cisco防火墙命令

Ⅰ 思科防火墙怎样配置WEB界面

思科防火墙telnet、ssh、web登陆配置及密码配置，相关命令如下：
防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。
1、firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet到防火墙
2、配置从外网远程登陆到防火墙
Firewall（config）#domain-name cisco.com
firewall（config）# crypto key generate rsa
firewall（config）#ssh 0.0.0.0 0.0.0.0 outside
3、允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：
firewall（config）#ssh 218.240.6.81 255.255.255.255 outside
firewall（config）#enable password cisco
4、由用户模式进入特权模式的口令
firewall（config）#passrd cisco
5、ssh远程登陆时用的口令
firewall（config）#username Cisco password Cisco
6、Web登陆时用到的用户名
firewall（config）#http enable
7、打开http允许内网10网断通过http访问防火墙
firewall（config）#http 192.168.10.0 255.255.255.0 inside
firewall（config）#pdm enable
firewall（config）#pdm location 192.168.10.0 255.255.255.0 inside
8、web登陆方式：https://172.16.1.1

Ⅱ 思科路由器怎么关闭防火墙命令

楼主说的路由器如果是Cisco路由器用命令为：iptable(空格)-F 就可以关闭,如果是类似TP-link的路由器则其中有一项为“路由器选项”的菜单把里面的路由出防控之类的（好像是记不清了）闭关就可以了，如果是50元左右的应该不带此功能。希望能对楼主有帮助。

Ⅲ cisco asa防火墙关机命令是什么

没有关机命令。

1. 不过有重新加载配置的命令，相当于重启。

2. 命令：reload

CISCO分为三种模式 ：
1、用户模式，提示符：SWITHC>和ROUTER> 只能进行一些简单的查询工作, 输入命令：enable进入特权模式。
2、特权模式，提示符：SWITHC#和ROUTER#相对于用户模式它所能查询的功能要强大很多，例如，查看端口，查看协议等等 输入configure terminal 进入全局模式。
3、全局模式，此模式下拥有完全的权限，可以根据CISCO设备进行相应的设置。

Ⅳ CISCO防火墙配置及详细介绍

在众多的企业级主流防火墙中，cisco pix防火墙是所有同类产品性能最好的一种。cisco pix系列防火墙目前有5种型号pix506，515，520，525，535。其中pix535是pix 500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的isp等服务提供商。但是pix特有的os操作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过web管理界面来进行网络管理，这样会给初学者带来不便。本文将通过实例介绍如何配置cisco pix防火墙。

在配置pix防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：

�0�3 内部区域（内网）。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。

�0�3 外部区域（外网）。 外部区域通常指internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

�0�3 停火区（dmz）。 停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置web服务器，mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。

由于pix535在企业级别不具有普遍性，因此下面主要说明pix525在企业网络中的应用。

pix防火墙提供4种管理访问模式：

非特权模式。 pix防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>

特权模式。 输入enable进入特权模式，可以改变当前配置。显示为pixfirewall#

配置模式。 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#

监视模式。 pix防火墙在开机或重启过程中，按住escape键或发送一个“break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor>

配置pix防火墙有6个基本命令：nameif，interface，ip address，nat，global，route.

这些命令在配置pix是必须的。以下是配置的基本步骤：

1. 配置防火墙接口的名字，并指定安全级别（nameif）。

pix525(config)#nameif ethernet0 outside security0

pix525(config)#nameif ethernet1 inside security100

pix525(config)#nameif dmz security50

提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：

pix525(config)#nameif pix/intf3 security40 （安全级别任取）

2. 配置以太口参数（interface）

pix525(config)#interface ethernet0 auto（auto选项表明系统自适应网卡类型 ）

pix525(config)#interface ethernet1 100full（100full选项表示100mbit/s以太网全双工通信 ）

pix525(config)#interface ethernet1 100full shutdown （shutdown选项表示关闭这个接口，若启用接口去掉shutdown ）

