单位一台防火墙管理钥匙KEY损坏，加之网络管理员更换参数遗失，造成设备无法登录，安全策略难以部署。通过查询设备手册，发现可用更新证书方式加以解决，很快与厂家联系，通过产品序列号获取设备证书。

恢复设备连接

1.由于不明确设备原管理方式，采取终极方法用串口操作。通过Console口登录防火墙，找到一根防火墙Console连接线，连接电脑串口。打开电脑设备管理器，具体流程：鼠标右键单击“我的电脑”，选择“管理→设备管理器”，查看端口（COM和MPT栏详细设置）（如图1）。

2.使用超级终端登录设备，如果Windows没有安装此组件，建议使用SecureCRT软 件 登 录。 双 击，点击快速连接 ， 图 2是SecureCRT的配置，配置参数：COM1,波特率9600，数据位 8，停止位1，点击“连接”，打开防火墙配置命令行界面。

图1 查看设备管理器串口

连接完成后，使用Administrator用户名和密码登录，使用？操作命令，显示所有可运行的命令，可完成防火墙各物理接口设置、工作模式设置、访问规则和策略设置等。在此，我们主要是完成防火墙管理证书的导入，解决防火墙无法使用的问题。

导入管理证书

命令行管理器允许管理员通过本地串口终端或远程Telnet或SSH对防火墙进行配置和管理。在管理员登录成功后系统执行一个本地shell，一方面和管理员进行键盘交互，一方面将用户输入命令转化成请求报文，传送给管理进程。在命令行主界面下，依次输入：

1.ac>rz

输入rz命令，就会弹出证书选择界面。打开保存新证书的文件夹，将cacert.pem,fwcert.pem, fwkey.pem, administrator.pem四个都选上，点击“确定”，然后在命令行会显示上传中上传证书的过程和结果，之后在命令行复制粘贴以下命令。

2.ac>admcert add cacert cacert.pem fwcert fwcert.pem fwkey fwkey.pem

3.ac>admcert add admincert administrator.pem

4.ac>admcert on admincert administrator.pem

5.ac>config save

这样就成功添加了防火墙证书。为实现HTTP方式管理，还需要安装浏览器证书，删除旧证书：找到厂家提供的浏览器证书，安装新证书admin.p12，默认安装即可，输入厂家提供的安装密码（如图3）。使用新证书成功登录后，删除防火墙的旧证书（先将旧管理员证书失效，然后删除）（如图4）。

图2 设置串口连接参数

图3 安装新证书

图4 删除旧证书

图5 设置SSH连接参数

重新部署管理方式

管理员可以通过SSH客户端软件远程管理防火墙。SSH有很多功能，它既可以代替 telnet，又可以为 FTP、POP、甚至PPP提供一个安全的通道。通过使用SSH，你可以把所有传输的数据进行加密，这样能够防止传输数据失密，还能够防止DNS和IP欺骗。由于传输数据是经过压缩的，所以可以加快传输的速度。目前可供使用的SSH客户端软件包括PuTTY和SecureCRT等。通过设置防火墙的管理方式，勾选SSH，可以使用CRT通过SSH登录后台并导证书，使用SecureCRT登录，设置如下：双击，点击快速连接，设置协议为SSH2，填入“主机名（IP地址）、用户名”等即可（如图5）。

为实施防火墙管理策略，复杂管理功能通常通过HTTP方式实现。通过本地网络进入Web方式的配置界面进行配置管理，既保证了防火墙管理的安全性和方便性，也保留了Web界面的友好性，体现了管理安全性、方便性与灵活性的有机统一。由于以上第二步安装了各类证书，设置了登录IP和管理主机，这一工作可轻松实现。