建站
咨詢
售后
建站咨詢
新聞中心
PIX:一個合法IP完成inside、outside和dmz之間的訪問
現(xiàn)有條件:
100M寬帶接入,分配一個合法的IP(222.134.135.98)(只有1個靜態(tài)IP是否夠用?);Cisco防火墻PiX515e-r-DMZ-BUN1臺(具有Inside、Outside、DMZ三個RJ45接口)!
請問能否實現(xiàn)以下功能:
1、內(nèi)網(wǎng)中的所有用戶可以防問Internet和DMZ中的WEB服務(wù)器。
2、外網(wǎng)的用戶可以防問DMZ區(qū)的Web平臺。
3、DMZ區(qū)的WEB服務(wù)器可以防問內(nèi)網(wǎng)中的SQL數(shù)據(jù)庫服務(wù)器和外網(wǎng)中的其它服務(wù)器。
注:DMZ區(qū)WEB服務(wù)器作為應(yīng)用服務(wù)器,使用內(nèi)網(wǎng)中的數(shù)據(jù)庫服務(wù)器。
解決方案:
一、 概述
本方案中,根據(jù)現(xiàn)有的設(shè)備,只要1個合法的IP地址(電信的IP地址好貴啊,1年租期10000元RMB),分別通過PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以實現(xiàn)所提的功能要求。
二、 實施步驟
初始化Pix防火墻:
給每個邊界接口分配一個名字,并指定安全級別
pix515e(config)# nameif ethernet0 outside security0pix515e(config)# nameif ethernet1 inside security100pix515e(config)# nameif ethernet2 dmz security50
給每個接口分配IP地址
pix515e(config)# ip address outside 222.134.135.98 255.255.255.252 pix515e(config)# ip address inside 192.168.1.1 255.255.255.0 pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0
為Pix防火墻每個接口定義一條靜態(tài)或缺省路由
pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1(通過IP地址為222.134.135.97的路由器路由所有的出站數(shù)據(jù)包/外部接口/)pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1
配置Pix防火墻作為內(nèi)部用戶的DPCH服務(wù)器
pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 insidepix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68pix515e(config)# dhcpd enable inside
1、配置Pix防火墻來允許處于內(nèi)部接口上的用戶防問Internet和堡壘主機
同時允許DMZ接口上的主機可以防問Internet
通過設(shè)置NAT和PAT來實現(xiàn)高安全級別接口上的主機對低安全級別接口上的主機的防問。
(1)命令如下:
pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0pix515e(config)# global (outside) 10 interfacepix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0
(2)第一個nat命令允許在安全級別為100的內(nèi)部接口上的主機,去連接那些安全級別比它低的接口上的主機。在第一個命令中,低安全級別接口上的主機包括外部接口上的主機和非軍事區(qū)/DMZ/上的主機。第二個nat命令允許在安全級別為50的DMZ上的主機,去連接那些安全級別比它低的接口上的主機。而在第二個命令中,低安全級別的接口只包含外部接口。
(3)因為全局地址池和nat (inside)命令都使用nat_id為10,所以在192.168.1.0網(wǎng)絡(luò)上的主機地址將被轉(zhuǎn)換成任意地址池中的地址。因此,當(dāng)內(nèi)部接口上用戶訪問DMZ上的主機時,它的源地址被轉(zhuǎn)換成global (dmz)命令定義的10.0.0.10-10.0.0.254范圍中的某一個地址。當(dāng)內(nèi)部接口上的主機防問Internet時,它的源地址將被轉(zhuǎn)換成global (outside)命令定義的222.134.135.98和一個源端口大于1024的結(jié)合。
(4)當(dāng)DMZ上用戶訪問外部主機時,它的源地址被轉(zhuǎn)換成global (outside)命令定義的222.134.135.98和一個源端口大于1024的結(jié)合。Global (dmz)命令只在內(nèi)部用戶訪問DMZ接口上的Web服務(wù)器時起作用。
