本文介绍了如何配置并使用 PIX防火墙提供的工具及特性,以监控和配置系统,并监控网络活动。它包括以下部分:
使用 Telnet 进行远程系统管理( Using Telnet for Remote System Management )
IDS 系统日志信息( IDS Syslog Messages )
使用 DHCP ( Using DHCP )
使用 SNMP ( Using SNMP )
使用 SSH ( Using SSH )
一、使用 Telnet 进行远程系统管理( Using Telnet for Remote System Management )
在内部和第三接口上可经由 Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。
串行控制台让单一用户配置PIX防火墙,但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后,您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容:
· 配置 Telnet 控制台访问( Configuring Telnet Console Access )
· 测试 Telnet 访问( Testing Telnet Access )
· 保护外部接口上的 Telnet 连接( Securing a Telnet Connection on the Outside Interface )
· Trace Channel 特性( Trace Channel Feature )
( 一 ) 、配置 Telnet 控制台访问( Configuring Telnet Console Access )
按照以下步骤来配置 Telnet 控制台访问:
步骤 1
使用 PIX 防火墙 telnet 命令。例如,如想让一台位于内部接口之上、
地址为 192.168.1.2 的主机访问 PIX 防火墙,就输入以下命令。
telnet 192.168.1.2 255.255.255.255 inside
如果设置了 IPSec ,您即可让位于外部接口上的主机访问 PIX 防火墙
控制台。具体信息请参见 " 保护外部接口上的 Telnet 连接( Securing
a Telnet Connection on the Outside Interface ) " 部分。使用如
下命令。 telnet 209.165.200.225 225.255.225.224 outside
步骤 2
如需要,可对 PIX 防火墙在断开一个 Telnet 会话前,该会话可闲置的
时间长度进行设置。默认值 5 分钟对大多数情况来说过短,需予以延
长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时
间。 telnet timeout 15;
步骤 3
如果您想用认证服务器来保护到控制台的访问,您可使用 aaa
authentication telnet console 命令,它需要您在验证服务器上有
一个用户名和口令。当您访问控制台时, PIX 防火墙提示您提供这些
登录条件。如果验证服务器离线,您仍可使用用户名 pix 和由 enable
password 命令设置的口令访问控制台。
步骤 4
用 write memory 命令保存配置中的命令 ?/td>
( 二 ) 、测试 Telnet 访问( Testing Telnet Access )
执行以下步骤来测试 Telnet 访问:
步骤 1
从主机启动一个到 PIX 防火墙接口 IP 地址的 Telnet 会话。如果您正使用
Windows 95 或 Windows NT ,点击 Start>Run 来启动 Telnet 会话。例如,
如果内部接口 IP 地址是 192.168.1.1 ,输入以下命令。 telnet 192.168.1.1
步骤 2
PIX 防火墙提示您输入口令:
PIX passwd:
输入 cisco ,然后按 Enter 键。您即登录到 PIX 防火墙上了。
默认口令为 cisco ,您可用 passwd 命令来更改它。
您可在 Telnet 控制台上输入任意您可从串行控制台上设置的命令,但如果
您重启 PIX 防火墙,您将需在其重启动后登录 PIX 防火墙。
一些 Telnet 应用,如 Windows 95 或 Windows NT Telnet 会话可能不支持通过
箭头键使用的 PIX 防火墙命令历史记录特性。然而,您可按 Ctrl-P 来获取最
近输入的命令。
步骤 3
一旦您建立了 Telnet 访问,您可能想在纠错时浏览 ping (探查)信息。您可用 debug icmp trace 命令浏览来自 Telnet 会话的 ping 信息。 Trace Channel 特性也对 debug 的显示有影响,这将在 "Trace Channel 特性( Trace Channel Feature ) " 中详述。
成功的 ping 信息如下:
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23
步骤 4
此外,您可使用 Telnet 控制台会话来浏览系统日志信息:
a. 用 logging monitor 7 命令启动信息显示。 "7" 将使所有系统日志级别均得以显示。如果您正在生产模式下使用 PIX 防火墙,您可能希望使用 logging buffered 7 命令唇 畔 ⒋ 娲 ⒃ 谀 捎胹 how logging 命令浏览的缓存中,还可用 clear logging 命令清理缓存以便更方便地浏览。如想停止缓存信息,使用 no logging buffered 命令。
您也可将数目从 7 降至较小值,如 3 ,以限制所显示的信息数。 b. 如果您输入 logging monitor 命令,然后输入 terminal monitor 命令来使信息在您的 Telnet 会话中显示。如想禁止信息显示,使用 terminal no monitor 命令。
例 1 给出了使用 Telnet 允许主机访问 PIX 防火墙控制台的命令。
例 1 使用 Telnet
