Sau khi sử dụng cpconfig để cấu hình module VPN-1 hoặc VPN-1 UTM và khởi động lại thiết bị, hệ điều hành sẽ nạp một chính sách tường lửa mặc định. Chính sách này được nạp vào nhân trước khi các cổng của thiết bị được cấu hình xong. Điều này đảm bảo rằng cả trong quá trình boot của thiết bị, mạng vẫn được bảo vệ. Chính sách này sử dụng một bộ lọc để ngăn cản tất cả các truy cập vào mạng bên trong (mạng nằm phía sau thiết bị). Người dùng không thể sử dụng kết nối từ xa hoặc dùng Nokia Network Voyager để cấu hình thiết bị mà chỉ có máy khách SmartConsole là được phép truy cập vào thiết bị qua management server.
Để thiết đặt lại quyền truy cập từ xa hoặc truy cập qua giao diện web có thể sử dụng một trong các cách sau:
- Sử dụng SmartDashboard để tạo và cài đặt một chính sách cho phép kết nối từ xa vào thiết bị (khi SmartDashboard cũng không kết nối được thì phải dùng lệnh fw unloadlocal).
- Kết nối console qua cổng COM, thực hiện lệnh cpstop. Lệnh này dùng để tạm dừng dịch vụ tường lửa. Sau đó người dùng có thể kết nối từ xa vào thiết bị để thực hiện các thao tác quản trị; khi thực hiện xong thì khởi động lại dịch vụ bằng lệnh cpstart.
- Gỡ bỏ chính sách mặc định bằng lệnh fw unloadlocal hoặc fw unload localhost (tùy thuộc từng version). Kiểm tra chính sách đang được nạp bằng lệnh fw stat.
gatekeeper[admin]# fw stat HOST POLICY DATE
localhost InitialPolicy 25Sep2002 23:02:21 : [>eth-s3p1c0]
- Trước khi chạy lệnh cpconfig, thay đổi bộ lọc mặc định để cho phép kết nối qua SSH hoặc HTTPS. Các bộ lọc mặc định được liệt kê trong bảng 2.
Bảng 2. Các bộ lọc mặc định
Bộ lọc Mô tả
defaultfilter.boot Cho phép lưu thông ra bên ngoài (xuất phát từ tường lửa). defaultfilter.dag Cho phép lưu thông ra bên ngoài, lưu thông broadcast và
DHCP.
defaultfilter.drop Loại bỏ tất cả lưu thông vào trong hoặc ra ngoài gateway. defaultfilter.ipso Cho phép tất cả các lưu thông ra bên ngoài và các lưu
thông SSH, HTTPS, ICMP vào trong.
defaultfilter.ipso_ssh Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông SSH, ICMP vào trong.
defaultfilter.ipso_ssl Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông HTTPS, ICMP vào trong
Ví dụ: Để thay đổi bộ lọc mặc định sang defaultfilter.ipso sử dụng các lệnh sau:
cp $FWDIR/lib/defaultfilter.ipso $FWDIR/conf/defaultfilter.pf fw defaultgen
cp $FWDIR/state/default.bin $FWDIR/boot
Dưới đây là một số lệnh có thể dùng để điều khiển các thiết lập:
- fwstop –default: tắt tất cả tiến trình tường lửa và nạp luật mặc định. - fwstop –proc: dừng tất cả các tiến trình nhưng vẫn giữ luật hiện tại
- fwstart –f: khởi động dịch vụ FW-1.
- control_bootsec –r: gỡ bỏ chế độ an ninh lúc khởi động. - control_bootsec –g: kích hoạt chế độ an ninh lúc khởi động.
- fwboot bootconf: thiết lập IP forwarding và cấu hình bộ lọc mặc định. - comp_init_policy –u: vô hiệu hóa luật mặc định.
- comp_init_policy –g: kích hoạt luật mặc định.