硬件防火墻的配置過(guò)程講解[1]本篇要為大家介紹一些實(shí)用的知識(shí)，那就是如何配置防火中的安全策略。但要注意的是，防火墻的具體配置方法也不是千篇一律的，不要說(shuō)不同品牌，就是同一品牌的不同型號(hào)也不完全一樣，所以在此也只能對(duì)一些通用防火墻配置方法作一基本介紹。同時(shí)，具體的防火墻策略配置會(huì)因具體的應(yīng)用環(huán)境不同而有較大區(qū)別。首先介紹一些基本的配置原則。一.防火墻的基本配置原則默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的：?拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。?允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。可論證地,大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，你需要打開一些必要的端口來(lái)使防火墻內(nèi)的用戶在通過(guò)驗(yàn)證之后可以訪問(wèn)系統(tǒng)。換句話說(shuō)，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許POP3和SMTP的進(jìn)程。在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角度考慮，在防火墻的配置過(guò)程中需堅(jiān)持以下三個(gè)基本原則：（1） ?簡(jiǎn)單實(shí)用：對(duì)防火墻環(huán)境設(shè)計(jì)來(lái)講，首要的就是越簡(jiǎn)單越好。其實(shí)這也是任何事物的基本原則。越簡(jiǎn)單的實(shí)現(xiàn)方式，越容易理解和使用。而且是設(shè)計(jì)越簡(jiǎn)單，越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理也越可靠和簡(jiǎn)便。每種產(chǎn)品在開發(fā)前都會(huì)有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測(cè)產(chǎn)品主要針對(duì)網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來(lái)的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測(cè)等功能，在入侵檢測(cè)上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時(shí)我們也可針對(duì)具體應(yīng)用環(huán)境進(jìn)行配置，不必要對(duì)每一功能都詳細(xì)配置，這樣一則會(huì)大大增強(qiáng)配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。（2） ?全面深入：?jiǎn)我坏姆烙胧┦请y以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們不要停留在幾個(gè)表面的防火墻語(yǔ)句上，而應(yīng)系統(tǒng)地看等整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系,盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)。這方面可以體現(xiàn)在兩個(gè)方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢測(cè)、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。（3）.內(nèi)外兼顧：防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來(lái)自內(nèi)部，所以我們要樹立防內(nèi)的觀念，從根本上改變過(guò)去那種防外不防內(nèi)的傳統(tǒng)觀念。對(duì)內(nèi)部威脅可以采取其它安全措施，比如入侵檢測(cè)、主機(jī)防護(hù)、漏洞掃描病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。目前來(lái)說(shuō)，要做到這一點(diǎn)比較困難。二、防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過(guò)基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以CiscoPIX防火墻為例進(jìn)行介紹。防火墻的初始配置也是通過(guò)控制端口Console）與PC機(jī)（通常是便于移動(dòng)的筆記本電腦）的串口連接，再通過(guò)Windows系統(tǒng)自帶的超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，參見(jiàn)圖1所示。圖1防火墻除了以上所說(shuō)的通過(guò)控制端口Console)進(jìn)行初始配置外，也可以通過(guò)telnet和Tffp配置方式進(jìn)行高級(jí)配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶配置模式，即：普通模式(Unprivilegedmode)、特權(quán)模式(PrivilegedMode)、配置模式(ConfigurationMode)和端口模式(nterfaceMode)，進(jìn)入這四種用戶模式的命令也與路由器一樣：普通用戶模式無(wú)需特別命令，啟動(dòng)后即進(jìn)入;進(jìn)入特權(quán)用戶模式的命令為'enable"；進(jìn)入配置模式的命令為'configterminal"；而進(jìn)入端口模式的命令為'interfaceethernet()"。不過(guò)因?yàn)榉阑饓Φ亩丝跊](méi)有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為'全局配置模式防火墻的具體配置步驟如下：將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，參見(jiàn)圖1。打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。運(yùn)行筆記本電腦Windows系統(tǒng)中的超級(jí)終端(HyperTerminal)程序(通常在附件"程序組中)。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見(jiàn)本教程前面有關(guān)介紹。當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示,pixfirewall>"的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。輸入命令：configureterminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。(1)?首先配置防火墻的網(wǎng)卡參數(shù)(以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例)InterfaceethernetOauto#0號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡，"auto'選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型Interfaceethernetlauto?配置防火墻內(nèi)、外部網(wǎng)卡的IP地址IPaddressinsideip_addressnetmask#Inside代表內(nèi)咅E網(wǎng)卡IPaddressoutsideip_addressnetmask#outside代表外部網(wǎng)卡?指定外部網(wǎng)卡的IP地址范圍：global1ip_address-ip_address?指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址nat1ip_addressnetmask?配置某些控制選項(xiàng)：conduitglobal」pport[-port]protocolforeign」p[netmask]其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign」p：表示可訪問(wèn)的global」p外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。配置保存：wrmem退出當(dāng)前模式此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可。它與Quit命令一樣。下面三條語(yǔ)句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的*作步驟。pixfirewall(config)#exitpixfirewall#exitpixfirewall>查看當(dāng)前用戶模式下的所有可用命令:show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。10.查看端口狀態(tài)：showinterface,這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。11.查看靜態(tài)地址映射:showstatic，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。三、CiscoPIX防火墻的基本配置同樣是用一條串行電纜從電腦的COM口連到CiscoPIX525防火墻的console口；開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的'超級(jí)終端"，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date（日期）、time（時(shí)間）、hostname（主機(jī)名稱）、insideipaddress（內(nèi)部網(wǎng)卡IP地址）、domain（主域）等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255＞。輸入enable命令，進(jìn)入Pix525特權(quán)用戶模武默然密碼為空。如果要修改此特權(quán)用戶模式密碼，則可用enablepassword命令，命令格式為：enablepasswordpassword[encrypted]，這個(gè)密碼必須大于16位。Encrypted選項(xiàng)是確定所加密碼是否需要加密。4、 定義以太端口：先必須用enable命令進(jìn)入特權(quán)用戶模式，然后輸入configureterminal(可簡(jiǎn)稱為configt)，進(jìn)入全局配置模式模式。具體配置pix525>enablePassword:pix525#configtpix525(config)#interfaceethernetOautopix525(config)#interfaceethernetlauto在默然情況下ethernet0是屬外部網(wǎng)卡outside,ethernet1是屬內(nèi)部網(wǎng)卡inside,inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。clock配置時(shí)鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無(wú)法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。時(shí)鐘設(shè)置命令格式有兩種，主要是日期格式不同，分別為:clocksethh:mm:ssmonthdaymonthyear和clocksethh:mm:ssdaymonthyear前一種格式為：小時(shí)：分鐘：秒月日年；而后一種格式為:小時(shí)：分鐘：秒日月年，主要在日、月份的前后順序不同。在時(shí)間上如果為0可以為一位，如：21:0:0。6.指定接口的安全級(jí)別指定接口安全級(jí)別的命令為nameif,分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個(gè)適當(dāng)?shù)陌踩?jí)別。在此要注意，防火墻是用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過(guò)外部接口對(duì)內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對(duì)外部網(wǎng)絡(luò)接口指定較高的安全級(jí)別,而內(nèi)部網(wǎng)絡(luò)接口的安全級(jí)別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在CiscoPIX系列防火墻中，安全級(jí)別的定義是由security()這個(gè)參數(shù)決定的，數(shù)字越小安全級(jí)別越高，所以security。是最高的，隨后通常是以10的倍數(shù)遞增，安全級(jí)別也相應(yīng)降低。如下例：pix525(config)#nameifethernet0outsidesecurityO#outside是指外部接口pix525(config)#nameifethernetlinsidesecuritylOO#inside是指內(nèi)部接口二、防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過(guò)基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以CiscoPIX防火墻為例進(jìn)行介紹。防火墻的初始配置也是通過(guò)控制端口Console）與PC機(jī)（通常是便于移動(dòng)的筆記本電腦）的串口連接，再通過(guò)Windows系統(tǒng)自帶的超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，參見(jiàn)圖1所示。圖1防火墻除了以上所說(shuō)的通過(guò)控制端口Console）進(jìn)行初始配置外，也可以通過(guò)telnet和Tffp配置方式進(jìn)行高級(jí)配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶配置模式，即：普通模式(Unprivilegedmode)、特權(quán)模式(PrivilegedMode)、配置模式(ConfigurationMode)和端口模式(nterfaceMode)，進(jìn)入這四種用戶模式的命令也與路由器一樣：普通用戶模式無(wú)需特別命令，啟動(dòng)后即進(jìn)入；進(jìn)入特權(quán)用戶模式的命令為'enable"；進(jìn)入配置模式的命令為'configterminal"；而進(jìn)入端口模式的命令為'interfaceethernet()"。不過(guò)因?yàn)榉阑饓Φ亩丝跊](méi)有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為'全局配置模式防火墻的具體配置步驟如下：將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，參見(jiàn)圖1。打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。運(yùn)行筆記本電腦Windows系統(tǒng)中的超級(jí)終端(HyperTerminal)程序(通常在附件"程序組中)。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見(jiàn)本教程前面有關(guān)介紹。當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示’pixfirewall〉"的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。輸入命令：configureterminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。（1）?首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例）InterfaceethernetOauto#0號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡，"auto'選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型Interfaceethernetlauto（2）?配置防火墻內(nèi)、外部網(wǎng)卡的IP地址IPaddressinsideip_addressnetmask#Inside代表內(nèi)咅E網(wǎng)卡IPaddressoutsideip_addressnetmask#outside代表外部網(wǎng)卡?指定外部網(wǎng)卡的IP地址范圍：global1ip_address-ip_address?指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址nat1ip_addressnetmask?配置某些控制選項(xiàng)：conduitglobal」pport[-port]protocolforeign」p[netmask]其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign」p：表示可訪問(wèn)的global」p外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。配置保存：wrmem退出當(dāng)前模式此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可。它與Quit命令一樣。下面三條語(yǔ)句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的*作步驟。pixfirewall(config)#exitpixfirewall#exitpixfirewall>查看當(dāng)前用戶模式下的所有可用命令:show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。查看端口狀態(tài)：showinterface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。11.查看靜態(tài)地址映射:showstatic，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。三、CiscoPIX防火墻的基本配置同樣是用一條串行電纜從電腦的COM口連到CiscoPIX525防火墻的console口；開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的'超級(jí)終端"，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date（日期）、time（時(shí)間）、hostname（主機(jī)名稱）、insideipaddress（內(nèi)部網(wǎng)卡IP地址）、domain（主域）等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255>。3.輸入enable命令，進(jìn)入Pix525特權(quán)用戶模武默然密碼為空。如果要修改此特權(quán)用戶模式密碼，則可用enablepassword命令，命令格式為：enablepasswordpassword[encrypted]，這個(gè)密碼必須大于16位。Encrypted選項(xiàng)是確定所加密碼是否需要加密。4、定義以太端口：先必須用enable命令進(jìn)入特權(quán)用戶模式,然后輸入configureterminal(可簡(jiǎn)稱為configt)，進(jìn)入全局配置模式模式。具體配置pix525>enablePassword:pix525#configtpix525(config)#interfaceethernetOautopix525(config)#interfaceethernetlauto在默然情況下ethernet0是屬外部網(wǎng)卡outside,ethernet1是屬內(nèi)部網(wǎng)卡inside,inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。