CISCO PIX防火牆系統管理(1)

 　　本文介紹了如何配置並使用PIX防火牆提供的工具及特性，以監控和配置系統，並監控網路活動。它包括以下部分：

• 使用Telnet進行遠程系統管理（Using Telnet for Remote System Management）
• IDS系統日誌資訊（IDS Syslog Messages）
• 使用DHCP（Using DHCP）
• 使用SNMP（Using SNMP）
• 使用SSH（Using SSH）
  一、使用Telnet進行遠程系統管理（Using Telnet for Remote System Management）

　　在內部和第三介面上可經由Telnet存取控制台。第三介面是與PIX防火牆中第三個可用插槽相連的網路。您可用show nameif命令瀏覽第三介面。列表從上往下的第三項是第三介面。
串列控制台讓單一使用者配置PIX防火牆，但很多情況下這對有多位管理員的網站來說不太方便。PIX防火牆允許您從任意內部介面上的主機經由Telnet訪問串列控制台。配置了IPSec後，您就可使用Telnet從外部介面遠端管理PIX防火牆的控制台。本部分包括以下內容：

　　·　 配置Telnet控制台訪問（Configuring Telnet Console Access）

　　·　 測試Telnet訪問（Testing Telnet Access）

　　·　 保護外部介面上的Telnet串連（Securing a Telnet Connection on the Outside Interface）

　　·　 Trace Channel特性（Trace Channel Feature）
(一)、配置Telnet控制台訪問（Configuring Telnet Console Access）
按照以下步驟來配置Telnet控制台訪問：

 

步驟1	使用PIX防火牆telnet命令。例如，如想讓一台位於內部介面之上、 地址為192.168.1.2的主機訪問PIX防火牆，就輸入以下命令。 telnet 192.168.1.2 255.255.255.255 inside 如果設定了IPSec，您即可讓位於外部介面上的主機訪問PIX防火牆 控制台。具體資訊請參見"保護外部介面上的Telnet串連（Securing a Telnet Connection on the Outside Interface）"部分。使用如 下命令。telnet 209.165.200.225 225.255.225.224 outside
步驟2	如需要，可對PIX防火牆在斷開一個Telnet會話前，該會話可閑置的 時間長度進行設定。預設值5分鐘對大多數情況來說過短，需予以延 長直至完成所有生產前測試和錯誤修正。按下例所示設定較長的閑置時 間。telnet timeout 15;
步驟3	如果您想用證明伺服器來保護到控制台的訪問，您可使用aaa authentication telnet console命令，它需要您在驗證伺服器上有 一個使用者名稱和口令。當您存取控制台時，PIX防火牆提示您提供這些 登入條件。如果驗證伺服器離線，您仍可使用使用者名稱pix和由enable password命令設定的口令存取控制台。
步驟4	用write memory命令儲存配置中的命令?/td>

　　
　　(二)、測試Telnet訪問（Testing Telnet Access）
　　執行以下步驟來測試Telnet訪問：

步驟1	從主機啟動一個到PIX防火牆介面IP地址的Telnet會話。如果您正使用 Windows 95或Windows NT，點擊Start>Run來啟動Telnet會話。例如， 如果內部介面IP地址是192.168.1.1，輸入以下命令。telnet 192.168.1.1
步驟2	PIX防火牆提示您輸入口令： PIX passwd: 輸入cisco，然後按Enter鍵。您即登入到PIX防火牆上了。 預設口令為cisco，您可用passwd命令來更改它。 您可在Telnet控制台上輸入任意您可從串列控制台上設定的命令，但如果 您重啟PIX防火牆，您將需在其重啟動後登入PIX防火牆。 一些Telnet應用，如Windows 95或Windows NT Telnet會話可能不支援通過 方向鍵使用的PIX防火牆命令記錄特性。然而，您可按Ctrl-P來擷取最 近輸入的命令。
步驟3	一旦您建立了Telnet訪問，您可能想在錯誤修正時瀏覽ping（探查）資訊。您可用debug icmp trace命令瀏覽來自Telnet會話的ping資訊。Trace Channel特性也對debug的顯示有影響，這將在"Trace Channel特性（Trace Channel Feature）"中詳述。 成功的ping資訊如下： Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1 Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23
步驟4	此外，您可使用Telnet控制台會話來瀏覽系統日誌資訊： a. 用logging monitor 7命令啟動資訊顯示。"7"將使所有系統記錄層級均得以顯示。如果您正在生產模式下使用PIX防火牆，您可能希望使用logging buffered 7命令唇畔⒋媧⒃諛捎胹how logging命令瀏覽的緩衝中，還可用clear logging命令清理緩衝以便更方便地瀏覽。如想停止緩衝資訊，使用no logging buffered命令。 您也可將數目從7降至較小值，如3，以限制所顯示的資訊數。b. 如果您輸入logging monitor命令，然後輸入terminal monitor命令來使資訊在您的Telnet會話中顯示。如想禁止資訊顯示，使用terminal no monitor命令。 例1給出了使用Telnet允許主機訪問PIX防火牆控制台的命令。 例1 使用Telnet telnet 10.1.1.11 255.255.255.255 telnet 192.168.3.0 255.255.255.0 第一個telnet命令允許單一主機，10.1.1.11用Telnet訪問PIX防火牆控制台。網路掩模的最後八位位元組中的數值255表明只有指定主機可訪問該控制台。 第二個telnet命令允許192.168.3.0網路上的所有主機訪問PIX防火牆控制台。網路掩模的最後八位位元組中的數值0允許那一網路中的所有主機進行訪問。然而，Telnet只允許16台主機同時訪問PIX防火牆控制台。

