科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Cisco PIX防火墙配置命令大全(1)

Cisco PIX防火墙配置命令大全(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会  映射成地址池的IP,到外部去找。

作者:51CTO.COM 2007年10月24日

关键字: 命令 配置 防火墙 PIX CISCO

  • 评论
  • 分享微博
  • 分享邮件

  一、PIX防火墙的认识

    PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。

  PIX有很多型号,并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。

  PIX防火墙常见接口有:console、Failover、Ethernet、USB。

  网络区域:

  内部网络:inside

  外部网络:outside

  中间区域:称DMZ(停火区)。放置对外开放的服务器。

  二、防火墙的配置规则

  没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。

  (内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)

  inside可以访问任何outside和dmz区域。

  dmz可以访问outside区域。

  inside访问dmz需要配合static(静态地址转换)。

  outside访问dmz需要配合acl(访问控制列表)。

  三、PIX防火墙的配置模式

  PIX防火墙的配置模式与路由器类似,有4种管理模式:

  PIXfirewall>:用户模式

  PIXfirewall#:特权模式

  PIXfirewall(config)#:配置模式

  monitor>:ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。

  四、PIX基本配置命令

  常用命令有:nameif、interface、ipaddress、nat、global、route、static等。

  1、nameif

  设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。

  例如要求设置:

  ethernet0命名为外部接口outside,安全级别是0。

  ethernet1命名为内部接口inside,安全级别是100。

  ethernet2命名为中间接口dmz,安装级别为50。

  使用命令:

  PIX525(config)#nameifethernet0outsidesecurity0

  PIX525(config)#nameifethernet1insidesecurity100

  PIX525(config)#nameifethernet2dmzsecurity50

  2、interface

  配置以太口工作状态,常见状态有:auto、100full、shutdown。

  auto:设置网卡工作在自适应状态。

  100full:设置网卡工作在100Mbit/s,全双工状态。

  shutdown:设置网卡接口关闭,否则为激活。

  命令:

  PIX525(config)#interfaceethernet0auto

  PIX525(config)#interfaceethernet1100full

  PIX525(config)#interfaceethernet1100fullshutdown

  3、ipaddress

  配置网络接口的IP地址,例如:

  PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252

  PIX525(config)#ipaddressinside192.168.0.1255.255.255.0

  内网inside接口使用私有地址192.168.0.1,外网outside接口使用公网地址133.0.0.1。

  4、global

  指定公网地址范围:定义地址池。

  Global命令的配置语法:

  global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

  其中:

  (if_name):表示外网接口名称,一般为outside。

  nat_id:建立的地址池标识(nat要引用)。

  ip_address-ip_address:表示一段ip地址范围。

  [netmarkglobal_mask]:表示全局ip地址的网络掩码。

  例如:

  PIX525(config)#global(outside)1133.0.0.1-133.0.0.15

  地址池1对应的IP是:133.0.0.1-133.0.0.15

  PIX525(config)#global(outside)1133.0.0.1

  地址池1只有一个IP地址133.0.0.1。

  PIX525(config)#noglobal(outside)1133.0.0.1

  表示删除这个全局表项。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章