CISCO PIX防火墙系统管理(3)

　　(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容：

　　· 概述（Overview）

　　· 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

　　· 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

　　概述（Overview）如果您正使用Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。

　　有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。

　　您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接，另一个保护您到内部网络的连接。

　　使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

　　本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行

　　步骤1 创建一个 access-list 命令语句，定义需从 PIX 防火墙到使用来自

　　本地虚拟地址池中目的地址的 VPN 客户机而进行保护的流量 access

　　-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0

　　步骤2 定义哪台主机可用 Telnet 访问 PIX 防火墙控制台： telnet 10.1.2.0 255.255.255.0 outside 从本地池和外部接口指定 VPN 客户机的地址。

　　步骤3 在 VPN 客户机中，创建一个安全策略，将远程方身份识别 IP 地址与网关 IP 地址定义为相同 --PIX 防火墙外部接口的 IP 地址。在此例中， PIX 防火墙的外部 IP 地址为 168.20.1.5 。

　　步骤4 配置 VPN 客户机上的其它安全策略，以与 PIX 防火墙的安全策略相配。

　　使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

　　本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。

　　定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。telnet 10.1.2.0 255.255.255.0 outside

    (四)、Trace Channel特性（Trace Channel Feature）

　　debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。