PIX防火墙系统管理 

本文介绍了如何配置并使用PIX防火墙提供的工具及特性，以监控和配置系统，并监控网络活动。它包括以下部分：


  使用Telnet进行远程系统管理（Using Telnet for Remote System Management）


  IDS系统日志信息（IDS Syslog Messages）


  使用DHCP（Using DHCP）


  使用SNMP（Using SNMP）


  使用SSH（Using SSH）


  使用Telnet进行远程系统管理（Using Telnet for Remote System Management）




.配置Telnet控制台访问（Configuring Telnet Console Access）

按照以下步骤来配置Telnet控制台访问：


测试Telnet访问（Testing Telnet Access）

执行以下步骤来测试Telnet访问：



保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface) 

本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容：


概述（Overview）


使用Cisco Secure VPN Client (Using Cisco Secure VPN Client) 


使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)


概述（Overview）

如果您正使用Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。

有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。




使用Cisco Secure VPN Client (Using Cisco Secure VPN Client) 

本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。


使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 

本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。

定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。

telnet 10.1.2.0 255.255.255.0 outside

Trace Channel特性（Trace Channel Feature）

debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。

如果一个debug命令不使用Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不使用Trace Channel的会话的输出是禁用的。

Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只使用PIX防火墙串行控制台：


如果您仅使用PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。


如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。


如果您有2个或更多Telnet控制台会话，则第一个会话是Trace Channel。如果那一会话关闭，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。


debug 命令在所有Telnet和串行控制台会话间共享。



IDS系统日志信息（IDS Syslog Messages）

PIX防火墙经由系统日志列出了单分组（原子）Cisco入侵检测系统（IDS）签字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。您可在下面的网站在线浏览此文件：

http://www.cisco.com/univered/cc/td/doc/product/iaabu/pix/pix_61/syslog/index.htm ;

此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以％PIX-4-4000nn开始，有下列格式：

％PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name

例如：

％PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz

% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside

选项：

sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。您可从以下网站浏览该指南的“NSDB和签字”一章：

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm ;

sig_msg 签字信息——几乎与NetRanger签字信息相同。

Ip_addr 签字适用的本地到远程地址。

Int_name 签字最初发出的接口名。

您可用以下命令确定显示哪些信息：

ip audit signature signature_number disable

将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名进行审计。

no ip audit signature signature_number

从签名处删除策略。用于重新使用某一签名。

show ip audit signature [signature_number] 

显示禁用签名。

ip audit info [action [alarm] [drop] [reset> 

指定对于分类为信息签名的签名所采取的默认行动。

alarm选项表示，当发现某一分组中签名匹配，PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组，并且如果它是一条有效连接的一部分，则关闭该连接。默认值为alarm。如想取消事件响应，使用不带action选项的ip audit info命令。

no ip audit info

设置针对分类为信息的签名而采取的行动，调查默认行动。

show ip audit info

显示默认信息行动。

ip audit attack [action [alarm] [drop] [reset> 

指定对于攻击签名所应采取的默认行动。action选项如前所定义。 no ip audit attack

将针对攻击签名而采取的行为是默认行为。

show ip audit attack

显示默认攻击行动。审计策略（审计规则）定义了所有可应用于某一接口的签名的属性以及一系列行动。使用审计策略，用户可限制审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别，可针对信息或攻击签名进行定义。每个接口可有2个策略，一个用于信息签名，另一个用于攻击签名。如果定义的策略中无行动，则采取已配置的默认行动。每个策略需要一个不同名称。

ip audit name audit_name info[action [alarm] [drop] [reset>

除被ip audit signature命令禁用或排除的信息签名之外，所有信息签名均被认为是策略的一部分。行动与前面描述的相同。

no ip audit name audit_name [info] 

删除审计策略audit_name。

ip audit name audit_name attack [action [alarm] [drop] [reset> 

除被ip audit signature命令禁用或排除的攻击签名之外，所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。

no ip audit name audit_name [attack] 

删除审计规定audit_name。

show ip audit name [name [info|attack> 

显示所有审计策略或按名称和可能的类型显示特定策略。 

ip audit interface if_name audit_name

向某一接口应用审计规定或策略（经由ip audit name命令）。

no ip audit interface [if_name] 

