zabbix proxy防火墙端口 pix防火墙配置

转载

技术极客领袖 2024-08-30 16:40:51

文章标签 zabbix proxy防火墙端口 ide ip地址外网 文章分类 运维

PIX防火墙提供4种管理访问模式：
² 非特权模式。 PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>
² 特权模式。输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#
² 配置模式。输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
² 监视模式。 PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为

monitor> 
<!--[if !supportLineBreakNewLine]-->
<!--[endif]-->

一、基本配置
配置PIX防火墙有6个基本命令：nameif，interface，ip address，nat，global，route.
这些命令在配置PIX是必须的。以下是配置的基本步骤：

1. 配置防火墙接口的名字，并指定安全级别（nameif）。

Pix525(config)#nameif ethernet0 outside security0 
Pix525(config)#nameif ethernet1 inside security100 
Pix525(config)#nameif dmz security50

提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：

Pix525(config)#nameif pix/intf3 security40 （安全级别任取）

2. 配置以太口参数（interface）

Pix525(config)#interface ethernet0 auto（auto选项表明系统自适应网卡类型 ） 
Pix525(config)#interface ethernet1 100full（100full选项表示100Mbit/s以太网全双工通信 ） 
Pix525(config)#interface ethernet1 100full shutdown （shutdown选项表示关闭这个接口，若启用接口去掉shutdown ）

3. 配置内外网卡的IP地址（ip address）

Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0

很明显，Pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1

4. 指定要进行转换的内部地址（nat）
网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat (if_name) nat_id local_ip [netmark]
其中（if_name）表示内网接口名字，例如inside. Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例1．Pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0
例2．Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。

5. 指定外部地址范围（global）
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中（if_name）表示外网接口名字，例如outside.。Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
例1． Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2． Pix525(config)#global (outside) 1 61.144.51.42
表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。
例3. Pix525(config)#no global (outside) 1 61.144.51.42
表示删除这个全局表项。

实际应用中应这样配设公网地址段61.144.51.1-61.144.51.10

Pix525(config)#global (outside) 1 61.144.51.2-61.144.51.10
Pix525(config)#global (outside) 1 61.144.51.1

这样做是为了在公网地址不够的时候，总可以有一个指定的外部地址可供使用（PAT）

6. 设置指向内网和外网的静态路由（route）
定义一条静态路由。route命令配置语法：route (if_name) subnet mask gateway_ip [metric]
其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。
例1． Pix525(config)#route outside 0 0 61.144.51.168 1
表示一条指向边界路由器（ip地址61.144.51.168）的缺省路由。
例2． Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1

Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1

如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由，静态路由的下一条路由器ip地址是172.16.0.1

二、高级配置

A. 配置静态IP地址翻译（static）
如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static命令配置语法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口，安全级别较高。如inside.
external_if_name为外部网络接口，安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。
例1． Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
表示ip地址为192.168.0.8的主机，对于通过pix防火墙建立的每个会话，都被翻译成61.144.51.62这个全局地址，也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。
例2． Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3． Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。

B. 管道命令（conduit）
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。
conduit命令配置语法：
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问
global_ip 指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。
port 指的是服务所作用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议，比如：TCP、UDP、ICMP等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机，可以用any表示。如果foreign_ip是一台主机，就用host命令参数。
例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。
例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
例3. Pix525(config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：192.168.0.3－>61.144.51.62（全局），然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

C. 配置fixup协议
fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：
例1． Pix525(config)#fixup protocol ftp 21
启用ftp协议，并指定ftp的端口号为21
例2． Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
为http协议指定80和1080两个端口。
例3． Pix525(config)#no fixup protocol smtp 80
禁用smtp协议。

