一、基本環境 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

?

當前公司有PIX 515E防火墻一臺（三個接口），服務器若干。要求將服務器遷移至DMZ區域并確保服務器正常工作，簡略拓撲結構圖如下所示： ? 二、配置DMZ基本命令

?

1.???????? 分別定義outside、inside、dmz的安全級別 nameif ethernet0 outside security0?????????????? #定義E0口為非信任端口，security0代表此端口安全級別最低 nameif ethernet1 inside security100???????????? #定義E1口為信任端口，security100代表此端口安全級別最高 nameif ethernet2 dmz security50???????????????? #定義E2口為DMZ端口，security50代表此端口安全級別介于信任與非信任端口之間 這里的數字0、50、100可自行調整，但需要注意數字之間的大小關系不能混淆。

?

?

2.???????? 設置dmz接口IP ip address dmz 10.0.200.1 255.255.255.0???????? #設置DMZ接口IP地址，設置好后可以按拓撲結構圖測試從PIX上ping 10.0.200.2檢查連通性。

?

3.???????? 允許dmz區域的主機通過icmp數據包以及訪問外網的80端口 access-list acl_dmz permit icmp any any???????????? #允許DMZ主機訪問外部網絡icmp協議

?

4.???????? 把acl_dmz規則邦定到dmz端口上使之生效 access-group acl_dmz in interface dmz?????????????? #應用策略到DMZ接口

?

5.???????? 設置靜態的因特網、局域網、dmz區的訪問關系 static (dmz,outside) 218.104.XX.XX 10.0.200.2 netmask 255.255.255.255 0 0????????? #發布DMZ服務器到因特網

?

6.???????? 允許outside區域訪問dmz區域特定的某個端口 access-list 100 permit tcp any host 218.104.XX.XX eq www ?????????????????? #設置策略允許因特網訪問DMZ服務器80端口

?

?

三、基本測試方法及故障排除

?

1、? 利用?ping/tracert命令測試 在10.0.200.2服務器上，ping 10.0.200.1 正常，ping <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.0.6.8 不通； 在10.0.6.8測試機上，ping 10.0.200.1 不通，ping 10.0.200.2不通，ping 10.0.1.254 正常；

?

問題：局域網與DMZ區不能正常通訊。

?

故障分析與排除：默認情況下，PIX防火墻的局域網接口可以訪問DMZ接口，但DMZ接口不能訪問局域網接口，在PIX上用命令show route可以看到有一條隱藏的到DMZ區域的靜態路由存在，也就是說配置好DMZ后局域網就應該可以訪問DMZ區域服務器（但DMZ接口是不允許ping的）。 但是為什么當前配置好DMZ后局域網測試機器不能正常訪問DMZ區域的服務器呢？這里需要注意一點，在局域網訪問DMZ的IP地址時，用命令tracert 10.0.200.2時發現局域網訪問10.0.200.2的數據包從因特網口出去了！根本就沒有發往DMZ接口。所以重新加一條命令： access-list nonat permit ip 10.0.6.0 255.255.255.0 10.0.200.0 255.255.255.0 nat (inside) 0 access-list nonat 再用 ping/tracert命令測試結果如下： 在10.0.200.2服務器上，ping 10.0.200.1 正常，ping 10.0.6.8 不通； 在10.0.6.8測試機上，ping 10.0.200.1 不通，ping 10.0.200.2正常，ping 10.0.1.254 正常；

?

2、? 因特網訪問DMZ 用筆記本撥號上網，訪問[url]http://218.104.XX.XX[/url] 顯示正常，說明DMZ服務器發布成功。

?

3、? DMZ訪問局域網 在10.0.200.2服務器上，利用遠程桌面方式訪問10.0.6.8（端口號被手工修改為9989，非標準端口3389）， 訪問超時。

?

問題：DMZ不能訪問局域網

?

故障分析與排除：默認情況下DMZ區域是不能訪問局域網網絡的。但有些特殊情況：比如將WEB放在DMZ區，但是后臺數據庫放在了局域網。這樣就必須使DMZ某些服務器可以訪問局域網內特殊機器特殊端口。所以需要在PIX上更加策略以使DMZ可以訪問局域網。 所以應該在策略上加一條命令： access-list acl-DMZ permit tcp 10.0.200.0 255.255.255.0 host 10.0.6.8 eq 9989???? ?????? #允許DMZ可以訪問10.0.6.8的9989端口，經測試可以正常訪問。

?

?

4、? DMZ不能訪問因特網 在10.0.200.2的機器上，訪問 [url]www.baidu.com[/url] 不能正常顯示頁面。

?

問題：DMZ不能正常訪問因特網

?

故障分析與排除：DMZ原則上是不能訪問因特網的，但是因為某些特殊情況比如郵件服務器放在DMZ時，則必須允許該服務器訪問因特網的SMTP協議（25端口），所以還必須在DMZ接口上應用的策略上加一條命令： access-list acl_dmz permit tcp 10.0.200.0 255.255.255.0 any eq 80????????? #允許DMZ訪問外部網絡tcp 80端口 access-list acl_dmz permit tcp 10.0.200.0 255.255.255.0 any eq 53????????? #允許DMZ訪問外部網絡tcp 53端口 access-list acl_dmz permit udp 10.0.200.0 255.255.255.0 any eq 53???????? #允許DMZ訪問外部網絡udp 53端口 加完這條命令后，測試訪問 [url]www.baidu.com[/url] 仍然不能正常顯示頁面，問題依舊。 繼續查找問題可能存在的問題，用命令ping 外網DNS發現可以正常ping通，再ping百度的IP地址發現也可以ping通，telnet 百度地址的80端口也正常，但就是打不開百度的頁面，用其他網站測試結果相同。

?

這個問題研究了很久，沒有得到很好的解決辦法，后來跟我的經理一起討論研究這個問題，他讓我試一下網通的DNS看行不行。我把DMZ服務器的DNS修改成網通DNS后，發現可以正常訪問百度首頁，其他網站也正常打開。這個問題是經驗問題，因為我們公司是網通鏈路，而我在DMZ服務器上設置的是電信的DNS（因為這個DNS我記得非常熟，所以基本上做測試都用它），而沒有想到電信和網通在DNS服務器解析上有嚴格的保護措施，導致最終問題解決被推遲了很長時間。

?

?

以上是我這次在PIX 515E上做DMZ配置的一些心得和體會，測試過程不是很復雜，但是相對一些初次接觸DMZ的新手來說值得一看，DMZ的原理都一樣，只是每種設備的配置不相同而已。 ? 在這里要感謝一位朋友:夕陽.流水, 在配置和排錯過程中得到了她的大力幫助和支持,衷心的感謝她!HOHO~~

轉載于:https://blog.51cto.com/cdmatong/38937

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的配置PIX515E DMZ的基本方法与故障排除的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。