PIX防火墙配置方法

思科PIX 防火墙的基本配置【项目目标】掌握PIX 防火墙基本配置方法。

【项目背景】某公司使用Cisco PIX 515防火墙连接到internet ，ISP 分配给该公司一段公网IP 地址。

公司具有Web 服务器和Ftp 服务器，要求让内网用户和外网用户都能够访问其web 服务和FTP 服务，但外部网络用户不可以访问内网。

【方案设计】1.总体设计ISP 分配给该公司一段公网IP 地址为61.1.1.2—61.1.1.254。

在DMZ 区域放置一台Web 服务器和一台Ftp 服务器，使用61.1.1.3和61.1.1.4这两个全局IP 地址分别将Web 服务器和Ftp 服务器发布到Internet 。

利用访问控制列表来控制外网用户的访问。

2.任务分解任务1：防火墙基本配置。

任务2：接口基本配置。

任务3：配置防火墙默认路由。

任务4：配置内网用户访问外网规则。

任务5：发布DMZ 区域的服务器。

任务6：配置访问控制列表。

任务7：查看与保存配置。

3.知识准备所有的防火墙都是按以下两种情况配置的：（1）拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型。

（2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

不过大多数防火墙默认都是拒绝所有的流量作为安全选项。

一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。

换句话说，如果你想让你的内部用户能够发送和接收Email ，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP 的进程。

4.拓扑结构：如图8-17所示。

图8-17 项目拓扑结构5.设备说明PIX515dmzoutsidinside File ServerWeb192.168.1.Interne以PIX515防火墙7.X 版本的操作系统为例，介绍其配置过程。

在配置之前先假设pix515防火墙的ethernet0接口作为外网接口(命名为outside)，并分配全局IP 地址为61.1.1.2；ethernet1接口作为内网接口(命名为inside)，并分配私有IP 地址为192.168.1.1；ethernet2接口作为DMZ 接口，并分配私有IP 地址为192.168.2.1。

多模式防火墙使用场合：1.SP的IDC机房为不同用户做不同的防火墙策略2.大企业或者学校，希望部门之间完全的隔离3.若单模防火墙接口非常多的情况下。

两种配置模式：1.系统全局配置模式：创建虚拟防火墙，为每一个虚拟防火墙关联接口。

2.子防火墙配置模式admin虚拟防火墙：因为系统全局配置模式不能为接口配置IP的。

也不能进行网管的，所以有了admin虚拟防火墙，它把一个接口虚拟连到自己身上，配置IP地址进行网管。

可以切换到系统全局模式，也可以切换到其他子防火墙。

子防火墙也可以配置IP进行网管，但是只能网管自己，不能切换到其他防火墙上。

接口share模式：一个接口为多个虚拟防火墙所公用，配置多个IP地址，但是MAC地址是唯一的。

连接用户PC的接口不能是share的。

因为用户所写网关的真正用途是，用户再封装数据包时，目的地址时网关的MAC地址。

这样数据再到达防火墙后不知道走哪个路径。

所以不能用share 模式。

初始化多模式防火墙：1.全局配置，划分接口interface e1no shinterface e1.3vlan 3interface e1.4vlan 4interface e1.5vlan 52.全局配置：创建admin子防火墙Show flash看看有没有以前的配置文件，并且删除配置文件delete flash:/admin.cfgAdmin-context admin--------------创建admin子防火墙Admin-context vir------------------创建普通子防火墙。

3.admin防火墙配置模式：存储配置文件，关联接口Context admin--------进入admin子防火墙config-url flash:/admin.cfg-------存储ADMIN防火墙的配置文件allocate-interface e0----------------关联接口allocate-interface e1.3allocate-interface e1.4 outside--------给e1.4起一个名字outsidechangeto system------------回到全局配置模式4.普通虚拟防火墙：存储配置文件，关联接口Context vircontext virconfig-url flash:/vir.cfgallocate-interface e0allocate-interface e1.4allocate-interface e1.55.changeto context admin------从vir切换到adminChangeto system--------------切换到系统配置下Write memory all--------------系统配置下存储所有的配置6. Mac-address auto-------------自动为每个逻辑接口分配MAC地址。

