pix命令

⑴ 對於Cisco PIX防火牆配置命令 不是很熟悉 詳細介紹下

可以參考下面的做法： 最近網上流行一種後門病毒:Iexplores.exe.(有的改成了rose.exe等，之後在注冊表查找的時候注意更改即可)這個後可使後門種植者通過該 後門秘密控制受感染機器，這個病毒工作於Windows 32平台。 病毒會在硬碟的 根目錄生成Iexplores.exe文件，這個文件的作用是：當你雙擊硬碟的盤符時， 系統會調用Iexplores.exe文件自動播放硬碟的內容，作為傳播病毒的一種方式。 另外病毒可以通過移動存儲介質進行傳播(U盤,移動硬碟).大多的殺毒軟體可以 對其進行查殺!但是感染症狀依然存在; 感染症狀:windows無法找到Iexplores.exe或者雙擊活動硬碟無法直接打開, 而是出現一對話框,只能通過右鍵---打開才能瀏覽分區內容. 解決方法:右鍵打開其中一受感染的盤符,在工具欄---文件夾選項--查看下, 選顯示所有文件和文件夾,同時去除隱藏受保護的系統文件前的勾,你會發現在 你的盤符下多了一antorun.inf 的文件,打開我們可以看到如下的內容: [AUTORUN] open=Iexplorers.exe(叫做rose.exe的這里的內容也會變) 這句話的意思就是當你雙擊盤符時自動打開寫入注冊表中的病毒程序文件, 即使病毒被殺死,但是注冊表的信息依然存在,這就是無法打開盤符的原因, 知道了原因,那麼我們就來刪除病毒在注冊表中的殘留信息,開始---運行中 輸入regedit打開注冊表編輯程序,ctrl+f打開查找命令,輸入Iexplorers.exe, 點查找,接下來會在注冊表中找到此鍵值.一般在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\下. For example:如果是你的移動硬碟的盤符f盤打不開,那麼你將會在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\F\Shell\command\下發現此鍵值,把shell子鍵刪除即可.f3查找 下一個,重復操作,直到所有的都清除.f5刷新,除盤符下的antorun.inf文件. 問題即可解決! 如果你的活動硬碟是F盤，則將注冊表中 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\F\Shell 項刪除 造成雙擊磁碟打不開，出現「windows無法找到Iexplores.exe」的原因是這樣的： 首先你的活動硬碟感染了Win32.Hack.Tompai.b.65024這種病毒。在金上毒霸的網站上對於它是這么解釋的： 這個病毒使用了後門，後門種植者通過該後門，秘密控制受感染機器，這個病毒工作於Windows 32平台。 ( http://db.kingsoft.com/c/2005/03/24/181620.shtml ) Tompai病毒會在活動硬碟的根目錄生成Iexplores.exe文件，這個文件的作用是：當你雙擊活動硬碟的盤符時，系統會調用Iexplores.exe文件自動播放活動硬碟的內容，作為傳播病毒的一種方式。 當你將活動硬碟接到某個主機上時，這台主機上可能裝有金山毒霸，瑞星等殺毒工具，這些殺毒工具可以將活動硬碟根目錄的病毒文件Iexplores.exe直接刪除掉。 但是，病毒在注冊表中留下的信息沒有被清除掉，所以當你再准備雙擊打開活動硬碟時，系統仍然會按照注冊表的描述去調用Iexplores.exe來播放活動硬碟的內容，由於這時文件已被刪除，所以提示windows無法找到Iexplores.exe。 不需要什麼修復啦，重裝啦，更不要去格式化了！按照最開始說的方法改改注冊表就行了 另外，記錄一下我自己刪除此病毒的方法： 首先按照以上方法刪除注冊表裡面的所有有關鍵值，隨後到任務管理器裡面把rose.exe和dllrun32.exe（名字有點遺忘）如果不是，則在syestem32下面可以找到，先結束這些進程（一定要結束），然後把system32下面的相關文件刪掉，最後把每個感染的盤符下面的病毒文件刪掉、注銷計算機就可以了。非常同意這個帖子的作者的一句話：「不需要什麼修復啦，重裝啦，更不要去格式化了！」 本人認為此病毒危害不算嚴重，但是很討人厭，近期在我們學校傳播很廣，希望大家多注意。如果你遇見以下幾種情況就說明你很有可能帶有此病毒： 1.U盤在使用完以後點擊「安全刪除」卻返回「無法現在刪除」的信息 2.右鍵點擊你的計算機盤符可以看見「自動播放」選項； 3.你的進程中有個叫rose.exe的進程。 阻止此病毒傳播的最好方法就是每個人自覺的查看自己的U盤裡面是否有可疑文件，如果有一定要刪除！！我們教學樓某些機器裡面已經攜帶有這種病毒，大家在考課件的時候請注意！～

麻煩採納，謝謝!

