1、防火墙inside区域(办公区域):
分配两个接口给此区域,以平衡负载(当然你核心层没备份那就一个接口吧)
使用OSPF或RIP配置路由,当然路由少就不必了
2、防火墙DMZ区域(服务器区)
没有交换机也无所谓,5520接口够你用了
网关全在ASA上
所以,ASA上做静态路由到INSIDE区域(如果有二个接口就能控制流量)
3、办公上网
你得先申请一段公网IP 比如(210111-2101110)
先给每个对外服务器留好,比如用了210116-2101110
ASA:
nat-control
nat (inside) 1 0 0
global (outside) 1 210111-210115 netmask 2552552550 (注意你不可能申请到/24)
4、发布服务器
静态发布、不能给服务器直接公网IP(因为你没有交换机,网关直接在防火墙上)
ASA:
static (dmz1,outside) 210116 服务器IP
static (dmz2,outside) 210117 服务器IP
几台做几个,内部服务器就不做了
5、现在问题来了,你办公区域访问不了DMZ了,流量都走了NAT(都转换了)
所以需做NAT豁免
ASA:
access-list nat0 permit ip 公办区网段 255000 服务器区网段 255000
nat (inside) 0 access-list nat0
注意:服务器区是上不了网的,要上网做NAT即可(在公网网段中重新划分)
虽多,但不尽详细,仅作参考它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
生动解释:您的公司有一堆电脑,但可以归为两大类:客户机、服务器。所谓客户机就是主动发起连接请求的机器,所谓服务器就是被动响应提供某些服务的机器。服务器又可以分仅供企业内网使用和为外网提供服务两种。
OK,您只要按以下规则配置防火墙,就构造了一个DMZ区(您也可以叫love区,随您):
1内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6DMZ不能访问外网dmz主机和虚拟服务器同时开启。但是DMZ主机和虚拟服务器只需要设置一个即可,不需要两个同时设置,在现在排错阶段,建议你去掉虚拟服务器的设置,只用DMZ主机,相当于把你电脑全映射到19216812。
然后,建议你先把光猫去掉,找一台PC接到TP的WAN口上,配一个19216810/24段的IP。
尝试去telnet 19216812 65,看端口是否通,如果通了,再做下一步。
最后,把光猫接上,同样开启DMZ全映射(不要用虚拟服务器),把19216812全映射到公网上,再试试。
如果成功了,建议你把两个路由的DMZ关闭,换用虚拟服务器的方式,只映射65端口,整个主机全映射太危险了。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)