网神SecSIS-3600安全防火墙WEBUI无法管理处理方法

发布版本 编写人 V1.0 常俊 一：常见原因

WEBUI管理防火墙是目前防火墙管理的主要手段，当现场无法使用WEBUI管理设备的时候，请大家一定要按照文档建议进行故障分析，文档中的说明情况是根据多年处理类似问题的经验积累汇总而成，希望大家能够认真阅读文档，按照文档进行故障排查，基本可以解决市场上常见的关于WEBUI无法管理的问题，后续有的类似问题我会及时的补充到该文档中。

1.1：使用的浏览器 1.2：使用的管理证书 1.3：防火墙的管理证书

1.4：管理电脑和防火墙的系统时间 1.5：管理主机和管理地址 1.6：磁盘空间是否满 1.7：其它方面考虑事项

二：排查过程

2.1使用的浏览器

答：一代墙和二代墙建议使用IE7/8/9三种浏览器，且操作系统为xp,win7,server2003的32位，其他系统位数或者浏览器可能存在兼容性问题，为了能够正常管理防火墙系统，建议使

用厂商推荐的浏览器和系统版本；

2.2使用的管理证书

答：防火墙的管理证书有两种类型:

一种管理证书有效期至2030/4/30，为现在正常使用的管理证书。 一种管理证书有效期截止2016/2/11，为已经过期的管理证书。

如果现在使用的证书有效截止日期仍然是2016年的用户，目前的情况下防火墙可能已经出现了无法管理的情况下，需要安装新的管理证书才能继续管理防火墙。

新证书名称“New-SecGateAdmin.p12”,新证书的安装密码 111111，点击下一步即可完成 注意：老证书的安装密码是123456

2.3：更新防火墙系统证书

更新防火墙系统证书的有两种方式，一种是通过升级包升级替换，另外一种方式是后台直接替换文件，如果是用户操作建议使用补丁包方式，如果是区域技术人员建议直接后台替换即可。

2.3.1：webui方式直接升级

该种方式如果升级前系统版本是二代墙的版本时可以使用，去补丁包服务器下载补丁名称为“SecGate3600-fw-manage-cert-20141011”的补丁包，然后在防火墙的WEBUI界面中升级即可，对于已经无法WEBUI登陆的设备，可以通过修改管理主机和防火墙系统的系统时间来实现WEBUI的暂时管理。

2.3.2：后台替换管理证书文件

该种方式由于只能在root权限下操作，要求必须是区域的工程师操作，代理商和用户均不能以任何方式获得root权限。

防火墙系统证书更新需要替换4个文件（administratpr.pem,cacert.pem,fwcert.pem,fwkey.pem） 第一步：替换administrator.pem

cd /usr/local/cert/admcert //进入到该目录中

rm* //删除目录中的所有文件 rz上 //该处建议使用CRT软件进行上传

chmod +x administrator.pem //增加该文件的执行权限

第二步：替换cacert.pemfwcert.pemfwkey.pem

cd /usr/local/cert/fwcert rm * rz上传cacert.pemfwcert.pemfwkey.pem chmod +x *.pem

第三步：Backpkgconfig保存修改

2.4管理电脑和防火墙的系统时间

管理主机和防火墙的系统时间必须保持一致，前后误差不能超过5分钟，对于系统时间不一致的一定要先修改成一致，再考虑管理防火墙的系统。 防火墙的系统时间查看命令： Systimedisp

2.5 管理主机和管理接口

防火墙能被管理，要求管理地址必须允许管理以及管理主机是被允许管理防火墙的，具备两个条件后才能通过防火墙的地址进行管理。

2.5.1接口地址开启用于管理

接口IP地址需要开启管理功能后，才能通过该IP地址进行管理。

如果WEBUI无法查看的话，可以通过后台命令行进行判断

详细内容请参考防火墙的随机光盘自带的命令行手册。

2.5.2防火墙管理主机是否允许

防火墙管理主机的IP地址必须在管理主机列表，才能对设备进行管理，如果不在管理主机列表中将无法通过防火墙地址进行管理。

如果WEBUI无法管理的情况下，通过后台命令行业可以查看管理主机是否受限。

2.5.3管理账号不受限的问题

默认情况下，防火墙的一个账号只能一台终端使用，当有多个电脑或者多种方式同时登录时，系统会提示“以下管理在线管理中……登录方式serial 禁止多个管理员同时进行管理”

出现上述情况时只需要开启管理主机不受限即可。 通过命令行操作如下：

通过WEBUI方式开启功能如下：

2.6磁盘空间满的问题

防火墙磁盘空间满引发的问题有如下几种

2.6.1：日志空间导致的满

SecGate>df -h

说明：使用df -h查看当前盘符使用状态，可以清晰的看出每个盘符的使用情况 Filesystem Size Used Available Use% Mounted on /dev/root.old 7.7M 6.9M 872.0k % /initrd /dev/ram1 101.3M 87.6M 8.5M 100% /

tmpfs 30.0M 0 30.0M 0% /tmp/virustmp SecGate> cd /var/log/

说明：使用cd命令切换到/var/log目录下 SecGate>ls -lh

说明：使用ls -lh查看当前目录中日志占用情况，其中fw.log,fw.log.old,messages日志文件都是可以删除的

-rw-r--r-- 1 root root 0 May 27 12:28 cli.fail -rw-r--r-- 1 root root 12.0k May 27 16:09 fw.log -rw-r--r-- 1 root root 40.2k May 27 16:09 fw.log.old -rw-r--r-- 1 root root 18.2k May 27 16:09 messages -rw-r--r-- 1 root root 0 May 27 12:28 secure drwxr-xr-x 2 root root 1.0k May 27 12:28 snort

