Checkpoint防火墙命令行维护手册.docx

Checkpoint防火墙命令行维护手册.docx

《Checkpoint防火墙命令行维护手册.docx》由会员分享，可在线阅读，更多相关《Checkpoint防火墙命令行维护手册.docx（21页珍藏版）》请在冰豆网上搜索。

Checkpoint防火墙命令行维护手册

Checkpoint防火墙命令行维护手册

制订模版：

NGX-R65

版本号：

V1.0

一、基本配置命令1

1.1sysconfig1

1.2cpconfig2

1.3cpstop3

1.4cpstart3

1.5expert3

1.6idle4

1.7webui4

1.8脚本添加路由4

二、查看系统状态1

2.1top1

2.2df–h2

2.3free2

三、HA相关命令1

3.1cphaprobstat1

3.2cphaprob–aif1

3.3cphaconfset_ccpbroadcast1

3.4cphaproblist2

3.5cphastart/cphastop3

3.6fwctlpstat3

四、常用维护命令1

4.1ver1

4.2fwver1

4.3查看防火墙UTM/POWER版本1

4.4查看防火墙硬件型号1

4.5license查看和添加1

4.6ifconfig/ifconfig–a1

4.7mii-tool1

4.8ethtool1

4.9cpstatfw2

4.10会话数查看1

五、日志查看命令1

5.1fwlog1

5.2fwlslogs1

5.3fwlslogs–e1

5.4fwlogswitch1

5.5导出日志文件2

六、防火墙的备份和恢复1

6.1备份防火墙1

6.2在IE中备份1

6.3在防火墙上备份2

6.4恢复防火墙2

一、基本配置命令

1.1sysconfig

可以对系统进行配置和修改，比如主机名修改，DNS配置修改，以及路由的配置等，另外还可以配置DHCP功能，以及产品的安装等等

如上图所示，在命令提示符输入：

sysconfig，将会出现下图所列一些选项，在Yourchoice后面输入你想配置的选项前的数字，然后按回车

可以看到，依次的选项为主机名，域名，域名服务，时间和日期，网络连接，路由，DHCP服务配置，DHCP中继配置，产品安装，产品配置等

例如我们选择5，为防火墙新增一个接口IP地址

然后选择2，进行连接配置，也就是配置IP地址

选择1进行IP地址配置更改

如上图所示按照提示配置IP地址和子网掩码

进行其他配置也如同上述操作，选择对应的编号然后按照提示进行配置

1.2cpconfig

可以对checkpoint防火墙进行相关的配置，如下图所示，也是按照列表的形式列出，分别是license，snmp，PKCS#11令牌，随机池，SIC，禁用cluster，禁用安全加速，产品自动启动

常用的选项一般为SIC的配置，cluster功能模块的启用等；选择7是开启cluster功能模块；选择5是设置SIC。

选择5，然后会提示你是否准备重新初始化通信，输入Y

注意：

重新配置SIC时，输入的会话密钥是不会显示出来的。

防火墙上的SIC重新配置了以后，管理服务器也就是SmartCenter服务器上面也要针对object重新设置SIC

1.3cpstop

防火墙停止命令，使用这个命令后，防火墙的功能停止，但是secureplatform系统还是在运行。

此命令在cluster环境中可以用来进行主防火墙和备防火墙切换

1.4cpstart

防火墙启动命令，使用这个命令开启防火墙的功能

1.5expert

进入专家模式，在此模式下可以执行部分linux命令

1.6idle

通过ssh工具连接防火墙时，默认的超时时间是10分钟，使用idle命令可以自定义超时时间，单位为分钟。

1.7webui

Webui定义的是防火墙IE管理界面登录使用的端口号，在防火墙安装的时候可以修改，默认是443端口。

1.8脚本添加路由

路由条目可以在sysconfig命令下添加或者删除，也可以支持命令行方式添加删除路由条目。

删除路由条目的命令如下所示

二、查看系统状态

2.1top

top这个命令其实是linux下面的命令，我们可以使用此命令查看防火墙的系统资源和运行时间。

从下面的图中我们可以看到，防火墙的系统时间为20:

59:

15，状态为up，系统已经运行了2分21秒；还可以看到CPU和内存的使用情况

注释：

以下举例说明

top命令显示的项目很多，默认值是每5秒更新一次。

显示的各项目为：

15:

06:

57up129days,19:

03,5users,loadaverage:

1.21,1.20,1.25

uptime该项显示的是系统启动时间、已经运行的时间和三个平均负载值（最近1秒，5秒，15秒的负载值）。

222processes:

219sleeping,2running,1zombie,0stopped

processes自最近一次刷新以来的运行进程总数。

这些进程被分为正在运行的，休眠的，停止的等很多种类。

CPUstates:

cpuusernicesystemirqsoftirqiowaitidle

total0.9%0.0%27.4%0.0%0.0%0.2%71.2%

cpu001.9%0.0%19.4%0.0%0.0%0.0%78.6%

cpu010.0%0.0%33.0%0.0%0.0%0.0%66.9%

cpu021.9%0.0%22.3%0.0%0.0%0.9%74.7%

cpu030.0%0.0%35.2%0.0%0.0%0.0%64.7%

CPUstates显示用户模式，系统模式，优先级进程（只有优先级为负的列入考虑）和闲置等各种情况所占用CPU时间的百分比。

优先级进程所消耗的时间也被列入到用户和系统的时间中，所以总的百分比将大于100％。

Mem:

16214336kav,15682832kused,531504kfree,0kshrd,215016kbuff

10896844kactv,3379680kin_d,446432kin_c

Mem内存使用情况统计，其中包括总的可用内存，空闲内存，已用内存，共享内存和缓存所占内存的情况。

Swap:

10482404kav,0kused,10482404kfree14856500kcached

Swap交换空间统计，其中包括总的交换空间，可用交换空间，已用交换空间。

2.2df–h

df–h同样也是linux下面查看硬盘使用情况的命令，使用这个命令需要先进入专家模式

2.3free

注释：

以下举例说明

$free

            total      used      free    shared   buffers    cached

Mem:

        1002       769       232         0        62       421

-/+buffers/cache:

       286       715

Swap:

        1153         0      1153

第一部分Mem行:

total内存总数:

1002M

used已经使用的内存数:

769M

free空闲的内存数:

232M

shared当前已经废弃不用，总是0

buffersBuffer缓存内存数:

62M

cachedPage缓存内存数:

421M

关系：

total（1002M）=used（769M）+free（232M）

第二部分（-/+buffers/cache）:

（-buffers/cache）used内存数：

286M（指的第一部分Mem行中的used-buffers-cached）

（+buffers/cache）free内存数:

715M（指的第一部分Mem行中的free+buffers+cached）

可见-buffers/cache反映的是被程序实实在在吃掉的内存，而+buffers/cache反映的是可以挪用的内存总数。

第三部分是指交换分区,类似于Windows的虚拟内存。

第一部分（Mem）与第二部分（-/+buffers/cache）中used和free我们可以从二个方面来解释.

对操作系统来讲是Mem的参数.buffers/cached都是属于被使用,所以它认为free只有232.

对应用程序来讲是（-/+buffers/cach）.buffers/cached是等同可用的，因为buffer/cached是为了提高程序执行的性能，当程序使用内存时，buffer/cached会很快地被使用。

所以,以应用来看看,以（-/+buffers/cache）的free和used为主.所以我们看这个就好了.Linux为了提高磁盘和内存存取效率,Linux做了很多精心的设计,除了对dentry进行缓存（用于VFS,加速文件路径名到inode的转换）,还采取了两种主要Cache方式：

BufferCache和PageCache。

前者针对磁盘块的读写，后者针对文件inode的读写。

这些Cache能有效缩短了I/O系统调用（比如read,write,getdents）的时间。

三、HA相关命令

3.1cphaprobstat

这个命令可以查看HA设备的状态，如果是主备模式，那么设备之间的正常状态是Active/Standby；如果是Loadsharing模式，那么设备之间正常的状态是Active（Pivot,30%Load）和Active（70%Load）。

3.2cphaprob–aif

这个命令查看防火墙参与Cluster建立的接口信息以及虚拟的IP地址。

Secured接口即同步接口。

Multicast指的是CCP（checkpointclusterprotocol）采取的是组播方式，我们可以将其更改为采用广播方式。

3.3cphaconfset_ccpbroadcast

这个命令是将防火墙发送CCP协议的方式改成广播形式。

3.4cphaproblist

设备的Cluster状态与防火墙的几个关键组件（CriticalDevices）有关，如果这几个组件中某个状态异常，会导致cluster状态失败。

可以看到下图，在关键组件当前状态检查时，currentstate处状态都是ok，表明关键组件状态正常。

•Theclusterinterfacesontheclustermembers.

•Synchronization—fullsynchronizationcompletedsuccessfully.

•Filter—theSecurityPolicy,andwhetheritisloaded.

•cphad—whichfollowstheClusterXLprocesscalledcphamcset.

•fwd—theVPN-1daemon.

