pix命令

⑴ 对于Cisco PIX防火墙配置命令 不是很熟悉 详细介绍下

可以参考下面的做法： 最近网上流行一种后门病毒:Iexplores.exe.(有的改成了rose.exe等，之后在注册表查找的时候注意更改即可)这个后可使后门种植者通过该 后门秘密控制受感染机器，这个病毒工作于Windows 32平台。 病毒会在硬盘的 根目录生成Iexplores.exe文件，这个文件的作用是：当你双击硬盘的盘符时， 系统会调用Iexplores.exe文件自动播放硬盘的内容，作为传播病毒的一种方式。 另外病毒可以通过移动存储介质进行传播(U盘,移动硬盘).大多的杀毒软件可以 对其进行查杀!但是感染症状依然存在; 感染症状:windows无法找到Iexplores.exe或者双击活动硬盘无法直接打开, 而是出现一对话框,只能通过右键---打开才能浏览分区内容. 解决方法:右键打开其中一受感染的盘符,在工具栏---文件夹选项--查看下, 选显示所有文件和文件夹,同时去除隐藏受保护的系统文件前的勾,你会发现在 你的盘符下多了一antorun.inf 的文件,打开我们可以看到如下的内容: [AUTORUN] open=Iexplorers.exe(叫做rose.exe的这里的内容也会变) 这句话的意思就是当你双击盘符时自动打开写入注册表中的病毒程序文件, 即使病毒被杀死,但是注册表的信息依然存在,这就是无法打开盘符的原因, 知道了原因,那么我们就来删除病毒在注册表中的残留信息,开始---运行中 输入regedit打开注册表编辑程序,ctrl+f打开查找命令,输入Iexplorers.exe, 点查找,接下来会在注册表中找到此键值.一般在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\下. For example:如果是你的移动硬盘的盘符f盘打不开,那么你将会在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\F\Shell\command\下发现此键值,把shell子键删除即可.f3查找 下一个,重复操作,直到所有的都清除.f5刷新,除盘符下的antorun.inf文件. 问题即可解决! 如果你的活动硬盘是F盘，则将注册表中 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\F\Shell 项删除 造成双击磁盘打不开，出现“windows无法找到Iexplores.exe”的原因是这样的： 首先你的活动硬盘感染了Win32.Hack.Tompai.b.65024这种病毒。在金上毒霸的网站上对于它是这么解释的： 这个病毒使用了后门，后门种植者通过该后门，秘密控制受感染机器，这个病毒工作于Windows 32平台。 ( http://db.kingsoft.com/c/2005/03/24/181620.shtml ) Tompai病毒会在活动硬盘的根目录生成Iexplores.exe文件，这个文件的作用是：当你双击活动硬盘的盘符时，系统会调用Iexplores.exe文件自动播放活动硬盘的内容，作为传播病毒的一种方式。 当你将活动硬盘接到某个主机上时，这台主机上可能装有金山毒霸，瑞星等杀毒工具，这些杀毒工具可以将活动硬盘根目录的病毒文件Iexplores.exe直接删除掉。 但是，病毒在注册表中留下的信息没有被清除掉，所以当你再准备双击打开活动硬盘时，系统仍然会按照注册表的描述去调用Iexplores.exe来播放活动硬盘的内容，由于这时文件已被删除，所以提示windows无法找到Iexplores.exe。 不需要什么修复啦，重装啦，更不要去格式化了！按照最开始说的方法改改注册表就行了 另外，记录一下我自己删除此病毒的方法： 首先按照以上方法删除注册表里面的所有有关键值，随后到任务管理器里面把rose.exe和dllrun32.exe（名字有点遗忘）如果不是，则在syestem32下面可以找到，先结束这些进程（一定要结束），然后把system32下面的相关文件删掉，最后把每个感染的盘符下面的病毒文件删掉、注销计算机就可以了。非常同意这个帖子的作者的一句话：“不需要什么修复啦，重装啦，更不要去格式化了！” 本人认为此病毒危害不算严重，但是很讨人厌，近期在我们学校传播很广，希望大家多注意。如果你遇见以下几种情况就说明你很有可能带有此病毒： 1.U盘在使用完以后点击“安全删除”却返回“无法现在删除”的信息 2.右键点击你的计算机盘符可以看见“自动播放”选项； 3.你的进程中有个叫rose.exe的进程。 阻止此病毒传播的最好方法就是每个人自觉的查看自己的U盘里面是否有可疑文件，如果有一定要删除！！我们教学楼某些机器里面已经携带有这种病毒，大家在考课件的时候请注意！～

麻烦采纳，谢谢!