telnet 10.1.1.11 255.255.255.255
telnet 192.168.3.0 255.255.255.0
第一个 telnet 命令允许单一主机, 10.1.1.11 用 Telnet 访问 PIX 防火墙控制台。网络掩模的最后八位字节中的数值 255 表明只有指定主机可访问该控制台。
第二个 telnet 命令允许 192.168.3.0 网络上的所有主机访问 PIX 防火墙控制台。网络掩模的最后八位字节中的数值 0 允许那一网络中的所有主机进行访问。然而, Telnet 只允许 16 台主机同时访问 PIX 防火墙控制台。
(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)
本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容:
· 概述( Overview )
· 使用 Cisco Secure VPN Client (Using Cisco Secure VPN Client)
· 使用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
概述( Overview)
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中,PIX防火墙的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址来自于虚拟地址池,为10.1.2.0。
有关此命令的具体信息,请参见《Cisco PIX防火墙命令参考》中telnet命令页。
您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接,另一个保护您到内部网络的连接。
使用 Cisco Secure VPN Client (Using Cisco Secure VPN Client)
本部分仅适用于您使用 Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行
步骤 1
创建一个 access-list 命令语句,定义需从 PIX 防火墙到使用来自
本地虚拟地址池中目的地址的 VPN 客户机而进行保护的流量 access
-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0
步骤 2
定义哪台主机可用 Telnet 访问 PIX 防火墙控制台:
telnet 10.1.2.0 255.255.255.0 outside
从本地池和外部接口指定 VPN 客户机的地址。
步骤 3
在 VPN 客户机中,创建一个安全策略,将远程方身份识别 IP 地址与网关 IP 地址定义为相同 --PIX 防火墙外部接口的 IP 地址。在此例中, PIX 防火墙的外部 IP 地址为 168.20.1.5 。
步骤 4
配置 VPN 客户机上的其它安全策略,以与 PIX 防火墙的安全策略相配。
使用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
本部分仅适用于您使用 Cisco VPN 3000 Client 的情况。如想对您到 PIX 防火墙的外部接口的 Telnet 连接加密,则将以下步骤作为您 PIX 防火墙配置的一部分加以执行。在下例中, PIX 防火墙外部接口的 IP 地址为 168.20.1.5 , Cisco VPN 3000 Client 的 IP 地址来自于虚拟地址池,为 10.1.2.0 。
定义哪台主机可用 Telnet 访问 PIX 防火墙。从本地池和外部接口指定 VPN 客户机的地址。
telnet 10.1.2.0 255.255.255.0 outside
(四)、Trace Channel特性(Trace Channel Feature)
debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。
如果一个 debug命令不使用Trace Channel,每个会话都独立运作,意味着任意从会话中启动的命令只出现在该会话中。在默认状态下,不使用Trace Channel的会话的输出是禁用的。
Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话,还是您只使用PIX防火墙串行控制台:
o 如果您仅使用 PIX 防火墙串行控制台,所有 debug 命令都显示在串行控制台上。
o 如果您有一个串行控制台会话和一个 Telnet 控制台会话同时访问控制台,那么无论您在何处输入 debug 命令,输出均显示在 Telnet 控制台会话上。
o 如果您有 2 个或更多 Telnet 控制台会话,则第一个会话是 Trace Channel 。如果那一会话关闭,那么串行控制台会话变成 Trace Channel 。随后是访问控制台的下一 Telnet 控制台会话成为 Trace Channel 。
debug 命令在所有Telnet和串行控制台会话间共享。
注意 Trace Channel特性的缺点是,如果一位管理员正使用串行控制台,另一管理员启动一个Telnet控制台会话,则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外,Telnet控制台会话上的管理员将突然看到debug命令的输出,这可能是其不希望出现的局面。如果您正使用串行控制台,且未出现debug命令的输出 ,使用who命令来查看是否有Telnet控制台会话正在运行。
二、 IDS系统日志信息(IDS Syslog Messages)
IX防火墙经由系统日志列出了单分组(原子)Cisco入侵检测系统(IDS)签字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。
此版本中所有签字信息不受 PIX防火墙支持。IDS系统日志信息均以%PIX-4-4000nn开始,有下列格式:
%PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name
