PIX防火墙系统管理

本文介绍了如何配置并使用PIX防火墙提供的工具及特性，以监控和配置系统，并监控网络活动。它包括以下部分：

• 使用Telnet进行远程系统管理（Using Telnet for Remote System Management）
• IDS系统日志信息（IDS Syslog Messages）
• 使用DHCP（Using DHCP）
• 使用SNMP（Using SNMP）
• 使用SSH（Using SSH）

在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。

串行控制台让单一用户配置PIX防火墙，但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后，您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容：

• 配置Telnet控制台访问（Configuring Telnet Console Access）
• 测试Telnet访问（Testing Telnet Access）
• 保护外部接口上的Telnet连接（Securing a Telnet Connection on the Outside Interface）
• Trace Channel特性（Trace Channel Feature）

(一)、配置Telnet控制台访问（Configuring Telnet Console Access）
按照以下步骤来配置Telnet控制台访问：

(二)、测试Telnet访问（Testing Telnet Access）
执行以下步骤来测试Telnet访问：

(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)
本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容：

• 概述（Overview）
• 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
• 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

  概述（Overview）
  如果您正使用Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。
  
  有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。
  
  您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接，另一个保护您到内部网络的连接。

  使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

  本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。

使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。

定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。
telnet 10.1.2.0 255.255.255.0 outside

(四)、Trace Channel特性（Trace Channel Feature）

debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。

如果一个debug命令不使用Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不使用Trace Channel的会话的输出是禁用的。

Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只使用PIX防火墙串行控制台：

• 如果您仅使用PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。
• 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。
• 如果您有2个或更多Telnet控制台会话，则第一个会话是Trace Channel。如果那一会话关闭，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。

debug 命令在所有Telnet和串行控制台会话间共享。

注意 Trace Channel特性的缺点是，如果一位管理员正使用串行控制台，另一管理员启动一个Telnet控制台会话，则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外，Telnet控制台会话上的管理员将突然看到debug命令的输出，这可能是其不希望出现的局面。如果您正使用串行控制台，且未出现debug命令的输出 ，使用who命令来查看是否有Telnet控制台会话正在运行。

　　此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以％PIX-4-4000nn开始，有下列格式：

％PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name

例如：

％PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz

% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside

选项：

sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。

sig_msg 签字信息——几乎与NetRanger签字信息相同。

Ip_addr 签字适用的本地到远程地址。

Int_name 签字最初发出的接口名。

您可用以下命令确定显示哪些信息：

ip audit signature signature_number disable

将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名进行审计。

no ip audit signature signature_number

从签名处删除策略。用于重新使用某一签名。

show ip audit signature [signature_number]

显示禁用签名。

ip audit info [action [alarm] [drop] [reset]]

指定对于分类为信息签名的签名所采取的默认行动。

alarm选项表示，当发现某一分组中签名匹配，PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组，并且如果它是一条有效连接的一部分，则关闭该连接。默认值为alarm。如想取消事件响应，使用不带action选项的ip audit info命令。

no ip audit info

设置针对分类为信息的签名而采取的行动，调查默认行动。

show ip audit info

显示默认信息行动。

ip audit attack [action [alarm] [drop] [reset]]

指定对于攻击签名所应采取的默认行动。action选项如前所定义。 no ip audit attack

将针对攻击签名而采取的行为是默认行为。

show ip audit attack

显示默认攻击行动。审计策略（审计规则）定义了所有可应用于某一接口的签名的属性以及一系列行动。使用审计策略，用户可限制审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别，可针对信息或攻击签名进行定义。每个接口可有2个策略，一个用于信息签名，另一个用于攻击签名。如果定义的策略中无行动，则采取已配置的默认行动。每个策略需要一个不同名称。

ip audit name audit_name info[action [alarm] [drop] [reset]]

除被ip audit signature命令禁用或排除的信息签名之外，所有信息签名均被认为是策略的一部分。行动与前面描述的相同。

no ip audit name audit_name [info]

删除审计策略audit_name。

ip audit name audit_name attack [action [alarm] [drop] [reset]]

