為了簡化PIX防火墻配置,思科提供了自適應安全設備管理器(ASDM)。自適應安全設備管理器為配置選擇的PIX防火墻提供了一個功能強大的、使用方便的接口。(參見思科的文件或者網站上支持自適應安全設備管理器的PIX模型)。
安裝ASDM是一個輕松的過程。然而,我們許多人都從破產的ISP和主機提供商那里購買設備或者購買翻新的設備。這類設備很便宜,但是,缺少說明書和技術支持是一個很痛苦的事情。說了這些話之后,本文將介紹一些有關ASDM的問題和變通的方法以及ASDM的實際安裝。
我的這篇文章是以PIX軟件7.0(2)版和ASDM 5.0為基礎的。在安裝ASDM之前,你可能需要把你的PIX軟件升級到7.0版。以前版本的PIX軟件與PIX 6.2和6.3(4)等思科的PDM(PIX設備管理器)軟件一起使用。請注意,如果你現在正在使用PIX 515或者515e設備,你需要升級內存以便安裝PIX 7.0。你可以從CLI中發出顯示版本的命令以查看這個軟件的版本和你的PIX的型號。
PIX 515/515e系列產品需要的總內存容量為32MB。PIX 7.0和ASDM需要64MB內存。參考一下,在撰寫這篇文章時,思科為這次升級提供的部件號碼是PIX-515-MEM-32=。
請參考思科的升級PIX的說明文件。在安裝7.0版本的軟件之后降低PIX的版本是得到支持的。你可以把版本降到6.x。然而,如果出現這種情況,你需要刪除ASDM。思科PIX 6.x版本的軟件不支持ASDM。
你還要注意,以故障轉移的設置把一個PIX設備從6.x版本升級到7.x版本是一個重大的升級,不關機是不可能完成升級的。以故障轉移設置升級到7.x版本已經由思科提供了說明文件,這個文件在思科的網站上可以找到。
在升級到7.x完成之后,我們可以開始安裝ASDM的過程。要確認你是從思科網站獲得的ASDM圖像。你可以從你在正常情況下獲得思科PIX軟件的同一個網頁下載這個圖像。
安裝ASDM
讓我們開始吧。下面是我們需要發布的指令和讓ASDM運行的步驟:
1.登錄到PIX并且進入啟用模式:“pix> enable”
2.進入啟用模式之后,輸入命令“copy tftp flash”,你現在可以看到彈出如下信息:
3.“Address or name of remote host [x.x.x.x]? ”。你需要在這里輸入托管ASDM圖像的TFTP服務器的IP地址。按回車鍵繼續操作。
4.“Source file name [cdisk]? ”。輸入ASDM圖像的文件名,例如:asdm502.bin for ASDM version 5.0(2)。按回車鍵繼續操作。
5.“Destination file name [asdm502.bin]?”。這里實際上沒有任何事情可做,除非你要重新命名你正在傳輸的圖像。所以,這里按回車鍵。
6.我們需要告訴PIX軟件ASDM在什么地方。因此,我們要要以配置模式發出下列命令。如果你喜歡這種長的方式,你可以在CLI輸入“conf t”或者“configure terminal”。一旦進入設置模式“pix(config)#”,然后輸入“asdm image flash:asdm502.bin”,然后按回車鍵。
7.由于我們已經讓我們的PIX知道了ASDM在什么地方,現在可以向PIX發出“write mem”或者“write memory”指令。你將得到一個信息,說正在構建配置,然后將返回到“pix(config)#”。這個時候,我們就安裝完了ASDM。
為了訪問ASDM,我們需要做幾件事情。否則,這個PIX軟件將拒絕通信并且切斷連接。為了允許這個連接,我們需要以config(配置)模式發布如下指令:
·http server enable:這個指令要首先發布并且啟動http/https服務器。
·http 0 0 inside:這個指令能夠啟動來自PIX內部設置的任何主機/網絡的通信。如果你僅允許你的工作站通信,這個工作站的地址是192.168.89.44,那么,這個指令就是“http 192.168.89.44 255.255.255.255 inside”。你還可以允許一個子網或者多個子網連接。如果你需要在任何時候撤銷任何入口,簡單地使用這個指令就可以了“no http x.x.x.x z.z.z.z inside”。這里的x代表IP地址,z代表子網。
現在,你可以實驗一下,使用https://x.x.x.x/admin連接ASDM。在這里,x代表在PIX接口內部的IP地址。
請注意,從接口外部也可以訪問ASDM。你需要確認,當你添加“http x.x.x.x z.z.z.z ”指令的時候,你是在指定這個接口為外部接口,用一臺安全的計算機可以訪問那個接口。然而,這種方法不推薦使用,由于ASDM的強大功能,把ASDM放在可以公開訪問的網絡上是不明智的。
ASDM應該安裝完畢并且可以工作了。使用你的PIX登錄啟用口令,這個軟件就開始快速運行了,除非你遇到了問題。在這個講座的下半部分,我們將研究ASDM的故障排除問題。我將提供輸出樣本供你們參考。
