cisco PIX501初级配置

cisco PIX501初级配置

刚刚试着配好一个学校的防火墙（Cisco PIX501）,弄出配置文件分析一下，加深一下印象。学校以前采用ADSL拨号方式，由于北方网通ADSL不能做共享了，换成了固定IP，不过也要通过“猫”，只不过不用拨号了。。

刚开始想在ＰＤＭ里关掉ＰＰＯＥ服务，改成固定ＩＰ。但想了想，以前的配置文件 wr erase不想用，以前看了这么长时间的书，超简单的防火墙不可能配不起来的，因为只需配置主要的两种服务就行，DHCP服务器，NAT和PAT。（入侵检测，分割隧道还不太懂，也没配。）

内网网卡，外网网卡，接口类型，按自身条件而定。

: Written by enable_15 at 19:19:51.850 UTC Thu Jan 11 2007 PIX Version 6.3(4) ------ PIX当前的*作系统版本为6.3

interface ethernet0 auto ------ 外网网卡类型自适应

interface ethernet1 100full ------ 内网网卡定义为100full nameif ethernet0 outside security0

nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口 enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted ------ pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为cisco hostname hepingpix ------ 主机名称为hepingpix

domain-name http://doc.guandang.net ------ 本地的一个域名服务器http://doc.guandang.net，通常用作为外部访问

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060 ------ 当前启用的一些服务或协议，注意rsh服务是不能改变端口号的

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

pager lines 24 ------每24行一分页

mtu outside 1500

mtu inside 1500 ------以太网标准的MTU长度为1500字节

ip address outside 121.17. * . * 255.255.255.0 ----- pix外网的ip地址ip address inside 192.168.0.1 255.255.255.0 ------pix内网的ip地址 ip audit info action alarm

ip audit attack action alarm ----- pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。

pdm history enable ------PIX设备管理器可以图形化的监视

arp timeout 14400 ------ arp表的超时时间

global (outside) 1 interface ------ 如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个 （121.17.46.6）

nat (inside) 1 192.168.0.0 255.255.255.0 0 0 ------我不知道怎么解释，就叫nat。

route outside 0.0.0.0 0.0.0.0 121.17. * .1 ------ 这里我就直接说外部网关。（书上解释说是下一路由的IP地址，我一下子就晕了，网通的路由我哪知道IP地址，由于脑袋反应慢了点，晕了老半天才想通是网关。）

timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute ------ AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全 aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http 192.168.0.10 255.255.255.255 inside

no snmp-server location

no snmp-server contact

snmp-server community public ------ 由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人

no snmp-server enable traps ------ 发送snmp陷阱

floodguard enable ------ 防止有人伪造大量认证请求，将pix的AAA资源用完

telnet 121.17.46.0 255.255.255.0 outside

telnet 192.168.0.0 255.255.255.0 inside ------内网telnet地址段 telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 192.168.0.10-192.168.0.200 inside ------dhcp服务地址

池

dhcpd dns 202.99.160.68 202.99.166.4 ------DNS解析 dhcpd lease 3600 ------dhcp占用时间

dhcpd ping_timeout 750

terminal width 80

Cryptochecksum:d91481fa826a6b5f6f2c67d51fdce59b