从某一接口删除一个策略

。 show ip audit interface

显示接口配置。

使用DHCP（Using DHCP）

PIX防火墙支持动态主机配置协议（DHCP）服务器和DHCP客户机。DHCP是一个协议，向互联网主机提供自动配置参数。此协议有两个组成部分：


用于从DHCP服务器向主机（DHCP客户机）提供主机特定配置参数的协议


用于向主机分配网络地址的机制


DHCP服务器是向DHCP客户机提供配置参数的计算机，DHCP客户机则是使用DHCP获得网络配置参数的计算机或网络设备。

在PIX防火墙中实施DHCP服务器和DHCP客户机特性的主要目的是大大简化PIX防火墙单元的配置。

本部分包括以下内容：


DHCP客户机（DHCP Client）


DHCP服务器（DHCP Server）


DHCP客户机（DHCP Client）

PIX防火墙中的DHCP客户机支持经过专门设计，适用于小型办公室、家庭办公室（SOHO）环境，这些环境中使用PIX防火墙直接与支持DHCP服务器功能的DSL或电缆调制解调器相连。随着PIX防火墙上DHCP客户机特性的实施，PIX防火墙对DHCP服务器来说即可作为DHCP客户机，允许服务器用IP地址、子网掩模和可选的默认路由来配置单元的启动接口。



ip address dhcp命令可在指定PIX防火墙接口上启动DHCP客户机特性。可选setroute参数让PIX防火墙使用DHCP服务器返回的默认网关参数来设置默认路由。

debug dhcpc命令为启动的DHCP客户机特性提供纠错工具。

用于实施DHCP客户机的PIX防火墙命令在《Cisco PIX防火墙命令参考》的ip address命令页和debug命令页中介绍。具体信息请参见这些命令页。



启动DHCP客户机特性和设置默认路由（Enabling the DHCP Client Feature and Setting Default Route）

为在给定PIX防火墙接口上启动DHCP客户机特性并经由DHCP服务器设置默认路由，需将ip address dhcp setroute命令作为您整个PIX防火墙配置的一部分加以配置，这其中包括setroute选项。指定将在其上启动DHCP客户机的接口名。

DHCP服务器（DHCP Server）

PIX防火墙中的DHCP服务器支持经过了专门设计，适用于使用PIX 506的远程家庭或分支机构（ROBO）环境。与PIX防火墙相连的是PC客户机和其它网络设备（DHCP客户机），它们建立了不安全（未加密）或安全（使用IPSec加密）的网络连接来访问企业或公司网络。作为一个DHCP服务器，PIX防火墙通过使用DHCP向DHCP客户机提供了网络配置参数。这些配置参数为DHCP客户机提供了用于访问企业网的网络参数，以及在网络中网络服务（如DNS服务器）使用的参数。

在5.3版软件发布前，PIX防火墙DHCP服务器支持10个DHCP客户机、PIX防火墙5.3及更高版本在PIX防火墙上支持32个DHCP客户机，在其它平台上支持256个。在6.0或更高版本中，PIX防火墙DHCP服务器支持256个DHCP客户机。您不能使用C类网络掩模为256个客户机配置1个DHCP服务器。例如，如果一家公司有C类网络地址172.17.1.0，带网络掩模255.255.255.0，那么172.17.1.0（网络IP）和172.17.1.255（广播）不可能在DHCP地址池范围之内。此外，一个地址用于PIX防火墙接口。因此，如果用户使用C类网络掩模，就只能最多拥有253个DHCP客户机。如想配置256个客户机，就不能使用C类网络掩模。



配置DHCP服务器特性（Configuring the DHCP Server Feature）

确保在启动DHCP服务器特性前，使用ip address命令来配置IP地址和inside接口的子网掩模。

按照以下步骤来在给定PIX防火墙接口上启动DHCP服务器特性。（步骤1到6为必需）。



下例为上述过程的配置列表。

! set the ip address of the inside interface

ip address inside 10.0.1.2 255.255.255.0

! configure the network parameters the client will use once in the corporate network and

dhcpd address 10.0.1.101-10.0.1.110

dhcpd dns 209.165.201.2 209.165.202.129

dhcpd wins 209.165.201.5

dhcpd lease 3000

dhcpd domain example.com

! enable dhcp server daemon on the inside interface

dhcpd enable inside

下例为DHCP地址池和DNS服务器地址的配置，带启动了DHCP服务器特性的内部接口：

dhcpd address 10.0.1.100-10.0.1.108

dhcpd dns 209.165.200.227

dhcpd enable

下例为DHCP地址池的配置，使用auto_config命令来配置dns,wins和域参数： dhcpd address 10.0.1.100-10.0.1.108

dhcpd auto_config

dhcpd enable

下面是远程办公室中一个PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙，它的外部接口IP地址为209.165.200.228，作为公司网络的网关。

