PIX防火墙系统管理

　　本文介绍了如何配置并使用PIX防火墙提供的工具及特性，以监控和配置系统，并监控网络活动。它包括以下部分：

　　使用Telnet进行远程系统管理（Using Telnet for Remote System Management）

　　IDS系统日志信息（IDS Syslog Messages）

　　使用DHCP（Using DHCP）

　　使用SNMP（Using SNMP）

　　使用SSH（Using SSH）

　　使用Telnet进行远程系统管理（Using Telnet for Remote System Management）

　　.配置Telnet控制台访问（Configuring Telnet Console Access）

　　按照以下步骤来配置Telnet控制台访问：

　　测试Telnet访问（Testing Telnet Access）

　　执行以下步骤来测试Telnet访问：

　　保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)

　　本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容：

　　概述（Overview）

　　使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

　　使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

　　概述（Overview）

　　如果您正使用Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。

　　有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。

　　使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

　　本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。

　　使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

　　本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。

　　定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。

　　telnet 10.1.2.0 255.255.255.0 outside

　　Trace Channel特性（Trace Channel Feature）

　　debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。

　　如果一个debug命令不使用Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不使用Trace Channel的会话的输出是禁用的。

　　Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只使用PIX防火墙串行控制台：

　　如果您仅使用PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。

　　如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。

　　如果您有2个或更多Telnet控制台会话，则第一个会话是Trace Channel。如果那一会话关闭，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。

　　debug 命令在所有Telnet和串行控制台会话间共享。

　　IDS系统日志信息（IDS Syslog Messages）

　　PIX防火墙经由系统日志列出了单分组（原子）Cisco入侵检测系统（IDS）签字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。您可在下面的网站在线浏览此文件：　　

　http://www.cisco.com/univered/cc/td/doc/product/iaabu/pix/pix_61/syslog/index.htm

　　此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以％PIX-4-4000nn开始，有下列格式：

　　％PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name

　　例如：

　　％PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz

　　% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside

　　选项：

　　sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。您可从以下网站浏览该指南的“NSDB和签字”一章：　　

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm

　　sig_msg 签字信息——几乎与NetRanger签字信息相同。

　　Ip_addr 签字适用的本地到远程地址。

　　Int_name 签字最初发出的接口名。

　　您可用以下命令确定显示哪些信息：

　　ip audit signature signature_number disable

　　将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名进行审计。

　　no ip audit signature signature_number

　　从签名处删除策略。用于重新使用某一签名。

　　show ip audit signature [signature_number]

　　显示禁用签名。

　　ip audit info [action [alarm] [drop] [reset>

　　指定对于分类为信息签名的签名所采取的默认行动。

　　alarm选项表示，当发现某一分组中签名匹配，PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组，并且如果它是一条有效连接的一部分，则关闭该连接。默认值为alarm。如想取消事件响应，使用不带action选项的ip audit info命令。

　　no ip audit info

　　设置针对分类为信息的签名而采取的行动，调查默认行动。

　　show ip audit info

　　显示默认信息行动。

　　ip audit attack [action [alarm] [drop] [reset>

　　指定对于攻击签名所应采取的默认行动。action选项如前所定义。 no ip audit attack

　　将针对攻击签名而采取的行为是默认行为。

　　show ip audit attack

　　显示默认攻击行动。审计策略（审计规则）定义了所有可应用于某一接口的签名的属性以及一系列行动。使用审计策略，用户可限制审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别，可针对信息或攻击签名进行定义。每个接口可有2个策略，一个用于信息签名，另一个用于攻击签名。如果定义的策略中无行动，则采取已配置的默认行动。每个策略需要一个不同名称。

　　ip audit name audit_name info[action [alarm] [drop] [reset>

　　除被ip audit signature命令禁用或排除的信息签名之外，所有信息签名均被认为是策略的一部分。行动与前面描述的相同。

　　no ip audit name audit_name [info]

　　删除审计策略audit_name。

　　ip audit name audit_name attack [action [alarm] [drop] [reset>

　　除被ip audit signature命令禁用或排除的攻击签名之外，所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。

　　no ip audit name audit_name [attack]

