【導(dǎo)讀】router#workNetwork-Number<--通告標(biāo)準(zhǔn)A,B,C類網(wǎng)-->. router#ipxmaximum-pathsPaths<--設(shè)置負(fù)載平衡，范圍1～512-->. router#isdnswith-typeSwith-Type<--配置ISDN交換機(jī)類型，中國使用basic-3-->. 范圍：1～99標(biāo)準(zhǔn)ACL；100～199擴(kuò)展ACL；800～899標(biāo)準(zhǔn)IPXACL；900～999擴(kuò)展IPXACL；1000~1099

　　

【正文】 1． Pix525(config)static (inside, outside) 表示 ip 地址為 的主機(jī)，對于通過 pix 防火墻建立的每個會話，都被翻譯成 這個全局地址，也可以理解成 static 命令創(chuàng)建了內(nèi)部 ip 地址 和外部 ip 地址 之間的靜態(tài)映射。 例 2． Pix525(config)static (inside, outside) 例 3． Pix525(config)static (dmz, outside) 注釋同例 1。通過以上幾個例子說明使用 static 命令可以讓我們?yōu)橐粋€特定的內(nèi)部 ip 地址設(shè)置一個永久的全局 ip 地址。這樣就能夠為具有較低安全級別的指定接口創(chuàng)建一個入口，使它們可以進(jìn)入到具有較高安全級別的指定接口。 B. 管道命令（ conduit） 前面講過使用 static 命令可以在一個本地 ip 地址和一個全局 ip 地址之間創(chuàng)建了一個靜態(tài)映射，但從外部到內(nèi)部接口的連接仍然會被 pix 防火墻的自適應(yīng)安全算法 (ASA)阻擋， conduit 命令用來允許數(shù)據(jù)流從具有較低安全級別的接口流向具有較高安全級別的接口，例如允許從外部到 DMZ 或內(nèi)部接口的入方向的會話。對于向內(nèi)部接口的連接， static 和 conduit 命令將一起使用，來指定會話的建立。 conduit 命令配置語法： conduit permit | deny global_ip port[port] protocol foreign_ip [mask] permit | deny 允許 | 拒絕訪問 global_ip 指的是先前由 global或 static 命令定義 的全局 ip 地址，如果 global_ip 為 0，就用 any 代替 0；如果 global_ip 是一臺主機(jī)，就用 host 命令參數(shù)。 port 指的是服務(wù)所作用的端口，例如 使用 80， smtp 使用 25 等等，我們可以通過服務(wù)名稱或端口數(shù)字來指定端口。 protocol 指的是連接協(xié)議，比如： TCP、 UDP、 ICMP 等。 foreign_ip 表示可訪問 global_ip 的外部 ip。對于任意主機(jī)，可以用 any 表示。如果 foreign_ip 是一臺主機(jī)，就用 host 命令參數(shù)。 例 1. Pix525(config)conduit permit tcp host eq any 這個例子表示允許任何外部主機(jī)對全局地址 的這臺主機(jī)進(jìn)行 訪問。其中使用 eq 和一個端口來允許或拒絕對這個端口的訪問。 Eq ftp 就是指允許或拒絕只對 ftp 的訪問。 例 2. Pix525(config)conduit deny tcp any eq ftp host 表示不允許外部主機(jī) 對任何全局地址進(jìn)行 ftp 訪問。 例 3. Pix525(config)conduit permit icmp any any 表示允許 icmp 消息向內(nèi)部和外部通過。 例 4. Pix525(config)static (inside, outside) Pix525(config)conduit permit tcp host eq any 這個例子說明 static 和 conduit 的關(guān)系。 在內(nèi)網(wǎng)是一臺 web 服務(wù)器，現(xiàn)在希望外網(wǎng)的用戶能夠通過 pix 防火墻得到 web 服務(wù)。所以先做 static 靜態(tài)映射： － （全局），然后利用 conduit命令允許任何外部主機(jī)對全局地址 進(jìn)行 訪問。 C. 配置 fixup 協(xié)議 fixup 命令作用是啟用，禁止，改變一個服務(wù)或協(xié)議通過 pix 防火墻，由 fixup 命令指定的端口是 pix 防火墻要偵聽的服務(wù)。見下面例子： 例 1． Pix525(config)fixup protocol ftp 21 啟用 ftp 協(xié)議，并指定 ftp 的端口號為 21 例 2． Pix525(config)fixup protocol 80 Pix525(config)fixup protocol 1080 為 協(xié)議指定 80 和 1080 兩個端口。 例 3． Pix525(config)no fixup protocol smtp 80 禁用 smtp 協(xié)議。 D. 設(shè)置 tel tel 有一個版本的變化。在 pix OS （ pix 操作系統(tǒng)的版本號）之前，只能從內(nèi)部網(wǎng)絡(luò)上的主機(jī)通過 tel訪問 pix。在 pix OS 及后續(xù)版本中，可以在所有的接口上啟用 tel 到 pix 的訪問。當(dāng)從外部接口要 tel到 pix 防火墻時， tel 數(shù)據(jù)流需要用 ipsec 提供保護(hù)，也就是說用戶必須配置 pix 來建立一條到另外一臺pix，路由器或 vpn 客戶端的 ipsec 隧道。另外就是在 PIX 上配置 SSH，然后用 SSH client 從外部 tel 到PIX 防火墻， PIX 支持 SSH1 和 SSH2，不過 SSH1 是免費(fèi)軟件， SSH2 是商業(yè)軟件。相比之下 cisco 路由器的 tel 就作的不怎么樣了。 tel 配置語法： tel local_ip [mask] local_ip 表示被授權(quán)通過 tel 訪問到 pix 的 ip 地址。