- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
一个合法IP完成inside、outside和dmz之间的访问
一个合法IP完成inside、outside和dmz之间的访问
现有条件:
100M宽带接入,分配一个合法的IP(8)(只有1个静态IP是否够用?);Cisco防火墙PiX515e-r-DMZ-BUN1台(具有Inside、Outside、DMZ三个RJ45接口)!
请问能否实现以下功能:
1、内网中的所有用户可以防问Internet和DMZ中的WEB服务器。
2、外网的用户可以防问DMZ区的Web平台。
3、DMZ区的WEB服务器可以防问内网中的SQL数据库服务器和外网中的其它服务器。
注:DMZ区WEB服务器作为应用服务器,使用内网中的数据库服务器。
解决方案:
一、 概述
本方案中,根据现有的设备,只要1个合法的IP地址(电信的IP地址好贵啊,1年租期10000元RMB),分别通过PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以实现所提的功能要求。
二、 实施步骤
初始化Pix防火墙:
给每个边界接口分配一个名字,并指定安全级别
pix515e(config)# nameif ethernet0 outside security0
pix515e(config)# nameif ethernet1 inside security100
pix515e(config)# nameif ethernet2 dmz security50 给每个接口分配IP地址
pix515e(config)# ip address outside 8 52 pix515e(config)# ip address inside pix515e(config)# ip address dmz
为Pix防火墙每个接口定义一条静态或缺省路由
pix515e(config)# route outside 7 1
(通过IP地址为7的路由器路由所有的出站数据包/外部接口/)
pix515e(config)# route dmz 1
pix515e(config)# route inside 1
pix515e(config)# route outside 6 52 8 1 配置Pix防火墙作为内部用户的DPCH服务器
pix515e(config)# dhcpd address -00 inside
pix515e(config)# dhcpd dns 8
pix515e(config)# dhcpd enable inside ?
1、配置Pix防火墙来允许处于内部接口上的用户防问Internet和堡垒主机
同时允许DMZ接口上的主机可以防问Internet
通过设置NAT和PAT来实现高安全级别接口上的主机对低安全级别接口上的主机的防问。
(1)命令如下:
pix515e(config)# nat (inside) 10
pix515e(config)# nat (dmz) 10
pix515e(config)# global (outside) 10 interface
pix515e(config)# global (dmz) 10 0-54 netmask (2)第一个nat命令允许在安全级别为100的内部接口上的主机,去连接那些安全级别比它低的接口上的主机。在第一个命令中,低安全级别接口上的主机包括外部接口上的主机和非军事区/DMZ/上的主机。第二个nat命令允许在安全级别为50的DMZ上的主机,去连接那些安全级别比它低的接口上的主机。而在第二个命令中,低安全级别的接口只包含外部接口。
(3)因为全局地址池和nat (inside)命令都使用nat_id为10,所以在网络上的主机地址将被转换成任意地址池中的地址。因此,当内部接口上用户访问DMZ上的主机时,它的源地址被转换成global (dmz)命令定义的0-54范围中的某一个地址。当内部接口上的主机防问Internet时,它的源地址将被转换成global (outside)命令定义的8和一个源端口大于1024的结合。
(4)当DMZ上用户访问外部主机时,它的源地址被转换成global (outside)命令定义的8和一个源端口大于1024的结合。Global (dmz)命令只在内部用户访问DMZ接口上的Web服务器时起作用。
(5)内部主机访问DMZ区的主机时,利用动态内部NAT——把在较安全接口上的主机地址转换成不太安全接口上的一段IP地址或一个地址池(0-54)。内部主机和DMZ区的主机防问Internet时,利用PAT——1个IP地址和一个源端口号的结合,它将创建一个惟一的对话,即PAT全局地址(8)的源端口号对应着
文档评论(0)