BSBY_f007

思科防火墻第一品牌【眾誠鑫，王先生，13724320505】深圳市眾誠鑫科技有限公司（簡稱眾誠鑫科技）成立于2008年，專注為客戶提供IT系統(tǒng)基礎(chǔ)架構(gòu)解決方案和專業(yè)化運維保障服務(wù)解決方案。眾誠鑫科技以客戶需求為導向，以技術(shù)、服務(wù)和產(chǎn)品為依托，向客戶交付先進的基礎(chǔ)運營平臺和高質(zhì)量的運維保障服務(wù)，幫助客戶降低運營成本，提升系統(tǒng)效率，發(fā)揮自身優(yōu)勢應(yīng)對市場競爭。

　　1、show cpu usage

　　PIX只有一個CPU來完成所有的工作，從處理包到向console寫debug信息。最消耗CPU資源的進程是加密，因此如果PIX要完成數(shù)據(jù)包的加密工作，最好使用加速卡或?qū)Ｓ玫腣PN Concentrator. 日志功能是另外一個消耗大量系統(tǒng)資源的進程。因此，建議在正常情況下關(guān)閉PIX向console， monitor， buffer寫日志的功能。

　　pixfirewall# show cpu usage

　　CPU utilization for 5 seconds = 1% 1 minute: 2% 5 minutes: 1%

　　2、show traffic

　　本命令可以看出在特定的時間內(nèi)有多少流量流經(jīng)PIX了。這個特定的時間是上次執(zhí)行本命令到這次執(zhí)行本命令的時間間隔。我們可以看到各個接口的數(shù)據(jù)流量情況。

　　ZJ-WAP-FW-2# show traffic

　　inside:

　　received (in 1506074.635 secs):

　　277725221288 packets 143521417050444 bytes (自從FW開機到目前的input總吞吐量)

　　184001 pkts/sec 95295000 bytes/sec (自從FW開機到目前的input平均值)

　　transmitted (in 1506074.635 secs):

　　287523217939 packets 151292879605153 bytes (自從FW開機到目前的output總吞吐量)

　　190002 pkts/sec 100455001 bytes/sec (自從FW開機到目前的output平均值)

　　1 minute input rate 19597 pkts/sec， 11294493 bytes/sec (1分鐘內(nèi)的input平均吞吐量值)

　　1 minute output rate 20063 pkts/sec， 11294468 bytes/sec (1分鐘內(nèi)的output平均吞吐量值)

　　1 minute drop rate， 34 pkts/sec

　　5 minute input rate 19102 pkts/sec， 9905358 bytes/sec (5分鐘內(nèi)的input平均吞吐量值)

　　5 minute output rate 20159 pkts/sec， 11419208 bytes/sec (5分鐘內(nèi)的ioutput平均吞吐量值)

　　5 minute drop rate， 36 pkts/sec

　　3、show perfmon

　　這條命令監(jiān)測PIX檢查的數(shù)據(jù)的流量和類型。它可以判斷出PIX上每秒所做的變換(xlates)和連接數(shù)(conn)。

　　PERFMON STATS Current Average

　　Xlates 18/s 19/s

　　Connections 75/s 79/s

　　TCP Conns 44/s 49/s

　　UDP Conns 31/s 30/s

　　URL Access 27/s 30/s

　　URL Server Req 0/s 0/s

　　TCP Fixup 1323/s 1413/s

　　TCPIntercept 0/s 0/s

　　HTTP Fixup 923/s 935/s

　　FTP Fixup 4/s 2/s

　　AAA Authen 0/s 0/s

　　AAA Author 0/s 0/s

　　AAA Account 0/s 0/s

　　其中，較重要的有Xlates是每秒鐘產(chǎn)生變換的數(shù)字 Connections是建立的連接數(shù) TCP Fixup是指PIX每秒鐘轉(zhuǎn)發(fā)了多少TCP包 TCPIntercept是指有每秒多少SYN包已經(jīng)超出了開始的設(shè)定值。

　　4、show blocks

　　和show cpu usage在一起使用，可以判斷出PIX是否過載了。

　　當一個數(shù)據(jù)包進入防火墻的接口，會先排在input接口的隊列中，根據(jù)數(shù)據(jù)幀的大小，又被分到不同的block中。如對于以太網(wǎng)幀，使用1550字節(jié)的 block。如果數(shù)據(jù)是從千兆口進來的，會使用16384字節(jié)的block。PIX然后會根據(jù)ASA算法決定是否讓包通過。如果PIX過載了，那相應(yīng)的 block會降到或接近0(看CNT這一列)。當該值降到0時，PIX會嘗試申請更多的block， 最多可到8192。如果沒有block可用，包會被丟棄。

　　256字節(jié)的block是stateful failover信息。主PIX向從PIX發(fā)送這些包以更新xlates和connection信息。如果某段時間有大量的連接建立和拆除，256字節(jié)的 block可能會降到0，就是說從PIX可能沒有和主PIX同步。這個時間如果不長，是可以接受的，但如果長時間維持在0，需要考慮升級到更高速的PIX 了。

　　另外，日志信息也是通過256字節(jié)的block向外部送出的，注意通常不需要將日志的級別設(shè)置成debug.

　　pixfirewall# show blocks

　　SIZE MAX LOW CNT

　　4 1600 1597 1600

　　80 400 399 400

　　256 500 495 499

　　1550 1444 1170 1188

　　16384 2048 1532 1538

　　5、show memory

　　可以看出PIX的內(nèi)存以及當前可用的內(nèi)存。正常情況下，PIX的可用內(nèi)存的變化幅度不應(yīng)該太大。如果突然發(fā)現(xiàn)內(nèi)存快用光了，要檢查是否用攻擊發(fā)生?？梢杂胹how conn count命令看當前PIX中有多少連接，如果PIX內(nèi)存耗盡，最終會crash.

　　pixfirewall# show memory

　　1073741824 bytes total， 1022992384 bytes free

　　6、show xlate count

　　顯示當前通過PIX的變換數(shù)和最多達到的變換數(shù)。一個變換是指一個內(nèi)部地址變換成一個外部合法地址。一臺機器可能會與外部的多個目標建立連接，但這時只有一個變換。如果顯示的變換數(shù)遠大于內(nèi)部的機器數(shù)，可能是受到了網(wǎng)絡(luò)攻擊。

　　pixfirewall# show xlate count

　　84 in use， 218 most used

　　7、show conn count

　　可以看當前的PIX的最大的連接數(shù)。一個connection是一個內(nèi)部4層信息到外部地址的映射。當PIX收到一個SYN包，就建立一個 connection. 過高connection數(shù)意味著受到了攻擊，這時如果用show memory命令雖然連接數(shù)很高，但是并沒有消耗掉PIX過多的內(nèi)存資源。

　　顯示當前PIX中的活動的進程有什么。這樣就可以看出什么進程使用了過多的CPU資源，什么進程沒能使用CPU資源。為了得到這個信息，我們連續(xù)兩次執(zhí)行 show process命令，間隔1分鐘。對有所懷疑的進程，兩次的Runtime值相減，時間差(單位是毫秒)就是該進程一分鐘所占用的CPU資源。 557poll進程通常是占用時間