使用并升级CiscoPIX防火墙软件映像

防火墙CISCO-PIX525的配置基础知识现在，我们通过一个相对简单的示例说明如何使用Cisco PIX对企业内部网络进行管理。

网络拓扑图如附图所示。

Cisco PIX安装2个网络接口，一个连接外部网段，另一个连接内部网段，在外部网段上运行的主要是DNS 服务器，在内部网段上运行的有WWW服务器和电子邮件服务器，通过Cisco PIX，我们希望达到的效果是：对内部网络的所有机器进行保护，WWW服务器对外只开放80端口，电子邮件服务器对外只开放25端口。

具体*作步骤如下。

2．获得最新PIX软件---- 从Cisco公司的WWW或FTP站点上，我们可以获得PIX的最新软件,主要包括如下内容。

pix44n.exe――PIX防火墙的软件映像文件。

pfss44n.exe――PIX Firewall Syslog Server服务器软件,能够提供一个Windows NT服务,用来记录PIX的运行日志。

pfm432b.exe――图形化的PIX管理软件。

rawrite.exe――用于生成PIX的启动软盘。

3．配置网络路由---- 在使用防火墙的内部网段上，需要将每台计算机的缺省网关指向防火墙，比如防火墙内部IP地址为10.0.0.250，则内部网段上的每台计算机的缺省网关都要设置为10.0.0.250。

具体设置在“控制面板”*“网络”*“TCP/IP协议”中进行。

4．配置PIX---- 在配置PIX之前，应该对网络进行详细的规划和设计，搜集需要的网络配置信息。

要获得的信息如下。

---- （1）每个PIX网络接口的IP地址。

（2）如果要进行NAT,则要提供一个IP地址池供NAT使用。

NAT是网络地址转换技术，它可以将使用保留地址的内部网段上的机器映射到一个合*的IP地址上以便进行Internet访问（3）外部网段的路由器地址。

---- 进入PIX配置界面的方*是：连接好超级终端，打开电源，在出现启动信息和出现提示符pixfirewall>后输入“enable”，并输入密码，进入特权模式；当提示符变为pixfirewall#>后，输入“configure terminal”，再进入配置界面。

思科ciscopix设备管理器（pdm）防火墙技术-电脑资料概述cisco pix device manager（pdm）可以为大型企业和电信运营商提供他们所需要的功能，帮助他们方便地管理cisco pix防火墙，。

它具有一个直观的图形化用户界面（ gui），可以帮助您安装和配置您的pix防火墙。

此外，它还可以提供各种含有大量信息的、实时的和基于历史数据的报告，从而能够帮助您深入地了解使用趋势、性能状况和安全事件。

加密通信功能让您可以有效地管理本地或者远程的cisco pix防火墙。

简而言之，pdm可以简化互联网安全性，使它成为一个经济有效的工具，帮助您提高生产率和网络安全性，节约时间和资金。

直观的用户界面很多安全漏洞都是由于错误的配置而导致的。

因此，安全策略的部署必须尽可能方便直观。

pdm所提供的向导、鼠标点击式配置和在线帮助可以降低用户的管理难度。

安全人员可以将精力集中于加强网络安全和制定安全策略，而不是管理各种用于执行安全任务的工具。

向导pix device manager提供了一个方便易用的向导，它可以帮助您安装一个新的pix系统。

在pdm安装向导的帮助下，您只需完成几个步骤，就可以有效地创建一个基本配置，让您可以通过防火墙，安全地将分组从内部网络发送到外部网络。

您还可以执行多个可选的任务，例如设置关于外部用户对您的web或者邮件服务器的访问权限的安全规则。

在完成了前期的安装任务以后，直观的下拉菜单和图表可以帮助您方便地添加和删除服务和规则，以及访问其他的功能设置。

图形化用户界面利用cisco pix device manager，您可以在方便地配置、管理和监控整个网络中的安全策略。

pdm的图形化用户界面（gui）为用户提供了一个熟悉的标签式界面，用户只需点击一次就可以访问常用的任务。

即使对于新手来说，pdm的鼠标点击式设计也非常简便，从而缩短了用户的上手时间。

pdm的gui有助于大幅度缩短管理时间，最大限度地提高网络安全管理效率，因而可以节约大量的成本。

Cisco PIX防火墙的基本配置1. 同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口；2. 开启所连电脑和防火墙的电源，进入Windows系统自带的"终端"，通讯参数可按系统默然。

