硬件防火墙配置实例大全

思科pix防火墙配置实例大全在配置PIX防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：

内部区域（内网）：内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。

外部区域（外网）：外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

停火区（DMZ）：停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。

注意：2个接口的防火墙是没有停火区的。由于PIX535在企业级别不具有普遍性，因此下面主要说明PIX525在企业网络中的应用。PIX防火墙提供4种管理访问模式：

非特权模式。PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>

特权模式。输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#

配置模式。输入configureterminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#

监视模式。PIX防火墙在开机或重启过程中，按住Escape键或发送一个"Break"字符，进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>

配置PIX防火墙有6个基本命令：nameif，interface，ipaddress，nat，global，route.这些命令在配置PIX时是必须的。以下是配置的基本步骤：

1.配置防火墙接口的名字，并指定安全级别（nameif）。

Pix525(config)#nameifethernet0outsidesecurity0

Pix525(config)#nameifethernet1insidesecurity100

Pix525(config)#nameifdmzsecurity50

提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：

Pix525(config)#nameifpix/intf3security40（安全级别任取）2.配置以太口参数（interface）

Pix525(config)#interfaceethernet0auto

（auto选项表明系统自适应网卡类型）

Pix525(config)#interfaceethernet1100full

（100full选项表示100Mbit/s以太网全双工通信）

Pix525(config)#interfaceethernet1100fullshutdown（shutdown选项表示关闭这个接口，若启用接口去掉shutdown）3.配置内外网卡的IP地址（ipaddress）

Pix525(config)#ipaddressoutside248

Pix525(config)#ipaddressinside

很明显，Pix525防火墙在外网的ip地址是2，内网ip地址是例1.Pix525(config)#conduitpermittcphosteqwwwany

这个例子表示允许任何外部主机对全局地址的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eqftp就是指允许或拒绝只对ftp的访问。例2.Pix525(config)#conduitdenytcpanyeqftphost9

表示不允许外部主机9对任何全局地址进行ftp访问。例3.Pix525(config)#conduitpermiticmpanyany

表示允许icmp消息向内部和外部通过。例4.Pix525(config)#static(inside,outside)2

Pix525(config)#conduitpermittcphost2eqwwwany

这个例子说明static和conduit的关系。在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：－>2（全局），然后利用conduit命令允许任何外部主机对全局地址2进行http访问。C.配置fixup协议

fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：

例1．Pix525(config)#fixupprotocolftp21

启用ftp协议，并指定ftp的端口号为21

例2．Pix525(config)#fixupprotocolhttp80

Pix525(config)#fixupprotocolhttp1080

为http协议指定80和1080两个端口。

例3．Pix525(config)#nofixupprotocolsmtp80

禁用smtp协议。

D.设置telnettelnet有一个版本的变化。在pixOS5.0（pix*作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pixOS5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSHclient从外部telnet到PIX防火墙，PIX支持SSH1和SSH2，不过SSH1是免费软件，SSH2是商业软件。相比之下cisco路由器的telnet就做得不怎么样了。

telnet配置语法：telnetlocal_ip[netmask]local_ip

表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。说了这么多，下面给出一个配置实例供大家参考。WelcometothePIXfirewallTypehelpor'?'foralistofavailablecommands.

PIX525>en

Password:

PIX525#shconfig:

Saved:

PIXVersion6.0(1)PIX当前的*作系统版本为6.0

Nameifethernet0outsidesecurity0

Nameifethernet1insidesecurity100显示目前pix只有2个接口

Enablepassword7Y051HhCcoiRTSQZencrypted

Passed7Y051HhCcoiRTSQZencryptedpix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet密码缺省为cisco

