SlideShare a Scribd company logo

Check Point Command

Download as DOC, PDF
ELI KENDEL אלי קנדל
ELI KENDEL אלי קנדל

Check point Fw R65 Cli Command By Eli Kendel

1 of 15
‫פקודות ‪CHECK POINT‬‬ ‫נכתב על ידי אלי קנדל‬ ‫‪-cplic put -l CPLicenseFile.lic‬‬ ‫טוען את הרישיון למערכת‬ ‫‪cplic print‬‬ ‫מדפיס לנו את כל הרישיונות שיש על גבי ה-‪fw‬‬ ‫‪cplic print –x‬‬ ‫מציג לנו את הרישיונות שעל גבי ה-‪ fw‬כולל את החתימות על מנת שנוכל למחוק את הרישיונות המיותרים מה-‪fw‬‬ ‫להלן הפלט של הרישיונות :‬ ‫‪Host‬‬ ‫‪Expiration Signature‬‬ ‫‪Features‬‬ ‫‪7Feb2007 aMV9SJn8TRjgvY45t8KPPtsqzm9aRPjGunFb‬‬ ‫-1-‪cpmp-eval‬‬ ‫3.1.471.01‬ ‫‪ngx CK-8198E829753E‬‬ ‫-1-‪7Feb2007 dFnR5ebp5sbee7fQ4ULFaXgMc5HUGaM8zoHy cpmp-eval‬‬ ‫3.1.471.01‬ ‫‪ngx CK-8198E829753E‬‬ ‫‪cplic del dFnR5ebp5sbee7fQ4ULFaXgMc5HUGaM8zoHy‬‬ ‫דוגמה של מחיקת רישיון על ידי הוספת החתימה של הרישיון‬ ‫‪cphaprob stat‬‬ ‫מראה לנו את המצב של ה-‪ CLUSTER‬בין ה-‪FW‬‬ ‫‪– Cphastop‬‬ ‫עוצר את התהליך של ה-‪ , high availability‬אם ה-‪ F.W‬היה ‪ active‬המכונה שהיא ה-‪backup‬‬ ‫תהפוך להיות ‪ active‬ב-‪ HA‬וכל ה-‪ session‬יעברו באופן אוטומטי ל-‪ F.W‬החדש‬ ‫‪– Cphastart‬‬ ‫מעלה את התהליך של ‪ HA‬של ה-‪F.W‬‬ ‫‪Cphaprob Tablestat‬‬ ‫בפקודה זו אפשר לראות את כתובות ‪ IP‬של ה-‪ GW‬כמו כן את כתובות של ה-‪ CLUSTER‬של השכן‬ ‫‪Cphaprob Syncstat‬‬ ‫בפקודה זאת אפשר לראות את כל ה-‪ PACKET‬שנשלחו לביצוע ‪ SYNC‬בין שני ה-‪GW‬‬ ‫כמו כן אפשר לראות את כל אותם פעמים שלא הצלחנו לבצע ‪SYNC‬‬ ‫‪cpstop && cpstart‬‬ ‫מבצע ‪ stop‬למערכת ה-‪ fw‬ולאחר מגן מעלה את ה-‪ proc‬של ה-‪fw‬‬
LINUX ‫&& פעולת שרשור על גבי מערכת‬ SNMP FW-‫ על גבי ה‬SNMP ‫הגדרת‬ vi /etc/snmp/snmpd.conf -master agentz ‫מתחת לשורה‬ rocommunity test 10.57.7.207 snmp service-‫העלאת ה‬ service snmpd start snmp-‫בדיקה האם השרת מאזין לפורט ١٦١ השייך ל‬ netstat -na | grep 161 *:udp 0 0 0.0.0.0:161 0.0.0.0 secure platform-‫אפשר לעלות ב-٦ מודים על גבי ה‬ :‫ שעולים במוד ٣ עלידי‬service-‫אנחנו עולים במוד מספר ٣ לכן אפשר לראות את כל ה‬ dir: ls -la /etc/rc.d/rc3.d ‫ של המכונה‬setup-‫ בזמן של ה‬service-‫העלאת ה‬ chkconfig --list -> to list all the startup programs chkconfig --add snmpd chkconfig snmpd on DEBUG VPN VPN ‫ על שירות‬FW-‫ על גבי ה‬debug ‫הפעלת‬ Vpn debug trunc Vpn debug truncon Vpn debug truncoff ‫ יוצר שני קבצים שמעביר לשם את כל הנתונים‬debug-‫ה‬ ike.elg + vpnd.elg ‫ יוצר‬FWDIR/log$ ‫תחת סיפריית‬ - vpn debug on TDERROR_ALL_ALL=5 TDERROR_ALL_ALL=0 fw monitor -e "accept;" -o fwmon.out tcpdump -i <interface> -w tcpdmp.out tcpdump -i any -s0 -e host 10.5.161.159 and not tcp port 1494 tcpdump -i any -s0 -e host 212.25.88.80
CLUSTER cphaprob -a if ‫ ברמה לוגית‬CLUSTER-‫מראה לנו את מצב של ה‬ cphaconf set_ccp multicast CLUSTER ‫ בתצורת‬multicast ‫ באמצעות‬F.W-‫שינו שיטת התקשרות בין ה‬ cphaconf set_ccp broadcast CLUSTER ‫ בתצורת‬broadcast ‫ באמצעות‬F.W-‫שינו שיטת התקשרות בין ה‬ VLAN ‫ אחד באותו‬cluster-‫ כאשר יש יותר מ‬cluster-‫ של ה‬mac address ‫שינוי‬ :Module parameters with default values of fifth byte (fwha_mac_magic = 0xfe (CCP traffic (fwha_mac_forward_magic = 0xfd (Forwarding layer traffic fw fetch 10.174.1.3 SmartCenter-‫ מה‬policy-‫ על ידי משיכת ה‬gateway-‫ על גבי ה‬policy ‫התקנת‬ fw fetch localhost ‫ מעצמו‬Policy ‫ על ידי משיכה‬Gateway-‫ על גבי ה‬Policy ‫התקנת‬ Vi /etc/fw/conf/discntd.if disconnect ‫תחת קובץ זה אנחנו מגדירים את אותם הרגלים שהם במצב של‬ _______________________________ – Cphaprob list :Built-in Devices Gateway-‫ של ה‬interface-‫בודק את מצב ה‬ Device Name: Interface Active Check Current state: OK :Registered Devices ‫ תקין‬Gateway-‫ בין שני ה‬sync-‫מציג שמצב ה‬ Device Name: Synchronization Registration number: 0 Timeout: none Current state: OK Time since last report: 3857.6 sec
Gateway-‫ על גבי ה‬policy ‫מציג שקיים‬ Device Name: Filter Registration number: 1 Timeout: none Current state: OK Time since last report: 3849.9 sec ‫ למעלה ותקין‬high availability-‫ של ה‬process-‫מציג ש‬ Device Name: cphad Registration number: 2 Timeout: 2 sec Current state: OK Time since last report: 0.3 sec ‫ למעלה ותקין‬daemon fw -‫מציג שה‬ Device Name: fwd Registration number: 3 Timeout: 2 sec Current state: OK Time since last report: 0 sec ___________________________________________ interface , Filter , sync , FWD , CPHAD ‫ על‬member cluster-‫ – מעביר מידע בין ה‬Health state . 10msec ‫ , מעביר כל‬UDP 8116 ‫מעביר את האינפורמציה בפורט‬ . cluster-‫ סנכרון של כל החיבורים שלנו על גבי ה‬state connection ‫רגל ייעודית עבור‬ gratitus arp ‫ המשני שולח‬FW-‫ הפעיל אזי ה‬FW-‫ - כאשר נופל ה‬Gratitus ARP ‫ שמשייך לכתובת הוירטואלית‬mac-‫ , ה‬Cluster-‫ של כתובת של ה‬mac-‫ את ה‬L2-‫שמשנה ב‬ . Mac Multicast ‫ ולא‬FW-‫ הפיזית של ה‬mac-‫הינו ה‬ . Active Standby ‫ – עובד במצב של‬New Mode HA Unicast ‫ והשני‬Multicast ‫ – ישנם שני מצבים של עבודה האחד‬Load Sharing ‫ שמימנו הוא יצא‬FW ‫ דרך אותו‬FLOW ‫- מנגנון שמבצע החזרת‬Sticky Decision Function 50% - 50% ‫ - עובד בשיטת‬Multicast 30%-70% ‫ עובד בחלוקה של‬PIVOT ‫ – נקרא גם‬Unicast state table = ‫כמות קישורים‬ fw tab -t connections -s HOST NAME ID #VALS #PEAK #SLINKS localhost connections 8158 1716 2922 6823 Sync-‫ קרובים אחד לשני אזי זאת אומרת שה‬VALS-‫יש לבדוק שהמספר תחת קטגורית ה‬ . ‫ עובד כמו שצריך‬connection-‫של ה‬ – Fw unloadlocal Gateway-‫ מעל ה‬policy-‫מורידים את ה‬ echo 0 /proc/sys/net/ipv4/ip_forwarding
‫באמצעות פקודה זאת השרת מבצע ‪ routing‬בין הרגלים שלו‬ ‫‪echo 1 /proc/sys/net/ipv4/ip_forwarding‬‬ ‫באמצעות פקודה זאת השרת לא מבצע ‪ routing‬בין רגלי תקשורת שעל גבו .‬ ‫‪fw fetch localhost‬‬ ‫התקנת ‪ Policy‬על גבי ה-‪ Gateway‬על ידי משיכה ‪ Policy‬מעצמו‬ ‫‪– Fw ver‬‬ ‫מראה לנו את הגרסה של ה-‪ FW‬כולל ‪HFA‬‬ ‫‪– Fw stat‬‬ ‫מראה לנו את הסטאטוס של ה-‪ fw‬כמו כן אפשר לראות את שם של ה-‪policy‬‬ ‫שמורצת על גבי ה-‪FW‬‬ ‫‪ip add – Linux‬‬ ‫מראה לנו את כתובות רשת שמוגדרות על גבי כרטיסי רשת‬ ‫‪ifconfig –a‬‬ ‫רואים את כתובת רשת של כל כרטיס כולל ‪error‬‬ ‫0‪ethtool eth‬‬ ‫סטאטוס כרטיס ומהירות, ניתן לראות רק כל כרטיס בנפרד‬ ‫‪Mii-tool‬‬ ‫מראה סטאטוס כל הרגליים – לא רלוונטי לרגלי גיגה – פקודה ישנה יותר.‬ ‫‪Mii-tool –W‬‬ ‫מציג לנו על גבי המסך ב-‪ Real Time‬אם נפל ‪ interface‬או עלה.‬ ‫הגדרת ‪ ROUTE‬על גבי המכונה על ידי הפקודה הבאה:‬ ‫05.1.861.291 ‪route add -net 10.0.0.0 netmask 255.255.255.0 gw‬‬ ‫‪more /etc/rc.local‬‬ ‫על גבי קובץ ‪ rc.local‬אפשר להגדיר את מהירות קבועה של כרטיס רשת על גבי השרת‬ ‫על ידי הפקודה הבאה ‪ethtool -s eth0 speed 100 duplex full autoneg off‬‬ ‫כמו כן על מנת שהשרת יישאר תמיד ב-001 ‪ full‬גם אחראי ‪ reboot‬יש לערוך את קובץ ‪rc.local‬‬ ‫‪Vi /etc/rc.local‬‬ ‫‪ethtool -s eth0 speed 100 duplex full autoneg off‬‬ ‫באמצעות פקודה זאת אנחנו מבצעים ‪ reset‬לכרטיסי ה-‪ network‬של המחשב‬ ‫‪service network restart‬‬ ‫‪netconf.C/etc/sysconfig‬‬ ‫מכיל אינפורמציה של כרטיסי רשת ושורות ניתוב‬ ‫‪cpnetconf load‬‬ ‫טוען את קובץ ‪ Netconf.C‬למערכת .‬ ‫‪cat /proc/cpuinfo‬‬ ‫מראה לנו את האינפורמציה של המחשב כמה ‪ CPU‬יש לנו על גבי המחשב ואיזה סוג‬ ‫‪dmidecode | more‬‬ ‫מקבלים אינפורמציה על כל החומרה שעל גבי המחשב כולל מספר ‪ CPU‬מהירות של ה-‪ CPU‬וכו.‬ ‫0‪ethtool -a eth‬‬ ‫אפשר לראות את ההגדרות של הכרטיס הספציפית של אותו רגל.‬ ‫‪More /var/log/messages‬‬
