本文介绍了如何配置并使用PIX防火墙提供的工具及特性,以监控和配置系统,并监控网络活动。它包括以下部分:
- 使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
- IDS系统日志信息(IDS Syslog Messages)
- 使用DHCP(Using DHCP)
- 使用SNMP(Using SNMP)
- 使用SSH(Using SSH)
一、使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。
串行控制台让单一用户配置PIX防火墙,但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后,您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容:
· 配置Telnet控制台访问(Configuring Telnet Console Access)
· 测试Telnet访问(Testing Telnet Access)
· 保护外部接口上的Telnet连接(Securing a Telnet Connection on the Outside Interface)
· Trace Channel特性(Trace Channel Feature)
(一)、配置Telnet控制台访问(Configuring Telnet Console Access)
按照以下步骤来配置Telnet控制台访问:
| 步骤1 | 使用PIX防火墙telnet命令。例如,如想让一台位于内部接口之上、 地址为192.168.1.2的主机访问PIX防火墙,就输入以下命令。 telnet 192.168.1.2 255.255.255.255 inside 如果设置了IPSec,您即可让位于外部接口上的主机访问PIX防火墙 控制台。具体信息请参见"保护外部接口上的Telnet连接(Securing a Telnet Connection on the Outside Interface)"部分。使用如 下命令。telnet 209.165.200.225 225.255.225.224 outside |
| 步骤2 | 如需要,可对PIX防火墙在断开一个Telnet会话前,该会话可闲置的 时间长度进行设置。默认值5分钟对大多数情况来说过短,需予以延 长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时 间。telnet timeout 15; |
| 步骤3 | 如果您想用认证服务器来保护到控制台的访问,您可使用aaa authentication telnet console命令,它需要您在验证服务器上有 一个用户名和口令。当您访问控制台时,PIX防火墙提示您提供这些 登录条件。如果验证服务器离线,您仍可使用用户名pix和由enable password命令设置的口令访问控制台。 |
| 步骤4 | 用write memory命令保存配置中的命令?/td> |
(二)、测试Telnet访问(Testing Telnet Access)
执行以下步骤来测试Telnet访问:
| 步骤1 | 从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正使用 Windows 95或Windows NT,点击Start>Run来启动Telnet会话。例如, 如果内部接口IP地址是192.168.1.1,输入以下命令。telnet 192.168.1.1 |
| 步骤2 | PIX防火墙提示您输入口令: PIX passwd: 输入cisco,然后按Enter键。您即登录到PIX防火墙上了。 默认口令为cisco,您可用passwd命令来更改它。 您可在Telnet控制台上输入任意您可从串行控制台上设置的命令,但如果 您重启PIX防火墙,您将需在其重启动后登录PIX防火墙。 一些Telnet应用,如Windows 95或Windows NT Telnet会话可能不支持通过 箭头键使用的PIX防火墙命令历史记录特性。然而,您可按Ctrl-P来获取最 近输入的命令。 |
| 步骤3 | 一旦您建立了Telnet访问,您可能想在纠错时浏览ping(探查)信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响,这将在"Trace Channel特性(Trace Channel Feature)"中详述。 成功的ping信息如下: Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1 Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23 |
| 步骤4 | 此外,您可使用Telnet控制台会话来浏览系统日志信息: a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下使用PIX防火墙,您可能希望使用logging buffered 7命令唇畔⒋娲⒃谀捎胹how logging命令浏览的缓存中,还可用clear logging命令清理缓存以便更方便地浏览。如想停止缓存信息,使用no logging buffered命令。 您也可将数目从7降至较小值,如3,以限制所显示的信息数。b. 如果您输入logging monitor命令,然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示,使用terminal no monitor命令。 例1给出了使用Telnet允许主机访问PIX防火墙控制台的命令。 例1 使用Telnet telnet 10.1.1.11 255.255.255.255 telnet 192.168.3.0 255.255.255.0 第一个telnet命令允许单一主机,10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。 第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。然而,Telnet只允许16台主机同时访问PIX防火墙控制台。 |
(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)
本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容:
· 概述(Overview)
· 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
· 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
概述(Overview)
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中,PIX防火墙的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址来自于虚拟地址池,为10.1.2.0。
有关此命令的具体信息,请参见《Cisco PIX防火墙命令参考》中telnet命令页。
您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接,另一个保护您到内部网络的连接。
使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行
