C. 配置fixup协议fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：例1． Pix525(config)#fixup protocol ftp 21启用ftp协议，并指定ftp的端口号为21例2． Pix525(config)#fixup protocol http 80Pix525(config)#fixup protocol http 1080为http协议指定80和1080两个端口。例3． Pix525(config)#no fixup protocol smtp 80禁用smtp协议。

　　D. 设置telnettelnet有一个版本的变化。在pix OS 5.0（pix操作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用 ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSH client从外部telnet到PIX防火墙，PIX支持SSH1和SSH2，不过SSH1是免费软件，SSH2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。telnet配置语法：telnet local_ip [netmask]local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。

　　说了这么多，下面给出一个配置实例供大家参考。

　　Welcome to the PIX firewall

　　Type help or '?' for a list of available commands.PIX525 enPassword:PIX525#sh config: Saved:PIX Version 6.0(1) ------ PIX当前的操作系统版本为6.0Nameif ethernet0 outside security0Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口Enable password 7Y051HhCcoiRTSQZ encryptedPassed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为ciscoHostname PIX525 ------ 主机名称为PIX525Domain-name 123.com ------ 本地的一个域名服务器123.com，通常用作为外部访问Fixup protocol ftp 21Fixup protocol http 80fixup protocol h323 1720fixup protocol rsh 514fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol sip 5060 ------ 当前启用的一些服务或协议，注意rsh服务是不能改变端口号names ------ 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空pager lines 24 ------ 每24行一分页interface ethernet0 autointerface ethernet1 auto ------ 设置两个网卡的类型为自适应mtu outside 1500mtu inside 1500 ------ 以太网标准的MTU长度为1500字节

　　ip address outside 61.144.51.42 255.255.255.248ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1ip audit info action alarmip audit attack action alarm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。pdm history enable ------ PIX设备管理器可以图形化的监视PIXarp timeout 14400 ------ arp表的超时时间global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个nat (inside) 1 0.0.0.0 0.0.0.0 0 0static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0conduit permit icmp any anyconduit permit tcp host 61.144.51.43 eq www anyconduit permit udp host 61.144.51.43 eq domain any------ 用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolute ------ AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证aaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全no snmp-server locationno snmp-server contactsnmp-server community public ------ 由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人no snmp-server enable traps ------ 发送snmp陷阱floodguard enable ------ 防止有人伪造大量认证请求，将pix的AAA资源用完no sysopt route dnattelnet timeout 5ssh timeout 5 ------ 使用ssh访问pix的超时时间terminal width 80Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7PIX525#PIX525#write memory ------ 将配置保存

　　上面这个配置实例需要说明一下，pix防火墙直接摆在了与internet接口处，此处网络环境有十几个公有ip,可能会有朋友问如果我的公有 ip很有限怎么办？你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，show interface查看端口状态，show static查看静态地址映射，show ip查看接口ip地址，ping outside | inside ip_address确定连通性。

　　本文只是对pix防火墙的基本配置做了相关描述，pix其他的一些功能例如AAA服务器，vpn等等限于篇幅，不再一一介绍。希望本文能够抛砖引玉，

　　若有兴趣的读者可以访问以下资源：http://www.cisco.com/global/CN/products/sc/index.shtmlpix防火墙中文资料http://www.cisco.com/en/US/products...ons_guides.htmlpix防火墙英文官方网站，详细的技术资料http://www.net130.com/ccnp-labs一个不错的pix在线实验

　　//配置能通过WEB界面管理PIX设备的工作站。pdm location r2.3.301yuanfujun 255.255.255.255 insidepdm location r2.1.602wuxuehua2 255.255.255.255 insidepdm location r1.2.602sunfei 255.255.255.255 insidepdm history enablearp timeout 14400

　　//配置地址转换，静态路由，双向访问列表，用ACL也可做。nat (inside) 0 access-list inside_outbound_nat0_aclnat (inside)0 202.102.54.0 255.255.255.0 0 0static (inside,outside) 202.102.54.0 202.102.54.0 netmask 255.255.255.0 0 0conduit permit tcp 202.102.54.208 255.255.255.240 ep www anyconduit permit udp 202.102.54.208 255.255.255.240 ep domain anyconduit permit tcp host 202.102.54.33 eq 15000 anyconduit permit tcp host 202.102.54.34 eq 15010 anyconduit permit tcp host 202.102.54conduit permit tcp host 202.102.54.75 range 8881 9999 anyroute outside 0.0.0.0 0.0.0.0 202.102.53.65 1route inside 202.102.54.0 255.255.255.0 202.102.54.2 1.33 eq 15010 any

　　//配置IPSEC，在PIX上设置加密算法，加密的接口timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05)00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol raduisaaa-sever LOCAL protocol localhttp server enable

　　编辑特别推荐:

　　CISCOASA防火墙IOS恢复与升级简明教程！