PIX防火牆提供4種管理訪問模式:
² 非特權模式。 PIX防火牆開機自檢後,就是處於這種模式。系統顯示爲pixfirewall>
² 特權模式。 輸入enable進入特權模式,可以改變當前配置。顯示爲pixfirewall#
² 配置模式。 輸入configure terminal進入此模式,絕大部分的系統配置都在這裏進行。顯示爲pixfirewall(config)#
² 監視模式。 PIX防火牆在開機或重啓過程中,按住Escape鍵或發送一個“Break”字符,進入監視模式。這裏可以更新操作系統映象和口令恢復。顯示爲monitor>
² 非特權模式。 PIX防火牆開機自檢後,就是處於這種模式。系統顯示爲pixfirewall>
² 特權模式。 輸入enable進入特權模式,可以改變當前配置。顯示爲pixfirewall#
² 配置模式。 輸入configure terminal進入此模式,絕大部分的系統配置都在這裏進行。顯示爲pixfirewall(config)#
² 監視模式。 PIX防火牆在開機或重啓過程中,按住Escape鍵或發送一個“Break”字符,進入監視模式。這裏可以更新操作系統映象和口令恢復。顯示爲monitor>
配置PIX防火牆有6個基本命令:nameif,interface,ip address,nat,global,route.
這些命令在配置PIX是必須的。以下是配置的基本步驟:
1. 配置防火牆接口的名字,並指定安全級別(nameif)。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示:在缺省配置中,以太網0被命名爲外部接口(outside),安全級別是0;以太網1被命名爲內部接口(inside),安全級別是100.安全級別取值範圍爲1~99,數字越大安全級別越高。若添加新的接口,語句可以這樣寫:
Pix525(config)#nameif pix/intf3 security40 (安全級別任取)
這些命令在配置PIX是必須的。以下是配置的基本步驟:
1. 配置防火牆接口的名字,並指定安全級別(nameif)。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示:在缺省配置中,以太網0被命名爲外部接口(outside),安全級別是0;以太網1被命名爲內部接口(inside),安全級別是100.安全級別取值範圍爲1~99,數字越大安全級別越高。若添加新的接口,語句可以這樣寫:
Pix525(config)#nameif pix/intf3 security40 (安全級別任取)
2. 配置以太口參數(interface)
Pix525(config)#interface ethernet0 auto(auto選項表明系統自適應網卡類型 )
Pix525(config)#interface ethernet1 100full(100full選項表示100Mbit/s以太網全雙工通信)
Pix525(config)#interface ethernet1 100full shutdown (shutdown選項表示關閉這個接口,若啓用接口去掉shutdown )
Pix525(config)#interface ethernet0 auto(auto選項表明系統自適應網卡類型 )
Pix525(config)#interface ethernet1 100full(100full選項表示100Mbit/s以太網全雙工通信)
Pix525(config)#interface ethernet1 100full shutdown (shutdown選項表示關閉這個接口,若啓用接口去掉shutdown )
3. 配置內外網卡的IP地址(ip address)
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明顯,Pix525防火牆在外網的ip地址是61.144.51.42,內網ip地址是192.168.0.1
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明顯,Pix525防火牆在外網的ip地址是61.144.51.42,內網ip地址是192.168.0.1
4. 指定要進行轉換的內部地址(nat)
網絡地址翻譯(nat)作用是將內網的私有ip轉換爲外網的公有ip.Nat命令總是與global命令一起使用,這是因爲nat命令可以指定一臺主機或一段範圍的主機訪問外網,訪問外網時需要利用global所指定的地址池進行對外訪問。nat命令配置語法:nat (if_name) nat_id local_ip
其中(if_name)表示內網接口名字,例如inside. Nat_id用來標識全局地址池,使它與其相應的global命令相匹配,local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。表示內網ip地址的子網掩碼。
例1.Pix525(config)#nat (inside) 1 0 0
表示啓用nat,內網的所有主機都可以訪問外網,用0可以代表0.0.0.0
例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0這個網段內的主機可以訪問外網。
網絡地址翻譯(nat)作用是將內網的私有ip轉換爲外網的公有ip.Nat命令總是與global命令一起使用,這是因爲nat命令可以指定一臺主機或一段範圍的主機訪問外網,訪問外網時需要利用global所指定的地址池進行對外訪問。nat命令配置語法:nat (if_name) nat_id local_ip
