WG CLI

Netzwerk Video Software Leistungen Kontakt IT-Karriere

Watchguard FireWare Command Line Interface (CLI) TCP/4118

Zugriff mit Putty über Port 4118 auf die Fireware CLIWatchGuard Firebox Systeme mit Firmwareversion 11.x bieten die Möglichkeit der Administration über die Kommandozeile (CLI). Hierzu läuft auf der WatchGuard über tcp-Port 4118 ein SSH-Daemon.

Das CLI kennt die zwei Benutzer: status und admin. Zu status gehört das Lese-Passwort der Firebox, zu admin das Konfigurations-Passwort.

Um auf die CLI zuzugreifen starten Sie Putty und gehen links im Menü auf "Session". Anschließend in der rechts erscheinenden Eingabemaske unter "Host Name (or IP address)" die IP-Adresse der Watchguard Firebox eingeben. Als Port "4118" eingeben. In der darunterliegenden Zeile ("Connection type") auf "SSH" klicken. Am besten Sie speichern sich die Zugangsdaten gleich mit 'Save' ab. Alternativ können Sie sich mit einem Seriell-RJ45 Kabel auf den Konsolen-Port verbinden: Putty Serial Einstellungen: Speed: 115200 baud; Data bits: 8; Stop bits: 1; Parity: None; Flow Control: None. Es gibt keine sofortige Antwort. Drücken Sie die Eingabetaste, um die Anmeldeaufforderung Ihrer Firebox zu sehen. Melden Sie sich als Benutzer admin. Verwenden Sie das Lese-Schreib- (Konfigurations)-Passwort für Ihre Firebox.

Das Watchguard CLI enthält vier Command Modes (Main, Configuration, Interface, Policy). Wenn Sie sich als admin an der Watchguard Firebox  anmelden sind Sie standardmäßig immer im Main Command Mode.
Dort können Sie durch die Eingabe eines Fragezeichens "?" oder "help" eine Übersicht der verfügbaren Befehle anzeigen lassen. Das Fragezeichen hinter einem Befehl zeigt die für den Befehl möglichen oder notwendigen Optionen an.

Fireware CLI CommandsIn der CLI finden Sie zum Beispiel den Befehl 'reboot', über den die Watchguard Firebox durchgebootet werden kann, wenn Sie über den System Manager nicht mehr erreichbar ist.

Ebenfalls hilfreich sind die CLI-Befehl 'ping', 'traceroute' und 'tcpdump'. 'ping' und 'traceroute' ermöglicht es, ICMP-Pings  oder die ICMP-Routenverfolgung direkt von der Firewall aus zu versenden.

ping -I 2 74.125.75.126 (-I: Interface)
traceroute 74.125.75.126

Mit 'tcpdump' kann das Ethernet-Protokoll-Logging wie mit einem Packet-Sniffer direkt auf der Console ausgegeben werden.

Noch spannender ist der diagnose-Befehl. Hier kann z.B. mit 'diag ha sys' der Systemzustand mit Spannungen und Temperaturen abgefragt werden. Mit 'diag vpn "/ike/restart"' werden die VPN Tunnels zurückgesetzt, ohne die Box neu booten zu müssen.

Der "show" Befehl dient zum Anzeigen von Informationen zu einer Komponente der aktuellen Konfiguration oder des Status der Firewall. Aufgrund der Komplexität des Befehls "show" werden die einzelnen Komponenten hier nicht beschrieben. Es können jedoch Komponenten angezeigt werden, wie z.B. die ARP-Tabelle "show arp", die konfigurierten Aliases "show alias", der Zustand und die Rollen im FireCluster "show cluster".

Warnung / Hinweis:

Wenden Sie die Watchguard XTM Command Line Interface (CLI) zur Änderung von Konfigurationen im produktiven Einsatz sehr vorsichtig an. Die CLI kann unter Umständen Konfigurationen erzeugen, welche nicht mit dem GUI-basierten Policy Manager oder der WebUI kompatibel sind. Die CLI wird deshalb von Watchguard hauptsächlich zur Fehlersuche und Evaluierung unterstützt.

Und bevor Sie jetzt zum Spielen ansetzen, erstellen Sie bitte ein Backup:

WG# backup image meinpasswort to usb vernuenftige-beschreibung.fxi
WG# restore image from usb flash-image vernuenftige-beschreibung.fxi meinpasswort

Um Benutzer oder Firewallregeln über die Watchguard Command Line anzulegen, müssen Sie in den Policy Command Mode wechseln.

