? 硬件防火墻，是網(wǎng)絡(luò)間的墻，防止非法侵入，過(guò)濾信息等，Cisco PIX防火墻操作系統(tǒng)跟Cisco IOS相似,都是用命令行的方式來(lái)進(jìn)行操作。用配置線從電腦的COM2連到防火墻的console口，進(jìn)入PIX操作系統(tǒng)采用windows系統(tǒng)里的“超 級(jí)終端”，通訊參數(shù)設(shè)置為默認(rèn)。初始使用有一個(gè)初始化過(guò)程，主要設(shè)置：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等。（我們以CISCO PIX 525實(shí)驗(yàn)為例）
下面我講一下一般用到的最基本配置
? ?? ?1、 首先要激活以太端口用enable進(jìn)入，然后進(jìn)入configure模式
PIX525>enable
Password:
PIX525#config??terminal
PIX525(config)#interface ethernet0 auto
在默然情況下ethernet0是屬外部網(wǎng)卡outside,outside必須命令配置激活
PIX525(config)#interface ethernet1 auto
ethernet1是屬內(nèi)部網(wǎng)卡inside,inside在初始化配置成功的情況下已經(jīng)被激活生效
2、 命名端口與安全級(jí)別(nameif的相關(guān)內(nèi)容我們?cè)诒酒恼孪旅孢M(jìn)行簡(jiǎn)單解釋)
采用命令nameif
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全級(jí)別（0安全級(jí)別最高）
security100是內(nèi)部端口inside的安全級(jí)別,如果中間還有以太口，則security10，security20等等命名
3、 配置以太端口IP 地址
采用命令為：ip address
如：內(nèi)部網(wǎng)絡(luò)為：192.168.1.0 255.255.255.0
外部網(wǎng)絡(luò)為：10.0.0.0 255.0.0.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 10.0.0.1 255.0.0.0
4、 配置遠(yuǎn)程訪問(wèn)[telnet]
在默然情況下，PIX的以太端口是不允許telnet的，這一點(diǎn)與路由器有區(qū)別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關(guān)。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet10.0.0.1 255.0.0.0 outside
測(cè)試telnet
telnet192.168.1.1
PIX passwd:
輸入密碼：
5、 訪問(wèn)列表(access-list)
此功能與CiscoIOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個(gè)功能，網(wǎng)絡(luò)協(xié)議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問(wèn)主機(jī):10.0.0.3的www,端口為：80
PIX525(config)#access-list 100 permit ip any host 10.0.0.3 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
6、 地址轉(zhuǎn)換（Nat）和端口轉(zhuǎn)換(PAT)
Nat跟路由器基本是一樣的，
首先必須定義IP Pool，提供給內(nèi)部IP地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。
PIX525(config)#global (outside) 1 10.0.0.50-10.0.0.100 netmask 255.0.0.0　　global (outside) 1　1是序號(hào)可以為2、3
PIX525(config)#Nat (outside) 1 192.168.0.0 255.255.255.0
如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則：
PIX525(config)#Nat(outside) 1 0.0.0.0 0.0.0.0
則某些情況下，外部地址是很有限的，有些主機(jī)必須單獨(dú)占用一個(gè)IP地址，必須解決的是公用一個(gè)外部IP(10.0.0.101),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時(shí)共享一個(gè)IP,有點(diǎn)像代理服務(wù)器一樣的功能。配置如下：
PIX525(config)#global (outside) 1 10.0.0.101-10.0.0.200 netmask 255.0.0.0
PIX525(config)#global (outside) 1 10.0.0.101 netmask255.255.255.0
PIX525(config)#Nat(outside) 1 0.0.0.0 0.0.0.0
7、 dhcp Server
在內(nèi)部網(wǎng)絡(luò)，為了維護(hù)的集中管理和充分利用有限IP地址，都會(huì)啟用動(dòng)態(tài)主機(jī)分配IP地址服務(wù)器（dhcp Server），Cisco Firewall PIX都具有這種功能，下面簡(jiǎn)單配置dhcp Server,地址段為192.168.1.100—192.168.168.1.200
dns: 主221.231.133.1　　主域名稱：abc.com　　dhcp Client 通過(guò)PIX Firewall
PIX525(config)#ip address dhcp
dhcp Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp
dns 221.231.133.1
PIX525(config)#
dhcp domain abc.com
8、 靜態(tài)端口重定向(Port Redirection with Statics)
在PIX 版本6.0以上，增加了端口重定向的功能，允許外部用戶通過(guò)一個(gè)特殊的IP地址/端口通過(guò)Firewall PIX
傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。這種功能也就是可以發(fā)布內(nèi)部WWW、ftp
、mail等服務(wù)器了，這種方式并不是直接連接，而是通過(guò)端口重定向，使得內(nèi)部服務(wù)器很安全。
命令格式：
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]

