当前位置：技术首页 >> 安全 >> 防火墙 >> CISCO PIX防火墙系统管理

CISCO PIX防火墙系统管理

2008-04-07 23:14:06 作者：IT动力源来源：IT动力源收集整理浏览次数：0 文字大小：【大】【中】【小】

关键字：防火墙防火墙技术硬件防火墙

　　本文介绍了如何配置并使用PIX防火墙提供的工具及特性，以监控和配置系统，并监控网络活动。它包括以下部分：

　　使用Telnet进行远程系统管理（Using Telnet for Remote System Management）

　　IDS系统日志信息（IDS SyslogMessages）

　　使用DHCP（Using DHCP）

　　使用SNMP（Using SNMP）

　　使用SSH（Using SSH）

　　一、使用Telnet进行远程系统管理（Using Telnet for Remote System Management）

　　在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。

　　串行控制台让单一用户配置PIX防火墙，但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后，您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容：

　　· 配置Telnet控制台访问（Configuring Telnet Console Access）

　　· 测试Telnet访问（Testing Telnet Access）

　　· 保护外部接口上的Telnet连接（Securing a Telnet Connection on the Outside Interface）

　　· Trace Channel特性（Trace Channel Feature）

　　(一)、配置Telnet控制台访问（Configuring Telnet Console Access）

　　按照以下步骤来配置Telnet控制台访问：

　　步骤1

　　使用PIX防火墙telnet命令。例如，如想让一台位于内部接口之上、

　　地址为192.168.1.2的主机访问PIX防火墙，就输入以下命令。

　　telnet 192.168.1.2 255.255.255.255 inside

　　如果设置了IPSec，您即可让位于外部接口上的主机访问PIX防火墙

　　控制台。具体信息请参见"保护外部接口上的Telnet连接（Securing

　　a Telnet Connection on the Outside Interface）"部分。使用如

　　下命令。telnet 209.165.200.225 225.255.225.224 outside

　　步骤2

　　如需要，可对PIX防火墙在断开一个Telnet会话前，该会话可闲置的

　　时间长度进行设置。默认值5分钟对大多数情况来说过短，需予以延

　　长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时

　　间。telnet timeout 15;

　　步骤3

　　如果您想用认证服务器来保护到控制台的访问，您可使用aaa

　　authentication telnet console命令，它需要您在验证服务器上有

　　一个用户名和口令。当您访问控制台时，PIX防火墙提示您提供这些

　　登录条件。如果验证服务器离线，您仍可使用用户名pix和由enable

　　password命令设置的口令访问控制台。

　　步骤4

　　用write memory命令保存配置中的命令?/td>

　　(二)、测试Telnet访问（Testing Telnet Access）

　　执行以下步骤来测试Telnet访问：

　　步骤1

　　从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正使用

　　Windows 95或Windows NT，点击Start>Run来启动Telnet会话。例如，

　　如果内部接口IP地址是192.168.1.1，输入以下命令。telnet 192.168.1.1

　　步骤2

　　PIX防火墙提示您输入口令：

　　PIX passwd:

　　输入cisco，然后按Enter键。您即登录到PIX防火墙上了。

　　默认口令为cisco，您可用passwd命令来更改它。

　　您可在Telnet控制台上输入任意您可从串行控制台上设置的命令，但如果

　　您重启PIX防火墙，您将需在其重启动后登录PIX防火墙。

　　一些Telnet应用，如Windows 95或Windows NT Telnet会话可能不支持通过

　　箭头键使用的PIX防火墙命令历史记录特性。然而，您可按Ctrl-P来获取最

　　近输入的命令。

　　步骤3

　　一旦您建立了Telnet访问，您可能想在纠错时浏览ping（探查）信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响，这将在"Trace Channel特性（Trace Channel Feature）"中详述。

　　成功的ping信息如下：

　　Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1

　　Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23

　　步骤4

　　此外，您可使用Telnet控制台会话来浏览系统日志信息：

　　a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下使用PIX防火墙，您可能希望使用logging buffered 7命令唇畔�存储在您可用show logging命令浏览的缓存中，还可用clear logging命令清理缓存以便更方便地浏览。如想停止缓存信息，使用no logging buffered命令。

　　您也可将数目从7降至较小值，如3，以限制所显示的信息数。b. 如果您输入logging monitor命令，然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示，使用terminal no monitor命令。

　　例1给出了使用Telnet允许主机访问PIX防火墙控制台的命令。

　　例1 使用Telnet

　　telnet 10.1.1.11 255.255.255.255

　　telnet 192.168.3.0 255.255.255.0

　　第一个telnet命令允许单一主机，10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。

　　第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。然而，Telnet只允许16台主机同时访问PIX防火墙控制台。

　　(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)

　　本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容：

　　· 概述（Overview）

　　· 使用Cisco Secure VPNClient (Using Cisco Secure VPN Client)

　　· 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

　　概述（Overview）

　　如果您正使用Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。

　　有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。

　　您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接，另一个保护您到内部网络的连接。

　　使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

　　本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行

　　步骤1

　　创建一个access-list命令语句，定义需从PIX防火墙到使用来自

　　本地虚拟地址池中目的地址的VPN客户机而进行保护的流量access

　　-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0

　　步骤2

　　定义哪台主机可用Telnet访问PIX防火墙控制台：

　　telnet 10.1.2.0 255.255.255.0 outside

　　从本地池和外部接口指定VPN客户机的地址。

　　步骤3

　　在VPN客户机中，创建一个安全策略，将远程方身份识别IP地址与网关IP地址定义为相同--PIX防火墙外部接口的IP地址。在此例中，PIX防火墙的外部IP地址为168.20.1.5。

　　步骤4

　　配置VPN客户机上的其它安全策略，以与PIX防火墙的安全策略相配。

　　使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

　　本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。

　　定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。

　　telnet 10.1.2.0 255.255.255.0 outside

　　(四)、Trace Channel特性（Trace Channel Feature）

　　debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。

　　如果一个debug命令不使用Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不使用Trace Channel的会话的输出是禁用的。

　　Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只使用PIX防火墙串行控制台：

　　o 如果您仅使用PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。

　　o 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。

　　o 如果您有2个或更多Telnet控制台会话，则第一个会话是Trace Channel。如果那一会话关闭，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。

　　debug 命令在所有Telnet和串行控制台会话间共享。

　　注意 Trace Channel特性的缺点是，如果一位管理员正使用串行控制台，另一管理员启动一个Telnet控制台会话，则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外，Telnet控制台会话上的管理员将突然看到debug命令的输出，这可能是其不希望出现的局面。如果您正使用串行控制台，且未出现debug命令的输出，使用who命令来查看是否有Telnet控制台会话正在运行。

　　二、IDS系统日志信息（IDS Syslog Messages）

　　IX防火墙经由系统日志列出了单分组（原子）Cisco入侵检测系统（IDS）签字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。

　　此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以％PIX-4-4000nn开始，有下列格式：

　　％PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name

　　例如：

　　％PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz

　　% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside

　　选项：

　　sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。

　　sig_msg 签字信息——几乎与NetRanger签字信息相同。

　　Ip_addr 签字适用的本地到远程地址。

　　Int_name 签字最初发出的接口名。

　　您可用以下命令确定显示哪些信息：

　　ip audit signature signature_number disable

　　将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名进行审计。

　　no ip audit signature signature_number

　　从签名处删除策略。用于重新使用某一签名。

　　show ip audit signature [signature_number]

　　显示禁用签名。

　　ip audit info [action [alarm] [drop] [reset]]

　　指定对于分类为信息签名的签名所采取的默认行动。

　　alarm选项表示，当发现某一分组中签名匹配，PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组，并且如果它是一条有效连接的一部分，则关闭该连接。默认值为alarm。如想取消事件响应，使用不带action选项的ip audit info命令。

　　no ip audit info

　　设置针对分类为信息的签名而采取的行动，调查默认行动。

　　show ip audit info

　　显示默认信息行动。

　　ip audit attack [action [alarm] [drop] [reset]]

　　指定对于攻击签名所应采取的默认行动。action选项如前所定义。 no ip audit attack

　　将针对攻击签名而采取的行为是默认行为。

　　show ip audit attack

　　显示默认攻击行动。审计策略（审计规则）定义了所有可应用于某一接口的签名的属性以及一系列行动。使用审计策略，用户可限制审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别，可针对信息或攻击签名进行定义。每个接口可有2个策略，一个用于信息签名，另一个用于攻击签名。如果定义的策略中无行动，则采取已配置的默认行动。每个策略需要一个不同名称。

　　ip audit name audit_name info[action [alarm] [drop] [reset]]

　　除被ip audit signature命令禁用或排除的信息签名之外，所有信息签名均被认为是策略的一部分。行动与前面描述的相同。

　　no ip audit name audit_name [info]

　　删除审计策略audit_name。

　　ip audit name audit_name attack [action [alarm] [drop] [reset]]

　　除被ip audit signature命令禁用或排除的攻击签名之外，所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。

　　no ip audit name audit_name [attack]

　　删除审计规定audit_name。

　　show ip audit name [name [info|attack]]

　　显示所有审计策略或按名称和可能的类型显示特定策略。

　　ip audit interface if_name audit_name

　　向某一接口应用审计规定或策略（经由ip audit name命令）。

　　no ip audit interface [if_name]

