深圳市众诚鑫科技有限公司

BSBY_f007

思科防火墙第一品牌【众诚鑫，王先生，13724320505】深圳市众诚鑫科技有限公司（简称众诚鑫科技）成立于2008年，专注为客户提供IT系统基础架构解决方案和专业化运维保障服务解决方案。众诚鑫科技以客户需求为导向，以技术、服务和产品为依托，向客户交付先进的基础运营平台和高质量的运维保障服务，帮助客户降低运营成本，提升系统效率，发挥自身优势应对市场竞争。

　　1、show cpu usage

　　PIX只有一个CPU来完成所有的工作，从处理包到向console写debug信息。最消耗CPU资源的进程是加密，因此如果PIX要完成数据包的加密工作，最好使用加速卡或专用的VPN Concentrator. 日志功能是另外一个消耗大量系统资源的进程。因此，建议在正常情况下关闭PIX向console， monitor， buffer写日志的功能。

　　pixfirewall# show cpu usage

　　CPU utilization for 5 seconds = 1% 1 minute: 2% 5 minutes: 1%

　　2、show traffic

　　本命令可以看出在特定的时间内有多少流量流经PIX了。这个特定的时间是上次执行本命令到这次执行本命令的时间间隔。我们可以看到各个接口的数据流量情况。

　　ZJ-WAP-FW-2# show traffic

　　inside:

　　received (in 1506074.635 secs):

　　277725221288 packets 143521417050444 bytes (自从FW开机到目前的input总吞吐量)

　　184001 pkts/sec 95295000 bytes/sec (自从FW开机到目前的input平均值)

　　transmitted (in 1506074.635 secs):

　　287523217939 packets 151292879605153 bytes (自从FW开机到目前的output总吞吐量)

　　190002 pkts/sec 100455001 bytes/sec (自从FW开机到目前的output平均值)

　　1 minute input rate 19597 pkts/sec， 11294493 bytes/sec (1分钟内的input平均吞吐量值)

　　1 minute output rate 20063 pkts/sec， 11294468 bytes/sec (1分钟内的output平均吞吐量值)

　　1 minute drop rate， 34 pkts/sec

　　5 minute input rate 19102 pkts/sec， 9905358 bytes/sec (5分钟内的input平均吞吐量值)

　　5 minute output rate 20159 pkts/sec， 11419208 bytes/sec (5分钟内的ioutput平均吞吐量值)

　　5 minute drop rate， 36 pkts/sec

　　3、show perfmon

　　这条命令监测PIX检查的数据的流量和类型。它可以判断出PIX上每秒所做的变换(xlates)和连接数(conn)。

　　PERFMON STATS Current Average

　　Xlates 18/s 19/s

　　Connections 75/s 79/s

　　TCP Conns 44/s 49/s

　　UDP Conns 31/s 30/s

　　URL Access 27/s 30/s

　　URL Server Req 0/s 0/s

　　TCP Fixup 1323/s 1413/s

　　TCPIntercept 0/s 0/s

　　HTTP Fixup 923/s 935/s

　　FTP Fixup 4/s 2/s

　　AAA Authen 0/s 0/s

　　AAA Author 0/s 0/s

　　AAA Account 0/s 0/s

　　其中，较重要的有Xlates是每秒钟产生变换的数字 Connections是建立的连接数 TCP Fixup是指PIX每秒钟转发了多少TCP包 TCPIntercept是指有每秒多少SYN包已经超出了开始的设定值。

　　4、show blocks

　　和show cpu usage在一起使用，可以判断出PIX是否过载了。

　　当一个数据包进入防火墙的接口，会先排在input接口的队列中，根据数据帧的大小，又被分到不同的block中。如对于以太网帧，使用1550字节的 block。如果数据是从千兆口进来的，会使用16384字节的block。PIX然后会根据ASA算法决定是否让包通过。如果PIX过载了，那相应的 block会降到或接近0(看CNT这一列)。当该值降到0时，PIX会尝试申请更多的block， 最多可到8192。如果没有block可用，包会被丢弃。

　　256字节的block是stateful failover信息。主PIX向从PIX发送这些包以更新xlates和connection信息。如果某段时间有大量的连接建立和拆除，256字节的 block可能会降到0，就是说从PIX可能没有和主PIX同步。这个时间如果不长，是可以接受的，但如果长时间维持在0，需要考虑升级到更高速的PIX 了。

　　另外，日志信息也是通过256字节的block向外部送出的，注意通常不需要将日志的级别设置成debug.

　　pixfirewall# show blocks

　　SIZE MAX LOW CNT

　　4 1600 1597 1600

　　80 400 399 400

　　256 500 495 499

　　1550 1444 1170 1188

　　16384 2048 1532 1538

　　5、show memory

　　可以看出PIX的内存以及当前可用的内存。正常情况下，PIX的可用内存的变化幅度不应该太大。如果突然发现内存快用光了，要检查是否用攻击发生。可以用show conn count命令看当前PIX中有多少连接，如果PIX内存耗尽，最终会crash.

　　pixfirewall# show memory

　　1073741824 bytes total， 1022992384 bytes free

　　6、show xlate count

　　显示当前通过PIX的变换数和最多达到的变换数。一个变换是指一个内部地址变换成一个外部合法地址。一台机器可能会与外部的多个目标建立连接，但这时只有一个变换。如果显示的变换数远大于内部的机器数，可能是受到了网络攻击。

　　pixfirewall# show xlate count

　　84 in use， 218 most used

　　7、show conn count

　　可以看当前的PIX的最大的连接数。一个connection是一个内部4层信息到外部地址的映射。当PIX收到一个SYN包，就建立一个 connection. 过高connection数意味着受到了攻击，这时如果用show memory命令虽然连接数很高，但是并没有消耗掉PIX过多的内存资源。

　　显示当前PIX中的活动的进程有什么。这样就可以看出什么进程使用了过多的CPU资源，什么进程没能使用CPU资源。为了得到这个信息，我们连续两次执行 show process命令，间隔1分钟。对有所怀疑的进程，两次的Runtime值相减，时间差(单位是毫秒)就是该进程一分钟所占用的CPU资源。 557poll进程通常是占用时间