Вы находитесь на странице: 1из 126

Интерфейс командной строки

R75.40VS
Справочное руководство

15 июля 2012 г.
© 2012 Check Point Software Technologies Ltd.

Все права защищены. Данное изделие и документация по нему охраняются авторским правом и
распространяются по лицензии с ограничением их использования, копирования, распространения и
декомпиляции. Воспроизведение любой части данного изделия и документации по нему в любой
форме и любыми средствами без предварительного письменного разрешения компании Check Point
запрещено. Хотя при подготовке этого материала были приняты все меры предосторожности,
компания Check Point не несет ответственности за ошибки и пропуски. Это издание и описываемые в
нем средства могут быть изменены без уведомления.

ИНФОРМАЦИЯ ОБ ОГРАНИЧЕНИИ ПРАВ:

Использование, размножение и разглашение государством осуществляется с ограничениями,


установленными п. (с)(1)(ii) статьи "Права на технические данные и компьютерное программное
обеспечение" приложения к Федеральному положению о военных закупках DFARS 252.227-7013 и
Постановления о федеральных закупках FAR 52.227-19.

ТОРГОВЫЕ ЗНАКИ:

Список наших торговых знаков см. на странице об авторском праве


(http://www.checkpoint.com/copyright.html).

Список соответствующих авторских прав и лицензий третьих лиц см. в уведомлениях об авторских
правах третьих лиц (http://www.checkpoint.com/3rd_party_copyright.html).
Важная информация
Последняя версия ПО
Мы рекомендуем установить самую последнюю версию ПО, чтобы иметь возможность пользоваться
последними функциональными улучшениями, исправлениями стабильности, улучшенными
средствами безопасности и защитой от новых и развивающихся атак.

Последняя версия документации


Последняя версия документации размещена на странице:
http://supportcontent.checkpoint.com/documentation_download?ID=16262

Для получения дополнительной технической информации посетите центр поддержки Check Point
(http://supportcenter.checkpoint.com).

Подробнее об этом издании см. на главной странице R75.40VS


(http://supportcontent.checkpoint.com/solutions?id=sk76540).

История изменений
Дата Описание

15 июля 2012 г. Первое издание этого документа

Обратная связь

Check Point ведет непрерывную работу над усовершенствованием своей документации.

Мы просим вас помочь нам, отправив свои комментарии


(mailto:cp_techpub_feedback@checkpoint.com?subject=Feedback on Command Line Interface R75.40VS
Reference Guide).
Оглавление
Важная информация ...................................................................................................................................... 3
Команды сервера управления безопасностью и брандмауэра ............................................................ 8
comp_init_policy ............................................................................................................................................ 9
cp_admin_convert ......................................................................................................................................... 9
cpca_client..................................................................................................................................................... 9
cpca_client create_cert ............................................................................................................................ 9
cpca_client revoke_cert .........................................................................................................................10
cpca_client lscert ....................................................................................................................................10
cpca_client set_mgmt_tools ...................................................................................................................10
cp_conf ........................................................................................................................................................11
cp_conf sic .............................................................................................................................................11
cp_conf admin ........................................................................................................................................11
cp_conf ca ..............................................................................................................................................11
cp_conf finger .........................................................................................................................................12
cp_conf lic ..............................................................................................................................................12
cp_conf client .........................................................................................................................................12
cp_conf ha ..............................................................................................................................................12
cp_conf snmp .........................................................................................................................................12
cp_conf auto ...........................................................................................................................................12
cp_conf sxl .............................................................................................................................................12
cpconfig .......................................................................................................................................................13
cpinfo ...........................................................................................................................................................13
cplic .............................................................................................................................................................14
cplic check ..............................................................................................................................................14
cplic db_add ...........................................................................................................................................15
cplic db_print ..........................................................................................................................................15
cplic db_rm .............................................................................................................................................16
cplic del ..................................................................................................................................................16
cplic del <имя объекта> ........................................................................................................................16
cplic get ..................................................................................................................................................17
cplic put ..................................................................................................................................................17
cplic print ................................................................................................................................................19
cplic upgrade ..........................................................................................................................................20
cp_merge.....................................................................................................................................................21
cp_merge delete_policy .........................................................................................................................21
cp_merge export_policy .........................................................................................................................22
cp_merge import_policy и cp_merge restore_policy .............................................................................22
cp_merge list_policy ...............................................................................................................................23
cppkg ...........................................................................................................................................................24
cppkg add ...............................................................................................................................................24
cppkg delete ...........................................................................................................................................25
cppkg get ................................................................................................................................................25
cppkg getroot ..........................................................................................................................................26
cppkg print ..............................................................................................................................................26
cppkg setroot ..........................................................................................................................................26
cpridrestart...................................................................................................................................................27
cpridstart ......................................................................................................................................................27
cpridstop ......................................................................................................................................................27
cprinstall ......................................................................................................................................................27
cprinstall boot .........................................................................................................................................27
cprinstall cpstart .....................................................................................................................................28
cprinstall cpstop......................................................................................................................................28
cprinstall get ...........................................................................................................................................28
cprinstall install .......................................................................................................................................29
cprinstall uninstall ...................................................................................................................................30
cprinstall verify........................................................................................................................................31
cprinstall snapshot ..................................................................................................................................32
cprinstall show ........................................................................................................................................32
cprinstall revert .......................................................................................................................................32
cprinstall transfer ....................................................................................................................................32
cpstart ..........................................................................................................................................................33
cpstat ...........................................................................................................................................................33
cpstop ..........................................................................................................................................................35
cpwd_admin ................................................................................................................................................35
cpwd_admin start ...................................................................................................................................35
cpwd_admin stop ...................................................................................................................................36
cpwd_admin list ......................................................................................................................................36
cpwd_admin exist ...................................................................................................................................37
cpwd_admin kill ......................................................................................................................................37
cpwd_admin config.................................................................................................................................37
disconnect_client .........................................................................................................................................38
dbedit ...........................................................................................................................................................39
dbver ............................................................................................................................................................41
dbver create ...........................................................................................................................................41
dbver export ...........................................................................................................................................41
dbver import ...........................................................................................................................................42
dbver print ..............................................................................................................................................42
dbver print_all .........................................................................................................................................43
dynamic_objects ..........................................................................................................................................43
fw .................................................................................................................................................................43
fw -i .........................................................................................................................................................43
fw ctl .......................................................................................................................................................44
fw ctl affinity ............................................................................................................................................46
fw ctl engine ...........................................................................................................................................48
fw ctl multik stat ......................................................................................................................................48
fw ctl sdstat .............................................................................................................................................49
fw fetch ...................................................................................................................................................50
fw fetchlogs ............................................................................................................................................50
fw hastat .................................................................................................................................................51
fw isp_link ...............................................................................................................................................51
fw kill .......................................................................................................................................................52
fw lea_notify ...........................................................................................................................................52
fw lichosts ...............................................................................................................................................52
fw log ......................................................................................................................................................52
fw logswitch ............................................................................................................................................55
fw mergefiles ..........................................................................................................................................56
fw monitor ...............................................................................................................................................56
fw lslogs ..................................................................................................................................................60
fw putkey ................................................................................................................................................61
fw repairlog .............................................................................................................................................61
fw sam ....................................................................................................................................................62
fw stat .....................................................................................................................................................65
fw tab ......................................................................................................................................................66
fw ver ......................................................................................................................................................67
fwm ..............................................................................................................................................................67
fwm dbimport ..........................................................................................................................................67
fwm expdate ...........................................................................................................................................69
fwm dbexport ..........................................................................................................................................69
fwm dbload .............................................................................................................................................70
fwm ikecrypt ...........................................................................................................................................71
fw getcap ................................................................................................................................................71
fwm load .................................................................................................................................................71
fwm lock_admin......................................................................................................................................72
fwm logexport .........................................................................................................................................72
fwm sic_reset .........................................................................................................................................74
fwm unload <targets> .............................................................................................................................74
fwm ver ...................................................................................................................................................74
fwm verify <имя-политики> ...................................................................................................................74
GeneratorApp ..............................................................................................................................................75
inet_alert ......................................................................................................................................................75
ldapcmd .......................................................................................................................................................77
ldapcompare ................................................................................................................................................77
ldapconvert ..................................................................................................................................................78
ldapmodify ...................................................................................................................................................80
ldapsearch ...................................................................................................................................................81
log_export ....................................................................................................................................................82
queryDB_util ................................................................................................................................................84
rs_db_tool ....................................................................................................................................................86
sam_alert .....................................................................................................................................................86
svr_webupload_config .................................................................................................................................87
Команды VPN ................................................................................................................................................. 88
Общий обзор ..............................................................................................................................................88
vpn crl_zap ..................................................................................................................................................88
vpn crlview ...................................................................................................................................................88
vpn debug ....................................................................................................................................................89
vpn drv .........................................................................................................................................................90
vpn export_p12 ............................................................................................................................................90
vpn macutil ..................................................................................................................................................91
vpn nssm_toplogy .......................................................................................................................................91
vpn overlap_encdom ...................................................................................................................................91
vpn sw_topology ..........................................................................................................................................92
vpn tu ...........................................................................................................................................................93
vpn ver .........................................................................................................................................................93
Команды SmartView Monitor ....................................................................................................................... 94
Общий обзор ..............................................................................................................................................94
rtm debug ....................................................................................................................................................94
rtm drv .........................................................................................................................................................94
rtm monitor <имя модуля>{<имя_интерфейса>|-filter "<комплексный фильтр>"} .................................95
rtm monitor <имя_модуля>-v<имя_виртуального_канала>........................................................................97
rtm rtmd .......................................................................................................................................................98
rtm stat.........................................................................................................................................................98
rtm ver .........................................................................................................................................................99
rtmstart ........................................................................................................................................................99
rtmstop.........................................................................................................................................................99
Команды SecureClient ................................................................................................................................ 100
Общий обзор ............................................................................................................................................100
scc connect................................................................................................................................................100
scc connectnowait .....................................................................................................................................101
scc disconnect ...........................................................................................................................................101
scc erasecreds ..........................................................................................................................................101
scc listprofiles ............................................................................................................................................101
scc numprofiles..........................................................................................................................................102
scc restartsc ..............................................................................................................................................102
scc passcert...............................................................................................................................................102
scc setmode <режим> ..............................................................................................................................102
scc setpolicy ..............................................................................................................................................102
scc sp ........................................................................................................................................................102
scc startsc..................................................................................................................................................103
scc status...................................................................................................................................................103
scc stopsc ..................................................................................................................................................103
scc suppressdialogs ..................................................................................................................................103
scc userpass..............................................................................................................................................103
scc ver .......................................................................................................................................................103
Команды ClusterXL ..................................................................................................................................... 104
cphaconf ....................................................................................................................................................104
cphaprob....................................................................................................................................................105
cphastart ....................................................................................................................................................105
cphastop ....................................................................................................................................................105
Команды Identity Awareness ..................................................................................................................... 106
Введение ..................................................................................................................................................106
pdp .............................................................................................................................................................107
pdp monitor ..........................................................................................................................................107
pdp connections ...................................................................................................................................108
pdp control ............................................................................................................................................109
pdp network ..........................................................................................................................................109
pdp debug ............................................................................................................................................110
pdp tracker ...........................................................................................................................................111
pdp status .............................................................................................................................................111
pdp update ...........................................................................................................................................112
pep .............................................................................................................................................................113
pep show ..............................................................................................................................................113
pep debug ............................................................................................................................................115
adlog ..........................................................................................................................................................116
adlog query...........................................................................................................................................116
adlog dc ................................................................................................................................................117
adlog statistics ......................................................................................................................................117
adlog debug ..........................................................................................................................................117
adlog control .........................................................................................................................................118
adlog service_accounts ........................................................................................................................118
test_ad_connectivity ..................................................................................................................................119
Команды IPS ................................................................................................................................................ 120
Общий обзор ............................................................................................................................................120
ips bypass stat ...........................................................................................................................................120
ips bypass on|off........................................................................................................................................120
ips bypass set ............................................................................................................................................121
ips debug ...................................................................................................................................................121
ips pmstats ................................................................................................................................................122
ips pmstats reset .......................................................................................................................................122
ips refreshcap ............................................................................................................................................122
ips stat .......................................................................................................................................................122
ips stats .....................................................................................................................................................123
Интерфейс командной строки других продуктов ................................................................................ 124
CLI-команды в других руководствах ......................................................................................................124
Алфавитный указатель ............................................................................................................................. 125
Глава 1
Команды сервера управления
безопасностью и брандмауэра
В этой главе

comp_init_policy 9
cp_admin_convert 9
cpca_client 9
cp_conf 11
cpconfig 13
cpinfo 13
cplic 14
cp_merge 21
cppkg 24
cpridrestart 27
cpridstart 27
cpridstop 27
cprinstall 27
cpstart 33
cpstat 33
cpstop 35
cpwd_admin 35
disconnect_client 38
dbedit 39
dbver 41
dynamic_objects 43
fw 43
fwm 67
GeneratorApp 75
inet_alert 75
ldapcmd 77
ldapcompare 77
ldapconvert 78
ldapmodify 80
ldapsearch 81
log_export 82
queryDB_util 84
rs_db_tool 86
sam_alert 86
svr_webupload_config 87

Интерфейс командной строки Справочное руководство R75.40VS | 8


Команды сервера управления безопасностью и брандмауэра

comp_init_policy
Описание Команда comp_init_policy предназначена для генерирования, загрузки или
удаления исходной политики.
Исходная политика обеспечивает защиту шлюза до установки администратором политики на шлюзе.
Использование $FWDIR/bin/comp_init_policy [-u | -g]
Синтаксис
Аргумент Описание

Удаляет текущую исходную политику и предотвращает ее


-u
генерирование в будущем при выполнении команды cpconfig.

Может использоваться в случае отсутствия исходной политики. Если


такая политика есть, после ее удаления обязательно удалите папку
$FWDIR\state\local\FW1\.
Генерирует исходную политику и обеспечивает ее загрузку при
следующем вызове политики (при выполнении команды cpstart, или
при следующей загрузке, или по команде fw fetch localhost).
-g После выполнения этой команды cpconfig будет добавлять
исходную политику при каждой необходимости.
Команда comp_init_policy -g работает только в случае
отсутствия предыдущей политики. Если вы выполните следующие
команды: comp_init_policy -g + fw fetch localhost
comp_init_policy -g + cpstart
comp_init_policy -g + reboot
Первоначальная политика по-прежнему будет загружаться.

cp_admin_convert
Описание Автоматический экспорт настроек администратора, созданных в cpconfig для
SmartDashboard.
Использование cp_admin_convert

cpca_client
Описание Эта команда и все ее производные предназначены для выполнения операций в
центре ICA.
Использование cpca_client

cpca_client create_cert
Описание Запрос в ICA на выдачу сертификата SIC для сервера управления безопасностью.
Использование cpca_client [-d] create_cert [-p <порт_ЦС>] -n "CN=<общее имя>" –f
<имя файла PKCS12>
Синтаксис
Параметр Описание

-d Флаг отладки

Интерфейс командной строки Справочное руководство R75.40VS | 9


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

Задает порт, используемый для подключения к ЦС (если


-p <порт_ЦС>
ЦС не был запущен с порта по умолчанию 18209)

-n "CN=<общее имя>" Задает общее имя

Задает имя файла, в котором сохранены сертификат и


-f <имя файла PKCS12>
ключи.

cpca_client revoke_cert
Описание Отмена сертификата, выданного центром ICA.
Использование cpca_client [-d] revoke_cert [-p <порт_ЦС>] -n "CN=<общее имя>"
Синтаксис
Аргумент Описание

-d Флаг отладки

Задает порт, используемый для подключения к ЦС


-p <порт_ЦС> (если ЦС не был запущен с порта по умолчанию
18209)

-n "CN=<общее имя>" Задает общее имя

cpca_client lscert
Описание Отображение всех сертификатов, выданных центром ICA.
Использование cpca_client [-d] lscert [-dn substr] [-stat
Pending|Valid|Revoked|Expired|Renewed] [-kind SIC|IKE|User|LDAP] [-ser ser]
[-dp dp]
Синтаксис
Параметр Описание

-d Флаг отладки

Фильтрует результаты по различимому имени, указанному в


-dn substring
этой подстроке

-stat Фильтрует результаты по этому состоянию

Фильтрует результаты по определенному виду: SIC, IKE,


-kind
User (Пользователь) или LDAP

-ser number Фильтрует результаты по этому серийному номеру

-dp number Фильтрует результаты по этому CDP

cpca_client set_mgmt_tools
Описание Запуск или остановка инструмента управления ICA.

Интерфейс командной строки Справочное руководство R75.40VS | 10


Команды сервера управления безопасностью и брандмауэра

Использование cpca_client [-d] set_mgmt_tools on|off [-p <порт_ЦС>]


[-no_ssl] [-a|-u "имя администратора|имя пользователя" -a|-u "имя
администратора|имя пользователя" ... ]

Синтаксис
Параметр Описание

-d Флаг отладки

on — запуск инструмента управления ICA


set_mgmt_tools on|off
off — остановка инструмента управления ICA
Задает порт, используемый для подключения к ЦС
-p <порт_ЦС> (если соответствующий сервис не был запущен с
порта по умолчанию 18265)

Настраивает сервер на использование простого http


-no_ssl
вместо https

Задает различимые имена администратора или


-a|-u"имя администратора|имя
пользователя, которым разрешено использовать
пользователя"
инструмент управления ICA

Комментарии
1. Если команда выполняется без -a или -u, список разрешенных пользователей и
администраторов не меняется. Сервер может быть остановлен или запущен с ранее
настроенными разрешенными пользователями и администраторами.
2. В случае инициирования двух последовательных операций запуска инструмент управления ISA
не будет отвечать, если вы не измените режим SSL. После изменения режима SSL сервер
может быть остановлен и перезапущен.

cp_conf
Описание Настройка/перенастройка установки шлюза безопасности. Имеющиеся опции
настройки любой машины зависят от установленной конфигурации и продуктов.
Использование cp_conf

cp_conf sic
Описание Позволяет пользователю управлять SIC.
Использование cp_conf sic state # Получить текущий статус доверия
cp_conf sic init <Ключ активации> [norestart] # Инициализировать SIC)
cp_conf sic cert_pull <Имя/IP сервера управления безопасностью> <имя объекта
модуля>
# Извлечь сертификат (Только DAIP)

cp_conf admin
Описание Управление администраторами Check Point.
Использование cp_conf admin get # Получить список администраторов.
cp_conf admin add <пользователь> <пароль> <разрешения> # Добавить администратора
с разрешениями:
w — чтение/запись
r — только чтение
cp_conf admin del <админ1> <админ2>... # Удалить администраторов.

cp_conf ca
Описание Инициализация центра сертификации
Интерфейс командной строки Справочное руководство R75.40VS | 11
Команды сервера управления безопасностью и брандмауэра

Использование cp_conf ca init # Инициализирует внутренний ЦС.


cp_conf ca fqdn <имя> # Задает имя внутреннего ЦС.

cp_conf finger
Описание Отображает отпечаток, используемый при первом запуске для проверки идентичности
сервера управления безопасностью, к которому осуществляется доступ со SmartConsole. Отпечаток
представляет собой текстовую строку, извлеченную из сертификата сервера управления
безопасностью
Использование cp_conf finger get # Получить отпечаток сертификата.

cp_conf lic
Описание Позволяет администратору добавить лицензию вручную и просмотреть
установленную лицензию.
Использование cp_conf lic get # Получить установленные лицензии.
cp_conf lic add -f <имя файла> # Добавить лицензию из файла.
cp_conf lic add -m <Хост> <Дата> <Ключ подписи> <SKU/Элементы> # Добавить
лицензии вручную.
cp_conf lic del <Ключ подписи> # Удалить лицензию.

cp_conf client
Описание Управление клиентами графического пользовательского интерфейса (GUI), которым
разрешено подключаться к серверу управления безопасностью.
Использование cp_conf client get # Получить список клиентов GUI cp_conf client
add < Клиент GUI > # Добавить клиент GUI
cp_conf client del < Клиент GUI 1> < Клиент GUI 2>... # Удалить клиенты GUI
cp_conf client del < Клиент GUI 1> < Клиент GUI 2>... # Создать новый список.

cp_conf ha
Описание Активация или деактивация High Availability (Высокая доступность).
Использование cp_conf ha enable/disable [norestart] # Активация/деактивация
HA\n",

cp_conf snmp
Описание Активация или деактивация SNMP.
Использование cp_conf snmp get # Получить статус расширения SNMP.
cp_conf snmp activate/deactivate [norestart] # Деактивировать расширение SNMP.

cp_conf auto
Описание Активация или деактивация автоматического запуска шлюза безопасности/сервера
управления безопасностью после перезапуска машины.
Использование cp_conf auto get [fw1] [fg1] [rm] [all] # Получить автоматический
статус продуктов. cp_conf auto <enable|disable> <продукт1> <продукт2>... #
Активировать/деактивировать автоматический запуск.

cp_conf sxl
Описание Активация или деактивация аппаратного ускорения SecureXL.
Использование cp_conf sxl <enable|disable> # Активировать/деактивировать
SecureXL.

Интерфейс командной строки Справочное руководство R75.40VS | 12


Команды сервера управления безопасностью и брандмауэра

cpconfig
Описание Запуск версии командной строки инструмента конфигурирования Check Point. Этот
инструмент предназначен для конфигурирования установленного продукта Check Point. Отображаемые
опции зависят от установленной конфигурации и продуктов. Среди прочего в число этих опций входят:
Licenses and contracts (Лицензии и контракты) — изменение необходимых лицензий и
контрактов Check Point.
Administrator (Администратор) — изменение администратора, которому разрешено
подключаться к серверу управления безопасностью.
GUI Clients (Клиенты GUI) — изменение списка машин — клиентов SmartConsole, с которых
администраторам разрешено подключаться к серверу управления безопасностью.
SNMP Extension (Расширение SNMP) — настройка демона SNMP. Демон SNMP позволяет
платформе SecurePlatform экспортировать ее состояние в инструменты управления внешними
сетями.
PKCS #11 Token (Ключ PKCS № 11) — регистрация криптографического ключа для
использования платформой SecurePlatform, просмотр данных ключа и проверка его
функциональности.
Random Pool (Случайный пул) — настройка ключей RSA, которые будут использоваться
платформой SecurePlatform.
Certificate Authority (Центр сертификации) — установка центра сертификации на сервер
управления безопасностью в случае новой установки.
Secure Internal Communication (Защищенная внутренняя связь) — установка доверия между
шлюзом, на котором выполняется эта команда, и сервером управления безопасностью.
Certificate's Fingerprint (Отпечаток сертификата) — отображение отпечатка, используемого при
первом запуске для проверки идентичности сервера управления безопасностью, к которому
осуществляется доступ со SmartConsole. Этот отпечаток представляет собой текстовую строку,
извлеченную из сертификата сервера управления безопасностью
Automatic Start of Check Point Products (Автоматический запуск продуктов Check Point) —
настройка автоматического запуска шлюзов безопасности Check Point во время загрузки.
Использование cpconfig
Дополнительная информация. См. "Руководство по установке и обновлению R75.40VS"
(http://supportcontent.checkpoint.com/solutions?id=sk76540).

cpinfo
Описание - CPinfo — это утилита, осуществляющая сбор данных на машине в момент выполнения.
Файл вывода CPinfo позволяет инженерам службы поддержки Check Point выполнять удаленный
анализ настроек. Инженеры могут открыть файл CPinfo в деморежиме, одновременно просматривая
реальные политики безопасности и объекты. Это дает возможность тщательного анализа всех опций
конфигурации и настроек среды.
Использование - cpinfo [-v] [-l] [-n] [-o ] [-r | -t [имя таблицы]] [-c Domain
Management Server ... | -x vs]
Синтаксис
Параметр Описание

-z Архивирование вывода в формате gzip (действует вместе с опцией -o)

-r Включает реестр в вывод (Windows — очень большой вывод)

-v Выводит на печать информацию о версии

-l Вкладывает записи журналов (очень большой вывод)

-n Не преобразует сетевые адреса (быстрее)

Интерфейс командной строки Справочное руководство R75.40VS | 13


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

-o Вывод в файл и на экран

-t Вывод состоит только из таблиц (только SR)

Получить информацию об указанном сервере управления доменом


-c
(мультидоменная среда управления безопасностью)

-x Получить информацию об указанных VS (VSX)

Дополнительная информация. Решение SecureKnowledge sk30567


(http://supportcontent.checkpoint.com/solutions?id=sk30567)

cplic
Команда cplic и все ее производные относятся к управлению лицензиями Check Point.

Примечание: рекомендуемым способом управления лицензиями является графический


пользовательский интерфейс SmartUpdate.
Все команды cplic расположены в $CPDIR/bin. Управление лицензиями поделено на три типа
команд:
Команды локального лицензирования выполняются на локальных машинах.
Команды удаленного лицензирования — это команды, которые влияют на удаленные машины и
выполняются на сервере управления безопасностью.
Команды репозитория лицензий выполняются на сервере управления безопасностью.

cplic check
Описание С помощью этой команды вы отмечаете, будет ли разрешено использование данного
элемента лицензией на локальной машине.
Использование cplic check [-p <имя продукта>] [-v <версия продукта>] [-c count]
[-t <дата>] [-r routers] [-S SRusers] <элемент>
Синтаксис
Аргумент Описание

Продукт, по которому запрашивается информация о


-p <имя продукта>
лицензии. Например, fw1, netso

Версия продукта, по которому запрашивается


-v <версия продукта>
информация о лицензии

Вывод количества лицензий, подключенных к этому


-c count
элементу

Проверка состояния лицензии в будущем. Дата


указывается в формате ддмммгггг. Тот или иной
-t <дата>
элемент может быть действительный в указанную дату
по одной лицензии, но недействительный по другой

Проверка количества разрешенных маршрутизаторов.


-r routers
Опция "элемент" не нужна

Проверка количества разрешенных пользователей


-S SRusers
SecuRemote. Опция "элемент" не нужна

<элемент>, по которому запрашивается информация


<элемент>
о лицензии

Интерфейс командной строки Справочное руководство R75.40VS | 14


Команды сервера управления безопасностью и брандмауэра

cplic db_add
Описание Используется для добавления одной или нескольких лицензий в репозиторий
лицензий на сервере управления безопасностью. При добавлении локальной лицензии в репозиторий
лицензий она автоматически прикрепляется к нужному шлюзу Check Point, центральные же лицензии
должны пройти процедуру прикрепления.
Эта команда относится к командам репозитория лицензий, и ее можно выполнять только на сервере
управления безопасностью.
Использование cplic db_add < -l файл-лицензии | хост срок-действия подпись
SKU/элементы >
Синтаксис
Аргумент Описание

-l файл-лицензии Добавляет лицензию(-и) из файла лицензий. Использование


следующих опций НЕ требуется:
Хост Срок-действия Подпись SKU/элемент

Комментарии Скопируйте/вставьте следующие параметры из лицензии, полученной из


пользовательского центра. Можно добавить несколько лицензий.
хост — имя или IP-адрес целевого хоста.
срок действия — срок окончания действия лицензии.
подпись — строка подписи лицензии. Пример:
aa6uwknDc-CE6CRtjhv-zipoVWSnm-z98N7Ck3m (Регистр имеет значение. Черточки
использовать необязательно.)
SKU/элементы — SKU лицензии содержит сводку элементов, на которые распространяется
лицензия. Пример: CPSUITE-EVAL-3DES-vNG
Пример Если файл 192.0.2.11.lic содержит одну или несколько лицензий, вывод команды
cplic db_add -l 192.0.2.11.lic будет иметь вид, аналогичный следующему:

cplic db_print
Описание Отображает данные лицензий Check Point, которые хранятся в репозитории на
сервере управления безопасностью.
Использование cplic db_print <имя объекта | -all> [-n noheader] [-x print
signatures] [-t type] [-a attached]
Синтаксис
Аргумент Описание

Печать лицензий, прикрепленных к имени объекта. Имя


объекта — это имя объекта — шлюза безопасности
Имя объекта Check Point, заданное на панели инструментов
SmartDashboard.

Интерфейс командной строки Справочное руководство R75.40VS | 15


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

-all Печать всех лицензий в репозитории лицензий

-noheader (или
Печать лицензий без заголовка.
-n)

-x Печать лицензий c их подписью

Печать лицензий c указанием их типа: центральная или


-t (или -type)
локальная.

-a (или - Отображение объекта, к которому прикреплена лицензия.


attached) Целесообразно использовать, если указана опция -all.

Комментарии Эта команда относится к командам репозитория лицензий, и ее можно выполнять


только на сервере управления безопасностью.

cplic db_rm
Описание Команда cplic db_rm удаляет лицензию из репозитория лицензий на сервере
управления безопасности. Ее можно выполнять ТОЛЬКО после открепления лицензии с помощью
команды cplic del. Когда лицензия удалена из репозитория, ее больше нельзя использовать.
Использование cplic db_rm <подпись>
Синтаксис
Аргумент Описание

Signature Строка подписи в лицензии.

Пример cplic db_rm 2f540abb-d3bcb001-7e54513e-kfyigpwn


Комментарии Эта команда относится к командам репозитория лицензий, и ее можно выполнять
только на сервере управления безопасностью.

cplic del
Описание Удаление единственной лицензии Check Point на хосте, включая ненужную пробную
лицензию, лицензию с истекшим сроком действия и другие. Используется как для локальных, так и
для удаленных машин
Использование cplic del [-F <файл вывода>] <подпись> <имя объекта>
Синтаксис
Аргумент Описание

-F <файл вывода> Вывод не на экран, а в <файл вывода>.

<подпись> Строка подписи в лицензии.

cplic del <имя объекта>


Описание Открепление центральной лицензии от шлюза Check Point. При выполнении этой
команды происходит автоматическое обновление репозитория лицензий. Центральная лицензия
остается в репозитории как неприкрепленная. Эту команду можно выполнять только на сервере
управления безопасностью.

Интерфейс командной строки Справочное руководство R75.40VS | 16


Команды сервера управления безопасностью и брандмауэра

Использование cplic del <Имя объекта> [-F файл вывода] [-ip динамический ip]
<Подпись>
Синтаксис
Аргумент Описание

Имя объекта — шлюза безопасности Check Point,


object name
заданное на панели инструментов SmartDashboard.

Перенаправление вывода в файл вывода вместо вывода


-F файл вывода
на экран.

Удаление лицензии на шлюзе безопасности Check Point c


определенным IP-адресом. Этот параметр используется
-ip динамический для удаления лицензии на шлюзе безопасности DAIP
ip Check Point
Примечание: если используется этот параметр, то объект
должен называться шлюзом DAIP.

Signature Строка подписи в лицензии.

Комментарии Эта команда относится к командам удаленного лицензирования, которые влияют на


удаленные машины и выполняются на сервере управления безопасностью.

cplic get
Описание Команда cplic get извлекает все лицензии со шлюза безопасности Check Point (или
со всех шлюзов Check Point) в репозиторий лицензий на сервере управления безопасностью. Это
делается для синхронизации репозитории со шлюзом(-ами) Check Point. При выполнении команды
будут обновлены все локальные изменения.
Использование cplic get <ip-адрес | имя хоста | -all> [-v41]
Синтаксис
Аргумент Описание

IP-адрес шлюза безопасности Check Point, с которого извлекаются


ip-адрес
лицензии.

Имя объекта — шлюза безопасности Check Point (заданное на панели


имя хоста
инструментов SmartDashboard), с которого извлекаются лицензии.

-all Извлечение лицензий со всех шлюзов Check Point в управляемой сети.

Извлечение лицензий версии 4.1 со шлюза NF Check Point. Используется


-v41
для обновления лицензий версии 4.1.

Пример Если шлюз безопасности Check Point с именем объекта caruso содержит 4
локальных лицензии, а репозиторий лицензий содержит 2 другие локальных лицензии, вывод
команды: cplic get caruso имеет вид, подобный следующему:
Извлечь 4 лицензии.
Извлечь 2 лицензии.
Комментарии Эта команда относится к командам удаленного лицензирования, которые влияют на
удаленные машины и выполняются на сервере управления безопасностью.

cplic put
Описание Установка одной или нескольких локальных лицензий на локальной машине.

Интерфейс командной строки Справочное руководство R75.40VS | 17


Команды сервера управления безопасностью и брандмауэра

Использование cplic put [-o overwrite] [-c check-only] [-s select] [-F <файл
вывода>] [-P Pre-boot] [-k kernel-only] <-l файл лицензий | хост срок действия
подпись SKU/элемент>
Синтаксис
Аргумент Описание

На сервере управления безопасностью это приведет к стиранию всех


-overwrite существующих лицензий и их замене одной или несколькими новыми
лицензиями. На шлюзе безопасности Check Point это приведет к
(или -o)
стиранию только локальных лицензий, но не центральных лицензий,
установленных удаленно.

-check-only Проверка лицензии. Проверяет, совпадает ли IP лицензии с IP машины


(или -c) и действительна ли подпись

select Выбор только локальных лицензий, IP-адрес которых совпадает с IP-


(или -s) адресом машины.

-F файл вывода Вывод результата команды не на экран, а в указанный файл.

-Preboot Эту опцию следует использовать после обновления и до перезагрузки


машины. Ее использование позволяет предотвратить некоторые
(или -P)
сообщения об ошибках.

-kernel-only Помещение текущих действительных лицензий в ядро. Только для


(или -k) использования службой поддержки.

Устанавливает лицензию(-и) в файл лицензий, который может


-l файл лицензий содержать несколько лицензий. Использование следующих опций НЕ
требуется: хост срок-действия подпись SKU/элементы

Комментарии Скопируйте и вставьте следующие параметры из лицензии, полученной из


пользовательского центра.
хост — один из следующих:
All platforms (Все платформы) — IP-адрес внешнего интерфейса (в записи через точку); последняя
часть не может быть равна 0 или 255.
Solaris2 — ответ на команду hostid (начинается с 0x).
срок действия — срок окончания действия лицензии. Может иметь значение never
(никогда).
подпись — строка подписи лицензии. Пример:
aa6uwknDc-CE6CRtjhv-zipoVWSnm-z98N7Ck3m (Регистр имеет значение. Черточки
использовать необязательно.)
SKU/элементы — строка с указанием SKU и ключа сертификата лицензии. SKU лицензии
представляет собой сводку элементов, на которые распространяется лицензия. Пример: CPMP-
EVAL-1-3DES-NG CK0123456789ab
Пример Вывод команды cplic put -l 215.153.142.130.lic имеет вид, подобный
следующему:

cplic put <имя объекта> ...


Описание Команда cplic put предназначена для удаленного прикрепления одной или
нескольких центральных или локальных лицензий. При выполнении этой команды также происходит
обновление репозитория лицензий.

Интерфейс командной строки Справочное руководство R75.40VS | 18


Команды сервера управления безопасностью и брандмауэра

Использование cplic put <имя объекта> [-ip динамический ip] [-F <файл вывода>] <
-l файл-лицензий | хост срок-действия подпись SKU/элементы >

Аргумент Описание

Имя объекта — шлюза безопасности Check Point, заданное на


имя объекта
панели инструментов SmartDashboard.

Установка лицензии на шлюзе безопасности Check Point c


определенным IP-адресом. Этот параметр используется для
-ip динамический ip установки лицензии на шлюзе DAIP Check Point.
ПРИМЕЧАНИЕ: Примечание: если используется этот параметр,
то объект должен называться шлюзом DAIP Check Point.

Перенаправление вывода в файл вывода вместо вывода на


-F файл вывода
экран.

Устанавливает лицензию(-и) из файла лицензий.


-l файл-лицензий Использование следующих опций НЕ требуется:
хост срок-действия подпись SKU/элементы

Комментарии Эта команда относится к командам удаленного лицензирования, которые влияют на


удаленные машины и выполняются на сервере управления безопасностью.
Скопируйте и вставьте следующие параметры из лицензии, полученной из пользовательского центра.
Можно прикрепить несколько лицензий.
хост — имя или IP-адрес целевого хоста.
срок действия — срок окончания действия лицензии. Может иметь значение never
(никогда).
подпись — строка подписи лицензии. Пример:
aa6uwknDc-CE6CRtjhv-zipoVWSnm-z98N7Ck3m (Регистр имеет значение. Черточки
использовать необязательно)
SKU/элементы — строка с указанием SKU и ключа сертификата лицензии. SKU лицензии
представляет собой сводку элементов, на которые распространяется лицензия. Пример: CPMP-
EVAL-1-3DES-NG CK0123456789ab

cplic print
Описание Команда cplic print (расположенная в $CPDIR/bin) выводит на печать данные
лицензий Check Point на локальной машине.
Использование cplic print [-n noheader][-x prints signatures][-t type][-F <файл
вывода>] [-p preatures]
Синтаксис
Аргумент Описание

-noheader (или -n) Печать лицензий без заголовка.

-x Печать лицензий c их подписью

Печать лицензий c указанием их типа:


-type (или -t)
центральная или локальная.

-F <outputfile>
Перенаправление вывода в файл вывода.
(<файл вывода>)

Интерфейс командной строки Справочное руководство R75.40VS | 19


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

Печать лицензий, преобразуемых в простые


-preatures (или -p)
элементы.

Комментарии На шлюзе Check Point по этой команде будут выведены на печать все лицензии,
установленные на локальной машине: как локальные, так и центральные.

cplic upgrade
Описание Команда cplic upgrade используется для обновления лицензий в репозитории
лицензий с использованием лицензий, содержащихся в файле лицензий, полученном из
пользовательского центра.
Использование cplic upgrade <–l входной файл>
Синтаксис
Аргумент Описание

Обновляет лицензии в репозитории лицензий и на


–l входной
шлюзах Check Point в соответствии с лицензиями,
файл
содержащимися во <входном файле>

Пример В следующем примере рассматривается процедура, выполняемая с целью


обновления лицензий в репозитории лицензий.
Обновите сервер управления безопасностью, установив последнюю версию.
Проверьте возможность соединения между сервером управления безопасностью и шлюзами
безопасности с продуктами предыдущей версии.
Импортируйте все лицензии в репозитории лицензий. Это можно сделать и после обновления
продуктов на удаленных шлюзах.
Выполните команду: cplic get –all. Пример:

Чтобы увидеть все лицензии в репозитории, выполните команду cplic db_print -all –a

В пользовательском центре (http://usercenter.checkpoint.com) посмотрите лицензии на продукты,


которые были обновлены с переходом от версии NGX на программные блейды и создайте новые
обновленные лицензии.
Загрузите файл, содержащий обновленные лицензии. Загрузите только лицензии на продукты,
которые были обновлены с переходом от версии NGX на программные блейды.
Интерфейс командной строки Справочное руководство R75.40VS | 20
Команды сервера управления безопасностью и брандмауэра

Если вы не импортировали лицензии на версию NGX в репозиторий, импортируйте лицензии на


версию NGX сейчас с использованием команды cplic get -all
Выполните команду обновления лицензий: cplic upgrade –l <входной файл>
- Лицензии в загруженном файле лицензий будут сравнены с лицензиями в репозитории
лицензий.
- При совпадении ключей сертификатов и элементов старые лицензии в репозитории и на
удаленных шлюзах безопасности будут обновлены с заменой на новые.
- Отчет с результатами обновления лицензий будет распечатан.
В приведенном примере в файле содержится две лицензии на программные блейды. Одна не
совпадает ни с одной лицензией на удаленном шлюзе безопасности, а другая совпадает с
лицензией на версию NGX на шлюзе безопасности, которая должна быть обновлена:
Комментарии Эта команда относится к командам удаленного лицензирования, которые влияют на
удаленные шлюзы безопасности и выполняются на сервере управления безопасностью.
Дополнительная информация. См. главу SmartUpdate в "Руководство по установке и
обновлению R75.40VS" (http://supportcontent.checkpoint.com/solutions?id=sk76540).

cp_merge
Описание Утилита cp_merge выполняет две основные функции:
экспорт и импорт пакетов политик.
Слияние объектов из указанного файла в базу данных сервера управления безопасностью.
Использование cp_merge help
Синтаксис
Аргумент Описание

Отображает использование
help
команды cp_merge.

cp_merge delete_policy
Описание Обеспечивает опции удаления существующего пакета политики. Обратите внимание,
что политику по умолчанию можно удалить действием удаления.
Использование cp_merge delete_policy [-s <сервер базы данных>] [-u
<пользователь> | -c <файл сертификата>] [-p <пароль>] -n <имя пакета>
Синтаксис
Аргумент Описание

-s <сервер базы данных> Укажите IP-адрес сервера базы данных или имя DNS.2

-u <пользователь> Имя администратора.1,2

-c <файл сертификата> Путь к файлу сертификата.1

-p <пароль> Пароль администратора.1

-n <имя пакета политики> Экспортируемый пакет политики.2,3

Комментарии Прочая информация к рассмотрению:

Интерфейс командной строки Справочное руководство R75.40VS | 21


Команды сервера управления безопасностью и брандмауэра

1. Используйте либо файл сертификата, либо пользователя и пароль.


2. Необязательно.
Пример Удалить политику под именем standard.
cp_merge delete_policy -n Standard

cp_merge export_policy
Описание Позволяет либо оставить пакет политики в активном репозитории, либо удалить его в
рамках экспорта. Политику по умолчанию нельзя удалить при выполнении действия экспорта.
Использование cp_merge export_policy [-s <сервер базы данных>] [-u
<пользователь> | -c <файл сертификата>] [-p <пароль>][-n <имя пакета политики> |
-l <имя политики>] [-d <директория вывода>] [-f <файл вывода>] [-r]
Синтаксис
Аргумент Описание

Укажите IP-адрес сервера базы данных или имя


-s <сервер базы данных>
DNS.2

-u <пользователь> Имя администратора базы данных.1

-c <файл сертификата> Путь к файлу сертификата.1

-p <пароль> Пароль администратора.1

-n <имя пакета политики> Экспортируемый пакет политики.2,3

Экспорт пакета политики, в котором содержится


-l <имя политики>
имя политики.2,3,4

-d <директория вывода> Укажите директорию вывода.2

Укажите имя файла вывода (где по умолчанию


-f <файл вывода>
файл имеет имя <имя политики>.pol).2

-r Удаление исходной политики из репозитория.2

Комментарии Прочая информация к рассмотрению:


1. Используйте либо файл сертификата, либо пользователя и пароль.
2. Необязательно.
3. Если опущены и -n, и -l, то экспортируются все пакеты политик.
4. Если присутствуют и -n, и -l, то -l игнорируется.
Пример Экспортировать пакет политики Standard в файл:
cp_merge export_policy -n Standard -f StandardPolicyPackageBackup.pol -d
C:\bak

cp_merge import_policy и cp_merge restore_policy


Описание Позволяет либо записать пакет политики поверх существующего пакета под тем же
именем, либо запретить перезапись, если данное имя политики уже существует.

Интерфейс командной строки Справочное руководство R75.40VS | 22


Команды сервера управления безопасностью и брандмауэра

Использование cp_merge import_policy|restore_policy [-s <сервер базы данных>] [-


u <пользователь> | -c <файл сертификата>] [-p <пароль>][-n <имя пакета>] [-d
<входная директория>] - f <входной файл> [-v]
Синтаксис
Аргумент Описание

Укажите IP-адрес сервера базы данных или имя


-s <сервер базы данных>
DNS.2

-u <пользователь> Имя администратора.1,2

-c <файл сертификата> Путь к файлу сертификата.1

-p <пароль> Пароль администратора.1,2

Переименование пакета политики в <имя пакета>


-n <имя пакета>
при импорте.2

-d <входная директория> Укажите входную директорию.2

-f <входной файл> Укажите имя входного файла.

Переопределение существующей политики в


-v
случае обнаружения.2

Комментарии Прочая информация к рассмотрению


1. Используйте либо файл сертификата, либо пользователя и пароль
2. Необязательно
Команда cp_mergerestore_policy работает только локально на сервере управления
безопасностью и не работает с удаленных машин.
Предупреждение: Вы можете восстановить политику безопасности из файла <политика>.W c
помощью этой утилиты, однако при преобразовании политики в формат .W может быть потеряна
важная информация. Такое восстановление следует использовать, только если у политики нет другой
резервной копии.
Пример Импортировать пакет политики, сохраненный в файле Standard.pol, в репозиторий
и переименовать его в
StandardCopy.
cp_merge import_policy -f Standard.pol -n StandardCopy

cp_merge list_policy
Использование cp_merge list_policy [-s <сервер базы данных>] [-u <пользователь>
| -c <файл сертификата>] [-p <пароль>]
Синтаксис
Аргумент Описание

-s <сервер базы данных> Укажите IP-адрес сервера базы данных или имя DNS.2

-u <пользователь> Имя администратора.1,2

-c <файл сертификата> Путь к файлу сертификата.1,2

-p <пароль> Пароль администратора.1,2

Комментарии Прочая информация к рассмотрению:

Интерфейс командной строки Справочное руководство R75.40VS | 23


Команды сервера управления безопасностью и брандмауэра

1. Используйте либо файл сертификата, либо пользователя и пароль.


2. Необязательно.
Пример Перечислить все пакеты политик, расположенные в указанном репозитории:
cp_merge list -s localhost

cppkg
Описание Управление репозиторием продуктов. Эта команда всегда выполняется на сервере
управления безопасностью.

cppkg add
Описание Добавляет пакет продукта в репозиторий продуктов. В репозиторий продуктов можно
добавлять только пакеты SmartUpdate.
Продукты могут быть добавлены в репозиторий в нижеуказанном порядке путем импорта файла,
загруженного из центра загрузки (http://www.checkpoint.com/techsupport/downloads/downloads.html).
Файл пакета может быть добавлен в репозиторий прямо с DVD либо с локального или сетевого диска.
Использование cppkg add <полный-путь-к-пакету | CD-диск [продукт]>
Синтаксис
Аргумент Описание

полный-путь-к-пакету Если пакет, добавляемый в репозиторий, находится на


локальном или сетевом диске, введите полный путь к
пакету.

CD-диск Если пакет, добавляемый в репозиторий, находится на


DVD: для машин с Windows введите букву диска DVD,
например
d:\
для машин UNIX введите путь к корневому каталогу
DVD, например /caruso/image/CPsuite-R75.20

Вам предлагается указать продукт и соответствующую


операционную систему (ОС).

Комментарии Добавление пакета по команде cppkg не приводит к записи поверх существующих


пакетов. Для записи поверх существующих пакетов вам нужно сначала удалить существующие
пакеты.
Пример

Интерфейс командной строки Справочное руководство R75.40VS | 24


Команды сервера управления безопасностью и брандмауэра

cppkg delete
Описание Удаляет пакет продукта из репозитория. Чтобы удалить пакет продукта, вам нужно
задать ряд опций. Чтобы увидеть формат опций и просмотреть содержимое репозитория продуктов,
используйте команду cppkg print.
Использование cppkg delete [<поставщик> <продукт> <версия> <ОС> [младший номер]]
Синтаксис
Аргумент Описание

поставщик Поставщик пакета (например, checkpoint).

продукт Имя пакета.

версия Версия пакета.

Операционная система пакета. Варианты:


ОС
win32, solaris, ipso, linux.

младший Младший номер версии. Этот параметр является


номер опциональным.

Комментарии Отменить команду cppkg del невозможно.

cppkg get
Описание Синхронизирует базу данных репозитория пакетов с содержимым фактического
репозитория пакетов в $SUROOT.
Использование cppkg get

Интерфейс командной строки Справочное руководство R75.40VS | 25


Команды сервера управления безопасностью и брандмауэра

cppkg getroot
Описание Поиск расположения репозитория продуктов. По умолчанию репозиторий продуктов в
машинах с Windows расположен в C:\SUroot. В системах UNIX — в /var/SUroot.
Использование cppkg getroot
Пример # cppkg getroot
Текущий корневой каталог репозитория установлен в: /var/suroot/

cppkg print
Описание Перечисляет содержимое репозитория продуктов.
Используйте команду cppkg print для просмотра строк продукта и ОС, необходимых для
установки пакета продукта по команде cprinstall или для удаления пакета по команде cppkg
delete.
Использование cppkg print

cppkg setroot
Описание Создание корневого каталога нового репозитория и перемещение существующих
пакетов продуктов в новый репозиторий.
Корневой каталог репозитория продуктов по умолчанию создается при установке сервера управления
безопасностью. В машинах с Windows он по умолчанию расположен в C:\SUroot, а в системах UNIX
— в /var/SUroot. Используйте эту команду, чтобы изменить расположение по умолчанию.
При изменении корневого каталога репозитория:
Содержимое старого репозитория копируется в новый репозиторий.
Переменная окружения $SUROOT получает значение нового пути корневого каталога.
Если пакет продукта в новом каталоге совпадает с пакетом в старом каталоге (т.е. у них
одинаковые идентификационные строки), то второй будет записан поверх первого.
Корневой каталог репозитория должен иметь не менее 200 МБ свободного дискового пространства.
Использование cppkg setroot <полный-путь-корневого-каталога-репозитория>
Синтаксис
Аргумент Описание

полный-путь-корневого-каталога- Желаемое местоположение репозитория продуктов.


репозитория

Комментарии После выполнения этой команды необходимо перезагрузить сервер управления


безопасностью, чтобы установить новую переменную окружения $SUROOT.
Пример

Интерфейс командной строки Справочное руководство R75.40VS | 26


Команды сервера управления безопасностью и брандмауэра

cpridrestart
Описание Останавливает и запускает демон удаленной установки Check Point (cprid). Это
демон, который используется для удаленного обновления и установки продуктов. В Windows он
называется службой.

cpridstart
Описание Запускает демон удаленной установки Check Point (cprid). Это служба, которая
разрешает удаленное обновление и установку продуктов. В Windows она также называется службой.
Использование cpridstart

cpridstop
Описание Останавливает демон удаленной установки Check Point (cprid). Это служба, которая
разрешает удаленное обновление и установку продуктов. В Windows она также называется службой.
Использование cpridstop

cprinstall
Описание Команды cprinstall используются для выполнения удаленной установки пакетов
продуктов и связанных с ней операций.
На сервере управления безопасностью команды cprinstall требуют лицензии на SmartUpdate
На удаленных шлюзах Check Point требуется следующее:
Между сервером управления безопасностью и шлюзом Check Point должно быть установлено
доверие.
Запуск команды cpd.
Запуск демона удаленной установки cprid.

cprinstall boot
Описание Загрузка удаленного компьютера.
Использование cprinstall boot <Имя объекта>
Синтаксис

Интерфейс командной строки Справочное руководство R75.40VS | 27


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

Имя объекта — шлюза безопасности Check Point, заданное на панели


Имя объекта
инструментов SmartDashboard.

Пример # cprinstall boot harlin

cprinstall cpstart
Описание Активация удаленного запуска cpstart.
Все продукты на шлюзе безопасности Check Point должны относиться к одной версии.
Использование cprinstall cpstart <имя объекта>

Аргумент Описание

Имя объекта — шлюза безопасности Check Point, заданное на панели


Имя объекта
инструментов SmartDashboard.

cprinstall cpstop
Описание Активация удаленной остановки cpstop.
Все продукты на шлюзе безопасности Check Point должны относиться к одной версии.
Использование cprinstall cpstop <-proc | -nopolicy> <имя объекта>
Синтаксис
Аргумент Описание

Имя объекта — шлюза безопасности Check Point, заданное на панели


Имя объекта
инструментов SmartDashboard.

Отключает демоны и серверы безопасности Check Point, при этом


активная политика безопасности в ядре продолжает работать. Правила с
-proc
родовыми правилами "разрешить"/"отменить"/"сбросить" в службах
продолжают работать.

-nopolicy

cprinstall get
Описание Получение данных о продуктах и операционной системе, установленных на указанном
шлюзе Check Point, и обновление базы данных.
Использование cprinstall get <Имя объекта>
Синтаксис
Аргумент Описание

Имя объекта — шлюза безопасности Check Point, заданное


<Имя объекта>
на панели инструментов SmartDashboard.

Пример

Интерфейс командной строки Справочное руководство R75.40VS | 28


Команды сервера управления безопасностью и брандмауэра

cprinstall install
Описание Установка продуктов Check Point на удаленных шлюзах Check Point. Чтобы установить
пакет продукта, вам нужно задать ряд опций. Используйте команду cppkg print и скопируйте
необходимые опции.
Использование cprinstall install [-boot] <Имя объекта> <поставщик> <продукт>
<версия> [младший номер]
Синтаксис
Аргумент Описание

Загрузить удаленный компьютер после установки пакета.


-boot Загрузка выполняется, только есть ВСЕ продукты относятся к
одной версии. В некоторых сценариях загрузка будет отменена.

Имя объекта — шлюза безопасности Check Point, заданное на


Имя объекта
панели инструментов SmartDashboard.

поставщик Поставщик пакета (например, checkpoint)

продукт Имя пакета

версия Версия пакета

младший номер Младший номер версии

Комментарии Перед передачей любых файлов эта команда запускает команду cprinstall
verify, чтобы проверить соответствие операционной системы и совместимость продукта с ранее
установленными продуктами.
Пример

Интерфейс командной строки Справочное руководство R75.40VS | 29


Команды сервера управления безопасностью и брандмауэра

cprinstall uninstall
Описание Удаление продуктов на удаленных шлюзах Check Point. Чтобы удалить пакет
продукта, вам нужно задать ряд опций. Используйте команду cppkg print и скопируйте
необходимые опции.
Использование cprinstall uninstall [-boot] <Имя объекта> <поставщик> <продукт>
<версия> [младший номер]
Синтаксис
Аргумент Описание

Загрузить удаленный компьютер после установки пакета.


-boot Загрузка выполняется, только есть ВСЕ продукты относятся к
одной версии. В некоторых сценариях загрузка будет отменена.
Подробнее см. в "Примечаниях к изданию".

Имя объекта — шлюза безопасности Check Point, заданное на


Имя объекта
панели инструментов SmartDashboard.

поставщик Поставщик пакета (например, checkpoint)

продукт Имя пакета

версия Версия пакета

младший номер Младший номер версии.

Комментарии Перед удалением любых файлов эта команда запускает команду cprinstall
verify, чтобы проверить соответствие операционной системы и совместимость продукта с ранее
установленными продуктами.
После удаления получите данные шлюза безопасности Check Point, выполнив команду cprinstall
get.
Пример

Интерфейс командной строки Справочное руководство R75.40VS | 30


Команды сервера управления безопасностью и брандмауэра

cprinstall verify
Описание Проверка следующего:
Может ли определенный продукт быть установлен на удаленном шлюзе Check Point.
Соответствуют ли пакету операционная система и ранее установленные продукты.
Достаточно ли на диске места для установки продукта.
Наличие соединения CPRID.
Использование cprinstall verify <Имя объекта> <поставщик> <продукт> <версия>
[младший номер]
Синтаксис
Аргумент Описание

Имя объекта — шлюза безопасности Check Point, заданное на


Имя объекта
панели инструментов SmartDashboard.

поставщик Поставщик пакета (например, checkpoint).

Имя пакета Варианты: SVNfoundation, firewall,


продукт
floodgate.

версия Версия пакета.

Младший номер версии. Этот параметр является


младший номер
опциональным.

Пример Ниже представлены примеры успешного завершения операции проверки и когда


операцию выполнить не удалось:
Проверка успешно завершена:

Проверка не удалась:

Интерфейс командной строки Справочное руководство R75.40VS | 31


Команды сервера управления безопасностью и брандмауэра

cprinstall snapshot
Описание Создает <имя файла> снапшота на шлюзe безопасности Check Point.
Использование cprinstall snapshot <имя объекта> <имя файла>
Синтаксис
Аргумент Описание

Имя объекта — шлюза безопасности Check Point,


Имя объекта
заданное на панели инструментов SmartDashboard.

имя файла Имя файла снапшота.

Комментарии Поддерживается только на SecurePlatform.

cprinstall show
Описание Отображает все файлы (резервные копии) снапшотов на шлюзe безопасности Check
Point.
Использование cprinstall show <имя объекта>
Синтаксис
Аргумент Описание

Имя объекта — шлюза безопасности Check Point,


Имя объекта
заданное на панели инструментов SmartDashboard.

Комментарии Поддерживается только на SecurePlatform.


Пример

cprinstall revert
Описание Восстанавливает шлюз безопасности Check Point из снапшота.
Использование cprinstall revert <имя объекта> <имя файла>
Синтаксис
Аргумент Описание

Имя объекта — шлюза безопасности Check Point,


Имя объекта
заданное на панели инструментов SmartDashboard.

имя файла Имя файла снапшота.

Комментарии Поддерживается только на SecurePlatform.

cprinstall transfer
Описание Передает пакет из репозитория на шлюз безопасности Check Point без установки
пакета.
Использование cprinstall transfer <имя объекта> <поставщик> <продукт> <версия>
<младший номер>

Интерфейс командной строки Справочное руководство R75.40VS | 32


Команды сервера управления безопасностью и брандмауэра

Синтаксис
Аргумент Описание

Имя объекта — шлюза безопасности Check Point, заданное


Имя объекта
на панели инструментов SmartDashboard.

поставщик Поставщик пакета (например, checkpoint)

продукт Имя пакета

версия Версия пакета.

Младший номер версии. Этот параметр является


младший номер
опциональным.

cpstart
Описание Запуск всех процессов и приложений Check Point, выполняемых на машине.
Использование cpstart
Комментарии Эту команду нельзя использовать для запуска cprid. Вызов команды cprid
осуществляется при загрузке машины и при ее автономной работе.

cpstat
Описание Команда cpstat отображает состояние приложений Check Point на локальной
машине или на другой в разных форматах.
Использование cpstat [-h host][-p port][-s SICname][-f flavor][-o polling][-c
count][-e period][-d] application_flag
Синтаксис
Параметр Описание

Преобразуемое имя хоста, адрес с записью через точку


-h host (например, 192.0.2.23) или имя объекта DAIP. По
умолчанию используется localhost.

Номер порта сервера AMON. По умолчанию это


-p port
стандартный порт AMON (18192).

-s Имя защищенной внутренней связи (SIC) сервера AMON.

Вариант вывода (в том виде, в котором он представлен в


-f flavor файле конфигурации). По умолчанию это первая форма,
найденная в файле конфигурации.

Интервал опроса (в секундах) определяет темп


-o результатов. По умолчанию равен 0, т.е. результаты
отображаются только один раз.

Определяет, сколько раз отображаются результаты. По


-c умолчанию равен 0, т.е. результаты отображаются
неоднократно.

Определяет интервал (в секундах), за который


-e вычисляются "статистические" данные типа Old. Для
регулярных данных Old он игнорируется.

-d Режим отладки.

Интерфейс командной строки Справочное руководство R75.40VS | 33


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

application_flag Один из следующих флагов приложений:


fw — брандмауэр шлюза безопасности
vpn — VPN шлюза безопасности
fg — QoS (ранее FloodGate-1)
ha — ClusterXL (High Availability)
os — состояние ОС
mg — для сервера управления безопасностью
persistency - для предыдущих значений состояния
polsrv
uas
svr
cpsemd
cpsead
asm
ls
ca

К флагам приложений могут быть добавлены следующие варианты:


fw — "default", "interfaces", "all", "policy", "perf", "hmem", "kmem",
"inspect", "cookies", "chains", "fragments", "totals", "ufp", "http", "ftp",
"telnet", "rlogin", "smtp", "pop3", "sync"
vpn — "default", "product", "IKE", "ipsec", "traffic", "compression",
"accelerator", "nic", "statistics", "watermarks", "all"
fg — "all"
ha — "default", "all"
os — "default", "ifconfig", "routing", "memory", "old_memory", "cpu", "disk",
"perf", "multi_cpu", "multi_disk", "all", "average_cpu", "average_memory",
"statistics"
mg — "default"
persistency — "product", "Tableconfig", "SourceConfig"
polsrv — "default", "all"
uas — "default"
svr — "default"
cpsemd — "default"
mg — "default"
asm — "default", "WS"
ls — "default"
ca — "default", "crl", "cert", user", "all"
Пример

Интерфейс командной строки Справочное руководство R75.40VS | 34


Команды сервера управления безопасностью и брандмауэра

cpstop
Описание Завершение всех процессов и приложений Check Point, выполняемых на машине.
Использование cpstop
cpstop -fwflag [-proc | -default]
Синтаксис
Параметр Описание

-fwflag -proc Отключает демоны и серверы безопасности Check Point,


при этом активная политика безопасности в ядре
продолжает работать. Правила с родовыми правилами
"разрешить"/"отменить"/"сбросить" в службах продолжают
работать.

-fwflag -default Отключает демоны и серверы безопасности Check Point.


Активная политика безопасности, выполняемая в ядре,
заменяется фильтром по умолчанию.

Комментарии Эту команду нельзя использовать для завершения cprid. Вызов команды cprid
осуществляется при загрузке машины и при ее автономной работе.

cpwd_admin
Описание cpwd (или сторожевое устройство) — это процесс, который инициирует и
контролирует такие процессы, как демоны Check Point на локальной машине, и пытается
перезапустить их в случае их отказа. К процессам, контролируемым сторожевым устройствам,
относятся cpd, fwd, fwm.
fwd не работает на машине Security Management Only (Только управление безопасностью). Чтобы
работать с fwd на машине Security Management Only, добавьте -n (например, fwd -n).
cpwd записывает данные мониторинга в файл $CPDIR/log/cpwd.elg log. Кроме того, данные
мониторинга записываются в консоль на платформах UNIX и в журнал событий Windows.
Утилита cpwd_admin используется для отображения состояния процессов и для настройки cpwd.
Использование cpwd_admin

cpwd_admin start
Описание Запуск нового процесса по команде cpwd.
Использование cpwd_admin start -name <имя процесса> -path <"полный путь">
-command <"имя исполнимого файла">

Интерфейс командной строки Справочное руководство R75.40VS | 35


Команды сервера управления безопасностью и брандмауэра

Синтаксис
Аргумент Описание

-name <имя процесса> Имя процесса, за которым должно наблюдать


сторожевое устройство.

-path <"полный путь"> Полный путь к исполнимому файлу, включая его


имя

-command <"имя исполнимого Имя исполнимого файла.


файла и аргументы">

Пример Запуск и мониторинг процесса fwm.


cpwd_admin start -name FWM -path "$FWDIR/bin/fwm" -command "fwm"

cpwd_admin stop
Описание Остановка процесса, контролируемого сторожевым устройством cpwd.
Использование cpwd_admin stop -name <имя процесса> [-path <"полный путь">
-command <"имя исполнимого файла">]
Синтаксис
Аргумент Описание

-name <имя процесса> Имя процесса, за которым должно наблюдать


сторожевое устройство.

-path <"полный путь"> Необязательно: полный путь к исполнимому файлу


(включая имя), используемому для остановки
процесса.

-command <"имя Необязательно: имя исполнимого файла, указанное в


исполнимого файла и - path
аргументы">

Комментарии Если -path и -command не заданы, cpwd будет резко прерывать процесс.
Пример Остановить процесс FWM с использованием fw kill.
cpwd_admin stop -name FWM -path "$FWDIR/bin/fw" -command "fw kill fwm"

cpwd_admin list
Описание Печать состояния выбранных процессов, контролируемых сторожевым устройством
cpwd.
Использование cpwd_admin list
Вывод Выводимый отчет о состоянии содержит следующую информацию:
APP — приложение. Имя процесса.
PID — идентификационный номер процесса.
STAT — существует ли процесс (E) или он был прерван (T).
#START — сколько раз запускался процесс с того момента, как cpwd начал его контролировать.
START TIME — время, когда процесс выполнялся в последний раз.
COMMAND — команда, используемая cpwd для запуска процесса.
Пример:

Интерфейс командной строки Справочное руководство R75.40VS | 36


Команды сервера управления безопасностью и брандмауэра

cpwd_admin exist
Описание Проверка активности cpwd.
Использование cpwd_admin exist

cpwd_admin kill
Описание Прекращение cpwd.
Использование cpwd_admin kill

cpwd_admin config
Описание Настройка параметров конфигурации cpwd. При изменении параметров эти
параметры не вступают в силу только после остановки и перезапуска cpwd.
Использование cpwd_admin config -p
cpwd_admin config -a <значение=данные значение=данные...>
cpwd_admin config -d <значение значение...>
cpwd_admin config -r
Синтаксис
Аргумент Описание

config -p Отображает параметры cpwd, добавленные с помощью опции config


-a.

config -a Добавить один или несколько параметров мониторинга в


конфигурацию cpwd.

config -d Удалить один или несколько параметров мониторинга в


конфигурацию cpwd.

config -r Восстановление параметров cpwd, заданных по умолчанию.

Со следующими значениями:
Аргумент Описание

timeout (любое Если rerun_mode=1, сколько времени должно пройти с момента


значение в секундах) сбоя процесса до повторного запуска. По умолчанию установлено
60 секунд.

no_limit (любое Максимальное количество попыток перезапуска процесса


значение в секундах) сторожевым устройством cpwd. По умолчанию установлено 5.

zero_timeout После no_limit неудачных попыток перезапуска процесса


(любое значение в cpwd ждет zero_timeout секунд перед следующей попыткой.
секундах) По умолчанию установлено 7200 секунд. Должно быть больше,
чем timeout.

Интерфейс командной строки Справочное руководство R75.40VS | 37


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

sleep_mode 1 - ждать в течение тайм-аута


0 - игнорировать тайм-аут. Перезапустить процесс немедленно
dbg_mode 1 - принимать всплывающие сообщения об ошибках (c кодом выхода
#0), отображаемые при резком завершении процесса (только в
Windows NT).
0 - не принимать всплывающие сообщения об ошибках. Это имеет
смысл, если всплывающие сообщения об ошибках приводят к
зависанию машины. Это значение выбрано по умолчанию (только в
Windows NT).
rerun_mode 1 - повторно запускать процесс, при выполнении которого произошла
ошибка. Это значение выбрано по умолчанию.
0 - не перезапускать процесс, при выполнении которого произошла
ошибка. Выполнять только мониторинг.
stop_timeout Время в секундах, выжидаемое сторожевым устройством cpwd перед
выполнением команды остановки. По умолчанию установлено 60 секунд.

reset_startups Означает время в секундах, выжидаемое сторожевым устройством cpwd


после начала процесса перед сбросом startup_counter. По
умолчанию задано значение 1 час, т.е. сброс счетчика запуска на 0
происходит через час после начала процесса.

Пример В следующем примере показано, как изменяются два параметра конфигурации:


timeout на 120 секунд, no_limit на 10.

config -a и cpwd_adminconfig -d не будут иметь эффекта, если cpwd запущен. Они повлияют
на cpwd при его следующем запуске.

disconnect_client
Панель инструментов SmartDashboard может подключаться к серверу управления в одном из
следующих режимов:
Read/Write (Чтение/запись) - администраторы имеют все разрешения на создание и изменение
всех объектов, настроек и политик.
Read Only (Только чтение) - администраторы могут просматривать все объекты, настройки и
политики, но не могут их добавлять, изменять или удалять.
Одновременно использовать SmartDashboard для подключения к серверу управления безопасностью
в режиме "чтение/запись" может только один администратор. Когда администратор подключается в
режиме "чтение/запись", другие администраторы не имеют возможности:
Подключаться к тому же серверу управления в режиме "чтение/запись"
Создавать или изменять объекты, настройки и политики
Создавать резервные копии базы данных сервера управления
Устанавливать политику безопасности

Интерфейс командной строки Справочное руководство R75.40VS | 38


Команды сервера управления безопасностью и брандмауэра

Вы можете отключить другого клиента SmartDashboard, открытого в режиме "чтение/запись", с


помощью специальной утилиты командной строки.
Чтобы снять блокировку базы данных, выполните disconnect_client в командной строке сервера
управления безопасностью.
Подробнее см. в sk65146 (http://supportcontent.checkpoint.com/solutions?id=sk65146)

dbedit
Описание Редактирование файла объектов на сервере управления безопасностью.
Редактирование файла objects.C на шлюзе необязательно и нежелательно, так как он будет
замещен при следующей установке политики.
Использование dbedit [-s сервер] [- u пользователь | -c сертификат] [-p пароль]
[-f имя файла] [-r причина-открытия-базы] [-help]
Синтаксис
Аргумент Описание

-s сервер Сервер управления безопасностью, на котором находится


редактируемый файл objects_5_0.C. Если он не задан в
командной строке, он будет запрошен у пользователя. Если
сервер не является локальным хостом, пользователю нужно
будет авторизоваться.

-u пользователь | Имя пользователя (имя, используемое для SmartConsole) или


-c сертификат полный путь к файлу сертификата.

-p пароль Пароль пользователя (пароль, используемый для


SmartConsole).

-f имя файла Имя файла, содержащего команды. Если имя файла не указано,
команды будут запрошены у пользователя.

-r причина- Необязательный флаг, используемый для открытия базы


открытия-базы данных, содержащий строку с указанием причины. Причина
будет прикреплена к журналам аудита операций базы данных.

-help Печать использования и короткого пояснения.

Команды dbedit:

Интерфейс командной строки Справочное руководство R75.40VS | 39


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

create [тип_объекта] Создать объект со значениями по умолчанию.


[имя_объекта] Команда создания может использовать расширенный (или
"собственный") объект.
Изменения передаются в базу данных только командой
update или quit.

modify [имя_таблицы] Изменить поля объекта, который:


[имя_объекта]
[имя_поля] [значение] хранится в базе данных (в этом случае команда
заблокирует объект).
вновь создан по команде dbedit
Для собственных проектов можно использовать
расширенные форматы:
Например, [имя_поля] = Поле_A:Поле_B

update [имя_таблицы] Обновить базу данных с объектом. Эта команда проверит


[имя_объекта] достоверность объекта и при необходимости выведет
сообщение об ошибке.

delete [имя_таблицы] Удалить объект из базы данных и из неявной базы данных


[имя_объекта] клиентов.

addelement Добавить элемент (строки типа) в многоэлементное поле.


[имя_таблицы]
[имя_объекта]
[имя_поля] [значение]

rmelement Удалить элемент (строки типа) из многоэлементного поля.


[имя_таблицы]
[имя_объекта]
[имя_поля] [значение]

rename [имя_таблицы] Присвоить новое имя указанному объекту. Эта операция


[имя_объекта] также включает обновление.
[новое_имя_объекта] Пример:
Переименовать сетевой объект London в Chicago.
rename network_objects london chicago

quit Выйти из dbedit и обновить базу данных с применением


измененных объектов.

Пример Заменить собственный объект новым объектом Null, где NULL — это
зарезервированное слово, означающее пустой объект:
modify network_objects my_obj firewall_setting NULL
Пример Расширенный формат
firewall_properties (свойства брандмауэра) владеет объектом floodgate_preferences
(настройки шлюза).
floodgate_preferences имеет булев атрибут turn_on_logging (включить регистрацию),
который будет установлен на true (истина).
modify properties firewall_properties
floodgate_preferences:turn_on_logging true
в собственном объекте, содержащемся в заказанном контейнере, имеется поле comments. Значение
0 означает первый элемент в контейнере (индекс, отсчитываемый от 0).

Интерфейс командной строки Справочное руководство R75.40VS | 40


Команды сервера управления безопасностью и брандмауэра

modify network_objects my_networkObj


interfaces:0:comments my_comment
Заменить собственный объект новым с его значениями по умолчанию.
modify network_objects my_net_obj interfaces:0:security
interface_security

dbver
Описание Утилита dbver предназначена для экспорта и импорта различных версий базы
данных. Возможен просмотр свойств версий (время последнего создания, ответственный
администратор и т.д.). Утилита находится в $FWDIR/bin.
Использование export <номера_версии> <удалить | сохранить>
import <экспортированная_версия_на_сервере>
create <имя_версии> <комментарий_версии>
delete <номера_версии>
print <путь_к_файлу_версии>
print_all

dbver create
Описание Создание версии из текущего состояния $fwdir/conf, включая текущие объекты,
базы правил и т.д.
Использование create <имя_версии> <комментарий_версии>
Синтаксис
Аргумент Описание

имя_версии имя версии

комментарий_версии присоединить комментарий к версии

dbver export
Описание Архивирование версии в виде архивного файла в репозитории версий:
$fwdir/conf/db_versions/export.
Использование export <номера_версии> <delete | keep>
Синтаксис

Интерфейс командной строки Справочное руководство R75.40VS | 41


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

Обновить базу данных с объектом. Эта команда проверит


update [имя_таблицы]
достоверность объекта и при необходимости выведет
[имя_объекта]
сообщение об ошибке.

delete [имя_таблицы] Удалить объект из базы данных и из неявной базы данных


[имя_объекта] клиентов.

addelement
[имя_таблицы]
Добавить элемент (строки типа) в многоэлементное поле.
[имя_объекта]
[имя_поля] [значение]

номера_версии Имя файла экспортированной версии.

delete удаляет версию из репозитория версий.


delete | keep
keep сохраняет версию в репозитории версий.

dbver import
Описание Добавление экспортированной версии в репозиторий из
$fwdir/conf/db_versions/export. Присвоение имени файла версии в качестве исходного.
Использование import <экспортированная_версия_на_сервере>
Синтаксис
Аргумент Описание

экспортированная_версия_на_сервере Имя файла экспортированной версии.

dbver print
Описание Печать свойств версии.
Использование print <путь_к_файлу_версии>
Синтаксис
Аргумент Описание

путь_к_файлу_версии Полное имя и путь на локальной машине версии

Вывод

Интерфейс командной строки Справочное руководство R75.40VS | 42


Команды сервера управления безопасностью и брандмауэра

dbver print_all
Описание Печать свойств всех версий, расположенных на стороне сервера:
$fwdir/conf/db_versions
Использование print_all

dynamic_objects
-s Описание dynamic_objects задает IP-адрес, в который будет преобразован динамический
объект на данной машине. Сначала определите динамический объект на панели инструментов
SmartDashboard. Затем создайте такой же объект на интрефейсе командной строки (аргумент -n).
После создания нового объекта на шлюзе с помощью интерфейса командной строки вы можете
задать IP-адрес динамического объекта с помощью команды dynamic_objects.
Эту команду нельзя выполнить при запущенном шлюзе Check Point.
Использование dynamic_objects -o <имя_объекта> [-r [отIP доIP] ...] [-s] [-a] [-
d] [- l] [-n <имя_объекта> ] [-c]
Синтаксис
Аргумент Описание

-o <имя_объекта> Имя объекта, заданное на панели инструментов


SmartDashboard и по команде dynamic_objects -n <имя>.

-r [отIP доIP] ... диапазона адресов — одна или несколько пар "от IP-адреса до
IP-адреса"

-a [отIP доIP] ... добавить диапазоны к объекту

-d [отIP доIP] ... удалить диапазон из объекта

-l перечислить динамические объекты

-n <имя_объекта> создать новый объект (если не запущен шлюз безопасности)

-c сравнить объекты в файле динамических объектов и в


objects.C.

-do object_name удалить объект

Пример Создать новый динамический объект под именем "bigserver" и добавить к нему
диапазон IP-адресов 192.0.2.1-192.0.2.40: dynamic_objects -n bigserver -r 192.0.2.1
192.0.2.40 -a

fw
Описание Команды fw предназначены для работы с различными элементами брандмауэра. Все
команды fw выполняются на шлюзе безопасности Check Point.
Ввод fw в окне ввода команды отправляет список доступных команд fw на стандартный вывод.
Использование fw

fw -i
Описание Как правило, при выполнении команд шлюза безопасности Check Point на шлюзе
безопасности они относятся к шлюзу не как к отдельному экземпляру ядра, а как к единому целому.
Например, команда fw tab дает возможность просмотра или редактирования единой таблицы
информации, обобщенной для всех экземпляров ядер.

Интерфейс командной строки Справочное руководство R75.40VS | 43


Команды сервера управления безопасностью и брандмауэра

Данная команда позволяет отнести некоторые команды к отдельному экземпляру ядра. Это
осуществляется добавлением –I <ядро> после fw в команде, где <ядро> — это номер
экземпляра ядра.
Использование fw -i применяется к следующим командам:
fw ctl debug (при использовании без параметра -buf)
fw ctl get
fw ctl set
fw ctl leak
fw ctl pstat
fw monitor
fw tab
Подробности и дополнительные параметры любой из этих команд см. под соответствующими
заголовками.
Пример Для просмотра таблицы соединений экземпляра ядра № 1 используется следующая
команда:
fw -i 1 tab -t connections

fw ctl
Описание Команда fw ctl управляет модулем ядра Firewall.
Использование

Параметр Описание

<Install| Uninstall — приказывает операционной системе прекратить


Uninstall> передачу пакетов на шлюз безопасности и отменяет загрузку политики
безопасности. Находящиеся за ним сети становятся незащищенными.
Install — приказывает операционной системе начать передачу
пакетов на шлюз безопасности. Команда fw ctl install
выполняется автоматически при выполнении cpstart.
Примечание: если вы выполняете fw ctl uninstall, а после нее fw
ctl install, то политика безопасности не восстанавливается.

debug Генерирует сообщения об отладке в буфере. См. "fw ctl debug" (на стр. 45).

kdebug Читает буфер отладки и получает сообщения об отладке. Если буфера


отладки не существует, команда даст сбой.
[-f] читать буфер каждую секунду и печатать сообщения до нажатия
на Ctrl-C. В противном случае считать текущее содержимое буфера и
завершить процесс.
[-t/-T] печатать поле времени (секунды/микросекунды)
[-p] для печати определенных полей
all|proc|pid|date|mid|type|freq|topic|time|ticks|t
id|text|err|host|vsid|cpu
[-m] — количество циклических файлов, [-s] — размер каждого

Интерфейс командной строки Справочное руководство R75.40VS | 44


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

pstat [- Отображает внутреннюю статистику шлюза безопасности:


h][-k][-
s][-n][-l] -h — генерирует дополнительные подробности hmem.
-k — генерирует дополнительные подробности kmem.
-s — генерирует дополнительные подробности smem.
-n — генерирует информацию NDIS (только Windows).
-l — генерирует общую статистику шлюза безопасности.

iflist Отображаем известные ядру IP-интерфейсы по имени и внутреннему


номеру.

arp [-n] Отображает таблицу прокси-сервера ARP.


-n — не выполнять преобразование имени.

block on — блокирует весь трафик.


<on|off> off — восстанавливает трафик и политику безопасности.

chain Печать имен внутренних шлюзов безопасности, работающих с пакетами.


Используется для обеспечения загрузки шлюза. Имена этих шлюзов можно
использовать в команде fw monitor -p.

conn Печать имен модулей соединений.

fw ctl debug
Описание Генерирует сообщения об отладке в буфере.
Использование Существует ряд опций отладки:

Синтаксис
Параметр Описание

-buf [размер Выделяет буфер (по умолчанию 128 килобайт) и начинает собирать в
буфера] нем сообщения. Если аргумент -buf не задан, сообщения отладки
печатаются на консоли.

-m <модуль> Укажите модуль шлюза безопасности, на котором вы хотите выполнить


отладку. Модуль по умолчанию — fw.
Пример: fw ctl debug –m VPN all

Интерфейс командной строки Справочное руководство R75.40VS | 45


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

[+ | -] Устанавливает или сбрасывает флаги отладки для нужного шлюза.


<options|
all|0> Если используется +, указанные флаги устанавливаются, а другие
остаются в прежнем состоянии.
Если используется -, указанные флаги сбрасываются, а другие остаются
в прежнем состоянии.
Если не используется ни +, ни -, указанные флаги устанавливаются, а
другие сбрасываются.

-h Печать списка модулей и флагов отладки.

0 Восстанавливает значения по умолчанию всех флагов на всех шлюзах,


освобождает буфер отладки (при его наличии).

-d <список В вывод включаются только строки, содержащие текст из <список строк с


строк с разделением запятыми> (Доступно в R70 или последующих версиях)
разделением
запятыми>
-d <список Из вывода исключаются строки, содержащие текст из <список ^строк с
^строк с разделением запятыми> (Доступно в R70 или последующих версиях)
разделением
запятыми>) Пример:
fw ctl debug –d error,failed,^packet
В выводе отображаются только строки, содержащие слова "error" или "failed",
но не слово "packet"

-s <строка> Остановить сообщения об отладке при появлении определенной строки


(Доступно в R70 или последующих версиях)
Пример: fw ctl debug –s error

-x Завершает отладку.

fw ctl affinity
fw ctl affinity -s
Описание Устанавливает привязки CoreXL при использовании нескольких процессоров.
Пояснения по привязкам ядер, демонов и интерфейсов см. в "Руководстве администратора по
Firewall R75.40VS" (http://supportcontent.checkpoint.com/solutions?id=sk76540).
Настройки fw ctl affinity -s не сохраняются при перезапуске шлюза безопасности. Если вы
хотите, чтобы настройки сохранялись, либо используйте:
sim affinity (команда Performance Pack) — подробности см. в "Руководстве
администратора по Performance Pack R75.40VS"
(http://supportcontent.checkpoint.com/solutions?id=sk76540).
Либо отредактируйте файл конфигурации fwaffinity.conf — подробности см. в "Руководстве
администратора по Firewall R75.40VS" (http://supportcontent.checkpoint.com/solutions?id=sk76540).
Для настройки привязок интерфейсов fw ctl affinity следует использовать, только если не
запущен Performance Pack. Если Performance Pack запущен, настройку привязок следует выполнять с
помощью команды sim affinity в Performance Pack. Эти настройки будут сохранены. Если команда
sim affinity в Performance Pack установлена на автоматический режим (даже если впоследствии
Performance Pack был отключен), настроить привязки интерфейсов с помощью fw ctl affinity -
s невозможно.
Использование fw ctl affinity -s <выбор процесса> <идентификатор процессора>
Синтаксис <выбор процесса> является одним из следующих параметров:

Интерфейс командной строки Справочное руководство R75.40VS | 46


Команды сервера управления безопасностью и брандмауэра

Параметр Описание
-p <идентификатор Устанавливает привязку для определенного процесса, где
процесса> <идентификатор процесса> означает идентификационный номер
процесса.
-n <имя демона cp> Устанавливает привязку для демона Check Point, где <имя демона cp>
означает демона Check Point (например: fwd).

-k <экземпляр> Устанавливает привязку для экземпляра ядра, где <экземпляр>


означает номер экземпляра.

-i <имя интерфейса> Устанавливает привязку для интерфейса, где <имя интерфейса>


означает имя интерфейса (например: eth0).

<идентификатор процессора> — это номер процессорного ядра либо список номеров


процессорных ядер. Чтобы не было привязок ни у одного процессорного ядра, <идентификатор
процессора> должен иметь значение: all.
Примечание: при установке привязки интерфейса будут установлены привязки
всех интерфейсов, использующих совместно с данным интерфейсом такой же
запрос на прерывание к такому же процессорному ядру. Для просмотра запросов на
прерывание всех интерфейсов выполните: fw ctl affinity -l -v -a .
Пример Чтобы настроить запуск экземпляра ядра № 3 на процессорном ядре № 5, выполните:
fw ctl affinity -s -k 3 5

fw ctl affinity -l
Описание Перечисляет привязки CoreXL при использовании нескольких процессоров. Пояснения
по привязкам ядер, демонов и интерфейсов см. в "Руководстве администратора по Firewall
R75.40VS" (http://supportcontent.checkpoint.com/solutions?id=sk76540).
Использование fw ctl affinity -l [<выбор процесса>] [<тип списка>]
Синтаксис Если <выбор процесса> опущен, fw ctl affinity -l перечисляет привязки всех
демонов Check Point, экземпляров ядер и интерфейсов. В противном случае <выбор процесса>
является одним из следующих параметров:
Параметр Описание
-p <идентификатор Отображает привязку определенного процесса, где <идентификатор
процесса> процесса> означает идентификационный номер процесса.

-n <имя демона cp> Отображает привязку демона Check Point, где <имя демона cp>
означает демона Check Point (например: fwd).

-k <экземпляр> Отображает привязку экземпляра ядра, где <экземпляр> означает


номер экземпляра.
-i <имя интерфейса> Отображает привязку интерфейса, где <имя интерфейса> означает
имя интерфейса (например: eth0).
Если <тип списка> опущен, fw ctl affinity -l перечисляет элементы с конкретными
привязками и их привязки. В противном случае <тип списка> представлен одним или несколькими
из следующих параметров:
Параметр Описание
-a Все: включает элементы без конкретных привязок.

-r Перечисление в обратном направлении: каждое процессорное ядро и


элементы, для которых оно является привязкой.
-v Расширенный список с дополнительной информацией.

Интерфейс командной строки Справочное руководство R75.40VS | 47


Команды сервера управления безопасностью и брандмауэра

Пример Для перечисления всех данных о привязках демонов, экземпляров ядер и


интерфейсов, включая элементы без конкретных привязок, с указанием дополнительной
информации, выполните:
fw ctl affinity -l -a -v

fw ctl engine
Описание Включает двигатель INSPECT2C, осуществляющий динамическое преобразование
кода INSPECT в код C. Команда выполняется на шлюзе безопасности Check Point.
Использование fw ctl engine {on | off | stat | setdefault}
Синтаксис
Параметр Описание

on Если нужно, скомпилировать движок и активировать его.


Возможно, движок не был скомпилирован ранее, поэтому он может
активироваться не сразу после его включения. По окончании
компиляции движок активируется в фоновом режиме.

После включения движок повторно компилируется и активируется при


каждой установке политики независимо от значений
inspect2c_compile и inspect2c_activate.

off Деактивирует движок, если он активен. При последующей установке


политики на шлюзе движок НЕ активируется автоматически — для
этого необходимо выполнить команду еще раз.

stat Печать состояния движка. Пример: "During compilation" (Во время


компиляции), "Before auto-activation" (Перед автоматической
активацией), "Deactivated" (Деактивирован).

setdefault Восстановить настройки управления, заданные в базе данных.


Настройки сервера управления безопасностью игнорируются.
После следующей установки политики восстанавливаются значения
следующих атрибутов базы данных шлюза:
inspect2c_compile (истина/ложь) — осуществляется ли
компиляция движка на шлюзе во время установки политики.
Компиляция выполняется в фоновом режиме и может занять
несколько минут.
inspect2c_activate (истина/ложь) — активируется ли движок
автоматически после компиляции. Если выбрана "истина",
компиляция движка выполняется независимо от значения
inspect2c_compile.
Изменение значений атрибутов осуществляется с помощью
GuiDBEdit.

fw ctl multik stat


Описание Отображает статистику нескольких ядер по каждому экземпляру ядра. При этот
отображаются состояние и номер процессорного ядра каждого экземпляра с указанием:
Количества обрабатываемых на данный момент соединений.
Максимального количества соединений, одновременно обработанных экземпляром с момента
его создания.

Интерфейс командной строки Справочное руководство R75.40VS | 48


Команды сервера управления безопасностью и брандмауэра

fw ctl sdstat
Описание Счетчики производительности IPS измеряют процент потребления процессора каждой
защитой IPS. Само измерение разделяется по типу защиты: Защиты по шаблону или по INSPECT.
Кроме того, счетчики IPS измеряют процент использования процессора каждой секцией ("контекстом")
протокола и каждым парсером протокола.
Использование fw ctl zdebug >& outputfile
fw ctl sdstat start
fw ctl sdstat stop
Синтаксис
Параметр Описание

fw ctl zdebug >& Включение режима отладки и указание файла вывода.


outputfile

fw ctl sdstat start Активация счетчиков IPS.

fw ctl sdstat stop Печать отчета и выключение счетчиков.

Пример Порядок действий:


Выполните следующие команды на шлюзе безопасности Check Point (R70 или последующие версии):
На шлюзе безопасности Check Point:
Выполните fw ctl zdebug >& outputfile
Выполните fw ctl sdstat start
Подождите, пока счетчики выполняют измерение. Однако не оставляйте счетчики более чем на 10 минут.
Выполните fw ctl sdstat stop
Выключение счетчиков должно быть явным, иначе производительность может быть снижена.
При этом будет сгенерирован файл вывода outputfile, который должен быть обработан (только
SecurePlatform) на
сервере управления безопасностью.
На сервере управления безопасностью:
В $FWDIR/script выполните скрипт
./sdstat_analyse.csh outputfile
Вывод скрипта представляет собой отчет в формате csv с возможностью просмотра в Microsoft Excel.
Если в отчете есть проблема или если требуется больше подробностей, предусмотрен флаг отладки,
который печатает в файле вывода дополнительную информацию.
Выполните fw ctl zdebug + spii >& outputfile
Пример сообщения об отладке Описание

sdstat_get_stats_all_insta nces : Smart Пользователь попытался создать отчет,


Defense report objects are not initalized, не запустив счетчики, или во время
hence no report can be done. (Объекты инициализации произошла ошибка, после
отчета Smart Defense не инициализированы, чего пользователь попытался
поэтому подготовить отчет невозможно.) распечатать отчет.

FW-1 - sdstats_print_report: Failed to В процессе измерения произошел сбой,


calculate Smart Defense и общее количество единиц времени для
(total_smart_defense is 0) (Не удалось IPS равно нулю.
измерить Smart Defense)
Комментарии
1. Значение "< 1" в отчете означает, что процент использования защитой процессора составляет
менее 1%.

Интерфейс командной строки Справочное руководство R75.40VS | 49


Команды сервера управления безопасностью и брандмауэра

2. Отчет, сгенерированный скриптом sdstat_analyse, вместо имени защиты может содержать


номер. Это связано с тем, что первоначальный вывод содержит идентификатор сигнатуры, но в
политике безопасности на шлюзе идентификатор отсутствует.

fw fetch
Описание Вызывает код проверки с указанного хоста и устанавливает его на ядро.
Использование fw fetch [-n] [-f <имя файла>] [-c] [-i] ведущий1 [ведущий2] ...
Синтаксис
Параметр Описание

-n Вызов политики безопасности с сервера управления безопасностью


в локальную директорию state с установкой вызванной политики
только в том случае, если она отличается от уже установленной.

-f <имя файла> Вызов политики безопасности с сервера управления безопасностью,


указанного в <имя файла>. Если имя файла не задано, используется
список в conf/masters.

-c Режим кластера: получение политики с одного из элементов


кластера, из списка ядра Check Point High Availability (CPHA).

-i Игнорирование информации о SIC (например, имя SIC) в базе


данных и использование информации, содержащейся в
conf/masters. Эта опция используется при первом вызове
политики безопасности шлюзом DAIP с сервера управления
безопасностью с измененным именем SIC.

ведущий1 Выполнение команды на обозначенном ведущем устройстве.


IP-адрес сервера управления безопасностью, c которого вызывается
политика. Вы можете указать один или несколько серверов: поиск
будет осуществляться на них в порядке их перечисления.
Если не указан ни один целевой сервер или если целевые
серверы недоступны, вызов политики осуществляется с
localhost.

fw fetchlogs
Описание fw fetchlogs вызывает файлы журналов с удаленной машины. Вы можете
использовать команды fw fetchlogs для передачи файлов журналов на машину, на которой
выполняется команда fw fetchlogs. Файлы журналов считываются из директории $FWDIR/log и в
нее записываются.
Использование fw fetchlogs [[-f имя файла] ... ] модуль
Синтаксис
Параметр Описание

-f имя файла Передаваемые файлы журналов. Имя файла может


содержать подстановочные знаки. В Solaris любой файл,
содержащий подстановочные знаки, должен быть заключен в
кавычки.
Параметр по умолчанию — *.log.
При вызове автоматически вызываются соответствующие
файлы указателей.

Интерфейс командной строки Справочное руководство R75.40VS | 50


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

модуль Имя удаленной машины, с которой вы передаете файлы


журналов.

Комментарии Файлы, передаваемые по команде fw fetchlogs, ПЕРЕМЕЩАЮТСЯ с исходной машины


на целевую. Это означает, что после их успешного копирования они удаляются с исходной машины.
Вызов текущих данных журналов
Вызов активного файла журнала (fw.log) невозможен. Если вы хотите вызвать самые последние
данные журнала, сделайте следующее:
Выполните \, чтобы закрыть активный на данный момент файл журнала и открыть новый.
Выполните fw lslogs, чтобы увидеть имя вновь созданного файла.
Выполните fw fetchlogs -f имя файла, чтобы передать файл на машину, на которой
выполняется команда fw fetchlogs. Теперь файл доступен для просмотра в SmartView
Tracker.
После вызова файла он будет переименован. Новое имя файла создается путем объединения имени
шлюза и исходного имени файла журнала. Таким образом, новое имя файла состоит из имени шлюза
и исходного имени файла, разделенных двумя знаками "_ _" (подчеркивание).
Пример Следующая команда:
fw fetchlogs -f 2001-12-31_123414.log module3
вызывает файл журнала 2001-12-31_123414.log с Module3.
После вызова файл журнала переименовывается в:
module3_ _2001-12-31_123414.log
Дополнительная информация. См. "Руководство администратора Security Management
(R75.40VS" http://supportcontent.checkpoint.com/solutions?id=sk76540).

fw hastat
Описание Команда fw hastat отображает информацию о машинах High Availability (Высокая
доступность) и их состояниях.
Использование fw hastat [<целевая машина>]
Синтаксис
Параметр Описание

<целевая Список машин, состояние которых будет отображаться по


машина> команде. Если целевая машина не указана, будет
отображено состояние локальной машины.

fw isp_link
Описание Выводит из строя (или включает) резервированный канал Интернет-провайдера.
Использование fw isp_link [целевая машина] имя канала {up|down}
Синтаксис
Параметр Описание

целевая Имя шлюза Check Point.


машина

имя канала Имя канала провайдера, заданное на вкладке ISP-


резервирования.

Интерфейс командной строки Справочное руководство R75.40VS | 51


Команды сервера управления безопасностью и брандмауэра

Комментарии Эта команда может быть выполнена локально, на шлюзе безопасности Check Point,
или удаленно, с сервера управления безопасностью. В последнем случае должен быть задан
целевой шлюз. Чтобы эта команда работала, в момент ее выполнения шлюз безопасности Check
Point должен использовать ISP-резервирование.

fw kill
Описание Предлагает ядру остановить все процессы демонов брандмауэра. Команда
расположена в директории $FWDIR/bin на сервере управления безопасностью или машине-шлюзе.
Демоны брандмауэра и серверы безопасности при запуске записывают свои идентификаторы
процессов pid в файлы в директории $FWDIR/tmp. Эти файлы получают имя
$FWDIR/tmp/имя_демона.pid. Например, файл, содержащий идентификатор процесса демона
snmp брандмауэра, называется: $FWDIR/tmp/snmpd.pid.
Использование fw kill [-t сигнал_№] proc-name
Синтаксис
Параметр Описание

-t сигнал_№ Эта команда, доступная только в Unix, устанавливает, что если файл
$FWDIR/tmp/proc-name.pid существует, необходимо отправить сигнал с
указанным номером процессу с идентификатором, указанным в файле.
Если сигнал не задан, отправляется сигнал 15 (sigterm, или команда
завершения).

proc-name Предлагает ядру остановить все указанные процессы демонов брандмауэра.

Комментарии В Windows поддерживается только синтаксис по умолчанию: fw kill proc_name.


Если используется опция -t, то она игнорируется.

fw lea_notify
Описание Отправление события LEA_COL_LOGS всем подключенным клиентам LEA, см.
документацию "Спецификация LEA". Эта команда используется после импорта новых файлов
журналов (выполненного вручную или автоматически) в директорию $FWDIR/log во избежание
планового обновления, которое занимает 30 минут.
Ее следует запускать с сервера управления безопасностью.
Использование fw lea_notify

fw lichosts
Описание Печать списка хостов, защищаемых компонентами шлюза безопасности. Список
хостов находится в файле $fwdir/database/fwd.h
Использование fw lichosts [-x] [-l]
Синтаксис
Параметр Описание

-x Использование шестнадцатеричного
формата.

-l Использование длинного формата.

fw log
Описание fw log отображает содержимое файлов журналов.

Интерфейс командной строки Справочное руководство R75.40VS | 52


Команды сервера управления безопасностью и брандмауэра

Использование fw log [-f [-t]] [-n] [-l] [-o] [-c действие] [-h хост] [-s время
начала] [-e время окончания] [-b время начала время окончания] [-u
файл_схемы_унификации]
[-m режим_унификации(initial|semi|raw)] [-a] [-k (имя_оповещения|all)] [-g]
[файл журнала]
Синтаксис
Параметр Описание

-f [-t] Не закрывать файл по достижении конца отображаемого в


данный момент (поведение по умолчанию) файла, а продолжать
мониторинг файла журнала в течение неопределенного времени
и отображать его, пока он записывается.
Параметр -t означает, что отображение должно начаться с
конца файла, другими словами, сначала экран будет пустым и
будут отображаться только новые записи, добавленные
впоследствии.
-t должен использоваться вместе с флагом -f. Эти флаги
имеют отношение только к активным файлам.

-n Не выполнять DNS-преобразование IP-адресов в файл журнала


(поведение по умолчанию). Эта опция значительно ускоряет
процесс обработки.

-l Отображать как дату, так и время каждой записи журнала (по


умолчанию дата отображается над соответствующими записями
только один раз, затем для каждой записи журнала указывается
время).

-o Показывать подробные цепочки журналов (все сегменты, из


которых состоит запись журнала).

-c действие Отображать только события, действие которых представляет


собой действие, т.е. принять, сбросить, отклонить, авторизовать,
деавторизовать, зашифровать и расшифровать. Управляющие
действия отображаются всегда.

-h хост Отображать только журнал, источником которого является


указанный IP-адрес или имя.

-s время начала Отображать только события, зарегистрированные после


указанного времени (формат времени см. ниже). время начала
может быть датой, временем или и тем, и другим одновременно.
Если дата опущена, за дату принимается сегодняшняя.

-e время окончания Отображать только события, зарегистрированные до указанного


времени (формат времени см. ниже). время окончания может
быть датой, временем или и тем и другим одновременно.

-b время начала время Отображать только события, зарегистрированные между


окончания указанным временем начала и временем окончания (формат
времени см. ниже), каждое из которых может быть датой,
временем или и тем и другим одновременно. Если дата опущена,
за дату принимается сегодняшняя. Время начала и время
окончания предполагаются после флага.

-u Имя файла схемы унификации.


файл_схемы_унификации

Интерфейс командной строки Справочное руководство R75.40VS | 53


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

-m режим_унификации Этот флаг задает режим унификации.


initial (первоначальная) — режим по умолчанию,
задающий полную унификацию записей журналов; т.е. вывод
одной унифицированной записи для каждого идентификатора. Это
режим по умолчанию.
При его использовании вместе с -f обновления не отображаются,
а отображаются только записи, связанные с началом новых
соединений. Для отображения обновлений используйте параметр
semi.
semi (частичная) — пошаговая унификация, т.е. по каждой
записи журнала выводится запись, унифицирующая данную
запись со всеми ранее встречавшимися записями с таким же
идентификатором.
raw (без обработки) — вывод всех записей без унификации.
-a Вывод только записей журналов учета.

-k имя_оповещения Отображать только события, совпадающие с определенным типом


оповещения. По умолчанию установлено значение all, что означает
все типы оповещений.

-g Не использовать стиль с разделителями. По умолчанию:


: после имени поля
; после значения поля
файл журнала Использовать файл журнала вместо файла журнала по умолчанию.
Файлом журнала по умолчанию является $FWDIR/log/fw.log.

Где используется следующий формат даты и времени: МММ ДД, ГГГГ ЧЧ:ММ:СС. Пример: May
26, 1999 14:20:00
Возможно указать только дату в формате МММ ДД, ГГГ или только время в формате: ЧЧ:ММ:СС,
при этом, если задано только время, за дату принимается текущая дата.
Пример

Вывод [<дата>] <время> <действие> <источник> <дир и имя интерфейса> [оповещение]


[имя поля: значение поля;] ...
Каждая строка вывода состоит из одной записи журнала, поля которой имеют вышеуказанный
формат.
Пример

Интерфейс командной строки Справочное руководство R75.40VS | 54


Команды сервера управления безопасностью и брандмауэра

fw logswitch
Описание fw logswitch создает новый активный файл журнала. Текущий активный файл
журнала закрывается и переименовывается по умолчанию в
$FWDIR/log/текущая_метка_времени.log, если вы не задали другое уникальное имя. Имя по
умолчанию текущая_метка_времени.log имеет формат ГГГГ-ММ-ДД_ЧЧММСС.log. Пример:
2003-03-26_041200.log
Предупреждение:
Операция смены журнала даст сбой, если файлу журнала присвоено уже существующее имя
файла.
В Windows операция переименования даст сбой, если переименовываемый активный журнал
будет открыт во время операции переименовывания; однако смена журнала будет успешно
завершена и файлу будет присвоено имя по умолчанию
$FWDIR/log/current_time_stamp.log.
Новому созданному файлу журнала присваивается имя по умолчанию $FWDIR/log/fw.log. Старые
файлы журналов находятся в той же директории.
Сервер управления безопасностью может использовать fw logswitch для изменения файла журнала
на удаленной машине и его передачи на сервер управления безопасностью. Та же операция может быть
выполнена для удаленной машины с помощью fw lslogs (на стр. 60) и fw fetchlogs (на стр. 50).
При отправке файла журнала на сервер управления безопасностью данные сжимаются.
Использование fw logswitch [-audit] [имя файла]
fw logswitch -h хост [+|-][имя файла]
Синтаксис
Параметр Описание

-audit Выполняет смену журнала для файла аудита сервера управления


безопасностью. Это имеет отношение к локальной активации.

имя файла Имя файла, в который сохраняется журнал. Если имя не задано, файлу
присваивается имя по умолчанию.

-h хост Преобразуемое имя или IP-адрес удаленной машины (где запущен либо
шлюз безопасности, либо сервер управления безопасностью), на которой
расположен файл журнала. Сервер управления безопасностью (на
котором выполняется команда fw logswitch) должен быть определен
как один из серверов управления безопасностью хост. Кроме того, вам
нужно инициализировать SIC между сервером управления безопасностью
и хост.

+ Изменить удаленный журнал и скопировать его на локальную машину.

- Изменить удаленный журнал и переместить его на локальную машину,


тем самым удалив журнал с удаленной машины.

Комментарии Файлы создаются в директории $FWDIR/log как на хост, так и на сервере


управления безопасностью, когда заданы параметры + или -. Обратите внимание, что если - не
задан, то файл журнала на хосте будет не переименован, а удален.
Хост задан:
Имя файла задано — на хост старый файл журнала будет переименован в old_log. На
сервере управления безопасностью скопированный файл будет иметь такое же имя с
префиксом в виде имени хост. Например, команда fw logswitch -h venus +xyz создает
файл под именем venus_xyz.log на сервере управления безопасностью.
Имя файла не задано — на хост новое имя представляет собой текущую дату, например:
2003-03-26_041200.log.

Интерфейс командной строки Справочное руководство R75.40VS | 55


Команды сервера управления безопасностью и брандмауэра

На сервере управления безопасностью скопированный файл будет иметь такое же имя, но с


префиксом хост_. Например, target_2003-03-26_041200.log.
Хост не задан:
Имя файла задано — на сервере управления безопасностью старый файл журнала будет
переименован в old_log.
Имя файла не задано — на сервере управления безопасностью старый файл журнала будет
переименован в текущую дату.
Сжатие
При передаче файлов журналов с одной машины на другую они сжимаются с использованием пакета
zlib, стандартного пакета, используемого командой gzip в Unix (подробности см. в запросе на
отзывы с RFC 1950 по RFC 1952). В качестве алгоритма используется вариант метода LZ77.
Коэффициент сжатия зависит от содержимого записей журналов и с трудом поддается
прогнозированию. Двоичные данные не сжимаются, однако строковые данные, такие как имена
пользователей и URL, сжимаются.

fw mergefiles
Описание Слияние нескольких файлов журналов в один файл журнала. Созданный в результате
слияния файл можно отсортировать по времени создания записей журналов, а время можно
"зафиксировать" по часовым поясам серверов — источников журналов.
Записи журналов с одинаковым уникальным идентификатором унифицируются. Если до получения
всех сегментов определенного журнала была выполнена смена журнала, данная команда выполнит
слияние записей с одинаковым уникальным идентификаторов из двух разных файлов в одну
подробную запись.
Использование fw mergefiles [-s] [-t файл_преобразования_времени]
имя_файла_журнала_1 [... имя_файла_журнала_n] файл_вывода
Синтаксис
Параметр Описание
-s Сортировать созданный слиянием файл по полю, в котором указано
время записей журналов.
-t Фиксировать время записей журналов другого часового пояса в
файл_преобразования_в случае, если файлы журналов были созданы на серверах журналов,
ремени находящихся в другом часовом поясе.
Файл_преобразования_времени имеет следующий формат:
ip-адрес подпись_дата_время_в_секундах
ip-адрес подпись_дата_время_в_секундах
имя_файла_журнала_n Полные имена путей файла(-ов) журнала(-ов).
файл_вывода Полное имя пути выходного файла журнала.

Комментарии Не рекомендуется выполнять слияние активного в данный момент файла fw.log c


другими файлами журналов. Лучше сначала выполнить команду fw logswitch, а затем — fw
mergefiles.

fw monitor
Описание Контроль трафика является неотъемлемой частью диагностики проблем развернутых
сетевых систем. fw monitor — это мощный встроенный инструмент, облегчающий задачу
перехвата сетевых пакетов в нескольких точках перехвата в пределах цепочки брандмауэра. Затем
эти пакеты можно проверить с помощью стандартных инструментов.
Во многих развернутых системах и во многих случаях оказания поддержки перехват сетевых пакетов
является важнейшей функцией. Для этой задачи обычно используются инструменты tcpdump или
snoop. fw monitor наделен большей функциональностью, при этом не предъявляет многих
требований и не несет рисков этих инструментов.
Отсутствие брешей в системе безопасности — tcpdump и snoop обычно используются с
сетевыми картами в режиме перехвата всех пакетов. К сожалению, в этом режиме возможны

Интерфейс командной строки Справочное руководство R75.40VS | 56


Команды сервера управления безопасностью и брандмауэра

удаленные атаки на эти инструменты. fw monitor не использует режим перехвата всех пакетов.
Более того, повышается надежность большинства рабочих систем межсетевой защиты. В
большинстве случаях такое повышение защиты включает удаление инструментов типа tcpdump
или snoop из-за их высокого риска для безопасности.
Доступность на всех шлюзах безопасности — fw monitor является встроенным
инструментом межсетевой защиты, не требующим отдельной установки в случае, если
требуется перехват пакетов. Он устанавливается вместе с пакетом FireWall.
Множество позиций перехвата в пределах цепочки ядра брандамауэра — fw monitor
позволяет осуществлять перехват пакетов в нескольких позициях перехвата в пределах цепочки
ядра брандмауэра: как входящих, так и исходящих. Это позволяет контролировать пакет с
использованием разных возможностей брандмауэра.
Один инструмент и синтаксис на всех платформах — еще одним важным моментом является
доступность fw monitor на разных платформах. Инструменты типа snoop или tcpdump часто
зависят от платформ или имеют особые "расширения" на определенных платформах. fw
monitor и все его функции и синтаксис абсолютно идентичны на всех платформах. Благодаря
этому нет необходимости в изучении новых "хитростей" на неизвестной платформе.
Как правило, модули ядра Check Point используются для выполнения ряда операций с пакетами
(таких как фильтрация, шифрование и расшифровка, QoS …). fw monitor дополняет их
собственными модулями для перехвата пакетов. Поэтому fw monitor способен перехватывать все
пакеты, обнаруживаемые и/или передаваемые брандмауэром.
Одновременно может быть запущен только один экземпляр fw monitor.
Чтобы остановить перехват пакетов инструментом fw monitor, используется ^C (т.е. Control + C).
Использование fw monitor [-u|s] [-i] [-d] [-D] <{-e expr}+|-f <файл-фильтра|->>
[-l len] [-m маска] [-x offset[,len]] [-o <файл>] <[-pi поз] [-pI поз] [-po поз]
[-pO поз] | -p all > [-a] [-ci количество] [-co количество] [-h] -T
Синтаксис
Параметр Описание

-u|s Печать UUID или SUUID: Опция –u или –s используется для печати
идентификаторов UUID или SUUID для каждого пакета. Обратите
внимание, что вывести на печать можно либо UUID, либо SUUID, но
не оба идентификатора.

-i Запись стандартного вывода: Используется, когда нужно


проверить, сразу ли записываются полученные данные по каждому
пакету в стандартный вывод. Это имеет смысл, если вы хотите
прекратить работу fw monitor и хотите, чтобы все данные были
записаны в файл.

[-d] [-D] Отладка fw monitor: Опция -d предназначена для запуска fw monitor


в режиме отладки. Это позволит вам получить представление о
внутренних механизмах работы fw monitor. Эта опция редко
используется вне Check Point. –D также можно использовать для
создания еще более подробного вывода.

<{-e expr}+|-f Фильтрация пакетов fw monitor: fw monitor обладает возможностью


перехватывать только интересующие вас пакеты. Для определения
<файл-фильтра|->>
перехватываемых пакетов фильтры fw monitor используют
подмножество INSPECT. Задайте выражение фильтра:
в командной строке с помощью переключателя –e.
считав его из файла с помощью переключателя -f.
считав его из стандартного ввода с помощью переключателя -f.

Интерфейс командной строки Справочное руководство R75.40VS | 57


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

-l len Ограничение длины пакета: fw monitor позволяет вам


ограничить пакетные данные, которые будут считываться из ядра,
с помощью -l. Это особенно полезно, если вам требуется отладка
связи c высокой степенью защиты. Данная опция позволяет
перехватывать только заголовки пакета (например, IP- и TCP-
заголовок), пропуская полезные данные. Таким образом, вы
можете осуществлять отладку связи без просмотра собственно
передаваемых данных. Еще одна возможность — ограничение
объема данных. Если для отладки вам не нужны полезные
данные, то, пропуская их, вы можете уменьшить место,
занимаемое файлом. Это также очень полезно для уменьшения
потерь пакетов на сильно загруженных машинах. Для передачи
пакетов из ядра в пользовательское пространство fw monitor
использует буфер. Если вы уменьшите размер одного пакета, этот
буфер будет заполняться не так быстро.

-m маска Настройка масок перехвата: По умолчанию fw monitor


перехватывает пакеты до и после виртуальной машины в обоих
направлениях. Эти позиции можно изменить. Данная опция
позволяет указать, какие из четырех позиций вам интересны.

-x offset[,len] Печать пакетных/полезных данных: Помимо IP-заголовка и


заголовка передачи с помощью опции –x fw monitor может
печатать необработанные данных пакетов. По желанию возможно
также отправлять все записанные данные только на экран.

-o <файл> Запись вывода в файл: Сохранение необработанных пакетных


данных в файл в стандартном формате (RFC 1761). Файл может
быть проанализирован с использованием таких инструментов, как
snoop, tcpdump или Ethereal.
Примечание: формат snoop-файла обычно используется для
хранения кадров 2-го уровня. Для "нормальных" файлов перехвата
это означает, что кадр содержит такие данные, как MAC-адрес
источника и адресата. fw monitor работает на ядре брандмауэра и
потому не имеет доступа к информации 2-го уровня, такой как
MAC-адреса. Вместо записи случайных MAC-адресов fw monitor
включает такую информацию как имя интерфейса, направление и
позиция в цепочке в качестве "MAC-адресов".

-T Печать меток времени в микросекундах. -T требуется только


тогда, когда не используется -o. Когда -o используется, по
умолчанию точное время записывается в snoop-файл по
корсиканскому времени.

<[-pi поз] [-pI поз] Установка модуля цепочки fw monitor в определенной


[-po поз] [-pO поз] | позиции: Помимо масок перехвата (которые позволяют смотреть
-p all > на пакеты в определенной позиции) fw monitor дает возможность
определять точное место в цепочке брандмауэра, в котором
должен осуществляться перехват пакетов. Его можно задать с
помощью этих опций.

Интерфейс командной строки Справочное руководство R75.40VS | 58


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

-a Использование абсолютных позиций в цепочке: Если вы


используете fw monitor для вывода перехвата в файл (опция –o),
одно из полей, записываемых в файл перехвата, представляет
собой позицию модуля цепочки fw monitor. При одновременном
выполнении цепочки fw ctl вы можете определить место
перехвата пакета. Это особенно полезно при использовании –p all,
когда один и тот же пакет перехватывается несколько раз в разных
позициях цепочки. Опция –a изменяет идентификатор цепочки с
относительного значения (который имеет смысл только при
соответствующем выводе цепочки fw ctl) на абсолютное
значение. Эти абсолютные значения известны инструменту
CPEthereal и могут им отображаться.

[-ci количество] [-co Перехват определенного количества пакетов: fw monitor


количество] позволяет ограничить количество перехватываемых пакетов. Это
целесообразно в ситуациях, когда брандмауэр фильтрует
большие объемы трафика. В таких ситуациях fw monitor может
связывать так много ресурсов (для записи в консоль или в файл),
что распознавание последовательности прерывания (Control-C)
может занять очень много времени.

-h Отображает использование.

Пример Самый простой способ использовать fw monitor — запустить его без каких-либо
параметров. В этом случае команда будет выводить каждый пакет с каждого интерфейса,
проходящий шлюз Check Point (или по крайней мере доходящий до него). Обратите внимание, что
один и тот же пакет появляется несколько раз (в приведенном ниже примере — два раза). Это
связано с тем, что fw monitor перехватывает пакеты в разных точках перехвата.
Вывод

Первой строкой вывода fw monitor является

Этот пакет был перехвачен на первом сетевом интерфейсе (eth0) во входящем направлении до
виртуальной машины (строчная i). Длина пакета составляет 285 байтов (указана в квадратных
скобках с повтором в конце строки). Обратите внимание, что два значения могут различаться.
Идентификатор пакета — 1075. Пакет был отправлен с 192.0.2.133 на 192.0.2.2 и содержит TCP-
заголовок/полезные данные.

Интерфейс командной строки Справочное руководство R75.40VS | 59


Команды сервера управления безопасностью и брандмауэра

Второй строкой вывода fw monitor является


TCP: 1050 -> 18190 ...PA. seq=bf8bc98e ack=941b05bc
Вторая строка говорит нам о том, что внутри IP-пакета находятся полезные данные TCP,
отправленные с порта 1050 на порт 18190. Следующий элемент отображает набор флагов TCP (в
данном случае PUSH и ACK). Последние два элемента показывают порядковый номер (seq=bf8bc98e)
TCP-пакета и подтверждающий порядковый номер (ack=941b05bc). Аналогичная информация
отображается для UDP-пакетов.
Вторая строка отображается только в том случае, если используемый протокол передачи данных
известен инструменту fw monitor. Примерами известных протоколов являются TCP, UDP и ICMP. Если
протокол передачи данных неизвестен или не может быть проанализирован, потому что он
зашифрован (например, ESP) или инкапсулирован (например, GRE), вторая строка отсутствует.
Дополнительная информация. См. решение SecureKnowledge sk30583
(http://supportcontent.checkpoint.com/solutions?id=sk30583).

fw lslogs
Описание Отображение списка файлов журналов, находящихся на удаленной или локальной
машине. Вам необходимо инициализировать SIC между сервером управления безопасностью и
удаленной машиной.
Использование fw lslogs [[-f <имя файла>] ...] [-e] [-s name | size | stime
| etime] [-r] [<машина>]
Синтаксис
Параметр Описание

-f <имя Список отображаемых файлов. Имя файла может содержать


файла> подстановочные знаки. В Unix любой файл, содержащий
подстановочные знаки, должен быть заключен в кавычки.
Параметр по умолчанию — *.log.

-e Показать расширенный список файлов. Он включает следующие


данные:
Size — размер файла и относящихся к нему файлов-указателей.
Creation Time — время создания файла журнала.
Closing Time — время закрытия файла журнала.
Log File Name — имя файла.
-s Задать порядок сортировки файлов журналов с помощью следующих
опций сортировки:
name — имя файла.
size — размер файла.
stime — время создания файла журнала.
etime — время закрытия файла журнала.
По умолчанию выбрана опция stime.

-r Перевернуть порядок сортировки (по убыванию)

<машина> Имя машины, на которой расположены файлы. Это может быть шлюз
или сервер журнала. По умолчанию используется localhost.

Пример В этом примере показан расширенный список файлов, который вы видите при
использовании команды fw lslogs -e:

Интерфейс командной строки Справочное руководство R75.40VS | 60


Команды сервера управления безопасностью и брандмауэра

fw putkey
Описание Установка пароля аутентификации Check Point на хосте. Этот пароль используется
для аутентификации внутренней связи между шлюзами безопасности и между шлюзом безопасности
Check Point и его сервером управления безопасностью. Пароль предназначен для аутентификации
канала управления при первом установлении связи. Эта команда требуется для сценариев обратной
совместимости.
Использование fw putkey [-opsec] [-no_opsec] [-ssl] [-no_ssl] [-k num] [-n <мое
имя>] [-p <пароль>] хост...
Синтаксис
Параметр Описание

-opsec Разрешены только управляющие соединения.

-no_opsec Разрешены только управляющие соединения OPSEC.

-ssl Ключ используется для SSL-соединения.

-no_ssl Ключ не используется для SSL-соединения.

-k num Длина первой цепочки паролей S/Key для аутентификации fwa1


(собственный протокол аутентификации фирмы Check Point). По умолчанию
равна 7. Когда остается меньше 5 паролей, хосты совместно
пересматривают цепочку длиной 100 с использованием длинного
произвольного секретного ключа. Относительно небольшое значение по
умолчанию обеспечивает быстрое завершение первой цепочки, созданной
использованием короткого пароля, введенного пользователем.

-n <мое имя> IP-адрес (в записи через точку), используемый шлюзом безопасности Check
Point при идентификации этого хоста для всех других хостов, например,
вместо преобразования команды hostname.

-p <пароль> Ключ (пароль). Если вы не ввели пароль в командную строку, он будет у вас
запрошен.

хост IP-адрес(-а) или преобразуемое имя(-ена) другого хоста(-ов), на котором вы


устанавливаете ключ (пароль). Это должен быть IP-адрес интерфейса,
расположенного "ближе всего" к хосту, на котором выполняется команда. В
противном случае вы получите сообщения об ошибках, такие как:
"./fwd: Authentication with hostname for command sync failed"
(Не удалось выполнить аутентификацию с именем хоста для синхронизации
команд)

Комментарии Эта команда никогда не используется в скрипте.

fw repairlog
Описание fw repairlog восстанавливает файлы-указатели файла журнала. Три файла:
name.logptr, name.loginitial_ptr и name.logaccount_ptr воссоздаются из данных,
содержащихся в указанном файле журнала. Сам файл журнала изменяется только в том случае, если
задан флаг -u.
Использование fw repairlog [-u] файл журнала

Интерфейс командной строки Справочное руководство R75.40VS | 61


Команды сервера управления безопасностью и брандмауэра

Синтаксис
Параметр Описание

-u Означает необходимость восстановления цепочек унификации в файле


журнала.

файл журнала Имя восстанавливаемого файла журнала.

fw sam
Описание Управление сервером мониторинга подозрительной активности (SAM). SAM-сервер
используется для блокировки соединений с IP-адресами и от IP-адресов без необходимости
изменения политики безопасности.
Команды SAM регистрируются в журнале. Эта команда используется (дополнительно) для
мониторинга активных запросов SAM (см. опцию -M).
Для настройки SAM-сервера на сервере управления безопасностью или шлюзе безопасности
отредактируйте страницу Advanced > SAM (Дополнительно > SAM) объекта — шлюза безопасности
Check Point на панели инструментов SmartDashboard.
Использование Добавить/отменить правило SAM по критериям:
fw sam [-v][-s <сервер sam>][-S <имя sic сервера>][-f <хост fw>][-t тайм-аут][-l
журнал][-C] -<n|i|I|j|J> <Критерии>
Удалить все правила SAM:
fw sam [-v][-s <сервер sam>][-S <имя sic сервера>][-f <хост fw>] -D
Осуществлять мониторинг всех правил SAM:
fw sam [-v][-s <сервер sam>][-S <имя sic сервера>][-f <хост fw>] -M -ijn all
Осуществлять мониторинг правил SAM по критериям:
fw sam [-v][-s <сервер sam>][-S <имя sic сервера>][-f <хост fw>] -M –ijn
<Критерии>
Синтаксис
Параметр Значение

-v Режим расширенного вывода. Записывает одно сообщение (с


указанием успешного или неуспешного выполнения команды) в
stderr для каждой машины — шлюза безопасности, на которой
выполняется команда.

-s сервер_sam IP-адрес (в формате записи через точку) или преобразуемое имя


хоста с брандмауэром, на котором выполняется команда. По
умолчанию используется localhost.

-S Имя SIC для сервера SAM, c которым осуществляется связь.


имя_sic_сервера Предполагается, что у сервера SAM будет это имя SIC, иначе
соединение не удастся. Если имя SIC сервера не предоставлено,
соединение будет продолжено без сопоставления имен SIC.
Подробнее об активации SIC см. в "API-спецификации OPSEC"

Интерфейс командной строки Справочное руководство R75.40VS | 62


Команды сервера управления безопасностью и брандмауэра

Параметр Значение

-f <хост fw> Укажите хост, машину шлюза безопасности, на котором должно


выполняться действие.
хост может иметь одно из следующих значений (по умолчанию All):
localhost — укажите компьютер, на котором запущен сервер
SAM, для выполнения на нем действия.
Имя объекта или группы — действие выполняется на этом объекте
или, если этот объект является группой, на каждом объекте в
группе.
Gateways — действие, выполняемое на брандмауэрах,
определенных как шлюзы и управляемых сервером управления
безопасностью, на котором запущен сервер SAM.
All — выполняется на брандмауэрах, управляемых сервером
Smart-Center, на котором запущен сервер SAM.
-D Отмена всех команд запрета (-i, -j,-I,-J) и уведомления (-n). Чтобы
"отменить запрет" запрещенных соединений, выполните fw sam с
параметрами -C или - D. Эту команду также можно использовать для
активных запросов SAM.

-C Отмена команды запрета соединений с указанными параметрами. Эти


соединения больше не будут запрещены (не будут отклоняться или
сбрасываться). Параметры команды должны совпадать с параметрами в
исходной команде, за исключением параметра -t (тайм-аут).

-t тайм-аут Период времени (в секундах), в течение которого будет выполняться


действие. По умолчанию установлено значение "всегда" или "до
отмены".

-l журнал Тип журнала для регистрации выполняемых действий может быть


одним из следующих: nolog, long_noalert, long_alert. По
умолчанию выбран тип long_alert.

-n Уведомление или создание длинноформатной записи журнала.


Генерирует оповещение при прохождении соединений, совпадающих с
указанными службами или IP-адресами, через брандмауэр. Это
действие не запрещает и не закрывает соединений.

-i Запретить (не пропускать) новые соединения с указанными


параметрами. Каждое запрещенное соединение регистрируется по типу
журнала. Совпадающие соединения отклоняются.

-I Запретить новые соединения с указанными параметрами и закрыть все


существующие соединения с указанными параметрами. Каждое
запрещенное соединение регистрируется по типу журнала.
Совпадающие соединения отклоняются.

-j Запретить новые соединения с указанными параметрами. Каждое


запрещенное соединение регистрируется по типу журнала. Соединения
сбрасываются.

-J Запретить новые соединения с указанными параметрами и закрыть все


существующие соединения с указанными параметрами. Каждое
запрещенное соединение регистрируется по типу журнала. Соединения
сбрасываются.

-M Мониторинг активных запросов SAM c указанными действиями и


критериями.

all Получить все активные запросы. Только для целей мониторинга.

Интерфейс командной строки Справочное руководство R75.40VS | 63


Команды сервера управления безопасностью и брандмауэра

Критерии использования предназначены для сопоставления соединений и состоят из


различных комбинаций следующих параметров.
<ip источника><сетевая маска источника><ip назначения><сетевая маска назначения>
<служба><протокол>
Возможные комбинации:

Синтаксис
Параметры критериев Описание

src <ip> Сопоставить IP-адрес источника соединения.

dst <ip> Сопоставить IP-адрес назначения соединения.

any <ip> Сопоставить либо IP-адрес источника, либо IP-


адрес назначения соединения.

subsrc <ip> <сетевая Сопоставить IP-адрес источника соединений по


маска> сетевой маске.

subdst <ip> <сетевая Сопоставить IP-адрес назначения соединений по


маска> сетевой маске.

subany <ip> <сетевая Сопоставить либо IP-адрес источника, либо IP-


маска> адрес назначения соединений по сетевой маске.

srv <ip источника> <ip Сопоставить определенный IP-адрес источника, IP-


назначения> <служба> адрес назначения, службу и протокол.
<протокол>

subsrv <ip источника> Сопоставить определенный IP-адрес источника, IP-


<сетевая маска> <ip адрес назначения, службу и протокол. IP-адреса
назначения> <сетевая источника и назначения присваиваются по сетевой
маска> <служба> маске.
<протокол>

subsrvs <ip источника> Сопоставить определенный IP-адрес источника,


<сетевая маска источника> сетевую маску источника, сетевую маску
<ip назначения> <служба> назначения, службу и протокол.
<протокол>

subsrvd <ip источника> Сопоставить определенный IP-адрес источника, IP-


<ip назначения> <сетевая адрес назначения, сетевую маску назначения,
маска назначения> службу и протокол.
<служба> <протокол>

dstsrv <ip назначения> Сопоставить определенный IP-адрес назначения,


<служба> <протокол> службу и протокол.

Интерфейс командной строки Справочное руководство R75.40VS | 64


Команды сервера управления безопасностью и брандмауэра

Параметры критериев Описание

subdstsrv <ip назначения> Сопоставить определенный IP-адрес назначения,


<сетевая маска> <служба> службу и протокол. IP-адрес назначения
<протокол> присваивается по сетевой маске.

srcpr <ip> <протокол> Сопоставить IP-адрес источника и протокол.

dstpr <ip> <protocol>


Сопоставить IP-адрес назначения и протокол.
<протокол>

Сопоставить IP-адрес источника и протокол


subsrcpr <ip> <сетевая
соединений. IP-адрес источника присваивается по
маска> <протокол>
сетевой маске.

Сопоставить IP-адрес назначения и протокол


subdstpr <ip> <сетевая
соединений. IP-адрес назначения присваивается по
маска> <протокол>
сетевой маске.

Пример Эта команда запрещает все соединения, созданные на louvre, в течение 10 минут.
Соединения, сделанные в течение этого времени, будут отклонены:
fw sam -t 600 -i src louvre
Эта команда запрещает все FTP-соединения, передаваемые из подсети louvre в подсеть eifel.
Все существующие открытые соединения будут закрыты. Новое соединение будет сброшено, при
этом ведется журнал и отправляется оповещение:
fw sam -l long_alert -J subsrvs louvre 255.255.255.0 eifel 21 6
Предыдущая команда будет выполняться всегда или до ее отмены следующей командой:
fw sam -C -l long_alert -J subsrvs louvre 255.255.255.0 eifel 21 6
Эта команда осуществляет мониторинг всех активных запросов на "запрет" или "уведомление SAM",
для которых lourve является адресом источника или назначения:
fw sam -M -nij any lourve
Эта команда отменяет команду в первом примере:
fw sam -C -i src louvre

fw stat
Описание Команда fw stat используется для просмотра политики, установленной на шлюзе, и
защищаемых интерфейсов.
Примечание: cpstat является расширенной версией fw stat

Использование
fw stat -l
fw stat -s
Синтаксис
Параметр Описание

-l Показать длинный, подробный список установленных политик.

-s Показать краткую сводку установленных политик.

Примеры

Интерфейс командной строки Справочное руководство R75.40VS | 65


Команды сервера управления безопасностью и брандмауэра

Под защитой находятся два интерфейса. Стрелки показывают направление пакетов.


После установки политики вывод имеет следующий вид:

Данный вывод показывает, что ни одной политики не установлено и интерфейсы не защищены.

fw tab
Описание Команда fw tab позволяет просматривать содержимое таблиц ядра и изменять
содержимое динамических таблиц ядра. Статические таблицы ядра изменению не подлежат.
Таблицы ядра (также известные как таблицы состояний) используются для хранения информации о
состояниях, требуемой виртуальной машине брандмауэра и другим компонентам шлюза
безопасности для правильной проверки пакета. Таблицы фактически представляют собой "память"
виртуальной машины в ядре и являются ключевым компонентом технологии Stateful Inspection от
Check Point. Таблицы состояний реализованы как динамические хеш-таблицы в памяти ядра. Все
значения полей представлены в шестнадцатеричном формате, кроме значения тайм-аута в конце
записи (если есть).
Использование fw tab [-t <таблица>] [-s] -c] [-f] [-o <имя файла>] [-r] [-u | -m
<макс значения>] [[-x | -a} -e запись] [-y] [имя хоста]"
Синтаксис
Параметр Описание

- t <таблица> Указывает таблицу для команды.

-s Отображает краткую сводку информации таблицы(-ц).

-y Не делать запросы пользователю перед выполнением каких-либо команд.

-f Отображает отформатированную версию содержимого таблицы. Каждая


таблица может иметь свой собственный особый стиль форматирования.

-o <имя файла> Выводит данные, отформатированные в режиме CL, в файл с указанным


именем, который позднее может быть прочитан командой fw log или любым
другим элементом, способным читать форматы журналов FW.

-c Отображает отформатированную табличную информацию в обычном


формате.

-r Преобразует IP-адреса в отформатированном выводе.

-x, -a, -e Вы можете добавить запись в существующую динамическую таблицу или


удалить из нее с помощью флагов -a или -x соответственно. После этих
флагов должен стоять флаг -e с описанием записи (<запись>).

Предупреждение: неправильное использование флагов -a и -x


может привести к нестабильности системы.

[имя хоста] Список одного или нескольких целевых хостов. Если он не указан, в качестве
целевого хоста по умолчанию используется локальная машина.

Пример fw tab -t <имя таблицы> -a -e "1,2;3,4,5" или


fw tab -t <имя таблицы> -a -e "<1,2;3,4,5>"
добавляет запись: <00000001,00000002,00000003,00000004,00000005,>в таблицу<имя
таблицы>
fw tab -t <имя таблицы> -a -e "1,2," или
fw tab -t <имя таблицы> -a -e "<1,2>"
добавляет запись только с ключевым полем: <00000001,00000002>

Интерфейс командной строки Справочное руководство R75.40VS | 66


Команды сервера управления безопасностью и брандмауэра

Если таблица <имя таблицы> содержит следующую запись:


<0000000,00000001,00000002>, то
fw tab -t <имя таблицы> -x -e "0,1" или
fw tab -t <имя таблицы> -x -e "0,1;2"

удаляет эту запись из указанной таблицы.


Комментарии Если у таблицы имеется атрибут "expire" (срок действия), то записям, добавленным с
помощью флага -a, присваивается тайм-аут таблицы по умолчанию.
Эта функция действует только в таблицах ядра локальной машины и не действует в таблицах
удаленной машины подобно дополнительным командам fw tab.
Флаг -x можно использовать независимо от флага -e, в случае чего удаляется все содержимое
таблицы.
Этот элемент следует использовать только для целей отладки. Не рекомендуется произвольно
изменять содержимое таблицы ядра, так как это может привести к непредвиденным результатам, в
том числе к непредвиденным последствиям для безопасности и связи.

fw ver
Описание Отображение старшего и младшего номера версии и номера сборки шлюза
безопасности.
Использование fw ver [-k][-f <имя файла>]
Синтаксис
Параметр Описание

-k Печать имени версии и номера сборки модуля ядра.

-f <имя файла> Печать имени версии и номера сборки в указанный файл.

fwm
Описание Выполнение операций управления на шлюзе безопасности. Осуществляет контроль за
fwd и всеми демонами Check Point.
Использование fwm

fwm dbimport
Описание Импортирует пользователей в базу данных пользователей Check Point из внешнего
файла. Вы можете создать этот файл самостоятельно или использовать файл, созданный по команде
fwm dbexport.
Использование fwm dbimport [-m] [-s] [-v] [-r] [-k ошибки] [-f файл] [-d
разделитель]
Синтаксис
Параметр Описание

-m Если в файле импорта встретится существующий пользователь, то


значения по умолчанию данного пользователя будут заменены
значениями, содержащимися в шаблоне (шаблон по умолчанию или
указанный в списке атрибутов для данного пользователя в файле
импорта), а первоначальные значения будут проигнорированы.

-s Подавляет предупреждающие сообщения, выдаваемые при замене


значений существующего пользователя значениями, содержащимися в
файле импорта.

Интерфейс командной строки Справочное руководство R75.40VS | 67


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

-v режим расширенного вывода

-r fwm dbimport удалит всех существующих пользователей в базе данных.

-k errors Продолжать обработку, пока не встретятся ошибки nеrror.


Отсчет строк в сообщениях об ошибках начинается с 1, включая строку
атрибутов и считая пустые строки и строки, снабженные комментариями.

-f файл Имя файла импорта. Файлом импорта по умолчанию является


$FWDIR/conf/user_def_file. См. также требования в разделе "Формат
файла" на стр. 72.

-d delim Задает разделитель, отличный от значения по умолчанию (;).

Комментарии Разделяемый секретный ключ IKE не работает при экспорте с одной машины и
импорте на другую.
Чтобы исключить зависимость от предыдущих значений базы данных, используйте флаг -r вместе с
флагом –m.
Формат файла
Файл импорта должен соответствовать следующему порядку использования:
Первая строка в файле представляет собой список атрибутов.
Списком атрибутов может быть любой частичный набор следующего набора атрибутов, при
условии что указано name (имя):

Атрибуты должны отделяться друг от друга знаком-разделителем.


Разделителем по умолчанию является знак ";". Однако вы можете использовать другой знак-
разделитель, задав опцию -d в командной строке.
В остальной части файла находятся строки с указанием значений атрибутов для каждого
пользователя. Значения отделяются таким же знаком-разделителем, который используется для
списка атрибутов. Пустое значение атрибута означает, что нужно использовать значение по
умолчанию.
Для атрибутов, содержащих список значений (например, дни), значения следует заключать в
фигурные скобки, т.е. {}. Значения в списке должны отделяться запятыми. Если в списке
имеется только одно значение, скобки можно опустить. Знак "+" или "-", присоединенный к
списку значений, означает, что значения, содержащиеся в списке, нужно добавить к значениям
текущего пользователя по умолчанию или удалить из них. В противном случае действием по
умолчанию является замена существующих значений.
Допустимыми значениями атрибута "дни" являются: MON, TUE, WED, THU, FRI, SAT, SUN.
Допустимыми значениями метода аутентификации являются: Undefined, S/Key, SecurID, Unix
Password, VPN-1 & FireWall-1 Password, RADIUS, Defender.
Время должно быть в формате hh:mm.
Дата должна быть в формате dd-mmm-yy, где mmm — это один из месяцев {Jan, Feb, Mar, Apr,
May, Jun, Jul, Aug, Sep, Oct, Nov, Dec}.
Если используется метод аутентификации S/Key, следует предоставить все другие атрибуты
этого метода.
Если используется метод аутентификации пароля Check Point, следует также указать
действительный пароль Check Point. Пароль должен быть зашифрован с помощью функции
encrypt языка Си.

Интерфейс командной строки Справочное руководство R75.40VS | 68


Команды сервера управления безопасностью и брандмауэра

Значения, связанные с методами аутентификации, отличающиеся от указанного, игнорируются.


В поле userc задаются параметры соединений SecuRemote пользователя, а именно следующие
три параметра:
key encryption method (метод шифрования ключей) — DES, CLEAR, Any
data encryption method (метод шифрования данных) — DES, CLEAR, Any
integrity method - MD5,[blank] (метод контроля целостности данных - MD5, [пусто]) = без
контроля целостности данных.
"Any" (Любой) означает наилучший метод из доступных для соединения. Это зависит от
методов шифрования, доступных на обеих сторонах соединения. Например,
{DES,CLEAR,} означает: методом шифрования ключей является DES; без шифрования
данных; без контроля целостности данных.
Строка, начинающаяся со знака "!" считается комментарием.

fwm expdate
Описание Изменение срока действия полномочий всех пользователей и администраторов.
Использование fw expdate dd-mmm-1976
Комментарии Дата может быть изменена с помощью фильтра.
Пример fw expdate 02-mar-2003 -f 01-mar-2003

fwm dbexport
Описание Экспорт базы данных пользователей Check Point в файл. Файл может быть в
одном из следующих форматов:
такое же использование, как файл импорта для fwm dbimport
формат LDIF, который может быть импортирован на сервер LDAP с помощью ldapmodify
Использование Для экспорта базы данных пользователей в файл, который можно использовать с
помощью команды fwm dbimport:
fwm dbexport [ [-g группа | -u пользователь ] [-d разделитель]
[-a {атриб1, атриб2, ...} ] [-f файл] ]
Для экспорта базы данных пользователей в виде LDIF-файла:
fwm dbexport -l -p [-d] -s subtree [-f файл] [-k разделяемый ключ IKE]
Синтаксис
Параметр Описание

-g группу Задает экспортируемую группу (группа). Пользователи группы не


экспортируются.

-u пользователь Задает экспорт только одного пользователя (пользователь).

-d Флаг отладки

-a {атриб1, атриб2, Задает экспортируемые атрибуты в виде списка, разделенного


...} запятыми, между знаками "{}", например, -a {имя,дни}. Если имеется
только один атрибут, "{}" можно опустить.

-f файл Означает имя файла вывода. По умолчанию файлом вывода является


$FWDIR/conf/user_def_file.

-l Создать файл в формате LDIF для импорта сервером LDAP.

-p Имя профиля.

Интерфейс командной строки Справочное руководство R75.40VS | 69


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

-s Ветвь, под которую нужно добавлять пользователей.

-k Это разделяемый секретный ключ IKE учетной единицы (соответствует


IKE Key (Ключ IKE) на вкладке Encryption (Шифрование) окна Account
Unit Properties (Свойства учетной единицы)).

Комментарии Примечание:
Разделяемый секретный ключ IKE не работает при экспорте с одной машины и импорте на другую.
Если вы задали список атрибутов с помощью параметра -a, а затем импортировали созданный
файл по команде fwm dbimport, неэкспортированные атрибуты будут удалены из базы данных
пользователей.
fwm dbexport и fwm dbimport (кроме использования в формате LDIF) не могут
экспортировать и импортировать группы пользователей. Для экспорта и импорта базы данных
пользователей, включая группы, сделайте следующее:
* Выполните fwm dbexport на сервере управления безопасностью, являющемся источником
базы данных.
* Вручную создайте группы на сервере управления безопасностью, являющемся сервером
назначения.
* Выполните fwm dbimport на сервере управления безопасностью, являющемся сервером
назначения.
Пользователи будут добавлены в группы, к которым они относились на сервере управления
безопасностью, являющемся их источником.
Если вы хотите импортировать разные группы пользователей в разные ветви, выполните fwm
dbexport по разу для каждого поддерева, например:

Затем последовательно экспортируйте отдельные файлы на сервер LDAP. О том, как это
сделать, см. в документации по вашему серверу LDAP.
LDIF-файл представляет собой текстовый файл, который вы, возможно, захотите
отредактировать перед его импортом на сервер LDAP. Например, в базе данных пользователей
Check Point именами пользователей фактически могут быть логины (такие как "maryj"), тогда как
на сервере LDAP различимым именем должно быть полное имя пользователя ("Mary Jones"), а
"maryj" должно быть логином.
Пример Допустим, база данных пользователей содержит двух пользователей: "maryj" и "ben".
fwm dbexport -l -s o=WidgetCorp,c=us
создает LDIF-файл, состоящий из двух записей со следующими именами:
cn=ben,o=WidgetCorp,c=us
cn=maryj,o=WidgetCorp,c=us

fwm dbload
Описание Загрузка базы данных пользователей и информации о сетевых объектах на
выбранные целевые машины. Если целевая машина не указана, база данных загружается на
локальный хост.
Использование fwm dbload [-all | -conf <файл конфигурации>] [<целевые машины>]
Синтаксис
Параметр Описание

-all Выполнить команду на всех целевых машинах, указанных в файле


системной конфигурации по умолчанию ($FWDIR/conf/sys.conf).
Этот файл необходимо создать вручную.

Интерфейс командной строки Справочное руководство R75.40VS | 70


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

-conf <файл Разрешены только управляющие соединения OPSEC.


конфигурации>

<целевые машины> Выполнить команду на обозначенных целевых машинах.

fwm ikecrypt
Описание Командная строка fwm ikecrypt предназначена для шифрования пароля
пользователя SecuRemote по протоколу IKE. Полученный в результате этого текст должен храниться
в базе данных LDAP.
Использование fwm ikecrypt разделяемый-секретный-ключ пароль-пользователя
Синтаксис
Параметр Описание

разделяемый- Ключ IKE, определенный на вкладке Encryption (Шифрование) окна


секретный-ключ LDAP Account Unit Properties (Свойства учетной единицы LDAP).

пароль-пользователя Пароль пользователя SecuRemote.

Комментарии Внутренний ЦС должен быть создан до реализации шифрования IKE. Внутренний ЦС


создается во время первоначальной конфигурации сервера управления безопасностью, после установки.

fw getcap
Описание Командная строка fwm getcap запрашивает перехват пакетов.
Использование fwm getcap -g <шлюз> -u "{CAP_ID}" [-p <путь>] [-c <домен>]
Синтаксис
Параметр Описание

-g Имя хоста шлюза

-u UID перехвата

-p Имя пути вывода

-c Имя хоста сервера управления доменом

fwm load
Описание Компиляция и установка политики безопасности или специальной версии политики
безопасности на целевых шлюзах безопасности. Это делается одним из двух способов:
fwm load компилирует и устанавливает файл скрипта проверки (*.pf) на указанные шлюзы
безопасности.
fwm load преобразует файл базы правил (*.W), созданный графическим пользовательским
интерфейсом, в файл скрипта проверки (*.pf), а затем устанавливает его на указанные шлюзы
безопасности.
Версии политики безопасности и базы данных хранятся в репозитории версий на сервере управления
безопасностью. С помощью этой команды вы можете установить специальные версии политики
безопасности на шлюзе (локальном или удаленном) без изменения определения активной в данный
момент версии базы данных на сервере управления безопасностью.
Для защиты целевой машины вам необходимо загрузить политику, содержащую правила с
подходящей для целевой машины областью действия. Если на целевой машине не применяется ни
одно из правил, то весь передаваемый через нее трафик блокируется.

Интерфейс командной строки Справочное руководство R75.40VS | 71


Команды сервера управления безопасностью и брандмауэра

Использование fwm load [-p <имя подключаемого продукта>] [-S] <имя версии базы
правил> <целевые машины>
Синтаксис
Параметр Описание

-s Целевыми являются шлюзы UTM-1 Edge.

-p Задает имя продукта, если это применимо.

база правил База правил, созданная графическим пользовательским


интерфейсом. Указывается имя базы правил, такое как Standard (с
учетом регистра).

-v номер версии Извлечь политику безопасности из репозитория версий. Номер версии


представляет собой номер политики безопасности, под которым она
сохранена в репозитории версий.

целевые машины Выполнить команду на обозначенной целевой машине.

Пример Следующая команда позволяет установить политику безопасности standard на


целевом шлюзе johnny.
fwm load -v18 Standard johnny

fwm lock_admin
Описание Просмотр и разблокировка заблокированных администраторов.
Использование fwm lock_admin [-v][-u администратор][-ua]
Синтаксис
Параметр Описание

-v Просмотр имен всех заблокированных администраторов.

-u администратор Разблокировать одного администратора.

-ua Разблокировать всех заблокированных администраторов.

fwm logexport
Описание fwm logexport экспортирует файл журнала в файл ASCII.
Использование fwm logexport [-d разделитель] [-i имя файла] [-o файл вывода] [-
n] [-p] [-f] [-m <initial | semi | raw>] [-a]
Синтаксис
Параметр Описание

-d разделитель Задает знак-разделитель для вывода. По умолчанию задана точка с


запятой (;).

-i имя файла Имя входного файла журнала. По умолчанию выбран активный файл
журнала fw.log

-o файл вывода Имя файла вывода. По умолчанию осуществляется вывод на экран.

Интерфейс командной строки Справочное руководство R75.40VS | 72


Команды сервера управления безопасностью и брандмауэра

Параметр Описание

-n Не выполнять DNS-преобразование IP-адресов в файл журнала (эта


опция значительно ускоряет процесс обработки).

-p Не выполнять преобразование сервисов. При этом отображается номер


сервисного порта.

-f Если это активный файл журнала (fw.log), подождать новых записей и


экспортировать их в файл вывода ASCII по мере их появления.

-m Этот флаг задает режим унификации.


initial (первоначальная) — режим по умолчанию. Полная
унификация записей журнала; т.е. выводится одна
унифицированная запись по каждому идентификатору.
semi (частичная) — пошаговая унификация, т.е. по каждой
записи журнала выводится запись, унифицирующая данную запись
со всеми ранее встречавшимися записями с таким же
идентификатором.
raw (без обработки) — вывод всех записей без унификации.
-a Показать только записи журналов учета (по умолчанию отображаются
все записи).

Комментарии Управление выводом fwm logexport с помощью logexport.ini


Вы можете управлять выводом команды fwm logexport, создав файл под именем logexport.ini
и поместив его в директорию conf: $FWDIR/conf. Файл logexport.ini должен быть в следующем
формате:

Обратите внимание, что:


первым всегда идет поле num, и им нельзя управлять с помощью logexport.ini
<REST_OF_FIELDS> представляет собой зарезервированный маркер, который указывает на
список полей. Его использование необязательно. Если опция -f задана,
<REST_OF_FIELDS> определяется списком полей, взятым из файла logexport_default.C.
Если опция -f не задана, <REST_OF_FIELDS> будет определяться указанным входным
файлом журнала.
Необязательно указывать как включенные_поля, так и исключенные_поля.
Формат:
Вывод fwm logexport представлен в табличном формате. В первой строке таблицы перечислены
все поля, включенные в последующие записи. Каждая из последующих строк состоит из одной записи
журнала, поля которой отсортированы в том же порядке, что и в первой строке. Если в записи нет
информации по определенному полю, данное поле остается пустым (что обозначается двумя точками
с запятыми подряд).
Пример

Интерфейс командной строки Справочное руководство R75.40VS | 73


Команды сервера управления безопасностью и брандмауэра

fwm sic_reset
Описание Сброс внутреннего ЦС и удаление всех сертификатов из внутреннего ЦС и самого
внутреннего ЦС. Инициализация внутреннего ЦС после выполнения sic_reset осуществляется по
команде cpconfig. В случае выполнения данной команды все ключи IKE, сертифицированные
внутренним ЦС, следует удалить (с помощью SmartConsole).
Использование fwm sic_reset
Синтаксис
Параметр Описание

sic_reset Сброс SIC-сертификатов внутреннего ЦС и удаление внутреннего


ЦС.

fwm unload <targets>


Описание Удаление загруженного в данный момент кода проверки с выбранных целевых
объектов.
Использование fwm unload <целевые машины>[-all | -conf файл конфигурации]
Синтаксис
Параметр Описание

целевые машины Выполнить команду на обозначенных целевых объектах.

-all Выполнить команду на всех целевых объектах, указанных в


файле системной конфигурации по умолчанию
($FWDIR/conf/sys.conf). Этот файл необходимо создать
вручную.

conf файл Выполнить команду на целевых машинах, указанных в файле


конфигурации файл конфигурации.

fwm ver
Описание fwm ver отображает номер сборки.
Использование fwm ver [-f <имя файла>]

fwm verify <имя-политики>


Описание Команда fwm verify <имя-политики> проверяет указанный пакет политики без его
установки.
Использование fwm verify <имя-политики>
Синтаксис
Параметр Описание

<имя-политики> Имя доступного пакета политики.

Интерфейс командной строки Справочное руководство R75.40VS | 74


Команды сервера управления безопасностью и брандмауэра

GeneratorApp
Описание Создание отчета для SmartReporter. Оба параметра командной строки являются
обязательными.
Использование GeneratorApp [Директория/""] {Идентификатор отчета}
Синтаксис
Аргумент Описание

Директория Директория результата (т.е. место, в которое помещается результат).

Идентификатор Идентификатор отчета, необходимый для формирования командной строки.


отчета Идентификатор отчета должен быть заключен в фигурные скобки.
Список всех идентификаторов отчетов приведен в разделе
"Предопределенные отчеты" приложения В "Руководства администратора
SmartReporter R75.40VS"
(http://supportcontent.checkpoint.com/solutions?id=sk76540).

Пример Для автоматического определения директорий "". В этом случае директория должна
быть такой:
<Местоположение результата>/<Имя отчета>/<Дата и время создания>

inet_alert
Описание Уведомление Интернет-провайдера компании об атаке на ее корпоративную сеть.
Утилита inet_alert направляет сообщения, создаваемые демоном оповещения, на внешнюю
станцию управления, которая обычно располагается на сайте провайдера. После этого провайдер
может проанализировать оповещение и принять решение об ответных действиях.
Для отправки оповещения inet_alert использует протокол ELA Protocol. На станции
управления, получающей оповещение, должен быть запущен прокси-сервер ELA.
Если связь с прокси-сервером ELA подлежит аутентификации или шифрованию, между станцией
управления, на которой запущен прокси-сервер ELA, и шлюзом безопасности, создавшем
оповещение, должен произойти обмен ключами.
Для использования этой утилиты введите ее в скрипт. Откройте Global Properties > Logs and alert >
alert commands >early versions compatibility > run 4.x alert script (Общие свойства > Журналы и
оповещение > команды оповещения > совместимость с предыдущими версиями > выполнить скрипт
оповещения 4.x) и введите имя скрипта.
Использование inet_alert -s ipaddr [-o] [-a тип аутентификации] [-p порт] [-f
значение маркера] [-m тип оповещения]
Синтаксис
Параметр Значение

-s ip-адрес IP-адрес (в записи через точку) прокси-сервера ELA, с которым


осуществляется связь.
-o Печать журнала оповещения, полученного по команде inet_alert на
stdout. Эта опция используется, когда inet_alert является частью
конвейера.
-a тип Тип соединения с прокси-сервером ELA. Одно из следующих значений:
аутентификации ssl_opsec. Означает, что соединение аутентифицировано и
зашифровано (по умолчанию)
auth_opsec. Означает, что соединение аутентифицировано.
clear. Означает, что соединение не аутентифицировано, не
зашифровано.

Интерфейс командной строки Справочное руководство R75.40VS | 75


Команды сервера управления безопасностью и брандмауэра

Параметр Значение

-p порт Номер порта прокси-сервера ELA. По умолчанию — 18187.


-f значение Поле, добавляемое в журнал, в котором представлена следующая пара
маркера маркер-значение:
маркер — это имя поля, добавляемого в журнал. маркер не может
содержать пробелов.
значение — это значение поля. значение не может содержать
пробелов.
Эту опцию можно использовать несколько раз, чтобы добавить в журнал
несколько пар маркер-значение.
Если маркер представляет собой зарезервированное имя поля журнала, то в
соответствующем столбце SmartView Tracker появится значение указанного
поля. В противном случае пара маркер-значение будет отображена в
столбце Info (Информация) SmartView Tracker.

-m тип Оповещение, запускаемое на сайте провайдера. Это оповещение замещает


оповещения оповещение, указанное в сообщении журнала, созданном демоном
оповещения.
Ответ на оповещение зависит от действий, предусмотренных политикой
безопасности провайдера.
Следующие оповещения приводят к выполнению команд ОС, заданных в
соответствующих полях вкладки Log and Alert (Журнал и оповещение) окна
Properties Setup (Настройка свойств) в Global Properties (Общие свойства):
alert. Команда всплывающего оповещения.
mail. Команда оповещения по почте.
snmptrap. Команда SNTP-ловушки.
spoofalert. Команда оповещения антиспуфинга.
Следующие оповещения NetQuota и ServerQuota приводят к выполнению
команд ОС, заданных в: $FWDIR/conf/objects.C:
значение=clientquotaalert.
параметр=clientquotaalertcmd

Возвращаемое значение
статус выхода значение

0 Выполнено успешно.

102 Неустановленная ошибка.

103 Невозможно выделить память.

104 Невозможно получить данные журнала от stdin.

106 Недопустимые аргументы командной строки.

107 Не удалось запустить API OPSEC.

Пример inet_alert -s 10.0.2.4 -a clear -f product cads -m alert


Эта команда означает, что в случае атаки утилита inet_alert должна выполнить следующие действия:
Установить прозрачное соединение с прокси-сервером ELA, расположенным по IP-адресу
10.0.2.4.
Отправить сообщение журнала на указанный прокси-сервер ELA. Поле с указанием продукта в
данном сообщении журнала должно быть установлено на "cads". Это значит, что в столбце
product (продукт) SmartView Tracker будет отображено "cads".
Интерфейс командной строки Справочное руководство R75.40VS | 76
Команды сервера управления безопасностью и брандмауэра

Запустить команду ОС, заданную в поле Popup Alert Command (Команда всплывающего
оповещения) вкладки Log and Alert (Журнал и оповещение) окна Properties (Свойства) на
панели инструментов SmartDashboard.

ldapcmd
Описание ldapcmd используется для управления процессами, выполняемыми на шлюзе
безопасности совместно или по отдельности. Включает:
Кэш
операции кэширования, такие как очистка кэша, а также снабжение информацией об отладке.
Статистика
статистика поиска, как то:
все операции пользовательского поиска.
поиски, ожидающие выполнения (в случае двух или более идентичных поисков).
общее время поиска (общее время определенного поиска).
статистика кэша, такая как совпадения и несовпадения.
Регистрация в журнале
просмотр журнала оповещений и предупреждений об отладке.
Использование ldapcmd -p имя_процесса | all команда [-d уровень_отладки]
[арг_команды] c одним из следующих значений command (команда):
cacheclear (all, или UserCacheObject, или TemplateCacheObject, или
TemplateExtGrpCacheObject)
cachetrace (all, или UserCacheObject, или TemplateCacheObject, или
TemplateExtGrpCacheObject)
stat [print_interval (интервал сброса в сек) или 0 (выключение статистики) ]
log (on или off)
Синтаксис
Аргумент Описание

-p выполнить указанный процесс или выполнить


все процессы.

command задать команду.

log указать, нужно ли создавать журналы LDAP.

ldapcompare
Описание ldapcompare используется для выполнения запросов на сравнение и печати
сообщения об обнаружении совпадения в результате поиска. ldapcompare открывает соединение с
сервером каталогов LDAP, присваивает значения и выполняет сравнение, заданное в командной
строке или в указанном файле.
Использование ldapcompare -d [опции] dn атрибут значение
Синтаксис
Аргумент Описание

-d Флаг отладки

Интерфейс командной строки Справочное руководство R75.40VS | 77


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

опции См. ниже.

dn Различимое имя — объект.

атрибут Атрибут различимого имени — объекта.

значение Значение атрибута различимого имени — объекта.

К опциям ldapcompare относятся следующие:


-u -— включить в вывод имена записей, удобные для пользователей.
-d <уровень> — установить уровень отладки LDAP на "level" (уровень).
-F sep — печать "sep" вместо "=" между именами и значениями атрибутов.
-f <файл> — выполнить последовательность сравнений, перечисленных в "файле".
-D <различимое имя> — присвоить различимое имя.
-w <пароль> — присвоить пароль (для простой аутентификации).
-h <хост> — сервер LDAP.
-p <порт> — порт на сервере LDAP.
-T <тайм-аут> — тайм-аут на стороне клиента для всех операций (в миллисекундах).
-l <ограничение времени> — ограничение времени на стороне сервера (в секундах) для
сравнения.
-z <ограничение размера> — ограничение размера на стороне сервера (в записях) для
сравнения.

ldapconvert
Описание ldapconvert — это утилита для переключения из режима Member (Элемент) в
режим MemberOf (Элемент группы/шаблона). Это делается путем поиска всех указанных записей
группы/шаблона и вызова значений атрибутов Member.
Каждое значение представляет собой различимое имя записи-элемента. К записи, названной данным
именем, будет добавлено значение атрибута MemberOf доступного различимого имени
группы/шаблона. Кроме того, если не установлен режим Both (Оба), данные значения атрибутов
Member будут удалены из группы/шаблона.
При выполнении программы в текущей директории генерируется файл журнала под именем
ldapconvert.log, в котором регистрируются все сделанные изменения и обнаруженные ошибки.
Использование ldapconvert -d -h <хост> -p <порт> -D user_DN -w <секретный ключ>
[-g group_DN | -f <файл>] -m mem_attr -o memberof_attr –c
memberobjectclass[дополнительные опции]
Синтаксис
Аргумент Описание

-d Флаг отладки.

-h <хост> IP-адрес сервера LDAP.

-p <порт> Номер порта сервера LDAP.

-D user_DN Имя связывания LDAP.

-w <секретный ключ> Пароль связывания LDAP.

-g group_DN Различимое имя преобразуемой группы или шаблона. Может


встречаться несколько раз, обозначая разные записи.

Интерфейс командной строки Справочное руководство R75.40VS | 78


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

-f файл Файл, содержащий список различимых имен группы, каждое из


которых разделено новой строкой.

-m mem_attr Имя атрибута LDAP при вызове и (возможно) удалении значения


атрибута Member (Элемент).

-o memberof_attr Имя атрибута LDAP при добавлении значения атрибута "MemberOf"


(Элемент группы/шаблона).

–c memberobjectclass Значение атрибута класса-объекта LDAP, которое определяет


изменяемый тип записей элемента. Может встречаться несколько
раз, формируя комбинированный фильтр.

дополнительные опции См. ниже

К дополнительным опциям ldapcomvert относятся следующие:


-M — максимальное количество одновременно обновляемых элементов LDAP (по умолчанию - 20).
-B — переключить в режим Both (Оба).
-p <port> — порт LDAP (по умолчанию — 389).
-T <тайм-аут> — тайм-аут на стороне клиента для операций LDAP в миллисекундах; по
умолчанию имеет значение "never" (никогда).
-l <ограничение времени> — ограничение времени на стороне сервера для операций LDAP в
секундах; по умолчанию имеет значение "never" (никогда).
-s — ограничение размера на стороне сервера для операций LDAP (в записях); по умолчанию
имеет значение "none" (отсутствует).
-z — использовать SSL.
Комментарии Перед запуском программы преобразования рекомендуется создать резервную копию
сервера LDAP на случай возникновения неисправимых ошибок.
Существует два режима GroupMembership (Членство в группах): "шаблон в группы" и "пользователь
в группы". Использование этих режимов должно быть согласованным. Например, если вы применили
преобразование к пользователям LDAP, чтобы включить в их группы атрибуты 'MemberOf', то это же
преобразование должно быть выполнено в указанных шаблонах LDAP для их групп.
Почему команда, выполняемая с опцией –M, дает сбой?
Эта программа прерывается с выдачей сообщения о неожиданном разъединении соединения.
Это означает, что серверу LDAP не удалось обработать такое множество запросов LDAP
одновременно, поэтому соединение было закрыто. Решение заключается в повторном выполнении
программы с меньшим значением опции –M (значение по умолчанию должно подойти, но и оно может
привести к сбою соединения в экстремальной ситуации). Уменьшайте значение до тех пор, пока не
будет выполнен нормальный выход из программы. При каждом выполнении программы с одинаковым
набором групп программа установит, где она остановилась.
Пример Группа определяется различимым именем: cn=cpGroup,ou=groups, ou=cp, c=il
и следующими атрибутами:

Для записей 2 элементов:

и:

Интерфейс командной строки Справочное руководство R75.40VS | 79


Команды сервера управления безопасностью и брандмауэра

Выполните ldapconvert со следующими аргументами:

Для различимого имени группы результат будет следующим:

Для записей 2 элементов результат будет следующим:

Выполнение этой команды с опциями –B даст такой же результат, но групповая запись не изменится.
При наличии еще одного значения атрибута элемента для такой же групповой записи:

и при шаблоне:

после выполнения такой же командной строки запись шаблона останется неизменной, потому что в
командной строке задана опция –c fw1Person, а шаблон 1 имеет класс-объект fw1Template.

ldapmodify
Описание ldapmodify импортирует пользователей на сервер LDAP. Входной файл должен
быть в формате LDIF.
Использование ldapmodify -a -c -d -h <хост> -p <порт> -D <различимое имя админа
LDAP> -p
<пароль админа LDAP> -f <имя файла экспорта>.ldif -d
Синтаксис
Аргумент Описание

-a Добавить пользователей.

-c Продолжить при ошибках.

-h <хост> IP-адрес сервера LDAP.

-d Флаг отладки.

Интерфейс командной строки Справочное руководство R75.40VS | 80


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

-p <порт> Номер порта сервера LDAP.

-D <различимое имя Различимое имя администратора LDAP.


админа LDAP>

-p <пароль админа LDAP> Пароль администратора LDAP.

-f <имя файла Задает имя входного файла. Этот файл должен быть
экспорта>.ldif в формате LDIF.

Комментарии Вы можете импортировать базу данных пользователей управления безопасностью на


сервер LDAP, сначала создав LDIF-файл по команде fwm dbexport, а затем использовав
ldapmodify.
Перед импортом подготовьте директорию LDAP следующим образом:
Убедитесь, что корневая ветвь определена на вашем сервере LDAP как допустимая ветвь.
Перезапустите сервер LDAP.
Создайте ветвь, в которую будут импортированы пользователи, либо с помощью опции Create
Tree Object (Создать объект-дерево) на клиенте управления учетными записями или по команде
ldapmodify:

Пример Импорт пользователей с помощью ldapmodify:


1. Экспортируйте пользователей c помощью fwm dbexport с hello1234 в качестве разделяемого
секретного ключа.

2. Создайте ветвь "o=bigcorp,c=uk".


3. Импортируйте пользователей:

4. Определите учетную единицу с использованием этих параметров.

ldapsearch
Описание ldapsearch отправляет запросы в директорию LDAP и возвращает результаты.
Использование ldapsearch [опции] filter [атрибуты] -d
Синтаксис
Аргумент Описание

опции Опции. Атрибуты опций см. ниже.

filter Фильтр поиска LDAP, соответствующий требованиям RFC-1558.


Например, objectclass=fw1host.

атрибуты Список извлекаемых атрибутов. Если атрибуты не указаны,


извлекаются все атрибуты.

-d Флаг отладки.

Опции имеют следующие атрибуты:


Интерфейс командной строки Справочное руководство R75.40VS | 81
Команды сервера управления безопасностью и брандмауэра

-A — извлекать только имена атрибутов (без значений).


-B — не подавлять значения не в ASCII-формате.
-D bindDN — различимое имя, используемое для привязки к серверу LDAP.
-F разделитель — печать разделителя между именем и значением атрибута вместо "=".
-h хост — сервер LDAP, идентифицируемый по IP-адресу или преобразуемому имени.
-l ограничение времени — ограничение времени на стороне сервера для поиска (в секундах).
-p номер порта — номер порта. По умолчанию это стандартный LDAP-порт 389.
-S атрибут — сортировать результаты по значениям атрибута.
-s scope — одно из следующих: "base", "one", "sub".
-b — различимое имя базы для поиска.
-t — записать значения в файлы /tmp. Каждая пара "атрибут-значение" записывается в
отдельный файл под именем: /tmp/ldapsearch-<атрибут>-<значение>.
Например, для атрибута fw1color записанный файл получает имя.
/tmp/ldapsearch-fw1color-a00188.
-T тайм-аут — тайм-аут на стороне клиента (в миллисекундах) для всех операций.
-u -— показать в выводе имена записей, удобные для пользователей. Например, показать
"cn=Babs Jensen, users, omi" вместо "cn=Babs Jensen, cn=users,cn=omi"
-w пароль — пароль.
-Z — шифрование с помощью SSL.
-z ограничение размера — ограничение размера на стороне сервера для поиска (в записях).
Пример ldapsearch -p 18185 -b cn=omi objectclass=fw1host objectclass
Это значит, что директория LDAP будет опрошена на предмет объектов fw1host с использованием
порта номер 18185 с общим различимым именем "omi". По каждому найденному объекту будет
напечатано значение атрибута objectclass.

log_export
Описание log_export — это утилита, позволяющая передавать данные журнала во внешнюю
базу данных. Эта утилита ведет себя как клиент LEA. LEA (API экспорта журнала) позволяет
экспортировать данные журнала шлюза безопасности в сторонние приложения. log_export
получает журналы с сервера управления безопасностью через LEA, чтобы ее можно было запускать с
любого хоста, имеющего SIC-соединение с сервером управления безопасностью и определенного как
хост OPSEC. Для работы с log_export необходимо иметь общее представление и практические
знания о следующем:
Администрирование базы данных Oracle
LEA
Использование log_export [-f файл_конфигурации] [-l <ip_адрес_сервера_lea>] [-g
имя_файла_журнала,имя_файла_журнала,...] [-t <имя_таблицы_базы_данных>] [-p
<пароль_базы_данных>][-h] [-d].
Синтаксис
Аргумент Описание

-f файл_конфигурации Файл конфигурации, из которого утилита log_export


считывает параметры файла журнала. Если
файл_конфигурации не указан, файлом конфигурации по
умолчанию является log_export.conf, расположенный в
рабочей на данный момент директории.

Интерфейс командной строки Справочное руководство R75.40VS | 82


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

-l <ip_адрес_сервера_lea> IP-адрес сервера LEA.

-g Список разделенных запятыми имен файлов журналов, из


имя_файла_журнала,имя_файла которых будут взяты журналы.
_журнала,...

-t Имя таблицы в базе данных, в которую будут добавлены


<имя_таблицы_базы_данных> журналы.

p <пароль_базы_данных> Пароль для входа в базу данных. Если вы не хотите


указывать пароль в файле конфигурации по соображениям
безопасности, вы можете ввести пароль в командную строку,
где он никуда не будет сохранен.

-h Показать использование log_export.

-d Показать информацию об отладке.

Дополнительная информация. Подробнее о LEA см. в "Спецификации LEA (API экспорта


журнала) Check Point"
Комментарии На данное время поддерживается только база данных Oracle.
Перед выполнением log_export необходимо установить и сконфигурировать клиент Oracle.
Убедитесь в том, что:
переменная среды ORACLE_HOME задана правильно.
$ORACLE_HOME/lib находится в каталоге, соответствующем переменной среде PATH (ПУТЬ) на
платформе Windows или LD_LIBRARY_PATH — на платформах Solaris и Linux.
Если log_export запущен с другой машины, необходимо установить и сконфигурировать
SmartReporter, как минимум.
Файл конфигурации log_export
log_export имеет файл конфигурации. Файл конфигурации представляет собой файл набора
Check Point и должен быть сконфигурирован в соответствии с правилами. Файл конфигурации
содержит параметры по умолчанию для log_export. log_export считывает все параметры из
файла конфигурации, указанного в командной строке.
Изменение файла конфигурации
Параметры log_export заданы в файле конфигурации. Чтобы изменить параметры, вы можете
либо изменить файл конфигурации, либо использовать командную строку. Любой параметр,
введенный с помощью командной строки, замещает параметры в файле конфигурации.
Изменение файла конфигурации выполняется по следующим параметрам:
строка_соединения_базы_данных — строка, определяющая сервер базы данных Oracle.
Например, имя сервера.
имя_таблицы_базы_данных — имя таблицы в базе данных, в которую будут добавлены
журналы.
создать_таблицу_базы_данных — создание таблицы базы данных со следующими
доступными опциями:
1 — создать новую таблицу в базе данных
0 — использование существующей таблицы.
Если таблица существует, журналы будут добавлены в эту таблицу. Для этого нужно, чтобы
существующая таблица имела такой же формат, что и добавляемые журналы. Если вы ввели
0, а таблицы нет, вы получите сообщение об ошибке. По умолчанию выбрана опция 1.
имя_пользователя_базы_данных — имя пользователя для входа в базу данных.
пароль_базы_данных — пароль для входа в базу данных.
ip_адрес_сервера_регистрации — IP-адрес сервера LEA.

Интерфейс командной строки Справочное руководство R75.40VS | 83


Команды сервера управления безопасностью и брандмауэра

порт_сервера_регистрации — номер порта сервера LEA. По умолчанию это LEA-порт 18184.


имя_файла_журнала — список имен файлов журналов, из которых будут взяты журналы.
поля_журнала — имя файла журнала, под которым он известен серверу LEA.
имя_поля_базы_данных — имя поля журнала, которое он имеет в таблице базы данных.
тип_поля_базы_данных — тип поля журнала в таблице базы данных. Этот параметр может
иметь одно из следующих значений:
STRING (СТРОКА)
NUMBER (НОМЕР)
DATE (ДАТА)
размер_поля_базы_данных — размер поля в таблице базы данных. Этот параметр нужен
только, если тип_поля_базы_данных имеет значение STRING или NUMBER.
Пример Пример файла конфигурации

queryDB_util
Описание queryDB_util позволяет осуществлять поиск в объектной базе данных в
соответствии с параметрами поиска.

Интерфейс командной строки Справочное руководство R75.40VS | 84


Команды сервера управления безопасностью и брандмауэра

Использование queryDB_util [-t <имя_таблицы>] [-o <имя_объекта>] [-a] [-mu


<изменил>] [-mh <хост изменения>] [-ma <изменение_после>] [-mb <изменение_до>]
[-p|m|u|h|t|f] [-f имя файла} [-h] [-q]
Синтаксис
Аргумент Описание

-t <имя_таблицы> Имя таблицы.

-o <имя_объекта> Имя объекта.

[-a] Все объекты

-mu <изменил> Имя администратора, который внес последние изменения в объект.

-mh Хост, с которого объект был изменен в последний раз.


<хост_изменения>

-ma Дата, после которой был изменен объект <[чч:мм:сс][ддмммгггг]>.


<изменение_после> Можно использовать одну из опций или обе опции. Если значение
чч:мм:сс не задано, за время по умолчанию принимается полночь
сегодняшнего дня, а если не задано значение ддмммгггг, за дату по
умолчанию принимается сегодняшняя дата на клиенте.

-mb <изменение_до> Дата, до которой был изменен объект <[чч:мм:сс][ддмммгггг]>. Можно


использовать одну из опций или обе опции. Если значение чч:мм:сс
не задано, за время по умолчанию принимается полночь
сегодняшнего дня, а если не задано значение ддмммгггг, за дату по
умолчанию принимается сегодняшняя дата на клиенте.

-p|m|u|h|t|f Короткие опции печати:


c — данные создания.
m — данные последнего изменения.
u — имя администратора (создать/изменить).
h — имя хоста (создать/изменить).
t — время (создать/изменить).
f — данные поля.
-f имя файла Имя файла вывода.

-h Показать информацию об использовании команды.

-q Выйти.

Пример Данные об изменении вывода всех объектов, измененных администратором "aa":

Интерфейс командной строки Справочное руководство R75.40VS | 85


Команды сервера управления безопасностью и брандмауэра

rs_db_tool
Описание rs_db_tool используется для управления шлюзами DAIP в базе данных DAIP.
Использование

Синтаксис
Аргумент Описание

-d файл отладки.

-operation add Добавить запись в базу данных.

<-name имя_объекта> Введите имя объекта-шлюза.

<-ip ip_модуля> Введите IP-адрес шлюза.

<-TTL время Относительный временной интервал (в секундах), в


существования> течение которого действительна запись. Нулевое
значение означает, что время "неограничено".

- operation fetch Получить запись из базы данных.

- operation delete Удалить запись из базы данных.

- operation list Перечислить все записи базы данных.

- operation sync Синхронизировать базу данных.

sam_alert
Описание Этот инструмент выполняет действия FW-1 SAM (мониторинг подозрительной
активности) в соответствии с информацией, полученной через стандартный ввод. Этот инструмент
предназначен для выполнения действий FW -1 SAM с механизмом пользовательских оповещений
FW-1.
Использование sam_alert [-o] [-v] [-s сервер_sam] [-t тайм-аут] [-f хост_fw]...
[-C] - n|-i|-I -src|-dst|-any|-srv
Синтаксис
Аргумент Описание

-o Отправляет входные данные этого инструмента в стандартный


вывод (для конвейеров).

-v Включает режим расширенного вывода (команды fw sam).

-s сервер_sam Сервер SAM, c которым осуществляется связь. По умолчанию


выбран локальный хост.

-t тайм-аут Период времени в секундах, в течение которого будет выполняться


действие. По умолчанию период не ограничен.

Интерфейс командной строки Справочное руководство R75.40VS | 86


Команды сервера управления безопасностью и брандмауэра

Аргумент Описание

-f хост_fw Обозначает брандмауэры, на которых выполняется операция. По


умолчанию установлено значение "all FireWalls" (все брандмауэры).

-C Отменяет указанную операцию.

-n Направлять уведомление при каждой передаче соединения,


отвечающего указанным критериям, через брандмауэр.

-i Запретить соединения, отвечающие указанным критериям.

-I Запретить соединения, отвечающие указанным критериям, и


закрыть все существующие соединения, отвечающие критериям.

-src Сопоставить адрес источника соединений.

-dst Сопоставить адрес назначения соединений.

-any Сопоставить адрес либо источника, либо назначения соединения.

-srv Сопоставить определенный источник, назначение, протокол и


службу.

svr_webupload_config
Эта утилита используется для конфигурирования скрипта выгрузки SmartReporter. Полная процедура
выгрузки и дополнительная информация приведены в разделе "Как выгрузить отчеты на веб-
сервер" в "Руководстве администратора SmartReporter R75.40VS"
(http://supportcontent.checkpoint.com/solutions?id=sk76540).
Использование svr_webupload_config [-i perl_int_loc] [-p rep_dir_root]
Синтаксис
Аргумент Описание

-i Определяет местоположение интерпретатора


Perl.

-p Определяет путь для виртуальной директории


отчетов.

Интерфейс командной строки Справочное руководство R75.40VS | 87


Глава 2
Команды VPN
В этой главе

Общий обзор 88
vpn crl_zap 88
pn crlview 88
vpn debug 89
vpn drv 90
vpn export_p12 90
vpn macutil 91
vpn nssm_toplogy 91
vpn overlap_encdom 91
vpn sw_topology 92
vpn tu 93
vpn ver 93

Общий обзор
Описание Команды VPN генерируют информацию о состояниях процессов VPN или
используются для остановки и запуска специальных служб VPN. Все команды VPN выполняются на
шлюзе безопасности. Команда VPN отправляет на стандартный вывод список доступных команд.
Использование vpn
Комментарии Отправляет на стандартный вывод список доступных команд.

vpn crl_zap
Описание Удаление всех списков отозванных сертификатов (CRL) из кэша.
Использование vpn crl_zap
Возвращаемое значение 0 при успешном выполнении; любое другое значение означает сбой.

vpn crlview
Описание Извлечение списка отозванных сертификатов (CRL) из разных точек распространения
и его отображение для пользователя. Существует три варианты команды:
vpn crlview -obj <MyCA> -cert <MyCert>. Демон VPN связывается с центром
сертификации, который называется MyCA, и находит сертификат под названием MyCert. Демон
VPN извлекает точку распространения сертификата из сертификата, после чего переходит в точку
распространения, которой может оказаться сервер LDAP или HTTP. Из точки распространения
демон VPN извлекает CRL и отображает его в стандартном выводе.
vpn crlview -f d:\temp\MyCert. Демон VPN направляется в указанную директорию,
извлекает точку распространения сертификата из сертификата, переходит в точку
распространения, извлекает CRL и отображает его в стандартном выводе.

Интерфейс командной строки Справочное руководство R75.40VS | 88


Команды VPN

vpn crlview -view <lastest_CRL>. Если CRL уже был извлечен, то по этой команде демон
VPN отображает содержимое стандартного вывода.
Использование vpn crlview -obj <имя объекта> -cert <имя сертификата>
vpn crlview -f <имя файла>
vpn crlview -view
Синтаксис
Параметр Описание

-obj -cert obj означает имя сетевого объекта ЦС


cert означает имя сертификата
-f Означает имя файла сертификата

-view Просмотр CRL

-d Опция отладки

Возвращаемое значение 0 при успешном выполнении; любое другое значение означает сбой.

vpn debug
Описание Командует демону VPN записать сообщения об отладке в файл журнала VPN: в
$FWDIR/log/vpnd.elg. Отладка демона VPN осуществляется по темам и уровням. Тема — это
особая область, в которой выполняется отладка; например, если темой является LDAP, весь трафик
между демоном VPN и сервером записывается в файл журнала. Уровни варьируются от 1 до 5, где 5
означает "запись всех сообщений об отладке".
Эта команда использует инфраструктуру TdError от Check Point для представления сообщений и
информации об отладки. Стандартного списка тем не существует. Он зависит от отлаживаемого
приложения или модуля.
Для отладки всех имеющихся тем в теме отладки введите: ALL (ВСЕ).
Трафик IKE тоже можно регистрировать. Он регистрируется в журнал $FWDIR/log/IKE.elg
Использование Usage: vpn debug < on [ ТЕМА_ОТЛАДКИ=уровень ] | off | ikeon |
ikeoff | trunc | timeon <СЕКУНДЫ>| timeoff
vpn debug on DEBUG_TOPIC=level |off timeon<СЕКУНДЫ>]|timeoff
vpn debug ikeon | ikeoff timeon|timeoff
vpn debug trunc
Синтаксис
Параметр Описание

on Включает высокий уровень отладки VPN.

on topic=level Включает указанную тему отладки на указанном


уровне. Сообщения журналов, связанные с этой
темой на указанном (или более высоком) уровне
отправляются $FWDIR/log/vpnd.elg

off Выключает всю отладку VPN.

timeon/timeoff Время выполнения команды отладки в секундах.

ikeon Включает регистрацию пакета IKE в журнал:


$FWDIR/log/IKE.elg

Интерфейс командной строки Справочное руководство R75.40VS | 89


Команды VPN

Параметр Описание

ikeoff Выключает регистрацию IKE

trunc Прерывает $FWDIR/log/IKE.elg, изменяет cyclic


vpnd.elg (меняет текущий файл vpnd.elg на
vpnd0.elg и создает новый vpnd.elg),
активирует отладку vpnd и ike и добавляет метку
времени в файл vpnd.elg.

Возвращаемое значение 0= при успешном выполнении; любое другое значение (обычно -1 или
1) означает сбой.
Пример vpn debug on all=5 timeon 5.
По этой команде вся информация об отладке по всем темам будет записываться в файл vpnd.elg в
течение 5 секунд.
Комментарии Журналы IKE анализируются с помощью утилиты поддержки IKEView.exe.

vpn drv
Описание Установка ядра VPN (vpnk) и подключение к ядру брандмауэра (fwk) с
присоединением драйвера VPN
к драйверу брандмауэра.
Использование vpn drv on|off
vpn drv stat
Синтаксис
Параметр Описание

on/off Запускает/выключает ядро VPN

stat Возвращает состояние ядра VPN независимо от того, включено


ли ядро

vpn export_p12
Описание Экспорт информации, содержащейся в базе данных сетевых объектов, и записывает
ее в формате PKCS#12 в файл с расширением p12.
Использование vpn export_12 -obj <сетевой объект> -cert <объект-сертификат> -
file <имя файла> -passwd <пароль>
Синтаксис
Параметр Описание

-obj Имя сетевого объекта — шлюза

-cert Имя сертификата

-file Имя, которым нужно назвать файл с расширением p12

-passwd Пароль, требуемый для открытия зашифрованного


файла p12

Возвращаемое значение 0 при успешном выполнении; любое другое значение означает сбой.
Пример vpn export_p12 -obj Gateway1 -cert MyCert -file mycert.p12 -passwd
kdd432
Интерфейс командной строки Справочное руководство R75.40VS | 90
Команды VPN

vpn macutil
Эта команда относится к сети VPN удаленного доступа, особенно работающей в офисном режиме, и
генерирует MAC-адреса для каждого удаленного пользователя. Данная команда применяется только
при выделении IP-адресов по протоколу DHCP.
Пользователи удаленного доступа, работающие в офисном режиме, получают IP-адрес,
совмещенный с аппаратным или MAC-адресом. Эта команда отображает сгенерированный
аппаратный или МAC-адрес для каждого введенного вами имени.
Использование vpn macutil <имя пользователя>
Пример vpn macutil John
Вывод

20-0C-EB-26-80-7D, "John"

vpn nssm_toplogy
Описание Создание и выгрузка топологии (в формате NSSM) на сервер NSSM для ее
использования клиентами.
Использование vpn nssm_topology -url <"url"> -dn <"различимое имя"> -name
<"имя"> -pass <"пароль"> [-action <bypass|drop>][-print_xml]
Синтаксис
Параметр Описание

-url URL сервера NSSM

-dn Различимое имя сервера NSSM, необходимое для


установления соединения SSL

-name Допустимый логин для сервера NSSM

-pass Допустимый пароль для сервера NSSM

-action Задает действие, которое должен выполнить клиент Symbian,


если пакет направлен не на IP-адрес в домене VPN.
Доступными опциями являются Bypass (Обход; по
умолчанию) или Drop (Сброс)

-print_xml Топология имеет формат XLM. Этот флаг используется для


записи этой топологии в файл в формате XLM.

vpn overlap_encdom
Описание Отображение всех перекрывающихся доменов VPN. Некоторые IP-адреса могут
принадлежать двум и более доменам VPN. Эта команда выдает оповещения в связи с
перекрывающимися доменами шифрования, если существует одно или оба следующих условия:
Для обоих шлюзов задан одинаковый домен VPN
Если на шлюзе несколько интерфейсов и у одного или нескольких интерфейсов есть одинаковый
IP-адрес и сетевая маска.
Если на шлюзе несколько интерфейсов и у одного или нескольких интерфейсов есть одинаковый IP-
адрес и сетевая маска
Использование vpn overlap_encdom [communities | traditional]
Синтаксис

Интерфейс командной строки Справочное руководство R75.40VS | 91


Команды VPN

Параметр Описание

Communities При наличии этого флага отображаются все пары объектов с


перекрывающимися доменами VPN, но только если эти объекты
(представляющие сайты VPN) входят в одно сообщество VPN. Этот
флаг также используется, если один и тот же IP назначения может
быть достигнут через несколько сообществ.

Traditional Флаг по умолчанию. Отображаются все пары объектов с


перекрывающимися доменами VPN.

Пример vpn overlap_encdom communities


Вывод

vpn sw_topology
Описание Загрузка топологии для шлюза Safe@ или Edge.
Использование vpn [-d] sw_toplogy -dir <директория> -name <имя> -profile
<профиль> [- filename <имя файла>]
Синтаксис
Параметр Описание

-d Флаг отладки

-dir Выходной каталог для файла

-name Краткое имя сайта, которое появляется на удаленном


клиенте

-profile Имя профиля Safe@ или Edge, для которого создается


топология

Интерфейс командной строки Справочное руководство R75.40VS | 92


Команды VPN

Параметр Описание

-filename Имя файла вывода

vpn tu
Описание Запуск инструмента TunnelUtil, предназначенного для управления VPN-туннелями.
Использование vpn tu
vpn tunnelutil
Пример vpn tu
Вывод

Дополнительная информация. При просмотре ассоциации безопасности для определенного


равноправного элемента IP-адрес должен быть указан в десятичном представлении через точку.

vpn ver
Описание Отображение старшего номера версии VPN и номера сборки.
Использование vpn ver [-k] -f <имя файла>
Синтаксис
Параметр Описание

ver Отображает имя версии и номер сборки версии

-k Отображает имя версии, номер сборки и номер сборки ядра

-f Печать номера версии и номера сборки в текстовый файл.

Интерфейс командной строки Справочное руководство R75.40VS | 93


Глава 3
Команды SmartView Monitor
В этой главе

Overview 94
rtm debug 94
rtm drv 94
rtm monitor <имя модуля>{<имя_интерфейса>|-filter "<комплексный фильтр>"} 95
rtm monitor <имя_модуля>-v<имя_виртуального_канала> 97
rtm rtmd 98
rtm stat 98
rtm ver 99
rtmstart 99
rtmstop 99

Общий обзор
Описание Команда rtm и все ее производные используются для выполнения операций
SmartView Monitor.

rtm debug
Описание Отправка распечаток отладки в файл $FWDIR/log/rtmd.elg.
Использование rtm debug <on | off> [OPSEC_DEBUG_LEVEL | TDERROR_<Имя
приложения>_<Тема>=<Уровень ошибки>]
Синтаксис
Параметр Описание

on Запуск режима отладки

off Выключение режима отладки

OPSEC_DEBUG_LEVEL Включение распечаток отладки OPSEC

TDERROR_RTM_ALL Включение распечаток отладки SmartView


Monitor

rtm drv
Описание Запуск, выключение или проверка состояния драйвера ядра SmartView Monitor.
Использование rtm drv <on | off | stat>
Синтаксис

Интерфейс командной строки Справочное руководство R75.40VS | 94


Команды SmartView Monitor

Параметр Описание

on Запуск драйвера ядра SmartView Monitor

off Выключение драйвера ядра SmartView Monitor

stat Состояние драйвера ядра SmartView Monitor

rtm monitor <имя модуля>{<имя_интерфейса>|-filter


"<комплексный фильтр>"}
Описание Запуск процесса мониторинга и настройка параметров мониторинга интерфейса.
Использование rtm monitor <имя_модуля><имя_интерфейса>[опции]-g<группировка>
[объект-1...объект-n]
или
rtm monitor <имя_модуля>-filter["комплексный фильтр"][опции]-g<группировка>
[объект-1...объект-n]
Синтаксис
Параметр Описание

-a <aggregate|individual>

-w <bandwidth|loss|rtt>

-t <wire|application>

-i <количество секунд>

@@ задает подправило (например, 'rule@@subrule')

значения по '-y bytes -a aggregate -w bandwidth -i2


умолчанию

типы группировки svc|src|dst|ip|fgrule|topsvc|topsrc|topdst|topip|topfw|topfgrule

имя-модуля Имя модуля SmartView Monitor.

имя-интерфейса Имя контролируемого интерфейса.

-d Задает одно из следующих направлений мониторинга:


- входящее
- исходящее
- оба

inbound Мониторинг входящего направления.

outbound Мониторинг исходящего направления.

eitherbound Мониторинг обоих направлений.

Интерфейс командной строки Справочное руководство R75.40VS | 95


Команды SmartView Monitor

Параметр Описание

-y Задает одну из следующих единиц изменения:


- байты
- пакеты
- строка

c Означает количество новых открываемых соединений в


секунду.

C Среднее количество параллельных соединений

-a Aggregate — отображает конкретный тип соединений как


единое целое.
Individual — отображает конкретный тип соединений в
отдельности. По умолчанию выбрано eitherbound.

-g Задает одну из следующих опций группировки для


контролируемого трафика:
- svc
- src
- dst
- ip
- fgrule
- topsvc
- topsrc
- topdst
- topdst
- topfwm
- topfgrule

svc Мониторинг по службе.

src Мониторинг по сетевому объекту (только источник).

dst Мониторинг по сетевому объекту (только адресат).

ip Мониторинг по сетевому объекту (источник и адресат).

fgrule Мониторинг по правилу политики QoS.

topsvc Мониторинг трафика 50 самых популярных служб.

topsrc Мониторинг трафика 50 самых популярных источников.

topdst Мониторинг трафика 50 самых популярных адресатов.

topdst Мониторинг трафика, передаваемого на и с 50 самых


популярных IP-адресов (источника или назначения).

topfwn Мониторинг по 50 самым популярным правилам Firewall.

Интерфейс командной строки Справочное руководство R75.40VS | 96


Команды SmartView Monitor

Параметр Описание

topfgrule Мониторинг по 50 самым популярным правилам QoS.

-p Определяет необходимость разделения тысяч запятыми.

-filter ["<комплексный фильтр>"] Мониторинг только трафика,


соответствующего булеву выражению комплексного
фильтра.

Пример Следующая командная строка отображает данные мониторинга в байтах в секунду по


50 самым популярным службам на любом интерфейсе в обоих направлениях:
rtm monitor localhost -filter -g topsvc
По следующей команде будут показаны данные мониторинга в параллельных соединениях по 50
самым популярным источникам на интерфейсе eth0 во входящем направлении (т.е. не telnet http).
rtm monitor localhost -filter "[and[[interface 0 [[eth0in]]][svc 1 [telnet
http]]]" -y C -g topsrc
По умолчанию осуществляет мониторинг всего трафика на любом интерфейсе в обоих направлениях.
Комментарии Определяемые объекты должны соответствовать указанной опции группировки.
Например, если процесс мониторинга осуществляется по службе (svc), все контролируемые службы
должны быть перечислены и разделены одним пробелом.
Если мониторинг осуществляется по правилу политики QoS (fgrule), то для определения объекта
подправила следует использовать 'rule@@subrule".
Нет необходимости указывать самые популярные опции группировки, так как они автоматически
контролируют 50 самых популярных объектов в соответствии с указанной группой.
Пример Следующая команда отображает данные мониторинга в байтах в секунду по 50 самым
популярным службам на интерфейсе hme1:
rtm monitor localhost hme1 -g topsvc -y b

rtm monitor <имя_модуля>-v<имя_виртуального_канала>


Описание Запуск процесса мониторинга и настройка параметров мониторинга виртуального
канала.
Использование rtm monitor <имя_модуля>-v<имя_виртуального_канала>[опции]объект-
1... объект-n
Синтаксис
Параметр Описание

имя_модуля Имя модуля SmartView Monitor.

имя-виртуального- Имя контролируемого виртуального канала.


канала

-d Задает одно из следующих направлений мониторинга:


- a2b
- b2a
- a2b_b2a

a2b Мониторинг от конечной точки А до конечной точки В.

b2a Мониторинг от конечной точки В до конечной точки А.

a2b_b2a Мониторинг обоих направлений.

Интерфейс командной строки Справочное руководство R75.40VS | 97


Команды SmartView Monitor

Параметр Описание

-y Задает одну из следующих единиц изменения. Требуется


только, если -w имеет значение bandwidth (полоса
пропускания).
- байты
- пакеты

-w Задает тип отображаемых данных.

bandwidth Отображает эффективную полосу пропускания.

loss Отображает разницу между скоростью передачи и скоростью


приема данных.

rtt Отображает время, необходимое для осуществления


передачи и подтверждения данных между двумя конечными
точками.

-t Задает тип данных. Требуется только, если -w имеет значение


bandwidth (полоса пропускания).

wire Отображает данные на проводном интерфейсе после сжатия


или зашифровки.

application Отображает данные в том виде, в котором их видит


приложение (т.е. не сжатые и не зашифрованные).

rtm rtmd
Описание Запуск демона SmartView Monitor вручную. Это же действие происходит при
выполнении rtmstart.
Использование rtm rtmd

rtm stat
Описание Отображает общее состояние SmartView Monitor. Кроме того, отображается состояние
демона, драйвера, открытых представлений и активных виртуальных каналов.
Использование rtm stat [flavor(s)] [-h] [-v[v][v]]
Синтаксис
Параметр Описание

-h Справка

-v Подробно

vl Текущие виртуальные каналы

view Текущие представления

Интерфейс командной строки Справочное руководство R75.40VS | 98


Команды SmartView Monitor

rtm ver
Описание Отображает версию SmartView Monitor.
Использование rtm ver [-k]
Синтаксис
Параметр Описание

-k Отображает версию ядра SmartView Monitor.

rtmstart
Описание Загрузка модуля ядра SmartView Monitor и запуск демона SmartView Monitor.
Использование rtmstart

rtmstop
Описание Выключение демона SmartView Monitor и отмена загрузки модуля ядра SmartView
Monitor.
Использование rtmstop

Интерфейс командной строки Справочное руководство R75.40VS | 99


Глава 4
Команды SecureClient
В этой главе

Общий обзор 100


scc connect 100
scc connectnowait 101
scc disconnect 101
scc erasecreds 101
scc listprofiles 101
scc numprofiles 102
scc restartsc 102
scc passcert 102
scc setmode <режим> 102
scc setpolicy 102
scc sp 102
scc startsc 103
scc status 103
scc stopsc 103
scc suppressdialogs 103
scc userpass 103
scc ver 103

Общий обзор
Описание Команды VPN, выполняемые на SecureClient, используются для генерирования
информации о состояниях, выключения и запуска служб или подключения к заданным сайтам с
использованием специальных пользовательских профилей. Как правило, SecureClient не требует
открытия окна ввода команды и использования этих команд, но администратор сайта при желании
может включить их в скрипт, который затем будет передан удаленным пользователям. Тем самым
интерфейс командной строки SecureClient CLI раскрывает операции SecureClient (такие как
подключение/отключение) внешним сторонним приложениям путем исполнения скрипта.
Общий формат команд SecureClient имеет следующий вид:

C:\> scc <команда> [опциональные аргументы]

Некоторые из команд вызываются комбинациями клавиш. Некоторые из команд требуют, чтобы вы


находились в режиме командной строки. Для переключения в режим командной строки используется
команда setmode. При включении режима интерфейса командной строки отключается иконка
SecureClient в области уведомлений.
Возвращаемое значение Все команды scc при успешном выполнении возвращают 0, а
при ошибке — (-1). Любой текстовый вывод при успешном выполнении переходит в
stdout (например:'scc numprofiles'), а любая ошибочная строка переходит в stderr.

scc connect
Описание Подключение к сайту с использованием указанного профиля и ожидание установления
соединения. Другими словами, ОС не переводит эту команду в фоновый режим и исполняет
следующую команду в очереди.

Интерфейс командной строки Справочное руководство R75.40VS | 100


Команды SecureClient

Использование connect [-p] <имя профиля>


Синтаксис
Аргумент Описание

-p Отображает процесс
установления соединения

Комментарии Быстрый вызов: scc c


Для выполнения этой команды вы должны находиться в режиме интерфейса командной строки.

scc connectnowait
Описание Асинхронное подключение к сайту с использованием указанного профиля. Это
означает, что ОС переходит к следующей команде в очереди, а эта команда выполняется в фоновом
режиме.
Использование connectnowait <имя профиля>
Комментарии Быстрый вызов: scc cn
Для выполнения этой команды вы должны находиться в режиме интерфейса командной строки.

scc disconnect
Описание Отключение от сайта с использованием указанного профиля.
Использование scc disconnect -p <имя профиля>
Синтаксис
Аргумент Описание

-p Отображает процесс отключения

Комментарии Быстрый вызов: scc d


Для выполнения этой команды вы должны находиться в режиме интерфейса командной строки.

scc erasecreds
Описание Сброс учетных данных для авторизации
Использование scc ersecreds
Комментарии Быстрый вызов: scc ep
Для выполнения этой команды необходимо находиться в режиме интерфейса командной строки.

scc listprofiles
Описание Перечисление всех профилей.
Использование scc listprofiles
Комментарии Быстрый вызов: scc lp
Для выполнения этой команды вы должны находиться в режиме интерфейса командной строки.

Интерфейс командной строки Справочное руководство R75.40VS | 101


Команды SecureClient

scc numprofiles
Описание Отображение количества профилей.
Использование scc numprofiles
Комментарии Быстрый вызов: scc np
Для выполнения этой команды необходимо находиться в режиме интерфейса командной строки.

scc restartsc
Описание Перезапуск служб SecureClient.
Использование scc restartsc
Комментарии Для выполнения этой команды нужны привилегии администратора.

scc passcert
Описание Установка учетных данных для аутентификации пользователя, когда аутентификация
выполняется с помощью сертификатов.
Использование scc passcert <сертификат> <пароль>
Комментарии Быстрый вызов: scc pc
Для выполнения этой команды необходимо находиться в режиме интерфейса командной строки.

scc setmode <режим>


Описание Переключение режима SecuRemote/SecureClient.
Использование scc setmode [-cli | -con]
Синтаксис
Аргумент Описание

-cli режим интерфейса командной строки

-con режим подключения

Комментарии Для выполнения этой команды нужны привилегии администратора.

scc setpolicy
Описание Включение или выключение текущей политики безопасности по умолчанию.
Использование scc setpolicy [on|off]
Комментарии Быстрый вызов: scc sp
Для выполнения этой команды нужны привилегии администратора.

scc sp
Описание Активация или деактивация текущей политики безопасности по умолчанию.
Использование scc sp
Комментарии Для выполнения этой команды необходимо находиться в режиме интерфейса
командной строки.

Интерфейс командной строки Справочное руководство R75.40VS | 102


Команды SecureClient

scc startsc
Описание Запуск служб SecureClient.
Использование scc startsc
Комментарии Для выполнения этой команды нужны привилегии администратора.

scc status
Описание Отображение состояния соединения.
Использование scc status
Комментарии Быстрый вызов: scc s

scc stopsc
Описание Выключение служб SecureClient.
Использование scc stopsc
Комментарии Для выполнения этой команды нужны привилегии администратора.

scc suppressdialogs
Описание Вывод или подавление вывода всплывающих диалоговых окон. По умолчанию вывод
диалоговых окон не подавляется.
Использование scc suppressdialogs [on|off]
Комментарии При подавлении вывода, т.е. когда используется suppressdialogs on,
отображаются только всплывающие окна с запросом учетных данных для аутентификации.
Быстрый вызов: scc sd
Для выполнения этой команды необходимо находиться в режиме интерфейса командной строки.

scc userpass
Описание Устанавливает учетные данные для аутентификации: имя пользователя и пароль.
Использование scc userpass <имя пользователя> <пароль>
Комментарии Быстрый вызов scc up
Для выполнения этой команды необходимо находиться в режиме интерфейса командной строки.

scc ver
Описание Отображает текущую версию SecureClient.
Использование scc ver

Интерфейс командной строки Справочное руководство R75.40VS | 103


Глава 5
Команды ClusterXL
В этой главе

cphaconf 104
cphaprob 105
cphastart 105
cphastop 105

cphaconf
Описание Команда cphaconf конфигурирует ClusterXL.

Важно: выполнять эту команду не рекомендуется. Она должна выполняться


автоматически только шлюзом безопасности или службой поддержки Check
Point. Единственным исключением из этого правила является выполнение
команды с опцией set_cpp, как это описано ниже.
Использование

Синтаксис
Параметр Описание

set_ccp Устанавливает, должны ли пакеты протокола


управления кластером (CCP) отправляться с
<broadcast/multicast>
широковещательным или групповым MAC-адресом
назначения. По умолчанию применяется групповой
адрес. Настройка, созданная с использованием этой
команды, сохраняется после перезагрузки.
Обратите внимание, что такое же значение
(широковещательный или групповой адрес) должно
быть установлено на всех элементах кластера.

stop_all_vs Останавливает кластерный продукт во всех


виртуальных системах на шлюзе VSX.

Интерфейс командной строки Справочное руководство R75.40VS | 104


Команды ClusterXL

cphaprob
Описание Команда cphaprob предназначена для проверки исправной работы кластера и его
элементов.
Использование

Синтаксис
Параметр Описание

cphaprob -d <устройство> Регистрация <устройства> как критического процесса и


-t <тайм-аут(сек)> -s добавление в список устройств, которые должны быть
<ok|init|problem> [-p] запущены, для того чтобы элемент кластера считался
register активным.

cphaprob -f <файл> С помощью этой команды вы можете зарегистрировать все


register пользовательские критические устройства, перечисленные в
<файл>.

cphaprob -d <устройство> Отмена регистрации <устройства>, определенного


[-p] unregister пользователем как критический процесс. Это означает, что
данное устройство больше не считается критическим.

cphaprob -a unregister Отмена регистрации всех <устройств>, определенных


пользователем.

cphaprob -d <устройство> Информирование кластера ClustreXL о состоянии


-s <ok|init|problem> пользовательского критического устройства.
report

cphaprob [-i[a]] [-e] Просмотр списка критических устройств на элементе


list кластера и всех других машин в кластере.

cphaprob state Просмотр состояния элемента кластера и всех других


элементов кластера.

cphaprob [-a] if Просмотр состояния интерфейсов элементов кластера и


виртуальных интерфейсов кластера.

cphastart
Описание При выполнении на элементе кластера команды cphastart на этом элементе
активируется ClusterXL. Команда не инициирует полную синхронизацию. Использование команды
cpstart является рекомендуемым способом запуска элемента кластера.

cphastop
Описание При выполнении на элементе кластера команды cphastop прекращается передача
трафика элементом кластера. Синхронизация состояний также прекращается. При этом все еще
возможно открывать прямые соединения с элементом кластера. В режиме High Availability Legacy
выполнение команды cphastop может привести к прекращению работы всего кластера.