其中(if_name)表示內網接口名字,例如inside. Nat_id用來標識全局地址池,使它與其相應的global命令相匹配,local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。表示內網ip地址的子網掩碼。
例1.Pix525(config)#nat (inside) 1 0 0
表示啓用nat,內網的所有主機都可以訪問外網,用0可以代表0.0.0.0
例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0這個網段內的主機可以訪問外網。
5. 指定外部地址範圍(global)
global命令把內網的ip地址翻譯成外網的ip地址或一段地址範圍。Global命令的配置語法:global (if_name) nat_id ip_address-ip_address
其中(if_name)表示外網接口名字,例如outside.。Nat_id用來標識全局地址池,使它與其相應的nat命令相匹配,ip_address-ip_address表示翻譯後的單個ip地址或一段ip地址範圍。表示全局ip地址的網絡掩碼。
例1. Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示內網的主機通過pix防火牆要訪問外網時,pix防火牆將使用61.144.51.42-61.144.51.48這段ip地址池爲要訪問外網的主機分配一個全局ip地址。
例2. Pix525(config)#global (outside) 1 61.144.51.42
表示內網要訪問外網時,pix防火牆將爲訪問外網的所有主機統一使用61.144.51.42這個單一ip地址。
例3. Pix525(config)#no global (outside) 1 61.144.51.42
表示刪除這個全局表項。
global命令把內網的ip地址翻譯成外網的ip地址或一段地址範圍。Global命令的配置語法:global (if_name) nat_id ip_address-ip_address
其中(if_name)表示外網接口名字,例如outside.。Nat_id用來標識全局地址池,使它與其相應的nat命令相匹配,ip_address-ip_address表示翻譯後的單個ip地址或一段ip地址範圍。表示全局ip地址的網絡掩碼。
例1. Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示內網的主機通過pix防火牆要訪問外網時,pix防火牆將使用61.144.51.42-61.144.51.48這段ip地址池爲要訪問外網的主機分配一個全局ip地址。
例2. Pix525(config)#global (outside) 1 61.144.51.42
表示內網要訪問外網時,pix防火牆將爲訪問外網的所有主機統一使用61.144.51.42這個單一ip地址。
例3. Pix525(config)#no global (outside) 1 61.144.51.42
表示刪除這個全局表項。
6. 設置指向內網和外網的靜態路由(route)
定義一條靜態路由。route命令配置語法:route (if_name) 0 0 gateway_ip
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示網關路由器的ip地址。表示到gateway_ip的跳數。通常缺省是1。
例1. Pix525(config)#route outside 0 0 61.144.51.168 1
表示一條指向邊界路由器(ip地址61.144.51.168)的缺省路由。
例2. Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果內部網絡只有一個網段,按照例1那樣設置一條缺省路由即可;如果內部存在多個網絡,需要配置一條以上的靜態路由。上面那條命令表示創建了一條到網絡10.1.1.0的靜態路由,靜態路由的下一條路由器ip地址是172.16.0.1
定義一條靜態路由。route命令配置語法:route (if_name) 0 0 gateway_ip
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示網關路由器的ip地址。表示到gateway_ip的跳數。通常缺省是1。
例1. Pix525(config)#route outside 0 0 61.144.51.168 1
表示一條指向邊界路由器(ip地址61.144.51.168)的缺省路由。
例2. Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果內部網絡只有一個網段,按照例1那樣設置一條缺省路由即可;如果內部存在多個網絡,需要配置一條以上的靜態路由。上面那條命令表示創建了一條到網絡10.1.1.0的靜態路由,靜態路由的下一條路由器ip地址是172.16.0.1
這6個基本命令若理解了,就可以進入到pix防火牆的一些高級配置了。
A. 配置靜態IP地址翻譯(static)
如果從外網發起一個會話,會話的目的地址是一個內網的ip地址,static就把內部地址翻譯成一個指定的全局地址,允許這個會話建立。static命令配置語法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示內部網絡接口,安全級別較高。如inside.
