。

5. 常见问题排查
火绒无法更新：

检查AF/AC是否有拦截日志。

确认火绒的域名/IP是否完整（可能需补充CDN地址）。

测试直接通过IP访问（如 curl http://123.123.123.123）。

DNS解析失败：

确保AC/AF放行了终端的DNS请求（UDP 53端口）。

总结
通过AF放行火绒的域名/IP和端口，并在AC上确保无额外拦截，即可实现禁止上网但允许杀毒软件更新。若火绒使用动态IP或CDN，建议定期更新地址对象或联系火绒获取固定IP段。

禁止上网的终端实现杀软火绒可更新病毒库？不理解啊，为什么要禁止？杀毒软件不更新，功能不就是废了一半啊

先找到对应的规则库域名或者IP 然后放通

进入 AF控制台 → 策略 → 对象管理 → 地址

先找到对应的规则库域名或者IP 然后放通

先找到对应的规则库域名或者IP 然后放通

禁止上网的终端实现杀软火绒可更新病毒库？不理解啊，为什么要禁止？杀毒软件不更新，功能不就是废了一半啊

可以制定上网策略啊，开通火绒软件的上网权限。

可以制定上网策略啊，开通火绒软件的上网权限