D. 设置telnet
telnet有一个版本的变化。在pix OS 5.0（pix操作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH，然后用SSH client从外部telnet到PIX防火墙，PIX支持SSH1和SSH2，不过SSH1是免费软件，SSH2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。
telnet配置语法：telnet local_ip [netmask]
local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。

http://www.cisco.com/global/CN/products/sc/index.shtml pix防火墙中文资料

535配置实例

petrochinapix535# show config 
: Saved
: Written by enable_15 at 07:44:18.052 UTC Tue Aug 17 2004
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 auto
interface ethernet4 auto
interface ethernet5 auto
<!--[if !supportAnnotations]-->[zz1]<!--[endif]--> nameif ethernet0 3640SDH security40
nameif ethernet1 inside2 security90
nameif ethernet2 DMZ security50
nameif ethernet3 3640isdnpstn security45
nameif ethernet4 inside security100
nameif ethernet5 outside security0
<!--[if !supportAnnotations]-->[zz2]<!--[endif]--> enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname petrochinapix535
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 6<!--[if !supportAnnotations]-->[zz3]<!--[endif]--> 9
names<!--[if !supportAnnotations]-->[zz4]<!--[endif]--> 
access-list 101 permit ip 10.222.0.0 255.255.0.0 10.222.100.0 255.255.255.0 
pager lines 24<!--[if !supportAnnotations]-->[zz5]<!--[endif]--> 
mtu 3640SDH 1500
mtu inside2 1500
mtu DMZ 1500
mtu 3640isdnpstn 1500
mtu inside 1500
mtu outside 1500
<!--[if !supportAnnotations]-->[zz6]<!--[endif]--> ip address 3640SDH 10.222.1.40 255.255.255.0
ip address inside2 10.222.24.2 255.255.255.0
ip address DMZ 192.168.1.1 255.255.255.0
ip address 3640isdnpstn 10.222.22.2 255.255.255.0
ip address inside 10.222.23.2 255.255.255.0
ip address outside 61.152.196.35 255.255.255.224<!--[if !supportAnnotations]-->[zz7]<!--[endif]--> 
ip audit info action alarm
ip audit attack action alarm
<!--[if !supportAnnotations]-->[zz8]<!--[endif]--> ip local pool vpn_pool 10.222.100.1-10.222.100.200
pdm location 10.222.13.1 255.255.255.255 inside<!--[if !supportAnnotations]-->[zz9]<!--[endif]--> 
pdm history enable<!--[if !supportAnnotations]-->[zz10]<!--[endif]--> 
arp timeout 14400<!--[if !supportAnnotations]-->[zz11]<!--[endif]--> 
global (3640SDH) 1 10.222.1.100 netmask 255.255.255.240
global (inside2) 1 10.222.24.200 netmask 255.255.255.0
global (DMZ) 1 192.168.1.200 netmask 255.255.255.0
global (DMZ) 2 192.168.1.201 netmask 255.255.255.0
global (3640isdnpstn) 1 10.222.22.100 netmask 255.255.255.240
global (outside) 2 61.152.196.34 netmask 255.255.255.224
<!--[if !supportAnnotations]-->[zz12]<!--[endif]--> nat (inside2) 2 0.0.0.0 0.0.0.0 0 0
nat (inside) 0 access-list 101
nat (inside) 2 10.222.23.0 255.255.255.0 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
<!--[if !supportAnnotations]-->[zz13]<!--[endif]--> static (DMZ,outside) 202.109.103.149 192.168.1.61 netmask 255.255.255.255 0 0 
static (DMZ,3640SDH) 10.222.1.60 192.168.1.60 netmask 255.255.255.255 0 0 
static (DMZ,3640SDH) 10.222.1.61 192.168.1.61 netmask 255.255.255.255 0 0 
static (DMZ,3640SDH) 10.222.1.70 192.168.1.70 netmask 255.255.255.255 0 0 
static (DMZ,3640isdnpstn) 10.222.22.60 192.168.1.60 netmask 255.255.255.255 0 0 
static (DMZ,3640isdnpstn) 10.222.22.61 192.168.1.61 netmask 255.255.255.255 0 0 
static (DMZ,3640isdnpstn) 10.222.22.70 192.168.1.70 netmask 255.255.255.255 0 0 
static (DMZ,3640SDH) 10.222.1.30 192.168.1.30 netmask 255.255.255.255 0 0 
static (DMZ,3640SDH) 10.222.1.40 192.168.1.40 netmask 255.255.255.255 0 0 
static (DMZ,3640SDH) 10.222.1.31 192.168.1.31 netmask 255.255.255.255 0 0 
static (DMZ,3640SDH) 10.222.1.41 192.168.1.41 netmask 255.255.255.255 0 0 
static (DMZ,3640isdnpstn) 10.222.22.30 192.168.1.30 netmask 255.255.255.255 0 0 
static (DMZ,3640isdnpstn) 10.222.22.31 192.168.1.31 netmask 255.255.255.255 0 0 
static (DMZ,3640isdnpstn) 10.222.22.40 192.168.1.40 netmask 255.255.255.255 0 0 
static (DMZ,3640isdnpstn) 10.222.22.41 192.168.1.41 netmask 255.255.255.255 0 0 
static (DMZ,3640SDH) 10.222.1.50 192.168.1.51 netmask 255.255.255.255 0 0 
static (DMZ,outside) 61.152.196.58 192.168.1.60 netmask 255.255.255.255 0 0 
static (DMZ,outside) 61.152.196.56 192.168.1.61 netmask 255.255.255.255 0 0 
static (DMZ,outside) 61.152.196.52 192.168.1.70 netmask 255.255.255.255 0 0 
static (DMZ,outside) 61.152.196.61 192.168.1.30 netmask 255.255.255.255 0 0 
static (DMZ,outside) 61.152.196.57 192.168.1.31 netmask 255.255.255.255 0 0 
static (DMZ,outside) 61.152.196.60 192.168.1.40 netmask 255.255.255.255 0 0 