‫לראות את ה- ‪ log‬של המכונה‬ ‫06 4 ‪– lockout enable‬‬ ‫באמצעות פקודה זאת משנים את ה- ‪ time out‬של ה-‪ telnet‬ל- ٠٦ דקות.‬ ‫‪– Lspci‬‬ ‫מראה לנו את סוגי כרטיסי הרשת שעל גבי ה-‪splat‬‬ ‫‪– Service network restart‬‬ ‫מבצע ‪ Restart‬לכל ה-‪ tcp stack‬שעל גבי המכונה‬ ‫‪cpstat fw‬‬ ‫מראה כמות פאקטים שעברו , כולל חסימות , בחלוקה לכרטיסים וכיוון‬ ‫‪free‬‬ ‫כמות ניצולת זיכרון‬ ‫‪fw ctl pstat‬‬ ‫סטטיסטיקות לגבי ‪ kernel‬ה- ‪ – FW‬טוב במצב עומס לראות אם ‪ FW‬מפיל פאקטים עקב חוסר משאבים ב ‪FW‬‬ ‫‪fw ctl pstat | grep fail‬‬ ‫"0" ‪fail should be‬אם אנחנו רואים שגיאות אזי המערכת נמצאת בבעיה‬ ‫– ‪fw ctl zdebug + drop‬‬ ‫- ";14.921.222.391=‪fw monitor -e "accept src=193.222.129.41 or dst‬‬ ‫0344 ‪netstat -an |grep‬‬ ‫מראה לנו על איזה פורטים מאזין השרת , בדוגמה שלנו מראה לנו שהשרת מאזין לפורט 0344‬ ‫‪netstat –rn‬‬ ‫רואים את טבלת ניתוב של ה-‪F.W‬‬ ‫‪uname –an‬‬ ‫מראה לנו את סוג מערכת ההפעלה כמו כן את‬ ‫‪sysconfig‬‬ ‫מאפשר לנו להגדיר כתובות רשת על גבי כרטיסי הרשת‬ ‫‪Tar –zxvf VPN-1 HFA_05.tgz‬‬ ‫פקודה זאת פותחת את מבנה של ה-‪ Hot fix‬עבור מערכת ההפעלה‬ ‫ולאחר מכן לאחר שפתח את הקובץ יש להריץ את הפקודה הבאה:‬ ‫./‪Unixinstallscript‬‬ ‫פקודה זאת מתקינה את הקובץ על גבי מערכת ההפעלה של ה-‪FW‬‬ ‫0344:11.1.471.01//:‪https‬‬ ‫דרך נוספת להגדיר כתובות רשת היא על ידי ה-‪ Browser‬באמצעות ה-‪link‬‬ ‫‪mii-tool‬‬
‫רואים את מצב כרטיסי תקשורת כולל מהירות‬ ‫‪Netstat –A‬‬ ‫פקודה זאת מציגה לנו את כל הפורטים שה-‪ FW‬מאזין להם‬ ‫כמו כן את כל החיבורים שכבר התבצעו על גבי ה-‪FW‬‬ ‫‪fw ver‬‬ ‫מראה לנו איזה סוג של מערכת הפעלה מורץ כולל את ה-‪ HOTFIX‬שמורץ על גבי ה-‪Gateway‬‬ ‫‪fw ctl zdebug drop‬‬ ‫פקודה זאת מראה לנו את כל ה-‪ packet‬שה-‪ fw‬מפיל ונותן את הסיבה לביצוע ה-‪drop‬‬ ‫1.351.861.291 ‪fw ctl zdebug drop |grep‬‬ ‫פקודה יותר ספציפית לבדיקת מקור ספציפי ולא לקבל את כל הפלט של ה-‪drop‬‬ ‫‪– Fw monitor‬‬ ‫מציג לנו את כל ה-‪ packet‬שנכנס ל-‪ fw‬ויוצאים ממנו‬ ‫‪ --i‬מה שנכנס ל-‪f.w‬‬ ‫‪ packet-I‬שהתבצע ‪ match accept‬לפי החוקים שמוגדרים ב-‪F.W‬‬ ‫‪ o- packet‬שה-‪ fw‬ביצע ניתוב למקור היעד ולפני ביצוע ‪ inspect‬שני על גבי ה-‪packet‬‬ ‫‪ O – packet‬שעבר את ה-‪ fw‬לעולם ועבר את ה-‪ inspect‬השני של ה-‪F.W‬‬ ‫‪ Nat hide‬מתבצע ב-‪ O‬ביציאה של ה-‪FW‬‬ ‫‪– Translate desination on client side‬‬ ‫באמצעות ה-‪ Feature‬אנחנו מבצעים ‪ Nat‬לכתובת לפני שה-‪ FW‬מבצע ניתוב ל-‪.Packet‬‬ ‫‪Fw monitor > kendel‬‬ ‫101.111.531.19 ‪Fw Monitor | grep‬‬ ‫‪– fw ctl chain‬‬ ‫סדר פעולות שה-‪ FW‬מבצע מרגע שה-‪ Packet‬נכנסו עד שהוא יוצא‬ ‫‪more /etc/sysconfig/netconf.C‬‬ ‫קובץ זה מכיל את כל כתובות של ה-‪ f.w‬כמו כן את כל שורות ניתוב .‬ ‫‪On smart center‬‬ ‫/‪etc/fw/conf‬‬ ‫‪objects_5_0.C‬‬ ‫מכיל את כל האוביקטים ואת ההגדרות הגלובליות ‪ ) global pro‬לא עורכים אותו באופן ידני אלא באמצעות‬ ‫‪(guidbedit‬‬ ‫‪C:program FilesCheckPointSmartConsoleR60PROGRAM GuiDBedit.exe‬‬ ‫‪– Fw ctl pstat‬‬ ‫פקודה זאת מראה לנו תמונת מצב מלאה על מצב הסנכרון של המערכת‬ ‫מפסיק את ה-‪ process‬של ה-‪– check point CPstop‬‬ ‫מפעיל את ה-‪ process‬של ה-‪– check point CPstart‬‬ ‫מפסיק ומפעיל את ה-‪ process‬של ה-‪– check point CPrestert‬‬ ‫$1‪"FWDIR – " opt/CPsuite-R60/fw‬‬
‫/‪opt/CPsuite-R60/fw1/bin/upgrade_tools‬‬ ‫זוהי ספריית שמכילה בתוכה את הפקודות שמבצעים גיבוי לקונפיגורציה כולל את כל‬ ‫ה-‪ host , network , nat ,vpn‬וכו‬ ‫‪"upgrade_export "name of the file‬‬ ‫באמצעות פקודה זאת אנחנו יוצרים קובץ שמכיל את כל הנתונים של ה-‪fw‬‬ ‫‪"upgrade_import "name of the file‬‬ ‫באמצעות פקודה זאת אנחנו משחזרים את כל הקונפיגורציה של ה-‪fw‬‬ ‫‪Export + Import configuration‬‬ ‫$‪– FWDIR/conf‬‬ ‫יש צורך לגבות את כל הספרייה ‪ , conf‬הספרייה מכילה את ‪Rule base, object, user database‬‬ ‫$‪– FWDIR/lib‬‬ ‫יש צורך לגבות ת כל הספרייה ‪ ,lib‬מכיל בתוכו ‪ base.def‬אם מותכן ‪feature pack‬‬ ‫על גבי ה-‪FW‬‬ ‫‪– Objects_5_0.C‬‬ ‫מכיל בתוכו משתנים שמשפעים על כל ה-‪ FW‬כגון :‬ ‫‪Network object, server object, service object, time object‬‬ ‫כמו כן כל השינוים שמבצעים ב-‪global properties + local properties‬‬ ‫‪Objects.C‬‬ ‫נוצר על ידי ‪ Objects_5_0.C‬ברגע שה-‪ smart center‬רוצה לשלוח נתונים ל-‪gateway‬‬ ‫הוא יוצר את הקובץ עם כל בשינוים ומעביר אותו , הקובץ נמצא תחת ספריית $‪FWDIR/conf‬‬ ‫‪– Rulebases_5_0.fws‬‬ ‫מכיל בתוכו את החוקים ואת בשינוים שביצוע בחוקים , הקובץ לא מעובר ל-‪gateway‬‬ ‫הקובץ נמצא בספרייה $‪FWDIR/conf‬‬ ‫‪– Fwauth.NDB‬‬ ‫מכיל בתוכו את כל ה-‪ users‬וכל הקבוצות הוא נמצא בתוכך שני ספריות‬ ‫הראשונה $‪ FWDIR/conf‬והשני $‪FWDIR/database‬‬ ‫יש צורך לגבות אותו באופן שוטף.‬ ‫10_‪– Backup –f fwkendel‬‬ ‫מבצעים גיבוי על גבי ה-‪ gateway‬על ידי הפקודה ושם הקובץ שאליו הוא יעביר את כל הנתונים‬
Backup –help backup ‫נקבל את כל הפקודות שנתמכות תחת פקודת‬ Backup –e .‫ של המערכת‬scheduled-‫אפשר לראות את ה‬ – Restore .‫על מנת לבצע שחזור של הקונפיגורציה יש לבצע שחזור עם שם של הקובץ‬ – var/CPbackup/backups/ ‫ספרייה שנמצאים בתוכה קבצי הגיבוי כאשר מבצעים גיבוי ידני‬ etc/sysconfig/netconf.C/ FW-‫קובץ זה מכיל בתוכו את כל כתובות של כרטיסי הרשת כמו כן מכיל בתוכו את כל שורות הניתוב של ה‬ Smart Center-‫גיבוי ה‬ FWDIR = /opt/CPsuite-r60/fw1$ – FWDIR/bin/upgrate_tools$ ‫ספרייה שנמצאים בה פקודות של גיבוי ושחזור של הקונפיגורציה‬ upgrate_export Kendel_01/. tgz ‫המערכת מבצעת גיבוי לכל הקונפיגורציה ומקמפלת אותו לסיומת של‬ upgrate_import Kendel_01.tgz/. Kendel ‫המערכת משחזרת את הקונפיגורציה עם שם קובץ בשם‬ – Fw unloadlocal Policy ‫ נשאר ללא‬FW-‫ וה‬gateway-‫ מה‬Policy-‫מוחק את ה‬ FWDIR/lib/ldap - The definitions of all VPN -1 Pro attributes in LDIF format are $ scheme_microsoft_ad. ldif located in $ FWDIR / lib / ldap directory fwm lock_admin – ua ‫באמצעות פקודה זאת אנחנו יכולים לשחרר משתמש שננעל‬ fw dbexport - f c : temp users . ldif - l - s " o = YourCity . com , c = YourCountry " - This command exports all attributes for all users to the users . ldif file , in LDF format . Export allows users to be imported into an LDAP server . fw tab -x –u --- displays kernel table content – fw tab - t Sam_ blocked_ips Block Intruder feature -‫מאפשר לנו לראות את כל הכתובות שחסמנו אותם עלידי ה‬ fw tab –s fw tab –u
