思科PIX防火墙的基本配置
【项目目标】
掌握PIX防火墙基本配置方法。
【项目背景】
某公司使用CiscoPIX515防火墙连接到i
ter
et，ISP分配给该公司一段公网IP地址。公司具有Web服务器和Ftp服务器，要求让内网用户和外网用户都能够访问其web服务和FTP服务，但外部网络用户不可以访问内网。
【方案设计】
1总体设计ISP分配给该公司一段公网IP地址为611126111254。在DMZ区域放置一台Web
服务器和一台Ftp服务器，使用61113和61114这两个全局IP地址分别将Web服务器和Ftp服务器发布到I
ter
et。利用访问控制列表来控制外网用户的访问。2任务分解
任务1：防火墙基本配置。任务2：接口基本配置。任务3：配置防火墙默认路由。任务4：配置内网用户访问外网规则。任务5：发布DMZ区域的服务器。任务6：配置访问控制列表。任务7：查看与保存配置。3知识准备所有的防火墙都是按以下两种情况配置的：（1）拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型。（2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。不过大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的内部用户能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。4拓扑结构：如图817所示。
1921681
Web
PIX515
i
side
outsid
dmz
I
ter
e
FileServer
5设备说明
图817项目拓扑结构
f以PIX515防火墙7X版本的操作系统为例，介绍其配置过程。在配置之前先假设pix515防火墙的ether
et0接口作为外网接口命名为outside，并分配全局IP地址为61112；ether
et1接口作为内网接口命名为i
side，并分配私有IP地址为19216811；ether
et2接口作为DMZ接口，并分配私有IP地址为19216821。内网的私有IP地址使用范围为192168111921681254，子网掩码为2552552550。防火墙的下一跳路由器地址假设为61111；dmz区域中Web服务器IP地址取19216823，Ftp服务器IP地址取19216824。
【项目实施】
任务1：防火墙基本配置
1任务描述：掌握防火墙基本配置方法
2操作步骤：步骤1：设置防火墙的特权密码
firewalle
firewallco
ftfirewallco
fige
ablepasswordstar步骤2：设置防火墙的名称
firewallco
fighost
amepix515pix515co
fig
步骤3：设置防火墙的域名pix515co
figdomai
amea
dycom
步骤4：设置防火墙的登陆密码
pix515co
figpasswdcisco
任务2：接口基本配置
1r