Checkpoint防火墙命令行维护手册.doc

Checkpoint防火墙命令行维护手册 制订模版：NGX-R65 版本号：V1.0 目 录 一、 基本配置命令 1 1.1 sysconfig 1 1.2 cpconfig 2 1.3 cpstop 3 1.4 cpstart 3 1.5 expert 3 1.6 idle 4 1.7 webui 4 1.8 脚本添加路由 4 二、 查看系统状态 1 2.1 top 1 2.2 df –h 2 2.3 free 2 三、 HA相关命令 1 3.1 cphaprob stat 1 3.2 cphaprob –a if 1 3.3 cphaconf set_ccp broadcast 1 3.4 cphaprob list 2 3.5 cphastart/cphastop 3 3.6 fw ctl pstat 3 四、 常用维护命令 1 4.1 ver 1 4.2 fw ver 1 4.3 查看防火墙UTM/POWER版本 1 4.4 查看防火墙硬件型号 1 4.5 license查看和添加 1 4.6 ifconfig/ifconfig –a 1 4.7 mii-tool 1 4.8 ethtool 1 4.9 cpstat fw 2 4.10 会话数查看 1 五、 日志查看命令 1 5.1 fw log 1 5.2 fw lslogs 1 5.3 fw lslogs –e 1 5.4 fw logswitch 1 5.5 导出日志文件 2 六、 防火墙的备份和恢复 1 6.1 备份防火墙 1 6.2 在IE中备份 1 6.3 在防火墙上备份 2 6.4 恢复防火墙 2 基本配置命令 sysconfig 可以对系统进行配置和修改，比如主机名修改，DNS配置修改，以及路由的配置等，另外还可以配置DHCP功能，以及产品的安装等等 如上图所示，在命令提示符输入：sysconfig，将会出现下图所列一些选项，在Your choice后面输入你想配置的选项前的数字，然后按回车 可以看到，依次的选项为主机名，域名，域名服务，时间和日期，网络连接，路由，DHCP服务配置，DHCP中继配置，产品安装，产品配置等 例如我们选择5，为防火墙新增一个接口IP地址 然后选择2，进行连接配置，也就是配置IP地址 选择1进行IP地址配置更改 如上图所示按照提示配置IP地址和子网掩码 进行其他配置也如同上述操作，选择对应的编号然后按照提示进行配置 cpconfig 可以对checkpoint防火墙进行相关的配置，如下图所示，也是按照列表的形式列出，分别是license，snmp，PKCS#11令牌，随机池，SIC，禁用cluster，禁用安全加速，产品自动启动 常用的选项一般为SIC的配置，cluster功能模块的启用等；选择7是开启cluster功能模块；选择5是设置SIC。 选择5，然后会提示你是否准备重新初始化通信，输入Y 注意：重新配置SIC时，输入的会话密钥是不会显示出来的。防火墙上的SIC重新配置了以后，管理服务器也就是SmartCenter服务器上面也要针对object重新设置SIC cpstop 防火墙停止命令，使用这个命令后，防火墙的功能停止，但是secureplatform系统还是在运行。此命令在cluster环境中可以用来进行主防火墙和备防火墙切换 cpstart 防火墙启动命令，使用这个命令开启防火墙的功能 expert 进入专家模式，在此模式下可以执行部分linux命令 idle 通过ssh工具连接防火墙时，默认的超时时间是10分钟，使用idle命令可以自定义超时时间，单位为分钟。 webui Webui定义的是防火墙IE管理界面登录使用的端口号，在防火墙安装的时候可以修改，默认是443端口。 脚本添加路由 路由条目可以在sysconfig命令下添加或者删除，也可以支持命令行方式添加删除路由条目。 删除路由条目的命令如下所示 查看系统状态 top top这个命令其实是linux下面的命令，我们可以使用此命令查看防火墙的系统资源和运行时间。从下面的图中我们可以看到，防火墙的系统时间为20:59:15，状态为up，系统已经运行了2分21秒；还可以看到CPU和内存的使用情况 注释：以下举例说明 top命令显示的项目很多，默认值是每5秒更新一次。显示的各项目为： 15:06:57 up 129 days, 19:03, 5 users, load average: 1.21, 1.20, 1.25 uptime 该项显示的是系统启动时间、已经运行的时间和三个平均负载值（最近1秒，5秒，15秒的负载值）。 222 proces