在本期應用指南中，管理員可以學到如何設置一個新的PIX防火墻。你將設置口令、IP地址、網絡地址解析和基本的防火墻規則。

　　假如你的老板交給你一個新的PIX防火墻。這個防火墻是從來沒有設置過的。他說，這個防火墻需要設置一些基本的IP地址、安全和一些基本的防火墻規則。你以前從來沒有使用過PIX防火墻。你如何進行這種設置?在閱讀完這篇文章之后，這個設置就很容易了。下面，讓我們看看如何進行設置。

　　思科PIX防火墻的基礎

　　思科PIX防火墻可以保護各種網絡。有用于小型家庭網絡的PIX防火墻，也有用于大型園區或者企業網絡的PIX防火墻。在本文的例子中，我們將設置一種PIX 501型防火墻。PIX 501是用于小型家庭網絡或者小企業的防火墻。

　　PIX防火墻有內部和外部接口的概念。內部接口是內部的，通常是專用的網絡。外部接口是外部的，通常是公共的網絡。你要設法保護內部網絡不受外部網絡的影響。

　　PIX防火墻還使用自適應性安全算法(ASA)。這種算法為接口分配安全等級，并且聲稱如果沒有規則許可，任何通信都不得從低等級接口(如外部接口)流向高等級接口(如內部接口)。這個外部接口的安全等級是“0”，這個內部接口的安全等級是“100”。

　　下面是顯示“nameif”命令的輸出情況:

　　pixfirewall# show nameif

　　nameif ethernet0 outside security0

　　nameif ethernet1 inside security100

　　pixfirewall#

　　請注意，ethernet0(以太網0)接口是外部接口(它的默認名字)，安全等級是0。另一方面，ethernet1(以太網1)接口是內部接口的名字(默認的)，安全等級是100。

　　指南

　　在開始設置之前，你的老板已經給了你一些需要遵守的指南。這些指南是:

　　·所有的口令應該設置為“思科”(實際上，除了思科之外，你可設置為任意的口令)。

　　·內部網絡是10.0.0.0，擁有一個255.0.0.0的子網掩碼。這個PIX防火墻的內部IP地址應該是10.1.1.1。

　　·外部網絡是1.1.1.0，擁有一個255.0.0.0的子網掩碼。這個PIX防火墻的外部IP地址應該是1.1.1.1。

　　·你要創建一個規則允許所有在10.0.0.0網絡上的客戶做端口地址解析并且連接到外部網絡。他們將全部共享全球IP地址1.1.1.2。

　　·然而，客戶只能訪問端口80(網絡瀏覽)。

　　·用于外部(互聯網)網絡的默認路由是1.1.1.254。

　　設置

　　當你第一次啟動PIX防火墻的時候，你應該看到一個這樣的屏幕顯示:

　　你將根據提示回答“是”或者“否”來決定是否根據這個互動提示來設置PIX防火墻。對這個問題回答“否”，因為你要學習如何真正地設置防火墻，而不僅僅是回答一系列問題。

　　然后，你將看到這樣一個提示符:pixfirewall>

　　在提示符的后面有一個大于號“>”，你處在PIX用戶模式。使用en或者enable命令修改權限模式。在口令提示符下按下“enter”鍵。下面是一個例子:

　　pixfirewall> en

　　Password:

　　pixfirewall#

　　你現在擁有管理員模式，可以顯示內容，但是，你必須進入通用設置模式來設置這個PIX防火墻。

　　現在讓我們學習PIX防火墻的基本設置:

　　PIX防火墻的基本設置

　　我所說的基本設置包括三樣事情:

　　·設置主機名

　　·設置口令(登錄和啟動)

