Cisco PIX防火墙配置命令大全(1)

　　一、PIX防火墙的认识

    PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。

　　PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。

　　PIX防火墙常见接口有：console、Failover、Ethernet、USB。

　　网络区域：

　　内部网络：inside

　　外部网络：outside

　　中间区域：称DMZ(停火区)。放置对外开放的服务器。

　　二、防火墙的配置规则

　　没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。

　　(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)

　　inside可以访问任何outside和dmz区域。

　　dmz可以访问outside区域。

　　inside访问dmz需要配合static(静态地址转换)。

　　outside访问dmz需要配合acl(访问控制列表)。

　　三、PIX防火墙的配置模式

　　PIX防火墙的配置模式与路由器类似，有4种管理模式：

　　PIXfirewall>：用户模式

　　PIXfirewall#：特权模式

　　PIXfirewall(config)#：配置模式

　　monitor>：ROM监视模式，开机按住[Esc]键或发送一个“Break”字符，进入监视模式。

　　四、PIX基本配置命令

　　常用命令有：nameif、interface、ipaddress、nat、global、route、static等。

　　1、nameif

　　设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

　　例如要求设置：

　　ethernet0命名为外部接口outside，安全级别是0。

　　ethernet1命名为内部接口inside，安全级别是100。

　　ethernet2命名为中间接口dmz,安装级别为50。

　　使用命令：

　　PIX525(config)#nameifethernet0outsidesecurity0

　　PIX525(config)#nameifethernet1insidesecurity100

　　PIX525(config)#nameifethernet2dmzsecurity50

　　2、interface

　　配置以太口工作状态，常见状态有：auto、100full、shutdown。

　　auto：设置网卡工作在自适应状态。

　　100full：设置网卡工作在100Mbit/s，全双工状态。

　　shutdown：设置网卡接口关闭，否则为激活。

　　命令：

　　PIX525(config)#interfaceethernet0auto

　　PIX525(config)#interfaceethernet1100full

　　PIX525(config)#interfaceethernet1100fullshutdown

　　3、ipaddress

　　配置网络接口的IP地址，例如：

　　PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252

　　PIX525(config)#ipaddressinside192.168.0.1255.255.255.0

　　内网inside接口使用私有地址192.168.0.1，外网outside接口使用公网地址133.0.0.1。

　　4、global

　　指定公网地址范围：定义地址池。

　　Global命令的配置语法：

　　global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

　　其中：

　　(if_name)：表示外网接口名称，一般为outside。

　　nat_id：建立的地址池标识(nat要引用)。

　　ip_address-ip_address：表示一段ip地址范围。

　　[netmarkglobal_mask]：表示全局ip地址的网络掩码。

　　例如：

　　PIX525(config)#global(outside)1133.0.0.1-133.0.0.15

　　地址池1对应的IP是：133.0.0.1-133.0.0.15

　　PIX525(config)#global(outside)1133.0.0.1

　　地址池1只有一个IP地址133.0.0.1。

　　PIX525(config)#noglobal(outside)1133.0.0.1

　　表示删除这个全局表项。