HostnamePIX525主机名称为PIX525

Domain-name123.com本地的一个域名服务器123.com，通常用作为外部访问

Fixupprotocolftp21

Fixupprotocolhttp80

fixupprotocolh3231720

fixupprotocolrsh514

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060当前启用的一些服务或协议，注意rsh服务是不能改变端口号的

names解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空

pagerlines24每24行一分页

interfaceethernet0auto

interfaceethernet1auto设置两个网卡的类型为自适应

mtuoutside1500

mtuinside1500以太网标准的MTU长度为1500字节

ipaddressoutside248

ipaddressinsidepix外网的ip地址2，内网的ip地址

ipauditinfoactionalarm

ipauditattackactionalarmpix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。

pdmhistoryenablePIX设备管理器可以图形化的监视

PIXarptimeout14400arp表的超时时间

global(outside)16如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个

nat(inside)100

static(inside,outside)3netmask5500

conduitpermiticmpanyany

conduitpermittcphost3eqwwwany

conduitpermitudphost3eqdomainany用3这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口

routeoutside11外部网关1

timeoutxlate3:00:00某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址

timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00

timeoutuauth0:05:00absoluteAAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证

aaa-serverTACACS+protocoltacacs+

aaa-serverRADIUSprotocolradiusAAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全

nosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublic由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人

nosnmp-serverenabletraps发送snmp陷阱floodguardenable防止有人伪造大量认证请求，将pix的AAA资源用完

nosysoptroutednattelnettimeout5sshtimeout5使用ssh访问pix的超时时间

terminalwidth80Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7

PIX525#

PIX525#writememory将配置保存

上面这个配置实例需要说明一下，pix防火墙直接摆在了与internet接口处，此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办？你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，showinterface查看端口状态，showstatic查看静态地址映射，showip查看接口ip地址，pingoutside|insideip_address确定连通性。

PIX上实现VPN步骤

在PIX上防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务：一、为IPSec做准备为IPSec做准备涉及到确定详细的加密策略，包括确定我们要保护的主机和网络，选择一种认证方法，确定有关IPSec对等体的详细信息，确定我们所需的IPSec特性，并确认现有的访问控制列表允许IPSec数据流通过；

步骤1：根据对等体的数量和位置在IPSec对等体间确定一个IKE（IKE阶段1，或者主模式）策略；

步骤2：确定IPSec（IKE阶段2，或快捷模式）策略，包括IPSec对等体的细节信息，例如IP地址及IPSec变换集和模式；

步骤3：用"writeterminal"、"showisakmp"、"showisakmppolicy"、"showcryptomap"命令及其他"show"命令来检查当前的配置；

步骤4：确认在没有使用加密前网络能够正常工作，用"ping"命令并在加密前运行测试数据流来排除基本的路由故障；

步骤5：确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过，或者想要的数据流将可以被过滤出来。二、配置IKE配置IKE涉及到启用IKE（和isakmp是同义词），创建的配置；

步骤1：用"isakmpenable"命令来启用或关闭IKE；

步骤2：用"isakmppolicy"命令创建IKE策略；

步骤3：用"isakmpkey"命令和相关命令来配置预共享密钥；

步骤4：用"showisakmp[policy]"命令来验证IKE的配置。

三、配置IPSec

IPSec配置包括创建加密用访问控制列表，定义变换集，创建加密图条目，并将加密集应用到接口上去；

步骤1：用access-list命令来配置加密用访问控制列表；例如：access-listacl-name{permit|deny}protocolsrc_addrsrc_mask[operatorport[port]]dest_addrdest_mask[operatorprot[port]]

步骤2：用cryptoipsectransform-set命令配置变换集；例如：cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]3.步骤3：（任选）用cryptoipsecsecurity-associationlifetime命令来配置全局性的IPSec安全关联的生存期；

步骤4：用cryptomap命令来配置加密图；

步骤5：用interface命令和cryptomapmap-nameinterface应用到接口上；6.步骤6：用各种可用的show命令来验证IPSec的配置。

四、测试和验证IPSec

该任务涉及到使用"show"、"debug"和相关的命令来测试和验证IPSec加密工作是否正常，并为之排除故障。

样例：

PIX1的配置：

!configuretheIPaddressforeachPIXFirewallinterface

ipaddressoutside

ipaddressinside

ipaddressdmz

global(outside)10-54netmask

!createsaglobalpoollontheoutsideinterface,enablesNAT.

