本文介绍了如何配置并使用PIX防火墙提供的工具及特性,以监控和配置系统,并监控网络活动。它包括以下部分: 使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
IDS系统日志信息(IDS Syslog Messages)
使用SNMP(Using SNMP)
使用SSH(Using SSH) 一、使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。 串行控制台让单一用户配置PIX防火墙,但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后,您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容:
· 配置Telnet控制台访问(Configuring Telnet Console Access)
· 测试Telnet访问(Testing Telnet Access)
· 保护外部接口上的Telnet连接(Securing a Telnet Connection on the Outside Interface)
· Trace Channel特性(Trace Channel Feature)
(一)、配置Telnet控制台访问(Configuring Telnet Console Access)
按照以下步骤来配置Telnet控制台访问:
|
步骤1 |
使用PIX防火墙telnet命令。例如,如想让一台位于内部接口之上、 |
|
步骤2 |
如需要,可对PIX防火墙在断开一个Telnet会话前,该会话可闲置的 |
|
步骤3 |
如果您想用认证服务器来保护到控制台的访问,您可使用aaa |
|
步骤4 |
用write memory命令保存配置中的命令?/td> |
(二)、测试Telnet访问(Testing Telnet Access)
执行以下步骤来测试Telnet访问:
|
步骤1 |
从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正使用 |
|
步骤2 |
PIX防火墙提示您输入口令: |
|
步骤3 |
一旦您建立了Telnet访问,您可能想在纠错时浏览ping(探查)信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响,这将在"Trace Channel特性(Trace Channel Feature)"中详述。 |
|
步骤4 |
此外,您可使用Telnet控制台会话来浏览系统日志信息: |
(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)
本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容:
· 概述(Overview)
· 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
· 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
概述(Overview)
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中,PIX防火墙的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址来自于虚拟地址池,为10.1.2.0。
有关此命令的具体信息,请参见《Cisco PIX防火墙命令参考》中telnet命令页。
您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接,另一个保护您到内部网络的连接。
使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行
|
步骤1 |
创建一个access-list命令语句,定义需从PIX防火墙到使用来自 |
|
步骤2 |
定义哪台主机可用Telnet访问PIX防火墙控制台: |
|
步骤3 |
在VPN客户机中,创建一个安全策略,将远程方身份识别IP地址与网关IP地址定义为相同--PIX防火墙外部接口的IP地址。在此例中,PIX防火墙的外部IP地址为168.20.1.5。 |
|
步骤4 |
配置VPN客户机上的其它安全策略,以与PIX防火墙的安全策略相配。 |
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中,PIX防火墙外部接口的IP地址为168.20.1.5,Cisco VPN 3000 Client的IP地址来自于虚拟地址池,为10.1.2.0。
定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。
telnet 10.1.2.0 255.255.255.0 outside
(四)、Trace Channel特性(Trace Channel Feature)
debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。
如果一个debug命令不使用Trace Channel,每个会话都独立运作,意味着任意从会话中启动的命令只出现在该会话中。在默认状态下,不使用Trace Channel的会话的输出是禁用的。
Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话,还是您只使用PIX防火墙串行控制台:
o 如果您仅使用PIX防火墙串行控制台,所有debug命令都显示在串行控制台上。
o 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台,那么无论您在何处输入debug命令,输出均显示在Telnet控制台会话上。
o 如果您有2个或更多Telnet控制台会话,则第一个会话是Trace Channel。如果那一会话关闭,那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。
debug 命令在所有Telnet和串行控制台会话间共享。