　　从某一接口删除一个策略。

　　show ip audit interface

　　显示接口配置。

　　三、使用DHCP（Using DHCP）

　　PIX防火墙支持动态主机配置协议（DHCP）服务器和DHCP客户机。DHCP是一个协议，向互联网主机提供自动配置参数。此协议有两个组成部分：

　　用于从DHCP服务器向主机（DHCP客户机）提供主机特定配置参数的协议

　　用于向主机分配网络地址的机制

　　DHCP服务器是向DHCP客户机提供配置参数的计算机，DHCP客户机则是使用DHCP获得网络配置参数的计算机或网络设备。

　　在PIX防火墙中实施DHCP服务器和DHCP客户机特性的主要目的是大大简化PIX防火墙单元的配置。

　　本部分包括以下内容：

　　DHCP客户机（DHCP Client）

　　DHCP服务器（DHCP Server）

　　DHCP客户机（DHCP Client）

　　PIX防火墙中的DHCP客户机支持经过专门设计，适用于小型办公室、家庭办公室（SOHO）环境，这些环境中使用PIX防火墙直接与支持DHCP服务器功能的DSL或电缆调制解调器相连。随着PIX防火墙上DHCP客户机特性的实施，PIX防火墙对DHCP服务器来说即可作为DHCP客户机，允许服务器用IP地址、子网掩模和可选的默认路由来配置单元的启动接口

　　不支持使用DHCP客户机特性从通用DHCP服务器获取IP地址的操作。此外，PIX防火墙DHCP客户机不支持故障转换配置。

　　为支持PIX防火墙中的DHCP客户机特性，进行了以下改进：

　　增强了ip address和show ip address命令：

　　- ip address if_name dhcp [setroute] [retry retry_cnt]

　　- ip address outside dhcp [setroute] [retry retry_cnt]

　　- show ip address if_name dhcp

　　添加了新的debug命令：

　　- debug dhcpc packet

　　- debug dhcpc detail

　　- debug dhcpc error

　　ip address dhcp命令可在指定PIX防火墙接口上启动DHCP客户机特性。可选setroute参数让PIX防火墙使用DHCP服务器返回的默认网关参数来设置默认路由。

　　debug dhcpc命令为启动的DHCP客户机特性提供纠错工具。

　　用于实施DHCP客户机的PIX防火墙命令在《Cisco PIX防火墙命令参考》的ip address命令页和debug命令页中介绍。具体信息请参见这些命令页。

　　注意 DHCP所需的外部接口的IP地址也可用作PAT全局地址。这样，ISP就无需向PIX防火墙分配静态IP地址了。使用带interface关键字的global命令来使PAT使用DHCP所需的外部接口IP地址。有关global命令的具体信息，请参见《Cisco PIX防火墙命令参考》中的global命令页。

　　启动DHCP客户机特性和设置默认路由（Enabling the DHCP Client Feature and Setting Default Route）

　　为在给定PIX防火墙接口上启动DHCP客户机特性并经由DHCP服务器设置默认路由，需将ip address dhcp setroute命令作为您整个PIX防火墙配置的一部分加以配置，这其中包括setroute选项。指定将在其上启动DHCP客户机的接口名。

　　DHCP服务器（DHCP Server）

　　PIX防火墙中的DHCP服务器支持经过了专门设计，适用于使用PIX 506的远程家庭或分支机构（ROBO）环境。与PIX防火墙相连的是PC客户机和其它网络设备（DHCP客户机），它们建立了不安全（未加密）或安全（使用IPSec加密）的网络连接来访问企业或公司网络。作为一个DHCP服务器，PIX防火墙通过使用DHCP向DHCP客户机提供了网络配置参数。这些配置参数为DHCP客户机提供了用于访问企业网的网络参数，以及在网络中网络服务（如DNS服务器）使用的参数。

　　在5.3版软件发布前，PIX防火墙DHCP服务器支持10个DHCP客户机、PIX防火墙5.3及更高版本在PIX防火墙上支持32个DHCP客户机，在其它平台上支持256个。在6.0或更高版本中，PIX防火墙DHCP服务器支持256个DHCP客户机。您不能使用C类网络掩模为256个客户机配置1个DHCP服务器。例如，如果一家公司有C类网络地址172.17.1.0，带网络掩模255.255.255.0，那么172.17.1.0（网络IP）和172.17.1.255（广播）不可能在DHCP地址池范围之内。此外，一个地址用于PIX防火墙接口。因此，如果用户使用C类网络掩模，就只能最多拥有253个DHCP客户机。如想配置256个客户机，就不能使用C类网络掩模。

