PIX 防火墙应用举例

设：
ethernet0命名为外部接口outside，安全级别是0。
ethernet1被命名为内部接口inside，安全级别100。
ethernet2被命名为中间接口dmz，安全级别50。


参考配置：
PIX525#conf t ;进入配置模式
PIX525(config)#nameif ethernet0 outside security0 ;设置定全级0
PIX525(config)#nameif ethernet1 inside security100 ;设置定全级100
PIX525(config)#nameif ethernet2 dmz security50 ;设置定全级50
PIX525(config)#interface ethernet0 auto ;设置自动方式
PIX525(config)#interface ethernet1 100full ;设置全双工方式
PIX525(config)#interface ethernet2 100full ;设置全双工方式
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;设置接口IP
PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;设置接口IP
PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;设置接口IP
PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定义的地址池
PIX525(config)#nat (inside) 1 0 0 ;0 0表示所有


PIX525(config)#route outside 0 0 133.0.0.2 ;设置默认路由
PIX525(config)#static (dmz，outside) 133.1.0.1 10.65.1.101 ;静态NAT
PIX525(config)#static (dmz，outside) 133.1.0.2 10.65.1.102 ;静态NAT
PIX525(config)#static (inside，dmz) 10.66.1.200 10.66.1.200 ;静态NAT
PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www ;设置ACL
PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp ;设置ACL
PIX525(config)#access-list 101 deny ip any any ;设置ACL
PIX525(config)#access-group 101 in interface outside ;将ACL应用在outside端口


当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。
当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会
映射成地址池的IP，到外部去找。
当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101， static是双向的。
PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。