您的位置:360文档中心› PIX Firewall模拟器PEMU

PIX Firewall模拟器PEMU

合集下载

PIX防火墙原理与配置

PIX防火墙原理与配置
PIX 防火墙原理与配置

Copyright © 2010 Bestlink Corporation, All rights reserved
学习目标
了解PIX防火墙的基本概念 掌握防火墙的基本配置命令 理解PIX常见配置案例 了解常用维护方法
Page 2
Copyright © 2010 Bestlink Corporation, All rights reserved
IP包过滤技术介绍
❖ 对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进 行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤 的核心技术是访问控制列表。
R
内部网络
Internet
办事处
公司总部
Page 5
未授权用户
Copyright © 2010 Bestlink Corporation, All rights reserved
Page 13
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
命令格式
Enable password password [encrypted]
hostname newname
用途及说明
从非特权模式进入特权模式时的验证命令,注意 password可以是数字或字符串,但区分大小写, 且长度最大为16个字符。选项[encrypted]是默认 应用的,在配置文件中口令是被加密的
Copyright © 2010 Bestlink Corporation, All rights reserved
PIX 防火墙的基本命令
命令格式 Write standby

思科PIX防火墙设置详解-王成林MySpace聚友博客

思科PIX防火墙设置详解-王成林MySpace聚友博客

思科PIX防火墙设置详解-王成林MySpace聚友博客思科PIX防火墙设置详解在本期应用指南中,管理员可以学到如何设置一个新的PIX防火墙。

你将设置口令、IP地址、网络地址解析和基本的防火墙规则。

假如你的老板交给你一个新的PIX防火墙。

这个防火墙是从来没有设置过的。

他说,这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。

你以前从来没有使用过PIX防火墙。

你如何进行这种设置?在阅读完这篇文章之后,这个设置就很容易了。

下面,让我们看看如何进行设置。

思科PIX防火墙的基础思科PIX防火墙可以保护各种网络。

有用于小型家庭网络的PIX防火墙,也有用于大型园区或者企业网络的PIX防火墙。

在本文的例子中,我们将设置一种PIX 501型防火墙。

PIX 501是用于小型家庭网络或者小企业的防火墙。

PIX防火墙有内部和外部接口的概念。

内部接口是内部的,通常是专用的网络。

外部接口是外部的,通常是公共的网络。

你要设法保护内部网络不受外部网络的影响。

PIX防火墙还使用自适应性安全算法(ASA)。

这种算法为接口分配安全等级,并且声称如果没有规则许可,任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。

这个外部接口的安全等级是“0”,这个内部接口的安全等级是“100”。

下面是显示“nameif”命令的输出情况:pixfirewall# show nameifnameif ethernet0 outside security0nameif ethernet1 inside security100pixfirewall#请注意,ethernet0(以太网0)接口是外部接口(它的默认名字),安全等级是0。

另一方面,ethernet1(以太网1)接口是内部接口的名字(默认的),安全等级是100。

指南在开始设置之前,你的老板已经给了你一些需要遵守的指南。

这些指南是:·所有的口令应该设置为“思科”(实际上,除了思科之外,你可设置为任意的口令)。

GNS3模拟PIX激活码问题

GNS3模拟PIX激活码问题

2009年12月23日星期三 13:27之前做PIX的failover时,提示功能不能用,需要什么证书之类的。

网上看了后才知道需要激活,不然有些功能不可用。

下面是激活过程pixfirewall> enPassword:pixfirewall# sh versionCisco PIX Security Appliance Software Version 7.2(2)Compiled on Wed 22-Nov-06 14:16 by buildersSystem image file is "Unknown, monitor mode tftp booted image"Config file at boot was "startup-config"pixfirewall up 3 mins 23 secsHardware: PIX-525, 256 MB RAM, CPU Pentium II 1 MHzFlash E28F128J3 @ 0xfff00000, 16MBBIOS Flash AM29F400B @ 0xfffd8000, 32KB0: Ext: Ethernet0 : address is 0000.abcd.ef00, irq 91: Ext: Ethernet1 : address is 0000.abcd.ef01, irq 112: Ext: Ethernet2 : address is 0000.abcd.ef02, irq 113: Ext: Ethernet3 : address is 0000.abcd.ef03, irq 114: Ext: Ethernet4 : address is 0000.abcd.ef04, irq 11The Running Activation Key is not valid, using default settings:Licensed features for this platform:Maximum Physical Interfaces : 6Maximum VLANs : 25Inside Hosts : UnlimitedFailover : Disabled //Failover不可用VPN-DES : DisabledVPN-3DES-AES : DisabledCut-through Proxy : EnabledGuards : EnabledURL Filtering : EnabledSecurity Contexts : 0GTP/GPRS : DisabledVPN Peers : UnlimitedThis platform has a Restricted (R) license.Serial Number: 808102688 //序列号Running Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 0x00000000 //激活码Configuration has not been modified since last system restart.pixfirewall# activation-key 0xd2390d2c 0x9fc4b36d 0x98442d99 0xeef7d8b1 //输入激活码The following features available in flash activation key are NOTavailable in new activation key:Failover is different.flash activation key: Restricted(R)new activation key: Unrestricted(UR)Proceed with update flash activation key? [confirm]The following features available in running activation key are NOTavailable in new activation key:Failover is different.running activation key: Restricted(R)new activation key: Unrestricted(UR)WARNING: The running activation key was not updated with the requested key.The flash activation key was updated with the requested key, and willbecome active after the next reload.pixfirewall# write //保存配置Building configuration...Cryptochecksum: 70b1d47e d807251d 47f50cb7 f851d3901226 bytes copied in 0.800 secs[OK]然后在GNS3中直接停掉PIX,重新启动即可,不能reload。

