WatchGuard FireWare Command Line Interface (CLI) TCP/4118

Zugriff mit Putty über Port 4118 auf die Fireware CLI WatchGuard Firebox Systeme mit Firmwareversion 11.x (oder höher) bieten die Möglichkeit der Administration über die Kommandozeile (CLI). Hierzu läuft auf der WatchGuard über tcp-Port 4118 ein SSH-Daemon.

Das CLI kennt die zwei Benutzer: status und admin. Zu "status" gehört das Lese-Passwort der Firebox, zu "admin" das Konfigurations-Passwort.

Um auf die CLI zuzugreifen starten Sie Putty ( Windows Terminal, MobaXterm oder eine andere Software zum Herstellen von Verbindungen über Secure Shell) und gehen links im Menü auf "Session". Anschließend in der rechts erscheinenden Eingabemaske unter "Host Name (or IP address)" die IP-Adresse der WatchGuard Firebox eingeben. Als Port "4118" eingeben. In der darunterliegenden Zeile ("Connection type") auf "SSH" klicken. Am besten Sie speichern sich die Zugangsdaten gleich mit 'Save' ab.

Alternativ können Sie sich mit einem Seriell-RJ45 Kabel auf den Konsolen-Port verbinden: Putty Serial Einstellungen: Speed: 115200 baud; Data bits: 8; Stop bits: 1; Parity: None; Flow Control: None. Es gibt keine sofortige Antwort. Drücken Sie die Eingabetaste, um die Anmeldeaufforderung Ihrer Firebox zu sehen. Melden Sie sich als Benutzer "admin" an. Verwenden Sie das Lese-Schreib- (Konfigurations)-Passwort Ihrer Firebox. Watchguard CLI Command Modes

Das WatchGuard CLI enthält fünf Command Modes (Main, Configuration, Link Aggregation, Interface, Policy). Wenn Sie sich als admin an der WatchGuard Firebox anmelden sind Sie standardmäßig immer im Main Command Mode.

Main Command Mode (Hauptbefehlsmodus)

Der Hauptbefehlsmodus ist der Standardbefehlsmodus der WatchGuard CLI. Im Hauptmodus können Sie:

Konfigurationseinstellungen höherer Ebene ändern
Systemprotokolle einsehen
Den Konfigurationsbefehlsmodus aufrufen
Das Software-Image wieder herstellen oder aktualisieren
Die Firebox herunterfahren oder neu starten.

Hier können Sie durch die Eingabe eines Fragezeichens "?" oder "help" eine Übersicht der verfügbaren Befehle anzeigen lassen. Das Fragezeichen direkt hinter einem Befehl zeigt die für den Befehl möglichen oder notwendigen Optionen an.

In der CLI finden Sie zum Beispiel den Befehl 'reboot', über den die WatchGuard Firebox durchgebootet werden kann, wenn Sie über den System Manager nicht mehr erreichbar ist. Fireware CLI Commands

Ebenfalls hilfreich sind die CLI-Befehl 'ping', 'traceroute' und 'tcpdump'. 'ping' und 'traceroute' ermöglicht es, ICMP-Pings oder die ICMP-Routenverfolgung direkt von der Firewall aus zu versenden.

ping -I 2 74.125.75.126 (-I: Interface)

traceroute 74.125.75.126

Mit 'tcpdump' kann das Ethernet-Protokoll-Logging wie mit einem Packet-Sniffer direkt auf der Console ausgegeben werden.

Noch spannender ist der diagnose-Befehl. Hier kann z.B. mit 'diag ha sys' der Systemzustand mit Spannungen und Temperaturen abgefragt werden. Mit 'diag vpn "/ike/restart"' werden die VPN Tunnels zurückgesetzt, ohne die Box neu booten zu müssen.

Der "show" Befehl dient zum Anzeigen von Informationen zu einer Komponente der aktuellen Konfiguration oder des Status der Firewall. Aufgrund der Komplexität des Befehls "show" werden die einzelnen Komponenten hier nicht beschrieben. Es können jedoch Komponenten angezeigt werden, wie z.B. die ARP-Tabelle "show arp", die konfigurierten Aliases "show alias", der Zustand und die Rollen im FireCluster "show cluster".

