将PIX安放至机架，经检测电源系统后接上电源，并加电主机。

将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入PIX系统；此时系统提示pixfirewall>。

输入命令：enable,进入特权模式，此时系统提示为pixfirewall#。

输入命令： configure terminal,对系统进行初始化设置。

配置以太口参数：
interface ethernet0 auto（auto选项表明系统自适应网卡类型 ）
interface ethernet1 auto

配置内外网卡的IP地址：
ip address inside ip_address netmask
ip address outside ip_address netmask

指定外部地址范围：
global 1 ip_address-ip_address

指定要进行要转换的内部地址：
nat 1 ip_address netmask

设置指向内部网和外部网的缺省路由
route inside 0 0 inside_default_router_ip_address
route outside 0 0 outside_default_router_ip_address

配置静态IP地址对映：
static outside ip_address inside ip_address

设置某些控制选项：
conduit global_ip port[-port] protocol foreign_ip [netmask]
global_ip 指的是要控制的地址
port 指的是所作用的端口，其中0代表所有端口
protocol 指的是连接协议，比如：TCP、UDP等
foreign_ip 表示可访问global_ip的外部ip，其中表示所有的ip。

设置telnet选项：
telnet local_ip [netmask]
local_ip 表示被允许通过telnet访问到pix的ip地址（如果不设此项，PIX的配置只能由consle方式进行）。

将配置保存：
wr mem

几个常用的网络测试命令：
#ping
#show interface 查看端口状态
#show static 查看静态地址映射

使用关于Cisco安全PIX防火墙的NAT和PAT语句
本文在CiscoSecure PIX 防火墙提供基本的NAT 和PAT配置示例。提供简化的网络图表 。 对于详细信息，参考您的PIX软件版本的PIX文档。
前提

本文的读者应该是熟知 关于Cisco安全PIX防火墙。
使用的组件

本文的信息根据以下的软件及硬件版本。
Cisco安全PIX防火墙软件版本5.3.1 。
本文提供的信息在特定实验室环 境里从设备被创建了。用于本文的所有设备开始了以一个缺 省（默认）配置。如果在一个真实网络工作，保证您使用它 以前了解所有命令的潜在影响。
使用NAT 0的多个NAT语句
在本例中， ISP提供网络管理器以地址范围从199.199.199.1到199.199.199.63 。网络管理器在互联网路由器决定分配199.199.199.1到内部 接口和199.199.199.2到PIX的外部接口。
网络管理员已经安排C类地址分配到他的网络， 200.200.200.0/24，并且有一些工作站使用这些地址访问互联网。 因为他们已经有有效地址，这些工作站不会要求任何地址转 换。然而，新工作站在10.0.0.0/8网络分配地址并且他们将 需要被转换(因为10.X.X.X是其中一个未路由的地址空间每 RFC 1918  。
适 应此网络设计，网络管理员在PIX配置必须使用二个NAT语句和一个 全局池，如下：

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 200.200.200.0 255.255.255.0 0 0
nat (inside) 1 10.0.0.0 255.0.0.0 0 0
此配置不会转换任 何出局流量的源地址从200.200.200.0/24网络。它在 10.0.0.0/8网络将转换源地址成一个地址从范围199.199.199.3 - 199.199.199.62。

多个全局地址池
在本例中， 网络管理器有在互联网注册IP 地址的二个范围，并且必须转换所 有内部地址，在10.0.0.0/8范围，成注册的地址。网络管 理器必须使用IP地址的范围是199.199.199.1 至199.199.199.62和 150.150.150.1至150.150.150.254。 网络管理器可能执行此与：

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
global (outside) 1 150.150.150.1-150.150.150.254 netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

