三 具体配置步骤

　　如图1所示，PIX520防火墙有两个对外连接的端口，分别连接了移动和电信的这两路互联网出口，对于PIX520防火墙来说，使用多个对外的出口和只使用一个对外的出口，配置思路和方式是一样的，下面我就结合实际工程案例说明一下，配置步骤如下：

　　(一)为网络模块命名

　　nameif ethernet0 outside security0

　　nameif ethernet1 inside security100

　　nameif ethernet2 outside2 security0

　　定义了e0口为连接移动的口，e2口为连接电信的口，e1口为连接内网的口。

　　(二)定义网口的IP地址

　　ip address outside 218.*.*.105 255.255.255.240

　　ip address outside2 222.*.*.93 255.255.255.224

　　address inside 192.168.201.1 255.255.255.0

　　连接移动的网卡的IP地址为218.*.*.105，连接电信的网卡的IP地址为222.*.*.93，连接内网的网卡的IP地址为192.168.201.1

　　(三)设置访问电信的网段走电信的口

　　route outside2 11.0.0.0 255.252.0.0 222.*.*.65 1

　　通过静态路由来实现，电信的网段有多个，这些静态路由也要相应的写多条，本例中只列举了其中一条。

　　(四)设置默认路由

　　route outside 0.0.0.0 0.0.0.0 218.*.*.97 1

　　这里要注意，由于我们有两块连向不同互联网出口的网关，所以我们在route命令后跟的网卡名称就不一样，静态路由后面跟的是outside2(即连电信的网卡)，默认路由后面跟的是outside(即连移动的网卡)。

　　(五)设置指向内部网络的路由

　　route inside 10.0.0.0 255.0.0.0 192.168.201.2 1

　　route inside 192.168.0.0 255.255.0.0 192.168.201.2 1

　　route inside 172.19.0.0 255.255.0.0 192.168.201.2 1

　　同理，内部局域网中有多个网段(通过在三层交换机上创建相应的VLAN)，我们就要在PIX520防火墙针对内部网段写多条路由，本例中我们列举了三条。

　　(六)配置动态NAT

　　1、创建一个ACL，里面包含允许访问外部网络的网段

　　access-list acl_inside deny udp any any eq tftp

　　……(省略了多条不允许进行的网络访问规则)

　　access-list acl_inside permit ip any any

　　这个名为acl_inside的ACL很重要，它描述了一些不允许访问的端口(主要是为了防止网络攻击)，然后放开了其它的限制(即permit ip any any)

　　2、在内网端口上应用这个ACL

　　access-group acl_inside in interface inside

　　3、分别在两个外网端口上应用这个ACL

　　access-group acl_inside in interface outside

　　access-group acl_inside in interface outside2

　　(在新增的网络模块上也要应用这个ACL，这一点同样非常重要，我们在前期调试过程就是由于忽略了这一点，造成了往电信的线路老是调不通)。

　　4、执行动态NAT(PAT)

　　global (outside) 1 interface

　　global (outside2) 1 interface

　　nat (inside) 1 0.0.0.0 0.0.0.0 0 0

　　出于节约公网IP地址的目的，我们在PIX520防火墙上采用PAT(端口映射)的NAT方式，这也就意味着当用户访问位于电信网段的服务器时，他的内网IP地址会被转换为outside2这个端口的IP地址，而访问其它的网段的时候，他的内网IP地址则会被转换outside这个端口的IP地址。