Przeczytaj uważnie cały artykuł przed udaniem się na miejsce i upewnij się, że masz wymagany kabel!

Znaleźliśmy problem dotyczący kilku urządzeń, który może powodować pętle restartów, awarie demona ZySH lub problemy z dostępem do logowania. Systemowa dioda LED może również migać. Należy pamiętać, że nie jest to związane z CVE lub kwestią bezpieczeństwa.

Problem wynika z awarii aktualizacji sygnatur aplikacji, a nie aktualizacji oprogramowania układowego. Aby temu zaradzić, wyłączyliśmy sygnaturę aplikacji na naszych serwerach, zapobiegając dalszemu wpływowi na zapory ogniowe, które nie załadowały nowych wersji sygnatur.

Których urządzeń to dotyczy?

Urządzenia z aktywnymi licencjami bezpieczeństwa na USG FLEX lub ATP Series (wersje oprogramowania układowego ZLD) i dedykowanymi aktualizacjami sygnatur w trybie On-premise/Standalone (sygnatura zaktualizowana 1/24 do 1/25 w nocy).
Urządzenia na platformie Nebula lub serii USG FLEX H (uOS ) NIE są objęte problemem.

Skąd mam wiedzieć, czy NIE dotyczy mnie ten problem ?

Przejdź do KONFIGURACJA > Licencjonowanie > Aktualizacja podpisu i sprawdź podpis App-Patrol.
Upewnij się, że wersja to 1 . 0.0.20250102.0 lub 1.0.0.20241205.0.

Dotyczy totylko wersji "1.0.0.20250123.0 " i należy postępować zgodnie z SOP, aby odzyskać lub RĘCZNIE obniżyć wersję za pomocą GUI, jeśli nadal masz dostęp.

Problem NIE dotyczy również użytkowników

- Korzystanie z Nebula
- Korzystanie z USG FLEX H Series
- Nie masz aktywnych licencji bezpieczeństwa na urządzeniu

Wersja oprogramowania układowego nie jest ZWIĄZANA z problemem, tylko wersja App Patrol jest czynnikiem decyzyjnym.


Jedyne w pełni zweryfikowane rozwiązanie jest następujące; wykonaj następujące kroki:

Uwaga dla urządzeń HA:
Oba urządzenia muszą zostać odzyskane przy użyciu SOP w tym artykule i postępować zgodnie z tym HA redeploy.

To odzyskiwanie wymaga kabla konsoli i musi być wykonane na miejscu. Chociaż nie jest to idealne rozwiązanie, jest to jedyne gwarantowane rozwiązanie tego problemu.

Odzyskiwanie przez SSH, FTP lub interfejs WWW nie jest możliwe.

Przygotowanie do odzyskiwania

Pierwszą obowiązkową rzeczą, której będziesz potrzebować, jest kabel konsoli / RS232, aby rozpocząć odzyskiwanie.
Odzyskiwanie musi odbywać się na miejscu i nie można go wykonać za pomocą sesji zdalnej.
CLI przez kabel konsoli [Zyxel Devices] - Konsola, aby uzyskać dostęp do portu szeregowego i korzystać z debugowania na poziomie 8 [Putty i TeraTerm] Szybkość transmisji: 115200!

Krok 1: Konfiguracja kopii zapasowej
(należy wykonać tylko wtedy, gdy nie masz lokalnej kopii zapasowej)

1) Podłącz kabel konsoli, jak wyjaśniono w sekcji"Przygotowanie do odzyskiwania".

Problem może wyglądać następująco, ale może też wyglądać inaczej.

2) Uruchom ponownie urządzenie i wejdź w tryb debugowania, wpisując na klawiaturze, np. klawisz Enter kilka razy, gdy będzie gotowy "Enter Debug Mode.....".

3) Enter atkz -b

4) Enter atgo

5) Obecnie ATP/FLEX jest zresetowany do ustawień domyślnych, ale startup-config.conf jest już zarchiwizowany. Podłącz komputer do lan1 ATP/USG FLEX, aby bezpośrednio uzyskać adres IP DHCP 192.168.1.33.

6) Na komputerze otwórz cmd i wpisz ftp 192.168.1.1. Zaloguj się za pomocą admin i hasła 1234.
Wpisz cd /conf i get startup-config-back.conf, aby pobrać plik kopii zapasowej.

Plik kopii zapasowej można znaleźć na komputerze.

Krok 2: Odzyskiwanie
(Usuń podpis) poprzez dodanie nowego oprogramowania sprzętowego za pośrednictwem konsoli
Krok 1-12 jest wymagany do pełnego odzyskania!

[JEŚLI NIE JESTEŚ DOTKNIĘTY CHOROBĄ, NIE MUSISZ AKTUALIZOWAĆ ŻADNEGO OPROGRAMOWANIA! TO JEST TYLKO OPROGRAMOWANIE DO ODZYSKIWANIA, ABY USUNĄĆ ZŁY PODPIS Z PARTYCJI!]

Do odzyskiwania wymagane jest specjalne oprogramowanie układowe, kontynuuj pobieranie!

Pobierz pakiet oprogramowania układowego dla wszystkich modeli TUTAJ
Jeśli potrzebujesz tylko pojedynczego pliku modelu, nasze forum społeczności ma to rozdzielone TUTAJ

1) Uruchom ponownie Firewall

2) Naciśnij dowolny klawisz, aby przejść do trybu debugowania

3) Wprowadź następujące polecenie (Ustaw serwer FTP)

atkz –f –l 192.168.1.1 

4) Wprowadź następujące polecenie (Reboot to FTP Mode)

 atgof 

5) Ustaw komputer na statyczny adres IP z zakresu 192.168.1.2 ~ 192.168.1.254.
(Wyłączenie WIFI może pomóc w niektórych scenariuszach)

6) Podłącz komputer do pierwszego portu Ethernet urządzenia ATP/USG FLEX. Na przykład pierwszy port Ethernet USG FLEX 500 to P2.

