完整的pix525配置

完整的pix525配置

PIX Version 6.3(3)

interface ethernet0 100full

interface ethernet1 100full

interface gb-ethernet0 1000auto

interface gb-ethernet1 1000auto

nameif ethernet0 cimo security10

nameif ethernet1 intf3 security15

nameif gb-ethernet0 outside security0

nameif gb-ethernet1 inside security100

enable password 52network encrypted

passwd 52network encrypted

hostname PIX-A

domain-name https://www.wendangku.net/doc/765452837.html,

\\配置接口名称，安全级别，主机名，使用的域名

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol ils 389

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol splnet 1521

fixup protocoltftp 69

names

access-list inside_outbound_nat0_acl permit ip 202.102.54.0 255.255.255.0 10.0.1.0 255.255. 255.0

access-list outside_cryptomap_20 permit ip 202.102.54.0 255.255.255.0 10.0.1.0 255.255.255. 0

\\ 配置PIX允许的协议类型，要加密保护的数据流量

pager lines 24

logging timestamp

logging standby

logging trap informational

logging facility 22

logging host inside 202.102.54.5

mtu cimo 1500

mtu intf3 1500

mtu outside 1500

mtu inside 1500

ip address cimo 192.168.0.1 255.255.255.252

ip address intf3 127.0.0.1 255.255.255.255

ip address outside 202.102.53.6 255.255.255.0

ip address inside 202.102.54.1 255.255.255.248

ip audit info action alarm

ip audit attack action alarm

failover

failover timeout 0:00:00

failover poll 15

failover replication http

failover ip address shaying 192.168.0.2

failover ip address intf3 127.0.0.2

failover ip address outside 202.102.53.69

failover ip address inside 202.102.54.3

failover link shaying

\\设置日志服务器，PIX各接口的IP地址，PIX设备的故障切换功能

pdm location 219.238.213.192 255.255.255.192 outside

pdm location 202.102.54.0 255.255.255.0 inside

pdm location 202.102.54.28 255.255.255.255 inside

pdm location 202.102.54.88 255.255.255.255 inside

pdm location 202.102.54.89 255.255.255.255 inside

pdm location 202.102.54.90 255.255.255.255 inside

pdm location 202.102.54.208 255.255.255.240 inside

pdm location 202.102.54.48 255.255.255.240 outside

pdm location 202.102.54.48 255.255.255.240 inside

pdm location 202.102.54.128 255.255.255.240 inside

pdm location 219.238.213.245 255.255.255.255 outside

pdm location 10.0.0.0 255.255.255.0 outside

pdm location 10.0.1.0 255.255.255.0 outside

pdm location 202.102.54.208 255.255.255.240 outside

pdm location 172.16.201.0 255.255.255.0 inside

pdm location 202.102.54.0 255.255.255.0 outside

pdm location 219.239.218.192 255.255.255.192 outside

pdm location 219.238.218.248 255.255.255.255 outside

pdm location 219.238.218.241 255.255.255.255 outside

pdm logging information 100

no pdm history enable

arp timeout 14400

\\配置能通过WEB界面管理PIX设备的工作站。

n

at (inside) 0 access-list inside_outbound_nat0_acl

nat (inside)0 202.102.54.0 255.255.255.0 0 0

static (inside,outside) 202.102.54.0 202.102.54.0 netmask 255.255.255.0 0 0 conduit permit tcp 202.102.54.208 255.255.255.240 ep www any

conduit permit udp 202.102.54.208 255.255.255.240 ep domain any

conduit permit tcp host 202.102.54.33 eq 15000 any

conduit permit tcp host 202.102.54.34 eq 15010 any

conduit permit tcp host 202.102.54.33 eq 15010 any

conduit permit tcp host 202.102.54.34 eq 15020 any

conduit permit tcp host 202.102.54.33 eq 15010 any

conduit permit tcp host 202.102.54.34 eq 15000 any

conduit permit tcp host 202.102.54.212 eq 1433 220.168.249.64 255.255.255.192 conduit permit tcp host 202.102.54.213 eq 1433 220.168.249.64 255.255.255.192 conduit permit tcp host 202.102.54.60 eq 1433 220.168.249.64 255.255.255.192 conduit permit ip host 202.102.54.35 220.168.249.64 255.255.255.192

conduit permit tcp host 202.102.54.214 eq 1433 host 220.168.249.100

conduit permit tcp host 202.102.54.214 eq ftp host 220.168.249.100

conduit permit tcp host 202.102.54.131 eq 1433 220.168.249.64 255.255.255.192 conduit permit tcp host 202.102.54.216 eq ftp host 220.168.249.92