! configure interface ip address

ip address outside 209.165.202.129 255.255.255.0

ip address inside 172.17.1.1 255.255.255.0

! configure ipsec with corporate pix

access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0

ipsec transform-set myset esp-des esp-sha-hmac

crypto map mymap 10 ipsec-isakmp

crypto map mymap 10 match address ipsec-peer

crypto map mymap 10 set transform-set myset

crypto map mymap 10 set peer 209.165.200.228

crypto map mymap interface outside

sysopt connection permit-ipsec

nat (inside) 0 access-list ipsec-peer

isakmp policy 10 authentication preshare

isakmp policy 10 encryption des

isakmp policy 10 hash sha

isakmp policy 10 group 1

isakmp policy 10 lifetime 3600

isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0

isakmp enable outside

!configure dhcp server address

dhcpd address 172.17.1.100-172.17.1.109

dhcpd dns 192.168.0.20

dhcpd wins 192.168.0.10

dhcpd lease 3000

dhcpd domain example.com

! enable dhcp server on inside interface

dhcpd enable

! use outside interface ip as PAT global address

nat (inside) 1 0 0

global (outside) 1 interface

使用SNMP（Using SNMP）

snmp_server命令使PIX防火墙可发送SNMP陷阱，以便PIX防火墙可从远程监控。使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。

此部分包括下列内容：


简介（Introduction）


MIB支持（MIB Support）


SNMP使用率说明（SNMP Usage Notes）


SNMP陷阱（SNMP Traps）


编辑Cisco Syslog MIB文件（Compiling Cisco Syslog MIB Files）


使用防火墙和内存池MIB（Using the Firewall and Memory Pool MIBs）


简介（Introduction）

可用的PIX防火墙SNMP MIB-II组有系统（System）和接口（Interfaces）。Cisco防火墙MIB和Cisco内存池MIB也可用。


所有SNMP值仅为只读（RO）。

使用SNMP，您可以监控PIX防火墙上的系统事件。SNMP事件可以读取，但PIX防火墙上的信息不能用SNMP更改。

SNMP管理站可用的PIX防火墙SNMP陷阱如下所示：


通用陷阱

- 上链路和下链路（电缆与接口相连与否；电缆与正在工作还是与非工作状态的接口相连）

- 冷启动

- 验证故障（公用字符串不匹配）


经由Cisco Syslog MIB发送的与安全相关的事件：

- 拒绝全局访问

- 故障转换系统日志信息

- 系统日志信息


使用CiscoWorks for Windows或任意其它SNMP V1、MIB-II兼容型浏览器来接收SNMP陷阱并浏览MIB。SNMP陷阱出现于UDP端口162。

MIB支持（MIB Support）


表12

注意 PIX防火墙不支持Cisco系统日志MIB的浏览。您可浏览MIB-II的系统和接口组。MIB的浏览与发送陷阱不同。浏览意味着从管理站执行MIB树的snmpget或snmpwalk命令以确定数值。 
>> 返回顶部 


MIB支持（MIB Support）

可使用Cisco防火墙MIB和Cisco内存池MIB。

PIX防火墙不支持Cisco防火墙MIB中的下列特性：


cfwSecurityNotification NOTIFICATION-TYPE


cfwContentInspectNotification NOTIFICATION-TYPE


cfwConnNotification NOTIFICATION-TYPE


cfwAccessNotification NOTIFICATION-TYPE


cfwAuthNotification NOTIFICATION-TYPE


cfwGenericNotification NOTIFICATION-TYPE


SNMP使用率说明（SNMP Usage Notes）


如果接口可访问，MIB-II ifEntry.ifAdminStatus对象返回1，如果您用interface命令的shutdown选项关闭接口，则返回2。


SNMP“ifOutUcastPkts”对象现正确地返回输出分组数。


SNMP模块产生的系统日志信息现可指明接口名而非接口号。


SNMP陷阱（SNMP Traps）

陷阱与浏览不同，它们是受控设备向管理站就特定事件，如上链路、下链路和所生成的系统日志事件等发出的未经请求的“评论”。

PIX防火墙的SNMP对象ID（OID）显示在从PIX防火墙发送的SNMP事件陷阱中。PIX防火墙根据硬件平台提供SNMP事件陷阱和SNMP mib-2.system.sysObjectID变量的系统OID。