⑵ PIX防火牆的顯示命令

show interface ；查看埠狀態。
show static ；查看靜態地址映射。
show ip ；查看介面ip地址。
show config ；查看配置信息。
show run ；顯示當前配置信息。
write terminal ；將當前配置信息寫到終端。
show cpu usage ；顯示CPU利用率，排查故障時常用。
show traffic ；查看流量。
show connect count ；查看連接數。
show blocks ；顯示攔截的數據包。
show mem ；顯示內存
13、DHCP 服務
PIX具有DHCP服務功能。
例：
PIX525(config)#ip address dhcp
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain

⑶ 思科pix配置命令介紹

PIX配置詳解任何企業安全策略的一個主要部分都是實現和維護防火牆，因此防火牆在網路安全的實現當中扮演著重要的角色。防火牆通常位於企業網路的邊緣，這使得內部網路與Internet之間或者與其他外部網路互相隔離，並限制網路互訪從而保護企業內部網路。設置防火牆目的都是為了在內部網與外部網之間設立唯一的通道，簡化網路的安全管理。

在眾多的企業級主流防火牆中，Cisco PIX防火牆是所有同類產品性能最好的一種。
Cisco PIX系列防火牆目前有5種型號PIX506，515，520，525，535。其中PIX535是PIX
500系列中最新，功能也是最強大的一款。它可以提供運營商級別的處理能力，適用於大型的ISP等服務提供商。但是PIX特有的OS操作系統，使得大多數管理是通過命令行來實現的，不象其他同類的防火牆通過Web管理界面來進行網路管理，這樣會給初學者帶來不便。本文將通過實例介紹如何配置Cisco PIX防火牆。

在配置PIX防火牆之前，先來介紹一下防火牆的物理特性。防火牆通常具有至少3個介面，但許多早期的防火牆只具有2個介面；當使用具有3個介面的防火牆時，就至少產生了3個網路，描述如下：
內部區域（內網）:內部區域通常就是指企業內部網路或者是企業內部網路的一部分。它是互連網路的信任區域，即受到了防火牆的保護。
外部區域（外網）:外部區域通常指Internet或者非企業內部網路。它是互連網路中不被信任的區域，當外部區域想要訪問內部區域的主機和服務，通過防火牆，就可以實現有限制的訪問。
停火區（DMZ）:停火區是一個隔離的網路，或幾個網路。位於停火區中的主機或伺服器被稱為堡壘主機。一般在停火區內可以放置Web伺服器，Mail伺服器等。停火區對於外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業的公開信息，但卻不允許他們訪問企業內部網路。注意：2個介面的防火牆是沒有停火區的。由於PIX535在企業級別不具有普遍性，因此下面主要說明PIX525在企業網路中的應用。 PIX防火牆提供4種管理訪問模式：
非特權模式:PIX防火牆開機自檢後，就是處於這種模式。系統顯示為pixfirewall>
特權模式:輸入enable進入特權模式，可以改變當前配置。顯示為pixfirewall#
配置模式:輸入configure terminal進入此模式，絕大部分的系統配置都在這里進行。顯示為pixfirewall(config)#
監視模式:PIX防火牆在開機或重啟過程中，按住Escape鍵或發送一個「Break」字元，進入監視模式。這里可以更新操作系統映象和口令恢復。顯示為monitor>配置PIX防火牆有6個基本命令：nameif，interface，ip address，nat，global，route.
這些命令在配置PIX是必須的。以下是配置的基本步驟：
1. 配置防火牆介面的名字，並指定安全級別（nameif）。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示：在預設配置中，乙太網0被命名為外部介面（outside），安全級別是0；乙太網1被命名為內部介面（inside），安全級別是100.安全級別取值范圍為1～99，數字越大安全級別越高。若添加新的介面，語句可以這樣寫：
Pix525(config)#nameif pix/intf3 security40 （安全級別任取）

2. 配置以太口參數（interface）
Pix525(config)#interface ethernet0 auto（auto選項表明系統自適應網卡類型 ）
Pix525(config)#interface ethernet1 100full（100full選項表示100Mbit/s乙太網全雙工通信 ）
Pix525(config)#interface ethernet1 100full shutdown（shutdown選項表示關閉這個介面，若啟用介面去掉shutdown ）

