一、Cisco Pix日常维护常用命令1、Pix模式介绍“>”用户模式firewall>enable由用户模式进入到特权模式password:“#”特权模式firewall#config t由特权模式进入全局配置模式“（config）#”全局配置模式firewall(config)#防火墙的配置只要在全局模式下完成就可以了。

1、基本配置介绍1、端口命名、设备命名、IP地址配置及端口激活nameif ethernet0 outside security0端口命名nameif gb-ethernet0 inside security100定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。

firewall(config)#hostname firewall设备名称firewall（config）#ip address outside 1.1.1.1 255.255.255.0内外口地址设置firewall（config）#ip address inside 172.16.1.1 255.255.255.0firewall（config）# interface ethernet0 100full激活外端口firewall（config）# interface gb-ethernet0 1000auto激活内端口2、telnet、ssh、web登陆配置及密码配置防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。

firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet 到防火墙配置从外网远程登陆到防火墙Firewall（config）#domain-name firewall（config）# crypto key generate rsafirewall（config）#ssh 0.0.0.0 0.0.0.0 outside允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：firewall（config）#ssh 218.240.6.81 255.255.255.255 outsidefirewall（config）#enable password cisco由用户模式进入特权模式的口令firewall（config）#passrd ciscossh远程登陆时用的口令firewall（config）#username Cisco password CiscoWeb登陆时用到的用户名firewall（config）#http enable打开http允许内网10网断通过http访问防火墙firewall（config）#http 192.168.10.0 255.255.255.0 insidefirewall（config）#pdm enablefirewall（config）#pdm location 192.168.10.0 255.255.255.0 insideweb登陆方式：https://172.16.1.13、保证防火墙能上网还要有以下的配置firewall（config）#nat （inside）1 0 0对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发firewall（config）#nat(inside)1 192.168.10.0 255.255.255.0fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0firewall (config) # global(outside) 1 interface对进行nat转换得地址转换为防火墙外接口地址firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2指一条默认路由器到ＩＳＰ做完上面的配置内网用户就可以上网了，内部有３层交换机且划分了Ｖｌａｎ，若要保证每个Ｖｌａｎ都能够上网，还要在防火墙上指回到其他ＶＬａｎ的路由，如：Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.24、内网服务器映射如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。

服务器映射可以是一对一的映射，也可以是端口映射，一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。

下面以发布内网一台WEB服务器来举例说明：Firewall(config)#static (inside,outside) tcp 222.128.124.1 80 192.168.1.100 80上述命令便将内部的web服务器放到了公网上面，但外面的用户并不能访问到，因为防火墙的外界口安全级别最低，从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开，如下：Firewall(config)#access-list outside permit tcp any host 222.128.124.1 eq 80Firewall(config)#access-group outside in interface outside必须将用access-group命令将访问控制列表应用到外端口，上述完成后就可以从外网上来访问服务器了。

5、防火墙上常用的show命令Firewall (config) #show interface 查看所有端口的状态，端口是否出于连接状态interface ethernet0 "outside" is up, line protocol is up端口和协议都出于“ｕｐ”状态，正常。

pixfirewall# sh cpu usage查看ＣＰＵ的使用情况，如果ＣＰＵ的使用情况超过６０％是不正常的，说明内部有ＰＣ对外占用了设备大量资源CPU utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1%如果内部有终端中毒（或利用Ｐ２Ｐ下载）向网关送大量的数据包，会导致防火墙只能来处理病毒机器的请求，而无暇顾及正常流量，导致正常用户不能上网，要找到不正常终端可以利用show conn来查看Firewall(config)#show conn若用show conn查看到某个内部ＩＰ到互联网上的链接特别多，且都是ＵＤＰ高端口号的，可以断定此机器是在Ｐ２Ｐ下载，然后可以通过在防火墙上的show arp命令查看到此计算机的ＭＡＣ地址，在用上面交换机维护命令讲到的命令确认他连接在交换机的端口，然后将此端口shotdown，或通过机房点位直接找到用户要求其停止，否则会占用出口带宽和防火墙的资源。

Firewall(config)#show conn local 192.168.40.69查看具体一个ＩＰ地址的链接项：Firewall(config)#show version 查看防火墙的硬件信息Firewall(config)#show xlate查看内部地址时否转换成外端口地址来上网Fierwall(config)#clear arp清除ＡＲＰ表Firewall(config)#clear xlate清除内部所有地址的转换项，网络中断一下Firewall(config)#clear xlate local 192.168.40.69清除内部具体一台机器的转换项Firewall(config)#show runnint-config查看防火墙的当前配置文件二、防火墙配置简介1、以前的防火墙的系统版本是6.3以下，在这种版本里面不能用“tab”键补齐命令，而且用“？”来查询命令也很不方便；目前的ASA5500的系统版本为7.0以上，和路由器的命令相同，可以用“tab”键补齐命令，可以用“？”来查看参数、同样也可以在全局模式用show命令。

防火墙的几种工作模式：用户模式：如果您看到>那么现在代表是在用户模式下，在用户模式下只有简单的命令可以操作。

由用户模式进入特权模式的命令为：enable特权模式：如果您看到当前的位置显示#那么您处于特权模式下，在特权模式下用户可以查看所有信息，而前可以进入全局配置模式对防火墙配置进行修改。

由特权模式进入全局配置模式下的命令为：configt全局配置模式：当您看到（config）#时，表示现在处于全局配置模式，可以对防火墙的设置进行修改。

在“>”、“#”、“（config）#”左侧显示的为设备的名称。

2、1）、防火墙接口配置Pix配置Pix>enable进入特权模式Pix#configt进入全局配置模式Pix(config)#ip address outside 222.128.1.1 255.255.255.0配置外接口地址Pix(config)#ip address inside 1.1.1.1 255.255.255.0配置内接口地址Pix(config)#interface ethernet0 auto激活外端口Pix(config)#interface ethernet1 auto激活内端口（默认端口是出于shutdown状态的）防火墙6.3以下系统默认将ethernet0端口做为外端口，默认安全级别为0，ethernet1作为内端口，默认安全级别为100，对于防火墙而言，高安全级别的用户可以访问到低安全级别，而由低安全级别主动发起的到高安全级别的链接是不允许的。

Pix系列产品默认只有两个端口及0和1，DMZ端口都是另外添加的模块，DMZ端口的默认安全级别50，配置DMZ接口的地址和配置inside和outside类似Pix(config)#ip address dmz 3.3.3.3 255.255.255.0Pix(config)# interface gb-ethernet0 1000auto 激活DMZ端口，DMZ的端口号需要您用show running-config命令查看，如：Pix(config)#show running-configsh run: Saved:PIX Version 6.3(5)interface ethernet0 100fullinterface ethernet1 autointerface gb-ethernet0 1000auto新添加的DMZ端口2）、防火墙nat设置2.1、内网用户要上网，我们必须对其进行地址转换，将其转换为在公网上可以路由的注册地址，防火墙的nat和global是同时工作的，nat定义了我们要进行转换的地址，而global定义了要被转换为的地址，这些配置都要在全局配置模式下完成，2.2、Nat配置如下：Pix(config)#nat (inside) 1 0 0上面inside代表是要被转换得地址，1要和global 后面的号对应，类似于访问控制列表号，也是从上往下执行，0 0 代表全部匹配（第一个0代表地址，第二个0代表掩码），内部所有地址都回进行转换。