NGFW module恢复密码操作方法

一、 前言
NGFW module Web管理、SSH、console都忘记密码无法登陆的情况下，并且防火墙是主备的模式下才使用此方法恢复密码。
我的系统版本为：V100R001C30SPC300二、 操作前准备
1、 操作时间
尽量选择业务空闲的时间进行此操作，本次计划于本周二（2018.7.3）下午进行操作。
2、 准备工具
操作前准备工具
工具 数量 用途
电脑 2台 其中一台用于常ping IP地址，另外二台用于具体操作
console线 2条 用于连接console口操作
网线 1条 用于连接MGMT口操作
两台电脑，其中一台分别常ping三个地址，分别为：10.10.5.254、10.10.5.252、10.10.5.253，查看主备是否进行了切换；另外两台通过console线进行恢复密码操作。
3、 准备重启方法
在交换机S12712上敲入power off slot 2/5,等待10秒后再敲入power on slot 2/5命令。
4、 了解主备防火墙与交换机的接口
主防火墙与交换机的接口：Eth-trunk103
备防火墙与交换机的接口：Eth-trunk102
5、 Admin@1234的密文%@%@XY[V+I/m;9YhJuNl4g-8J(|sg!28cCcQ.+LgKHVQE-0.%}%@%@
br/>%@%@XY[V+I/m;9YhJuNl4g-8J(|sg!28cCcQ.+LgKHVQE-0.%}%@%@
NGFW主备如果配置正确，主备切换过程基本秒切，中间只丢3~5包左右，但是本次操作采用的是手工切换，同样基本上是秒切。
7、 操作机器顺序
拔出心跳线-> 关闭备墙的业务口（Eth-trunk102）-> 选择在NGFW备上恢复密码 ->使备防火墙也成为主-> 打开备墙业务口-> 关闭主墙业务口（Eth-trunk103）-> 选择在NGFW主上恢复密码============================================================
Enter your choice(0-6): 2 //此处选择2,进入设置启动文件和配置文件的子菜单。 Current boot application software:
Current boot configuration:
Modify setting
Quit
Enter your choice (0-1): 免费云主机域名1 //此处选择1，进入修改配置子菜单。 File(s) in hda1: 1:hda1:/sup.bin 139720443 bytes
2:hda1:/vrpcfg.zip 17142 bytes
Total size: 1201569792 bytes.
Free size: 1061832207 bytes. File(s) in hda2: 1:hda2:/keylog/log_1389968546.txt 442185 bytes
Total size: 640745472 bytes.
Free size: 640253952 bytes.
Input the name of application software(eg: hda1:/sup.bin): Input the name of configuration or ‘.’ to clear setting(eg: hda1:/vrpcfg.zip):. //此处输入“.”来将下次启动配置改为空配置。Modifed configuration successful.
Next boot configuration: NULL ============================================================ ****
Enter your choice(0-6): 1 //此处选择1引导系统启动。
3、参照通过HTTPS登录Web界面，登录Web界面。
1）将管理员PC网口与设备的MGMT接口（GigabitEthernet 0/0/0）通过网线相连。2）将管理员PC的网络连接的IP地址设置为在192.168.0.2～192.168.0.254范围内的IP地址。
3）在管理员PC中打开网络浏览器，访问需要登录设备的MGMT接口缺省IP地址https://192.168.0.1:8443，缺省账号“admin”和密码“Admin@123”
br/>2）将管理员PC的网络连接的IP地址设置为在192.168.0.2～192.168.0.254范围内的IP地址。
3）在管理员PC中打开网络浏览器，访问需要登录设备的MGMT接口缺省IP地址https://192.168.0.1:8443，缺省账号“admin”和密码“Admin@123”
5、在PC上解压缩该文件，得到vrpcfg.cfg，使用文本编辑工具修改配置文件中的管理员密码。修改管理员admin的密码为Admin@1234（用明文的方式试过不生效）。 Admin@1234的密文：%@%@XY[V+I/m;9YhJuNl4g-8J(|sg!28*cCcQ.+LgKHVQE-0.%}%@%@
br/>Admin@1234的密文：%@%@XY[V+I/m;9YhJuNl4g-8J(|sg!28*cCcQ.+LgKHVQE-0.%}%@%@
7、选择“系统 > 配置 > 系统重启”，单击“重启”，重启设备。8、设备完成启动后，就可以使用新的用户名admin和密码Admin@1234登录（console和web两种方式同时登陆），且配置也恢复为最近保存的配置。
br/>8、设备完成启动后，就可以使用新的用户名admin和密码Admin@1234登录（console和web两种方式同时登陆），且配置也恢复为最近保存的配置。
int Eth-trunk102 //打开备墙业务口
undo shutdown
10、迅速在交换机上关闭主墙的业务口（Eth-trunk103），使主墙不参与转发数据包。
int Eth-trunk103 //关闭主墙业务口
shutdown
11、查看ping结果，如果业务正常切到备墙上，继续以下操作
12、用以上同样的方法修改主墙上admin的密码，修改好重启完成后尝试新密码登陆，如果可以继续以下操作
13、插上心跳线，同时迅速打开主墙的业务口Eth-trunk103（这个操作最好由两个人来完成）。
int Eth-trunk103 //打开主墙业务口
undo shutdown
14、此时会进行主墙会把主重新抢占回来，查看常ping网关的电脑是否有丢包，按实际操作并且动作快的话只会丢一个包，到此恢复密码完成，测试业务是否正常。****四、 操作后测试
1、通过新密码登录到防火墙web、ssh进行测试是否可登录。
2、通过另外一台常ping电脑检查重启的NGFW是否已经启来。
3、查看监控是否有未恢复的报警。

相关推荐: 什么是状态化包过滤防火墙

每日小知识伴你晚睡：状态化包过滤防火墙： 定义：硬件防火墙的主流技术，为穿越TCP和UDP流维护状态花表项。基本上每一个防火墙的厂商都有状态化包过滤的功能，比如说checkpoint netscreen，ASA 等等特点： *为每一个TCP和UDP流维护sta…