收藏 分销(赏)
立即下载 开通VIP

思科防火墙telnet 的正确配置方法.doc

上传人:xrp****65 文档编号:5620722 上传时间:2024-11-15 格式:DOC 页数:5 大小:40KB
下载 相关 举报
思科防火墙telnet 的正确配置方法.doc_第1页
第1页 / 共5页
思科防火墙telnet 的正确配置方法.doc_第2页
第2页 / 共5页
思科防火墙telnet 的正确配置方法.doc_第3页
第3页 / 共5页
思科防火墙telnet 的正确配置方法.doc_第4页
第4页 / 共5页
思科防火墙telnet 的正确配置方法.doc_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

1、一、运用 Telnet执行 远程系统管理(Using Telnet for Remote System Management) 在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令阅读第三接口。列表从上往下的第三项是第三接口。串行控制台让单一用户配置PIX防火墙,但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后,您就可运用 Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容: 配置Telnet控制台访问(C

2、onfiguring Telnet Console Access) 测试Telnet访问(Testing Telnet Access) 保卫外部接口上的Telnet连接(Securing a Telnet Connection on the Outside Interface) Trace Channel特征(Trace Channel Feature)(一)、配置Telnet控制台访问(Configuring Telnet Console Access)按照以下步骤来配置Telnet控制台访问: 步骤1运用 PIX防火墙telnet命令。例如,如想让一台位于内部接口之上、地址为192.168

3、.1.2的主机访问PIX防火墙,就输入以下命令。telnet 192.168.1.2 255.255.255.255 inside如果配置了IPSec,您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见保卫外部接口上的Telnet连接(Securinga Telnet Connection on the Outside Interface)部分。运用如下命令。telnet 209.165.200.225 225.255.225.224 outside步骤2如须要,可对PIX防火墙在断开一个Telnet会话前,该会话可闲置的时间长度执行 配置。默认值5分钟对大多数情况来说过短,需

4、予以延长直至完成所有生产前测试和纠错。按下例所示配置较长的闲置时间。telnet timeout 15;步骤3如果您想用认证服务器来保卫 到控制台的访问,您可运用 aaa authentication telnet console命令,它须要您在验证服务器上有一个用户名和口令。当您访问控制台时,PIX防火墙提示您提供这些登录条件。如果验证服务器离线,您仍可运用用户名pix和由enablepassword命令配置的口令访问控制台。步骤4用write memory命令保存配置中的命令? (二)、测试Telnet访问(Testing Telnet Access)执行以下步骤来测试Telnet访问:步

5、骤1从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正运用 Windows 95或Windows NT,点击StartRun来启动Telnet会话。例如,如果内部接口IP地址是192.168.1.1,输入以下命令。telnet 192.168.1.1步骤2PIX防火墙提示您输入口令:PIX passwd:输入cisco,然后按Enter键。您即登录到PIX防火墙上了。默认口令为cisco,您可用passwd命令来修改它。您可在Telnet控制台上输入任意您可从串行控制台上配置的命令,但如果您重启PIX防火墙,您将需在其重启动后登录PIX防火墙。一些Telnet使用,如Wind

6、ows 95或Windows NT Telnet会话可能不支持通过箭头键运用的PIX防火墙命令历史记录特征。然而,您可按Ctrl-P来获取最近输入的命令。步骤3一旦您建立了Telnet访问,您可能想在纠错时阅读 ping(探查)信息。您可用debug icmp trace命令阅读来自Telnet会话的ping信息。Trace Channel特征也对debug的显示有影响,这将在Trace Channel特征(Trace Channel Feature)中详述。成功的ping信息如下:Outbound ICMP echo request (len 32 id 1 seq 512) 209.165

7、.201.2209.165.201.1Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1209.165.201.23步骤4此外,您可运用 Telnet控制台会话来阅读系统日志信息:a. 用logging monitor 7命令启动信息显示。7将使所有系统日志级别均得以显示。如果您正在生产模式下运用 PIX防火墙,您可能希望运用 logging buffered 7命令唇畔娲谀捎胹how logging命令阅读的缓存中,还可用clear logging命令清理缓存以便更方便地阅读。如想停止缓存信息,运用 no logging b

8、uffered命令。您也可将数目从7降至较小值,如3,以限定所显示的信息数。b. 如果您输入logging monitor命令,然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示,运用 terminal no monitor命令。例1给出了运用 Telnet允许主机访问PIX防火墙控制台的命令。例1 运用 Telnettelnet 10.1.1.11 255.255.255.255telnet 192.168.3.0 255.255.255.0第一个telnet命令允许单一主机,10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最

9、后八位字节中的数值255表明只有指定主机可访问该控制台。第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机执行 访问。然而,Telnet只允许16台主机同时访问PIX防火墙控制台。 (三)、保卫外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)本部分讲述如何 保卫到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容: 概述(Overview) 运用 Cisco Secure VPN Cli

10、ent (Using Cisco Secure VPN Client) 运用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 概述(Overview)如果您正运用 Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正运用 Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保卫您的Telnet连接。在下一部分的举例中,PIX防火墙的外部接口的IP地址是168.20.1.5,Cis

