一、基本环境
当前公司有PIX 515E防火墙一台(三个接口),服务器若干。要求将服务器迁移至DMZ区域并确保服务器正常工作,简略拓扑结构图。
二、配置DMZ基本命令
1.分别定义outside、inside、dmz的安全级别
nameif ethernet0 outside security0 #定义E0口为非信任端口,security0代表此端口安全级别最低
nameif ethernet1 inside security100 #定义E1口为信任端口,security100代表此端口安全级别最高
nameif ethernet2 dmz security50 #定义E2口为DMZ端口,security50代表此端口安全级别介于信任与非信任端口之间
这里的数字0、50、100可自行调整,但需要注意数字之间的大小关系不能混淆。
2.设置dmz接口IP
ip address dmz 10.0.200.1 255.255.255.0 #设置DMZ接口IP地址,设置好后可以按拓扑结构图测试从PIX上ping 10.0.200.2检查连通性。
3.允许dmz区域的主机通过icmp数据包以及访问外网的80端口
access-list acl_dmz permit icmp any any #允许DMZ主机访问外部网络icmp协议
4.把acl_dmz规则邦定到dmz端口上使之生效
access-group acl_dmz in interface dmz #应用策略到DMZ接口
5.设置静态的因特网、局域网、dmz区的访问关系
static (dmz,outside) 218.104.XX.XX 10.0.200.2 netmask 255.255.255.255 0 0 #发布DMZ服务器到因特网
6.允许outside区域访问dmz区域特定的某个端口
access-list 100 permit tcp any host 218.104.XX.XX eq www #设置策略允许因特网访问DMZ服务器80端口
