零起点配置PIX防火墙 六大基本命令1

上一篇文章我们介绍了PIX的概述和外观以及工作模式和工作区域，下面闲话少说为大家马上呈现PIX的配置命令，读者跟着我理解了本文介绍的全部命令再结合一些基础的网络知识就可以自行配置PIX设备了。　　
　　配置PIX防火墙有六个基本命令：nameif，interface，ip address，nat，global，route。我们先掌握这六个基本命令，然后再学习更高级的配置语句。　　
　　配置防火墙接口的名字，并指定安全级别（nameif）：　　
　　Pix525(config)#nameif ethernet0 outside security0　　
　　设置以太网口1为外网接口，安全级别为0，安全系数最低。　　
　　Pix525(config)#nameif ethernet1 inside security100　　
　　设置以太网口2为内网接口，安全级别为100。安全系数最高。　　
　　Pix525(config)#nameif dmz security50　　
　　设置DMZ接口为停火区，安全级别50。安全系数居中。　　
　　在缺省配置中，以太网口0被命名为外部接口（outside），安全级别是0；以太网口1被命名为内部接口（inside），安全级别是100。安全级别取值范围为1到99，数字越大安全级别越高。若添加新的接口，语句可以这样写： Pix525(config)#nameif pix/intf3 security40，这句表示将PIX的3端口设置为安全级别40。
　配置以太口参数（interface）：　　
　　Pix525(config)#interface ethernet0 auto　　
　　设置以太接口0为AUTO模式，auto选项表明系统网卡速度工作模式等为自动适应，这样该接口会自动在10M/100M，单工/半双工/全双工直接切换。　　
　　Pix525(config)#interface ethernet1 100full　　
　　强制设置以太接口1为100Mbit/s全双工通信。　　
　　Pix525(config)#interface ethernet1 100full shutdown　　
　　关闭以太接口1，有的时候会临时将某接口关闭，阻止对该接口连接网段的访问，这时可以使用上面这个命令。shutdown选项表示关闭这个接口，若启用接口去掉shutdown。
　　　　小提示：　　
　　在节假日需要关闭停火区的服务器的服务时可以在PIX设备上使用interface dmz 100full shutdown,这样DMZ区会关闭对外服务。　　
　　配置内外网卡的IP地址（ip address）：　　
　　Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
　　　　设置外网接口为61.144.51.42，子网掩码为255.255.255.248。　　
　　Pix525(config)#ip address inside 192.168.0.1 255.255.255.0　　
　　设置内网接口为192.168.0.1,子网掩码为255.255.255.0。　　

　　有的读者可能会问为什么用的是outside和inside而没有使用ethernet1，ethernet0呢？其实这样写是为了方便我们配置，不容易出错误。只要我们通过nameif设置了各个接口的安全级别和接口类别，接口类别就代表了相应的端口，也就是说outside=ethernet0，

inside=ethernet1。　　
　　指定要进行转换的内部地址（nat）：　　
　　网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip，Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。
　　　　nat命令配置语法：nat (if_name) nat_id local_ip [netmark] 其中（if_name）表示内网接口名字，例如inside，Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。示例语句如下：　　
　　Pix525(config)#nat (inside) 1 0 0　　
　　启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0　　
　　Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0　　
　　设置只有172.16.5.0这个网段内的主机可以访问外网。　　
　　指定外部地址范围（global）：
　　　　global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中（if_name）表示外网接口名字，例如outside，Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。示例语句如下：　
　　Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48　　
　　设置内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。　　
　　Pix525(config)#global (outside) 1 61.144.51.42　　
　　设置内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。　　
　　Pix525(config)#no global (outside) 1 61.144.51.42　　
　　删除global中对61.144.51.42的宣告，也就是说数据包通过NAT向外传送时将不使用该IP，这个全局表项被删除。　　
　　设置指向内网和外网的静态路由（route）：
　　　　route命令定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip [metric] 其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。示例语句如下：　　
　　Pix525(config)#route outside 0 0 61.144.51.168 1
　　　　设置一条指向边界路由器（ip地址61.144.51.168）的缺
省路由。
　　　　Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
　　　　设置一条指向内部的路由。　　
　　Pix525(config)#route inside 10.2.0.0 255.255.0.