!windowsNTserver

static(inside,outside)0netmask

!CryptoaccesslistspecifilesbetweentheglobalandtheinsideserverbeindPIXFirewallsisencrypted,ThesourceanddestinationIPaddressaretheglobalIPaddressesofthestatics.

Access-list101permitiphost0host0

!TheconduitpermitICMPandwebaccessfortesting.

ConduitpermiticmpanyanyConduitpermittcphost0eqwwwany

routeoutside1

!EnableIPSectobypassaccesslitst,access,andconfuitrestrictions

syspotconnnectionpermitipsec

!Definesacryptomaptransformsettouseresp-des

cryptoipsectransform-setpix2esp-des

cryptomappeer210ipsec-isakmp!完全配置：ipaddressoutside94/*看电信给你的IP

ipaddressinside

!

global(outside)195-00

global(outside)101

nat(inside)100

static(inside,outside)030netmask5500

static(inside,outside)051netmask5500

conduitpermiticmpanyanyconduitpermittcphost03eqwwwany

conduitpermittcphost03eqftpany

conduitpermittcphost05eqsmtpany

conduitpermittcphost05eqpop3any

!

routeoutside931

routeinside4.指定要进行转换的内部地址（nat）

网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：

nat(if_name)nat_idlocal_ip[netmark]

其中（if_name）表示内网接口名字，例如inside。Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。例1．Pix525(config)#nat(inside)100

表示启用nat,内网的所有主机都可以访问外网，用0可以代表例2．Pix525(config)#nat(inside)1

表示只有这个网段内的主机可以访问外网。5.指定外部地址范围（global）global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。

Global命令的配置语法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中（if_name）表示外网接口名字，例如outside.。Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmarkglobal_mask]表示全局ip地址的网络掩码。例1．Pix525(config)#global(outside)12-8

表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用2-8这段ip地址池为要访问外网的主机分配一个全局ip地址。例2．Pix525(config)#global(outside)12表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用2这个单一ip地址。例3.Pix525(config)#noglobal(outside)12表示删除这个全局表项。6.设置指向内网和外网的静态路由（route）定义一条静态路由。

route命令配置语法：route(if_name)00gateway_ip[metric]

其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。例1．Pix525(config)#routeoutside00681

表示一条指向边界路由器（ip地址68）的缺省路由。例2．Pix525(config)#routeinside1

Pix525(config)#routeinside1

如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络的静态路由，静态路由的下一条路由器ip地址是。OK，这6个基本命令若理解了，就可以进入到pix防火墙的一些高级配置了。A.配置静态IP地址翻译（static）

如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。

static命令配置语法：

static(internal_if_name，external_if_name)outside_ip_addressinside_ip_address

其中internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name为外部网络接口，安全级别较低，如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ip_address为内部网络的本地ip地址。例1．Pix525(config)#static(inside,outside)2

表示ip地址为的主机，对于通过pix防火墙建立的每个会话，都被翻译成2这个全局地址，也可以理解成static命令创建了内部ip地址和外部ip地址2之间的静态映射。例2．Pix525(config)#static(inside,outside)例3．Pix525(config)#static(dmz,outside)

注释同例1。

通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。B.管道命令（conduit）

前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡。

conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。

conduit命令配置语法：

conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]

permit|deny允许|拒绝访问global_ip指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。

port指的是服务所作用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。

protocol指的是连接协议，比如：TCP、UDP、ICMP等。

foreign_ip表示可访问global_ip的外部ip。对于任意主机，可以用any表示。如果foreign_ip是一台主机，就用host命令参数。例1.Pix525(config)#conduitpermittcphosteqwwwany

这个例子表示允许任何外部主机对全局地址的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eqftp就是指允许或拒绝只对ftp的访问。例2.Pix525(config)#conduitdenytcpanyeqftphost9