pix接口配置

pix接口配置

配置PIX的第一步先要定义好几个接口.inside 就是接内网的接口了.outside 就是互联网的接口了(其实是接外网的意思)dmz 这个嘛,简单的来说就是接公司对外开放的服外器的接口.命令如下:pixfirewall# conf tpixfirewall(config)# int e0pixfirewall(config-if)# nameif inside ---------------nameif 定义接口的命令,要记住噢. INFO: Security level for "inside" set to 100 by default.pixfirewall(config-if)# ip add 192.168.2.1 255.255.255.0pixfirewall(config-if)# no sh ---------------不要忘记啊,这个是启用接口的意思.好了.爽呀.学会配置pix的IP了.好,我们接着做.pixfirewall(config)# int e1pixfirewall(config-if)# nameif outsidepixfirewall(config-if)# ip add 172.16.8.1 255.255.255.0pixfirewall(config-if)# no shpixfirewall(config)# int e2pixfirewall(config-if)# nameif dmzpixfirewall(config-if)# security-level 50 ----------第二个命令,这个命令的意思设置安全级别pixfirewall(config-if)# ip add 10.0.0.1 255.255.255.0pixfirewall(config-if)# no shsecurity-level的讲解,呵.100表示完全信任,0表示完全不信任.这样明白上面的命令了不??最后应是这样pixfirewall# sh nameifInterface Name SecurityEthernet0 inside 100Ethernet1 outside 0Ethernet2 dmz 50pixfirewall# sh int ip briefInterface IP-Address OK? Method Status Protocol Ethernet0 192.168.2.1 YES manual up up Ethernet1 172.16.8.1 YES manual up up Ethernet2 10.0.0.1 YES manual up up pixfirewall#休息下.....好,现在IP部分我们是设置完了,我们要在pix上配置个RIP来.要不,就不能互联了. pixfirewall# sh run router!router ripnetwork 10.0.0.0network 172.16.0.0network 192.168.2.0!pixfirewall#这路由部分相信大家都会的了,在这我就不啰嗦了.到我们配置NA T了.我们外网的网段是172.16.8.0.,不知道大家有没有配置过cisco router的NA T,PIX的NA T配置要比那个更简单一点噢.第一步,先配置外网要分配的地址池(第一个实验先做多对多的NA T实验,后面会跟进的)命令:pixfirewall(config)# global (outside) 1 172.16.8.20-172.16.8.30 netmask 255.255.255.0怎么样,其实这个是好理解的,global是全局的意思,outside就是外网了.后面跟着我们外网的可用网段.第二步:配置要映射的内网网段了,在这我们就简单点了,内网的IP都一起映射好了.命令:pixfirewall(config)# nat (inside) 1 0 0哈哈,不用打4个0,直接二个搞一,简单,舒服.上面配置的时候要注意了,那个数字1,表示是地址池的一个编号,要对应好.OK,搞定了NA T.现在大家一定高高兴兴的去LAN上ping WAN吧,结果是好好讨厌的.................符号,这就奇了....为什么会不能通呢?原来是这是PIX 的默认设定了.要不这PIX就是透明的了.所以最后我们要设置好access-list 了,让我们的数据包通过.pixfirewall(config)# access-list inside_in permit ip any anypixfirewall(config)# access-list outside permit ip any any这个实验我们不是主要研究策略,所以全部放行.现实中可不能这样做.要不会给打屁屁的.应用到接口去pixfirewall(config)# access-group inside_in in interface insidepixfirewall(config)# access-group outside in interface outside好了,现在去任意路由器上去看看路由有没有学到.WAN#sh ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Loopback0172.16.0.0/24 is subnetted, 1 subnetsC 172.16.8.0 is directly connected, FastEthernet0/0R 10.0.0.0/8 [120/1] via 172.16.8.1, 00:00:15, FastEthernet0/0R 192.168.2.0/24 [120/1] via 172.16.8.1, 00:00:15, FastEthernet0/0WAN#看到LAN上的2.0学到了,这样就可以全网现在是通的,不信可以去互ping.测试NA T在DMZ/LAN上telnel到WAN然后在W AN上用who命令查看WAN#whoLine User Host(s) Idle Location* 0 con 0 idle 00:00:0066 vty 0 idle 00:00:22 172.16.8.21Interface User Mode Idle Peer AddressWAN#看到了吗,我在DMZ上telnet到WAN,但是在WAN上看到的是172.16.8.21是我们NA T分配的IP.。

