PIX防火墙比较有用的指令.doc

PIX防火墙几个比较有用的指令show cpu usagePIX只有一个CPU来完成所有的工作，从处理包到向console写debug信息。最消耗CPU资源的进程是加密，因此如果PIX要完成数据包的加密工作，最好使用加速卡或专用的VPNConcentrator. 日志功能是另外一个消耗大量系统资源的进程。因此，建议在正常情况下关闭PIX向console， monitor， buffer写日志的功能。pixfirewall# show cpu usage CPU utilization for 5 seconds = 1%； 1 minute： 2%； 5 minutes： 1%show traffic本命令可以看出在特定的时间内有多少流量流经PIX了。这个特定的时间是上次执行本命令到这次执行本命令的时间间隔。我们可以看到各个接口的数据流量情况。pixfirewall# show traffic outside：received （in 124.650 secs）：295468 packets 167218253 bytes 2370 pkts/sec 1341502 bytes/sec transmitted （in 124.650 secs）：260901 packets 120467981 bytes 2093 pkts/sec 966449 bytes/sec inside：received （in 124.650 secs）：261478 packets 120145678 bytes 2097 pkts/sec 963864 bytes/sec transmitted （in 124.650 secs）：294649 packets 167380042 bytes 2363 pkts/sec 1342800 bytes/secshow perfmon这条命令监测PIX检查的数据的流量和类型。它可以判断出PIX上每秒所做的变换（xlates）和连接数（conn）。PERFMON STATS Current Average Xlates 18/s 19/s Connections 75/s 79/s TCP Conns 44/s 49/s UDP Conns 31/s 30/s URL Access 27/s 30/s URL Server Req 0/s 0/s TCP Fixup 1323/s 1413/s TCPIntercept 0/s 0/s HTTP Fixup 923/s 935/s FTP Fixup 4/s 2/s AAA Authen 0/s 0/s AAA Author 0/s 0/s AAA Account 0/s 0/s其中，较重要的有Xlates是每秒钟产生变换的数字；Connections是建立的连接数；TCP Fixup是指PIX每秒钟转发了多少TCP包；TCPIntercept是指有每秒多少SYN包已经超出了开始的设定值。show blocks和show cpu usage在一起使用，可以判断出PIX是否过载了。当一个数据包进入防火墙的接口，会先排在input接口的队列中，根据数据帧的大小，又被分到不同的block中。如对于以太网帧，使用1550字节的block.如果数据是从千兆口进来的，会使用16384字节的block.PIX然后会根据ASA算法决定是否让包通过。如果PIX过载了，那相应的block会降到或接近0（看CNT这一列）。当该值降到0时，PIX会尝试申请更多的block， 最多可到8192.如果没有block可用，包会被丢弃。256字节的block是stateful failover信息。主PIX向从PIX发送这些包以更新xlates和connection信息。如果某段时间有大量的连接建立和拆除，256字节的block可能会降到0，就是说从PIX可能没有和主PIX同步。这个时间如果不长，是可以接受的，但如果长时间维持在0，需要考虑升级到更高速的PIX了。另外，日志信息也是通过256字节的block向外部送出的，注意通常不需要将日志的级别设置成debug.pixfirewall# show blocks SIZE MAX LOW CNT 4 1600 1597 1600 80 400 399 400 256 500 495 499 1550 1444 1170 1188 16384 2048 1532 1538show memory可以看出PIX的内存以及当前可用的内存。正常情况下，PIX的可用内存的变化幅度不应该太大。如果突然发现内存快用光了，要检查是否用攻击发生。可以用show conn count命令看当前PIX中有多少连接，如果PIX内存耗尽，最终会crash.pixfirewall# show memory 1073741824 bytes total， 1022992384 bytes freeshow xlate count显示当前通过PIX的变换数和最多达到的变换数。一个变换是指一个内部地址变换成一个外部合法地址。一台机器可能会与外部的多个目标建立连接，但这时只有一个变换。如果显示的变换数远大于内部的机器数，可能是受到了网络攻击。pixfirewall# show xlate count 84 in use， 218 most usedshow conn count可以看当前的PIX的最大的连接数。一个connection是一个内部4层信息到外部地址的映射。当PIX收到一个SYN包，就建立一个connection. 过高connection数意味着受到了攻击，这时如果用show memory命令虽然连接数很高，但是并没有消耗掉PIX过多的内存资源。pixfirewall# show conn count 2289 in use， 44729 most usedshow interface这条命令用来判断双工的匹配问题和电缆故障，也可以看出接口是否过载了。如果PIX的CPU资源耗尽了，那么1550字节的block会接近0，如果是千兆口，16384字节的block接近0.另外一个信号是“no buffers”的值不断增加，它表明接口接收包的速率太快，PIX来不及处理，也没有足够的block去承载，已经有丢包产生了。如果“no buffer”伴随着CPU的使用率升高，说明该考虑升级到性能更强的防火墙了。当数据包进入接口时，被放在input hardware queue中，如果该queue满了，被放在input software queue中。包然后从input queue中被放到block中等待PIX OS的处理，PIX决定把包放到哪个出口，即哪个output hardware queue中，如果该queue满了，就放到output software queue中；如果每个软队列中的max blocks都很大，就称之为“overrun”。常见的情况是入口和出口的数据传输速率不匹配，就会出现overrun，这时应该考虑升级接口了。pixfirewall# show interface interface ethernet0 inside is up， line protocol is up Hardware is i82559 ethernet， address is 0002.b31b.99ff IP address ， subnet mask MTU 1500 bytes， BW 100000 Kbit full duplex 4630 packets input， 803174 bytes， 0 no buffer Received 2 broadcasts， 0 runts， 0 giants 0 input errors， 0 CRC， 0 frame， 0 overrun， 0 ignored， 0 abort 4535 packets output， 445424 bytes， 0 underruns 0 output errors， 0 collisions， 0 interface resets 0 babbles， 0 late collisions， 0 deferred 0 lost carrier， 0 no carrier input queue （curr/max blocks）： hardware （128/128） software （0/1）output queue （curr/max blocks）： hardware （0/2） software （0/1）如果是runts， input errors， CRCs或frame errors在增加，可能是双工方式不匹配造成的或电缆故障。show process显示当前PIX中的活动的进程有什么。这样就可以看出什么进程使用了过多的CPU资源，什么进程没能使用CPU资源。为了得到这个信息，我们连续两次执行show process命令，间隔1分钟。对有所怀疑的进程，两次的Runtime值相减，时间差（单位是毫秒）就是该进程一分钟所占用的CPU资源。557poll进程通常是占用时间最多的进程，它负责询问以太接口看是否有包需要处理。总结我们用show cpu usage命令看PIX的负载情况。一般来说，CPU达到80%时，性能会受到影响；超过90%时，会有丢包的情况发生。这个时候，我们可以通过命令show process来看看什么进程在消耗CPU资源，查出该进程后找相应的办法处理。如果CPU的使用率并不高，但是还是觉得有丢包的情况发生，用show interface命令检查是否有错包出现，即是否有双工匹配问题或电缆问题；如果是no buffer增加，同时CPU使用率并不高，说明接口的能力不能满足流量的需求；如果buffer状况很好，检查block， 如果1550字节或16384字节的block接近0了，说明PIX由于太忙