防火墙CISCO-PIX525的配置基础知识现在，我们通过一个相对简单的示例说明如何使用Cisco PIX对企业内部网络进行管理。

网络拓扑图如附图所示。

Cisco PIX安装2个网络接口，一个连接外部网段，另一个连接内部网段，在外部网段上运行的主要是DNS 服务器，在内部网段上运行的有WWW服务器和电子邮件服务器，通过Cisco PIX，我们希望达到的效果是：对内部网络的所有机器进行保护，WWW服务器对外只开放80端口，电子邮件服务器对外只开放25端口。

具体*作步骤如下。

2．获得最新PIX软件---- 从Cisco公司的WWW或FTP站点上，我们可以获得PIX的最新软件,主要包括如下内容。

pix44n.exe――PIX防火墙的软件映像文件。

pfss44n.exe――PIX Firewall Syslog Server服务器软件,能够提供一个Windows NT服务,用来记录PIX的运行日志。

pfm432b.exe――图形化的PIX管理软件。

rawrite.exe――用于生成PIX的启动软盘。

3．配置网络路由---- 在使用防火墙的内部网段上，需要将每台计算机的缺省网关指向防火墙，比如防火墙内部IP地址为10.0.0.250，则内部网段上的每台计算机的缺省网关都要设置为10.0.0.250。

具体设置在“控制面板”*“网络”*“TCP/IP协议”中进行。

4．配置PIX---- 在配置PIX之前，应该对网络进行详细的规划和设计，搜集需要的网络配置信息。

要获得的信息如下。

---- （1）每个PIX网络接口的IP地址。

（2）如果要进行NAT,则要提供一个IP地址池供NAT使用。

NAT是网络地址转换技术，它可以将使用保留地址的内部网段上的机器映射到一个合*的IP地址上以便进行Internet访问（3）外部网段的路由器地址。

---- 进入PIX配置界面的方*是：连接好超级终端，打开电源，在出现启动信息和出现提示符pixfirewall>后输入“enable”，并输入密码，进入特权模式；当提示符变为pixfirewall#>后，输入“configure terminal”，再进入配置界面。

