思科防火墙telnet 的正确配置方法

admin管理员组

文章数量:1530845

2024年2月13日发(作者：)

一、运用 Telnet执行 远程系统管理（Using Telnet for Remote System

Management）

在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令阅读第三接口。列表从上往下的第三项是第三接口。

串行控制台让单一用户配置PIX防火墙，但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后，您就可运用 Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容：

· 配置Telnet控制台访问（Configuring Telnet Console Access）

· 测试Telnet访问（Testing Telnet Access）

· 保卫外部接口上的Telnet连接（Securing a Telnet Connection on the

Outside Interface）

· Trace Channel特征（Trace Channel Feature）

(一)、配置Telnet控制台访问（Configuring Telnet Console Access）

按照以下步骤来配置Telnet控制台访问：

步骤1运用 PIX防火墙telnet命令。

例如，如想让一台位于内部接口之上、地址为192.168.1.2的主机访问PIX防火墙，就输入以下命令。

telnet 192.168.1.2 255.255.255.255 inside

如果配置了IPSec，您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见"保卫外部接口上的Telnet连接（Securinga Telnet Connection on

the Outside Interface）"部分。

运用如下命令。telnet 209.165.200.225 225.255.225.224 outside

步骤2如须要，可对PIX防火墙在断开一个Telnet会话前，该会话可闲置的时间长度执行 配置。默认值5分钟对大多数情况来说过短，需予以延长直至完成所有生产前测试和纠错。按下例所示配置较长的闲置时间。telnet timeout 15;

步骤3如果您想用认证服务器来保卫 到控制台的访问，您可运用 aaa

authentication telnet console命令，它须要您在验证服务器上有一个用户名和口令。当您访问控制台时，PIX防火墙提示您提供这些登录条件。如果验证服务器离线，您仍可运用用户名pix和由enablepassword命令配置的口令访问控制台。

步骤4 用write memory命令保存配置中的命令?

(二)、测试Telnet访问（Testing Telnet Access）

执行以下步骤来测试Telnet访问：

步骤1从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正运用

Windows 95或Windows NT，点击Start>Run来启动Telnet会话。例如，如果内部接口IP地址是192.168.1.1，输入以下命令。telnet 192.168.1.1

步骤2PIX防火墙提示您输入口令：PIX passwd:输入cisco，然后按Enter键。您即登录到PIX防火墙上了。默认口令为cisco，您可用passwd命令来修改它。您可在Telnet控制台上输入任意您可从串行控制台上配置的命令，但如果您重启PIX防火墙，您将需在其重启动后登录PIX防火墙。一些Telnet使用，如Windows 95或Windows NT Telnet会话可能不支持通过箭头键运用的PIX防火墙命令历史记录特征。然而，您可按Ctrl-P来获取最近输入的命令。

步骤3一旦您建立了Telnet访问，您可能想在纠错时阅读 ping（探查）信息。您可用debug icmp trace命令阅读来自Telnet会话的ping信息。Trace Channel特征也对debug的显示有影响，这将在"Trace Channel特征（Trace Channel

Feature）"中详述。成功的ping信息如下：

Outbound ICMP echo request (len 32 id 1 seq 512)

209.165.201.2>209.165.201.1

Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23

步骤4此外，您可运用 Telnet控制台会话来阅读系统日志信息：

a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下运用 PIX防火墙，您可能希望运用 logging

buffered 7命令唇畔⒋娲⒃谀捎胹how logging命令阅读的缓存中，还可用clear logging命令清理缓存以便更方便地阅读。如想停止缓存信息，运用 no

logging buffered命令。您也可将数目从7降至较小值，如3，以限定所显示的信息数。

b. 如果您输入logging monitor命令，然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示，运用 terminal no monitor命令。

例1给出了运用 Telnet允许主机访问PIX防火墙控制台的命令。

例1 运用 Telnet

telnet 10.1.1.11 255.255.255.255

telnet 192.168.3.0 255.255.255.0

第一个telnet命令允许单一主机，10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。

第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机执行 访问。然而，Telnet只允许16台主机同时访问PIX防火墙控制台。

(三)、保卫外部接口上的Telnet连接 (Securing a Telnet Connection on the

Outside Interface)

本部分讲述如何 保卫到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容：

· 概述（Overview）

· 运用 Cisco Secure VPN Client (Using Cisco Secure VPN Client)

· 运用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

概述（Overview）

如果您正运用 Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正运用 Cisco VPN Client 3.0, Cisco Secure VPN

Client 1.1或Cisco VPN 3000 Client 2.5来保卫您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN

Client的IP地址来自于虚拟地址池，为10.1.2.0。

有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。

您将需在您的VPN客户机上配置两个安全策略。一个用于保卫您的Telnet连接，另一个保卫您到内部网络的连接。 运用 Cisco Secure VPN Client (Using