PIX防火墙基本配置

PIX防火墙基本配置

PIX防火墙基本配置企业环境企业需求1.内网管理员能安全的对防火墙进行远程网管2.内网用户能以NAT方式上网3.内、外网用户都能访问Web、邮件等服务器实验环境虚拟机的使用1.安装Win_Pcap.cmd#只需安装一次,以后不用再安装2.启动虚拟服务XP&2003.bat3.启动PIX标准版.cmd,在命令提示符下输入如下命令=> list#查看当前虚拟机运行状态=> start LAN#启用一台内网路由器Warining: Starting LAN with no idle-pc value#提示警告没有idle值,此时CPU占用率会达到100% => idlepc get LAN#计算该路由器的idle值,Enter the number of the idlepc value to apply [1-8] or ENTER for no change: 3#输入计算出的合理idle值的序号,一般是带*号的=> idlepc save LAN db#将该路由器的idle值存入数据库,以后相同型号的路由器就不用再计算idle值了=> start W AN=> start DMZ#分别启用外网和DMZ区的路由器4.运行pixstart.bat启动防火墙,但此时CPU占用率会达100% 5.运行BSE目录下的bse.exe程序,将pemu进程的CPU占用率进行限制6.分别telnet 127.0.0.1的3007、3008、3009、8888端口登陆到LAN、W AN、DMZ和PIX上基本配置在三个路由器上输入如下相同命令Router>enRouter#confi tRouter(config)#no ip domain-lookupRouter(config)#enable secret ciscoRouter(config)#service password-encryption Router(config)#line console 0Router(config-line)#password ciscoRouter(config-line)#logging synchronousRouter(config-line)#exec-t 10Router (config-line)#password ciscoRouter (config)#line vty 0 4Router (config-line)#no login#开启telnet便于测试Router (config)#hostname LANLAN(config)#int fa0/0LAN (config-if)#ip add 192.168.0.1 255.255.255.0 LAN (config-if)#no shutRouter (config)#hostname DMZDMZ(config)#int fa0/0DMZ(config-if)#ip add 172.16.0.2 255.255.255.0 DMZ(config-if)#no shuRouter (config)#hostname W ANW AN(config)#int fa0/0W AN(config-if)#ip add 172.16.0.2 255.255.255.0W AN(config-if)#no shupixfirewall(config)# clear configure all#清除当前所有配置pixfirewall(config)# show version#查看版本号pixfirewall(config)# hostname PIXPIX(config)# show interface ip brief#查看当前接口信息,注意pix可以直接在全局模式下查看信息PIX(config)# int e0PIX(config-if)# no shutPIX(config-if)# nameif inside#输入接口的名字,当输入inside时,当前接口的安全级别为100 PIX(config-if)# ip add 192.168.0.254 255.255.255.0PIX(config-if)# int e1PIX(config-if)# no shutPIX(config-if)# nameif outside#输入接口的名字,当输入outside时,当前接口的安全级别为0 PIX(config-if)# ip add 61.0.0.254 255.255.255.0PIX(config-if)# int e2PIX(config-if)# no shutPIX(config-if)# nameif dmz#输入其它名字时,当前接口的安全级别为0 PIX(config-if)# security-level 50#调整当前接口安全级别PIX(config-if)# ip add 172.16.0.254 255.255.255.0 PIX(config)# show interface ip brief#再次查看当前接口信息PIX(config-if)# sh run interface#查看接口配置,这条命令跟路由器不一样PIX(config-if)# show nameif#查看接口安全级别PIX(config-if)# show ip address#查看接口IP地址,这条命令跟路由器不一样PIX(config-if)# ping 192.168.0.1PIX(config-if)# ping 172.16.0.2PIX(config-if)# ping 61.0.0.3#确保PIX能ping通三台路由器PIX(config-if)#wr配置pix的远程网管PIX(config)# passwd shenhui#输入远程管理密码,对telnet和ssh都适用PIX(config)# telnet 192.168.0.1 255.255.255.255 inside#只允许192.168.0.1对pix进行telnet网管,在能用SSH的情况下尽量用后面介绍的SSHpix (config)# domain-name #输入域名、时间及主机名,以便以后生成密钥pix(config)# clock timezone gmt +8#输入时区pix (config)# clock set 20:56:00 31 may 2008#输入当前时间pixfirewall(config)# sh clockPIX(config)# crypto key generate rsa general-keys modulus 1024#产生密钥PIX(config)# ssh 192.168.0.1 255.255.255.255 inside#只允许192.168.0.1对pix进行ssh网管LAN# ssh –l pix 192.168.0.254#用ssh方式远程登陆,pix为用户名,低版本的路由器不支持此命令pix(config)# http 192.168.25.170 255.255.255.255 inside#允许192.168.25.170对防火墙进行https网管pix(config)# username user1 password user1pix(config)# aaa authentication http console LOCAL#对https启用本地认证配置路由DMZ(config)#ip route 0.0.0.0 0.0.0.0 172.16.0.254LAN(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.254LAN#telnet 172.16.0.2#确保内部用户能访问DMZ区,注意此时ping 172.16.0.2是不通的配置NAT,允许内部用户上网PIX(config)# nat-controlPIX(config)# nat (inside) 1 192.168.0.0PIX(config)# global (outside) 1 interface#PIX启用NAT,此处跟路由器很不一样LAN#telnet 61.0.0.3#确保内部用户在通过NAT后能访问Internet,同样ping 172.16.0.2是不通的PIX(config)# sh xlate#查看NAT转换项配置静态NAT,发布DMZ区的服务器pix(config)# static (dmz,outside) tcp interface 80 172.16.0.2 80pix(config)# static (dmz,outside) tcp interface 25 172.16.0.2 25 pix(config)# static (dmz,outside) tcp interface 110 172.16.0.2 110 pix(config)# static (dmz,outside) tcp interface 23 172.16.0.2 23 PIX(config)# sh run static#查看配置的静态NATPIX(config)# access-list OUT-DMZ permit ip any host 61.0.0.254 #配置允许外部到DMZ区的流量PIX(config)# access-group OUT-DMZ in interface outside#将列表应用到外部接口PIX(config)# sh run access-list#查看配置的列表PIX(config)# sh run access-group#查看在接口应用的列表W AN#telnet 61.0.0.254#验证外部用户能访问DMZ区的服务器PIX(config)# show access-list#查看当前列表的匹配情况。

PIX防火墙配置基础

PIX防火墙配置基础

telnet ip_address [netmask] [if_name]
E n a b le s y o u to s p e c ify w h ic h h o s ts c a n a c c e s s th e P IX F ir e w a ll c o n s o le v ia T e ln e t p ix fir e w a ll(c o n fig )#
p ix fir e w a ll(c o n fig )#
ping [if_name] ip_address
p in g c o m m a n d
pixfirewall(config)# ping 10.0.0.3 10.0.0.3 response received -- 0Ms 10.0.0.3 response received -- 0Ms 10.0.0.3 response received -- 0Ms
C h a p te r 5
Ba s ic C o n fig u r a tio n o f th e C is c o P IX F ir e w a ll
S e c u rity B o o tc a m p
2 0 0 1, C is c o S y s te m s , In c . A ll rig h ts re s e rv e d .
1
O b je c tiv e s
U p o n c o m p le tio n o f th is c h a p te r , y o u w ill b e a b le to p e r fo r m th e fo llo w in g ta s k s :
D e s c r ib e th e P IX F ir e w a ll a c c e s s m o d e s . D e s c r ib e a n d e x e c u te th e P IX F ir e w a ll g e n e r a l m a in te n a n c e c o m m a n d s . D e s c r ib e th e A S A s e c u r ity le v e ls . D e s c r ib e a n d e x e c u te th e b a s ic P IX F ir e w a ll c o n fig u r a tio n c o m m a n d s .

