Cisco Secure Firewall Management Center 命令行参考
关于 Cisco Secure Firewall Management Center CLI
- Cisco Secure Firewall Management Center CLI 模式
Cisco Secure Firewall Management Center CLI 管理命令
Cisco Secure Firewall Management Center CLI Show 命令
- version
Cisco Secure Firewall Management Center CLI 配置命令
- password
Cisco Secure Firewall Management Center CLI 系统命令
Cisco Secure Firewall Management Center CLI 的历史记录

Cisco Secure Firewall Management Center 命令行参考

本参考介绍 Cisco Secure Firewall Management Center的命令行界面 (CLI)。

注	有关 Cisco Secure Firewall Threat Defense，请参阅Cisco Secure Firewall Threat Defense 命令参考。

关于 Cisco Secure Firewall Management Center CLI

使用 SSH 登录管理中心时，可以访问 CLI。虽然我们强烈建议不要这样做，但您可以使用 专家 命令访问 Linux 外壳。

小心	强烈建议您不要访问 Linux 外壳，除非 Cisco TAC 或 Firepower 用户文档明确说明需要这样做。

小心	具有 Linux 外壳访问权限的用户可以获得 root 权限，这将带来安全风险。出于系统安全原因，我们强烈建议：如果您建立外部身份验证，请确保相应地限制具有 Linux 外壳访问权限的用户列表。除了预定义 `管理员` 用户外，不要建立 Linux 外壳用户。

您可以使用本附录中所述的命令查看、对 Cisco Secure Firewall Management Center进行故障排除，以及执行有限的配置操作。

Cisco Secure Firewall Management Center CLI 模式

CLI 包含四种模式。默认模式“CLI 管理”包括用于在 CLI 本身内导航的命令。其余模式包含处理三个不同方面的 Cisco Secure Firewall Management Center功能的命令；这些模式中的命令以模式名称开头：system、show 或 configure。

进入某个模式时，CLI 提示符会发生更改以反映当前模式。例如，要显示有关系统组件的版本信息，可在标准 CLI 提示符下输入完整命令：

> show version

如果您之前进入了 show 模式，则可以在显示模式 CLI 提示符下输入不含 show 关键字的命令：

show> version

Cisco Secure Firewall Management Center CLI 管理命令

CLI 管理命令可用于与 CLI 进行交互。这些命令不影响设备的运行。

exit

将 CLI 上下文上移至下一个最高级别的 CLI 上下文。从默认模式发出此命令会使用户注销当前 CLI 会话。

语法


exit

示例


system> exit
>

expert

调用 Linux 外壳。

语法


expert

示例


> expert

? （问号）

为 CLI 命令和参数显示上下文相关帮助。按照以下说明使用问号 (?) 命令：

要为当前 CLI 上下文中可用的命令显示帮助，请在命令提示符处输入问号 (?)。
要显示以特定字符集开头的可用命令的列表，请输入缩写命令，再紧接着输入问号 (?)。
要为命令的合法参数显示帮助，请在命令提示符处输入问号 (?) 代替参数。

请注意，问号 (?) 不会回送到控制台。

语法


?
abbreviated_command ?
command [arguments] ?

示例

> ?

Cisco Secure Firewall Management Center CLI Show 命令

Show 命令提供有关设备状态的信息。这些命令不会更改设备的运行模式，并且运行它们对系统运行的影响极小。

version

语法

显示产品版本和内部版本以及 UUID 和其他信息。


show version

示例


> show version
-------------------[ fmc-austin ]-------------------
Model                     : Cisco Secure Firewall Management Center for VMware (66) Version 7.6.0 (Build 1385)
UUID                      : a904b8b2-ca9a-11ee-a583-5e804c16b2fd
Rules update version      : 2024-05-13-001-vrt
LSP version               : lsp-rel-20240513-1955
VDB version               : 380
----------------------------------------------------

Cisco Secure Firewall Management Center CLI 配置命令

配置命令可供用户配置和管理系统。这些命令会影响系统的运行。

password

语法

允许当前 CLI 用户更改其密码。

小心	出于系统安全原因，我们强烈建议：除了任何设备上的预定义管理外，不要建立 Linux 外壳用户。

注	导出模式不支持 `密码` 命令。要 Cisco Secure Firewall 系统上重置管理员用户的密码，请参阅了解更多信息。如果您在专家模式下使用 `密码` 命令重置管理员密码，我们建议您使用 `配置用户管理员密码` 命令重新配置密码。重新配置密码后，切换到专家模式，并确保 /opt/cisco/config/db/sam.config 和 /etc/shadow 文件中的 admin 用户的密码散列相同。

