小编joe*_*izy的帖子

我正在使用需要从 Internet 访问的机器建立网络。我计划将这些放在 DMZ 中。DMZ 中的一些机器需要访问私有网络上的机器，而私有网络上的机器需要访问 DMZ 中的机器。

我读过最安全的实现是带有两个防火墙的实现。我计划使用的两个防火墙都是 CISCO ASA 5500。

虽然我对如何使用这些特定设备实现这一点很感兴趣，但我对理论方面也很感兴趣，因为我正在为我们公司的客户创建有关如何设置的文档。特定于我使用的设备的说明帮助，但我也想知道如何一般地解决这个问题。

我有三台特定的机器：

• DMZ_Web
• DMZ_服务
• INT_SRV

顾名思义，DMZ_Web 和 DMZ_Service 位于 DMZ 中，INT_SRV 是内部服务器。

我也有两个防火墙：

• FW1
• FW2

简而言之：

• Ext 客户端需要在端口 443 上访问 DMZ_Web
• Ext 客户端需要访问端口 3030 上的 DMZ_Service
• DMZ_Web 需要在端口 2020 上访问 INT_SRV
• 在客户端需要访问端口 3030 上的 DMZ_Service

联网：

• FW1连接互联网、DMZ和内部网络
• FW2连接DMZ网络（外部接口），内部网络（内部接口）
• 内部网络是 192.168.1.0 255.255.0.0
• DMZ 网络是 192.169.1.0 255.255.0.0
• DMZ 机器有两个 NIC，一个连接到 FW1，一个连接到 FW2。连接到 FW2 的 NIC 具有 192.169.1.0 范围内的静态 IP。连接到 FW1 的 NIC 具有可从 Internet 公开访问的静态 IP。

下面链接的是一张图，我希望它能回答很多关于拓扑的问题。

我发现我可能需要设置一些静态 NAT 规则才能将流量从 …