Checkpoint防火墙命令行维护手册.docx
- 文档编号:24127149
- 上传时间:2023-05-24
- 格式:DOCX
- 页数:21
- 大小:367.06KB
Checkpoint防火墙命令行维护手册.docx
《Checkpoint防火墙命令行维护手册.docx》由会员分享,可在线阅读,更多相关《Checkpoint防火墙命令行维护手册.docx(21页珍藏版)》请在冰豆网上搜索。
Checkpoint防火墙命令行维护手册
Checkpoint防火墙命令行维护手册
制订模版:
NGX-R65
版本号:
V1.0
一、基本配置命令1
1.1sysconfig1
1.2cpconfig2
1.3cpstop3
1.4cpstart3
1.5expert3
1.6idle4
1.7webui4
1.8脚本添加路由4
二、查看系统状态1
2.1top1
2.2df–h2
2.3free2
三、HA相关命令1
3.1cphaprobstat1
3.2cphaprob–aif1
3.3cphaconfset_ccpbroadcast1
3.4cphaproblist2
3.5cphastart/cphastop3
3.6fwctlpstat3
四、常用维护命令1
4.1ver1
4.2fwver1
4.3查看防火墙UTM/POWER版本1
4.4查看防火墙硬件型号1
4.5license查看和添加1
4.6ifconfig/ifconfig–a1
4.7mii-tool1
4.8ethtool1
4.9cpstatfw2
4.10会话数查看1
五、日志查看命令1
5.1fwlog1
5.2fwlslogs1
5.3fwlslogs–e1
5.4fwlogswitch1
5.5导出日志文件2
六、防火墙的备份和恢复1
6.1备份防火墙1
6.2在IE中备份1
6.3在防火墙上备份2
6.4恢复防火墙2
一、基本配置命令
1.1sysconfig
可以对系统进行配置和修改,比如主机名修改,DNS配置修改,以及路由的配置等,另外还可以配置DHCP功能,以及产品的安装等等
如上图所示,在命令提示符输入:
sysconfig,将会出现下图所列一些选项,在Yourchoice后面输入你想配置的选项前的数字,然后按回车
可以看到,依次的选项为主机名,域名,域名服务,时间和日期,网络连接,路由,DHCP服务配置,DHCP中继配置,产品安装,产品配置等
例如我们选择5,为防火墙新增一个接口IP地址
然后选择2,进行连接配置,也就是配置IP地址
选择1进行IP地址配置更改
如上图所示按照提示配置IP地址和子网掩码
进行其他配置也如同上述操作,选择对应的编号然后按照提示进行配置
1.2cpconfig
可以对checkpoint防火墙进行相关的配置,如下图所示,也是按照列表的形式列出,分别是license,snmp,PKCS#11令牌,随机池,SIC,禁用cluster,禁用安全加速,产品自动启动
常用的选项一般为SIC的配置,cluster功能模块的启用等;选择7是开启cluster功能模块;选择5是设置SIC。
选择5,然后会提示你是否准备重新初始化通信,输入Y
注意:
重新配置SIC时,输入的会话密钥是不会显示出来的。
防火墙上的SIC重新配置了以后,管理服务器也就是SmartCenter服务器上面也要针对object重新设置SIC
1.3cpstop
防火墙停止命令,使用这个命令后,防火墙的功能停止,但是secureplatform系统还是在运行。
此命令在cluster环境中可以用来进行主防火墙和备防火墙切换
1.4cpstart
防火墙启动命令,使用这个命令开启防火墙的功能
1.5expert
进入专家模式,在此模式下可以执行部分linux命令
1.6idle
通过ssh工具连接防火墙时,默认的超时时间是10分钟,使用idle命令可以自定义超时时间,单位为分钟。
1.7webui
Webui定义的是防火墙IE管理界面登录使用的端口号,在防火墙安装的时候可以修改,默认是443端口。
1.8脚本添加路由
路由条目可以在sysconfig命令下添加或者删除,也可以支持命令行方式添加删除路由条目。
删除路由条目的命令如下所示
二、查看系统状态
2.1top
top这个命令其实是linux下面的命令,我们可以使用此命令查看防火墙的系统资源和运行时间。
从下面的图中我们可以看到,防火墙的系统时间为20:
59:
15,状态为up,系统已经运行了2分21秒;还可以看到CPU和内存的使用情况
注释:
以下举例说明
top命令显示的项目很多,默认值是每5秒更新一次。
显示的各项目为:
15:
06:
57up129days,19:
03,5users,loadaverage:
1.21,1.20,1.25
uptime该项显示的是系统启动时间、已经运行的时间和三个平均负载值(最近1秒,5秒,15秒的负载值)。
222processes:
219sleeping,2running,1zombie,0stopped
processes自最近一次刷新以来的运行进程总数。
这些进程被分为正在运行的,休眠的,停止的等很多种类。
CPUstates:
cpuusernicesystemirqsoftirqiowaitidle