进入防火墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。

此时的提示符为：pix255>。

3. 输入enable命令，进入Pix 525特权用户模式,默然密码为空。

如果要修改此特权用户模式密码，则可用enable password命令，命令格式为：enable password password [encrypted]，这个密码必须大于16位。

Encrypted选项是确定所加密码是否需要加密。

4、定义以太端口：先必须用enable命令进入特权用户模式，然后输入configure terminal（可简称为config t）,进入全局配置模式模式。

具体配置pix525>enablePassword:pix525#config tpix525 (config)#interface ethernet0 autopix525 (config)#interface ethernet1 auto在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

5. clock配置时钟，这也非常重要，这主要是为防火墙的日志记录而资金积累的，如果日志记录时间和日期都不准确，也就无法正确分析记录中的信息。

这须在全局配置模式下进行。

时钟设置命令格式有两种，主要是日期格式不同，分别为：clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year前一种格式为：小时：分钟：秒月日年；而后一种格式为：小时：分钟：秒日月年，主要在日、月份的前后顺序不同。

Cisco PIX防火墙的配置及注解--------------------------------------------------------------------------------来源：海峡TOP网发布时间：2009-10-28 01:08:10 查看次数：678 ［打印］--------------------------------------------------------------------------------cisco的防火墙系列是pix系列，主要型号有pix501,pix510,pix515等，虽然说思科的防火墙相对于juniper的差点，但是凭着思科的金字招牌还是拥有很大的一片市场的。

在pix的config管理界面下输入show running命令，可以看到当前防火墙的所有配置。

仔细研究一下pix防火墙的配置情况对学习思科防火墙还是很有帮助的。

PIX Version 6.3(1)interface ethernet0 auto 设定端口0 速率为自动interface ethernet1 100full 设定端口1 速率为100兆全双工interface ethernet2 auto 设定端口2 速率为自动nameif ethernet0 outside se curity0 设定端口0 名称为outside 安全级别为0nameif ethernet1 inside security100 设定端口1 名称为inside 安全级别为100nameif ethernet2 dmz security50 设定端口2 名称为dmz 安全级别为50enable password Dv0yXUGPM3Xt7xVs encrypted 特权密码passwd 2KFQnbNIdI.2KYOU encrypted 登陆密码hostname hhyy 设定防火墙名称fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol ils 389fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060no fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙，防火墙默认启用了一些常见的端口，但对于ORACLE等专有端口，需要专门启用。

cisco pix防火墙基本配置命令使用任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。

防火墙通常位于企业网络的边缘，这使得内部网络与internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。

设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

在众多的企业级主流防火墙中，cisco pix防火墙是所有同类产品性能最好的一种。

cisco pix 系列防火墙目前有5种型号pix506，515，520，525，535。

其中pix535是pix 500系列中最新，功能也是最强大的一款。

它可以提供运营商级别的处理能力，适用于大型的isp等服务提供商。

但是pix特有的os操作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过web管理界面来进行网络管理，这样会给初学者带来不便。

本文将通过实例介绍如何配置cisco pix防火墙。

在配置pix防火墙之前，先来介绍一下防火墙的物理特性。

防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：ø内部区域（内网）。

内部区域通常就是指企业内部网络或者是企业内部网络的一部分。

它是互连网络的信任区域，即受到了防火墙的保护。

ø外部区域（外网）。

外部区域通常指internet或者非企业内部网络。

它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

ø停火区（dmz）。

停火区是一个隔离的网络，或几个网络。

位于停火区中的主机或服务器被称为堡垒主机。

一般在停火区内可以放置web服务器，mail服务器等。

停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。

注意：2个接口的防火墙是没有停火区的。

Cisco PIX防火墙配置命令大全一、PIX防火墙的熟悉PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。

