Gaia OS 與 CLI¶
Gaia 是 Check Point 的作業系統,Management、Gateway、Maestro 成員底層跑的都是它。學會在 Gaia 上操作 CLI,是維運與排錯的基本功。
Gaia 是什麼¶
Gaia 是 Check Point 統一的 64 位元作業系統,整合了早期 SecurePlatform 與 IPSO 的優點。不論你買的是實體 appliance、開 VM、還是 Open Server,裝上去的都是 Gaia。
管理方式有兩種:
- Gaia Portal(WebUI):瀏覽器連
https://<裝置IP>,圖形化做網路、路由、升級等系統層設定。 - CLI:SSH 進去,有兩種 shell ——
clish與expert。
兩種 Shell:clish vs expert¶
| clish | expert | |
|---|---|---|
| 身分 | Gaia 的結構化管理 shell | 底層 Linux bash |
| 用途 | 系統設定(網路、路由、DNS、升級) | 進階維運、debug、Check Point 工具 |
| 指令風格 | set / show / add / delete |
標準 Linux + CP 指令 |
| 風險 | 較安全、有語法檢查 | 權限大,誤操作易出事 |
# 從 clish 切到 expert
expert
# (第一次需先設定 expert 密碼:clish 下 set expert-password)
# expert 切回 clish
clish
改完設定記得存檔
在 clish 改完設定,一定要下 save config,否則重開機會還原(寫入 /config/active)。WebUI 則會自動存。例外:GRUB 密碼設定後會自動儲存。
深入:密碼與設定鎖
set expert-password:設 expert 密碼(明文,至少 6 字元);set expert-password-hash <hash>可用 hash 設定。設完要save config才持久化。set grub2-password:設開機選單(GRUB)密碼。- 設定鎖(config-lock):Gaia 設定庫一次只允許一位使用者以可寫模式持有。被別人鎖住時,可用
lock database override搶下鎖。Maestro / gClish 環境尤其要注意目前是哪台握有鎖。
clish 常用指令¶
# 查看 / 設定介面 IP
show interfaces
set interface eth0 ipv4-address 192.168.1.1 mask-length 24
# 路由
show route
set static-route 10.0.0.0/8 nexthop gateway address 192.168.1.254 on
# 主機名稱、DNS、時間
set hostname FW-01
set dns primary 8.8.8.8
show ntp servers
# 存檔(重要!)
save config
# 看誰登入、設定稽核
show configuration # 匯出目前所有 clish 設定
expert 常用指令(Check Point 工具)¶
# 版本與已裝 JHF
fw ver # Gateway 版本
cpinfo -y all # 完整版本 + JHF Take 清單
# 防火牆狀態
fw stat # 已安裝策略
cpwd_admin list # 各程序看門狗狀態
fwaccel stat # SecureXL 加速狀態
# 即時效能
cpview # 互動式效能監看(CPU / 連線 / 吞吐)
top # 標準 Linux
版本差異
clish 與 expert 的核心用法在 R81.10 ~ R82.10 都相同。R82 起 Gaia 與 clish 持續加入新參數(例如新版的硬體 / 路由功能),但既有指令向下相容。遇到新功能,clish 下用 set 後按 Tab 可列出可用參數。
小結¶
- Gaia 是 Check Point 的統一 OS,WebUI 與 CLI 兩種管理方式。
clish做系統設定、expert做底層維運與 debug。- clish 改完務必
save config。 - 不確定參數就善用 Tab 自動補完。