PIX 防火牆應用舉例

設：
ethernet0命名爲外部接口outside，安全級別是0。
ethernet1被命名爲內部接口inside，安全級別100。
ethernet2被命名爲中間接口dmz，安全級別50。

參考配置：
PIX525#conf t                                   ;進入配置模式
PIX525(config)#nameif ethernet0 outside security0           ;設置優先級0
PIX525(config)#nameif ethernet1 inside security100           ;設優先級100
PIX525(config)#nameif ethernet2 dmz security50             ;設置優先級50
PIX525(config)#interface ethernet0 auto                   ;設置自動方式
PIX525(config)#interface ethernet1 100full                 ;設置全雙工
PIX525(config)#interface ethernet2 100full                 ;設置全雙工
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252     ;設置接口IP
PIX525(config)#ip address inside 10.66.1.200 255.255.0.0       ;設置接口IP
PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0         ;設置接口IP
PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14         ;定義地址池
PIX525(config)#nat (inside) 1 0 0                       ;動態NAT
PIX525(config)#route outside 0 0 133.0.0.2                 ;設置默認路由
PIX525(config)#static (dmz，outside) 133.1.0.1 10.65.1.101     ;靜態NAT
PIX525(config)#static (dmz，outside) 133.1.0.2 10.65.1.102     ;靜態NAT
PIX525(config)#static (inside，dmz) 10.66.0.0 10.66.0.0 netmask 255.255.0.0
PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設置ACL
PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設置ACL
PIX525(config)#access-list 101 deny ip any any             ;設置ACL
PIX525(config)#access-group 101 in interface outside   ;將ACL應用在outside端口

  當內部主機訪問外部主機時，通過nat轉換成公網IP，訪問internet。
  當內部主機訪問中間區域dmz時，將自己映射成自己訪問服務器，否則內部主機將會
映射成地址池的IP，到外部去找。
  當外部主機訪問中間區域dmz時，對133.0.0.1映射成10.65.1.101， static是雙向的。
  PIX的所有端口默認是關閉的，進入PIX要經過acl入口過濾。
  靜態路由指示內部的主機和dmz的數據包從outside口出去。