CISCO PIX防火牆系統管理(1)

來源:互聯網
上載者:User
   本文介紹了如何配置並使用PIX防火牆提供的工具及特性,以監控和配置系統,並監控網路活動。它包括以下部分:
  • 使用Telnet進行遠程系統管理(Using Telnet for Remote System Management)
  • IDS系統日誌資訊(IDS Syslog Messages)
  • 使用DHCP(Using DHCP)
  • 使用SNMP(Using SNMP)
  • 使用SSH(Using SSH)
    一、使用Telnet進行遠程系統管理(Using Telnet for Remote System Management)

  在內部和第三介面上可經由Telnet存取控制台。第三介面是與PIX防火牆中第三個可用插槽相連的網路。您可用show nameif命令瀏覽第三介面。列表從上往下的第三項是第三介面。
串列控制台讓單一使用者配置PIX防火牆,但很多情況下這對有多位管理員的網站來說不太方便。PIX防火牆允許您從任意內部介面上的主機經由Telnet訪問串列控制台。配置了IPSec後,您就可使用Telnet從外部介面遠端管理PIX防火牆的控制台。本部分包括以下內容:

  ·  配置Telnet控制台訪問(Configuring Telnet Console Access)

  ·  測試Telnet訪問(Testing Telnet Access)

  ·  保護外部介面上的Telnet串連(Securing a Telnet Connection on the Outside Interface)

  ·  Trace Channel特性(Trace Channel Feature)
(一)、配置Telnet控制台訪問(Configuring Telnet Console Access)
按照以下步驟來配置Telnet控制台訪問:

 
步驟1 使用PIX防火牆telnet命令。例如,如想讓一台位於內部介面之上、
地址為192.168.1.2的主機訪問PIX防火牆,就輸入以下命令。
telnet 192.168.1.2 255.255.255.255 inside
如果設定了IPSec,您即可讓位於外部介面上的主機訪問PIX防火牆
控制台。具體資訊請參見"保護外部介面上的Telnet串連(Securing
a Telnet Connection on the Outside Interface)"部分。使用如
下命令。telnet 209.165.200.225 225.255.225.224 outside
步驟2 如需要,可對PIX防火牆在斷開一個Telnet會話前,該會話可閑置的
時間長度進行設定。預設值5分鐘對大多數情況來說過短,需予以延
長直至完成所有生產前測試和錯誤修正。按下例所示設定較長的閑置時
間。telnet timeout 15;
步驟3 如果您想用證明伺服器來保護到控制台的訪問,您可使用aaa
authentication telnet console命令,它需要您在驗證伺服器上有
一個使用者名稱和口令。當您存取控制台時,PIX防火牆提示您提供這些
登入條件。如果驗證伺服器離線,您仍可使用使用者名稱pix和由enable
password命令設定的口令存取控制台。
步驟4

  用write memory命令儲存配置中的命令?/td>

  
  (二)、測試Telnet訪問(Testing Telnet Access)
  執行以下步驟來測試Telnet訪問:

步驟1 從主機啟動一個到PIX防火牆介面IP地址的Telnet會話。如果您正使用
Windows 95或Windows NT,點擊Start>Run來啟動Telnet會話。例如,
如果內部介面IP地址是192.168.1.1,輸入以下命令。telnet 192.168.1.1
步驟2 PIX防火牆提示您輸入口令:
PIX passwd:
輸入cisco,然後按Enter鍵。您即登入到PIX防火牆上了。
預設口令為cisco,您可用passwd命令來更改它。
您可在Telnet控制台上輸入任意您可從串列控制台上設定的命令,但如果
您重啟PIX防火牆,您將需在其重啟動後登入PIX防火牆。
一些Telnet應用,如Windows 95或Windows NT Telnet會話可能不支援通過
方向鍵使用的PIX防火牆命令記錄特性。然而,您可按Ctrl-P來擷取最
近輸入的命令。
步驟3 一旦您建立了Telnet訪問,您可能想在錯誤修正時瀏覽ping(探查)資訊。您可用debug icmp trace命令瀏覽來自Telnet會話的ping資訊。Trace Channel特性也對debug的顯示有影響,這將在"Trace Channel特性(Trace Channel Feature)"中詳述。
成功的ping資訊如下:
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23
步驟4 此外,您可使用Telnet控制台會話來瀏覽系統日誌資訊:
a. 用logging monitor 7命令啟動資訊顯示。"7"將使所有系統記錄層級均得以顯示。如果您正在生產模式下使用PIX防火牆,您可能希望使用logging buffered 7命令唇畔⒋媧⒃諛捎胹how logging命令瀏覽的緩衝中,還可用clear logging命令清理緩衝以便更方便地瀏覽。如想停止緩衝資訊,使用no logging buffered命令。
您也可將數目從7降至較小值,如3,以限制所顯示的資訊數。b. 如果您輸入logging monitor命令,然後輸入terminal monitor命令來使資訊在您的Telnet會話中顯示。如想禁止資訊顯示,使用terminal no monitor命令。
例1給出了使用Telnet允許主機訪問PIX防火牆控制台的命令。
例1 使用Telnet
telnet 10.1.1.11 255.255.255.255
telnet 192.168.3.0 255.255.255.0
第一個telnet命令允許單一主機,10.1.1.11用Telnet訪問PIX防火牆控制台。網路掩模的最後八位位元組中的數值255表明只有指定主機可訪問該控制台。
第二個telnet命令允許192.168.3.0網路上的所有主機訪問PIX防火牆控制台。網路掩模的最後八位位元組中的數值0允許那一網路中的所有主機進行訪問。然而,Telnet只允許16台主機同時訪問PIX防火牆控制台。
 

