網絡拓撲:
如上圖所示,防火牆分為external/internal/dmz三個安全zone,其中10.133.1.100/32為dmz區的一台squid緩存服務器,10.158.1.10/32,10.158.1.20/32為兩台internal內部的web服務器,在防火牆的external口上將10.133.1.100/32的80端口映射給10.10.1.50/32,則外部的客戶端就可以通過10.10.1.50/32的80端口訪問業務了。
策略配置如下圖:
如上圖,DMZ區的10.133.1.100/32的squid服務器可以訪問internal區的10.158.1.10/32和10.158.1.20/32兩台主機的80端口,但是10.158.1.10/32和10.158.1.20/32卻不能主動發起對10.133.1.100/32的訪問。故在配置防火牆策略的過程中應該謹慎配置雙向的互訪策略,除非有需求,單向的訪問控制在一定的程度上可以避免一些內部反向連接和下載類的病毒和木馬。
客戶端瀏覽器訪問如下:
看squid服務器訪問日志,如下:
在internal內部的服務器10.158.1.10/32看日志:
