PIX：一個(gè)合法IP完成inside、outside和dmz之間的訪問

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供天等網(wǎng)站建設(shè)、天等做網(wǎng)站、天等網(wǎng)站設(shè)計(jì)、天等網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、天等企業(yè)網(wǎng)站模板建站服務(wù)，10年天等做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

現(xiàn)有條件：

100M寬帶接入，分配一個(gè)合法的IP(222.134.135.98)(只有1個(gè)靜態(tài)IP是否夠用？);Cisco防火墻PiX515e-r-DMZ-BUN1臺(tái)(具有Inside、Outside、DMZ三個(gè)RJ45接口)!

請(qǐng)問能否實(shí)現(xiàn)以下功能：

1、內(nèi)網(wǎng)中的所有用戶可以防問Internet和DMZ中的WEB服務(wù)器。

2、外網(wǎng)的用戶可以防問DMZ區(qū)的Web平臺(tái)。

3、DMZ區(qū)的WEB服務(wù)器可以防問內(nèi)網(wǎng)中的SQL數(shù)據(jù)庫服務(wù)器和外網(wǎng)中的其它服務(wù)器。

注：DMZ區(qū)WEB服務(wù)器作為應(yīng)用服務(wù)器，使用內(nèi)網(wǎng)中的數(shù)據(jù)庫服務(wù)器。

解決方案：

一、 概述

本方案中，根據(jù)現(xiàn)有的設(shè)備，只要1個(gè)合法的IP地址(電信的IP地址好貴啊，1年租期10000元RMB)，分別通過PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以實(shí)現(xiàn)所提的功能要求。

二、 實(shí)施步驟

初始化Pix防火墻：

給每個(gè)邊界接口分配一個(gè)名字，并指定安全級(jí)別

pix515e(config)# nameif ethernet0 outside security0pix515e(config)# nameif ethernet1 inside security100pix515e(config)# nameif ethernet2 dmz security50

給每個(gè)接口分配IP地址

pix515e(config)# ip address outside 222.134.135.98 255.255.255.252 pix515e(config)# ip address inside 192.168.1.1 255.255.255.0 pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0

為Pix防火墻每個(gè)接口定義一條靜態(tài)或缺省路由

pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1(通過IP地址為222.134.135.97的路由器路由所有的出站數(shù)據(jù)包/外部接口/)pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1

配置Pix防火墻作為內(nèi)部用戶的DPCH服務(wù)器

pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 insidepix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68pix515e(config)# dhcpd enable inside

1、配置Pix防火墻來允許處于內(nèi)部接口上的用戶防問Internet和堡壘主機(jī)

同時(shí)允許DMZ接口上的主機(jī)可以防問Internet

通過設(shè)置NAT和PAT來實(shí)現(xiàn)高安全級(jí)別接口上的主機(jī)對(duì)低安全級(jí)別接口上的主機(jī)的防問。

(1)命令如下：

pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0pix515e(config)# global (outside) 10 interfacepix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0

(2)第一個(gè)nat命令允許在安全級(jí)別為100的內(nèi)部接口上的主機(jī)，去連接那些安全級(jí)別比它低的接口上的主機(jī)。在第一個(gè)命令中，低安全級(jí)別接口上的主機(jī)包括外部接口上的主機(jī)和非軍事區(qū)/DMZ/上的主機(jī)。第二個(gè)nat命令允許在安全級(jí)別為50的DMZ上的主機(jī)，去連接那些安全級(jí)別比它低的接口上的主機(jī)。而在第二個(gè)命令中，低安全級(jí)別的接口只包含外部接口。

(3)因?yàn)槿值刂烦睾蚽at (inside)命令都使用nat_id為10，所以在192.168.1.0網(wǎng)絡(luò)上的主機(jī)地址將被轉(zhuǎn)換成任意地址池中的地址。因此，當(dāng)內(nèi)部接口上用戶訪問DMZ上的主機(jī)時(shí)，它的源地址被轉(zhuǎn)換成global (dmz)命令定義的10.0.0.10-10.0.0.254范圍中的某一個(gè)地址。當(dāng)內(nèi)部接口上的主機(jī)防問Internet時(shí)，它的源地址將被轉(zhuǎn)換成global (outside)命令定義的222.134.135.98和一個(gè)源端口大于1024的結(jié)合。

(4)當(dāng)DMZ上用戶訪問外部主機(jī)時(shí)，它的源地址被轉(zhuǎn)換成global (outside)命令定義的222.134.135.98和一個(gè)源端口大于1024的結(jié)合。Global (dmz)命令只在內(nèi)部用戶訪問DMZ接口上的Web服務(wù)器時(shí)起作用。

