1. 将PIX安放至机架,经检测电源系统后接上电源,并加电主机。
2. 将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入
PIX系统;此时系统提示pixfirewall>。
3. 输入命令:enable,进入特权模式,此时系统提示为pixfirewall#。
4. 输入命令:configure terminal,对系统进行初始化设置。
5. 配置以太口参数:
interface ethernet0 auto(auto选项表明系统自适应网卡类型 )
interface ethernet1 auto
6. 配置内外网卡的IP地址:
ip address inside ip_address netmask
ip address outside ip_address netmask
7. 指定外部地址范围:
global 1 ip_address-ip_address
8. 指定要进行要转换的内部地址:
nat 1 ip_address netmask
9. 设置指向内部网和外部网的缺省路由
route inside 0 0 inside_default_router_ip_address
route outside 0 0 outside_default_router_ip_address
10. 配置静态IP地址对映:
static outside ip_addressinside ip_address
11. 设置某些控制选项:
conduit global_ip port[-port] protocol foreign_ip [netmask]
global_ip指的是要控制的地址
port 指的是所作用的端口,其中0代表所有端口
protocol指的是连接协议,比如:TCP、UDP等
foreign_ip 表示可访问global_ip的外部ip,其中表示所有的ip。
12. 设置telnet选项:
telnet local_ip [netmask]
local_ip表示被允许通过telnet访问到pix的ip地址(如果不设此项,
PIX的配
置只能由consle方式进行)。
13. 将配置保存:
wr mem
14. 几个常用的网络测试命令:
#ping
#show interface查看端口状态
#show static 查看静态地址映射
Cisco PIX 520 是一款性能良好的网络安全产品,如果再加上Check Point 的软件防火墙组成两道防护,可以得到更加完善的安全防范。
主要用于局域网的外连设备(如路由器、拨号访问服务器等)与内部网络之间,实现内部网络的安全防范,避免来自外部的恶意攻击。
Cisco PIX 520的默认配置允许从内到外的所有信息请求,拒绝一切外来的主动访问,只允许内部信息的反馈信息进入。当然也可以通过某些设置,例如:访问表等,允许外部的访问。因为,远程用户的访问需要从外到内的访问。另外,可以通过NAT地址转换,实现公有地址和私有地址的转换。
简单地讲,PIX 520的主要功能有两点:
1.实现网络安全
2.实现地址转换
下面简单列出PIX 520 的基本配置
CISCO PIX 防火墙配置实践 ---- 介绍一个PIX防火墙实际配置案例,因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。
PIX 防火墙
设置PIX防火墙的外部地址:
ip address outside 131.1.23.2
设置PIX防火墙的内部地址:
ip address inside 10.10.254.1
设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池:
global 1 131.1.23.10-131.1.23.254
允许网络地址为10.0.0.0 的网段地址被PIX 翻译成外部地址:
nat 1 10.0.0.0
网管工作站固定使用的外部地址为131.1.23.11:
static 131.1.23.11 10.14.8.50
允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙:
conduit 131.1.
