Cisco PIX防火墙配置(2) 3、 命名端口与安全级别 采用命令nameif PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet0 outside security100 security0是外部端口outside的安全级别(0安全级别最高) security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。 4、 配置以太端口IP 地址 采用命令为:ip address 如:内部网络为:192.168.1.0 255.255.255.0 外部网络为:222.20.16.0 255.255.255.0 PIX525(config)#ip address inside 192.168.1.1 255.255.255.0 PIX525(config)#ip address outside 222.20.16.1 255.255.255.0 5、 配置远程访问[telnet] 在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。 PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside 测试telnet 在[开始]->[运行] telnet 192.168.1.1 PIX passwd: 输入密码:cisco 6、 访问列表(Access-list) 此功能与Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IPTCPUDPICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80 PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside 7、 地址转换(NAT)和端口转换(PAT) NAT跟路由器基本是一样的, 首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。 PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
