Pixfoundation

　　 
　　CISCO 硬件防火墙520 配置手册 (CISCO 硬件防火墙520 配置手册 (flyants0)
　　CISCO PIX作为硬件防火墙, 确省的配置为两块网卡, 一块接内部网( 又叫 INSIDE ), 一块接公网( 又叫OUTSIDE )
　　以下手册列出一些常用的命令和配置方法:
　　

　　现假设内部网段为 192.168.0.0/24 , 公网接入为 161.1.0.0/16
　　
　　PIX内部网卡地址为 192.168.0.2/24
　　外部网卡地址为: 161.1.1.2/16
　　
　　INTERNET接入的路由器以太网卡地址为161.1.1.1/16
　　
　　1. 用串口接到PIX的CONSOLE上, COM1的参数设为9600,8, none, 1
　　
　　2. 进入ENABLE模式: 输入enable
　　
　　3. show ver : 查看版本信息.
　　
　　4. sh nameif 查看INTERFACE的信息.
　　
　　5. 在ENABLE模式下, 进入配置模式: config t
　　
　　6. 配置IP 地址, 分为INSIDE IP ,和OUTSIDE IP.
　　
　　IP ADDRESS INSIDE 192.168.0.1 255.255.255.0
　　IP ADDRESS OUTSIDE 161.1.1.2 255.255.0.0
　　
　　7. 设置缺省路由
　　
　　ROUTE OUTSIDE 0.0.0.0 0.0.0.0 161.1.1.1 255.255.0.0 1
　　
　　8. 允许PING
　　
　　PERMIT CONDUIT ICMP ANY ANY
　　
　　9. 允许内部网用户访问INTERNET
　　
　　Nat ( inside ) 1 192.168.0.0 255.255.255.0
　　Global (outside) 1 161.1.1.3 netmask 255.255.0.0 (PAT模式)
　　Global (outside) 1 161.1.1.4-161.1.1.100 netmask 255.255.0.0 ( Pool 模式)
　　
　　10. 允许外部用户访问内部的服务器
　　STATIC (INSIDE, OUTSIDE) 161.1.1.6 192.168.0.6 netmask 255.255.255.255
　　Conduit permit tcp host 161.1.1.6 eq www.any ( 允许外部的用户使用WWW服务, 访问内部网的WWW服务器)
　　
　　
　　11. 设置TELNET权限
　　
　　TELNET XX.XX.XX.XX (XX为内部网的IP )
　　
　　12. 存配置
　　wr mem
　　
　　13. 修改密码
　　
　　修改TELNET密码 ( 缺省为cisco )
　　Passwd yourpassword
　　Enable password yourpassword
　　
　　14. 检查LOG
　　
　　logging buffered 7
　　sh logging
　　
　　
　　
　　
　　
　　1. 将PIX安放至机架，经检测电源系统后接上电源，并加电主机。　
　　2. 将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入
　　　 PIX系统；此时系统提示pixfirewall>。
　　3. 输入命令：enable,进入特权模式，此时系统提示为pixfirewall#。　
　　4. 输入命令： configure terminal,对系统进行初始化设置。　
　　5. 配置以太口参数：
　　　 interface ethernet0 auto　 （auto选项表明系统自适应网卡类型）
　　　 interface ethernet1 auto
　　6. 配置内外网卡的IP地址：
　　　 ip address inside ip_address netmask
　　　 ip address outside ip_address netmask
　　7. 指定外部地址范围：
　　　 global 1 ip_address-ip_address
　　8. 指定要进行要转换的内部地址：
　　　 nat 1 ip_address netmask
　　9. 设置指向内部网和外部网的缺省路由
　　　 route inside 0 0 inside_default_router_ip_address　
　　　 route outside 0 0 outside_default_router_ip_address　
　　10. 配置静态IP地址对映：
　　　 static outside ip_address　　inside ip_address 　
　　11. 设置某些控制选项：
　　　 conduit global_ip port[-port] protocol foreign_ip [netmask] 　
　　　　　global_ip　 指的是要控制的地址　
　　　　　port　　　　指的是所作用的端口，其中0代表所有端口　
　　　　　protocol　　指的是连接协议，比如：TCP、UDP等　
　　　　　foreign_ip　表示可访问global_ip的外部ip，其中表示所有的ip。　
　　12. 设置telnet选项：
　　　 telnet local_ip [netmask]
　　　　　local_ip　　表示被允许通过telnet访问到pix的ip地址（如果不设此项，
　　PIX的配置只能由consle方式进行）。　
　　13. 将配置保存：
　　　 wr mem
　　14. 几个常用的网络测试命令：
　　　 #ping
　　　 #show interface　　　查看端口状态　
　　　 #show static　　　　 查看静态地址映射

原文转自：http://www.ltesting.net