11、co Secure VPN Client的IP地址来自于虚拟地址池,为10.1.2.0。有关此命令的具体信息,请参见Cisco PIX防火墙命令参考中telnet命令页。您将需在您的VPN客户机上配置两个安全策略。一个用于保卫您的Telnet连接,另一个保卫您到内部网络的连接。运用 Cisco Secure VPN Client (Using Cisco Secure VPN Client)本部分仅适用于您运用 Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行步骤1建立一个acces

12、s-list命令语句,解释需从PIX防火墙到运用来自本地虚拟地址池中目的地址的VPN客户机而执行 保卫的流量access-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0步骤2解释哪台主机可用Telnet访问PIX防火墙控制台:telnet 10.1.2.0 255.255.255.0 outside从本地池和外部接口指定VPN客户机的地址。步骤3在VPN客户机中,建立 一个安全策略,将远程方身份识别IP地址与网关IP地址解释为相同-PIX防火墙外部接口的IP地址。在此例中,PIX防火墙的外部IP地址为168.20.1.5。步骤4

13、配置VPN客户机上的其它安全策略,以与PIX防火墙的安全策略相配。运用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)本部分仅适用于您运用 Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中,PIX防火墙外部接口的IP地址为168.20.1.5,Cisco VPN 3000 Client的IP地址来自于虚拟地址池,为10.1.2.0。解释哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。te

14、lnet 10.1.2.0 255.255.255.0 outside(四)、Trace Channel特征(Trace Channel Feature)debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的运用改动了您在PIX防火墙控制台或Telnet会话期间阅读屏幕上输出结果的形式。如果一个debug命令不运用 Trace Channel,每个会话都独立运作,意味着任意从会话中启动的命令只出现在该会话中。在默认状态下,不运用 Trace Channel的会话的输出是禁用的。Trace Channel的位置取决于您在

15、控制台会话的同时还运行着一个同步Telnet控制台会话,还是您只运用 PIX防火墙串行控制台:o如果您仅运用 PIX防火墙串行控制台,所有debug命令都显示在串行控制台上。 o如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台,那么无论您在何处输入debug命令,输出均显示在Telnet控制台会话上。 o如果您有2个或更多Telnet控制台会话,则第一个会话是Trace Channel。如果那一会话关上,那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。 debug 命令在所有Telnet和串行控制

16、台会话间共享。留心 Trace Channel特征的缺点是,如果一位管理员正运用串行控制台,另一管理员启动一个Telnet控制台会话,则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外,Telnet控制台会话上的管理员将突然看到debug命令的输出,这可能是其不希望出现的局面。如果您正运用串行控制台,且未出现debug命令的输出 ,运用 who命令来查看能不能有Telnet控制台会话正在运行。二、IDS系统日志信息(IDS Syslog Messages)IX防火墙经由系统日志列出了单分组(原子)Cisco入侵检测系统(IDS)签字信息。所支持的信息列表请参见Cisco PIX防

17、火墙系统日志信息。此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以PIX-4-4000nn开始,有下列格式:PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name例如:PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on i

18、nterface outside选项:sig_num 签字号。具体信息参见Cisco安全入侵检测系统2.2.1用户指南。sig_msg 签字信息几乎与NetRanger签字信息相同。Ip_addr 签字适用的本地到远程地址。Int_name 签字最初发出的接口名。您可用以下命令确定显示哪些信息:ip audit signature signature_number disable将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名执审计。no ip audit signature signature_number从签名处删除策略。用于重新运用某一签名。show ip audit sig

19、nature signature_number显示禁用签名。ip audit info action alarm drop reset指定对于分类为信息签名的签名所采取的默认行动。alarm选项表示,当发觉某一分组中签名匹配,PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组,并且如果它是一条有效连接的一部分,则关上该连接。默认值为alarm。如想取消事件响应,运用不带action选项的ip audit info命令。no ip audit info配置针对分类为信息的签名而采取的行动,调查默认行动。show ip audit i

20、nfo显示默认信息行动。ip audit attack action alarm drop reset指定对于攻击签名所应采取的默认行动。action选项如前所解释。 no ip audit attack将针对攻击签名而采取的行为是默认行为。show ip audit attack显示默认攻击行动。审计策略(审计准则)解释了所有可使用于某一接口的签名的属性以及一系列行动。运用审计策略,用户可限定审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别,可针对信息或攻击签名执行 解释。每个接口可有2个策略,一个用于信息签名,另一个用于攻击签名。如果解释的策略中无行动,则采取已配置的默认行

21、动。每个策略须要一个不同名称。ip audit name audit_name infoaction alarm drop reset除被ip audit signature命令禁用或排除的信息签名之外,所有信息签名均被认为是策略的一部分。行动与前面描述的相同。no ip audit name audit_name info删除审计策略audit_name。ip audit name audit_name attack action alarm drop reset除被ip audit signature命令禁用或排除的攻击签名之外,所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。no ip audit name audit_name attack删除审计规定audit_name。show ip audit name name infoattack显示所有审计策略或按名称和可能的类型显示特定策略。ip audit interface if_name audit_name向某一接口使用审计规定或策略(经由ip audit name命令)。no ip audit interface if_name从某一接口删除一个策略。show ip audit interface显示接口配置。

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
搜索标签

当前位置:首页 > 环境建筑 > 其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服