　　注意 PIX防火墙DHCP服务器不支持BOOTP请求和故障转换配置。用于实施DHCP服务器特性的PIX防火墙命令在《Cisco PIX防火墙命令参考》的dhcp命令页和debug命令页中介绍。具体信息请参见这些命令页。

　　配置DHCP服务器特性（Configuring the DHCP Server Feature）

　　确保在启动DHCP服务器特性前，使用ip address命令来配置IP地址和inside接口的子网掩模。

　　按照以下步骤来在给定PIX防火墙接口上启动DHCP服务器特性。（步骤1到6为必需）。

　　步骤1

　　使用dhcpd address命令指定一个DHCP地址池。PIX防火墙将向客户机分配此池中的地址之一并在给定长度的时间内使用。默认值为inside接口。例如：

　　dhcp address 10.0.1.101-10.0.1.110 inside

　　步骤2

　　（可选）指定客户机将使用的DNS服务器的IP地址。您最多可指定2个DNS服务器。例如：dhcpd dns 209.165.201.2 209.165.202.129

　　步骤3

　　（可选）指定客户机将使用的WINS服务器的IP地址。您最多可指定2个WINS服务器。例如：dhcpd wins 209.165.201.5

　　步骤4

　　指定授予客户机的租用时间长度。这相当于客户机在租用到期前可使用分配给它的IP地址的时间长度（以秒为单位）。默认值为3600秒。例如：

　　dhcpd lease 3000

　　步骤5

　　（可选）配置客户机将使用的域名。例如：dhcpd domain example.com

　　步骤6

　　启动PIX防火墙中的DHCP端口监督程序，以接收启动接口上的DHCP客户机请求。现在您仅可在inside接口（默认值）上启动DHCP服务器特性。例如：

　　dhcpd enable inside

　　下例为上述过程的配置列表。

　　! set the ip address of the inside interface

　　ip address inside 10.0.1.2 255.255.255.0

　　! configure the network parameters the client will use once in the corporate network and

　　dhcpd address 10.0.1.101-10.0.1.110

　　dhcpd dns 209.165.201.2 209.165.202.129

　　dhcpd wins 209.165.201.5

　　dhcpd lease 3000

　　dhcpd domain example.com

　　! enable dhcp server daemon on the inside interface

　　dhcpd enable inside

　　下例为DHCP地址池和DNS服务器地址的配置，带启动了DHCP服务器特性的内部接口：

　　dhcpd address 10.0.1.100-10.0.1.108

　　dhcpd dns 209.165.200.227

　　dhcpd enable

　　下例为DHCP地址池的配置，使用auto_config命令来配置dns,wins和域参数： dhcpd address 10.0.1.100-10.0.1.108

　　dhcpd auto_config

　　dhcpd enable

　　下面是远程办公室中一个PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙，它的外部接口IP地址为209.165.200.228，作为公司网络的网关。

