Pix 525 配置實例

wzls3146

　　　　以下為實際安裝中部分配置過程，其中IP地址做過修改。
　　　1、 連接PIX 520，加電；
　　　2、 將計算機的串口于PIX 520的控制口相連，運行超級終端：
　　pixfirewall>
　　　3、 先后輸入enable命令和configure terminal命令，依次進入特權(quán)模式和全局配置模式：
　　pixfirewall(config)#
　　　4、 指定內(nèi)外網(wǎng)卡及安全級別：
　　pixfirewall(config)# nameif ethernet0 outside security0
　　pixfirewall(config)# nameif ethernet1 inside security100
　　釋：ethernet0為外網(wǎng)卡，安全級別最低；ethernet1為內(nèi)網(wǎng)卡，安全級別最高。
　　　5、 配置外網(wǎng)卡：
　　pixfirewall(config)# interface ethernet0 auto
　　pixfirewall(config)# ip address outside 200.100.50.34 255.255.255.240
　　釋：外網(wǎng)卡地址是200.100.50.34，掩碼是255.255.255.240；網(wǎng)卡為自適應(yīng)。
　　　6、 配置內(nèi)網(wǎng)卡：
　　pixfirewall(config)# interface ethernet1 auto
　　pixfirewall(config)# ip address inside 10.70.130.254 255.255.255.0
　　釋：內(nèi)網(wǎng)卡地址是10.70.130.254，掩碼是255.255.255.0；網(wǎng)卡為自適應(yīng)。
　　　7、 配置全局地址池：
　　pixfirewall(config)# global (outside) 1 200.100.50.35-200.100.50.46
　　釋：這12個地址用以內(nèi)網(wǎng)做NAT。
　　　、 配置使用上述全局地址池的內(nèi)網(wǎng)地址范圍：
　　pixfirewall(config)# nat (inside) 1 10.70.130.0 255.255.255.0 0 0
　　釋：內(nèi)網(wǎng)10.70.130.0/24網(wǎng)段可以使用上述全局地址池出去（連接INTERNET）。
　　　9、 設(shè)置指向內(nèi)部網(wǎng)和外部網(wǎng)的缺省
路由
　　pixfirewall(config)# route outside 0.0.0.0 0.0.0.0 200.100.50.33 1
　　pixfirewall(config)# route inside 10.70.130.0 255.255.255.0 10.70.130.253 1
　　釋：缺省
路由
指向Cisco 2501，其IP地址為：200.100.50.33。10.70.130.253是內(nèi)網(wǎng)網(wǎng)關(guān)（本例中為公司內(nèi)部第三層交換機的
路由
模塊的IP）。
　　　10、 設(shè)置telnet選項：
　　pixfirewall(config)# telnet 10.70.130.0 255.255.255.0
　　釋：只允許內(nèi)部網(wǎng)絡(luò)10.70.130.0/24遠程登陸到防火墻。
　　以上是對PIX 520的初步配置，當(dāng)然還可以進行更復(fù)雜的設(shè)置，這里不再累述。
　　附錄：
　　下面是這臺PIX 520的配置內(nèi)容，供參考。
　　: Saved
　　:
　　PIX Version 4.4(5)
　　nameif ethernet0 outside security0
　　nameif ethernet1 inside security100
　　enable password oMCmcbd1jkjYHinD encrypted
　　passwd dc.0Bh12lvH98fKM encrypted
　　hostname kfc
　　fixup protocol ftp 21
　　fixup protocol http 80
　　fixup protocol h323 1720
　　fixup protocol rsh 514
　　fixup protocol smtp 25
　　fixup protocol sqlnet 1521
　　names
　　pager lines 24
　　logging on
　　no logging timestamp
　　no logging console
　　no logging monitor
　　no logging buffered
　　no logging trap
　　logging facility 20
　　logging queue 512
　　interface ethernet0 auto
　　interface ethernet1 auto
　　mtu outside 1500
　　mtu inside 1500
　　ip address outside 200.100.50.34 255.255.255.240
　　ip address inside 10.70.130.254 255.255.255.0
　　no failover
　　failover timeout 0:00:00
　　failover ip address outside 0.0.0.0
　　failover ip address inside 0.0.0.0
　　arp timeout 14400
　　global (outside) 1 200.100.50.35
　　global (outside) 1 200.100.50.36-200.100.50.37
　　nat (inside) 1 10.70.130.0 255.255.255.0 0 0
　　conduit permit icmp any any
　　no rip outside passive
　　no rip outside default
　　no rip inside passive
　　no rip inside default
　　route outside 0.0.0.0 0.0.0.0 200.100.50.33 1
　　route inside 10.70.130.0 255.255.255.0 10.80.130.253 1
　　timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
　　timeout rpc 0:10:00 h323 0:05:00
　　timeout uauth 0:05:00 absolute
　　aaa-server TACACS+ protocol tacacs+
　　aaa-server RADIUS protocol radius
　　no snmp-server location
　　no snmp-server contact
　　snmp-server community public
　　no snmp-server enable traps
　　telnet 10.70.130.0 255.255.255.0
　　telnet timeout 5
　　terminal width 80
　　Cryptochecksum:5277c997c2054fde9044a7a29f240265


登陸設(shè)置

fw(config)# telnet 192.168.0.246 255.255.255.255 inside #允許192.168.0.246從內(nèi)接口登錄
fw(config)# telnet timeout 30 #設(shè)置telnet的空閑中斷時間為30分鐘
fw(config)# passwd 12345 #設(shè)置新的telnet密碼
pix515(config)# enable password xxxxxxxx# 設(shè)置enable密碼


本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u1/41327/showart_2132606.html