如果不設(shè)此項， pix 的配置方式只能由 console 進(jìn)行。 說了這么多，下面給出一個配置實例供大家參考。 Wele to the PIX firewall Type help or 39。?39。 for a list of available mands. PIX525 en Password: PIX525sh config : Saved : PIX Version (1) PIX 當(dāng)前的操作系統(tǒng)版本為 Nameif ether0 outside security0 Nameif ether1 inside security100 顯示目前 pix 只有 2 個接口 Enable password 7Y051HhCcoiRTSQZ encrypted Passed 7Y051HhCcoiRTSQZ encrypted pix 防火墻密碼在默認(rèn)狀態(tài)下已被加密，在配置文件中不會以明文顯示， tel 密碼缺省為 cisco Hostname PIX525 主機(jī)名稱為 PIX525 Domainname 本地的一個域名服務(wù)器 ，通常用作為外部訪問 Fixup protocol ftp 21 Fixup protocol 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sql 1521 fixup protocol sip 5060 當(dāng)前啟用的一些服務(wù)或協(xié)議，注意 rsh 服務(wù)是不能改變端口號 names 解析本地主機(jī)名到 ip 地址，在配置中可以用名字代替 ip 地址，當(dāng)前沒有設(shè)置，所以列表為空 pager lines 24 每 24 行一分頁 interface ether0 auto interface ether1 auto 設(shè)置兩個網(wǎng)卡的類型為自適應(yīng) mtu outside 1500 mtu inside 1500 以太網(wǎng) 標(biāo)準(zhǔn)的 MTU 長度為 1500 字節(jié) ip address outside ip address inside pix 外網(wǎng)的 ip 地址 ，內(nèi)網(wǎng)的 ip 地址 ip audit info action alarm ip audit attack action alarm pix 入侵檢測的 2 個命令。當(dāng)有數(shù)據(jù)包具有攻擊或報告型特征碼時， pix 將采取報警動作（缺省動作），向指定的日志記錄主機(jī)產(chǎn)生系統(tǒng)日志消息；此外還可以作出丟棄數(shù)據(jù)包和發(fā)出 tcp連接復(fù)位信號等動作，需另外配置。 pdm history enable PIX 設(shè)備管理器可以圖形化的監(jiān)視 PIX arp timeout 14400 arp 表的超時時間 global (outside) 1 如果你訪問外部論壇或用 聊天等等，上面顯示的 ip 就是這個 nat (inside) 1 0 0 static (inside, outside) mask 0 0 conduit permit icmp any any conduit permit tcp host eq any conduit permit udp host eq domain any 用 這個 ip 地址提供 domainname 服務(wù)， 而且只允許外部用戶訪問 domain 的 udp 端口 route outside 1 外部網(wǎng)關(guān) timeout xlate 3:00:00 某個內(nèi)部設(shè)備向外部發(fā)出的 ip 包經(jīng)過翻譯 (global)后，在缺省 3 個小時之后此數(shù)據(jù)包若沒有活動，此前創(chuàng)建的表項將從翻譯表中刪除，釋放該設(shè)備占用的全局地址 timeout conn 1:00:00 halfclosed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute AAA 認(rèn)證的超時時間， absolute 表示連續(xù)運(yùn)行 uauth 定時器，用戶超時后，將強(qiáng)制重新認(rèn)證 aaaserver TACACS+ protocol tacacs+ aaaserver RADIUS protocol radius AAA 服務(wù)器的兩種協(xié)議。 AAA 是指認(rèn)證，授權(quán)，審計。 Pix 防火墻可以通過 AAA 服務(wù)器增加內(nèi)部網(wǎng)絡(luò)的安全 no snmpserver location no snmpserver contact snmpserver munity public 由于沒有設(shè)置 snmp 工作站，也就沒有 snmp 工作站的位置和聯(lián)系人 no snmpserver enable traps 發(fā)送 snmp 陷阱 floodguard enable 防止有人偽造大量認(rèn)證請求，將 pix 的 AAA 資源用完 no sysopt route dnat tel timeout 5 ssh timeout 5 使用 ssh 訪問 pix 的超時時間 terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7 PIX525 PIX525write memory 將配置保存 上面這個配置實例需要說明一下， pix 防火墻直接擺在了與 inter 接口處，此處網(wǎng)絡(luò)環(huán)境有十幾個公有 ip,可能會有朋友問如果我的公有 ip 很有限怎么辦？你可以添加 router 放 在 pix 的前面，或者 global使用單一ip 地址，和外部接口的 ip 地址相同即可。另外有幾個維護(hù)命令也很有用， show interface 查看端口狀態(tài)， show static 查看靜態(tài)地址映射， show ip 查看接口 ip 地址， ping outside | inside ip_address 確定連通性。 本文只是對 pix 防火墻的基本配置做了相關(guān)描述， pix 其他的一些功能例如 AAA 服務(wù)器， vpn 等等限于篇幅，不再一一介紹。