CISCO PIX防火墙系统管理

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

CISCO PIX防火墙系统管理

使用Telnet进行远程系统管理(Using Telnet for Remote System Management)IDS系统日志信息(IDS Syslog Messages)

使用DHCP(Using DHCP)

使用SNMP(Using SNMP)

使用SSH(Using SSH)

一、使用Telnet进行远程系统管理(Using Telnet for Remote System Management)

在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。

串行控制台让单一用户配置PIX防火墙,但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后,您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容:

? 配置Telnet控制台访问(Configuring Telnet Console Access)

? 测试Telnet访问(Testing Telnet Access)

? 保护外部接口上的Telnet连接(Securing a Telnet Connection on the Outside Interface)

? Trace Channel特性(Trace Channel Feature)

(一)、配置Telnet控制台访问(Configuring Telnet Console Access)

按照以下步骤来配置Telnet控制台访问:

步骤1

使用PIX防火墙telnet命令。例如,如想让一台位于内部接口之上、地址为192.168.1.2的主机访问PIX防火墙,就输入以下命令。

telnet 192.168.1.2 255.255.255.255 inside

如果设置了IPSec,您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见"保护外部接口上的Telnet连接(Securinga Telnet Connection on the Outside Interface)"部分。使用如下命令。telnet 209.165.200.225 225.255.225.224 outside

步骤2

如需要,可对PIX防火墙在断开一个Telnet会话前,该会话可闲置的时间长度

进行设置。默认值5分钟对大多数情况来说过短,需予以延

长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时间。telnet timeout 15;

步骤3

如果您想用认证服务器来保护到控制台的访问,您可使用aaa authentication telnet console命令,它需要您在验证服务器上有一个用户名和口令。当您访问控制台时,PIX防火墙提示您提供这些登录条件。如果验证服务器离线,您仍可使用用户名pix和由enable password命令设置的口令访问控制台。

步骤4 用write memory命令保存配置中的命令

(二)、测试Telnet访问(Testing Telnet Access)执行以下步骤来测试Telnet访问:

步骤1

从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正使用Windows 95或Windows NT,点击Start>Run来启动Telnet会话。例如,

如果内部接口IP地址是192.168.1.1,输入以下命令。telnet 192.168.1.1

步骤2

PIX防火墙提示您输入口令:

PIX passwd:

输入cisco,然后按Enter键。您即登录到PIX防火墙上了。

默认口令为cisco,您可用passwd命令来更改它。

您可在Telnet控制台上输入任意您可从串行控制台上设置的命令,但如果您重启PIX防火墙,您将需在其重启动后登录PIX防火墙。

一些Telnet应用,如Windows 95或Windows NT Telnet会话可能不支持通过箭头键使用的PIX防火墙命令历史记录特性。然而,您可按Ctrl-P来获取最近输入的命令。

步骤3

一旦您建立了Telnet访问,您可能想在纠错时浏览ping(探查)信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响,这将在"Trace Channel特性(Trace Channel Feature)"中详述。

成功的ping信息如下:

Outbound ICMP echo request (len 32 id 1 seq 512)

209.165.201.2>209.165.201.1

Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23

步骤4

此外,您可使用Telnet控制台会话来浏览系统日志信息:

a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下使用PIX防火墙,您可能希望使用logging buffered 7命令唇?信息存储在您可用show logging命令浏览的缓存中,还可

用clear logging命令清理缓存以便更方便地浏览。如想停止缓存信息,使用

no logging buffered命令。

您也可将数目从7降至较小值,如3,以限制所显示的信息数。b. 如果您输入logging monitor命令,然后输入terminal monitor命令来使信息在您的Telnet 会话中显示。如想禁止信息显示,使用terminal no monitor命令。

例1给出了使用Telnet允许主机访问PIX防火墙控制台的命令。

例1 使用Telnet

telnet 10.1.1.11 255.255.255.255

telnet 192.168.3.0 255.255.255.0

第一个telnet命令允许单一主机,10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。

第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。然而,Telnet只允许16台主机同时访问PIX防火墙控制台。

(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)

本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容:

? 概述(Overview)

? 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

? 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

概述(Overview)

如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中,PIX防火墙的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址来自于虚拟地址池,为10.1.2.0。

相关文档
最新文档