fw tab –a OPSEC – Open Platform for security CVP – content vectoring protocol , use tcp 18181 API - Application Programming Interface) SDK - Software Development Kit CVP - The Content Vectoring Protocol allows antivirus solutions to talk to FireWall-1. UFP - The URI Filtering Protocol allows Web filtering to integrate. Use tcp 18182 LEA - The Log Export API enables you to export log files to third-party log servers. ELA - The Event Logging API allows Check Point to receive logs from third-party software. – Chsh admin –s /bin/bash Expert-‫משנה את סביבת העבודה לסביבה חדשה הכוללת את ה‬ ‫ גם באמצעות‬GW-‫אפשר להתחבר ל‬ Provider-1 Mds – multi domain server CMA- customer management add on MLM – Multi Log Module MDG – Multi Domain GUI CLM – Customer Loger Module – FWM Management ‫ עבור‬FW-‫ בתוך ה‬Process ‫זהו‬ – FWD Daemon ‫ עבור‬FW-‫ בתוך ה‬Process ‫זהו‬ Ifconfig sub interface ‫מציג לנו את כל כתובות הרשת כולל את‬ – Mdsstat ‫ כולל שמות כתובות רשת וכו‬cma-‫מציג לנו את כל רשומת ה‬ – mdsenv asf_CMA ‫ , מכן אפשר להשתמש בכל הפקודות הרגילות‬asf_cma ‫נכנס לתוך ספריה וירטואלית של‬ , management-‫שאנחנו מכירים ב‬ mcd conf ‫ שאנחנו נמצאים בתוכה‬cma-‫מראה לנו את הספרייה וה‬ Mdsenv ‫ הראשי‬cma-‫חוזרים ל‬ opt/CPmds-R60/customers/ provider-‫ שמוגדרים על גבי ה‬cma-‫תחת הספרייה הנ"ל נמצאים כל ה‬ opt/CPmds-R60/customers/asf_CMA/ cma ‫ נמצאים כל ההגדרות של אותו‬asf_CMA ‫תחת הספרייה של‬ fw-‫ שעל גבי ה‬certificate-‫ וכל ה‬policy-‫כולל הגדרות של ה‬ opt/CPmds-R60/customers/asf_CMA/CPsuite-R60/fw1/
F.W-‫תחת ספרייה זאת נמצאים כל הנתונים של ה‬ – DB_version database revision control-‫ שמבצעים באמצעות ה‬Snapshot-‫ נשמרים כל ה‬Conf ‫בתוך ספריית‬ – Ckp_mgmt_version.tar.gz snapshot-‫זהו שם הקובץ של ה‬ MDS – mds_backup-‫מגבה את ה‬ MDS – mds_restore-‫לשחזר את ה‬ ‫ ספציפי‬cma ‫לעצור ולהפעיל‬ mdsstart_customer 10.57.5.135 mdsstop_customer 10.57.5.135 ‫ ולהפעילו‬MDS-‫לעצור את כל ה‬ mdsstop mdsstart ‫ שני‬CMA-‫ אחד ל‬CMA-‫ מ‬POLICY ‫העתקת‬ cd $FWDIR/conf home/admin/vendors/-‫ ל‬objects_5_0.C ‫١. מעתיקים את קובץ‬ : ‫ומריצים את הפקודה הבאה‬ cp_merge merge_objects -d /home/admin/vendors provider-1-‫שם משתמש וסיסמה של ה‬ Enter User Name: eli Enter User Password: xxxx : ‫٢. לאחר מכן מריצים את הפקודה הבאה‬ home/admin/ ‫ לספריית‬FW-Vendors ‫מעתיקים את‬ cp_merge export_policy -l FW-Vendors -d /home/admin POLICY-‫ שאליו אנחנו רוצים להעביר את ה‬CMA-‫ ל‬objects_5_0.C ‫לאחר מכן מעתיקים את קובץ‬ : ‫ומריצים את הפקודה הבאה‬ cp_merge import_policy -d /home/admin -f FW-Vendors.pol provider-1-‫שם משתמש וסיסמה של ה‬ Enter User Name: eli Enter User Password: xxxx FW-‫העברת קובץ המכילים את כל המשתמשים ב‬ : ‫ שמכיל את המשתמשים ומריצים את הפקודה הבאה‬CMA-‫עוברים ל‬ fwm dbexport –f users :‫ שאליו אנחנו מעבירים את הקובץ ומריצים את הפקודה הבאה‬CMA-‫עוברים ל‬ ‫חשוב שניצור את הקבוצות לפני המעבר‬ fwm dbimport /home/admin/vendors/users smart defense-‫קבצים הקשורים ל‬ asm.C inspact.C updates.def
‫‪VPN‬‬ ‫‪– VPN TU‬‬ ‫מבצע ‪ reset‬ל-‪ tunnel‬על גבי ה-‪F.W‬‬ ‫כאשר עולה ‪ Tunnel‬בין ה-‪ GW‬שלי ולשוטף שלי כל שינוי שאני מבצע‬ ‫לדוגמא מ-‪ preshared key‬ל- ‪ certificate‬יש לבצע את ה-‪ reset‬דרך ‪CLI‬‬ ‫‪– IP Spoofing‬‬ ‫כאשר אנחנו מגדירים את אופציית ה-‪anti spoofing‬‬ ‫אזי כאשר מגיע ל-‪ F.W‬פקט שמכילה את כתובת מקור בתור אחד הכתובות שקיימות מאחורי ה-‪f.w‬‬ ‫או לחלופין על אחד מהרגלים של ה-‪ f.w‬אזי ה-‪ f.w‬יפיל את הפקט ויוציא הודעה של ‪anti spoofing‬‬ ‫ה-‪f.w‬‬ ‫חשוב לציין כאשר מוגדר על גבי הרגלי ה-‪ ethernet‬מוד של ‪ internal‬ועובר פקט מרגל אחד לרגל שנייה שגם‬ ‫על אותה רגל מוגדר מוד של ‪ internal‬וזי ה-‪ f.w‬לא יפיל את הפקט , אבל כאשר מדובר מעבר פקט בין רגל שמוגדרת‬ ‫‪External‬‬ ‫כאשר יוצרים ‪ node‬חדש ישנה אופציה של ‪ configure server‬שמאפשר להגדיר את אותו ה-‪host‬‬ ‫בתור ‪ , web-server , mail server , DNS server‬כאשר בוחרים אחד מהאפשריות אזי באופן‬ ‫אוטומטי הגנה תחת ה-‪SmartDefense‬‬
‫‪VOIP‬‬ ‫הסבר:‬ ‫במוד של ‪ direct‬רק ה-‪ packet‬של ה-‪ Ras‬עובר דרך ה-‪ Gatekeeper‬וכך שאר ה-‪ Packet‬כולל השיחה עוברת‬ ‫ישירות בין המקור ליעד .‬ ‫במוד של ‪ Call Setup‬רק ה-‪ packet‬של 139.‪ Ras + Q‬עובר דרך ה-‪ Gatekeeper‬וכל שאר בתעבורה‬ ‫עוברת ישירות בין המקור ליעד.‬ ‫במוד של ‪ – Call Setup and Call Control‬ה-542.‪ Ras + Q.931 + H‬עובר דרך ה-‪ Gatekeepers‬ושאר התעבורה‬ ‫עוברת בין מקור ליעד .‬ ‫323.‪H‬‬ ‫‪MGCP‬‬ ‫‪MCCP‬‬ ‫‪SIP‬‬
Security Servers : ‫ על גבי הפרוטוקולים הבאים‬Content Security ‫ תהליך זה מבצע‬VPN-1 Pro-‫זהו תהליך שנמצא על גבי ה‬ HTTP , FTP , SMTP , TELNET , RLOGIN Security Servers ‫ לא עובר תהליך של‬CIFS ‫פרוטוקול‬ USER AUTHONICATION User Authentication Session Authentication Clint Authentication . ٩٠٠ ‫ בפורט‬Telnet ‫ בפורט ٩٥٢ , השנייה על ידי‬Telnet ‫האחת על ידי‬
‫‪QOS‬‬ ‫‪Weight‬‬ ‫הרוחב פס מתחלק בין כל הקבוצות שקיים עליהם חיבורים ברגע נתון, החלוקה הינה דינאמית‬ ‫כלומר עם היה חלוקה מסוימת של הרוחב הפס ואחד החיבורים בקבוצה מסוימת הסתיים ולא קיים כרגע‬ ‫שום חיבור על גבי אותו קבוצה אזי כל ההקצאה של רוחב הפס שהיה על גבי אותה קבוצה יעבור לקבוצות האחרות‬ ‫קבוצה ١ = 01 ‪ , Weight‬קבוצה שנייה = 02 ‪ Weight‬ומוקצה רוחב פס של ‪ 200KB‬אזי החלוקה תהיה :‬ ‫קבוצה ١ = 03/01 * ‪ , 200KB‬קבוצה ٢ = 03/02 * ‪ , 200KB‬החלוקה תהיה בתנאי שיהיה חיבורים‬ ‫על גבי שנייה הקבוצות‬ ‫‪Weight And Guarantees‬‬ ‫אזי החלוקה כדהלן : את ההקצאה של ה-‪ guarantee‬מתבצעת ראשונה כלומר אם ה-‪Guarantee = 100KB‬‬ ‫מתוך ‪ 500KB‬אזי מה שישאר לטובת ה-‪ Weight‬הינו ‪ 400KB‬שיתחלק בין כל הקבוצות שקיימים עליהם חיבורים‬ ‫החלוקה תתבצע גם על הקבוצה שמוגדר עלייה ‪ , Guarantee‬כלומר ההקצאה שתהייה על הקבוצה שמוגדר עלייה‬ ‫גם ‪ Guarantee & Weight‬הינו ‪. 100KB + Bandwidth of the Weigth‬‬ ‫‪Weight And Per-Connection Guarantees‬‬ ‫את ההגדרה מגדירים תחת אותה קבוצה , יש להגדיר את מספר המקסימאלי של החיבורים עבור ה-‪guarantee‬‬ ‫מעבר למספר המקסימאלי שהוגדר לא תהיה אפשרות לחיבורים נוספים אלא אם יוגדר זאת בנפרד‬ ‫באופן כללי אסור להקצות יותר מ-%09 מרוחב הפס שיש לנו עבור תעבורה שמוגדרת במוד של ‪Guaranee‬‬ ‫סימול של הפונקציה הנ"ל הינו : ‪Action  PC-250KB‬‬ ‫‪Limit and Weight‬‬ ‫שמוגדר על גבי הקבוצה זהו הגודל המקסימאלי של אותו הקבוצה ולא משנה מהוא רוחב הפס המקסימאלי המוגדר על גבי‬ ‫כל השירות כמו כן הרוחב הפס יישאר קבוע ולא משנה אם מנצלים אותו או לו ,‬ ‫כאשר רוחב הפס של כל השירות הינו קטן מרוחב הפס שמוגדר על גבי ה-‪ Limit‬אזי ה-‪Limit‬‬ ‫לא יקבל את הרוחב הפס שהוקצה לו אלא רוחב פס קטן יותר.‬ ‫‪Limit and Per-Connection Weight‬‬ ‫כלומר כאשר הגדרנו ‪ Per connection = 20KB‬עם ‪Limit =250KB‬‬

