PIX防火墙配置实例系列

network

PIX防火墙校园网配置实例




本篇文章为大家呈现某学校的PIX525配置实例，并为关键语句给出了详细注释。
　　
　　Welcome to the PIX firewall
　　
　　Type help or '?' for a list of available commands.
　　
　　PIX525> en
　　Password:
　　PIX525#sh config
　　Saved
　　
　　PIX Version 6.0(1)
　　
　　PIX当前的操作系统版本为6.0
　　
　　Nameif ethernet0 outside security0
　　
　　Nameif ethernet1 inside security100
　　
　　显示目前pix只有2个接口
　　
　　Enable password 7Y051HhCcoiRTSQZ encrypted
　　Passed 7Y051HhCcoiRTSQZ encrypted
　　
　　pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为cisco
　　
　　Hostname PIX525
　　
　　主机名称为PIX525
　　
　　Domain-name 123.com
　　
　　本地的一个域名服务器123.com，通常用做外部访问
　　
　　Fixup protocol ftp 21
　　Fixup protocol http 80
　　fixup protocol h323 1720
　　fixup protocol rsh 514
　　fixup protocol smtp 25
　　fixup protocol sqlnet 1521
　　fixup protocol sip 5060
　　
　　当前启用的一些服务或协议，注意rsh服务是不能改变端口号。
　　
　　names
　　
　　解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表中为空。
　　
　　pager lines 24
　　
　　每24行一分页。
　　
　　interface ethernet0 auto
　　interface ethernet1 auto
　　
　　设置两个网卡的类型为自适应。
　　
　　mtu outside 1500
　　mtu inside 1500
　　
　　以太网标准的MTU长度为1500字节。
　　
　　ip address outside 61.144.51.42 255.255.255.248
　　ip address inside 192.168.0.1 255.255.255.0
　　
　　pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1
　　
　　ip audit info action alarm
　　ip audit attack action alarm
　　
　　pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。
　　
　　pdm history enable
　　
　　PIX设备管理器可以图形化的监视PIX
　　
　　arp timeout 14400
　　
　　arp表的超时时间
　　
　　global (outside) 1 61.144.51.46
　　
　　如果你访问外部论坛或用QQ聊天等等，上面显示的ip就是这个，也就是内部网络都使用61.144.51.46这个IP和外界通讯。
　　
　　nat (inside) 1 0.0.0.0 0.0.0.0 0 0
　　static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
　　conduit permit icmp any any
　　conduit permit tcp host 61.144.51.43 eq www any
　　conduit permit udp host 61.144.51.43 eq domain any
　　
　　用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口。
　　
　　route outside 0.0.0.0 0.0.0.0 61.144.51.61 1
　　
　　外部网关61.144.51.61
　　
　　timeout xlate 3:00:00
　　
　　某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址。
　　
　　timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
　　
　　timeout uauth 0:05:00 absolute
　　
　　AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证。
　　
　　aaa-server TACACS+ protocol tacacs+
　　aaa-server RADIUS protocol radius
　　
　　AAA服务器的两种协议。AAA是指认证，授权，审计。Pix防火墙可以通过AAA服务器增加内部网络的安全。
　　
　　no snmp-server location
　　no snmp-server contact
　　snmp-server community public
　　
　　由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人。
　　
　　no snmp-server enable traps
　　
　　发送snmp陷阱。
　　
　　floodguard enable
　　
　　防止有人伪造大量认证请求，将pix的AAA资源用完。
　　
　　no sysopt route dnat
　　telnet timeout 5
　　ssh timeout 5
　　
　　使用ssh访问pix的超时时间
　　
　　terminal width 80
　　Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
　　PIX525#
　　PIX525#write memory
　　
　　将配置保存
　　
　　上面这个配置实例还需要说明一下，该pix防火墙直接摆在了与internet接口处，此处网络环境有十几个公有ip,当然如果你的公司公网IP不够用的话可以使用global命令强制使用单一ip地址，该IP地址和外部接口的ip地址相同即可。
　　
　　在实际工作中我们可以使用show interface查看端口状态，show static查看静态地址映射，show ip查看接口ip地址，ping outside|inside ip_address确定连通性。这些都是在故障发生后调试所必须的命令。

network

inside、outside和dmz之间的访问
现有条件：100M宽带接入,分配一个合法的IP（222.134.135.98）（只有1个静态IP是否够用？）；Cisco防火墙PiX515e-r-DMZ-BUN１台（具有Inside、Outside、DMZ三个RJ45接口）!请问能否实现以下功能：
１、内网中的所有用户可以防问Internet和DMZ中的WEB服务器。
２、外网的用户可以防问DMZ区的Web平台。
３、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器。
注：DMZ区WEB服务器作为应用服务器，使用内网中的数据库服务器。解决方案：
一、 概述
本方案中，根据现有的设备，只要1个合法的IP地址（电信的IP地址好贵啊，1年租期10000元RMB），分别通过PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以实现所提的功能要求。
二、 实施步骤
初始化Pix防火墙：
给每个边界接口分配一个名字，并指定安全级别
pix515e(config)# nameif ethernet0 outside security0
pix515e(config)# nameif ethernet1 inside security100
pix515e(config)# nameif ethernet2 dmz security50给每个接口分配IP地址
pix515e(config)# ip address outside 222.134.135.98 255.255.255.252
pix515e(config)# ip address inside 192.168.1.1 255.255.255.0
pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0
为Pix防火墙每个接口定义一条静态或缺省路由
pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1
（通过IP地址为222.134.135.97的路由器路由所有的出站数据包／外部接口／）
pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1
pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1
pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1
配置Pix防火墙作为内部用户的DPCH服务器
pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 inside
pix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68
pix515e(config)# dhcpd enable inside
1、配置Pix防火墙来允许处于内部接口上的用户防问Internet和堡垒主机
同时允许DMZ接口上的主机可以防问Internet
通过设置NAT和PAT来实现高安全级别接口上的主机对低安全级别接口上的主机的防问。
（1）命令如下：
pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0
pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0
pix515e(config)# global (outside) 10 interface
pix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0
（2）第一个nat命令允许在安全级别为100的内部接口上的主机，去连接那些安全级别比它低的接口上的主机。在第一个命令中，低安全级别接口上的主机包括外部接口上的主机和非军事区／DMZ／上的主机。第二个nat命令允许在安全级别为50的DMZ上的主机，去连接那些安全级别比它低的接口上的主机。而在第二个命令中，低安全级别的接口只包含外部接口。
（3）因为全局地址池和nat (inside)命令都使用nat_id为10，所以在192.168.1.0网络上的主机地址将被转换成任意地址池中的地址。因此，当内部接口上用户访问DMZ上的主机时，它的源地址被转换成global (dmz)命令定义的10.0.0.10-10.0.0.254范围中的某一个地址。当内部接口上的主机防问Internet时，它的源地址将被转换成global (outside)命令定义的222.134.135.98和一个源端口大于1024的结合。
（4）当DMZ上用户访问外部主机时，它的源地址被转换成global (outside)命令定义的222.134.135.98和一个源端口大于1024的结合。Global (dmz)命令只在内部用户访问DMZ接口上的Web服务器时起作用。（5）内部主机访问DMZ区的主机时，利用动态内部NAT——把在较安全接口上的主机地址转换成不太安全接口上的一段IP地址或一个地址池（10.0.0.10-10.0.0.254）。内部主机和DMZ区的主机防问Internet时，利用PAT——1个IP地址和一个源端口号的结合，它将创建一个惟一的对话，即PAT全局地址（222.134.135.98）的源端口号对应着内部或DMZ区中的唯一的IP地址来标识唯一的对话。PAT全局地址（222.134.135.98）的源端口号要大于1024。理论上，在使用PAT时，最多可以允许64000台内部主机使用一个外部IP地址，从实际环境中讲大约4000台内部的主机可以共同使用一个外部IP地址。）
2、 配置PIX防火墙允许外网的用户可以防问DMZ区的Web服务器
通过配置静态内部转换、ACL和端口重定向来实现外网对DMZ区的Web防问。
（1）命令如下
static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0
access-list outside_access_in line 1 permit tcp any interface outside
access-group 101 in interface outside
（2）PIX防火墙静态PAT所使用的共享全局地址可以是一个惟一的地址，也可以是一个共享的出站PAT地址，还可以与外部接口共享一个地址。
（3）Static静态转换中“DNS”表示进行“DNS记录转换”
DNS记录转换应用在当内部的主机通过域名连接处于内部的服务器，并且用来进行域名解析的服务器处于PIX防火墙外部的情况下。
一个处于内网中的客户端通过域名向地址为10.0.0.2的Web服务器发送一个HTTP请示。首先要通过PIX防火墙外部接口上的DNS服务器进行域名解析，因此客户端将DNS解析请求包发送到PIX防火墙上。当PIX防火墙收到客户端的DNS解析请求包时，将IP头中不可路由的源地址进行转换，并且将这个DNS解析请求转发到处于PIX防火墙外部接口上的DNS服务器。DNS服务器通过A-记录进行地址解析，并将结果返回到客户端。当PIX防火墙收到DNS解析回复后，它不仅要将目的地址进行转换，而且还要将DNS解析回复中的地址替换成Web服务器的实际地址。然后PIX防火墙将DNS解析发回客户端。这样所产生的结果是，当客户端收到这个DNS解析回复，它会认为它与Web服务器处于内部网络中，可以通过DMZ接口直接到达。
3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器
通过静态内部转换可以实现DMZ区的主机对内网中的主机的防问。
（1）命令如下：
static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0
access-list dmz_access_in line 1 permit tcp any any
access-group dmz_access_in in interface dmz
（2）静态内部地址转换可以让一台内部主机固定地使用PIX防火墙全局网络中的一个地址。使用Static命令可以配置静态转换。Static命令创建一个在本地IP地址和一个全局IP地址之间的永久映射（被称为静态转换槽或xlate），可以用来创建入站和出站之间的转换。
除了Static命令之外，还必须配置一个适当的访问控制列表（ACL），用来允许外部网络对内部服务器的入站访问.