conduit permit tcp host 202.102.54.213 eq 81 host 220.168.249.101

conduit permit ip host 202.102.54.137 host 220.168.249.100

conduit permit tcp host 202.102.54.133 eq www any

conduit permit tcp host 202.102.54.132 eq smtp any

conduit permit tcp host 202.102.54.132 eq www any

conduit permit tcp host 202.102.54.134 eq ftp any

conduit permit tcp host 202.102.54.132 eq pop3 any

conduit permit tcp host 202.102.54.210 eq ftp any

conduit permit tcp host 202.102.54.102 eq www any

conduit permit tcp host 202.102.54.216 eq www any

conduit permit tcp host 202.102.54.217 eq www any

conduit permit tcp host 202.102.54.134 eq www any

conduit permit tcp host 202.102.54.84 eq 10100 any

conduit permit tcp host 202.102.54.221 eq www any

conduit permit tcp host 202.102.54.68 eq 10100 any

conduit permit tcp host 202.102.54.213 eq 4662 any

conduit permit tcp host 202.102.54.213 eq 4672 any

conduit permit tcp host 202.102.54.68 eq 4662 any

conduit permit tcp host 202.102.54.68 eq 4672 any

conduit permit tcp host 202.102.54.213 eq www any

conduit permit tcp host 202.102.54.221 eq ftp any

conduit permit tcp 202.102.54.48 255.255.255.240 eq 1000 any

conduit permit tcp 202.102.54.64 255.255.255.240 eq 1000 any

conduit permit tcp 202.102.54.80 255.255.255.240 eq 1000 any

conduit deny ip 202.102.54.0 255.255.255.0 63.0.0.0 255.0.0.0

conduit deny ip 202.102.54.0 255.255.255.0 210.92.0.0 255.255.0.0

conduit permit tcp 202.102.54.0 255.255.255.0 eq ftp host 219.239.218.250

conduit permit tcp 202.102.54.0 255.255.255.0 eq 37631 host 219.239.218.250

conduit permit udp 202.102.54.0 255.255.255.0 eq 37632 host 219.239.218.250

conduit permit tcp 202.102.54.0 255.255.255.0 eq 1433 h

ost 219.239.218.250

conduit permit tcp 202.102.54.0 255.255.255.0 eq ssh host 219.238.218.250

conduit permit tcp 202.102.54.0 255.255.255.0 eq 11050 host 219.238.218.250

conduit permit tcp host 202.102.54.131 eq 8294 host 219.239.218.250

conduit permit tcp host 202.102.54.131 eq 3389 host 219.238.218.250

conduit permit tcp 202.102.54.0 255.255.255.0 eq 8080 hsot 219.238.218.250

conduit permit tcp host 202.102.54.134 range 1500 1600 any

conduit permit udp host 202.102.54.134 range 1500 1600 any

conduit permit udp host 202.102.54.134 range 4000 6000 any

conduit permit tcp host 202.202.54.134 range 4000 6000 any

conduit permit ip 202.102.54.0 255.255.255.o host 219.238.218.246

conduit permit ip 202.102.54.0 255.255.255.o host 219.238.218.248

conduit permit ip 202.102.54.0 255.255.255.o host 219.238.218.249

conduit permit ip 202.102.54.0 255.255.255.o host 219.238.218.250

conduit permit ip any host 219.234.81.66

conduit permit tcp host 202.102.54.75 range 8881 9999 any

route outside 0.0.0.0 0.0.0.0 202.102.53.65 1

route inside 202.102.54.0 255.255.255.0 202.102.54.2 1

\\配置地址转换，静态路由，双向访问列表，用ACL也可做。

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05)00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol raduis

aaa-sever LOCAL protocol local

http server enable

http 220.168.249.102 255.255.255.255 outside

http 219.238.218.192 255.255.255.192 outside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set ESP-3DES-MD5 esp -3des esp -md5-hmac

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 match address outside_cryptomap_20

crypto map outside_map 20 set peer 219.239.218.247

crypto map outside_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map interface outside

\\配置IPSEC，在PIX上设置加密算法，加密的接口

isakmp enable outside

isakmp key 52network address 219.239.218.247 netmask 255.255.255.255 no-xauth no-config-mo de

isakmp identity address

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash md5

isakmp policy 20 group 2

isakmp policy 20 lifetime 28800

\\配置IKE，指定认证的方式为PRE-SHARE。

telnet timeout 15

ssh 220.168.249.105 255.255.255.255 outside

ssh 219.238.218.192 255.255.255.192 outside

ssh 202.102.54.0 255.255.255.0 inside

ssh timeout 15

console timeout 0

terminal width 80

banner exec welcome

banner login XXXX Login

cryptochecksum:**********************

:end

硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单地说是一种PC式的电脑主机加上闪存（Flash）和防火墙操作系统。它的硬件跟共控机差不多，都是属于能适合24小时工作的，外观造型也是相类似。闪存基本上跟路由器一样，都是那中EEPROM，操作系统跟Cisco IOS相似,都是命令行（Command）式。

我第一次亲手那到的防火墙是Cisco Firewall Pix 525，是一种机架式标准（即能安装在标准的机柜里），有2U的高度，正面看跟Cisco 路由器一样，只有一些指示灯，从背板看，有两个以太口（RJ-45网卡）,一个配置口（console）,2个USB,一个15针的Failover口，还有三个PCI扩展口。

如何开始Cisco Firewall Pix呢？我想应该是跟Cisco 路由器使用差不多吧，于是用配置线从电脑的COM2连到PIX 525的console口，进入PIX操作系统采用windows系统里的“超级终端”，通讯参数设置为默然。初始使用有一个初始化过程，主要设置：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，如果以上设置正确，就能保存以上设置，也就建立了一个初始化设置了。

进入Pix 525采用超级用户(enable),默然密码为空，修改密码用passwd 命令。一般情况下Firewall配置，我们需要做些什么呢？当时第一次接触我也不知道该做些什么，随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用，用于几个小时把几百面的英文书看完了，对命令的使用的知道了一点了，但是对如何配置PIX还是不大清楚该从何入手，我想现在只能去找cisco了,于是在https://www.wendangku.net/doc/765452837.html,下载了一些资料，边看边实践了PIX。

防火墙是处网络系统里，因此它跟网络的结构密切相关，一般会涉及的有Route(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。

下面我讲一下一般用到的最基本配置

1、建立用户和修改密码

跟Cisco IOS路由器基本一样。

2、激活以太端口

必须用enable进入，然后进入configure模式

PIX525>enable

Password:

PIX525#config t

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 auto

在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

3、命名端口与安全级别

采用命令nameif

PIX525(config)#nameif ethernet0 outside security0

PIX525(config)#nameif ethernet0 outside security100

security0是外部端口outside的安全级别（0安全级别最高）

security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。

4、配置以太端口IP 地址

采用命令为：ip address

如：内部网络为：192.168.1.0 255.255.255.0

外部网络为：222.20.16.0 255.255.255.0

PIX525(config)#ip address inside 192.168.1.1 255.255.255.0

PIX525(config)#ip address outside 222.20.16.1 255.255.255.0

5、配置远程访问[telnet]

在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside 端口还跟一些安全配置有关。

PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside

PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside

测试telnet

在[开始]->[运行]

telnet 192.168.1.1

PIX passwd:

输入密码：cisco

6、访问列表(access-list)

此功能与Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny两个功能，网络协议一般有IP|TCP|UDP|ICMP等等，如：只允许访问主机:222.20.16.254的www,端口为：80

PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www

PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 in interface outside

7、地址转换（NAT）和端口转换(PAT)

NAT跟路由器基本是一样的，

首先必须定义IP Pool，提供给内部IP地址转换的地址段，接着定义内部网段。

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0

如果是内部全部地址都可以转换出去则：

PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0

则某些情况下，外部地址是很有限的，有些主机必须单独占用一个IP地址，必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令，这种称为（PAT），这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下：

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0

PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0

8、 DHCP Server

在内部网络，为了维护的集中管理和充分利用有限IP地址，都会启用动态主机分配IP地址服务器（DHCP Server），Cisco Firewall PIX都具有这种功能，下面简单配置DHCP Server,地址段为192.168.1.100—192.168.168.1.200

DNS: 主202.96.128.68 备202.96.144.47

主域名称：https://www.wendangku.net/doc/765452837.html,

DHCP Client 通过PIX Firewall

PIX525(config)#ip address dhcp

DHCP Server配置

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47

PIX525(config)#dhcp domain https://www.wendangku.net/doc/765452837.html,

9、静态端口重定向(Port Redirection with Statics)

在PIX 版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX 传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。

命令格式：

static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]

static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip

[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]

!----外部用户直接访问地址222.20.16.99 telnet端口，通过PIX重定向到内部主机192.168.1.99的telnet端口（23）。PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.99 FTP，通过PIX重定向到内部192.168.1.3的FTP Server。

PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.208 www(即80端口)，通过PIX重定向到内部192.168.123的主机的www(即80端口)。

PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.201 HTTP(8080端口)，通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。

PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0

!----外部用户直接访问地址222.20.16.5 smtp(25端口)，通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)

PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0

10、显示与保存结果

采用命令show config

保存采用write memory

一、PIX防火墙的认识

PIX是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。

PIX有很多型号，并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。

PIX防火墙常见接口有：console、Failover、Ethernet、USB。

网络区域：

内部网络：insid

外部网络：outside

中间区域：称DMZ(停火区)。放置对外开放的服务器。

二、防火墙的配置规则

没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。

(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

三、PIX防火墙的配置模式

PIX防火墙的配置模式与路由器类似，有4种管理模式：

PIXfirewall>：用户模式

PIXfirewall#：特权模式

PIXfirewall(config)#：配置模式

monitor>：ROM监视模式，开机按住[Esc]键或发送一个“Break”字符，进入监视模式。

四、PIX基本配置命令

常用命令有：nameif、interface、ipaddress、nat、global、route、static等。

1、nameif

设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

例如要求设置：

ethernet0命名为外部接口outside，安全级别是0。

ethernet1命名为内部接口inside，安全级别是100。

ethernet2命名为中间接口dmz,安装级别为50。

使用命令：

PIX525(config)#nameifethernet0outsidesecurity0

PIX525(config)#nameifethernet1insidesecurity100

PIX525(config)#nameifethernet2dmzsecurity50

2、interface

配置以太口工作状态，常见状态有：auto、100full、shutdown。

auto：设置网卡工作在自适应状态。

100full：设置网卡工作在100Mbit/s，全双工状态。

shutdown：设置网卡接口关闭，否则为激活。

命令：

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#interfaceethernet1100fullshutdown

3、ipaddress

配置网络接口的IP地址，例如：

PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252

PIX525(config)#ipaddressinside192.168.0.1255.255.255.0

内网inside接口使用私有地址192.168.0.1，外网outside接口使用公网地址133.0.0.1。

4、global

指定公网地址范围：定义地址池。

Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmarkglobal_mask]：表示全局ip地址的网络掩码。

例如：

PIX525(config)#global(outside)1133.0.0.1-133.0.0.15

地址池1对应的IP是：133.0.0.1-133.0.0.15

PIX525(config)#global(outside)1133.0.0.1

地址池1只有一个IP地址133.0.0.1。

PIX525(config)#noglobal(outside)1133.0.0.1

表示删除这个全局表项。

5、nat

地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]

其中：

(if_name)：表示接口名称，一般为inside.

nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

在实际配置中nat命令总是与global命令配合使用。

一个指定外部网络，一个指定内部网络，通过net_id联系在一起。

例如：

PIX525(config)#nat(inside)100

表示内网的所有主机(00)都可以访问由global指定的外网。

PIX525(config)#nat(inside)1172.16.5.0255.255.0.0

表示只有172.16.5.0/16网段的主机可以访问global指定的外网。

6、route

route命令定义静态路由。

语法：

route(if_name)00gateway_ip[metric]

其中：

(if_name)：表示接口名称。

00：表示所有主机

Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。缺省值是1。

例如：

PIX525(config)#routeoutside00133.0.0.11

设置缺省路由从outside口送出，下一跳是133.0.0.1。

00代表0.0.0.00.0.0.0，表示任意网络。

PIX525(config)#routeinside10.1.0.0255.255.0.010.8.0.11

设置到10.1.0.0网络下一跳是10.8.0.1。最后的“1”是花费。

7、static

配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address

其中：

internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

outside_ip_address表示外部网络的公有ip地址。

inside_ip_address表示内部网络的本地ip地址。

(括号内序顺是先内后外，外边的顺序是先外后内)

例如：

PIX525(config)#static(inside，outside)133.0.0.1192.168.0.8

表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址。

PIX525(config)#static(dmz，outside)133.0.0.1172.16.0.2

中间区域ip地址172.16.0.2，访问外部时被翻译成133.0.0.1全局地址。

8、conduit

管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。

语法：

conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

其中：

global_ip是一台主机时前面加host参数，所有主机时用any表示。

foreign_ip表示外部ip。

[netmask]表示可以是一台主机或一个网络。

例如：

PIX525(config)#static(inside，outside)133.0.0.1192.168.0.3

PIX525(config)#conduitpermittcphost133.0.0.1eqwwwany

这个例子说明static和conduit的关系。192.168.0.3是内网一台web服务器，

现在希望外网的用户能够通过PIX防火墙访问web服务。

所以先做static静态映射：192.168.0.3－>133.0.0.1

然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。

9、访问控制列表ACL

访问控制列表的命令与couduit命令类似，

例：

PIX525(config)#access-list100permitipanyhost133.0.0.1eqwww

PIX525(config)#access-list100denyipanyany

PIX525(config)#access-group100ininterfaceoutside

10、侦听命令fixup

作用是启用或禁止一个服务或协议，

通过指定端口设置PIX防火墙要侦听listen服务的端口。

例：

PIX525(config)#fixupprotocolftp21

启用ftp协议，并指定ftp的端口号为21

PIX525(config)#fixupprotocolhttp8080

PIX525(config)#nofixupprotocolhttp80

启用http协议8080端口，禁止80端口。

11、telnet

当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。

例：

telnetlocal_ip[netmask]

local_ip表示被授权可以通过telnet访问到PIX的ip地址。

如果不设此项，PIX的配置方式只能用console口接超级终端进行。

12、显示命令：

showinterface；查看端口状态。

showstatic；查看静态地址映射。

showip；查看接口ip地址。

showconfig；查看配置信息。

showrun；显示当前配置信息。

writeterminal；将当前配置信息写到终端。

showcpuusage；显示CPU利用率，排查故障时常用。

showtraffic；查看流量。

showblocks；显示拦截的数据包。

showmem；显示内存

13、DHCP服务

PIX具有DHCP服务功能。

例：

PIX525(config)#ipaddressdhcp

PIX525(config)#dhcpdaddress192.168.1.100-192.168.1.200inside

PIX525(config)#dhcpdns202.96.128.68202.96.144.47

PIX525(config)#https://www.wendangku.net/doc/765452837.html,

五、PIX防火墙举例

设：

ethernet0命名为外部接口outside，安全级别是0。

ethernet1被命名为内部接口inside，安全级别100。

ethernet2被命名为中间接口dmz，安全级别50。

PIX525#conft

PIX525(config)#nameifethernet0outsidesecurity0

PIX525(config)#nameifethernet1insidesecurity100

PIX525(config)#nameifethernet2dmzsecurity50

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#interfaceethernet2100full

PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;设置接口IP

PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;设置接口IP

PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;设置接口IP

PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定义的地址池

PIX525(config)#nat(inside)100;00表示所有

PIX525(config)#routeoutside00133.0.0.2;设置默认路由

PIX525(config)#static(dmz，outside)133.1.0.110.65.1.101;静态NAT

PIX525(config)#static(dmz，outside)133.1.0.210.65.1.102;静态NAT

PIX525(config)#static(inside，dmz)10.66.1.20010.66.1.200;静态NAT

PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;设置ACL

PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;设置ACL

PIX525(config)#access-list101denyipanyany;设置ACL

PIX525(config)#access-group101ininterfaceoutside;将ACL应用在outside端口

当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。

当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会

映射成地址池的IP，到外部去找。

当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101，static是双向的。PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。

