防火墻也是要配置的，那么防火墻的配置命令是怎么樣的呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的防火墻配置命令介紹介紹!希望對(duì)你有幫助!

　　防火墻配置命令介紹一：

　　Cisco PIX防火墻配置命令如下：

　　PIX基本配置命令：

　　常用命令有：nameif、interface、ipaddress、nat、global、route、static等。

　　防火墻的配置規(guī)則：

　　沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包)，任何數(shù)據(jù)包無法穿過防火墻。

　　(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務(wù)器允許外部發(fā)起連接)

　　inside可以訪問任何outside和dmz區(qū)域。

　　dmz可以訪問outside區(qū)域。

　　inside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。

　　outside訪問dmz需要配合acl(訪問控制列表)。

　　PIX防火墻的配置模式：

　　PIX防火墻的配置模式與路由器類似，有4種管理模式：

　　PIXfirewall>：用戶模式

　　PIXfirewall#：特權(quán)模式

　　PIXfirewall(config)#：配置模式

　　monitor>：ROM監(jiān)視模式，開機(jī)按住[Esc]鍵或發(fā)送一個(gè)“Break”字符，進(jìn)入監(jiān)視模式。

　　防火墻配置命令介紹二：

　　1.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，參見圖1。

　　2.打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。

　　3.運(yùn)行筆記本電腦Windows系統(tǒng)中的超級(jí)終端(HyperTerminal)程序(通常在"附件"程序組中)。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見本教程前面有關(guān)介紹。

　　4.當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示"pixfirewall>"的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。

　　5.輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。

　　6.輸入命令： configure terminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。

　　(1).首先配置防火墻的網(wǎng)卡參數(shù)(以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例)

　　Interface ethernet0 auto　 # 0號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡，"auto"選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型

　　Interface ethernet1 auto

　　(2).配置防火墻內(nèi)、外部網(wǎng)卡的IP地址

　　IP address inside ip_address netmask　# Inside代表內(nèi)部網(wǎng)卡

　　IP address outside ip_address netmask　# outside代表外部網(wǎng)卡

　　(3).指定外部網(wǎng)卡的IP地址范圍：

　　global 1 ip_address-ip_address

　　(4).指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址

　　nat 1 ip_address netmask

　　(5).配置某些控制選項(xiàng)：

　　conduit global_ip port[-port] protocol foreign_ip [netmask]

　　其中，global_ip：指的是要控制的地址;port：指的是所作用的端口，0代表所有端口;protocol：指的是連接協(xié)議，比如：TCP、UDP等;foreign_ip：表示可訪問的global_ip外部IP地址;netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。

　　7.配置保存：wr mem

　　8.退出當(dāng)前模式

　　此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。

　　pixfirewall(config)# exit

　　pixfirewall# exit

　　pixfirewall>

　　9.查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。

　　10.查看端口狀態(tài)：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。

　　11.查看靜態(tài)地址映射:show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。

　　三、Cisco PIX防火墻的基本配置

　　1.同樣是用一條串行電纜從電腦的COM口連到Cisco PIX 525防火墻的console口;

　　2.開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的"超級(jí)終端"，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255>。

　　3.輸入enable命令，進(jìn)入Pix 525特權(quán)用戶模式,默然密碼為空。

　　如果要修改此特權(quán)用戶模式密碼，則可用enable password命令，命令格式為：enable password password [encrypted]，這個(gè)密碼必須大于16位。Encrypted選項(xiàng)是確定所加密碼是否需要加密。

　　4、 定義以太端口：先必須用enable命令進(jìn)入特權(quán)用戶模式，然后輸入configure terminal(可簡(jiǎn)稱為config t),進(jìn)入全局配置模式模式。具體配置

　　pix525>enable

　　Password:

　　pix525#config t

　　pix525 (config)#interface ethernet0 auto

　　pix525 (config)#interface ethernet1 auto

　　在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。

　　5.clock

　　配置時(shí)鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。

　　時(shí)鐘設(shè)置命令格式有兩種，主要是日期格式不同，分別為：

　　clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year

　　前一種格式為：小時(shí)：分鐘：秒 月 日 年;而后一種格式為：小時(shí)：分鐘：秒 日 月 年，主要在日、月份的前后順序不同。在時(shí)間上如果為0，可以為一位，如：21:0:0。

　　6.指定接口的安全級(jí)別

　　指定接口安全級(jí)別的命令為nameif，分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個(gè)適當(dāng)?shù)陌踩?jí)別。在此要注意，防火墻是用來保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過外部接口對(duì)內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對(duì)外部網(wǎng)絡(luò)接口指定較高的安全級(jí)別，而內(nèi)部網(wǎng)絡(luò)接口的安全級(jí)別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在Cisco PIX系列防火墻中，安全級(jí)別的定義是由security()這個(gè)參數(shù)決定的，數(shù)字越小安全級(jí)別越高，所以security0是最高的，隨后通常是以10的倍數(shù)遞增，安全級(jí)別也相應(yīng)降低

　　7.配置以太網(wǎng)接口IP地址

　　所用命令為：ip address，如要配置防火墻上的內(nèi)部網(wǎng)接口IP地址為：192.168.1.0 255.255.255.0;外部網(wǎng)接口IP地址為：220.154.20.0 255.255.255.0。

　　配置方法如下：

　　pix525(config)#ip address inside 192.168.1.0 255.255.255.0

　　pix525(config)#ip address outside 220.154.20.0 255.255.255.0

　　8.access-group

　　這個(gè)命令是把訪問控制列表綁定在特定的接口上。須在配置模式下進(jìn)行配置。命令格式為：access-group acl_ID in interface interface_name，其中的"acl_ID"是指訪問控制列表名稱，interface_name為網(wǎng)絡(luò)接口名稱。

　　9.配置訪問列表

　　所用配置命令為：access-list，合格格式比較復(fù)雜，如下：

　　標(biāo)準(zhǔn)規(guī)則的創(chuàng)建命令：access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

　　擴(kuò)展規(guī)則的創(chuàng)建命令：access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

　　它是防火墻的主要配置部分，上述格式中帶"[]"部分是可選項(xiàng)，listnumber參數(shù)是規(guī)則號(hào)，標(biāo)準(zhǔn)規(guī)則號(hào)(listnumber1)是1~99之間的整數(shù)，而擴(kuò)展規(guī)則號(hào)(listnumber2)是100~199之間的整數(shù)。它主要是通過訪問權(quán)限"permit"和"deny"來指定的，網(wǎng)絡(luò)協(xié)議一般有IP|TCP|UDP|ICMP等等。如只允許訪問通過防火墻對(duì)主機(jī):220.154.20.254進(jìn)行www訪問，則可按以下配置：

　　pix525(config)#access-list 100 permit 220.154.20.254 eq www

　　其中的100表示訪問規(guī)則號(hào)，根據(jù)當(dāng)前已配置的規(guī)則條數(shù)來確定，不能與原來規(guī)則的重復(fù)，也必須是正整數(shù)。

　　看了“防火墻配置命令是怎么樣的”文章的還看了：

1.如何在命令行下設(shè)置Windows XP防火墻

2.使用命令行配置Windows 2008防火墻

3.cisco ASA防火墻如何配置

4.Cisco路由器交換機(jī)防火墻配置命令詳解

5.思科路由器防火墻如何配置

6.cisco ASA 防火墻怎么樣配置

7.aix防火墻怎么樣設(shè)置