port 指的是所作用的端口，其中0代表所有端口

protocol 指的是連接協議，比如:TCP、UDP等

foreign_ip 表示可訪問global_ip的外部ip，其中表示所有的ip。

12. 設置telnet選項:

　telnet local_ip

local_ip 表示被允許通過telnet訪問到pix的ip地址(如果不設此項， PIX的配置只能由consle方式進行)。

13. 將配置保存:

wr mem

14. 幾個常用的網絡測試命令:

#ping

#show interface 查看端口狀態

#show static 查看靜態地址映射

六、PIX與路由器的結合配置

(一)、PIX防火墻

1、設置PIX防火墻的外部地址:

ip address outside 131.1.23.2

2、設置PIX防火墻的內部地址:

ip address inside 10.10.254.1

3、設置一個內部計算機與Internet上計算機進行通信時所需的全局地址池:

global1 131.1.23.10-131.1.23.254

4、允許網絡地址為10.0.0.0的網段地址被PIX翻譯成外部地址:

nat 110.0.0.0

5、網管工作站固定使用的外部地址為131.1.23.11:

static 131.1.23.11 10.14.8.50

6、允許從RTRA發送到到網管工作站的系統日志包通過PIX防火墻:

conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255

7、允許從外部發起的對郵件服務器的連接(131.1.23.10):

mailhost 131.1.23.10 10.10.254.3

8、允許網絡管理員通過遠程登錄管理IPX防火墻:

telnet 10.14.8.50

9、在位于網管工作站上的日志服務器上記錄所有事件日志:

syslog facility 20.7

syslog host 10.14.8.50

(二)、路由器RTRA

RTRA是外部防護路由器，它必須保護PIX防火墻免受直接攻擊，保護FTP/HTTP服務器，同時作為一個警報系統，如果有人攻入此路由器，管理可以立即被通知。

1、阻止一些對路由器本身的攻擊:www.net130.com

no service tcps mall-servers

2、強制路由器向系統日志服務器發送在此路由器發生的每一個事件，包括被存取斜砭芫?陌?吐酚善髖渲玫母謀洌徽飧齠?骺梢宰魑?韻低徹芾碓鋇腦縉讜ぞ??な居腥嗽謔醞脊セ髀酚善鰨?蛘咭丫?ト肼酚善鰨??謔醞脊セ鞣闌鵯劍?BR>logging trapde bugging

3、此地址是網管工作站的外部地址，路由器將記錄所有事件到此主機上:

logging 131.1.23.11

4、保護PIX防火墻和HTTP/FTP服務器以及防衛欺騙攻擊(見存取列表):

enable secret xxxxxxxxxxx

interface Ethernet 0

ipaddress 131.1.23.1 255.255.255.0

interfaceSerial 0

ip unnumbered ethernet 0

ip access-group 110 in

5、禁止任何顯示為來源于路由器RTRA和PIX防火墻之間的信息包，這可以防止欺騙攻擊:

access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog

6、防止對PIX防火墻外部接口的直接攻擊并記錄到系統日志服務器任何企圖連接PIX防火墻外部接口的事件:

access-list 110 deny ip any host 131.1.23.2 log
7、允許已經建立的TCP會話的信息包通過:

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

8、允許和FTP/HTTP服務器的FTP連接:

access-list 110 permit tcp any host 131.1.23.3 eq ftp

9、允許和FTP/HTTP服務器的FTP數據連接:

access-list 110 permit tcp any host 131.1.23.2 eq ftp-data

10、允許和FTP/HTTP服務器的HTTP連接:

access-list 110 permit tcp any host 131.1.23.2 eq www

11、禁止和FTP/HTTP服務器的別的連接并記錄到系統日志服務器任何企圖連接FTP/HTTP的事件:

access-list 110 deny ip any host 131.1.23.2 log

12、允許其他預定在PIX防火墻和路由器RTRA之間的流量:

access-list 110 permit ip any 131.1.23.0 0.0.0.255

13、限制可以遠程登錄到此路由器的IP地址:

line vty 0 4

login

password xxxxxxxxxx

access-class 10 in

14、只允許網管工作站遠程登錄到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改:

access-list 10 permit ip 131.1.23.11

(三)、路由器RTRB

RTRB是內部網防護路由器，它是你的防火墻的最后一道防線，是進入內部網的入口。

1、記錄此路由器上的所有活動到網管工作站上的日志服務器，包括配置的修改:www.net130.com

logging trap debugging

logging 10.14.8.50

2、允許通向網管工作站的系統日志信息:

interface Ethernet 0

ip address 10.10.254.2 255.255.255.0

no ip proxy-arp

ip access-group 110 in

access-list 110 permit udp host 10.10.254.0 0.0.0.255

3、禁止所有別的從PIX防火墻發來的信息包:

access-list 110 deny ip any host 10.10.254.2 log

4、允許郵件主機和內部郵件服務器的SMTP郵件連接:

access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp

5、禁止別的來源與郵件服務器的流量:

access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255

6、防止內部網絡的信任地址欺騙:

access-list deny ip any 10.10.254.0 0.0.0.255

7、允許所有別的來源于PIX防火墻和路由器RTRB之間的流量:

access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255

8、限制可以遠程登錄到此路由器上的IP地址:

line vty 0 4

login

password xxxxxxxxxx

access-class 10 in

9、只允許網管工作站遠程登錄到此路由器，當你想從Internet管理此路由器時，應對此存取控制列表進行修改:

access-list 10 permit ip 10.14.8.50

按以上設置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判斷出內部任何一臺主機的IP地址，即使告訴了內部主機的IP地址，要想直接對它們進行Ping和連接也是不可能的。這樣就可以對整個內部網進行有效的保護