配置PIX515E DMZ的基本方法與故障排除

2020-04-18 12:53:30

字體：大中小

來源：轉載

供稿：網友

　　一、基本環境　　當前公司有PIX 515E防火墻一臺（三個接口），服務器若干。要求將服務器遷移至DMZ區域并確保服務器正常工作，簡略拓撲結構圖如下所示：

　　二、配置DMZ基本命令　　1. 分別定義outside、inside、dmz的安全級別nameif ethernet0 outside security0 #定義E0口為非信任端口，security0代表此端口安全級別最低nameif ethernet1 inside security100 #定義E1口為信任端口，security100代表此端口安全級別最高nameif ethernet2 dmz security50 #定義E2口為DMZ端口，security50代表此端口安全級別介于信任與非信任端口之間這里的數字0、50、100可自行調整，但需要注意數字之間的大小關系不能混淆。　　2. 設置dmz接口IPip address dmz 10.0.200.1 255.255.255.0 #設置DMZ接口IP地址，設置好后可以按拓撲結構圖測試從PIX上ping 10.0.200.2檢查連通性。　　3. 允許dmz區域的主機通過icmp數據包以及訪問外網的80端口access-list acl_dmz permit icmp any any #允許DMZ主機訪問外部網絡icmp協議　　4. 把acl_dmz規則邦定到dmz端口上使之生效access-group acl_dmz in interface dmz #應用策略到DMZ接口　　5. 設置靜態的因特網、局域網、dmz區的訪問關系static (dmz,outside) 218.104.XX.XX 10.0.200.2 netmask 255.255.255.255 0 0 #發布DMZ服務器到因特網　　6. 允許outside區域訪問dmz區域特定的某個端口access-list 100 permit tcp any host 218.104.XX.XX eq www #設置策略允許因特網訪問DMZ服務器80端口　　三、基本測試方法及故障排除　　1、利用 ping/tracert命令測試在10.0.200.2服務器上，ping 10.0.200.1 正常，ping 10.0.6.8 不通；在10.0.6.8測試機上，ping 10.0.200.1 不通，ping 10.0.200.2不通，ping 10.0.1.254 正常；　　問題：局域網與DMZ區不能正常通訊。　　故障分析與排除：默認情況下，PIX防火墻的局域網接口可以訪問DMZ接口，但DMZ接口不能訪問局域網接口，在PIX上用命令show route可以看到有一條隱藏的到DMZ區域的靜態路由存在，也就是說配置好DMZ后局域網就應該可以訪問DMZ區域服務器（但DMZ接口是不允許ping的）。但是為什么當前配置好DMZ后局域網測試機器不能正常訪問DMZ區域的服務器呢？這里需要注意一點，在局域網訪問DMZ的IP地址時，用命令tracert 10.0.200.2時發現局域網訪問10.0.200.2的數據包從因特網口出去了！根本就沒有發往DMZ接口。所以重新加一條命令：access-list nonat permit ip 10.0.6.0 255.255.255.0 10.0.200.0 255.255.255.0nat (inside) 0 access-list nonat再用 ping/tracert命令測試結果如下：在10.0.200.2服務器上，ping 10.0.200.1 正常，ping 10.0.6.8 不通；在10.0.6.8測試機上，ping 10.0.200.1 不通，ping 10.0.200.2正常，ping 10.0.1.254 正常；　　2、因特網訪問DMZ用筆記本撥號上網，訪問http://218.104.XX.XX 顯示正常，說明DMZ服務器發布成功。　　3、 DMZ訪問局域網在10.0.200.2服務器上，利用遠程桌面方式訪問10.0.6.8（端口號被手工修改為9989，非標準端口3389），訪問超時。　　問題：DMZ不能訪問局域網　　故障分析與排除：默認情況下DMZ區域是不能訪問局域網網絡的。但有些特殊情況：比如將WEB放在DMZ區，但是后臺數據庫放在了局域網。這樣就必須使DMZ某些服務器可以訪問局域網內特殊機器特殊端口。所以需要在PIX上更加策略以使DMZ可以訪問局域網。所以應該在策略上加一條命令：access-list acl-DMZ permit tcp 10.0.200.0 255.255.255.0 host 10.0.6.8 eq 9989 #允許DMZ可以訪問10.0.6.8的9989端口，經測試可以正常訪問。　　4、 DMZ不能訪問因特網在10.0.200.2的機器上，訪問 www.baidu.com 不能正常顯示頁面。　　問題：DMZ不能正常訪問因特網　　故障分析與排除：DMZ原則上是不能訪問因特網的，但是因為某些特殊情況比如郵件服務器放在DMZ時，則必須允許該服務器訪問因特網的SMTP協議（25端口），所以還必須在DMZ接口上應用的策略上加一條命令：

access-list acl_dmz permit tcp 10.0.200.0 255.255.255.0 any eq 80 #允許DMZ訪問外部網絡tcp 80端口access-list acl_dmz permit tcp 10.0.200.0 255.255.255.0 any eq 53 #允許DMZ訪問外部網絡tcp 53端口access-list acl_dmz permit udp 10.0.200.0 255.255.255.0 any eq 53 #允許DMZ訪問外部網絡udp 53端口加完這條命令后，測試訪問 www.baidu.com 仍然不能正常顯示頁面，問題依舊。繼續查找問題可能存在的問題，用命令ping 外網DNS發現可以正常ping通，再ping百度的IP地址發現也可以ping通，telnet 百度地址的80端口也正常，但就是打不開百度的頁面，用其他網站測試結果相同。　　這個問題研究了很久，沒有得到很好的解決辦法，后來跟我的經理一起討論研究這個問題，他讓我試一下網通的DNS看行不行。我把DMZ服務器的DNS修改成網通DNS后，發現可以正常訪問百度首頁，其他網站也正常打開。這個問題是經驗問題，因為我們公司是網通鏈路，而我在DMZ服務器上設置的是電信的DNS（因為這個DNS我記得非常熟，所以基本上做測試都用它），而沒有想到電信和網通在DNS服務器解析上有嚴格的保護措施，導致最終問題解決被推遲了很長時間。　　以上是我這次在PIX 515E上做DMZ配置的一些心得和體會，測試過程不是很復雜，但是相對一些初次接觸DMZ的新手來說值得一看，DMZ的原理都一樣，只是每種設備的配置不相同而已。　　在這里要感謝一位朋友:夕陽.流水, 在配置和排錯過程中得到了她的大力幫助和支持,衷心的感謝她!HOHO~~

上一篇：PuTTY SSH Tunnel設置圖文教程

下一篇：利用Cisco Tools排查6509模塊故障