表示不允许外部主机9对任何全局地址进行ftp访问。例3.Pix525(config)#conduitpermiticmpanyany

表示允许icmp消息向内部和外部通过。例4.Pix525(config)#static(inside,outside)2

Pix525(config)#conduitpermittcphost2eqwwwany

这个例子说明static和conduit的关系。在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：－>2（全局），然后利用conduit命令允许任何外部主机对全局地址2进行http访问。C.配置fixup协议

fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：

例1．Pix525(config)#fixupprotocolftp21

启用ftp协议，并指定ftp的端口号为21

例2．Pix525(config)#fixupprotocolhttp80

Pix525(config)#fixup为http协议指定80和1080两个端口。

例3．Pix525(config)#nofixupprotocolsmtp80

禁用smtp协议。

D.设置telnettelnet有一个版本的变化。在pixOS5.0（pix*作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pixOS5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSHclient从外部telnet到PIX防火墙，PIX支持SSH1和SSH2，不过SSH1是免费软件，SSH2是商业软件。相比之下cisco路由器的telnet就做得不怎么样了。

telnet配置语法：telnetlocal_ip[netmask]local_ip

表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。说了这么多，下面给出一个配置实例供大家参考。WelcometothePIXfirewallTypehelpor'?'foralistofavailablecommands.

PIX525>en

Password:

PIX525#shconfig:

Saved:

PIXVersion6.0(1)PIX当前的*作系统版本为6.0

Nameifethernet0outsidesecurity0

Nameifethernet1insidesecurity100显示目前pix只有2个接口

Enablepassword7Y051HhCcoiRTSQZencrypted

Passed7Y051HhCcoiRTSQZencryptedpix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet密码缺省为cisco

HostnamePIX525主机名称为PIX525

Domain-name123.com本地的一个域名服务器123.com，通常用作为外部访问

Fixupprotocolftp21

Fixupprotocolhttp80

fixupprotocolh3231720

fixupprotocolrsh514

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060当前启用的一些服务或协议，注意rsh服务是不能改变端口号的

names解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空

pagerlines24每24行一分页

interfaceethernet0auto

interfaceethernet1auto设置两个网卡的类型为自适应

mtuoutside1500

mtuinside1500以太网标准的MTU长度为1500字节

ipaddressoutside248

ipaddressinsidepix外网的ip地址2，内网的ip地址

ipauditinfoactionalarm

ipauditattackactionalarmpix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。

pdmhistoryenablePIX设备管理器可以图形化的监视

PIXarptimeout14400arp表的超时时间

global(outside)16如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个

nat(inside)100

static(inside,outside)3netmask5500

conduitpermiticmpanyany

conduitpermittcphost3eqwwwany

conduitpermitudphost3eqdomainany用3这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口

routeoutside11外部网关1

timeoutxlate3:00:00某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址

timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00

timeoutuauth0:05:00absoluteAAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证

aaa-serverTACACS+protocoltacacs+

aaa-serverRADIUSprotocolradiusAAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全

nosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublic由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人

nosnmp-serverenabletraps发送snmp陷阱floodguardenable防止有人伪造大量认证请求，将pix的AAA资源用完

nosysoptroutednattelnettimeout5sshtimeout5使用ssh访问pix的超时时间

terminalwidth80Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7

PIX525#

PIX525#writememory将配置保存

上面这个配置实例需要说明一下，pix防火墙直接摆在了与internet接口处，此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办？你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，showinterface查看端口状态，showstatic查看静态地址映射，showip查看接口ip地址，pingoutside|insideip_address确定连通性。二、华为防火墙配置实例:Loginauthentication

Password:

<quidway>sys

SystemView:returntoUserViewwithCtrl+Z.