0 172.16.0.1 1　　
　　设置另一条指向内部的路由。　　
今天我们来介绍pix防火墙的一些高级配置。　　
　　配置静态IP地址翻译（static）：　　
　　如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。　　
　　static命令配置语法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address，其中internal_if_name表示内部网络接口，安全级别较高。如inside.。external_if_name为外部网络接口，安全级别较低，如outside等。　　
　　outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。 示例语句如下：　　
　　Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8　　
　　ip地址为192.168.0.8的主机，对于通过pix防火墙建立的每个会话，都被翻译成61.144.51.62这个全局地址，也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。PIX将把192.168.0.8映射为61.144.51.62以便NAT更好的工作。　　
　　小提示：　　
　　使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。　　
　　管道命令（conduit）：　　
　　使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的入方向的会话。　　
　　对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。说得通俗一点管道命令（conduit）就相当于以往CISCO设备的访问控制列表（ACL）。　　
　　conduit命令配置语法：　　
　　conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask]，其中permit|deny为允许|拒绝访问，global_ip指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。　　
　　port指的是服务所作用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议，比如：TCP、UDP、ICMP等。foreign_
ip表示可访问global_ip的外部ip。对于任意主机可以用any表示。如果foreign_ip是一台主机，就用host命令参数。示例语句如下：　　
　　Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any　　

表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp就是指允许或拒绝只对ftp的访问。　　
　　Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
　　
　　设置不允许外部主机61.144.51.89对任何全局地址进行ftp访问。　　
　　Pix525(config)#conduit permit icmp any any　　
　　设置允许icmp消息向内部和外部通过。　　
　　Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any　　
　　这两句是将static和conduit语句结合而生效的，192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射把内部IP192.168.0.3转换为全局IP61.144.51.62，然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。　　
　　小提示：　　
　　对于上面的情况不使用conduit语句设置容许访问规则是不可以的，因为默认情况下PIX不容许数据包主动从低安全级别的端口流向高安全级别的端口。　　
　　配置fixup协议：　　
　　fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。示例例子如下：　　
　　Pix525(config)#fixup protocol ftp 21　　
　　启用ftp协议，并指定ftp的端口号为21　　
　　Pix525(config)#fixup protocol http 80
　　Pix525(config)#fixup protocol http 1080
　　　　为http协议指定80和1080两个端口。
　　　　Pix525(config)#no fixup protocol smtp 80
　　　　禁用smtp协议。
　　
　　设置telnet：　　
　　在pix5.0之前只能从内部网络上的主机通过telnet访问pix。在pix 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSH client从外部telnet到PIX防火墙。　　
　　我们可以使用telnet语句管理登录PIX的权限，telnet配置语法：telnet local_ip [netmask] local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。也就是说默认情况下只有通过console口才能配置PIX防火墙。　　
　　小提示：
　　

　　由于管理PIX具有一定的危险性，需要的安全级别非常高，所以不建议大家开放提供外网IP的telnet管理PIX的功能。如果实际情况一定要通过外网IP管理PIX则使用SSH加密手段来完成。


CISCO PIX防火墙系统管理 出处：互联网使用Telnet进行远程系统管理（Us

ing Telnet for Remote System Management） IDS系统日志信息（IDS Syslog Messages） 使用DHCP（Using DHCP） 使用SNMP（Using SNMP） 使用SSH（Using SSH） 一、使用Telnet进行远程系统管理（Using Telnetfor Remote System Management）在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。 串行控制台让单一用户配置PIX防火墙，但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后，您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容： ? 配置Telnet控制台访问（Configuring Telnet Console Access） ? 测试Telnet访问（Testing Telnet Access） ? 保护外部接口上的Telnet连接（Securing a Telnet Connection on the Outside Interface） ? Trace Channel特性（Trace Channel Feature） (一)、配置Telnet控制台访问（Configuring Telnet Console Access） 按照以下步骤来配置Telnet控制台访问： 步骤1 使用PIX防火墙telnet命令。例如，如想让一台位于内部接口之上、 地址为192.168.1.2的主机访问PIX防火墙，就输入以下命令。 telnet 192.168.1.2 255.255.255.255 inside 如果设置了IPSec，您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见"保护外部接口上的Telnet连接（Securinga Telnet Connection on the Outside Interface）"部分。使用如下命令。telnet 209.165.200.225 225.255.225.224 outside 步骤2 如需要，可对PIX防火墙在断开一个Telnet会话前，该会话可闲置的时间长度进行设置。默认值5分钟对大多数情况来说过短，需予以延 长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时间。telnet timeout 15; 步骤3 如果您想用认证服务器来保护到控制台的访问，您可使用aaa authentication telnet console命令，它需要您在验证服务器上有一个用户名和口令。当您访问控制台时，PIX防火墙提示您提供这些登录条件。如果验证服务器离线，您仍可使用用户名pix和由enable password命令设置的口令访问控制台。 步骤4 用write memory命令保存配置中的命令 　(二)、测试Telnet访问（Testing Telnet Access） 　执行以下步骤来测试Telnet访问： 步骤1 从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正使用Windows 95或Windows NT，点击Start>Run来启动Telnet会话。例如， 如果内部接口
IP地址是192.168.1.1，输入以下命令。telnet 192.168.1.1 步骤2 PIX防火墙提示您输入口令： PIX passwd: 输入cisco，然后按Enter键。您即登录到PIX防火墙上了。 默认口令为cisco，您可用passwd命令来更改它。 您可在Telnet

