计算机四级网络工程师辅导知识点（9）_第2页

　　根据防火墙的实现技术：可以将防火墙分为包过滤路由器，应用级网关，应用代理和状态检测等

　　目前市场上的主流防火墙，一般都是状态检测防火墙

　　防火墙系统结构分为：包过滤路由器结构;双宿主主机结构;屏蔽主机结构;屏蔽子网结构

　　防火墙配置：

　　Pix525(config)#nameif ethernet0 outside security0

　　Pix525(config)#nameif ethernet1 inside security100

　　Pix525(config)#nameif dmz security50

　　Pix525(config)#interface ethernet0 auto

　　Pix525(config)#interface ethernet1 100full

　　Pix525(config)#ip address outside 202.113.79.1 255.255.255.240

　　Pix525(config)#ip address inside 192.168.0.1 255.255.255.0

　　指定内网访问外网的主机，与 global 一起使用

　　Pix525(config)#nat (inside) 1 192.168.0.1 255.255.255.0

　　inside 是默认的内网接口名字 1 是 id

　　Pix525(config)#global(outside) 1 202.113.79.1-202.113.79.14

　　定义可分配的全局 ip 地址

　　设置指向内网和外网的静态路由 Pix525(config)#route outside 0 0 210.81.20.1 1

　　格式：if _name 0 0 ip metric

　　outside 是接口名字 ip 是路由网关 1 是跳数(默认是 1)

　　Pix525(config)#static(inside,outside) 202.113.79.4 192.168.0.4 建立静态映射

　　Pix525(config)#conduit permit tcp host 192.168.0.4 eq www any

　　格式：Conduit permit tcp ip 端口 外部 ip

　　deny udp any

　　icmp host+ip

　　Pix525(config)#fixup protocol http 80

　　Pix525(config)#no fixup protocol smtp

　　启动 http 协议 指定 80 禁止 smtp