external_if_name爲外部網絡接口,安全級別較低。如outside等。outside_ip_address爲正在訪問的較低安全級別的接口上的ip地址。inside_ ip_address爲內部網絡的本地ip地址。
例1. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
表示ip地址爲192.168.0.8的主機,對於通過pix防火牆建立的每個會話,都被翻譯成61.144.51.62這個全局地址,也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。
例2. Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3. Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注釋同例1。通過以上幾個例子說明使用static命令可以讓我們爲一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠爲具有較低安全級別的指定接口創建一個入口,使它們可以進入到具有較高安全級別的指定接口。
如果從外網發起一個會話,會話的目的地址是一個內網的ip地址,static就把內部地址翻譯成一個指定的全局地址,允許這個會話建立。static命令配置語法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示內部網絡接口,安全級別較高。如inside.
external_if_name爲外部網絡接口,安全級別較低。如outside等。outside_ip_address爲正在訪問的較低安全級別的接口上的ip地址。inside_ ip_address爲內部網絡的本地ip地址。
例1. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
表示ip地址爲192.168.0.8的主機,對於通過pix防火牆建立的每個會話,都被翻譯成61.144.51.62這個全局地址,也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。
例2. Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3. Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注釋同例1。通過以上幾個例子說明使用static命令可以讓我們爲一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠爲具有較低安全級別的指定接口創建一個入口,使它們可以進入到具有較高安全級別的指定接口。
B. 管道命令(conduit)
前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映洌油獠康僥誆拷涌詰牧尤勻換岜籶ix防火牆的自適應安全算法(ASA)阻擋,conduit命令用來允許數據流從具有較低安全級別的接口流向具有較高安全級別的接口,例如允許從外部到DMZ或內部接口的入方向的會話。對於向內部接口的連接,static和conduit命令將一起使用,來指定會話的建立。
conduit命令配置語法:
conduit permit | deny global_ip port<-port> protocol foreign_ip
permit | deny 允許 | 拒絕訪問
global_ip 指的是先前由global或static命令定義的全局ip地址,如果global_ip爲0,就用any代替0;如果global_ip是一臺主機,就用host命令參數。
port 指的是服務所作用的端口,例如www使用80,smtp使用25等等,我們可以通過服務名稱或端口數字來指定端口。
protocol 指的是連接協議,比如:TCP、UDP、ICMP等。
foreign_ip 表示可訪問global_ip的外部ip。對於任意主機,可以用any表示。如果foreign_ip是一臺主機,就用host命令參數。
例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
這個例子表示允許任何外部主機對全局地址192.168.0.8的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eq ftp 就是指允許或拒絕只對ftp的訪問。
例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
例3. Pix525(config)#conduit permit icmp any any
表示允許icmp消息向內部和外部通過。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
這個例子說明static和conduit的關系。192.168.0.3在內網是一臺web服務器,現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射:192.168.0.3->61.144.51.62(全局),然後利用conduit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。
前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映洌油獠康僥誆拷涌詰牧尤勻換岜籶ix防火牆的自適應安全算法(ASA)阻擋,conduit命令用來允許數據流從具有較低安全級別的接口流向具有較高安全級別的接口,例如允許從外部到DMZ或內部接口的入方向的會話。對於向內部接口的連接,static和conduit命令將一起使用,來指定會話的建立。
conduit命令配置語法:
conduit permit | deny global_ip port<-port> protocol foreign_ip
permit | deny 允許 | 拒絕訪問
global_ip 指的是先前由global或static命令定義的全局ip地址,如果global_ip爲0,就用any代替0;如果global_ip是一臺主機,就用host命令參數。
port 指的是服務所作用的端口,例如www使用80,smtp使用25等等,我們可以通過服務名稱或端口數字來指定端口。