-rw-r--r-- 1 root root 0 May 27 12:28 tss_output SecGate>rm -rf fw.log

说明：使用rm -rf命令删除当前目录的日志文件， 也可以按照以下删除 SecGate>rm -rf /var/log/fw.log SecGate>rm -rf /var/log/fw.log.old SecGate>rm -rf /var/log/messages

说明：rm -rf 命令加参数意思是强制删除当然文件或目录，在命令后面跟文件名或绝对路径,删除后使用df -h查看盘符是否还有百分百的占用,如果任然100%继续往下操作。

2.6.2：CPU/内存/接口流量统计图导致的满

如果删除以上文件盘符还是百分百，就删除/tmp/traffic中隐藏文件 SecGate> cd /tmp/traffic

说明：使用cd命令切换到traffic目录下 SecGate>ls –a

说明：使用ls -a命令显示当前目录下所以文件（包括隐藏文件），文件名称前面带点的都是隐藏文件

. .. .cnt_new .cpu_new .dmu_new .mem_new SecGate>rm -rf .c*

说明：使用rm -rf .c*命令删除所以隐藏文件以c开头的 SecGate>ls –a

说明：在使用ls -a查看就会发现以c开头的隐藏文件已经没有 . .. .dmu_new .mem_new

如果文件比较多也可以把traffic这个目录删除了，注意：删除后需要重新创建该目录 SecGate> cd /tmp/ SecGate>ls -lh .....

drwxr-xr-x 2 root root 7.0M May 27 16:42 traffic .....

SecGate>rm -rf traffic 说明：删除traffic目录 SecGate>mkdir traffic

说明：使用mkdir命令创建traffic目录 SecGate>ls -lh

drwxr-xr-x 2 root root 1.0k May 27 16:52 traffic

2.6.3：江明杀毒软件导致的磁盘满

由于磁盘空间有限，病毒库在升级的过程中，容易导致磁盘空间满，磁盘满后会出现无法WEBUI管理防火墙的问题，解决该问题的办法删除防火墙的病毒库文件后，再进行管理即可。

首先先查看文件占用大小：

SecGate3600> du -h /usr/local/jiangmin/

7.4M /usr/local/jiangmin/primary说明：江明病毒库使用空间 1.0k /usr/local/jiangmin/pipe/client 2.0k /usr/local/jiangmin/pipe 2.0k /usr/local/jiangmin/Lang 10.0M /usr/local/jiangmin

查看里面的文件确认是否为病毒库，后缀VLB的文件均为病毒库文件。 SecGate3600> cd /usr/local/jiangmin/primary/ SecGate3600>ls

KVDatam.vlb kv0041m.vlb kv0083m.vlb kv0125m.vlb kv0167m.vlb kv0209m.vlb kv0000m.vlb kv0042m.vlb kv0084m.vlb kv0126m.vlb kv0168m.vlb kv0210m.vlb kv0001m.vlb kv0043m.vlb kv0085m.vlb kv0127m.vlb kv0169m.vlb kv0211m.vlb kv0002m.vlb kv0044m.vlb kv0086m.vlb kv0128m.vlb kv0170m.vlb kv0212m.vlb kv0003m.vlb kv0045m.vlb kv0087m.vlb kv0129m.vlb kv0171m.vlb kv0213m.vlb kv0004m.vlb kv0046m.vlb kv0088m.vlb kv0130m.vlb kv0172m.vlb kv0214m.vlb kv0005m.vlb kv0047m.vlb kv00m.vlb kv0131m.vlb kv0173m.vlb kv0215m.vlb kv0006m.vlb kv0048m.vlb kv0090m.vlb kv0132m.vlb kv0174m.vlb kv0216m.vlb kv0007m.vlb kv0049m.vlb kv0091m.vlb kv0133m.vlb kv0175m.vlb kv0217m.vlb kv0008m.vlb kv0050m.vlb kv0092m.vlb kv0134m.vlb kv0176m.vlb kv0218m.vlb SecGate3600>rm –rf*

说明：删除当前目录中的所有文件 SecGate3600>ls

说明：查看当前目录中的文件

SecGate3600> du -h /usr/local/jiangmin/ 5.0k /usr/local/jiangmin/primary 1.0k /usr/local/jiangmin/pipe/client 2.0k /usr/local/jiangmin/pipe 2.0k /usr/local/jiangmin/Lang 2.5M /usr/local/jiangmin

2.7其它方面考虑事项

1：执行这一步的前提是必须确认上述六个步骤全部确认完了没有问题后再继续第七步的操作；

2：是否通过防火墙的默认管理口直连进行管理，如果直连可以管理，远端路由无法管理，说明防火墙自身的管理进程均正常，需要考虑路由整条的链路是否有其他安全设备阻止了88或者证书认证的方式，另外透明桥上的桥地址管理方式，应该尽可能避免钩子管理的环境出现，否则会出现有时候能管理有时候无法管理的问题。

3：通过业务口无法管理，但是通过默认口可以管理，有可能是96之前的版本防火墙自身的抗攻击影响关闭该功能即可；一般情况下这个问题多发生于7749和8009版本上。 关闭命令：

SecGate3600> echo 1 > /proc/secgate/conf/local_unlimit(hehe)

4：安全规则中是否添加了全阻止的规则，如果有全阻止的规则，建议删除全阻止的安全规则。例如：源地址any 目的地址any 服务 any 动作阻止

5：对于使用堡垒主机管理防火墙的用户，一旦出现了无法管理防火墙的问题，一定要记得将堡垒主机的所有IE浏览器全部关闭，并且清理堡垒机的浏览器缓存后再进行管理。

钩子管理