CISCO PIX防火墙系统管理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CISCO PIX防火墙系统管理
使用Telnet进行远程系统管理(Using Telnet for Remote System Management)IDS系统日志信息(IDS Syslog Messages)
使用DHCP(Using DHCP)
使用SNMP(Using SNMP)
使用SSH(Using SSH)
一、使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。
串行控制台让单一用户配置PIX防火墙,但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后,您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容:
? 配置Telnet控制台访问(Configuring Telnet Console Access)
? 测试Telnet访问(Testing Telnet Access)
? 保护外部接口上的Telnet连接(Securing a Telnet Connection on the Outside Interface)
? Trace Channel特性(Trace Channel Feature)
(一)、配置Telnet控制台访问(Configuring Telnet Console Access)
按照以下步骤来配置Telnet控制台访问:
步骤1
使用PIX防火墙telnet命令。例如,如想让一台位于内部接口之上、地址为192.168.1.2的主机访问PIX防火墙,就输入以下命令。
telnet 192.168.1.2 255.255.255.255 inside
如果设置了IPSec,您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见"保护外部接口上的Telnet连接(Securinga Telnet Connection on the Outside Interface)"部分。使用如下命令。telnet 209.165.200.225 225.255.225.224 outside
步骤2
如需要,可对PIX防火墙在断开一个Telnet会话前,该会话可闲置的时间长度
进行设置。默认值5分钟对大多数情况来说过短,需予以延
长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时间。telnet timeout 15;
步骤3
如果您想用认证服务器来保护到控制台的访问,您可使用aaa authentication telnet console命令,它需要您在验证服务器上有一个用户名和口令。当您访问控制台时,PIX防火墙提示您提供这些登录条件。如果验证服务器离线,您仍可使用用户名pix和由enable password命令设置的口令访问控制台。
步骤4 用write memory命令保存配置中的命令
(二)、测试Telnet访问(Testing Telnet Access)执行以下步骤来测试Telnet访问:
步骤1
从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正使用Windows 95或Windows NT,点击Start>Run来启动Telnet会话。例如,
如果内部接口IP地址是192.168.1.1,输入以下命令。telnet 192.168.1.1
步骤2
PIX防火墙提示您输入口令:
PIX passwd:
输入cisco,然后按Enter键。您即登录到PIX防火墙上了。
默认口令为cisco,您可用passwd命令来更改它。
您可在Telnet控制台上输入任意您可从串行控制台上设置的命令,但如果您重启PIX防火墙,您将需在其重启动后登录PIX防火墙。
一些Telnet应用,如Windows 95或Windows NT Telnet会话可能不支持通过箭头键使用的PIX防火墙命令历史记录特性。然而,您可按Ctrl-P来获取最近输入的命令。
步骤3
一旦您建立了Telnet访问,您可能想在纠错时浏览ping(探查)信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响,这将在"Trace Channel特性(Trace Channel Feature)"中详述。
成功的ping信息如下:
Outbound ICMP echo request (len 32 id 1 seq 512)
209.165.201.2>209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23
步骤4
此外,您可使用Telnet控制台会话来浏览系统日志信息:
a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下使用PIX防火墙,您可能希望使用logging buffered 7命令唇?信息存储在您可用show logging命令浏览的缓存中,还可
用clear logging命令清理缓存以便更方便地浏览。如想停止缓存信息,使用
no logging buffered命令。
您也可将数目从7降至较小值,如3,以限制所显示的信息数。b. 如果您输入logging monitor命令,然后输入terminal monitor命令来使信息在您的Telnet 会话中显示。如想禁止信息显示,使用terminal no monitor命令。
例1给出了使用Telnet允许主机访问PIX防火墙控制台的命令。
例1 使用Telnet
telnet 10.1.1.11 255.255.255.255
telnet 192.168.3.0 255.255.255.0
第一个telnet命令允许单一主机,10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。
第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。然而,Telnet只允许16台主机同时访问PIX防火墙控制台。
(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)
本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容:
? 概述(Overview)
? 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
? 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
概述(Overview)
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中,PIX防火墙的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址来自于虚拟地址池,为10.1.2.0。