高手进阶PIX防火墙校园网配置实例本篇文章为大家呈现某学校的PIX525配置实例，并为关键语句给出了详细注释。WelcometothePIXfirewallTypehelpor'?'foralistofavailablecommands.PIX525>enPassword:PIX525#shconfigSavedPIXVersion6.0(1)PIX当前的操作系统版本为6.0Nameifethernet0outsidesecurity0Nameifethernet1insidesecurity100显示目前pix只有2个接口Enablepassword7Y051HhCcoiRTSQZencryptedPassed7Y051HhCcoiRTSQZencryptedpix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet密码缺省为ciscoHostnamePIX525主机名称为PIX525Domain-name123.com本地的一个域名服务器123.com，通常用做外部访问Fixupprotocolftp21Fixupprotocolhttp80fixupprotocolh3231720fixupprotocolrsh514fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060当前启用的一些服务或协议，注意rsh服务是不能改变端口号。names解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表中为空。pagerlines24每24行一分页。interfaceethernet0autointerfaceethernet1auto设置两个网卡的类型为自适应。mtuoutside1500mtuinside1500以太网标准的MTU长度为1500字节。ipaddressoutside61.144.51.42255.255.255.248ipaddressinside192.168.0.1255.255.255.0pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1ipauditinfoactionalarmipauditattackactionalarmpix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。pdmhistoryenablePIX设备管理器可以图形化的监视PIXarptimeout14400arp表的超时时间global(outside)161.144.51.46如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个，也就是内部网络都使用61.144.51.46这个IP和外界通讯。nat(inside)10.0.0.00.0.0.000static(inside,outside)61.144.51.43192.168.0.8netmask255.255.255.25500conduitpermiticmpanyanyconduitpermittcphost61.144.51.43eqwwwanyconduitpermitudphost61.144.51.43eqdomainany用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口。routeoutside0.0.0.00.0.0.061.144.51.611外部网关61.144.51.61timeoutxlate3:00:00某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址。timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absoluteAAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证。aaa-serverTACACS+protocoltacacs+aaa-serverRADIUSprotocolradiusAAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全。nosnmp-serverlocationnosnmp-servercontactsnmp