Recommended

Hashtag Marketing by Amex
Hashtag Marketing by Amex Hashtag Marketing by Amex
Hashtag Marketing by Amex 🎩🎖 Roy Fang
 
20thcenturymusicjeopardy
20thcenturymusicjeopardy20thcenturymusicjeopardy
20thcenturymusicjeopardyStacey Schoen
 
ASU Pamphlet
ASU PamphletASU Pamphlet
ASU PamphletCollege Magnet
 
Funny Pics
Funny PicsFunny Pics
Funny Picsrovuks
 
PanIIT 2008 Presentation - IIT Alumni Global Conference
PanIIT 2008 Presentation - IIT Alumni Global ConferencePanIIT 2008 Presentation - IIT Alumni Global Conference
PanIIT 2008 Presentation - IIT Alumni Global ConferenceOMcareers Community
 
Responsive IT and Connected Business
Responsive IT and Connected BusinessResponsive IT and Connected Business
Responsive IT and Connected BusinessChris Haddad
 
Opening Your Heart Through Service
Opening Your Heart Through ServiceOpening Your Heart Through Service
Opening Your Heart Through Servicemlperry
 
The Jury Perspective Perceptions Expectations And Understanding In Medical Ma...
The Jury Perspective Perceptions Expectations And Understanding In Medical Ma...The Jury Perspective Perceptions Expectations And Understanding In Medical Ma...
The Jury Perspective Perceptions Expectations And Understanding In Medical Ma...Melissa Gomez
 

Recommended

Hashtag Marketing by Amex
Hashtag Marketing by Amex Hashtag Marketing by Amex
Hashtag Marketing by Amex 🎩🎖 Roy Fang
 
20thcenturymusicjeopardy
20thcenturymusicjeopardy20thcenturymusicjeopardy
20thcenturymusicjeopardyStacey Schoen
 
ASU Pamphlet
ASU PamphletASU Pamphlet
ASU PamphletCollege Magnet
 
Funny Pics
Funny PicsFunny Pics
Funny Picsrovuks
 
PanIIT 2008 Presentation - IIT Alumni Global Conference
PanIIT 2008 Presentation - IIT Alumni Global ConferencePanIIT 2008 Presentation - IIT Alumni Global Conference
PanIIT 2008 Presentation - IIT Alumni Global ConferenceOMcareers Community
 
Responsive IT and Connected Business
Responsive IT and Connected BusinessResponsive IT and Connected Business
Responsive IT and Connected BusinessChris Haddad
 
Opening Your Heart Through Service
Opening Your Heart Through ServiceOpening Your Heart Through Service
Opening Your Heart Through Servicemlperry
 
The Jury Perspective Perceptions Expectations And Understanding In Medical Ma...
The Jury Perspective Perceptions Expectations And Understanding In Medical Ma...The Jury Perspective Perceptions Expectations And Understanding In Medical Ma...
The Jury Perspective Perceptions Expectations And Understanding In Medical Ma...Melissa Gomez
 
The EU needs a proper constitution
The EU needs a proper constitutionThe EU needs a proper constitution
The EU needs a proper constitutionIvan Grigoriev
 
COREQUESTIONSintroEng
COREQUESTIONSintroEngCOREQUESTIONSintroEng
COREQUESTIONSintroEngRadka
 
ePubs-RollYourOwn(for_supercon2012)
ePubs-RollYourOwn(for_supercon2012)ePubs-RollYourOwn(for_supercon2012)
ePubs-RollYourOwn(for_supercon2012)windsordi
 
F I N E S T R A N2
F I N E S T R A N2F I N E S T R A N2
F I N E S T R A N2IsaR
 
Are you in the right vehicle for your journey
Are you in the right vehicle for your journeyAre you in the right vehicle for your journey
Are you in the right vehicle for your journeyRuss Thornton
 
AIA Milwaukee 2013 Year In Review
AIA Milwaukee 2013 Year In ReviewAIA Milwaukee 2013 Year In Review
AIA Milwaukee 2013 Year In ReviewBrenda Taylor
 
Whitepaper V1 2 071126 Open Iptv Forum
Whitepaper V1 2 071126 Open Iptv ForumWhitepaper V1 2 071126 Open Iptv Forum
Whitepaper V1 2 071126 Open Iptv ForumDirk Kadijk
 
ORM: Por que isso te interessa? (TDC2010)
ORM: Por que isso te interessa? (TDC2010)ORM: Por que isso te interessa? (TDC2010)
ORM: Por que isso te interessa? (TDC2010)Antonio Zegunis
 
Application
ApplicationApplication
Applicationkevbud
 
Seeker [ehv3] Eindhoven
Seeker [ehv3] EindhovenSeeker [ehv3] Eindhoven
Seeker [ehv3] EindhovenTom Veeger
 
Configure Switch Nortel 8600
Configure Switch Nortel 8600Configure Switch Nortel 8600
Configure Switch Nortel 8600ELI KENDEL אלי קנדל
 
Projecte ciències sistema circulatori
Projecte ciències sistema circulatoriProjecte ciències sistema circulatori
Projecte ciències sistema circulatoriCristina Campos
 
新乐小学四年级1班家长会
新乐小学四年级1班家长会新乐小学四年级1班家长会
新乐小学四年级1班家长会lms0023
 
Social Networking Within The Workplace
Social Networking Within The WorkplaceSocial Networking Within The Workplace
Social Networking Within The Workplacenorfolkblurb
 
Assessing the strictness of portfolio-related regulation of pension funds: Re...
Assessing the strictness of portfolio-related regulation of pension funds: Re...Assessing the strictness of portfolio-related regulation of pension funds: Re...
Assessing the strictness of portfolio-related regulation of pension funds: Re...Marcin Senderski
 
Mind radius profile_linkedin
Mind radius profile_linkedinMind radius profile_linkedin
Mind radius profile_linkedinjyotsnasawhney
 
Why Hire A Freelance Writer
Why Hire A Freelance WriterWhy Hire A Freelance Writer
Why Hire A Freelance WriterKelly Richardson
 
利用网络平台构建西北农村小学虚拟教研组
利用网络平台构建西北农村小学虚拟教研组利用网络平台构建西北农村小学虚拟教研组
利用网络平台构建西北农村小学虚拟教研组lms0023
 
Genaral Configuration 8600 Nortel
Genaral Configuration 8600 NortelGenaral Configuration 8600 Nortel
Genaral Configuration 8600 NortelELI KENDEL אלי קנדל
 
Expand Cli Command
Expand Cli CommandExpand Cli Command
Expand Cli CommandELI KENDEL אלי קנדל
 
Alt Cli
Alt CliAlt Cli
Alt CliELI KENDEL אלי קנדל
 
Asf Command
Asf CommandAsf Command
Asf CommandELI KENDEL אלי קנדל
 

More Related Content

Viewers also liked

The EU needs a proper constitution
The EU needs a proper constitutionThe EU needs a proper constitution
The EU needs a proper constitutionIvan Grigoriev
 
COREQUESTIONSintroEng
COREQUESTIONSintroEngCOREQUESTIONSintroEng
COREQUESTIONSintroEngRadka
 
ePubs-RollYourOwn(for_supercon2012)
ePubs-RollYourOwn(for_supercon2012)ePubs-RollYourOwn(for_supercon2012)
ePubs-RollYourOwn(for_supercon2012)windsordi
 
F I N E S T R A N2
F I N E S T R A N2F I N E S T R A N2
F I N E S T R A N2IsaR
 
Are you in the right vehicle for your journey
Are you in the right vehicle for your journeyAre you in the right vehicle for your journey
Are you in the right vehicle for your journeyRuss Thornton
 
AIA Milwaukee 2013 Year In Review
AIA Milwaukee 2013 Year In ReviewAIA Milwaukee 2013 Year In Review
AIA Milwaukee 2013 Year In ReviewBrenda Taylor
 
Whitepaper V1 2 071126 Open Iptv Forum
Whitepaper V1 2 071126 Open Iptv ForumWhitepaper V1 2 071126 Open Iptv Forum
Whitepaper V1 2 071126 Open Iptv ForumDirk Kadijk
 
ORM: Por que isso te interessa? (TDC2010)
ORM: Por que isso te interessa? (TDC2010)ORM: Por que isso te interessa? (TDC2010)
ORM: Por que isso te interessa? (TDC2010)Antonio Zegunis
 
Application
ApplicationApplication
Applicationkevbud
 
Seeker [ehv3] Eindhoven
Seeker [ehv3] EindhovenSeeker [ehv3] Eindhoven
Seeker [ehv3] EindhovenTom Veeger
 
Projecte ciències sistema circulatori
Projecte ciències sistema circulatoriProjecte ciències sistema circulatori
Projecte ciències sistema circulatoriCristina Campos
 
新乐小学四年级1班家长会
新乐小学四年级1班家长会新乐小学四年级1班家长会
新乐小学四年级1班家长会lms0023
 
Social Networking Within The Workplace
Social Networking Within The WorkplaceSocial Networking Within The Workplace
Social Networking Within The Workplacenorfolkblurb
 
Assessing the strictness of portfolio-related regulation of pension funds: Re...
Assessing the strictness of portfolio-related regulation of pension funds: Re...Assessing the strictness of portfolio-related regulation of pension funds: Re...
Assessing the strictness of portfolio-related regulation of pension funds: Re...Marcin Senderski
 
Mind radius profile_linkedin
Mind radius profile_linkedinMind radius profile_linkedin
Mind radius profile_linkedinjyotsnasawhney
 
Why Hire A Freelance Writer
Why Hire A Freelance WriterWhy Hire A Freelance Writer
Why Hire A Freelance WriterKelly Richardson
 
利用网络平台构建西北农村小学虚拟教研组
利用网络平台构建西北农村小学虚拟教研组利用网络平台构建西北农村小学虚拟教研组
利用网络平台构建西北农村小学虚拟教研组lms0023
 

Viewers also liked (18)

The EU needs a proper constitution
The EU needs a proper constitutionThe EU needs a proper constitution
The EU needs a proper constitution
 
COREQUESTIONSintroEng
COREQUESTIONSintroEngCOREQUESTIONSintroEng
COREQUESTIONSintroEng
 
ePubs-RollYourOwn(for_supercon2012)
ePubs-RollYourOwn(for_supercon2012)ePubs-RollYourOwn(for_supercon2012)
ePubs-RollYourOwn(for_supercon2012)
 
F I N E S T R A N2
F I N E S T R A N2F I N E S T R A N2
F I N E S T R A N2
 
Are you in the right vehicle for your journey
Are you in the right vehicle for your journeyAre you in the right vehicle for your journey
Are you in the right vehicle for your journey
 
AIA Milwaukee 2013 Year In Review
AIA Milwaukee 2013 Year In ReviewAIA Milwaukee 2013 Year In Review
AIA Milwaukee 2013 Year In Review
 
Whitepaper V1 2 071126 Open Iptv Forum
Whitepaper V1 2 071126 Open Iptv ForumWhitepaper V1 2 071126 Open Iptv Forum
Whitepaper V1 2 071126 Open Iptv Forum
 
ORM: Por que isso te interessa? (TDC2010)
ORM: Por que isso te interessa? (TDC2010)ORM: Por que isso te interessa? (TDC2010)
ORM: Por que isso te interessa? (TDC2010)
 
Application
ApplicationApplication
Application
 
Seeker [ehv3] Eindhoven
Seeker [ehv3] EindhovenSeeker [ehv3] Eindhoven
Seeker [ehv3] Eindhoven
 
Configure Switch Nortel 8600
Configure Switch Nortel 8600Configure Switch Nortel 8600
Configure Switch Nortel 8600
 
Projecte ciències sistema circulatori
Projecte ciències sistema circulatoriProjecte ciències sistema circulatori
Projecte ciències sistema circulatori
 
新乐小学四年级1班家长会
新乐小学四年级1班家长会新乐小学四年级1班家长会
新乐小学四年级1班家长会
 
Social Networking Within The Workplace
Social Networking Within The WorkplaceSocial Networking Within The Workplace
Social Networking Within The Workplace
 
Assessing the strictness of portfolio-related regulation of pension funds: Re...
Assessing the strictness of portfolio-related regulation of pension funds: Re...Assessing the strictness of portfolio-related regulation of pension funds: Re...
Assessing the strictness of portfolio-related regulation of pension funds: Re...
 
