BSBY_f007
思科防火墙第一品牌【众诚鑫,王先生,13724320505】深圳市众诚鑫科技有限公司(简称众诚鑫科技)成立于2008年,专注为客户提供IT系统基础架构解决方案和专业化运维保障服务解决方案。众诚鑫科技以客户需求为导向,以技术、服务和产品为依托,向客户交付先进的基础运营平台和高质量的运维保障服务,帮助客户降低运营成本,提升系统效率,发挥自身优势应对市场竞争。
1、show cpu usage
PIX只有一个CPU来完成所有的工作,从处理包到向console写debug信息。最消耗CPU资源的进程是加密,因此如果PIX要完成数据包的加密工作,最好使用加速卡或专用的VPN Concentrator. 日志功能是另外一个消耗大量系统资源的进程。因此,建议在正常情况下关闭PIX向console, monitor, buffer写日志的功能。
pixfirewall# show cpu usage
CPU utilization for 5 seconds = 1% 1 minute: 2% 5 minutes: 1%
2、show traffic
本命令可以看出在特定的时间内有多少流量流经PIX了。这个特定的时间是上次执行本命令到这次执行本命令的时间间隔。我们可以看到各个接口的数据流量情况。
ZJ-WAP-FW-2# show traffic
inside:
received (in 1506074.635 secs):
277725221288 packets 143521417050444 bytes (自从FW开机到目前的input总吞吐量)
184001 pkts/sec 95295000 bytes/sec (自从FW开机到目前的input平均值)
transmitted (in 1506074.635 secs):
287523217939 packets 151292879605153 bytes (自从FW开机到目前的output总吞吐量)
190002 pkts/sec 100455001 bytes/sec (自从FW开机到目前的output平均值)
1 minute input rate 19597 pkts/sec, 11294493 bytes/sec (1分钟内的input平均吞吐量值)
1 minute output rate 20063 pkts/sec, 11294468 bytes/sec (1分钟内的output平均吞吐量值)
1 minute drop rate, 34 pkts/sec
5 minute input rate 19102 pkts/sec, 9905358 bytes/sec (5分钟内的input平均吞吐量值)
5 minute output rate 20159 pkts/sec, 11419208 bytes/sec (5分钟内的ioutput平均吞吐量值)
5 minute drop rate, 36 pkts/sec
3、show perfmon
这条命令监测PIX检查的数据的流量和类型。它可以判断出PIX上每秒所做的变换(xlates)和连接数(conn)。
PERFMON STATS Current Average
Xlates 18/s 19/s
Connections 75/s 79/s
TCP Conns 44/s 49/s
UDP Conns 31/s 30/s
URL Access 27/s 30/s
URL Server Req 0/s 0/s
TCP Fixup 1323/s 1413/s
TCPIntercept 0/s 0/s
HTTP Fixup 923/s 935/s
FTP Fixup 4/s 2/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
其中,较重要的有Xlates是每秒钟产生变换的数字 Connections是建立的连接数 TCP Fixup是指PIX每秒钟转发了多少TCP包 TCPIntercept是指有每秒多少SYN包已经超出了开始的设定值。
4、show blocks
和show cpu usage在一起使用,可以判断出PIX是否过载了。
当一个数据包进入防火墙的接口,会先排在input接口的队列中,根据数据帧的大小,又被分到不同的block中。如对于以太网帧,使用1550字节的 block。如果数据是从千兆口进来的,会使用16384字节的block。PIX然后会根据ASA算法决定是否让包通过。如果PIX过载了,那相应的 block会降到或接近0(看CNT这一列)。当该值降到0时,PIX会尝试申请更多的block, 最多可到8192。如果没有block可用,包会被丢弃。
256字节的block是stateful failover信息。主PIX向从PIX发送这些包以更新xlates和connection信息。如果某段时间有大量的连接建立和拆除,256字节的 block可能会降到0,就是说从PIX可能没有和主PIX同步。这个时间如果不长,是可以接受的,但如果长时间维持在0,需要考虑升级到更高速的PIX 了。
另外,日志信息也是通过256字节的block向外部送出的,注意通常不需要将日志的级别设置成debug.
pixfirewall# show blocks
SIZE MAX LOW CNT
4 1600 1597 1600
80 400 399 400
256 500 495 499
1550 1444 1170 1188
16384 2048 1532 1538
5、show memory
可以看出PIX的内存以及当前可用的内存。正常情况下,PIX的可用内存的变化幅度不应该太大。如果突然发现内存快用光了,要检查是否用攻击发生。可以用show conn count命令看当前PIX中有多少连接,如果PIX内存耗尽,最终会crash.
pixfirewall# show memory
1073741824 bytes total, 1022992384 bytes free
6、show xlate count
显示当前通过PIX的变换数和最多达到的变换数。一个变换是指一个内部地址变换成一个外部合法地址。一台机器可能会与外部的多个目标建立连接,但这时只有一个变换。如果显示的变换数远大于内部的机器数,可能是受到了网络攻击。
pixfirewall# show xlate count
84 in use, 218 most used
7、show conn count
可以看当前的PIX的最大的连接数。一个connection是一个内部4层信息到外部地址的映射。当PIX收到一个SYN包,就建立一个 connection. 过高connection数意味着受到了攻击,这时如果用show memory命令虽然连接数很高,但是并没有消耗掉PIX过多的内存资源。
显示当前PIX中的活动的进程有什么。这样就可以看出什么进程使用了过多的CPU资源,什么进程没能使用CPU资源。为了得到这个信息,我们连续两次执行 show process命令,间隔1分钟。对有所怀疑的进程,两次的Runtime值相减,时间差(单位是毫秒)就是该进程一分钟所占用的CPU资源。 557poll进程通常是占用时间