PIX防火墙基本配置企业环境企业需求1．内网管理员能安全的对防火墙进行远程网管2．内网用户能以NAT方式上网3．内、外网用户都能访问Web、邮件等服务器实验环境虚拟机的使用1.安装Win_Pcap.cmd#只需安装一次，以后不用再安装2.启动虚拟服务XP&2003.bat3.启动PIX标准版.cmd，在命令提示符下输入如下命令=> list#查看当前虚拟机运行状态=> start LAN#启用一台内网路由器Warining: Starting LAN with no idle-pc value#提示警告没有idle值，此时CPU占用率会达到100% => idlepc get LAN#计算该路由器的idle值，Enter the number of the idlepc value to apply [1-8] or ENTER for no change: 3#输入计算出的合理idle值的序号，一般是带*号的=> idlepc save LAN db#将该路由器的idle值存入数据库，以后相同型号的路由器就不用再计算idle值了=> start W AN=> start DMZ#分别启用外网和DMZ区的路由器4．运行pixstart.bat启动防火墙，但此时CPU占用率会达100% 5．运行BSE目录下的bse.exe程序，将pemu进程的CPU占用率进行限制6．分别telnet 127.0.0.1的3007、3008、3009、8888端口登陆到LAN、W AN、DMZ和PIX上基本配置在三个路由器上输入如下相同命令Router>enRouter#confi tRouter(config)#no ip domain-lookupRouter(config)#enable secret ciscoRouter(config)#service password-encryption Router(config)#line console 0Router(config-line)#password ciscoRouter(config-line)#logging synchronousRouter(config-line)#exec-t 10Router (config-line)#password ciscoRouter (config)#line vty 0 4Router (config-line)#no login#开启telnet便于测试Router (config)#hostname LANLAN(config)#int fa0/0LAN (config-if)#ip add 192.168.0.1 255.255.255.0 LAN (config-if)#no shutRouter (config)#hostname DMZDMZ(config)#int fa0/0DMZ(config-if)#ip add 172.16.0.2 255.255.255.0 DMZ(config-if)#no shuRouter (config)#hostname W ANW AN(config)#int fa0/0W AN(config-if)#ip add 172.16.0.2 255.255.255.0W AN(config-if)#no shupixfirewall(config)# clear configure all#清除当前所有配置pixfirewall(config)# show version#查看版本号pixfirewall(config)# hostname PIXPIX(config)# show interface ip brief#查看当前接口信息，注意pix可以直接在全局模式下查看信息PIX(config)# int e0PIX(config-if)# no shutPIX(config-if)# nameif inside#输入接口的名字，当输入inside时，当前接口的安全级别为100 PIX(config-if)# ip add 192.168.0.254 255.255.255.0PIX(config-if)# int e1PIX(config-if)# no shutPIX(config-if)# nameif outside#输入接口的名字，当输入outside时，当前接口的安全级别为0 PIX(config-if)# ip add 61.0.0.254 255.255.255.0PIX(config-if)# int e2PIX(config-if)# no shutPIX(config-if)# nameif dmz#输入其它名字时，当前接口的安全级别为0 PIX(config-if)# security-level 50#调整当前接口安全级别PIX(config-if)# ip add 172.16.0.254 255.255.255.0 PIX(config)# show interface ip brief#再次查看当前接口信息PIX(config-if)# sh run interface#查看接口配置，这条命令跟路由器不一样PIX(config-if)# show nameif#查看接口安全级别PIX(config-if)# show ip address#查看接口IP地址，这条命令跟路由器不一样PIX(config-if)# ping 192.168.0.1PIX(config-if)# ping 172.16.0.2PIX(config-if)# ping 61.0.0.3#确保PIX能ping通三台路由器PIX(config-if)#wr配置pix的远程网管PIX(config)# passwd shenhui#输入远程管理密码，对telnet和ssh都适用PIX(config)# telnet 192.168.0.1 255.255.255.255 inside#只允许192.168.0.1对pix进行telnet网管，在能用SSH的情况下尽量用后面介绍的SSHpix (config)# domain-name #输入域名、时间及主机名，以便以后生成密钥pix(config)# clock timezone gmt +8#输入时区pix (config)# clock set 20:56:00 31 may 2008#输入当前时间pixfirewall(config)# sh clockPIX(config)# crypto key generate rsa general-keys modulus 1024#产生密钥PIX(config)# ssh 192.168.0.1 255.255.255.255 inside#只允许192.168.0.1对pix进行ssh网管LAN# ssh –l pix 192.168.0.254#用ssh方式远程登陆，pix为用户名，低版本的路由器不支持此命令pix(config)# http 192.168.25.170 255.255.255.255 inside#允许192.168.25.170对防火墙进行https网管pix(config)# username user1 password user1pix(config)# aaa authentication http console LOCAL#对https启用本地认证配置路由DMZ(config)#ip route 0.0.0.0 0.0.0.0 172.16.0.254LAN(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.254LAN#telnet 172.16.0.2#确保内部用户能访问DMZ区，注意此时ping 172.16.0.2是不通的配置NAT，允许内部用户上网PIX(config)# nat-controlPIX(config)# nat (inside) 1 192.168.0.0PIX(config)# global (outside) 1 interface#PIX启用NAT，此处跟路由器很不一样LAN#telnet 61.0.0.3#确保内部用户在通过NAT后能访问Internet，同样ping 172.16.0.2是不通的PIX(config)# sh xlate#查看NAT转换项配置静态NAT，发布DMZ区的服务器pix(config)# static (dmz,outside) tcp interface 80 172.16.0.2 80pix(config)# static (dmz,outside) tcp interface 25 172.16.0.2 25 pix(config)# static (dmz,outside) tcp interface 110 172.16.0.2 110 pix(config)# static (dmz,outside) tcp interface 23 172.16.0.2 23 PIX(config)# sh run static#查看配置的静态NATPIX(config)# access-list OUT-DMZ permit ip any host 61.0.0.254 #配置允许外部到DMZ区的流量PIX(config)# access-group OUT-DMZ in interface outside#将列表应用到外部接口PIX(config)# sh run access-list#查看配置的列表PIX(config)# sh run access-group#查看在接口应用的列表W AN#telnet 61.0.0.254#验证外部用户能访问DMZ区的服务器PIX(config)# show access-list#查看当前列表的匹配情况。

硬件防火墙怎么设置硬件防火墙怎么设置一、硬件防火墙设置：1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，参见图1。

2.打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。

3.运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。

对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。

4.当PIX防火墙进入系统后即显示"pixfirewall>"的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。

可以进行进一步的配置了。

5.输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。

6.输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。

(1).首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡，"auto"选项为系统自适应网卡类型Interface ethernet1 auto(2).配置防火墙内、外部网卡的IP地址IP address inside ip_address netmask # Inside代表内部网卡IP address outside ip_address netmask # outside代表外部网卡(3).指定外部网卡的IP地址范围：global 1 ip_address-ip_address(4).指定要进行转换的内部地址nat 1 ip_address netmask(5).配置某些控制选项：conduit global_ip port[-port] protocol foreign_ip [netmask]其中，global_ip：指的是要控制的地址;port：指的是所作用的端口，0代表所有端口;protocol：指的是连接协议，比如：TCP、UDP等;foreign_ip：表示可访问的`global_ip外部IP地址;netmask：为可选项，代表要控制的子网掩码。

Chapter 4. PIX防火墙Cisco公司的PIX系列防火墙是一种基于状态检测的包过滤防火墙。

4.1. 入门PIX防火墙CLI提供4种访问模式，分别是非特权模式、特权模式、配置模式和监控模式。

前三种模式我们应该很熟悉了，和Cisco交换机和路由器一样。

监控模式用于更新系统映像。

当没有配置的PIX防火墙启动时，它会提示你通过交互的方式进行预先配置。

按向导一步步完成后，就可以通过PDM这个GUI工具登录防火墙进行进一步的配置。

一般在内部网络我们多数都是通过telnet命令登录我们PIX防火墙来进行配置管理的，所以我们要配置PIX允许我们使用telnet登录PIX，默认是不允许的。

按下面的步骤操作打开PIX的telnet功能。

第一次登录时的默认密码是cisco。

debian:~/c# telnet 192.168.10.1Trying 192.168.10.1...Connected to 192.168.10.1.Escape character is '^]'.User Access VerificationPassword: Type help or '?' for a list of available commands.fw> enable #进入特权模式，默认不需要密码，直接回车即可fw# configure terminla #进入配置模式fw(config)# telnet 192.168.0.246 255.255.255.255 inside #允许192.168.0.246从内接口登录fw(config)# telnet timeout 30 #设置telnet的空闲中断时间为30分钟fw(config)# passwd 12345 #设置新的telnet密码这里我们使用telnet工具登录PIX是不用提供用户名的。

也就是说只能有一个用户可以登录PIX。

gns3 pix防火墙配置 PIX 防火墙配置方法思科PIX防火墙的基础思科PIX防火墙可以保护各种网络。

有用于小型家庭网络的PIX防火墙，也有用于大型园区或者企业网络的PIX防火墙。

在本文的例子中，我们将设置一种PIX 501型防火墙。

PIX 501是用于小型家庭网络或者小企业的防火墙。

PIX防火墙有内部和外部接口的概念。

内部接口是内部的，通常是专用的网络。

外部接口是外部的，通常是公共的网络。

你要设法保护内部网络不受外部网络的影响。

PIX防火墙还使用自适应性安全算法(ASA)。

这种算法为接口分配安全等级，并且声称如果没有规则许可，任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。

这个外部接口的安全等级是“0”，这个内部接口的安全等级是“100”。

下面是显示“nameif”命令的输出情况:pixfirewall# show nameifnameif ethernet0 outside security0nameif ethernet1 inside security100pixfirewall#请注意，ethernet0(以太网0)接口是外部接口(它的默认名字)，安全等级是0。

另一方面，ethernet1(以太网1)接口是内部接口的名字(默认的)，安全等级是100。

指南在开始设置之前，你的老板已经给了你一些需要遵守的指南。

这些指南是:·所有的口令应该设置为“思科”(实际上，除了思科之外，你可设置为任意的口令)。

·内部网络是10.0.0.0，拥有一个255.0.0.0的子网掩码。

这个PIX防火墙的内部IP地址应该是10.1.1.1。

·外部网络是1.1.1.0，拥有一个255.0.0.0的子网掩码。

这个PIX防火墙的外部IP地址应该是1.1.1.1。

·你要创建一个规则允许所有在10.0.0.0网络上的客户做端口地址解析并且连接到外部网络。

他们将全部共享全球IP 地址1.1.1.2。

PIX防火墙基本配置命令和配置实例PIX防火墙基本配置命令和配置实例1. PIX 的配置命令(1) 配置防火墙接口的名字，并指定安全级别（nameif）Pix525(config)#nameif ethernet0 outside security0Pix525(config)#nameif ethernet1 inside security100Pix525(config)#nameif dmz security50提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。

若添加新的接口，语句可以这样写：Pix525(config)#nameif pix/intf3 security40 （安全级别任取）(2) 配置以太口参数（interface）Pix525(config)#interface ethernet0 auto(auto选项表明系统自适应网卡类型)Pix525(config)#interface ethernet1 100full(100full选项表示100Mbit/s以太网全双工通信)Pix525(config)#interface ethernet1 100full shutdown(shutdown选项表示关闭这个接口，若启用接口去掉shutdown)(3) 配置内外网卡的IP地址（ip address）Pix525(config)#ip address outside 61.144.51.42 255.255.255.248Pix525(config)#ip address inside 192.168.0.1 255.255.255.0很明显，Pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1 (4) 指定外部地址范围（global）Global命令的配置语法：global (if_name) nat_id ip_address - ip_address [netmark global_mask]global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。

中国移动PIX防火墙安全配置手册Version 1.0中国移动通信有限公司二零零四年十二月拟制: 审核: 批准: 会签: 标准化:版本控制分发控制目录1 综述 (5)2 CISCO PIX的几种典型配置 (6)2.1 典型配置（1）——访问控制、包过滤和NA T (6)2.1.1 网络拓扑图 (6)2.1.2 配置环境 (6)2.1.3 配置举例 (9)2.2 典型配置（2）——IPsec VPN Tunnel (13)2.2.1 网络拓扑图 (13)2.2.2 配置 (13)2.3 典型配置（3）——双机热备 (15)2.4 典型配置（4）——内容过滤 (20)2.4.1 filter activex示例 (20)2.4.2 filter url示例 (20)2.5 典型配置（5）——入侵检测 (21)3 PIX防火墙自身加固 (23)3.1 PIX防火墙操作系统版本较低 (23)3.2 PIX防火墙没有安全配置SNMP (23)3.3 配置了telnet允许，地址段是调试时的地址，没有更改为管理工作站的地址 (24)3.4 telnet远程管理是明文传输，没有配置SSH (24)3.5没有在PIX防火墙上配置防止恶意攻击的特性 (24)3.6策略配置inside<--→outside的策略不严格，如any---→any等 (25)1综述本配置手册介绍了Cisco PIX防火墙的几种典型的配置场景，以加强防火墙对网络的安全防护作用。

同时也提供了PIX防火墙自身的安全加固建议，防止针对防火墙的直接攻击。

通用和共性的有关防火墙管理、技术、配置方面的内容，请参照《中国移动防火墙安全规范》。

2CISCO PIX的几种典型配置2.1 典型配置（1）——访问控制、包过滤和NAT2.1.1网络拓扑图2.1.2配置环境本配置中没有用户认证和授权，NAT（网络地址转换）完成地址转换工作。

下面的例子中，所有接口上的用户可以访问所有服务器，而在内部、dmz1、dmz2、dmz3和dmz4接口上的主机可以启动连接。

1.普通NAT：nat(inside) 1 10.1.1.0 255.255.255.0global(outside) 1 192.168.0.20-192.160.0.254 netmask 255.255.255.0如果第一上网的地址是10.1.1.1，那么其转化为192.168.0.20第二个上网的地址是10.1.1.100，那么转化为192.168.0.21如果外网地址耗尽，就不能上网了。