7) Użyj klienta FTP na komputerze, aby połączyć się z ATP/USG FLEX. W tym przykładzie użyto polecenia ftp w wierszu polecenia systemu Windows. Adres IP serwera FTP ATP/USG FLEX do odzyskiwania oprogramowania układowego to 192.168.1.1.

8) Zaloguj się bez nazwy użytkownika (po prostu naciśnij enter).

9) Ustaw tryb transferu na binarny "bin" i prześlij plik oprogramowania sprzętowego z komputera do ATP/USG FLEX.

Skopiuj ścieżkę oprogramowania układowego po jego pobraniu. Upewnij się, że rozpakowałeś go i użyłeś właściwego kodu, tj. ABUJ = USG FLEX 500.

10) Po zakończeniu przesyłania pliku FTP sesja konsoli wyświetli komunikat "Firmware received". Następnie należy poczekać, aż ATP/USG FLEX odzyska oprogramowanie sprzętowe (może to potrwać do 10 minut). Po zakończeniu odzyskiwania oprogramowania sprzętowego sesja konsoli wyświetli komunikat "done". Następnie ATP/USG FLEX automatycznie uruchomi się ponownie.

11) Zaloguj się do internetowego interfejsu GUI ATP/USG FLEX, prześlij i zastosuj plik konfiguracji kopii zapasowej, aby przywrócić scenariusz roboczy. Upewnij się, że adres IP komputera został poprawnie zmieniony po przesłaniu, ponieważ Firewall może ponownie uzyskać dostęp przez IP z zapasowego pliku konfiguracyjnego.

12) Zaktualizuj sygnaturę App-Patrol do 1.0.0.20250102.0 ręcznie

Przejdź do KONFIGURACJA > Licencjonowanie > Aktualizacja podpisu i ręcznie zaktualizuj podpis App-Patrol.
Upewnij się, że wersja to 1.0.0.20250102.0.

Sekcja FAQ

1.) Czy odzyskiwanie przez FTP działa?

Nie, nie działa.

2.) Czy wymagana jest instalacja na miejscu?

Tak, jest to w 100% działający i sugerowany sposób.

3.) Czy jest jakiś inny sposób, aby zrobić to zdalnie?

Wszystkie rozwiązania zdalne mogą mieć wpływ na inne kwestie. Na przykład w przyszłości może nie być możliwe korzystanie z partycji lub przesyłanie oprogramowania układowego. Sugerujemy wykonanie powyższych kroków. Jednak niektórzy klienci zgłaszają, że mogli odzyskać urządzenie za pomocą "Reboot", "Partition Changes", Downgrade Signature poprzez GUI po zresetowaniu urządzenia. Szansa jest bardzo rzadka, a ponieważ rozwiązanie może utracić pliki konfiguracyjne lub nie działać w 99% przypadków lub po prostu sprawić, że urządzenie będzie nieoczekiwanie niefunkcjonalne, nie możemy udostępnić żadnego przypadku użycia tego rozwiązania.

4.) Jak długo występuje ten problem?

Klient, który miał aktywną licencję bezpieczeństwa i skonfigurował aplikację Patrol do codziennego "w nocy" z punktu widzenia czasu, został dotknięty problemem. Następnie sygnatura była ładowana do urządzeń przez 3 godziny, a ponowne uruchomienie lub wysokie logi mogły doprowadzić urządzenie do tego problemu.

5.) Dlaczego nie dotyczy to Nebula i USG FLEX H?

USG FLEX H używa innej wersji oprogramowania układowego (uOS) i ma więcej scenariuszy weryfikacji w oprogramowaniu układowym uOS dla podpisu. Ponadto Nebula posiada zaawansowane funkcje ochrony "Remote Managed".

6.) Dlaczego muszę zaktualizować oprogramowanie układowe, gdy jestem dotknięty i dlaczego nie mogę tego zrobić zdalnie?

Problem z podpisem tworzy wiele dzienników, co powoduje, że oprogramowania układowego nie można przesłać zdalnie i należy wykonać krok odzyskiwania oprogramowania układowego (który jest również częścią każdego dokumentu Release Note). Dzięki kombinacji "resetowania" po utworzeniu kopii zapasowej konfiguracji, a następnie wykonaniu aktualizacji oprogramowania układowego za pośrednictwem konsoli, powiązany podpis i dziennik można wyczyścić. Przez Remote nie jest to możliwe, ponieważ nie ma wystarczającej ilości wolnego miejsca, aby nawet przesłać oprogramowanie układowe. Reset z urządzenia usuwa tylko plik konfiguracyjny, a nie inne informacje zapisane na partycji, np. certyfikaty. Tam, gdzie firmware datecode czyści obszar partycji issues.

7.) Co się stanie, jeśli odzyskałem urządzenie, ale nie zainstalowałem poprawionego oprogramowania układowego?

Wtedy możesz używać tylko partycji, na której jesteś teraz (Running), partycja Standby jest pełna i nie może być już używana, chyba że zostanie wykonane odzyskiwanie. Dlatego aktualizacje oprogramowania układowego należy zawsze stosować na partycji Running.

Jeśli utknąłeś z Recover SOP z powodu jakichkolwiek potrzeb, skontaktuj się z naszym zespołem wsparcia, aby uzyskać pomoc w swoim lokalnym języku - Jak skontaktować się z zespołem wsparcia?