Cisco PIX 防火墙的基本配置
1. 同样是用一条串行电缆从电脑的 COM 口连到 Cisco PIX 525 防火墙的 console 口;
2. 开启所连电脑和防火墙的电源,进入 Windows 系统自带的 "终端 ",通讯参数可按系统默
然。进入防火墙初始化配置,在其中主要设置有: Date(日期 )、time( 时间 )、 hostname(主机
名称 )、inside ip address(内部网卡 IP 地址 )、domain(主域 )等,完成后也就建立了一个初始化
设置了。此时的提示符为: pix255> 。
3. 输入 enable 命令,进入 Pix 525 特权用户模式 ,默然密码为空。
如果要修改此特权用户模式密码, 则可用 enable password 命令,命令格式为: enable password
password [encrypted] ,这个密码必须大于 16 位。 Encrypted 选项是确定所加密码是否需要加
密。
4、定义以太端口: 先必须用 enable 命令进入特权用户模式, 然后输入 configure terminal ( 可
简称为 config t ),进入全局配置模式模式。具体配置
pix525>enable
Password:
pix525#config t
pix525 (config)#interface ethernet0 auto
pix525 (config)#interface ethernet1 auto
在默然情况下 ethernet0 是属外部网卡 outside, ethernet1 是属内部网卡 inside, inside 在初
始化配置成功的情况下已经被激活生效了,但是 outside 必须命令配置激活。
5. clock
配置时钟, 这也非常重要, 这主要是为防火墙的日志记录而资金积累的, 如果日志记录时间
和日期都不准确,也就无法正确分析记录中的信息。这须在全局配置模式下进行。
时钟设置命令格式有两种,主要是日期格式不同,分别为:
clock set hh:mm:ss month day month year 和 clock set hh:mm:ss day month year
前一种格式为:小时:分钟:秒 月 日年;而后一种格式为:小时:分钟:秒 日 月年,主
要在日、月份的前后顺序不同。在时间上如果为 0,可以为一位,如: 21:0:0。
6. 指定接口的安全级别
指定接口安全级别的命令为 nameif,分别为内、 外部网络接口指定一个适当的安全级别。 在
此要注意,防火墙是用来保护内部网络的, 外部网络是通过外部接口对内部网络构成威胁的,
所以要从根本上保障内部网络的安全, 需要对外部网络接口指定较高的安全级别, 而内部网
络接口的安全级别稍低,这主要是因为内部网络通信频繁、可信度高。在 Cisco PIX 系列防
火墙中,安全级别的定义是由 security()这个参数决定的,数字越小安全级别越高,所以
security0 是最高的,随后通常是以 10 的倍数递增,安全级别也相应降低。如下例:
pix525(config)#nameif ethernet0 outside security0 # outside 是指外部接口
pix525(config)#nameif ethernet1 inside security100 # inside 是指内部接口
7. 配置以太网接口 IP 地址