一、基本环境
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
当前公司有PIX 515E防火墙一台(三个接口),服务器若干。要求将服务器迁移至DMZ区域并确保服务器正常工作,简略拓扑结构图如下所示:
 
二、配置DMZ基本命令
1.         分别定义outside、inside、dmz的安全级别
nameif ethernet0 outside security0               #定义E0口为非信任端口,security0代表此端口安全级别最低
nameif ethernet1 inside security100             #定义E1口为信任端口,security100代表此端口安全级别最高
nameif ethernet2 dmz security50                 #定义E2口为DMZ端口,security50代表此端口安全级别介于信任与非信任端口之间
这里的数字0、50、100可自行调整,但需要注意数字之间的大小关系不能混淆。
2.         设置dmz接口IP
ip address dmz 10.0.200.1 255.255.255.0         #设置DMZ接口IP地址,设置好后可以按拓扑结构图测试从PIX上ping 10.0.200.2检查连通性。
3.         允许dmz区域的主机通过icmp数据包以及访问外网的80端口
access-list acl_dmz permit icmp any any             #允许DMZ主机访问外部网络icmp协议
4.         把acl_dmz规则邦定到dmz端口上使之生效
access-group acl_dmz in interface dmz               #应用策略到DMZ接口
5.         设置静态的因特网、局域网、dmz区的访问关系
static (dmz,outside) 218.104.XX.XX 10.0.200.2 netmask 255.255.255.255 0 0          #发布DMZ服务器到因特网
6.         允许outside区域访问dmz区域特定的某个端口
access-list 100 permit tcp any host 218.104.XX.XX eq www                    #设置策略允许因特网访问DMZ服务器80端口
三、基本测试方法及故障排除
1、  利用 ping/tracert命令测试
在10.0.200.2服务器上,ping 10.0.200.1 正常,ping <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.0.6.8 不通;
在10.0.6.8测试机上,ping 10.0.200.1 不通,ping 10.0.200.2不通,ping 10.0.1.254 正常;
问题:局域网与DMZ区不能正常通讯。
故障分析与排除:默认情况下,PIX防火墙的局域网接口可以访问DMZ接口,但DMZ接口不能访问局域网接口,在PIX上用命令show route可以看到有一条隐藏的到DMZ区域的静态路由存在,也就是说配置好DMZ后局域网就应该可以访问DMZ区域服务器(但DMZ接口是不允许ping的)。
但是为什么当前配置好DMZ后局域网测试机器不能正常访问DMZ区域的服务器呢?这里需要注意一点,在局域网访问DMZ的IP地址时,用命令tracert 10.0.200.2时发现局域网访问10.0.200.2的数据包从因特网口出去了!根本就没有发往DMZ接口。所以重新加一条命令:
access-list nonat permit ip 10.0.6.0 255.255.255.0 10.0.200.0 255.255.255.0
nat (inside) 0 access-list nonat
再用 ping/tracert命令测试结果如下:
在10.0.200.2服务器上,ping 10.0.200.1 正常,ping 10.0.6.8 不通;
在10.0.6.8测试机上,ping 10.0.200.1 不通,ping 10.0.200.2正常,ping 10.0.1.254 正常;
2、  因特网访问DMZ
用笔记本拨号上网,访问[url]http://218.104.XX.XX[/url] 显示正常,说明DMZ服务器发布成功。
3、  DMZ访问局域网
在10.0.200.2服务器上,利用远程桌面方式访问10.0.6.8(端口号被手工修改为9989,非标准端口3389), 访问超时。
问题:DMZ不能访问局域网
故障分析与排除:默认情况下DMZ区域是不能访问局域网网络的。但有些特殊情况:比如将WEB放在DMZ区,但是后台数据库放在了局域网。这样就必须使DMZ某些服务器可以访问局域网内特殊机器特殊端口。所以需要在PIX上更加策略以使DMZ可以访问局域网。
所以应该在策略上加一条命令:
access-list acl-DMZ permit tcp 10.0.200.0 255.255.255.0 host 10.0.6.8 eq 9989            #允许DMZ可以访问10.0.6.8的9989端口,经测试可以正常访问。
4、  DMZ不能访问因特网
在10.0.200.2的机器上,访问 [url]www.baidu.com[/url] 不能正常显示页面。
问题:DMZ不能正常访问因特网
故障分析与排除:DMZ原则上是不能访问因特网的,但是因为某些特殊情况比如邮件服务器放在DMZ时,则必须允许该服务器访问因特网的SMTP协议(25端口),所以还必须在DMZ接口上应用的策略上加一条命令:
access-list acl_dmz permit tcp 10.0.200.0 255.255.255.0 any eq 80          #允许DMZ访问外部网络tcp 80端口
access-list acl_dmz permit tcp 10.0.200.0 255.255.255.0 any eq 53          #允许DMZ访问外部网络tcp 53端口
access-list acl_dmz permit udp 10.0.200.0 255.255.255.0 any eq 53         #允许DMZ访问外部网络udp 53端口
加完这条命令后,测试访问 [url]www.baidu.com[/url] 仍然不能正常显示页面,问题依旧。
继续查找问题可能存在的问题,用命令ping 外网DNS发现可以正常ping通,再ping百度的IP地址发现也可以ping通,telnet 百度地址的80端口也正常,但就是打不开百度的页面,用其他网站测试结果相同。
这个问题研究了很久,没有得到很好的解决办法,后来跟我的经理一起讨论研究这个问题,他让我试一下网通的DNS看行不行。我把DMZ服务器的DNS修改成网通DNS后,发现可以正常访问百度首页,其他网站也正常打开。这个问题是经验问题,因为我们公司是网通链路,而我在DMZ服务器上设置的是电信的DNS(因为这个DNS我记得非常熟,所以基本上做测试都用它),而没有想到电信和网通在DNS服务器解析上有严格的保护措施,导致最终问题解决被推迟了很长时间。
以上是我这次在PIX 515E上做DMZ配置的一些心得和体会,测试过程不是很复杂,但是相对一些初次接触DMZ的新手来说值得一看,DMZ的原理都一样,只是每种设备的配置不相同而已。
 
