PIX525作為網絡防護產品，不僅企業、政府的網絡安全管理員為提升自身安全進行配置。校園服務器也可以使用PIX525提升自身安全性能。本篇文章為大家呈現某學校的PIX525配置實例，并為關鍵語句給出了詳細注釋。

Welcome to the PIX firewall

Type help or '?' for a list of available commands.

PIX525> en

Password:

PIX525#sh config

Saved

PIX Version 6.0(1)

PIX當前的操作系統版本為6.0

Nameif ethernet0 outside security0

Nameif ethernet1 inside security100

顯示目前pix只有2個接口

Enable password 7Y051HhCcoiRTSQZ encrypted

Passed 7Y051HhCcoiRTSQZ encrypted

pix防火墻密碼在默認狀態下已被加密，在配置文件中不會以明文顯示，telnet 密碼缺省為cisco

Hostname PIX525

主機名稱為PIX525

Domain-name 123.com

本地的一個域名服務器123.com，通常用做外部訪問

Fixup protocol ftp 21

Fixup protocol http 80

fixup protocol h323 1720

fixup protocol rsh 514

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060

當前啟用的一些服務或協議，注意rsh服務是不能改變端口號。

names

解析本地主機名到ip地址，在配置中可以用名字代替ip地址，當前沒有設置，所以列表中為空。

pager lines 24

每24行一分頁。

interface ethernet0 auto

interface ethernet1 auto

設置兩個網卡的類型為自適應。

mtu outside 1500

mtu inside 1500

以太網標準的MTU長度為1500字節。

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0

pix外網的ip地址61.144.51.42，內網的ip地址192.168.0.1

ip audit info action alarm

ip audit attack action alarm

pix入侵檢測的2個命令。當有數據包具有攻擊或報告型特征碼時，pix將采取報警動作（缺省動作），向指定的日志記錄主機產生系統日志消息；此外還可以作出丟棄數據包和發出tcp連接復位信號等動作，需另外配置。

pdm history enable#p#

PIX設備管理器可以圖形化的監視PIX

arp timeout 14400

arp表的超時時間

global (outside) 1 61.144.51.46

如果你訪問外部論壇或用QQ聊天等等，上面顯示的ip就是這個，也就是內部網絡都使用61.144.51.46這個IP和外界通訊。

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0

conduit permit icmp any any

conduit permit tcp host 61.144.51.43 eq www any

conduit permit udp host 61.144.51.43 eq domain any

用61.144.51.43這個ip地址提供domain-name服務，而且只允許外部用戶訪問domain的udp端口。

route outside 0.0.0.0 0.0.0.0 61.144.51.61 1

外部網關61.144.51.61

timeout xlate 3:00:00

某個內部設備向外部發出的ip包經過翻譯(global)后，在缺省3個小時之后此數據包若沒有活動，此前創建的表項將從翻譯表中刪除，釋放該設備占用的全局地址。

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

AAA認證的超時時間，absolute表示連續運行uauth定時器，用戶超時后，將強制重新認證。

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

AAA服務器的兩種協議。AAA是指認證，授權，審計。Pix防火墻可以通過AAA服務器增加內部網絡的安全。

no snmp-server location

no snmp-server contact

snmp-server community public

由于沒有設置snmp工作站，也就沒有snmp工作站的位置和聯系人。

no snmp-server enable traps

發送snmp陷阱。

floodguard enable

防止有人偽造大量認證請求，將pix的AAA資源用完。

no sysopt route dnat

telnet timeout 5

ssh timeout 5

使用ssh訪問pix的超時時間

terminal width 80

Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7

PIX525#

PIX525#write memory

將配置保存

上面這個配置實例還需要說明一下，該pix防火墻直接擺在了與internet接口處，此處網絡環境有十幾個公有ip,當然如果你的公司公網IP不夠用的話可以使用global命令強制使用單一ip地址，該IP地址和外部接口的ip地址相同即可。

在實際工作中我們可以使用show interface查看端口狀態，show static查看靜態地址映射，show ip查看接口ip地址，ping outside|inside ip_address確定連通性。這些都是在故障發生后調試所必須的命令。

【編輯推薦】

1. 介紹PIX防火墻的高級配置
2. xss攻擊 Web安全新挑戰
3. 配置PIX防火墻的六項基本命令
4. Web應用防火墻的主要特性
5. 防止入侵從Web應用安全漏洞做起