远程连接PIX防火墙
1.远程连接PIX
当管理的防火墙设备比较多时,使用telnet或ssh进行远程登录是最我们常用的方法。PIX要求所有到外部接口的telnet流量都经过IPSec的保护。要启动外部接口的telnet会话,要在防火墙的外部接口上把防火墙产生的IP数据流封装在IPSec中。新版的PIX(6.3以上)允许我们通过 VPN隧道访问PIX防火墙的内部接口,使用management-access命令配置。配置telnet登录系统上面已介绍过了,这里就不再介绍。我们主要介绍如何配置ssh远程登录PIX.
SSH比telnet安全性高,具有底层加密和应用安全性。PIX使用SSH v1.在PIX只能配置成SSH服务器,本身不能发起SSH连接。最多允许5个SSH客户端访问控制台。配置方法如下:
fw(config)# ca zeroize rsa
fw(config)# ca save all
fw(config)# domain-name test.com
fw(config)# ca generate rsa key 1024
For >= 1024, key generation could
take up to several minutes. Please wait.
Keypair generation process begin.
.Success.
fw(config)# ca save all
设置完成后,在PC上使用SSH客户端程序就可以安全登录PIX防火墙了。
2. 命令授权
命令授权是PIX的一种细化管理方式,可把命令分配给不同的本地用户或特权级别。有三种类型的命令授权。分别是:
· 使用密码进行特权级别进行命令授权。共有16个特权级别:0级到15级,15级是最高的特权级别。
· fw(config)# enable password 12345 level 9 #定义特权级别9
· fw(config)# privilege show level 1 command access-list #定义特权级别1只能show access-list
· fw(config)# privilege configure level 9 command access-list #定义特权级别9可以配置access-list
· fw(config)# aaa authorization command LOCAL #启用命令授权功能
· 使用本地用户数据库进行命令授权。
· fw(config)# privilege configure level 10 command access-list #定义特权级别10可以配置access-list
· fw(config)# username jims password 12345 privilege 10 #定义jims用户可登录特权级别10
· fw(config)# aaa authorization command LOCAL #启用命令授权功能
· fw(config)# aaa authentication enable console LOCAL #启用本地用户数据库验证功能
· 使用CSACS进行命令授权。
使用show privilege all命令可以显示所有命令授权的配置。
fw(config)# show privilege all
privilege show level 15 command aaa
privilege clear level 15 command aaa
privilege configure level 15 command aaa
privilege show level 15 command aaa-server
privilege clear level 15 command aaa-server
privilege configure level 15 command aaa-server
privilege show level 15 command access-group
privilege clear level 15 command access-group
privilege configure level 15 command access-group
…
使用show curpriv命令可以显示当前登录用户。
fw(config)# show curpriv
Username : enable_15
Current privilege level : 15
Current Mode/s : P_PRIV P_CONF