單位一臺防火墻管理鑰匙KEY損壞,加之網(wǎng)絡(luò)管理員更換參數(shù)遺失,造成設(shè)備無法登錄,安全策略難以部署。通過查詢設(shè)備手冊,發(fā)現(xiàn)可用更新證書方式加以解決,很快與廠家聯(lián)系,通過產(chǎn)品序列號獲取設(shè)備證書。
1.由于不明確設(shè)備原管理方式,采取終極方法用串口操作。通過Console口登錄防火墻,找到一根防火墻Console連接線,連接電腦串口。打開電腦設(shè)備管理器,具體流程:鼠標(biāo)右鍵單擊“我的電腦”,選擇“管理→設(shè)備管理器”,查看端口(COM和MPT欄詳細(xì)設(shè)置)(如圖1)。
2.使用超級終端登錄設(shè)備,如果Windows沒有安裝此組件,建議使用SecureCRT軟 件 登 錄。 雙 擊,點(diǎn)擊快速連接 , 圖 2是SecureCRT的配置,配置參數(shù):COM1,波特率9600,數(shù)據(jù)位 8,停止位1,點(diǎn)擊“連接”,打開防火墻配置命令行界面。
圖1 查看設(shè)備管理器串口
連接完成后,使用Administrator用戶名和密碼登錄,使用?操作命令,顯示所有可運(yùn)行的命令,可完成防火墻各物理接口設(shè)置、工作模式設(shè)置、訪問規(guī)則和策略設(shè)置等。在此,我們主要是完成防火墻管理證書的導(dǎo)入,解決防火墻無法使用的問題。
命令行管理器允許管理員通過本地串口終端或遠(yuǎn)程Telnet或SSH對防火墻進(jìn)行配置和管理。在管理員登錄成功后系統(tǒng)執(zhí)行一個本地shell,一方面和管理員進(jìn)行鍵盤交互,一方面將用戶輸入命令轉(zhuǎn)化成請求報文,傳送給管理進(jìn)程。在命令行主界面下,依次輸入:
1.ac>rz
輸入rz命令,就會彈出證書選擇界面。打開保存新證書的文件夾,將cacert.pem,fwcert.pem, fwkey.pem, administrator.pem四個都選上,點(diǎn)擊“確定”,然后在命令行會顯示上傳中上傳證書的過程和結(jié)果,之后在命令行復(fù)制粘貼以下命令。
2.ac>admcert add cacert cacert.pem fwcert fwcert.pem fwkey fwkey.pem
3.ac>admcert add admincert administrator.pem
4.ac>admcert on admincert administrator.pem
5.ac>config save
這樣就成功添加了防火墻證書。為實(shí)現(xiàn)HTTP方式管理,還需要安裝瀏覽器證書,刪除舊證書:找到廠家提供的瀏覽器證書,安裝新證書admin.p12,默認(rèn)安裝即可,輸入廠家提供的安裝密碼(如圖3)。使用新證書成功登錄后,刪除防火墻的舊證書(先將舊管理員證書失效,然后刪除)(如圖4)。
圖2 設(shè)置串口連接參數(shù)
圖3 安裝新證書
圖4 刪除舊證書
圖5 設(shè)置SSH連接參數(shù)
管理員可以通過SSH客戶端軟件遠(yuǎn)程管理防火墻。SSH有很多功能,它既可以代替 telnet,又可以為 FTP、POP、甚至PPP提供一個安全的通道。通過使用SSH,你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密,這樣能夠防止傳輸數(shù)據(jù)失密,還能夠防止DNS和IP欺騙。由于傳輸數(shù)據(jù)是經(jīng)過壓縮的,所以可以加快傳輸?shù)乃俣?。目前可供使用的SSH客戶端軟件包括PuTTY和SecureCRT等。通過設(shè)置防火墻的管理方式,勾選SSH,可以使用CRT通過SSH登錄后臺并導(dǎo)證書,使用SecureCRT登錄,設(shè)置如下:雙擊,點(diǎn)擊快速連接,設(shè)置協(xié)議為SSH2,填入“主機(jī)名(IP地址)、用戶名”等即可(如圖5)。
為實(shí)施防火墻管理策略,復(fù)雜管理功能通常通過HTTP方式實(shí)現(xiàn)。通過本地網(wǎng)絡(luò)進(jìn)入Web方式的配置界面進(jìn)行配置管理,既保證了防火墻管理的安全性和方便性,也保留了Web界面的友好性,體現(xiàn)了管理安全性、方便性與靈活性的有機(jī)統(tǒng)一。由于以上第二步安裝了各類證書,設(shè)置了登錄IP和管理主機(jī),這一工作可輕松實(shí)現(xiàn)。