Warnung / Hinweis:

Wenden Sie die WatchGuard Firebox Command Line Interface (CLI) zur Änderung von Konfigurationen im produktiven Einsatz sehr vorsichtig an. Die CLI kann unter Umständen Konfigurationen erzeugen, welche nicht mit dem GUI-basierten Policy Manager oder der WebUI kompatibel sind. Die CLI wird deshalb von WatchGuard hauptsächlich zur Fehlersuche und Evaluierung unterstützt.

Und bevor Sie jetzt zum Spielen ansetzen, erstellen Sie bitte ein Backup:

WG# backup image meinpasswort to usb vernuenftige-beschreibung.fxi
WG# restore image from usb flash-image vernuenftige-beschreibung.fxi meinpasswort

Configuration Command Mode (Konfigurationsbefehlsmodus)

Der Konfigurationsbefehlsmodus wird zum Konfigurieren der System- und Netzwerkeinstellungen für die Firebox verwendet. Um in den Konfigurationsmodus zu gelangen, öffnen Sie die CLI im Hauptmodus und verwenden Sie dann den Befehl "configure".

WG# configure
WG(config)#

Sie können den Konfigurationsmodus verwenden, um diese Funktionen auszuführen:

Verwalten Sie die Protokollierung der Firebox
Konfigurieren Sie globale Netzwerkeinstellungen
Konfigurieren Sie die Einstellungen für das Access Portal und die Authentication
Wechseln Sie in die Modi Interface, Link-Aggregation oder Policy
Konfigurieren Sie den drahtlosen AccessPoint auf einer WiFi-Firebox
Rufen Sie die Befehlsmodi VLAN oder Bridge auf

Als Beispiel richten wir eine Bridge auf den Schnittstellen eth3 eth4 und eth5 mit der IP Adresse 10.10.1.1 unter einem Spanning-Tree-Protokoll mit Priorität 0 ein:

WG(config)#  bridge Bridge345
WG(config/Bridge345 # security-zone trusted 10.10.1.1/24 interface 3 4 5
WG(config/Bridge345 # spanning-tree bridgeprio 0
WG(config/Bridge345 # exit
WG(config)#

Wenn die Firebox so konfiguriert wurde, dass mehrere Benutzer mit Geräteadministrator-Anmeldeinformationen gleichzeitig eine Verbindung herstellen können, und ein Geräteadministrator die Konfigurationsdatei für Änderungen schon geöffnet hat, können Sie keine Änderungen an der Konfigurationsdatei vornehmen, bis der Administrator entweder die Konfigurationsdatei wieder geschlossen oder sich abgemeldet hat.

Policy Command Mode (Richtlinienbefehlsmodus)

Der Richtlinienbefehlsmodus wird zum Konfigurieren von Richtlinien (Policies) verwendet. Um Benutzer oder Firewallregeln über die WatchGuard Command Line anzulegen, müssen Sie in den Policy Command Mode wechseln.
Wechseln Sie dazu zunächst vom Main Mode in den Configuration Mode und anschließend in den Policy Mode:

WG# conf 
WG(config)# pol
WG(config/policy)#

Sie können den Richtlinienmodus verwenden, um diese Funktionen auszuführen:

Erstellen und ändern Sie Regeln und Zeitpläne
Benutzerkonten verwalten
Definieren Sie Benutzer, Gruppen und Aliase für die Verwendung in Richtlinien
Kontrollieren Sie VPN-Gateways und Tunnel
Konfigurieren Sie Branch-Office-VPN-Richtlinien und VPN-Policies für mobile Benutzer

Als Beispiel erstellen wir den Benutzer "Huber", mit dem Passwort "meinpasswort" . Die Session Timeout beträgt 4 Stunden, die Idle Timeout eine Stunde. Huber ist Mitglied der Gruppe "SSLVPN-Users" und hat als Beschreibung "Firmenbesitzer" hinterlegt:

WG(config/policy)#users Huber meinpasswort 14400 3600 group SSLVPN-Users description Firmenbesitzer
WG(config/policy)#apply

Konfigurationsänderungen im Policy Mode werden immer erst mit dem Kommando 'apply' wirksam. Beendet werden die Configuration modes und der SSH-Client über den Befehl 'exit'.

