某公司防火墙配置-2

好的，接着昨天的配置，我们需要发布公司的服务器供internet上的用户访问，拓扑图如下：

由于为了防止病毒***，我们不能放开untrust区域和dmz区域之间的策略：

[SRG]display firewall packet-filter default all

状态为deny。

接下来我们来做一些策略让internet上的用户可以访问服务器上的http、ping通、ftp

首先先创建一个服务集toserver：

[SRG]ip service-set toserver type object

然后把icmp、www（80）、ftp（21）放入服务集中：

[SRG-object-service-set-toserver]service 0 protocol icmp

[SRG-object-service-set-toserver]service 1 protocol tcp destination-port 80

[SRG-object-service-set-toserver]service 2 protocol tcp destination-port 21

接着我们开启策略：

[SRG]policy interzone untrust dmz inbound

[SRG-policy-interzone-dmz-untrust-inbound]policy 10

[SRG-policy-interzone-dmz-untrust-inbound-10]policy service service-set toserver

[SRG-policy-interzone-dmz-untrust-inbound-10]policy destination 10.1.3.10 0

[SRG-policy-interzone-dmz-untrust-inbound-10]action permit

接着我们配置服务器：

最后我们验证一下：

1、用untrust区域中的client9ping服务器地址：

2、访问服务器的http的功能：

由于ftp有双通道概念，防火墙默认是关闭双通道的所以我们要开启ftp双通道：

[SRG]firewall interzone untrust dmz

[SRG-interzone-dmz-untrust]detect ftp

然后验证ftp：

如果不开启双通道模式是无法访问ftp的，大家可以验证一下。