[Quidway]discur

#

sysnameygc

#

firewallenable

#

nataddress-group1x.x.x.xx.x.x.x

#

interfaceAux0

#

interfaceEthernet0/0

ipaddressx.x.x.x40

natoutbound3001address-group1

natserverprotocoltcpglobalx.x.x.xwwwinsidewww

natserverprotocoltcpglobalx.x.x.xwwwinsidewww

natserverprotocoltcpglobalx.x.x.xwwwinside53www

natserverprotocoltcpglobalx.x.x.x5510inside545510

natserverprotocoltcpglobalx.x.x.x5530inside545530

natserverprotocoltcpglobalx.x.x.x5531inside545531

natserverprotocoltcpglobalx.x.x.x6000inside546000

natserverprotocoltcpglobalx.x.x.x3389inside533389

natserverprotocoltcpglobalx.x.x.x2433inside532433

natserverprotocoltcpglobalx.x.x.x3600inside543600

natserverprotocoltcpglobalx.x.x.x6605inside546605

natserverprotocoltcpglobalx.x.x.x3005inside543005

natserverprotocoltcpglobalx.x.x.x5550inside545550

natserverprotocoltcpglobalx.x.x.x35000inside54350

natserverprotocoltcpglobalx.x.x.x30000inside54300

natserverprotocoltcpglobalx.x.x.x2003inside542003

natserverprotocoltcpglobalx.x.x.xwwwinside54www

natserverprotocoltcpglobalx.x.x.x6005inside546005

natserverprotocoltcpglobalx.x.x.x2433inside492433

natserverprotocoltcpglobalx.x.x.x3389inside3389

natserverprotocoltcpglobal222.74.57.Xwwwinsidewww

natserverprotocoltcpglobal222.74.57.X3389inside3389

natserverprotocoltcpglobal222.74.57.Xftpinsideftp

natserverprotocoltcpglobalXanyinside23any

natserverprotocoltcpglobalx.x.x.x3389inside3389

natserverprotocoltcpglobalx.x.x.xftpinsideftp

#

interfaceEthernet0/1

ipaddress50

#

interfaceNULL0

#

aclnumber2001

rule0permitsource55

rule1deny

#

aclnumber3001

rule0permitipsource0

rule1permitipsource520

rule3permitipsource220

rule4permitipsource230

rule5permitipsource0

rule6permitipsource0

rule7permitipsource00

rule8permitipsource10

rule9permitipsource530

rule100denyip

#

iproute-static222.74.57.Xpreference60

#

user-interfacecon0

user-interfaceaux0

user-interfacevty04

userprivilegelevel3

setauthenticationpasswordcipherX1;8>_Y4.Q_Q=^Q`MAF4<1!!