5.clock配置時(shí)鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無(wú)法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。時(shí)鐘設(shè)置命令格式有兩種，主要是日期格式不同，分別為：clocksethh:mm:ssmonthdaymonthyear和clocksethh:mm:ssdaymonthyear前一種格式為：小時(shí)：分鐘：秒月日年；而后一種格式為：小時(shí)：分鐘：秒日月年，主要在日、月份的前后順序不同。在時(shí)間上如果為0可以為一位，如：21:0:0。6.指定接口的安全級(jí)別指定接口安全級(jí)別的命令為nameif,分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個(gè)適當(dāng)?shù)陌踩?jí)別。在此要注意，防火墻是用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過(guò)外部接口對(duì)內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對(duì)外部網(wǎng)絡(luò)接口指定較高的安全級(jí)別，而內(nèi)部網(wǎng)絡(luò)接口的安全級(jí)別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在CiscoPIX系列防火墻中，安全級(jí)別的定義是由security()這個(gè)參數(shù)決定的，數(shù)字越小安全級(jí)別越高，所以security。是最高的，隨后通常是以10的倍數(shù)遞增，安全級(jí)別也相應(yīng)降低。如下例：pix525(config)#nameifethernetOoutsidesecurity。#outside是指外部接口pix525(config)#nameifethernetlinsidesecuritylOO#inside是指內(nèi)部接口防火墻的具體配置步驟如下：將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，參見(jiàn)圖1。打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。運(yùn)行筆記本電腦Windows系統(tǒng)中的超級(jí)終端(HyperTerminal)程序(通常在附件"程序組中)。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見(jiàn)本教程前面有關(guān)介紹。當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示,pixfirewall>"的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。5.輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。6.輸入命令：configureterminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。（1）?首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例）InterfaceethernetOauto#0號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡，"auto'選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型Interfaceethernetlauto（2） ?配置防火墻內(nèi)、外部網(wǎng)卡的IP地址IPaddressinsideip_addressnetmask#Inside代表內(nèi)部網(wǎng)卡IPaddressoutsideip_addressnetmask#outside代表外部網(wǎng)卡（3） ?指定外部網(wǎng)卡的IP地址范圍：global1ip_address-ip_address?指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址nat1ip_addressnetmask?配置某些控制選項(xiàng)：conduitglobal」pport[-port]protocolforeign」p[netmask]其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign」p：表示可訪問(wèn)的global」p外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。配置保存：wrmem退出當(dāng)前模式此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可。它與Quit命令一樣。下面三條語(yǔ)句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的*作步驟。pixfirewall(config)#exitpixfirewall#exitpixfirewall>查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。10.查看端口狀態(tài)：showinterface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。11.查看靜態(tài)地址映射:showstatic,這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。三、CiscoPIX防火墻的基本配置同樣是用一條串行電纜從電腦的COM口連到CiscoPIX525防火墻的console口；開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的'超級(jí)終端"，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date（日期）、time（時(shí)間）、hostname（主機(jī)名稱）、insideipaddress（內(nèi)部網(wǎng)卡IP地址）、domain（主域）等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255＞。輸入enable命令，進(jìn)入Pix525特權(quán)用戶模武默然密碼為空。如果要修改此特權(quán)用戶模式密碼，則可用enablepassword命令，命令格式為：enablepasswordpassword[encrypted]，這個(gè)密碼必須大于16位。