　　! configure interface ip address

　　ip address outside 209.165.202.129 255.255.255.0

　　ip address inside 172.17.1.1 255.255.255.0

　　! configure ipsec with corporate pix

　　access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0

　　ipsec transform-set myset esp-des esp-sha-hmac

　　crypto map mymap 10 ipsec-isakmp

　　crypto map mymap 10 match address ipsec-peer

　　crypto map mymap 10 set transform-set myset

　　crypto map mymap 10 set peer 209.165.200.228

　　crypto map mymap interface outside

　　sysopt connection permit-ipsec

　　nat (inside) 0 access-list ipsec-peer

　　isakmp policy 10 authentication preshare

　　isakmp policy 10 encryption des

　　isakmp policy 10 hash sha

　　isakmp policy 10 group 1

　　isakmp policy 10 lifetime 3600

　　isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0

　　isakmp enable outside

　　!configure dhcp server address

　　dhcpd address 172.17.1.100-172.17.1.109

　　dhcpd dns 192.168.0.20

　　dhcpd wins 192.168.0.10

　　dhcpd lease 3000

　　dhcpd domain example.com

　　! enable dhcp server on inside interface

　　dhcpd enable

　　! use outside interface ip as PAT global address

　　nat (inside) 1 0 0

　　global (outside) 1 interface

　　四、使用SNMP（Using SNMP）

　　snmp_server命令使PIX防火墙可发送SNMP陷阱，以便PIX防火墙可从远程监控。

　　使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。此部分包括下列内容：

　　简介（Introduction）

　　MIB支持（MIB Support）

　　SNMP使用率说明（SNMP Usage Notes）

　　SNMP陷阱（SNMP Traps）

　　编辑Cisco Syslog MIB文件（Compiling Cisco Syslog MIB Files）

　　使用防火墙和内存池MIB（Using the Firewalland Memory Pool MIBs）

　　简介（Introduction）

　　可用的PIX防火墙SNMP MIB-II组有系统（System）和接口（Interfaces）。

　　Cisco防火墙MIB和Cisco内存池MIB也可用。

　　所有SNMP值仅为只读（RO）

　　使用SNMP，您可以监控PIX防火墙上的系统事件。SNMP事件可以读取，但PIX防

　　火墙上的信息不能用SNMP更改。SNMP管理站可用的PIX防火墙SNMP陷阱如下所示：

　　· 通用陷阱

　　- 上链路和下链路（电缆与接口相连与否；电缆与正在工作还是与非工作状

　　态的接口相连）

　　- 冷启动

　　- 验证故障（公用字符串不匹配）

　　· 经由Cisco Syslog MIB发送的与安全相关的事件：

　　- 拒绝全局访问

　　- 故障转换系统日志信息

　　- 系统日志信息

　　使用CiscoWorks for Windows或任意其它SNMP V1、MIB-II兼容型浏览器来接收

　　SNMP陷阱并浏览MIB。SNMP陷阱出现于UDP端口162。

　　MIB支持（MIB Support）

　　注意 PIX防火墙不支持Cisco系统日志MIB的浏览。您可浏览MIB-II的系统和接口

　　组。MIB的浏览与发送陷阱不同。浏览意味着从管理站执行MIB树的snmpget或

　　snmpwalk命令以确定数值。

　　PIX防火墙平台中的系统OID

　　PIX平台

　　系统 OID

　　PIX 506

　　.1.3.6.1.4.1.9.1.389

　　PIX 515

　　.1.3.6.1.4.1.9.1.390

　　PIX 520

　　.1.3.6.1.4.1.9.1.391

　　PIX 525

　　.1.3.6.1.4.1.9.1.392

　　PIX 535

　　.1.3.6.1.4.1.9.1.393

　　其它

　　.1.3.6.1.4.1.9.1.227 (初始PIX 防火墙OID)

　　接收请求和发送系统日志陷阱

　　按照以下步骤来接收请求并从PIX防火墙向SNMP管理站发送陷阱：

　　步骤1

　　用snmp-server host命令确定SNMP管理站的IP地址。

　　步骤2

　　按需设置snmp-server的location、contact和community口令选项。如果您只需发送冷启动、上链路、下链路通用陷阱，则无需进一步配置。如果您仅想接收SNMP请求，则无需进一步配置。

　　步骤3

　　添加一条snmp-server enable traps命令语句?/td>

　　步骤4

　　用logging history命令设置记录级别：

　　logging history debugging

　　我们建议您在初始设置和测试期间使用debugging级别。然后将级别从debugging降至较低数值以用于生产。

　　（logging history命令为SNMP系统日志信息设置严重程度）。

　　步骤5

　　开始用logging on命令向管理站发送系统日志陷阱。

　　步骤6

　　如想禁止发送系统日志陷阱，则使用no logging on或no snmp-server enable traps命令。

　　下表中的命令定义了PIX防火墙可以从位于内部接口上的主机192.168.3.2接收

　　SNMP请求，但不向任意主机发送SNMP系统日志.

　　snmp-server host 192.168.3.2

　　snmp-server location building 42

　　snmp-server contact polly hedra

　　snmp-server community ohwhatakeyisthee

　　location和contact命令确定了主机的位置和谁管理主机。community命令指定

　　了PIX防火墙SNMP代理和SNMP管理站中使用的口令，以验证两个系统间的网络访问。

　　编辑Cisco系统日志MIB文件（Compiling Cisco Syslog MIB Files）

　　为从PIX防火墙接收安全性和故障转换SNMP陷阱，就需将Cisco SMI MIB和Cisco系

　　统日志MIB编辑入您的SNMP管理应用。如果您未将Cisco系统日志MIB编辑入您的应

　　用，您就只能接收用于上或下链路、防火墙冷启动和验证故障的陷阱。

　　在此页中，从Cisco安全和VPN选择列表中选择PIX Firewall。

　　按照以下步骤使用CiscoWorks for Windows (SNMPc)将Cisco系统日志MIB文件编辑

　　入您的浏览器：

　　步骤1

　　获得Cisco系统日志MIB文件。

　　步骤2

　　启动SNMPc。

　　步骤3

　　点击Config>Complile MIB。

　　步骤4

　　滚动光标至列表底部，并点击最后一项。

　　步骤5

　　点击Add。

　　步骤6

　　发现Cisco系统日志MIB文件。

　　注意

　　对某些应用来说，只有带.mib扩展名的文件可以在SNMPc的文件选择窗口中显示。带.my扩展名的Cisco系统日志MIB文件不会显示。在此例中，您应手工地将.my扩展名改为.mib扩展名。