network

PIX515E failover相关问题及IOS升降级步骤






一、  环境描述：
1、PIX515设备2台：






设备





PIX515E(主)





PIX515E(备)






是否已做配置





是





否






软件版本





6.3(1)





7.2(1)






内存大小





64MB





128MB(2根64MB)






闪存大小





16MB





16MB









2、笔记本电脑一台。

二、  问题描述：
想把这两台PIX做failover，但按目前的设备情况做了以后，发现以下问题：用show failover命令查看FO状态：primary和standby关键字正常，但standby的PIX上各端口的状态为Unknown；且主PIX和备PIX上前面板的ACT灯都是亮的。经过确认，主PIX和备PIX各端口的电缆连接均正常，failover电缆连接也没问题。两台设备按先主后备的顺序重启多次，问题依旧。

三、  解决问题：
1、先将备PIX的其中一根64MB的内存拔掉，仅留另一根64MB内存，以保证主、备两台PIX内存大小的一致。只剩64MB内存后，由于备PIX仍是7.2版本的IOS，因此会有个报错，提示你内存容量最小应该为128MB。但之后我们要对备PIX做降级操作，因此此条报错我们先忽略。
2、考虑到主PIX上的配置是已经做好的，如果升级到7.2的软件版本，那么势必将对某些配置做改动，为了保险起见，决定将备PIX的软件版本降级。
3、我们手头仅有6.3(5)的IOS版本，打算先做备PIX的降级操作，步骤如下：
A、笔记本电脑配置好TFTP，提供TFTP服务，把TFTP的默认目录设置为IOS软件所在的目录（或者把IOS软件拷贝到TFTP的默认目录下）。此次提供TFTP服务用到的软件是3CDaemon。
B、确保从备PIX到笔记本的连通性正常。
C、在PIX上执行命令：copy tftp flash，根据提示输入：
a、TFTP服务器的IP地址；
b、需要上传到PIX的文件名。






D、执行downgrade flash: /<filename>命令将刚才传到PIX上的IOS软件灌入系统。






E、稍后重启PIX。如果顺利，此时用sh version命令应该看到当前的软件版本为6.3(5)，而且当前的软件版本中不会提示最小内存容量为128MB。






4、做完备PIX的降级以及之前的调整内存容量工作，此时再看看两台PIX是否能正常FO，连接好各电缆，按先主后备的顺序启动PIX，FO状态仍然不对，而且此时通过超级终端连接到备PIX上时，会有告警提示软件版本不一致。
5、接下来做主PIX上的IOS版本升级操作，步骤如下：
A、前三步和之前的备PIX降级操作一样，不过到第三步的最后，主PIX的升级过程会自动将新传入的IOS灌入系统，也就是说不需要做降级过程的第四步操作。
B、稍后重启PIX。如果顺利，此时用sh version命令应该看到当前的软件版本为6.3(5)，而且所有配置都在，可以说明从6.3(1)到6.3(5)的升级过程不影响配置文件。
6、此时两台PIX515E的软件版本及其他各项与FO相关的指标都达到一致，再做FO时，状态一切正常：primary和standby关键字正常，主PIX和备PIX各启用的端口状态均为Normal，备PIX前面板的ACT是灭的，只有主PIX前面板的ACT灯是亮的。至此，问题解决。

network

一、PIX防火墙的认识
    PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。
    PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。
    PIX防火墙常见接口有：console、Failover、Ethernet、USB。
    网络区域：
    内部网络：inside
    外部网络：outside
    中间区域：称DMZ (停火区)。放置对外开放的服务器。