　　删除审计规定audit_name。

　　show ip audit name [name [info|attack>

　　显示所有审计策略或按名称和可能的类型显示特定策略。

　　ip audit interface if_name audit_name

　　向某一接口应用审计规定或策略（经由ip audit name命令）。

　　no ip audit interface [if_name]

　　从某一接口删除一个策略

　　。 show ip audit interface

　　显示接口配置。

　　使用DHCP（Using DHCP）

　　PIX防火墙支持动态主机配置协议（DHCP）服务器和DHCP客户机。DHCP是一个协议，向互联网主机提供自动配置参数。此协议有两个组成部分：

　　用于从DHCP服务器向主机（DHCP客户机）提供主机特定配置参数的协议

　　用于向主机分配网络地址的机制

　　DHCP服务器是向DHCP客户机提供配置参数的计算机，DHCP客户机则是使用DHCP获得网络配置参数的计算机或网络设备。

　　在PIX防火墙中实施DHCP服务器和DHCP客户机特性的主要目的是大大简化PIX防火墙单元的配置。

　　本部分包括以下内容：

　　DHCP客户机（DHCP Client）

　　DHCP服务器（DHCP Server）

　　DHCP客户机（DHCP Client）

　　PIX防火墙中的DHCP客户机支持经过专门设计，适用于小型办公室、家庭办公室（SOHO）环境，这些环境中使用PIX防火墙直接与支持DHCP服务器功能的DSL或电缆调制解调器相连。随着PIX防火墙上DHCP客户机特性的实施，PIX防火墙对DHCP服务器来说即可作为DHCP客户机，允许服务器用IP地址、子网掩模和可选的默认路由来配置单元的启动接口

　　ip address dhcp命令可在指定PIX防火墙接口上启动DHCP客户机特性。可选setroute参数让PIX防火墙使用DHCP服务器返回的默认网关参数来设置默认路由。

　　debug dhcpc命令为启动的DHCP客户机特性提供纠错工具。

　　用于实施DHCP客户机的PIX防火墙命令在《Cisco PIX防火墙命令参考》的ip address命令页和debug命令页中介绍。具体信息请参见这些命令页。

　　启动DHCP客户机特性和设置默认路由（Enabling the DHCP Client Feature and Setting Default Route）

　　为在给定PIX防火墙接口上启动DHCP客户机特性并经由DHCP服务器设置默认路由，需将ip address dhcp setroute命令作为您整个PIX防火墙配置的一部分加以配置，这其中包括setroute选项。指定将在其上启动DHCP客户机的接口名。

　　DHCP服务器（DHCP Server）

　　PIX防火墙中的DHCP服务器支持经过了专门设计，适用于使用PIX 506的远程家庭或分支机构（ROBO）环境。与PIX防火墙相连的是PC客户机和其它网络设备（DHCP客户机），它们建立了不安全（未加密）或安全（使用IPSec加密）的网络连接来访问企业或公司网络。作为一个DHCP服务器，PIX防火墙通过使用DHCP向DHCP客户机提供了网络配置参数。这些配置参数为DHCP客户机提供了用于访问企业网的网络参数，以及在网络中网络服务（如DNS服务器）使用的参数。

　　在5.3版软件发布前，PIX防火墙DHCP服务器支持10个DHCP客户机、PIX防火墙5.3及更高版本在PIX防火墙上支持32个DHCP客户机，在其它平台上支持256个。在6.0或更高版本中，PIX防火墙DHCP服务器支持256个DHCP客户机。您不能使用C类网络掩模为256个客户机配置1个DHCP服务器。例如，如果一家公司有C类网络地址172.17.1.0，带网络掩模255.255.255.0，那么172.17.1.0（网络IP）和172.17.1.255（广播）不可能在DHCP地址池范围之内。此外，一个地址用于PIX防火墙接口。因此，如果用户使用C类网络掩模，就只能最多拥有253个DHCP客户机。如想配置256个客户机，就不能使用C类网络掩模。