⑵ PIX防火墙的显示命令

show interface ；查看端口状态。
show static ；查看静态地址映射。
show ip ；查看接口ip地址。
show config ；查看配置信息。
show run ；显示当前配置信息。
write terminal ；将当前配置信息写到终端。
show cpu usage ；显示CPU利用率，排查故障时常用。
show traffic ；查看流量。
show connect count ；查看连接数。
show blocks ；显示拦截的数据包。
show mem ；显示内存
13、DHCP 服务
PIX具有DHCP服务功能。
例：
PIX525(config)#ip address dhcp
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain

⑶ 思科pix配置命令介绍

PIX配置详解任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

在众多的企业级主流防火墙中，Cisco PIX防火墙是所有同类产品性能最好的一种。
Cisco PIX系列防火墙目前有5种型号PIX506，515，520，525，535。其中PIX535是PIX
500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的ISP等服务提供商。但是PIX特有的OS操作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过Web管理界面来进行网络管理，这样会给初学者带来不便。本文将通过实例介绍如何配置Cisco PIX防火墙。

在配置PIX防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：
内部区域（内网）:内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。
外部区域（外网）:外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。
停火区（DMZ）:停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。由于PIX535在企业级别不具有普遍性，因此下面主要说明PIX525在企业网络中的应用。 PIX防火墙提供4种管理访问模式：
非特权模式:PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>
特权模式:输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#
配置模式:输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式:PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor>配置PIX防火墙有6个基本命令：nameif，interface，ip address，nat，global，route.
这些命令在配置PIX是必须的。以下是配置的基本步骤：
1. 配置防火墙接口的名字，并指定安全级别（nameif）。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：
Pix525(config)#nameif pix/intf3 security40 （安全级别任取）

2. 配置以太口参数（interface）
Pix525(config)#interface ethernet0 auto（auto选项表明系统自适应网卡类型 ）
Pix525(config)#interface ethernet1 100full（100full选项表示100Mbit/s以太网全双工通信 ）
Pix525(config)#interface ethernet1 100full shutdown（shutdown选项表示关闭这个接口，若启用接口去掉shutdown ）

3. 配置内外网卡的IP地址（ip address）
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显，Pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1
4. 指定要进行转换的内部地址（nat）
网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。
nat命令配置语法：nat (if_name) nat_id local_ip [netmark]
其中（if_name）表示内网接口名字，例如inside.
Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，
local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。
[netmark]表示内网ip地址的子网掩码。
例1．Pix525(config)#nat (inside) 1 0 0 表示启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0
例2．Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 表示只有172.16.5.0这个网段内的主机可以访问外网。
5. 指定外部地址范围（global）
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。
Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中（if_name）表示外网接口名字，例如outside.。
Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，
ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。
[netmark global_mask]表示全局ip地址的网络掩码。
例1． Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2． Pix525(config)#global (outside) 1 61.144.51.42 表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。
例3. Pix525(config)#no global (outside) 1 61.144.51.42 表示删除这个全局表项。6. 设置指向内网和外网的静态路由（route）
定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip [metric]
其中（if_name）表示接口名字，例如inside，outside。
Gateway_ip表示网关路由器的ip地址。
[metric]表示到gateway_ip的跳数。通常缺省是1。例1． Pix525(config)#route outside 0 0 61.144.51.168 1
表示一条指向边界路由器（ip地址61.144.51.168）的缺省路由。
例2． Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由，静态路由的下一条路由器ip地址是172.16.0.1OK，这6个基本命令若理解了，就可以进入到pix防火墙的一些高级配置了。A. 配置静态IP地址翻译（static）
如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static命令配置语法：
static (internal_if_name，external_if_name) outside_ip_address inside_ip_address 其中internal_if_name表示内部网络接口，安全级别较高。如inside.
external_if_name为外部网络接口，安全级别较低。如outside等。
outside_ip_address为正在访问的较低安全级别的接口上的ip地址。
inside_ip_address为内部网络的本地ip地址。例1． Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8 表示ip地址为192.168.0.8的主机，对于通过pix防火墙建立的每个会话，都被翻译成61.144.51.62这个全局地址，也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。
例2． Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3． Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。B. 管道命令（conit）
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡，conit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接，static和conit命令将一起使用，来指定会话的建立。
conit命令配置语法：
conit permit | deny global_ip port[-port] protocol foreign_ip [netmask] permit | deny 允许 | 拒绝访问
global_ip:指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。
port 指的是服务所作用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。
protocol:指的是连接协议，比如：TCP、UDP、ICMP等。
foreign_ip:表示可访问global_ip的外部ip。对于任意主机，可以用any表示。如果foreign_ip是一台主机，就用host命令参数。例1. Pix525(config)#conit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。
Eq ftp 就是指允许或拒绝只对ftp的访问。
例2. Pix525(config)#conit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
例3. Pix525(config)#conit permit icmp any any
表示允许icmp消息向内部和外部通过。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conit的关系。192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：192.168.0.3－>61.144.51.62（全局），然后利用conit命令允许任何外部主机对全局地址61.144.51.62进行http访问。C. 配置fixup协议
fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：
例1． Pix525(config)#fixup protocol ftp 21 启用ftp协议，并指定ftp的端口号为21
例2． Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。
例3． Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。D. 设置telnet
telnet有一个版本的变化。在pix OS5.0（pix操作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSH client从外部telnet到PIX防火墙，PIX支持SSH1和SSH2，不过SSH1是免费软件，SSH2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。
telnet配置语法：telnet local_ip [netmask]
local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。

说了这么多，下面给出一个配置实例供大家参考。
Welcome to the PIX firewall
Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config
: Saved
:
PIX Version 6.0(1) ------ PIX当前的操作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------
pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为cisco Hostname PIX525 ------ 主机名称为PIX525
Domain-name 123.com ------ 本地的一个域名服务器123.com，通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议，注意rsh服务是不能改变端口号 names ------ 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------
pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------
pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。
pdm history enable ------ PIX设备管理器可以图形化的监视PIX
arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conit permit icmp any any
conit permit tcp host 61.144.51.43 eq www anyconit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
timeout xlate 3:00:00 ------
某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------
AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------
AAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱
floodguard enable ------ 防止有人伪造大量认证请求，将pix的AAA资源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80
Cryptochecksum:
PIX525#
PIX525#write memory ------ 将配置保存

⑷ PIX飞控双摄像头设置

双目摄像头与树莓派通过USB接口来连接
树莓派和Pixhawk飞控通过串口来通信。
首先，给树莓派烧写系统。
使用命令 cd 进入/home/pi/Dvision 该路径，输入命令ls 命令查。
编译应用程序：进入/home/pi/Dvision 目录下，输入make，即可，再输入ls 命令，可以看到生成了DvisionDemo 应用程序，
运行应用程序：在/home/pi/Dvision 目录下，输入./DvisionDemo，即可运行程序，可以看到程序打印的距离信息。
树莓派端程序基本完成设置。

⑸ PIX 防火墙nameif inside这条命令是用来干什么的

因为最新版的PIX采用ASA算法，对端口所连接的网络进行保护。当你输入nameif
inside
命令时，PIX本身会运行ASA算法将此端口的保护级别设置为100

⑹ pix nat 命令使用

朋友你好,nat命令的后的这个"1"意思仅仅是一个标识,它和global命令后的那个数值是对应的.(这个值得取值范围是1-2 147 483 647)

最后两个0的语法意义,前面的0是指允许最大的并发连接数了,后面的0是指最大的半连接数量,两者的默认值都是0,即不作限制,所以这里的两个0也可以去掉的哈.

不知道你明白没,如有疑问欢迎继续讨论哈.

祝你好运.

---------------------------
完整的nat用法:
For regular dynamic NAT:

nat (real_ifc) nat_id real_ip [mask [dns] [outside] [[tcp] tcp_max_conns [emb_limit]]
[udp udp_max_conns] [norandomseq]]
no nat (real_ifc) nat_id real_ip [mask [dns] [outside] [[tcp] tcp_max_conns [emb_limit]]
[udp udp_max_conns] [norandomseq]]

For policy dynamic NAT and NAT exemption:

nat (real_ifc) nat_id access-list access_list_name [dns] [outside]
[[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns] [norandomseq]
no nat (real_ifc) nat_id access-list access_list_name [dns] [outside]
[[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns] [norandomseq]

⑺ 什么是PIX

PIX是CISCO公司开发的防火墙系列设备，主要起到策略过滤，隔离内外网，根据用户实际需求设置DMZ（停火区）。它和一般硬件防火墙一样具有转发数据包速度快，可设定的规则种类多，配置灵活的特点。不同版本的PIX可以提供不同的防护配置方案，为你量身打造一个安全，便捷的网络环境，使您企业安全上网无后顾之忧，避免“火光之灾”......

命令

Aaa允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+或RADIUS用户认证、授权和帐户

Aaa-server指定一个AAA服务器

Access-group将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口

Access-list创建一个访问列表

Alias管理双向NAT中的重叠地址

Arp改变或查看ARP缓存，设置超时值

Auth-prompt改变AAA的提示文本

Ca配置PIX防火墙和CA的交互

Clock设置PIX防火墙时钟以供PIX防火墙系统日志服务器和PKI协议使用

Conit为向内连接添加、删除或显示通过防火墙的管道

Configure清除或融合当前配置与软盘或闪存中的配置。进入配置模式或查看当前配置

Cryptodynamic-map创建、查看或删除一个动态加密映射项。

Cryptoipsec创建、查看或删除与加密相关的全局值

Cryptomap创建、查看或删除一个动态加密映射项，也用来删除一个加密映射集

Debug通过PIX防火墙调试信息包或ICMP轨迹。

Disable退出特权模式并返回到非特权模式

Domain_name改变IPSec域名

Enable启动特权模式

Enablepassword设置特权模式的口令

Exit退出访问模式

Failover改变或查看到可选failover特性的访问

Filter允许或禁止向外的URL或HTML对像过滤

Fixupprotocol改变、允许、禁止或列出一个PIX防火墙应用的特性

Flashfs清除闪存或显示闪存扇区大小

Floodguard允许或禁止洪泛（FLOOD）保护以防止洪泛攻击

Help显示帮助信息

Global从一个全局地址池中创建或删除项

Hostname改变PIX防火墙命令行提示中的主机名

Interface标示网络接口的速度和双工属性

Ip为本地池和网络接口标示地址

Ipsec配置IPSEC策略

Isakmp协商IPSEC策略联系并允许IPSEC安全通信

Kill终止一个TELNET会话

Logging允许或禁止系统日志和SNMP记录

Mtu为一个接口指定MTU（最大流量单元）

Name/names关联一个名称和一个IP地址

Nameif命名接口并分配安全等级

Nat联系一个网络和一个全局IP地址池

Outbound/apply创建一个访问列表用于控制因特网

Pager使能或禁止屏幕分页

Passwd为TELNET和PIX管理者访问防火墙控制台配置口令

Perfmon浏览性能信息

Ping决定在PIX防火墙上其他的IP地址是否可见

Quit退出配置或特权模式

Reload重新启动或重新加载配置

Rip改变RIP设置

Route为指定的接口输入一条静态或缺省的路由

Service复位向内连接

Session访问一个嵌入式的ACCESSPRO路由器控制台

Show查看命令信息

Showblocks/clearblocks显示系统缓冲区利用情况

Showchecksum显示配置校验和

Showconn列出所有的活跃连接

Showhistory显示前面输入的行

Showinterface显示接口配置

Showmemory显示系统内存的使用情况

Showprocesses显示进程

Showtech-support查看帮助技术支持分析员诊断问题的信息

Showtraffic显示接口的发送和接收活动

Showuauth未知（我没搞过，嘿嘿）

Showversion浏览PIX防火墙操作信息

Showxlate查看地址转换信息

Snmp-server提供SNMP事件信息

Static将局部地址映射为全局地址

Sysopt改变PIX防火墙系统项

Terminal改变控制台终端设置

Timeout设置空闲时间的最大值

Uauth(clearandshow)将一个用户的所有授权高速缓存删除

url-cache缓存响应URL过滤对WebSENSE服务器的请求

url-server为使用folter命令指派一个运行WebSENSE的服务器

virtual访问PIX防火墙虚拟服务器

who显示PIX防火墙上的活跃的TELNET管理会话

write存储、查看或删除当前的配置

xlate(clearandshow)查看或清除转换槽信息

⑻ Cisco PIX防火墙配置命令

Cisco PIX防火墙配置命令大全
show ip；查看接口ip地址。 show config；查看配置信息。 show run；显示当前配置信息。 writeterminal；将当前配置信息写到终端。 showcpuusage；显示CPU利用率，排查故障时常用。 show traffic；查看流量。 show blocks；显示拦截的数据包。 show mem；显示内存 13、DHCP服务 PIX具有DHCP服务功能。 例： PIX525(config)#ipaddressdhcp PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside PIX525(config)#dhcpdns202.96.128.68202.96.144.47 PIX525(config)#dhcpdomainabc.com.cn 五、PIX防火墙举例 设： ethernet0命名为外部接口outside，安全级别是0。 ethernet1被命名为内部接口inside，安全级别100。 ethernet2被命名为中间接口dmz，安全级别50。 PIX525#conft PIX525(config)# PIX525(config)# PIX525(config)#nameifethernet2dmzsecurity50 PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet2100full PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;设置接口IP PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;设置接口IP PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;设置接口IP PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定义的地址池 PIX525(config)#nat(inside)100;00表示所有 PIX525(config)#routeoutside00133.0.0.2;设置默认路由 PIX525(config)#static(dmz，outside)133.1.0.110.65.1.101;静态NAT PIX525(config)#static(dmz，outside)133.1.0.210.65.1.102;静态NAT PIX525(config)#static(inside，dmz)10.66.1.20010.66.1.200;静态NAT PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;设置ACL PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;设置ACL PIX525(config)#access-list101denyipanyany;设置ACL PIX525(config)#access-group101ininterfaceoutside;将ACL应用在outside端口 当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。 当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会 映射成地址池的IP，到外部去找。 当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101，static是双向的。 PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。 静态路由指示内部的主机和dmz的数据包从outside口出去。进入讨论组讨论。

⑼ 求~！cisco pix 防火墙的配置命令~！

任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

在众多的企业级主流防火墙中，cisco pix防火墙是所有同类产品性能最好的一种。cisco pix系列防火墙目前有5种型号pix506，515，520，525，535。其中pix535是pix 500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的isp等服务提供商。但是pix特有的os操作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过web管理界面来进行网络管理，这样会给初学者带来不便。本文将通过实例介绍如何配置cisco pix防火墙。

在配置pix防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：

ø 内部区域（内网）。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。

ø 外部区域（外网）。 外部区域通常指internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

ø 停火区（dmz）。 停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置web服务器，mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。

由于pix535在企业级别不具有普遍性，因此下面主要说明pix525在企业网络中的应用。

pix防火墙提供4种管理访问模式：

非特权模式。 pix防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>

特权模式。 输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#

配置模式。 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#

监视模式。 pix防火墙在开机或重启过程中，按住escape键或发送一个“break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor>

配置pix防火墙有6个基本命令：nameif，interface，ip address，nat，global，route.

这些命令在配置pix是必须的。以下是配置的基本步骤：

1. 配置防火墙接口的名字，并指定安全级别（nameif）。

pix525(config)#nameif ethernet0 outside security0

pix525(config)#nameif ethernet1 inside security100

pix525(config)#nameif dmz security50

提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：

pix525(config)#nameif pix/intf3 security40 （安全级别任取）

2. 配置以太口参数（interface）

pix525(config)#interface ethernet0 auto（auto选项表明系统自适应网卡类型 ）

pix525(config)#interface ethernet1 100full（100full选项表示100mbit/s以太网全双工通信 ）

pix525(config)#interface ethernet1 100full shutdown （shutdown选项表示关闭这个接口，若启用接口去掉shutdown ）

3. 配置内外网卡的ip地址（ip address）

pix525(config)#ip address outside 61.144.51.42 255.255.255.248

pix525(config)#ip address inside 192.168.0.1 255.255.255.0

很明显，pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1

4. 指定要进行转换的内部地址（nat）

网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat (if_name) nat_id local_ip [netmark]

其中（if_name）表示内网接口名字，例如inside. nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。

例1．pix525(config)#nat (inside) 1 0 0

表示启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0

例2．pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0这个网段内的主机可以访问外网。

5. 指定外部地址范围（global）

global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中（if_name）表示外网接口名字，例如outside.。nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。

例1． pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48

表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。

例2． pix525(config)#global (outside) 1 61.144.51.42

表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。

例3. pix525(config)#no global (outside) 1 61.144.51.42

表示删除这个全局表项。

6. 设置指向内网和外网的静态路由（route）

定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip [metric]

其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。

例1． pix525(config)#route outside 0 0 61.144.51.168 1

表示一条指向边界路由器（ip地址61.144.51.168）的缺省路由。

例2． pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1

pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1

如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由，静态路由的下一条路由器ip地址是172.16.0.1

这6个基本命令若理解了，就可以进入到pix防火墙的一些高级配置了。

a. 配置静态ip地址翻译（static）

如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static命令配置语法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口，安全级别较高。如inside. external_if_name为外部网络接口，安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。

