（3）. 指定外部网卡的ip地址范围：  

global 1 ip_address-ip_address  

（4）. 指定要进行转换的内部地址  

nat 1 ip_address netmask  

（5）. 配置某些控制选项：  

conduit global_ip port[-port] protocol foreign_ip [netmask]    

其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是连接协议，比如：tcp、udp等；foreign_ip：表示可访问的global_ip外部ip地址；netmask：为可选项，代表要控制的子网掩码。  

7. 配置保存：wr mem  

8. 退出当前模式

此命令为exit，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与quit命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到普通模式下的操作步骤。

pixfirewall(config)# exit

pixfirewall# exit

pixfirewall>

9. 查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。

10. 查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。



11. 查看静态地址映射:show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。     

三、cisco pix防火墙的基本配置

1. 同样是用一条串行电缆从电脑的com口连到cisco pix 525防火墙的console口；

2. 开启所连电脑和防火墙的电源，进入windows系统自带的"超级终端"，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡ip地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pix255>。

3. 输入enable命令，进入pix 525特权用户模式,默然密码为空。

如果要修改此特权用户模式密码，则可用enable password命令，命令格式为：enable password password [encrypted]，这个密码必须大于16位。encrypted选项是确定所加密码是否需要加密。

4、 定义以太端口：先必须用enable命令进入特权用户模式，然后输入configure terminal（可简称为config t）,进入全局配置模式模式。具体配置

pix525>enable

password:

pix525#config t

pix525 (config)#interface ethernet0 auto

pix525 (config)#interface ethernet1 auto

在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

5. clock

配置时钟，这也非常重要，这主要是为防火墙的日志记录而资金积累的，如果日志记录时间和日期都不准确，也就无法正确分析记录中的信息。这须在全局配置模式下进行。

时钟设置命令格式有两种，主要是日期格式不同，分别为：

clock set hh:mm:ss month day  year和clock set hh:mm:ss day month year

前一种格式为：小时：分钟：秒 月 日 年；而后一种格式为：小时：分钟：秒 日 月 年，主要在日、月份的前后顺序不同。在时间上如果为0，可以为一位，如：21:0:0。

6. 指定接口的安全级别

指定接口安全级别的命令为nameif，分别为内、外部网络接口指定一个适当的安全级别。在此要注意，防火墙是用来保护内部网络的，外部网络是通过外部接口对内部网络构成威胁的，所以要从根本上保障内部网络的安全，需要对外部网络接口指定较高的安全级别，而内部网络接口的安全级别稍低，这主要是因为内部网络通信频繁、可信度高。在cisco pix系列防火墙中，安全级别的定义是由security（）这个参数决定的，数字越小安全级别越高，所以security0是最高的，随后通常是以10的倍数递增，安全级别也相应降低。如下例：

pix525(config)#nameif ethernet0 outside security0       # outside是指外部接口

pix525(config)#nameif ethernet1 inside security100 # inside是指内部接口

7. 配置以太网接口ip地址

所用命令为：ip address，如要配置防火墙上的内部网接口ip地址为：192.168.1.0 255.255.255.0；外部网接口ip地址为：220.154.20.0 255.255.255.0。

配置方法如下：

pix525(config)#ip address inside 192.168.1.0 255.255.255.0

pix525(config)#ip address outside 220.154.20.0 255.255.255.0

8. access-group

这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为：access-group acl_id in interface interface_name，其中的"acl_id"是指访问控制列表名称，interface_name为网络接口名称。如：

access-group acl_out in interface outside，在外部网络接口上绑定名称为"acl_out"的访问控制列表。

clear access-group：清除所有绑定的访问控制绑定设置。

no access-group acl_id in interface interface_name：清除指定的访问控制绑定设置。

show access-group acl_id in interface interface_name：显示指定的访问控制绑定设置。

9．配置访问列表

所用配置命令为：access-list，合格格式比较复杂，如下：

标准规则的创建命令：access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

扩展规则的创建命令：access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

它是防火墙的主要配置部分，上述格式中带"[]"部分是可选项，listnumber参数是规则号，标准规则号（listnumber1）是1~99之间的整数，而扩展规则号（listnumber2）是100~199之间的整数。它主要是通过访问权限"permit"和"deny"来指定的，网络协议一般有ip|tcp|udp|icmp等等。如只允许访问通过防火墙对主机:220.154.20.254进行www访问，则可按以下配置：