  (三)、保護外部介面上的Telnet串連 (Securing a Telnet Connection on the Outside Interface)
本部分講述如何保護到PIX防火牆的外部介面的PIX防火牆控制台Telnet串連。它包括以下內容:

  ·  概述(Overview)

  ·  使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

  ·  使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

  概述(Overview)
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也適用於您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5來保護您的Telnet串連。在下一部分的舉例中,PIX防火牆的外部介面的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址來自於虛擬位址池,為10.1.2.0。
有關此命令的具體資訊,請參見《Cisco PIX防火牆命令參考》中telnet命令頁。
您將需在您的VPN客戶機上設定兩個安全性原則。一個用於保護您的Telnet串連,另一個保護您到內部網路的串連。

  使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

  本部分僅適用於您使用Cisco Secure VPN Client的情況。如想對您到PIX防火牆的外部介面的Telnet串連加密,則將以下步驟作為您PIX防火牆配置的一部分加以執行

步驟1 建立一個access-list命令語句,定義需從PIX防火牆到使用來自
本地虛擬位址池中目的地址的VPN客戶機而進行保護的流量access
-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0
步驟2 定義哪台主機可用Telnet訪問PIX防火牆控制台:
telnet 10.1.2.0 255.255.255.0 outside
從本地池和外部介面指定VPN客戶機的地址。
步驟3 在VPN客戶機中,建立一個安全性原則,將遠程方身份識別IP地址與網關IP地址定義為相同--PIX防火牆外部介面的IP地址。在此例中,PIX防火牆的外部IP地址為168.20.1.5。
步驟4 配置VPN客戶機上的其它安全性原則,以與PIX防火牆的安全性原則相配。

  
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
本部分僅適用於您使用Cisco VPN 3000 Client的情況。如想對您到PIX防火牆的外部介面的Telnet串連加密,則將以下步驟作為您PIX防火牆配置的一部分加以執行。在下例中,PIX防火牆外部介面的IP地址為168.20.1.5,Cisco VPN 3000 Client的IP地址來自於虛擬位址池,為10.1.2.0。
定義哪台主機可用Telnet訪問PIX防火牆。從本地池和外部介面指定VPN客戶機的地址。
telnet 10.1.2.0 255.255.255.0 outside

  (四)、Trace Channel特性(Trace Channel Feature)

  debug packet命令將其輸出送至Trace Channel。其它所有debug命令則並非如此。Trace Channel的使用改變了您在PIX防火牆控制台或Telnet會話期間瀏覽螢幕上輸出結果的方式。

  如果一個debug命令不使用Trace Channel,每個會話都獨立運作,意味著任意從會話中啟動的命令只出現在該會話中。在預設狀態下,不使用Trace Channel的會話的輸出是禁用的。

  Trace Channel的位置取決於您在控制台會話的同時還運行著一個同步Telnet控制台會話,還是您只使用PIX防火牆串列控制台:

  o   如果您僅使用PIX防火牆串列控制台,所有debug命令都顯示在串列控制台上。

  o   如果您有一個串列控制台會話和一個Telnet控制台會話同時存取控制台,那麼無論您在何處輸入debug命令,輸出均顯示在Telnet控制台會話上。

  o   如果您有2個或更多Telnet控制台會話,則第一個會話是Trace Channel。如果那一會話關閉,那麼串列控制台會話變成Trace Channel。隨後是存取控制台的下一Telnet控制台會話成為Trace Channel。

  debug 命令在所有Telnet和串列控制台會話間共用。
注意 Trace Channel特性的缺點是,如果一位管理員正使用串列控制台,另一管理員啟動一個Telnet控制台會話,則串列控制台上的debug命令輸出會在毫無警告的情況下停止。此外,Telnet控制台會話上的管理員將突然看到debug命令的輸出,這可能是其不希望出現的局面。如果您正使用串列控制台,且未出現debug命令的輸出 ,使用who命令來查看是否有Telnet控制台會話正在運行。

  二、IDS系統日誌資訊(IDS Syslog Messages)
IX防火牆經由系統日誌列出了單分組(原子)Cisco入侵偵測系統(IDS)簽字資訊。所支援的資訊列表請參見《Cisco PIX防火牆系統日誌資訊》。

  此版本中所有簽字資訊不受PIX防火牆支援。IDS系統日誌資訊均以%PIX-4-4000nn開始,有下列格式:
 %PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name
例如:
 %PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
 % PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside

  選項:

  sig_num 簽字型大小。具體資訊參見《Cisco安全入侵偵測系統2.2.1使用者指南》。

  sig_msg 簽字資訊——幾乎與NetRanger簽字資訊相同。

  Ip_addr 簽字適用的本地到遠程地址。

  Int_name 簽字最初發出的介面名。

  您可用以下命令確定顯示哪些資訊:

  ip audit signature signature_number disable

  將一項全域原則與一個簽名相連。用于禁用某一簽名或不讓某一簽名進行審計。

  no ip audit signature signature_number

  從簽名處刪除策略。用於重新使用某一簽名。

  show ip audit signature [signature_number]

  顯示禁用簽名。

  ip audit info [action [alarm] [drop] [reset]]

  指定對於分類為資訊簽名的簽名所採取的預設行動。

  alarm選項表示,當發現某一分組中籤名匹配,PIX防火牆就將附隨報告給所有已配置的系統Log Service器。drop選項丟棄不合格的分組。reset選項丟棄不合格的分組,並且如果它是一條有效串連的一部分,則關閉該串連。預設值為alarm。如想取消事件響應,使用不帶action選項的ip audit info命令。

  no ip audit info

  設定針對分類為資訊的簽名而採取的行動,調查預設行動。

  show ip audit info

  顯示預設資訊行動。

  ip audit attack [action [alarm] [drop] [reset]]

  指定對於攻擊簽名所應採取的預設行動。action選項如前所定義。 no ip audit attack

  將針對攻擊簽名而採取的行為是預設行為。

  show ip audit attack

  顯示預設攻擊行動。審計策略(審計規則)定義了所有可應用於某一介面的簽名的屬性以及一系列行動。使用審計策略,使用者可限制審計的流量或指定簽名匹配時採取的行動。每個審計策略由一個名稱識別,可針對資訊或攻擊簽名進行定義。每個介面可有2個策略,一個用於資訊簽名,另一個用於攻擊簽名。如果定義的策略中無行動,則採取已配置的預設行動。每個策略需要一個不同名稱。

  ip audit name audit_name info[action [alarm] [drop] [reset]]

  除被ip audit signature命令禁用或排除的資訊簽名之外,所有資訊簽名均被認為是策略的一部分。行動與前面描述的相同。

  no ip audit name audit_name [info]

  刪除審計策略audit_name。

  ip audit name audit_name attack [action [alarm] [drop] [reset]]

  除被ip audit signature命令禁用或排除的攻擊簽名之外,所有攻擊簽名均被認為是策略的一部分。行動與前面描述的相同。

  no ip audit name audit_name [attack]

  刪除審計規定audit_name。

  show ip audit name [name [info|attack]]

  顯示所有審計策略或按名稱和可能的類型顯示特定策略。

  ip audit interface if_name audit_name

  向某一介面應用審計規定或策略(經由ip audit name命令)。

  no ip audit interface [if_name]

  從某一介面刪除一個策略。
show ip audit interface

  顯示介面配置。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。