static (DMZ,outside) 61.152.196.59 192.168.1.41 netmask 255.255.255.255 0 0 
static (DMZ,outside) 61.152.196.62 192.168.1.50 netmask 255.255.255.255 0 0 
static (DMZ,3640isdnpstn) 10.222.22.50 192.168.1.50 netmask 255.255.255.255 0 0 
static (DMZ,outside) 61.152.196.54 192.168.1.111 netmask 255.255.255.255 0 0 
static (DMZ,outside) 61.152.196.40 192.168.1.100 netmask 255.255.255.255 0 0 
static (DMZ,3640SDH) 10.222.1.90 192.168.1.111 netmask 255.255.255.255 0 0 <!--[if !supportAnnotations]-->[zz14]<!--[endif]--> 
conduit permit tcp host 10.222.1.70 eq https any 
conduit permit tcp host 10.222.1.60 eq www any 
conduit permit tcp host 10.222.22.60 eq www any 
conduit permit tcp host 10.222.22.70 eq https any 
conduit permit tcp host 10.222.1.30 eq www any 
conduit permit tcp host 10.222.22.30 eq www any 
conduit permit tcp host 10.222.22.31 eq www any 
conduit permit tcp host 10.222.1.31 eq www any 
conduit permit tcp host 10.222.1.40 eq https any 
conduit permit tcp host 10.222.22.40 eq https any 
conduit permit tcp host 10.222.1.41 eq www any 
conduit permit tcp host 10.222.22.41 eq www any 
conduit permit tcp host 10.222.1.50 eq https any 
conduit permit tcp host 10.222.1.50 eq www any 
conduit permit tcp host 10.222.22.50 eq www any 
conduit permit tcp host 10.222.22.50 eq https any 
conduit permit tcp host 61.152.196.52 eq https any 
conduit permit tcp host 61.152.196.58 eq www any 
conduit permit tcp host 61.152.196.61 eq www any 
conduit permit tcp host 61.152.196.61 eq citrix-ica any 
conduit permit tcp host 61.152.196.57 eq citrix-ica any 
conduit permit tcp host 61.152.196.57 eq https any 
conduit permit tcp host 61.152.196.57 eq www any 
conduit permit tcp host 61.152.196.60 eq https any 
conduit permit tcp host 61.152.196.59 eq www any 
conduit permit tcp host 61.152.196.62 eq www any 
conduit permit tcp host 61.152.196.62 eq https any 
conduit permit tcp host 61.152.196.54 eq www any 
conduit permit tcp host 10.222.1.61 eq 8085 any 
conduit permit tcp host 61.152.196.56 eq 8085 any 
conduit permit tcp host 10.222.22.61 eq 8085 any 
conduit permit tcp host 61.152.196.54 any 
conduit permit tcp host 61.152.196.40 any 
conduit permit tcp host 10.222.1.90 any <!--[if !supportAnnotations]-->[zz15]<!--[endif]--> 
route outside 0.0.0.0 0.0.0.0 61.152.196.33 1
route 3640SDH 10.0.0.0 255.0.0.0 10.222.1.254 1
route inside 10.222.0.0 255.255.0.0 10.222.23.1 1
route inside2 10.222.0.0 255.255.0.0 10.222.24.1 100
<!--[if !supportAnnotations]-->[zz16]<!--[endif]--> timeout xlate 3:00:00<!--[if !supportAnnotations]-->[zz17]<!--[endif]--> 
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
http server enable
http 10.222.13.1 255.255.255.255 inside
<!--[if !supportAnnotations]-->[zz18]<!--[endif]--> no snmp-server location
no snmp-server contact
snmp-server community cisco
snmp-server enable traps
floodguard enable<!--[if !supportAnnotations]-->[zz19]<!--[endif]--> 
sysopt connection permit-ipsec
sysopt connection permit-pptp
crypto ipsec transform-set myset esp-des esp-md5-hmac 
crypto dynamic-map dynmap 10 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap client configuration address initiate
crypto map mymap client configuration address respond
crypto map mymap interface outside
isakmp enable outside
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0 
isakmp identity address
isakmp client configuration address-pool local vpn_pool outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup vpn3000-all idle-time 1800
vpngroup petrochina address-pool vpn_pool
vpngroup petrochina dns-server 10.222.9.1
vpngroup petrochina wins-server 10.222.9.1
vpngroup petrochina idle-time 1800
vpngroup petrochina password ********
<!--[if !supportAnnotations]-->[zz20]<!--[endif]--> telnet 10.222.23.0 255.255.255.0 inside
telnet 10.222.13.0 255.255.255.0 inside
<!--[if !supportAnnotations]-->[zz21]<!--[endif]--> telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe 40
vpdn group 1 client configuration address local vpn_pool
vpdn group 1 pptp echo 60
vpdn group 1 client authentication local
vpdn username tonyzhou password ********
vpdn enable outside
<!--[if !supportAnnotations]-->[zz22]<!--[endif]--> terminal width 80
Cryptochecksum:4f696caa5fa1c0f879ccc64074eacea4
petrochinapix535#
<!--[if !supportAnnotations]--> 
--------------------------------------------------------------------------------
<!--[endif]--> 
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz1]<!--[endif]-->激活以太网口

