修復防火墻認證KEY

單位一臺防火墻管理鑰匙KEY損壞，加之網絡管理員更換參數(shù)遺失，造成設備無法登錄，安全策略難以部署。通過查詢設備手冊，發(fā)現(xiàn)可用更新證書方式加以解決，很快與廠家聯(lián)系，通過產品序列號獲取設備證書。

恢復設備連接

1.由于不明確設備原管理方式，采取終極方法用串口操作。通過Console口登錄防火墻，找到一根防火墻Console連接線，連接電腦串口。打開電腦設備管理器，具體流程：鼠標右鍵單擊“我的電腦”，選擇“管理→設備管理器”，查看端口（COM和MPT欄詳細設置）（如圖1）。

2.使用超級終端登錄設備，如果Windows沒有安裝此組件，建議使用SecureCRT軟 件 登 錄。 雙 擊，點擊快速連接 ， 圖 2是SecureCRT的配置，配置參數(shù)：COM1,波特率9600，數(shù)據位 8，停止位1，點擊“連接”，打開防火墻配置命令行界面。

圖1 查看設備管理器串口

連接完成后，使用Administrator用戶名和密碼登錄，使用？操作命令，顯示所有可運行的命令，可完成防火墻各物理接口設置、工作模式設置、訪問規(guī)則和策略設置等。在此，我們主要是完成防火墻管理證書的導入，解決防火墻無法使用的問題。

導入管理證書

命令行管理器允許管理員通過本地串口終端或遠程Telnet或SSH對防火墻進行配置和管理。在管理員登錄成功后系統(tǒng)執(zhí)行一個本地shell，一方面和管理員進行鍵盤交互，一方面將用戶輸入命令轉化成請求報文，傳送給管理進程。在命令行主界面下，依次輸入：

1.ac>rz

輸入rz命令，就會彈出證書選擇界面。打開保存新證書的文件夾，將cacert.pem,fwcert.pem, fwkey.pem, administrator.pem四個都選上，點擊“確定”，然后在命令行會顯示上傳中上傳證書的過程和結果，之后在命令行復制粘貼以下命令。

2.ac>admcert add cacert cacert.pem fwcert fwcert.pem fwkey fwkey.pem

3.ac>admcert add admincert administrator.pem

4.ac>admcert on admincert administrator.pem

5.ac>config save

這樣就成功添加了防火墻證書。為實現(xiàn)HTTP方式管理，還需要安裝瀏覽器證書，刪除舊證書：找到廠家提供的瀏覽器證書，安裝新證書admin.p12，默認安裝即可，輸入廠家提供的安裝密碼（如圖3）。使用新證書成功登錄后，刪除防火墻的舊證書（先將舊管理員證書失效，然后刪除）（如圖4）。

圖2 設置串口連接參數(shù)

圖3 安裝新證書

圖4 刪除舊證書

圖5 設置SSH連接參數(shù)

重新部署管理方式

管理員可以通過SSH客戶端軟件遠程管理防火墻。SSH有很多功能，它既可以代替 telnet，又可以為 FTP、POP、甚至PPP提供一個安全的通道。通過使用SSH，你可以把所有傳輸?shù)臄?shù)據進行加密，這樣能夠防止傳輸數(shù)據失密，還能夠防止DNS和IP欺騙。由于傳輸數(shù)據是經過壓縮的，所以可以加快傳輸?shù)乃俣?。目前可供使用的SSH客戶端軟件包括PuTTY和SecureCRT等。通過設置防火墻的管理方式，勾選SSH，可以使用CRT通過SSH登錄后臺并導證書，使用SecureCRT登錄，設置如下：雙擊，點擊快速連接，設置協(xié)議為SSH2，填入“主機名（IP地址）、用戶名”等即可（如圖5）。

為實施防火墻管理策略，復雜管理功能通常通過HTTP方式實現(xiàn)。通過本地網絡進入Web方式的配置界面進行配置管理，既保證了防火墻管理的安全性和方便性，也保留了Web界面的友好性，體現(xiàn)了管理安全性、方便性與靈活性的有機統(tǒng)一。由于以上第二步安裝了各類證書，設置了登錄IP和管理主機，這一工作可輕松實現(xiàn)。