表13 PIX防火墙平台中的系统OID

PIX平台 系统 OID 
PIX 506 .1.3.6.1.4.1.9.1.389 
PIX 515 .1.3.6.1.4.1.9.1.390 
PIX 520 .1.3.6.1.4.1.9.1.391 
PIX 525 .1.3.6.1.4.1.9.1.392 
PIX 535 .1.3.6.1.4.1.9.1.393 
其它 .1.3.6.1.4.1.9.1.227 (初始PIX 防火墙OID) 
>> 返回顶部 



两个机制与SNMP一起共用，PIX防火墙响应来自管理站的SNMP请求，且发送一个为事件通知的陷阱。PIX防火墙支持两种类型的陷阱，即通用和系统日志陷阱。

接收请求和发送系统日志陷阱

按照以下步骤来接收请求并从PIX防火墙向SNMP管理站发送陷阱：


表14

步骤1 用snmp-server host命令确定SNMP管理站的IP地址。 
步骤2 按需设置snmp-server的location、contact和community口令选项。如果您只需发送冷启动、上链路、下链路通用陷阱，则无需进一步配置。如果您仅想接收SNMP请求，则无需进一步配置。 
步骤3 添加一条snmp-server enable traps命令语句。 
步骤4 用logging history命令设置记录级别：

logging history debugging

我们建议您在初始设置和测试期间使用debugging级别。然后将级别从debugging降至较低数值以用于生产。

（logging history命令为SNMP系统日志信息设置严重程度）。 
步骤5 开始用logging on命令向管理站发送系统日志陷阱。 
步骤6 如想禁止发送系统日志陷阱，则使用no logging on或no snmp-server enable traps命令。 
>> 返回顶部 


表15中的命令定义了PIX防火墙可以从位于内部接口上的主机192.168.3.2接收SNMP请求，但不向任意主机发送SNMP系统日志.


表15 实施SNMP

snmp-server host 192.168.3.2 
snmp-server location building 42 
snmp-server contact polly hedra 
snmp-server community ohwhatakeyisthee 
>> 返回顶部 


location和contact命令确定了主机的位置和谁管理主机。community命令指定了PIX防火墙SNMP代理和SNMP管理站中使用的口令，以验证两个系统间的网络访问。

编辑Cisco系统日志MIB文件（Compiling Cisco Syslog MIB Files）

为从PIX防火墙接收安全性和故障转换SNMP陷阱，就需将Cisco SMI MIB和Cisco系统日志MIB编辑入您的SNMP管理应用。如果您未将Cisco系统日志MIB编辑入您的应用，您就只能接收用于上或下链路、防火墙冷启动和验证故障的陷阱。

您可从以下网站为PIX防火墙和其它Cisco产品选择Cisco MIB文件：

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

在此页中，从Cisco安全和VPN选择列表中选择PIX Firewall。

按照以下步骤使用CiscoWorks for Windows (SNMPc)将Cisco系统日志MIB文件编辑入您的浏览器：


表16

步骤1 获得Cisco系统日志MIB文件。 
步骤2 启动SNMPc。 
步骤3 点击Config>Complile MIB。 
步骤4 滚动光标至列表底部，并点击最后一项。 
步骤5 点击Add。 
步骤6 发现Cisco系统日志MIB文件。 
注意 对某些应用来说，只有带.mib扩展名的文件可以在SNMPc的文件选择窗口中显示。带.my扩展名的Cisco系统日志MIB文件不会显示。在此例中，您应手工地将.my扩展名改为.mib扩展名。 
步骤7 点击CISCO-FIREWALL-MIB.my (CISO-FIREWALL-MIB.mib)并点击OK。 
步骤8 滚动光标至列表底部，并点击最后一项。 
步骤9 点击Add。 
步骤10 发现文件CISCO-MEMORY-POOL-MIB.my (CISCO-MEMORY-POOL-MIB.mib)并点击OK。 
步骤11 滚动光标至列表底部，并点击最后一项。 
步骤12 点击Add。 
步骤13 发现文件CISCO-SMI.my (CISCO-SMI.mib)并点击OK。 
步骤14 滚动光标至列表底部，并点击最后一项。 
步骤15 点击Add。 
步骤16 发现文件CISCO-SYSLOG-MIB.my (CISCO-SYSLOG-MIB.mib)并点击OK。 
步骤17 点击Load All。 
步骤18 如无错误，重启SNMPc。 
>> 返回顶部 


注意 这些指令仅用于SNMPc (CiscoWorks for Windows)。

使用防火墙和内存池MIB（Using the Firewall and Memory Pool MIBs）

Cisco防火墙和内存池MIB让您可以轮询故障转换和系统状态。

本部分包括以下内容：


ipAddrTable说明（ipAddrTable Notes）


浏览故障转换状态（Viewing Failover Status）


验证内存使用率（Verifying Memory Usage）


浏览连接数（Viewing The Connection Count）


浏览系统缓存使用率（Viewing System Buffer Usage）


在每部分最后的表中，每个返回值的意义都显示在括号中。

ipAddrTable说明（ipAddrTable Notes）

SNMP ip.ipAddrTable的使用要求所有接口都分别有各自独特的地址。如果接口未被分配IP地址，则其IP地址默认为127.0.0.1。拥有重复IP地址会导致SNMP管理站无限循环。工作循环就是向每个接口分配一个不同的地址。例如，您可将一个地址设置为127.0.0.1，另一地址设置为127.0.0.2等。


SNMP使用一系列GetNext操作来转换MIB树。每个GetNext请求均以前－请求的结果为基础。因此，如果两个连续接口有相同的IP 127.0.0.1（表索引），GetNext功能返回127.0.0.1，这是正确的；然而，当SNMP使用同一结果（127.0.0.1）生成下一GetNext请求，该请求与前一请求一样，从而会导致管理站无限循环。

例如：

GetNext (ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1) 

在SNMP协议中，MIB表索引必须是独一无二的，以便代理识别MIB表的某一行。ip.AddrTable的表索引是PIX防火墙接口IP地址，故此IP地址应独一无二；否则，SNMP代理将发生混乱并可能返回有相同IP（索引）的另一接口（行）的信息。

浏览故障转换状态（Viewing Failover Status）

Cisco防火墙MIB的cfsHardwareStatusTable允许您确定是否启动故障转换以及哪个单元处在活动状态。Cisco防火墙MIB通过cfwHardwareStatusTable对象中的两行来指示故障转换状态。从PIX防火墙命令行，您可用show failover命令浏览故障转换状态。您可从以下路径访问对象表：

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB. 

ciscoFirewallMIBObjects.cfwSystem.cfwStatus.cfwHardwareStatusTable



表17 故障转换状态对象

对象 对象类型 行1：如禁用故障转换时则返回 行1：如启用故障转换时返回 行2：如启用故障转换时返回 
cfwHardwareType（表索引） Hardware 6（如为基本单元） 6（如为基本单元） 7（如为备用单元） 
cfwHardwareInformation SnmpAdminString 空白 空白 空白 
cfwHardwareStatusValue HardwareStatus 0（未使用） active 或 9(如为活动单元)或是standby或10(如为备用单元) active 或 9(如为活动单元)或是standby或10如为备用单元 
cfwHardwareStatusDetail SnmpAdminString Failover Off 空白 空白 
>> 返回顶部 



cfwHardwareInformation.6 : 

cfwHardwareInformation.7 : 

cfwHardwareStatusValue.6 :0

cfwHardwareStatusValue.7 :0

cfwHardwareStatusDetail.6 :Failover Off

cfwHardwareStatusDetail.7 :Failover Off

在此表中，表索引cfwHardwareType作为.6或.7附在每个随后对象的最后。cfwHardwareInformation域为空白，cfwHardwareStatus值为0，而cfwHardwareStatusDetail包含Failover Off，这表示故障转换状态。

启动故障转换时，MIB查询范例生成下列信息：

cfwHardwareInformation.6 : 

cfwHardwareInformation.7 : 

cfwHardwareStatusValue.6 : active

cfwHardwareStatusValue.7 : standby

cfwHardwareStatusDetail.6 : 

cfwHardwareStatusDetail.7 :


在此表中，只有cfwHardwareStatusValue包含数值，即active或standby来表示每个单元的状态。

验证内存使用率（Verifying Memory Usage）

您可确定Cisco内存池MIB带有多少空闲内存。从PIX防火墙命令行，可用show memory命令浏览内存使用率。以下是show memory命令的输出范例。

show memory

16777216 bytes total, 5595136 bytes free

您可从以下路径访问MIB对象：

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoMemoryPoolMIB. ciscoMemoryPoolObjects.ciscoMemoryPoolTable

