安全网关技术是使用一台主机将机构内部网络与外部公共网络分开，在主机中安装专用软件处理交换信息，既保证了机构内部网络对公共网络的信息发布、信息交换和信息查询不受影响，又可对来自公共网络的非法攻击和干扰信息进行有效的阻断，实现网络安全。本文的配置示例引自Cisco PIX Version 4.2和MS DNS Server。

安全网关的策略和配置方法
具有中心路由交换设备和三台服务器：DNServer、WebServer和E-mailServer。
注册IP地址资源：222.222.222.*
保留IP地址资源：172.16.*.*
1.指定物理端口的安全度
nameif ethernet0 outside security0
nameif ethernet1 inside security100
ethernet0连接公共网络，ethernet1连接机构内部网。
2.设置端口IP地址和掩码
ip address outside 222.222.222.2 255.255.255.0
ip address inside 172.16.1.1 255.255.255.0
3.设置端口路由
route outside 0.0.0.0 0.0.0.0 222.222.222.1 1
route inside 172.16.0.0 255.255.0.0 172.16.1.2 1
由于安全网关的端口分属不同的逻辑网，必须分别设置路由。
4.设置注册地址池、TCP超荷，内网地址转换范围
global (outside) 1 222.222.222.81-222.222.222.95
global (outside) 1 222.222.222.80
nat (inside) 1 172.16.0.0 255.255.0.0 0 0
内网的合法信息包通过安全网关时源地址置换成地址池内的某个注册地址后向前转发。
至此内部网络的合法主机已经可以顺利访问公共网络了，而公共网络的任何信息均无法进入内部网络。非常安全，但还不能满足需要，至少三台服务器必须接受公共网络的访问。
5.定义服务器名称和内部地址，映射注册地址，设置相应的TCP通道
name 172.16.2.3 WebServer
name 172.16.2.4 E-mailServer
name 172.16.2.5 DNServer
static (inside,outside) 222.222.222.10 WebServer netmask 255.255.255.255
static (inside,outside) 222.222.222.11 E-mailServer netmask 255.255.255.255
static (inside,outside) 222.222.222.12 DNServer netmask 255.255.255.255
conduit permit tcp host 222.222.222.10 eq 80 any
conduit permit tcp host 222.222.222.12 eq 53 any
conduit permit tcp host 222.222.222.11 eq 25 any
conduit permit tcp host 222.222.222.11 eq 110 any
主页服务器的内部地址是172.16.2.3,注册地址是222.222.222.10，开放TCP端口是80。
域名服务器的内部地址是172.16.2.5,注册地址是222.222.222.12，开放 TCP端口是53。
邮件服务器的内部地址是172.16.2.4,注册地址是222.222.222.11，开放TCP端口是25和110。
服务器的其他TCP端口仍然是封闭的，公共网络可以安全访问了。
6.开放icmp协议，指定内部telnet地址
conduit permit icmp any any
Telnet 172.16.2.10 255.255.255.255
可以使用ping命令检查网络情况，使用地址为172.16.2.10的主机使用telnet配置安全网关。
完成上述策略的配置，安全网关的基本功能已经具备，但机构内部的用户很快会发现使用并不方便，这正是我们下面要解决的问题。

相关设备配置的调整
机构内部网络的用户怎么查询自己的主页呢？肯定不能使用域名，只能通过IP地址实现查询，如果主页是虚机方式将无法查询。邮件服务器使用存在同样的问题。这是因为域名系统对每个主机名指定一个IP地址，主页对公共网络开放只能将www.enterprise.com 解释为222.222.222.10，而这个地址注在安全网关上，机构内部的数据包被送到安全网关后将不能再返回内网（递归效应），当然就无法查询了。解决这个问题需要对域名服务器的配置进行调整，有两个方法可供参考：
⒈设置一个新域
在域名服务器172.16.2.5上增设一个新内部域名enterprise 供内部查询使用，该域名无须注册，新域名指向内部地址。对照显示如下：
注册域名enterprise.com清单
enterprise.com      NS         ns.enterprise.com
enterprise.com        NS         sns.enterprise.com
enterprise.com       NS         gw4001
enterprise.com      SOA        gw4001., Administrator.
enterprise.com         MX        [10] mail.enterprise.com
www             A          222.222.222.10
mail                A          222.222.222.11
新内部域名enterprise清单
enterprise             NS          ns.enterprise
enterprise             NS          sns.enterprise
enterprise             NS          gw4001
enterprise            SOA         gw4001., Administrator.
www              A          172.16.2.3
mail                 A          172.16.2.4
机构内部网络的用户使用www.enterprise查询主页，在邮箱配置的SMTP和POP3服务器栏填写mail.enterprise方可正常使用。这种方式的缺点是内外使用两套域名为网络用户尤其是移动网络用户的使用带来不便。
⒉增加一台内部域名服务器
增加一台内部域名服务器172.16.2.6,也可在现有其他服务器上安装,具有域名解析功能,设置如下:
enterprise.com       NS         ns.enterprise.com
enterprise.com       NS         sns.enterprise.com
enterprise.com        NS        gw4002
enterprise.com      SOA         gw4002., Administrator.
enterprise.com        MX       [10] mail.enterprise.com
www              A          172.16.2.3
mail              A     172.16.2.4
机构内部网络的用户使用该服务器基本上没有什么不便,缺点是多了一台服务器给配置管理带来麻烦,特别是当域名服务器管理的域名较多时必须认真协调内外两台域名服务器之间的关系，才能实现理想的网络运行。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=1069&categ_code=10151002