|
下面介绍配置PIX防火墙的6个基本命令:nameif、interface、ip address、nat、global和route。
|
|
|
配置防火墙接口的名字,并指定安全级别(nameif)
|
|
|
|
提示:在默认配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100。安全级别的取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句如下所示。
|
|
|
|
|
|
|
|
|
提示:PIX525防火墙在外网的IP地址是61.144.51.42,内网的IP地址是192.168.0.1。
|
|
|
|
网络地址翻译(nat)的作用是将内网的私有IP转换为外网的公有IP。nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
|
|
|
|
|
其中(if_name)表示内网接口名字;nat_id用来标识全局地址池,使它与其相应的global命令相匹配;local_ip表示内网被分配的IP地址。例如0.0.0.0表示内网所有主机可以对外访问。
|
|
|
|
|
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0。
|
|
|
|
|
表示只有172.16.5.0这个网段内的主机可以访问外网。
|
|
|
|
global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。
|
|
|
|
|
其中(if_name)表示外网接口名字;nat_id用来标识全局地址池,使它与其相应的nat命令相匹配;ip_address-ip_address表示翻译后的单个IP地址或一段IP地址的范围。
|
|
|
|
|
表示内网的主机通过PIX防火墙要访问外网时,PIX防火墙将使用61.144.51.42-61.144.51.48这段IP地址池为要访问外网的主机分配一个全局IP地址。
|
|
|
|
|
表示内网要访问外网时,PIX防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一IP地址。
|
|
|
|
|
|
|
|
|
|
其中(if_name)表示接口名字,例如inside和outside;gateway_ip表示网关路由器的IP地址;number表示到gateway_ip的跳数,通常默认是1。
|
|
|
|
|
表示一条指向边界路由器(IP地址为61.144.51.168)的默认路由。
|
|
|
|
|
如果内部网络只有一个网段,按照例1那样设置一条默认路由即可;如果内部存在多个网络,就需要配置一条以上的静态路由。例2表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一条路由器IP地址是172.16.0.1。
|
|
|