　　步骤7

　　点击CISCO-FIREWALL-MIB.my (CISO-FIREWALL-MIB.mib)并点击OK?/td>

　　步骤8

　　滚动光标至列表底部，并点击最后一项。

　　步骤9

　　点击Add。

　　步骤10

　　发现文件CISCO-MEMORY-POOL-MIB.my (CISCO-MEMORY-POOL-MIB.mib)并点击OK。

　　步骤11

　　滚动光标至列表底部，并点击最后一项。

　　步骤12

　　点击Add。

　　步骤13

　　发现文件CISCO-SMI.my (CISCO-SMI.mib)并点击OK。

　　步骤14

　　滚动光标至列表底部，并点击最后一项。

　　步骤15

　　点击Add。

　　步骤16

　　发现文件CISCO-SYSLOG-MIB.my (CISCO-SYSLOG-MIB.mib)并点击OK。

　　步骤17

　　点击Load All。

　　步骤18

　　如无错误，重启SNMPc。

　　注意这些指令仅用于SNMPc (CiscoWorks for Windows)。

　　使用防火墙和内存池MIB（Using the Firewall and Memory Pool MIBs）

　　Cisco防火墙和内存池MIB让您可以轮询故障转换和系统状态。本部分包括以下内容：

　　o ipAddrTable说明（ipAddrTable Notes）

　　o 浏览故障转换状态（Viewing Failover Status）

　　o 验证内存使用率（Verifying Memory Usage）

　　o 浏览连接数（Viewing The Connection Count）

　　o 浏览系统缓存使用率（Viewing System Buffer Usage）

　　在每部分最后的表中，每个返回值的意义都显示在括号中。

　　ipAddrTable说明（ipAddrTable Notes）

　　SNMP ip.ipAddrTable的使用要求所有接口都分别有各自独特的地址。如果接口未被分配IP地址，则其IP地址默认为127.0.0.1。拥有重复IP地址会导致SNMP管理站无限循环。工作循环就是向每个接口分配一个不同的地址。例如，您可将一个地址设置为127.0.0.1，另一地址设置为127.0.0.2等。

　　SNMP使用一系列GetNext操作来转换MIB树。每个GetNext请求均以前－请求的结果为基础。因此，如果两个连续接口有相同的IP 127.0.0.1（表索引），GetNext功能返回127.0.0.1，这是正确的；然而，当SNMP使用同一结果（127.0.0.1）生成下一GetNext请求，该请求与前一请求一样，从而会导致管理站无限循环。

　　例如：GetNext (ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1)

　　在SNMP协议中，MIB表索引必须是独一无二的，以便代理识别MIB表的某一行。ip.AddrTable的表索引是PIX防火墙接口IP地址，故此IP地址应独一无二；否则，SNMP代理将发生混乱并可能返回有相同IP（索引）的另一接口（行）的信息。

　　浏览故障转换状态（Viewing Failover Status）

　　Cisco防火墙MIB的cfsHardwareStatusTable允许您确定是否启动故障转换以及哪个单元处在活动状态。Cisco防火墙MIB通过cfwHardwareStatusTable对象中的两行来指示故障转换状态。从PIX防火墙命令行，您可用show failover命令浏览故障转换状态。您可从以下路径访问对象表：

　　.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.

　　ciscoFirewallMIBObjects.cfwSystem.cfwStatus.cfwHardwareStatusTable

　　故障转换状态对象

　　对象

　　对象类型

　　行1：如禁用故障转换时则返回

　　行1：如启用故障转换时返回

　　行2：如启用故障转换时返?/td>

　　cfwHardwareType

　　（表索引）

　　Hardware

　　6（如为基本单元）

　　7（如为备用单元）

　　cfwHardware

　　Information

　　SnmpAdminString

　　空白

　　cfwHardware

　　StatusValue

　　HardwareStatus

　　0（未使用?/td>

　　active 或 9(如为活动单元)或是standby或10(如为备用单元)

　　active 或 9(如为活动单元)或是standby或10如为备用单元

　　cfwHardware

　　StatusDetail

　　SnmpAdminString

　　Failover Off

　　空白

　　cfwHardwareInformation.6 :

　　cfwHardwareInformation.7 :

　　cfwHardwareStatusValue.6 :0

　　cfwHardwareStatusValue.7 :0

　　cfwHardwareStatusDetail.6 :Failover Off

　　cfwHardwareStatusDetail.7 :Failover Off

　　在此表中，表索引cfwHardwareType作为.6或.7附在每个随后对象的最后。cfwHardwareInformation域为空白，cfwHardwareStatus值为0，而cfwHardwareStatusDetail包含Failover Off，这表示故障转换状态。