Mind radius profile_linkedin
Mind radius profile_linkedinMind radius profile_linkedin
Mind radius profile_linkedin
 
Why Hire A Freelance Writer
Why Hire A Freelance WriterWhy Hire A Freelance Writer
Why Hire A Freelance Writer
 
利用网络平台构建西北农村小学虚拟教研组
利用网络平台构建西北农村小学虚拟教研组利用网络平台构建西北农村小学虚拟教研组
利用网络平台构建西北农村小学虚拟教研组
 

Similar to Check Point Command

הגדרת משפחת Nexus סיסקו 14.3.2011
הגדרת משפחת Nexus סיסקו 14.3.2011הגדרת משפחת Nexus סיסקו 14.3.2011
הגדרת משפחת Nexus סיסקו 14.3.2011ELI KENDEL אלי קנדל
 
מושגים שונים בהבנת מערכות מחשב
מושגים שונים בהבנת מערכות מחשבמושגים שונים בהבנת מערכות מחשב
מושגים שונים בהבנת מערכות מחשבhaimkarel
 
מושגים שונים בהבנת מערכות מחשב
מושגים שונים בהבנת מערכות מחשבמושגים שונים בהבנת מערכות מחשב
מושגים שונים בהבנת מערכות מחשבhaimkarel
 
Fire Wall Solutions Final
Fire Wall Solutions FinalFire Wall Solutions Final
Fire Wall Solutions Finalhaimkarel
 
Fortinet Configuration
Fortinet ConfigurationFortinet Configuration
Fortinet Configurationneweb
 

Similar to Check Point Command (13)

Genaral Configuration 8600 Nortel
Genaral Configuration 8600 NortelGenaral Configuration 8600 Nortel
Genaral Configuration 8600 Nortel
 
Expand Cli Command
Expand Cli CommandExpand Cli Command
Expand Cli Command
 
Alt Cli
Alt CliAlt Cli
Alt Cli
 
Asf Command
Asf CommandAsf Command
Asf Command
 
הגדרת משפחת Nexus סיסקו 14.3.2011
הגדרת משפחת Nexus סיסקו 14.3.2011הגדרת משפחת Nexus סיסקו 14.3.2011
הגדרת משפחת Nexus סיסקו 14.3.2011
 
מושגים שונים בהבנת מערכות מחשב
מושגים שונים בהבנת מערכות מחשבמושגים שונים בהבנת מערכות מחשב
מושגים שונים בהבנת מערכות מחשב
 
מושגים שונים בהבנת מערכות מחשב
מושגים שונים בהבנת מערכות מחשבמושגים שונים בהבנת מערכות מחשב
מושגים שונים בהבנת מערכות מחשב
 
configure Wlan Cisco
configure Wlan Ciscoconfigure Wlan Cisco
configure Wlan Cisco
 
PHP Scalability
PHP ScalabilityPHP Scalability
PHP Scalability
 
Fire Wall Solutions Final
Fire Wall Solutions FinalFire Wall Solutions Final
Fire Wall Solutions Final
 
Sniffer1
Sniffer1Sniffer1
Sniffer1
 
Fierwall
FierwallFierwall
Fierwall
 
Fortinet Configuration
Fortinet ConfigurationFortinet Configuration
Fortinet Configuration
 

More from ELI KENDEL אלי קנדל

Kendel Avaya-Fabric connect - Demo Lab Guide – Macsec-9
Kendel Avaya-Fabric connect - Demo Lab Guide – Macsec-9Kendel Avaya-Fabric connect - Demo Lab Guide – Macsec-9
Kendel Avaya-Fabric connect - Demo Lab Guide – Macsec-9ELI KENDEL אלי קנדל
 
Kendel Avaya-Fabric connect - Demo Lab Guide – L3VSN & Multicast-8
Kendel Avaya-Fabric connect - Demo Lab Guide – L3VSN & Multicast-8Kendel Avaya-Fabric connect - Demo Lab Guide – L3VSN & Multicast-8
Kendel Avaya-Fabric connect - Demo Lab Guide – L3VSN & Multicast-8ELI KENDEL אלי קנדל
 
Kendel Avaya-Fabric connect - Demo Lab Guide – L2VSN Multicast-7
Kendel Avaya-Fabric connect - Demo Lab Guide – L2VSN Multicast-7Kendel Avaya-Fabric connect - Demo Lab Guide – L2VSN Multicast-7
Kendel Avaya-Fabric connect - Demo Lab Guide – L2VSN Multicast-7ELI KENDEL אלי קנדל
 
Kendel Avaya-Fabric connect - Demo Lab Guide – Spoof Detect & SLPP-6
Kendel Avaya-Fabric connect - Demo Lab Guide – Spoof Detect & SLPP-6Kendel Avaya-Fabric connect - Demo Lab Guide – Spoof Detect & SLPP-6
Kendel Avaya-Fabric connect - Demo Lab Guide – Spoof Detect & SLPP-6ELI KENDEL אלי קנדל
 
Kendel Avaya-Fabric connect - Demo Lab Guide – SPB vIST-5
Kendel Avaya-Fabric connect - Demo Lab Guide – SPB vIST-5Kendel Avaya-Fabric connect - Demo Lab Guide – SPB vIST-5
Kendel Avaya-Fabric connect - Demo Lab Guide – SPB vIST-5ELI KENDEL אלי קנדל
 
Kendel Avaya-FC - Demo Lab Guide – SPB VRRP-RSMLT-4
Kendel Avaya-FC - Demo Lab Guide – SPB VRRP-RSMLT-4Kendel Avaya-FC - Demo Lab Guide – SPB VRRP-RSMLT-4
Kendel Avaya-FC - Demo Lab Guide – SPB VRRP-RSMLT-4ELI KENDEL אלי קנדל
 
Kendel Avaya-Fabric connect -Demo Lab Guide – SPB IP Shortcuts-3
Kendel Avaya-Fabric connect -Demo Lab Guide – SPB IP Shortcuts-3Kendel Avaya-Fabric connect -Demo Lab Guide – SPB IP Shortcuts-3
Kendel Avaya-Fabric connect -Demo Lab Guide – SPB IP Shortcuts-3ELI KENDEL אלי קנדל
 
Kendel Avaya-fabric Connect - Demo Lab Guide – SPB L2VSN-2
Kendel Avaya-fabric Connect - Demo Lab Guide – SPB L2VSN-2Kendel Avaya-fabric Connect - Demo Lab Guide – SPB L2VSN-2
Kendel Avaya-fabric Connect - Demo Lab Guide – SPB L2VSN-2ELI KENDEL אלי קנדל
 
Kendel Avaya-Fabric connect - Demo Lab Guide - basic-1
Kendel Avaya-Fabric connect - Demo Lab Guide - basic-1Kendel Avaya-Fabric connect - Demo Lab Guide - basic-1
Kendel Avaya-Fabric connect - Demo Lab Guide - basic-1ELI KENDEL אלי קנדל
 
הגדרת משפחת Nexus סיסקו 20.2.2011
הגדרת משפחת Nexus סיסקו 20.2.2011הגדרת משפחת Nexus סיסקו 20.2.2011
הגדרת משפחת Nexus סיסקו 20.2.2011ELI KENDEL אלי קנדל
 

More from ELI KENDEL אלי קנדל (13)

Kendel Avaya-Fabric connect - Demo Lab Guide – Macsec-9
Kendel Avaya-Fabric connect - Demo Lab Guide – Macsec-9Kendel Avaya-Fabric connect - Demo Lab Guide – Macsec-9
Kendel Avaya-Fabric connect - Demo Lab Guide – Macsec-9
 
Kendel Avaya-Fabric connect - Demo Lab Guide – L3VSN & Multicast-8
Kendel Avaya-Fabric connect - Demo Lab Guide – L3VSN & Multicast-8Kendel Avaya-Fabric connect - Demo Lab Guide – L3VSN & Multicast-8
Kendel Avaya-Fabric connect - Demo Lab Guide – L3VSN & Multicast-8
 
Kendel Avaya-Fabric connect - Demo Lab Guide – L2VSN Multicast-7
Kendel Avaya-Fabric connect - Demo Lab Guide – L2VSN Multicast-7Kendel Avaya-Fabric connect - Demo Lab Guide – L2VSN Multicast-7
Kendel Avaya-Fabric connect - Demo Lab Guide – L2VSN Multicast-7
 
Kendel Avaya-Fabric connect - Demo Lab Guide – Spoof Detect & SLPP-6
Kendel Avaya-Fabric connect - Demo Lab Guide – Spoof Detect & SLPP-6Kendel Avaya-Fabric connect - Demo Lab Guide – Spoof Detect & SLPP-6
Kendel Avaya-Fabric connect - Demo Lab Guide – Spoof Detect & SLPP-6
 
Kendel Avaya-Fabric connect - Demo Lab Guide – SPB vIST-5
Kendel Avaya-Fabric connect - Demo Lab Guide – SPB vIST-5Kendel Avaya-Fabric connect - Demo Lab Guide – SPB vIST-5
Kendel Avaya-Fabric connect - Demo Lab Guide – SPB vIST-5
 
Kendel Avaya-FC - Demo Lab Guide – SPB VRRP-RSMLT-4
Kendel Avaya-FC - Demo Lab Guide – SPB VRRP-RSMLT-4Kendel Avaya-FC - Demo Lab Guide – SPB VRRP-RSMLT-4
Kendel Avaya-FC - Demo Lab Guide – SPB VRRP-RSMLT-4
 
Kendel Avaya-Fabric connect -Demo Lab Guide – SPB IP Shortcuts-3
Kendel Avaya-Fabric connect -Demo Lab Guide – SPB IP Shortcuts-3Kendel Avaya-Fabric connect -Demo Lab Guide – SPB IP Shortcuts-3
Kendel Avaya-Fabric connect -Demo Lab Guide – SPB IP Shortcuts-3
 
Kendel Avaya-fabric Connect - Demo Lab Guide – SPB L2VSN-2
Kendel Avaya-fabric Connect - Demo Lab Guide – SPB L2VSN-2Kendel Avaya-fabric Connect - Demo Lab Guide – SPB L2VSN-2
Kendel Avaya-fabric Connect - Demo Lab Guide – SPB L2VSN-2
 
Kendel Avaya-Fabric connect - Demo Lab Guide - basic-1
Kendel Avaya-Fabric connect - Demo Lab Guide - basic-1Kendel Avaya-Fabric connect - Demo Lab Guide - basic-1
Kendel Avaya-Fabric connect - Demo Lab Guide - basic-1
 
הגדרת משפחת Nexus סיסקו 20.2.2011
הגדרת משפחת Nexus סיסקו 20.2.2011הגדרת משפחת Nexus סיסקו 20.2.2011
הגדרת משפחת Nexus סיסקו 20.2.2011
 
Nexus Information
Nexus InformationNexus Information
Nexus Information
 
הגדרת נתבי סיסקו 1.0
הגדרת נתבי סיסקו 1.0הגדרת נתבי סיסקו 1.0
הגדרת נתבי סיסקו 1.0
 
