配置Cisco设备 - PIX/ASA/FWSM/VPN Concentrator

防火墙分析仪支持以下Cisco设备。

Cisco IOS 防火墙:

• 8xx
  
• 18xx
  
• 28xx
  
• 38xx
  
• 72xx
• 73xx
• 3005
• 1900
• 2911
• 3925

Cisco FWSM Catalyst 系列:

• 6500
• 7600

Cisco PIX 防火墙:

• 6.x
• 7.x

Cisco ASA:

• 5500 系列
• 9.1

Cisco VPN Concentrators 系列:

• 3000
• 3500

要查看PIX防 火墙的版本，可使用Telnet登录到防火墙上然后输入命令show version。

• 从虚拟防火墙（虚拟域）获取日志
• 使用命令行接口（CLI）配置Cisco PIX
• 从用户界面配置Cisco PIX
• 使用命令行接口（CLI）配置Cisco PIX的SNMP协议
• 使用命令行接口（CLI）配置Cisco ASA
• 在Cisco ASA设备上配置SSL WebVPN
• 配置Cisco ASA的NetFlow日志
• 使用命令行接口（CLI）配置Cisco ASA的SNMP协议
• 配置Cisco VPN 3000 Concentrator
• 配置Cisco IOS 交换机
• 使用ASDM Web界面配置Cisco防火墙的SNMP协议

从虚拟防火墙（虚拟域）获取日志

Cisco防火墙的context/vdom的前提条件

应确保能够从安装防火墙分析仪的机器，解析到Cisco防火墙的IP地址。

不需要个别配置，即可接收Cisco物理设备的虚拟防火墙的日志。

使用命令行接口配置Cisco PIX

1. Telnet到PIX防火墙，然后进入 enable 模式
2. 输入以下命令:
   configure terminal
logging on
logging timestamp
logging trap informational
logging device-id {context-name | hostname | ipaddress interface_name | string text}
logging host interface_name syslog_ip [17/<syslog_port>]
   
   这里,

如: logging host inside 11.23.4.56 17/1514

要验证您的配置信息，输入 show logging 命令 它将列出当前的日志配置信息。

从用户界面配置Cisco PIX

登录到Cisco PIX的用户界面，执行以下配置：

1. 启用日志
   1. 选择 Configure > Settings > Logging > Logging Setup
      
   2. 选择 Enable logging setup 及 Enable logging failover 复选框
   3. 点击 Apply。
      
      
2. 配置Syslog服务器
   1. 选择 Configure > Settings > Logging > Syslog
      
   2. 选中 Include Timestamp.
   3. 点击 Add 添加新行
   4. 在Add Syslog Server 页面，输入以下信息：
      1. Interface Name - 防火墙的接口，本软件可通过该接口访问该防火墙。可以是inside或outside。
      2. IP Address - 接收日志的Syslog服务器的IP。
      3. 在 Protocol, 选择 UDP
      4. 缺省端口为 UDP 514，可以根据实际情况配置其他的端口。
   5. 点击 Apply
      
3. 配置日志级别
   1. 选择 Configure > Settings > Logging > Other
   2. 在 Console Level List 选择 Informational ，这样可得到所有的数据。
   3. 点击 Apply

配置/启用防火墙的SNMP

使用 CLI 命令:

configure terminal snmp-server host <interface name> <hostname |防火墙分析仪的IP地址>

使用以下命令，创建SNMP团体字串:

configure terminal snmp-server community <community-string>

如:

configure terminal snmp-server community public

配置Cisco ASA

1. Telnet 到ASA防火墙，进入 enable 模式
2. 输入以下命令:

configure terminal
logging enable
logging timestamp
logging trap informational
logging device-id {context-name | hostname | ipaddress interface_name | string text}
logging host interface_name syslog_ip [udp/<syslog_port>]

3. 如果在防火墙分析仪中没有URL报表，需要启用HTTP观察器，使用以下命令：
   inspect http

   启用 HTTP inspection 将生成 ID 304001的Syslog，该ID用于在防火墙分析仪中生成URL报表。

更多信息，可参照 Cisco PIX 文档。

使用ADSM配置Cisco ASA

启用日志

执行以下步骤:

• 启动ASDM
• 选择 Configuration > Device Management > Logging > Logging Setup
• 选择 Enable Logging
• 选择 Logging > Logging Filters
• 选择 syslog-servers 为 Informational
• 选择 Logging > Logging Filters > Syslog servers
• 点击 Add
• 输入IP地址，选择适当的接口，选中UDP，输入合适的端口号。
• 选择 Logging > Syslog Setup
• 选择 'Include time stamp in syslogs' ，并确保启用ID为 302013, 302014,302015,302016 的Syslong，将日志级别设置为Informational
  

禁用日志

可根据需要禁用部分Syslog ID.

