單位一臺防火墻管理鑰匙KEY損壞,加之網絡管理員更換參數(shù)遺失,造成設備無法登錄,安全策略難以部署。通過查詢設備手冊,發(fā)現(xiàn)可用更新證書方式加以解決,很快與廠家聯(lián)系,通過產品序列號獲取設備證書。
1.由于不明確設備原管理方式,采取終極方法用串口操作。通過Console口登錄防火墻,找到一根防火墻Console連接線,連接電腦串口。打開電腦設備管理器,具體流程:鼠標右鍵單擊“我的電腦”,選擇“管理→設備管理器”,查看端口(COM和MPT欄詳細設置)(如圖1)。
2.使用超級終端登錄設備,如果Windows沒有安裝此組件,建議使用SecureCRT軟 件 登 錄。 雙 擊,點擊快速連接 , 圖 2是SecureCRT的配置,配置參數(shù):COM1,波特率9600,數(shù)據位 8,停止位1,點擊“連接”,打開防火墻配置命令行界面。
圖1 查看設備管理器串口
連接完成后,使用Administrator用戶名和密碼登錄,使用?操作命令,顯示所有可運行的命令,可完成防火墻各物理接口設置、工作模式設置、訪問規(guī)則和策略設置等。在此,我們主要是完成防火墻管理證書的導入,解決防火墻無法使用的問題。
命令行管理器允許管理員通過本地串口終端或遠程Telnet或SSH對防火墻進行配置和管理。在管理員登錄成功后系統(tǒng)執(zhí)行一個本地shell,一方面和管理員進行鍵盤交互,一方面將用戶輸入命令轉化成請求報文,傳送給管理進程。在命令行主界面下,依次輸入:
1.ac>rz
輸入rz命令,就會彈出證書選擇界面。打開保存新證書的文件夾,將cacert.pem,fwcert.pem, fwkey.pem, administrator.pem四個都選上,點擊“確定”,然后在命令行會顯示上傳中上傳證書的過程和結果,之后在命令行復制粘貼以下命令。
2.ac>admcert add cacert cacert.pem fwcert fwcert.pem fwkey fwkey.pem
3.ac>admcert add admincert administrator.pem
4.ac>admcert on admincert administrator.pem
5.ac>config save
這樣就成功添加了防火墻證書。為實現(xiàn)HTTP方式管理,還需要安裝瀏覽器證書,刪除舊證書:找到廠家提供的瀏覽器證書,安裝新證書admin.p12,默認安裝即可,輸入廠家提供的安裝密碼(如圖3)。使用新證書成功登錄后,刪除防火墻的舊證書(先將舊管理員證書失效,然后刪除)(如圖4)。
圖2 設置串口連接參數(shù)
圖3 安裝新證書
圖4 刪除舊證書
圖5 設置SSH連接參數(shù)
管理員可以通過SSH客戶端軟件遠程管理防火墻。SSH有很多功能,它既可以代替 telnet,又可以為 FTP、POP、甚至PPP提供一個安全的通道。通過使用SSH,你可以把所有傳輸?shù)臄?shù)據進行加密,這樣能夠防止傳輸數(shù)據失密,還能夠防止DNS和IP欺騙。由于傳輸數(shù)據是經過壓縮的,所以可以加快傳輸?shù)乃俣?。目前可供使用的SSH客戶端軟件包括PuTTY和SecureCRT等。通過設置防火墻的管理方式,勾選SSH,可以使用CRT通過SSH登錄后臺并導證書,使用SecureCRT登錄,設置如下:雙擊,點擊快速連接,設置協(xié)議為SSH2,填入“主機名(IP地址)、用戶名”等即可(如圖5)。
為實施防火墻管理策略,復雜管理功能通常通過HTTP方式實現(xiàn)。通過本地網絡進入Web方式的配置界面進行配置管理,既保證了防火墻管理的安全性和方便性,也保留了Web界面的友好性,體現(xiàn)了管理安全性、方便性與靈活性的有機統(tǒng)一。由于以上第二步安裝了各類證書,設置了登錄IP和管理主機,這一工作可輕松實現(xiàn)。