PIX有很多型号，并发连接数是PIX防火墙的重要参数。

PIX25是典型的设备。

PIX防火墙常见接口有：console、Failover、Ethernet、USB。

网络区域：内部网络：inside外部网络：outside中间区域：称DMZ(停火区)。

放置对外开放的服务器。

二、防火墙的配置规则没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。

(内部发起的连接可以回包。

通过ACL开放的服务器答应外部发起连接) inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

三、PIX防火墙的配置模式PIX防火墙的配置模式与路由器类似，有4种治理模式：PIXfirewall>：用户模式PIXfirewall#：特权模式PIXfirewall(config)#：配置模式monitor>：ROM监视模式，开机按住[Esc]键或发送一个“Break”字符，进入监视模式。

四、PIX基本配置命令常用命令有：nameif、interface、ipaddress、nat、global、route、static等。

1、nameif设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

例如要求设置：ethernet0命名为外部接口outside，安全级别是0。

ethernet1命名为内部接口inside，安全级别是100。

ethernet2命名为中间接口dmz,安装级别为50。

使用命令：PIX525(config)#nameif ethernet0 outside security 0PIX525(config)#nameif ethernet1 inside security 100PIX525(config)#nameif ethernet2 dmz security 502、interface配置以太口工作状态，常见状态有：auto、100full、shutdown。

思科PIX防火墙设置命令详解设置当你第一次启动PIX防火墙的时候，你应该看到一个这样的屏幕显示：你将根据提示回答“是”或者“否”来决定是否根据这个互动提示来设置PIX防火墙。

对这个问题回答“否”，因为你要学习如何真正地设置防火墙，而不仅仅是回答一系列问题。

然后，你将看到这样一个提示符：pixfirewall>在提示符的后面有一个大于号“>”，你处在PIX用户模式。

使用en或者enable命令修改权限模式。

在口令提示符下按下“enter”键。

下面是一个例子：pixfirewall> enPassword:pixfirewall#你现在拥有管理员模式，可以显示内容，但是，你必须进入通用设置模式来设置这个PIX防火墙。

现在让我们学习PIX防火墙的基本设置：PIX防火墙的基本设置我所说的基本设置包括三样事情：·设置主机名·设置口令（登录和启动）·设置接口的IP地址·启动接口·设置一个默认的路由在你做上述任何事情之前，你需要进入通用设置模式。

要进入这种模式，你要键入：pixfirewall# config tpixfirewall(config)#要设置主机名，使用主机名命令，像这样：pixfirewall(config)# hostname PIX1PIX1(config)#注意，提示符转变到你设置的名字。

下一步，把登录口令设置为“cisco”（思科），像这样：PIX1(config)# password ciscoPIX1(config)#这是除了管理员之外获得访问PIX防火墙权限所需要的口令。

现在，设置启动模式口令，用于获得管理员模式访问。

PIX1(config)# enable password ciscoPIX1(config)#现在，我们需要设置接口的IP地址和启动这些接口。

同路由器一样，PIX没有接口设置模式的概念。

要设置内部接口的IP地址，使用如下命令：PIX1(config)# ip address inside 10.1.1.1 255.0.0.0PIX1(config)#现在，设置外部接口的IP地址：PIX1(config)# ip address outside 1.1.1.1 255.255.255.0PIX1(config)#下一步，启动内部和外部接口。

思科路由怎么配置PIX虚拟防火墙思科cisco依靠自身的技术和对网络经济模式的深刻理解，使他成为了网络应用的成功实践者之一，其出产的路由设备也是世界一流，那么你知道思科路由怎么配置PIX虚拟防火墙吗?下面是店铺整理的一些关于思科路由怎么配置PIX虚拟防火墙的相关资料，供你参考。