这叫做动态的转化。

nat(inside) 1 10.1.1.0 255.255.255.0global(outside) 1 202.100.1.100目的端口号从1024到65535个。

可以有65535-1024个会话清掉原来的natclear config natclear config globalclear xlate没有多余地址，只有物理接口的地址，甚至物理接口的地址还是dhcp或者pppoe来的。

fw(config)#nat (inside) 1 10.0.0.0 255.255.0.0fw(config)#global (outside) 1 interface这样在网管show user时，虽不知道是哪个网段telnet上来的。

但是最少知道是内部的。

2. 用ID来区分同是inside到outside的不同网段的地址转换nat(inside) 1 10.0.0.0 255.255.255.0nat(inside) 2 10.2.0.0 255.255.255.0global (outside) 1 192.168.0.3-192.168.0.16 netmask 255.255.255.0global(outside) 2 192.168.0.17-192.168.0.32 netmask 255.255.255.0nat (inside) 1 10.0.1.0 255.255.255.0nat (inside) 2 10.0.2.0 255.255.255.0global (outside) 1 192.168.0.8 netmask 255.255.255.255global (outside) 2 192.168.0.9 netmask 255.255.255.2553. 三接口nat（3个NA T只用了4句话）nat (inside) 1 10.0.0.0 255.255.255.0nat(dmz) 1 172.16.0.0 255.255.255.0global (outside) 1 192.168.0.20-192.168.0.254 netmast 255.255.255.0global (dmz) 1 172.16.0.20-172.16.0.254 netmast 255.255.255.04.backing up PATfw1(config)#nat (inside) 1 10.0.0.0 255.255.255.0fw1(config)#global (outside) 1 192.168.0.8 netmast 255.255.255.255fw1(config)#global (outside) 1 192.168.0.9 netmast 255.255.255.255先用地址8，后用地址95.nat和pat共存fw1(config)#nat (inside) 1 10.0.0.0 255.255.0.0fw1(config)# global (outside) 1 192.168.0.20-192.168.0.253 netmast 255.255.255.0fw1(config)#global (outside) 1 192.168.0.254 netmast 255.255.255.2556.identity natfw1(config)#nat(dmz) 0 192.168.0.9 255.255.255.255nat +源接口+ 0 +源IP地址来自于dmz去往其他低于其安全等级的流量不进行转换。

CLIPIX防火墙支持基于Cisco IOS的命令集，并提供了4种管理访问模式：●非特权模式（用户模式）；●特权模式；●配置模式；●监控模式。

在每种模式下，可以把命令缩写成最少但唯一的字符串。

如，可以输入write t来查看配置信息，输入co t代替configure terminal，进入配置模式。

在PIX防火墙命令行中可以获得帮助信息，输入help或？能够列出所有的命令。

如果在一个命令后面输入？，会列出这个命令的说明和语法。

如果在一个命令的前面输入help，会列出这个命令的语法和说明。

另外，在命令行中可以只输入命令本身，然后回车，可以查看这个命令的语法。

和Cisco IOS路由器相比，在PIX防火墙CLI环境的配置模式下可以执行所有的功能，不必从配置模式退出来，就可以列出正在运行的和当前保存的配置，可以使用所有的show和debug命令。

1、基本命令通过enable命令进入特权模式。

命令enable语法是：enable [priv_level]enable password pw [level priv_level] [encrypted]★priv_level－特权级别，从0到15；★pw－大小写敏感的密码，长度为3到16个数字或字母；★encrypted－指明输入的密码为加密后的值。