3. 配置内外网卡的ip地址（ip address）

pix525(config)#ip address outside 61.144.51.42 255.255.255.248

pix525(config)#ip address inside 192.168.0.1 255.255.255.0

很明显，pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1

4. 指定要进行转换的内部地址（nat）

网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat (if_name) nat_id local_ip [netmark]

其中（if_name）表示内网接口名字，例如inside. nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。

例1．pix525(config)#nat (inside) 1 0 0

表示启用nat,内网的所有主机都可以访问外网，用0可以代表0.0.0.0

例2．pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0这个网段内的主机可以访问外网。

5. 指定外部地址范围（global）

global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中（if_name）表示外网接口名字，例如outside.。nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。

例1． pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48

表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。

例2． pix525(config)#global (outside) 1 61.144.51.42

表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。

例3. pix525(config)#no global (outside) 1 61.144.51.42

表示删除这个全局表项。

6. 设置指向内网和外网的静态路由（route）

定义一条静态路由。route命令配置语法：route (if_name) 0 0 gateway_ip [metric]

其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。

例1． pix525(config)#route outside 0 0 61.144.51.168 1

表示一条指向边界路由器（ip地址61.144.51.168）的缺省路由。

例2． pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1

pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1

如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由，静态路由的下一条路由器ip地址是172.16.0.1

这6个基本命令若理解了，就可以进入到pix防火墙的一些高级配置了。

a. 配置静态ip地址翻译（static）

如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。static命令配置语法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口，安全级别较高。如inside. external_if_name为外部网络接口，安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。

例1． pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8

表示ip地址为192.168.0.8的主机，对于通过pix防火墙建立的每个会话，都被翻译成61.144.51.62这个全局地址，也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。

例2． pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3

例3． pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8

注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。

b. 管道命令（conit）

前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡，conit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到dmz或内部接口的入方向的会话。对于向内部接口的连接，static和conit命令将一起使用，来指定会话的建立。

conit命令配置语法：

conit permit | deny global_ip port[-port] protocol foreign_ip [netmask]

permit | deny 允许 | 拒绝访问

global_ip 指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。

port 指的是服务所作用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。

protocol 指的是连接协议，比如：tcp、udp、icmp等。

foreign_ip 表示可访问global_ip的外部ip。对于任意主机，可以用any表示。如果foreign_ip是一台主机，就用host命令参数。

例1. pix525(config)#conit permit tcp host 192.168.0.8 eq www any

这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。eq ftp 就是指允许或拒绝只对ftp的访问。

例2. pix525(config)#conit deny tcp any eq ftp host 61.144.51.89

表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

例3. pix525(config)#conit permit icmp any any

表示允许icmp消息向内部和外部通过。

例4. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3

pix525(config)#conit permit tcp host 61.144.51.62 eq www any

这个例子说明static和conit的关系。192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：192.168.0.3－>61.144.51.62（全局），然后利用conit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

c. 配置fixup协议

fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：

例1． pix525(config)#fixup protocol ftp 21

启用ftp协议，并指定ftp的端口号为21

例2． pix525(config)#fixup protocol http 80

pix525(config)#fixup protocol http 1080

为http协议指定80和1080两个端口。

例3． pix525(config)#no fixup protocol smtp 80

禁用smtp协议。

d. 设置telnet

telnet有一个版本的变化。在pix os 5.0（pix操作系统的版本号）之前，只能从内部网络上的主机通过telnet访问pix。在pix os 5.0及后续版本中，可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix，路由器或vpn客户端的ipsec隧道。另外就是在pix上配置ssh，然后用ssh client从外部telnet到pix防火墙，pix支持ssh1和ssh2，不过ssh1是免费软件，ssh2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。

telnet配置语法：telnet local_ip [netmask]

local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项，pix的配置方式只能由console进行。

说了这么多，下面给出一个配置实例供大家参考。

welcome to the pix firewall

type help or ’?’ for a list of available commands.