例如:
%PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside
选项:
sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。
sig_msg 签字信息——几乎与NetRanger签字信息相同。
Ip_addr 签字适用的本地到远程地址。
Int_name 签字最初发出的接口名。
您可用以下命令确定显示哪些信息:
ip audit signature signature_number disable
将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名进行审计。
no ip audit signature signature_number
从签名处删除策略。用于重新使用某一签名。
show ip audit signature [signature_number]
显示禁用签名。
ip audit info [action [alarm] [drop] [reset]]
指定对于分类为信息签名的签名所采取的默认行动。
alarm选项表示,当发现某一分组中签名匹配,PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组,并且如果它是一条有效连接的一部分,则关闭该连接。默认值为alarm。如想取消事件响应,使用不带action选项的ip audit info命令。
no ip audit info
设置针对分类为信息的签名而采取的行动,调查默认行动。
show ip audit info
显示默认信息行动。
ip audit attack [action [alarm] [drop] [reset]]
指定对于攻击签名所应采取的默认行动。 action选项如前所定义。 no ip audit attack
将针对攻击签名而采取的行为是默认行为。
show ip audit attack
显示默认攻击行动。审计策略(审计规则)定义了所有可应用于某一接口的签名的属性以及一系列行动。使用审计策略,用户可限制审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别,可针对信息或攻击签名进行定义。每个接口可有 2个策略,一个用于信息签名,另一个用于攻击签名。如果定义的策略中无行动,则采取已配置的默认行动。每个策略需要一个不同名称。
ip audit name audit_name info[action [alarm] [drop] [reset]]
除被 ip audit signature命令禁用或排除的信息签名之外,所有信息签名均被认为是策略的一部分。行动与前面描述的相同。
no ip audit name audit_name [info]
删除审计策略 audit_name。
ip audit name audit_name attack [action [alarm] [drop] [reset]]
除被 ip audit signature命令禁用或排除的攻击签名之外,所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。
no ip audit name audit_name [attack]
删除审计规定 audit_name。
show ip audit name [name [info|attack]]
显示所有审计策略或按名称和可能的类型显示特定策略。
ip audit interface if_name audit_name
向某一接口应用审计规定或策略(经由 ip audit name命令)。
no ip audit interface [if_name]
从某一接口删除一个策略。
show ip audit interface
显示接口配置。
三、使用 DHCP(Using DHCP)
PIX防火墙支持动态主机配置协议(DHCP)服务器和DHCP客户机。DHCP是一个协议,向互联网主机提供自动配置参数。此协议有两个组成部分:
用于从 DHCP 服务器向主机( DHCP 客户机)提供主机特定配置参数的协议
用于向主机分配网络地址的机制
DHCP服务器是向DHCP客户机提供配置参数的计算机,DHCP客户机则是使用DHCP获得网络配置参数的计算机或网络设备。
在 PIX防火墙中实施DHCP服务器和DHCP客户机特性的主要目的是大大简化PIX防火墙单元的配置。
本部分包括以下内容:
DHCP 客户机( DHCP Client )
DHCP 服务器( DHCP Server )
DHCP客户机(DHCP Client)
PIX 防火墙中的 DHCP 客户机支持经过专门设计,适用于小型办公室、家庭办公室( SOHO )环境,这些环境中使用 PIX 防火墙直接与支持 DHCP 服务器功能的 DSL 或电缆调制解调器相连。随着 PIX 防火墙上 DHCP 客户机特性的实施, PIX 防火墙对 DHCP 服务器来说即可作为 DHCP 客户机,允许服务器用 IP 地址、子网掩模和可选的默认路由来配置单元的启动接口
不支持使用 DHCP客户机特性从通用DHCP服务器获取IP地址的操作。此外,PIX防火墙DHCP客户机不支持故障转换配置。
为支持PIX防火墙中的DHCP客户机特性,进行了以下改进:
增强了 ip address 和 show ip address 命令:
- ip address if_name dhcp [setroute] [retry retry_cnt]
- ip address outside dhcp [setroute] [retry retry_cnt]
- show ip address if_name dhcp
添加了新的 debug 命令:
- debug dhcpc packet
- debug dhcpc detail
- debug dhcpc error
ip address dhcp命令可在指定PIX防火墙接口上启动DHCP客户机特性。可选setroute参数让PIX防火墙使用DHCP服务器返回的默认网关参数来设置默认路由。