控制台上输入任意您可从串行控制台上设置的命令，但如果您重启PIX防火墙，您将需在其重启动后登录PIX防火墙。 一些Telnet应用，如Windows 95或Windows NT Telnet会话可能不支持通过箭头键使用的PIX防火墙命令历史记录特性。然而，您可按Ctrl-P来获取最近输入的命令。 步骤3 一旦您建立了Telnet访问，您可能想在纠错时浏览ping（探查）信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响，这将在"Trace Channel特性（Trace Channel Feature）"中详述。 成功的ping信息如下： Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1 Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23 步骤4 此外，您可使用Telnet控制台会话来浏览系统日志信息： a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下使用PIX防火墙，您可能希望使用logging buffered 7命令唇?信息存储在您可用show logging命令浏览的缓存中，还可用clear logging命令清理缓存以便更方便地浏览。如想停止缓存信息，使用no logging buffered命令。 您也可将数目从7降至较小值，如3，以限制所显示的信息数。b. 如果您输入logging monitor命令，然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示，使用terminal no monitor命令。 例1给出了使用Telnet允许主机访问PIX防火墙控制台的命令。 例1 使用Telnet telnet 10.1.1.11 255.255.255.255 telnet 192.168.3.0 255.255.255.0 第一个telnet命令允许单一主机，10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。 第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。然而，Telnet只允许16台主机同时访问PIX防火墙控制台。 　　(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface) 本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容： ? 概述（Overview） ? 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client) ? 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 概述（Overview） 如果您正使用Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client
1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。 有关此命令的具体信息，请参见

《Cisco PIX防火墙命令参考》中telnet命令页。 您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接，另一个保护您到内部网络的连接。 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client) 本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行 步骤1 创建一个access-list命令语句，定义需从PIX防火墙到使用来自 本地虚拟地址池中目的地址的VPN客户机而进行保护的流量access -list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0 步骤2 定义哪台主机可用Telnet访问PIX防火墙控制台： telnet 10.1.2.0 255.255.255.0 outside 从本地池和外部接口指定VPN客户机的地址。 步骤3 在VPN客户机中，创建一个安全策略，将远程方身份识别IP地址与网关IP地址定义为相同--PIX防火墙外部接口的IP地址。在此例中，PIX防火墙的外部IP地址为168.20.1.5。 步骤4 配置VPN客户机上的其它安全策略，以与PIX防火墙的安全策略相配。 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。 定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。 telnet 10.1.2.0 255.255.255.0 outside (四)、Trace Channel特性（Trace Channel Feature） debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。 如果一个debug命令不使用Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不使用Trace Channel的会话的输出是禁用的。 Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只使用PIX防火墙串行控制台： o 如果您仅使用PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。 o 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。 o 如果您有2个或更多Telnet控制台会话，则第
一个会话是Trace Channel。如果那一会话关闭，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。 debug 命令在所有Telnet和串行控制台会话间共享。 注意 Trace Channel特性的缺点是

，如果一位管理员正使用串行控制台，另一管理员启动一个Telnet控制台会话，则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外，Telnet控制台会话上的管理员将突然看到debug命令的输出，这可能是其不希望出现的局面。如果您正使用串行控制台，且未出现debug命令的输出 ，使用who命令来查看是否有Telnet控制台会话正在运行。
思科PIX防火墙设置详解(1)

在本期应用指南中，管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。
假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说，这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后，这个设置就很容易了。 下面，让我们看看如何进行设置。
思科PIX防火墙的基础
思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙，也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中，我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。
PIX防火墙有内部和外部接口的概念。内部接口是内部的，通常是专用的网络。外部接口是外部的，通常是公共的网络。你要设法保护内部网络不受外部网络的影响。
PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级，并且声称如果没有规则许可，任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”，这个内部接口的安全等级是“100”。
下面是显示“nameif”命令的输出情况:
pixfirewall# show nameif
nameif ethernet0 outside security0
nameif ethernet1 inside security100
pixfirewall#

请注意，ethernet0(以太网0)接口是外部接口(它的默认名字)，安全等级是0。另一方面，ethernet1(以太网1)接口是内部接口的名字(默认的)，安全等级是100。
指南
在开始设置之前，你的老板已经给了你一些需要遵守的指南。这些指南是:
·所有的口令应该设置为“思科”(实际上，除了思科之外，你可设置为任意的口令)。
·内部网络是10.0.0.0，拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。
·外部网络是1.1.1.0，拥有一个255.0.0.0的子网掩码。这个
PIX防火墙的外部IP地址应该是1.1.1.1。
·你要创建一个规则允许所有在10.0.0.0网络上的客户做端口地址解析并且连接到外部网络。他们将全部共享全球IP地址1.1.1.2。
·然而，客户只能访问端口80(网络浏览)。
·用于外部(互联网)网络