例1． pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8

表示ip地址为192.168.0.8的主机，对于通过pix防火墙建立的每个会话，都被翻译成61.144.51.62这个全局地址，也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。

例2． pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3

例3． pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8

注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。

b. 管道命令（conit）

前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡，conit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到dmz或内部接口的入方向的会话。对于向内部接口的连接，static和conit命令将一起使用，来指定会话的建立。

conit命令配置语法：

conit permit | deny global_ip port[-port] protocol foreign_ip [netmask]

permit | deny 允许 | 拒绝访问

global_ip 指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。

port 指的是服务所作用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。

protocol 指的是连接协议，比如：tcp、udp、icmp等。

foreign_ip 表示可访问global_ip的外部ip。对于任意主机，可以用any表示。如果foreign_ip是一台主机，就用host命令参数。

例1. pix525(config)#conit permit tcp host 192.168.0.8 eq www any

这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。eq ftp 就是指允许或拒绝只对ftp的访问。

例2. pix525(config)#conit deny tcp any eq ftp host 61.144.51.89

表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

例3. pix525(config)#conit permit icmp any any

表示允许icmp消息向内部和外部通过。

例4. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3

pix525(config)#conit permit tcp host 61.144.51.62 eq www any

这个例子说明static和conit的关系。192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：192.168.0.3－>61.144.51.62（全局），然后利用conit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

c. 配置fixup协议

fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：

例1． pix525(config)#fixup protocol ftp 21

启用ftp协议，并指定ftp的端口号为21

例2． pix525(config)#fixup protocol http 80

pix525(config)#fixup protocol http 1080

为http协议指定80和1080两个端口。

例3． pix525(config)#no fixup protocol smtp 80

禁用smtp协议。

d. 设置telnet

telnet有一个版本的变化。在pix os 5.0（pix操作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pix os 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在pix上配置ssh，然后用ssh client从外部telnet到pix防火墙，pix支持ssh1和ssh2，不过ssh1是免费软件，ssh2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。

telnet配置语法：telnet local_ip [netmask]

local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。

说了这么多，下面给出一个配置实例供大家参考。

welcome to the pix firewall

type help or ’?’ for a list of available commands.

pix525> en

password:

pix525#sh config

: saved

:

pix version 6.0(1) ------ pix当前的操作系统版本为6.0

nameif ethernet0 outside security0

nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口

enable password 7y051hhccoirtsqz encrypted

passed 7y051hhccoirtsqz encrypted ------ pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为cisco

hostname pix525 ------ 主机名称为pix525

domain-name 123.com ------ 本地的一个域名服务器123.com，通常用作为外部访问

fixup protocol ftp 21

fixup protocol http 80

fixup protocol h323 1720

fixup protocol rsh 514

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060 ------ 当前启用的一些服务或协议，注意rsh服务是不能改变端口号

names ------ 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空

pager lines 24 ------ 每24行一分页

interface ethernet0 auto

interface ethernet1 auto ------ 设置两个网卡的类型为自适应

mtu outside 1500

mtu inside 1500 ------ 以太网标准的mtu长度为1500字节

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1

ip audit info action alarm

ip audit attack action alarm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。

pdm history enable ------ pix设备管理器可以图形化的监视pix

arp timeout 14400 ------ arp表的超时时间

global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用qq聊天等等，上面显示的ip就是这个

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0

conit permit icmp any any

conit permit tcp host 61.144.51.43 eq www any

conit permit udp host 61.144.51.43 eq domain any

------ 用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口

route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61

timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute ------ aaa认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证

aaa-server tacacs+ protocol tacacs+

aaa-server radius protocol radius ------ aaa服务器的两种协议。aaa是指认证，授权，审计。pix防火墙可以通过aaa服务器增加内部网络的安全

no snmp-server location

no snmp-server contact

snmp-server community public ------ 由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人

no snmp-server enable traps ------ 发送snmp陷阱

floodguard enable ------ 防止有人伪造大量认证请求，将pix的aaa资源用完

no sysopt route dnat

telnet timeout 5

ssh timeout 5 ------ 使用ssh访问pix的超时时间

terminal width 80

cryptochecksum:

pix525#

pix525#write memory ------ 将配置保存

上面这个配置实例需要说明一下，pix防火墙直接摆在了与internet接口处，此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办？你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，show interface查看端口状态，show static查看静态地址映射，show ip查看接口ip地址，ping outside | inside ip_address确定连通性。