思科防火墙ASA5520配置

思科防火墙ASA5520配置：

目的：1、内网可以上网

 2、内网可以访问DMZ区域的服务器

 3、外网可以通过公网IP访问DMZ区域的服务器

 

要求：1、内网的网段192.168.10.0

 2、DMZ的网段192.168.5.0

 3、外网IP地址：200.200.200.82 200.200.200.83 网关255.255.255.248（这个地址一般是运营商提供）

 4、外网路由：200.200.200.81

 5、DMZ区域的服务器IP地址：192.168.5.2

 

步骤1：配置接口inside、outside和dmz

 

interface g0/0

speed auto

duplex auto

nameif inside 

Security-level 100

ip address 192.168.10.1 255.255.255.0

no shut

exit

 

 

 

interface g0/1

speed auto

duplex auto

nameif outside 

Security-level 0

ip address 200.200.200.82 255.255.255.248

no shut

exit

 

 

 

interface g0/2

speed auto

duplex auto

nameif dmz

Security-level 50

ip address 192.168.5.1 255.255.255.0

no shut

exit

 

 

步骤2、添加外网路由

route outside 0 0 200.200.200.81

 

步骤3、做nat转换，使得内网可以上网，同时内网可以访问dmz区域的服务器

nat-control nat (inside) 1 192.168.10.0 255.255.255.0 global (outside) 1 interface global (dmz) 1 interface

 

步骤4、做静态nat，将对外网IP的访问转换到dmz区域的服务器

static (dmz,outside) 200.200.200.83 192.168.5.2 netmask 255.255.255.255 dns

注意：这里的外网IP不是outside的接口地址，是另外一个公网IP

 

步骤5、配置ACL规则，允许外网访问DMZ服务器

access-list out_dmz extended permit tcp any host 200.200.200.83 eq www access-group out_dmz in interface outside

 

到此配置结束，正常情况下上面的要求都可以实现了，但是可能由于每个机房的环境不一样，结果会有一些错误。我在机房配置的时候，就遇到问题了，按照上述的配置，其他都好了，就是外网不能访问DMZ区域的服务器，我把配置打印出来看了N多遍都没发现问题，就这个问题折腾了我一个上午，最后发现是因为DMZ服务器有两块网卡，同时连接在不同的子网里面，我把其中一个网线拔掉，外网就可以访问DMZ服务器了。

 

因此，在配置的过程中，如果确认自己的配置没有问题的时候，就需要考虑到机房环境了，比如有没有爽网卡，服务器的网关有没有设置等等。