(5)內(nèi)部主機訪問DMZ區(qū)的主機時,利用動態(tài)內(nèi)部NAT——把在較安全接口上的主機地址轉(zhuǎn)換成不太安全接口上的一段IP地址或一個地址池(10.0.0.10-10.0.0.254)。內(nèi)部主機和DMZ區(qū)的主機防問Internet時,利用PAT——1個IP地址和一個源端口號的結(jié)合,它將創(chuàng)建一個惟一的對話,即PAT全局地址(222.134.135.98)的源端口號對應(yīng)著內(nèi)部或DMZ區(qū)中的唯一的IP地址來標(biāo)識唯一的對話。PAT全局地址(222.134.135.98)的源端口號要大于1024.理論上,在使用PAT時,最多可以允許64000臺內(nèi)部主機使用一個外部IP地址,從實際環(huán)境中講大約4000臺內(nèi)部的主機可以共同使用一個外部IP地址。)
2、 配置PIX防火墻允許外網(wǎng)的用戶可以防問DMZ區(qū)的Web服務(wù)器
通過配置靜態(tài)內(nèi)部轉(zhuǎn)換、ACL和端口重定向來實現(xiàn)外網(wǎng)對DMZ區(qū)的Web防問。
(1)命令如下
static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0access-list outside_access_in line 1 permit tcp any interface outsideaccess-group 101 in interface outside
(2)PIX防火墻靜態(tài)PAT所使用的共享全局地址可以是一個惟一的地址,也可以是一個共享的出站PAT地址,還可以與外部接口共享一個地址。
(3)Static靜態(tài)轉(zhuǎn)換中“DNS”表示進(jìn)行“DNS記錄轉(zhuǎn)換”
DNS記錄轉(zhuǎn)換應(yīng)用在當(dāng)內(nèi)部的主機通過域名連接處于內(nèi)部的服務(wù)器,并且用來進(jìn)行域名解析的服務(wù)器處于PIX防火墻外部的情況下。
一個處于內(nèi)網(wǎng)中的客戶端通過域名向地址為10.0.0.2的Web服務(wù)器發(fā)送一個HTTP請示。首先要通過PIX防火墻外部接口上的DNS服務(wù)器進(jìn)行域名解析,因此客戶端將DNS解析請求包發(fā)送到PIX防火墻上。當(dāng)PIX防火墻收到客戶端的DNS解析請求包時,將IP頭中不可路由的源地址進(jìn)行轉(zhuǎn)換,并且將這個DNS解析請求轉(zhuǎn)發(fā)到處于PIX防火墻外部接口上的DNS服務(wù)器。DNS服務(wù)器通過A-記錄進(jìn)行地址解析,并將結(jié)果返回到客戶端。當(dāng)PIX防火墻收到 DNS解析回復(fù)后,它不僅要將目的地址進(jìn)行轉(zhuǎn)換,而且還要將DNS解析回復(fù)中的地址替換成Web服務(wù)器的實際地址。然后PIX防火墻將DNS解析發(fā)回客戶端。這樣所產(chǎn)生的結(jié)果是,當(dāng)客戶端收到這個DNS解析回復(fù),它會認(rèn)為它與Web服務(wù)器處于內(nèi)部網(wǎng)絡(luò)中,可以通過DMZ接口直接到達(dá)。
3、DMZ區(qū)的WEB服務(wù)器可以防問內(nèi)網(wǎng)中的SQL數(shù)據(jù)庫服務(wù)器和外網(wǎng)中的其它服務(wù)器
通過靜態(tài)內(nèi)部轉(zhuǎn)換可以實現(xiàn)DMZ區(qū)的主機對內(nèi)網(wǎng)中的主機的防問。
(1)命令如下:
static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0access-list dmz_access_in line 1 permit tcp any anyaccess-group dmz_access_in in interface dmz
(2)靜態(tài)內(nèi)部地址轉(zhuǎn)換可以讓一臺內(nèi)部主機固定地使用PIX防火墻全局網(wǎng)絡(luò)中的一個地址。使用Static命令可以配置靜態(tài)轉(zhuǎn)換。Static命令創(chuàng)建一個在本地IP地址和一個全局IP地址之間的永久映射(被稱為靜態(tài)轉(zhuǎn)換槽或xlate),可以用來創(chuàng)建入站和出站之間的轉(zhuǎn)換。
除了Static命令之外,還必須配置一個適當(dāng)?shù)脑L問控制列表(ACL),用來允許外部網(wǎng)絡(luò)對內(nèi)部服務(wù)器的入站訪問
當(dāng)前名稱:一個思科PIX防火墻的實際應(yīng)用配置
鏈接分享:http://www.ef60e0e.cn/article/cppoog.html