基于pemu的cisco pix硬件防火墙实现

基于pemu的cisco pix硬件防火墙实现
ux
l U
Q mu PX e I
DE
PX 很 多型号 . 并发 连接数 是 PX防 火墙 的重 要参 数 。 I 目前 三 、 l 防 火 墙 的 制 作 过 程 该 防火墙 在企事 业 中有着 广 泛 的应 用 .是 很多 网络 安 1安 装 C nO 、 e t S的操作 系统 , 安装最 少组 件。 仅
2 1 年第 4期 0 1

建 电

11 5
基 于 p mu的 csopx硬 件 防火 墙 实 现 e i i c
雷 运 理
( 武汉 大 学计算机 学院 湖 北 武汉 4பைடு நூலகம்7 3 0 2)
【 摘 要 】 防 火墙 技 术是 信 息安 全课 程 中一 门重要 的 内容 , 文结 合 高职 院校 学 生培 养 目标 , : 本 开发 了
l 火 l 1 '幔 黼 千
5、 册并 激活 防火墙 注
编辑 :e uii p m . 如下 : n
在 高 职业 网络 课 程教 学 中 ,设 备厂 商 为 方便 教 学
已经 开 发 了相 关 的设 备 模 拟 软 件 ,如 : i oP c e C s ak t c T ae . 为 的 WV P . r r华 c R 55及 G S N 3等 软件 。 这些 软件都 能很好 的满 足教学 要求 .但是 模 拟器 与真 实 的设 备在 有 亲 自动手 连线等 方 面的不 足 本 文设 计 的思路 是 让 模 拟 软件 ( E Q MU) 运行 在 一 台 l u i x服务 器 上 . 挂 载 n 并 C S O防火 墙 的 lS 再 通 过 桥接 的方 式 . 防火 墙 的 IC O . 让
4 根 据 P MU 的说 明 文 档 。 火墙 的虚 拟 网卡 可 、 E 防

GNS3模拟Qemu-host、PIX、Junos、ASA、IPS简明教程

GNS3模拟Qemu-host、PIX、Junos、ASA、IPS简明教程

GNS3模拟Qemu-host、PIX、Junos、ASA、IPS简明教程gns3模拟Qemu host、PIX、Junos、ASA、IPS简明教程1、Qemu host1.1 参数设置1.2 运行效果2、PIX 2.1 参数设置2.2 未完全激活状态2.3 activation key之后状态3、Junos 3.1 参数设置3.1 运行效果4、ASA 4.1 参数设置4.2 运行效果关于接口cannot get channel解决之一:首选如上图不变,拖出ASA Firewall后,在节点配置中将nic Model: e10 00改为pcnet就可以了。

5、IPS5.1 参数设置5.2 运行效果6、BES –Battle Encoder ShiraseBES的用处是缓解dynamips-wxp.exe等进程占用过多CPU!请注意观察,运行IPS时若导致某些数据传输的问题,取消限制即可!6.1 点击“Target”选择目标进程,然后“Limit this”再选择“Yes”即可!6.2 完成上述操作后,点击“Control”还可以对CPU占用率进行调整,通常推荐不必理会!7、gns3与secureCRT关联设置软件环境:System: MicrosoftWindowsXP3 gns3: VersionsecureCRT: Version.489 绿色版7.1 gns3设置7.2 系统设置:C:\windows\system32 目录下添加secur eCRT快捷方式,并在系统环境变量中加入secureCRT程序的路径!7.3 关于secureCRT.vbs如果你的电脑足够快,通过secureCRT.vbs添加一些参数,如:no ip domain-lookup、exec-timeout 0 0、logging synchronous等之类的命令,让secureCRT运行时自动加载,省去你输入的麻烦!。

PIX防火墙NAT设置

PIX防火墙NAT设置

1.普通NAT:nat(inside) 1 10.1.1.0 255.255.255.0global(outside) 1 192.168.0.20-192.160.0.254 netmask 255.255.255.0如果第一上网的地址是10.1.1.1,那么其转化为192.168.0.20第二个上网的地址是10.1.1.100,那么转化为192.168.0.21如果外网地址耗尽,就不能上网了。

这叫做动态的转化。

nat(inside) 1 10.1.1.0 255.255.255.0global(outside) 1 202.100.1.100目的端口号从1024到65535个。

可以有65535-1024个会话清掉原来的natclear config natclear config globalclear xlate没有多余地址,只有物理接口的地址,甚至物理接口的地址还是dhcp或者pppoe来的。

fw(config)#nat (inside) 1 10.0.0.0 255.255.0.0fw(config)#global (outside) 1 interface这样在网管show user时,虽不知道是哪个网段telnet上来的。

但是最少知道是内部的。

2. 用ID来区分同是inside到outside的不同网段的地址转换nat(inside) 1 10.0.0.0 255.255.255.0nat(inside) 2 10.2.0.0 255.255.255.0global (outside) 1 192.168.0.3-192.168.0.16 netmask 255.255.255.0global(outside) 2 192.168.0.17-192.168.0.32 netmask 255.255.255.0nat (inside) 1 10.0.1.0 255.255.255.0nat (inside) 2 10.0.2.0 255.255.255.0global (outside) 1 192.168.0.8 netmask 255.255.255.255global (outside) 2 192.168.0.9 netmask 255.255.255.2553. 三接口nat(3个NA T只用了4句话)nat (inside) 1 10.0.0.0 255.255.255.0nat(dmz) 1 172.16.0.0 255.255.255.0global (outside) 1 192.168.0.20-192.168.0.254 netmast 255.255.255.0global (dmz) 1 172.16.0.20-172.16.0.254 netmast 255.255.255.04.backing up PATfw1(config)#nat (inside) 1 10.0.0.0 255.255.255.0fw1(config)#global (outside) 1 192.168.0.8 netmast 255.255.255.255fw1(config)#global (outside) 1 192.168.0.9 netmast 255.255.255.255先用地址8,后用地址95.nat和pat共存fw1(config)#nat (inside) 1 10.0.0.0 255.255.0.0fw1(config)# global (outside) 1 192.168.0.20-192.168.0.253 netmast 255.255.255.0fw1(config)#global (outside) 1 192.168.0.254 netmast 255.255.255.2556.identity natfw1(config)#nat(dmz) 0 192.168.0.9 255.255.255.255nat +源接口+ 0 +源IP地址来自于dmz去往其他低于其安全等级的流量不进行转换。

