飞塔防火墙对DMZ区的web服务器的保护设置

      如何保护web服务器来自内部专有网络与互联网访问的安全。
      该方案是通过以下的方法来保护web服务器的访问的：
      在一个DMZ（demilitarized zone）中安装web服务器，将内网与互联网隔离，那么面对互联网就是web服务器。将DMZ网络连接到一个飞塔防火墙设备接口（DMZ接口或任何其他可用的接口）。创建一条包括有UTM保护项的目的地NAT（DNAT）安全策略，且允许互联网中的用户访问web服务器。
      创建一条路由模式安全策略，允许内网中的用户访问web服务器。当你设置将多重网络连接到飞塔防火墙设备，你可能希望添加接口别名，能够区分与网络接口的不同接口的功能。你可以进入  系统管理>网络>接口，编辑接口并在 别名 字段添加描述的文字，那么在基于web的管理器中的大多数界面都以接口的别名显示。
将网络连接到 飞塔防火墙 设备并配置 IP 设置
     1.将DMZ网络连接到飞塔防火墙设备DMZ接口、内部网络连接到内部接口、互联网与wan1接口连接（或任何其他可用接口）。
     2.进入   系统管理>网络>接口。
     3.编辑dmz接口：
     4.编辑内部接口：
     5.编辑wan1接口：
     6.进入  路由>静态>静态路由，并编辑默认的路由如下：
     7.进入   系统管理>网络>DNS，且添加主次DNS服务器。
     8.配置web服务器的IP网络设置。
      如果web服务器没有正确的默认网关，其回复的数据包便不能到达DMZ接口，web服务器也会显示为无响应。
创建 DNAT 安全策略允许互联网到 web 服务器的会话访问
      通过创建防火墙虚拟IP（VIP）配置DNAT（端口转发），将web服务器的互联网地址（172.20.120.123）映射为DMZ网络中web服务器的实际IP地址（10.10.10.23）。然后将该VIP添加到一条安全策略，允许互联网中的用户通过飞塔防火墙设备访问DMZ网络中的web服务器在互联网中的IP地址（本实例中应是172.20.120.123）。
      1.  进入  Firewall Objects>虚拟IP>虚拟IP  并点击  新建   添加新的虚拟IP并做以下设置：
      2.进入Policy>策略>策略，并点击“新建”添加以下安全策略，允许互联网用户连接到DMZ网络中的web服务器。
      3.在  服务  旁边，  点击  多重   并添加   HTTP与HTTPS到  成员列表。
      4.设置  动作  为  接受。
      5.点击  UTM选项  并选中启动反病毒  ，启动应用控制  与  启动IPS。
      6.点击OK保存安全策略设置。





    本文由:飞塔UTM于(2013-05-21)发表了关于飞塔防火墙对DMZ区的web服务器的保护设置的文章 。如转载请注明出处：http://www.cdcy-mail.com

如果您对此感兴趣,可以通过以下联系方式与我们联系：

成都区销售    重庆区销售    云贵区销售    华南区销售 华北区销售 华东区销售

华为企业邮箱销售热线：400-0828-083