基于近段时间很多用户申请将机器发布到公网的请求,我们部门决定在两个防火墙上分别开启DMZ以代替直接在防火墙上发布机器的做法.以保障公司内部安全.
昨天在另外一个办公室的防火墙checkpoint上开启DMZ,在上海checkpoint工程师远程指导下基本完成了操作,比较简单(因为他是基于图形界面的),这里主要说说在PIX上配置DMZ的一些感想.早上一过来,经理就对我说,今天一天让我把PIX上的DMZ区配好,这个事情有些复杂,因为第一次配置过DMZ,概念比较模糊(当然对于会的人来说是很简单的),接到这个任务之后我马上到网上狂搜,网上对PIX的命令多如牛毛,但对如何配置DMZ的原理却都没怎么说,如果原理和概念搞不清楚,只会把命令拷贝复制那是没有用的---谁都会.于是我打了个电话给上海的一个CCIE朋友(他曾是我们的供货商,顺便提句外话:他老婆也是CCIE!),他在北京开会,说在MSN上聊,我在聊天的时候把情况说了一下,呵呵,两句话搞惦.发了两条命令过来,结果却跟我解释了半天.我把命令粘出来给大家看看,呵呵,配置DMZ这四条命令应该够了(没有做控制的情况下)
interface ethernet2 auto         设定端口2 速率为自动
nameif ethernet2 DMZ security50  把接口ethernet2改名为DMZ,并把安全级别定为50
ip address DMZ 10.0.100.1 255.255.255.0 配置DMZ接口的IP地址
static (dmz,outside) 218.104.XX.XX 10.0.100.4  netmask 255.255.255.255 0 0  设定DMZ区固定主机与外网固定IP之间的一对一静态转换
conduit permit tcp host WAN22(指公网IP) eq www any  设置管道:允许任何地址对218.104.XX.XX地址进行WWW访问
配置到这里基本上已经可以了(如果没有生效,建议用命令clear xlate清除一下缓存).
这里在客户端需要配置一下IP地址,网关等.可以拨号上网测试了.经过测试是OK的.
 
其实DMZ区的配置不是很复杂,光键是把握好概念,上午我做DMZ的时候就是用VLAN做的,这样的话DMZ区和内网其实就是核心交换的两个子网,根本控制不了,而如果你把DMZ区用交换机单独独立出来的话,就可以通过PIX任何控制了.
 
很快,一天就这么过去了,今天的收获很多,一直以为对Cisco产品是比较熟的,但真正配置起来的时候还是很有多概念不清,命令不熟.我想这次将是一个开端,如何对Cisco产品更加熟悉,在安全方面如何做控制,在性能上如何做优化,将是我下一步工作的重点了.