（1）應(yīng)用環(huán)境

按需設(shè)計(jì)網(wǎng)站可以根據(jù)自己的需求進(jìn)行定制，網(wǎng)站制作、成都做網(wǎng)站構(gòu)思過(guò)程中功能建設(shè)理應(yīng)排到主要部位公司網(wǎng)站制作、成都做網(wǎng)站的運(yùn)用實(shí)際效果公司網(wǎng)站制作網(wǎng)站建立與制做的實(shí)際意義

如下圖：

內(nèi)網(wǎng)與Internet的連接早已經(jīng)部署好，但是沒(méi)有在內(nèi)網(wǎng)中安裝防火墻。

出于安全的考慮，現(xiàn)需要在內(nèi)網(wǎng)中安裝防火墻（其實(shí)也可以在出口），但是需求是，原來(lái)內(nèi)網(wǎng)中的所有配置都不應(yīng)發(fā)生改變，這時(shí)就需要使用防火墻的透明模式。

（2）部署

防火墻上的配置：

【1】基本接口配置

pixfirewall(config)# int e1

pixfirewall(config-if)# no shu

pixfirewall(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

pixfirewall(config-if)# int e2

pixfirewall(config-if)# no shu

pixfirewall(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

【2】透明模式配置

pixfirewall(config)# firewall transparent //開(kāi)啟透明模式

pixfirewall(config)# ip address 172.16.1.254 255.255.255.0 //配置管理IP地址，方便遠(yuǎn)程管理，此時(shí)e1和e2接口都會(huì)自動(dòng)配置此IP地址

開(kāi)啟透明模式后，默認(rèn)情況下，PIX防火墻會(huì)拒絕所有數(shù)據(jù)流。

所以這里需要允許OSPF數(shù)據(jù)和ICMP數(shù)據(jù)通過(guò)，并對(duì)ICMP協(xié)議進(jìn)行修正

pixfirewall(config)# access-list permitospf permit ospf any any //創(chuàng)建允許OSPF數(shù)據(jù)的訪問(wèn)列表

pixfirewall(config)# access-group permitospf in interface inside //允許OSPF數(shù)據(jù)從inside接口進(jìn)來(lái)

pixfirewall(config)# access-group permitospf in interface outside //允許OSPF數(shù)據(jù)從outside接口進(jìn)來(lái)

pixfirewall(config)# access-list permiticmp permit icmp any any //創(chuàng)建允許ICMP數(shù)據(jù)的訪問(wèn)列表

pixfirewall(config)# access-group permiticmp in interface inside //允許ICMP數(shù)據(jù)從outside接口進(jìn)來(lái)

pixfirewall(config)# fixup protocol icmp //開(kāi)啟ICMP協(xié)議修正

疑問(wèn)：為什么不用有outside接口允許ICMP數(shù)據(jù)進(jìn)來(lái)？

這完全是根據(jù)個(gè)人需求配置，如果希望ICMP數(shù)據(jù)從outside接口主動(dòng)進(jìn)來(lái)，那么可以這樣配置。

對(duì)于OSPF數(shù)據(jù)，因?yàn)閕nside和outside兩邊的OSPF數(shù)據(jù)都是單播的，所以需要兩邊都允許進(jìn)來(lái)才能正確建立鄰居關(guān)系。

而ICMP數(shù)據(jù)，為了安全，只在inside接口主動(dòng)進(jìn)來(lái)，然后PIX防火墻開(kāi)啟狀態(tài)化檢測(cè)，允許ICMP應(yīng)答包從outside接口進(jìn)來(lái)。