图思科防火墙思科防火墙完全配置-【新闻】

发布时间：2021-04-05 19:09:00 阅读：次来源：护腰厂家

第五章防火墙的具体应用

远键实业公司是一个典型的中小企业。

pixfirewall

security-leve 100 是内部端口inside 的安全级别,如果中间还有以太口，则security-leve 10， security-leve 20 等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz security-leve 50 是停火区dmz 的安全级别。

#配置内外网卡的IP 地址

pixfirewall。

#允许内部网络服务器telnet pix

pixfirewall(config)# telnet 192.168.2.0 255.255.255.0 inside

#同时你也可以允许外部网络服务器远程登录到防火墙命令如下

pix515(config)# telnet 202.99.88.0 255.255.255.0 outside

但为了安全最好是只允许内部网络服务器远程登录到防火墙，保证防火墙的安全。 #配置远程登录密码

Pix515(config)# password 123456

以上表明远程登录密码为 123456

#保存配置

write memory

在配置完成后，要记住保存配置，以便以后进一步的配置及管理。

、配置DMZ

#设置DMZ 接口IP 地址，设置好后可以按拓扑结构图测试从PIX 上ping 10.1.1.2 检查连通性。

pixfirewall(config)#int e1

思科防火墙思科防火墙完全配置

pixfirewall(config-if)# ip address 10.1.1.2 255.255.255.0

#允许DMZ 主机访问外部网络icmp 协议

pixfirewall(config-if)# access-list acl_dmz permit icmp any any

#应用策略到DMZ 接口把acl_dmz 规则邦定到dmz 端口上使之生效

pixfirewall(config-if)# access-group acl_dmz in interface dmz

#发布DMZ 服务器到因特网设置静态的因特网、局域网、dmz 区的访问关系

static (dmz,outside) 202.99.88.2 10.1.1.2 netmask 255.255.255.255

#设置策略允许因特网访问DMZ 服务器80 端口

pixfirewall(config)# access-list 100 permit tcp any host 202.99.88.2 eq 80 #将10.1.1.100 上的www 服务发布到公网202.99.88.2

static (inside,outside) tcp 202.99.88.2 www 10.1.1.100 www netmask 255.255.255.255

#允许DMZ 访问外部网络tcp 80 端口

pixfirewall(config)# access-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 80

#允许DMZ 访问外部网络tcp，udp 53 端口

pixfirewall(config)# access-list acl_dmz permit tcp 10.1.1.0 255.255.255.0 any eq 53

pixfirewall(config)# access-list acl_dmz permit udp 10.1.1.0 255.255.255.0 any eq 53

#保存配置

write memory

二、配置PIX静态路由

Cisco PIX 防火墙可以支持动态路由模式、静态路由模式、透明模式和混合模

式，远键实业公司的规模并不是很大，但内网、外网和DMZ 区域都需要进行频繁通信，尤其是网站管理员需要经常从内网上传一些网页信息到Web 服务器，网络部希望

防火墙能够支持公司网络能够在保障安全的同时，网络通信稳定。

#增加一条静态路由，把DMZ 区域写入静态路由。

pixfirewall(config)# route inside 10.1.1.0 255.255.255.0 192.168.2.200

#发布DMZ 服务器到因特网设置静态的因特网、局域网、dmz 区的访问关系

pixfirewall(config)#static (dmz,outside) 202.99.88.2 10.1.1.2 netmask255.255.255.255