Pix配制文档
下面是pix防火墙的一些基本配制命令:
Nameif-------------给每个边界接口分配一个名字,并指定安全级别
Interface-----------配制每个边界接口的类型和能力
Ip address---------给每个接口分配ip地址
Nat----------------对外部网络隐藏内网ip地址
Global------------使用一个ip地址池对外部网络隐藏内网ip地址
Router------------为一个接口定义一个静态或缺省路由

命名nameif
命名nameif给pix防火墙每个边界物理或逻辑接口分配一个名字,并指定他们的安全级别.命令nameif的语法是:
Nameif  hardware_id  interface security_level
Clear nameif
Show nameif
对nameif 的参数进行说明:
Hardware_id:指定边界接口和他在pix防火墙中的插槽位置.这儿有三种可以输入的接口:以太网,FDDI,和令牌环.每个接口的名称由两部分 组成:一部分是基于接口类型的字母,另一部分是给他分配的序号.例如,以太网接口可以用e0,e1,e2来表示.FDDI接口可可以用 FDDI1,FDDI2,FDDI3等来表示,令牌环接口可以用token-ring1,token-ring2,token-ring3等来表示
Interface:对边界接口进行描述
security_level:指明边界接口的安全级别,有效范围是1-99
eg:
nameif e2 dmz sec50
nameif e0 outside sec 0
nameif e1 inside sec 100


命名interface
命令interface指明硬件,设置硬件的速率,启动接口.
Interface命令的语法是:
Interface hardware_id [hardware_speed] [shutdown]
命令解释:
Hardware_id:指定接口和他在pix防火墙中的糙位号
Hardware_speed:指定连接速率,可能的以太网值有:
              10baset----设置成10Mbit/s以太网半双工通信
              10full------设置成10Mbit/s以太网全双工通信
              100basetx: 设置成100Mbit/s以太网半双工通信
              100full----设置成100Mbit/s以太网全双工通信
              1000sxfull:设置成1000Mbit/s吉比特以太网全双工通信
              1000ba***:设置成1000Mbit/s吉比特以太网半双工通信
              1000auto:设置成1000Mbit/s吉比特以太网自动协商全双工或半双工.
              Aui---------:把附加单元接口(aui)电缆接口设置成10Mbit/s以太网半双工通信
Auto--------设置成以太网速率自适应模式.只能在10/100速率自适应NIC上使用auto关键字
Bnc---------把bnc电缆接口设置成10Mbit/s以太网半双工通信模式
4Mbit/s----4Mbit/s的数据传输模式,可以指定为4
16Mbit/s---(缺省值)16Mbit/s的数据传输速率,可以指定为16
Eg:
Interface e0 100full


命令ip address
在pix每个接口上分配一个ip address 的命令使其连接网络,对那些没有使用的接口来说,pix防火墙会分配一个127.0.0.1(本地主机地址)地址和255.255.255.255的子网掩码给每个端口,
语法:
Ip address inside ip_address netmask
Ip address outside ip_address netmask
Eg:
Ip address inside 192.168.1.1 255.255.255.0



Nat命令
网络地址转换(nat)可以将防火墙后面的内部ip地址对外隐藏起来,nat是通过转发数据包到外部网络之前,将全球不唯一的内部ip地址转换成全球公认 的ip地址来完成这个任务.在pix防火墙中使用nat和global命令来执行nat.使用nat和global命令让用户的高安全级别的端口访问低安 全级别的端口,低安全级别的端口访问高安全级别的端口可以使用access-list命令来配制.
语法:
nat [(if_name)]nat_id address [netmask]
说明:
if_name::接口的名称,对该接口连接的网络进行地址转换. 指outside,inside,dmz.
nat_id:一个大于0的数字,该数字用来指定你想用于动态地址转换的全局地址池.有时可能会不想把通过pix防火墙的数据包进行地址转换(例如当 pix防火墙位于另外一个nat设备后面时),这种情况下,你就可以使用nat 0命令来配制pix防火墙,使pix防火墙不对通过他的数据包进行地址转换.
Eg:
Nat  (inside) 1 0 0
0 0 是指允许所有的主机进行地址转换.,例如,如果只让192.168.4.200地址的主机在dm2口上进行地址转换则可看如下配制:nat(dm2) 1 192.168.4.200 255.255.255.255
其中的1是nat的id号,要与global命令中的nat id相匹配.

Global命令
当某台内部主机通过防火墙访问外部网络时,你可以使用global命令和nat命令,来为这台主机分配一个注册或公共ip地址.如果使用了nat命令就必须使用global命令来来定义用于转换的