Checkpoint防火墙命令行维护手册.docx

1、Checkpoint防火墙命令行维护手册 Checkpoint防火墙命令行维护手册制订模版：NGX-R65版本号：V1.0 一、 基本配置命令 11.1 sysconfig 11.2 cpconfig 21.3 cpstop 31.4 cpstart 31.5 expert 31.6 idle 41.7 webui 41.8 脚本添加路由 4二、 查看系统状态 12.1 top 12.2 df h 22.3 free 2三、 HA相关命令 13.1 cphaprob stat 13.2 cphaprob a if 13.3 cphaconf set_ccp broadcast 13.4 cph

2、aprob list 23.5 cphastart/cphastop 33.6 fw ctl pstat 3四、 常用维护命令 14.1 ver 14.2 fw ver 14.3 查看防火墙UTM/POWER版本 14.4 查看防火墙硬件型号 14.5 license查看和添加 14.6 ifconfig/ifconfig a 14.7 mii-tool 14.8 ethtool 14.9 cpstat fw 24.10 会话数查看 1五、 日志查看命令 15.1 fw log 15.2 fw lslogs 15.3 fw lslogs e 15.4 fw logswitch 15.5 导出日

3、志文件 2六、 防火墙的备份和恢复 16.1 备份防火墙 16.2 在IE中备份 16.3 在防火墙上备份 26.4 恢复防火墙 2一、基本配置命令1.1sysconfig可以对系统进行配置和修改，比如主机名修改，DNS配置修改，以及路由的配置等，另外还可以配置DHCP功能，以及产品的安装等等如上图所示，在命令提示符输入：sysconfig，将会出现下图所列一些选项，在Your choice后面输入你想配置的选项前的数字，然后按回车可以看到，依次的选项为主机名，域名，域名服务，时间和日期，网络连接，路由，DHCP服务配置，DHCP中继配置，产品安装，产品配置等例如我们选择5，为防火墙新增一个接

4、口IP地址然后选择2，进行连接配置，也就是配置IP地址选择1进行IP地址配置更改如上图所示按照提示配置IP地址和子网掩码进行其他配置也如同上述操作，选择对应的编号然后按照提示进行配置1.2cpconfig可以对checkpoint防火墙进行相关的配置，如下图所示，也是按照列表的形式列出，分别是license，snmp，PKCS#11令牌，随机池，SIC，禁用cluster，禁用安全加速，产品自动启动常用的选项一般为SIC的配置，cluster功能模块的启用等；选择7是开启cluster功能模块；选择5是设置SIC。选择5，然后会提示你是否准备重新初始化通信，输入Y注意：重新配置SIC时，输入的

5、会话密钥是不会显示出来的。防火墙上的SIC重新配置了以后，管理服务器也就是SmartCenter服务器上面也要针对object重新设置SIC1.3cpstop 防火墙停止命令，使用这个命令后，防火墙的功能停止，但是secureplatform系统还是在运行。此命令在cluster环境中可以用来进行主防火墙和备防火墙切换1.4cpstart 防火墙启动命令，使用这个命令开启防火墙的功能1.5expert进入专家模式，在此模式下可以执行部分linux命令1.6idle 通过ssh工具连接防火墙时，默认的超时时间是10分钟，使用idle命令可以自定义超时时间，单位为分钟。1.7webuiWebui定

6、义的是防火墙IE管理界面登录使用的端口号，在防火墙安装的时候可以修改，默认是443端口。1.8脚本添加路由 路由条目可以在sysconfig命令下添加或者删除，也可以支持命令行方式添加删除路由条目。删除路由条目的命令如下所示二、查看系统状态2.1toptop这个命令其实是linux下面的命令，我们可以使用此命令查看防火墙的系统资源和运行时间。从下面的图中我们可以看到，防火墙的系统时间为20:59:15，状态为up，系统已经运行了2分21秒；还可以看到CPU和内存的使用情况注释：以下举例说明top命令显示的项目很多，默认值是每5秒更新一次。显示的各项目为：15:06:57 up 129 days

7、, 19:03, 5 users, load average: 1.21, 1.20, 1.25uptime 该项显示的是系统启动时间、已经运行的时间和三个平均负载值（最近1秒，5秒，15秒的负载值）。222 processes: 219 sleeping, 2 running, 1 zombie, 0 stoppedprocesses 自最近一次刷新以来的运行进程总数。这些进程被分为正在运行的，休眠的，停止的等很多种类。CPU states: cpu user nice system irq softirq iowait idle total 0.9% 0.0% 27.4% 0.0% 0.0