Nun basteln wir uns eine ausgehende http Regel für den Alias "Verkauf", welche ein WAN-Failover über zwei Leitungen benutzt:

WG(config/policy)# rule Verkauf-HTTP
WG(config/policy/rule-Verkauf-HTTP)# auto-block enable
WG(config/policy/rule-Verkauf-HTTP)# policy-type HTTP-proxy from alias Verkauf to alias Any-External
WG(config/policy/rule-Verkauf-HTTP)# logging log-message enable
WG(config/policy/rule-Verkauf-HTTP)# logging snmp-trap enable
WG(config/policy/rule-Verkauf-HTTP)# policy-routing backup InternetLeitung1 failover InternetLeitung2
WG(config/policy/rule-Verkauf-HTTP)# to snat snat.1
WG(config/policy/rule-Verkauf-HTTP)# policy-tag Verkauf
WG(config/policy/rule-Verkauf-HTTP)#exit
WG(config/policy)#apply

Die "WatchGuard"-Policy regelt den Zugriff vom WatchGuard System Manager auf die Firebox. Diese Regel wird vom Quick Setup Wizard automatisch erstellt. Wenn Sie nun aus Versehen die "WatchGuard" Policy gelöscht haben, damit nicht mehr über den WatchGuard System Manager zugreifen können und die Firebox auch nicht über die WEB-UI erreichen, dann können Sie die WatchGuard-Policy über die CLI wiederherstellen:

WG# configure
WG(config)# policy
WG(config/policy)# rule WG_Mgmt
WG(config/policy/rule-WG_Mgmt)# policy-type WG-Firebox-Mgmt from alias Any-Trusted to alias Firebox enable
WG(config/policy/rule-WG_Mgmt)# apply

Damit sollten Sie wieder in der Lage sein, sich mit Ihrer Firebox aus dem WatchGuard System Manager von jeder vertrauenswürdigen Schnittstelle aus zu verbinden. Sie können dann den Policy Manager verwenden, um die WatchGuard WebUI-Policy wieder zu aktivieren oder eine neue WebUI-Policy hinzu zufügen, um den Zugriff auf die Fireware Web-UI Schnittstelle von einem Web-Browser wieder zu ermöglichen.

Interface Command Mode (Schnittstellenbefehlsmodus)

Der Schnittstellenbefehlsmodus wird zum Konfigurieren der Ethernet-Schnittstellen der Firebox verwendet. Um auf den Schnittstellenbefehlsmodus zuzugreifen, öffnen Sie die CLI im Konfigurationsbefehlsmodus "configure" und verwenden Sie dann den "interface"-Befehl. Sie können den Schnittstellenbefehlsmodus verwenden, um diese Funktionen auf einer einzigen Schnittstelle auszuführen:

Konfigurieren Sie die IP-Adresse und Adressierungsoptionen für die Schnittstelle
Konfigurieren Sie die Schnittstelle als Gateway
MTU- und Link-Geschwindigkeitseinstellungen steuern
Konfigurieren Sie die Schnittstelle als DHCP-Server oder DHCP-Relay
Konfigurieren Sie die Schnittstelle für QoS

Link Aggregation Mode (Link Aggregation-Befehlsmodus)

Der Befehlsmodus "Link Aggregation" wird zum Konfigurieren von Link Aggregation-Schnittstellen in der Firebox verwendet. Eine Link Aggregation-Schnittstelle kann eine oder mehrere Ethernet-Schnittstellen enthalten. Um auf den Schnittstellenbefehlsmodus zuzugreifen, öffnen Sie die CLI im Konfigurationsbefehlsmodus "Configure" und verwenden Sie dann den Befehl "link-aggregation". Sie können den Link-Aggregation-Befehlsmodus verwenden, um diese Funktionen auszuführen:

Fügen Sie Link-Aggeregation-Schnittstellen hinzu und entfernen Sie diese
Konfigurieren Sie den Link Aggregation Interface-Modus
Konfigurieren Sie IP-Adresse und Adressierungsoptionen für die Link Aggregation-Schnittstelle
Konfigurieren Sie die Link Aggregation-Schnittstelle als Gateway
Steuern Sie die Verbindungsgeschwindigkeit
Konfigurieren Sie die Link Aggregation-Schnittstelle als DHCP-Server oder DHCP-Relay

Nun nochmals zurück zum Main Command Mode und zum Import und Export von Textdaten in oder aus der Firewall. Sie können zum Beispiel das Support-File auf einen USB-Stick speichern:

WG# export support to usb support.tgz

Über den export oder import Befehl ist auch ein schnelles Eingeben oder Ausgeben der Blocked Sites Liste über einen FTP- oder TFTP-Server möglich:

WG# import blocked-site action merge from tftp://meintftpserver/dateien/blockedsitelist.dot
WG# export blocked-site to ftp://Benutzer:MeinPasswort@ftp.meinserver.local:23/dateien/blockedsitelist.dot

Firebox CLI einrichten des FIPS-Modus In der CLI können Sie auch den Firebox FIPS-Modus aktivieren. Der FIPS-Modus unterstützt den Betrieb der Firebox in Übereinstimmung mit FIPS 140- 2 Anforderungen. Die Federal Information Processing Standards Publication 140-2, Sicherheitsanforderungen für Cryptographic Module (FIPS 140-2) beschreibt die Anforderungen der Bundesregierung der Vereinigten Staaten für Verschlüsselungsmodule. Firebox und XTM Geräte erfüllen die allgemeinen Anforderungen für FIPS 140-2 Level 2-Sicherheit, wenn sie in einer FIPS-konformen Weise konfiguriert sind.

Um Ihre Firebox im FIPS-Modus verwenden:

Verwenden Sie den CLI-Befehl "fips enable" um den FIPS-Modus-Betrieb zu aktivieren.
verwenden Sie Admin- und Status-Passwörter mit mindestens 8 Zeichen.
Wenn Sie VPN-Tunnel konfigurieren, dürfen nur FIPS-genehmigte Authentifizierung und Verschlüsselungsalgorithmen gewählt werden (SHA-1, SHA-256, SHA-512, 3DES, AES-128, AES-192, AES- 256).
Für VPN-Tunnel müssen Diffie-Hellman-Gruppe 2 oder Gruppe 5 für IKE-Phase-1-Verhandlung gewählt werden.
Verwenden Sie ein Minimum von 1024-Bit-RSA-Schlüssel für alle RSA Schlüssel.
Konfigurieren Sie den FireCluster nicht als HA.
Verwenden Sie kein PPTP für Mobile VPN.
Verwenden Sie kein PPPoE.
Für den Zugriff auf Fireware Web-UI, darf der Browser nur TLS 1.0 und FIPS-geprüfte Chiffriersätze verwenden
Für den Netzwerkzugriff auf die CLI muss das SSH V2.0-Protokoll verwendet werden.

Wenn das Gerät im FIPS-Modus arbeitet, wird bei jedem Einschalten eine Reihe von Selbsttests für die FIPS-Spezifikation durchgeführt. Wenn einer der Tests fehlschlägt , schreibt die Firebox eine Meldung in die Protokolldatei und schaltet ab. Verwenden Sie "no FIPS enable" um den FIPS-Modus wieder zu deaktivieren.

