奇安信防火墙,前身就是网神防火墙,在政府、教育、医疗行业覆盖率很高。它的管理方式主要有三种:Web界面管理、命令行管理和串口管理。每种方式有各自的优缺点和使用场景。
先说Web管理,这是最常用的方式。奇安信防火墙出厂默认开启HTTPS的Web管理服务,默认IP是10.1.1.1或者192.168.0.1。第一次登录,浏览器会提示证书不安全——这不是设备有问题,是用的自签名证书,点继续访问就行。默认用户名admin,密码admin或者admin@123,具体看固件版本。登录之后第一件事我建议改密码、改管理端口、限制管理IP范围,这三件事不做就相当于把大门敞着。
Web管理的优势是直观,配置策略、查看日志、监控流量都用图形界面。但要注意几个坑。第一,浏览器要用Chrome或者Firefox,IE兼容性不好。第二,Web管理默认只支持HTTPS,如果你改了端口忘记改回来,后面自己都登不进去。第三,Web管理会话有超时设置,配到一半去干个别的事回来还得重新登录。
命令行管理,奇安信用的是类Linux的命令行界面。可以通过SSH或者Console口进入。命令行适合批量配置和脚本化运维,比如要同时对几十台防火墙做同样的策略更新,一条一条在Web上点能把你点疯掉。命令行模式下,配置保存命令是save或者write,别配了半天忘了保存,一重启全没了。
命令行的坑也不少。最大的问题是命令不提示语法错误,你输错了它也不报错,只是不执行,你得靠经验检查配置是否生效。所以我建议新手还是老老实实用Web界面,等对设备熟悉了再用命令行。
串口管理是最基础也是最后的手段。当防火墙网络配置乱了导致你连不上、或者密码忘了、或者固件刷坏了,串口是唯一的救命通道。串口参数:波特率9600、数据位8、停止位1、无校验、无流控。用一根Console线连接防火墙的Console口和电脑的串口(或USB转串口),打开超级终端或者SecureCRT就能连上。
串口模式下可以做密码恢复、系统重置、固件升级等底层操作。但要注意,串口没有认证机制,只要物理上能连上就能操作,所以防火墙的物理安全也很重要。Console口最好锁在机柜里,别让人随便插线。
最后提一嘴管理安全。不管用哪种方式,管理IP都要限制。建议单独划一个管理网段,只有这个网段的设备才能访问防火墙的管理界面。另外,开启登录失败锁定功能,连续5次登录失败锁定30分钟,防止暴力破解。