除被ip audit signature命令禁用或排除的攻击签名之外，所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。

no ip audit name audit_name [attack]

删除审计规定audit_name。

show ip audit name [name [info|attack]]

显示所有审计策略或按名称和可能的类型显示特定策略。

ip audit interface if_name audit_name

向某一接口应用审计规定或策略（经由ip audit name命令）。

no ip audit interface [if_name]

从某一接口删除一个策略

。 show ip audit interface

显示接口配置。

　　PIX防火墙支持动态主机配置协议（DHCP）服务器和DHCP客户机。DHCP是一个协议，向互联网主机提供自动配置参数。此协议有两个组成部分：

• 用于从DHCP服务器向主机（DHCP客户机）提供主机特定配置参数的协议
• 用于向主机分配网络地址的机制

　　 DHCP服务器是向DHCP客户机提供配置参数的计算机，DHCP客户机则是使用DHCP获得网络配置参数的计算机或网络设备。

　　在PIX防火墙中实施DHCP服务器和DHCP客户机特性的主要目的是大大简化PIX防火墙单元的配置。

　　本部分包括以下内容：

• DHCP客户机（DHCP Client）
• DHCP服务器（DHCP Server）

　　DHCP客户机（DHCP Client）

PIX防火墙中的DHCP客户机支持经过专门设计，适用于小型办公室、家庭办公室（SOHO）环境，这些环境中使用PIX防火墙直接与支持DHCP服务器功能的DSL或电缆调制解调器相连。随着PIX防火墙上DHCP客户机特性的实施，PIX防火墙对DHCP服务器来说即可作为DHCP客户机，允许服务器用IP地址、子网掩模和可选的默认路由来配置单元的启动接口。

ip address dhcp命令可在指定PIX防火墙接口上启动DHCP客户机特性。可选setroute参数让PIX防火墙使用DHCP服务器返回的默认网关参数来设置默认路由。

debug dhcpc命令为启动的DHCP客户机特性提供纠错工具。

用于实施DHCP客户机的PIX防火墙命令在《Cisco PIX防火墙命令参考》的ip address命令页和debug命令页中介绍。具体信息请参见这些命令页。

注意 DHCP所需的外部接口的IP地址也可用作PAT全局地址。这样，ISP就无需向PIX防火墙分配静态IP地址了。使用带interface关键字的global命令来使PAT使用DHCP所需的外部接口IP地址。有关global命令的具体信息，请参见《Cisco PIX防火墙命令参考》中的global命令页。

启动DHCP客户机特性和设置默认路由（Enabling the DHCP Client Feature and Setting Default Route）

为在给定PIX防火墙接口上启动DHCP客户机特性并经由DHCP服务器设置默认路由，需将ip address dhcp setroute命令作为您整个PIX防火墙配置的一部分加以配置，这其中包括setroute选项。指定将在其上启动DHCP客户机的接口名。

DHCP服务器（DHCP Server）

PIX防火墙中的DHCP服务器支持经过了专门设计，适用于使用PIX 506的远程家庭或分支机构（ROBO）环境。与PIX防火墙相连的是PC客户机和其它网络设备（DHCP客户机），它们建立了不安全（未加密）或安全（使用IPSec加密）的网络连接来访问企业或公司网络。作为一个DHCP服务器，PIX防火墙通过使用DHCP向DHCP客户机提供了网络配置参数。这些配置参数为DHCP客户机提供了用于访问企业网的网络参数，以及在网络中网络服务（如DNS服务器）使用的参数。

在5.3版软件发布前，PIX防火墙DHCP服务器支持10个DHCP客户机、PIX防火墙5.3及更高版本在PIX防火墙上支持32个DHCP客户机，在其它平台上支持256个。在6.0或更高版本中，PIX防火墙DHCP服务器支持256个DHCP客户机。您不能使用C类网络掩模为256个客户机配置1个DHCP服务器。例如，如果一家公司有C类网络地址172.17.1.0，带网络掩模255.255.255.0，那么172.17.1.0（网络IP）和172.17.1.255（广播）不可能在DHCP地址池范围之内。此外，一个地址用于PIX防火墙接口。因此，如果用户使用C类网络掩模，就只能最多拥有253个DHCP客户机。如想配置256个客户机，就不能使用C类网络掩模。

注意 PIX防火墙DHCP服务器不支持BOOTP请求和故障转换配置。用于实施DHCP服务器特性的PIX防火墙命令在《Cisco PIX防火墙命令参考》的dhcp命令页和debug命令页中介绍。具体信息请参见这些命令页。

配置DHCP服务器特性（Configuring the DHCP Server Feature）

确保在启动DHCP服务器特性前，使用ip address命令来配置IP地址和inside接口的子网掩模。

按照以下步骤来在给定PIX防火墙接口上启动DHCP服务器特性。（步骤1到6为必需）。

下例为上述过程的配置列表。

! set the ip address of the inside interface

ip address inside 10.0.1.2 255.255.255.0

! configure the network parameters the client will use once in the corporate network and

dhcpd address 10.0.1.101-10.0.1.110

dhcpd dns 209.165.201.2 209.165.202.129

dhcpd wins 209.165.201.5

dhcpd lease 3000

dhcpd domain example.com

! enable dhcp server daemon on the inside interface

dhcpd enable inside

下例为DHCP地址池和DNS服务器地址的配置，带启动了DHCP服务器特性的内部接口：

dhcpd address 10.0.1.100-10.0.1.108

dhcpd dns 209.165.200.227

dhcpd enable

下例为DHCP地址池的配置，使用auto_config命令来配置dns,wins和域参数： dhcpd address 10.0.1.100-10.0.1.108

dhcpd auto_config

dhcpd enable

下面是远程办公室中一个PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙，它的外部接口IP地址为209.165.200.228，作为公司网络的网关。

! configure interface ip address

ip address outside 209.165.202.129 255.255.255.0

ip address inside 172.17.1.1 255.255.255.0

! configure ipsec with corporate pix

access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0

ipsec transform-set myset esp-des esp-sha-hmac

crypto map mymap 10 ipsec-isakmp

crypto map mymap 10 match address ipsec-peer

crypto map mymap 10 set transform-set myset

crypto map mymap 10 set peer 209.165.200.228

crypto map mymap interface outside

sysopt connection permit-ipsec

nat (inside) 0 access-list ipsec-peer

isakmp policy 10 authentication preshare

isakmp policy 10 encryption des

isakmp policy 10 hash sha

isakmp policy 10 group 1

isakmp policy 10 lifetime 3600

isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0

isakmp enable outside

!configure dhcp server address

dhcpd address 172.17.1.100-172.17.1.109

dhcpd dns 192.168.0.20

dhcpd wins 192.168.0.10

dhcpd lease 3000

dhcpd domain example.com

! enable dhcp server on inside interface

dhcpd enable

! use outside interface ip as PAT global address

nat (inside) 1 0 0

global (outside) 1 interface

　　snmp_server命令使PIX防火墙可发送SNMP陷阱，以便PIX防火墙可从远程监控。使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。
　　此部分包括下列内容：

• 简介（Introduction）
• MIB支持（MIB Support）
• SNMP使用率说明（SNMP Usage Notes）
• SNMP陷阱（SNMP Traps）
• 编辑Cisco Syslog MIB文件（Compiling Cisco Syslog MIB Files）
• 使用防火墙和内存池MIB（Using the Firewall and Memory Pool MIBs）

简介（Introduction）
可用的PIX防火墙SNMP MIB-II组有系统（System）和接口（Interfaces）。Cisco防火墙MIB和Cisco内存池MIB也可用。

所有SNMP值仅为只读（RO）
使用SNMP，您可以监控PIX防火墙上的系统事件。SNMP事件可以读取，但PIX防火墙上的信息不能用SNMP更改。SNMP管理站可用的PIX防火墙SNMP陷阱如下所示：

• 通用陷阱
  - 上链路和下链路（电缆与接口相连与否；电缆与正在工作还是与非工作状态的接口相连）
  - 冷启动
  - 验证故障（公用字符串不匹配）
• 经由Cisco Syslog MIB发送的与安全相关的事件：
  - 拒绝全局访问
  - 故障转换系统日志信息
  - 系统日志信息

使用CiscoWorks for Windows或任意其它SNMP V1、MIB-II兼容型浏览器来接收SNMP陷阱并浏览MIB。SNMP陷阱出现于UDP端口162。

MIB支持（MIB Support）

注意 PIX防火墙不支持Cisco系统日志MIB的浏览。您可浏览MIB-II的系统和接口组。MIB的浏览与发送陷阱不同。浏览意味着从管理站执行MIB树的snmpget或snmpwalk命令以确定数值。

可使用Cisco防火墙MIB和Cisco内存池MIB。 PIX防火墙不支持Cisco防火墙MIB中的下列特性：

• cfwSecurityNotification NOTIFICATION-TYPE
• cfwContentInspectNotification NOTIFICATION-TYPE
• cfwConnNotification NOTIFICATION-TYPE
• cfwAccessNotification NOTIFICATION-TYPE
• cfwAuthNotification NOTIFICATION-TYPE
• cfwGenericNotification NOTIFICATION-TYPE

SNMP使用率说明（SNMP Usage Notes）

如果接口可访问，MIB-II ifEntry.ifAdminStatus对象返回1，如果您用interface命令的shutdown选项关闭接口，则返回2。

SNMP“ifOutUcastPkts”对象现正确地返回输出分组数。

SNMP模块产生的系统日志信息现可指明接口名而非接口号。

SNMP陷阱（SNMP Traps）
陷阱与浏览不同，它们是受控设备向管理站就特定事件，如上链路、下链路和所生成的系统日志事件等发出的未经请求的“评论”。

PIX防火墙的SNMP对象ID（OID）显示在从PIX防火墙发送的SNMP事件陷阱中。PIX防火墙根据硬件平台提供SNMP事件陷阱和SNMP mib-2.system.sysObjectID变量的系统OID。

接收请求和发送系统日志陷阱

按照以下步骤来接收请求并从PIX防火墙向SNMP管理站发送陷阱：

location和contact命令确定了主机的位置和谁管理主机。community命令指定了PIX防火墙SNMP代理和SNMP管理站中使用的口令，以验证两个系统间的网络访问。

编辑Cisco系统日志MIB文件（Compiling Cisco Syslog MIB Files）

为从PIX防火墙接收安全性和故障转换SNMP陷阱，就需将Cisco SMI MIB和Cisco系统日志MIB编辑入您的SNMP管理应用。如果您未将Cisco系统日志MIB编辑入您的应用，您就只能接收用于上或下链路、防火墙冷启动和验证故障的陷阱。

在此页中，从Cisco安全和VPN选择列表中选择PIX Firewall。

按照以下步骤使用CiscoWorks for Windows (SNMPc)将Cisco系统日志MIB文件编辑入您的浏览器：

注意 这些指令仅用于SNMPc (CiscoWorks for Windows)。

使用防火墙和内存池MIB（Using the Firewall and Memory Pool MIBs）

Cisco防火墙和内存池MIB让您可以轮询故障转换和系统状态。本部分包括以下内容：

• ipAddrTable说明（ipAddrTable Notes）
• 浏览故障转换状态（Viewing Failover Status）
• 验证内存使用率（Verifying Memory Usage）
• 浏览连接数（Viewing The Connection Count）
• 浏览系统缓存使用率（Viewing System Buffer Usage）

在每部分最后的表中，每个返回值的意义都显示在括号中。

ipAddrTable说明（ipAddrTable Notes）
SNMP ip.ipAddrTable的使用要求所有接口都分别有各自独特的地址。如果接口未被分配IP地址，则其IP地址默认为127.0.0.1。拥有重复IP地址会导致SNMP管理站无限循环。工作循环就是向每个接口分配一个不同的地址。例如，您可将一个地址设置为127.0.0.1，另一地址设置为127.0.0.2等。

SNMP使用一系列GetNext操作来转换MIB树。每个GetNext请求均以前－请求的结果为基础。因此，如果两个连续接口有相同的IP 127.0.0.1（表索引），GetNext功能返回127.0.0.1，这是正确的；然而，当SNMP使用同一结果（127.0.0.1）生成下一GetNext请求，该请求与前一请求一样，从而会导致管理站无限循环。

例如：GetNext (ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1)

在SNMP协议中，MIB表索引必须是独一无二的，以便代理识别MIB表的某一行。ip.AddrTable的表索引是PIX防火墙接口IP地址，故此IP地址应独一无二；否则，SNMP代理将发生混乱并可能返回有相同IP（索引）的另一接口（行）的信息。

浏览故障转换状态（Viewing Failover Status）

Cisco防火墙MIB的cfsHardwareStatusTable允许您确定是否启动故障转换以及哪个单元处在活动状态。Cisco防火墙MIB通过cfwHardwareStatusTable对象中的两行来指示故障转换状态。从PIX防火墙命令行，您可用show failover命令浏览故障转换状态。您可从以下路径访问对象表：

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.

ciscoFirewallMIBObjects.cfwSystem.cfwStatus.cfwHardwareStatusTable

cfwHardwareInformation.6 :

cfwHardwareInformation.7 :

cfwHardwareStatusValue.6 :0

cfwHardwareStatusValue.7 :0

cfwHardwareStatusDetail.6 :Failover Off

cfwHardwareStatusDetail.7 :Failover Off

在此表中，表索引cfwHardwareType作为.6或.7附在每个随后对象的最后。cfwHardwareInformation域为空白，cfwHardwareStatus值为0，而cfwHardwareStatusDetail包含Failover Off，这表示故障转换状态。

启动故障转换时，MIB查询范例生成下列信息：

cfwHardwareInformation.6 :

cfwHardwareInformation.7 :

cfwHardwareStatusValue.6 : active

cfwHardwareStatusValue.7 : standby

cfwHardwareStatusDetail.6 :

cfwHardwareStatusDetail.7 :

在此表中，只有cfwHardwareStatusValue包含数值，即active或standby来表示每个单元的状态。

验证内存使用率（Verifying Memory Usage）

您可确定Cisco内存池MIB带有多少空闲内存。从PIX防火墙命令行，可用show memory命令浏览内存使用率。以下是show memory命令的输出范例。

show memory

16777216 bytes total, 5595136 bytes free

您可从以下路径访问MIB对象：

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoMemoryPoolMIB. ciscoMemoryPoolObjects.ciscoMemoryPoolTable

在HP OpenView Browse MIB应用的“MIB值”窗口中，MIB查询范例生成以下信息：

ciscoMemoryPoolName.1 :PIX system memory

ciscoMemoryPoolAlternate.1 :0

ciscoMemoryPoolValid.1 :true

ciscoMemoryPoolUsed.1 :12312576

ciscoMemoryPoolFree.1 :54796288

ciscoMemoryPoolLargestFree.1 :0

在此表中，表索引cisco MemoryPoolName作为.1值附在每个随后对象值的最后。cisco MemoryPoolUsed对象列出当前在用的字节数12312576，ciscoMemoryPoolFree对象则列出了当前空闲的字节数54796288。其它对象则总是列出表18中的值。

浏览连接数（Viewing The Connection Count）

您可从Cisco防火墙MIB中的cfwConnectionStatTable浏览在用的连接数。从PIX防火墙命令行，您可用show conn命令浏览连接数。以下是show conn命令输出范例，可确认cfwConnectionStatTable中的信息的初始出处。

show conn

15 in use, 88 most used

cfwConectionStatTable对象表可从以下路径访问：

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.

ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwConnectionStatTable

在HP OpenView Browse MIB应用的“MIB值”窗口中，MIB查询范例生成以下信息：

cfwConnectionStatDescription.40.6 :number of connections currently in use by the entire firewall

cfwConnectionStatDescription.40.7 :highest number of connections in use at any one time since system startup

cfwConnectionStatCount.40.6 :0

cfwConnectionStatCount.40.7 :0

cfwConnectionStatValue.40.6 :15

cfwConnectionStatValue.40.7 :88

在此表中，表索引cfwConnectionStatService作为.40附在每个随后对象之后，而表索引cfwConnectionStatType则为.6 (表示在用的连接数) 或.7(表示最多使用的连接数)。cfwConnectionStatValue对象然后可列出连接数。cfwConnectionStatCount对象常返回0值。

浏览系统缓存使用率（Viewing System Buffer Usage）

您可在多行cfwBufferStats表中浏览Cisco防火墙MIB的系统缓存使用率。系统缓存使用率提供了PIX防火墙达到其容量限制的早期报警。在命令行上，您可用show blocks命令来浏览此信息。以下是show blocks命令的输出范例，显示了cfwBufferStatsTable是如何传播的。

show blocks

SIZE MAX LOW CNT

4 1600 1600 1600

80 100 97 97

256 80 79 79

1550 780 402 404

65536 8 8 8

您可在以下路径浏览cfwBufferStatsTable：

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB. ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwBufferStatsTable

下表列出了浏览系统块使用率所需的对象。

注意 这三行对每个在show blocks命令的输出中列出的块大小进行重复.

在HP OpenView Browse MIB应用的“MIB值”窗口中，MIB查询范例生成以下信息：

cfwBufferStatInformation.4.3 :maximum number of allocated 4 byte blocks

cfwBufferStatInformation.4.5 :fewest 4 byte blocks available since system startup

cfwBufferStatInformation.4.8 :current number of available 4 byte blocks

cfwBufferStatInformation.80.3 :maximum number of allocated 80 byte blocks

cfwBufferStatInformation.80.5 fewest 80 byte blocks available since system startup

cfwBufferStatInformation.80.8 :current number of available 80 byte blocks

cfwBufferStatInformation.256.3 :maximum number of allocated 256 byte blocks

cfwBufferStatInformation.256.5 :fewest 256 byte blocks available since system startup

cfwBufferStatInformation.256.8 :current number of available 256 byte blocks

cfwBufferStatInformation.1550.3 :maximum number of allocated 1550 byte blocks

cfwBufferStatInformation.1550.5 :fewest 1550 byte blocks available since system startup

cfwBufferStatInformation.1550.8 :current number of available 1550 byte blocks

cfwBufferStatValue.4.3: 1600

cfwBufferStatValue.4.5: 1600

cfwBufferStatValue.4.8: 1600

cfwBufferStatValue.80.3: 400

cfwBufferStatValue.80.5: 396

cfwBufferStatValue.80.8: 400

cfwBufferStatValue.256.3: 1000

cfwBufferStatValue.256.5: 997

cfwBufferStatValue.256.8: 999

cfwBufferStatValue.1550.3: 1444

cfwBufferStatValue.1550.5: 928

cfwBufferStatValue.1550.8: 932

在此列表中，第一个表索引cfwBuffer作为附在每个项目最后的第一个数字出现，如.4或.256。另一表索引cfwBufferStatType在第一个索引后作.3、.5或.8出现。对于每个块大小，cfwBufferStatInformation对象确认值的类型，而cfwBufferStatValue对象则确认每个值的字节数。

使用SSH（Using SSH）

SSH（安全壳式程式）是运行于可靠传输层上的应用，如提供强大验证和加密功能。PIX防火墙支持SSH版本1中提供的SSH远程壳式程序。SSH 1也可与Cisco ISO软件设备共用。最多可允许5个SSH客户机同时访问PIX防火墙控制台。

注意 在客户机可与PIX防火墙控制台连接前为PIX防火墙生成一个RSA密钥对。为使用SSH，您的PIX防火墙就需有一个DES或3DES激活密钥。

目前远程配置PIX防火墙单元的方法包括启动一条到PIX防火墙的Telnet连接，以开始一个壳式会话并进入配置模式。此连接方法仅可提供与Telnet相同的安全性，而Telnet的安全性只是作为较低层加密（如IPSec）和应用安全性（远程主机处的用户名/口令验证）提供的。PIX防火墙SSH实施提供了一个无IPSec的安全远程壳式会话，仅起到服务器的作用，即PIX防火墙不能启动SSH连接。

具体信息，请参见《Cisco PIX防火墙命令参考指南》中的aaa和ssh命令页。