静态路由指示内部的主机和dmz的数据包从outside口出去。

电脑硬件及电脑配置知识大全(一)

本文从CPU、显卡、内存、主板、硬盘等电脑硬件进行介绍，其中包括各种品牌、参数及性能等方面进行比较。小编带你了解最全的电脑配置知识，对电脑不熟悉的网友们注意了，电脑知识掌握其实很简单哦。 一、处理器CPU知识 ①CPU的分类 CPU品牌有两大阵营，分别是Intel(英特尔)和AMD,这两个行业老大几乎垄断了CPU市场，大家拆开电脑看看，无非也是Intel和AMD的品牌(当然不排除极极少山寨的CPU)。而Intel的CPU又分为Pentium(奔腾) 、Celeron(赛扬)和Core(酷睿)。其性能由高到低也就是Core>Pentium>Celeron。AMD 的CPU分为Semporn(闪龙)和Athlon(速龙)，性能当然是Athlon优于Semporn的了。 ②CPU的主频认识 提CPU时，经常听到2.4GHZ、3.0GHZ等的CPU，这些到底代表什么?这些类似于2.4GHZ的东东其实就是CPU的主频，也就是主时钟频率，单位就是MHZ。这时用来衡量一款CPU性能非常关键的指标之一。主频计算还有条公式。主频=外频×倍频系数。 单击“我的电脑”→“属性”就可以查看CPU类型和主频大小如下图：

③CPU提到的FSB是什么 FSB就是前端总线，简单来说，这个东西是CPU与外界交换数据的最主要通道。FSB的处理速度快慢也会影响到CPU的性能。4.CPU提及的高速缓存指的又是什么呢?高速缓存指内置在CPU中进行高速数据交换的储存器。分一级缓存(L1Cache)、 二级缓存(L2Cache)以及三级缓存(L3Cache)。 一般情况下缓存的大小为：三级缓存>二级缓存>一级缓存。缓存大小也是衡量C PU性能的重要指标。 ④常提及的45nm规格的CPU是什么 类似于45nm这些出现在CPU的字样其实就是CPU的制造工艺，其单位是微米，为秘制越小，制造工艺当然就越先进了，频率也越高、集成的晶体管就越多!现在的C

Cisco PIX防火墙详细安装流程及安全配置

..1. 将PIX安放至机架，经检测电源系统后接上电源，并加电主机。 2. 将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall>. 3. 输入命令:enable，进入特权模式，此时系统提示为pixfirewall#. 4. 输入命令: configure terminal，对系统进行初始化设置。 5. 配置以太口参数: interface ethernet0 auto (auto选项表明系统自适应网卡类型 ) interface ethernet1 auto 6. 配置内外网卡的IP地址: ip address inside ip_address netmask ip address outside ip_address netmask 7. 指定外部地址范围: global 1 ip_address-ip_address 8. 指定要进行转换的内部地址: nat 1 ip_address netmask 9. 设置指向内部网和外部网的缺省路由 route inside 0 0 inside_default_router_ip_address route outside 0 0 outside_default_router_ip_address 10. 配置静态IP地址对映: static outside ip_address inside ip_address 11. 设置某些控制选项: conduit global_ip port[-port] protocol foreign_ip [netmask] global_ip指的是要控制的地址

PIX详细配置命令说明

配置PIX防火墙之前，先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下： 内部区域（内网）。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。 外部区域（外网）。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。 停火区（DMZ）。停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。 注意：2个接口的防火墙是没有停火区的。 由于PIX535在企业级别不具有普遍性，因此下面主要说明PIX525在企业网络中的应用。 PIX防火墙提供4种管理访问模式： 非特权模式。PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall> 特权模式。输入enable进入特权模式，可以改变当前配置。显示为pixfirewall# 配置模式。输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfire wall(config)# 监视模式。PIX防火墙在开机或重启过程中，按住Escape键或发送一个＼"Break＼"字符，进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor> 配置PIX防火墙有6个基本命令：nameif，interface，ip address，nat，global，route. 这些命令在配置PIX是必须的。以下是配置的基本步骤： 1. 配置防火墙接口的名字，并指定安全级别（nameif）。 Pix525(config)#nameif ethernet0 outside security0 Pix525(config)#nameif ethernet1 inside security100 Pix525(config)#nameif dmz security50 提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写： Pix525(config)#nameif pix/intf3 security40 （安全级别任取） 2. 配置以太口参数（interface） Pix525(config)#interface ethernet0 auto （auto选项表明系统自适应网卡类型）Pix525(c onfig)#interface ethernet1 100full （100full选项表示100Mbit/s以太网全双 工通信） Pix525(config)#interface ethernet1 100full shutdown （shutdown选项表示关闭这个接口，若启用接口去掉shutdown ） 3. 配置内外网卡的IP地址（ip address） Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 很明显，Pix525防火墙在外网的ip地址是61.144.51.42，内网ip地址是192.168.0.1 4. 指定要进行转换的内部地址（nat）网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.

各种缓冲液的配制方法

各种缓冲液的配制方法(总5 页) -CAL-FENGHAI.-(YICAI)-Company One1 -CAL-本页仅作为文档封面，使用请直接删除

1．甘氨酸–盐酸缓冲液（L ） X 毫升 mol/L 甘氨酸+Y 毫升 mol/L HCI ，再加水稀释至200毫升 甘氨酸分子量 = ， mol/L 甘氨酸溶液含克/升。 2．邻苯二甲酸–盐酸缓冲液（ mol/L ） X 毫升 mol/L 邻苯二甲酸氢钾 + mol/L HCl ，再加水稀释到20毫升 邻苯二甲酸氢钾分子量 = ， mol/L 邻苯二甲酸氢溶液含克/升 3．磷酸氢二钠–柠檬酸缓冲液 Na 2HPO 4分子量 = ， mol/L 溶液为克/升。 Na 2HPO 4-2H 2O 分子量 = ， mol/L 溶液含克/升。 C 4H 2O 7 ·H 2O 分子量 = ， mol/L 溶液为克/升。 4．柠檬酸–氢氧化钠-盐酸缓冲液

①使用时可以每升中加入1克克酚，若最后pH值有变化，再用少量50% 氢氧化钠溶液或浓盐酸调节，冰箱保存。 ② 5．柠檬酸–柠檬酸钠缓冲液（ mol/L） 柠檬酸C6H8O7·H2O：分子量， mol/L溶液为克/升。 柠檬酸钠Na3 C6H5O7·2H2O：分子量， mol/L溶液为克/毫升。 6．乙酸–乙酸钠缓冲液（ mol/L） Na2Ac·3H2O分子量 = ， mol/L溶液为克/升。 7．磷酸盐缓冲液 （1）磷酸氢二钠–磷酸二氢钠缓冲液（） Na2HPO4·2H2O分子量 = ， mol/L溶液为克/升。 Na2HPO4·2H2O分子量 = ， mol/L溶液为克/升。 Na2HPO4·2H2O分子量 = ， mol/L溶液为克/升。

大型校园网的设计完整配置

1规划背景 1.1 规划对象 七十七团中学坐落在昭苏盆地腹地，校园占地面积亩。教学、生活设施齐全，总建筑面积约万平方米。 学校为9年一贯制学校，在校生680余名。教职工100余人。 1.2 对象需求分析 该校校园网的总体建设目标是：利用先进实用的计算机技术和网络通信技术，建成覆盖全校、高速、高性能的计算机网络，实现网络在教学、管理和通信等方面的作用。具体包括以下几个方面： ?建立一个以光纤为主干、覆盖全校的宽带网，主干1000M ，100M 至桌面。需要考虑网络运行的高效、可靠、安全以及管理的方便。 ?实现校园Intranet 同第四师教育专线，Internet 的互连互通，校内可以方便快捷地访问国内外消息，以满足信息查询、通信、资源共享、远程教学等需要。 ?建立网络教学系统，提供教师备课、课间制作、多媒体演示，学生多媒体交互式学习、网络考试、自动教学评估等功能。 ?建立基于网络的教育管理及自动化办公系统，包括行政、教学教务、科研、后勤财务等系统，以满足学校管理现代化的需要。 具体功能为： （1）实现校内办公自动化，提高管理水平 （2）提供信息服务 （3）为教师提供良好的交流环境 (4) 为学生提供良好的学习环境

2网络总体规划 2.1 网络技术选择 2.1.1总体技术 从校园的建筑结构来说，一般以楼宇为单位，每个楼由多个楼层组成，整个楼可以作为一个相对独立的网络应用单元考虑，多个功能相近的楼宇形成一个建筑群。这种建筑分布结构非常适合以太网技术的应用。 首先，以太网时采用分组交换方式，一个交换机就是一个交换中心，可以很容易地组成星型或者树型的网络结构。在楼宇内部，每层楼通过一台二层交换机来连接该层信息点，整个楼用一台二层/三层交换机作为楼宇汇聚，多个楼宇再汇聚到核心骨干交换机上。楼层、楼宇、楼群与以太网的接入、汇聚、核心的树型结构有着很好的对应关系，网络结构层次清晰。 其次，传输介质也适合了建网需要。在楼宇之间采用1000M光纤，保证了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼宇内部采用5类双绞线，其100M连接状态100m、10M连接状态200m的传递距离能够满足室内布线的长度要求。 最后，以太网建网能够提供性价比高的网络带宽。 2.1.2路由技术 路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本规划设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。

Cisco PIX 防火墙密码恢复过程

Cisco PIX 防火墙密码恢复过程 本文档介绍了怎么通过PIX 软件版本7.0 恢复Pix密码的方法. 我这里只是举出了常用了不带软驱的PIX防火墙恢复方法. 请注意在PIX上进行的密码恢复只是删除了密码,而并 不会删除防火墙的配置. 首先在进行密码恢复之前, 我们手上应该备有下列工具 1 一台电脑 2 一根Cisco 的Console线 3 TFTP 软件 恢复的时间大约需要10分钟左右,所以在这期间网络是无法正常运行的 其次我们还需要确认的是使用何种版本的密码恢复软件,这个文件只是一个二进制文件,可以从CISCO网站上下载,下面的列表是根据使用的PIX 运行的软件版本而对应需要的密码恢 复软件 np70.bin (7.x and 8.0 release) np63.bin (6.3 release) np62.bin (6.2 release) np61.bin (6.1 release) np60.bin (6.0 release) np53.bin (5.3 release)

np52.bin (5.2 release) np51.bin (5.1 release) np50.bin (5.0 release) np44.bin (4.4 release) nppix.bin (4.3 and earlier releases) 密码恢复步骤 1 将Console线一端连接PIX的console口,另一端连接PC的串口 2 将RJ45 网线一端连上Pix的一个网卡(比如Ethernet0),另一端接PC的网卡 3 重启PIX, 当出现PIX出现启动信息的时候,按ESC键或BREAK键中断启动进程 PIX出现 monitor > 提示 4 在monitor >下输入interface 命令指定使用的接口, 这个接口就是刚才网线连接的PIX 侧的那个Ethernet口. 比如interface 0 5 输入address 命令设置刚才连接的Ethernet 接口的IP地址 6 输入server 命令设置tftp 服务器的IP地址, (这个tftp服务器的地址就是运行tftp 软件的PC机上的那个网卡IP地址, 这个网卡就是连接PIX Ethernet 0 接口的那个网卡) 7 输入file 命令指定PIX密码恢复文件名,比如file np70.bin 8 如果有必要,输入gateway 命令指定默认网关的IP地址. 9 然后,最好使用Ping 命令测试一下PC与PIX网络之间的连通性.确定两者之间是通的

dell交换机配置

1. 交换机支持的命令： 交换机基本状态： switch: ；ROM状态，路由器是rommon> hostname> ；用户模式 hostname# ；特权模式 hostname(config)# ；全局配置模式 hostname(config-if)# ；接口状态 交换机口令设置： switch>enable ；进入特权模式 switch#config terminal ；进入全局配置模式 switch(config)#hostname ；设置交换机的主机名 switch(config)#enable secret xxx ；设置特权加密口令 switch(config)#enable password xxa ；设置特权非密口令 switch(config)#line console 0 ；进入控制台口 switch(config-line)#line vty 0 4 ；进入虚拟终端 switch(config-line)#login ；允许登录 switch(config-line)#password xx ；设置登录口令xx switch#exit ；返回命令 交换机VLAN设置： switch#vlan database ；进入VLAN设置 switch(vlan)#vlan 2 ；建VLAN 2 switch(vlan)#no vlan 2 ；删vlan 2 switch(config)#int f0/1 ；进入端口1 switch(config-if)#switchport access vlan 2 ；当前端口加入vlan 2 switch(config-if)#switchport mode trunk ；设置为干线 switch(config-if)#switchport trunk allowed vlan 1，2 ；设置允许的vlan switch(config-if)#switchport trunk encap dot1q ；设置vlan 中继 switch(config)#vtp domain ；设置发vtp域名 switch(config)#vtp password ；设置发vtp密码 switch(config)#vtp mode server ；设置发vtp模式 switch(config)#vtp mode client ；设置发vtp模式 交换机设置IP地址： switch(config)#interface vlan 1 ；进入vlan 1 switch(config-if)#ip address ；设置IP地址 switch(config)#ip default-gateway ；设置默认网关 switch#dir flash: ；查看闪存 交换机显示命令： switch#write ；保存配置信息 switch#show vtp ；查看vtp配置信息 switch#show run ；查看当前配置信息 switch#show vlan ；查看vlan配置信息 switch#show interface ；查看端口信息 switch#show int f0/0 ；查看指定端口信息

