零起点配置PIX防火墙六大基本命令-xxlinux.com




┊linux社区┊ 爱心援助 ┊ Linux认证┊系列教程 ┊ 业界动态┊ 站务新闻 ┊ 公司招聘┊ 建议留言 ┊ 网址大全 ┊LPI专题┊ CISCO专题

设为首页

加入收藏

管理团队

联盟首页	入门区	安装配置	使用技巧	桌面应用	开发区	WEB开发	数据库	内核研究	SHELL	软件开发
软件下载	网络区	服务器	网络应用	网络安全	UNIX区	UNIX入门	UNIX提高	C专题	JAVA专题	嵌入应用
开发语言	PHP	JSP	ASP	ASP.NET	JAVA	C/C++/C#	PERL	JavaScript	Basic	Delphi

		您的位置：首页 > 专题栏目 > cisco >

栏目导栏

LPI

cisco

资料搜索

最新文章

·利用UNIX系统的TFTP和RCP配置路

·CCNA试验考试命令总结

·用命令行在Cisco设备上查看机框

·交换机介绍网管必读的技术资料

零起点配置PIX防火墙六大基本命令

[ 作者:Linux联盟收集加入时间:2006-07-20 12:21:00 来自:Linux联盟收集 ]

	上一篇文章我们介绍了PIX的概述和外观以及工作模式和工作区域，下面闲话少说为大家马上呈现PIX的配置命令，读者跟着我理解了本文介绍的全部命令再结合一些基础的网络知识就可以自行配置PIX设备了。neTLinux联盟　　neTLinux联盟　　配置PIX防火墙有六个基本命令：nameif，interface，ip address，nat，global，route。我们先掌握这六个基本命令，然后再学习更高级的配置语句。neTLinux联盟　　neTLinux联盟　　配置防火墙接口的名字，并指定安全级别（nameif）：neTLinux联盟　　neTLinux联盟　　Pix525(config)#nameif ethernet0 outside security0neTLinux联盟　　neTLinux联盟　　设置以太网口1为外网接口，安全级别为0，安全系数最低。neTLinux联盟　　neTLinux联盟　　Pix525(config)#nameif ethernet1 inside security100neTLinux联盟　　neTLinux联盟　　设置以太网口2为内网接口，安全级别为100。安全系数最高。neTLinux联盟　　neTLinux联盟　　Pix525(config)#nameif dmz security50neTLinux联盟　　neTLinux联盟　　设置DMZ接口为停火区，安全级别50。安全系数居中。neTLinux联盟　　neTLinux联盟　　在缺省配置中，以太网口0被命名为外部接口（outside），安全级别是0；以太网口1被命名为内部接口（inside），安全级别是100。安全级别取值范围为1到99，数字越大安全级别越高。若添加新的接口，语句可以这样写： Pix525(config)#nameif pix/intf3 security40，这句表示将PIX的3端口设置为安全级别40。neTLinux联盟　　neTLinux联盟　　配置以太口参数（interface）：neTLinux联盟　　neTLinux联盟　　Pix525(config)#interface ethernet0 autoneTLinux联盟　　neTLinux联盟　　设置以太接口0为AUTO模式，auto选项表明系统网卡速度工作模式等为自动适应，这样该接口会自动在10M/100M，单工/半双工/全双工直接切换。neTLinux联盟　　neTLinux联盟　　Pix525(config)#interface ethernet1 100fullneTLinux联盟　　neTLinux联盟　　强制设置以太接口1为100Mbit/s全双工通信。neTLinux联盟　　neTLinux联盟　　Pix525(config)#interface ethernet1 100full shutdownneTLinux联盟　　neTLinux联盟　　关闭以太接口1，有的时候会临时将某接口关闭，阻止对该接口连接网段的访问，这时可以使用上面这个命令。shutdown选项表示关闭这个接口，若启用接口去掉shutdown。neTLinux联盟　　neTLinux联盟　　小提示：neTLinux联盟　　neTLinux联盟　　在节假日需要关闭停火区的服务器的服务时可以在PIX设备上使用interface dmz 100full shutdown,这样DMZ区会关闭对外服务。neTLinux联盟　　neTLinux联盟　　配置内外网卡的IP地址（ip address）：neTLinux联盟　　neTLinux联盟　　Pix525(config)#ip address outside 61.144.51.42 255.255.255.248neTLinux联盟　　neTLinux联盟　　设置外网接口为61.144.51.42，子网掩码为255.255.255.248。neTLinux联盟　　neTLinux联盟　　Pix525(config)#ip address inside 192.168.0.1 255.255.255.0neTLinux联盟　　neTLinux联盟　　设置内网接口为192.168.0.1,子网掩码为255.255.255.0。neTLinux联盟　　neTLinux联盟　　有的读者可能会问为什么用的是outside和inside而没有使用ethernet1，ethernet0呢？其实这样写是为了方便我们配置，不容易出错误。只要我们通过nameif设置了各个接口的安全级别和接口类别，接口类别就代表了相应的端口，也就是说outside=ethernet0，inside=ethernet1。neTLinux联盟　　neTLinux联盟　　指定要进行转换的内部地址（nat）：neTLinux联盟　　neTLinux联盟　　网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip，Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。neTLinux联盟　　neTLinux联盟　　nat命令配置语法：nat (if_name) nat_id local_ip [netmark] 其中（if_name）表示内网接口名字，例如inside，Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。示例语句如下：neTLinux联盟　　neTLinux联盟　　Pix525(config)#nat (inside) 1 0 0neTLinux联盟　　neTLinux联盟　　启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0neTLinux联盟　　neTLinux联盟　　Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0neTLinux联盟　　neTLinux联盟　　设置只有172.16.5.0这个网段内的主机可以访问外网。neTLinux联盟　　neTLinux联盟　　指定外部地址范围（global）：neTLinux联盟　　neTLinux联盟　　global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中（if_name）表示外网接口名字，例如outside，Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。示例语句如下：neTLinux联盟　　neTLinux联盟　　Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48neTLinux联盟　　neTLinux联盟　　设置内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。neTLinux联盟　　neTLinux联盟　　Pix525(config)#global (outside) 1 61.144.51.42neTLinux联盟　　neTLinux联盟　　设置内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。neTLinux联盟　　neTLinux联盟　　Pix525(config)#no global (outside) 1 61.144.51.42neTLinux联盟　　neTLinux联盟　　删除global中对61.144.51.42的宣告，也就是说数据包通过NAT向外传送时将不使用该IP，这个全局表项被删除。neTLinux联盟　　neTLinux联盟　　设置指向内网和外网的静态路由（route）：neTLinux联盟　　neTLinux联盟　　route命令定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip [metric] 其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。示例语句如下：neTLinux联盟　　neTLinux联盟　　Pix525(config)#route outside 0 0 61.144.51.168 1neTLinux联盟　　neTLinux联盟　　设置一条指向边界路由器（ip地址61.144.51.168）的缺省路由。neTLinux联盟　　neTLinux联盟　　Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1neTLinux联盟　　neTLinux联盟　　设置一条指向内部的路由。neTLinux联盟　　neTLinux联盟　　Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1neTLinux联盟　　neTLinux联盟　　设置另一条指向内部的路由。neTLinux联盟　　neTLinux联盟　　总结：neTLinux联盟　　neTLinux联盟　　目前我们已经掌握了设置PIX的六大基本命令，通过这六个命令我们已经可以让PIX为我们的网络服务了。不过让网络运行还远远不够，我们要有效的利用网络，合理的管理网络，这时候就需要一些高级命令了。下一篇中我们会为大家讲解四个配置PIX的高级命令。 Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论

【评论】【加入收藏夹】【大中小】【打印】【关闭】

※ 相关链接

·RedHat9.0 vs-ftp 基本设置 (2006-07-19 17:57:50)

·通过命令配置网卡 (2006-07-19 17:16:49)

·配置DHCP服务器 (2006-07-19 17:15:35)

·solaris常用命令及简单解释 (2006-07-19 13:10:42)

·ndd 命令中各项参数详解 (2006-07-19 12:49:27)

·想成为嵌入式程序员应知道的0x10个基本问题 (2006-07-18 20:35:29)

·vertas volume manager 常见命令 (2006-07-18 12:38:48)

·磁带操作实用命令 (2006-07-18 12:37:18)

·IPMP(IP Multipathing)配置详解 (2006-07-18 12:30:44)

·DHCP配置过程 (2006-07-18 12:28:31)



	© CopyRight 2006-2009 xxlinux.com.Inc All Rights Reserved
	Powered by xxlinux.com