PIX是CISCO公司開(kāi)發(fā)的防火墻系列設(shè)備，因?yàn)樗霓D(zhuǎn)發(fā)數(shù)據(jù)包速度快和配置靈活等特點(diǎn)，使得其受到企業(yè)用戶的廣泛歡迎。那么本篇文章主要講述了在配置PIX防火墻時(shí)主要用到的六項(xiàng)基本命令。

配置PIX防火墻接口的名字，并指定安全級(jí)別（nameif）：

Pix525(config)#nameif ethernet0 outside security0

設(shè)置以太網(wǎng)口1為外網(wǎng)接口，安全級(jí)別為0，安全系數(shù)最低。

Pix525(config)#nameif ethernet1 inside security100

設(shè)置以太網(wǎng)口2為內(nèi)網(wǎng)接口，安全級(jí)別為100。安全系數(shù)最高。

Pix525(config)#nameif dmz security50

設(shè)置DMZ接口為停火區(qū)，安全級(jí)別50。安全系數(shù)居中。

在缺省配置中，以太網(wǎng)口0被命名為外部接口（outside），安全級(jí)別是0；以太網(wǎng)口1被命名為內(nèi)部接口（inside），安全級(jí)別是100。安全級(jí)別取值范圍為1到99，數(shù)字越大安全級(jí)別越高。若添加新的接口，語(yǔ)句可以這樣寫(xiě)： Pix525(config)#nameif pix/intf3 security40，這句表示將PIX的3端口設(shè)置為安全級(jí)別40。

配置PIX防火墻以太口參數(shù)（interface）：

Pix525(config)#interface ethernet0 auto

設(shè)置以太接口0為AUTO模式，auto選項(xiàng)表明系統(tǒng)網(wǎng)卡速度工作模式等為自動(dòng)適應(yīng)，這樣該接口會(huì)自動(dòng)在10M/100M，單工/半雙工/全雙工直接切換。

Pix525(config)#interface ethernet1 100full

強(qiáng)制設(shè)置以太接口1為100Mbit/s全雙工通信。

Pix525(config)#interface ethernet1 100full shutdown

關(guān)閉以太接口1，有的時(shí)候會(huì)臨時(shí)將某接口關(guān)閉，阻止對(duì)該接口連接網(wǎng)段的訪問(wèn)，這時(shí)可以使用上面這個(gè)命令。shutdown選項(xiàng)表示關(guān)閉這個(gè)接口，若啟用接口去掉shutdown。

小提示：

在節(jié)假日需要關(guān)閉停火區(qū)的服務(wù)器的服務(wù)時(shí)可以在PIX設(shè)備上使用interface dmz 100full shutdown,這樣DMZ區(qū)會(huì)關(guān)閉對(duì)外服務(wù)。

配置PIX防火墻內(nèi)外網(wǎng)卡的IP地址（ip address）：

Pix525(config)#ip address outside 61.144.51.42 255.255.255.248

設(shè)置外網(wǎng)接口為61.144.51.42，子網(wǎng)掩碼為255.255.255.248。

Pix525(config)#ip address inside 192.168.0.1 255.255.255.0

設(shè)置內(nèi)網(wǎng)接口為192.168.0.1,子網(wǎng)掩碼為255.255.255.0。

有的讀者可能會(huì)問(wèn)為什么用的是outside和inside而沒(méi)有使用ethernet1，ethernet0呢？其實(shí)這樣寫(xiě)是為了方便我們配置，不容易出錯(cuò)誤。只要我們通過(guò)nameif設(shè)置了各個(gè)接口的安全級(jí)別和接口類(lèi)別，接口類(lèi)別就代表了相應(yīng)的端口，也就是說(shuō)outside=ethernet0，inside=ethernet1。

