CISCO防火墙常用号令及详解[网络技术]

1、show cpu usage

PIX只有一个CPU来完成全部的工作,从处理包到向console写debug信息.最损耗CPU资源的进程是加密,因此假如PIX要完成数据包的加密工作,最好利用加快卡或专用的VPN Concentrator. 日记功效是别的一个损耗大量系统资源的进程.因此,倡议在正常情形下关闭PIX向console, monitor, buffer写日记的功效.

pixfirewall# show cpu usage

CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%

2、show traffic

本号令可以看出在特定的时间内有多少流量流经PIX了.这个特定的时间是上次履行本号令到这次履行本号令的时间隔断.我们可以看到各个接口的数据流量情形.

ZJ-WAP-FW-2# show traffic

inside:

        received (in 1506074.635 secs):

                277725221288 packets    143521417050444 bytes   （自从FW开机到目前的input总吞吐量）

                184001 pkts/sec 95295000 bytes/sec  （自从FW开机到目前的input平均值）

        transmitted (in 1506074.635 secs):

                287523217939 packets    151292879605153 bytes   （自从FW开机到目前的output总吞吐量）

                190002 pkts/sec 100455001 bytes/sec    （自从FW开机到目前的output平均值）

      1 minute input rate 19597 pkts/sec,  11294493 bytes/sec    （1分钟内的input平均吞吐量值）

      1 minute output rate 20063 pkts/sec,  11294468 bytes/sec   （1分钟内的output平均吞吐量值）

      1 minute drop rate, 34 pkts/sec

      5 minute input rate 19102 pkts/sec,  9905358 bytes/sec     （5分钟内的input平均吞吐量值）

      5 minute output rate 20159 pkts/sec,  11419208 bytes/sec   （5分钟内的ioutput平均吞吐量值）

      5 minute drop rate, 36 pkts/sec

3、show perfmon

这条号令监测PIX查抄的数据的流量和范例.它可以判断出PIX上每秒所做的变更(xlates)和衔接数(conn).

PERFMON STATS Current Average

Xlates 18/s 19/s

Connections 75/s 79/s

TCP Conns 44/s 49/s

UDP Conns 31/s 30/s

URL Access 27/s 30/s

URL Server Req 0/s 0/s

TCP Fixup 1323/s 1413/s

TCPIntercept 0/s 0/s

HTTP Fixup 923/s 935/s

FTP Fixup 4/s 2/s

AAA Authen 0/s 0/s

AAA Author 0/s 0/s

AAA Account 0/s 0/s

此中,较重要的有Xlates是每秒钟产生变更的数字;Connections是成立的衔接数;TCP Fixup是指PIX每秒钟转发了多少TCP包;TCPIntercept是指有每秒多少SYN包已经超越了开始的设定值.

4、show blocks

和show cpu usage在一同利用,可以判断出PIX能否过载了.

当一个数据包进入防火墙的接口,会先排在input接口的行列中,按照数据帧的大小,又被分到差别的block中.如关于以太网帧,利用1550字节的block.假如数据是从千兆口进来的,会利用16384字节的block.PIX然后会按照ASA算法决意能否让包通过.假如PIX过载了,那呼应的block会降到或接近0(看CNT这一列).当该值降到0时,PIX会尝试申请更多的block, 最多可到8192.假如没有block可用,包会被丢弃.

256字节的block是stateful failover信息.主PIX向从PIX发送这些包以更新xlates和connection信息.假如某段时间有大量的衔接成立和撤消,256字节的block大概会降到0,就是说从PIX大概没有和主PIX同步.这个时间假如不长,是可以承受的,但假如长时间保持在0,需求考虑进级到更高速的PIX了.

别的,日记信息也是通过256字节的block向外部送出的,注意普通不需求将日记的级别设置成debug.

pixfirewall# show blocks

SIZE MAX LOW CNT

4 1600 1597 1600

80 400 399 400

256 500 495 499

1550 1444 1170 1188

16384 2048 1532 1538

5、show memory

可以看出PIX的内存以及当前可用的内存.正常情形下,PIX的可用内存的改变幅度不该该太大.假如忽然发现内存快用光了,要查抄能否用攻击发生.可以用show conn count号令看当前PIX中有多少衔接,假如PIX内存耗尽,终究会crash.

pixfirewall# show memory

1073741824 bytes total, 1022992384 bytes free

6、show xlate count

显示当前通过PIX的变更数和最多到达的变更数.一个变更是指一个内部地址变更成一个外部合理地址.一台机械大概会与外部的多个目标成立衔接,但这时只有一个变更.假如显示的变更数宏大于内部的机械数,大概是遭到了网络攻击.

pixfirewall# show xlate count

84 in use, 218 most used

7、show conn count

可以看当前的PIX的最大的衔接数.一个connection是一个内部4层信息到外部地址的映射.当PIX收到一个SYN包,就成立一个connection. 太高connection数意味着遭到了攻击

[1] [2]  下一页