思科路由配置PIX虚拟防火墙的案例：拓扑图这个拓扑中，中间的PIX配置三个虚拟防火墙，Ethernet0连接到一个3550交换机的TRUNK端口，分别接到三个不同的VLAN，外口Ethernet1连接到Internet，试验中可以使用一台路由器代替。

由于这里Ethernet0是和交换机的TRUNK端口相连，来接收不同VLAN的流量，所以这里使用子接口为TRUNK去VLAN标签，并将这些子接口分配给各个虚拟防火墙，是内部各个VLAN都能访问Internet首先配置3550交换机：interface FastEthernet0/2switchport access vlan 2!interface FastEthernet0/3switchport access vlan 3!interface FastEthernet0/4switchport access vlan 4!interface FastEthernet0/10 //和PIX的Ethernet0口相连switchport trunk encapsulation dot1q //PIX的默认的TRUNK 类型就是dot1qswitchport trunk allowed vlan 2,3,4switchport mode trunkPIX的配置：changeto system：interface Ethernet0!interface Ethernet0.2vlan 2 //为子接口进行封装，去VLAN标签interface Ethernet0.3vlan 3interface Ethernet0.4vlan 4!interface Ethernet1!admin-context admincontext adminallocate-interface Ethernet0.2 Intf1 //分配E0.2子接口到虚拟防火墙admin，别名是Intf1allocate-interface Ethernet1 Intf0 //分配接口E1到虚拟防火墙admin，别名是Intf0config-url flash:/admin.cfg!context DepartmentAallocate-interface Ethernet0.3 Intf1allocate-interface Ethernet1 Intf0config-url flash:/DepartmentA.cfg!context DepartmentBallocate-interface Ethernet0.4 Intf1allocate-interface Ethernet1 Intf0config-url flash:/DepartmentB.cfgchangeto context admin：interface Intf1nameif insidesecurity-level 100ip address 192.168.2.1 255.255.255.0 !interface Intf0mac-address 00aa.0000.01c1 nameif outsidesecurity-level 0ip address 192.168.1.10 255.255.255.0 changeto context DepartmentA：interface Intf1nameif insidesecurity-level 100ip address 192.168.3.1 255.255.255.0 !interface Intf0mac-address 00aa.0000.01c2 nameif outsidesecurity-level 0ip address 192.168.1.11 255.255.255.0 changeto context DepartmentB：interface Intf1nameif insidesecurity-level 100ip address 192.168.4.1 255.255.255.0 !interface Intf0mac-address 00aa.0000.01c3nameif outsidesecurity-level 0ip address 192.168.1.12 255.255.255.0最后在试验中代替Internet的路由器上进行验证：成功ping通每个虚拟接口上配置的IP地址。

思科技术资料-----Cisc o PIX防火墙的安装流程Cisc o PIX防火墙的安装流程1. 将PIX安放至机架，经检测电源系统后接上电源，并加电主机。

2. 将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入PIX系统；此时系统提示pixfirewall>。

3. 输入命令：enable,进入特权模式，此时系统提示为pixfirewall#。

4. 输入命令：c onfigure terminal,对系统进行初始化设置。

5. 配置以太口参数：interfac e ethernet0 auto （auto选项表明系统自适应网卡类型）interfac e ethernet1 auto6. 配置内外网卡的IP地址：ip address inside ip_address netmaskip address outside ip_address netmask7. 指定外部地址范围：global 1 ip_address-ip_address8. 指定要进行要转换的内部地址：nat 1 ip_address netmask9. 设置指向内部网和外部网的缺省路由route inside 0 0 inside_default_router_ip_addressroute outside 0 0 outside_default_router_ip_address10. 配置静态IP地址对映：static outside ip_address inside ip_address11. 设置某些控制选项：conduit global_ip port[-port] protoc ol foreign_ip [netmask]global_ip 指的是要控制的地址port 指的是所作用的端口，其中0代表所有端口protoc ol 指的是连接协议，比如：TCP、UDP等foreign_ip 表示可访问global_ip的外部ip，其中表示所有的ip。

