百科知识库-中国实用知识供应者
网站地图
┆
设为首页
┆
加入收藏
网站首页
┆
生活知识
┆
历史文化
┆
投资理财
┆
名人明星
┆
科学技术
┆
营养健康
┆
应用范文
┆
字典词典
┆
法律法规
军事体育
┆
文化教育
┆
文学艺术
┆
中国百科
┆
百科词条
┆
时尚潮流
┆
经济管理
┆
旅游休闲
┆
全国各地
┆
英文阅读
您当前的位置:
百科知识库
→
科学技术
→
电脑技术
→
病毒安全
→
PIX配置大全[更新版]
知识导航
菜鸟学堂
解决方法
软件专区
网络专区
硬件专区
操作系统
病毒安全
编程源码
网页设计
网管天地
站长之家
PIX配置大全[更新版]
最近发现论坛上关于
pix
的帖子不是很多,我把我的资料整理一下贴出来,如果能把这篇文章看懂,以后再配置
pix
就问题不大了
我会置顶一段时间。
PIX
配置大全
在配置
PIX
防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少
3
个接口,但许多早期的防火墙只具有
2
个接口;当使用具有
3
个接口的防火墙时,就至少产生了
3
个
网络
,描述如下:
内部区域(内网)。
内部区域通常就是指企业内部
网络
或者是企业内部
网络
的一部分。它是互连
网络
的信任区域,即受到了防火墙的保护。
外部区域(外网)。
外部区域通常指
Internet
或者非企业内部
网络
。它是互连
网络
中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
停火区(
DMZ
)。
停火区是一个隔离的
网络
,或几个
网络
。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置
Web
服务器,
Mail
服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部
网络
。
注意:
2
个接口的防火墙是没有停火区的。
由于
PIX535
在企业级别不具有普遍性,因此下面主要说明
PIX525
在企业
网络
中的应用。
PIX
防火墙提供
4
种管理访问模式:
非特权模式。
PIX
防火墙开机自检后,就是处于这种模式。系统显示为
pixfirewall>
特权模式。
输入
enable
进入特权模式,可以改变当前配置。显示为
pixfirewall#
配置模式。
输入
configure terminal
进入此模式,绝大部分的系统配置都在这里进行。显示为
pixfirewall(config)#
监视模式。
PIX
防火墙在开机或重启过程中,按住
Escape
键或发送一个
“Break”
字符,进入监视模式。这里可以更新
*
作系统映象和口令恢复。显示为
monitor>
配置
PIX
防火墙有
6
个基本命令:
nameif
,
interface
,
ip address
,
nat
,
global
,
route.
这些命令在配置
PIX
是必须的。以下是配置的基本步骤:
1.
配置防火墙接口的名字,并指定安全级别(
nameif
)。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示:在缺省配置中,以太网
0
被命名为外部接口(
outside
),安全级别是
0
;以太网
1
被命名为内部接口(
inside
),安全级别是
100.
安全级别取值范围为
1
~
99
,数字越大安全级别越高。若添加新的接口,语句可以这样写:
Pix525(config)#nameif pix/intf3 security40
(安全级别任取)
2.
配置以太口参数(
interface
)
Pix525(config)#interface ethernet0 auto
(
auto
选项表明系统自适应网卡类型
)
Pix525(config)#interface ethernet1 100full
(
100full
选项表示
100Mbit/s
以太网全双
工通信
)
Pix525(config)#interface ethernet1 100full shutdown
(
shutdown
选项表示关闭这个接口,若启用接口去掉
shutdown
)
3.
配置内外网卡的
IP
地址(
ip address
)
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显,
Pix525
防火墙在外网的
ip
地址是
61.144.51.42
,内网
ip
地址是
192.168.0.1
4.
指定要进行转换的内部地址(
nat
)
网络
地址翻译(
nat
)作用是将内网的私有
ip
转换为外网的公有
ip.
Nat
命令总是与
global
命令一起使用,这是因为
nat
命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用
global
所指定的地址池进行对外访问。
nat
命令配置语法:
nat (if_name) nat_id local_ip [netmark]
其中(
if_name
)表示内网接口名字,例如
inside. Nat_id
用来标识全局地址池,使它与其相应的
global
命令相匹配,
local_ip
表示内网被分配的
ip
地址。例如
0.0.0.0
表示内网所有主机可以对外访问。
[netmark]
表示内网
ip
地址的子网掩码。
例
1
.
Pix525(config)#nat (inside) 1 0 0
表示启用
nat,
内网的所有主机都可以访问外网,用
0
可以代表
0.0.0.0
例
2
.
Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有
172.16.5.0
这个网段内的主机可以访问外网。
5.
指定外部地址范围(
global
)
global
命令把内网的
ip
地址翻译成外网的
ip
地址或一段地址范围。
Global
命令的配置语法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(
if_name
)表示外网接口名字,例如
outside.
。
Nat_id
用来标识全局地址池,使它与其相应的
nat
命令相匹配,
ip_address-ip_address
表示翻译后的单个
ip
地址或一段
ip
地址范围。
[netmark global_mask]
表示全局
ip
地址的
网络
掩码。
[
返回上一页
] [
打 印
]
上一篇文章:
Ethereal使用入门
下一篇文章:
加强安全意识 防范网络银行欺诈7招
百科知识库 版权所有
Copyright © 2007-2009
www.zsku.net
, All Rights Reserved
本站所收集信息资料为网络转载 版权属各作者 并已著明作者 旨在资源共享、交流、学习之用,请勿用于商业用途,本站并不保证所有信息、文本、图形、链接及其它内容的绝对准确性和完整性,故仅供访问者参照使用。
粤ICP备07501395号
您当前的位置: