PIX综述：

    什么是PIX呢？PIX是CISCO公司开发的防火墙系列设备，主要起到策略过滤，隔离内外网，根据用户实际需求设置DMZ（停火区）。它和一般硬件防火墙一样具有转发数据包速度快，可设定的规则种类多，配置灵活的特点。最新的PIX版本为PIX535。

    PIX的安装：

    PIX防火墙从外观上和路由器差不多。（如图1）正面没有任何接口，只显示指示灯。所有的接口都在PIX防火墙的背面。（如图2）

图二

    大家会发现该设备接口很多，从RJ45到USB接口，从显示器接口到电源接口。我们进一步放大背面各个接口可以看得更加清晰。（如图3）

图三

    各位读者可以根据图中的指示找到对应的接口，当然默认情况下只有这些接口，如果我们希望添加某个类型的接口还可以卸下相应的面板自行安装新接口。我们用到最多的是console口（控制台）和Slot5,Slot6（RJ45网线接口）。

   安装PIX和安装普通的路由器和交换机一样，用锣钉将设备固定在机柜上即可，同时注意散热和UPS不间断电源的供应。

一台新的PIX防火墙不经过任何配置是无法投入使用的。我们需要用CONSOLE线连接设备的CONSOLE口并根据实际应用环境进行设置，登录PIX的管理界面很简单，将CONSOLE线连接控制台接口即可。

    在配置PIX防火墙之前，各位读者要跟随我了解一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了三个网络，三个网络的基本描述如下：

    （1）内部区域（内网），内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。

    （2）外部区域（外网），外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

    （3）停火区（DMZ），停火区是一个隔离的网络或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。

    小提示：

    早期的防火墙功能很有限，只有两个接口，因此这类防火墙是没有停火区的。当然PIX系列防火墙新版本都是有三个接口的。

PIX的工作模式

    了解了PIX的区域划分后我们还需对防火墙的管理访问模式有所区分。实际上PIX防火墙和CISCO以往的路由交换设备一样有四个管理访问模式。依次如下：

    （1）非特权模式。PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall> 。

    （2）特权模式。在非特权模式下输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#。

    （3）配置模式。在特权模式下输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#。

    （4）监视模式。PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor> 。

    这四个管理访问模式我们最常用的还是特权模式和配置模式，95%以上的操作命令都是在这两个模式下完成的，而监视模式主要用于恢复PIX默认密码等调试工作，非特权模式则只能查看PIX设备运行状况，不能修改任何设置。

    总结：

    虽然本篇文章没有涉及任何关于PIX防火墙的配置命令，仅仅对PIX的外观，工作模式，工作区域进行了介绍，但这就好比为PIX配置打地基一样，只有对上面介绍的内容有了清晰的认识才能在下一篇文章中更快的掌握各种配置命令。