Wechseln Sie dazu zunächst vom Main Mode in den Configuration Mode und anschließend in den Policy Mode:

WG# conf 
WG(config)# pol
WG(config/policy)#

Als Beispiel erstellen wir den Benutzer "Huber", mit dem Passwort "meinpasswort" . Die Session Timeout beträgt 4 Stunden, die Idle Timeout eine Stunde. Huber ist Mitglied der Gruppe "PPTP-Users" und hat als Beschreibung "Firmenbesitzer" hinterlegt:

WG(config/policy)#users Huber meinpasswort 14400 3600 group PPTP-Users description Firmenbesitzer
WG(config/policy)#apply

Konfigurationsänderungen im Policy Mode werden immer erst mit dem Kommando 'apply' wirksam. Beendet werden die Configuration modes und der SSH-Client über den Befehl 'exit'.

Nun basteln wir uns eine ausgehende http Regel für den Alias "Verkauf", welche ein WAN-Failover über zwei Leitungen benutzt:

WG(config/policy)# rule Verkauf-HTTP
WG(config/policy/rule-Verkauf-HTTP)# auto-block enable
WG(config/policy/rule-Verkauf-HTTP)# policy-type HTTP-proxy from alias Verkauf to alias Any-External
WG(config/policy/rule-Verkauf-HTTP)# logging log-message enable
WG(config/policy/rule-Verkauf-HTTP)# logging snmp-trap enable
WG(config/policy/rule-Verkauf-HTTP)# policy-routing backup InternetLeitung1 failover InternetLeitung2
WG(config/policy/rule-Verkauf-HTTP)# to snat snat.1
WG(config/policy/rule-Verkauf-HTTP)# policy-tag Verkauf
WG(config/policy/rule-Verkauf-HTTP)#exit
WG(config/policy)#apply

Die "Watchguard"-Policy regelt den Zugriff vom Watchguard System Manager auf die Firebox. Diese Regel wird vom Quick Setup Wizard automatisch erstellt. Wenn Sie nun aus Versehen die "Watchguard" Policy gelöscht haben, damit nicht mehr über den Watchguard System Manager zugreifen können und die Firebox auch nicht über die WEB-UI erreichen, dann können Sie die "Watchguard" Policy über die CLI wiederherstellen:

WG# configure
WG(config)# policy
WG(config/policy)# rule WG_Mgmt
WG(config/policy/rule-WG_Mgmt)# policy-type WG-Firebox-Mgmt from alias Any-Trusted to alias Firebox enable
WG(config/policy/rule-WG_Mgmt)# apply

Damit sollten Sie wieder in der Lage sein, sich mit Ihrer Firebox aus dem Watchguard System Manager von jeder vertrauenswürdigen Schnittstelle aus zu verbinden. Sie können dann den Policy Manager verwenden, um die Watchguard WebUI-Policy wieder zu aktivieren oder eine neue WebUI-Policy hinzu zufügen, um den Zugriff auf die Fireware Web-UI Schnittstelle von einem Web-Browser wieder zu ermöglichen.

Nun zum Import und Export von Textdaten in oder aus der Firewall. Sie können zum Beispiel das Support-File auf einen USB-Stick speichern:

WG# export support to usb support.tgz

Über den export oder import Befehl ist auch ein schnelles Eingeben oder Ausgeben der Blocked Sites Liste über einen FTP- oder TFTP-Server möglich:

WG# import blocked-site action merge from tftp://meintftpserver/dateien/blockedsitelist.dot
WG# export blocked-site to ftp://Benutzer:MeinPasswort@ftp.meinserver.local:23/dateien/blockedsitelist.dot

Firebox CLI einrichten des FIPS-ModusIn der CLI können Sie auch den FIPS-Modus aktivieren. Der FIPS-Modus unterstützt den Betrieb der Firebox in Übereinstimmung mit FIPS 140- 2 Anforderungen. Die Federal Information Processing Standards Publication 140-2, Sicherheitsanforderungen für Cryptographic Module (FIPS 140-2) beschreibt die Anforderungen der Bundesregierung der  Vereinigten Staaten für Verschlüsselungsmodule. Firebox und XTM Geräte erfüllen die allgemeinen Anforderungen für FIPS 140-2 Level 2-Sicherheit, wenn sie in einer FIPS-konformen Weise konfiguriert sind.

Um Ihre Firebox im FIPS-Modus verwenden:

  • Verwenden Sie den CLI-Befehl "fips enable" um den FIPS-Modus-Betrieb zu aktivieren.
  • verwenden Sie Admin- und Status-Passwörter mit mindestens 8 Zeichen.
  • Wenn Sie VPN-Tunnel konfigurieren, dürfen nur FIPS-genehmigte Authentifizierung und Verschlüsselungsalgorithmen gewählt  werden (SHA-1, SHA-256, SHA-512, 3DES, AES-128, AES-192, AES- 256).
  • Für VPN-Tunnel müssen Diffie-Hellman-Gruppe 2 oder Gruppe 5 für IKE-Phase-1-Verhandlung gewählt werden.
  • Verwenden Sie ein Minimum von 1024-Bit-RSA-Schlüssel für alle RSA Schlüssel.
  • Konfigurieren Sie den FireCluster nicht als HA.
  • Verwenden Sie kein PPTP für Mobile VPN.
  • Verwenden Sie kein PPPoE.
  • Verwalten Sie die Firebox nicht über den Watchguard System Manager
  • Für den Zugriff auf Fireware Web-UI, darf der Browser nur TLS 1.0 und FIPS-geprüfte Chiffriersätze verwenden
  • Für den Netzwerkzugriff auf die CLI muss das SSH V2.0-Protokoll verwendet werden.

Wenn das Gerät im FIPS-Modus arbeitet, wird bei jedem Einschalten eine Reihe von Selbsttests für die FIPS-Spezifikation durchgeführt. Wenn einer der Tests fehlschlägt , schreibt die Firebox eine Meldung in die Protokolldatei und schaltet ab. Verwenden Sie "no FIPS enable" um den FIPS-Modus zu deaktivieren.

Die WatchGuard Fireware Command Line Interface Reference 11.12.4 finden Sie unter:

fireware_cli-reference_(en-us)_v11-12-4.pdf

Gepanet GmbH ist Watchguard Gold Partner

Watchguard Gold Partner SupportWir bieten neben der Beratung und dem Verkauf von WatchGuard Firebox Firewalls auch einen umfassenden WatchGuard Dienstleistungsservice in Deutschland, Österreich und der Schweiz an. Ob WatchGuard Vorkonfiguration, WatchGuard Installation und Einrichtung, Vor-Ort-Service, oder spontane Remote-Hilfe, wir sind Ihr zertifizierter WatchGuard Support mit schneller Reaktion.

Seit mehr als 12 Jahren arbeiten unsere Support-Ingenieure täglich mit den XTM und Firebox Firewalls von WatchGuard. Das gesammelte Know-How aus vielen Tausenden, erfolgreichen Watchguard Projekten stellen wir Ihnen schnell und unkompliziert zur Verfügung - egal ob Sie Ihre WatchGuard bei uns gekauft haben oder nicht. Fordern Sie uns. Wir wissen die Antwort.

Mit unserem umfangreichen Schulungs-Angebot zum Thema „IT-Sicherheit“ bereiten wir IT-Profis auf mögliche Gefahren und Angriffe im Web vor und bieten zahlreiche bewährte Lösungsmodelle an. Die Kurse fangen mit der Grundkonfiguration der WatchGuard Firewalls und der Fireware XTM an und führen bis ins Detail mit erweiterten Funktionen wie Multi-WAN, VLAN, FireCluster, AD-Authentifizierung, Managementserver und VPN. Die Kurse bestehen aus Theorie-Teilen gemischt mit „Hands-On“ Elementen die das vermittelte Wissen in der Praxis vertiefen. Viele Kunden haben bereits eine Individual-Schulung gebucht, bei der dann die neu gekaufte WatchGuard Firebox Infrastruktur für den Produktivbetrieb vorbereitet und in Betrieb genommen wurde. Natürlich auch für Watchguard Geräte, die nicht bei uns gekauft wurden.

Watchguard Firewall   Beschreibung
Watchguard Firebox T10
Watchguard Firebox T10-W
Watchguard Firebox T10-D

Watchguard Firebox T10

Die Watchguard Firebox T10 sichert remote Netzwerke, die bisher keine ausreichende Sicherheit hatten. Ideal für kleine Büros / Home Office und Filialen mit bis zu 15 Benutzer. Die Firebox T10-W unterstützt Wireless, die T10-D aDSL / vDSL.
Watchguard Firebox T30 T30-W
Watchguard Firebox T50 T50-W

Watchguard Firebox T30 25 Benutzer
Watchguard Firebox T50  40 Benutzer
Firebox T30-W / T50-W: WLAN 802.11 a/g/n/ac.
kleine Büros / Home Office / Einzelhandel
Watchguard Firebox M200