指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址（nat）：

網(wǎng)絡(luò)地址翻譯（nat）作用是將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)的公有ip，Nat命令總是與global命令一起使用，這是因?yàn)閚at命令可以指定一臺(tái)主機(jī)或一段范圍的主機(jī)訪問(wèn)外網(wǎng)，訪問(wèn)外網(wǎng)時(shí)需要利用global所指定的地址池進(jìn)行對(duì)外訪問(wèn)。

nat命令配置語(yǔ)法：nat (if_name) nat_id local_ip [netmark] 其中（if_name）表示內(nèi)網(wǎng)接口名字，例如inside，Nat_id用來(lái)標(biāo)識(shí)全局地址池，使它與其相應(yīng)的global命令相匹配，local_ip表示內(nèi)網(wǎng)被分配的ip地址。例如0.0.0.0表示內(nèi)網(wǎng)所有主機(jī)可以對(duì)外訪問(wèn)。[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。示例語(yǔ)句如下：

Pix525(config)#nat (inside) 1 0 0

啟用nat,內(nèi)網(wǎng)的所有主機(jī)都可以訪問(wèn)外網(wǎng)，用0可以代表0.0.0.0

Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

設(shè)置只有172.16.5.0這個(gè)網(wǎng)段內(nèi)的主機(jī)可以訪問(wèn)外網(wǎng)。

指定外部地址范圍（global）：

global命令把內(nèi)網(wǎng)的ip地址翻譯成外網(wǎng)的ip地址或一段地址范圍。Global命令的配置語(yǔ)法：global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中（if_name）表示外網(wǎng)接口名字，例如outside，Nat_id用來(lái)標(biāo)識(shí)全局地址池，使它與其相應(yīng)的nat命令相匹配，ip_address-ip_address表示翻譯后的單個(gè)ip地址或一段ip地址范圍。[netmark global_mask]表示全局ip地址的網(wǎng)絡(luò)掩碼。示例語(yǔ)句如下：

Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48

設(shè)置內(nèi)網(wǎng)的主機(jī)通過(guò)pix防火墻要訪問(wèn)外網(wǎng)時(shí)，pix防火墻將使用61.144.51.42-61.144.51.48這段ip地址池為要訪問(wèn)外網(wǎng)的主機(jī)分配一個(gè)全局ip地址。

Pix525(config)#global (outside) 1 61.144.51.42

設(shè)置內(nèi)網(wǎng)要訪問(wèn)外網(wǎng)時(shí)，pix防火墻將為訪問(wèn)外網(wǎng)的所有主機(jī)統(tǒng)一使用61.144.51.42這個(gè)單一ip地址。

Pix525(config)#no global (outside) 1 61.144.51.42

刪除global中對(duì)61.144.51.42的宣告，也就是說(shuō)數(shù)據(jù)包通過(guò)NAT向外傳送時(shí)將不使用該IP，這個(gè)全局表項(xiàng)被刪除。

設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由（route）：

route命令定義一條靜態(tài)路由。route命令配置語(yǔ)法：route (if_name) 0 0 gateway_ip [metric] 其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示網(wǎng)關(guān)路由器的ip地址。[metric]表示到gateway_ip的跳數(shù)。通常缺省是1。示例語(yǔ)句如下：

Pix525(config)#route outside 0 0 61.144.51.168 1

設(shè)置一條指向邊界路由器（ip地址61.144.51.168）的缺省路由。

Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1

設(shè)置一條指向內(nèi)部的路由。

Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1

設(shè)置另一條指向內(nèi)部的路由。

總結(jié)：

目前我們已經(jīng)掌握了配置PIX防火墻的六大基本命令，通過(guò)這六個(gè)命令我們已經(jīng)可以讓PIX為我們的網(wǎng)絡(luò)服務(wù)了。不過(guò)讓網(wǎng)絡(luò)運(yùn)行還遠(yuǎn)遠(yuǎn)不夠，我們要有效的利用網(wǎng)絡(luò)，合理的管理網(wǎng)絡(luò)，這時(shí)候就需要一些高級(jí)命令了。下一篇中我們會(huì)為大家講解四個(gè)配置PIX的高級(jí)命令。

【編輯推薦】

1. Web應(yīng)用防火墻的功能與價(jià)值
2. xss攻擊 Web安全新挑戰(zhàn)
3. 百家爭(zhēng)鳴：web攻擊與web防護(hù)
4. Web應(yīng)用防火墻的主要特性
5. 如何進(jìn)行CISCO PIX防火墻網(wǎng)絡(luò)安全配置