debug dhcpc命令为启动的DHCP客户机特性提供纠错工具。
用于实施 DHCP客户机的PIX防火墙命令在《Cisco PIX防火墙命令参考》的ip address命令页和debug命令页中介绍。具体信息请参见这些命令页。
注意 DHCP所需的外部接口的IP地址也可用作PAT全局地址。这样,ISP就无需向PIX防火墙分配静态IP地址了。使用带interface关键字的global命令来使PAT使用DHCP所需的外部接口IP地址。有关global命令的具体信息,请参见《Cisco PIX防火墙命令参考》中的global命令页。
启动 DHCP客户机特性和设置默认路由(Enabling the DHCP Client Feature and Setting Default Route)
为在给定 PIX防火墙接口上启动DHCP客户机特性并经由DHCP服务器设置默认路由,需将ip address dhcp setroute命令作为您整个PIX防火墙配置的一部分加以配置,这其中包括setroute选项。指定将在其上启动DHCP客户机的接口名。
DHCP服务器(DHCP Server)
PIX防火墙中的DHCP服务器支持经过了专门设计,适用于使用PIX 506的远程家庭或分支机构(ROBO)环境。与PIX防火墙相连的是PC客户机和其它网络设备(DHCP客户机),它们建立了不安全(未加密)或安全(使用IPSec加密)的网络连接来访问企业或公司网络。作为一个DHCP服务器,PIX防火墙通过使用DHCP向DHCP客户机提供了网络配置参数。这些配置参数为DHCP客户机提供了用于访问企业网的网络参数,以及在网络中网络服务(如DNS服务器)使用的参数。
在 5.3版软件发布前,PIX防火墙DHCP服务器支持10个DHCP客户机、PIX防火墙5.3及更高版本在PIX防火墙上支持32个DHCP客户机,在其它平台上支持256个。在6.0或更高版本中,PIX防火墙DHCP服务器支持256个DHCP客户机。您不能使用C类网络掩模为256个客户机配置1个DHCP服务器。例如,如果一家公司有C类网络地址172.17.1.0,带网络掩模255.255.255.0,那么172.17.1.0(网络IP)和172.17.1.255(广播)不可能在DHCP地址池范围之内。此外,一个地址用于PIX防火墙接口。因此,如果用户使用C类网络掩模,就只能最多拥有253个DHCP客户机。如想配置256个客户机,就不能使用C类网络掩模。
注意 PIX防火墙DHCP服务器不支持BOOTP请求和故障转换配置。用于实施DHCP服务器特性的PIX防火墙命令在《Cisco PIX防火墙命令参考》的dhcp命令页和debug命令页中介绍。具体信息请参见这些命令页。
配置 DHCP服务器特性(Configuring the DHCP Server Feature)
确保在启动 DHCP服务器特性前,使用ip address命令来配置IP地址和inside接口的子网掩模。
按照以下步骤来在给定 PIX防火墙接口上启动DHCP服务器特性。(步骤1到6为必需)。
步骤 1
使用 dhcpd address 命令指定一个 DHCP 地址池。 PIX 防火墙将向客户机分配此池中的地址之一并在给定长度的时间内使用。默认值为 inside 接口。例如:
dhcp address 10.0.1.101-10.0.1.110 inside
步骤 2
(可选)指定客户机将使用的 DNS 服务器的 IP 地址。您最多可指定 2 个 DNS 服务器。例如: dhcpd dns 209.165.201.2 209.165.202.129
步骤 3
(可选)指定客户机将使用的 WINS 服务器的 IP 地址。您最多可指定 2 个 WINS 服务器。例如: dhcpd wins 209.165.201.5
步骤 4
指定授予客户机的租用时间长度。这相当于客户机在租用到期前可使用分配给它的 IP 地址的时间长度(以秒为单位)。默认值为 3600 秒。例如:
dhcpd lease 3000
步骤 5
(可选)配置客户机将使用的域名。例如: dhcpd domain example.com
步骤 6
启动 PIX 防火墙中的 DHCP 端口监督程序,以接收启动接口上的 DHCP 客户机请求。现在您仅可在 inside 接口(默认值)上启动 DHCP 服务器特性。例如:
dhcpd enable inside
下例为上述过程的配置列表。
! set the ip address of the inside interface
ip address inside 10.0.1.2 255.255.255.0
! configure the network parameters the client will use once in the corporate network and
dhcpd address 10.0.1.101-10.0.1.110
dhcpd dns 209.165.201.2 209.165.202.129
dhcpd wins 209.165.201.5
dhcpd lease 3000
dhcpd domain example.com
! enable dhcp server daemon on the inside interface
dhcpd enable inside
下例为 DHCP地址池和DNS服务器地址的配置,带启动了DHCP服务器特性的内部接口:
dhcpd address 10.0.1.100-10.0.1.108
dhcpd dns 209.165.200.227
dhcpd enable
下例为 DHCP地址池的配置,使用auto_config命令来配置dns,wins和域参数: dhcpd address 10.0.1.100-10.0.1.108
dhcpd auto_config
dhcpd enable
下面是远程办公室中一个 PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙,它的外部接口IP地址为209.165.200.228,作为公司网络的网关。
! configure interface ip address