二、防火墙的配置规则
    没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。
    (内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
    inside可以访问任何outside和dmz区域。
    dmz可以访问outside区域。
    inside访问dmz需要配合static(静态地址转换)。
    outside访问dmz需要配合acl(访问控制列表)。

三、PIX防火墙的配置模式：
    PIX防火墙的配置模式与路由器类似，有4种管理模式：
    PIXfirewall>：用户模式
    PIXfirewall#：特权模式
    PIXfirewall(config)#：配置模式
    monitor>：ROM监视模式，开机按住[Esc]键或发送一个“Break”字符，进入监视模式。

四、PIX基本配置命令
    常用命令有：nameif、interface、ip address、nat、global、route、static等。
1、nameif
    设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。
    例如要求设置：
    ethernet0命名为外部接口outside，安全级别是0。
    ethernet1命名为内部接口inside，安全级别是100。
    ethernet2命名为中间接口dmz, 安装级别为50。
    使用命令：
    PIX525(config)#nameif ethernet0 outside security0
    PIX525(config)#nameif ethernet1 inside security100
    PIX525(config)#nameif ethernet2 dmz security50


2、interface
    配置以太口工作状态，常见状态有：auto、100full、shutdown。
    auto：设置网卡工作在自适应状态。
    100full：设置网卡工作在100Mbit/s，全双工状态。
    shutdown：设置网卡接口关闭，否则为激活。
    命令：
    PIX525(config)#interface ethernet0 auto
    PIX525(config)#interface ethernet1 100full
    PIX525(config)#interface ethernet1 100full shutdown

3、ip address
    配置网络接口的IP地址，例如：
    PIX525(config)#ip address outside 133.0.0.1 255.255.255.252
    PIX525(config)#ip address inside 192.168.0.1 255.255.255.0
    内网inside接口使用私有地址192.168.0.1，外网outside接口使用公网地址133.0.0.1。

4、global
    指定公网地址范围：定义地址池。
    Global命令的配置语法：
    global (if_name) nat_id ip_address-ip_address [netmark global_mask]
    其中：
    (if_name)：表示外网接口名称，一般为outside。
    nat_id：建立的地址池标识(nat要引用)。
    ip_address-ip_address：表示一段ip地址范围。
    [netmark global_mask]：表示全局ip地址的网络掩码。

    例如：
    PIX525(config)#global (outside) 1 133.0.0.1-133.0.0.15
    地址池1对应的IP是：133.0.0.1-133.0.0.15
    PIX525(config)#global (outside) 1 133.0.0.1
    地址池1只有一个IP地址 133.0.0.1。
    PIX525(config)#no global (outside) 1 133.0.0.1
    表示删除这个全局表项。

5、nat
    地址转换命令，将内网的私有ip转换为外网公网ip。
    nat命令配置语法：nat (if_name) nat_id local_ip [netmark]
    其中：
    (if_name)：表示接口名称，一般为inside.
    nat_id：   表示地址池，由global命令定义。
    local_ip： 表示内网的ip地址。对于0.0.0.0表示内网所有主机。
    [netmark]：表示内网ip地址的子网掩码。

    在实际配置中nat命令总是与global命令配合使用。
    一个指定外部网络，一个指定内部网络，通过net_id联系在一起。
    例如：
    PIX525(config)#nat (inside) 1 0 0
    表示内网的所有主机(0 0)都可以访问由global指定的外网。

    PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
    表示只有172.16.5.0/16网段的主机可以访问global指定的外网。

6、route
    route命令定义静态路由。
    语法：
    route (if_name) 0 0 gateway_ip [metric]
    其中：
    (if_name)：表示接口名称。
    0 0 ：表示所有主机
    Gateway_ip：表示网关路由器的ip地址或下一跳。
    [metric]：路由花费。缺省值是1。

    例如：
    PIX525(config)#route outside 0 0 133.0.0.1 1
    设置缺省路由从outside口送出，下一跳是133.0.0.1。
    0 0 代表 0.0.0.0 0.0.0.0，表示任意网络。

    PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1
    设置到10.1.0.0网络下一跳是10.8.0.1。最后的“1”是花费。