Cisco+Pix515E防火墙配置详解

目录 一、PIX515分步配置 1．准备工作 (2) 2．启动接口与转换地址 (2) 3．配置IPSEC VPN (3) 4．配置VPN Client 拨入组 (5) 二、VPN Client配置 (11) 注释：以！开始,灰色 实际配置：红色 用户填写参数：斜体绿色 需修改：斜体兰色带下划线

一、PIX515分步配置 1. 准备工作 1）连接Console口的线缆一条，带有串行接口的笔记本一台 2）进入配置模式 实际配置： pixfirewall> enable ！进入特权模式 pixfirewall# config terminal ！进入全局配置模式 pixfirewall (config)# hostname pix515 ！设置防火墙主机名为pix515 pix515(config)# enable password 123456 ！设置进入特权模式的密码为123456 2．启动接口与转换地址 工作内容： 1)开启接口与端口、为端口命名并设置安全级别 2)端口地址转换 【步骤1】：开启接口与端口 命令步骤：

实际配置： interface ethernet0 auto ！启用以太网0口使用自适应模式 interface ethernet1 100full ！启用以太网1口并以100mbit/s全双工模式通信nameif ethernet0 outside security0 ！为以太网端口0命名，并设安全级别为0 nameif ethernet1 inside security100 ！为以太网端口1命名，并设安全级别为100 ip address outside 218.247.x.x 255.255.255.128 ！设置（ethernet0端口）外网IP地址及掩码 ip address inside 192.168.x.x 255.255.255.0 ！设置（ethernet1端口）内网IP地址及掩码 fixup protocol http 80 ！启用http协议，对应该商品80，用来上WEB网 fixup protocol ftp 21 ！启用ftp协议，对应端口21，文件传输协议 fixup protocol smtp 25 ！启用smtp协议，对应端口25，用于邮件发送 【步骤2】：端口地址转换 命令步骤： 实际配置： global (outside) 1 interface ！这里的interface用来指定外部端口上的IP地址用于PAT nat (inside) 1 0.0.0.0 0.0.0.0 ！允许局域网内所有网段的主机访问外网 route outside 0.0.0.0 0.0.0.0 121.13.x.x ！(route 命令为防火墙内网或处网端口定义一条静态路由),所有的内网数据从外网端口(outside口)离开并转发到下一跳路由器的IP地址121.13.x.x 3．配置IPSEC VPN 工作内容： 1)配置IKE 2)配置IPSEC 【步骤1】：配置IKE 命令步骤：

cisco防火墙配置的基本配置

cisco防火墙配置的基本配置 1、nameif 设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。 使用命令： PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态，常见状态有：auto、100full、shutdown。 auto：设置网卡工作在自适应状态。 100full：设置网卡工作在100Mbit/s，全双工状态。 shutdown：设置网卡接口关闭，否则为激活。 命令： PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围：定义地址池。 Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmarkglobal_mask]：表示全局ip地址的网络掩码。 5、nat 地址转换命令，将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法： route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译，使内部地址与外部地址一一对应。 语法： static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法： conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

标准溶液的配制方法及基准物质

你标准溶液的配制方法及基准物质 2.2.1标准溶液的配制方法及基准物质 标准溶液是指已知准确浓度的溶液，它是滴定分析中进行定量计算的依据之一。不论采用何种滴定方法，都离不开标准溶液。因此，正确地配制标准溶液，确定其准确浓度，妥善地贮存标准溶液，都关系到滴定分析结果的准确性。配制标准溶液的方法一般有以下两种： 2.2.1.1直接配制法 用分析天平准确地称取一定量的物质，溶于适量水后定量转入容量瓶中，稀释至标线，定容并摇匀。根据溶质的质量和容量瓶的体积计算该溶液的准确浓度。 能用于直接配制标准溶液的物质，称为基准物质或基准试剂，它也是用来确定某一溶液准确浓度的标准物质。作为基准物质必须符合下列要求： （1）试剂必须具有足够高的纯度，一般要求其纯度在99.9%以上，所含的杂质应不影响滴定反应的准确度。

（2）物质的实际组成与它的化学式完全相符，若含有结晶水（如硼砂Na2B4O7?10H2O），其结晶水的数目也应与化学式完全相符。 （3）试剂应该稳定。例如，不易吸收空气中的水分和二氧化碳，不易被空气氧化，加热干燥时不易分解等。 （4）试剂最好有较大的摩尔质量，这样可以减少称量误差。常用的基准物质有纯金属和某些纯化合物，如Cu, Zn, Al, Fe 和K2Cr2O7，Na2CO3 , MgO , KBrO3等，它们的含量一般在99.9%以上，甚至可达99.99% 。 应注意，有些高纯试剂和光谱纯试剂虽然纯度很高，但只能说明其中杂质含量很低。由于可能含有组成不定的水分和气体杂质，使其组成与化学式不一定准确相符，致使主要成分的含量可能达不到99.9%，这时就不能用作基准物质。一些常用的基准物质及其应用范围列于表2.1中。 表2.1 常用基准物质的干燥条件和应用

