PIX防火牆基本配置

硬體防火牆，是網絡間的牆，防止非法侵入，過濾資訊等，從結構上講，簡單地說是一種PC式的電腦主機加上閃存（Flash）和防火牆作業系統。它的硬體跟共控機差不多，都是屬于能适合24小時工作的，外觀造型也是相類似。閃存基本上跟路由器一樣，都是那中EEPROM，作業系統跟Cisco IOS相似,都是指令行（Command）式。

我第一次親手那到的防火牆是Cisco Firewall Pix 525，是一種機架式标準（即能安裝在标準的機櫃裡），有2U的高度，正面看跟Cisco 路由器一樣，隻有一些訓示燈，從背闆看，有兩個以太口（RJ-45網卡）,一個配置口（console）,2個USB,一個15針的Failover口，還有三個PCI擴充口。

如何開始Cisco Firewall Pix呢？我想應該是跟Cisco 路由器使用差不多吧，于是用配置線從電腦的COM2連到PIX 525的console口，進入PIX作業系統采用windows系統裡的“超級終端”，通訊參數設定為默然。初始使用有一個初始化過程，主要設定：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(内部網卡IP位址)、domain(主域)等，如果以上設定正确，就能儲存以上設定，也就建立了一個初始化設定了。

進入Pix 525采用超級使用者(enable),默然密碼為空，修改密碼用passwd 指令。一般情況下Firewall配置，我們需要做些什麼呢？當時第一次接觸我也不知道該做些什麼，随裝置一起來的有《硬體的安裝》和《指令使用手冊》。我首先看了指令的使用，用于幾個小時把幾百面的英文書看完了，對指令的使用的知道了一點了，但是對如何配置PIX還是不大清楚該從何入手，我想現在隻能去找cisco了,于是在[url]www.cisco.com[/url]下載下傳了一些資料，邊看邊實踐了PIX。

防火牆是處網絡系統裡，是以它跟網絡的結構密切相關，一般會涉及的有Route(路由器)、網絡IP位址。還有必須清楚标準的TCP[RFC793]和UDP[RFC768]端口的定義。

下面我講一下一般用到的最基本配置

1、 建立使用者和修改密碼

跟Cisco IOS路由器基本一樣。

2、 激活以太端口

必須用enable進入，然後進入configure模式

PIX525>enable

Password:

PIX525#config t

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 auto

在默然情況下ethernet0是屬外部網卡outside, ethernet1是屬内部網卡inside, inside在初始化配置成功的情況下已經被激活生效了，但是outside必須指令配置激活。

3、 命名端口與安全級别

采用指令nameif

PIX525(config)#nameif ethernet0 outside security0

PIX525(config)#nameif ethernet0 outside security100

security0是外部端口outside的安全級别（0安全級别最高）

security100是内部端口inside的安全級别,如果中間還有以太口，則security10，security20等等命名，多個網卡組成多個網絡，一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)。

4、 配置以太端口IP 位址

采用指令為：ip address

如：内部網絡為：192.168.1.0 255.255.255.0

外部網絡為：222.20.16.0 255.255.255.0

PIX525(config)#ip address inside 192.168.1.1 255.255.255.0

PIX525(config)#ip address outside 222.20.16.1 255.255.255.0

5、 配置遠端通路[telnet]

在默然情況下，PIX的以太端口是不允許telnet的，這一點與路由器有差別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關。

PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside

PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside

測試telnet

在[開始]->[運作]

telnet 192.168.1.1

PIX passwd:

輸入密碼：cisco

6、 通路清單(access-list)

此功能與Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個功能，網絡協定一般有IP|TCP|UDP|ICMP等等，如：隻允許通路主機:222.20.16.254的www,端口為：80

PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www

PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 in interface outside

7、 位址轉換（NAT）和端口轉換(PAT)

NAT跟路由器基本是一樣的，

首先必須定義IP Pool，提供給内部IP位址轉換的位址段，接着定義内部網段。

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0

如果是内部全部位址都可以轉換出去則：

PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0

則某些情況下，外部位址是很有限的，有些主機必須單獨占用一個IP位址，必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條指令，這種稱為（PAT），這樣就能解決更多使用者同時共享一個IP,有點像代理伺服器一樣的功能。配置如下：

PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0

8、 DHCP Server

在内部網絡，為了維護的集中管理和充分利用有限IP位址，都會啟用動态主機配置設定IP位址伺服器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡單配置DHCP Server,位址段為192.168.1.100—192.168.168.1.200

DNS: 主202.96.128.68 備202.96.144.47

主域名稱：abc.com.cn

DHCP Client 通過PIX Firewall

PIX525(config)#ip address dhcp

DHCP Server配置

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

PIX525(config)#dhcp domain abc.com.cn

9、 靜态端口重定向(Port Redirection with Statics)

在PIX 版本6.0以上，增加了端口重定向的功能，允許外部使用者通過一個特殊的IP位址/端口通過Firewall PIX 傳輸到内部指定的内部伺服器。這種功能也就是可以釋出内部WWW、FTP、Mail等伺服器了，這種方式并不是直接連接配接，而是通過端口重定向，使得内部伺服器很安全。

指令格式：

static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]

static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip

!----外部使用者直接通路位址222.20.16.99 telnet端口，通過PIX重定向到内部主機192.168.1.99的telnet端口（23）。

PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0

!----外部使用者直接通路位址222.20.16.99 FTP，通過PIX重定向到内部192.168.1.3的FTP Server。

PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0

!----外部使用者直接通路位址222.20.16.208 www(即80端口)，通過PIX重定向到内部192.168.123的主機的www(即80端口)。

PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0

!----外部使用者直接通路位址222.20.16.201 HTTP(8080端口)，通過PIX重定向到内部192.168.1.4的主機的www(即80端口)。

PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0

!----外部使用者直接通路位址222.20.16.5 smtp(25端口)，通過PIX重定向到内部192.168.1.5的郵件主機的smtp(即25端口)

PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0

10、顯示與儲存結果

采用指令show config

儲存采用write memory