公司网络现在基本成型，于是网站服务器回迁、电子地图的gis服务器的搭建工作提到日程上了。
关键字：
DMZ NAT CISCO PIX525  access-list ......
DMZ（停火区）：
    停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外 部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。
NAT：
    地址映射

废话少说，具体配置语句如下（带注释，但不一定是连贯的，另外，我不给完整的配置和具体的公网IP）：
interface ethernet2 auto
定义ethernet2传输类型，全双工、半双工、自动三种模式
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
分别定义outside、inside、dmz的安全级别，通过安全级别的设定，可以生成这三个区域的访问关系，在这个定义里面，inside的安全级别 最高，可以访问其它两个区域；dmz的安全区域次之，可以访问比它安全级别低的outside区域；outside的安全区域最低，不能访问其它的网络区 域，但是通过access-list的控制，可以允许outside区域有控制的访问dmz区域
access-list acl_outside permit tcp any host xxx.xxx.xxx.20 eq www
access-list acl_outside permit tcp any host xxx.xxx.xxx.20 eq sqlnet
access-list acl_outside permit tcp any host xxx.xxx.xxx.21 eq 1433
access-list acl_outside permit tcp any host xxx.xxx.xxx.21 eq www
这就是控制部分，只允许outside区域访问dmz区域特定的几个端口
access-list acl_dmz permit icmp any any
access-list acl_dmz permit ip any any
允许dmz区域的主机通过icmp数据包
ip address dmz 172.16.1.254 255.255.255.0
设置dmz区网络网关
nat (dmz) 1 0.0.0.0 0.0.0.0 0 0
设置dmz区所有主机可以出去
static (dmz,outside) xxx.xxx.xxx.21 172.16.1.2 netmask 255.255.255.255 0 0
static (dmz,outside) xxx.xxx.xxx.20 172.16.1.1 netmask 255.255.255.255 0 0
static (inside,dmz) 172.16.0.0 192.168.0.0 netmask 255.255.0.0 0 0
设置静态的公网、私网、dmz区的访问关系
access-group acl_dmz in interface dmz
把acl_dmz规则邦定到dmz端口上使之生效