零起点配置PIX防火墙六大基本命令

来源：ChinaITLab 收集整理作者：出处：巧巧读书 2006-08-08 进入讨论组

　　上一篇文章我们介绍了PIX的概述和外观以及工作模式和工作区域，下面闲话少说为大家马上呈现PIX的配置命令，读者跟着我理解了本文介绍的全部命令再结合一些基础的网络知识就可以自行配置PIX设备了。
　　

　　配置PIX防火墙有六个基本命令：nameif，interface，ip address，nat，global，route。我们先掌握这六个基本命令，然后再学习更高级的配置语句。
　　
　　配置防火墙接口的名字，并指定安全级别（nameif）：
　　
　　Pix525(config)#nameif ethernet0 outside security0
　　
　　设置以太网口1为外网接口，安全级别为0，安全系数最低。
　　
　　Pix525(config)#nameif ethernet1 inside security100
　　
　　设置以太网口2为内网接口，安全级别为100。安全系数最高。
　　
　　Pix525(config)#nameif dmz security50
　　
　　设置DMZ接口为停火区，安全级别50。安全系数居中。
　　
　　在缺省配置中，以太网口0被命名为外部接口（outside），安全级别是0；以太网口1被命名为内部接口（inside），安全级别是100。安全级别取值范围为1到99，数字越大安全级别越高。若添加新的接口，语句可以这样写： Pix525(config)#nameif pix/intf3 security40，这句表示将PIX的3端口设置为安全级别40。
　　
　　配置以太口参数（interface）：
　　
　　Pix525(config)#interface ethernet0 auto
　　
　　设置以太接口0为AUTO模式，auto选项表明系统网卡速度工作模式等为自动适应，这样该接口会自动在10M/100M，单工/半双工/全双工直接切换。
　　
　　Pix525(config)#interface ethernet1 100full
　　
　　强制设置以太接口1为100Mbit/s全双工通信。
　　
　　Pix525(config)#interface ethernet1 100full shutdown
　　
　　关闭以太接口1，有的时候会临时将某接口关闭，阻止对该接口连接网段的访问，这时可以使用上面这个命令。shutdown选项表示关闭这个接口，若启用接口去掉shutdown。
　　
　　小提示：
　　
　　在节假日需要关闭停火区的服务器的服务时可以在PIX设备上使用interface dmz 100full shutdown,这样DMZ区会关闭对外服务。
　　
　　配置内外网卡的IP地址（ip address）：
　　
　　Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
　　
　　设置外网接口为61.144.51.42，子网掩码为255.255.255.248。
　　
　　Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
　　
　　设置内网接口为192.168.0.1,子网掩码为255.255.255.0。
　　
　　有的读者可能会问为什么用的是outside和inside而没有使用ethernet1，ethernet0呢？其实这样写是为了方便我们配置，不容易出错误。只要我们通过nameif设置了各个接口的安全级别和接口类别，接口类别就代表了相应的端口，也就是说outside=ethernet0，inside=ethernet1。
　　
　　指定要进行转换的内部地址（nat）：
　　
　　网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip，Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。
　　
　　nat命令配置语法：nat (if_name) nat_id local_ip [netmark] 其中（if_name）表示内网接口名字，例如inside，Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。示例语句如下：
　　
　　Pix525(config)#nat (inside) 1 0 0
　　
　　启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0
　　
　　Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
　　
　　设置只有172.16.5.0这个网段内的主机可以访问外网。
　　
　　指定外部地址范围（global）：
　　
　　global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中（if_name）表示外网接口名字，例如outside，Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。示例语句如下：
　　
　　Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
　　
　　设置内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
　　
　　Pix525(config)#global (outside) 1 61.144.51.42
　　
　　设置内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。
　　
　　Pix525(config)#no global (outside) 1 61.144.51.42
　　
　　删除global中对61.144.51.42的宣告，也就是说数据包通过NAT向外传送时将不使用该IP，这个全局表项被删除。
　　
　　设置指向内网和外网的静态路由（route）：
　　
　　route命令定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip [metric] 其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。示例语句如下：
　　
　　Pix525(config)#route outside 0 0 61.144.51.168 1
　　
　　设置一条指向边界路由器（ip地址61.144.51.168）的缺省路由。
　　
　　Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
　　
　　设置一条指向内部的路由。
　　
　　Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
　　
　　设置另一条指向内部的路由。
　　
　　总结：
　　
　　目前我们已经掌握了设置PIX的六大基本命令，通过这六个命令我们已经可以让PIX为我们的网络服务了。不过让网络运行还远远不够，我们要有效的利用网络，合理的管理网络，这时候就需要一些高级命令了。下一篇中我们会为大家讲解四个配置PIX的高级命令。