配置PIX防火墻的六項基本命令
PIX是CISCO公司開發的防火墻系列設備,因為它的轉發數據包速度快和配置靈活等特點,使得其受到企業用戶的廣泛歡迎。那么本篇文章主要講述了在配置PIX防火墻時主要用到的六項基本命令。
配置PIX防火墻接口的名字,并指定安全級別(nameif):
Pix525(config)#nameif ethernet0 outside security0
設置以太網口1為外網接口,安全級別為0,安全系數最低。
Pix525(config)#nameif ethernet1 inside security100
設置以太網口2為內網接口,安全級別為100。安全系數最高。
Pix525(config)#nameif dmz security50
設置DMZ接口為停火區,安全級別50。安全系數居中。
在缺省配置中,以太網口0被命名為外部接口(outside),安全級別是0;以太網口1被命名為內部接口(inside),安全級別是100。安全級別取值范圍為1到99,數字越大安全級別越高。若添加新的接口,語句可以這樣寫: Pix525(config)#nameif pix/intf3 security40,這句表示將PIX的3端口設置為安全級別40。
配置PIX防火墻以太口參數(interface):
Pix525(config)#interface ethernet0 auto
設置以太接口0為AUTO模式,auto選項表明系統網卡速度工作模式等為自動適應,這樣該接口會自動在10M/100M,單工/半雙工/全雙工直接切換。
Pix525(config)#interface ethernet1 100full
強制設置以太接口1為100Mbit/s全雙工通信。
Pix525(config)#interface ethernet1 100full shutdown
關閉以太接口1,有的時候會臨時將某接口關閉,阻止對該接口連接網段的訪問,這時可以使用上面這個命令。shutdown選項表示關閉這個接口,若啟用接口去掉shutdown。
小提示:
在節假日需要關閉停火區的服務器的服務時可以在PIX設備上使用interface dmz 100full shutdown,這樣DMZ區會關閉對外服務。
配置PIX防火墻內外網卡的IP地址(ip address):
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
設置外網接口為61.144.51.42,子網掩碼為255.255.255.248。
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
設置內網接口為192.168.0.1,子網掩碼為255.255.255.0。
有的讀者可能會問為什么用的是outside和inside而沒有使用ethernet1,ethernet0呢?其實這樣寫是為了方便我們配置,不容易出錯誤。只要我們通過nameif設置了各個接口的安全級別和接口類別,接口類別就代表了相應的端口,也就是說outside=ethernet0,inside=ethernet1。
指定要進行轉換的內部地址(nat):
網絡地址翻譯(nat)作用是將內網的私有ip轉換為外網的公有ip,Nat命令總是與global命令一起使用,這是因為nat命令可以指定一臺主機或一段范圍的主機訪問外網,訪問外網時需要利用global所指定的地址池進行對外訪問。
nat命令配置語法:nat (if_name) nat_id local_ip [netmark] 其中(if_name)表示內網接口名字,例如inside,Nat_id用來標識全局地址池,使它與其相應的global命令相匹配,local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。[netmark]表示內網ip地址的子網掩碼。示例語句如下:
Pix525(config)#nat (inside) 1 0 0
啟用nat,內網的所有主機都可以訪問外網,用0可以代表0.0.0.0
Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
設置只有172.16.5.0這個網段內的主機可以訪問外網。
指定外部地址范圍(global):
global命令把內網的ip地址翻譯成外網的ip地址或一段地址范圍。Global命令的配置語法:global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中(if_name)表示外網接口名字,例如outside,Nat_id用來標識全局地址池,使它與其相應的nat命令相匹配,ip_address-ip_address表示翻譯后的單個ip地址或一段ip地址范圍。[netmark global_mask]表示全局ip地址的網絡掩碼。示例語句如下:
Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
設置內網的主機通過pix防火墻要訪問外網時,pix防火墻將使用61.144.51.42-61.144.51.48這段ip地址池為要訪問外網的主機分配一個全局ip地址。
Pix525(config)#global (outside) 1 61.144.51.42
設置內網要訪問外網時,pix防火墻將為訪問外網的所有主機統一使用61.144.51.42這個單一ip地址。
Pix525(config)#no global (outside) 1 61.144.51.42
刪除global中對61.144.51.42的宣告,也就是說數據包通過NAT向外傳送時將不使用該IP,這個全局表項被刪除。
設置指向內網和外網的靜態路由(route):
route命令定義一條靜態路由。route命令配置語法:route (if_name) 0 0 gateway_ip [metric] 其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示網關路由器的ip地址。[metric]表示到gateway_ip的跳數。通常缺省是1。示例語句如下:
Pix525(config)#route outside 0 0 61.144.51.168 1
設置一條指向邊界路由器(ip地址61.144.51.168)的缺省路由。
Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
設置一條指向內部的路由。
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
設置另一條指向內部的路由。
總結:
目前我們已經掌握了配置PIX防火墻的六大基本命令,通過這六個命令我們已經可以讓PIX為我們的網絡服務了。不過讓網絡運行還遠遠不夠,我們要有效的利用網絡,合理的管理網絡,這時候就需要一些高級命令了。下一篇中我們會為大家講解四個配置PIX的高級命令。
【編輯推薦】
