前面二節我們討論了在防火墻網絡中，內網用戶訪問DMZ區域的服務器，以及內網用戶訪問互聯網的配置；

當然了我們架設服務器的目的不僅是服務于內部用戶，有時我們在外部也需要訪問內部服務器，同時我們提供WEB服務為其他所有的用戶。

今天我們就說說如何為外部用戶提供服務。

如上圖，互聯網用戶PC2如何才能訪問DMZ區域的Server1呢？

一、配置DMZ訪問互聯網UnTrust區域

[FW1]nat-policy interzone dmz untrust outbound

[FW1-nat-policy-interzone-dmz-untrust-outbound]policy 20

[FW1-nat-policy-interzone-dmz-untrust-outbound-20]action source-nat

[FW1-nat-policy-interzone-dmz-untrust-outbound-20]address-group 1

[FW1-nat-policy-interzone-dmz-untrust-outbound-20]q

[FW1-nat-policy-interzone-dmz-untrust-outbound]q

[FW1]policy interzone dmz untrust outbound

[FW1-policy-interzone-dmz-untrust-outbound]policy 15

[FW1-policy-interzone-dmz-untrust-outbound-15]action permit

[FW1-policy-interzone-dmz-untrust-outbound-15]q

[FW1-policy-interzone-dmz-untrust-outbound]q

測試

查看NAT轉換信息

二、配置公網PC2訪問DMZ內服務器

配置靜態NAT，實現內網服務器的發布；

[FW1]nat server global 10.1.1.22 inside 192.168.80.10

下列命令，將內部服務器的80端口映射到公網地址80端口上。

[FW1]nat server zone untrust protocol tcp global 10.1.1.22 80 inside 192.168.80.10 80

再配置Untrust區域訪問DMZ的包過濾；

[FW1]policy interzone untrust dmz inbound

[FW1-policy-interzone-dmz-untrust-inbound]policy 20

[FW1-policy-interzone-dmz-untrust-inbound-20]policy source 100.1.1.2 0

//本命令表示只允許100.1.1.2主機訪問服務器，一般不配置，或者配置成policy source any

[FW1-policy-interzone-dmz-untrust-inbound-20]policy destination 192.168.80.10 0

[FW1-policy-interzone-dmz-untrust-inbound-20]policy service service-set http

[FW1-policy-interzone-dmz-untrust-inbound-20]policy service service-set ftp

[FW1-policy-interzone-dmz-untrust-inbound-20]action permit

[FW1-policy-interzone-dmz-untrust-inbound-20]policy service service-set icmp