1.开始进入：
pix515> enable
Password:
pix515#
改名字：
pixfirewall# conf t
pixfirewall(config)# hostname pix515
pix515(config)# domain-name test.com
pix515(config)#

2.设置telnet登录的口令
pix515(config)# password 123456

设置特权口令：
pix515(config)# enable password 123456

3.激活接口
pix515# conf t
pix515(config)# interface inside ?
Usage:  interface <hardware_id> [<hw_speed> [shutdown]]
        [no] interface <hardware_id> <vlan_id> [logical|physical] [shutdown]
        interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id>
        show interface
pix515(config)# interface ethernet0 auto
pix515(config)# interface ethernet1 auto

4. 命名端口与安全级别
采用命令nameif
pix515(config)#nameif ethernet0 outside security0
pix515(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全级别（0安全级别最高）
security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz(demilitarized zones非武装区域)。

5.设置内部及外部地址：
pix515(config)# ip address inside 192.168.2.1 255.255.255.0
pix515(config)# ip address outside 10.6.6.1 255.0.0.0

6. 配置远程访问[telnet]
在默然情况下，pix的以太端口是不允许telnet的，这一点与路由器有区别。inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
pix515(config)# telnet 192.168.2.1 255.255.255.0 inside
pix515(config)# telnet 10.6.6.1 255.0.0.0 outside

7.设置上网：
pix515(config)# global (outside) 1 10.6.6.211 netmask 255.0.0.0
Global 10.6.6.211 will be Port Address Translated

pix515(config)# global (outside) 1 10.6.6.150 - 10.6.6.200 netmask 255.0.0.0
Global 10.6.6.150 will be Port Address Translated
pix515(config)# nat (inside) 1 192.168.2.0 255.255.255.0
pix515(config)# nat (inside) 1 0.0.0.0 0.0.0.0  表允许全部上网

8.下面这句允许ping
pix515(config)#conduit permit icmp any any

9.PAT映射
现内部有一台机器192.168.2.11是一台FREEBSD系统，想用SSH服务
pix515(config)# static (inside,outside) tcp 10.6.6.211 22 192.168.2.11 22 netmask 255.255.255.255 0 0
定义外部允许访问内部主机的服务
pix515(config)# conduit permit tcp host 10.6.6.211 eq ssh any
conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255 (这种写法，是信任某个IP）

10. dhcp server
在内部网络，为了维护的集中管理和充分利用有限ip地址，都会启用动态主机分配ip地址服务器（dhcp server），cisco firewall pix都具有这种功能，下面简单配置dhcp server,地址段为192.168.1.100—192.168.168.1.200
dns: 主61.177.7.1 备61.155.24.123
主域名称：test.com
dhcp client 通过pix firewall
pix515(config)#ip address dhcp
dhcp server配置
pix515(config)#dhcpd enable inside （开启内网DHCP服务器）
pix515(config)#dhcpd auto_config outside（自动配置外网DHCP服务参数）
pix515(config)#dhcpd address 192.168.2.150-192.168.2.200 inside （内网DHCP分配的IP地址范围）
pix515(config)#dhcpd dns 61.177.7.1 61.155.24.123
pix515(config)#dhcpd domain test.com

11.访问列表(access-list)
此功能与cisco ios基本上是相似的，也是firewall的主要部分，有permit和deny两个功能，网络协议一般有ip|tcp|udp|icmp等等，如：只允许访问主机:222.20.16.254的www,端口为：80
pix515(config)#access-list 100 permit ip any host 222.20.16.254 eq www
pix515(config)#access-list 100 deny ip any any
pix515(config)#access-group 100 in interface outside

12.保存
pix515(config)# write mem
Building configuration...
Cryptochecksum: 5641ca9c 2ef4c53c 0dc8a8f9 75d47f09
[OK]
pix515(config)#

13.备份及恢复：
pix515(config)# write net 192.168.2.111:pix515.rtf
Building configuration...
TFTP write 'pix515.rtf' at 192.168.2.111 on interface 1
[OK]

pix515(config)# clear config all  是清除所有配置
如何想要通过tftp恢复，得要先配置一下inside接口地址：
pixfirewall(config)# ip add inside 192.168.2.1 255.255.255.0

pixfirewall(config)# ping 192.168.2.111  测试一下到TFTP服务器是否通
        192.168.2.111 response received -- 0ms
        192.168.2.111 response received -- 0ms
        192.168.2.111 response received -- 0ms
pix515(config)# configure net 192.168.2.111:pix515.rtf
Global 10.6.6.151 will be Port Address Translated
Global 10.6.6.150 will be Port Address Translated
Global 10.6.6.211 will be Port Address Translated
.
Cryptochecksum(unchanged): ead0c833 1ed19938 b863ace2 4902f21b
Config OK

13.开启WEB页管理：
可以通过“http server enable（开启HTTP服务模式）
http 192.168.2.1 255.255.255.0 inside（设置内网管理IP地址）
然后打开浏览器，https://192.168.2.1就可以了，但是记得要装JAVA虚拟机哦！

14.查看命令：
show nameif
show conduit
show config
show run
show static
show global
show dhcpd
show nat