为了配置访问策略，先定义特殊的节点与子网：

FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。

V_SERVER：代表外网访问的虚拟服务器，区域=Internet，IP=防火墙IP地址。

inside：表示内网上的所有机器，区域=Intranet，起始地址=0.0.0.0，结束地址=255.255.255.255。

outside：表示外网上的所有机器，区域=Internet，起始地址=0.0.0.0，结束地址=255.255.255.255。

（3）配置访问策略

在DMZ区域中增加三条访问策略：

A、访问目的=FTP_SERVER，目的端口=TCP 21。源=inside，访问权限=读、写。源=outside，访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。

B、访问目的=HTTP_SERVER，目的端口=TCP 80。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。

C、访问目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。源=inside+outside，访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。

（4）通信策略

由于内网的机器没有合法的IP地址，它们访问外网需要进行地址转换。当内部机器访问外部机器时，可以将其地址转换为防火墙的地址，也可以转换成某个地址池中的地址。增加一条通信策略，目的=outside，源=inside，方式= NAT，目的端口=所有端口。如果需要转换成某个地址池中的地址，则必须先在Internet中定义一个子网，地址范围就是地址池的范围，然后在通信策略中选择NAT方式，在地址池类型中选择刚才定义的地址池。

服务器也没有合法的IP地址，必须依靠防火墙做地址映射来提供对外服务。增加通信策略。

A、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射21->21，目标机器=FTP_SERVER。

B、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射80->80，目标机器=HTTP_SERVER。

C、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射25->25，目标机器=MAIL_SERVER。

D、目的=V_SERVER，源=outside，通信方式=MAP，指定协议=TCP，端口映射110->110，目标机器=MAIL_SERVER。

（5）特殊端口

在防火墙默认的端口定义中没有我们所要用到的特殊端口，就需要我们手工的添加这些特殊端口了。在防火墙集中管理器中选择"高级管理">"特殊对象">"特殊端口"，将弹出特殊端口的定义界面，点"定义新对象"，输入特殊端口号与定义区域即可。

（6）其他配置

最后进入"工具"选项，定义防火墙的管理员、权限以及与IDS的联动等。（图8）

图8

　　四、防火墙对比

在了解了防火墙的工作原理及基本配置之后，下面给大家介绍一下NetScreen 208、Cisco PIX 515E、NGFW 4000-S、NetEye 4032这四款市场上最常见的硬件防火墙在基本性能、操作管理与市场价格上的比较。