ip address outside 209.165.202.129 255.255.255.0
ip address inside 172.17.1.1 255.255.255.0
! configure ipsec with corporate pix
access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0
ipsec transform-set myset esp-des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address ipsec-peer
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set peer 209.165.200.228
crypto map mymap interface outside
sysopt connection permit-ipsec
nat (inside) 0 access-list ipsec-peer
isakmp policy 10 authentication preshare
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 3600
isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0
isakmp enable outside
!configure dhcp server address
dhcpd address 172.17.1.100-172.17.1.109
dhcpd dns 192.168.0.20
dhcpd wins 192.168.0.10
dhcpd lease 3000
dhcpd domain example.com
! enable dhcp server on inside interface
dhcpd enable
! use outside interface ip as PAT global address
nat (inside) 1 0 0
global (outside) 1 interface
四、使用 SNMP(Using SNMP)
snmp_server命令使PIX防火墙可发送SNMP陷阱,以便PIX防火墙可从远程监控。
使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。此部分包括下列内容:
简介( Introduction )
MIB 支持( MIB Support )
SNMP 使用率说明( SNMP Usage Notes )
SNMP 陷阱( SNMP Traps )
编辑 Cisco Syslog MIB 文件( Compiling Cisco Syslog MIB Files )
使用防火墙和内存池 MIB ( Using the Firewall and Memory Pool MIBs )
简介( Introduction)
可用的PIX防火墙SNMP MIB-II组有系统(System)和接口(Interfaces)。
Cisco防火墙MIB和Cisco内存池MIB也可用。
所有 SNMP值仅为只读(RO)
使用 SNMP,您可以监控PIX防火墙上的系统事件。SNMP事件可以读取,但PIX防
火墙上的信息不能用SNMP更改。SNMP管理站可用的PIX防火墙SNMP陷阱如下所示:
· 通用陷阱
- 上链路和下链路(电缆与接口相连与否;电缆与正在工作还是与非工作状
态的接口相连)
- 冷启动
- 验证故障(公用字符串不匹配)
· 经由 Cisco Syslog MIB 发送的与安全相关的事件:
- 拒绝全局访问
- 故障转换系统日志信息
- 系统日志信息
使用 CiscoWorks for Windows或任意其它SNMP V1、MIB-II兼容型浏览器来接收
SNMP陷阱并浏览MIB。SNMP陷阱出现于UDP端口162。
MIB支持(MIB Support)
注意 PIX防火墙不支持Cisco系统日志MIB的浏览。您可浏览MIB-II的系统和接口
组。MIB的浏览与发送陷阱不同。浏览意味着从管理站执行MIB树的snmpget或
snmpwalk命令以确定数值。
PIX 防火墙平台中的系统 OID
PIX 平台
系统 OID
PIX 506
.1.3.6.1.4.1.9.1.389
PIX 515
.1.3.6.1.4.1.9.1.390
PIX 520
.1.3.6.1.4.1.9.1.391
PIX 525
.1.3.6.1.4.1.9.1.392
PIX 535
.1.3.6.1.4.1.9.1.393
其它
.1.3.6.1.4.1.9.1.227 ( 初始 PIX 防火墙 OID)
接收请求和发送系统日志陷阱
按照以下步骤来接收请求并从 PIX防火墙向SNMP管理站发送陷阱:
步骤 1
用 snmp-server host 命令确定 SNMP 管理站的 IP 地址。
步骤 2
按需设置 snmp-server 的 location 、 contact 和 community 口令选项。如果您只需发送冷启动、上链路、下链路通用陷阱,则无需进一步配置。如果您仅想接收 SNMP 请求,则无需进一步配置。
步骤 3
添加一条 snmp-server enable traps 命令语句 ?/td>
步骤 4
用 logging history 命令设置记录级别:
logging history debugging
我们建议您在初始设置和测试期间使用 debugging 级别。然后将级别从 debugging 降至较低数值以用于生产。
( logging history 命令为 SNMP 系统日志信息设置严重程度)。
步骤 5
开始用 logging on 命令向管理站发送系统日志陷阱。
步骤 6
如想禁止发送系统日志陷阱,则使用 no logging on 或 no snmp-server enable traps 命令。
下表中的命令定义了 PIX防火墙可以从位于内部接口上的主机192.168.3.2接收
SNMP请求,但不向任意主机发送SNMP系统日志.