（即使密码是空的，也会被转换成加密字符串）命令enable password可以设置特权模式下的密码。

创建密码后，无法再看到这个密码，命令show enable password命令列出密码的加密形式。

经过加密的密码，不能回复成明文。

使用configure terminal从特权模式变为配置模式。

使用exit或者quit 退出。

命令hostname可以改变提示符中的主机名。

缺省的主机名是pixfirewall。

二、配置PIX防火墙在配置模式下输入setup，进入配置对话框模式。

设置对话框的目的是对PIX防火墙进行预先配置，以便能够和PIX设备管理器（PDM）进行通信。

PIX> enPIX# conf tPIX(config)# en password PIX设置了一个密码PIX，此密码用密文的方式保存在配置文件中PIX(config)# nameif enternet0 inside 100配置接口e0，命名inside 设置安全级别100在默认的情况下，inside的安全级别是100这是在PIX525中的设置模式，在其他PIX的ISO版本里，如PIX7.2里，是接口模式下配置的PIX（config）#interface Ethernet0PIX(config-if)#nameif insidePIX(config-if)#security-level 100来实现的PIX(config)# nameif enternet1 outside 0外网的端口死e1设置的安全级别是0，默认的outside的安全级别是0PIX(config)# nameif enternet2 dmz 50停火区的端口是e2，安全级别设置成50PIX(config)# inter ethernet0 autoPIX(config)# inter ethernet1 autoPIX(config)# inter ethernet2 auto启用外网端口，auto选项表明系统自适应网卡类型。

inside在初始化配置成功的情况下已经被激活生效了，但是outside 必须命令配置激活。

PIX(config)# ip address outside 202.11.30.1 255.255.255.0PIX(config)# ip address inside 172.16.10.1 255.255.255.0PIX(config)# ip address dmz 192.168.40.1 255.255.255.0配置外网，内网，停火区的IP地址和掩码PIX(config)# route outside 0.0.0.0 0.0.0.0 202.11.30.2配置默认路由PIX(config)# nat (inside) 1 0.0.0.0 0.0.0.0表示启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0，即PIX(config)# nat (inside) 1 0 0PIX(config)# nat (dmz) 1 0 0表示启用nat,dmz的所有主机都可以访问外网PIX(config)#global (outside) 1 202.11.30.133- 202.11.30.141 netmask 255.255.255.240表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用202.11.30.133-202.11.30.141这段ip地址池为要访问外网的主机分配一个全局ip地址。

CiscoPIX防火墙的安装流程CiscoPIX防火墙的安装流程1.将PIX安放至机架，经检测电源系统后接上电源，并加电主机。

2.将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE 口进入PIX系统；此时系统提示pixfirewall>。

3.输入命令：enable,进入特权模式，此时系统提示为pixfirewall#。

4.输入命令：configureterminal,对系统进行初始化设置。

5.配置以太口参数：interfaceethernet0auto （auto选项表明系统自适应网卡类型）interfaceethernet1auto6.配置内外网卡的IP地址：ipaddressinsideip_addressnetmaskipaddressoutsideip_addressnetmask7.指定外部地址范围：global1ip_address-ip_address8.指定要进行要转换的内部地址：nat1ip_addressnetmask9.设置指向内部网和外部网的缺省路由routeinside00inside_default_router_ip_addressrouteoutside00outside_default_router_ip_address10.配置静态IP地址对映：staticoutsideip_address insideip_address11.设置某些控制选项：conduitglobal_ipport[-port]protocolforeign_ip[netmask] global_ip 指的是要控制的地址port 指的是所作用的端口，其中0代表所有端口protocol 指的是连接协议，比如：TCP、UDP等foreign_ip 表示可访问global_ip的外部ip，其中表示所有的ip。

12.设置telnet选项：telnetlocal_ip[netmask]local_ip 表示被允许通过telnet访问到pix的ip地址（如果不设此项，PIX的配置只能由consle方式进行）。