3. 配置內外網卡的IP地址（ip address）
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明顯，Pix525防火牆在外網的ip地址是61.144.51.42，內網ip地址是192.168.0.1
4. 指定要進行轉換的內部地址（nat）
網路地址翻譯（nat）作用是將內網的私有ip轉換為外網的公有ip.Nat命令總是與global命令一起使用，這是因為nat命令可以指定一台主機或一段范圍的主機訪問外網，訪問外網時需要利用global所指定的地址池進行對外訪問。
nat命令配置語法：nat (if_name) nat_id local_ip [netmark]
其中（if_name）表示內網介面名字，例如inside.
Nat_id用來標識全局地址池，使它與其相應的global命令相匹配，
local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。
[netmark]表示內網ip地址的子網掩碼。
例1．Pix525(config)#nat (inside) 1 0 0 表示啟用nat,內網的所有主機都可以訪問外網，用0可以代表0.0.0.0
例2．Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 表示只有172.16.5.0這個網段內的主機可以訪問外網。
5. 指定外部地址范圍（global）
global命令把內網的ip地址翻譯成外網的ip地址或一段地址范圍。
Global命令的配置語法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中（if_name）表示外網介面名字，例如outside.。
Nat_id用來標識全局地址池，使它與其相應的nat命令相匹配，
ip_address-ip_address表示翻譯後的單個ip地址或一段ip地址范圍。
[netmark global_mask]表示全局ip地址的網路掩碼。
例1． Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 表示內網的主機通過pix防火牆要訪問外網時，pix防火牆將使用61.144.51.42-61.144.51.48這段ip地址池為要訪問外網的主機分配一個全局ip地址。
例2． Pix525(config)#global (outside) 1 61.144.51.42 表示內網要訪問外網時，pix防火牆將為訪問外網的所有主機統一使用61.144.51.42這個單一ip地址。
例3. Pix525(config)#no global (outside) 1 61.144.51.42 表示刪除這個全局表項。6. 設置指向內網和外網的靜態路由（route）
定義一條靜態路由。route命令配置語法：route (if_name) 0 0 gateway_ip [metric]
其中（if_name）表示介面名字，例如inside，outside。
Gateway_ip表示網關路由器的ip地址。
[metric]表示到gateway_ip的跳數。通常預設是1。例1． Pix525(config)#route outside 0 0 61.144.51.168 1
表示一條指向邊界路由器（ip地址61.144.51.168）的預設路由。
例2． Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1如果內部網路只有一個網段，按照例1那樣設置一條預設路由即可；如果內部存在多個網路，需要配置一條以上的靜態路由。上面那條命令表示創建了一條到網路10.1.1.0的靜態路由，靜態路由的下一條路由器ip地址是172.16.0.1OK，這6個基本命令若理解了，就可以進入到pix防火牆的一些高級配置了。A. 配置靜態IP地址翻譯（static）
如果從外網發起一個會話，會話的目的地址是一個內網的ip地址，static就把內部地址翻譯成一個指定的全局地址，允許這個會話建立。static命令配置語法：
static (internal_if_name，external_if_name) outside_ip_address inside_ip_address 其中internal_if_name表示內部網路介面，安全級別較高。如inside.
external_if_name為外部網路介面，安全級別較低。如outside等。
outside_ip_address為正在訪問的較低安全級別的介面上的ip地址。
inside_ip_address為內部網路的本地ip地址。例1． Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8 表示ip地址為192.168.0.8的主機，對於通過pix防火牆建立的每個會話，都被翻譯成61.144.51.62這個全局地址，也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。
例2． Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3． Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注釋同例1。通過以上幾個例子說明使用static命令可以讓我們為一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠為具有較低安全級別的指定介面創建一個入口，使它們可以進入到具有較高安全級別的指定介面。B. 管道命令（conit）
前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射，但從外部到內部介面的連接仍然會被pix防火牆的自適應安全演算法(ASA)阻擋，conit命令用來允許數據流從具有較低安全級別的介面流向具有較高安全級別的介面，例如允許從外部到DMZ或內部介面的入方向的會話。對於向內部介面的連接，static和conit命令將一起使用，來指定會話的建立。
conit命令配置語法：
conit permit | deny global_ip port[-port] protocol foreign_ip [netmask] permit | deny 允許 | 拒絕訪問
global_ip:指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0；如果global_ip是一台主機，就用host命令參數。
port 指的是服務所作用的埠，例如www使用80，smtp使用25等等，我們可以通過服務名稱或埠數字來指定埠。
protocol:指的是連接協議，比如：TCP、UDP、ICMP等。
foreign_ip:表示可訪問global_ip的外部ip。對於任意主機，可以用any表示。如果foreign_ip是一台主機，就用host命令參數。例1. Pix525(config)#conit permit tcp host 192.168.0.8 eq www any
這個例子表示允許任何外部主機對全局地址192.168.0.8的這台主機進行http訪問。其中使用eq和一個埠來允許或拒絕對這個埠的訪問。
Eq ftp 就是指允許或拒絕只對ftp的訪問。
例2. Pix525(config)#conit deny tcp any eq ftp host 61.144.51.89
表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
例3. Pix525(config)#conit permit icmp any any
表示允許icmp消息向內部和外部通過。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conit permit tcp host 61.144.51.62 eq www any
這個例子說明static和conit的關系。192.168.0.3在內網是一台web伺服器，現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射：192.168.0.3－>61.144.51.62（全局），然後利用conit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。C. 配置fixup協議
fixup命令作用是啟用，禁止，改變一個服務或協議通過pix防火牆，由fixup命令指定的埠是pix防火牆要偵聽的服務。見下面例子：
例1． Pix525(config)#fixup protocol ftp 21 啟用ftp協議，並指定ftp的埠號為21
例2． Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 為http協議指定80和1080兩個埠。
例3． Pix525(config)#no fixup protocol smtp 80 禁用smtp協議。D. 設置telnet
telnet有一個版本的變化。在pix OS5.0（pix操作系統的版本號）之前，只能從內部網路上的主機通過telnet訪問pix。在pix OS 5.0及後續版本中，可以在所有的介面上啟用telnet到pix的訪問。當從外部介面要telnet到pix防火牆時，telnet數據流需要用ipsec提供保護，也就是說用戶必須配置pix來建立一條到另外一台pix，路由器或vpn客戶端的ipsec隧道。另外就是在PIX上配置SSH，然後用SSH client從外部telnet到PIX防火牆，PIX支持SSH1和SSH2，不過SSH1是免費軟體，SSH2是商業軟體。相比之下cisco路由器的telnet就作的不怎麼樣了。
telnet配置語法：telnet local_ip [netmask]
local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項，pix的配置方式只能由console進行。

說了這么多，下面給出一個配置實例供大家參考。
Welcome to the PIX firewall
Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config
: Saved
:
PIX Version 6.0(1) ------ PIX當前的操作系統版本為6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 顯示目前pix只有2個介面
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------
pix防火牆密碼在默認狀態下已被加密，在配置文件中不會以明文顯示，telnet 密碼預設為cisco Hostname PIX525 ------ 主機名稱為PIX525
Domain-name 123.com ------ 本地的一個域名伺服器123.com，通常用作為外部訪問
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 當前啟用的一些服務或協議，注意rsh服務是不能改變埠號 names ------ 解析本地主機名到ip地址，在配置中可以用名字代替ip地址，當前沒有設置，所以列表為空
pager lines 24 ------ 每24行一分頁
interface ethernet0 auto
interface ethernet1 auto ------ 設置兩個網卡的類型為自適應
mtu outside 1500
mtu inside 1500 ------ 乙太網標準的MTU長度為1500位元組
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------
pix外網的ip地址61.144.51.42，內網的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------
pix入侵檢測的2個命令。當有數據包具有攻擊或報告型特徵碼時，pix將採取報警動作（預設動作），向指定的日誌記錄主機產生系統日誌消息；此外還可以作出丟棄數據包和發出tcp連接復位信號等動作，需另外配置。
pdm history enable ------ PIX設備管理器可以圖形化的監視PIX
arp timeout 14400 ------ arp表的超時時間
global (outside) 1 61.144.51.46 ------ 如果你訪問外部論壇或用QQ聊天等等，上面顯示的ip就是這個
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conit permit icmp any any
conit permit tcp host 61.144.51.43 eq www anyconit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43這個ip地址提供domain-name服務，而且只允許外部用戶訪問domain的udp埠
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部網關61.144.51.61
timeout xlate 3:00:00 ------
某個內部設備向外部發出的ip包經過翻譯(global)後，在預設3個小時之後此數據包若沒有活動，此前創建的表項將從翻譯表中刪除，釋放該設備佔用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------
AAA認證的超時時間，absolute表示連續運行uauth定時器，用戶超時後，將強制重新認證
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------
AAA伺服器的兩種協議。AAA是指認證，授權，審計。Pix防火牆可以通過AAA伺服器增加內部網路的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由於沒有設置snmp工作站，也就沒有snmp工作站的位置和聯系人
no snmp-server enable traps ------ 發送snmp陷阱
floodguard enable ------ 防止有人偽造大量認證請求，將pix的AAA資源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh訪問pix的超時時間
terminal width 80
Cryptochecksum:
PIX525#
PIX525#write memory ------ 將配置保存

⑷ PIX飛控雙攝像頭設置

雙目攝像頭與樹莓派通過USB介面來連接
樹莓派和Pixhawk飛控通過串口來通信。
首先，給樹莓派燒寫系統。
使用命令 cd 進入/home/pi/Dvision 該路徑，輸入命令ls 命令查。
編譯應用程序：進入/home/pi/Dvision 目錄下，輸入make，即可，再輸入ls 命令，可以看到生成了DvisionDemo 應用程序，
運行應用程序：在/home/pi/Dvision 目錄下，輸入./DvisionDemo，即可運行程序，可以看到程序列印的距離信息。
樹莓派端程序基本完成設置。

⑸ PIX 防火牆nameif inside這條命令是用來干什麼的

因為最新版的PIX採用ASA演算法，對埠所連接的網路進行保護。當你輸入nameif
inside
命令時，PIX本身會運行ASA演算法將此埠的保護級別設置為100

⑹ pix nat 命令使用

朋友你好,nat命令的後的這個"1"意思僅僅是一個標識,它和global命令後的那個數值是對應的.(這個值得取值范圍是1-2 147 483 647)

最後兩個0的語法意義,前面的0是指允許最大的並發連接數了,後面的0是指最大的半連接數量,兩者的默認值都是0,即不作限制,所以這里的兩個0也可以去掉的哈.

不知道你明白沒,如有疑問歡迎繼續討論哈.

祝你好運.

---------------------------
完整的nat用法:
For regular dynamic NAT:

nat (real_ifc) nat_id real_ip [mask [dns] [outside] [[tcp] tcp_max_conns [emb_limit]]
[udp udp_max_conns] [norandomseq]]
no nat (real_ifc) nat_id real_ip [mask [dns] [outside] [[tcp] tcp_max_conns [emb_limit]]
[udp udp_max_conns] [norandomseq]]

For policy dynamic NAT and NAT exemption:

nat (real_ifc) nat_id access-list access_list_name [dns] [outside]
[[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns] [norandomseq]
no nat (real_ifc) nat_id access-list access_list_name [dns] [outside]
[[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns] [norandomseq]

⑺ 什麼是PIX

PIX是CISCO公司開發的防火牆系列設備，主要起到策略過濾，隔離內外網，根據用戶實際需求設置DMZ（停火區）。它和一般硬體防火牆一樣具有轉發數據包速度快，可設定的規則種類多，配置靈活的特點。不同版本的PIX可以提供不同的防護配置方案，為你量身打造一個安全，便捷的網路環境，使您企業安全上網無後顧之憂，避免「火光之災」......

命令

Aaa允許、禁止或查看以前使用「aaa-server」命令為伺服器指定的TACACS+或RADIUS用戶認證、授權和帳戶

Aaa-server指定一個AAA伺服器

Access-group將訪問列表名綁定到介面名以允許或拒絕IP信息包進入介面

Access-list創建一個訪問列表

Alias管理雙向NAT中的重疊地址

Arp改變或查看ARP緩存，設置超時值

Auth-prompt改變AAA的提示文本

Ca配置PIX防火牆和CA的交互

Clock設置PIX防火牆時鍾以供PIX防火牆系統日誌伺服器和PKI協議使用

Conit為向內連接添加、刪除或顯示通過防火牆的管道

Configure清除或融合當前配置與軟盤或快閃記憶體中的配置。進入配置模式或查看當前配置

Cryptodynamic-map創建、查看或刪除一個動態加密映射項。

Cryptoipsec創建、查看或刪除與加密相關的全局值

Cryptomap創建、查看或刪除一個動態加密映射項，也用來刪除一個加密映射集

Debug通過PIX防火牆調試信息包或ICMP軌跡。

Disable退出特權模式並返回到非特權模式

Domain_name改變IPSec域名

Enable啟動特權模式

Enablepassword設置特權模式的口令

Exit退出訪問模式

Failover改變或查看到可選failover特性的訪問

Filter允許或禁止向外的URL或HTML對像過濾

Fixupprotocol改變、允許、禁止或列出一個PIX防火牆應用的特性

Flashfs清除快閃記憶體或顯示快閃記憶體扇區大小

Floodguard允許或禁止洪泛（FLOOD）保護以防止洪泛攻擊

Help顯示幫助信息

Global從一個全局地址池中創建或刪除項

Hostname改變PIX防火牆命令行提示中的主機名

Interface標示網路介面的速度和雙工屬性

Ip為本地池和網路介面標示地址

Ipsec配置IPSEC策略

Isakmp協商IPSEC策略聯系並允許IPSEC安全通信

Kill終止一個TELNET會話

Logging允許或禁止系統日誌和SNMP記錄

Mtu為一個介面指定MTU（最大流量單元）

Name/names關聯一個名稱和一個IP地址

Nameif命名介面並分配安全等級

Nat聯系一個網路和一個全局IP地址池

Outbound/apply創建一個訪問列表用於控制網際網路

Pager使能或禁止屏幕分頁

Passwd為TELNET和PIX管理者訪問防火牆控制台配置口令

Perfmon瀏覽性能信息

Ping決定在PIX防火牆上其他的IP地址是否可見

Quit退出配置或特權模式

Reload重新啟動或重新載入配置

Rip改變RIP設置

Route為指定的介面輸入一條靜態或預設的路由

Service復位向內連接

Session訪問一個嵌入式的ACCESSPRO路由器控制台

Show查看命令信息

Showblocks/clearblocks顯示系統緩沖區利用情況

Showchecksum顯示配置校驗和

Showconn列出所有的活躍連接

Showhistory顯示前面輸入的行

Showinterface顯示介面配置

Showmemory顯示系統內存的使用情況

Showprocesses顯示進程

Showtech-support查看幫助技術支持分析員診斷問題的信息

Showtraffic顯示介面的發送和接收活動

Showuauth未知（我沒搞過，嘿嘿）

Showversion瀏覽PIX防火牆操作信息

Showxlate查看地址轉換信息

Snmp-server提供SNMP事件信息

Static將局部地址映射為全局地址

Sysopt改變PIX防火牆系統項

Terminal改變控制台終端設置

Timeout設置空閑時間的最大值

Uauth(clearandshow)將一個用戶的所有授權高速緩存刪除

url-cache緩存響應URL過濾對WebSENSE伺服器的請求

url-server為使用folter命令指派一個運行WebSENSE的伺服器

virtual訪問PIX防火牆虛擬伺服器

who顯示PIX防火牆上的活躍的TELNET管理會話

write存儲、查看或刪除當前的配置

xlate(clearandshow)查看或清除轉換槽信息

⑻ Cisco PIX防火牆配置命令

Cisco PIX防火牆配置命令大全
show ip；查看介面ip地址。 show config；查看配置信息。 show run；顯示當前配置信息。 writeterminal；將當前配置信息寫到終端。 showcpuusage；顯示CPU利用率，排查故障時常用。 show traffic；查看流量。 show blocks；顯示攔截的數據包。 show mem；顯示內存 13、DHCP服務 PIX具有DHCP服務功能。 例： PIX525(config)#ipaddressdhcp PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside PIX525(config)#dhcpdns202.96.128.68202.96.144.47 PIX525(config)#dhcpdomainabc.com.cn 五、PIX防火牆舉例 設： ethernet0命名為外部介面outside，安全級別是0。 ethernet1被命名為內部介面inside，安全級別100。 ethernet2被命名為中間介面dmz，安全級別50。 