PIX构筑铜墙铁壁(3)

　　在配置过程中，我们可以使用write terminal命令查看当前配置，使用write memory保存配置信息到Flash Memory。

　　5. 配置网络接口

　　PIX使用nameif和ip address命令进行网络接口配置。

　　首先使用下面的语句定义内部网段和外部网段的网络接口。

　　nameif ethernet0 outside security0

　　nameif ethernet1 inside security100

　　PIX防火墙使用Intel的10/100Mbps网卡，使用下面的命令定义接口配置为自适应。

　　interface ethernet0 auto

　　interface ethernet1 auto

　　最后，我们定义接口的IP地址和掩码。

　　ip address inside 10.0.0.250 255.255.255.0

　　ip address outside 202.12.29.205 255.255.255.248

　　6. 允许内部用户访问外部网段

　　在前面，我们定义了内部网段安全值为100，外部网段安全值为0。用户在安全值高的区域访问安全值低的区域，需要使用nat和global命令；相反地，如果允许安全值低的区域的用户访问安全值高的区域的用户，则需要使用static和conduit命令。

　　nat (inside) 1 0 0

　　global (outside) 1 202.12.29.206 netmask 255.255.255.248

　　其中1为NAT ID，两个语句中的NAT ID应一样。前一句表示允许所有机器对外访问，第二句定义NAT使用的地址池，由于大部分情况下，合法的IP地址并不多，因此在此例中只设置了一个合法IP地址202.12.29.206用来做地址转换。

　　7. 定义外部路由

　　对于外部网段，还需要定义外部路由，它是防火墙外部网段的缺省路由：route outside 0 0 202.12.29.202 1。其中0 0表示外部网段的缺省路由，1表示从防火墙到路由器只有一个hop。

　　8. 允许使用ping命令

　　conduit permit icmp any any 此命令允许在内部网段和外部网段使用ping命令进行网络测试。因为ping命令使用的是ICMP协议，在设置和调试期间，一般开放此功能，当防火墙工作正常后，也可以关闭此项功能。

　　9. 保存设置和重新启动

　　使用write memory命令将配置信息写入flash memory。使用reload命令重新启动防火墙。

　　10. 增加telnet访问控制

　　在PIX中，我们可以定义只允许某些机器通过telnet访问防火墙。需要注意的是，这里进行telnet访问的机器必须在内部网段上，以增强安全性。

　　telnet 10.0.0.204 255.255.255.255// 即允许10.0.0.204这台机器使用telnet访问防火墙。

　　telnet timeout 15 // 即将空闲时间设置为15分钟，当访问防火墙的机器15分钟内没有任何操作时，将自动断开连接。