Encrypted選項(xiàng)是確定所加密碼是否需要加密。4、定義以太端口：先必須用enable命令進(jìn)入特權(quán)用戶模式,然后輸入configureterminal(可簡(jiǎn)稱為configt)，進(jìn)入全局配置模式模式。具體配置pix525>enablePassword:pix525#configtpix525(config)#interfaceethernetOautopix525(config)#interfaceethernetlauto在默然情況下ethernet0是屬外部網(wǎng)卡outside,ethernet1是屬內(nèi)部網(wǎng)卡inside,inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。5.clock配置時(shí)鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無(wú)法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。時(shí)鐘設(shè)置命令格式有兩種，主要是日期格式不同，分別為：clocksethh:mm:ssmonthdaymonthyear和clocksethh:mm:ssdaymonthyear前一種格式為：小時(shí)：分鐘：秒月日年；而后一種格式為：小時(shí)：分鐘：秒日月年，主要在日、月份的前后順序不同。在時(shí)間上如果為0可以為一位，如：21:0:0。6.指定接口的安全級(jí)別指定接口安全級(jí)別的命令為nameif,分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個(gè)適當(dāng)?shù)陌踩?jí)別。在此要注意，防火墻是用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過(guò)外部接口對(duì)內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對(duì)外部網(wǎng)絡(luò)接口指定較高的安全級(jí)別,而內(nèi)部網(wǎng)絡(luò)接口的安全級(jí)別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在CiscoPIX系列防火墻中，安全級(jí)別的定義是由security()這個(gè)參數(shù)決定的，數(shù)字越小安全級(jí)別越高，所以security。是最高的，隨后通常是以10的倍數(shù)遞增，安全級(jí)別也相應(yīng)降低。如下例：pix525(config)#nameifethernetOoutsidesecurity。#outside是指外部接口pix525（config）#nameifethernetlinsidesecuritylOO#inside是指內(nèi)部接口三、CiscoPIX防火墻的基本配置同樣是用一條串行電纜從電腦的COM口連到CiscoPIX525防火墻的console口；開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的'超級(jí)終端"，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date（日期）、time（時(shí)間）、hostname（主機(jī)名稱）、insideipaddress（內(nèi)部網(wǎng)卡IP地址）、domain（主域）等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255＞。輸入enable命令，進(jìn)入Pix525特權(quán)用戶模武默然密碼為空。如果要修改此特權(quán)用戶模式密碼，則可用enablepassword命令，命令格式為：enablepasswordpassword[encrypted]，這個(gè)密碼必須大于16位。Encrypted選項(xiàng)是確定所加密碼是否需要加密。4、 定義以太端口：先必須用enable命令進(jìn)入特權(quán)用戶模式，然后輸入configureterminal(可簡(jiǎn)稱為configt)，進(jìn)入全局配置模式模式。具體配置pix525>enablePassword:pix525#configtpix525(config)#interfaceethernetOautopix525(config)#interfaceethernetlauto在默然情況下ethernet0是屬外部網(wǎng)卡outside,ethernet1是屬內(nèi)部網(wǎng)卡inside,inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。clock配置時(shí)鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無(wú)法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。時(shí)鐘設(shè)置命令格式有兩種，主要是日期格式不同，分別為:clocksethh:mm:ssmonthdaymonthyear和clocksethh:mm:ssdaymonthyear前一種格式為：小時(shí)：分鐘：秒月日年；而后一種格式為:小時(shí)：分鐘：秒日月年，主要在日、月份的前后順序不同。在時(shí)間上如果為0可以為一位，如：21:0:0。6.指定接口的安全級(jí)別指定接口安全級(jí)別的命令為nameif,分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個(gè)適當(dāng)?shù)陌踩?jí)別。在此要注意，防火墻是用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過(guò)外部接口對(duì)內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對(duì)外部網(wǎng)絡(luò)接口指定較高的安全級(jí)別,而內(nèi)部網(wǎng)絡(luò)接口的安全級(jí)別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在CiscoPIX系列防火墻中，安全級(jí)別的定義是由security()這個(gè)參數(shù)決定的，數(shù)字越小安全級(jí)別越高，所以security。是最高的，隨后通常是以10的倍數(shù)遞增，安全級(jí)別也相應(yīng)降低。如下例：pix525(config)#nameifethernet0outsidesecurityO#outside是指外部接口pix525(config)#nameifethernetlinsidesecuritylOO#inside是指內(nèi)部接口7.配置以太網(wǎng)接口IP地址所用