Networking Technoloy
Networking TechnoloyNetworking Technoloy
Networking Technoloy
 

Check Point Command

  • 1. ‫פקודות ‪CHECK POINT‬‬ ‫נכתב על ידי אלי קנדל‬ ‫‪-cplic put -l CPLicenseFile.lic‬‬ ‫טוען את הרישיון למערכת‬ ‫‪cplic print‬‬ ‫מדפיס לנו את כל הרישיונות שיש על גבי ה-‪fw‬‬ ‫‪cplic print –x‬‬ ‫מציג לנו את הרישיונות שעל גבי ה-‪ fw‬כולל את החתימות על מנת שנוכל למחוק את הרישיונות המיותרים מה-‪fw‬‬ ‫להלן הפלט של הרישיונות :‬ ‫‪Host‬‬ ‫‪Expiration Signature‬‬ ‫‪Features‬‬ ‫‪7Feb2007 aMV9SJn8TRjgvY45t8KPPtsqzm9aRPjGunFb‬‬ ‫-1-‪cpmp-eval‬‬ ‫3.1.471.01‬ ‫‪ngx CK-8198E829753E‬‬ ‫-1-‪7Feb2007 dFnR5ebp5sbee7fQ4ULFaXgMc5HUGaM8zoHy cpmp-eval‬‬ ‫3.1.471.01‬ ‫‪ngx CK-8198E829753E‬‬ ‫‪cplic del dFnR5ebp5sbee7fQ4ULFaXgMc5HUGaM8zoHy‬‬ ‫דוגמה של מחיקת רישיון על ידי הוספת החתימה של הרישיון‬ ‫‪cphaprob stat‬‬ ‫מראה לנו את המצב של ה-‪ CLUSTER‬בין ה-‪FW‬‬ ‫‪– Cphastop‬‬ ‫עוצר את התהליך של ה-‪ , high availability‬אם ה-‪ F.W‬היה ‪ active‬המכונה שהיא ה-‪backup‬‬ ‫תהפוך להיות ‪ active‬ב-‪ HA‬וכל ה-‪ session‬יעברו באופן אוטומטי ל-‪ F.W‬החדש‬ ‫‪– Cphastart‬‬ ‫מעלה את התהליך של ‪ HA‬של ה-‪F.W‬‬ ‫‪Cphaprob Tablestat‬‬ ‫בפקודה זו אפשר לראות את כתובות ‪ IP‬של ה-‪ GW‬כמו כן את כתובות של ה-‪ CLUSTER‬של השכן‬ ‫‪Cphaprob Syncstat‬‬ ‫בפקודה זאת אפשר לראות את כל ה-‪ PACKET‬שנשלחו לביצוע ‪ SYNC‬בין שני ה-‪GW‬‬ ‫כמו כן אפשר לראות את כל אותם פעמים שלא הצלחנו לבצע ‪SYNC‬‬ ‫‪cpstop && cpstart‬‬ ‫מבצע ‪ stop‬למערכת ה-‪ fw‬ולאחר מגן מעלה את ה-‪ proc‬של ה-‪fw‬‬
  • 2. LINUX ‫&& פעולת שרשור על גבי מערכת‬ SNMP FW-‫ על גבי ה‬SNMP ‫הגדרת‬ vi /etc/snmp/snmpd.conf -master agentz ‫מתחת לשורה‬ rocommunity test 10.57.7.207 snmp service-‫העלאת ה‬ service snmpd start snmp-‫בדיקה האם השרת מאזין לפורט ١٦١ השייך ל‬ netstat -na | grep 161 *:udp 0 0 0.0.0.0:161 0.0.0.0 secure platform-‫אפשר לעלות ב-٦ מודים על גבי ה‬ :‫ שעולים במוד ٣ עלידי‬service-‫אנחנו עולים במוד מספר ٣ לכן אפשר לראות את כל ה‬ dir: ls -la /etc/rc.d/rc3.d ‫ של המכונה‬setup-‫ בזמן של ה‬service-‫העלאת ה‬ chkconfig --list -> to list all the startup programs chkconfig --add snmpd chkconfig snmpd on DEBUG VPN VPN ‫ על שירות‬FW-‫ על גבי ה‬debug ‫הפעלת‬ Vpn debug trunc Vpn debug truncon Vpn debug truncoff ‫ יוצר שני קבצים שמעביר לשם את כל הנתונים‬debug-‫ה‬ ike.elg + vpnd.elg ‫ יוצר‬FWDIR/log$ ‫תחת סיפריית‬ - vpn debug on TDERROR_ALL_ALL=5 TDERROR_ALL_ALL=0 fw monitor -e "accept;" -o fwmon.out tcpdump -i <interface> -w tcpdmp.out tcpdump -i any -s0 -e host 10.5.161.159 and not tcp port 1494 tcpdump -i any -s0 -e host 212.25.88.80
  • 3. CLUSTER cphaprob -a if ‫ ברמה לוגית‬CLUSTER-‫מראה לנו את מצב של ה‬ cphaconf set_ccp multicast CLUSTER ‫ בתצורת‬multicast ‫ באמצעות‬F.W-‫שינו שיטת התקשרות בין ה‬ cphaconf set_ccp broadcast CLUSTER ‫ בתצורת‬broadcast ‫ באמצעות‬F.W-‫שינו שיטת התקשרות בין ה‬ VLAN ‫ אחד באותו‬cluster-‫ כאשר יש יותר מ‬cluster-‫ של ה‬mac address ‫שינוי‬ :Module parameters with default values of fifth byte (fwha_mac_magic = 0xfe (CCP traffic (fwha_mac_forward_magic = 0xfd (Forwarding layer traffic fw fetch 10.174.1.3 SmartCenter-‫ מה‬policy-‫ על ידי משיכת ה‬gateway-‫ על גבי ה‬policy ‫התקנת‬ fw fetch localhost ‫ מעצמו‬Policy ‫ על ידי משיכה‬Gateway-‫ על גבי ה‬Policy ‫התקנת‬ Vi /etc/fw/conf/discntd.if disconnect ‫תחת קובץ זה אנחנו מגדירים את אותם הרגלים שהם במצב של‬ _______________________________ – Cphaprob list :Built-in Devices Gateway-‫ של ה‬interface-‫בודק את מצב ה‬ Device Name: Interface Active Check Current state: OK :Registered Devices ‫ תקין‬Gateway-‫ בין שני ה‬sync-‫מציג שמצב ה‬ Device Name: Synchronization Registration number: 0 Timeout: none Current state: OK Time since last report: 3857.6 sec
  • 4. Gateway-‫ על גבי ה‬policy ‫מציג שקיים‬ Device Name: Filter Registration number: 1 Timeout: none Current state: OK Time since last report: 3849.9 sec ‫ למעלה ותקין‬high availability-‫ של ה‬process-‫מציג ש‬ Device Name: cphad Registration number: 2 Timeout: 2 sec Current state: OK Time since last report: 0.3 sec ‫ למעלה ותקין‬daemon fw -‫מציג שה‬ Device Name: fwd Registration number: 3 Timeout: 2 sec Current state: OK Time since last report: 0 sec ___________________________________________ interface , Filter , sync , FWD , CPHAD ‫ על‬member cluster-‫ – מעביר מידע בין ה‬Health state . 10msec ‫ , מעביר כל‬UDP 8116 ‫מעביר את האינפורמציה בפורט‬ . cluster-‫ סנכרון של כל החיבורים שלנו על גבי ה‬state connection ‫רגל ייעודית עבור‬ gratitus arp ‫ המשני שולח‬FW-‫ הפעיל אזי ה‬FW-‫ - כאשר נופל ה‬Gratitus ARP ‫ שמשייך לכתובת הוירטואלית‬mac-‫ , ה‬Cluster-‫ של כתובת של ה‬mac-‫ את ה‬L2-‫שמשנה ב‬ . Mac Multicast ‫ ולא‬FW-‫ הפיזית של ה‬mac-‫הינו ה‬ . Active Standby ‫ – עובד במצב של‬New Mode HA Unicast ‫ והשני‬Multicast ‫ – ישנם שני מצבים של עבודה האחד‬Load Sharing ‫ שמימנו הוא יצא‬FW ‫ דרך אותו‬FLOW ‫- מנגנון שמבצע החזרת‬Sticky Decision Function 50% - 50% ‫ - עובד בשיטת‬Multicast 30%-70% ‫ עובד בחלוקה של‬PIVOT ‫ – נקרא גם‬Unicast state table = ‫כמות קישורים‬ fw tab -t connections -s HOST NAME ID #VALS #PEAK #SLINKS localhost connections 8158 1716 2922 6823 Sync-‫ קרובים אחד לשני אזי זאת אומרת שה‬VALS-‫יש לבדוק שהמספר תחת קטגורית ה‬ . ‫ עובד כמו שצריך‬connection-‫של ה‬ – Fw unloadlocal Gateway-‫ מעל ה‬policy-‫מורידים את ה‬ echo 0 /proc/sys/net/ipv4/ip_forwarding
  • 5. ‫באמצעות פקודה זאת השרת מבצע ‪ routing‬בין הרגלים שלו‬ ‫‪echo 1 /proc/sys/net/ipv4/ip_forwarding‬‬ ‫באמצעות פקודה זאת השרת לא מבצע ‪ routing‬בין רגלי תקשורת שעל גבו .‬ ‫‪fw fetch localhost‬‬ ‫התקנת ‪ Policy‬על גבי ה-‪ Gateway‬על ידי משיכה ‪ Policy‬מעצמו‬ ‫‪– Fw ver‬‬ ‫מראה לנו את הגרסה של ה-‪ FW‬כולל ‪HFA‬‬ ‫‪– Fw stat‬‬ ‫מראה לנו את הסטאטוס של ה-‪ fw‬כמו כן אפשר לראות את שם של ה-‪policy‬‬ ‫שמורצת על גבי ה-‪FW‬‬ ‫‪ip add – Linux‬‬ ‫מראה לנו את כתובות רשת שמוגדרות על גבי כרטיסי רשת‬ ‫‪ifconfig –a‬‬ ‫רואים את כתובת רשת של כל כרטיס כולל ‪error‬‬ ‫0‪ethtool eth‬‬ ‫סטאטוס כרטיס ומהירות, ניתן לראות רק כל כרטיס בנפרד‬ ‫‪Mii-tool‬‬ ‫מראה סטאטוס כל הרגליים – לא רלוונטי לרגלי גיגה – פקודה ישנה יותר.‬ ‫‪Mii-tool –W‬‬ ‫מציג לנו על גבי המסך ב-‪ Real Time‬אם נפל ‪ interface‬או עלה.‬ ‫הגדרת ‪ ROUTE‬על גבי המכונה על ידי הפקודה הבאה:‬ ‫05.1.861.291 ‪route add -net 10.0.0.0 netmask 255.255.255.0 gw‬‬ ‫‪more /etc/rc.local‬‬ ‫על גבי קובץ ‪ rc.local‬אפשר להגדיר את מהירות קבועה של כרטיס רשת על גבי השרת‬ ‫על ידי הפקודה הבאה ‪ethtool -s eth0 speed 100 duplex full autoneg off‬‬ ‫כמו כן על מנת שהשרת יישאר תמיד ב-001 ‪ full‬גם אחראי ‪ reboot‬יש לערוך את קובץ ‪rc.local‬‬ ‫‪Vi /etc/rc.local‬‬ ‫‪ethtool -s eth0 speed 100 duplex full autoneg off‬‬ ‫באמצעות פקודה זאת אנחנו מבצעים ‪ reset‬לכרטיסי ה-‪ network‬של המחשב‬ ‫‪service network restart‬‬ ‫‪netconf.C/etc/sysconfig‬‬ ‫מכיל אינפורמציה של כרטיסי רשת ושורות ניתוב‬ ‫‪cpnetconf load‬‬ ‫טוען את קובץ ‪ Netconf.C‬למערכת .‬ ‫‪cat /proc/cpuinfo‬‬ ‫מראה לנו את האינפורמציה של המחשב כמה ‪ CPU‬יש לנו על גבי המחשב ואיזה סוג‬ ‫‪dmidecode | more‬‬ ‫מקבלים אינפורמציה על כל החומרה שעל גבי המחשב כולל מספר ‪ CPU‬מהירות של ה-‪ CPU‬וכו.‬ ‫0‪ethtool -a eth‬‬ ‫אפשר לראות את ההגדרות של הכרטיס הספציפית של אותו רגל.‬ ‫‪More /var/log/messages‬‬
