PIX基本配置-1.docx

CLI PIX防火墙支持基于Cisco IOS的命令集，并提供了4种管理访问模式：非特权模式（用户模式）；特权模式；配置模式；监控模式。在每种模式下，可以把命令缩写成最少但唯一的字符串。如，可以输入write t来查看配置信息，输入co t代替configure terminal，进入配置模式。在PIX防火墙命令行中可以获得帮助信息，输入help或？能够列出所有的命令。如果在一个命令后面输入？，会列出这个命令的说明和语法。如果在一个命令的前面输入help，会列出这个命令的语法和说明。另外，在命令行中可以只输入命令本身，然后回车，可以查看这个命令的语法。和Cisco IOS路由器相比，在PIX防火墙CLI环境的配置模式下可以执行所有的功能，不必从配置模式退出来，就可以列出正在运行的和当前保存的配置，可以使用所有的show和debug命令。1、基本命令通过enable命令进入特权模式。命令enable语法是：enable priv_levelenable password pw level priv_level encryptedpriv_level特权级别，从0到15；pw大小写敏感的密码，长度为3到16个数字或字母；encrypted指明输入的密码为加密后的值。（即使密码是空的，也会被转换成加密字符串）命令enable password可以设置特权模式下的密码。创建密码后，无法再看到这个密码，命令show enable password命令列出密码的加密形式。经过加密的密码，不能回复成明文。使用configure terminal从特权模式变为配置模式。使用exit或者quit退出。命令hostname可以改变提示符中的主机名。缺省的主机名是pixfirewall。二、配置PIX防火墙在配置模式下输入setup，进入配置对话框模式。设置对话框的目的是对PIX防火墙进行预先配置，以便能够和PIX设备管理器（PDM）进行通信。PDM是一个GUI工具，用来配置和监控PIX防火墙。除了个别命令不能支持（都是很少使用的命令），PDM提供了一个友好的界面，足够用来配置和管理单个PIX防火墙。1、查看与保存配置命令show running-config可以把PIX防火墙RAM中当前配置显示在终端上，也可以使用write terminal来显示当前配置。命令write memory把当前正在运行的配置保存到闪存中，当配置写到闪存中后，可以通过命令show startup-config或show configure来查看。show history可以显示出以前输入的命令。2、命令write erase与tftp-server命令write erase可以清除闪存中的配置。命令tftp-server用来指定TFTP服务器的IP地址，可以使用该服务器把PIX防火墙的配置发布到PIX防火墙。使用tftp-server和configure net可以从配置中读信息，命令write net可以把配置信息保存到指定的文件中。命令configure net和write net的IP地址后面跟的是命令tftp-server中的路径名。命令tftp-server中指定文件或路径名越详细，命令configure net和write net需要指定的内容就越少。如果tftp-server命令中指定了完整的路径名和文件名，configure net和write net命令中的IP地址可以用冒号（：）来代替。命令no tftp-server禁止访问服务器，而命令clear tftp-server把tftp-server命令从配置文件中删除。命令show tftp-server列出当前配置文件中tftp-server命令语句。命令tftp-server语法如下：tftp-server if-name ip_address pathif-nameTFTP服务器驻留的接口名称。如果没有指定，缺省使用内部接口。如果指定了外部接口，一个警告信息会提示外部接口不安全；ip_addressTFTP服务器的IP地址或网络；path配置文件的路径和文件名。路径的格式和服务器操作系统上使用的格式不同。路径信息直接送到服务器，不会进行理解或检查。TFTP服务器上必须有配置文件。许多TFTP服务器要求配置文件是全球可写（world-writable）和全球可读（world-readable）PIX防火墙只支持一台TFTP服务器。如果删除了配置文件，要想让PIX防火墙从TFTP服务器上读一个新的配置文件，必须重新启动和TFTP服务器相连的PIX防火墙的接口，并给它设置IP地址。3、命令write net与configure net命令write net可以把当前的配置保存到TFTP服务器或网络其他地方的一个文件上。命令configure net把当前运行的配置文件和存放在指定IP地址上的TFTP配置进行合并，从指定名称的文件中读取配置信息。如果在tftp-server命令中，同时指明了IP地址和配置文件的完整路径，configure net和write net命令中server_ip和文件名可以忽略，或者用冒号（：）代替。如果TFTP服务器上已有一个PIX防火墙，当在这个服务器上用相同的名字保存一个更小的配置时，有些TFTP服务器把一些旧的配置信息保留着，放在第一个“end”标志后面。这样并不影响PIX防火墙，因为configure net命令在读到第一个“end”标志时，就不再继续读了。不过，如果查看配置文件时，看到配置文件结尾的后面还有多余的文本，可能会有点困惑。如果你使用的是运行在Windows NT上的Cisco TFTP服务器版本，就不存在这个问题。下面例子中指定TFTP服务器地址为1，到文件test_config的路径是pixfirewall/config。因为没有指定TFTP服务器驻留的接口，默认使用内部接口。命令configure net告诉PIX读取名为test_config的文件，并把它和当前运行的配置文件进行合并。命令write net告诉PIX防火墙把合并后的配置生成test_config文件（在这种情况下，文件会被覆盖）。pixfirewall(config)#tftp-server 1 pixfirewall/config/test_configpixfirewall(config)#configure net :pixfirewall(config)#write net :为了更容易查看保存的配置文件，给配置文件七名的时候可以用.rtf作为扩展名。缺省的情况下，可以使用微软的word或wordpad软件打开。命令write net和configure net的语法如下：write net server_ip:filenameconfigure net server_ip:filenameserver_ip网络上可用的TFTP主机的IP地址。如果使用tftp-server命令指定了一台服务器，在命令write中就不用再指定，可以只使用冒号（：），不用再输入IP地址；filename用来指明配置文件位置的文件名，该文件位于前面用server_ip指定的TFTP服务器上。如果用tftp-server命令设定了文件名，在write命令中就不要再指定了，可以只使用冒号（：），不写文件名。4、命令name使用命令name可以在PIX防火墙上配置一个名字到IP地址的对应列表。这样，在配置的过程中就可以使用名字来代替IP地址。语法如下：name ip_address nameip_address被命令的IP地址；name分配一个名字的IP地址。命令names用来启动命令name的使用，即在使用命令name之前，必须先使用命令names。命令clear names从PIX防火墙的配置中删除名字列表。命令no names禁止使用文本格式的名字，但不会从配置中删除这些名字。命令show names可以列出配置中name命令语句。在命令的前面加上no可以删除或禁用大部分命令，另外一个删除配置命令的方式是clear命令。clear命令通常会删除所有以相同命令开头的命令。5、命令reload命令reload可以让PIX防火墙重新启动，并从闪存中重新加载配置信息。重新加载以后，原来做的配置修改，如果没有保存到闪存中，都会丢失。在进行重启之前，应使用write memory把当前的配置保存到闪存中。选项noconfirm可以让PIX防火墙重新加载，而不需要用户确认。PIX不支持关键字noconfirm的缩写形式。三、检查PIX防火墙的状态1、命令show memory命令show memory可以显示最大物理内存的总和，显示PIX防火墙操作系统当前可用的空闲内存。2、show version命令show version用来显示PIX防火墙的软件版本，自从上次重启以后的运行时间、处理器类型、闪存类型、接口板、序列号（BIOS标识符）、激活密钥值。PIX防火墙软件版本5.3或更高的版本中，show version命令列出的序列号是针对闪存BIOS的，和主板上的序列号是完全不同的。要对软件进行更新，需要show version命令列出的序列号，而不是主板上的号码。3、命令show ip address命令show ip address用来查看每个网络接口上分配的IP地址。当前的IP地址和故障倒换活动防火墙的系统IP地址相同。当活动防火墙出现故障以后，当前的IP地址变成备用防火墙上的地址。4、命令show interface命令show interface可以查看网络接口信息，用于确定类似于双工不匹配这类物理连接问题。在建立连接关系时，这个命令是你首先应该使用的几个命令之一。5、命令show cpu usage命令show cpu usage显示CPU的使用情况。如果对于时间间隔来说，利用率是不可知的，显示为NA（not available）。当用户在5秒钟，1分钟和5分钟间隔之前询问CPU的利用率，会发生这种情况。6、命令ping命令ping确定PIX是否已经连接好，或者网络上某台主机是否可达。命令输出显示是否收到了响应。如果收到了响应，标明主机在网络上，如果没有，命令输出显示“No response received”（这种情况下，应该使用show interface命令来确认PIX防火墙已经连接到网络，并且正在放松数据）。缺省情况下，ping命令尝试三次到达目的地址。如果想让内部的主机能够ping外部的主机，必须创建一个针对echo-reply的ICMP审计或访问列表。如果正在ping的主机或路由器之间经过