單位一臺防火墻管理鑰匙KEY損壞，加之網(wǎng)絡(luò)管理員更換參數(shù)遺失，造成設(shè)備無法登錄，安全策略難以部署。通過查詢設(shè)備手冊，發(fā)現(xiàn)可用更新證書方式加以解決，很快與廠家聯(lián)系，通過產(chǎn)品序列號獲取設(shè)備證書。

恢復(fù)設(shè)備連接

1.由于不明確設(shè)備原管理方式，采取終極方法用串口操作。通過Console口登錄防火墻，找到一根防火墻Console連接線，連接電腦串口。打開電腦設(shè)備管理器，具體流程：鼠標(biāo)右鍵單擊“我的電腦”，選擇“管理→設(shè)備管理器”，查看端口（COM和MPT欄詳細(xì)設(shè)置）（如圖1）。

2.使用超級終端登錄設(shè)備，如果Windows沒有安裝此組件，建議使用SecureCRT軟 件 登 錄。 雙 擊，點(diǎn)擊快速連接 ， 圖 2是SecureCRT的配置，配置參數(shù)：COM1,波特率9600，數(shù)據(jù)位 8，停止位1，點(diǎn)擊“連接”，打開防火墻配置命令行界面。

圖1 查看設(shè)備管理器串口

連接完成后，使用Administrator用戶名和密碼登錄，使用？操作命令，顯示所有可運(yùn)行的命令，可完成防火墻各物理接口設(shè)置、工作模式設(shè)置、訪問規(guī)則和策略設(shè)置等。在此，我們主要是完成防火墻管理證書的導(dǎo)入，解決防火墻無法使用的問題。

導(dǎo)入管理證書

命令行管理器允許管理員通過本地串口終端或遠(yuǎn)程Telnet或SSH對防火墻進(jìn)行配置和管理。在管理員登錄成功后系統(tǒng)執(zhí)行一個本地shell，一方面和管理員進(jìn)行鍵盤交互，一方面將用戶輸入命令轉(zhuǎn)化成請求報文，傳送給管理進(jìn)程。在命令行主界面下，依次輸入：

1.ac>rz

輸入rz命令，就會彈出證書選擇界面。打開保存新證書的文件夾，將cacert.pem,fwcert.pem, fwkey.pem, administrator.pem四個都選上，點(diǎn)擊“確定”，然后在命令行會顯示上傳中上傳證書的過程和結(jié)果，之后在命令行復(fù)制粘貼以下命令。

2.ac>admcert add cacert cacert.pem fwcert fwcert.pem fwkey fwkey.pem

3.ac>admcert add admincert administrator.pem

4.ac>admcert on admincert administrator.pem

5.ac>config save

這樣就成功添加了防火墻證書。為實(shí)現(xiàn)HTTP方式管理，還需要安裝瀏覽器證書，刪除舊證書：找到廠家提供的瀏覽器證書，安裝新證書admin.p12，默認(rèn)安裝即可，輸入廠家提供的安裝密碼（如圖3）。使用新證書成功登錄后，刪除防火墻的舊證書（先將舊管理員證書失效，然后刪除）（如圖4）。

圖2 設(shè)置串口連接參數(shù)

圖3 安裝新證書

圖4 刪除舊證書

圖5 設(shè)置SSH連接參數(shù)

重新部署管理方式

管理員可以通過SSH客戶端軟件遠(yuǎn)程管理防火墻。SSH有很多功能，它既可以代替 telnet，又可以為 FTP、POP、甚至PPP提供一個安全的通道。通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣能夠防止傳輸數(shù)據(jù)失密，還能夠防止DNS和IP欺騙。由于傳輸數(shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。目前可供使用的SSH客戶端軟件包括PuTTY和SecureCRT等。通過設(shè)置防火墻的管理方式，勾選SSH，可以使用CRT通過SSH登錄后臺并導(dǎo)證書，使用SecureCRT登錄，設(shè)置如下：雙擊，點(diǎn)擊快速連接，設(shè)置協(xié)議為SSH2，填入“主機(jī)名（IP地址）、用戶名”等即可（如圖5）。

為實(shí)施防火墻管理策略，復(fù)雜管理功能通常通過HTTP方式實(shí)現(xiàn)。通過本地網(wǎng)絡(luò)進(jìn)入Web方式的配置界面進(jìn)行配置管理，既保證了防火墻管理的安全性和方便性，也保留了Web界面的友好性，體現(xiàn)了管理安全性、方便性與靈活性的有機(jī)統(tǒng)一。由于以上第二步安裝了各類證書，設(shè)置了登錄IP和管理主機(jī)，這一工作可輕松實(shí)現(xiàn)。