在这里要感谢一位朋友:夕阳.流水, 在配置和排错过程中得到了她的大力帮助和支持,衷心的感谢她!HOHO~~

转载于:https://blog.51cto.com/cdmatong/38937

配置PIX515E DMZ的基本方法与故障排除相关推荐

  1. 如何对没有响应的 DNS 服务器进行故障排除?

    DNS代表域名服务器,它是一个数据库,可以找出域名并将其转换为系统可以理解和使用的IP地址.DNS服务器的作用是将在网址栏中输入的网址翻译成机器能够理解和定位的语言,并作为响应发送出去.DNS 将充当 ...

  2. linux服务返回500,Linux系统下的站点500内部服务器错误及故障排除500错误

    有时浏览网页时发生的最常见错误之一是看到"500 Internal Server Error(500内部服务器错误)",此消息表明Web服务器遇到技术问题.本文介绍500错误的含义 ...

  3. linux运行内部错误,介绍Linux系统下的500内部服务器错误及故障排除500错误

    在Linux系统下有时浏览网页时发生的最常见错误之一是看到"500 Internal Server Error(500内部服务器错误)",此消息表明Web服务器遇到技术问题.本文介 ...

  4. ibm邮箱连接不到服务器,IBM i 安全邮件配置和常见故障排除方法

    Body IBM i安全邮件配置和常见故障排除方法 简介:电子邮件是现在普遍使用的一种通信方式,为了提高通信过程中的安全并且保护邮件内容不被泄露,IBM i SMTP增加了对TLS的支持, 通过此技术 ...

  5. 网络故障排除连载之一:常用排除方法综述

    一.对网络管理人员的要求 目前互联网络技术.拓扑和应用的复杂性决定了网络管理人员必须: 1.确保网络稳定运行: 2.掌握故障排除方法: 3.熟悉各种协议可能故障点,迅速定位排除故障. 对协议要求有精深 ...

  6. hadoop小型集群_小型Hadoop集群的Ganglia配置和一些故障排除

    hadoop小型集群 Ganglia是一个针对大型集群的开源,可扩展且分布式的监视系统. 它收集,汇总并提供数十种与计算机相关的指标(例如CPU,内存,存储,网络使用情况)的时序视图. 您可以在UC ...

  7. 小型Hadoop集群的Ganglia配置和一些故障排除

    Ganglia是一个针对大型集群的开源,可扩展且分布式的监视系统. 它收集,汇总并提供数十种与计算机相关的指标(例如CPU,内存,存储,网络使用情况)的时序视图. 您可以在UC Berkeley Gr ...

  8. 工业以太网交换机常见故障排除的三种方法

    工业以太网交换机是组网中的重要设备,如果其出现问题将会影响到整个网络体系,局域网中的计算机往往都是连接到交换机设备上,并通过该设备进行相互交换.处理数据的,可以这样说,交换机工作状态的好坏会对局域网网 ...

  9. 【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法

    1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南. 3. 症状 单击症状链接转到相应的 ...

最新文章

  1. 简单图片浏览器的实现
  2. Android 编译时:m、mm、mmm、mma、mmma的区别
  3. java8 streams_使用Java 8 Streams进行编程对算法性能的影响
  4. sql的子查询超级慢-子查询酿的祸
  5. 通过预训练提升语言理解
  6. C语言(CED)判断一个数是否是2的整数幂的简便方法!
  7. php 制作ppt,PPT制作三个基本要素是什么?
  8. KMP算法、AC自动机算法的原理介绍以及Python实现
  9. IDEA 初次使用,记录心得
  10. 对是否要用Linux的思考
  11. php框架原理 php初识,初识PHP
  12. 二维数组指针表示,C语言指针引用二维数组详解
  13. No converter for [class xxx] with preset Content-Type ‘multipart/form-data’
  14. vscode Markdown TOC 插件生成目录去除autoauto
  15. oracle中的表别名怎么,Oracle 表别名
  16. 面阵相机行业研究分析报告
  17. vue 给静态资源增加路由前缀
  18. configure配置文件
  19. 高阶导数求法与非显形式函数的二阶导
  20. 江西伟人系列第一篇:千古名相(王安石)

热门文章

  1. OpenCV 错误级别分析ELA的实例(附完整代码)
  2. Qt Quick入门
  3. Qt Creator设置Conan
  4. Qt Creator设置一个Autotools项目
  5. C++Postfix Expression 后缀表达式的评估算法(附完整源码)
  6. QML基础类型之var
  7. linux ram 权限,我如何将Linux二进制文件限制为有限的RAM数量?
  8. html点击波,Material Design风格按钮点击波动画效果
  9. Java使用Tomcat数据源的方式
  10. CXF的Spring注解配置及使用