关于PIX的配置及注解完全手册 (picgo配置)

Saved　　:　　PIXVersion6.3(1)　　interfaceethernet0auto设定端口0速率为自动　　interfaceethernetfull设定端口1速率为兆全双工　　interfaceethernet2auto设定端口2速率为自动　　nameifethernet0outsidesecurity0设定端口0名称为outside安全级别为0　　nameifethernet1insidesecurity设定端口1名称为inside安全级别为　　nameifethernet2dmzsecurity设定端口2名称为dmz安全级别为　　enablepasswordDv0yXUGPM3Xt7xVsencrypted特权密码　　passwd2KFQnbNIdI.2KYOUencrypted*密码　　hostnamehhyy设定防火墙名称　　fixupprotocolftp　　fixupprotocolhh　　fixupprotocolhras-　　fixupprotocolhttp　　fixupprotocolils　　fixupprotocolrsh　　fixupprotocolrtsp　　fixupprotocolsip　　fixupprotocolsipudp　　nofixupprotocolskinny　　fixupprotocol*tp　　fixupprotocolsqlnet　　允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙，防火墙默认启用了一些常见的端口，但对于ORACLE等专有端口，需要专门启用。　　names　　access-listpermitip............0　　access-listpermitip............0　　access-listpermitip............0　　access-listpermitip............0　　建立访问列表，允许特定网段的*访问某些网段　　access-listdenyicmp..2....0any　　access-listdenyicmp..3....0any　　access-listdenyicmp..4....0any　　access-listdenyicmp..5....0any　　access-listdenyicmp..6....0any　　access-listdenyicmp..7....0any　　access-listdenyicmp..8....0any　　access-listdenyicmp..9....0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyicmp......0any　　access-listdenyudpanyanyeqnetbios-ns　　access-listdenyudpanyanyeqnetbios-dgm　　access-listdenyudpanyanyeq　　access-listdenyudpanyanyeq　　access-listdenyudpanyanyeq　　access-listdenytcpanyanyeq　　access-listdenytcpanyanyrangenetbios-ssn　　access-listpermitipanyany　　建立访问列表防止各个不同网段之间的ICMP发包及拒绝、等端口之间的通信（主要防止冲击波*）　　access-listpermitip............0　　pagerlines　　loggingon　　loggingmonitordebugging　　loggingbuffereddebugging　　loggingtrapnotifications　　mtuoutside　　mtuinside　　mtudmz　　ipaddressoutside.1.1....设定外端口*　　ipaddressinside..1....0设定内端口*　　ipaddressdmz......0设定DMZ端口*　　ipaudit*actionalarm　　ipauditattackactionalarm　　iplocalpoolhhyy...1-...　　建立名称为hhyy的*池，起始*段为：...1-...　　iplocalpoolyy...1-...　　建立名称为yy的*池，起始*段为：...1-...　　nofailover　　failovertimeout0::　　failoverpoll　　nofailoveripaddressoutside　　nofailoveripaddressinside　　nofailoveripaddressdmz　　nopdmhistoryenable　　arptimeout不支持故障切换　　global(outside).1.1.-.1.1.　　global(outside).1.1.7-.1.1.9　　global(outside).1.1.　　定义内部网络*将要翻译成的全局*或*范围　　nat(inside)0access-list　　使得符合访问列表为*不通过翻译，对外部网络是可见的　　nat(inside)..0...0.　　内部网络*翻译成外部*　　nat(dmz)..0...0.　　DMZ区网络*翻译成外部*　　static(inside,outside).1.1....netmask...　　static(inside,outside).1.1....netmask...　　static(inside,outside).1.1...2.4netmask...　　设定固定主机与外网固定IP之间的一对一静态转换　　static(dmz,outside).1.1....2netmask...　　设定DMZ区固定主机与外网固定IP之间的一对一静态转换　　static(inside,dmz)..0...0.0netmask..0.　　设定内网固定主机与DMZIP之间的一对一静态转换　　static(dmz,outside).1.1....3netmask...　　