在HP OpenView Browse MIB应用的“MIB值”窗口中，MIB查询范例生成以下信息：

cfwBufferStatInformation.4.3 :maximum number of allocated 4 byte blocks

cfwBufferStatInformation.4.5 :fewest 4 byte blocks available since system startup

cfwBufferStatInformation.4.8 :current number of available 4 byte blocks

cfwBufferStatInformation.80.3 :maximum number of allocated 80 byte blocks

cfwBufferStatInformation.80.5 fewest 80 byte blocks available since system startup

cfwBufferStatInformation.80.8 :current number of available 80 byte blocks

cfwBufferStatInformation.256.3 :maximum number of allocated 256 byte blocks

cfwBufferStatInformation.256.5 :fewest 256 byte blocks available since system startup

cfwBufferStatInformation.256.8 :current number of available 256 byte blocks

cfwBufferStatInformation.1550.3 :maximum number of allocated 1550 byte blocks

cfwBufferStatInformation.1550.5 :fewest 1550 byte blocks available since system startup

cfwBufferStatInformation.1550.8 :current number of available 1550 byte blocks

cfwBufferStatValue.4.3: 1600

cfwBufferStatValue.4.5: 1600

cfwBufferStatValue.4.8: 1600

cfwBufferStatValue.80.3: 400

cfwBufferStatValue.80.5: 396

cfwBufferStatValue.80.8: 400

cfwBufferStatValue.256.3: 1000

cfwBufferStatValue.256.5: 997

cfwBufferStatValue.256.8: 999

cfwBufferStatValue.1550.3: 1444

cfwBufferStatValue.1550.5: 928

cfwBufferStatValue.1550.8: 932

在此列表中，第一个表索引cfwBuffer作为附在每个项目最后的第一个数字出现，如.4或.256。另一表索引cfwBufferStatType在第一个索引后作.3、.5或.8出现。对于每个块大小，cfwBufferStatInformation对象确认值的类型，而cfwBufferStatValue对象则确认每个值的字节数。

使用SSH（Using SSH）

SSH（安全壳式程式）是运行于可靠传输层上的应用，如提供强大验证和加密功能。PIX防火墙支持SSH版本1中提供的SSH远程壳式程序。SSH 1也可与Cisco ISO软件设备共用。最多可允许5个SSH客户机同时访问PIX防火墙控制台。

注意 在客户机可与PIX防火墙控制台连接前为PIX防火墙生成一个RSA密钥对。为使用SSH，您的PIX防火墙就需有一个DES或3DES激活密钥。

目前远程配置PIX防火墙单元的方法包括启动一条到PIX防火墙的Telnet连接，以开始一个壳式会话并进入配置模式。此连接方法仅可提供与Telnet相同的安全性，而Telnet的安全性只是作为较低层加密（如IPSec）和应用安全性（远程主机处的用户名/口令验证）提供的。PIX防火墙SSH实施提供了一个无IPSec的安全远程壳式会话，仅起到服务器的作用，即PIX防火墙不能启动SSH连接。

具体信息，请参见《Cisco PIX防火墙命令参考指南》中的aaa和ssh命令页。

获得SSH客户机（Obtaining an SSH Client）

您可从以下网站下载SSH v1.x客户机。因为SSH 1.x和v2是完全不同的协议且不兼容，因此需确保下载支持SSH v1.x的客户机。


Windows 3.1, Windows CE, Windows 95和Windows NT 4.0——从以下网站下载免费Tera Term Pro SSH v1.x客户机：

http://hp.vector.co.jp/authors/VA002416/teraterm.html ;

Tera Term Pro的TTSSH安全性增强位于以下网站：

http://www.zip.com.au/~roca/ttssh.html ;

注意 如想使用需SSH的Tera Term Pro，下载TTSSH。TTSSH提供了一个压缩文件供您拷贝至您的系统。将压缩文件放入您安装Tera Tem Pro的那一文件夹。对于Windows 95系统来说，默认值可能是C:\Program Files\Ttempro文件夹。


Linux, Solaris, OpenBSD, AIX, IRIX, HP/UX, FreeBSD和NetBSD——从以下网站下载SSH v1.x客户机：

http://www.openssh.com


Macintosh（仅限国际用户）——从以下网站下载Nifty Telnet 1.1 SSH客户：

http://www.lysator.liu.se/~jonasw/freeware/niftyssh/