对于路由器和防火墙之间的组合来讲有2种基本的设计方式:
比较方便的一种做法,就是在路由器与防火墙之间放上一个HUB所有对外的服务器都放在路由器和防火墙之间。
参照方法一,将一些重要的服务器放到防火墙的内部,在内部与外部之间做单一地址的静态影射,同时可以通过一定的访问控制来实现网络内部的安全
以上的拓扑图中,采用了上述两种方法的结合,防火墙采用了Cisco的PIX 520,具体配置如下:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 auto
interface ethernet1 auto
ip address outside 202.118.116.3 255.255.255.0 (假设对外端口地址)
ip address inside 10.1.0.1 255.255.255.0(假设内部网络为:10.1.0.0)
hostname bluegarden
arp timeout 14400
no failover
names
pager lines 24
logging buffered debugging
nat (inside) 1 0 0
global (outside) 1 202.118.116.10-202.118.116.20
global (outside) 1 202.118.116.21
no rip inside default
no rip inside passive
no rip outside default
no rip outside passive
static (inside,outside) 202.118.116.5 10.1.0.18 netmask 255.255.255.0.
conduit permit tcp 202.118.116.5 255.255.255.0 any any
这里就将防火墙外面的地址202.109.77.28 映射到10.1.0.18 然后在下面就可以限制一些应用了。
route outside 0.0.0.0 0.0.0.0 202.118.116.1 1(外连设备的内部端口地址)
timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server community public
mtu outside 1500
mtu inside 1500