　　·設置接口的IP地址

　　·啟動接口

　　·設置一個默認的路由

　　在你做上述任何事情之前，你需要進入通用設置模式。要進入這種模式，你要鍵入:

　　pixfirewall# config t

　　pixfirewall(config)#

　　要設置主機名，使用主機名命令，像這樣:

　　pixfirewall(config)# hostname PIX1

　　PIX1(config)#

　　注意，提示符轉變到你設置的名字。

　　下一步，把登錄口令設置為“cisco”(思科)，像這樣:

　　PIX1(config)# password cisco

　　PIX1(config)#

　　這是除了管理員之外獲得訪問PIX防火墻權限所需要的口令。

　　現在，設置啟動模式口令，用于獲得管理員模式訪問。

　　PIX1(config)# enable password cisco

　　PIX1(config)#

　　現在，我們需要設置接口的IP地址和啟動這些接口。同路由器一樣，PIX沒有接口設置模式的概念。要設置內部接口的IP地址，使用如下命令:

　　PIX1(config)# ip address inside 10.1.1.1 255.0.0.0

　　PIX1(config)#

　　現在，設置外部接口的IP地址:

　　PIX1(config)# ip address outside 1.1.1.1 255.255.255.0

　　PIX1(config)#

　　下一步，啟動內部和外部接口。確認每一個接口的以太網電纜線連接到一臺交換機。注意，ethernet0接口是外部接口，它在PIX 501防火墻中只是一個10base-T接口。ethernet1接口是內部接口，是一個100Base-T接口。下面是啟動這些接口的方法:

　　PIX1(config)# interface ethernet0 10baset

　　PIX1(config)# interface ethernet1 100full

　　PIX1(config)#

　　注意，你可以使用一個顯示接口的命令，就在通用設置提示符命令行使用這個命令。

　　最后，讓我們設置一個默認的路由，這樣，發送到PIX防火墻的所有的通訊都會流向下一個上行路由器(我們被分配的IP地址是1.1.1.254)。你可以這樣做:

　　PIX1(config)# route outside 0 0 1.1.1.254

　　PIX1(config)#

　　當然，PIX防火墻也支持動態路由協議(如RIP和OSPF協議)。

　　現在，我們接著介紹一些更高級的設置。

　　網絡地址解析

　　由于我們有IP地址連接，我們需要使用網絡地址解析讓內部用戶連接到外部網絡。我們將使用一種稱作“PAT”或者“NAT Overload”的網絡地址解析。這樣，所有內部設備都可以共享一個公共的IP地址(PIX防火墻的外部IP地址)。要做到這一點，請輸入這些命令:

　　PIX1(config)# nat (inside) 1 10.0.0.0 255.0.0.0

　　PIX1(config)# global (outside) 1 1.1.1.2

　　Global 1.1.1.2 will be Port Address Translated

　　PIX1(config)#

　　使用這些命令之后，全部內部客戶機都可以連接到公共網絡的設備和共享IP地址1.1.1.2。然而，客戶機到目前為止還沒有任何規則允許他們這樣做。

　　防火墻規則

　　這些在內部網絡的客戶機有一個網絡地址解析。但是，這并不意味著允許他們訪問。他們現在需要一個允許他們訪問外部網絡(互連網)的規則。這個規則還將允許返回的通信。

　　要制定一個允許這些客戶機訪問端口80的規則，你可以輸入如下命令:

　　PIX1(config)# access-list outbound permit tcp 10.0.0.0 255.0.0.0 any eq 80

　　PIX1(config)# access-group outbound in interface inside

　　PIX1(config)#

　　注意:與路由器訪問列表不同，PIX訪問列表使用一種正常的子網掩碼，而不是一種通配符的子網掩碼。

　　使用這個訪問列表，你就限制了內部主機訪問僅在外部網絡的Web服務器(路由器)。

　　顯示和存儲設置結果

　　現在你已經完成了PIX防火墻的設置。你可以使用顯示命令顯示你的設置。

　　確認你使用寫入內存或者“wr m”命令存儲你的設置。如果你沒有使用這個命令，當關閉PIX防火墻電源的時候，你的設置就會丟失。