PIX防火墙PDM配置

PIX防火墙PDM配置

2 0 0 1, C is c o S y s te m s , In c . A ll rig h ts re s e rv e d .
4
W h a t Is P D M ?
P D M is a b r o w s e r -b a s e d c o n fig u r a tio n to o l d e s ig n e d to h e lp c o n fig u r e a n d m o n ito r y o u r P IX F ir e w a ll.
W o r k s w ith P IX F ir e w a ll s o ftw a r e v e r s io n s 6 .0 a n d h ig h e r . Ca n o p e r a te o n P IX F ir e w a ll m o d e ls 5 0 6 , 5 1 5 , 5 2 0 , 5 2 5 , a n d 535. Im p le m e n te d in J a v a to p r o v id e r o b u s t, r e a l-tim e m o n ito r in g . R u n s o n a v a r ie ty o f p la tfo r m s . D o e s n o t r e q u ir e a p lu g -in s o ftw a r e in s ta lla tio n . Co m e s p r e lo a d e d in to F la s h m e m o r y o n n e w P IX F ir e w a lls r u n n in g v e r s io n s 6 .0 a n d h ig h e r . F o r u p g r a d in g fr o m a p r e v io u s v e r s io n o f P IX F ir e w a ll, it c a n b e d o w n lo a d e d fr o m Cis c o a n d th e n c o p ie d to th e P IX F ir e w a ll v ia T F T P . W o r k s w ith S S L to e n s u r e s e c u r e c o m m u n ic a tio n w ith th e P IX F ir e w a ll.

PIX安全配置规范(NewVersion)

PIX安全配置规范(NewVersion)

贞眉内容PIX安全配置规范帐号安全-1要求内容操作指南支持按用户分配账号。

__________________________配置操作:一、使用本地认证:pixfirewall{config)# user userl pass ciscol pr 15pixfirewall{config)# user user2 pass cisco2 pr 10pixfirewall{config)# user user3 pass cisco3 pr 5二、使用ACS认证:pixfirewall{config)# aaa-server AAA pro tac {"AAA"为自己定义的名称) pixfirewall{config-aaa-server-group)# aaa-server AAA host 8・8・8・8(该地址为实际的TACACS+服务器地址) {自己定义的密码) pixfirewall{config-aaa-server-host)# key ciscopixfirewall{config)# aaa authen enable console AAA检测方法检测操作:一、使用本地认证:Pixfirewall{config)# sh run useruser name userl p assword p LmuBzTQeYSthR pK encrypted privilege 15username user2 password NI・B5cRNDk5f3O3u encrypted privilege 10username user3 password AsB2t//QBtuOHOrA encrypted privilege 5二.使用ACS认证:pixfirewall{config)# shrun aaaaaa authentication enable console AAApixfirewall(config)# sh run aaa- aaa-serverAAA protocol tacacs+ aaa-server AAA host8.8.8.8key ciscopixfirewall(config)#test aaa-server authentication AAA host 8.8.8.8 username username passwordpassword帐号安全-2要求内容 操作指南 与设备运行、维护等工作无关的账号,应能够删除或锁定。

PIX防火墙配置基础

PIX防火墙配置基础

PIX防火墙配置基础一、在使用PIX防火墙的环境下,通常按各个功能分为三个区域部分:1、内部区域(内网)。

内部区域通常就是指企业内部网络或者是企业内部网络的一部分。

它是互连网络的信任区域,即受到了防火墙的保护。

2、外部区域(外网)。

外部区域通常指Internet 或者非企业内部网络。

它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。

3、停火区(DMZ)。

停火区是一个隔离的网络,或几个网络。

位于停火区中的主机或服务器被称为堡垒主机。

一般在停火区内可以放置Web服务器,Mail服务器等。

停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。

注意:2个接口的防火墙是没有停火区的。

PIX通常包含多个接口,二、PIX防火墙提供4种管理访问模式:1、非特权模式。

PIX防火墙开机自检后,就是处于这种模式。

系统显示为pixfirewall>2、特权模式。

输入enable 进入特权模式,可以改变当前配置。

显示为pixfirewall#3、配置模式。

输入configure terminal 进入此模式,绝大部分的系统配置都在这里进行。

显示为pixfirewall(config)#4、监视模式。

PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。

这里可以更新*作系统映象和口令恢复。

显示为monitor>三、配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route。

这些命令在配置PIX是必须的。

以下是配置的基本步骤:1. 配置防火墙接口的名字,并指定安全级别(nameif)。

Pix535(config)#nameif ethernet0 outside security0Pix535(config)#nameif ethernet1 inside security100Pix535(config)#nameif dmz security50注意:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。

思科PIX防火墙命令大全

思科PIX防火墙命令大全

思科PIX防火墙命令大全思科PIX防火墙命令大全一、PIX防火墙的认识PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。

PIX有很多型号,并发连接数是PIX防火墙的重要参数。

PIX25是典型的设备。

PIX防火墙常见接口有:console、Failover、Ethernet、USB。

网络区域:内部网络:inside外部网络:outside中间区域:称DMZ(停火区)。

放置对外开放的服务器。

二、防火墙的配置规则没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。

(内部发起的连接可以回包。

通过ACL开放的服务器允许外部发起连接)inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

三、PIX防火墙的配置模式PIX防火墙的配置模式与路由器类似,有4种管理模式:PIXfirewall>:用户模式PIXfirewall#:特权模式PIXfirewall(config)#:配置模式monitor>:ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。

四、PIX基本配置命令常用命令有:nameif、interface、ipaddress、nat、global、route、static等。

1、nameif设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。

例如要求设置:ethernet0命名为外部接口outside,安全级别是0。

ethernet1命名为内部接口inside,安全级别是100。

ethernet2命名为中间接口dmz,安装级别为50。

使用命令:PIX525(config)#nameif ethernet0 outside security0PIX525(config)#nameif ethernet1 inside security100PIX525(config)#nameif ethernet2 dmz security502、interface配置以太口工作状态,常见状态有:auto、100full、shutdown。

GNS3模拟PIX防火墙图文教程

GNS3模拟PIX防火墙图文教程

GNS3模拟PIX防⽕墙图⽂教程1、模拟的⽅法模拟的⽅法很简单,从⽹上下载pix的IOS(是.bin格式的⽂件),然后在GNS3的“编辑”–>“⾸选项”–>”Qemu”–>”PIX”,在binary image中设置相应IOS⽂件即可。

