Router>en
Router#conft
Enterconfiguration commands, one per line. End with CNTL/Z.
Router(config)#access-list111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.2
Router(config)#class-maptype inspect match-all trust-dmz-http
Router(config-cmap)#matchaccess-group 111
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect trust-dmz
Router(config-pmap)#classtype inspect trust-dmz-http
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class trust-dmz-http for inspection. Allprotocols will be inspected
Router(config-pmap-c)#exit
Router(config)#access-list121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.2
Router(config)#class-maptype inspect match-all trust-notrust
Router(config-cmap)#matchaccess-group 121
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect trust-notrust
Router(config-pmap)#classtype inspect trust-notrust
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class trust-notrust for inspection. Allprotocols will be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#access-list131 permit tcp 192.1.2.0 0.0.0.255 host192.1.3.2
Router(config)#class-maptype inspect match-all dmz-notrust
Router(config-cmap)#matchaccess-group 131
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config)#policy-maptype inspect dmz-notrust
Router(config-pmap)#classtype inspect dmz-notrust
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class dmz-notrust for inspection. All protocolswill be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#access-list141 permit tcp 192.1.3.0 0.0.0.255 host192.1.2.2
Router(config)#class-maptype inspect match-all notrust-dmz
Router(config-cmap)#matchaccess-group 141
Router(config-cmap)#matchprotocol http
Router(config-cmap)#exit
Router(config-pmap)#policy-maptype inspect notrust-dmz
Router(config-pmap)#classtype inspect notrust-dmz
Router(config-pmap-c)#inspect
%Nospecific protocol configured in class notrust-dmz for inspection. All protocolswill be inspected
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#zonesecurity trust
Router(config-sec-zone)#exit
Router(config)#zonesecurity notrust
Router(config-sec-zone)#exit
Router(config)#zonesecurity dmz
Router(config-sec-zone)#exit
Router(config)#interfacefa 0/0
Router(config-if)#zone-membersecurity trust
Router(config-if)#exit
Router(config)#interfacefa 0/1
Router(config-if)#zone-membersecurity notrust
Router(config-if)#exit
Router(config)#interfacefa 1/0
Router(config-if)#zone-membersecurity dmz
Router(config-if)#exit
Router(config)#zone-pairsecurity trust-dmz source trust destination dmz
Router(config-sec-zone-pair)#service-policytype inspect trust-dmz
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity trust-notrust source trust destination notrust
Router(config-sec-zone-pair)#service-policytype inspect trust-notrust
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity notrust-dmz source notrust destination dmz
Router(config-sec-zone-pair)#service-policytype inspect notrust-dmz
Router(config-sec-zone-pair)#exit
Router(config)#zone-pairsecurity dmz-notrust source dmz destination notrust
Router(config-sec-zone-pair)#service-policytype inspect dmz-notrust
Router(config-sec-zone-pair)#exit
Router(config)#
DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火牆後外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位於企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡,因為這種網絡部署,比起一般的防火牆方案,對攻擊者來說又多了一道關卡。
網絡安全中首先定義的區域是trust區域和untrust區域,簡單說就是一個是內網(trust),是安全可信任的區域,一個是internet,是不安全不可信的區域。防火牆默認情況下是阻止對trust的訪問,當有服務器在trust區域的時候,一旦出現需要對外提供服務的時候就比較麻煩。
所以定義出一個DMZ的非軍事區域,讓trust和untrust都可以訪問的一個區域,即不是絕對的安全,也不是絕對的不安全,這就是設計DMZ區域的核心思想。