色婷婷我也去俺也去_ Pix & asa inside、outside和dmz之間的訪(fǎng)問(wèn)

現有條件：100M寬帶接入,分配一個(gè)合法的IP（222.134.135.98）（只有1個(gè)靜態(tài)IP是否夠用？）；Cisco防火墻PiX515e-r-DMZ-BUN１臺（具有Inside、Outside、DMZ三個(gè)RJ45接口）!請問(wèn)能否實(shí)現以下功能：
１、內網(wǎng)中的所有用戶(hù)可以防問(wèn)Internet和DMZ中的WEB服務(wù)器。
２、外網(wǎng)的用戶(hù)可以防問(wèn)DMZ區的Web平臺。
３、DMZ區的WEB服務(wù)器可以防問(wèn)內網(wǎng)中的SQL數據庫服務(wù)器和外網(wǎng)中的其它服務(wù)器。

注：DMZ區WEB服務(wù)器作為應用服務(wù)器，使用內網(wǎng)中的數據庫服務(wù)器。解決方案：
一、概述
本方案中，根據現有的設備，只要1個(gè)合法的IP地址（電信的IP地址好貴啊，1年租期10000元RMB），分別通過(guò)PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以實(shí)現所提的功能要求。

二、實(shí)施步驟
初始化Pix防火墻：
給每個(gè)邊界接口分配一個(gè)名字，并指定安全級別
pix515e(config)# nameif ethernet0 outside security0
pix515e(config)# nameif ethernet1 inside security100
pix515e(config)# nameif ethernet2 dmz security50給每個(gè)接口分配IP地址
pix515e(config)# ip address outside 222.134.135.98 255.255.255.252
pix515e(config)# ip address inside 192.168.1.1 255.255.255.0
pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0
為Pix防火墻每個(gè)接口定義一條靜態(tài)或缺省路由
pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1
（通過(guò)IP地址為222.134.135.97的路由器路由所有的出站數據包／外部接口／）
pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1
pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1
pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1
配置Pix防火墻作為內部用戶(hù)的DPCH服務(wù)器
pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 inside
pix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68
pix515e(config)# dhcpd enable inside

1、配置Pix防火墻來(lái)允許處于內部接口上的用戶(hù)防問(wèn)Internet和堡壘主機
同時(shí)允許DMZ接口上的主機可以防問(wèn)Internet
通過(guò)設置NAT和PAT來(lái)實(shí)現高安全級別接口上的主機對低安全級別接口上的主機的防問(wèn)。

（1）命令如下：
pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0
pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0
pix515e(config)# global (outside) 10 interface
pix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0

（2）第一個(gè)nat命令允許在安全級別為100的內部接口上的主機，去連接那些安全級別比它低的接口上的主機。在第一個(gè)命令中，低安全級別接口上的主機包括外部接口上的主機和非軍事區／DMZ／上的主機。第二個(gè)nat命令允許在安全級別為50的DMZ上的主機，去連接那些安全級別比它低的接口上的主機。而在第二個(gè)命令中，低安全級別的接口只包含外部接口。

（3）因為全局地址池和nat (inside)命令都使用nat_id為10，所以在192.168.1.0網(wǎng)絡(luò )上的主機地址將被轉換成任意地址池中的地址。因此，當內部接口上用戶(hù)訪(fǎng)問(wèn)DMZ上的主機時(shí)，它的源地址被轉換成global (dmz)命令定義的10.0.0.10-10.0.0.254范圍中的某一個(gè)地址。當內部接口上的主機防問(wèn)Internet時(shí)，它的源地址將被轉換成 global (outside)命令定義的222.134.135.98和一個(gè)源端口大于1024的結合。