　　启动故障转换时，MIB查询范例生成下列信息：

　　cfwHardwareInformation.6 :

　　cfwHardwareInformation.7 :

　　cfwHardwareStatusValue.6 : active

　　cfwHardwareStatusValue.7 : standby

　　cfwHardwareStatusDetail.6 :

　　cfwHardwareStatusDetail.7 :

　　在此表中，只有cfwHardwareStatusValue包含数值，即active或standby来表示每个单元的状态。

　　验证内存使用率（Verifying Memory Usage）

　　您可确定Cisco内存池MIB带有多少空闲内存。从PIX防火墙命令行，可用show memory命令浏览内存使用率。以下是show memory命令的输出范例。

　　show memory

　　16777216 bytes total, 5595136 bytes free

　　您可从以下路径访问MIB对象：

　　.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoMemoryPoolMIB. ciscoMemoryPoolObjects.ciscoMemoryPoolTable

　　内存使用率

　　对象

　　对象类型

　　返回值

　　ciscoMemoryPoolType CiscoMemoryPoolTypes 1 (处理器内存)(表索引)

　　ciscoMemoryPoolType

　　1 (处理器内存)

　　ciscoMemoryPoolName

　　DisplayString

　　PIX 系统内存

　　ciscoMemoryPoolAlternate

　　Integer32

　　0 (无备用内存池)

　　ciscoMemoryPoolValid

　　TruthValue

　　true (表明其余对象的值正确)

　　ciscoMemoryPoolUsed

　　Gauge32

　　integer (目前在用的字节数－

　　总字节减去空闲字节)

　　ciscoMemoryPoolFree

　　Gauge32

　　integer (当前空闲的字节数)

　　ciscoMemoryPoolLargestFree

　　Gauge32 0

　　(不可获得信息)

　　在HP OpenView Browse MIB应用的“MIB值”窗口中，MIB查询范例生成以下信息：

　　ciscoMemoryPoolName.1 :PIX system memory

　　ciscoMemoryPoolAlternate.1 :0

　　ciscoMemoryPoolValid.1 :true

　　ciscoMemoryPoolUsed.1 :12312576

　　ciscoMemoryPoolFree.1 :54796288

　　ciscoMemoryPoolLargestFree.1 :0

　　在此表中，表索引cisco MemoryPoolName作为.1值附在每个随后对象值的最后。cisco MemoryPoolUsed对象列出当前在用的字节数12312576，ciscoMemoryPoolFree对象则列出了当前空闲的字节数54796288。其它对象则总是列出表18中的值。

　　浏览连接数（Viewing The Connection Count）

　　您可从Cisco防火墙MIB中的cfwConnectionStatTable浏览在用的连接数。从PIX防火墙命令行，您可用show conn命令浏览连接数。以下是show conn命令输出范例，可确认cfwConnectionStatTable中的信息的初始出处。

　　show conn

　　15 in use, 88 most used

　　cfwConectionStatTable对象表可从以下路径访问：

　　.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.

　　ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwConnectionStatTable

　　对象

　　对象类型

　　行1：返回值

　　行2：返回值

　　CfwConnectionStatService（表索引）

　　Services

　　40（IP协议）

　　CfwConnectionStatType（表索引）

　　ConnectionStat

　　6（当前在用连接）

　　7（高）

　　cfwConnectionStatDescription

　　SnmpAdminString

　　整个防火墙当前在用的连接数

　　自系统启动以来曾经在用的最高连接数

　　cfwConnectionStatCount

　　Counter32

　　0（未用）

　　cfwConnectionStatValue

　　Gauge32

　　Integer（在用数目）

　　Integer（最多使用数目）

　　在HP OpenView Browse MIB应用的“MIB值”窗口中，MIB查询范例生成以下信息：

　　cfwConnectionStatDescription.40.6 :number of connections currently in use by the entire firewall

　　cfwConnectionStatDescription.40.7 :highest number of connections in use at any one time since system startup

　　cfwConnectionStatCount.40.6 :0

　　cfwConnectionStatCount.40.7 :0

　　cfwConnectionStatValue.40.6 :15

　　cfwConnectionStatValue.40.7 :88

　　在此表中，表索引cfwConnectionStatService作为.40附在每个随后对象之后，而表索引cfwConnectionStatType则为.6 (表示在用的连接数) 或.7(表示最多使用的连接数)。cfwConnectionStatValue对象然后可列出连接数。cfwConnectionStatCount对象常返回0值。