 

　　(三)、保護外部介面上的Telnet串連 (Securing a Telnet Connection on the Outside Interface)
本部分講述如何保護到PIX防火牆的外部介面的PIX防火牆控制台Telnet串連。它包括以下內容：

　　·　 概述（Overview）

　　·　 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

　　·　 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

　　概述（Overview）
如果您正使用Cisco Secure Policy Manager 2.0或更高版本，本部分也適用於您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5來保護您的Telnet串連。在下一部分的舉例中，PIX防火牆的外部介面的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址來自於虛擬位址池，為10.1.2.0。
有關此命令的具體資訊，請參見《Cisco PIX防火牆命令參考》中telnet命令頁。
您將需在您的VPN客戶機上設定兩個安全性原則。一個用於保護您的Telnet串連，另一個保護您到內部網路的串連。

　　使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

　　本部分僅適用於您使用Cisco Secure VPN Client的情況。如想對您到PIX防火牆的外部介面的Telnet串連加密，則將以下步驟作為您PIX防火牆配置的一部分加以執行

步驟1	建立一個access-list命令語句，定義需從PIX防火牆到使用來自 本地虛擬位址池中目的地址的VPN客戶機而進行保護的流量access -list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0
步驟2	定義哪台主機可用Telnet訪問PIX防火牆控制台： telnet 10.1.2.0 255.255.255.0 outside 從本地池和外部介面指定VPN客戶機的地址。
步驟3	在VPN客戶機中，建立一個安全性原則，將遠程方身份識別IP地址與網關IP地址定義為相同--PIX防火牆外部介面的IP地址。在此例中，PIX防火牆的外部IP地址為168.20.1.5。
步驟4	配置VPN客戶機上的其它安全性原則，以與PIX防火牆的安全性原則相配。

　　
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
本部分僅適用於您使用Cisco VPN 3000 Client的情況。如想對您到PIX防火牆的外部介面的Telnet串連加密，則將以下步驟作為您PIX防火牆配置的一部分加以執行。在下例中，PIX防火牆外部介面的IP地址為168.20.1.5，Cisco VPN 3000 Client的IP地址來自於虛擬位址池，為10.1.2.0。
定義哪台主機可用Telnet訪問PIX防火牆。從本地池和外部介面指定VPN客戶機的地址。
telnet 10.1.2.0 255.255.255.0 outside

　　(四)、Trace Channel特性（Trace Channel Feature）

　　debug packet命令將其輸出送至Trace Channel。其它所有debug命令則並非如此。Trace Channel的使用改變了您在PIX防火牆控制台或Telnet會話期間瀏覽螢幕上輸出結果的方式。

　　如果一個debug命令不使用Trace Channel，每個會話都獨立運作，意味著任意從會話中啟動的命令只出現在該會話中。在預設狀態下，不使用Trace Channel的會話的輸出是禁用的。