7、static
    配置静态IP地址翻译，使内部地址与外部地址一一对应。
    语法：
    static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
    其中：
    internal_if_name表示内部网络接口，安全级别较高，如inside。
    external_if_name表示外部网络接口，安全级别较低，如outside。
    outside_ip_address表示外部网络的公有ip地址。
    inside_ ip_address表示内部网络的本地ip地址。
    (括号内序顺是先内后外，外边的顺序是先外后内)
    例如：
    PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.8
    表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址。

    PIX525(config)#static (dmz，outside) 133.0.0.1 172.16.0.2
    中间区域ip地址172.16.0.2，访问外部时被翻译成133.0.0.1全局地址。

8、conduit
    管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。
    例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。
    语法：
    conduit permit|deny protocol global_ip port[-port] foreign_ip [netmask]
    其中：
    global_ip是一台主机时前面加host参数，所有主机时用any表示。
    foreign_ip 表示外部ip。
    [netmask] 表示可以是一台主机或一个网络。
    例如：
    PIX525(config)#static (inside，outside) 133.0.0.1 192.168.0.3
    PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any

    这个例子说明static和conduit的关系。192.168.0.3是内网一台web服务器，
    现在希望外网的用户能够通过PIX防火墙访问web服务。
    所以先做static静态映射：192.168.0.3－>133.0.0.1
    然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。

9、访问控制列表ACL
    访问控制列表的命令与couduit命令类似，
    例：
    PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www
    PIX525(config)#access-list 100 deny ip any any
    PIX525(config)#access-group 100 in interface outside

10、侦听命令fixup
    作用是启用或禁止一个服务或协议，
    通过指定端口设置PIX防火墙要侦听listen服务的端口。
    例：
    PIX525(config)#fixup protocol ftp 21
    启用ftp协议，并指定ftp的端口号为21

    PIX525(config)#fixup protocol http 8080
    PIX525(config)#no fixup protocol http 80
    启用http协议8080端口，禁止80端口。

11、telnet
    当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或
    在PIX上配置SSH，然后用SSH client从外部到PIX防火墙。
    例：
    telnet local_ip [netmask]
    local_ip 表示被授权可以通过telnet访问到PIX的ip地址。
    如果不设此项，PIX的配置方式只能用console口接超级终端进行。

12、显示命令：
    show interface　         ；查看端口状态。
    show static　　          ；查看静态地址映射。
    show ip　　　　          ；查看接口ip地址。
    show config　　          ；查看配置信息。
    show run                 ；显示当前配置信息。
    write terminal　     　  ；将当前配置信息写到终端。
    show cpu usage           ；显示CPU利用率，排查故障时常用。
    show traffic             ；查看流量。
    show connect count       ；查看连接数。
    show blocks              ；显示拦截的数据包。
    show mem                 ；显示内存

13、DHCP 服务
    PIX具有DHCP服务功能。
    例：
    PIX525(config)#ip address dhcp
    PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
    PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
    PIX525(config)#dhcp domain abc.com.cn

五、PIX防火墙举例
    设：
    ethernet0命名为外部接口outside，安全级别是0。
    ethernet1被命名为内部接口inside，安全级别100。
    ethernet2被命名为中间接口dmz，安全级别50。

PIX525#conf t
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet1 inside security100
PIX525(config)#nameif ethernet2 dmz security50
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 100full
PIX525(config)#interface ethernet2 100full
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252       ;设置接口IP
PIX525(config)#ip address inside 10.66.1.200 255.255.0.0          ;设置接口IP
PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0             ;设置接口IP
PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14            ;定义的地址池
PIX525(config)#nat (inside) 1 0 0                                 ;0 0表示所有

PIX525(config)#route outside 0 0 133.0.0.2                        ;设置默认路由
PIX525(config)#static (dmz，outside) 133.1.0.1 10.65.1.101        ;静态NAT
PIX525(config)#static (dmz，outside) 133.1.0.2 10.65.1.102        ;静态NAT
PIX525(config)#static (inside，dmz) 10.66.1.200 10.66.1.200       ;静态NAT
PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL
PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
PIX525(config)#access-list 101 deny ip any any                    ;设置ACL
PIX525(config)#access-group 101 in interface outside     ;将ACL应用在outside端口

    当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。
    当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会
映射成地址池的IP，到外部去找。
    当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101， static是双向的。
    PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。
    静态路由指示内部的主机和dmz的数据包从outside口出去。