　　浏览系统缓存使用率（Viewing System Buffer Usage）

　　您可在多行cfwBufferStats表中浏览Cisco防火墙MIB的系统缓存使用率。系统缓存使用率提供了PIX防火墙达到其容量限制的早期报警。在命令行上，您可用show blocks命令来浏览此信息。以下是show blocks命令的输出范例，显示了cfwBufferStatsTable是如何传播的。

　　show blocks

　　SIZE MAX LOW CNT

　　4 1600 1600 1600

　　80 100 97 97

　　256 80 79 79

　　1550 780 402 404

　　65536 8 8 8

　　您可在以下路径浏览cfwBufferStatsTable：

　　.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB. ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwBufferStatsTable

　　下表列出了浏览系统块使用率所需的对象。

　　对象

　　对象类型

　　第一行：返回值

　　下一行：返回值

　　CfwBufferStatSize(表索引)

　　Unsigned32

　　Integer（SIZE值；例如，4字节块则为4）

　　CfwBufferStatType(表索引)

　　ResourceStatistics

　　3（最大）

　　5（最低）

　　8（当前）

　　cfwBufferStatInformation

　　SnmpAdminString

　　已分配integer字节块的最大数目（integer是块中的字节数）

　　自启动以来可用的最少integer字节块（integer是块中的字节数）

　　当前的可用integer字节块的数目（integer是块中的字节数）

　　cfwBufferStatValue

　　Gauge32

　　integer（最大值）

　　integer（最低值）

　　integer（当前值）

　　注意这三行对每个在show blocks命令的输出中列出的块大小进行重复.

　　在HP OpenView Browse MIB应用的“MIB值”窗口中，MIB查询范例生成以下信息：

　　cfwBufferStatInformation.4.3 :maximum number of allocated 4 byte blocks

　　cfwBufferStatInformation.4.5 :fewest 4 byte blocks available since system startup

　　cfwBufferStatInformation.4.8 :current number of available 4 byte blocks

　　cfwBufferStatInformation.80.3 :maximum number of allocated 80 byte blocks

　　cfwBufferStatInformation.80.5 fewest 80 byte blocks available since system startup

　　cfwBufferStatInformation.80.8 :current number of available 80 byte blocks

　　cfwBufferStatInformation.256.3 :maximum number of allocated 256 byte blocks

　　cfwBufferStatInformation.256.5 :fewest 256 byte blocks available since system startup

　　cfwBufferStatInformation.256.8 :current number of available 256 byte blocks

　　cfwBufferStatInformation.1550.3 :maximum number of allocated 1550 byte blocks

　　cfwBufferStatInformation.1550.5 :fewest 1550 byte blocks available since system startup

　　cfwBufferStatInformation.1550.8 :current number of available 1550 byte blocks

　　cfwBufferStatValue.4.3: 1600

　　cfwBufferStatValue.4.5: 1600

　　cfwBufferStatValue.4.8: 1600

　　cfwBufferStatValue.80.3: 400

　　cfwBufferStatValue.80.5: 396

　　cfwBufferStatValue.80.8: 400

　　cfwBufferStatValue.256.3: 1000

　　cfwBufferStatValue.256.5: 997

　　cfwBufferStatValue.256.8: 999

　　cfwBufferStatValue.1550.3: 1444

　　cfwBufferStatValue.1550.5: 928

　　cfwBufferStatValue.1550.8: 932

　　在此列表中，第一个表索引cfwBuffer作为附在每个项目最后的第一个数字出现，如.4或.256。另一表索引cfwBufferStatType在第一个索引后作.3、.5或.8出现。对于每个块大小，cfwBufferStatInformation对象确认值的类型，而cfwBufferStatValue对象则确认每个值的字节数。

　　使用SSH（Using SSH）

　　SSH（安全壳式程式）是运行于可靠传输层上的应用，如提供强大验证和加密功能。PIX防火墙支持SSH版本1中提供的SSH远程壳式程序。SSH 1也可与Cisco ISO软件设备共用。最多可允许5个SSH客户机同时访问PIX防火墙控制台。

　　注意在客户机可与PIX防火墙控制台连接前为PIX防火墙生成一个RSA密钥对。为使用SSH，您的PIX防火墙就需有一个DES或3DES激活密钥。

　　目前远程配置PIX防火墙单元的方法包括启动一条到PIX防火墙的Telnet连接，以开始一个壳式会话并进入配置模式。此连接方法仅可提供与Telnet相同的安全性，而Telnet的安全性只是作为较低层加密（如IPSec）和应用安全性（远程主机处的用户名/口令验证）提供的。PIX防火墙SSH实施提供了一个无IPSec的安全远程壳式会话，仅起到服务器的作用，即PIX防火墙不能启动SSH连接。

　　具体信息，请参见《Cisco PIX防火墙命令参考指南》中的aaa和ssh命令页。

点击收藏到→