snmp-server host 192.168.3.2
snmp-server location building 42
snmp-server contact polly hedra
snmp-server community ohwhatakeyisthee
location和contact命令确定了主机的位置和谁管理主机。community命令指定
了PIX防火墙SNMP代理和SNMP管理站中使用的口令,以验证两个系统间的网络访问。
编辑 Cisco系统日志MIB文件(Compiling Cisco Syslog MIB Files)
为从 PIX防火墙接收安全性和故障转换SNMP陷阱,就需将Cisco SMI MIB和Cisco系
统日志MIB编辑入您的SNMP管理应用。如果您未将Cisco系统日志MIB编辑入您的应
用,您就只能接收用于上或下链路、防火墙冷启动和验证故障的陷阱。
在此页中,从 Cisco安全和VPN选择列表中选择PIX Firewall。
按照以下步骤使用 CiscoWorks for Windows (SNMPc)将Cisco系统日志MIB文件编辑
入您的浏览器:
步骤 1
获得 Cisco 系统日志 MIB 文件。
步骤 2
启动 SNMPc 。
步骤 3
点击 Config>Complile MIB 。
步骤 4
滚动光标至列表底部,并点击最后一项。
步骤 5
点击 Add 。
步骤 6
发现 Cisco 系统日志 MIB 文件。
注意
对某些应用来说,只有带 .mib 扩展名的文件可以在 SNMPc 的文件选择窗口中显示。带 .my 扩展名的 Cisco 系统日志 MIB 文件不会显示。在此例中,您应手工地将 .my 扩展名改为 .mib 扩展名。
步骤 7
点击 CISCO-FIREWALL-MIB.my (CISO-FIREWALL-MIB.mib) 并点击 OK?/td>
步骤 8
滚动光标至列表底部,并点击最后一项。
步骤 9
点击 Add 。
步骤 10
发现文件 CISCO-MEMORY-POOL-MIB.my (CISCO-MEMORY-POOL-MIB.mib) 并点击 OK 。
步骤 11
滚动光标至列表底部,并点击最后一项。
步骤 12
点击 Add 。
步骤 13
发现文件 CISCO-SMI.my (CISCO-SMI.mib) 并点击 OK 。
步骤 14
滚动光标至列表底部,并点击最后一项。
步骤 15
点击 Add 。
步骤 16
发现文件 CISCO-SYSLOG-MIB.my (CISCO-SYSLOG-MIB.mib) 并点击 OK 。
步骤 17
点击 Load All 。
步骤 18
如无错误,重启 SNMPc 。
注意 这些指令仅用于 SNMPc (CiscoWorks for Windows)。
使用防火墙和内存池 MIB(Using the Firewall and Memory Pool MIBs)
Cisco防火墙和内存池MIB让您可以轮询故障转换和系统状态。本部分包括以下内容:
o ipAddrTable 说明( ipAddrTable Notes )
o 浏览故障转换状态( Viewing Failover Status )
o 验证内存使用率( Verifying Memory Usage )
o 浏览连接数( Viewing The Connection Count )
o 浏览系统缓存使用率( Viewing System Buffer Usage )
在每部分最后的表中,每个返回值的意义都显示在括号中。
ipAddrTable说明(ipAddrTable Notes)
SNMP ip.ipAddrTable的使用要求所有接口都分别有各自独特的地址。如果接口未被分配IP地址,则其IP地址默认为127.0.0.1。拥有重复IP地址会导致SNMP管理站无限循环。工作循环就是向每个接口分配一个不同的地址。例如,您可将一个地址设置为127.0.0.1,另一地址设置为127.0.0.2等。
SNMP使用一系列GetNext操作来转换MIB树。每个GetNext请求均以前-请求的结果为基础。因此,如果两个连续接口有相同的IP 127.0.0.1(表索引),GetNext功能返回127.0.0.1,这是正确的;然而,当SNMP使用同一结果(127.0.0.1)生成下一GetNext请求,该请求与前一请求一样,从而会导致管理站无限循环。
例如: GetNext (ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1)
在 SNMP协议中,MIB表索引必须是独一无二的,以便代理识别MIB表的某一行。ip.AddrTable的表索引是PIX防火墙接口IP地址,故此IP地址应独一无二;否则,SNMP代理将发生混乱并可能返回有相同IP(索引)的另一接口(行)的信息。
浏览故障转换状态( Viewing Failover Status)
Cisco防火墙MIB的cfsHardwareStatusTable允许您确定是否启动故障转换以及哪个单元处在活动状态。Cisco防火墙MIB通过cfwHardwareStatusTable对象中的两行来指示故障转换状态。从PIX防火墙命令行,您可用show failover命令浏览故障转换状态。您可从以下路径访问对象表:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatus.cfwHardwareStatusTable
故障转换状态对象
对象
对象类型
行 1 :如禁用故障转换时则返回
行 1 :如启用故障转换时返回
行 2 :如启用故障转换时返 ?/td>
cfwHardwareType
(表索引)
Hardware
6 (如为基本单元)
6 (如为基本单元)
7 (如为备用单元)
cfwHardware
Information
SnmpAdminString
空白
空白
空白
cfwHardware
StatusValue
HardwareStatus
0 (未使用 ?/td>
active 或 9( 如为活动单元 ) 或是 standby 或 10( 如为备用单元 )
active 或 9( 如为活动单元 ) 或是 standby 或 10 如为备用单元
cfwHardware
StatusDetail
SnmpAdminString
Failover Off
空白
空白
cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6 :0
cfwHardwareStatusValue.7 :0
cfwHardwareStatusDetail.6 :Failover Off