protocol 指的是連接協議,比如:TCP、UDP、ICMP等。
foreign_ip 表示可訪問global_ip的外部ip。對於任意主機,可以用any表示。如果foreign_ip是一臺主機,就用host命令參數。
例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
這個例子表示允許任何外部主機對全局地址192.168.0.8的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eq ftp 就是指允許或拒絕只對ftp的訪問。
例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
例3. Pix525(config)#conduit permit icmp any any
表示允許icmp消息向內部和外部通過。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
這個例子說明static和conduit的關系。192.168.0.3在內網是一臺web服務器,現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射:192.168.0.3->61.144.51.62(全局),然後利用conduit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。
C. 配置fixup協議
fixup命令作用是啓用,禁止,改變一個服務或協議通過pix防火牆,由fixup命令指定的端口是pix防火牆要偵聽的服務。見下面例子:
例1. Pix525(config)#fixup protocol ftp 21
啓用ftp協議,並指定ftp的端口號爲21
例2. Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
爲http協議指定80和1080兩個端口。
例3. Pix525(config)#no fixup protocol smtp 80
禁用smtp協議。
fixup命令作用是啓用,禁止,改變一個服務或協議通過pix防火牆,由fixup命令指定的端口是pix防火牆要偵聽的服務。見下面例子:
例1. Pix525(config)#fixup protocol ftp 21
啓用ftp協議,並指定ftp的端口號爲21
例2. Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
爲http協議指定80和1080兩個端口。
例3. Pix525(config)#no fixup protocol smtp 80
禁用smtp協議。
D. 設置telnet
telnet有一個版本的變化。在pix OS 5.0(pix操作系統的版本號)之前,只能從內部網絡上的主機通過telnet訪問pix。在pix OS 5.0及後續版本中,可以在所有的接口上啓用telnet到pix的訪問。當從外部接口要telnet到pix防火牆時,telnet數據流需要用ipsec提供保護,也就是說用戶必須配置pix來建立一條到另外一臺pix,路由器或***客戶端的ipsec隧道。另外就是在PIX上配置SSH,然後用SSH client從外部telnet到PIX防火牆,PIX支持SSH1和SSH2,不過SSH1是免費軟件,SSH2是商業軟件。相比之下cisco路由器的telnet就作的不怎麼樣了。
telnet配置語法:telnet local_ip
local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項,pix的配置方式只能由console進行。
下面給出一個配置實例供大家參考,配置實例說明如下,pix防火牆直接擺在了與internet接口處,此處網絡環境有十幾個公有ip,可能會有朋友問如果我的公有ip很有限怎麼辦?你可以添加router放在pix的前面,或者global使用單一ip地址,和外部接口的ip地址相同即可。另外有幾個維護命令也很有用,show interface查看端口狀態,show static查看靜態地址映射,show ip查看接口ip地址,ping outside | inside ip_address確定連通性。
Welcome to the PIX firewall
Welcome to the PIX firewall
Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config
: Saved
:
PIX Version 6.0(1) ------ PIX當前的操作系統版本爲6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 顯示目前pix只有2個接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火牆密碼在默認狀態下已被加密,在配置文件中不會以明文顯示,telnet 密碼缺省爲cisco
Hostname PIX525 ------ 主機名稱爲PIX525
Domain-name 123.com ------ 本地的一個域名服務器123.com,通常用作爲外部訪問
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 當前啓用的一些服務或協議,注意rsh服務是不能改變端口號
names ------ 解析本地主機名到ip地址,在配置中可以用名字代替ip地址,當前沒有設置,所以列表爲空
pager lines 24 ------ 每24行一分頁
interface ethernet0 auto
interface ethernet1 auto ------ 設置兩個網卡的類型爲自適應
mtu outside 1500
mtu inside 1500 ------ 以太網標準的MTU長度爲1500字節
PIX525> en
Password:
PIX525#sh config
: Saved
:
PIX Version 6.0(1) ------ PIX當前的操作系統版本爲6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 顯示目前pix只有2個接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火牆密碼在默認狀態下已被加密,在配置文件中不會以明文顯示,telnet 密碼缺省爲cisco
