PIX防火墙比较有用的指令.docVIP

PIX防火墙几个比较有用的指令 show cpu usage 　　PIX只有一个CPU来完成所有的工作，从处理包到向console写debug信息。最消耗CPU资源的进程是加密，因此如果PIX要完成数据包的加密工作，最好使用加速卡或专用的VPNConcentrator. 日志功能是另外一个消耗大量系统资源的进程。因此，建议在正常情况下关闭PIX向console， monitor， buffer写日志的功能。 　　pixfirewall# show cpu usage CPU utilization for 5 seconds = 1%； 1 minute： 2%； 5 minutes： 1% 　　show traffic 　　本命令可以看出在特定的时间内有多少流量流经PIX了。这个特定的时间是上次执行本命令到这次执行本命令的时间间隔。我们可以看到各个接口的数据流量情况。 　　pixfirewall# show traffic outside：received （in 124.650 secs）：295468 packets 167218253 bytes 2370 pkts/sec 1341502 bytes/sec transmitted （in 124.650 secs）：260901 packets 120467981 bytes 2093 pkts/sec 966449 bytes/sec inside：received （in 124.650 secs）：261478 packets 120145678 bytes 2097 pkts/sec 963864 bytes/sec transmitted （in 124.650 secs）：294649 packets 167380042 bytes 2363 pkts/sec 1342800 bytes/sec 　　show perfmon 　　这条命令监测PIX检查的数据的流量和类型。它可以判断出PIX上每秒所做的变换（xlates）和连接数（conn）。 　　PERFMON STATS Current Average Xlates 18/s 19/s Connections 75/s 79/s TCP Conns 44/s 49/s UDP Conns 31/s 30/s URL Access 27/s 30/s URL Server Req 0/s 0/s TCP Fixup 1323/s 1413/s TCPIntercept 0/s 0/s HTTP Fixup 923/s 935/s FTP Fixup 4/s 2/s AAA Authen 0/s 0/s AAA Author 0/s 0/s AAA Account 0/s 0/s 　　其中，较重要的有Xlates是每秒钟产生变换的数字；Connections是建立的连接数；TCP Fixup是指PIX每秒钟转发了多少TCP包；TCPIntercept是指有每秒多少SYN包已经超出了开始的设定值。 　　show blocks 　　和show cpu usage在一起使用，可以判断出PIX是否过载了。 　　当一个数据包进入防火墙的接口，会先排在input接口的队列中，根据数据帧的大小，又被分到不同的block中。如对于以太网帧，使用1550字节的block.如果数据是从千兆口进来的，会使用16384字节的block.PIX然后会根据ASA算法决定是否让包通过。如果PIX过载了，那相应的block会降到或接近0（看CNT这一列）。当该值降到0时，PIX会尝试申请更多的block， 最多可到8192.如果没有block可用，包会被丢弃。 　　256字节的block是stateful failover信息。主PIX向从PIX发送这些包以更新xlates和connection信息。如果某段时间有大量的连接建立和拆除，256字节的block可能会降到0，就是说从PIX可能没有和主PIX同步。这个时间如果不长，是可以接受的，但如果长时间维持在0，需要考虑升级到更高速的PIX了。 　　另外，日志信息也是通过256字节的block向外部送出的，注意通常不需要将日志的级别设置成debug. 　　pixfirewall# show blocks SIZE MAX LOW CNT 4 1600 1597 1600 80 400 399 400 256 500 495 499 1550 1444 1170 1188 16384 2048 1532 1538 　　show memory 　　可以看出PIX的内存以及当前可用的内存。正常情况下，PIX的可用内存的变化幅度不应该太大。如果突然发现内存快用光了，要检查是否用攻击发生。可以用s