ASA5505安全设备DMZ实例.docVIP

ASA5505安全设备DMZ实例 例子场景有如下特征： 1、WEB服务器在安全设备的DMZ口。 2、HTTP客户端可以访问DMZ的WEB服务器，也可以访问Internet。 3、Internet上的客户端可以HTTP访问DMZ上的WEB服务器，其它访问拒绝。 4、网络有一个可以路由到的公共的IP地址，即安全设备的outside口：25。 下图展示了内网的HTTP请求到DMZ和Internet的流向情况。 在上图中，安全设备允许来自内网客户端到DMZ中WEB服务器的HTTP流。由于内网没有DNS服务器，内网到WEB服务器的请求被处理如下： 首先，查询请求发送到ISP的DNS服务器上。然后，WEB服务器的公共地址发送会客户端。 内网客户端发送HTTP请求到安全设备。 安全设备翻译WEB服务器的公共地址为实际地址，然后把请求发送到WEB服务器。 DMZ中的WEB服务器返回HTTP内容到安全设备，包括指向内网设备实际地址的目标地址。 安全设备把HTTP内容发送到内网设备。 为了允许内网客户端HTTP访问WEB服务器，安全设备需要做如下配置： 一条在inside和DMZ之间的NAT，把WEB服务器的实际地址翻译为公共地址 0至25 。 一条在inside和DMZ之间的NAT，翻译内网客户端的实际地址。在本场景中，当内网客户端访问WEB服务器时，内网客户端的实际地址翻译为它自己。（