史上最全linux内核配置详解

对于每一个配置选项，用户可以回答"y"、"m"或"n"。其中"y"表示将相应特性的支持或设备驱动程序编译进内核；"m"表示将相应特性的支持或设备驱动程序编译成可加载模块，在需要时，可由系统或用户自行加入到内核中去；"n"表示内核不提供相应特性或驱动程序的支持。只有<>才能选择M 1. General setup（通用选项） [*]Prompt for development and/or incomplete code/drivers，设置界面中显示还在开发或者还没有完成的代码与驱动，最好选上，许多设备都需要它才能配置。 [ ]Cross-compiler tool prefix，交叉编译工具前缀，如果你要使用交叉编译工具的话输入相关前缀。默认不使用。嵌入式linux更不需要。 [ ]Local version - append to kernel release，自定义版本，也就是uname -r可以看到的版本，可以自行修改，没多大意义。 [ ]Automatically append version information to the version string，自动生成版本信息。这个选项会自动探测你的内核并且生成相应的版本，使之不会和原先的重复。这需要Perl的支持。由于在编译的命令make-kpkg 中我们会加入- –append-to-version 选项来生成自定义版本，所以这里选N。 Kernel compression mode (LZMA)，选择压缩方式。 [ ]Support for paging of anonymous memory (swap)，交换分区支持，也就是虚拟内存支持，嵌入式不需要。 [*]System V IPC，为进程提供通信机制，这将使系统中各进程间有交换信息与保持同步的能力。有些程序只有在选Y的情况下才能运行，所以不用考虑，这里一定要选。 [*]POSIX Message Queues，这是POSIX的消息队列，它同样是一种IPC(进程间通讯)。建议你最好将它选上。 [*]BSD Process Accounting，允许进程访问内核，将账户信息写入文件中，主要包括进程的创建时间/创建者/内存占用等信息。可以选上，无所谓。 [*]BSD Process Accounting version 3 file format，选用的话统计信息将会以新的格式（V3）写入，注意这个格式和以前的v0/v1/v2 格式不兼容，选不选无所谓。 [ ]Export task/process statistics through netlink (EXPERIMENTAL)，通过通用的网络输出工作/进程的相应数据，和BSD不同的是，这些数据在进程运行的时候就可以通过相关命令访问。和BSD类似，数据将在进程结束时送入用户空间。如果不清楚，选N（实验阶段功能，下同）。 [ ]Auditing support，审计功能，某些内核模块需要它（SELINUX），如果不知道，不用选。 [ ]RCU Subsystem，一个高性能的锁机制RCU 子系统，不懂不了解，按默认就行。 [ ]Kernel .config support，将.config配置信息保存在内核中，选上它及它的子项使得其它用户能从/proc/ config.gz中得到内核的配置,选上，重新配置内核时可以利用已有配置Enable access to .config through /proc/config.gz，上一项的子项，可以通过/proc/ config.gz访问.config配置，上一个选的话，建议选上。 (16)Kernel log buffer size (16 => 64KB, 17 => 128KB) ，内核日志缓存的大小，使用默认值即可。12 => 4 KB，13 => 8 KB，14 => 16 KB单处理器，15 => 32 KB多处理器，16 => 64 KB，17 => 128 KB。 [ ]Control Group support（有子项），使用默认即可，不清楚可以不选。 Example debug cgroup subsystem，cgroup子系统调试例子 Namespace cgroup subsystem，cgroup子系统命名空间 Device controller for cgroups，cgroups设备控制器

思科PIX防火墙的基本配置

思科PIX 防火墙的基本配置 【项目目标】 掌握PIX 防火墙基本配置方法。 【项目背景】 某公司使用Cisco PIX 515防火墙连接到internet ，ISP 分配给该公司一段公网IP 地址。公司具有Web 服务器和Ftp 服务器，要求让内网用户和外网用户都能够访问其web 服务和FTP 服务，但外部网络用户不可以访问内网。 【方案设计】 1.总体设计 ISP 分配给该公司一段公网IP 地址为61.1.1.2—61.1.1.254。在DMZ 区域放置一台Web 服务器和一台Ftp 服务器，使用61.1.1.3和61.1.1.4这两个全局IP 地址分别将Web 服务器和Ftp 服务器发布到Internet 。利用访问控制列表来控制外网用户的访问。 2.任务分解 任务1：防火墙基本配置。 任务2：接口基本配置。 任务3：配置防火墙默认路由。 任务4：配置内网用户访问外网规则。 任务5：发布DMZ 区域的服务器。 任务6：配置访问控制列表。 任务7：查看与保存配置。 3.知识准备 所有的防火墙都是按以下两种情况配置的： （1）拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型。 （2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。 不过大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的内部用户能够发送和接收Email ，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP 的进程。 4.拓扑结构：如图8-17所示。 图8-17 项目拓扑结构 5.设备说明 PIX515 dmz outsid inside File Server Web 192.168.1.Interne

CISCO PIX525 iOS 升级方法 BY上帝的眵目糊

经常在这里请教大家问题,得到了很多帮助. 在此表示衷心的感谢 为了让和我一样菜的弟兄们能看懂.请各位大虾不要嘲笑啊!~ 下面就是正是配置了： 由于一般的PIX系列的防火墙出场时候预装的IOS是6.X的版本而只有7.0以上才支持透明模式.所以第一步是升级IOS 准备工作: 下载一个7.0的bin文件(我下载的是pix701.bin)放到tftp服务器的根目录下 正式开始: 防火墙通电,按ESC进入monitor> 状态下。 monitor> address 192.1.1.1 --设置防火墙IP address 192.1.1.1 monitor> server 192.1.1.2 --设置tftp服务器的IP server 192.1.1.2 monitor> ping 192.1.1.2 --检测一下是否能ping通 Sending 5, 100-byte 0x7970 ICMP Echoes to 10.32.2.78, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) monitor> file pix701.bin --声明你下载的那个bin文件的全称 file pix704.bin monitor> tftp --开始灌入 tftp pix704.bin@192.168.1.80........................... 耐心等待.一直到出现非特权模式的那个">"符号.下面要吧bin文件考到flash里面去,以后启动的时候才能正常使用pixfirewall> en Password: pixfirewall# con t pixfirewall(config)# interface ethernet1 --进入端口模式 pixfirewall(config-if)# ip address 192.1.11 255.255.255.0 --配置e1口的IP pixfirewall(config-if)# nameif inside --配置e1口为防火墙的inside口

最完整的XP系统设置

最完整的XP系统设置 安装WinXP的基本配置 CPU：主频800MHZ以上内存：256MB以上 这是最低配置，配置越高，才能发挥机器的性能。 一、分区： 为了维护方便，我的分区是这样做的C盘FAT32格式300MB，用来存放网络ghost程序；D盘NTFS格式1.6G，用于安装XP操作系统；E盘 28GNTFS格式，用于安装网络游戏；其余给F盘，也是NTFS格式。（我的硬盘是40G的） 二、操作系统： 用上海市政府版的XP自带SP1，安装后无需激活，系统自动激活。注意，千万不要打Winxp的SP2补丁，否则一些游戏将无法运行。 三、驱动的安装： 安装顺序： 主板驱动─显卡驱动─声卡驱动—网卡驱动—USB2.0驱动—DX9.0B—鼠标驱动 四、软件及相关补丁： 1、补丁：我只安装了冲击波补丁，太多的补丁，在没有测试的情况下，不要随意打上去，否则运行游戏的时候，可以会出现很多奇怪的毛病。泡泡堂输入法解决补丁，就是解决在泡泡堂下无法解决切换输入法的问题的补丁，这个一定要打的。 2、软件安装： 杀毒软件：诺顿黄金中文企业版8.1完整版，可以将杀毒软件放在不保护的分区中，方便病毒库升级。其他网络游戏和单机游戏，分别安装在相应的分区中，在安装的时候，为了日后更新的方便，请给每一款游