注意我们在我们的NAT语句使用 一个通配符寻址机制。此语句告诉PIX转换所有内部源地址当 出去对互联网时。如果需要地址在此命令可以是更加特定的 。

混合的NAT和PAT全局语句
在本例中， ISP再提供网络管理器以地址范围从 199.199.199.1 - 199.199.199.63为他的公司的使用。网络 管理器在互联网路由器在他的PIX决定为内部接口使用 199.199.199.1和199.199.199.2 为外部接口。如此，我们 留下与199.199.199.3 - 199.199.199.62给使用为我们的NAT池。 然而，网络管理器知道，随时，他也许有超过60 个人设法 出去PIX，因此他决定采取199.199.199.62 和做它PAT地址以便多 个用户能同时共享一个地址。

global (outside) 1 199.199.199.3-199.199.199.61 netmask 255.255.255.192
global (outside) 1 199.199.199.62 netmask 255.255.255.192
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

这些命令指示PIX转换源地址到199.199.199.3 - 199.199.199.61为了前59 个内部用户能横跨PIX通过。在这些地址用尽之后，PIX 然 后将转换所有随后的源地址到199.199.199.62 直到其中一个地址 在NAT池任意成为。
注意： 我们在我们的NAT 语句使用一个通配符寻址机 制。此语句告诉PIX转换所有内部源地址当出去对互联网时。 如果需要地址在此命令可以是更加特定的。

多项NAT语句带有 Nat 0 access-list
在本例中， ISP再提供网络管理器以地址范围从 199.199.199.1 - 199.199.199.63。网络管理器在互联网路 由器决定分配199.199.199.1到内部接口和199.199.199.2到PIX的外 部接口。
然而，在此方案我们安置了 另一个专用LAN分段我们的互联网路由器。当主机在这两个网 络彼此时，谈网络管理器宁可不浪费地址从他的全局池。网 络管理器仍然需要转换源地址为所有他的内部用户(10.0.0.0/8) 当 出去对互联网时。

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 access-list 101
nat (inside) 1 10.0.0.0 255.0.0.0 0 0
此配置不会转换那 些地址带有源地址为10.0.0.0/8和目的地地址为192.168.1.0/24。 它将转换源地址从所有数据流初始化从10.0.0.0/8 网络内 和注定为任何地方除192.168.1.0/24之外到一个地址从范围 199.199.199.3 - 199.199.199.62。
如果有write terminal命令的输出从您的Cisco设备，您能使用 Output Interpreter 显示潜在问题和修正。使用 Output Interpreter ，您必须是一个 注册的用户，登录，并且安排 javascript 被启用。

