天融信老4k防火墙升级-教程.docVIP

老4000防火墙升级方案 目录 一、确认升级权限 3 二、添加升级权限 3 1、通过管理器添加升级权限 3 2、命令行下添加升级权限 5 三、升级操作 6 1、通过管理器升级 6 2、通过升级工具升级 8 四、替换管理器证书 9 五、备注 10  一、确认升级权限 首先防火墙管理接口要有升级权限，请到终端（TELNET或CONSOLE）下查看相关权限。 1、system client show 命令。如下： system client add upgrade -t upgrade -a 内网 -i 0.0.0.0-255.255.255.255 则表示内网接口有升级权限。 2、通过area show的命令查看内网接口对应的区域。 area 内网 -d eth2 -a any -l session enable ping 3、用ifconfig的命令查看eth2口对应的ip ifconfig?eth2?10.2.6.191?255.0.0.0 通过以上3条命令可以看出该设备的eth2口有升级权限，eth2口的ip为10.2.6.191。若想要升级的接口没有升级权限，可以通过下面方式添加。 二、添加升级权限 添加升级权限有两种方式，一是通过修改设备系统时间及管理机器的时间，然后登录设备后添加；二是直接在命令行下添加。如对命令行不是非常了解，建议采用第一种方式。 1、通过管理器添加升级权限 1.1修改设备系统时间。 命令行登录设备（通过console或telnet方式），将设备时间统一更改为2012年01月01日。 修改时间命令：time 2012-01-01 00:00:00如下图所示： 1.2将管理器的PC系统时间更改为2012年01月01日，即可用管理器管理设备！ 1.3点击“选项设置”，双击“安全设备登录控制”（或防火墙登录控制）选项 如下图所示： 1.4在弹出安全设备登录访问控制窗口以后，点击“增加”选项，弹出安全设备 登录客户窗口，如下图所示： 1.5添加安全设备登录客户窗口选项参数，点击确定即可。如下图所示： 注意：对象名称：定义对象名称。 客户类型：选择升级机器服务。 所属防火墙区域：管理器PC所在的防火墙区域。 I P地址：定义服务管理范围（默认0.0.0.0-255.255.255.255即可）。 2、命令行下添加升级权限 登录设备命令行管理界面（通过console或telnet方式），如下图所示： 添加升级服务命令为: System client add topsec1 –t upgrade –a intranet –i 0.0.0.0-255.255.255.255 topsec1： 定义对象名称，可任意起名，只要不重复。 upgrade： 定义升级机器服务。 intranet：管理器PC所在的防火墙区域。 -i： 定义服务管理范围（默认0.0.0.0-255.255.255.255即可）。 其中对应的区域名称可通过area show 命令及if的命令找到区域及ip的对应关系。之后用write命令保存。 三、升级操作 1、通过管理器升级 1.1登录设备管理器，点击“工具”选项—“安全设备升级”(或防火墙升级)，如下图所示： 1.2点击下一步，选择相应的升级包，如下图所示: 1.3 选择fw-cert.dat文件,点击下一步，升级完成！ 1.4 升级完成后设备会自动重启！ 2、通过升级工具升级 2.1打开FWUpdate.exe设备升级工具，弹出升级窗口，如下图所示： 2.2点击升级，添加防火墙管理地址，如下图所示： 2.3点击浏览，选择fw-cert.dat证书更新文件，如下图所示: 2.4成功更新fw-cert完成，点击完成即可。 2.5设备升级完自动重启。 注意： 1、升级过程，请勿插拔电源； 2、升级过程，约需二分钟左右。 四、替换管理器证书 把ca.cer、client.cer、client.key三个文件拷贝到管理器安装目录的cert目录下，覆盖原有的三个文件。管理器安装目录的cert目录默认为：C:\Program Files\TOPSEC\FWMAN\cert。如下图所示： 上面操作完成后，防火墙可正常管理，这时设备时间和管理pc的时间都可修改为当前时间。 五、备注 升级设备前请先备份配置文件，具体操作如下： 登录设备以后，点击“工具”选项，打开“配置”管理，弹出“安全设备配置管理”窗口，如下图所示： 点击当前配置下载，如下图所示： 选择当前配置，点击导出，然后选择存储路径，如下图所示: 点击确定，弹出导出结束即可，如下图所示：