思科PIX防火墙设置详解

核心提示： PIX1(config)# route outside 0 0 1.1.1.254PIX1(config)#当然，PIX防火墙也支持动态路由协议(如RIP和OSPF协议)，思科PIX防火墙设置详解(4)，现在，我们接着介绍一些更高级的设置，如果你没有使用这个命令，当关闭PIX防火墙电源的时

PIX1(config)# route outside 0 0 1.1.1.254

PIX1(config)#

当然，PIX防火墙也支持动态路由协议(如RIP和OSPF协议)。

现在，我们接着介绍一些更高级的设置。

网络地址解析

由于我们有IP地址连接，我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用一种称作“PAT”或者“NAT Overload”的网络地址解析。这样，所有内部设备都可以共享一个公共的IP地址(PIX防火墙的外部IP地址)。要做到这一点，请输入这些命令:

PIX1(config)# nat (inside) 1 10.0.0.0 255.0.0.0

PIX1(config)# global (outside) 1 1.1.1.2

Global 1.1.1.2 will be Port Address Translated

PIX1(config)#

使用这些命令之后，全部内部客户机都可以连接到公共网络的设备和共享IP地址1.1.1.2。然而，客户机到目前为止还没有任何规则允许他们这样做。

防火墙规则

这些在内部网络的客户机有一个网络地址解析。但是，这并不意味着允许他们访问。他们现在需要一个允许他们访问外部网络(互连网)的规则。这个规则还将允许返回的通信。

要制定一个允许这些客户机访问端口80的规则，你可以输入如下命令:

PIX1(config)# access-list outbound permit tcp 10.0.0.0 255.0.0.0 any eq 80

PIX1(config)# access-group outbound in interface inside

PIX1(config)#

注意:与路由器访问列表不同，PIX访问列表使用一种正常的子网掩码，而不是一种通配符的子网掩码。

使用这个访问列表，你就限制了内部主机访问仅在外部网络的Web服务器(路由器)。

显示和存储设置结果

现在你已经完成了PIX防火墙的设置。你可以使用显示命令显示你的设置。

确认你使用写入内存或者“wr m”命令存储你的设置。如果你没有使用这个命令，当关闭PIX防火墙电源的时候，你的设置就会丢失。