　　配置DHCP服务器特性（Configuring the DHCP Server Feature）

　　确保在启动DHCP服务器特性前，使用ip address命令来配置IP地址和inside接口的子网掩模。

　　按照以下步骤来在给定PIX防火墙接口上启动DHCP服务器特性。（步骤1到6为必需）。

　　下例为上述过程的配置列表。

　　! set the ip address of the inside interface

　　ip address inside 10.0.1.2 255.255.255.0

　　! configure the network parameters the client will use once in the corporate network and

　　dhcpd address 10.0.1.101-10.0.1.110

　　dhcpd dns 209.165.201.2 209.165.202.129

　　dhcpd wins 209.165.201.5

　　dhcpd lease 3000

　　dhcpd domain example.com

　　! enable dhcp server daemon on the inside interface

　　dhcpd enable inside

　　下例为DHCP地址池和DNS服务器地址的配置，带启动了DHCP服务器特性的内部接口：

　　dhcpd address 10.0.1.100-10.0.1.108

　　dhcpd dns 209.165.200.227

　　dhcpd enable

　　下例为DHCP地址池的配置，使用auto_config命令来配置dns,wins和域参数： dhcpd address 10.0.1.100-10.0.1.108

　　dhcpd auto_config

　　dhcpd enable

　　下面是远程办公室中一个PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙，它的外部接口IP地址为209.165.200.228，作为公司网络的网关。

　　! configure interface ip address

　　ip address outside 209.165.202.129 255.255.255.0

　　ip address inside 172.17.1.1 255.255.255.0

　　! configure ipsec with corporate pix

　　access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0

　　ipsec transform-set myset esp-des esp-sha-hmac

　　crypto map mymap 10 ipsec-isakmp

　　crypto map mymap 10 match address ipsec-peer

　　crypto map mymap 10 set transform-set myset

　　crypto map mymap 10 set peer 209.165.200.228

　　crypto map mymap interface outside

　　sysopt connection permit-ipsec

　　nat (inside) 0 access-list ipsec-peer

　　isakmp policy 10 authentication preshare

　　isakmp policy 10 encryption des

　　isakmp policy 10 hash sha

　　isakmp policy 10 group 1　　isakmp policy 10 lifetime 3600

　　isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0

　　isakmp enable outside

　　!configure dhcp server address

　　dhcpd address 172.17.1.100-172.17.1.109

　　dhcpd dns 192.168.0.20

　　dhcpd wins 192.168.0.10

　　dhcpd lease 3000

　　dhcpd domain example.com

　　! enable dhcp server on inside interface

　　dhcpd enable

　　! use outside interface ip as PAT global address

　　nat (inside) 1 0 0

　　global (outside) 1 interface

　　使用SNMP（Using SNMP）

　　snmp_server命令使PIX防火墙可发送SNMP陷阱，以便PIX防火墙可从远程监控。使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。

　　此部分包括下列内容：

　　简介（Introduction）

　　MIB支持（MIB Support）

　　SNMP使用率说明（SNMP Usage Notes）

　　SNMP陷阱（SNMP Traps）

　　编辑Cisco Syslog MIB文件（Compiling Cisco Syslog MIB Files）

　　使用防火墙和内存池MIB（Using the Firewall and Memory Pool MIBs）

　　简介（Introduction）

　　可用的PIX防火墙SNMP MIB-II组有系统（System）和接口（Interfaces）。Cisco防火墙MIB和Cisco内存池MIB也可用。

　　所有SNMP值仅为只读（RO）。

　　使用SNMP，您可以监控PIX防火墙上的系统事件。SNMP事件可以读取，但PIX防火墙上的信息不能用SNMP更改。

　　SNMP管理站可用的PIX防火墙SNMP陷阱如下所示：

　　通用陷阱

　　- 上链路和下链路（电缆与接口相连与否；电缆与正在工作还是与非工作状态的接口相连）

　　- 冷启动

　　- 验证故障（公用字符串不匹配）

　　经由Cisco Syslog MIB发送的与安全相关的事件：

　　- 拒绝全局访问

　　- 故障转换系统日志信息

　　- 系统日志信息

　　使用CiscoWorks for Windows或任意其它SNMP V1、MIB-II兼容型浏览器来接收SNMP陷阱并浏览MIB。SNMP陷阱出现于UDP端口162。

　　MIB支持（MIB Support）

　　表12

　　注意 PIX防火墙不支持Cisco系统日志MIB的浏览。您可浏览MIB-II的系统和接口组。MIB的浏览与发送陷阱不同。浏览意味着从管理站执行MIB树的snmpget或snmpwalk命令以确定数值。