3.5cphastart/cphastop

用于停止cluster进程，而对防火墙进程没有影响。

3.6fwctlpstat

这个命令可以查看设备的当前活动连接数、最大连接数和HA同步状态是否正常。

如下图所示，Sync的状态显示为new，表明同步状态是正常的。

如果状态显示off则表明同步状态异常。

四、常用维护命令

4.1ver

查看Secureplatform的版本，包括补丁及小版本号

4.2fwver

查看防火墙的版本，包括补丁及小版本号

4.3查看防火墙UTM/POWER版本

输入sysconfig命令，然后选择10）ProductsInstallation,选择Next，Yes之后可以看到所安装的防火墙版本，如下图所示

4.4查看防火墙硬件型号

进入专家模式，执行命令/usr/sbin/dmidecode|more。

在handle0x0001字段下，UTM型号代码如下，如果使用PCServer，也可识别出硬件型号，如下图所示

4.5license查看和添加

使用cplic命令可以进行查看、添加license的操作

添加license时可以讲license通过tftp传输到防火墙上，放到当前目录后执行cplicput–llicense文件名，如下图所示

4.6ifconfig/ifconfig–a

ifconfig命令可以查看防火墙的接口信息，ifconfig–a则可以查看所有的接口信息

4.7mii-tool

在专家模式下面执行mii-tool命令可以查看接口线路连接情况

4.8ethtool

使用这个命令可以查看防火墙接口的相关属性，如下图所示，可以查看接口的全双工、带宽属性和线路是否连接等等。

还可以使用这个命令更改防火墙接口的全双工、带宽等的属性，使用命令方式为ethtool–sethXspeed10/100/1000|duplexfull/half|autonegon/off,这些参数可以全部选择配置，也可以只配置部分参数。

4.9cpstatfw

这个命令是查看防火墙的状态，使用方法和结果如下图所示，可以看到防火墙此时应用的策略包的名字，以及策略下发的时间，还可以查看一些接口的流量信息

4.10会话数查看

使用fwctlpstat这个命令可以看到防火墙此时的会话数情况，使用方法为直接在命令行中输入

输出的信息有很多，可以看到内存的使用情况，在最下面可以看到会话数和NAT的使用情况

这个地方显示的同步状态为off，因为没有做cluster，如果做了cluster形成HighAvailability，那么防火墙的同步状态就会显示为同步

五、日志查看命令

5.1fwlog

当输入fwlog命令后，会不断出现日志信息，在命令行下查看日志信息没有使用dashboard连接smartcenter服务器查看日志方便，在图形界面下可以有更多的选择。

想停止日志信息的滚动时，按下ctrl+c即可

如上图所示，日志信息的最前面是时间，之后就是产生的动作，然后是防火墙名，rule的序列号，rule的ID号，以及rule名，最后是详细的规则信息，产生的源、目标地址，协议和端口号等等信息

5.2fwlslogs

如下图所示，使用fwlogs命令可以查看防火墙的日志大小和日志名称

5.3fwlslogs–e

在上一个命令的后面空一格加上-e，就可以看到日志文件的创建时间和最后保存时间

5.4fwlogswitch

有的时候我们会将日志进行分类，比如说每个月进行一次日志分类，由于防火墙的日志文件是持续添加，那么就需要人为进行日志的切割，比如今天是11月的最后一天，那么我可以进行日志切割，此时使用命令。

使用命令后，会按照当时的日期时间自行创建日志文件

5.5导出日志文件

在将要保存日志文件的服务器上装上tftp服务器程序，然后在防火墙上登陆到专家模式，然后进入日志存放的目录，执行以下命令

tftp192.168.1.236（TFTP服务器的ip地址）

tftp>putfw.log（防火墙的日志文件名称）

六、防火墙的备份和恢复

6.1备份防火墙

防火墙的备份主要是备份接口配置信息和路由信心，因为策略是从smartcenter服务器上下发的。

备份防火墙常用的主要有以下两种方法：

6.2在IE中备份

进入ie界面，在device里面有一个backup命令，点击backup

之后出现以下界面，可以点击backupnow进行立即备份，也可以选择计划备份

备份文件可以存放到其他服务器上或者本机，选择对应的选项然后点击apply即可备份防火墙的配置

6.3在防火墙上备份

登陆防火墙后，执行backup命令，当系统询问是否继续时，输入”y”按回车。

防火墙的备份文件存放在以下目录中：

/var/CPbackup/backups,备份文件为tgz格式的压缩包文件

6.4恢复防火墙

登陆防火墙后，输入命令：

restore

之后会出现以下界面，根据选项前面的字母填写到yourchoice后

此时我们输入L，然后系统显示曾经备份过的文件，选择你想恢复的文件，输入文件前面的数字即可

此后系统会问你是否继续，选择”c”，接着防火墙会执行恢复操作

（注：

可编辑下载，若有不当之处，请指正，谢谢!

）