一、防火墙的几个模式

PIXfirewall>:用户模式

password:     

PIXfirewall#:特权模式(enable可进入此模式        

PIXfirewall(config)#:配置模式(用configure terminal可进入此模式)
monitor> ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。

建立用户和修改密码 (cisco ios路由器基本一样)

 

二、防火墙的基本配置命令

配置Cisco PIX防火墙有如下几个基本命令:nameifinterfaceip addressglobalnatlroutestaticconduitACLfixuptelnetshowDHCP
  这些命令在配置PIX是必须的。以下是配置的基本步骤:

1nameif配置防火墙接口的名字,并指定安全级别)
   Pix506(config)#nameif ethernet0 outside security0
   Pix506(config)#nameif ethernet1 inside security100
   Pix506(config)#nameif dmz security50
  提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100安全级别取值范围为199,数字越大安全级别越高。若添加新的接口,语句可以这样写:
  Pix506(config)#nameif pix/intf3 security40 (安全级别任取)

 

2.  interface(配置以太口参数)

配置以太口工作状态,常见状态有:auto100fullshutdown
auto :设置网卡工作在自适应状态。
100full :设置网卡工作在100Mbit/s,全双工状态。
shutdown :设置网卡接口关闭,否则为激活。  

Pix506(config)#interface ethernet0 autoauto选项表明系统自适应网卡类型
  Pix506(config)#interface ethernet1 100full100full选项表示100Mbit/s以太网全双工通信
  Pix506(config)#interface ethernet1 100full shutdownshutdown选项表示关闭这个接口,若启用接口去掉shutdown

在默认情况下ethernet0是属外部网卡outsideethernet1是属内部网卡insideinside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。


3.  ip address (配置内外网卡的IP地址
   Pix506(config)#ip address outside 61.144.51.42 255.255.255.248
  Pix506(config)#ip address inside 192.168.0.1 255.255.255.0

Pix506 (config)#clear ip address (全部清除 ip address)
Pix506 (config)#no ip address inside 192.168.6.0 255.255.255.0(清除这个接口的 ip address)

4.  global(指定外部地址范围)
  global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。注意global命令中的nat_id需要和你配置的nat命令中的nat_id相同Global命令的配置语法: global (if_name) nat_id ip_address-ip_address [netmask global_mask]
  其中(if_name)表示外网接口名字,例如outside.Nat_id用来标识全局地址池(nat要引用),使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
  例1 Pix506(config)#global (outside) 1 61.144.51.42-61.144.51.48
  表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
  例2 Pix506(config)#global (outside) 1 61.144.51.42
  表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。
  例 3. Pix506(config)#no global (outside) 1 61.144.51.42
  表示删除这个全局表项。

       4. Pix506(config)#global (outside) 1 10.0.0.1 255.0.0.0  (PAT转换,当你用这个命令,CLI会给你一个警告信息指出pixPAT的所有地址)

5. Pix506(config)#global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0

这里有这样一个命令可以在 pix 检测转换表中查看你是否有这个特定 ip 的入口 .show xlate, 一般一个被转换的 ip address 保存在转换表中的默认时间是 3 个小时 . 你可以通过 timeout xlate hh:ss 来更改这个设置 .

这里你也同样需要了解 PAT 是怎么工作的,同样你要知道 PAT 也有局限,不能支持 H.323 和高速缓存使用的名称服务器,老实说我也不知道这两个是什么东东 :(

 

5.  nat(指定要进行转换的内部地址)
  网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法:nat (if_name) nat_id local_ip [netmark] 其中:

if_name表示内网接口名字,例如inside.

Nat_id用来标识全局地址池,使它与其相应的global命令相匹配

local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。

[netmark]表示内网ip地址的子网掩码。
  在实际配置中nat命令总是与global命令配合使用。

一个指定外部网络,一个指定内部网络,通过nat_id联系在一起

1 Pix506(config)#nat (inside) 1 0 0
  表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0 .0
  例2 Pix506(config)#nat (inside) 1 172.16.5.0 255.255.0.0
  表示只有172.16.5.0这个网段内的主机可以访问外网。

 

nat 0 命令
如果在内部网络有一个公用地址,要想内部主机不经过转换去外部网络,可以让 NAT 停止作用。 nat 0 命令禁止地址转换,所以对外部网络来说,内部 ip 地址是可见的,重要的是要注意到 nat 0 是与 acl 联合起来使用的 , 提供对发生于内部主机 / 网络不经过转换到外部网络的流量的访问
access-list acl_nonat permit 192.168.43.0 255.255.255.0 192.168.6.0
nat (inside) 0 acl_nonat
 使用 static 命令或 nat 0 命令时要求使用访问列表来对已识别的主机 / 网络建立一个连接 .

 

地址转换(nat)和端口转换(pat)

nat跟路由器基本是一样的,首先必须定义ip pool,提供给内部ip地址转换的地址段,接着定义内部网段。
pix506e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix506e(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
pix506e(config)#nat (outside) 1 0.0.0.0 0.0.0.0
在某些情况下,外部地址是很有限的,有些主机必须单独占用一个ip地址,必须解决的是公用一个外部ip(222.20.16.201),则必须多配置一条命令,这种称为(pat),这样就能解决更多用户同时共享一个ip,有点像代理服务器一样的功能。配置如下:
pix506e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
pix506e(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
pix506e(config)#nat (outside) 1 0.0.0.0 0.0.0.0