高手进阶PIX防火墙校园网配置实例 本篇文章为大家呈现某学校的PIX525配置实例，并为关键语句给出了详细注释。 WelcometothePIXfirewall Typehelpor'?'foralistofavailablecommands. PIX525>enPassword:PIX525#shconfigSaved PIXVersion6.0(1) PIX当前的操作系统版本为6.0 Nameifethernet0outsidesecurity0 Nameifethernet1insidesecurity100 显示目前pix只有2个接口 Enablepassword7Y051HhCcoiRTSQZencryptedPassed7Y051HhCcoiRTSQZencrypted pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet密码缺省为cisco HostnamePIX525 主机名称为PIX525 Domain-name123.com 本地的一个域名服务器123.com，通常用做外部访问 Fixupprotocolftp21Fixupprotocolhttp80fixupprotocolh3231720fixupprotocolrsh514fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060 当前启用的一些服务或协议，注意rsh服务是不能改变端口号。 names 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表中为空。 pagerlines24 每24行一分页。 interfaceethernet0autointerfaceethernet1auto 设置两个网卡的类型为自适应。 mtuoutside1500mtuinside1500 以太网标准的MTU长度为1500字节。 ipaddressoutside61.144.51.42255.255.255.248ipaddressinside192.168.0.1255.255.255.0 pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1 ipauditinfoactionalarmipauditattackactionalarm pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。 pdmhistoryenable PIX设备管理器可以图形化的监视PIX arptimeout14400 arp表的超时时间 global(outside)161.144.51.46 如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个，也就是内部网络都使用61.144.51.46这个IP和外界通讯。 nat(inside)10.0.0.00.0.0.000static(inside,outside)61.144.51.43192.168.0.8netmask255.255.255.25500conduitpermiticmpanyanyconduitpermittcphost61.144.51.43eqwwwanyconduitpermitudphost61.144.51.43eqdomainany 用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口。 routeoutside0.0.0.00.0.0.061.144.51.611 外部网关61.144.51.61 timeoutxlate3:00:00 某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址。 timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00 timeoutuauth0:05:00absolute AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证。 aaa-serverTACACS+protocoltacacs+aaa-serverRADIUSprotocolradius AAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全。 nosnmp-serverlocationnosnmp-servercontactsnmp