PIX525#conft PIX525(config)# PIX525(config)# PIX525(config)#nameifethernet2dmzsecurity50 PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet2100full PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;設置介面IP PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;設置介面IP PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;設置介面IP PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定義的地址池 PIX525(config)#nat(inside)100;00表示所有 PIX525(config)#routeoutside00133.0.0.2;設置默認路由 PIX525(config)#static(dmz，outside)133.1.0.110.65.1.101;靜態NAT PIX525(config)#static(dmz，outside)133.1.0.210.65.1.102;靜態NAT PIX525(config)#static(inside，dmz)10.66.1.20010.66.1.200;靜態NAT PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;設置ACL PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;設置ACL PIX525(config)#access-list101denyipanyany;設置ACL PIX525(config)#access-group101ininterfaceoutside;將ACL應用在outside埠 當內部主機訪問外部主機時，通過nat轉換成公網IP，訪問internet。 當內部主機訪問中間區域dmz時，將自己映射成自己訪問伺服器，否則內部主機將會 映射成地址池的IP，到外部去找。 當外部主機訪問中間區域dmz時，對133.0.0.1映射成10.65.1.101，static是雙向的。 PIX的所有埠默認是關閉的，進入PIX要經過acl入口過濾。 靜態路由指示內部的主機和dmz的數據包從outside口出去。進入討論組討論。

⑼ 求~！cisco pix 防火牆的配置命令~！

任何企業安全策略的一個主要部分都是實現和維護防火牆，因此防火牆在網路安全的實現當中扮演著重要的角色。防火牆通常位於企業網路的邊緣，這使得內部網路與internet之間或者與其他外部網路互相隔離，並限制網路互訪從而保護企業內部網路。設置防火牆目的都是為了在內部網與外部網之間設立唯一的通道，簡化網路的安全管理。

在眾多的企業級主流防火牆中，cisco pix防火牆是所有同類產品性能最好的一種。cisco pix系列防火牆目前有5種型號pix506，515，520，525，535。其中pix535是pix 500系列中最新，功能也是最強大的一款。它可以提供運營商級別的處理能力，適用於大型的isp等服務提供商。但是pix特有的os操作系統，使得大多數管理是通過命令行來實現的，不象其他同類的防火牆通過web管理界面來進行網路管理，這樣會給初學者帶來不便。本文將通過實例介紹如何配置cisco pix防火牆。

在配置pix防火牆之前，先來介紹一下防火牆的物理特性。防火牆通常具有至少3個介面，但許多早期的防火牆只具有2個介面；當使用具有3個介面的防火牆時，就至少產生了3個網路，描述如下：

ø 內部區域（內網）。 內部區域通常就是指企業內部網路或者是企業內部網路的一部分。它是互連網路的信任區域，即受到了防火牆的保護。

ø 外部區域（外網）。 外部區域通常指internet或者非企業內部網路。它是互連網路中不被信任的區域，當外部區域想要訪問內部區域的主機和服務，通過防火牆，就可以實現有限制的訪問。

ø 停火區（dmz）。 停火區是一個隔離的網路，或幾個網路。位於停火區中的主機或伺服器被稱為堡壘主機。一般在停火區內可以放置web伺服器，mail伺服器等。停火區對於外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業的公開信息，但卻不允許他們訪問企業內部網路。注意：2個介面的防火牆是沒有停火區的。

由於pix535在企業級別不具有普遍性，因此下面主要說明pix525在企業網路中的應用。

pix防火牆提供4種管理訪問模式：

非特權模式。 pix防火牆開機自檢後，就是處於這種模式。系統顯示為pixfirewall>

特權模式。 輸入enable進入特權模式，可以改變當前配置。顯示為pixfirewall#

配置模式。 輸入configure terminal進入此模式，絕大部分的系統配置都在這里進行。顯示為pixfirewall(config)#

監視模式。 pix防火牆在開機或重啟過程中，按住escape鍵或發送一個「break」字元，進入監視模式。這里可以更新操作系統映象和口令恢復。顯示為monitor>

配置pix防火牆有6個基本命令：nameif，interface，ip address，nat，global，route.

這些命令在配置pix是必須的。以下是配置的基本步驟：

1. 配置防火牆介面的名字，並指定安全級別（nameif）。

pix525(config)#nameif ethernet0 outside security0

pix525(config)#nameif ethernet1 inside security100

pix525(config)#nameif dmz security50

提示：在預設配置中，乙太網0被命名為外部介面（outside），安全級別是0；乙太網1被命名為內部介面（inside），安全級別是100.安全級別取值范圍為1～99，數字越大安全級別越高。若添加新的介面，語句可以這樣寫：

pix525(config)#nameif pix/intf3 security40 （安全級別任取）

2. 配置以太口參數（interface）

pix525(config)#interface ethernet0 auto（auto選項表明系統自適應網卡類型 ）

pix525(config)#interface ethernet1 100full（100full選項表示100mbit/s乙太網全雙工通信 ）

pix525(config)#interface ethernet1 100full shutdown （shutdown選項表示關閉這個介面，若啟用介面去掉shutdown ）

3. 配置內外網卡的ip地址（ip address）

pix525(config)#ip address outside 61.144.51.42 255.255.255.248

pix525(config)#ip address inside 192.168.0.1 255.255.255.0

很明顯，pix525防火牆在外網的ip地址是61.144.51.42，內網ip地址是192.168.0.1

4. 指定要進行轉換的內部地址（nat）

網路地址翻譯（nat）作用是將內網的私有ip轉換為外網的公有ip.nat命令總是與global命令一起使用，這是因為nat命令可以指定一台主機或一段范圍的主機訪問外網，訪問外網時需要利用global所指定的地址池進行對外訪問。nat命令配置語法：nat (if_name) nat_id local_ip [netmark]

其中（if_name）表示內網介面名字，例如inside. nat_id用來標識全局地址池，使它與其相應的global命令相匹配，local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。[netmark]表示內網ip地址的子網掩碼。

例1．pix525(config)#nat (inside) 1 0 0

表示啟用nat,內網的所有主機都可以訪問外網，用0可以代表0.0.0.0

例2．pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0這個網段內的主機可以訪問外網。

5. 指定外部地址范圍（global）

global命令把內網的ip地址翻譯成外網的ip地址或一段地址范圍。global命令的配置語法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中（if_name）表示外網介面名字，例如outside.。nat_id用來標識全局地址池，使它與其相應的nat命令相匹配，ip_address-ip_address表示翻譯後的單個ip地址或一段ip地址范圍。[netmark global_mask]表示全局ip地址的網路掩碼。

例1． pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48

表示內網的主機通過pix防火牆要訪問外網時，pix防火牆將使用61.144.51.42-61.144.51.48這段ip地址池為要訪問外網的主機分配一個全局ip地址。

例2． pix525(config)#global (outside) 1 61.144.51.42

表示內網要訪問外網時，pix防火牆將為訪問外網的所有主機統一使用61.144.51.42這個單一ip地址。

例3. pix525(config)#no global (outside) 1 61.144.51.42

表示刪除這個全局表項。

6. 設置指向內網和外網的靜態路由（route）

定義一條靜態路由。route命令配置語法：route (if_name) 0 0 gateway_ip [metric]

其中（if_name）表示介面名字，例如inside，outside。gateway_ip表示網關路由器的ip地址。[metric]表示到gateway_ip的跳數。通常預設是1。

例1． pix525(config)#route outside 0 0 61.144.51.168 1

表示一條指向邊界路由器（ip地址61.144.51.168）的預設路由。

例2． pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1

pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1

如果內部網路只有一個網段，按照例1那樣設置一條預設路由即可；如果內部存在多個網路，需要配置一條以上的靜態路由。上面那條命令表示創建了一條到網路10.1.1.0的靜態路由，靜態路由的下一條路由器ip地址是172.16.0.1

這6個基本命令若理解了，就可以進入到pix防火牆的一些高級配置了。

a. 配置靜態ip地址翻譯（static）

如果從外網發起一個會話，會話的目的地址是一個內網的ip地址，static就把內部地址翻譯成一個指定的全局地址，允許這個會話建立。static命令配置語法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示內部網路介面，安全級別較高。如inside. external_if_name為外部網路介面，安全級別較低。如outside等。outside_ip_address為正在訪問的較低安全級別的介面上的ip地址。inside_ ip_address為內部網路的本地ip地址。

例1． pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8

表示ip地址為192.168.0.8的主機，對於通過pix防火牆建立的每個會話，都被翻譯成61.144.51.62這個全局地址，也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。

例2． pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3

例3． pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8

注釋同例1。通過以上幾個例子說明使用static命令可以讓我們為一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠為具有較低安全級別的指定介面創建一個入口，使它們可以進入到具有較高安全級別的指定介面。

b. 管道命令（conit）

前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射，但從外部到內部介面的連接仍然會被pix防火牆的自適應安全演算法(asa)阻擋，conit命令用來允許數據流從具有較低安全級別的介面流向具有較高安全級別的介面，例如允許從外部到dmz或內部介面的入方向的會話。對於向內部介面的連接，static和conit命令將一起使用，來指定會話的建立。

conit命令配置語法：

conit permit | deny global_ip port[-port] protocol foreign_ip [netmask]

permit | deny 允許 | 拒絕訪問

global_ip 指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0；如果global_ip是一台主機，就用host命令參數。

port 指的是服務所作用的埠，例如www使用80，smtp使用25等等，我們可以通過服務名稱或埠數字來指定埠。

protocol 指的是連接協議，比如：tcp、udp、icmp等。

foreign_ip 表示可訪問global_ip的外部ip。對於任意主機，可以用any表示。如果foreign_ip是一台主機，就用host命令參數。

例1. pix525(config)#conit permit tcp host 192.168.0.8 eq www any

這個例子表示允許任何外部主機對全局地址192.168.0.8的這台主機進行http訪問。其中使用eq和一個埠來允許或拒絕對這個埠的訪問。eq ftp 就是指允許或拒絕只對ftp的訪問。