  • 6. ‫לראות את ה- ‪ log‬של המכונה‬ ‫06 4 ‪– lockout enable‬‬ ‫באמצעות פקודה זאת משנים את ה- ‪ time out‬של ה-‪ telnet‬ל- ٠٦ דקות.‬ ‫‪– Lspci‬‬ ‫מראה לנו את סוגי כרטיסי הרשת שעל גבי ה-‪splat‬‬ ‫‪– Service network restart‬‬ ‫מבצע ‪ Restart‬לכל ה-‪ tcp stack‬שעל גבי המכונה‬ ‫‪cpstat fw‬‬ ‫מראה כמות פאקטים שעברו , כולל חסימות , בחלוקה לכרטיסים וכיוון‬ ‫‪free‬‬ ‫כמות ניצולת זיכרון‬ ‫‪fw ctl pstat‬‬ ‫סטטיסטיקות לגבי ‪ kernel‬ה- ‪ – FW‬טוב במצב עומס לראות אם ‪ FW‬מפיל פאקטים עקב חוסר משאבים ב ‪FW‬‬ ‫‪fw ctl pstat | grep fail‬‬ ‫"0" ‪fail should be‬אם אנחנו רואים שגיאות אזי המערכת נמצאת בבעיה‬ ‫– ‪fw ctl zdebug + drop‬‬ ‫- ";14.921.222.391=‪fw monitor -e "accept src=193.222.129.41 or dst‬‬ ‫0344 ‪netstat -an |grep‬‬ ‫מראה לנו על איזה פורטים מאזין השרת , בדוגמה שלנו מראה לנו שהשרת מאזין לפורט 0344‬ ‫‪netstat –rn‬‬ ‫רואים את טבלת ניתוב של ה-‪F.W‬‬ ‫‪uname –an‬‬ ‫מראה לנו את סוג מערכת ההפעלה כמו כן את‬ ‫‪sysconfig‬‬ ‫מאפשר לנו להגדיר כתובות רשת על גבי כרטיסי הרשת‬ ‫‪Tar –zxvf VPN-1 HFA_05.tgz‬‬ ‫פקודה זאת פותחת את מבנה של ה-‪ Hot fix‬עבור מערכת ההפעלה‬ ‫ולאחר מכן לאחר שפתח את הקובץ יש להריץ את הפקודה הבאה:‬ ‫./‪Unixinstallscript‬‬ ‫פקודה זאת מתקינה את הקובץ על גבי מערכת ההפעלה של ה-‪FW‬‬ ‫0344:11.1.471.01//:‪https‬‬ ‫דרך נוספת להגדיר כתובות רשת היא על ידי ה-‪ Browser‬באמצעות ה-‪link‬‬ ‫‪mii-tool‬‬
  • 7. ‫רואים את מצב כרטיסי תקשורת כולל מהירות‬ ‫‪Netstat –A‬‬ ‫פקודה זאת מציגה לנו את כל הפורטים שה-‪ FW‬מאזין להם‬ ‫כמו כן את כל החיבורים שכבר התבצעו על גבי ה-‪FW‬‬ ‫‪fw ver‬‬ ‫מראה לנו איזה סוג של מערכת הפעלה מורץ כולל את ה-‪ HOTFIX‬שמורץ על גבי ה-‪Gateway‬‬ ‫‪fw ctl zdebug drop‬‬ ‫פקודה זאת מראה לנו את כל ה-‪ packet‬שה-‪ fw‬מפיל ונותן את הסיבה לביצוע ה-‪drop‬‬ ‫1.351.861.291 ‪fw ctl zdebug drop |grep‬‬ ‫פקודה יותר ספציפית לבדיקת מקור ספציפי ולא לקבל את כל הפלט של ה-‪drop‬‬ ‫‪– Fw monitor‬‬ ‫מציג לנו את כל ה-‪ packet‬שנכנס ל-‪ fw‬ויוצאים ממנו‬ ‫‪ --i‬מה שנכנס ל-‪f.w‬‬ ‫‪ packet-I‬שהתבצע ‪ match accept‬לפי החוקים שמוגדרים ב-‪F.W‬‬ ‫‪ o- packet‬שה-‪ fw‬ביצע ניתוב למקור היעד ולפני ביצוע ‪ inspect‬שני על גבי ה-‪packet‬‬ ‫‪ O – packet‬שעבר את ה-‪ fw‬לעולם ועבר את ה-‪ inspect‬השני של ה-‪F.W‬‬ ‫‪ Nat hide‬מתבצע ב-‪ O‬ביציאה של ה-‪FW‬‬ ‫‪– Translate desination on client side‬‬ ‫באמצעות ה-‪ Feature‬אנחנו מבצעים ‪ Nat‬לכתובת לפני שה-‪ FW‬מבצע ניתוב ל-‪.Packet‬‬ ‫‪Fw monitor > kendel‬‬ ‫101.111.531.19 ‪Fw Monitor | grep‬‬ ‫‪– fw ctl chain‬‬ ‫סדר פעולות שה-‪ FW‬מבצע מרגע שה-‪ Packet‬נכנסו עד שהוא יוצא‬ ‫‪more /etc/sysconfig/netconf.C‬‬ ‫קובץ זה מכיל את כל כתובות של ה-‪ f.w‬כמו כן את כל שורות ניתוב .‬ ‫‪On smart center‬‬ ‫/‪etc/fw/conf‬‬ ‫‪objects_5_0.C‬‬ ‫מכיל את כל האוביקטים ואת ההגדרות הגלובליות ‪ ) global pro‬לא עורכים אותו באופן ידני אלא באמצעות‬ ‫‪(guidbedit‬‬ ‫‪C:program FilesCheckPointSmartConsoleR60PROGRAM GuiDBedit.exe‬‬ ‫‪– Fw ctl pstat‬‬ ‫פקודה זאת מראה לנו תמונת מצב מלאה על מצב הסנכרון של המערכת‬ ‫מפסיק את ה-‪ process‬של ה-‪– check point CPstop‬‬ ‫מפעיל את ה-‪ process‬של ה-‪– check point CPstart‬‬ ‫מפסיק ומפעיל את ה-‪ process‬של ה-‪– check point CPrestert‬‬ ‫$1‪"FWDIR – " opt/CPsuite-R60/fw‬‬
  • 8. ‫/‪opt/CPsuite-R60/fw1/bin/upgrade_tools‬‬ ‫זוהי ספריית שמכילה בתוכה את הפקודות שמבצעים גיבוי לקונפיגורציה כולל את כל‬ ‫ה-‪ host , network , nat ,vpn‬וכו‬ ‫‪"upgrade_export "name of the file‬‬ ‫באמצעות פקודה זאת אנחנו יוצרים קובץ שמכיל את כל הנתונים של ה-‪fw‬‬ ‫‪"upgrade_import "name of the file‬‬ ‫באמצעות פקודה זאת אנחנו משחזרים את כל הקונפיגורציה של ה-‪fw‬‬ ‫‪Export + Import configuration‬‬ ‫$‪– FWDIR/conf‬‬ ‫יש צורך לגבות את כל הספרייה ‪ , conf‬הספרייה מכילה את ‪Rule base, object, user database‬‬ ‫$‪– FWDIR/lib‬‬ ‫יש צורך לגבות ת כל הספרייה ‪ ,lib‬מכיל בתוכו ‪ base.def‬אם מותכן ‪feature pack‬‬ ‫על גבי ה-‪FW‬‬ ‫‪– Objects_5_0.C‬‬ ‫מכיל בתוכו משתנים שמשפעים על כל ה-‪ FW‬כגון :‬ ‫‪Network object, server object, service object, time object‬‬ ‫כמו כן כל השינוים שמבצעים ב-‪global properties + local properties‬‬ ‫‪Objects.C‬‬ ‫נוצר על ידי ‪ Objects_5_0.C‬ברגע שה-‪ smart center‬רוצה לשלוח נתונים ל-‪gateway‬‬ ‫הוא יוצר את הקובץ עם כל בשינוים ומעביר אותו , הקובץ נמצא תחת ספריית $‪FWDIR/conf‬‬ ‫‪– Rulebases_5_0.fws‬‬ ‫מכיל בתוכו את החוקים ואת בשינוים שביצוע בחוקים , הקובץ לא מעובר ל-‪gateway‬‬ ‫הקובץ נמצא בספרייה $‪FWDIR/conf‬‬ ‫‪– Fwauth.NDB‬‬ ‫מכיל בתוכו את כל ה-‪ users‬וכל הקבוצות הוא נמצא בתוכך שני ספריות‬ ‫הראשונה $‪ FWDIR/conf‬והשני $‪FWDIR/database‬‬ ‫יש צורך לגבות אותו באופן שוטף.‬ ‫10_‪– Backup –f fwkendel‬‬ ‫מבצעים גיבוי על גבי ה-‪ gateway‬על ידי הפקודה ושם הקובץ שאליו הוא יעביר את כל הנתונים‬
  • 9. Backup –help backup ‫נקבל את כל הפקודות שנתמכות תחת פקודת‬ Backup –e .‫ של המערכת‬scheduled-‫אפשר לראות את ה‬ – Restore .‫על מנת לבצע שחזור של הקונפיגורציה יש לבצע שחזור עם שם של הקובץ‬ – var/CPbackup/backups/ ‫ספרייה שנמצאים בתוכה קבצי הגיבוי כאשר מבצעים גיבוי ידני‬ etc/sysconfig/netconf.C/ FW-‫קובץ זה מכיל בתוכו את כל כתובות של כרטיסי הרשת כמו כן מכיל בתוכו את כל שורות הניתוב של ה‬ Smart Center-‫גיבוי ה‬ FWDIR = /opt/CPsuite-r60/fw1$ – FWDIR/bin/upgrate_tools$ ‫ספרייה שנמצאים בה פקודות של גיבוי ושחזור של הקונפיגורציה‬ upgrate_export Kendel_01/. tgz ‫המערכת מבצעת גיבוי לכל הקונפיגורציה ומקמפלת אותו לסיומת של‬ upgrate_import Kendel_01.tgz/. Kendel ‫המערכת משחזרת את הקונפיגורציה עם שם קובץ בשם‬ – Fw unloadlocal Policy ‫ נשאר ללא‬FW-‫ וה‬gateway-‫ מה‬Policy-‫מוחק את ה‬ FWDIR/lib/ldap - The definitions of all VPN -1 Pro attributes in LDIF format are $ scheme_microsoft_ad. ldif located in $ FWDIR / lib / ldap directory fwm lock_admin – ua ‫באמצעות פקודה זאת אנחנו יכולים לשחרר משתמש שננעל‬ fw dbexport - f c : temp users . ldif - l - s " o = YourCity . com , c = YourCountry " - This command exports all attributes for all users to the users . ldif file , in LDF format . Export allows users to be imported into an LDAP server . fw tab -x –u --- displays kernel table content – fw tab - t Sam_ blocked_ips Block Intruder feature -‫מאפשר לנו לראות את כל הכתובות שחסמנו אותם עלידי ה‬ fw tab –s fw tab –u