注意: 选中Include timestamp选项，Syslog中将包含日期和时间。

• 选择要禁用的Syslog，点击Edit.
• 从Edit Syslog ID Settings 窗口，选择 Disable ，并点击OK.
• 被禁用的syslogs可以在Syslog ID Setup下拉菜单中，选择Disabled syslog IDs来查看。.

更多信息，参照 Cisco PIX 文档。

配置Cisco ASA 的SSL WebVPN

要处理Cisco的SVC VPN的日志，需要Syslog ID为 722030 和 722031的消息，由于其默认级别为debug，还需要在全局配置模式下，通过以下命令将其设置为information级别。

可通过以下命令进行确认:

配置Cisco ASA的NetFlow日志，以及使用命令行和ADSM禁用Cisco ASA/ADM的NetFlow

防火墙分析仪支持 NetFlow v9的数据包，该格式从Cisco ASA 8.2.1/ASDM 6.2.1开始引入。

使用控制台模式配置Cisco ASA，让其发送 NetFlow v9数据包到防火墙分析仪的步骤如下:

• 由于防火墙分析仪既可以接收Syslog，也可以接收NetFlow数据包，因此，在ASA中，禁用Syslog，启用NetFlow输出。

禁用Syslog并启用NetFlow的配置命令:

(config)# flow-export destination inside <FWA Server IP> 1514
(config)# flow-export template timeout-rate 1
(config)# flow-export delay flow-create 60
(config)# logging flow-export-syslogs disable ---> This command will disable logging syslog messages
(config)# access-list netflow-export extended permit ip any any
(config)# class-map netflow-export-class
(config-cmap)#match access-list netflow-export

将全局策略map 与 netflow class map关联

• 选项 1

如果有一个全局策略map，将上述netflow class-map netflow-export-class 关联到该全局策略。

例如：你的全局策略map 名称为 global_policy_asa, 需要执行以下命令:

(config)# policy-map global_policy_asa
(config-pmap)# class netflow-export-class
(config-pmap-c)# flow-export event-type any destination < FWA Server IP>

如果上述命令失败，可使用以下命令:

(config-pmap-c)# flow-export event-type all destination < FWA Server IP>

• 选项 2

如果您向厂家一个新的策略map，名称为 netflow-export-policy ，并将其作为全局策略，可执行以下步骤:

(config)# policy-map netflow-export-policy
(config-pmap)# class netflow-export-class
(config-pmap-c)# flow-export event-type any destination < FWA Server IP>

如果上述命令失败，可使用以下命令:
(config-pmap-c)# flow-export event-type all destination < FWA Server IP>

将策略 netflow-export-policy 设置为全局策略:

(config)# service-policy netflow-export-policy global

对于用户界面模式，可使用ASDM配置，参照: https://supportforums.cisco.com/docs/DOC-6114

要禁用NetFlow。可在Cisco ASA/ADM 执行以下命令:

(config)# flow-export disable

(config)# no flow-export destination inside <FWA Server IP> 1514

要通过ASDM，禁用Cisco ASA/ADM中的NetFlow

• 点击 Configuration > Firewall
• 点击Service Policy Rules. 查找属于Netflow输出的策略
• 检查其IP地址是否为您希望转发Syslog的IP地址。
• 如果确定是，将该策略删除，保存配置文件。

配置/启用Cisco ASA防火墙设备的SNMP协议

配置SNMP Manager的信息（运行在FWA中），以便能对防火墙进行SNMP查询:

使用 CLI 控制台:

configure terminal snmp-server enable snmp-server host <interface name> <hostname | FWA IP> [poll]

如:

configure terminal snmp-server enable snmp-server host inside 192.168.101.155 poll

可使用以下命令，创建新的SNMP团体字串:

configure terminal snmp-server community <community-string>

如:

configure terminal snmp-server community public

配置Cisco VPN 3000 Concentrator

目前，防火墙分析仪支持Cisco VPN Concentrator的Cisco IOS 兼容的 日志格式和 原始日志 格式。

但是不支持导入已经保存的Cisco VPN Concentrator的日志。因为保存的日志格式，采用以下格式，防火墙分析仪不支持:

• 多行
• Tab分隔
• 逗号分隔

配置VPN Concentrator的步骤:

1. 配置 Syslog 服务器
   1. 登录到Cisco VPN 3000 Concentrator管理控制台
   2. 导航到 Configuration > System> Events >Syslog Servers
   3. 点击 Add button
   4. 在 Syslog Server 处输入防火墙分析仪的IP地址。
   5. 输入Port的值，默认FWA的端口为514.
   6. Facility 设置为 Local 7
2. 配置 Syslog 事件
1. 导航到Configuration > System> Events >General
2. 对于 Syslog Format 可选择 Original 或 Cisco IOS Compatible 格式。
3. 对于 Events to Syslog 选择 Severities 1-5
4. 本页面的其他配置可保留默认设置。
5. 点击 Apply 按钮，保存。

更多信息，参照Cisco VPN Concentrator 的文档。

配置Cisco IOS 交换机

以下步骤用于配置Cisco IOS 交换机:

1. 登录到Cisco IOS 控制台，或者Telnet该设备。
2. 变更设备的配置模块，

   使用以下命令:

configure terminal

3. 启用日志的命令:

logging on

logging trap informational

logging <IP Address>

4. 如果该IOS设备有防火墙模块，使用以下命令启用审核追踪，它将生成流量信息。

ip inspect audit-trail

使用Cisco ASDM配置/启用Cisco防火墙的SNMP协议

使用 Web UI:

配置 SNMP v1 和v2c的参数
步骤如下:

• 在ASDM 主窗口，选择Configuration > Device Management > Management Access > SNMP
• 在Community String (default) 处，输入默认的团体字串，它适用于SNMP V1 和V2c
• 在Contact 及 Location 处输入适当的值
• 在Listening Port 处，输入监听SNMP请求的端口号，默认值为161
• 点击 Apply

这样，就配置好了SNMP v1和v2c的参数。
配置SNMP Manager的信息（运行在FWA中），以便能对防火墙进行SNMP查询:

• 在ASDM 主窗口，选择 Configuration > Device Management > Management Access > SNMP
• 在SNMP Management Stations， 点击 Add. 出现 Add SNMP Host Access Entry 对话框
• 在Interface Name 列表中，选择FWA所在网络的接口。
• 在IP Address 输入FWA的IP地址
• 在UDP Port ，输入FWA的UDP端口，默认为162
• 在Community String 输入FWA 团体字串，如果没有设置团体字串，则使用默认的字串。
• 在SNMP Version 中，选择SNMP的版本。
• 如果选择SNMP Version 3 ，需要另外选择配置的Username（用户名）。
• 指定通讯方法，选中 Poll 选项。
• 点击 OK关闭该窗口
• 点击 Apply。

这样就配置好SNMP的管理器。
配置SNMP V3的参数:

SNMP V3 允许你配置附加的认证和加密信息，以确保更安全的通讯。

配置步骤:

• 在ASDM 主窗口，选择 Configuration > Device Management > Management Access > SNMP
• 在SNMPv3 Users 面板，添加用户，将用户添加到组。点击Add，要修改用户参数，点击Edit，要从组中删除用户，点击Delete，当删除组中的最后一个用户时，将删除该组。

• 以下针对 Add SNMP User Entry 对话框的操作。
• 在Group Name 下拉框中，选择该SNMP用户所属的组，可用的组有：
  • Auth&Encryption, 用户已配置认证和加密
    
  • Authentication_Only, 用户只配置认证
    
  • No_Authentication, 用户既不认证也不加密
• 在Username 输入已配置的用户名或者添加新的用户。用户名必须是唯一的
• 要加密密码，点击Encrypt Password ，选择加密方式为MD5。
• 用户认证类型，可以是: MD5 or SHA
• 在Authentication Password 处，输入认证用的密码。
• 加密类型，可以是: DES or 3DES, 或 AES
• 若选择AES 加密，需要在AES Size 中指定AES 的加密级别，可以使用: 128 或 192 或 256
• 在Encryption Password 处，输入加密用的密码，最长可达 64字符
• 点击 OK 创建组（如果为该组的第一个用户的话）。关闭本窗口。
• SNMPv3 Users 面板中列出以下信息: SNMP Version 3 服务器组名，用户名，加密密码设置，认证设置，加密机制设置， AES 大小设置
• 点击 Apply

这样，就配置好了SNMP v3的参数。