Cisco防火牆

Cisco防火牆
現有條件：100M寬帶接入,分配一個合法的IP（222.134.135.98）（只有1個靜態IP是否夠用？）；Cisco防火牆PiX515e-r-DMZ-BUN１臺（具有Inside、Outside、DMZ三個RJ45接口）!請問能否實現以下功能：
１、內網中的所有用戶可以防問Internet和DMZ中的WEB服務器。
２、外網的用戶可以防問DMZ區的Web平臺。
３、DMZ區的WEB服務器可以防問內網中的SQL數據庫服務器和外網中的其它服務器。

注：DMZ區WEB服務器作爲應用服務器，使用內網中的數據庫服務器。解決方案：
一、 概述
本方案中，根據現有的設備，只要1個合法的IP地址（電信的IP地址好貴啊，1年租期10000元RMB），分別通過PIX515所提供的NAT、PAT、端口重定向、ACL和route功能完全可以實現所提的功能要求。

二、 實施步驟
初始化Pix防火牆：
給每個邊界接口分配一個名字，並指定安全級別
pix515e(config)# nameif ethernet0 outside security0
pix515e(config)# nameif ethernet1 inside security100
pix515e(config)# nameif ethernet2 dmz security50給每個接口分配IP地址
pix515e(config)# ip address outside 222.134.135.98 255.255.255.252
pix515e(config)# ip address inside 192.168.1.1 255.255.255.0
pix515e(config)# ip address dmz 10.0.0.1 255.255.255.0
爲Pix防火牆每個接口定義一條靜態或缺省路由
pix515e(config)# route outside 0.0.0.0 0.0.0.0 222.134.135.97 1
（通過IP地址爲222.134.135.97的路由器路由所有的出站數據包／外部接口／）
pix515e(config)# route dmz 10.0.0.0 255.255.255.0 10.0.0.1 1
pix515e(config)# route inside 192.168.1.0 255.255.255.0 192.168.1.1 1
pix515e(config)# route outside 222.134.135.96 255.255.255.252 222.134.135.98 1
配置Pix防火牆作爲內部用戶的DPCH服務器
pix515e(config)# dhcpd address 192.168.1.2-192.168.1.100 inside
pix515e(config)# dhcpd dns 202.102.152.3 202.102.134.68
pix515e(config)# dhcpd enable inside

1、配置Pix防火牆來允許處於內部接口上的用戶防問Internet和堡壘主機
同時允許DMZ接口上的主機可以防問Internet
通過設置NAT和PAT來實現高安全級別接口上的主機對低安全級別接口上的主機的防問。
（1）命令如下：
pix515e(config)# nat (inside) 10 192.168.1.0 255.255.255.0
pix515e(config)# nat (dmz) 10 10.0.0.0 255.255.255.0
pix515e(config)# global (outside) 10 interface
pix515e(config)# global (dmz) 10 10.0.0.10-10.0.0.254 netmask 255.255.255.0
（2）第一個nat命令允許在安全級別爲100的內部接口上的主機，去連接那些安全級別比它低的接口上的主機。在第一個命令中，低安全級別接口上的主機包括外部接口上的主機和非軍事區／DMZ／上的主機。第二個nat命令允許在安全級別爲50的DMZ上的主機，去連接那些安全級別比它低的接口上的主機。而在第二個命令中，低安全級別的接口只包含外部接口。
（3）因爲全局地址池和nat (inside)命令都使用nat_id爲10，所以在192.168.1.0網絡上的主機地址將被轉換成任意地址池中的地址。因此，當內部接口上用戶訪問DMZ上的主機時，它的源地址被轉換成global (dmz)命令定義的10.0.0.10-10.0.0.254範圍中的某一個地址。當內部接口上的主機防問Internet時，它的源地址將被轉換成global (outside)命令定義的222.134.135.98和一個源端口大於1024的結合。
（4）當DMZ上用戶訪問外部主機時，它的源地址被轉換成global (outside)命令定義的222.134.135.98和一個源端口大於1024的結合。Global (dmz)命令只在內部用戶訪問DMZ接口上的Web服務器時起作用。（5）內部主機訪問DMZ區的主機時，利用動態內部NAT——把在較安全接口上的主機地址轉換成不太安全接口上的一段IP地址或一個地址池（10.0.0.10-10.0.0.254）。內部主機和DMZ區的主機防問Internet時，利用PAT——1個IP地址和一個源端口號的結合，它將創建一個惟一的對話，即PAT全局地址（222.134.135.98）的源端口號對應着內部或DMZ區中的唯一的IP地址來標識唯一的對話。PAT全局地址（222.134.135.98）的源端口號要大於1024。理論上，在使用PAT時，最多可以允許64000臺內部主機使用一個外部IP地址，從實際環境中講大約4000臺內部的主機可以共同使用一個外部IP地址。）

2、 配置PIX防火牆允許外網的用戶可以防問DMZ區的Web服務器
通過配置靜態內部轉換、ACL和端口重定向來實現外網對DMZ區的Web防問。
（1）命令如下
static (dmz,outside) tcp interface www 10.0.0.2 www dns netmask 255.255.255.255 0 0
access-list outside_access_in line 1 permit tcp any interface outside
access-group 101 in interface outside
（2）PIX防火牆靜態PAT所使用的共享全局地址可以是一個惟一的地址，也可以是一個共享的出站PAT地址，還可以與外部接口共享一個地址。
（3）Static靜態轉換中“DNS”表示進行“DNS記錄轉換”
DNS記錄轉換應用在當內部的主機通過域名連接處於內部的服務器，並且用來進行域名解析的服務器處於PIX防火牆外部的情況下。
一個處於內網中的客戶端通過域名向地址爲10.0.0.2的Web服務器發送一個HTTP請示。首先要通過PIX防火牆外部接口上的DNS服務器進行域名解析，因此客戶端將DNS解析請求包發送到PIX防火牆上。當PIX防火牆收到客戶端的DNS解析請求包時，將IP頭中不可路由的源地址進行轉換，並且將這個DNS解析請求轉發到處於PIX防火牆外部接口上的DNS服務器。DNS服務器通過A-記錄進行地址解析，並將結果返回到客戶端。當PIX防火牆收到DNS解析回覆後，它不僅要將目的地址進行轉換，而且還要將DNS解析回覆中的地址替換成Web服務器的實際地址。然後PIX防火牆將DNS解析發回客戶端。這樣所產生的結果是，當客戶端收到這個DNS解析回覆，它會認爲它與Web服務器處於內部網絡中，可以通過DMZ接口直接到達。
3、DMZ區的WEB服務器可以防問內網中的SQL數據庫服務器和外網中的其它服務器
通過靜態內部轉換可以實現DMZ區的主機對內網中的主機的防問。
（1）命令如下：
static (inside,dmz) 10.0.0.9 192.168.1.200 netmask 255.255.255.255 0 0
access-list dmz_access_in line 1 permit tcp any any
access-group dmz_access_in in interface dmz
（2）靜態內部地址轉換可以讓一臺內部主機固定地使用PIX防火牆全局網絡中的一個地址。使用Static命令可以配置靜態轉換。Static命令創建一個在本地IP地址和一個全局IP地址之間的永久映射（被稱爲靜態轉換槽或xlate），可以用來創建入站和出站之間的轉換。
除了Static命令之外，還必須配置一個適當的訪問控制列表（ACL），用來允許外部網絡對內部服務器的入站訪問