1、老 4000 防火墙升级方案目录一、确认升级权限 .3二、添加升级权限 .31、通过管理器添加升级权限 .32、命令行下添加升级权限 .5三、升级操作 .61、通过管理器升级 .62、通过升级工具升级 .8四、替换管理器证书 .9五、备注 .10一、确认升级权限首先防火墙管理接口要有升级权限,请到终端(TELNET 或 CONSOLE)下查看相关权限。1、system client show 命令。如下:system client add upgrade -t upgrade -a 内网 -i 0.0.0.0-255.255.255.255则表示内网接口有升级权限。2、通过 area show
2、 的命令查看内网接口对应的区域。area 内网 -d eth2 -a any -l session enable ping3、用 ifconfig 的命令查看 eth2 口对应的 ipifconfig eth2 10.2.6.191 255.0.0.0 通过以上 3 条命令可以看出该设备的 eth2 口有升级权限,eth2 口的 ip 为 10.2.6.191。若想要升级的接口没有升级权限,可以通过下面方式添加。二、添加升级权限添加升级权限有两种方式,一是通过修改设备系统时间及管理机器的时间,然后登录设备后添加;二是直接在命令行下添加。如对命令行不是非常了解,建议采用第一种方式。1、通过管理器
3、添加升级权限1.1 修改设备系统时间。命令行登录设备(通过 console 或 telnet 方式) ,将设备时间统一更改为 2012 年 01月 01 日。修改时间命令:time 2012-01-01 00:00:00 如下图所示:1.2 将管理器的 PC 系统时间更改为 2012 年 01 月 01 日,即可用管理器管理设备!1.3 点击“选项设置” ,双击“安全设备登录控制” (或防火墙登录控制)选项如下图所示:1.4 在弹出安全设备登录访问控制窗口以后,点击“增加”选项,弹出安全设备登录客户窗口,如下图所示:1.5 添加安全设备登录客户窗口选项参数,点击确定即可。如下图所示:注意:对象
4、名称:定义对象名称。客户类型:选择升级机器服务。所属防火墙区域:管理器 PC 所在的防火墙区域。I P 地址:定义服务管理范围(默认 0.0.0.0-255.255.255.255 即可) 。2、命令行下添加升级权限登录设备命令行管理界面(通过 console 或 telnet 方式) ,如下图所示:添加升级服务命令为:System client add topsec1 t upgrade a intranet i 0.0.0.0-255.255.255.255topsec1: 定义对象名称,可任意起名,只要不重复。upgrade: 定义升级机器服务。intranet:管理器 PC 所在的防火
5、墙区域。-i: 定义服务管理范围(默认 0.0.0.0-255.255.255.255 即可) 。其中对应的区域名称可通过 area show 命令及 if 的命令找到区域及 ip 的对应关系。之后用 write 命令保存。三、升级操作1、通过管理器升级1.1 登录设备管理器,点击“工具”选项“安全设备升级”(或防火墙升级),如下图所示:1.2 点击下一步,选择相应的升级包,如下图所示:1.3 选择 fw-cert.dat 文件,点击下一步,升级完成!1.4 升级完成后设备会自动重启!2、通过升级工具升级2.1 打开 FWUpdate.exe 设备升级工具,弹出升级窗口,如下图所示:2.2 点
6、击升级,添加防火墙管理地址,如下图所示:2.3 点击浏览,选择 fw-cert.dat 证书更新文件,如下图所示:2.4 成功更新 fw-cert 完成,点击完成即可。2.5 设备升级完自动重启。注意:1、升级过程,请勿插拔电源;2、升级过程,约需二分钟左右。四、替换管理器证书把 ca.cer、client.cer、client.key 三个文件拷贝到管理器安装目录的 cert 目录下,覆盖原有的三个文件。管理器安装目录的 cert 目录默认为:C:Program FilesTOPSECFWMANcert。如下图所示:上面操作完成后,防火墙可正常管理,这时设备时间和管理 pc 的时间都可修改为当前时间。五、备注升级设备前请先备份配置文件,具体操作如下:1. 登录设备以后,点击“工具”选项,打开“配置”管理,弹出“安全设备配置管理”窗口,如下图所示:2. 点击当前配置下载,如下图所示:3. 选择当前配置,点击导出,然后选择存储路径,如下图所示:4. 点击确定,弹出导出结束即可,如下图所示:
