1.远程连接PIX
当管理的VPN隧道访问PIX防火墙的内部接口,使用management-access命令配置。配置telnet登录系统上面已介绍过了,这里就不再介绍。我们主要介绍如何配置ssh远程登录PIX.
SSH比telnet安全性高,具有底层加密和应用安全性。PIX使用SSH v1.在PIX只能配置成SSH服务器,本身不能发起SSH连接。最多允许5个SSH客户端访问控制台。配置方法如下:
fw(config)# ca zeroize rsa
fw(config)# ca save all
fw(config)# domain-name test.com
fw(config)# ca generate rsa key 1024
For <key_modulus_size> >= 1024, key generation could
take up to several minutes. Please wait.
Keypair generation process begin.
.Success.
fw(config)# ca save all
设置完成后,在PC上使用SSH客户端程序就可以安全登录PIX防火墙了。
2. 命令授权
命令授权是PIX的一种细化管理方式,可把命令分配给不同的本地用户或特权级别。有三种类型的命令授权。分别是:
· 使用密码进行特权级别进行命令授权。共有16个特权级别:0级到15级,15级是最高的特权级别。
· fw(config)# enable password 12345 level 9 #定义特权级别9
· fw(config)# privilege show level 1 command access-list #定义特权级别1只能show access-list
· fw(config)# privilege configure level 9 command access-list #定义特权级别9可以配置access-list
· fw(config)# aaa authorization command LOCAL #启用命令授权功能
· 使用本地用户数据库进行命令授权。
· fw(config)# privilege configure level 10 command access-list #定义特权级别10可以配置access-list
· fw(config)# username jims password 12345 privilege 10 #定义jims用户可登录特权级别10
· fw(config)# aaa authorization command LOCAL #启用命令授权功能
· fw(config)# aaa authentication enable console LOCAL #启用本地用户数据库验证功能
· 使用CSACS进行命令授权。
当管理的VPN隧道访问PIX防火墙的内部接口,使用management-access命令配置。配置telnet登录系统上面已介绍过了,这里就不再介绍。我们主要介绍如何配置ssh远程登录PIX.
SSH比telnet安全性高,具有底层加密和应用安全性。PIX使用SSH v1.在PIX只能配置成SSH服务器,本身不能发起SSH连接。最多允许5个SSH客户端访问控制台。配置方法如下:
fw(config)# ca zeroize rsa
fw(config)# ca save all
fw(config)# domain-name test.com
fw(config)# ca generate rsa key 1024
For <key_modulus_size> >= 1024, key generation could
take up to several minutes. Please wait.
Keypair generation process begin.
.Success.
fw(config)# ca save all
设置完成后,在PC上使用SSH客户端程序就可以安全登录PIX防火墙了。
2. 命令授权
命令授权是PIX的一种细化管理方式,可把命令分配给不同的本地用户或特权级别。有三种类型的命令授权。分别是:
· 使用密码进行特权级别进行命令授权。共有16个特权级别:0级到15级,15级是最高的特权级别。
· fw(config)# enable password 12345 level 9 #定义特权级别9
· fw(config)# privilege show level 1 command access-list #定义特权级别1只能show access-list
· fw(config)# privilege configure level 9 command access-list #定义特权级别9可以配置access-list
· fw(config)# aaa authorization command LOCAL #启用命令授权功能
· 使用本地用户数据库进行命令授权。
· fw(config)# privilege configure level 10 command access-list #定义特权级别10可以配置access-list
· fw(config)# username jims password 12345 privilege 10 #定义jims用户可登录特权级别10
· fw(config)# aaa authorization command LOCAL #启用命令授权功能
· fw(config)# aaa authentication enable console LOCAL #启用本地用户数据库验证功能
· 使用CSACS进行命令授权。
上一篇:ciscopix防火墙接管smtp 下一篇:无线网络的组建的两大误区及安全性分析