pix525(config)#access-list 100 permit 220.154.20.254 eq www

其中的100表示访问规则号，根据当前已配置的规则条数来确定，不能与原来规则的重复，也必须是正整数。关于这个命令还将在下面的高级配置命令中详细介绍。

10. 地址转换（nat）

防火墙的nat配置与路由器的nat配置基本一样，首先也必须定义供nat转换的内部ip地址组，接着定义内部网段。

定义供nat转换的内部地址组的命令是nat，它的格式为：nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]]，其中if_name为接口名；nat_id参数代表内部地址组号；而local_ip为本地网络地址；netmask为子网掩码；max_conns为此接口上所允许的最大tcp连接数，默认为"0"，表示不限制连接；em_limit为允许从此端口发出的连接数，默认也为"0"，即不限制。如：

nat (inside) 1 10.1.6.0 255.255.255.0

表示把所有网络地址为10.1.6.0，子网掩码为255.255.255.0的主机地址定义为1号nat地址组。

随后再定义内部地址转换后可用的外部地址池，它所用的命令为global,基本命令格式为：

global      [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ，各参数解释同上。如：

global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0

将上述nat命令所定的内部ip地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部ip地址，其子网掩码为255.255.255.0。

11. port redirection with statics

这是静态端口重定向命令。在cisco pix版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的ip地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口（pat），或者是共享的外部端口。这种功能也就是可以发布内部www、ftp、mail等服务器，这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。

命令格式有两种，分别适用于tcp/udp通信和非tcp/udp通信：

（1）static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] [max_conns [emb_limit[norandomseq]]]

（2）static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]

此命令中的以上各参数解释如下：

internal_if_name：内部接口名称；external_if_name：外部接口名称；{tcp|udp}：选择通信协议类型；{global_ip|interface}：重定向后的外部ip地址或共享端口；local_ip：本地ip地址；[netmask mask]：本地子网掩码；max_conns：允许的最大tcp连接数，默认为"0"，即不限制；emb_limit：允许从此端口发起的连接数，默认也为"0"，即不限制；norandomseq：不对数据包排序，此参数通常不用选。

现在我们举一个实例，实例要求如下

●外部用户向172.18.124.99的主机发出telnet请求时，重定向到10.1.1.6。

●外部用户向172.18.124.99的主机发出ftp请求时，重定向到10.1.1.3。

●外部用户向172.18.124.208的端口发出telnet请求时，重定向到10.1.1.4。

●外部用户向防火墙的外部地址172.18.124.216发出telnet请求时，重定向到10.1.1.5。

●外部用户向防火墙的外部地址172.18.124.216发出http请求时，重定向到10.1.1.5。

●外部用户向防火墙的外部地址172.18.124.208的8080端口发出http请求时，重定向到10.1.1.7的80号端口。

以上重定向过程要求如图2所示，防火墙的内部端口ip地址为10.1.1.2，外部端口地址为172.18.124.216。

图2

以上各项重定向要求对应的配置语句如下：

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp interface www 10.1.1.5      www netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0

12. 显示与保存结果

显示结果所用命令为：show config；保存结果所用命令为：write memory。

四、包过滤型防火墙的访问控制列表（acl）配置

除了以上介绍的基本配置外，在防火墙的安全策略中最重要的还有对访问控制列表（acl）进行有关配置。下面介绍一些用于此方面配置的基本命令。

1. access-list：用于创建访问规则

这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。

（1）创建标准访问列表

命令格式：access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）创建扩展访问列表

命令格式：access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]