发出命令后，CLI 会提示用户其当前（或旧）密码，然后提示用户输入新密码两次。


configure password

示例


> configure password
Changing password for admin.
(current) UNIX password: 
New UNIX password:
Retype new UNIX password:
passwd: password updated successfully

Cisco Secure Firewall Management Center CLI 系统命令

系统命令可供用户管理整个系统的文件以及访问控制设置。

generate-troubleshoot

生成供思科进行分析的故障排除数据。

语法


system generate-troubleshoot option1 optionN

其中，选项是用空格分隔的以下一项或多项：

ALL：运行以下所有选项。
SNT：Snort 性能和配置
PER：硬件性能和日志
SYS：系统配置、策略和日志
DES：检测配置、策略和日志
NET：接口和网络相关数据
VDB：发现、感知、VDB 数据和日志
UPG：升级数据和日志
DBO：所有数据库数据
LOG：所有日志数据
NMP：网络映射信息

示例


> system generate-troubleshoot VDB NMP
starting /usr/local/sf/bin/sf_troubleshoot.pl…
Please, be patient. This may take several minutes.
The troubleshoot options codes specified are VDB,NMP.
Getting filenames from [usr/local/sf/etc/db_updates/index]
Getting filenames from [usr/local/sf/etc/db_updates/base-6.2.3]
Troubleshooting information successfully created at /var/common/results-06-14-2018—222027.tar.gz

lockdown

语法

移除 专家 命令并访问设备上的 bash shell。

小心	没有支持部门提供的修复程序，此命令将无法撤销。请谨慎使用。


system lockdown

示例


> system lockdown

reboot

重新启动设备。

语法


system reboot

示例


> system reboot

restart

重新启动设备应用。

语法


system restart

示例


> system restart

shutdown

关闭设备。

语法


system shutdown

示例


> system shutdown

安全清除

永久擦除硬盘驱动器数据。

在使用此命令之前，必须使用串行端口连接到管理中心。执行此命令时，设备会重新启动并永久删除所有数据。该过程可能需要几个小时才能完成；驱动器越大，需要的时间越长。确保您有电源，以防止在安全擦除过程中出现中断。擦除完成后，您可以安装新的软件映像。

小心	擦除硬盘驱动器会导致丢失设备上的所有数据，包括 ISO 图像。

支持的设备

Firepower 管理中心 1600、2600、4600
Firewall 管理中心 1700、2700、4700

语法


secure-erase

示例


> secure-erase
****************************** Caution ********************************

 If you run this command:
     - The management center hard drive data, including configurations
       and bootable images, will be permanently erased.
     - The device will reboot and reinitialize.

Note: Do not power off your device during this procedure.

***********************************************************************

Do you want to proceed? (Yes/No)

Cisco Secure Firewall Management Center CLI 的历史记录

功能

最低管理中心

最低威胁防御

详情

自动 CLI 访问管理中心

6.5

任意

使用 SSH 登录管理中心时，会自动访问 CLI。虽然强烈建议不要这样做，但您可以使用 CLI 专家命令访问 Linux 外壳程序。

注	此功能弃用了为管理中心启用和禁用 CLI 访问的版本 6.3。由于弃用此选项，虚拟管理中心不再显示系统 > 配置 > 控制台配置页面，该页面仍显示在物理管理中心上。

能启用和禁用 CLI 访问权限管理中心

6.3

任意

新增/修改的屏幕：

管理中心 Web 界面中对管理员可用的新复选框：在系统（系统齿轮图标） > 配置 > 控制台配置页面上启用 CLI 访问权限。

选中：使用 SSH 登录管理中心可访问 CLI。
取消选中：使用 SSH 登录管理中心可访问 Linux 外壳。此为全新的 6.3 版本以及以往版本至 6.3 版本升级的默认状态。

支持的平台：管理中心

管理中心 CLI

6.3

任意

引入的功能。

最初支持以下命令：

exit
expert
？
show version
configure password
system generate-troubleshoot
system lockdown
system reboot
system restart
system shutdown