思科防火墙telnet 的正确配置方法.doc

一、运用 Telnet执行 远程系统管理（Using Telnet for Remote System Management） 　　在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令阅读第三接口。列表从上往下的第三项是第三接口。 串行控制台让单一用户配置PIX防火墙，但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后，您就可运用 Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容：　　 ·　 配置Telnet控制台访问（Configuring Telnet Console Access） 　　 ·　 测试Telnet访问（Testing Telnet Access） 　　 ·　 保卫外部接口上的Telnet连接（Securing a Telnet Connection on the Outside Interface） 　　 ·　 Trace Channel特征（Trace Channel Feature） (一)、配置Telnet控制台访问（Configuring Telnet Console Access） 按照以下步骤来配置Telnet控制台访问： 步骤1运用 PIX防火墙telnet命令。 例如，如想让一台位于内部接口之上、地址为192.168.1.2的主机访问PIX防火墙，就输入以下命令。 telnet 192.168.1.2 255.255.255.255 inside 如果配置了IPSec，您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见"保卫外部接口上的Telnet连接（Securinga Telnet Connection on the Outside Interface）"部分。 运用如下命令。telnet 209.165.200.225 225.255.225.224 outside 步骤2如须要，可对PIX防火墙在断开一个Telnet会话前，该会话可闲置的时间长度执行 配置。默认值5分钟对大多数情况来说过短，需予以延长直至完成所有生产前测试和纠错。按下例所示配置较长的闲置时间。telnet timeout 15; 步骤3如果您想用认证服务器来保卫 到控制台的访问，您可运用 aaa authentication telnet console命令，它须要您在验证服务器上有一个用户名和口令。当您访问控制台时，PIX防火墙提示您提供这些登录条件。如果验证服务器离线，您仍可运用用户名pix和由enablepassword命令配置的口令访问控制台。 步骤4　　用write memory命令保存配置中的命令? 　　 　　(二)、测试Telnet访问（Testing Telnet Access） 　　执行以下步骤来测试Telnet访问： 步骤1从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正运用 Windows 95或Windows NT，点击Start>Run来启动Telnet会话。例如，如果内部接口IP地址是192.168.1.1，输入以下命令。telnet 192.168.1.1 步骤2PIX防火墙提示您输入口令：PIX passwd:输入cisco，然后按Enter键。您即登录到PIX防火墙上了。默认口令为cisco，您可用passwd命令来修改它。您可在Telnet控制台上输入任意您可从串行控制台上配置的命令，但如果您重启PIX防火墙，您将需在其重启动后登录PIX防火墙。一些Telnet使用，如Windows 95或Windows NT Telnet会话可能不支持通过箭头键运用的PIX防火墙命令历史记录特征。然而，您可按Ctrl-P来获取最近输入的命令。 步骤3一旦您建立了Telnet访问，您可能想在纠错时阅读 ping（探查）信息。您可用debug icmp trace命令阅读来自Telnet会话的ping信息。Trace Channel特征也对debug的显示有影响，这将在"Trace Channel特征（Trace Channel Feature）"中详述。成功的ping信息如下： Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1 Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23 步骤4此外，您可运用 Telnet控制台会话来阅读系统日志信息： a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下运用 PIX防火墙，您可能希望运用 logging buffered 7命令唇畔⒋娲⒃谀捎胹how logging命令阅读的缓存中，还可用clear logging命令清理缓存以便更方便地阅读。如想停止缓存信息，运用 no logging buffered命令。您也可将数目从7降至较小值，如3，以限定所显示的信息数。 b. 如果您输入logging monitor命令，然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示，运用 terminal no monitor命令。 例1给出了运用 Telnet允许主机访问PIX防火墙控制台的命令。 例1 运用 Telnet telnet 10.1.1.11 255.255.255.255 telnet 192.168.3.0 255.255.255.0 第一个telnet命令允许单一主机，10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。 第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机执行 访问。然而，Telnet只允许16台主机同时访问PIX防火墙控制台。 　　 (三)、保卫外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface) 本部分讲述如何 保卫到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容：　　 ·　 概述（Overview） 　　 ·　 运用 Cisco Secure VPN Client (Using Cisco Secure VPN Client) 　　 ·　 运用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 　　 概述（Overview） 如果您正运用 Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正运用 Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保卫您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。 有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。 您将需在您的VPN客户机上配置两个安全策略。一个用于保卫您的Telnet连接，另一个保卫您到内部网络的连接。　　运用 Cisco Secure VPN Client (Using Cisco Secure VPN Client)　　本部分仅适用于您运用 Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行步骤1建立一个access-list命令语句，解释需从PIX防火墙到运用来自 本地虚拟地址池中目的地址的VPN客户机而执行 保卫的流量access-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0步骤2解释哪台主机可用Telnet访问PIX防火墙控制台： telnet 10.1.2.0 255.255.255.0 outside 从本地池和外部接口指定VPN客户机的地址。 步骤3在VPN客户机中，建立 一个安全策略，将远程方身份识别IP地址与网关IP地址解释为相同--PIX防火墙外部接口的IP地址。在此例中，PIX防火墙的外部IP地址为168.20.1.5。 步骤4配置VPN客户机上的其它安全策略，以与PIX防火墙的安全策略相配。　　 运用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 本部分仅适用于您运用 Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。 解释哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。 telnet 10.1.2.0 255.255.255.0 outside　　 (四)、Trace Channel特征（Trace Channel Feature）　　 debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的运用改动了您在PIX防火墙控制台或Telnet会话期间阅读屏幕上输出结果的形式。　　 如果一个debug命令不运用 Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不运用 Trace Channel的会话的输出是禁用的。　　 Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只运用 PIX防火墙串行控制台：　　o　　　 如果您仅运用 PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。 　　o　　　 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。 　　o　　　 如果您有2个或更多Telnet控制台会话，则第一个会话是Trace Channel。如果那一会话关上，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。 　 　debug 命令在所有Telnet和串行控制台会话间共享。留心 Trace Channel特征的缺点是，如果一位管理员正运用串行控制台，另一管理员启动一个Telnet控制台会话，则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外，Telnet控制台会话上的管理员将突然看到debug命令的输出，这可能是其不希望出现的局面。如果您正运用串行控制台，且未出现debug命令的输出 ，运用 who命令来查看能不能有Telnet控制台会话正在运行。　　 二、IDS系统日志信息（IDS Syslog Messages） IX防火墙经由系统日志列出了单分组（原子）Cisco入侵检测系统（IDS）签字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。　　此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以％PIX-4-4000nn开始，有下列格式： 　％PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name 例如： 　％PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz 　% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside　　 选项：　　 sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。　　 sig_msg 签字信息——几乎与NetRanger签字信息相同。　　 Ip_addr 签字适用的本地到远程地址。　　 Int_name 签字最初发出的接口名。　　 您可用以下命令确定显示哪些信息：　　 ip audit signature signature_number disable　　将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名执审计。　　 no ip audit signature signature_number　　从签名处删除策略。用于重新运用某一签名。　　 show ip audit signature [signature_number]　　显示禁用签名。　　 ip audit info [action [alarm] [drop] [reset]]　　指定对于分类为信息签名的签名所采取的默认行动。　　 alarm选项表示，当发觉某一分组中签名匹配，PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组，并且如果它是一条有效连接的一部分，则关上该连接。默认值为alarm。如想取消事件响应，运用不带action选项的ip audit info命令。　　 no ip audit info　　配置针对分类为信息的签名而采取的行动，调查默认行动。　　 show ip audit info　　显示默认信息行动。　　 ip audit attack [action [alarm] [drop] [reset]]　　指定对于攻击签名所应采取的默认行动。action选项如前所解释。 no ip audit attack　　将针对攻击签名而采取的行为是默认行为。　　 show ip audit attack　　显示默认攻击行动。审计策略（审计准则）解释了所有可使用于某一接口的签名的属性以及一系列行动。运用审计策略，用户可限定审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别，可针对信息或攻击签名执行 解释。每个接口可有2个策略，一个用于信息签名，另一个用于攻击签名。如果解释的策略中无行动，则采取已配置的默认行动。每个策略须要一个不同名称。　　 ip audit name audit_name info[action [alarm] [drop] [reset]]　　除被ip audit signature命令禁用或排除的信息签名之外，所有信息签名均被认为是策略的一部分。行动与前面描述的相同。　　 no ip audit name audit_name [info]　　删除审计策略audit_name。　　 ip audit name audit_name attack [action [alarm] [drop] [reset]]　　除被ip audit signature命令禁用或排除的攻击签名之外，所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。　　 no ip audit name audit_name [attack]　　删除审计规定audit_name。　　 show ip audit name [name [infoattack]]　　显示所有审计策略或按名称和可能的类型显示特定策略。　　 ip audit interface if_name audit_name　　向某一接口使用审计规定或策略（经由ip audit name命令）。　　 no ip audit interface [if_name]　　从某一接口删除一个策略。 show ip audit interface　　显示接口配置。