设定DMZ区固定主机与外网固定IP之间的一对一静态转换　　access-groupininterfaceoutside　　access-groupininterfaceinside　　access-groupininterfacedmz　　将访问列表应用于端口　　conduitpermittcphost.1.1.2any　　conduitpermittcphost.1.1.3any　　conduitpermittcphost.1.1.any　　conduitpermittcphost.1.1.any　　设置管道：允许任何*对全局*进行TCP协议的访问　　conduitpermiticmp......0any　　设置管道：允许任何*对......0*进行PING测试　　ripoutsidepassiveversion2　　ripinsidepassiveversion2　　routeoutside0.0.0..0.0..1.1.1　　设定默认路由到电信端　　routeinside..2......1.　　routeinside..3......1.　　routeinside..4......1.　　routeinside..5......1.　　routeinside..6......1.　　routeinside..7......1.　　routeinside..8......1.　　routeinside..9......1.　　routeinside........1.　　routeinside........1.　　设定路由回指到内部的子网　　timeoutxlate3::　　timeoutconn1::half-closed0::udp0::rpc0::h　　1::　　timeouth::mgcp0::sip0::sip_media0::　　timeoutuauth0::absolute　　aaa-serverTACACS+protocoltacacs+　　aaa-serverRADIUSprotocolradius　　aaa-serverLOCALprotocollocal　　nosnmp-serverlocation　　nosnmp-servercontact　　snmp-servercommunitypublic　　nosnmp-serverenabletraps　　floodguardenable　　sysoptconnectionpermit-ipsec　　sysoptconnectionpermit-pptp　　serviceresetinbound　　serviceresetoutside　　cryptoipsectransform-setmysetesp-desesp-md5-hmac　　定义一个名称为myset的交换集　　cryptodynamic-mapdynmapsettransform-setmyset　　根据myset交换集产生名称为dynmap的动态加密图集（可选）　　cryptomapvpnipsec-isakmpdynamicdynmap　　将dynmap动态加密图集应用为IPSEC的策略模板（可选）　　cryptomapvpnipsec-isakmp　　用IKE来建立IPSEC安全关联以保护由该加密条目指定的数据流　　cryptomapvpnmatchaddress　　为加密图指定列表作为可匹配的列表　　cryptomapvpnsetpeer.1.1.　　在加密图条目中指定IPSEC对等体　　cryptomapvpnsettransform-setmyset　　指定myset交换集可以被用于加密条目　　cryptomapvpnclientconfigurationaddressinitiate　　指示PIX防火墙试图为每个对等体设置IP*　　cryptomapvpnclientconfigurationaddressrespond　　指示PIX防火墙接受来自任何请求对等体的IP*请求　　cryptomapvpninterfaceoutside　　将加密图应用到外部接口isakmpenableoutside　　在外部接口启用IKE协商　　isakmpkey********address.1.1.netmask...　　指定预共享密钥和远端对等体的*　　isakmpidentityaddress　　IKE身份设置成接口的IP*　　isakmpclientconfigurationaddress-poollocalyyoutside　　isakmppolicyauthenticationpre-share　　指定预共享密钥作为认证手段　　isakmppolicyencryptiondes　　指定位DES作为将被用于IKE策略的加密算法　　isakmppolicyhashmd5　　指定MD5(HMAC变种)作为将被用于IKE策略的散列算法　　isakmppolicygroup2　　指定比特Diffie-Hellman组将被用于IKE策略　　isakmppolicylifetime　　每个安全关联的生存周期为秒（一天）　　vpngroupciscoidle-time　　vpngrouppix_vpnaddress-poolyy　　vpngrouppix_vpnidle-time　　vpngrouppix_vpnpassword********　　vpngroupaddress-poolyy　　vpngroupidle-time　　vpngrouppassword********　　vpngroupaddress-poolyy　　vpngroupidle-time　　vpngrouppassword********　　telnet......inside　　telnet......inside　　telnettimeout5　　sshtimeout5　　consoletimeout0　　vpdngroup1acceptdialinpptp　　vpdngroup1pppauthenticationpap　　vpdngroup1pppauthenticationchap　　vpdngroup1pppauthenticationmschap　　vpdngroup1pppencryptionmppe　　vpdngroup1clientconfigurationaddresslocalhhyy　　vpdngroup1pptpecho　　vpdngroup1clientauthenticationlocal　　vpdnusernameciscopassword*********　　vpdnenableoutside　　usernameciscopassword3USUcOPFUiMCO4Jkencryptedprivilege2　　vpnclientvpngroupcisco_vpnpassword********　　vpnclientusernamepixpassword********　　terminalwidth　　Cryptochecksum:abcdf7cbbdfa4