Hostname PIX525 ------ 主機名稱爲PIX525
Domain-name 123.com ------ 本地的一個域名服務器123.com,通常用作爲外部訪問
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 當前啓用的一些服務或協議,注意rsh服務是不能改變端口號
names ------ 解析本地主機名到ip地址,在配置中可以用名字代替ip地址,當前沒有設置,所以列表爲空
pager lines 24 ------ 每24行一分頁
interface ethernet0 auto
interface ethernet1 auto ------ 設置兩個網卡的類型爲自適應
mtu outside 1500
mtu inside 1500 ------ 以太網標準的MTU長度爲1500字節
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外網的ip地址61.144.51.42,內網的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix***檢測的2個命令。當有數據包具有攻擊或報告型特徵碼時,pix將採取報警動作(缺省動作),向指定的日誌記錄主機產生系統日誌消息;此外還可以作出丟棄數據包和發出tcp連接復位信號等動作,需另外配置。
pdm history enable ------ PIX設備管理器可以圖形化的監視PIX
arp timeout 14400 ------ arp表的超時時間
global (outside) 1 61.144.51.46 ------ 如果你訪問外部論壇或用QQ聊天等等,上面顯示的ip就是這個
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43這個ip地址提供domain-name服務,而且只允許外部用戶訪問domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部網關61.144.51.61
timeout xlate 3:00:00 ------ 某個內部設備向外部發出的ip包經過翻譯(global)後,在缺省3個小時之後此數據包若沒有活動,此前創建的表項將從翻譯表中刪除,釋放該設備佔用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA認證的超時時間,absolute表示連續運行uauth定時器,用戶超時後,將強制重新認證
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服務器的兩種協議。AAA是指認證,授權,審計。Pix防火牆可以通過AAA服務器增加內部網絡的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由於沒有設置snmp工作站,也就沒有snmp工作站的位置和聯系人
no snmp-server enable traps ------ 發送snmp陷阱
floodguard enable ------ 防止有人僞造大量認證請求,將pix的AAA資源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh訪問pix的超時時間
terminal width 80
Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 將配置保存
本文只是對pix防火牆的基本配置做了相關描述,pix其他的一些功能例如AAA服務器,***等等限於篇幅,不再一一介紹。ip address inside 192.168.0.1 255.255.255.0 ------ pix外網的ip地址61.144.51.42,內網的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix***檢測的2個命令。當有數據包具有攻擊或報告型特徵碼時,pix將採取報警動作(缺省動作),向指定的日誌記錄主機產生系統日誌消息;此外還可以作出丟棄數據包和發出tcp連接復位信號等動作,需另外配置。
pdm history enable ------ PIX設備管理器可以圖形化的監視PIX
arp timeout 14400 ------ arp表的超時時間
global (outside) 1 61.144.51.46 ------ 如果你訪問外部論壇或用QQ聊天等等,上面顯示的ip就是這個
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43這個ip地址提供domain-name服務,而且只允許外部用戶訪問domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部網關61.144.51.61
timeout xlate 3:00:00 ------ 某個內部設備向外部發出的ip包經過翻譯(global)後,在缺省3個小時之後此數據包若沒有活動,此前創建的表項將從翻譯表中刪除,釋放該設備佔用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA認證的超時時間,absolute表示連續運行uauth定時器,用戶超時後,將強制重新認證
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服務器的兩種協議。AAA是指認證,授權,審計。Pix防火牆可以通過AAA服務器增加內部網絡的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由於沒有設置snmp工作站,也就沒有snmp工作站的位置和聯系人
no snmp-server enable traps ------ 發送snmp陷阱
floodguard enable ------ 防止有人僞造大量認證請求,將pix的AAA資源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh訪問pix的超時時間
terminal width 80
Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 將配置保存