(5)內(nèi)部主機(jī)訪問DMZ區(qū)的主機(jī)時(shí)，利用動(dòng)態(tài)內(nèi)部NAT——把在較安全接口上的主機(jī)地址轉(zhuǎn)換成不太安全接口上的一段IP地址或一個(gè)地址池(10.0.0.10-10.0.0.254)。內(nèi)部主機(jī)和DMZ區(qū)的主機(jī)防問Internet時(shí)，利用PAT——1個(gè)IP地址和一個(gè)源端口號(hào)的結(jié)合，它將創(chuàng)建一個(gè)惟一的對(duì)話，即PAT全局地址(222.134.135.98)的源端口號(hào)對(duì)應(yīng)著內(nèi)部或DMZ區(qū)中的唯一的IP地址來標(biāo)識(shí)唯一的對(duì)話。PAT全局地址(222.134.135.98)的源端口號(hào)要大于1024.理論上，在使用PAT時(shí)，最多可以允許64000臺(tái)內(nèi)部主機(jī)使用一個(gè)外部IP地址，從實(shí)際環(huán)境中講大約4000臺(tái)內(nèi)部的主機(jī)可以共同使用一個(gè)外部IP地址。)

2、 配置PIX防火墻允許外網(wǎng)的用戶可以防問DMZ區(qū)的Web服務(wù)器

通過配置靜態(tài)內(nèi)部轉(zhuǎn)換、ACL和端口重定向來實(shí)現(xiàn)外網(wǎng)對(duì)DMZ區(qū)的Web防問。

(1)命令如下

static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0access-list outside_access_in line 1 permit tcp any interface outsideaccess-group 101 in interface outside

(2)PIX防火墻靜態(tài)PAT所使用的共享全局地址可以是一個(gè)惟一的地址，也可以是一個(gè)共享的出站PAT地址，還可以與外部接口共享一個(gè)地址。

(3)Static靜態(tài)轉(zhuǎn)換中“DNS”表示進(jìn)行“DNS記錄轉(zhuǎn)換”

DNS記錄轉(zhuǎn)換應(yīng)用在當(dāng)內(nèi)部的主機(jī)通過域名連接處于內(nèi)部的服務(wù)器，并且用來進(jìn)行域名解析的服務(wù)器處于PIX防火墻外部的情況下。

一個(gè)處于內(nèi)網(wǎng)中的客戶端通過域名向地址為10.0.0.2的Web服務(wù)器發(fā)送一個(gè)HTTP請(qǐng)示。首先要通過PIX防火墻外部接口上的DNS服務(wù)器進(jìn)行域名解析，因此客戶端將DNS解析請(qǐng)求包發(fā)送到PIX防火墻上。當(dāng)PIX防火墻收到客戶端的DNS解析請(qǐng)求包時(shí)，將IP頭中不可路由的源地址進(jìn)行轉(zhuǎn)換，并且將這個(gè)DNS解析請(qǐng)求轉(zhuǎn)發(fā)到處于PIX防火墻外部接口上的DNS服務(wù)器。DNS服務(wù)器通過A-記錄進(jìn)行地址解析，并將結(jié)果返回到客戶端。當(dāng)PIX防火墻收到 DNS解析回復(fù)后，它不僅要將目的地址進(jìn)行轉(zhuǎn)換，而且還要將DNS解析回復(fù)中的地址替換成Web服務(wù)器的實(shí)際地址。然后PIX防火墻將DNS解析發(fā)回客戶端。這樣所產(chǎn)生的結(jié)果是，當(dāng)客戶端收到這個(gè)DNS解析回復(fù)，它會(huì)認(rèn)為它與Web服務(wù)器處于內(nèi)部網(wǎng)絡(luò)中，可以通過DMZ接口直接到達(dá)。

3、DMZ區(qū)的WEB服務(wù)器可以防問內(nèi)網(wǎng)中的SQL數(shù)據(jù)庫服務(wù)器和外網(wǎng)中的其它服務(wù)器

通過靜態(tài)內(nèi)部轉(zhuǎn)換可以實(shí)現(xiàn)DMZ區(qū)的主機(jī)對(duì)內(nèi)網(wǎng)中的主機(jī)的防問。

(1)命令如下：

static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0access-list dmz_access_in line 1 permit tcp any anyaccess-group dmz_access_in in interface dmz

(2)靜態(tài)內(nèi)部地址轉(zhuǎn)換可以讓一臺(tái)內(nèi)部主機(jī)固定地使用PIX防火墻全局網(wǎng)絡(luò)中的一個(gè)地址。使用Static命令可以配置靜態(tài)轉(zhuǎn)換。Static命令創(chuàng)建一個(gè)在本地IP地址和一個(gè)全局IP地址之間的永久映射(被稱為靜態(tài)轉(zhuǎn)換槽或xlate)，可以用來創(chuàng)建入站和出站之間的轉(zhuǎn)換。

除了Static命令之外，還必須配置一個(gè)適當(dāng)?shù)脑L問控制列表(ACL)，用來允許外部網(wǎng)絡(luò)對(duì)內(nèi)部服務(wù)器的入站訪問