2. PIX的激活要完全使⽤PIX的功能,需要激活PIX,激活⽅法如下(引⽤⾃⽹络):pixfirewall> enPassword:(直接回车)pixfirewall# sh versionCisco PIX Security Appliance Software Version 7.2(2)Compiled on Wed 22-Nov-06 14:16 by buildersSystem image file is “Unknown, monitor mode tftp booted image”Config file at boot was “startup-config”pixfirewall up 3 mins 23 secsHardware: PIX-525, 256 MB RAM, CPU Pentium II 1 MHzFlash E28F128J3 @ 0xfff00000, 16MBBIOS Flash AM29F400B @ 0xfffd8000, 32KB0: Ext: Ethernet0 : address is 0000.abcd.ef00, irq 91: Ext: Ethernet1 : address is 0000.abcd.ef01, irq 112: Ext: Ethernet2 : address is 0000.abcd.ef02, irq 113: Ext: Ethernet3 : address is 0000.abcd.ef03, irq 114: Ext: Ethernet4 : address is 0000.abcd.ef04, irq 11The Running Activation Key is not valid, using default settings:Licensed features for this platform:Maximum Physical Interfaces : 6Maximum VLANs : 25Inside Hosts : UnlimitedFailover : Disabled//Failover不可⽤VPN-DES : DisabledVPN-3DES-AES : DisabledCut-through Proxy : EnabledGuards : EnabledURL Filtering : EnabledSecurity Contexts : 0GTP/GPRS : DisabledVPN Peers : UnlimitedThis platform has a Restricted (R) license.Serial Number: 808102688 //序列号Running Activation Key: 0×00000000 0×00000000 0×00000000 0×00000000 0×00000000//激活码Configuration has not been modified since last system restart.pixfirewall# activation-key 0xd2390d2c 0×9fc4b36d 0×98442d99 0xeef7d8b1 //输⼊激活码The following features available in flash activation key are NOTavailable in new activation key:Failover is different.flash activation key: Restricted(R)new activation key: Unrestricted(UR)Proceed with update flash activation key? [confirm]The following features available in running activation key are NOTavailable in new activation key:Failover is different.running activation key: Restricted(R)new activation key: Unrestricted(UR)WARNING: The running activation key was not updated with the requested key.The flash activation key was updated with the requested key, and willbecome active after the next reload.pixfirewall# write //保存配置Building configuration…Cryptochecksum: 70b1d47e d807251d 47f50cb7 f851d3901226 bytes copied in 0.800 secs[OK]然后在GNS3中直接停掉PIX,重新启动即可,不能reload。

pix防火墙

pix防火墙

PC平台模拟pix防火墙2009-07-09 16:14:00| 分类:个人日记 |举报 |字号订阅一,所需软件:网卡模拟器openvpn: 文件:openvpn-2.0.9-install.rar大小:931KB下载:下载PIX模拟器pemu: 文件:pemu_win32_02.rar大小:411KB下载:下载CPU使用率控制器BES: 文件:BES(CPU使用率控制).zip大小:455KB下载:下载PIX的IOS文件:pix721.binVMware模拟主机dynamips模拟路由器tomcat模拟服务器SecureCRT 5.1二,安装软件:SecureCRT:(用于连接防火墙和路由器的终端)按“下一步”常规安装(序列号在压缩包中)(在本地PC添加虚拟网卡,为了桥接虚拟机以及模拟路由dynamips)OpenVPN:1. 安装openvpn-2.0.9-install.exe2. 在安装目录的bin目录下(一般为C:\Program Files\OpenVPN\bin)运行addtap.bat3. 每运行一次,添加一个虚拟网卡,名为本地链接2,本地链接3,本地链接4...4. 把虚拟网卡改名为tap0、tap1、tap2,后面在开启pix模拟器时可使用这三个网卡5. 如果要删除虚拟网卡的话,运行deltapall.batPIX:(模拟防火墙)· 安装pemu,解压开即可!· 把pix721.bin改成pix721.rar并解压,提取pix文件放入pemu文件夹里· 编辑pemu目录中的pemu.ini文件:清空原有内容粘贴以下黄色代码:· serial=0x302aab20· image=pix· key=0xd2390d2c,0x9fc4b36d,0x98442d99,0xeef7d8b1· bios1=mybios_d8000· bios2=bios.bin· bios_checksum=1· DOS界面下进入到pemu目录中,运行以下命令:(启动防火墙并使三块网卡与防火墙的三个端口进入已连接状态)· pemu.exe -net nic,macaddr=00:aa:00:00:02:01 -net tap,ifname=tap0 -net nic,macaddr=00:aa:00:00:02:02 -net tap,ifname=tap1 -netnic,macaddr=00:aa:00:00:02:03 -net tap,ifname=tap2 -serialtelnet::4444,server,nowait· 用secureCRT登录防火强(telnet 127.0.0.1 端口4444)· 第一次可看到以下启动信息:· 此时,show version可看到由于激活码无效使防火墙处于受限功能状态。

PIX-firewall基本配置

PIX-firewall基本配置

一、Cisco Pix日常维护常用命令Upgrade asa5510 k8 to k9Asa5510#activation-key 3c18e170 c48dc18e 585261ac ae182090 c11588a31、Pix模式介绍“>”用户模式firewall>enable由用户模式进入到特权模式password:“#”特权模式firewall#config t 由特权模式进入全局配置模式“(config)#”全局配置模式firewall(config)#防火墙的配置只要在全局模式下完成就可以了。

