远程连接PIX防火墙

减小字体

增大字体作者：佚名来源：本站整理发布时间：2011-06-30 19:48:50

1.远程连接PIX
    当管理的防火墙设备比较多时，使用telnet或ssh进行远程登录是最我们常用的方法。PIX要求所有到外部接口的telnet流量都经过IPSec的保护。要启动外部接口的telnet会话，要在防火墙的外部接口上把防火墙产生的IP数据流封装在IPSec中。新版的PIX（6.3以上）允许我们通过 VPN隧道访问PIX防火墙的内部接口，使用management-access命令配置。配置telnet登录系统上面已介绍过了，这里就不再介绍。我们主要介绍如何配置ssh远程登录PIX.
    SSH比telnet安全性高，具有底层加密和应用安全性。PIX使用SSH v1.在PIX只能配置成SSH服务器，本身不能发起SSH连接。最多允许5个SSH客户端访问控制台。配置方法如下：
    fw（config）# ca zeroize rsa
    fw（config）# ca save all
    fw（config）# domain-name test.com
    fw（config）# ca generate rsa key 1024
    For >= 1024, key generation could
    take up to several minutes. Please wait.
    Keypair generation process begin.
    .Success.
    fw（config）# ca save all
    设置完成后，在PC上使用SSH客户端程序就可以安全登录PIX防火墙了。
    2. 命令授权
    命令授权是PIX的一种细化管理方式，可把命令分配给不同的本地用户或特权级别。有三种类型的命令授权。分别是：
    · 使用密码进行特权级别进行命令授权。共有16个特权级别：0级到15级，15级是最高的特权级别。
    · fw（config）# enable password 12345 level 9                   #定义特权级别9
    · fw（config）# privilege show level 1 command access-list      #定义特权级别1只能show access-list
    · fw（config）# privilege configure level 9 command access-list #定义特权级别9可以配置access-list
    · fw（config）# aaa authorization command LOCAL                 #启用命令授权功能
    · 使用本地用户数据库进行命令授权。
    · fw（config）# privilege configure level 10 command access-list #定义特权级别10可以配置access-list
    · fw（config）# username jims password 12345 privilege 10         #定义jims用户可登录特权级别10
    · fw（config）# aaa authorization command LOCAL                   #启用命令授权功能
    · fw（config）# aaa authentication enable console LOCAL           #启用本地用户数据库验证功能
    · 使用CSACS进行命令授权。

使用show privilege all命令可以显示所有命令授权的配置。
    fw（config）# show privilege all
    privilege show level 15 command aaa
    privilege clear level 15 command aaa
    privilege configure level 15 command aaa
    privilege show level 15 command aaa-server
    privilege clear level 15 command aaa-server
    privilege configure level 15 command aaa-server
    privilege show level 15 command access-group
    privilege clear level 15 command access-group
    privilege configure level 15 command access-group
    …
    使用show curpriv命令可以显示当前登录用户。
    fw（config）# show curpriv
    Username : enable_15
    Current privilege level : 15
    Current Mode/s : P_PRIV P_CONF