联想网御强五防火墙PowerV-防火墙管理

管理防火墙

Power V 防火墙有2种管理方式，1是web(界面管理)管理。2是命令行管理。命令行管理又分为串口管理和SSH管理。本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。

一．串口管理 1．使用超级终端

连接防火墙。利用随机附带的串口线将PC的串口和防火墙串口相连，启动超级终端。以Windows XP为例：选择程序->附件->通讯->超级终端，选择用于连接的串口设备。定制通讯参数如下。 每秒位数：9600； 数据位：8； 奇偶校验：无； 停止位：1；

数据流控制：无。

第1页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司

第2页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司

当出现上面的语言时，就可以通过命令行管理防火墙了。

2．使用SecureCRT

连接防火墙。利用随机附带的串口线连接管理主机的串口和防火墙串口。在pc上运行SecureCRT软件。

第3页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司

第4页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司

出现上面的情况就可以用命令行管理防火墙了。

二.Web管理

第5页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司

1．使用电子钥匙

a. 从随机光盘中找到电子钥匙的驱动程序并安装，注意安装时不要插入电子钥匙。

b. 驱动安装成功后，将电子钥匙插入管理主机的usb口，启动用于认证的客户端ikeyc.exe，

输入PIN密码，默认为12345678，系统会读出用于认证的ikey信息，此时窗口右边的灯是红的。

c. 选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的

提示框

d．“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。

2．使用证书

a.首先从联想网御的FTP服务上获得证书。FTP服务器IP地址是211.100.11.172，用户命密码都是lenovo。

b.用SecureCRT软件管理防火墙的命令行，用administrator/administrator帐号登陆。

c.执行rz命令上传防火墙导入的证书分别是：admin.pem；CACert.pem；leadsec.pem；

第6页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司 leadsec_key.pem，如图所示：

d.按照如下步骤执行命令将证书导入防火墙

admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pem admcert add admincert admin.pem admcert on admincert admin.pem

e.在pc上导入浏览器证书。双击证书依据想到安装即可，提示输入密码时，输入hhhhhh。安装成后，打开IE输入https://10.1.5.254:8889则可进入防火墙界面，用户名获密码都是administrator.

第7页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司

第8页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司

三.使用SecureCRT用SSH管理防火墙的命令行。 1．启用SSH管理方式

2．运行SecureCRT软件，如图配置

第9页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司

第10页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司

进入ssh界面即可通过和串口命令一样的命令来管理防火墙了。

四．FAQ

1无法用Web管理防火墙了。

1) 首先查看自己的ip 是否是10.1.5.200， ping10.1.5.254是否能ping通。 2) 需要检查pc和防火墙是否正确导入证书。

命令行下用administrator帐号登陆，查看证书信息的命令如下： ac>admcert show cacert Name: cacert.pem

Description: subject= /C=CN/ST=yunnan/L=kunming/O=tpyzq/CN=tpyzqCA/emailAddress= tpyzqca@tpyzq.com

ac>admcert show fwcert Name: fwcert.pem

Description: subject= /C=CN/ST=yunnan/L=kunming/O=tpyzq/CN=tpyzqCA/emailAddress= tpyzqca@tpyzq.com

ac>admcert show admincert Name: admin.pem Status: on

Description: subject= /C=CN/CN=admin/emailAddress=admin@leadsec.com.cn

第11页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究

联想网御科技（北京）有限公司

3) 检查10.1.5.200是否在管理主机中。（pc的ip 是否配到防火墙的管理主机内。）查看管

理主机信息命令如下： ac>admhost show

IP_Address Comment 10.1.5.200 管理主机1

10.1.5.49 PPP拨号管理主机

4) 检查fe1口是否开启了允许管理功能，是否允许ping，是否激活。查看接口属性命令如

下：

ac>interface show if fe1 …

ip 10.1.5.254 netmask 255.255.255.0 admin on ping on traceroute on ipmac_check off ipmac_check_policy on …

active on

第12页

声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出

版或发行，违者必究