8、% 0.2% 71.2% cpu00 1.9% 0.0% 19.4% 0.0% 0.0% 0.0% 78.6% cpu01 0.0% 0.0% 33.0% 0.0% 0.0% 0.0% 66.9% cpu02 1.9% 0.0% 22.3% 0.0% 0.0% 0.9% 74.7% cpu03 0.0% 0.0% 35.2% 0.0% 0.0% 0.0% 64.7%CPU states 显示用户模式，系统模式，优先级进程（只有优先级为负的列入考虑）和闲置等各种情况所占用CPU时间的百分比。优先级进程所消耗的时间也被列入到用户和系统的时间中，所以总的百分比将大于100。Mem: 16214336

9、k av, 15682832k used, 531504k free, 0k shrd, 215016k buff 10896844k actv, 3379680k in_d, 446432k in_cMem 内存使用情况统计，其中包括总的可用内存，空闲内存，已用内存，共享内存和缓存所占内存的情况。Swap: 10482404k av, 0k used, 10482404k free 14856500k cachedSwap 交换空间统计，其中包括总的交换空间，可用交换空间，已用交换空间。2.2df hdf h同样也是linux下面查看硬盘使用情况的命令，使用这个命令需要先进入专家模式2.3f

10、ree注释：以下举例说明$free total used free shared buffers cachedMem: 1002 769 232 0 62 421-/+ buffers/cache: 286 715Swap: 1153 0 1153第一部分Mem行:total 内存总数: 1002Mused 已经使用的内存数: 769Mfree 空闲的内存数: 232Mshared 当前已经废弃不用，总是0buffers Buffer 缓存内存数: 62Mcached Page 缓存内存数:421M关系：total(1002M) = used(769M) + free(232M)第二部分(-/

11、+ buffers/cache):(-buffers/cache) used内存数：286M (指的第一部分Mem行中的used - buffers - cached)(+buffers/cache) free内存数: 715M (指的第一部分Mem行中的free + buffers + cached)可见-buffers/cache反映的是被程序实实在在吃掉的内存，而+buffers/cache反映的是可以挪用的内存总数。第三部分是指交换分区, 类似于Windows的虚拟内存。第一部分(Mem)与第二部分(-/+ buffers/cache)中used和free我们可以从二个方面来解释.对操

12、作系统来讲是Mem的参数.buffers/cached 都是属于被使用,所以它认为free只有232.对应用程序来讲是(-/+ buffers/cach).buffers/cached 是等同可用的，因为buffer/cached是为了提高程序执行的性能，当程序使用内存时，buffer/cached会很快地被使用。所以,以应用来看看,以(-/+ buffers/cache)的free和used为主.所以我们看这个就好了.Linux为了提高磁盘和内存存取效率, Linux做了很多精心的设计, 除了对dentry进行缓存(用于VFS,加速文件路径名到inode的转换), 还采取了两种主要Cache

13、方式：Buffer Cache和Page Cache。前者针对磁盘块的读写，后者针对文件inode的读写。这些Cache能有效缩短了 I/O系统调用(比如read,write,getdents)的时间。三、HA相关命令3.1cphaprob stat 这个命令可以查看HA设备的状态，如果是主备模式，那么设备之间的正常状态是Active/Standby；如果是Loadsharing模式，那么设备之间正常的状态是Active(Pivot,30% Load)和Active(70% Load)。3.2cphaprob a if 这个命令查看防火墙参与Cluster建立的接口信息以及虚拟的IP地址。Se

14、cured接口即同步接口。Multicast指的是CCP(checkpoint cluster protocol)采取的是组播方式，我们可以将其更改为采用广播方式。3.3cphaconf set_ccp broadcast这个命令是将防火墙发送CCP协议的方式改成广播形式。3.4cphaprob list设备的Cluster状态与防火墙的几个关键组件(Critical Devices)有关，如果这几个组件中某个状态异常，会导致cluster状态失败。可以看到下图，在关键组件当前状态检查时，current state处状态都是ok，表明关键组件状态正常。 The cluster interfac

15、es on the cluster members. Synchronizationfull synchronization completed successfully. Filterthe Security Policy, and whether it is loaded. cphadwhich follows the ClusterXL process called cphamcset. fwdthe VPN-1 daemon.3.5cphastart/cphastop用于停止cluster进程，而对防火墙进程没有影响。3.6fw ctl pstat这个命令可以查看设备的当前活动连接数、