最好所有端口都作一遍

<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz2]<!--[endif]-->命名端口，设置安全级别<!--[if !supportLists]-->1．  <!--[endif]-->安全级别越高越安全
<!--[if !supportLists]-->2．  <!--[endif]-->一般外网口为0，内网为100，其余在之间取值
<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz3]<!--[endif]-->固定开启的端口，即防火墙要侦听的端口<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz4]<!--[endif]-->命名列表  相当于路由器交换机里的ip host命令<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz5]<!--[endif]-->每24行分页<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz6]<!--[endif]-->最大传输单元<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz7]<!--[endif]-->设置接口IP<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz8]<!--[endif]-->进行告警审计，应该是默认的<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz9]<!--[endif]-->设置图形化管理界面工作站地址 <!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz10]<!--[endif]-->启用图形化界面管理<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz11]<!--[endif]-->Arp超时时间，默认<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz12]<!--[endif]-->定义地址段，用于转换后

编号相同的命令属于一个组（个人感觉）

<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz13]<!--[endif]-->定义地址转换，后面定义的是需要进行转换的地址段<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz14]<!--[endif]-->静态地址映射<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz15]<!--[endif]-->设置管道对映射地址进行端口指定，既只能通过该端口实现地址映射  conduit:管道<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz16]<!--[endif]-->配置接口路由<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz17]<!--[endif]-->某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz18]<!--[endif]-->指定Web访问地址<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz19]<!--[endif]-->防止有人伪造大量认证请求，将pix的AAA资源用完 默认<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz20]<!--[endif]-->ipsec VPN配置<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz21]<!--[endif]-->设置允许对内网口telnet

如果设置对外口的telnet还要做安全设置，即要配置ipsec VPN通道

<!--[if !supportAnnotations]-->
<!--[endif]-->
<!--[if !supportAnnotations]--> 
<!--[endif]--><!--[if !supportAnnotations]--><!--[endif]--> 
 <!--[if !supportAnnotations]-->[zz22]<!--[endif]-->pptp VPN<!--[if !supportAnnotations]-->
<!--[endif]-->

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。