2. 开启所连电脑和防火墙的电源,进入 Windows 系统自带的 "超级终端 ",通讯参数可按系统默然。进
入防火墙初始化配置, 在其中主要设置有: Date(日期 )、time( 时间 )、hostname(主机名称 )、inside ip address(内
部网卡 IP 地址 )、 domain(主域 )等,完成后也就建立了一个初始化设置了。此时的提示符为: pix255>。
3. 输入 enable 命令,进入 Pix 525 特权用户模式 ,默然密码为空。
如果要修改此特权用户模式密码, 则可用 enable password命令, 命令格式为: enable password password
[encrypted] ,这个密码必须大于 16 位。 Encrypted 选项是确定所加密码是否需要加密。
4、 定义以太端口:先必须用 enable 命令进入特权用户模式,然后输入 configure terminal (可简称为
config t ) ,进入全局配置模式模式。具体配置
pix525>enable
Password:
pix525#config t
pix525 (config)#interface ethernet0 auto
pix525 (config)#interface ethernet1 auto
在默然情况下 ethernet0 是属外部网卡 outside, ethernet1是属内部网卡 inside, inside 在初始化配置成功的
情况下已经被激活生效了,但是 outside 必须命令配置激活。
5. clock
配置时钟,这也非常重要,这主要是为防火墙的日志记录而资金积累的,如果日志记录时间和日期都
不准确,也就无法正确分析记录中的信息。这须在全局配置模式下进行。
时钟设置命令格式有两种,主要是日期格式不同,分别为:
clock set hh:mm:ss month day month year 和 clock set hh:mm:ss day month year
前一种格式为:小时:分钟:秒 月 日 年;而后一种格式为:小时:分钟:秒 日 月 年,主要在日、
月份的前后顺序不同。在时间上如果为 0,可以为一位,如: 21:0:0。
6. 指定接口的安全级别
指定接口安全级别的命令为 nameif,分别为内、 外部网络接口指定一个适当的安全级别。 在此要注意,
防火墙是用来保护内部网络的,外部网络是通过外部接口对内部网络构成威胁的,所以要从根本上保障内
部网络的安全,需要对外部网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主要是因
为内部网络通信频繁、可信度高。在 Cisco PIX 系列防火墙中,安全级别的定义是由 security()这个参数
决定的,数字越小安全级别越高,所以 security0 是最高的,随后通常是以 10 的倍数递增,安全级别也相
应降低。如下例:
pix525(config)#nameif ethernet0 outside security0?? # outside 是指外部接口
pix525(config)#nameif ethernet1 inside security100 # inside 是指内部接口
7. 配置以太网接口 IP 地址
所用命令为: ip address,如要配置防火墙上的内部网接口 IP 地址为: 192.168.1.0 255.255.255.0;外部
网接口 IP 地址为: 220.154.20.0 255.255.255.0。 配置方法如下:
pix525(config)#ip address inside 192.168.1.0 255.255.255.0
pix525(config)#ip address outside 220.154.20.0 255.255.255.0
8. access-group
这个命令是把访问控制列表绑定在特定的接口上。 须在配置模式下进行配置。 命令格式为: access-group
acl_ID in interface interface_name ,其中的 "acl_ID" 是指访问控制列表名称, interface_name 为网络接口名称。
如:
access-group acl_out in interface outside,在外部网络接口上绑定名称为 "acl_out" 的访问控制列表。
clear access-group:清除所有绑定的访问控制绑定设置。
no access-group acl_ID in interface interface_name :清除指定的访问控制绑定设置。
show access-group acl_ID in interface interface_name :显示指定的访问控制绑定设置。