1、基本配置介绍○1、端口命名、设备命名、IP地址配置及端口激活nameif ethernet0 outside security0 端口命名nameif gb-ethernet0 inside security100定义端口的名字以及安全级别,“outside”的安全级别默认为0,“inside”安全级别默认为100,及高安全级别的可以访问低安全级别的,但低安全级别不能主动地到高安全级别。

firewall(config)#hostname firewall 设备名称firewall(config)#ip address outside 1.1.1.1 255.255.255.0 内外口地址设置firewall(config)#ip address inside 172.16.1.1 255.255.255.0firewall(config)# interface ethernet0 100full 激活外端口firewall(config)# interface gb-ethernet0 1000auto 激活内端口○2、telnet、ssh、web登陆配置及密码配置防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的,需要相应得开启功能。

firewall(config)#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet 到防火墙配置从外网远程登陆到防火墙Firewall(config)#domain-name firewall(config)# ca generate rsa key 800firewall(config)#ca save allfirewall (config)#ssh 0.0.0.0 0.0.0.0 outsideASA5500 SSH远程登陆配置方法Asa5510(config)#crypto key generate rsafirewall(config)#ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址可以远程登录防火墙,也可以定义一格具体的地址可以从外网登陆到防火墙上,如:firewall(config)#ssh 218.240.6.81 255.255.255.255 outsidefirewall(config)#enable password cisco 由用户模式进入特权模式的口令firewall(config)#passrd cisco ssh远程登陆时用的口令firewall(config)#username Cisco password Cisco Web登陆时用到的用户名firewall(config)#http enable 打开http允许内网10网断通过http访问防火墙firewall(config)#http 192.168.10.0 255.255.255.0 insidefirewall(config)#pdm enablefirewall(config)#pdm location 192.168.10.0 255.255.255.0 insideweb登陆方式:https://172.16.1.1○3、保证防火墙能上网还要有以下的配置firewall(config)#nat (inside)1 0 0 对内部所有地址进行NAT转换,或如下配置,对内部固定配置的地址进行NAT转化,未指定的不予转发firewall(config)#nat (inside) 1 192.168.10.0 255.255.255.0fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0firewall (config) # global (outside) 1 interface 对进行nat转换得地址转换为防火墙外接口地址firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2指一条默认路由器到ISP做完上面的配置内网用户就可以上网了,内部有3层交换机且划分了Vlan,若要保证每个Vlan都能够上网,还要在防火墙上指回到其他VLan的路由,如:Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.2○4、内网服务器映射如果在局域网内有服务器要发布到互联网上,需要在PIX对内网服务器进行映射。

PIX入门教程

PIX入门教程

PIX入门教程==============一、CLIPIX防火墙支持基于Cisco IOS的命令集,并提供了4种管理访问模式:●非特权模式(用户模式);●特权模式;●配置模式;●监控模式。

在每种模式下,可以把命令缩写成最少但唯一的字符串。

如,可以输入write t来查看配置信息,输入co t代替configure terminal,进入配置模式。

在PIX防火墙命令行中可以获得帮助信息,输入help或?能够列出所有的命令。

如果在一个命令后面输入?,会列出这个命令的说明和语法。

如果在一个命令的前面输入help,会列出这个命令的语法和说明。

另外,在命令行中可以只输入命令本身,然后回车,可以查看这个命令的语法。

和Cisco IOS路由器相比,在PIX防火墙CLI环境的配置模式下可以执行所有的功能,不必从配置模式退出来,就可以列出正在运行的和当前保存的配置,可以使用所有的show和debug命令。

1、基本命令通过enable命令进入特权模式。

命令enable语法是:enable [priv_level]enable password pw [level priv_level] [encrypted]★priv_level-特权级别,从0到15;★pw-大小写敏感的密码,长度为3到16个数字或字母;★encrypted-指明输入的密码为加密后的值。

(即使密码是空的,也会被转换成加密字符串)命令enable password可以设置特权模式下的密码。

创建密码后,无法再看到这个密码,命令show enable password命令列出密码的加密形式。

经过加密的密码,不能回复成明文。

使用configure terminal从特权模式变为配置模式。

使用exit或者quit退出。

命令hostname可以改变提示符中的主机名。

缺省的主机名是pixfirewall。

二、配置PIX防火墙在配置模式下输入setup,进入配置对话框模式。

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

PEMU与大家熟知的Dynamips相类似,在模拟出来的硬件环境运行真正的IOS/PIXOS,目前PEMU可以支持PIX version 6.35和7.X。

PEMU同样有Linux与win32版本,与Dynamips不同的是,PEMU的win32版本是另一个人修改linux版本的代码做出来的。

作者作品发布日期最近更新国籍Mm123 Pemu_linux 04.11 04.20 非英语国家melifaro Pemu_win32 05.01 05.19 俄罗斯最近5月19日更新的win32版本是0.3.1版,也是基本4月20日的linux版本代码修改。

下面以这个win32版本简单说一下使用方法,linux版本的原理及用法基本一样,区别不大。

1、网络接口用Dynamips模拟出来的路由器,网络接口分为两种:a、网络接口是PC上的UDP端口,互连也是通过Dynamips配置UDP端口互连实现;b、网络接口可以桥接到PC的实际网卡上,与“外界”通信。

与Dynamips不同,PEMU模拟的PIX Firewall,网卡接口都必须桥接到PC的网卡上,不过桥接的网卡有两种:a、TAP网卡,早期版本的PEMU只能桥接到这种网卡上,模拟的PIX需要几个网口,就必须在PC上创建同等数量TAP网卡。

b、桥接到PC的实际网卡,新版本的pemu支持和Dynamips一样的桥接到真实网卡,与“外界”通信。

同样需要安装winpcap来支持。

2、实例说明例子是是模拟一台有三个网卡的PIX,运行PIX version 7.21,其中有一个网卡(ethernet0)桥接到PC的网卡上,接入internet。

a、对于windows来说,创建TAP网卡需要openvpn,但并不是说就非要安装openvpn,提取了openvpn的相应文件后,也可以方便增、删TAP网卡,见附件tapnic.rar,解压后运行addtap.bat即可创建TAP网卡,运行一次生成一个TAP网卡。