的默认路由是1.1.1.254。设置
当你第一次启动PIX防火墙的时候，你应该看到一个这样的屏幕显示:
　
你将根据提示回答“是”或者“否”来决定是否根据这个互动提示来设置PIX防火墙。对这个问题回答“否”，因为你要学习如何真正地设置防火墙，而不仅仅是回答一系列问题。
然后，你将看到这样一个提示符:pixfirewall>
在提示符的后面有一个大于号“>”，你处在PIX用户模式。使用en或者enable命令修改权限模式。在口令提示符下按下“enter”键。下面是一个例子:
pixfirewall> en
Password:
pixfirewall#
你现在拥有管理员模式，可以显示内容，但是，你必须进入通用设置模式来设置这个PIX防火墙。
现在让我们学习PIX防火墙的基本设置:
PIX防火墙的基本设置
我所说的基本设置包括三样事情:
·设置主机名
·设置口令(登录和启动)
·设置接口的IP地址
·启动接口
·设置一个默认的路由
在你做上述任何事情之前，你需要进入通用设置模式。要进入这种模式，你要键入:
pixfirewall# config t
pixfirewall(config)#
要设置主机名，使用主机名命令，像这样:
pixfirewall(config)# hostname PIX1
PIX1(config)#
意，提示符转变到你设置的名字。
下一步，把登录口令设置为“cisco”(思科)，像这样:
PIX1(config)# password cisco
PIX1(config)#
这是除了管理员之外获得访问PIX防火墙权限所需要的口令。
现在，设置启动模式口令，用于获得管理员模式访问。
PIX1(config)# enable password cisco
PIX1(config)#
现在，我们需要设置接口的IP地址和启动这些接口。同路由器一样，PIX没有接口设置模式的概念。要设置内部接口的IP地址，使用如下命令:
PIX1(config)# ip address inside 10.1.1.1 255.0.0.0
PIX1(config)#
现在，设置外部接口的IP地址:
PIX1(config)# ip address outside 1.1.1.1 255.255.255.0
PIX1(config)#
下一步，启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意，ethernet0接口是外部接口，它在PIX 501防火墙中只是一个10base-T接口。ethernet1接口是内部接口，是一个100Base-T接口。下面是启动这些接口的方法:
PIX1(config)# interface ethernet0 10baset
PIX1(config)# interface ethernet1 100full
PIX1(config)#

注意，你可以使用一个显示接口的命令，就在通用设置提示符命令行使用这个命令。
最后，让我们设置一个默认的路由，这样，发送到PIX防火墙的所有的通讯都会流向下一个上行路由器(我们被
分配的IP地址是1.1.1.254)。你可以这样做:
PIX1(config)# route outside 0 0 1.1.1.254
PIX1(config)#
当然，PIX防火墙也支持动态路由协议(如RIP和OSPF协议)。
现在，我们接着介绍一些更高级的设置。网络地址解析

由于我们有IP地址连接，我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用一种称作“PAT”或者“NAT Overload”的网络地址解析。这样，所有内部设备都可以共享一个公共的IP地址(PIX防火墙的外部IP地址)。要做到这一点，请输入这些命令:
PIX1(config)# nat (inside) 1 10.0.0.0 255.0.0.0
PIX1(config)# global (outside) 1 1.1.1.2
Global 1.1.1.2 will be Port Address Translated
PIX1(config)#

使用这些命令之后，全部内部客户机都可以连接到公共网络的设备和共享IP地址1.1.1.2。然而，客户机到目前为止还没有任何规则允许他们这样做。
防火墙规则
这些在内部网络的客户机有一个网络地址解析。但是，这并不意味着允许他们访问。他们现在需要一个允许他们访问外部网络(互连网)的规则。这个规则还将允许返回的通信。
要制定一个允许这些客户机访问端口80的规则，你可以输入如下命令:
PIX1(config)# access-list outbound permit tcp 10.0.0.0 255.0.0.0 any eq 80
PIX1(config)# access-group outbound in interface inside
PIX1(config)#

注意:与路由器访问列表不同，PIX访问列表使用一种正常的子网掩码，而不是一种通配符的子网掩码。
使用这个访问列表
，你就限制了内部主机访问仅在外部网络的Web服务器(路由器)。
显示和存储设置结果
现在你已经完成了PIX防火墙的设置。你可以使用显示命令显示你的设置。
确认你使用写入内存或者“wr m”命令存储你的设置。如果你没有使用这个命令，当关闭PIX防火墙电源的时候，你的设置就会丢失。

本文来源：https://www.bwwdw.com/article/up3e.html