最高级防火墙（思科pix525防火墙）配置命令：PIX525有三个以太接口，分别接入内网，外网和中间区域。

设置：(pix515只有两个口而且固定的优先级)ePix525#conf tPix525(config)#nameif ethernet0 inside security100Pix525(config)#nameif ethernet1 dmz security50Pix525(config)#nameif ethernet2 outside security0设置接口工作方式：Pix525(config)#interface ethernet0 autoPix525(config)#interface ethernet1 autoPix525(config)#interface ethernet2 auto设置接口IP地址：Pix525(config)#ip address outside 10.1.1.1 255.255.255.240Pix525(config)#ip address inside 172.16.1.2 255.255.255.0Pix525(config)#ip address dmz 172.16.6.1 255.255.255.0设置时间：clock set 9:0:0 1 5 2010-5-21指定接口的安全级别：pix525(config)#nameif ethernet0 outside security0 # outside是指pix525(config)#nameif ethernet0 dmz security50 # outside是指外部接口外部接口pix525(config)#nameif ethernet1 inside security100 # inside是指内部接口路由：route inside 172.16.0.0 255.255.0.0 172.16.1.2 1route outside 10.1.0.0 255.255.0.0 10.1.1.1NAT地址转换：将三部门网络地址分别划成一组,并转换成外部地址nat (inside) 1 172.16.3.0 255.255.255.0nat (inside) 2 172.16.4.0 255.255.255.0nat (inside) 3 172.16.4.0 255.255.255.0global (outside) 1 10.1.1.1-10.1.1.41netmask 255.255.255.0global (outside) 2 10.1.1.5-10.1.1.8 netmask 255.255.255.0global (outside) 3 10.1.1.9-10.1.1.12 netmask 255.255.255.0设置内（telnet）外部（ssh）用户登录本地服务器或设备命令：telnet 172.16.13.110 255.255.255.0 insidepassword adminenable password adminssh 130.12.1.0 255.255.255.0 outsideusername miaosen password miaosenaaa authernacation ssh local /使用本地认证认证：config#ca zeroiseconfig#ca generateconfig#ca save包过滤型防火墙的访问控制表（ACL）配置其他部分访问财务部门策略：禁止www，ftp，smtp允许管理主机访问财务access-list 100 deny tcp 172.16.4.0 255.255.255.0 172.16.3.0255.255.255.0 eq ftpaccess-list 100 deny tcp 172.16.4.0 255.255.255.0 172.16.3.0 255.255.255.0 eq wwwaccess-list 100 deny tcp 172.16.4.0 255.255.255.0 172.16.3.0255.255.255.0 eq smtpaccess-list 100 deny tcp 172.16.5.0 255.255.255.0 172.16.3.0255.255.255.0 eq ftpaccess-list 100 denny tcp 172.16.5.0 255.255.255.0 172.16.3.0 255.255.255.0 eq wwwaccess-list 100 deny tcp 172.16.5.0 255.255.255.0 172.16.3.0255.255.255.0 eq smtpaccess-list 100 permit tcp 172.16.0.0//255.255.0.0 172.16.6.0 255.255.255.0 eq smtpaccess-list 100 permit tcp 172.16.0.0//255.255.0.0 172.16.6.0 255.255.255.0 eq wwwaccess-list 100 permit tcp 172.16.0.0//255.255.0.0 172.16.6.0 255.255.255.0 eq icmpaccess-list 100 permit tcp 172.16.3.5 any 255.255.255.0access-list 100 permit tcp 172.16.13.110 172.16.3.0 255.255.255.0access-list 100 permit tcp 172.16.3.5 any 255.255.255.0地址映射：static (inside, outside) 172.16.3.5 10.1.1.1 /重要的财务主机命令主机端口重定向：PIX525(config)#static (inside,outside) tcp172.16.6.0 255.255.255.0telnet 172.16.1.2telnet netmask 255.255.255.255 0 0PIX525(config)#static (inside,outside) ftp 172.16.6.0 255.255.255.0telnet 172.16.1.2 ftp netmask 255.255.255.255 0 0PIX525(config)#static (inside,outside) tcp172.16.6.0 255.255.255.0 www 172.16.1.2 www netmask 255.255.255.255 0 0/到服务器的端口转换配置允许低级向高级的数据流(config)#conduit deny tcp host 172.16.4.0 255.255.255.0 eq www any/办公部不可上网上面已经设置可访问服务器Pix525(config)#conduit permit tcp host 172.16.3.1 eq www any/财务的一台主机可上网Pix525(config)#conduit permit icmp any any/允许内外部的ICMP消息传送配置fixup协议Fixup protocol ftp 21Fixup protocol http 80fixup protocol h323 1720fixup protocol rsh 514fixup protocol smtp 25使能化攻击：执行命令firewall defend ip-spoofing enable，使能IP欺骗攻击防范功能。