DMZ区域配置.doc

深圳银兴科技开发有限公司 Johnson 一、 网络拓扑图： DMZ 二、 DMZ区域的配置步骤： 由于watchguard的接口都是自定义口，所以在选择DMZ区域时可以随便定义一个接口为DMZ接口，具体配置步骤如下： 在网络下选择“配置” 然后选择需要配置成DMZ的接口，点击“配置”（如：配置接口2在DMZ接口） 为接口重命名为DMZ，接口类型选择可信任，然后IP地址输入服务器区的IP地址段内的IP（一般DMZ区域的IP与内外IP是不同网段的，方便做策略）。 单击确定后，就可以配置DMZ与内网、外网之间的访问策略。 首先在内网中，默认防火墙接口中两个不同网段的接口是不能互相访问的，所以需要建立一条互访的策略 建立一条“any”策略，源设置为内网，目的去往DMZ区域 点击确定后再建一条DMZ可以访问内部局域网IP，源设为DMZ区域的IP段，目的去往内网。 建立完两条访问策略后，DMZ可以跟内网用户互访。 实际情况按照公司需求而定，可以配置某些用户可以访问DMZ区域服务器，或是访问DMZ时启用IPS、防病毒、防垃圾邮件等功能（具体配置步骤详看XTM服务配置步骤）。 外部网访问DMZ也可以启用IPS、防病毒、防垃圾邮件等功能，也可以做NAT发布内部DMZ服务器。如：发布内部FTP服务器 首先添加一条FTP服务器 在源地址点击“添加”，改为所有外网，目的添加一个NAT 外部IP选择防火墙公网IP，内部IP地址设为DMZ中的FTP服务器IP地址 点击确定后便可发布 配置完后外网用户便可通过公网IP地址访问内网DMZ服务中的FTP服务器 发布其他DMZ服务中的服务器跟发布FTP服务器一样。 地址：广州市环市东路368号花园酒店东座737室 邮编：510064 电话：+86020-8365 2882 售后服务热线：+86020-8365 2882 www.macro-