配置经由 PIX 的入站的访问配置
1.配置经由PIX的入站访问
　　
　　有一个方法可以让从低安全级界面的连接访问高安全级的界面
　　
　　1.1 静态网络地址转换,为了使外部主机向内部主机发送数据，需要为内部主机配置一个静态转换列表，这也可以通过使用一个nat 0 access-
　　
　　list地址转换规则来完成.
　　static (inside,outside) 192.168.100.10 10.1.100.10 netmask 255.255.255.0
　　10.1.100.10是将被映射的地址
　　192.168.100.10是real_address转换而成的地址.
　　
　　可以通过static命令来转换一个ip 子网
　　static (inside,outside) 192.168.1.0 10.1.100.0 netmask 255.255.255.0
　　关于静态端口地址转换,使用static命令的interface选项,可以运用静态PAT来允许外部主机访问归于一台内部主机的TCP/UDP服务.
　　
　　1.2 acl或者conduit
　　
　　2.nat 0命令
　　如果在内部网络有一个公用地址，要想内部主机不经过转换去外部网络，可以让NAT停止作用。nat 0命令禁止地址转换，所以对外部网络来说
　　
　　内部ip 地址是可见的，重要的是要注意到nat 0是与acl联合起来使用的,提供对发生于内部主机/网络不经过转换到外部网络的流量的访问
　　access-list acl_nonat permit 192.168.43.0 255.255.255.0 192.168.6.0
　　nat (inside) 0 acl_nonat
　　使用static命令或nat 0命令时要求使用访问列表来对已识别的主机/网络建立一个连接.
　　
　　3.使用ACLS
　　access-list id action protocol source_address s_mask s_port destination_address d_mask d_port
　　通过access-group应用到相应的pix界面上.
　　access-group id ininterface interface_name
　　注意在cisco ios软件访问列表时，在定义子网掩码时，pix使用规则标准的子网掩码，而像router等等设备使用通配符
　　
　　1,3命令示范
　　pix(config)#static (inside,outside) 192.168.1.10 10.1.100.10 netmask 255.255.255.255
　　使用static命令将10.1.100.10转换成192.168.1.10
　　
　　pix(config)#access-list acl_out permit tcp any host 192.168.1.10 eq www
　　acl命令允许http只是访问主机10.1.100.10,已经被转换成192.168.1.10
　　
　　pix(config)#access-group acl_out in interface outside
　　将acl运用到外部界面
　　
　　
　　**对于入站访问，必须先拒绝然后再许可
　　**对于进站访问，必须先许可然后再拒绝
　　限制内部用户对位于端口80的一个外部网络服务器的访问
　　pix(config)#access-list acl_in dengy tcp any host 172.16.68.20 eq www
　　pix(config)#access-list acl_in permit ip any any
　　pix(config)#access-group acl_in in interface inside
　　
　　4.对象分组概述
　　
　　使用这个功能，主要是可以对诸如主机（服务器和客户方）服务，网络等对象进行分组并对各组应用不同的安全策略和规则。
　　[no] object-group object-type id
　　在这里object-group用来表示索要配置的对象分组类型,有如下4个选项:
　　network
　　protocol
　　service
　　icmp-type
　　对所分组用一个描述性的名字来替代grp-id.
　　
　　4.1network对象类型
　　
　　pix(config)#object-group network web_servers
　　pix(config-network)#description Public web servers
　　pix(config-network)#network-object host 192.168.1.12
　　pix(config-network)#network-object host 192.168.1.14
　　pix(config-network)#exit
　　pix(config)#access-list 102 permit tcp any object-group web_servers eq www
　　pix(config)#access-group 102 in interface outside
　　pix(config)#show object-group
　　
　　4.2Protocol对象类型
　　
　　要在现存的协议对象分组中加入一项单独的协议，使用protocol-object protocol命令
　　pix(config)#object-group protocol grp_citrix
　　pix(config-network)#protocol-object tcp
　　pix(config-network)#protocol-object citrix
　　pix(config-network)#exit
　　
　　4.3service对象类型
　　
　　service对象类型定义可以分组的端口号，其在管理应用程序时尤为有用。
　　[no] object-group service obj_grp_id tcp/UDP/tcp-udp
　　port-object eq service命令就会将一个单独的TCP/UDP端口号加入到服务对象分组中去.port-object rang begin_service end_service则会将一系列
　　
　　TCP/UDP端口号加入到服务对象分组中去.
　　pix(config)#object-group service mis_service tcp
　　pix(config-network)#port-object eq ftp
　　pix(config-network)#port-object rang 5200 6000
　　
　　>pix(config-network)#exit
　　
　　4.4关于icmp-type对象类型和嵌套对象分组，省略，基本上用处不大.
　　
　　5Fixup命令的使用
　　由fixup命令所制定的端口是pix监听到的对象,fixup命令可以用来改变缺省的端口分配.
　　[no] fixup protocol [protocol] [port]
　　no pix protocol命令来重设对缺省配置的应用程序检查条目。
　　clear fixup命令从添加的配置中移除fixup 命令，但其并不移除缺省的fixup protocol命令
　　所以这里需要记住，如果你只用protocol protocol http 8080，并没有改变默认的fixup protocol http 80，通过show fixup你可以看到pix在端口80,8080,8888监听到http流量
　　
　　经验，我做过一个cisco vpn client访问公司的lotus notes信箱，很有意思的是我不能直接打开lotus notes,而只能在island状态下作replication，后来我关闭了no fixup protocol smtp 25,就可以了。
　　
　　
　　no fixup protocol ftp命令来使ftp fixups失去作用，出站用户只能以被动模式来发起连接，而所有的入站ftp都被静止.