（4）當DMZ上用戶(hù)訪(fǎng)問(wèn)外部主機時(shí)，它的源地址被轉換成global (outside)命令定義的222.134.135.98和一個(gè)源端口大于1024的結合。Global (dmz)命令只在內部用戶(hù)訪(fǎng)問(wèn)DMZ接口上的Web服務(wù)器時(shí)起作用。（5）內部主機訪(fǎng)問(wèn)DMZ區的主機時(shí)，利用動(dòng)態(tài)內部NAT——把在較安全接口上的主機地址轉換成不太安全接口上的一段IP地址或一個(gè)地址池（10.0.0.10-10.0.0.254）。內部主機和DMZ區的主機防問(wèn)Internet 時(shí)，利用PAT——1個(gè)IP地址和一個(gè)源端口號的結合，它將創(chuàng )建一個(gè)惟一的對話(huà)，即PAT全局地址（222.134.135.98）的源端口號對應著(zhù)內部或DMZ區中的唯一的IP地址來(lái)標識唯一的對話(huà)。PAT全局地址（222.134.135.98）的源端口號要大于1024。理論上，在使用PAT時(shí)，最多可以允許64000臺內部主機使用一個(gè)外部IP地址，從實(shí)際環(huán)境中講大約4000臺內部的主機可以共同使用一個(gè)外部IP地址。）

2、配置PIX防火墻允許外網(wǎng)的用戶(hù)可以防問(wèn)DMZ區的Web服務(wù)器
通過(guò)配置靜態(tài)內部轉換、ACL和端口重定向來(lái)實(shí)現外網(wǎng)對DMZ區的Web防問(wèn)。

（1）命令如下
static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0
access-list outside_access_in line 1 permit tcp any interface outside
access-group 101 in interface outside

（2）PIX防火墻靜態(tài)PAT所使用的共享全局地址可以是一個(gè)惟一的地址，也可以是一個(gè)共享的出站PAT地址，還可以與外部接口共享一個(gè)地址。

（3）Static靜態(tài)轉換中“DNS”表示進(jìn)行“DNS記錄轉換”
DNS記錄轉換應用在當內部的主機通過(guò)域名連接處于內部的服務(wù)器，并且用來(lái)進(jìn)行域名解析的服務(wù)器處于PIX防火墻外部的情況下。
一個(gè)處于內網(wǎng)中的客戶(hù)端通過(guò)域名向地址為10.0.0.2的Web服務(wù)器發(fā)送一個(gè)HTTP請示。首先要通過(guò)PIX防火墻外部接口上的DNS服務(wù)器進(jìn)行域名解析，因此客戶(hù)端將DNS解析請求包發(fā)送到PIX防火墻上。當PIX防火墻收到客戶(hù)端的DNS解析請求包時(shí)，將IP頭中不可路由的源地址進(jìn)行轉換，并且將這個(gè)DNS解析請求轉發(fā)到處于PIX防火墻外部接口上的DNS服務(wù)器。DNS服務(wù)器通過(guò)A-記錄進(jìn)行地址解析，并將結果返回到客戶(hù)端。當PIX防火墻收到 DNS解析回復后，它不僅要將目的地址進(jìn)行轉換，而且還要將DNS解析回復中的地址替換成Web服務(wù)器的實(shí)際地址。然后PIX防火墻將DNS解析發(fā)回客戶(hù)端。這樣所產(chǎn)生的結果是，當客戶(hù)端收到這個(gè)DNS解析回復，它會(huì )認為它與Web服務(wù)器處于內部網(wǎng)絡(luò )中，可以通過(guò)DMZ接口直接到達。

3、DMZ區的WEB服務(wù)器可以防問(wèn)內網(wǎng)中的SQL數據庫服務(wù)器和外網(wǎng)中的其它服務(wù)器
通過(guò)靜態(tài)內部轉換可以實(shí)現DMZ區的主機對內網(wǎng)中的主機的防問(wèn)。

（1）命令如下：
static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0
access-list dmz_access_in line 1 permit tcp any any
access-group dmz_access_in in interface dmz

（2）靜態(tài)內部地址轉換可以讓一臺內部主機固定地使用PIX防火墻全局網(wǎng)絡(luò )中的一個(gè)地址。使用Static命令可以配置靜態(tài)轉換。Static命令創(chuàng )建一個(gè)在本地IP地址和一個(gè)全局IP地址之間的永久映射（被稱(chēng)為靜態(tài)轉換槽或xlate），可以用來(lái)創(chuàng )建入站和出站之間的轉換。
除了Static命令之外，還必須配置一個(gè)適當的訪(fǎng)問(wèn)控制列表（ACL），用來(lái)允許外部網(wǎng)絡(luò )對內部服務(wù)器的入站訪(fǎng)問(wèn).

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久