文件:tapnic.rar大小:450KB下载:下载运行两次addtap.bat,生成两张TAP网卡,并改名为tap0和tap1,见附图:b、下载PEMU win32版,文件:pemu_win32_031.rar大小:355KB下载:下载解压到d:\pemu_win32_031,文件见附图:c、下载PIXOS 7.21的image:pix721.bin,改后缀为rar,解压后在两层目录下得到pix这个文件,拷贝至pemu的目录下;d、修改pemu.ini,内容如下:Serial=0x302aab20#定义PIX的序列号,在PIX运行起来后用对应这个序列号的Activation Key可以将PIX变成URkey=0x00000000,0x00000000,0x00000000,0x00000000#这里让它全0就可以了,Activation Key是要运行激活后保存在FLASH文件里。

image = pix#这里指定PIXOS image文件bios1 = mybios_d8000bios2 = bios.binbios_checksum = 1e、运行pemu -e,取得PC网卡的设备信息:D:\pemu_win32_031>pemu.exe -eNetwork device list:rpcap://\Device\NPF_GenericDialupAdapter : Network adapter 'Adapter for generic dialup and VPN capture' on local hostrpcap://\Device\NPF_{1F07C744-0CB6-48FE-8286-2B050B4F10C3} : Network adapter'TAP-Win32 Adapter V8' on local hostrpcap://\Device\NPF_{6ED714A4-406B-42B8-85C5-A2B6111174FF} : Network adapter'Intel(R) PRO/1000 PL Network Connection' on local hostrpcap://\Device\NPF_{D7FEA58D-E7B7-4609-83D5-632458326828} : Network adapter'Intel(R) PRO/Wireless 3945ABG Network Connection' on local hostrpcap://\Device\NPF_{FE18DFBF-3956-4521-94F0-51F7D60DC2B5} : Network adapter'TAP-Win32 Adapter V8' on local host要桥接的物理网卡是这个:rpcap://\Device\NPF_{6ED714A4-406B-42B8-85C5-A2B6111174FF} : Network adapter'Intel(R) PRO/1000 PL Network Connection' on local host记下此网卡设备信息:\Device\NPF_{6ED714A4-406B-42B8-85C5-A2B6111174FF}f、写一个只有一行内容的批处理文件,内容如下:pemu -net nic,vlan=0,macaddr=00:aa:00:00:01:01 -net pcap,vlan=0,ifname=\Device\NPF_{D7FEA58D-E7B7-4609-83D5-632458326828} -net nic,vlan=1,macaddr=00:aa:00:00:02:01 -net tap,vlan=1,ifname=TAP0 -net nic,vlan=2,macaddr=00:aa:00:00:02:02 -net tap,vlan=2,ifname=TAP1 -serial telnet::4444,server运行批处理,见附图:g、telnet之前批处理定义的console口,telnet localhost:4444,连接到这台模拟的PIX Firewall 525的console口,见附图:h、激活UR license:pemu现在的版本不支持reload命令,只能关掉重来,重起后看到license从Restricted已变成UR:最后,介绍一个控制windows每个进程CPU最大占用率的小工具:BES。

目前的PEMU有bug,会占用100%的CPU,也没有像Dynamips那样的idle-pc值的方式来降低,只能借助BES,控制在10%左右的CPU占用率也能正常跑。

文件:BES.rar大小:57KB下载:下载Windows PEMU使用指南PENU,PIX的模拟器,如果你熟悉Dynamips,这个原理是和它一样的。

现在有linux 和windows版本可以使用。

这里的介绍以windows为主。

一:先去/release/openvpn-2.0.9-install.exe下载此软件!这个是在windows 中安装虚拟pix网卡使用的程序.安装完成后,点开始菜单,程序,openvpn,Add a new TAP-Win32 virtual ethernet adapter,增加虚拟网卡。

每运行一次增加一个虚拟网卡!安装驱动时候,选择仍然继续即可。

(在这里我增加了3个),右键网上邻居,属性,会发现新加的“本地连接2 本地链接3本地连接4”这样的!然后你需要把网卡的名字按照顺序改成TAP0 TAP1 TAP2!这样pix就有3快网卡可以使用啦(以后可以分别映射为inside,outside,dmz)二:下载WIN_PEMU或者http://7200emu.hacki.at/download.php?id=246/pemu-cisco-pix-emulator/解压缩后会有几个文件出现,只需要调整ini文件中image小段即可看看PEMU.INI参数serial=0x12345678image=pix721key=0x00000000,0x00000000,0x00000000,0x00000000NvBebios1=mybios_d8000bios2=bios.binbios_checksum=1注意Image=***;先把pix721.bin改成pix721.rar 然后解压出来,改名为PIX721 (要和image =中的一致,另外不解压IOS,PEMU可是不会load IOS呦)。

建议采用PIX OS 7.X版本;6.X没有试过,应该是可以的,但注意加载failover命令三:进入目录PEMU 在命令行中运行-pemu -net nic,macaddr=00:aa:00:00:02:01 -net tap,ifname=tap0 -net nic,macaddr=00:aa:00:00:02:02 -net tap,ifname=tap1 -serial tcp::4444,server,nowait出现以下的启动画面:(如果觉得麻烦可以将上面的两行内容写到pix.bat批处理文件中,每次运行双击就可以)四:登录在另一CMD窗口中运行telnet 127.0.0.1 44444444是TCP端口号!会看到pix IOS启动画面,Show version看一下如果是PIX7.X以上版本的IOS或者激活码不对,此时,show version可看到由于激活码无效使防火墙处于受限功能状态。

可按以下步骤操作开启PIX防火墙的无限制模式:1、输入激活码2、退出防火墙3、关闭并重新运行模拟器(因为模拟的防火墙并不能真正的重启(reload)如下:pixfirewall> enenPassword:pixfirewall# ac 5236f5a1 97def6d1 732a91f1 f5deef51pixfirewall# exitpixfirewall> exit因为从pix 7.x开始,无法在pemu.ini中指定激活码,因此需要启动后手工录入,录入后会写在flash中,因此不用担心信息丢失。

重新运行模拟器后,再看看防火墙的状态,已经是无限制的全功能版本了!!!注:如果在CMD下TELNET 出现回显一个字符变成2个的情况,修改pemu启动脚本如下_ pemu -net nic,macaddr=00:aa:00:00:02:01 -net tap,ifname=tap0 -net nic,macaddr=00:aa:00:00:02:02 -net tap,ifname=tap1 -serialtelnet::4444,server,nowait注意是telnet,而不是tcp如果用SecueCRT解决方法如下:要修改会话选项里的高级设置.将"强制每次一个字符模式"勾选关于PENU的cpu利用率问题现在PIX已经可以运行啦,但是cpu利用率依然是100%。

相关文档
最新文档