pix525> en

password:

pix525#sh config

: saved

:

pix version 6.0(1) ------ pix当前的操作系统版本为6.0

nameif ethernet0 outside security0

nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口

enable password 7y051hhccoirtsqz encrypted

passed 7y051hhccoirtsqz encrypted ------ pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为cisco

hostname pix525 ------ 主机名称为pix525

domain-name 123.com ------ 本地的一个域名服务器123.com，通常用作为外部访问

fixup protocol ftp 21

fixup protocol http 80

fixup protocol h323 1720

fixup protocol rsh 514

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060 ------ 当前启用的一些服务或协议，注意rsh服务是不能改变端口号

names ------ 解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所以列表为空

pager lines 24 ------ 每24行一分页

interface ethernet0 auto

interface ethernet1 auto ------ 设置两个网卡的类型为自适应

mtu outside 1500

mtu inside 1500 ------ 以太网标准的mtu长度为1500字节

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42，内网的ip地址192.168.0.1

ip audit info action alarm

ip audit attack action alarm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出tcp连接复位信号等动作，需另外配置。

pdm history enable ------ pix设备管理器可以图形化的监视pix

arp timeout 14400 ------ arp表的超时时间

global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用qq聊天等等，上面显示的ip就是这个

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0

conit permit icmp any any

conit permit tcp host 61.144.51.43 eq www any

conit permit udp host 61.144.51.43 eq domain any

------ 用61.144.51.43这个ip地址提供domain-name服务，而且只允许外部用户访问domain的udp端口

route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61

timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute ------ aaa认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证

aaa-server tacacs+ protocol tacacs+

aaa-server radius protocol radius ------ aaa服务器的两种协议。aaa是指认证，授权，审计。pix防火墙可以通过aaa服务器增加内部网络的安全

no snmp-server location

no snmp-server contact

snmp-server community public ------ 由于没有设置snmp工作站，也就没有snmp工作站的位置和联系人

no snmp-server enable traps ------ 发送snmp陷阱

floodguard enable ------ 防止有人伪造大量认证请求，将pix的aaa资源用完

no sysopt route dnat

telnet timeout 5

ssh timeout 5 ------ 使用ssh访问pix的超时时间

terminal width 80

cryptochecksum:

pix525#

pix525#write memory ------ 将配置保存

上面这个配置实例需要说明一下，pix防火墙直接摆在了与internet接口处，此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办？你可以添加router放在pix的前面，或者global使用单一ip地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，show interface查看端口状态，show static查看静态地址映射，show ip查看接口ip地址，ping outside | inside ip_address确定连通性。

Ⅳ 思科防火墙中“plex full命令“是什么意思

思科防火墙中“plex full命令“是什么意思：

FullDuplex，网卡的工作模式“全双工”的意思。

全双工模式是通讯传输的一个术语。

通信允许数据在两个方向上同时传输，它在能力上相当于两个单工通信方式的结合。

全双工指可以同时（瞬时）进行信号的双向传输（A→B且B→A）。

指A→B的同时B→A，是瞬时同步的。单工就是在只允许甲方向乙方传送信息，而乙方不能向甲方传送 。

半双工模式，所谓半双工就是指一个时间段内只有一个动作发生。

早期的对讲机、以及早期集线器等设备都是基于半双工的产品。

Ⅵ 求一份CISCO防火墙的配置命令，最好有图。最好有show run过的图的

ASA5520#sh run
: Saved
:
ASA Version 7.2(4)
!
hostname ASA5520
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
passwd cisco encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 211.220.10.310 255.255.255.248
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.7.1 255.255.255.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!!
interface Management0/0
shutdown
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list 101 extended permit icmp any any
access-list inside_nat0_outbound extended permit ip any 192.168.7.224 255.255.255.224
pager lines 24
logging asdm informational
mtu management 1500
mtu outside 1500
mtu inside 1500
ip local pool cisco123 192.168.7.230-192.168.7.250 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 122.200.90.209 1
route inside 192.168.10.0 255.255.255.0 192.168.7.2 1
route inside 192.168.20.0 255.255.255.0 192.168.7.2 1
route inside 192.168.30.0 255.255.255.0 192.168.7.2 1
route inside 192.168.40.0 255.255.255.0 192.168.7.2 1
route inside 192.168.50.0 255.255.255.0 192.168.7.2 1
route inside 192.168.60.0 255.255.255.0 192.168.7.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 0.0.0.0 0.0.0.0 inside
http 0.0.0.0 0.0.0.0 outside
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set pfs group1
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 40 set pfs group1
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86200
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!group-policy cisco123 internal
group-policy cisco123 attributes
vpn-tunnel-protocol IPSec
username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 0
username cisco123 attributes
vpn-group-policy cisco123
username cisco password 3USUcOPFUiMCO4Jk encrypted
tunnel-group cisco123 type ipsec-ra
tunnel-group cisco123 general-attributes
address-pool cisco123
default-group-policy cisco123
tunnel-group cisco123 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:
: end

Ⅶ Cisco 防火墙中的name 命令是干什么用的 有什么作用吗

可以把ip地址进行文字命名，可以在acl里调用的时候用命名来代替地址，比如
name 1.1.1.1（地址） test（对该地址命名） description XXX（对该命名的描述）

然后ACL里只需要在写地址的地方写上test这个名字就行了

Ⅷ cisco防火墙配置的基本配置是什么

设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。
使用命令：

PIX525(config)#

PIX525(config)#

PIX525(config)#nameifethernet2dmzsecurity50

配置网络接口的IP地址

指定公网地址范围：定义地址池。

Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

Ⅸ cisco防火墙配置的基本配置

激活以太端口必须用enable进入，然后进入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside,
inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。 采用命令nameif
PIX525(config)#nameif ethernet0 outside security0
security100
security0是外部端口outside的安全级别（100安全级别最高）
security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。 采用命令为：ip address
如：内部网络为：192.168.1.0 255.255.255.0
外部网络为：222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0 在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
测试telnet
在[开始]->[运行]
telnet 192.168.1.1
PIX passwd:
输入密码：cisco 此功能与Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny两个功能，网络协议一般有IP|TCP|UDP|ICMP等等，如：只允许访问主机:222.20.16.254的www,端口为：80
PIX525(config)#access-list 100permit ip any host 222.20.16.254 eq www
deny ip any any
PIX525(config)#access-group 100 in interface outside NAT跟路由器基本是一样的，
首先必须定义IP Pool，提供给内部IP地址转换的地址段，接着定义内部网段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (inside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则：
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0
则某些情况下，外部地址是很有限的，有些主机必须单独占用一个IP地址，必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令，这种称为（PAT），这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下：
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask
255.255.255.0
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 在内部网络，为了维护的集中管理和充分利用有限IP地址，都会启用动态主机分配IP地址服务器（DHCP Server），Cisco Firewall PIX都具有这种功能，下面简单配置DHCP Server,地址段为192.168.1.100—192.168.1.200
DNS: 主202.96.128.68 备202.96.144.47
主域名称：
DHCP Client 通过PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain 静态端口重定向(Port Redirection with Statics)
在PIX 版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX
传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。
命令格式：
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99
telnet端口，通过PIX重定向到内部主机192.168.1.99的telnet端口（23）。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.99
FTP，通过PIX重定向到内部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.208
www(即80端口)，通过PIX重定向到内部192.168.123的主机的www(即80端口)。
www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.201
HTTP(8080端口)，通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.5
smtp(25端口)，通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0 显示命令show config
保存命令write memory

Ⅹ Cisco ASA 防火墙 erase 和clear两个命令有何区别

如果用clear命令的话，直接clear
con
all删除现有的配置。然后再write一下就能清空以前的配置
重启之后就没有配置了。erase
好像是针对startup-config或则running-config进行删除吧！
查看原帖>>