使用关于Cisco安全PIX防火墙的NA T和PA T 语句前言本文在CiscoSecure PIX 防火墙提供基本的NAT 和PAT配置示例。

提供简化的网络图表。

对于详细信息，参考您的PIX软件版本的PIX文档。

前提本文的读者应该是熟知关于Cisco安全PIX防火墙。

使用的组件本文的信息根据以下的软件及硬件版本。

Cisco安全PIX防火墙软件版本5.3.1 。

本文提供的信息在特定实验室环境里从设备被创建了。

用于本文的所有设备开始了以一个缺省（默认）配置。

如果在一个真实网络工作，保证您使用它以前了解所有命令的潜在影响。

使用NAT 0的多个NAT语句网络图在本例中， ISP提供网络管理器以地址范围从199.199.199.1到199.199.199.63 。

网络管理器在互联网路由器决定分配199.199.199.1到内部接口和199.199.199.2到PIX的外部接口。

网络管理员已经安排C类地址分配到他的网络， 200.200.200.0/24，并且有一些工作站使用这些地址访问互联网。

因为他们已经有有效地址，这些工作站不会要求任何地址转换。

然而，新工作站在10.0.0.0/8网络分配地址并且他们将需要被转换(因为10.X.X.X是其中一个未路由的地址空间每RFC 1918。

适应此网络设计，网络管理员在PIX配置必须使用二个NAT语句和一个全局池，如下：global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192 nat (inside) 0 200.200.200.0 255.255.255.0 0 0nat (inside) 1 10.0.0.0 255.0.0.0 0 0此配置不会转换任何出局流量的源地址从200.200.200.0/24网络。

它在10.0.0.0/8网络将转换源地址成一个地址从范围199.199.199.3 -199.199.199.62。

CISCO PIX防火墙及网络安全配置指南-电脑资料随着国际互连网的发展，一些企业建立了自己的INTRANET，并通过专线与INTERNET连通，CISCO PIX防火墙及网络安全配置指南为了保证企业内部网的安全，防止非法入侵，需要使用专用的防火墙计算机。

路由器防火墙只能作为过滤器，并不能把内部网络结构从入侵者眼前隐藏起来。

只要允许外部网络上的计算机直接访问内部网络上的计算机，就存在着攻击者可以损害内部局域网上机器的安全性，并从那里攻击其他计算机的可能性。

大多数提供代理服务的专用防火墙机器是基于UNIX系统的，这些操作系统本身就有安全缺陷。

CISCO提供了PIX (Private Internet eXchange，私有Internet交换)防火墙，它运行自己定制的操作系统，事实证明，它可以有效地防止非法攻击。

PIX防火墙要求有一个路由器连接到外部网络，如附图所示。

PIX 有两个 ETHERNET接口，一个用于连接内部局域网，另一个用于连接外部路由器。

外部接口有一组外部地址，使用他们来与外部网络通信。

内部网络则配置有一个适合内部网络号方案的IP地址。

PIX的主要工作是在内部计算机需要与外部网络进行通信时，完成内部和外部地址之间的映射。

配置好PIX防火墙后，从外部世界看来，内部计算机好象就是直接连接到PIX 的外部接口似的。

由于PIX的外部接口是Ethernet接口，所以，向主机传送信息包需要用到MAC地址。

为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的，PIX运行了代理ARP，代理ARP给外部网络层IP地址指定数据链路 MAC地址，这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。

大多数情况下，与外部网络的通信是从内部网络中发出的。

由于PIX 是对信息包进行操作，而不是在应用过程级（代理服务器则采用这种方法），PIX 既可以跟踪 UDP会话，也可以跟踪TCP连接。