telnet端口，通過(guò)PIX重定向到內(nèi)部主機(jī)192.168.1.99的telnet端口（23）。
PIX525(config)#static (inside,outside) tcp 221.231.133.1
telnet192.168.1.99 telnet netmask 255.255.255.255 0 0

ftp，通過(guò)PIX重定向到內(nèi)部192.168.1.3的
ftp Server。
PIX525(config)#static (inside,outside) tcp 10.0.0.51
ftp192.168.1.3 ftp netmask 255.255.255.255 0 0
www(即80端口)，通過(guò)PIX重定向到內(nèi)部192.168.123的主機(jī)的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 10.0.0.202
www 192.168.1.2 www netmask 255.255.255.255 0 0
HTTP(8080端口)，通過(guò)PIX重定向到內(nèi)部192.168.1.4的主機(jī)的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 10.0.0.202
8080 192.168.1.4 www netmask 255.255.255.255 0 0
smtp(25端口)，通過(guò)PIX重定向到內(nèi)部192.168.1.5的郵件主機(jī)的smtp(即25端口)
PIX525(config)#static (inside,outside) tcp 10.0.0.202
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
Nameif命令基本格式如下
Nameif hardware-id if-name security-level
其中，hardware-id表示防火墻上接口的具體位置，如ethernet0或者ethernet1等等。這些是
思科防火墻在出廠的時(shí)候就已經(jīng)設(shè)置好的，不能夠進(jìn)行更改。若在沒(méi)有對(duì)接口進(jìn)行重新命名的時(shí)候，我們只能夠通過(guò)這個(gè)接口位置名稱，來(lái)配置對(duì)應(yīng)的接口參數(shù)。
而if-name 則是我們?yōu)檫@個(gè)接口指定的具體名字。一般來(lái)說(shuō)，這個(gè)名字希望能夠反映出這個(gè)接口的用途，就好象給這個(gè)接口取綽號(hào)一樣，要能夠反映能出這個(gè)接口的實(shí)際用途。 另外，這個(gè)命名的話，我們網(wǎng)絡(luò)管理員也必須遵守一定的規(guī)則。如這個(gè)名字中間不能用空格，不同用數(shù)字或者其他特殊字符(這不利于后續(xù)的操作)，在長(zhǎng)度上也不 能夠超過(guò)48個(gè)字符。
security-level表示這個(gè)接口的安全等級(jí)。一般情況下，可以把IT服務(wù)管理器內(nèi)部接口的安全等級(jí)可以設(shè)置的高一點(diǎn)，而企業(yè)外部接口的安全 等級(jí)則可以設(shè)置的低一點(diǎn)。如此的話，根據(jù)防火墻的訪問(wèn)規(guī)則，安全級(jí)別高的接口可以防衛(wèi)安全級(jí)別低的接口。也就是說(shuō)，不需要經(jīng)過(guò)特殊的設(shè)置，企業(yè)內(nèi)部網(wǎng)絡(luò)就 可以訪問(wèn)企業(yè)外部網(wǎng)絡(luò)。而如果外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)，由于是安全級(jí)別低的接口訪問(wèn)安全級(jí)別高的接口，則必須要要進(jìn)行一些特殊的設(shè)置，如需要訪問(wèn)控制列表的 支持，等等。

轉(zhuǎn)載于:https://blog.51cto.com/anglos/538444

總結(jié)

以上是生活随笔為你收集整理的CISCO PIX防火墙的配置的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。