详细配置Cisco PIX防火

　　任何企业安全策略的一个主要部分都是实现和防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并网络互访从而企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。在众多的企业级主流防火墙中，CiscoPIX防火墙是所有同类产品性能最好的一种。CiscoPIX系列防火墙目前有5种型号PIX506，515，520，525，535。其中PIX535是PIX500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的ISP等服务提供商。但是PIX特有的OS操作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过Web管理界面来进行网络管理，这样会给初学者带来不便。本文将通过实例介绍如何配置CiscoPIX防火墙。

　　在配置PIX防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：Ø内部区域(内网)。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的。Ø外部区域(外网)。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有的访问。Ø停火区(DMZ)。停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。

　　由于PIX535在企业级别不具有普遍性，因此下面主要说明PIX525在企业网络中的应用。

　　ping 192.168.0.1PIX防火墙提供4种管理访问模式：²非模式。PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall²模式。输入enable进入模式，可以改变当前配置。显示为pixfirewall#²配置模式。输入configureterminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#²模式。PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入模式。这里可以更新操作系统映象和口令恢复。显示为monitor

　　OK，这6个基本命令若理解了，就可以进入到pix防火墙的一些高级配置了。

　　D.设置telnettelnet有一个版本的变化。在pixOS5.0(pix操作系统的版本号)之前，只能从内部网络上的主机通过telnet访问pix。在pixOS5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供，也就是说用户必须配置pix来建立一条到另外一台pix，由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSHclient从外部telnet到PIX防火墙，PIX支持SSH1和SSH2，不过SSH1是免费软件，SSH2是商业软件。相比之下cisco由器的telnet就作的不怎么样了。telnet配置语法：telnetlocal_ip[netmask]local_ip表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。

　　说了这么多，下面给出一个配置实例供大家参考。

　　这个配置实例需要说明一下，pix防火墙直接摆在了与internet接口处，此处网络有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个命令也很有用，showintece查看端口状态，showstatic查看静态地址映射，showip查看接口ip地址，pingoutsideinsideip_address确定连通性。

　　本文只是对pix防火墙的基本配置做了相关描述，pix其他的一些功能例如AAA服务器，vpn等等限于篇幅，不再一一介绍。希望本文能够抛砖引玉，