零起点配置PIX防火墙 六大基本命令1(3)

0 172.16.0.1 1　　
　　设置另一条指向内部的路由。　　
今天我们来介绍pix防火墙的一些高级配置。　　
　　配置静态IP地址翻译（static）：　　
　　如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。　　
　　static命令配置语法：static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address，其中internal_if_name表示内部网络接口，安全级别较高。如inside.。external_if_name为外部网络接口，安全级别较低，如outside等。　　
　　outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。 示例语句如下：　　
　　Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8　　
　　ip地址为192.168.0.8的主机，对于通过pix防火墙建立的每个会话，都被翻译成61.144.51.62这个全局地址，也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。PIX将把192.168.0.8映射为61.144.51.62以便NAT更好的工作。　　
　　小提示：　　
　　使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口，使它们可以进入到具有较高安全级别的指定接口。　　
　　管道命令（conduit）：　　
　　使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的入方向的会话。　　
　　对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。说得通俗一点管道命令（conduit）就相当于以往CISCO设备的访问控制列表（ACL）。　　
　　conduit命令配置语法：　　
　　conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask]，其中permit|deny为允许|拒绝访问，global_ip指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。　　
　　port指的是服务所作用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议，比如：TCP、UDP、ICMP等。foreign_
ip表示可访问global_ip的外部ip。对于任意主机可以用any表示。如果foreign_ip是一台主机，就用host命令参数。示例语句如下：　　
　　Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any