Default-Zertifikate der Firebox zu erneuern

Um die Default-Zertifikate der Firebox zu erneuern, löscht man normalerweise das entsprechende Zertifikat und startet die Firebox neu. Muss man den Neustart vermeiden, so kann man die Erzeugung der Zertifikate auch von der WatchGuard CLI auslösen. Je nach Zertifikat sind folgende Befehle zu verwenden:

default Proxy Authority / Proxy Server Zertifikat (HTTPS Deep Inspection)	upgrade certificate proxy
Firebox web server Zertifikat	upgrade certificate web
SSLVPN Zertifikat	upgrade certificate sslvpn
802.1x Zertifikat	upgrade certificate 8021x

Die WatchGuard Fireware Command Line Interface Reference 12.10 finden Sie unter:

Fireware_CLI_Reference_v12_10.pdf

ältere CLI References :

Die CLI-Reference für Fireware 12.0:

fireware_cli-reference_(en-us)_v12_0.pdf

Die CLI-Reference für Fireware 11.12.4:

fireware_cli-reference_(en-us)_v11-12-4.pdf (z.B. für alte XTM-Geräte)

GepaNet GmbH ist WatchGuard Gold Partner

Wir bieten neben der Beratung und dem Verkauf von WatchGuard Firebox Firewalls auch einen umfassenden WatchGuard Dienstleistungsservice in Deutschland, Österreich und der Schweiz an.

Ob WatchGuard Vorkonfiguration, WatchGuard Installation und Einrichtung, Vor-Ort-Service, oder spontane Remote-Hilfe, wir sind Ihr zertifizierter WatchGuard Support mit schneller Reaktion.

Seit mehr als 20 Jahren arbeiten unsere Support-Ingenieure täglich mit den Firebox Firewalls von WatchGuard. Das gesammelte Know-How aus vielen Tausenden, erfolgreichen WatchGuard Projekten stellen wir Ihnen schnell und unkompliziert zur Verfügung - egal ob Sie Ihre WatchGuard Firebox bei uns gekauft haben oder nicht. Fordern Sie uns. Wir wissen die Antwort.

Mit unserem umfangreichen Schulungs-Angebot zum Thema „IT-Sicherheit“ bereiten wir IT-Profis auf mögliche Gefahren und Angriffe im Web vor und bieten zahlreiche bewährte Lösungsmodelle an. Die Kurse fangen mit der Grundkonfiguration der WatchGuard Firewalls und der Fireware XTM an und führen bis ins Detail mit erweiterten Funktionen wie Multi-WAN, VLAN, FireCluster, AD-Authentifizierung, Managementserver und VPN. Die Kurse bestehen aus Theorie-Teilen gemischt mit „Hands-On“ Elementen die das vermittelte Wissen in der Praxis vertiefen. Viele Kunden haben bereits eine Individual-Schulung gebucht, bei der dann die neu gekaufte WatchGuard Firebox Infrastruktur für den Produktivbetrieb vorbereitet und in Betrieb genommen wurde. Natürlich auch für WatchGuard Geräte, die nicht bei uns gekauft wurden.

