一、PIX防火墙的认识

PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。

PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。

PIX防火墙常见接口有：console、Failover、Ethernet、USB。

网络区域：

内部网络：inside

外部网络：outside

中间区域：称DMZ(停火区)。放置对外开放的服务器。

二、防火墙的配置规则

没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。

(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

三、PIX防火墙的配置模式

PIX防火墙的配置模式与路由器类似，有4种管理模式：

PIXfirewall>：用户模式

PIXfirewall#：特权模式

PIXfirewall(config)#：配置模式

monitor>：ROM监视模式，开机按住[Esc]键或发送一个“Break”字符，进入监视模式。

四、PIX基本配置命令

常用命令有：nameif、interface、ipaddress、nat、global、route、static等。

1、nameif

设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

例如要求设置：

ethernet0命名为外部接口outside，安全级别是0。

ethernet1命名为内部接口inside，安全级别是100。

ethernet2命名为中间接口dmz,安装级别为50。

使用命令：

PIX525(config)#nameif ethernet0 outside security 0

PIX525(config)#nameif ethernet1 inside security 100

PIX525(config)#nameif ethernet2 dmz security 50

2、interface

配置以太口工作状态，常见状态有：auto、100full、shutdown。

auto：设置网卡工作在自适应状态。

100full：设置网卡工作在100Mbit/s，全双工状态。

shutdown：设置网卡接口关闭，否则为激活。

命令：

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 100full

PIX525(config)#interface ethernet1 100full shutdown

3、ip address

配置网络接口的IP地址，例如：

PIX525(config)#ip address outside 133.0.0.1 255.255.255.252

PIX525(config)#ip address inside 192.168.0.1 255.255.255.0

内网inside接口使用私有地址192.168.0.1，外网outside接口使用公网地址133.0.0.1。

4、global

指定公网地址范围：定义地址池。

Global命令的配置语法：

global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中：

(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

例如：

PIX525(config)#global (outside) 1 133.0.0.1-133.0.0.15

地址池1对应的IP是：133.0.0.1-133.0.0.15

PIX525(config)#global (outside) 1 133.0.0.1

地址池1只有一个IP地址133.0.0.1。

PIX525(config)#no global (outside) 1 133.0.0.1

表示删除这个全局表项。

5、nat

地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]

其中：

(if_name)：表示接口名称，一般为inside.

nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

在实际配置中nat命令总是与global命令配合使用。

一个指定外部网络，一个指定内部网络，通过net_id联系在一起。

例如：

PIX525(config)#nat (inside) 1 0 0

表示内网的所有主机(0 0)都可以访问由global指定的外网。

PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0/16网段的主机可以访问global指定的外网。

6、route

route命令定义静态路由。

语法：

route (if_name) 0 0 gateway_ip [metric]

其中：

(if_name)：表示接口名称。

0 0：表示所有主机

Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。缺省值是1。

例如：

PIX525(config)#route outside 0 0 133.0.0.1 1

设置缺省路由从outside口送出，下一跳是133.0.0.1。

0 0代表0.0.0.0 0.0.0.0，表示任意网络。

PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1

设置到10.1.0.0网络下一跳是10.8.0.1。最后的“1”是花费。