Watchguard Firebox M300

Watchguard Firebox M400

Watchguard Firebox M440

Watchguard Firebox M500

Watchguard Firebox M400 / M500

Watchguard Firebox M200   60 Benutzer  515 Mbps
Watchguard Firebox M300  150 Benutzer  800 Mbps
Watchguard Firebox M400  350 Benutzer 1,4 Gbps
Watchguard Firebox M500  750 Benutzer 1,7 Gbps
Watchguard Firebox M440  750 Benutzer 24+2 Ports
Watchguard Firebox M4600

Watchguard Firebox M5600

Watchguard Firebox M4600  3000 Benutzer
40Gbps FW / 9Gbps AV


Watchguard Firebox M5600  12000 Benutzer
60 Gbps FW / 12 Gbps AV

Watchguard AccessPoints
Watchguard AP100 WAP
Watchguard AP102 WAP
Watchguard AP200 WAP
Watchguard AP300 WAP

Unter WSM zentral administrierbare Watchguard WLAN Access Points mit hoher Firewall-Sicherheit.
Watchguard AP100 und Watchguard AP200. Wetterfester Watchguard AP102 für Outdoor. Watchguard AP300 mit 802.11ac
Watchguard XTMv
XTMv Small Office, Medium Office
XTMv Large Office, Datacenter

Watchguard XTMv Firwall als virtuelle Maschine

Watchguard XTMv virtuelle Firewall für VMware Hypervisor. Hohe Netzwerksicherheit und Schutz für Anwendungen und Daten.
Watchguard LiveSecurity

WatchGuard APT Blocker

WatchGuard Dimension

Watchguard LiveSecurity Service LSS Watchguard Live Security: Support und Software-Updates.
Watchguard APT Blocker: Abwehr für Advanced Persistent Threats
Watchguard Dimension: Kostenfreie Visualisierung und optionale Verwaltung über Dimension Command
Watchguard System Manager
WSM

Watchguard System Manager zentrale Verwaltung

Zentrale Verwaltung der WatchGuard Produkte. Die Konfiguration und VPN Struktur wird zentral und einfach verwaltet und verteilt. Das erspart Fehlersuche und Systempflege.
Watchguard Training, Schulung

Watchguard Support

Training, Schulung, Workshops, Consulting, Inbetriebnahme, Regeländerungen, Problembehebung, ganze einfach mit Gepanet GmbH.
Watchguard Promo
Trade-Up Programm

Trade-In Programm
Watchguard Promo Trade-Up RED instead Sie möchten ein größeres Modell? Oder einen anderen Hersteller ablösen und mit Watchguard Trade-In zur supergünstigen Firewall?

Gepanet GmbH >> Services >> Tipps und Tricks >> Watchguard CLI

Gepanet GmbH ist Watchguard Gold Partner

 

GepaNet GmbH: Ihr IT-Systemhaus für Netzwerke, e-Security, Firewallsysteme

E-Mail: vertrieb@gepanet.com
Telefon: +49 8382 9479 825
Fax: +49 8382 9479 826
Anschrift: D-88142 Wasserburg, Wiesenstraße 12

Wir beliefern Unternehmer (BGB §14/1) und Behörden in ganz Europa. Wir liefern nicht an Verbraucher (BGB §13). Änderungen und Irrtümer vorbehalten. Modelle, Preise und Lieferfähigkeit können sich täglich ändern. Preise verstehen sich zuzüglich der Versand- und Frachtkosten sowie der gesetzlichen MwSt. Für alle Aufträge gelten ausschließlich unsere AGB. Zusatzinformationen, Datenblätter und AGB senden wir Ihnen gerne zu.
Netzwerk-Vor-Ort-Betreuung im Bodensee Gebiet, Süddeutschland, Baden-Württemberg, Bayern, Allgäu, Vorarlberg, Schwaben, Appenzell, Augsburg, Arbon, Bad Waldsee, Biberach, Bludenz, Bregenz, Dornbirn, Feldkirch, Friedrichshafen, Freiburg, Füssen, Götzis, Günzburg, Heidenheim, Hohenems, Illertissen, Immenstaad, Immenstadt, Isny, Kaufbeuren, Kempten, Kißlegg, Konstanz, Landsberg, Laupheim, Lauterach, Leutkirch, Lindau, Lustenau, Markdorf, Marktoberdorf, Mengen, Memmingen, Mindelheim, Oberstaufen, Oberstdorf, Pfronten, Pfullendorf, Rankweil, Ravensburg, Reutlingen, Romanshorn, Salem, Saulgau, Sigmaringen, Simmerberg, Sonthofen, St. Gallen, St. Margrethen, Tettnang, Tübingen, Tuttlingen, Überlingen, Ulm, Wangen und Weingarten.

AGB        Lieferung     Datenschutzerklärung     Impressum
Home Nach oben