#

returnquidway三、一个华为100F防火墙的配置案例#sysname100F#superpasswordlevel3cipher$&X(L_RH,.W].9_[>3,%'Q!!#firewallpacket-filterenablefirewallpacket-filterdefaultpermit#undoinsulate#firewallurl-filterhostenablefirewallurl-filterhostdefaultdenyfirewallwebdata-filterenable#firewallstatisticsystemenable#radiusschemesystem#domainsystem#local-useradminpasswordcipher$&X(L_RH,.W].9_[>3,%'Q!!service-typetelnetlevel3#aclnumber2000rule0permitsource55rule1deny#aclnumber3000rule0permitipsource55destination30rule1permitipsource55destination30rule2permitipsource55destination30rule3permitipsource55destination30rule4permitipsource55destination30rule5permitipsource55destination30aclnumber3001rule1denytcpdestination-porteq3217rule2denytcpdestination-porteq1025rule3denytcpdestination-porteq5554rule4denytcpdestination-porteq9996rule5denytcpdestination-porteq1068rule8denytcpdestination-porteq137rule9denyudpdestination-porteqnetbios-nsrule10denytcpdestination-porteq138rule11denyudpdestination-porteqnetbios-dgmrule12denytcpdestination-porteq139rule13denyudpdestination-porteqnetbios-ssnrule14denytcpdestination-porteq593rule16denytcpdestination-porteq5800rule17denytcpdestination-porteq5900rule19denytcpdestination-porteq445rule20denyudpdestination-porteq445rule21denyudpdestination-porteq1434rule22denytcpsource-porteq3217rule23denytcpsource-porteq1025rule24denytcpsource-porteq5554rule25denytcpsource-porteq9996rule26denytcpsource-porteq1068rule27denytcpsource-porteq135rule28denyudpsource-porteq135rule29denytcpsource-porteq137rule30denyudpsource-porteqnetbios-nsrule31denytcpsource-porteq138rule33denytcpsource-porteq139rule34denyudpsource-porteqnetbios-ssnrule35denytcpsource-porteq593rule36denytcpsource-porteq4444rule37denytcpsource-porteq5800rule38denytcpsource-porteq5900rule39denytcpsource-porteq8998rule42denyudpsource-porteq1434rule43permitip#interfaceAux0undodetectdsr-dtrasyncmodeflow#interfaceEthernet0/0descriptionto-FGLANipaddress00ipaddresssub#interfaceEthernet1/0#interfaceEthernet1/1#interfaceEthernet1/2descriptiondianxingipaddress548firewallpacket-filter3001inboundnatoutbound#interfaceNULL0#firewallzonelocalsetpriority100#firewallzonetrustaddinterfaceEthernet0/0setpriority85#firewallzoneuntrustaddinterfaceEthernet1/1addinterfaceEthernet1/2setpriority5#firewallzoneDMZsetpriority50#firewallinterzonelocaltrust#firewallinterzonelocaluntrust#firewallinterzonelocalDMZ#firewallinterzonetrustuntrust#firewallinterzonetrustDMZ#firewallinterzoneDMZuntrust#iproute-static4preference80#user-interfacecon0authentication-modepasswordsetauthenticationpasswordcipher$&X(L_RH,.W].9_[>3,%'Q!!user-interfaceaux0user-interfacevty04setauthenticationpasswordcipher$&X(L_RH,.W].9_[>3,%'Q!!#returnCiscoPIX防火墙配置实例摘要：本文讲述了作者第一次亲手接触CiscoPIX防火墙，总结了防火墙基本配置十个方面的内容。硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单地说是一种PC式的电脑主机加上闪存（Flash）和防火墙操作系统。它的硬件跟共控机差不多，都是属于能适合24小时工作的，外观造型也是相类似。闪存基本上跟路由器一样，都是那中EEPROM，操作系统跟CiscoIOS相似,都是命令行（Command）式。我第一次亲手那到的防火墙是CiscoFirewallPix525，是一种机架式标准（即能安装在标准的机柜里），有2U的高度，正面看跟Cisco路由器一样，只有一些指示灯，从背板看，有两个以太口（RJ-45网卡）,一个配置口（console）,2个USB,一个15针的Failover口，还有三个PCI扩展口。如何开始CiscoFirewallPix呢？我想应该是跟Cisco路由器使用差不多吧，于是用配置线从电脑的COM2连到PIX525的console口，进入PIX操作系统采用windows系统里的“超级终端”，通讯参数设置为默然。初始使用有一个初始化过程，主要设置：Date(日期)、time(时间)、hostname(主机名称)、insideipaddress(内部网卡IP地址)、domain(主域)等，如果以上设置正确，就能保存以上设置，也就建立了一个初始化设置了。进入Pix525采用超级用户(enable),默然密码为空，修改密码用passwd命令。一般情况下Firewall配置，我们需要做些什么呢？当时第一次接触我也不知道该做些什么，随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用，用于几个小时把几百面的英文书看完了，对命令的使用的知道了一点了，但是对如何配置PIX还是不大清楚该从何入手，我想现在只能去找cisco了,于是在下载了一些资料，边看边实践了PIX。防火墙是处网络系统里，因此它跟网络的结构密切相关，一般会涉及的有Route(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。下面我讲一下一般用到的最基本配置1、建立用户和修改密码跟CiscoIOS路由器基本一样。2、激活以太端口必须用enable进入，然后进入configure模式PIX525>enablePassword:PIX525#configtPIX525(config)#interfaceethernet0autoPIX525(config)#interfaceethernet1auto在默然情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。3、命名端口与安全级别采用命令nameifPIX525(config)#nameifethernet0outsidesecurity0PIX525(config)#nameifethernet0outsidesecurity100security0是外部端口outside的安全级别（0安全级别最高）security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(DemilitarizedZones非武装区域)。4、配置以太端口IP地址采用命令为：ipaddress如：内部网络为：外部网络为：PIX525(config)#ipaddressinsidePIX525(config)#ipaddressoutside5、配置远程访问[telnet]在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。