PIX515防火墙,测试常用配置笔记.docxVIP

PIX515防火墙,测试常用配置笔记??1.开始进入：pix515 enablePassword:pix515#改名字：pixfirewall# conf tpixfirewall(config)# hostname pix515pix515(config)# domain-name pix515(config)#2.设置telnet登录的口令pix515(config)# password 123456设置特权口令：pix515(config)# enable password 1234563.激活接口pix515# conf tpix515(config)# interface inside ?Usage: interface hardware_id [hw_speed [shutdown]][no] interface hardware_id vlan_id [logical|physical] [shutdown]interface hardware_id change-vlan old_vlan_id new_vlan_idshow interfacepix515(config)# interface ethernet0 autopix515(config)# interface ethernet1 auto4. 命名端口与安全级别采用命令nameifpix515(config)#nameif ethernet0 outside security0pix515(config)#nameif ethernet0 outside security100security0是外部端口outside的安全级别（0安全级别最高）security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz(demilitarized zones非武装区域)。5.设置内部及外部地址：pix515(config)# ip address inside pix515(config)# ip address outside 6. 配置远程访问[telnet]在默然情况下，pix的以太端口是不允许telnet的，这一点与路由器有区别。inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。pix515(config)# telnet insidepix515(config)# telnet outside7.设置上网：pix515(config)# global (outside) 1 11 netmask Global 11 will be Port Address Translatedpix515(config)# global (outside) 1 50 - 00 netmask Global 50 will be Port Address Translatedpix515(config)# nat (inside) 1 pix515(config)# nat (inside) 1 表允许全部上网8.下面这句允许pingpix515(config)#conduit permit icmp any any9.PAT映射现内部有一台机器1是一台FREEBSD系统，想用SSH服务pix515(config)# static (inside,outside) tcp 11 22 1 22 netmask 55 0 0定义外部允许访问内部主机的服务pix515(config)# conduit permit tcp host 11 eqssh anyconduit permit tcp host 公网IP eqssh信任IP 55 (这种写法，是信任某个IP）10. dhcp server在内部网络，为了维护的集中管理和充分利用有限ip地址，都会启用动态主机分配ip地址服务器（dhcp server），cisco firewall pix都具有这种功能，下面简单配置dhcp server,地址段为00—.200dns: 主 备23主域名称：dhcp client 通过pix firewallpix515(config)#ip address dhcpdhcp server配置pix515(config)#dhcpd enable inside （开启内网DHCP服务器）pix515(config)#dhcpdauto_config outside（自动配置外网DHCP服务参数）pix515(config)#dhcpd address 50-00 inside （内网DHCP分配的IP地址范