　　Trace Channel的位置取決於您在控制台會話的同時還運行著一個同步Telnet控制台會話，還是您只使用PIX防火牆串列控制台：

　　o　　　如果您僅使用PIX防火牆串列控制台，所有debug命令都顯示在串列控制台上。

　　o　　　如果您有一個串列控制台會話和一個Telnet控制台會話同時存取控制台，那麼無論您在何處輸入debug命令，輸出均顯示在Telnet控制台會話上。

　　o　　　如果您有2個或更多Telnet控制台會話，則第一個會話是Trace Channel。如果那一會話關閉，那麼串列控制台會話變成Trace Channel。隨後是存取控制台的下一Telnet控制台會話成為Trace Channel。

　　debug 命令在所有Telnet和串列控制台會話間共用。
注意 Trace Channel特性的缺點是，如果一位管理員正使用串列控制台，另一管理員啟動一個Telnet控制台會話，則串列控制台上的debug命令輸出會在毫無警告的情況下停止。此外，Telnet控制台會話上的管理員將突然看到debug命令的輸出，這可能是其不希望出現的局面。如果您正使用串列控制台，且未出現debug命令的輸出 ，使用who命令來查看是否有Telnet控制台會話正在運行。

　　二、IDS系統日誌資訊（IDS Syslog Messages）
IX防火牆經由系統日誌列出了單分組（原子）Cisco入侵偵測系統（IDS）簽字資訊。所支援的資訊列表請參見《Cisco PIX防火牆系統日誌資訊》。

　　此版本中所有簽字資訊不受PIX防火牆支援。IDS系統日誌資訊均以％PIX-4-4000nn開始，有下列格式：
　％PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name
例如：
　％PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
　% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside

　　選項：

　　sig_num 簽字型大小。具體資訊參見《Cisco安全入侵偵測系統2.2.1使用者指南》。

　　sig_msg 簽字資訊——幾乎與NetRanger簽字資訊相同。

　　Ip_addr 簽字適用的本地到遠程地址。

　　Int_name 簽字最初發出的介面名。

　　您可用以下命令確定顯示哪些資訊：

　　ip audit signature signature_number disable

　　將一項全域原則與一個簽名相連。用于禁用某一簽名或不讓某一簽名進行審計。

　　no ip audit signature signature_number

　　從簽名處刪除策略。用於重新使用某一簽名。

　　show ip audit signature [signature_number]

　　顯示禁用簽名。

　　ip audit info [action [alarm] [drop] [reset]]

　　指定對於分類為資訊簽名的簽名所採取的預設行動。

　　alarm選項表示，當發現某一分組中籤名匹配，PIX防火牆就將附隨報告給所有已配置的系統Log Service器。drop選項丟棄不合格的分組。reset選項丟棄不合格的分組，並且如果它是一條有效串連的一部分，則關閉該串連。預設值為alarm。如想取消事件響應，使用不帶action選項的ip audit info命令。

　　no ip audit info

　　設定針對分類為資訊的簽名而採取的行動，調查預設行動。

　　show ip audit info

　　顯示預設資訊行動。

　　ip audit attack [action [alarm] [drop] [reset]]

　　指定對於攻擊簽名所應採取的預設行動。action選項如前所定義。 no ip audit attack

　　將針對攻擊簽名而採取的行為是預設行為。

　　show ip audit attack

　　顯示預設攻擊行動。審計策略（審計規則）定義了所有可應用於某一介面的簽名的屬性以及一系列行動。使用審計策略，使用者可限制審計的流量或指定簽名匹配時採取的行動。每個審計策略由一個名稱識別，可針對資訊或攻擊簽名進行定義。每個介面可有2個策略，一個用於資訊簽名，另一個用於攻擊簽名。如果定義的策略中無行動，則採取已配置的預設行動。每個策略需要一個不同名稱。

　　ip audit name audit_name info[action [alarm] [drop] [reset]]

　　除被ip audit signature命令禁用或排除的資訊簽名之外，所有資訊簽名均被認為是策略的一部分。行動與前面描述的相同。

　　no ip audit name audit_name [info]

　　刪除審計策略audit_name。

　　ip audit name audit_name attack [action [alarm] [drop] [reset]]

　　除被ip audit signature命令禁用或排除的攻擊簽名之外，所有攻擊簽名均被認為是策略的一部分。行動與前面描述的相同。

　　no ip audit name audit_name [attack]

　　刪除審計規定audit_name。

　　show ip audit name [name [info|attack]]

　　顯示所有審計策略或按名稱和可能的類型顯示特定策略。

　　ip audit interface if_name audit_name

　　向某一介面應用審計規定或策略（經由ip audit name命令）。

　　no ip audit interface [if_name]

　　從某一介面刪除一個策略。
show ip audit interface

　　顯示介面配置。