全方位讲解硬件防火墙的选择(7)

　　图6

　　子网表示一段连续的IP地址。可以作为策略的源或目的，还可以作为NAT的地址池使用。如果子网段中有已经被其他部门使用的IP，为了避免使用三个子网来描述技术部使用的IP地址，可以将这两个被其他部门占用的地址在例外地址中说明。

　　图7

　　为了配置访问策略，先定义特殊的节点与子网：

　　FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

　　HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

　　MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

　　V_SERVER：代表外网访问的虚拟服务器，区域=Internet，IP=防火墙IP地址。

　　inside：表示内网上的所有机器，区域=Intranet，起始地址=0.0.0.0，结束地址=255.255.255.255。

　　outside：表示外网上的所有机器，区域=Internet，起始地址=0.0.0.0，结束地址=255.255.255.255。

　　（3）配置访问策略

　　在DMZ区域中增加三条访问策略：

　　A、访问目的=FTP_SERVER，目的端口=TCP 21。源=inside，访问权限=读、写。源=outside，访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。

　　B、访问目的=HTTP_SERVER，目的端口=TCP 80。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。

　　C、访问目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。

　　（4）通信策略

　　由于内网的机器没有合法的IP地址，它们访问外网需要进行地址转换。当内部机器访问外部机器时，可以将其地址转换为防火墙的地址，也可以转换成某个地址池中的地址。增加一条通信策略，目的=outside，源=inside，方式= NAT，目的端口=所有端口。如果需要转换成某个地址池中的地址，则必须先在Internet中定义一个子网，地址范围就是地址池的范围，然后在通信策略中选择NAT方式，在地址池类型中选择刚才定义的地址池。