WatchGuard Firewall		Beschreibung
WatchGuard Firebox T20 -W WatchGuard Firebox T40 -W		WatchGuard Firebox T20 5 Benutzer 154 Mbps UTM WatchGuard Firebox T40 20 Benutzer 300 Mbps UTM Die -W Modelle unterstützen Wireless 802.11 a/b/g/n
WatchGuard Firebox T80		WatchGuard Firebox T80 50 Benutzer 631 Gbps UTM optionaler SFP+ Moduleinschub für 10GbE
WatchGuard Firebox M270 WatchGuard Firebox M370 WatchGuard Firebox M470 WatchGuard Firebox M570 WatchGuard Firebox M670		WatchGuard Firebox M270 70 Benutzer 1,6 Gbps UTM WatchGuard Firebox M370 200 Benutzer 2,6 Gbps UTM WatchGuard Firebox M470 400 Benutzer 3,1 Gbps UTM WatchGuard Firebox M570 750 Benutzer 4,4 Gbps UTM WatchGuard Firebox M670 1000 Benutzer 5,4 Gbps UTM
WatchGuard Firebox M290 WatchGuard Firebox M390 WatchGuard Firebox M590 WatchGuard Firebox M690		WatchGuard Firebox M290 75 Benutzer 1,1 Gbps UTM WatchGuard Firebox M390 250 Benutzer 2,4 Gbps UTM WatchGuard Firebox M590 500 Benutzer 3,3 Gbps UTM WatchGuard Firebox M690 850 Benutzer 4,6 Gbps UTM
WatchGuard Firebox M4800 WatchGuard Firebox M5800		WatchGuard Firebox M4800 2500 Benutzer 50Gbps FW WatchGuard Firebox M5600 10000 Benutzer 60 Gbps FW
WatchGuard FireboxV WatchGuard Firebox Cloud		WatchGuard FireboxV virtuelle Firewall für VMware, MS Hyper-V oder KVM Hypervisor. WatchGuard Firebox Cloud für Ihre AWS und Azure Cloud.
WatchGuard WiFi 5 APs WatchGuard AP1255 WatchGuard AP225W WatchGuard AP325 WatchGuard AP420		Unter WSM zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit. WatchGuard AP125, AP225W, AP325, AP420: die sichersten 802.11ac Wave2 AccessPoints.
WatchGuard WiFi 6 APs WatchGuard AP130 WatchGuard AP330 WatchGuard AP430CR		Unter WatchGuard Cloud zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit. WatchGuard AP130, AP330, AP430CR: die schnellsten und sichersten WiFi 6 AccessPoints.
WatchGuard Promo Trade-Up Programm Trade-In Programm		Sie möchten ein größeres Modell? Oder einen anderen Hersteller wie Fortinet, Sophos, Sonicwall,... ablösen und mit WatchGuard Trade-In zur supergünstigen Firewall?
GepaNet WatchGuard Dienstleistungen
WatchGuard Schulung WatchGuard Training		Training, Schulung, Einrichtungs-Workshops, Zertifizierungs-Kurse mit zugelassenen WatchGuard Trainern. WatchGuard Certified Training Partner (WCTP)
WatchGuard Support		Sicherheitsberatung, Inbetriebnahme, Regeländerungen und Problembehebung durch ausgebildete, technische WatchGuard-Supporter
Managed Security Service MSSP		Zentrale Verwaltung durch GepaNet MSSP. Administration, Regeländerungen, Pflege der VPN Struktur, Installation von Security Hotfixes, Update Service, Logging, Log-Auswertung, Reporterstellung, Backup, Restore, Hardwareservice, usw.
WatchGuard Subscription Services
WatchGuard FireCluster		Hochverfügbarkeit durch zweite Cluster-Firewall mit HA-Promo.
WatchGuard Lizenzen		WatchGuard Subscription Services; Standard Support, Basic Security Suite, Total Security Suite und Software-Updates.
WatchGuard APT Blocker		WatchGuard APT: Abwehr von Advanced Persistent Threats und unbekannter Malware.
WatchGuard Mobile Security		Mobile Security: Schutz für Android und iOS.
WatchGuard Dimension		WatchGuard Dimension: Visualisierung und optionale Verwaltung über Dimension Command.
WatchGuard TDR		TDR: Bedrohungsanalyse und Abwehrkorrelation zwischen Firewall und Endpoints.
WatchGuard DNSwatch		DNSWatch verringert Infektionen durch Schadsoftware, indem bösartige DNS-Anforderungen blockiert werden.
WatchGuard AccessPortal		Zentraler Zugangspunkt für gehostete Anwendungen und sicherer, clientloser Zugriff auf interne Ressourcen.
WatchGuard IntelligentAV		Signaturlose Anti-Malware mit künstlicher Intelligenz zur automatischen Erkennung von Zero-Day-Schadsoftware.
WatchGuard AuthPoint		Multifaktor Authentifizierung: Push, OTP oder QR-Code.
WatchGuard System Manager (WSM)		Zentrale Firewall-Verwaltung. Die Konfiguration und VPN Struktur wird zentral, einfach verwaltet und verteilt.
Panda Security		100% Malware Erkennung und Beseitigung.
WatchGuard Endpoint Security		WatchGuard Endpoint Security: Schützt Sie vor jedem endpoint Angriff von bekannter und unbekannter Malware.

_{GepaNet GmbH >>
Services >>
Tipps und Tricks >>
WatchGuard CLI}