PIX基本配置-1.docx

CLI PIX防火墙支持基于Cisco IOS的命令集，并提供了4种管理访问模式：●非特权模式（用户模式）；●特权模式；●配置模式；●监控模式。在每种模式下，可以把命令缩写成最少但唯一的字符串。如，可以输入write t来查看配置信息，输入co t代替configure terminal，进入配置模式。在PIX防火墙命令行中可以获得帮助信息，输入help或？能够列出所有的命令。如果在一个命令后面输入？，会列出这个命令的说明和语法。如果在一个命令的前面输入help，会列出这个命令的语法和说明。另外，在命令行中可以只输入命令本身，然后回车，可以查看这个命令的语法。和Cisco IOS路由器相比，在PIX防火墙CLI环境的配置模式下可以执行所有的功能，不必从配置模式退出来，就可以列出正在运行的和当前保存的配置，可以使用所有的show和debug命令。1、基本命令通过enable命令进入特权模式。命令enable语法是：enable [priv_level]enable password pw [level priv_level] [encrypted]★priv_level－特权级别，从0到15；★pw－大小写敏感的密码，长度为3到16个数字或字母；★encrypted－指明输入的密码为加密后的值。（即使密码是空的，也会被转换成加密字符串）命令enable password可以设置特权模式下的密码。创建密码后，无法再看到这个密码，命令show enable password命令列出密码的加密形式。经过加密的密码，不能回复成明文。使用configure terminal从特权模式变为配置模式。使用exit或者quit退出。命令hostname可以改变提示符中的主机名。缺省的主机名是pixfirewall。二、配置PIX防火墙在配置模式下输入setup，进入配置对话框模式。设置对话框的目的是对PIX防火墙进行预先配置，以便能够和PIX设备管理器（PDM）进行通信。PDM是一个GUI工具，用来配置和监控PIX防火墙。除了个别命令不能支持（都是很少使用的命令），PDM提供了一个友好的界面，足够用来配置和管理单个PIX防火墙。1、查看与保存配置命令show running-config可以把PIX防火墙RAM中当前配置显示在终端上，也可以使用write terminal来显示当前配置。命令write memory把当前正在运行的配置保存到闪存中，当配置写到闪存中后，可以通过命令show startup-config或show configure来查看。show history可以显示出以前输入的命令。2、命令write erase与tftp-server命令write erase可以清除闪存中的配置。命令tftp-server用来指定TFTP服务器的IP地址，可以使用该服务器把PIX防火墙的配置发布到PIX防火墙。使用tftp-server和configure net可以从配置中读信息，命令write net可以把配置信息保存到指定的文件中。命令configure net和write net的IP地址后面跟的是命令tftp-server中的路径名。命令tftp-server中指定文件或路径名越详细，命令configure net和write net需要指定的内容就越少。如果tftp-server命令中指定了完整的路径名和文件名，configure net和write net命令中的IP地址可以用冒号（：）来代替。命令no tftp-server禁止访问服务器，而命令clear tftp-server把tftp-server命令从配置文件中删除。命令show tftp-server列出当前配置文件中tftp-server命令语句。命令tftp-server语法如下：tftp-server [if-name] ip_address path★if-name－TFTP服务器驻留的接口名称。如果没有指定，缺省使用内部接口。如果指定了外部接口，一个警告信息会提示外部接口不安全；★ip_address－TFTP服务器的IP地址或网络；★path－配置文件的路径和文件名。路径的格式和服务器操作系统上使用的格式不同。路径信息直接送到服务器，不会进行理解或检查。TFTP服务器上必须有配置文件。许多TFTP服务器要求配置文件是全球－可写（world-writable）和全球－可读（world-readable）PIX防火墙只支持一台TFTP服务器。如果删除了配置文件，要想让PIX防火墙从TFTP服务器上读一个新的配置文件，必须重新启动和TFTP服务器相连的PIX防火墙的接口，并给它设置IP地址。3、命令write net与configure net命令write