注意 Trace Channel特性的缺点是,如果一位管理员正使用串行控制台,另一管理员启动一个Telnet控制台会话,则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外,Telnet控制台会话上的管理员将突然看到debug命令的输出,这可能是其不希望出现的局面。如果您正使用串行控制台,且未出现debug命令的输出 ,使用who命令来查看是否有Telnet控制台会话正在运行。
二、IDS系统日志信息(IDS Syslog Messages)
IX防火墙经由系统日志列出了单分组(原子)Cisco入侵检测系统(IDS)签字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。
此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以%PIX-4-4000nn开始,有下列格式:
%PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name
例如:
%PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside
选项:
sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。
sig_msg 签字信息——几乎与NetRanger签字信息相同。
Ip_addr 签字适用的本地到远程地址。
Int_name 签字最初发出的接口名。
您可用以下命令确定显示哪些信息:
ip audit signature signature_number disable
将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名进行审计。
no ip audit signature signature_number
从签名处删除策略。用于重新使用某一签名。
show ip audit signature [signature_number]
显示禁用签名。
ip audit info [action [alarm] [drop] [reset]]
指定对于分类为信息签名的签名所采取的默认行动。
alarm选项表示,当发现某一分组中签名匹配,PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组,并且如果它是一条有效连接的一部分,则关闭该连接。默认值为alarm。如想取消事件响应,使用不带action选项的ip audit info命令。
no ip audit info
设置针对分类为信息的签名而采取的行动,调查默认行动。
show ip audit info
显示默认信息行动。
ip audit attack [action [alarm] [drop] [reset]]
指定对于攻击签名所应采取的默认行动。action选项如前所定义。 no ip audit attack
将针对攻击签名而采取的行为是默认行为。
show ip audit attack
显示默认攻击行动。审计策略(审计规则)定义了所有可应用于某一接口的签名的属性以及一系列行动。使用审计策略,用户可限制审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别,可针对信息或攻击签名进行定义。每个接口可有2个策略,一个用于信息签名,另一个用于攻击签名。如果定义的策略中无行动,则采取已配置的默认行动。每个策略需要一个不同名称。
ip audit name audit_name info[action [alarm] [drop] [reset]]
除被ip audit signature命令禁用或排除的信息签名之外,所有信息签名均被认为是策略的一部分。行动与前面描述的相同。
no ip audit name audit_name [info]
删除审计策略audit_name。
ip audit name audit_name attack [action [alarm] [drop] [reset]]
除被ip audit signature命令禁用或排除的攻击签名之外,所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。
no ip audit name audit_name [attack]
删除审计规定audit_name。
show ip audit name [name [info|attack]]
显示所有审计策略或按名称和可能的类型显示特定策略。
ip audit interface if_name audit_name
向某一接口应用审计规定或策略(经由ip audit name命令)。
no ip audit interface [if_name]
从某一接口删除一个策略。
show ip audit interface
更多内容请看Cisco IOS技术手册、Cisco路由器配置手册、Cisco交换机专题专题,或进入讨论组讨论。
相关专题
- Cisco IOS技术手册 (3007篇文章)
- Cisco路由器配置手册 (4759篇文章)
- Cisco交换机专题 (4265篇文章)
- 防火墙软件应用 (1869篇文章)
- 系统优化大全 (18186篇文章)
- 网络管理实用手册 (22517篇文章)
- 系统安全设置 (23646篇文章)
- 思科交换机配置 (4265篇文章)
- 系统安装手册 (20918篇文章)
- 系统备份专题 (17615篇文章)
- 基础知识 黑客域名劫持攻击详细步骤 (0次浏览)
- CISSP的成长之路(十八):详述网络威胁类型 (0次浏览)
- 个人用户的网络安全防范 (0次浏览)
- 驱逐威胁 六把安全利剑清除僵尸网络 (0次浏览)
- CISSP的成长之路(十九):详述安全威胁控制手 (0次浏览)
- 07年电脑安全大盘点:蠕虫网络威胁Web 2.0 (0次浏览)
- Web应用安全的全新探索 (0次浏览)
- 到底谁需要网络访问控制 (NAC)? (0次浏览)
- 针对性的防御手段 十招应对邮件欺诈 (0次浏览)
- 跨站打印攻击 网络打印机成攻击新途径 (0次浏览)
