扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:中国IT实验室 2007年8月14日
关键字:
在本页阅读全文(共3页)
debug 命令在所有Telnet和串行控制台会话间共享。
IDS系统日志信息(IDS Syslog Messages)
PIX防火墙经由系统日志列出了单分组(原子)Cisco入侵检测系统(IDS)签字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。您可在下面的网站在线浏览此文件:
此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以%PIX-4-4000nn开始,有下列格式:
%PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name
例如:
%PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside
选项:
sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。您可从以下网站浏览该指南的“NSDB和签字”一章:
sig_msg 签字信息——几乎与NetRanger签字信息相同。
Ip_addr 签字适用的本地到远程地址。
Int_name 签字最初发出的接口名。
您可用以下命令确定显示哪些信息:
ip audit signature signature_number disable
将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名进行审计。
no ip audit signature signature_number
从签名处删除策略。用于重新使用某一签名。
show ip audit signature [signature_number]
显示禁用签名。
ip audit info [action [alarm] [drop] [reset>
指定对于分类为信息签名的签名所采取的默认行动。
alarm选项表示,当发现某一分组中签名匹配,PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组,并且如果它是一条有效连接的一部分,则关闭该连接。默认值为alarm。如想取消事件响应,使用不带action选项的ip audit info命令。
no ip audit info
设置针对分类为信息的签名而采取的行动,调查默认行动。
show ip audit info
显示默认信息行动。
ip audit attack [action [alarm] [drop] [reset>
指定对于攻击签名所应采取的默认行动。action选项如前所定义。 no ip audit attack
将针对攻击签名而采取的行为是默认行为。
show ip audit attack
显示默认攻击行动。审计策略(审计规则)定义了所有可应用于某一接口的签名的属性以及一系列行动。使用审计策略,用户可限制审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别,可针对信息或攻击签名进行定义。每个接口可有2个策略,一个用于信息签名,另一个用于攻击签名。如果定义的策略中无行动,则采取已配置的默认行动。每个策略需要一个不同名称。
ip audit name audit_name info[action [alarm] [drop] [reset>
除被ip audit signature命令禁用或排除的信息签名之外,所有信息签名均被认为是策略的一部分。行动与前面描述的相同。
no ip audit name audit_name [info]
删除审计策略audit_name。
ip audit name audit_name attack [action [alarm] [drop] [reset>
除被ip audit signature命令禁用或排除的攻击签名之外,所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。
no ip audit name audit_name [attack]
删除审计规定audit_name。
show ip audit name [name [info|attack>
显示所有审计策略或按名称和可能的类型显示特定策略。
ip audit interface if_name audit_name
向某一接口应用审计规定或策略(经由ip audit name命令)。
no ip audit interface [if_name]
从某一接口删除一个策略
。 show ip audit interface
显示接口配置。
使用DHCP(Using DHCP)
PIX防火墙支持动态主机配置协议(DHCP)服务器和DHCP客户机。DHCP是一个协议,向互联网主机提供自动配置参数。此协议有两个组成部分:
用于从DHCP服务器向主机(DHCP客户机)提供主机特定配置参数的协议
用于向主机分配网络地址的机制
DHCP服务器是向DHCP客户机提供配置参数的计算机,DHCP客户机则是使用DHCP获得网络配置参数的计算机或网络设备。
在PIX防火墙中实施DHCP服务器和DHCP客户机特性的主要目的是大大简化PIX防火墙单元的配置。
本部分包括以下内容:
DHCP客户机(DHCP Client)
DHCP服务器(DHCP Server)
DHCP客户机(DHCP Client)
PIX防火墙中的DHCP客户机支持经过专门设计,适用于小型办公室、家庭办公室(SOHO)环境,这些环境中使用PIX防火墙直接与支持DHCP服务器功能的DSL或电缆调制解调器相连。随着PIX防火墙上DHCP客户机特性的实施,PIX防火墙对DHCP服务器来说即可作为DHCP客户机,允许服务器用IP地址、子网掩模和可选的默认路由来配置单元的启动接口。
ip address dhcp命令可在指定PIX防火墙接口上启动DHCP客户机特性。可选setroute参数让PIX防火墙使用DHCP服务器返回的默认网关参数来设置默认路由。
debug dhcpc命令为启动的DHCP客户机特性提供纠错工具。
用于实施DHCP客户机的PIX防火墙命令在《Cisco PIX防火墙命令参考》的ip address命令页和debug命令页中介绍。具体信息请参见这些命令页。
启动DHCP客户机特性和设置默认路由(Enabling the DHCP Client Feature and Setting Default Route)
为在给定PIX防火墙接口上启动DHCP客户机特性并经由DHCP服务器设置默认路由,需将ip address dhcp setroute命令作为您整个PIX防火墙配置的一部分加以配置,这其中包括setroute选项。指定将在其上启动DHCP客户机的接口名。
DHCP服务器(DHCP Server)
PIX防火墙中的DHCP服务器支持经过了专门设计,适用于使用PIX 506的远程家庭或分支机构(ROBO)环境。与PIX防火墙相连的是PC客户机和其它网络设备(DHCP客户机),它们建立了不安全(未加密)或安全(使用IPSec加密)的网络连接来访问企业或公司网络。作为一个DHCP服务器,PIX防火墙通过使用DHCP向DHCP客户机提供了网络配置参数。这些配置参数为DHCP客户机提供了用于访问企业网的网络参数,以及在网络中网络服务(如DNS服务器)使用的参数。
在5.3版软件发布前,PIX防火墙DHCP服务器支持10个DHCP客户机、PIX防火墙5.3及更高版本在PIX防火墙上支持32个DHCP客户机,在其它平台上支持256个。在6.0或更高版本中,PIX防火墙DHCP服务器支持256个DHCP客户机。您不能使用C类网络掩模为256个客户机配置1个DHCP服务器。例如,如果一家公司有C类网络地址172.17.1.0,带网络掩模255.255.255.0,那么172.17.1.0(网络IP)和172.17.1.255(广播)不可能在DHCP地址池范围之内。此外,一个地址用于PIX防火墙接口。因此,如果用户使用C类网络掩模,就只能最多拥有253个DHCP客户机。如想配置256个客户机,就不能使用C类网络掩模。
配置DHCP服务器特性(Configuring the DHCP Server Feature)
确保在启动DHCP服务器特性前,使用ip address命令来配置IP地址和inside接口的子网掩码。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。