100M寬帶接入,分配一個合法的IP(222.134.135.98)(只有1個靜態IP是否夠用?);Cisco防火牆PiX515e-r-DMZ-BUN1臺(具有Inside、Outside、DMZ三個RJ45接口)!
實現以下功能:
1、內網中的所有用戶可以防問Internet和DMZ中的WEB服務器。
2、外網的用戶可以防問DMZ區的Web平臺。
3、DMZ區的WEB服務器可以防問內網中的SQL數據庫服務器和外網中的其它服務器。
注:DMZ區WEB服務器作爲應用服務器,使用內網中的數據庫服務器。
本方案中,根據現有的設備,只要1個合法的IP地址(電信的IP地址好貴啊,1年租期10000元RMB),分別通過PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以實現所提的功能要求。
初始化Pix防火牆:
給每個邊界接口分配一個名字,並指定安全級別
pix515e(config)# nameif ethernet1 inside security100
pix515e(config)# nameif ethernet2 dmz security50
(通過IP地址爲222.134.135.97的路由器路由所有的出站數據包/外部接口/)
pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1
pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1
pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1
pix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68
pix515e(config)# dhcpd enable inside
同時允許DMZ接口上的主機可以防問Internet
通過設置NAT和PAT來實現高安全級別接口上的主機對低安全級別接口上的主機的防問。
(1)命令如下:
pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0
pix515e(config)# global (outside) 10 interface
pix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0
2、 配置PIX防火牆允許外網的用戶可以防問DMZ區的Web服務器
通過配置靜態內部轉換、ACL和端口重定向來實現外網對DMZ區的Web防問。
(1)命令如下
access-list outside_access_in line 1 permit tcp any interface outside
access-group 101 in interface outside
(3)Static靜態轉換中“DNS”表示進行“DNS記錄轉換”
DNS記錄轉換應用在當內部的主機通過域名連接處於內部的服務器,並且用來進行域名解析的服務器處於PIX防火牆外部的情況下。
一個處於內網中的客戶端通過域名向地址爲10.0.0.2的Web服務器發送一個HTTP請示。首先要通過PIX防火牆外部接口上的DNS服務器進行域名解析,因此客戶端將DNS解析請求包發送到PIX防火牆上。當PIX防火牆收到客戶端的DNS解析請求包時,將IP頭中不可路由的源地址進行轉換,並且將這個DNS解析請求轉發到處於PIX防火牆外部接口上的DNS服務器。DNS服務器通過A-記錄進行地址解析,並將結果返回到客戶端。當PIX防火牆收到 DNS解析回覆後,它不僅要將目的地址進行轉換,而且還要將DNS解析回覆中的地址替換成Web服務器的實際地址。然後PIX防火牆將DNS解析發回客戶端。這樣所產生的結果是,當客戶端收到這個DNS解析回覆,它會認爲它與Web服務器處於內部網絡中,可以通過DMZ接口直接到達。
3、DMZ區的WEB服務器可以防問內網中的SQL數據庫服務器和外網中的其它服務器
通過靜態內部轉換可以實現DMZ區的主機對內網中的主機的防問。
(1)命令如下:
access-list dmz_access_in line 1 permit tcp any any
access-group dmz_access_in in interface dmz