16、最大连接数和HA同步状态是否正常。如下图所示，Sync的状态显示为new，表明同步状态是正常的。如果状态显示off则表明同步状态异常。四、常用维护命令4.1ver查看Secureplatform的版本，包括补丁及小版本号4.2fw ver 查看防火墙的版本，包括补丁及小版本号4.3查看防火墙UTM/POWER版本输入sysconfig命令，然后选择10) Products Installation,选择Next，Yes之后可以看到所安装的防火墙版本，如下图所示4.4查看防火墙硬件型号进入专家模式，执行命令/usr/sbin/dmidecode |more。在handle 0x0001字段下，U

17、TM型号代码如下，如果使用PC Server，也可识别出硬件型号，如下图所示4.5license查看和添加使用cplic命令可以进行查看、添加license的操作添加license时可以讲license通过tftp传输到防火墙上，放到当前目录后执行cplic put l license文件名，如下图所示4.6ifconfig/ifconfig a ifconfig命令可以查看防火墙的接口信息，ifconfig a则可以查看所有的接口信息4.7mii-tool 在专家模式下面执行mii-tool命令可以查看接口线路连接情况4.8ethtool 使用这个命令可以查看防火墙接口的相关属性，如下图所示

18、，可以查看接口的全双工、带宽属性和线路是否连接等等。还可以使用这个命令更改防火墙接口的全双工、带宽等的属性，使用命令方式为ethtool s ethX speed 10/100/1000 | duplex full/half | autoneg on/off,这些参数可以全部选择配置，也可以只配置部分参数。4.9cpstat fw 这个命令是查看防火墙的状态，使用方法和结果如下图所示，可以看到防火墙此时应用的策略包的名字，以及策略下发的时间，还可以查看一些接口的流量信息4.10会话数查看 使用fw ctl pstat这个命令可以看到防火墙此时的会话数情况，使用方法为直接在命令行中输入输出的信息

19、有很多，可以看到内存的使用情况，在最下面可以看到会话数和NAT的使用情况这个地方显示的同步状态为off，因为没有做cluster，如果做了cluster形成High Availability，那么防火墙的同步状态就会显示为同步五、日志查看命令5.1fw log 当输入fw log命令后，会不断出现日志信息，在命令行下查看日志信息没有使用dashboard连接smartcenter服务器查看日志方便，在图形界面下可以有更多的选择。想停止日志信息的滚动时，按下ctrl+c即可 如上图所示，日志信息的最前面是时间，之后就是产生的动作，然后是防火墙名，rule的序列号，rule的ID号，以及rule名

20、，最后是详细的规则信息，产生的源、目标地址，协议和端口号等等信息5.2fw lslogs 如下图所示，使用fw logs命令可以查看防火墙的日志大小和日志名称5.3fw lslogs e 在上一个命令的后面空一格加上-e，就可以看到日志文件的创建时间和最后保存时间5.4fw logswitch 有的时候我们会将日志进行分类，比如说每个月进行一次日志分类，由于防火墙的日志文件是持续添加，那么就需要人为进行日志的切割，比如今天是11月的最后一天，那么我可以进行日志切割，此时使用命令。使用命令后，会按照当时的日期时间自行创建日志文件5.5导出日志文件在将要保存日志文件的服务器上装上tftp服务器程序

21、，然后在防火墙上登陆到专家模式，然后进入日志存放的目录，执行以下命令tftp 192.168.1.236(TFTP服务器的ip地址)tftp put fw.log (防火墙的日志文件名称)六、防火墙的备份和恢复6.1备份防火墙防火墙的备份主要是备份接口配置信息和路由信心，因为策略是从smartcenter服务器上下发的。备份防火墙常用的主要有以下两种方法：6.2在IE中备份进入ie界面，在device里面有一个backup命令，点击backup之后出现以下界面，可以点击backup now进行立即备份，也可以选择计划备份备份文件可以存放到其他服务器上或者本机，选择对应的选项然后点击apply即可备份防火墙的配置6.3在防火墙上备份登陆防火墙后，执行backup命令，当系统询问是否继续时，输入”y”按回车。防火墙的备份文件存放在以下目录中：/var/CPbackup/backups,备份文件为tgz格式的压缩包文件6.4恢复防火墙 登陆防火墙后，输入命令：restore之后会出现以下界面，根据选项前面的字母填写到your choice后此时我们输入L，然后系统显示曾经备份过的文件，选择你想恢复的文件，输入文件前面的数字即可此后系统会问你是否继续，选择”c”，接着防火墙会执行恢复操作 （注：可编辑下载，若有不当之处，请指正，谢谢!）