硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,Cisco PIX防火墙操作系统跟Cisco IOS相似,都是用命令行的方式来进行操作。用配置线从电脑的COM2连到防火墙的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默认。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等。(我们以CISCO PIX 525实验为例)
  下面我讲一下一般用到的最基本配置
  1、 首先要激活以太端口用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#config  terminal
PIX525(config)#interface ethernet0 auto
在默然情况下ethernet0是属外部网卡outside,outside必须命令配置激活
PIX525(config)#interface ethernet1 auto
ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效
  2、 命名端口与安全级别(nameif的相关内容我们在本篇文章下面进行简单解释)
采用命令nameif
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全级别(0安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名
  4、 配置以太端口IP 地址
采用命令为:ip address
如:内部网络为:192.168.1.0 255.255.255.0
外部网络为:10.0.0.0 255.0.0.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 10.0.0.1 255.0.0.0
  5、 配置远程访问[telnet]
  在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 10.0.0.1 255.0.0.0 outside
测试telnet
telnet 192.168.1.1
PIX passwd:
输入密码:
  6、 访问列表(access-list)
  此功能与CiscoIOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:10.0.0.3的www,端口为:80
PIX525(config)#access-list 100 permit ip any host 10.0.0.3 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
  7、 地址转换(NAT)和端口转换(PAT)
NAT跟路由器基本是一样的,
  首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global (outside) 1 10.0.0.50-10.0.0.100 netmask 255.0.0.0  global (outside) 1 1是序号可以为2、3
PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
  则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(10.0.0.101),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global (outside) 1 10.0.0.101-10.0.0.200 netmask 255.0.0.0
PIX525(config)#global (outside) 1 10.0.0.101 netmask255.255.255.0
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
  8、 DHCP Server
  在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面简单配置DHCP Server,地址段为192.168.1.100—192.168.168.1.200
DNS: 主221.231.133.1  主域名称:abc.com  DHCP Client 通过PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp dns 221.231.133.1
PIX525(config)#dhcp domain abc.com
  9、 静态端口重定向(Port Redirection with Statics)
  在PIX 版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX
  传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
  命令格式:
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。
PIX525(config)#static (inside,outside) tcp 221.231.133.1
telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
FTP,通过PIX重定向到内部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 10.0.0.51
ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 10.0.0.202
www 192.168.1.2 www netmask 255.255.255.255 0 0
HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 10.0.0.202
8080 192.168.1.4 www netmask 255.255.255.255 0 0
smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
PIX525(config)#static (inside,outside) tcp 10.0.0.202
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
Nameif命令基本格式如下
  Nameif hardware-id if-name security-level
  其中,hardware-id表示防火墙上接口的具体位置,如ethernet0或者ethernet1等等。这些是思科防火墙在出厂的时候就已经设置好的,不能够进行更改。若在没有对接口进行重新命名的时候,我们只能够通过这个接口位置名称,来配置对应的接口参数。
  而if-name 则是我们为这个接口指定的具体名字。一般来说,这个名字希望能够反映出这个接口的用途,就好象给这个接口取绰号一样,要能够反映能出这个接口的实际用途。另外,这个命名的话,我们网络管理员也必须遵守一定的规则。如这个名字中间不能用空格,不同用数字或者其他特殊字符(这不利于后续的操作),在长度上也不能够超过48个字符。
  security-level表示这个接口的安全等级。一般情况下,可以把IT服务管理器内部接口的安全等级可以设置的高一点,而企业外部接口的安全等级则可以设置的低一点。如此的话,根据防火墙的访问规则,安全级别高的接口可以防卫安全级别低的接口。也就是说,不需要经过特殊的设置,企业内部网络就可以访问企业外部网络。而如果外部网络访问内部网络,由于是安全级别低的接口访问安全级别高的接口,则必须要要进行一些特殊的设置,如需要访问控制列表的支持,等等。