| 步骤1 | 创建一个access-list命令语句,定义需从PIX防火墙到使用来自 本地虚拟地址池中目的地址的VPN客户机而进行保护的流量access -list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0 |
| 步骤2 | 定义哪台主机可用Telnet访问PIX防火墙控制台: telnet 10.1.2.0 255.255.255.0 outside 从本地池和外部接口指定VPN客户机的地址。 |
| 步骤3 | 在VPN客户机中,创建一个安全策略,将远程方身份识别IP地址与网关IP地址定义为相同--PIX防火墙外部接口的IP地址。在此例中,PIX防火墙的外部IP地址为168.20.1.5。 |
| 步骤4 | 配置VPN客户机上的其它安全策略,以与PIX防火墙的安全策略相配。 |
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中,PIX防火墙外部接口的IP地址为168.20.1.5,Cisco VPN 3000 Client的IP地址来自于虚拟地址池,为10.1.2.0。
定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。
telnet 10.1.2.0 255.255.255.0 outside
(四)、Trace Channel特性(Trace Channel Feature)
debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。
如果一个debug命令不使用Trace Channel,每个会话都独立运作,意味着任意从会话中启动的命令只出现在该会话中。在默认状态下,不使用Trace Channel的会话的输出是禁用的。
Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话,还是您只使用PIX防火墙串行控制台:
o 如果您仅使用PIX防火墙串行控制台,所有debug命令都显示在串行控制台上。
o 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台,那么无论您在何处输入debug命令,输出均显示在Telnet控制台会话上。
o 如果您有2个或更多Telnet控制台会话,则第一个会话是Trace Channel。如果那一会话关闭,那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。
debug 命令在所有Telnet和串行控制台会话间共享。
注意 Trace Channel特性的缺点是,如果一位管理员正使用串行控制台,另一管理员启动一个Telnet控制台会话,则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外,Telnet控制台会话上的管理员将突然看到debug命令的输出,这可能是其不希望出现的局面。如果您正使用串行控制台,且未出现debug命令的输出 ,使用who命令来查看是否有Telnet控制台会话正在运行。
二、IDS系统日志信息(IDS Syslog Messages)
IX防火墙经由系统日志列出了单分组(原子)Cisco入侵检测系统(IDS)签字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。
此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以%PIX-4-4000nn开始,有下列格式:
%PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name
例如:
%PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside
选项:
sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。
sig_msg 签字信息——几乎与NetRanger签字信息相同。
Ip_addr 签字适用的本地到远程地址。
Int_name 签字最初发出的接口名。
您可用以下命令确定显示哪些信息:
ip audit signature signature_number disable
将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名进行审计。
no ip audit signature signature_number
从签名处删除策略。用于重新使用某一签名。
show ip audit signature [signature_number]
显示禁用签名。
ip audit info [action [alarm] [drop] [reset]]
指定对于分类为信息签名的签名所采取的默认行动。
alarm选项表示,当发现某一分组中签名匹配,PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组,并且如果它是一条有效连接的一部分,则关闭该连接。默认值为alarm。如想取消事件响应,使用不带action选项的ip audit info命令。
no ip audit info
设置针对分类为信息的签名而采取的行动,调查默认行动。
show ip audit info
显示默认信息行动。
ip audit attack [action [alarm] [drop] [reset]]
指定对于攻击签名所应采取的默认行动。action选项如前所定义。 no ip audit attack
将针对攻击签名而采取的行为是默认行为。
show ip audit attack
显示默认攻击行动。审计策略(审计规则)定义了所有可应用于某一接口的签名的属性以及一系列行动。使用审计策略,用户可限制审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别,可针对信息或攻击签名进行定义。每个接口可有2个策略,一个用于信息签名,另一个用于攻击签名。如果定义的策略中无行动,则采取已配置的默认行动。每个策略需要一个不同名称。
ip audit name audit_name info[action [alarm] [drop] [reset]]
除被ip audit signature命令禁用或排除的信息签名之外,所有信息签名均被认为是策略的一部分。行动与前面描述的相同。
no ip audit name audit_name [info]
删除审计策略audit_name。
ip audit name audit_name attack [action [alarm] [drop] [reset]]
除被ip audit signature命令禁用或排除的攻击签名之外,所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。
no ip audit name audit_name [attack]
删除审计规定audit_name。
show ip audit name [name [info|attack]]
显示所有审计策略或按名称和可能的类型显示特定策略。
ip audit interface if_name audit_name
向某一接口应用审计规定或策略(经由ip audit name命令)。
no ip audit interface [if_name]
从某一接口删除一个策略。
show ip audit interface
显示接口配置。