total0.9%0.0%27.4%0.0%0.0%0.2%71.2%
cpu001.9%0.0%19.4%0.0%0.0%0.0%78.6%
cpu010.0%0.0%33.0%0.0%0.0%0.0%66.9%
cpu021.9%0.0%22.3%0.0%0.0%0.9%74.7%
cpu030.0%0.0%35.2%0.0%0.0%0.0%64.7%
CPUstates显示用户模式,系统模式,优先级进程(只有优先级为负的列入考虑)和闲置等各种情况所占用CPU时间的百分比。
优先级进程所消耗的时间也被列入到用户和系统的时间中,所以总的百分比将大于100%。
Mem:
16214336kav,15682832kused,531504kfree,0kshrd,215016kbuff
10896844kactv,3379680kin_d,446432kin_c
Mem内存使用情况统计,其中包括总的可用内存,空闲内存,已用内存,共享内存和缓存所占内存的情况。
Swap:
10482404kav,0kused,10482404kfree14856500kcached
Swap交换空间统计,其中包括总的交换空间,可用交换空间,已用交换空间。
2.2df–h
df–h同样也是linux下面查看硬盘使用情况的命令,使用这个命令需要先进入专家模式
2.3free
注释:
以下举例说明
$free
total used free shared buffers cached
Mem:
1002 769 232 0 62 421
-/+buffers/cache:
286 715
Swap:
1153 0 1153
第一部分Mem行:
total内存总数:
1002M
used已经使用的内存数:
769M
free空闲的内存数:
232M
shared当前已经废弃不用,总是0
buffersBuffer缓存内存数:
62M
cachedPage缓存内存数:
421M
关系:
total(1002M)=used(769M)+free(232M)
第二部分(-/+buffers/cache):
(-buffers/cache)used内存数:
286M(指的第一部分Mem行中的used-buffers-cached)
(+buffers/cache)free内存数:
715M(指的第一部分Mem行中的free+buffers+cached)
可见-buffers/cache反映的是被程序实实在在吃掉的内存,而+buffers/cache反映的是可以挪用的内存总数。
第三部分是指交换分区,类似于Windows的虚拟内存。
第一部分(Mem)与第二部分(-/+buffers/cache)中used和free我们可以从二个方面来解释.
对操作系统来讲是Mem的参数.buffers/cached都是属于被使用,所以它认为free只有232.
对应用程序来讲是(-/+buffers/cach).buffers/cached是等同可用的,因为buffer/cached是为了提高程序执行的性能,当程序使用内存时,buffer/cached会很快地被使用。
所以,以应用来看看,以(-/+buffers/cache)的free和used为主.所以我们看这个就好了.Linux为了提高磁盘和内存存取效率,Linux做了很多精心的设计,除了对dentry进行缓存(用于VFS,加速文件路径名到inode的转换),还采取了两种主要Cache方式:
BufferCache和PageCache。
前者针对磁盘块的读写,后者针对文件inode的读写。
这些Cache能有效缩短了I/O系统调用(比如read,write,getdents)的时间。
三、HA相关命令
3.1cphaprobstat
这个命令可以查看HA设备的状态,如果是主备模式,那么设备之间的正常状态是Active/Standby;如果是Loadsharing模式,那么设备之间正常的状态是Active(Pivot,30%Load)和Active(70%Load)。
3.2cphaprob–aif
这个命令查看防火墙参与Cluster建立的接口信息以及虚拟的IP地址。
Secured接口即同步接口。
Multicast指的是CCP(checkpointclusterprotocol)采取的是组播方式,我们可以将其更改为采用广播方式。
3.3cphaconfset_ccpbroadcast
这个命令是将防火墙发送CCP协议的方式改成广播形式。
3.4cphaproblist
设备的Cluster状态与防火墙的几个关键组件(CriticalDevices)有关,如果这几个组件中某个状态异常,会导致cluster状态失败。
可以看到下图,在关键组件当前状态检查时,currentstate处状态都是ok,表明关键组件状态正常。
•Theclusterinterfacesontheclustermembers.
•Synchronization—fullsynchronizationcompletedsuccessfully.
•Filter—theSecurityPolicy,andwhetheritisloaded.
•cphad—whichfollowstheClusterXLprocesscalledcphamcset.
•fwd—theVPN-1daemon.