cfwHardwareStatusDetail.7 :Failover Off
在此表中,表索引 cfwHardwareType作为.6或.7附在每个随后对象的最后。cfwHardwareInformation域为空白,cfwHardwareStatus值为0,而cfwHardwareStatusDetail包含Failover Off,这表示故障转换状态。
启动故障转换时, MIB查询范例生成下列信息:
cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6 : active
cfwHardwareStatusValue.7 : standby
cfwHardwareStatusDetail.6 :
cfwHardwareStatusDetail.7 :
在此表中,只有cfwHardwareStatusValue包含数值,即active或standby来表示每个单元的状态。
验证内存使用率( Verifying Memory Usage)
您可确定 Cisco内存池MIB带有多少空闲内存。从PIX防火墙命令行,可用show memory命令浏览内存使用率。以下是show memory命令的输出范例。
show memory
16777216 bytes total, 5595136 bytes free
您可从以下路径访问 MIB对象:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoMemoryPoolMIB. ciscoMemoryPoolObjects.ciscoMemoryPoolTable
内存使用率
对象
对象类型
返回值
ciscoMemoryPoolType CiscoMemoryPoolTypes 1 ( 处理器内存 )( 表索引 )
ciscoMemoryPoolType
1 ( 处理器内存 )
ciscoMemoryPoolName
DisplayString
PIX 系统内存
ciscoMemoryPoolAlternate
Integer32
0 ( 无备用内存池 )
ciscoMemoryPoolValid
TruthValue
true ( 表明其余对象的值正确 )
ciscoMemoryPoolUsed
Gauge32
integer ( 目前在用的字节数-
总字节减去空闲字节 )
ciscoMemoryPoolFree
Gauge32
integer ( 当前空闲的字节数 )
ciscoMemoryPoolLargestFree
Gauge32 0
( 不可获得信息 )
在 HP OpenView Browse MIB应用的“MIB值”窗口中,MIB查询范例生成以下信息:
ciscoMemoryPoolName.1 :PIX system memory
ciscoMemoryPoolAlternate.1 :0
ciscoMemoryPoolValid.1 :true
ciscoMemoryPoolUsed.1 :12312576
ciscoMemoryPoolFree.1 :54796288
ciscoMemoryPoolLargestFree.1 :0
在此表中,表索引 cisco MemoryPoolName作为.1值附在每个随后对象值的最后。cisco MemoryPoolUsed对象列出当前在用的字节数12312576,ciscoMemoryPoolFree对象则列出了当前空闲的字节数54796288。其它对象则总是列出表18中的值。
浏览连接数( Viewing The Connection Count)
您可从 Cisco防火墙MIB中的cfwConnectionStatTable浏览在用的连接数。从PIX防火墙命令行,您可用show conn命令浏览连接数。以下是show conn命令输出范例,可确认cfwConnectionStatTable中的信息的初始出处。
show conn
15 in use, 88 most used
cfwConectionStatTable对象表可从以下路径访问:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwConnectionStatTable
对象
对象类型
行 1 :返回值
行 2 :返回值
CfwConnectionStatService (表索引)
Services
40 ( IP 协议)
40 ( IP 协议)
CfwConnectionStatType (表索引)
ConnectionStat
6 (当前在用连接)
7 (高)
cfwConnectionStatDescription
SnmpAdminString
整个防火墙当前在用的连接数
自系统启动以来曾经在用的最高连接数
cfwConnectionStatCount
Counter32
0 (未用)
0 (未用)
cfwConnectionStatValue
Gauge32
Integer (在用数目)
Integer (最多使用数目)
在 HP OpenView Browse MIB应用的“MIB值”窗口中,MIB查询范例生成以下信息:
cfwConnectionStatDescription.40.6 :number of connections currently in use by the entire firewall
cfwConnectionStatDescription.40.7 :highest number of connections in use at any one time since system startup
cfwConnectionStatCount.40.6 :0
cfwConnectionStatCount.40.7 :0
cfwConnectionStatValue.40.6 :15
cfwConnectionStatValue.40.7 :88
在此表中,表索引 cfwConnectionStatService作为.40附在每个随后对象之后,而表索引cfwConnectionStatType则为.6 (表示在用的连接数) 或.7(表示最多使用的连接数)。cfwConnectionStatValue对象然后可列出连接数。cfwConnectionStatCount对象常返回0值。
浏览系统缓存使用率( Viewing System Buffer Usage)
您可在多行 cfwBufferStats表中浏览Cisco防火墙MIB的系统缓存使用率。系统缓存使用率提供了PIX防火墙达到其容量限制的早期报警。在命令行上,您可用show blocks命令来浏览此信息。以下是show blocks命令的输出范例,显示了cfwBufferStatsTable是如何传播的。