Интерфейс командной строки Справочное руководство R75.40VS | 105


Глава 6
Команды Identity Awareness
В этой главе

Введение 106
pdp 107
pep 113
adlog 116
test_ad_connectivity 119

Введение
В командах интерфейса командной строки используются следующие термины:
PDP — процесс на шлюзе безопасности, отвечающий за сбор и совместное использование
идентификационных данных.
PEP — процесс на шлюзе безопасности, отвечающий за применение ограничений сетевого
доступа. Принятие решений осуществляется на основании идентификационных данных,
собранных в процессе PDP.
AD Query — модуль, отвечающий за сбор идентификационных данных объектов (пользователей
или машин) из Active Directory (AD). В предыдущих версиях AD Query назывался Identity Logging, а
в некоторых случаях его называют AD Log. adlog представляет собой процесс командной строки,
предназначенный для управления модулем AD Query и его мониторинга.
test_ad_connectivity — утилита, выполняющая проверки возможности подключения шлюза к
контроллеру домена AD.
Процессы PEP и PDP являются ключевыми компонентами системы. С их помощью администраторы
осуществляют управление пользовательским доступом и сетевой защитой.
AD Query может работать либо на шлюзе безопасности с активированным программным блейдом
Identity Awareness или на сервере регистрации. При работе на шлюзе безопасности AD Query
является элементом Identity Awareness и обеспечивает регистрацию и применение политики. При
работе на сервере регистрации AD Query обеспечивает регистрацию идентификационных данных.
Инструмент командной строки позволяет управлять статусами пользователей, а также осуществлять
диагностику неполадок и мониторинг системы.
Утилита test_ad_connectivity работает с протоколами LDAP и WMI. Она обычно используется
мастером первой установки Identity Awareness с панелью управления SmartDashboard, но при
необходимости вы можете запустить ее на шлюзе вручную.

Интерфейс командной строки Справочное руководство R75.40VS | 106


Команды Identity Awareness

pdp
Описание Обеспечивает команды для управления процессом PDP и его мониторинга.
Использование pdp [команда]... <аргумент>
Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

debug Управление сообщениями об отладке.

tracker Опции Tracker.

connections информация о соединениях pdp.

network информация о сети pdp.

status информация о состоянии pdp.

control команды управления pdp.

monitor Показать данные мониторинга.

update Переопределить членство в группах пользователей и машин (без


обновления удаленных учетных записей).

ad Операции, связанные с AD Query.

timers Показать информацию о таймерах pdp.

pdp monitor
Описание Позволяет осуществлять мониторинг состояния подключенных сеансов. Вы можете
выполнять разные запросы, используя команду в нижеуказанном порядке, чтобы получить нужный
вам вывод.
Использование pdp monitor <аргумент> <опция>
Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

all Показать информацию обо всех подключенных сеансах.

user <имя Показать информацию о сеансе пользователя с указанным


пользователя> именем.

ip <IP-адрес> Показать информацию о сеансе указанного IP.

machine <имя машины> Показать информацию о сеансе машины с указанным именем.

mad Показать все сеансы, связанные с объектом управления (т.е. все


сеансы, успешно выполнившие аутентификацию машины).

Интерфейс командной строки Справочное руководство R75.40VS | 107


Команды Identity Awareness

Аргумент Описание

client_type Показать все сеансы, подключенные через клиент указанного


[unknown|portal|"Ident типа. Возможными типами клиента являются:
ity Agent"|"AD Query"]
Unknown — пользователь был идентифицирован неизвестным
источником.
Portal — пользователь был идентифицирован порталом
авторизации.
Identity Agent — пользователь/машина был(-а) идентифицирован(-а)
агентом Identity Awareness.
AD Query — пользователь был идентифицирован модулем AD
Query.
groups <имя группы> Показать все сеансы пользователей / машин, являющихся
членами группы с указанным именем.

cv_ge <версия> Показать все сеансы, подключенные через клиент, версия


которого выше (или соответствует) указанной.

cv_le <версия> Показать все сеансы, подключенные через клиент, версия


которого ниже (или соответствует) указанной.

Пример
pdp monitor ip 10.10.10.1
Показывает подключенного пользователя за указанным IP (10.10.10.1).

Примечание: последнее поле "Published Gateways" показывает, была ли


информация о сеансе передана процессам PEP с перечисленными IP.

pdp connections
Описание Эти команды помогают при мониторинге и синхронизации связи между PDP и PEP.
Использование pdp connections <аргумент>

Интерфейс командной строки Справочное руководство R75.40VS | 108


Команды Identity Awareness

Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

pep Показать состояние соединения всех процессов PEP, которые должны быть
обновлены текущим PDP.

Пример
Каждое исходящее соединение используется для совместного использования идентификационных данных.
Каждое входящее сообщение используется, главным образом, как управляющий канал обмена
сетевыми топологиями для "умного извлечения".
Локальный PEP (с точки зрения PDP) всегда будет использовать метод "продвижения", поэтому канал
управления входящими соединениями не требуется. То же самое относится к удаленным шлюзам
PEP, использующим метод "продвижения".

pdp control
Описание Обеспечивает команды для управления процессом PDP.
Использование pdp control <аргумент> <опция>
Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

revoke_ip <IP-адрес> Выйти из сеанса, связанного с указанным IP.

revoke_pt_key Аннулировать ключ идентификации пакета, если таковой существует.


<идентификатор сеанса>

sync Принудительно выполнить инициированную операцию синхронизации


между процессами PDP и PEP. При выполнении этой команды PDP
сообщит связанным с ним PEP актуальную информацию обо всех
подключенных сеансах. По окончании этой операции PDP и PEP
будут иметь одинаковую и самую последнюю информацию о сеансах.

pdp network
Описание Предоставляет информацию об элементах, связанных с сетью.
Использование pdp network <аргумент>
Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

Интерфейс командной строки Справочное руководство R75.40VS | 109


Команды Identity Awareness

Аргумент Описание

info Показать список сетей, известных процессу PDP.

Показать привязку сетевого адреса к зарегистрированным шлюзам (модулю


registered
PEP).

pdp debug
Описание Активирует и деактивирует журналы отладки демона PDP.
Использование pdp debug <аргумент> <опция>
Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

on Включить журналы отладки (далее должна следовать команда "set",


определяющая нужный фильтр).

off Выключить журналы отладки.

set <имя темы> Фильтрация журналов отладки, которые будут записаны в файл
[critical|surprise отладки в соответствии с указанной темой и серьезностью
|
important|events| Для отладки рекомендуется выполнить:
all]… pdp debug set all all.
Обратите внимание, что вы можете указать несколько пар
"тема/серьезность".
Например: topicA severityA topicB severityB ...

unset <имя темы>… Удаление определенной темы или тем.

stat Показать состояние опции отладки.

reset Сброс опций отладки (серьезности и темы). После выполнения этой


команды отладка остается активированной.

rotate Изменить файлы журналов (увеличить индекс каждого файла


журнала) так, чтобы записываемый текущий файл журнала стал
журналом PDP. Например, pdpd.elg становится pdpd.elg.0 и т.п.

ccc [on|off] Позволяет включить или выключить запись журналов отладки ССС в
файл журнала PDP.

Интерфейс командной строки Справочное руководство R75.40VS | 110


Команды Identity Awareness

Пример

Важно: активация журналов отладки влияет на производительность


демона. Обязательно выключите отладку после завершения диагностики
неполадок.

pdp tracker
Описание Добавляет тему TRACKER в журналы PDP (включена по умолчанию). Это очень
полезно при мониторинге совместного использования идентификационных данных процессами PDP и
PEP и другой связи в распределенных средах. Вы можете сделать это вручную, добавив тему
TRACKER в журналы отладки.
Использование pdp tracker <аргумент>
Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой


команды и выйти.

on Включает регистрацию событий


TRACKER в журнале PDP.

off Выключает регистрацию событий


TRACKER в журнале PDP.

pdp status
Описание Отображает информацию о состоянии PDP, такую как время запуска или время
конфигурации.
Использование pdp status <аргумент>
Синтаксис

Интерфейс командной строки Справочное руководство R75.40VS | 111


Команды Identity Awareness

Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

show Показать информацию о PDP.

pdp update
Описание Инициирует переопределение членства в группе для всех пользователей и машин.
Обратите внимание, что удаленные учетные записи не обновляются.
Использование pdp update <аргумент>
Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

all Переопределить членство в группе для всех пользователей и машин.

Интерфейс командной строки Справочное руководство R75.40VS | 112


Команды Identity Awareness

pep
Описание Обеспечивает команды для управления процессом PEP и его мониторинга.
Использование pep [команда]... <аргумент>
Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

debug Управление сообщениями об отладке.

tracker Опции Tracker.

show Показать информацию о PEP.

Пример

pep show
Описание Отображает информацию о статусе pep.
Использование pep show <аргумент> <опция>
Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

stat См. в следующих разделах.


pdp <id|all>

user <all|query>

network
<pdp|registration>

pep show user


Описание Включает мониторинг состояния сеансов, известных процессу PEP. Вы можете
выполнять разные запросы, используя команду в нижеуказанном порядке, чтобы получить нужный
вам вывод.
Использование команды pep show user <аргумент>
Синтаксис
Аргумент Описание

all Показать все сеансы со сводными данными.

Интерфейс командной строки Справочное руководство R75.40VS | 113


Команды Identity Awareness

Пример
Вывод этой команды содержит ограниченную информацию для каждого пользователя. Для просмотра
полной информации по конкретной записи используйте команду pep show user query.

PDP IP Идентификатор сеанса PT=счетчик пакетов, не


прошедших проверку
антиспуфинговой защитой IP
(!)=обнаружена попытка атаки
"полного перебора"
Использование запроса pep show user query <Аргументы>
Синтаксис
Аргумент Описание

usr <имя Показать информацию о сеансе пользователя с указанным именем.


пользователя>

mchn <имя машины> Показать информацию о сеансе машины с указанным именем.

cid <IP> Показать информацию о сеансе указанного IP.

uid <строка uid> Показать информацию о сеансе с указанным идентификатором.

pdp <IP> Показать всю информацию о сеансе, которая была предоставлена с


указанного IP процесса PDP.

ugrp <группа> Показать все сеансы пользователей, являющихся членами группы


пользователей с указанным именем.

mgrp <группа> Показать все сеансы машин, являющихся членами группы машин с
указанным именем.

Примечание: вы можете использовать сразу несколько маркеров


(аргументов) запроса для создания между ними логической корреляции "И".
Например, для отображения всех пользователей с подстрокой "jo" И
являются частью группы пользователей "Employees" (Персонал), затем вы
можете использовать:
# pep show user query usr jo ugrp Employees

pep show pdp


Описание Включает мониторинг канала связи между PEP и PDP. В выводе отображается время
соединения и количество пользователей, разделяемых посредством соединения.
Использование команды pep show pdp <аргумент>
Синтаксис
Аргумент Описание

all Перечислить все PDP, подключенные к текущему PEP, c соответствующей


информацией.

Интерфейс командной строки Справочное руководство R75.40VS | 114


Команды Identity Awareness

Аргумент Описание

id <IP> Показать информацию о соединении указанного IP процесса PDP.

Пример
pep show pdp all

IP процесса PDP, Количество сеансов, предоставленных


подключенного к процессу PEP процессом PDP
процессу PEP 192.168.1.100 (в данном примере: 1 сеанс)

pep show stat


Описание Показывает время последнего запуска демона и время последнего получения
политики.

Важно: при каждом запуске демон загружает политику, и два таймера


(времени запуска демона и времени вызова политики) будут очень близки.
Использование pep show stat

pep show network


Описание Показывает информацию, связанную с сетью.
Использование команды pep show network <аргумент>
Синтаксис
Аргумент Описание

pdp Показывает информацию о привязке сети и процессов PDP.

registration Показывает, в каких сетях зарегистрирован данный PEP.

pep debug
Описание См. отладку pdp (на стр. 110).

Интерфейс командной строки Справочное руководство R75.40VS | 115


Команды Identity Awareness

adlog
Описание Обеспечивает команды для управления процессом AD Query и его мониторинга.
При работе на шлюзе безопасности AD Query является элементом Identity Awareness, который
обеспечивает регистрацию и применение политики. В этом случае командная строка имеет
следующий вид: adlog a <аргумент> (опции см. ниже)
При работе на сервере регистрации AD Query обеспечивает регистрацию идентификационных
данных. В этом случае командная строка имеет следующий вид: adlog l <аргумент>. Примечание:
буква "l" в команде adlog l — это строчная буква "L".
Опции команд adlog a и adlog l одинаковы.
Использование adlog [a | l] <команда>… <аргумент>
Синтаксис
Аргумент Описание

<ничего> Показать доступные опции для этой команды и выйти.

[a | l] Установить режим работы:


adlog l — если вы используете сервер регистрации
(идентификационных данных)
adlog a — если вы используете AD Query для Identity Awareness.

query См. в следующих разделах.

debug

dc

statistics

control

service_accounts

Пример

adlog query
Описание Показывает базу идентификационных данных, собранных модулем AD Query в
соответствии с указанным фильтром.
Использование adlog [a | l] query <аргумент>
Синтаксис
Интерфейс командной строки Справочное руководство R75.40VS | 116
Команды Identity Awareness

Аргумент Описание

ip <IP-адрес> Фильтрует идентификационные данные по


указанному IP.

string Фильтрует привязки идентификационных данных


<строка> по указанной строке.

user <имя Фильтрует привязки идентификационных данных


пользователя> по определенному пользователю.

machine <имя Фильтрует привязки идентификационных данных


машины> по определенной машине.

all Фильтрация не выполняется, отображается вся


база идентификационных данных.

Пример
adlog a query user jo
Показывает запись, содержащую текст "jo" в имени пользователя.

adlog dc
Описание Показывает состояние соединения с контроллером домена AD.
Использование adlog [a|l] dc
Синтаксис Отсутствует

adlog statistics
Описание Отображает статистику по журналам регистрации событий NT, полученных по команде
adlog, с разбивкой по IP и в целом. Также показывает количество идентифицированных IP.
Использование adlog [a|l] statistics
Синтаксис Отсутствует

adlog debug
Описание Включает/включает флаги отладки для управления файлом отладки. Местоположение
файла отладки: $FWDIR/log/pdpd.elg (в случае использования Identity Awareness на шлюзе
безопасности) или $FWDIR/log/fwd.elg (в случае регистрации идентификационных данных на сервере
регистрации).
Использование adlog [a|l] debug <аргумент>
Синтаксис
Аргумент Описание

on Включить отладку.

off Выключить отладку.

mode Показать состояние отладки (включена/выключена)

Интерфейс командной строки Справочное руководство R75.40VS | 117


Команды Identity Awareness

Аргумент Описание

extended Включить отладку и добавить расширенные темы отладки.

adlog control
Описание Посылает управляющие команды модулю AD Query.
Использование adlog [a|l] control <аргумент>
Синтаксис
Аргумент Описание

Выключить AD Query. Сбор новых идентификационных данных больше не


stop
будет осуществляться посредством AD Query.

Отправить команду реконфигурирования модулю AD Query, что означает


reconf восстановление конфигурации политики, установленной на панели
инструментов SmartDashboard.

adlog service_accounts
Описание Показывает учетные записи при подозрении, что они являются "учетными записями
служб". Учетные записи служб — это учетные записи, принадлежащие не фактическим
пользователям, а службам, запущенным на компьютере. Такое подозрение появляется в случае
осуществления ими входа более определенного количества раз.
Использование adlog [a|l] service_accounts
Синтаксис Отсутствует

Интерфейс командной строки Справочное руководство R75.40VS | 118


Команды Identity Awareness

test_ad_connectivity
Описание Выполняет проверки связи шлюза безопасности с контроллером домена AD.
Использование $FWDIR/bin/test_ad_connectivity <аргумент_1 значение_1> <аргумент
значение_2> … <аргумент_n значение_n>
Аргументы можно задать в командной строке так, как показано ниже, или в текстовом файле,
расположенном в $FWDIR/conf/test_ad_connectivity.conf. Аргументы, заданные в файле
test_ad_connectivity.conf, замещаются аргументами, указанными в командной строке.

Важно: аргументы, заданные в $FWDIR/conf/test_ad_connectivity, не


могут содержать пробелов, и их нельзя заключать в кавычки.
Вывод утилиты осуществляется в файле (а не в стандартном выводе STDOUT). Путь файла
определяется аргументом –o (см. ниже).
Синтаксис
Аргумент Обязательно? Описание

-d <доменное Обязательно Доменное имя AD, например, ad.checkpoint.com


имя>

-i <IP Обязательно IP проверяемого контроллера домена.


контроллера
домена>

-u <имя Обязательно Имя пользователя-администратора в AD.


пользователя>

-o <имя Обязательно Имя файла вывода, связанное с $FWDIR/tmp. Например,


файла> если вы указали -o myfile, выводом будет
$FWDIR/tmp/myfile

-c <пароль Необходимо Пароль пользователя.


без задать либо этот
шифрования> аргумент, либо -
a

-a Необходимо Для ввода пароля посредством стандартного ввода.


задать либо этот
аргумент, либо -
c

-t <тайм-аут> Обязательно Общий тайм-аут в миллисекундах.

-D Необязательно Используется для замещения различимого имени


<различимое пользователя LDAP (утилита не будет пытаться
имя автоматически узнать различимое имя).
пользователя>

-l Необязательно Выполнить только проверку связи LDAP (без проверки


WMI).

-w Необязательно Выполнить только проверку связи WMI (без проверки


LDAP).

-s Необязательно Путь файла параметров SSL.

-L Необязательно Тайм-аут только для проверки LDAP. В случае если этот


тайм-аут закончился, а проверка LDAP еще не завершена,
обе проверки считаются непройденными.

-h Необязательно Показать справку.

Интерфейс командной строки Справочное руководство R75.40VS | 119


Глава 7
Команды IPS
В этой главе

Общий обзор 120


ips bypass stat 120
ips bypass on|off 120
ips bypass set 121
ips debug 121
ips pmstats 122
ips pmstats reset 122
ips refreshcap 122
ips stat 122
ips stats 123

Общий обзор

Описание Команды IPS позволяют настраивать и показывать IPS на шлюзе


безопасности без установки новой политики.

Комментарии Изменения в конфигурации IPS не сохраняются. Если вы установите


политику или перезагрузите компьютер, изменения будут удалены.

ips bypass stat


Описание Отображает состояние режима обхода.

Синтаксис ips bypass stat

Комментарии Отображает следующую информацию:


Режим обхода IPS: включен или выключен
Пределы потребления процессора
Пределы потребления памяти

ips bypass on|off

Интерфейс командной строки Справочное руководство R75.40VS | 120


Команды IPS

Описание Управляет обходом IPS. Когда активируется обход IPS:


Если превышен верхний предел потребления процессора или памяти, IPS
входит в режим обхода и автоматически отключается.
Когда предел потребления процессора или памяти опускается ниже нижнего,
IPS выходит из режима обхода и автоматически включается.

Синтаксис ips bypass {on|off}

Параметры Параметр Описание

on Обход IPS включен.

off Обход IPS выключен.

Пример ips bypass on

ips bypass set


Описание Задает предельные значения для команды ips bypass.
Синтаксис ips bypass set {cpu|mem} {low|high} <предел>

Параметры Параметр Описание

cpu Настройка предела потребления процессора.

mem Настройка предела потребления памяти.


Настройка нижнего предела для выхода из режима
low
обхода.
Настройка верхнего предела для входа в режим
high
обхода.
Предельное значение потребления процессора или
<предел>
памяти.
Пример ips bypass set cpu low 80

ips debug
Описание Показывает информацию об отладке IPS.
Синтаксис ips debug [-e <фильтр>] -o <файл вывода>

Параметры Параметр Описание

-e Фильтрация перехватываемых пакетов.


Использует подмножество INSPECT для
<фильтр>
определения перехватываемых пакетов.
-o <файл Выводит информацию об отладке в файл <файл
вывода> вывода>.
Пример ips debug -o sampledebug

Комментарии

Интерфейс командной строки Справочное руководство R75.40VS | 121


Команды IPS

ips pmstats
Описание Показывает статистику о распознавателе образцов. По каждому образцу
отображается следующая статистика:
 Память
 Потребление процессора
 Время компиляции
Синтаксис ips pmstats -o <файл вывода>

Параметры Параметр Описание


-o <файл вывода> Выводит информацию об отладке в файл <файл
вывода>.
Пример ips pmstats -o samplefile
Комментарии

ips pmstats reset

Описание Сброс данных, собранных для расчета статистики pmstat.


Синтаксис ips pmstats reset

Параметры Параметр Описание


недоступны

ips refreshcap
После установки новой политики IPS перехватывает первый пакет каждой защиты и сохраняет его в
репозиторий перехвата пакетов.
Описание Обновляет репозиторий перехвата пакетов.
Следующий пакет каждой защиты IPS обозначает как первый. Новый первый пакет
заменяет предыдущий в репозитории перехвата пакетов.
Синтаксис ips refreshcap

ips stat
Описание Показывает IPS-статус следующих элементов:
IPS: включен или выключен
Активный профиль
Версия обновления
Общий режим обнаружения: включен или выключен
Режим обхода: включен или выключен

Интерфейс командной строки Справочное руководство R75.40VS | 122


Команды IPS

Синтаксис ips stat

ips stats
Описание Печать статистики производительности IPS и распознавателя образцов. Если
аргументы не заданы, выполняется на текущем шлюзе в течение 20 секунд. Это
ресурсоемкая команда, поэтому ее не следует выполнять, когда система сильно
загружена.
Синтаксис ips stats [<ip_адрес> -m] [-g <секунды>] [<ip_адрес> <секунды>]

Параметры Параметр Описание

Анализирует входной файл статистики со шлюза.


-m Указывается IP-адрес шлюза. Выполняется с сервера
управления безопасностью.
-g Сбор статистики по текущему шлюзу.

seconds Период, в течение которого собирается статистика

Примеры ips_stats 192.0.2.14 40


Запуск статистики на шлюзе с адресом 192.0.2.14 на 40 секунд
ips_stats –g 30
Запуск статистики на текущем шлюзе на 30 секунд
ips_stats 192.0.2.14 –m
Анализ статистики, взятой со шлюза с адресом 192.0.2.14

Интерфейс командной строки Справочное руководство R75.40VS | 123


Глава 8
Интерфейс командной строки
других продуктов
В этой главе

CLI-команды в других руководствах 124

В следующих руководствах представлены команды интерфейса командной строки (CLI) продуктов и


компонентов Check Point.
В каждом руководстве представлены команды конкретного продукта.

CLI-команды в других руководствах


Команды CoreXL приведены в "Руководстве администратора Firewall R75.40VS"
(http://supportcontent.checkpoint.com/solutions?id=sk76540).
Команды SmartProvisioning и шлюза безопасности SmartLSM приведены в "Руководстве
администратора SmartProvisioning R75.40VS".
(http://supportcontent.checkpoint.com/solutions?id=sk76540)
Команды мультидоменной среды управления безопасностью приведены в "Руководстве
администратора мультидоменной среды управления безопасностью R75.40VS"
(http://supportcontent.checkpoint.com/solutions?id=sk76540)
Команды QoS приведены в "Руководстве администратора QoS R75.40VS"
(http://supportcontent.checkpoint.com/solutions?id=sk76540).

Интерфейс командной строки Справочное руководство R75.40VS | 124


Алфавитный указатель
A cprinstall cpstop • 27
cprinstall get • 28
adlog • 115 cprinstall install • 28
adlog control • 117 cprinstall revert • 31
adlog dc • 116 cprinstall show • 31
adlog debug • 116 cprinstall snapshot • 31
adlog query • 115 cprinstall transfer • 31
adlog service_accounts • 117 cprinstall uninstall • 29
adlog statistics • 116 cprinstall verify • 30
cpstart • 32
C cpstat • 32
CLI-команды в других руководствах • 123 cpstop • 34
comp_init_policy • 9 cpwd_admin • 34
cp_admin_convert • 9 cpwd_admin config • 36
cp_conf • 11 cpwd_admin exist • 36
cp_conf admin • 11 cpwd_admin kill • 36
cp_conf auto • 12 cpwd_admin list • 35
cp_conf ca • 11 cpwd_admin start • 34
cp_conf client • 12 cpwd_admin stop • 35
cp_conf finger • 12
cp_conf ha • 12 D
cp_conf lic • 12 dbedit • 38
cp_conf sic • 11 dbver • 40
cp_conf snmp • 12 dbver create • 40
cp_conf sxl • 12 dbver export • 40
cp_merge • 21 dbver import • 41
cp_merge delete_policy • 21 dbver print • 41
cp_merge export_policy • 22 dbver print_all • 42
cp_merge import_policy and cp_merge disconnect_client • 37
restore_policy • 22 dynamic_objects • 42
cp_merge list_policy • 23
cpca_client • 9 F
cpca_client create_cert • 9
cpca_client lscert • 10 fw • 42
cpca_client revoke_cert • 10 fw ctl • 43
cpca_client set_mgmt_tools • 10 fw ctl affinity • 45
cpconfig • 12 fw ctl affinity -l • 46
cphaconf • 103 fw ctl affinity -s • 45
cphaprob • 104 fw ctl debug • 44
cphastart • 104 fw ctl engine • 47
cphastop • 104 fw ctl multik stat • 47
cpinfo • 13 fw ctl sdstat • 48
cplic • 14 fw fetch • 49
cplic check • 14 fw fetchlogs • 49
cplic db_add • 14 fw getcap • 70
cplic db_print • 15 fw hastat • 50
cplic db_rm • 16 fw -i • 42
cplic del <имя объекта> • 16 fw isp_link • 50
cplic del • 16 fw kill • 51
cplic get • 17 fw lea_notify • 51
cplic print • 19 fw lichosts • 51
cplic put <имя объекта> ... • 18 fw log • 51
cplic put • 17 fw logswitch • 54
cplic upgrade • 20 fw lslogs • 59
cppkg • 24 fw mergefiles • 55
cppkg add • 24 fw monitor • 55
cppkg delete • 25 fw putkey • 60
cppkg get • 25 fw repairlog • 60
cppkg getroot • 25 fw sam • 61
cppkg print • 25 fw stat • 64
cppkg setroot • 25 fw tab • 65
cpridrestart • 26 fw ver • 66
cpridstart • 26 fwm • 66
cpridstop • 26 fwm dbexport • 68
cprinstall • 27 fwm dbimport • 66
cprinstall boot • 27 fwm dbload • 69
cprinstall cpstart • 27 fwm expdate • 68
fwm ikecrypt • 70
fwm load • 70 S
fwm lock_admin • 71 sam_alert • 85
fwm logexport • 71 scc connect • 99
fwm sic_reset • 72 scc connectnowait • 100
fwm unload <целевые объекты> • 73 scc disconnect • 100
fwm ver • 73 scc erasecreds • 100
fwm verify <имя-политики> • 73 scc listprofiles • 100
G scc numprofiles • 101
scc passcert • 101
GeneratorApp • 73 scc restartsc • 101
scc setmode <режим> • 101
I scc setpolicy • 101
inet_alert • 74 scc sp • 101
ips bypass on|off • 119 scc startsc • 102
ips bypass set • 120 scc status • 102
ips bypass stat • 119 scc stopsc • 102
ips debug • 120 scc suppressdialogs • 102
ips pmstats • 121 scc userpass • 102
ips pmstats reset • 121 scc ver • 102
ips refreshcap • 121 svr_webupload_config • 86
ips stat • 121 Т
ips stats • 122
test_ad_connectivity • 118
L
V
ldapcmd • 76
ldapcompare • 76 vpn crl_zap • 87
ldapconvert • 77 vpn crlview • 87
ldapmodify • 79 vpn debug • 88
ldapsearch • 80 vpn drv • 89
log_export • 81 vpn export_p12 • 89
vpn macutil • 90
P vpn nssm_toplogy • 90
pdp • 106 vpn overlap_encdom • 90
pdp connections • 107 vpn sw_topology • 91
pdp control • 108 vpn tu • 92
pdp debug • 109 vpn ver • 92
pdp monitor • 106 В
pdp network • 108
pdp status • 110 Важная информация • 3
pdp tracker • 110 Введение • 105
pdp update • 111
pep • 112 И
pep debug • 114 Интерфейс командной строки других
pep show • 112 продуктов • 123
pep show network • 114
pep show pdp • 113 К
pep show stat • 114
pep show user • 112 Команды ClusterXL • 103
Команды Identity Awareness • 105
Q Команды IPS • 119
Команды SecureClient • 99
queryDB_util • 83 Команды SmartView Monitor • 93
R Команды VPN • 87
Команды сервера управления
rs_db_tool • 84 безопасностью и брандмауэра • 8
rtm debug • 93
rtm drv • 93 О
rtm monitor <имя_модуля> Общий обзор • 87, 93, 99, 119
<имя_интерфейса>|-filter • 94
rtm monitor <имя_модуля>-
v<имя_виртуального_канала> • 96
rtm rtmd • 97
rtm stat • 97
rtm ver • 98
rtmstart • 98
rtmstop • 98

Страница: 126