文本Tag：网络管理

　　管道命令（conduit）：

　　使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的入方向的会话。

　　对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。说得通俗一点管道命令（conduit）就192.168.0.8相当于以往CISCO设备的访问控制列表（ACL）。

　　conduit命令配置语法：

　　conduitpermitdenyglobal_ipport[-port]protocolforeign_ip[netmask]，其中permitdeny为允许访问，global_ip指的是先前由global或static命令定义的全局ip地址，如果global_ip为0，就用any代替0；如果global_ip是一台主机，就用host命令参数。

　　port指的是服务所作用的端口，例如www使用80，smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议，比如：TCP、UDP、ICMP等。foreign_ip表示可访问global_ip的外部ip。对于任意主机可以用any表示。如果foreign_ip是一台主机，就用host命令参数。示例语句如下：

　　表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或对这个端口的访问。Eqftp就是指允许或只对ftp的访问。

　　设置不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

　　设置允许icmp消息向内部和外部通过。

　　这两句是将static和conduit语句结合而生效的，192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射把内部IP192.168.0.3转换为全局IP61.144.51.62，然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

　　小提示：

　　对于的情况不使用conduit语句设置容许访问规则是不可以的，因为默认情况下PIX不容许数据包主动从低安全级别的端口流向高安全级别的端口。