广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

在缺省的情况下，cisco pix只在inside端口提供telnet服务，当需要从外网配置、监控pix时，可以选择：1、远程web访问（利用pix内置的pdm）；2、建立ipsec/vpn通道；3、利用ssh安全的访问pix。

第一种方法需要根据pix的实际情况把pdm软件download到pix中，pdm提供了以https的方式配置防火墙，但是pdm对于一些比较高级的配置特性目前支持的还不好或者根本就不支持，比如object-group,对于cisco cli中提供的一些troubleshooting的手段如show, debug等命令也不支持，这些缺憾对于习惯了使用cisco cli界面的guys来说大概是无法忍受的，至少不能将它作为主要的配置手段吧。

第二种方法的问题是要配置pix提供远程vpn功能，并且在个人电脑上安装相应的vpn客户端软件，这实际上加重了设备本身和管理员的双重负担，况且我相信，没有哪个兄弟愿意使用这么“重量级”的手段来作维护、配置工作，大家都喜欢用foxmail而弃用outlook express的原因除了foxmail免受大量病毒侵扰之外，foxmail短小精悍、消耗资源极小也是重要方面吧。

所以，当需要从外网管理pix防火墙时，我本人还是prefer使用ssh，既解决了从外网访问的问题，又在使用习惯上保持了与内网访问一致。

cisco pix的ssh配置：

// 配置pix的主机名和域名，尽可能根据实际需求来配置，当然任意配置并不影响ssh的使用，这两个参数只是供产生ssh key时使用
hostname pixfirewall
domain-name domain.com

// 产生1024位的rsa密钥
ca gen rsa key 1024

// 指定可以从外网端口以ssh访问的ip地址
ssh 172.18.124.114 255.255.255.255 outside

// 配置ssh会话的超时时间，以秒为单位
ssh timeout 60

// 配置ssh访问的口令
passwd xxxxxxxx

// 很重要！！保存rsa密钥。否则pix防火墙重启之后，rsa密钥会丢失
ca save all

ssh客户端：
主流的unix操作系统，包括solaris, linux, freebsd等都包含了ssh的package。

linux下的操作命令：假设 10.135.1.1为pix防火墙的端口地址
ssh -1 -c des pix@10.135.1.1

solaris下的操作命令：
./ssh -c 3des -1 pix -v 10.135.1.1

microsoft windows平台下有很多种ssh客户端的选择，我常用的是putty。最新的版本可以到下面的网页下载： http://www.chiark.greenend.org.uk/~sgtatham/putty/
都是图形界面了，使用方法一目了然。

注意事项：

登陆的用户名是"pix"。

（）