公司网络现在基本成型,于是网站服务器回迁、电子地图的gis服务器的搭建工作提到日程上了。
关键字:
DMZ NAT CISCO PIX525 access-list ......
DMZ(停火区):
停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外
部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。注意:2个接口的防火墙是没有停火区的。
NAT:
地址映射
废话少说,具体配置语句如下(带注释,但不一定是连贯的,另外,我不给完整的配置和具体的公网IP):
interface ethernet2 auto
定义ethernet2传输类型,全双工、半双工、自动三种模式
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
分别定义outside、inside、dmz的安全级别,通过安全级别的设定,可以生成这三个区域的访问关系,在这个定义里面,inside的安全级别
最高,可以访问其它两个区域;dmz的安全区域次之,可以访问比它安全级别低的outside区域;outside的安全区域最低,不能访问其它的网络区
域,但是通过access-list的控制,可以允许outside区域有控制的访问dmz区域
access-list acl_outside permit tcp any host xxx.xxx.xxx.20 eq www
access-list acl_outside permit tcp any host xxx.xxx.xxx.20 eq sqlnet
access-list acl_outside permit tcp any host xxx.xxx.xxx.21 eq 1433
access-list acl_outside permit tcp any host xxx.xxx.xxx.21 eq www
这就是控制部分,只允许outside区域访问dmz区域特定的几个端口
access-list acl_dmz permit icmp any any
access-list acl_dmz permit ip any any
允许dmz区域的主机通过icmp数据包
ip address dmz 172.16.1.254 255.255.255.0
设置dmz区网络网关
nat (dmz) 1 0.0.0.0 0.0.0.0 0 0
设置dmz区所有主机可以出去
static (dmz,outside) xxx.xxx.xxx.21 172.16.1.2 netmask 255.255.255.255 0 0
static (dmz,outside) xxx.xxx.xxx.20 172.16.1.1 netmask 255.255.255.255 0 0
static (inside,dmz) 172.16.0.0 192.168.0.0 netmask 255.255.0.0 0 0
设置静态的公网、私网、dmz区的访问关系
access-group acl_dmz in interface dmz
把acl_dmz规则邦定到dmz端口上使之生效