show blocks
SIZE MAX LOW CNT
4 1600 1600 1600
80 100 97 97
256 80 79 79
1550 780 402 404
65536 8 8 8
您可在以下路径浏览 cfwBufferStatsTable:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB. ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwBufferStatsTable
下表列出了浏览系统块使用率所需的对象。
对象
对象类型
第一行:返回值
下一行:返回值
下一行:返回值
CfwBufferStatSize(表索引)
Unsigned32
Integer ( SIZE 值;例如, 4 字节块则为 4 )
Integer ( SIZE 值;例如, 4 字节块则为 4 )
Integer ( SIZE 值;例如, 4 字节块则为 4 )
CfwBufferStatType( 表索引 )
ResourceStatistics
3 (最大)
5 (最低)
8 (当前)
cfwBufferStatInformation
SnmpAdminString
已分配 integer 字节块的最大数目( integer 是块中的字节数)
自启动以来可用的最少 integer 字节块( integer 是块中的字节数)
当前的可用 integer 字节块的数目( integer 是块中的字节数)
cfwBufferStatValue
Gauge32
integer (最大值)
integer (最低值)
integer (当前值)
注意 这三行对每个在 show blocks命令的输出中列出的块大小进行重复.
在 HP OpenView Browse MIB应用的“MIB值”窗口中,MIB查询范例生成以下信息:
cfwBufferStatInformation.4.3 :maximum number of allocated 4 byte blocks
cfwBufferStatInformation.4.5 :fewest 4 byte blocks available since system startup
cfwBufferStatInformation.4.8 :current number of available 4 byte blocks
cfwBufferStatInformation.80.3 :maximum number of allocated 80 byte blocks
cfwBufferStatInformation.80.5 fewest 80 byte blocks available since system startup
cfwBufferStatInformation.80.8 :current number of available 80 byte blocks
cfwBufferStatInformation.256.3 :maximum number of allocated 256 byte blocks
cfwBufferStatInformation.256.5 :fewest 256 byte blocks available since system startup
cfwBufferStatInformation.256.8 :current number of available 256 byte blocks
cfwBufferStatInformation.1550.3 :maximum number of allocated 1550 byte blocks
cfwBufferStatInformation.1550.5 :fewest 1550 byte blocks available since system startup
cfwBufferStatInformation.1550.8 :current number of available 1550 byte blocks
cfwBufferStatValue.4.3: 1600
cfwBufferStatValue.4.5: 1600
cfwBufferStatValue.4.8: 1600
cfwBufferStatValue.80.3: 400
cfwBufferStatValue.80.5: 396
cfwBufferStatValue.80.8: 400
cfwBufferStatValue.256.3: 1000
cfwBufferStatValue.256.5: 997
cfwBufferStatValue.256.8: 999
cfwBufferStatValue.1550.3: 1444
cfwBufferStatValue.1550.5: 928
cfwBufferStatValue.1550.8: 932
在此列表中,第一个表索引 cfwBuffer作为附在每个项目最后的第一个数字出现,如.4或.256。另一表索引cfwBufferStatType在第一个索引后作.3、.5或.8出现。对于每个块大小,cfwBufferStatInformation对象确认值的类型,而cfwBufferStatValue对象则确认每个值的字节数。
使用 SSH(Using SSH)
SSH(安全壳式程式)是运行于可靠传输层上的应用,如提供强大验证和加密功能。PIX防火墙支持SSH版本1中提供的SSH远程壳式程序。SSH 1也可与Cisco ISO软件设备共用。最多可允许5个SSH客户机同时访问PIX防火墙控制台。
注意 在客户机可与 PIX防火墙控制台连接前为PIX防火墙生成一个RSA密钥对。为使用SSH,您的PIX防火墙就需有一个DES或3DES激活密钥。
目前远程配置 PIX防火墙单元的方法包括启动一条到PIX防火墙的Telnet连接,以开始一个壳式会话并进入配置模式。此连接方法仅可提供与Telnet相同的安全性,而Telnet的安全性只是作为较低层加密(如IPSec)和应用安全性(远程主机处的用户名/口令验证)提供的。PIX防火墙SSH实施提供了一个无IPSec的安全远程壳式会话,仅起到服务器的作用,即PIX防火墙不能启动SSH连接。
具体信息,请参见《 Cisco PIX防火墙命令参考指南》中的aaa和ssh命令页。 【转自世纪安全网 http://www.21safe.com】
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)