#原创分享#SJJ设备加固问题

项目背景：

对客户的vpn进行安全加固，因需重启设备影响业务，和客户约到晚上打包加固，客户业务是对分支提供服务，打完包之后分支早已下班，无法验证业务，查看设备已经成功启动，vpn服务也正常启动，就下班走人了

升级前版本信息

版本信息:

M7.6.0

scclient 4.2_20140606

mdlan M5.35_20171013

DLAN5.35 Build20171013

sslvpn M7.6.0.11 Build20171101

build-ssl-11 2017-11-01

update-ssl 2017-11-07

GCS_PRODUCT1.2.0

update date 2017-10-13

custom-buildcti-support-ruanpei+xuwf-20171130-TD37321

custom-built (1 2017-11-2309:11:50)-i-SJK1238-IC(2017-11-30 12:04:33)-liaoliang-yangjing-SSL-2017110101

custom-built (1 2017-11-2407:29:49)-i-ZGYHYJDGLWYH(2017-11-30 12:28:10)-zsw-yj-hk-SSL-2017110104

ssl-sp 20190613_svpn_CommonSms_SP

custom-buildcti-support-lfm+tz-C20191106-U20200408-TD48581

SSL7.6.0.10 UD SP build20200408

type=M5500

provider=lihua(H61)

version=20160612

cf=sda

model=M5500

打包之后信息

版本信息:

M7.6.0

scclient 4.2_20140606

mdlan M5.35_20171013

DLAN5.35 Build20171013

sslvpn M7.6.0.11 Build20171101

build-ssl-11 2017-11-01

update-ssl 2017-11-07

GCS_PRODUCT1.2.0

update date 2017-10-13

custom-buildcti-support-ruanpei+xuwf-20171130-TD37321

custom-built (1 2017-11-2309:11:50)-i-SJK1238-IC(2017-11-30 12:04:33)-liaoliang-yangjing-SSL-2017110101

custom-built (1 2017-11-2407:29:49)-i-ZGYHYJDGLWYH(2017-11-30 12:28:10)-zsw-yj-hk-SSL-2017110104

ssl-sp 20190613_svpn_CommonSms_SP

custom-buildcti-support-lfm+tz-C20191106-U20200408-TD48581

SSL7.6.0.10 UD SP build20200408

ssl-sp 20190812_svpn_SSLRP_SP

SSL7.6.0.10 StayTrace SP build20200630

SSL7.6.0.3 WinPW SP build20200622

ssl-sp 20200704_svpn_SSLPI_SP

SSL7.6.0.8 WEBAGENT SP build20200620

SSL7.6.0.6 WGBDK SP build20200610

ssl-sp 20200713_svpn_SSLWP_SP

SSL7.6.0.8 UI SP build20200409

type=M5500

provider=lihua(H61)

version=20160612

cf=sda

model=M5500

问题现象：

客户给我发了一个图片

ping是通的端口也是通的telnet也是通的（telent效果图就不放了原因大家都懂）

处理思路：

难道客户是xp系统，看了一下版本信息不对呀，没打sweet包啊

第二反应客户是否受其他设备阻拦，于是自己电脑直连dmz口发现也无法登陆vpn，现象和分支客户一样

查看客户开启了http接入端口

测试通过http端口可以正常登陆vpn

陷入深思难道和客户的定制包冲突了？寻求办事处同事帮助是否遇见同样问题，直接甩给我一个文档，文档内容如下

支持国密IC卡要求

硬件：SJJ型号设备，IC卡（后续会增加key方式）

软件：7.6.0+M7.6.0-i-SJK1238-IC-SSL-2017110101.ssu定制包（看到这一条心里窃喜，发现我的版本信息里也有，终于找到问题原因了）

SJK1238是设备内置的加密卡，加密卡工作需要通过IC卡注册激活，IC卡注册激活之后，密码卡检测才会成功

注意：国密设备重启之后必须插入IC卡并登陆控制台激活，否则会出现443端口但是无法打开SSLVPN登陆界面

IC卡配置步骤

1.   将管理员卡插入设备读卡器（注意卡要完全插入进去）

按照IC卡箭头指向插入读卡器，读卡器红灯亮时代表插入成功

2.   在sslvpn控制台，系统设置-密码卡管理-IC卡管理页面，添加管理员卡（3张都添加进去）

3.   点击添加管理员，输入保护密码，IC卡默认密码为***

4.    读卡器插入操作员卡，控制台 系统设置-密码卡管理-IC卡管理页面 添加操作员，提示输入保护密码，IC卡默认密码为12345678

5.   添加好管理员卡与操作员卡之后，查看IC卡状态

让我安装文档操作就行

操作一：发现加密卡是不正常的

操作二：添加管理员提示没有权限

检查设备插的卡是操作员卡，难道需要管理员卡才行，找客户要来管理员卡，三张插上都不亮灯，难道这三张卡都坏了吗？想到难道管理员卡要开启安全管理员，使用安全管理员登陆

打开安全管理员发现并没有安全管理员用户

有点蒙了，忽然发现管理员卡的袋子里有个便签，拆开一看

图片内容如下

vpn设备重启后要插入操作员ic卡  **中（反正我没看懂是啥字）——>密码卡管理——>IC卡管理——>用户登录处输入***   登录成功后才能使用

操作三：按照大佬的锦囊操作完成

测试结果

分支客户可以正常登陆VPN

反思：客户设备做过改动或者重启后要验证业务是否正常才行，某些特殊情况留下锦囊利人利己最重要的是保障客户的业务，感谢办事处同事的帮助和大神留的秘籍，最后附上给的处理文档,SJJ设备比较少见，符合这个条件的问题应该更少，但是希望可以帮助遇见这个问题的人

感谢楼主精彩的分享，国密设备以及内置加密卡的设备在设备重启之后，需要登录激活密码卡，否则用户将无法登录VPN，这是很重要的一个知识点，设备初次上架的时候，也是需要同样的激活步骤，还说明了激活IC卡过程，对VPN配置上有很好的帮助，期待楼主下次更精彩的分享

SJJ前几天打包，重置了管理员卡重新添加才可以。。

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=117259

打卡学习，感谢分享

感谢分享

遇到类似问题过  谢谢大神 很有帮助

非常详细，谢谢分享

很NICE的文章

感谢分享