外部 DMZ

外部DMZ方案可能 是被接受的和廣泛配置的實施。外部DMZ通過使用防火墻的一 個或更多接口實現(xiàn)，如顯示下面的圖。

圖4：外部DMZ

正如在早先案例分析，第一配置步 驟在達到包括隔離在L2通過PVLANs，并且確定DMZ 服務(wù)器不能彼此 談當內(nèi)部和外部主機能訪問他們時。這在輔助VLAN通過設(shè)置 服務(wù)器實現(xiàn)與隔離的端口。在主VLAN應(yīng)該定義防火墻與一個 混亂端口。防火墻將是唯一的設(shè)備在此主VLAN之內(nèi)。

第二步將定義ACLs控制于DMZ發(fā)起的 數(shù)據(jù)流。當定義這ACLs時我們需要確定僅必要的數(shù)據(jù)流允許 。

測試外 部DMZ

下面的鏡象顯示 為此案例分析實現(xiàn)的試驗床，我們其中使用了一個PIX防火墻與第三 個接口為DMZ。同一個這一組路由器使用作為網(wǎng)絡(luò)服務(wù)器，并 且所有HTTP會話用同一個RADIUS服務(wù)器驗證。

圖5：外部DMZ試驗床

為此方案因為 PVLANs和VACL配置在早先案例分析中，詳細解釋了我們附有僅更加 有趣的摘要從配置文件。

PIX配置
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
ip address outside 198.5.6.10 255.255.255.0
ip address inside 172.16.65.201 255.255.255.240
ip address dmz 199.5.6.10 255.255.255.0
global (outside) 1 198.5.6.11
global (dmz) 1 199.5.6.11
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (dmz,outside) 199.5.6.199 199.5.6.199 netmask 255.255.255.255 0 0
static (dmz,outside) 199.5.6.202 199.5.6.202 netmask 255.255.255.255 0 0
static (inside,dmz) 172.16.171.9 172.16.171.9 netmask 255.255.255.255 0 0
static (inside,dmz) 171.68.10.70 171.68.10.70 netmask 255.255.255.255 0 0
static (inside,dmz) 171.69.0.0 171.69.0.0 netmask 255.255.0.0 0 0
conduit permit tcp host 199.5.6.199 eq www any
conduit permit tcp host 199.5.6.202 eq www any
conduit permit udp any eq domain any
conduit permit icmp any any echo-reply
conduit permit icmp any any unreachable
conduit permit udp host 172.16.171.9 eq 1645 host 199.5.6.199
conduit permit udp host 172.16.171.9 eq 1646 host 199.5.6.199
conduit permit udp host 172.16.171.9 eq 1646 host 199.5.6.202
conduit permit udp host 172.16.171.9 eq 1645 host 199.5.6.202
conduit permit icmp any host 199.5.6.199 echo
conduit permit icmp any host 199.5.6.202 echo
route outside 0.0.0.0 0.0.0.0 198.5.6.1 1
route inside 171.69.0.0 255.255.0.0 172.16.65.193 1
route inside 171.68.0.0 255.255.0.0 172.16.65.193 1
route inside 172.16.0.0 255.255.0.0 172.16.65.193 1

RADIUS配置

NAS配置
aaa new-model
aaa authentication login default radius local
aaa authentication login consoleauth none
aaa authorization exec default radius local
aaa authorization exec consoleautho none
aaa accounting exec default start-stop radius
aaa accounting exec consoleacct none
radius-server host 172.16.171.9 auth-port 1645 acct-port 1646
radius-server key cisco123
!
line con 0
exec-timeout 0 0
password ww
authorization exec consoleautho
accounting exec consoleacct
login authentication consoleauth
transport input none
line aux 0
line vty 0 4
password ww
!
end

RADIUS服務(wù)器 CSUX

User Profile Information
 user = martin{
 profile_id = 151
 profile_cycle = 5
 radius=Cisco {
 check_items= {
 2=cisco
 }
 reply_attributes= {
 6=6
 }
 }
 }
 User Profile Information
 user = NAS.172.16.65.199{
 profile_id = 83
 profile_cycle = 2
 NASName="172.16.65.199"
 SharedSecret="cisco123"
 RadiusVendor="Cisco"
 Dictionary="DICTIONARY.Cisco"
 }
 

Catalyst配置

應(yīng)該注意它在此配置沒有需要配置VACL 在主VLAN因 為PIX不重定向來自的數(shù)據(jù)流在同一個接口外面。VACL作為 在VACL配置 描述的 那個 在主VLAN 部分冗余。
set security acl ip dmz_servers_out
---------------------------------------------------
1. deny icmp any any fragment
2. permit icmp host 199.5.6.199 any echo
3. permit icmp host 199.5.6.202 any echo
4. permit tcp host 199.5.6.199 eq 80 any established
5. permit tcp host 199.5.6.202 eq 80 any established
6. permit udp host 199.5.6.199 eq 1645 host 172.16.171.9 eq 1645
7. permit udp host 199.5.6.202 eq 1645 host 172.16.171.9 eq 1645
8. permit udp host 199.5.6.199 eq 1646 host 172.16.171.9 eq 1646
9. permit udp host 199.5.6.202 eq 1646 host 172.16.171.9 eq 1646
10. permit udp host 199.5.6.199 any eq 53
11. permit udp host 199.5.6.202 any eq 53
ecomm-6500-2 (enable) sh pvlan
Primary Secondary Secondary-Type Ports
------- --------- ---------------- ------------
41 42 isolated 3/9-10
ecomm-6500-2 (enable) sh pvlan mapping
Port Primary Secondary
---- ------- ---------
3/14 41 42
3/34 41 42
3/35 41 42
ecomm-6500-2 (enable) sh port
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/9 server_dmz1 connected 41,42 a-half a-10 10/100BaseTX
3/10 server_dmz2 connected 41,42 a-half a-10 10/100BaseTX
3/14 to_pix_port_2 connected 41 full 100 10/100BaseTX
3/35 external_router_dm notconnect 41 auto auto 10/100BaseTX