科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道基础使用cisco pix 防火墙(1)

基础使用cisco pix 防火墙(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

hardware_speed,通产设置为自动,但是cisco推荐我们手动配置速度.关于速度和你选择的网络传输介质有关.route告诉我们要在那个特定的接口转发,并指定那个特定的网络地址.使用route命令向pix增加一个静态路由.

作者:51CTO.COM 2007年11月7日

关键字: 防火墙 PIX 接口

  • 评论
  • 分享微博
  • 分享邮件

  1.interface command

  在配置用户接口的时候我们经常听到关于接口的专有名词

  hardware_id指ethernet 0,e1,e2

  interface_name指outside,inside,dmz

  hardware_speed,通产设置为自动,但是cisco推荐我们手动配置速度.关于速度和你选择的网络传输介质有关.

  no shutdown在router上用户激活这个端口,在pix中,没有no shutdown命令,只有使用到shutdown这个参数,主要用于管理关闭接口.

  interface hardware_id hardware_speed [shutdown]

  interface e0 auto

  interface e1 auto

  interface e2 auto

  2.nameif command

  nameif 主要用于命令一个接口,并且给它分配一个从1到99的安全值,因为外部接口和内部接口都是默认的,分别是0和100,同时默认情况下e0是外部接口,e1是指内部接口.

  nameif hardware_id if_name security_level

  nameif e0 outside 0

  nameif e1 inside 100

  nameif e2 dmz 50

  使用show nameif来查看配置情况

  关于security_level值得区别,请都看看我前面写的.从高安全段的流量到低安全段的流量怎么走,放过又怎么走,需要什么条件才能流进流出.

  3.ip address command

  cisco pix接口的ip 地址可以从两个地方来获得,分别是 manual 和dhcp

  ip address用于手动配置一个接口上的ip address,通过将一个逻辑地址添加到一个硬件ID上.

  ip address if_name ip_address [netmask]

  ip address inside 192.168.6.0 255.255.255.0

  Remove the currently configured ip address pix(config)#clear ip address (全部清除ip address)

  pix(config)#no ip address inside 192.168.6.0 255.255.255.0(清除这个接口的ip address)

  4.Nat command

  用于一组ip 地址转换成另外一组ip 地址,昨天我看到6.2版本支持nat outside ip address,不知道这个究竟在什么环境才用到,呵呵

  在用nat命令的时候,有个特别的注意点:nat 0有特殊含义,其次nat 总是和global一起使用.

  nat (if_name) nat_id local_ip [netmas]

  nat (inside) 1 192.168.6.0 255.255.255.0

  5.Global command

  global命令用于定义用nat命令转换成的地址或者地址范围,注意global命令中的nat_id需要和你配置的nat命令中的nat_id相同.

  global (if_name) nat_id global_ipglobal_ip-global_ip [netmask]

  global (outside) 1 10.0.0.1 255.0.0.0 (PAT转换,当你用这个命令,CLI会给你一个警告信息指出pix要PAT的所有地址)

  global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0

  这里有这样一个命令可以在pix检测转换表中查看你是否有这个特定ip的入口.show xlate,一般一个被转换的ip address保存在转换表中的默认时间是3个小时.你可以通过timeout xlate hh:ss来更改这个设置.

  这里你也同样需要了解PAT是怎么工作的,同样你要知道PAT也有局限,不能支持H.323和高速缓存使用的名称服务器,老实说我也不知道这两个是什么东东:(

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章