  • 10. fw tab –a OPSEC – Open Platform for security CVP – content vectoring protocol , use tcp 18181 API - Application Programming Interface) SDK - Software Development Kit CVP - The Content Vectoring Protocol allows antivirus solutions to talk to FireWall-1. UFP - The URI Filtering Protocol allows Web filtering to integrate. Use tcp 18182 LEA - The Log Export API enables you to export log files to third-party log servers. ELA - The Event Logging API allows Check Point to receive logs from third-party software. – Chsh admin –s /bin/bash Expert-‫משנה את סביבת העבודה לסביבה חדשה הכוללת את ה‬ ‫ גם באמצעות‬GW-‫אפשר להתחבר ל‬ Provider-1 Mds – multi domain server CMA- customer management add on MLM – Multi Log Module MDG – Multi Domain GUI CLM – Customer Loger Module – FWM Management ‫ עבור‬FW-‫ בתוך ה‬Process ‫זהו‬ – FWD Daemon ‫ עבור‬FW-‫ בתוך ה‬Process ‫זהו‬ Ifconfig sub interface ‫מציג לנו את כל כתובות הרשת כולל את‬ – Mdsstat ‫ כולל שמות כתובות רשת וכו‬cma-‫מציג לנו את כל רשומת ה‬ – mdsenv asf_CMA ‫ , מכן אפשר להשתמש בכל הפקודות הרגילות‬asf_cma ‫נכנס לתוך ספריה וירטואלית של‬ , management-‫שאנחנו מכירים ב‬ mcd conf ‫ שאנחנו נמצאים בתוכה‬cma-‫מראה לנו את הספרייה וה‬ Mdsenv ‫ הראשי‬cma-‫חוזרים ל‬ opt/CPmds-R60/customers/ provider-‫ שמוגדרים על גבי ה‬cma-‫תחת הספרייה הנ"ל נמצאים כל ה‬ opt/CPmds-R60/customers/asf_CMA/ cma ‫ נמצאים כל ההגדרות של אותו‬asf_CMA ‫תחת הספרייה של‬ fw-‫ שעל גבי ה‬certificate-‫ וכל ה‬policy-‫כולל הגדרות של ה‬ opt/CPmds-R60/customers/asf_CMA/CPsuite-R60/fw1/
  • 11. F.W-‫תחת ספרייה זאת נמצאים כל הנתונים של ה‬ – DB_version database revision control-‫ שמבצעים באמצעות ה‬Snapshot-‫ נשמרים כל ה‬Conf ‫בתוך ספריית‬ – Ckp_mgmt_version.tar.gz snapshot-‫זהו שם הקובץ של ה‬ MDS – mds_backup-‫מגבה את ה‬ MDS – mds_restore-‫לשחזר את ה‬ ‫ ספציפי‬cma ‫לעצור ולהפעיל‬ mdsstart_customer 10.57.5.135 mdsstop_customer 10.57.5.135 ‫ ולהפעילו‬MDS-‫לעצור את כל ה‬ mdsstop mdsstart ‫ שני‬CMA-‫ אחד ל‬CMA-‫ מ‬POLICY ‫העתקת‬ cd $FWDIR/conf home/admin/vendors/-‫ ל‬objects_5_0.C ‫١. מעתיקים את קובץ‬ : ‫ומריצים את הפקודה הבאה‬ cp_merge merge_objects -d /home/admin/vendors provider-1-‫שם משתמש וסיסמה של ה‬ Enter User Name: eli Enter User Password: xxxx : ‫٢. לאחר מכן מריצים את הפקודה הבאה‬ home/admin/ ‫ לספריית‬FW-Vendors ‫מעתיקים את‬ cp_merge export_policy -l FW-Vendors -d /home/admin POLICY-‫ שאליו אנחנו רוצים להעביר את ה‬CMA-‫ ל‬objects_5_0.C ‫לאחר מכן מעתיקים את קובץ‬ : ‫ומריצים את הפקודה הבאה‬ cp_merge import_policy -d /home/admin -f FW-Vendors.pol provider-1-‫שם משתמש וסיסמה של ה‬ Enter User Name: eli Enter User Password: xxxx FW-‫העברת קובץ המכילים את כל המשתמשים ב‬ : ‫ שמכיל את המשתמשים ומריצים את הפקודה הבאה‬CMA-‫עוברים ל‬ fwm dbexport –f users :‫ שאליו אנחנו מעבירים את הקובץ ומריצים את הפקודה הבאה‬CMA-‫עוברים ל‬ ‫חשוב שניצור את הקבוצות לפני המעבר‬ fwm dbimport /home/admin/vendors/users smart defense-‫קבצים הקשורים ל‬ asm.C inspact.C updates.def
  • 12. ‫‪VPN‬‬ ‫‪– VPN TU‬‬ ‫מבצע ‪ reset‬ל-‪ tunnel‬על גבי ה-‪F.W‬‬ ‫כאשר עולה ‪ Tunnel‬בין ה-‪ GW‬שלי ולשוטף שלי כל שינוי שאני מבצע‬ ‫לדוגמא מ-‪ preshared key‬ל- ‪ certificate‬יש לבצע את ה-‪ reset‬דרך ‪CLI‬‬ ‫‪– IP Spoofing‬‬ ‫כאשר אנחנו מגדירים את אופציית ה-‪anti spoofing‬‬ ‫אזי כאשר מגיע ל-‪ F.W‬פקט שמכילה את כתובת מקור בתור אחד הכתובות שקיימות מאחורי ה-‪f.w‬‬ ‫או לחלופין על אחד מהרגלים של ה-‪ f.w‬אזי ה-‪ f.w‬יפיל את הפקט ויוציא הודעה של ‪anti spoofing‬‬ ‫ה-‪f.w‬‬ ‫חשוב לציין כאשר מוגדר על גבי הרגלי ה-‪ ethernet‬מוד של ‪ internal‬ועובר פקט מרגל אחד לרגל שנייה שגם‬ ‫על אותה רגל מוגדר מוד של ‪ internal‬וזי ה-‪ f.w‬לא יפיל את הפקט , אבל כאשר מדובר מעבר פקט בין רגל שמוגדרת‬ ‫‪External‬‬ ‫כאשר יוצרים ‪ node‬חדש ישנה אופציה של ‪ configure server‬שמאפשר להגדיר את אותו ה-‪host‬‬ ‫בתור ‪ , web-server , mail server , DNS server‬כאשר בוחרים אחד מהאפשריות אזי באופן‬ ‫אוטומטי הגנה תחת ה-‪SmartDefense‬‬
  • 13. ‫‪VOIP‬‬ ‫הסבר:‬ ‫במוד של ‪ direct‬רק ה-‪ packet‬של ה-‪ Ras‬עובר דרך ה-‪ Gatekeeper‬וכך שאר ה-‪ Packet‬כולל השיחה עוברת‬ ‫ישירות בין המקור ליעד .‬ ‫במוד של ‪ Call Setup‬רק ה-‪ packet‬של 139.‪ Ras + Q‬עובר דרך ה-‪ Gatekeeper‬וכל שאר בתעבורה‬ ‫עוברת ישירות בין המקור ליעד.‬ ‫במוד של ‪ – Call Setup and Call Control‬ה-542.‪ Ras + Q.931 + H‬עובר דרך ה-‪ Gatekeepers‬ושאר התעבורה‬ ‫עוברת בין מקור ליעד .‬ ‫323.‪H‬‬ ‫‪MGCP‬‬ ‫‪MCCP‬‬ ‫‪SIP‬‬
  • 14. Security Servers : ‫ על גבי הפרוטוקולים הבאים‬Content Security ‫ תהליך זה מבצע‬VPN-1 Pro-‫זהו תהליך שנמצא על גבי ה‬ HTTP , FTP , SMTP , TELNET , RLOGIN Security Servers ‫ לא עובר תהליך של‬CIFS ‫פרוטוקול‬ USER AUTHONICATION User Authentication Session Authentication Clint Authentication . ٩٠٠ ‫ בפורט‬Telnet ‫ בפורט ٩٥٢ , השנייה על ידי‬Telnet ‫האחת על ידי‬
  • 15. ‫‪QOS‬‬ ‫‪Weight‬‬ ‫הרוחב פס מתחלק בין כל הקבוצות שקיים עליהם חיבורים ברגע נתון, החלוקה הינה דינאמית‬ ‫כלומר עם היה חלוקה מסוימת של הרוחב הפס ואחד החיבורים בקבוצה מסוימת הסתיים ולא קיים כרגע‬ ‫שום חיבור על גבי אותו קבוצה אזי כל ההקצאה של רוחב הפס שהיה על גבי אותה קבוצה יעבור לקבוצות האחרות‬ ‫קבוצה ١ = 01 ‪ , Weight‬קבוצה שנייה = 02 ‪ Weight‬ומוקצה רוחב פס של ‪ 200KB‬אזי החלוקה תהיה :‬ ‫קבוצה ١ = 03/01 * ‪ , 200KB‬קבוצה ٢ = 03/02 * ‪ , 200KB‬החלוקה תהיה בתנאי שיהיה חיבורים‬ ‫על גבי שנייה הקבוצות‬ ‫‪Weight And Guarantees‬‬ ‫אזי החלוקה כדהלן : את ההקצאה של ה-‪ guarantee‬מתבצעת ראשונה כלומר אם ה-‪Guarantee = 100KB‬‬ ‫מתוך ‪ 500KB‬אזי מה שישאר לטובת ה-‪ Weight‬הינו ‪ 400KB‬שיתחלק בין כל הקבוצות שקיימים עליהם חיבורים‬ ‫החלוקה תתבצע גם על הקבוצה שמוגדר עלייה ‪ , Guarantee‬כלומר ההקצאה שתהייה על הקבוצה שמוגדר עלייה‬ ‫גם ‪ Guarantee & Weight‬הינו ‪. 100KB + Bandwidth of the Weigth‬‬ ‫‪Weight And Per-Connection Guarantees‬‬ ‫את ההגדרה מגדירים תחת אותה קבוצה , יש להגדיר את מספר המקסימאלי של החיבורים עבור ה-‪guarantee‬‬ ‫מעבר למספר המקסימאלי שהוגדר לא תהיה אפשרות לחיבורים נוספים אלא אם יוגדר זאת בנפרד‬ ‫באופן כללי אסור להקצות יותר מ-%09 מרוחב הפס שיש לנו עבור תעבורה שמוגדרת במוד של ‪Guaranee‬‬ ‫סימול של הפונקציה הנ"ל הינו : ‪Action  PC-250KB‬‬ ‫‪Limit and Weight‬‬ ‫שמוגדר על גבי הקבוצה זהו הגודל המקסימאלי של אותו הקבוצה ולא משנה מהוא רוחב הפס המקסימאלי המוגדר על גבי‬ ‫כל השירות כמו כן הרוחב הפס יישאר קבוע ולא משנה אם מנצלים אותו או לו ,‬ ‫כאשר רוחב הפס של כל השירות הינו קטן מרוחב הפס שמוגדר על גבי ה-‪ Limit‬אזי ה-‪Limit‬‬ ‫לא יקבל את הרוחב הפס שהוקצה לו אלא רוחב פס קטן יותר.‬ ‫‪Limit and Per-Connection Weight‬‬ ‫כלומר כאשר הגדרנו ‪ Per connection = 20KB‬עם ‪Limit =250KB‬‬