PIX构筑铜墙铁壁(4)

　　telnet访问的缺省口令是cisco，可以通过passwd命令来修改口令。

　　测试telnet时，我们可以使用命令debug icmp trace来获得更多的信息。

　　11. 增加服务器访问控制

　　缺省情况下，PIX拒绝所有来自外部网段的访问请求。当WWW服务器等设备放在防火墙的内部网段上时，为了使外部网络上的用户可以访问到，必须使用static和conduit命令来进行配置。

　　下面，我们给出允许外部网络访问内部网络上的WWW服务器的命令。

　　static (inside,outside) 202.12.29.204 10.0.0.204 netmask 255.255.255.255

　　conduit permit tcp host 202.12.29.204 eq www any

　　其中，第一个命令将在内部网段的WWW服务器10.0.0.204映射一个外部合法地址202.12.29.204；第二个命令允许所有外部主机通过tcp port 80访问202.12.29.204这台服务器。

　　接着，我们再给出一个允许外部网络访问内部网络上的邮件服务器10.0.0.203的命令。

　　static (inside,outside) 202.12.29.203 10.0.0.203 netmask 255.255.255.255

　　conduit permit tcp host 202.12.29.203 eq smtp any

　　12. 控制内部网段对外的访问

　　使用outbound和apply命令进行组合，可以控制内部网段的机器能否对外进行访问，举例说明如下。

　　outbound 10 deny 10.0.0.0 255.255.255.0 irc tcp

　　outbound 10 permit 10.0.0.204 255.255.255.255 irc tcp

　　apply (inside) 10 outgoing_src 如果不想让内部用户使用CHAT功能，可以采用第一条命令，禁止10.0.0.1～10.0.0.255的所有机器使用CHAT功能访问外部站点；第二条命令允许10.0.0.204这台机器通过irc协议访问外部站点;第三条命令将前面的命令应用在inside，也就是内部网段上。

　　outbound 20 deny 202.102.224.25 255.255.255.255 www tcp

　　apply (inside) 20 outgoing_dest

　　通过对以上2条命令的组合使用，我们可以禁止内部网段上的所有机器访问外部网络的WWW服务器202.102.224.25。

　　到此为止，我们已经介绍了在网络管理中通常会使用到的一些设置命令，其实还有一些其他相关的设置命令，大家可以查阅PIX的文档或者访问Cisco公司的网站以获取最新的资料。

　　总的来说，如果用户希望得到一台网络性能较高但不需要广泛的监视功能或应用程序过滤功能的企业级防火墙，Cisco PIX将会是一个不错的选择。