PIX防火牆配置命令說明

PIX Version 6.0(1) ------ PIX當前的操作系統版本爲6.0

Nameif ethernet0 outside security0

Nameif ethernet1 inside security100 ------ 顯示目前pix只有2個接口

Enable password 7Y051HhCcoiRTSQZ encrypted

Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火牆密碼在默認狀態下已被加密，在配置文件中不會以明文顯示，telnet 密碼缺省爲cisco

Hostname PIX525 ------ 主機名稱爲PIX525

Domain-name 123.com ------ 本地的一個域名服務器123.com，通常用作爲外部訪問

Fixup protocol ftp 21

Fixup protocol http 80

fixup protocol h323 1720

fixup protocol rsh 514

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060 ------ 當前啓用的一些服務或協議，注意rsh服務是不能改變端口號

names ------ 解析本地主機名到ip地址，在配置中可以用名字代替ip地址，當前沒有設置，所以列表爲空

pager lines 24 ------ 每24行一分頁

interface ethernet0 auto

interface ethernet1 auto ------ 設置兩個網卡的類型爲自適應

mtu outside 1500

mtu inside 1500 ------ 以太網標準的MTU長度爲1500字節

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0 ------ pix外網的ip地址61.144.51.42，內網的ip地址192.168.0.1

ip audit info action alarm

ip audit attack action alarm ------ pix***檢測的2個命令。當有數據包具有***或報告型特徵碼時，pix將採取報警動作（缺省動作），向指定的日誌記錄主機產生系統日誌消息；此外還可以作出丟棄數據包和發出tcp連接復位信號等動作，需另外配置。

pdm history enable ------ PIX設備管理器可以圖形化的監視

PIX arp timeout 14400 ------ arp表的超時時間

global (outside) 1 61.144.51.46 ------ 如果你訪問外部論壇或用QQ聊天等等，上面顯示的ip就是這個

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0

conduit permit icmp any any

conduit permit tcp host 61.144.51.43 eq www any

conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43這個ip地址提供domain-name服務，而且只允許外部用戶訪問domain的udp端口

route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部網關61.144.51.61

timeout xlate 3:00:00 ------ 某個內部設備向外部發出的ip包經過翻譯(global)後，在缺省3個小時之後此數據包若沒有活動，此前創建的表項將從翻譯表中刪除，釋放該設備佔用的全局地址

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute ------ AAA認證的超時時間，absolute表示連續運行uauth定時器，用戶超時後，將強制重新認證

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius ------ AAA服務器的兩種協議。AAA是指認證，授權，審計。Pix防火牆可以通過AAA服務器增加內部網絡的安全

no snmp-server location no snmp-server contact snmp-server community public ------ 由於沒有設置snmp工作站，也就沒有snmp工作站的位置和聯繫人

no snmp-server enable traps ------ 發送snmp陷阱 floodguard enable ------ 防止有人僞造大量認證請求，將pix的AAA資源用完

no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh訪問pix的超時時間

terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7

PIX525#

PIX525#write memory ------ 將配置保存