戏，设计一个自己能分清楚的名字。 五、系统优化设置： 1、系统减肥 A、在各种软硬件安装妥当之后，其实xp需要更新文件的时候就很少了。删除系统备份文件吧：开始→运行→sfc.exe /purgecache 近3XXM。 B、删除驱动备份：%windows%\driver cache\i386目录下的driver.cab文件，通常这些文件是76m。 C、如果你没有看help的习惯，所以保留着%windows%\help目录下的东西对我们来说是一种摆设，都干掉近4xm。 D、卸载不常用组件：用记事本修改\%windows%\inf\sysoc.inf，用查找/替换功能，在查找框中输入,hide，（说明：替换的内容是一个逗号加hide，造成不要忘记把，写上，否则不生效）全部替换为空。这样，就把所有的,hide都去掉了，存盘退出后再运行“添加-删除程序就会看见“添加/删除windows 组件”中多出不少选项；删除掉游戏啊，码表啊等不用的东西。 E、刪除\windows\ime下不用的輸入法，8xm。 2、关掉调试器Dr. Watson，运行drwtsn32，把除了“转储全部线程上下文”之外的全都去掉。否则一旦有程序出错，硬盘会响很久，而且会占用很多空间。如果你以前遇到过这种情况，请查找user.dmp文件并删掉，可能会省掉几十M的空间。这是出错程序的现场，对我们没用。另外蓝屏时出现的memory.dmp也可删掉。可在我的电脑/属性中关掉BSOD时的DUMP。 3、关闭“系统XP自带的还原”，右键“我的电脑”属性中，系统还原。 4、关闭“休眠支持”：因为休眠功能占的硬碟空间蛮大的, 所以关闭比较好, 控制台-->电源选项-->休眠(不要打勾) 5、加快Win XP网上邻居浏览速度！ 打开注册表点击到：

Cisco PIX525 配置说明及端口影射方法

Cisco PIX525 配置说明及端口影射方法 命令Rel 重新刷新防火墙配置 命令show run 显示配置信息 命令wri mem 将配置的数据写入内存 命令conf t 开始配置状态 命令passwd 配置防火墙登陆密码 命令no 后面跟命令行,就会消除该命令行所输入的参数 命令clear xlate 清除连接，使配置生效 配置过程 enable 进入防火墙 conf t 开始配置 ip add outside 211.95.160.225 255.255.255.0 配置放火墙外部地址 ip add inside 192.168.1.225 255.255.255.0 配置防火墙内部地址 interface ethernet0 auto 配置外部网卡 interface ethernet1 auto 配置内部网卡 static (inside,outside) 211.95.160.222 192.168.1.11 netmask 255.255.255.255 0 0 配置内网和外 网影射关系 global (outside) 1 211.95.160.224 配置NAT的公网地址,后面会提示Global 211.95.160.224 will be Port Address Translated,不用理睬 nat (inside) 1 192.168.1.0 255.255.255.0 0 0 允许192.168.1.X 的内网地址通过global(outside) 所配置的地址访问公网,需要将这些地址的网关配置为防火墙的内部地址 telnet 192.168.1.0 255.255.255.0 允许192.168.1.X 网段的内网地址可以telnet 进去 access-list acl_outside permit icmp any host 211.95.160.222 允许公网Ping 211.95.160.222

Cisco PIX

Cisco PIX 任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。 1、防火墙的物理特性 防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3 个接口的防火墙时，就至少产生了3个网络，描述如下： ? 内部区域（内网）。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。 它是互连网络的信任区域，即受到了防火墙的保护。 ? 外部区域（外网）。 外部区域通常指Internet或者非企业内部网络。它是互连网络中不 被信任的区域，当外部区域想要访问内部区域 的主机和服务，通过防火墙，就可以实现有限 制的访问。 ? 停火区（DMZ）。 停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务 器被称为堡垒主机。一般在停火区内可以放置Web 服务器，Mail服务器等。停火区对于外部用户通 常是可以访问的，这种方式让外部用户可以访问 企业的公开信息，但却不允许他们访问企业内部 网络。注意：2个接口的防火墙是没有停火区的。 2. PIX防火墙提供4种管理访问模式 2 非特权模式。 PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall> 2 特权模式。 输入enable进入特权模式，可以改变当前配置。显示为pixfirewall# 2 配置模式。 输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。 显示为pixfirewall(config)# 2 监视模式。 PIX防火墙在开机或重启过程中，按住Escape键或发

涉密计算机安全策略配置完整版

涉密计算机安全策略配 置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS开机密码，该密码由用户掌握； 3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭； 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost版操作系统； 2、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） 8、清理一切私人信息：私人照片、mp3、电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后） 五、安全保密防护软件的部署 1、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间 机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描； 2、安装主机监控审计软件与介质绑定系统； 六、关闭计算机不必要的应用服务 原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。 详细配置说明

思科PIX防火墙简单配置实例

思科PIX防火墙简单配置实例 在本期应用指南中，管理员可以学到如何设置一个新的PIX防火墙。你将设置口令、IP地址、网络地址解析和基本的防火墙规则。 假如你的老板交给你一个新的PIX防火墙。这个防火墙是从来没有设置过的。他说，这个防火墙需要设置一些基本的IP地址、安全和一些基本的防火墙规则。你以前从来没有使用过PIX防火墙。你如何进行这种设置?在阅读完这篇文章之后，这个设置就很容易了。下面，让我们看看如何进行设置。 基础 思科PIX防火墙可以保护各种网络。有用于小型家庭网络的PIX防火墙，也有用于大型园区或者企业网络的PIX防火墙。在本文的例子中，我们将设置一种PIX 501型防火墙。PIX 501是用于小型家庭网络或者小企业的防火墙。 PIX防火墙有内部和外部接口的概念。内部接口是内部的，通常是专用的网络。外部接口是外部的，通常是公共的网络。你要设法保护内部网络不受外部网络的影响。 PIX防火墙还使用自适应性安全算法(ASA)。这种算法为接口分配安全等级，并且声称如果没有规则许可，任何通信都不得从低等级接口(如外部接口)流向高等级接口(如内部接口)。这个外部接口的安全等级是“0”，这个内部接口的安全等级是“100”。 下面是显示“nameif”命令的输出情况: pixfirewall# show nameif nameif ethernet0 outside security0 nameif ethernet1 inside security100 pixfirewall# 请注意，ethernet0(以太网0)接口是外部接口(它的默认名字)，安全等级是0。另一方面，ethernet1(以太网1)接口是内部接口的名字(默认的)，安全等级是100。 指南 在开始设置之前，你的老板已经给了你一些需要遵守的指南。这些指南是: ·所有的口令应该设置为“思科”(实际上，除了思科之外，你可设置为任意的口令)。 ·内部网络是10.0.0.0，拥有一个255.0.0.0的子网掩码。这个PIX防火墙的内部IP地址应该是10.1.1.1。