PIX 基础

CISCO 硬件防火墙520 配置手册 (CISCO 硬件防火墙520 配置手册 (flyants0) CISCO PIX作为硬件防火墙, 确省的配置为两块网卡, 一块接内部网( 又叫 INSIDE ), 一块接公网( 又叫OUTSIDE ) 以下手册列出一些常用的命令和配置方法: 现假设内部网段为 192.168.0.0/24 , 公网接入为 161.1.0.0/16 PIX内部网卡地址为 192.168.0.2/24 外部网卡地址为: 161.1.1.2/16 INTERNET接入的路由器以太网卡地址为161.1.1.1/16 1. 用串口接到PIX的CONSOLE上, COM1的参数设为9600,8, none, 1 2. 进入ENABLE模式: 输入enable 3. show ver : 查看版本信息. 4. sh nameif 查看INTERFACE的信息. 5. 在ENABLE模式下, 进入配置模式: config t 6. 配置IP 地址, 分为INSIDE IP ,和OUTSIDE IP. IP ADDRESS INSIDE 192.168.0.1 255.255.255.0 IP ADDRESS OUTSIDE 161.1.1.2 255.255.0.0 7. 设置缺省路由 ROUTE OUTSIDE 0.0.0.0 0.0.0.0 161.1.1.1 255.255.0.0 1 8. 允许PING PERMIT CONDUIT ICMP ANY ANY 9. 允许内部网用户访问INTERNET Nat ( inside ) 1 192.168.0.0 255.255.255.0 Global (outside) 1 161.1.1.3 netmask 255.255.0.0 (PAT模式) Global (outside) 1 161.1.1.4-161.1.1.100 netmask 255.255.0.0 ( Pool 模式) 10. 允许外部用户访问内部的服务器 STATIC (INSIDE, OUTSIDE) 161.1.1.6 192.168.0.6 netmask 255.255.255.255 Conduit permit tcp host 161.1.1.6 eq www.any ( 允许外部的用户使用WWW服务, 访问内部网的WWW服务器) 11. 设置TELNET权限 TELNET XX.XX.XX.XX (XX为内部网的IP ) 12. 存配置 wr mem 13. 修改密码 修改TELNET密码 ( 缺省为cisco ) Passwd yourpassword Enable password yourpassword 14. 检查LOG logging buffered 7 sh logging 1. 将PIX安放至机架，经检测电源系统后接上电源，并加电主机。　 2. 将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入 　 PIX系统；此时系统提示pixfirewall>。 3. 输入命令：enable,进入特权模式，此时系统提示为pixfirewall#。　 4. 输入命令： configure terminal,对系统进行初始化设置。　 5. 配置以太口参数： 　 interface ethernet0 auto　 （auto选项表明系统自适应网卡类型） 　 interface ethernet1 auto 6. 配置内外网卡的IP地址： 　 ip address inside ip_address netmask 　 ip address outside ip_address netmask 7. 指定外部地址范围： 　 global 1 ip_address-ip_address 8. 指定要进行要转换的内部地址： 　 nat 1 ip_address netmask 9. 设置指向内部网和外部网的缺省路由 　 route inside 0 0 inside_default_router_ip_address　 　 route outside 0 0 outside_default_router_ip_address　 10. 配置静态IP地址对映： 　 static outside ip_address　　inside ip_address 　 11. 设置某些控制选项： 　 conduit global_ip port[-port] protocol foreign_ip [netmask] 　 　　　global_ip　 指的是要控制的地址　 　　　port　　　　指的是所作用的端口，其中0代表所有端口　 　　　protocol　　指的是连接协议，比如：TCP、UDP等　 　　　foreign_ip　表示可访问global_ip的外部ip，其中表示所有的ip。　 12. 设置telnet选项： 　 telnet local_ip [netmask] 　　　local_ip　　表示被允许通过telnet访问到pix的ip地址（如果不设此项， PIX的配置只能由consle方式进行）。　 13. 将配置保存： 　 wr mem 14. 几个常用的网络测试命令： 　 #ping 　 #show interface　　　查看端口状态　 　 #show static　　　　 查看静态地址映射