3.5cphastart/cphastop
用于停止cluster进程,而对防火墙进程没有影响。
3.6fwctlpstat
这个命令可以查看设备的当前活动连接数、最大连接数和HA同步状态是否正常。
如下图所示,Sync的状态显示为new,表明同步状态是正常的。
如果状态显示off则表明同步状态异常。
四、常用维护命令
4.1ver
查看Secureplatform的版本,包括补丁及小版本号
4.2fwver
查看防火墙的版本,包括补丁及小版本号
4.3查看防火墙UTM/POWER版本
输入sysconfig命令,然后选择10)ProductsInstallation,选择Next,Yes之后可以看到所安装的防火墙版本,如下图所示
4.4查看防火墙硬件型号
进入专家模式,执行命令/usr/sbin/dmidecode|more。
在handle0x0001字段下,UTM型号代码如下,如果使用PCServer,也可识别出硬件型号,如下图所示
4.5license查看和添加
使用cplic命令可以进行查看、添加license的操作
添加license时可以讲license通过tftp传输到防火墙上,放到当前目录后执行cplicput–llicense文件名,如下图所示
4.6ifconfig/ifconfig–a
ifconfig命令可以查看防火墙的接口信息,ifconfig–a则可以查看所有的接口信息
4.7mii-tool
在专家模式下面执行mii-tool命令可以查看接口线路连接情况
4.8ethtool
使用这个命令可以查看防火墙接口的相关属性,如下图所示,可以查看接口的全双工、带宽属性和线路是否连接等等。
还可以使用这个命令更改防火墙接口的全双工、带宽等的属性,使用命令方式为ethtool–sethXspeed10/100/1000|duplexfull/half|autonegon/off,这些参数可以全部选择配置,也可以只配置部分参数。
4.9cpstatfw
这个命令是查看防火墙的状态,使用方法和结果如下图所示,可以看到防火墙此时应用的策略包的名字,以及策略下发的时间,还可以查看一些接口的流量信息
4.10会话数查看
使用fwctlpstat这个命令可以看到防火墙此时的会话数情况,使用方法为直接在命令行中输入
输出的信息有很多,可以看到内存的使用情况,在最下面可以看到会话数和NAT的使用情况
这个地方显示的同步状态为off,因为没有做cluster,如果做了cluster形成HighAvailability,那么防火墙的同步状态就会显示为同步
五、日志查看命令
5.1fwlog
当输入fwlog命令后,会不断出现日志信息,在命令行下查看日志信息没有使用dashboard连接smartcenter服务器查看日志方便,在图形界面下可以有更多的选择。
想停止日志信息的滚动时,按下ctrl+c即可
如上图所示,日志信息的最前面是时间,之后就是产生的动作,然后是防火墙名,rule的序列号,rule的ID号,以及rule名,最后是详细的规则信息,产生的源、目标地址,协议和端口号等等信息
5.2fwlslogs
如下图所示,使用fwlogs命令可以查看防火墙的日志大小和日志名称
5.3fwlslogs–e
在上一个命令的后面空一格加上-e,就可以看到日志文件的创建时间和最后保存时间
5.4fwlogswitch
有的时候我们会将日志进行分类,比如说每个月进行一次日志分类,由于防火墙的日志文件是持续添加,那么就需要人为进行日志的切割,比如今天是11月的最后一天,那么我可以进行日志切割,此时使用命令。
使用命令后,会按照当时的日期时间自行创建日志文件
5.5导出日志文件
在将要保存日志文件的服务器上装上tftp服务器程序,然后在防火墙上登陆到专家模式,然后进入日志存放的目录,执行以下命令
tftp192.168.1.236(TFTP服务器的ip地址)
tftp>putfw.log(防火墙的日志文件名称)
六、防火墙的备份和恢复
6.1备份防火墙
防火墙的备份主要是备份接口配置信息和路由信心,因为策略是从smartcenter服务器上下发的。
备份防火墙常用的主要有以下两种方法:
6.2在IE中备份
进入ie界面,在device里面有一个backup命令,点击backup
之后出现以下界面,可以点击backupnow进行立即备份,也可以选择计划备份
备份文件可以存放到其他服务器上或者本机,选择对应的选项然后点击apply即可备份防火墙的配置
6.3在防火墙上备份
登陆防火墙后,执行backup命令,当系统询问是否继续时,输入”y”按回车。
防火墙的备份文件存放在以下目录中:
/var/CPbackup/backups,备份文件为tgz格式的压缩包文件
6.4恢复防火墙
登陆防火墙后,输入命令:
restore
之后会出现以下界面,根据选项前面的字母填写到yourchoice后
此时我们输入L,然后系统显示曾经备份过的文件,选择你想恢复的文件,输入文件前面的数字即可
此后系统会问你是否继续,选择”c”,接着防火墙会执行恢复操作
(注:
可编辑下载,若有不当之处,请指正,谢谢!
)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Checkpoint 防火墙 命令行 维护 手册
![提示](https://static.bdocx.com/images/bang_tan.gif)