CISCO PIX防火墙管理手册

　　debug 命令在所有Telnet和串行控制台会话间共享。

　　IDS系统日志信息（IDS Syslog Messages）

　　PIX防火墙经由系统日志列出了单分组（原子）Cisco入侵检测系统（IDS）签字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。您可在下面的网站在线浏览此文件：　　

　http://www.cisco.com/univered/cc/td/doc/product/iaabu/pix/pix_61/syslog/index.htm

　　此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以％PIX-4-4000nn开始，有下列格式：

　　％PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name

　　例如：

　　％PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz

　　% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside

　　选项：

　　sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。您可从以下网站浏览该指南的“NSDB和签字”一章：　　

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm

　　sig_msg 签字信息——几乎与NetRanger签字信息相同。

　　Ip_addr 签字适用的本地到远程地址。

　　Int_name 签字最初发出的接口名。

　　您可用以下命令确定显示哪些信息：

　　ip audit signature signature_number disable

　　将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名进行审计。

　　no ip audit signature signature_number

　　从签名处删除策略。用于重新使用某一签名。

　　show ip audit signature [signature_number]

　　显示禁用签名。

　　ip audit info [action [alarm] [drop] [reset>

　　指定对于分类为信息签名的签名所采取的默认行动。

　　alarm选项表示，当发现某一分组中签名匹配，PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组，并且如果它是一条有效连接的一部分，则关闭该连接。默认值为alarm。如想取消事件响应，使用不带action选项的ip audit info命令。

　　no ip audit info

　　设置针对分类为信息的签名而采取的行动，调查默认行动。

　　show ip audit info

　　显示默认信息行动。

　　ip audit attack [action [alarm] [drop] [reset>

　　指定对于攻击签名所应采取的默认行动。action选项如前所定义。 no ip audit attack

　　将针对攻击签名而采取的行为是默认行为。

　　show ip audit attack

　　显示默认攻击行动。审计策略（审计规则）定义了所有可应用于某一接口的签名的属性以及一系列行动。使用审计策略，用户可限制审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别，可针对信息或攻击签名进行定义。每个接口可有2个策略，一个用于信息签名，另一个用于攻击签名。如果定义的策略中无行动，则采取已配置的默认行动。每个策略需要一个不同名称。

　　ip audit name audit_name info[action [alarm] [drop] [reset>

　　除被ip audit signature命令禁用或排除的信息签名之外，所有信息签名均被认为是策略的一部分。行动与前面描述的相同。

　　no ip audit name audit_name [info]

　　删除审计策略audit_name。

　　ip audit name audit_name attack [action [alarm] [drop] [reset>

　　除被ip audit signature命令禁用或排除的攻击签名之外，所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。

　　no ip audit name audit_name [attack]

　　删除审计规定audit_name。

　　show ip audit name [name [info|attack>

　　显示所有审计策略或按名称和可能的类型显示特定策略。

　　ip audit interface if_name audit_name

　　向某一接口应用审计规定或策略（经由ip audit name命令）。

　　no ip audit interface [if_name]

　　从某一接口删除一个策略

　　。 show ip audit interface

　　显示接口配置。

　　使用DHCP（Using DHCP）

　　PIX防火墙支持动态主机配置协议（DHCP）服务器和DHCP客户机。DHCP是一个协议，向互联网主机提供自动配置参数。此协议有两个组成部分：

　　用于从DHCP服务器向主机（DHCP客户机）提供主机特定配置参数的协议

　　用于向主机分配网络地址的机制

　　DHCP服务器是向DHCP客户机提供配置参数的计算机，DHCP客户机则是使用DHCP获得网络配置参数的计算机或网络设备。

　　在PIX防火墙中实施DHCP服务器和DHCP客户机特性的主要目的是大大简化PIX防火墙单元的配置。

　　本部分包括以下内容：

　　DHCP客户机（DHCP Client）

　　DHCP服务器（DHCP Server）

　　DHCP客户机（DHCP Client）

　　PIX防火墙中的DHCP客户机支持经过专门设计，适用于小型办公室、家庭办公室（SOHO）环境，这些环境中使用PIX防火墙直接与支持DHCP服务器功能的DSL或电缆调制解调器相连。随着PIX防火墙上DHCP客户机特性的实施，PIX防火墙对DHCP服务器来说即可作为DHCP客户机，允许服务器用IP地址、子网掩模和可选的默认路由来配置单元的启动接口

　　ip address dhcp命令可在指定PIX防火墙接口上启动DHCP客户机特性。可选setroute参数让PIX防火墙使用DHCP服务器返回的默认网关参数来设置默认路由。

　　debug dhcpc命令为启动的DHCP客户机特性提供纠错工具。

　　用于实施DHCP客户机的PIX防火墙命令在《Cisco PIX防火墙命令参考》的ip address命令页和debug命令页中介绍。具体信息请参见这些命令页。

　　启动DHCP客户机特性和设置默认路由（Enabling the DHCP Client Feature and Setting Default Route）

　　为在给定PIX防火墙接口上启动DHCP客户机特性并经由DHCP服务器设置默认路由，需将ip address dhcp setroute命令作为您整个PIX防火墙配置的一部分加以配置，这其中包括setroute选项。指定将在其上启动DHCP客户机的接口名。

　　DHCP服务器（DHCP Server）

　　PIX防火墙中的DHCP服务器支持经过了专门设计，适用于使用PIX 506的远程家庭或分支机构（ROBO）环境。与PIX防火墙相连的是PC客户机和其它网络设备（DHCP客户机），它们建立了不安全（未加密）或安全（使用IPSec加密）的网络连接来访问企业或公司网络。作为一个DHCP服务器，PIX防火墙通过使用DHCP向DHCP客户机提供了网络配置参数。这些配置参数为DHCP客户机提供了用于访问企业网的网络参数，以及在网络中网络服务（如DNS服务器）使用的参数。

　　在5.3版软件发布前，PIX防火墙DHCP服务器支持10个DHCP客户机、PIX防火墙5.3及更高版本在PIX防火墙上支持32个DHCP客户机，在其它平台上支持256个。在6.0或更高版本中，PIX防火墙DHCP服务器支持256个DHCP客户机。您不能使用C类网络掩模为256个客户机配置1个DHCP服务器。例如，如果一家公司有C类网络地址172.17.1.0，带网络掩模255.255.255.0，那么172.17.1.0（网络IP）和172.17.1.255（广播）不可能在DHCP地址池范围之内。此外，一个地址用于PIX防火墙接口。因此，如果用户使用C类网络掩模，就只能最多拥有253个DHCP客户机。如想配置256个客户机，就不能使用C类网络掩模。

　　配置DHCP服务器特性（Configuring the DHCP Server Feature）

　　确保在启动DHCP服务器特性前，使用ip address命令来配置IP地址和inside接口的子网掩模。