本文介绍了如何配置并使用PIX防火墙提供的工具及特性,以监控和配置系统,并监控网络活动。它包括以下部分:
使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
IDS系统日志信息(IDS Syslog Messages)
使用DHCP(Using DHCP)
使用SNMP(Using SNMP)
使用SSH(Using SSH)
一、使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。
串行控制台让单一用户配置PIX防火墙,但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后,您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容:
? 配置Telnet控制台访问(Configuring Telnet Console Access)
? 测试Telnet访问(Testing Telnet Access)
? 保护外部接口上的Telnet连接(Securing a Telnet Connection on the Outside Interface)
? Trace Channel特性(Trace Channel Feature)
(一)、配置Telnet控制台访问(Configuring Telnet Console Access)
按照以下步骤来配置Telnet控制台访问:
步骤1
使用PIX防火墙telnet命令。例如,如想让一台位于内部接口之上、
地址为192.168.1.2的主机访问PIX防火墙,就输入以下命令。
telnet 192.168.1.2 255.255.255.255 inside
如果设置了IPSec,您即可让位于外部接口上的主机访问PIX防火墙
控制台。具体信息请参见"保护外部接口上的Telnet连接(Securing
a Telnet Connection on the Outside Interface)"部分。使用如
下命令。telnet 209.165.200.225 225.255.225.224 outside
步骤2
如需要,可对PIX防火墙在断开一个Telnet会话前,该会话可闲置的
时间长度进行设置。默认值5分钟对大多数情况来说过短,需予以延
长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时
间。telnet timeout 15;
步骤3
如果您想用认证服务器来保护到控制台的访问,您可使用aaa
authentication telnet console命令,它需要您在验证服务器上有
一个用户名和口令。当您访问控制台时,PIX防火墙提示您提供这些
登录条件。如果验证服务器离线,您仍可使用用户名pix和由enable
password命令设置的口令访问控制台。
步骤4
用write memory命令保存配置中的命令?/td
(二)、测试Telnet访问(Testing Telnet Access)
执行以下步骤来测试Telnet访问:
步骤1
从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正使用
Windows 95或Windows NT,点击StartRun来启动Telnet会话。例如,
如果内部接口IP地址是192.168.1.1,输入以下命令。telnet 192.168.1.1
步骤2
PIX防火墙提示您输入口令:
PIX passwd:
输入cisco,然后按Enter键。您即登录到PIX防火墙上了。
默认口令为cisco,您可用passwd命令来更改它。
您可在Telnet控制台上输入任意您可从串行控制台上设置的命令,但如果
您重启PIX防火墙,您将需在其重启动后登录PIX防火墙。
一些Telnet应用,如Windows 95或Windows NT Telnet会话可能不支持通过
箭头键使用的PIX防火墙命令历史记录特性。然而,您可按Ctrl-P来获取最
近输入的命令。
步骤3
一旦您建立了Telnet访问,您可能想在纠错时浏览ping(探查)信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响,这将在"Trace Channel特性(Trace Channel Feature)"中详述。
成功的ping信息如下:
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1209.165.201.23
步骤4
此外,您可使用Telnet控制台会话来浏览系统日志信息:
a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下使用PIX防火墙,您可能希望使用logging buffered 7命令唇?畔⒋娲⒃谀?捎皿how logging命令浏览的缓存中,还可用clear logging命令清理缓存以便更方便地浏览。如想停止缓存信息,使用no logging buffered命令。
您也可将数目从7降至较小值,如3,以限制所显示的信息数。b. 如果您输入logging monitor命令,然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示,使用terminal no monitor命令。
例1给出了使用Telnet允许主机访问PIX防火墙控制台的命令。
例1 使用Telnet
telnet 10.1.1.11 255.255.255.255
telnet 192.168.3.0 255.255.255.0
第一个telnet命令允许单一主机,10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。
第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。然而,Telnet只允许16台主机同时访问PIX防火墙控制台。
(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)
本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容:
? 概述(Overview)
? 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
? 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
概述(Overview)
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中,PIX防火墙的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址来自于虚拟地址池,为10.1.2.0。
有关此命令的具体信息,请参见《Cisco PIX防火墙命令参考》中telnet命令页。
您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接,另一个保护您到内部网络的连接。
使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行
步骤1
创建一个access-list命令语句,定义需从PIX防火墙到使用来自
本地虚拟地址池中目的地址的VPN客户机而进行保护的流量access
-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0
步骤2
定义哪台主机可用Telnet访问PIX防火墙控制台:
telnet 10.1.2.0 255.255.255.0 outside
从本地池和外部接口指定VPN客户机的地址。
步骤3
在VPN客户机中,创建一个安全策略,将远程方身份识别IP地址与网关IP地址定义为相同--PIX防火墙外部接口的IP地址。在此例中,PIX防火墙的外部IP地址为168.20.1.5。
步骤4
配置VPN客户机上的其它安全策略,以与PIX防火墙的安全策略相配。
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中,PIX防火墙外部接口的IP地址为168.20.1.5,Cisco VPN 3000 Client的IP地址来自于虚拟地址池,为10.1.2.0。
定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。
telnet 10.1.2.0 255.255.255.0 outside
(四)、Trace Channel特性(Trace Channel Feature)
debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。
如果一个debug命令不使用Trace Channel,每个会话都独立运作,意味着任意从会话中启动的命令只出现在该会话中。在默认状态下,不使用Trace Channel的会话的输出是禁用的。
Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话,还是您只使用PIX防火墙串行控制台:
o 如果您仅使用PIX防火墙串行控制台,所有debug命令都显示在串行控制台上。
o 如果您有一个串行控制台会话和一个Telnet控制台会话同
