Cisco PIX防火墙配置-下

7.static

配置静态IP地址翻译，使内部地址与外部地址一一对应。
语法：
static (internal_if_name,external_if_name) outside_ip_addr inside_ip_address
其中：
internal_if_name表示内部网络接口，安全级别较高，如inside。
external_if_name表示外部网络接口，安全级别较低，如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外，外边的顺序是先外后内)
例如：
PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.8

表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址。

PIX525(config)#static (dmz，outside) 133.0.0.1 172.16.0.2

中间区域ip地址172.16.0.2，访问外部时被翻译成133.0.0.1全局地址。

8.conduit

管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。

例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。

语法：

conduit permit|deny protocol global_ip port[-port] foreign_ip [netmask]

其中：

global_ip是一台主机时前面加host参数，所有主机时用any表示。

foreign_ip表示外部ip。

[netmask]表示可以是一台主机或一个网络。

例如：

PIX525(config)#static(inside，outside)133.0.0.1 192.168.0.3

PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any

这个例子说明static和conduit的关系。192.168.0.3是内网一台web服务器，

现在希望外网的用户能够通过PIX防火墙访问web服务。

所以先做static静态映射：192.168.0.3－>133.0.0.1

然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。

9.访问控制列表ACL

访问控制列表的命令与couduit命令类似，

例：

PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www

PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 in interface outside

10.侦听命令fixup

作用是启用或禁止一个服务或协议，

通过指定端口设置PIX防火墙要侦听listen服务的端口。

例：

PIX525(config)#fixup protocol ftp 21

启用ftp协议，并指定ftp的端口号为21

PIX525(config)#fixup protocol http 8080

PIX525(config)#no fixup protocol http 80

启用http协议8080端口，禁止80端口。

11.telnet

当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或

在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。

例：

telnet local_ip [netmask]

local_ip表示被授权可以通过telnet访问到PIX的ip地址。

如果不设此项，PIX的配置方式只能用console口接超级终端进行。

12.显示命令：

show interface　；查看端口状态。

show static；查看静态地址映射。

show ip；查看接口ip地址。

show config；查看配置信息。

show run；显示当前配置信息。

write terminal；将当前配置信息写到终端。

show cpuusage；显示CPU利用率，排查故障时常用。

show traffic；查看流量。

show blocks；显示拦截的数据包。

show mem；显示内存

13.DHCP服务

PIX具有DHCP服务功能。

例：

PIX525(config)#ip address dhcp

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

PIX525(config)#dhcp domain abc.com.cn