例2. pix525(config)#conit deny tcp any eq ftp host 61.144.51.89

表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。

例3. pix525(config)#conit permit icmp any any

表示允許icmp消息向內部和外部通過。

例4. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3

pix525(config)#conit permit tcp host 61.144.51.62 eq www any

這個例子說明static和conit的關系。192.168.0.3在內網是一台web伺服器，現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射：192.168.0.3－>61.144.51.62（全局），然後利用conit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。

c. 配置fixup協議

fixup命令作用是啟用，禁止，改變一個服務或協議通過pix防火牆，由fixup命令指定的埠是pix防火牆要偵聽的服務。見下面例子：

例1． pix525(config)#fixup protocol ftp 21

啟用ftp協議，並指定ftp的埠號為21

例2． pix525(config)#fixup protocol http 80

pix525(config)#fixup protocol http 1080

為http協議指定80和1080兩個埠。

例3． pix525(config)#no fixup protocol smtp 80

禁用smtp協議。

d. 設置telnet

telnet有一個版本的變化。在pix os 5.0（pix操作系統的版本號）之前，只能從內部網路上的主機通過telnet訪問pix。在pix os 5.0及後續版本中，可以在所有的介面上啟用telnet到pix的訪問。當從外部介面要telnet到pix防火牆時，telnet數據流需要用ipsec提供保護，也就是說用戶必須配置pix來建立一條到另外一台pix，路由器或vpn客戶端的ipsec隧道。另外就是在pix上配置ssh，然後用ssh client從外部telnet到pix防火牆，pix支持ssh1和ssh2，不過ssh1是免費軟體，ssh2是商業軟體。相比之下cisco路由器的telnet就作的不怎麼樣了。

telnet配置語法：telnet local_ip [netmask]

local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項，pix的配置方式只能由console進行。

說了這么多，下面給出一個配置實例供大家參考。

welcome to the pix firewall

type help or 』?』 for a list of available commands.

pix525> en

password:

pix525#sh config

: saved

:

pix version 6.0(1) ------ pix當前的操作系統版本為6.0

nameif ethernet0 outside security0

nameif ethernet1 inside security100 ------ 顯示目前pix只有2個介面

enable password 7y051hhccoirtsqz encrypted

passed 7y051hhccoirtsqz encrypted ------ pix防火牆密碼在默認狀態下已被加密，在配置文件中不會以明文顯示，telnet 密碼預設為cisco

hostname pix525 ------ 主機名稱為pix525

domain-name 123.com ------ 本地的一個域名伺服器123.com，通常用作為外部訪問

fixup protocol ftp 21

fixup protocol http 80

fixup protocol h323 1720

fixup protocol rsh 514

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060 ------ 當前啟用的一些服務或協議，注意rsh服務是不能改變埠號

names ------ 解析本地主機名到ip地址，在配置中可以用名字代替ip地址，當前沒有設置，所以列表為空

pager lines 24 ------ 每24行一分頁

interface ethernet0 auto

interface ethernet1 auto ------ 設置兩個網卡的類型為自適應

mtu outside 1500

mtu inside 1500 ------ 乙太網標準的mtu長度為1500位元組

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0 ------ pix外網的ip地址61.144.51.42，內網的ip地址192.168.0.1

ip audit info action alarm

ip audit attack action alarm ------ pix入侵檢測的2個命令。當有數據包具有攻擊或報告型特徵碼時，pix將採取報警動作（預設動作），向指定的日誌記錄主機產生系統日誌消息；此外還可以作出丟棄數據包和發出tcp連接復位信號等動作，需另外配置。

pdm history enable ------ pix設備管理器可以圖形化的監視pix

arp timeout 14400 ------ arp表的超時時間

global (outside) 1 61.144.51.46 ------ 如果你訪問外部論壇或用qq聊天等等，上面顯示的ip就是這個

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0

conit permit icmp any any

conit permit tcp host 61.144.51.43 eq www any

conit permit udp host 61.144.51.43 eq domain any

------ 用61.144.51.43這個ip地址提供domain-name服務，而且只允許外部用戶訪問domain的udp埠

route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部網關61.144.51.61

timeout xlate 3:00:00 ------ 某個內部設備向外部發出的ip包經過翻譯(global)後，在預設3個小時之後此數據包若沒有活動，此前創建的表項將從翻譯表中刪除，釋放該設備佔用的全局地址

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute ------ aaa認證的超時時間，absolute表示連續運行uauth定時器，用戶超時後，將強制重新認證

aaa-server tacacs+ protocol tacacs+

aaa-server radius protocol radius ------ aaa伺服器的兩種協議。aaa是指認證，授權，審計。pix防火牆可以通過aaa伺服器增加內部網路的安全

no snmp-server location

no snmp-server contact

snmp-server community public ------ 由於沒有設置snmp工作站，也就沒有snmp工作站的位置和聯系人

no snmp-server enable traps ------ 發送snmp陷阱

floodguard enable ------ 防止有人偽造大量認證請求，將pix的aaa資源用完

no sysopt route dnat

telnet timeout 5

ssh timeout 5 ------ 使用ssh訪問pix的超時時間

terminal width 80

cryptochecksum:

pix525#

pix525#write memory ------ 將配置保存

上面這個配置實例需要說明一下，pix防火牆直接擺在了與internet介面處，此處網路環境有十幾個公有ip,可能會有朋友問如果我的公有ip很有限怎麼辦？你可以添加router放在pix的前面，或者global使用單一ip地址，和外部介面的ip地址相同即可。另外有幾個維護命令也很有用，show interface查看埠狀態，show static查看靜態地址映射，show ip查看介面ip地址，ping outside | inside ip_address確定連通性。