Cisco Secure VPN Client) 本部分仅适用于您运用 Cisco Secure VPN Client

的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行步骤1建立一个access-list命令语句，解释需从PIX防火墙到运用来自

本地虚拟地址池中目的地址的VPN客户机而执行 保卫的流量access-list 84

permit ip host 168.20.1.5 10.1.2.0 255.255.255.0步骤2解释哪台主机可用Telnet访问PIX防火墙控制台：

telnet 10.1.2.0 255.255.255.0 outside

从本地池和外部接口指定VPN客户机的地址。

步骤3在VPN客户机中，建立 一个安全策略，将远程方身份识别IP地址与网关IP地址解释为相同--PIX防火墙外部接口的IP地址。在此例中，PIX防火墙的外部IP地址为168.20.1.5。

步骤4配置VPN客户机上的其它安全策略，以与PIX防火墙的安全策略相配。

运用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

本部分仅适用于您运用 Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN

3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。

解释哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。

telnet 10.1.2.0 255.255.255.0 outside

(四)、Trace Channel特征（Trace Channel Feature）

debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的运用改动了您在PIX防火墙控制台或Telnet会话期间阅读屏幕上输出结果的形式。

如果一个debug命令不运用 Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不运用 Trace Channel的会话的输出是禁用的。

Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只运用 PIX防火墙串行控制台： o

如果您仅运用 PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。

o

如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。 o

如果您有2个或更多Telnet控制台会话，则第一个会话是Trace Channel。如果那一会话关上，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。

debug 命令在所有Telnet和串行控制台会话间共享。留心 Trace Channel特征的缺点是，如果一位管理员正运用串行控制台，另一管理员启动一个Telnet控制台会话，则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外，Telnet控制台会话上的管理员将突然看到debug命令的输出，这可能是其不希望出现的局面。如果您正运用串行控制台，且未出现debug命令的输出 ，运用 who命令来查看能不能有Telnet控制台会话正在运行。

二、IDS系统日志信息（IDS Syslog Messages）

IX防火墙经由系统日志列出了单分组（原子）Cisco入侵检测系统（IDS）签

字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。 此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以％PIX-4-4000nn开始，有下列格式：

％PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on

interface int_name

例如：

％PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on

interface dmz

% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1.

on interface outside

选项：

sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。

sig_msg 签字信息——几乎与NetRanger签字信息相同。

Ip_addr 签字适用的本地到远程地址。

Int_name 签字最初发出的接口名。

您可用以下命令确定显示哪些信息：

ip audit signature signature_number disable 将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名执审计。

no ip audit signature signature_number 从签名处删除策略。用于重新运用某一签名。

show ip audit signature [signature_number] 显示禁用签名。

ip audit info [action [alarm] [drop] [reset]] 指定对于分类为信息签名的签名所采取的默认行动。

alarm选项表示，当发觉某一分组中签名匹配，PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组，并且如果它是一条有效连接的一部分，则关上该连接。默认值为alarm。如想取消事件响应，运用不带action选项的ip audit info命令。

no ip audit info 配置针对分类为信息的签名而采取的行动，调查默认行动。

show ip audit info 显示默认信息行动。

ip audit attack [action [alarm] [drop] [reset]] 指定对于攻击签名所应采取的默认行动。action选项如前所解释。

no ip audit attack 将针对攻击签名而采取的行为是默认行为。

show ip audit attack 显示默认攻击行动。审计策略（审计准则）解释了所有可使用于某一接口的签名的属性以及一系列行动。运用审计策略，用户可限定审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别，可针对信息或攻击签名执行 解释。每个接口可有2个策略，一个用于信息签名，另一个用于攻击签名。如果解释的策略中无行动，则采取已配置的默认行动。每个策略须要一个不同名称。

ip audit name audit_name info[action [alarm] [drop] [reset]] 除被ip audit signature命令禁用或排除的信息签名之外，所有信息签名均被认为是策略的一部分。行动与前面描述的相同。

no ip audit name audit_name [info] 删除审计策略audit_name。

ip audit name audit_name attack [action [alarm] [drop] [reset]] 除被ip audit signature命令禁用或排除的攻击签名之外，所有攻击签名均被认

为是策略的一部分。行动与前面描述的相同。

no ip audit name audit_name [attack] 删除审计规定audit_name。

show ip audit name [name [infoattack]] 显示所有审计策略或按名称和可能的类型显示特定策略。

ip audit interface if_name audit_name 向某一接口使用审计规定或策略（经由ip audit name命令）。

no ip audit interface [if_name] 从某一接口删除一个策略。

show ip audit interface 显示接口配置。 1

一 月

产品名称 数量 金额 利润

合 计

四 月

产品名称

合 计

数量

金额

利润

合 计

产品名称

五 月

数量

金额

利润

产品名称

合 计

六 月

数量

金额

利润

合 计

二 月

合 计

三 月

利润

产品名称 数量 金额 利润 产品名称 数量 金额

下午13：00—17：00

B．实行不定时工作制的员工，在保证完成甲方工作任务情况下，经公司同意,可自行安排工作和休息时间。

3．1．2打卡制度

3.1.2.1公司实行上、下班指纹录入打卡制度。全体员工都必须自觉遵守工作时间，实行不定时工作制的员工不必打卡。

3.1.2.2打卡次数：一日两次，即早上上班打卡一次，下午下班打卡一次。

3.1.2.3打卡时间：打卡时间为上班到岗时间和下班离岗时间；

3.1.2.4因公外出不能打卡：因公外出不能打卡应填写《外勤登记表》,注明外出日期、事由、外勤起止时间。因公外出需事先申请，如因特殊情况不能事先申请，应在事毕到岗当日完成申请、审批手续，否则按旷工处理。因停电、卡钟（工卡）故障未打卡的员工，上班前、下班后要及时到部门考勤员处填写《未打卡补签申请表》，由直接主管签字证明当日的出勤状况，报部门经理、人力资源部批准后，月底由部门考勤员据此上报考勤。上述情况考勤由各部门或分公司和项目文员协助人力资源部进行管理。

3.1.2.5手工考勤制度

3.1.2.6手工考勤制申请：由于工作性质，员工无法正常打卡（如外围人员、出差），可由各部门提出人员名单，经主管副总批准后，报人力资源部审批备案。

3.1.2.7参与手工考勤的员工，需由其主管部门的部门考勤员(文员)或部门指定人员进行考勤管理，并于每月26日前向人力资源部递交考勤报表。

3.1.2.8参与手工考勤的员工如有请假情况发生，应遵守相关请、休假制度，如实填报相关表单。

3.1.2.9 外派员工在外派工作期间的考勤,需在外派公司打卡记录;如遇中途出差,持出差证明,出差期间的考勤在出差地所在公司打卡记录;

3.2加班管理

3.2.1定义

加班是指员工在节假日或公司规定的休息日仍照常工作的情况。

A．现场管理人员和劳务人员的加班应严格控制，各部门应按月工时标准，合理安排工作班次。部门经理要严格审批员工排班表，保证员工有效工时达到要求。凡是达到月工时标准的，应扣减员工本人的存休或工资；对超出月工时标准的，应说明理由，报主管副总和人力资源部审批。

B．因员工月薪工资中的补贴已包括延时工作补贴，所以延时工作在4小时（不含）以下的，不再另计加班工资。因工作需要，一般员工延时工作4小时至8小时可申报加班半天，超过8小时可申报加班1天。对主管(含)以上管理人员，一般情况下延时工作不计加班，因特殊情况经总经理以上领导批准的延时工作，可按以上标准计加班。

3.2.2.2员工加班应提前申请，事先填写《加班申请表》，因无法确定加班工时的，应在本次加班完成后3个工作日内补填《加班申请表》。《加班申请表》经部门经理同意，主管副总经理审核报总经理批准后有效。《加班申请表》必须事前当月内上报有效，如遇特殊情况，也必须在一周内上报至总经理批准。如未履行上述程序，视为乙方自愿加班。

3.2.2.3员工加班，也应按规定打卡，没有打卡记录的加班，公司不予承认；有打卡记录但无公司总经理批准的加班，公司不予承认加班。

3.2.2.4原则上，参加公司组织的各种培训、集体活动不计加班。

3.2.2.5加班工资的补偿：员工在排班休息日的加班，可以以倒休形式安排补休。原则上，员工加班以倒休形式补休的，公司将根据工作需要统一安排在春节前后补休。加班可按1：1的比例冲抵病、事假。

3.2.3加班的申请、审批、确认流程

3.2.3.1《加班申请表》在各部门文员处领取，加班统计周期为上月26日至本月25日。

3.2.3.2员工加班也要按规定打卡，没有打卡记录的加班，公司不予承认。各部门的考勤员(文员)负责《加班申请表》的保管及加班申报。员工加班应提前申请，事先填写《加班申请表》加班前到部门考勤员(文员)处领取《加班申请表》，《加班申请表》经项目管理中心或部门经理同意，主管副总审核，总经理签字批准后有效。填写并履行完审批手续后交由部门考勤员(文员)保管。

3.2.3.3部门考勤员（文员）负责检查、复核确认考勤记录的真实有效性并在每月27日汇总交人力资源部，逾期未交的加班记录公司不予承认。

下午13：00—17：00

度。全体员工都必须自觉遵守工作时间，实行不定时工作制的员工不必打卡。

3.1.2.2打卡次数：一日两次，即早上上班打卡一次，下午下班打卡一次。

26

3.2

44881

3

11

2625

27

本文标签： 防火墙加班命令