本文介绍了如何配置并使用PIX
防火墙提供的工具及特性,以监控和配置系统,并监控网络活动。它包括以下部分:
使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
IDS系统日志信息(IDS Syslog Messages)
使用DHCP(Using DHCP)
使用SNMP(Using SNMP)
使用SSH(Using SSH)
一、使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX
防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。
串行控制台让单一用户配置PIX
防火墙,但很多情况下这对有多位管理员的站点来说不太方便。PIX
防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后,您就可使用Telnet从外部接口远程管理PIX
防火墙的控制台。本部分包括以下内容:
网管联盟bitsCN@com · 配置Telnet控制台访问(Configuring Telnet Console Access)
· 测试Telnet访问(Testing Telnet Access)
· 保护外部接口上的Telnet连接(Securing a Telnet Connection on the Outside Interface)
· Trace Channel特性(Trace Channel Feature)
(一)、配置Telnet控制台访问(Configuring Telnet Console Access)
按照以下步骤来配置Telnet控制台访问:
步骤1
使用PIX
防火墙telnet命令。例如,如想让一台位于内部接口之上、
地址为192.168.1.2的主机访问PIX
防火墙,就输入以下命令。
telnet 192.168.1.2 255.255.255.255 inside
如果设置了IPSec,您即可让位于外部接口上的主机访问PIX
防火墙 控制台。具体信息请参见\"保护外部接口上的Telnet连接(Securing
a Telnet Connection on the Outside Interface)\"部分。使用如
网管u家u.bitsCN.com
下命令。telnet 209.165.200.225 225.255.225.224 outside
步骤2
如需要,可对PIX
防火墙在断开一个Telnet会话前,该会话可闲置的
时间长度进行设置。默认值5分钟对大多数情况来说过短,需予以延
长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时
间。telnet timeout 15;
步骤3
如果您想用认证服务器来保护到控制台的访问,您可使用aaa
authentication telnet console命令,它需要您在验证服务器上有
一个用户名和口令。当您访问控制台时,PIX
防火墙提示您提供这些
登录条件。如果验证服务器离线,您仍可使用用户名pix和由enable
password命令设置的口令访问控制台。
步骤4
用write memory命令保存配置中的命令?/td>
(二)、测试Telnet访问(Testing Telnet Access)
执行以下步骤来测试Telnet访问:
步骤1
从主机启动一个到PIX
防火墙接口IP地址的Telnet会话。如果您正使用
网管bitscn_com Windows 95或Windows NT,点击Start>Run来启动Telnet会话。例如,
如果内部接口IP地址是192.168.1.1,输入以下命令。telnet 192.168.1.1
步骤2
PIX
防火墙提示您输入口令:
PIX passwd:
输入cisco,然后按Enter键。您即登录到PIX
防火墙上了。
默认口令为cisco,您可用passwd命令来更改它。
您可在Telnet控制台上输入任意您可从串行控制台上设置的命令,但如果
您重启PIX
防火墙,您将需在其重启动后登录PIX
防火墙。
一些Telnet应用,如Windows 95或Windows NT Telnet会话可能不支持通过
箭头键使用的PIX
防火墙命令历史记录特性。然而,您可按Ctrl-P来获取最
近输入的命令。
步骤3
一旦您建立了Telnet访问,您可能想在纠错时浏览ping(探查)信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响,这将在\"Trace Channel特性(Trace Channel Feature)\"中详述。
中国网管联盟bitsCN.com 成功的ping信息如下:
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23
步骤4
此外,您可使用Telnet控制台会话来浏览系统日志信息:
a. 用logging monitor 7命令启动信息显示。\"7\"将使所有系统日志级别均得以显示。如果您正在生产模式下使用PIX
防火墙,您可能希望使用logging buffered 7命令唇畔⒋娲⒃谀捎胹how logging命令浏览的缓存中,还可用clear logging命令清理缓存以便更方便地浏览。如想停止缓存信息,使用no logging buffered命令。
您也可将数目从7降至较小值,如3,以限制所显示的信息数。b. 如果您输入logging monitor命令,然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示,使用terminal no monitor命令。
例1给出了使用Telnet允许主机访问PIX
防火墙控制台的命令。
例1 使用Telnet
网管网www.bitscn.com
telnet 10.1.1.11 255.255.255.255
telnet 192.168.3.0 255.255.255.0
第一个telnet命令允许单一主机,10.1.1.11用Telnet访问PIX
防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。
第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX
防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。然而,Telnet只允许16台主机同时访问PIX
防火墙控制台。
(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)
本部分讲述如何保护到PIX
防火墙的外部接口的PIX
防火墙控制台Telnet连接。它包括以下内容:
· 概述(Overview)
· 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
网管u家u.bitscn@com
· 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
概述(Overview)
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中,PIX
防火墙的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址来自于虚拟地址池,为10.1.2.0。
有关此命令的具体信息,请参见《Cisco PIX
防火墙命令参考》中telnet命令页。
您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接,另一个保护您到内部网络的连接。
使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX
防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX
防火墙配置的一部分加以执行
网管网www.bitscn.com 步骤1
创建一个access-list命令语句,定义需从PIX
防火墙到使用来自
本地虚拟地址池中目的地址的VPN客户机而进行保护的流量access
-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0
步骤2
定义哪台主机可用Telnet访问PIX
防火墙控制台:
telnet 10.1.2.0 255.255.255.0 outside
从本地池和外部接口指定VPN客户机的地址。
步骤3
在VPN客户机中,创建一个安全策略,将远程方身份识别IP地址与网关IP地址定义为相同--PIX
防火墙外部接口的IP地址。在此例中,PIX
防火墙的外部IP地址为168.20.1.5。
步骤4
配置VPN客户机上的其它安全策略,以与PIX
防火墙的安全策略相配。
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
网管联盟bitsCN_com
本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX
防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX
防火墙配置的一部分加以执行。在下例中,PIX
防火墙外部接口的IP地址为168.20.1.5,Cisco VPN 3000 Client的IP地址来自于虚拟地址池,为10.1.2.0。
定义哪台主机可用Telnet访问PIX
防火墙。从本地池和外部接口指定VPN客户机的地址。
telnet 10.1.2.0 255.255.255.0 outside
(四)、Trace Channel特性(Trace Channel Feature)
debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX
防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。
如果一个debug命令不使用Trace Channel,每个会话都独立运作,意味着任意从会话中启动的命令只出现在该会话中。在默认状态下,不使用Trace Channel的会话的输出是禁用的。
中国网管论坛bbs.bitsCN.com
Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话,还是您只使用PIX
防火墙串行控制台:
o 如果您仅使用PIX
防火墙串行控制台,所有debug命令都显示在串行控制台上。
o 如果您有一个串行控制台会话和一个Telnet控制台会话同
评论加载中…
