Checkpoint防火墙命令行维护手册

Checkpoint 防火墙命令行维护手册 制订模版：NGX-R65 版本号：V1.0 目 录 一、基本配置命令.1 1.1SYSCONFIG.1 1.2CPCONFIG.2 1.3CPSTOP.3 1.4CPSTART.3 1.5EXPERT.3 1.6IDLE.4 1.7WEBUI.4 1.8脚本添加路由.4 二、查看系统状态.1 2.1TOP.1 2.2DF H.2 2.3FREE.2 三、HA 相关命令.1 3.1CPHAPROB STAT.1 3.2CPHAPROB A IF.1 3.3CPHACONF SET_CCP BROADCAST.1 3.4CPHAPROB LIST.2 3.5CPHASTART/CPHASTOP.3 3.6FW CTL PSTAT.3 四、常用维护命令.1 4.1VER.1 4.2FW VER.1 4.3查看防火墙 UTM/POWER 版本.1 4.4查看防火墙硬件型号.1 4.5LICENSE 查看和添加.1 4.6IFCONFIG/IFCONFIG A.1 4.7MII-TOOL.1 4.8ETHTOOL .1 4.9CPSTAT FW.2 4.10会话数查看.1 五、日志查看命令.1 5.1FW LOG.1 5.2FW LSLOGS.1 5.3FW LSLOGS E.1 5.4FW LOGSWITCH.1 5.5导出日志文件.2 六、防火墙的备份和恢复.1 6.1备份防火墙.1 6.2在 IE 中备份.1 6.3在防火墙上备份.2 6.4恢复防火墙.2 一、基本配置命令 1.1 sysconfig 可以对系统进行配置和修改，比如主机名修改，DNS 配置修改，以及路由的配置等， 另外还可以配置 DHCP 功能，以及产品的安装等等 如上图所示，在命令提示符输入：sysconfig，将会出现下图所列一些选项，在 Your choice 后面输入你想配置的选项前的数字，然后按回车 可以看到，依次的选项为主机名，域名，域名服务，时间和日期，网络连接，路由， DHCP 服务配置，DHCP 中继配置，产品安装，产品配置等 例如我们选择 5，为防火墙新增一个接口 IP 地址 然后选择 2，进行连接配置，也就是配置 IP 地址 选择 1 进行 IP 地址配置更改 如上图所示按照提示配置 IP 地址和子网掩码 进行其他配置也如同上述操作，选择对应的编号然后按照提示进行配置 1.2 cpconfig 可以对 checkpoint 防火墙进行相关的配置，如下图所示，也是按照列表的形式列出， 分别是 license，snmp，PKCS#11 令牌，随机池，SIC，禁用 cluster，禁用安全加速，产品 自动启动 常用的选项一般为 SIC 的配置，cluster 功能模块的启用等；选择 7 是开启 cluster 功能 模块；选择 5 是设置 SIC。 选择 5，然后会提示你是否准备重新初始化通信，输入 Y 注意：重新配置 SIC 时，输入的会话密钥是不会显示出来的。防火墙上的 SIC 重新配 置了以后，管理服务器也就是 SmartCenter 服务器上面也要针对 object 重新设置 SIC 1.3 cpstop 防火墙停止命令，使用这个命令后，防火墙的功能停止，但是 secureplatform 系统还 是在运行。此命令在 cluster 环境中可以用来进行主防火墙和备防火墙切换 1.4 cpstart 防火墙启动命令，使用这个命令开启防火墙的功能 1.5 expert 进入专家模式，在此模式下可以执行部分 linux 命令 1.6 idle 通过 ssh 工具连接防火墙时，默认的超时时间是 10 分钟，使用 idle 命令可以自定义超 时时间，单位为分钟。 1.7 webui Webui 定义的是防火墙 IE 管理界面登录使用的端口号，在防火墙安装的时候可以修改， 默认是 443 端口。 1.8 脚本添加路由 路由条目可以在 sysconfig 命令下添加或者删除，也可以支持命令行方式添加删除路由 条目。 删除路由条目的命令如下所示 二、查看系统状态 2.1 top top 这个命令其实是 linux 下面的命令，我们可以使用此命令查看防火墙的系统资源和 运行时间。从下面的图中我们可以看到，防火墙的系统时间为 20:59:15，状态为 up，系统 已经运行了 2 分 21 秒；还可以看到 CPU 和内存的使用情况 注释：以下举例说明 top 命令显示的项目很多，默认值是每 5 秒更新一次。显示的各项目为： 15:06:57 up 129 days, 19:03, 5 users, load average: 1.21, 1.20, 1.25 uptime 该项显示的是系统启动时间、已经运行的时间和三个平均负载值（最近 1 秒，5 秒， 15 秒的负载值） 。 222 processes: 219 sleeping, 2 running, 1 zombie, 0 stopped processes 自最近一次刷新以来的运行进程总数。这些进程被分为正在运行的，休眠的，停 止的等很多种类。 CPU states: cpu user nice system irq softirq iowait idle total 0.9% 0.0% 27.4% 0.0% 0.0% 0.2% 71.2% cpu00 1.9% 0.0% 19.4% 0.0% 0.0% 0.0% 78.6% cpu01 0.0% 0.0% 33.0% 0.0% 0.0% 0.0% 66.9% cpu02 1.9% 0.0% 22.3% 0.0% 0.0% 0.9% 74.7% cpu03 0.0% 0.0% 35.2% 0.0% 0.0% 0.0% 64.7% CPU states 显示用户模式，系统模式，优先级进程（只有优先级为负的列入考虑）和闲置 等各种情况所占用 CPU 时间的百分比。优先级进程所消耗的时间也被列入到用户和系统的 时间中，所以总的百分比将大于 100。 Mem: 16214336k av, 15682832k used, 531504k free, 0k shrd, 215016k buff 10896844k actv, 3379680k in_d, 446432k in_c Mem 内存使用情况统计，其中包括总的可用内存，空闲内存，已用内存，共享内存和缓 存所占内存的情况。 Swap: 10482404k av, 0k used, 10482404k free 14856500k cached Swap 交换空间统计，其中包括总的交换空间，可用交换空间，已用交换空间。 2.2 df h df h 同样也是 linux 下面查看硬盘使用情况的命令，使用这个命令需要先进入专家模式 2.3 free 注释：以下举例说明 $free total used free shared buffers cached Mem: 1002 769 232 0 62 421 -/+ buffers/cache: 286 715 Swap: 1153 0 1153 第一部分 Mem 行: total 内存总数: 1002M used 已经使用的内存数: 769M free 空闲的内存数: 232M shared 当前已经废弃不用，总是 0 buffers Buffer 缓存内存数: 62M cached Page 缓存内存数:421M 关系：total(1002M) = used(769M) + free(232M) 第二部分(-/+ buffers/cache): (-buffers/cache) used 内存数：286M (指的第一部分 Mem 行中的 used - buffers - cached) (+buffers/cache) free 内存数: 715M (指的第一部分 Mem 行中的 free + buffers + cached) 可见-buffers/cache 反映的是被程序实实在在吃掉的内存，而+buffers/cache 反映的是可 以挪用的内存总数。 第三部分是指交换分区, 类似于 Windows 的虚拟内存。 第一部分(Mem)与第二部分(-/+ buffers/cache)中 used 和 free 我们可以从二个方面来解 释. 对操作系统来讲是 Mem 的参数.buffers/cached 都是属于被使用,所以它认为 free 只有 232. 对应用程序来讲是(-/+ buffers/cach).buffers/cached 是等同可用的，因为 buffer/cached 是为了提高程序执行的性能，当程序使用内存时，buffer/cached 会很快地 被使用。 所以,以应用来看看,以(-/+ buffers/cache)的 free 和 used 为主.所以我们看这个就好了. Linux 为了提高磁盘和内存存取效率, Linux 做了很多精心的设计, 除了对 dentry 进行缓 存(用于 VFS,加速文件路径名到 inode 的转换), 还采取了两种主要 Cache 方式：Buffer Cache 和 Page Cache。前者针对磁盘块的读写，后者针对文件 inode 的读写。这些 Cache 能有效缩短了 I/O 系统调用(比如 read,write,getdents)的时间。 三、HA 相关命令 3.1 cphaprob stat 这个命令可以查看 HA 设备的状态，如果是主备模式，那么设备之间的正常状态是 Active/Standby；如果是 Loadsharing 模式，那么设备之间正常的状态是 Active(Pivot,30% Load)和 Active(70% Load)。 3.2 cphaprob a if 这个命令查看防火墙参与 Cluster 建立的接口信息以及虚拟的 IP 地址。Secured 接口即 同步接口。Multicast 指的是 CCP(checkpoint cluster protocol)采取的是组播方式，我们可以 将其更改为采用广播方式。 3.3cphaconf set_ccp broadcast 这个命令是将防火墙发送 CCP 协议的方式改成广播形式。 3.4 cphaprob list 设备的 Cluster 状态与防火墙的几个关键组件(Critical Devices)有关，如果这几个组件 中某个状态异常，会导致 cluster 状态失败。可以看到下图，在关键组件当前状态检查时， current state 处状态都是 ok，表明关键组件状态正常。 The cluster interfaces on the cluster members. Synchronizationfull synchronization completed successfully. Filterthe Security Policy, and whether it is loaded. cphadwhich follows the ClusterXL process called cphamcset. fwdthe VPN-1 daemon. 3.5 cphastart/cphastop 用于停止 cluster 进程，而对防火墙进程没有影响。 3.6 fw ctl pstat 这个命令可以查看设备的当前活动连接数、最大连接数和 HA 同步状态是否正常。如 下图所示，Sync 的状态显示为 new，表明同步状态是正常的。如果状态显示 off 则表明同 步状态异常。 四、常用维护命令 4.1 ver 查看 Secureplatform 的版本，包括补丁及小版本号 4.2 fw ver 查看防火墙的版本，包括补丁及小版本号 4.3 查看防火墙 UTM/POWER 版本 输入 sysconfig 命令，然后选择 10) Products Installation,选择 Next，Yes 之后可以看到 所安装的防火墙版本，如下图所示 4.4 查看防火墙硬件型号 进入专家模式，执行命令/usr/sbin/dmidecode |more。在 handle 0 x0001 字段下，UTM 型 号代码如下，如果使用 PC Server，也可识别出硬件型号，如下图所示 4.5 license 查看和添加 使用 cplic 命令可以进行查看、添加 license 的操作 添加 license 时可以讲 license 通过 tftp 传输到防火墙上，放到当前目录后执行 cplic put l license 文件名，如下图所示 4.6 ifconfig/ifconfig a ifconfig 命令可以查看防火墙的接口信息，ifconfig a 则可以查看所有的接口信息 4.7 mii-tool 在专家模式下面执行 mii-tool 命令可以查看接口线路连接情况 4.8 ethtool 使用这个命令可以查看防火墙接口的相关属性，如下图所示，可以查看接口的全双工、 带宽属性和线路是否连接等等。 还可以使用这个命令更改防火墙接口的全双工、带宽等的属性，使用命令方式为 ethtool s ethX speed 10/100/1000 | duplex full/half | autoneg on/off,这些参数可以全部选择配 置，也可以只配置部分参数。 4.9 cpstat fw 这个命令是查看防火墙的状态，使用方法和结果如下图所示，可以看到防火墙此时应 用的策略包的名字，以及策略下发的时间，还可以查看一些接口的流量信息 4.10会话数查看 使用 fw ctl pstat 这个命令可以看到防火墙此时的会话数情况，使用方法为直接在命令 行中输入 输出的信息有很多，可以看到内存的使用情况，在最下面可以看到会话数和 NAT 的使 用情况 这个地方显示的同步状态为 off，因为没有做 cluster，如果做了 cluster 形成 High Availability，那么防火墙的同步状态就会显示为同步 五、日志查看命令 5.1 fw log 当输入 fw log 命令后，会不断出现日志信息，在命令行下查看日志信息没有使用 dashboard 连接 smartcenter 服务器查看日志方便，在图形界面下可以有更多的选择。想停止 日志信息的滚动时，按下 ctrl+c 即可 如上图所示，日志信息的最前面是时间，之后就是产生的动作，然后是防火墙名，rule 的序列号，rule 的 ID 号，以及 rule 名，最后是详细的规则信息，产生的源、目标地址，协 议和端口号等等信息 5.2 fw lslogs 如下图所示，使用 fw logs 命令可以查看防火墙的日志大小和日志名称 5.3 fw lslogs e 在上一个命令的后面空一格加上-e，就可以看到日志文件的创建时间和最后保存时间 5.4 fw logswitch 有的时候我们会将日志进行分类，比如说每个月进行一次日志分类，由于防火墙的日 志文件是持续添加，那么就需要人为进行日志的切