内网接口

interface GigabitEthernet0/0/1
ip address 192.168.100.1 255.255.255.0
quit
firewall zone trust
add interface GigabitEthernet0/0/1

DMZ接口（连接服务器区）

interface GigabitEthernet0/0/0
ip address 100.1.1.24 255.255.255.0
quit
firewall zone dmz
add interface GigabitEthernet0/0/0

外网接口（假设GE0/0/2）

interface GigabitEthernet0/0/2
ip address 203.0.113.1 255.255.255.0 # 公网IP示例
quit
firewall zone untrust
add interface GigabitEthernet0/0/2

默认路由指向外网网关

ip route-static 0.0.0.0 0.0.0.0 203.0.113.254

security-policy

策略1：允许内网用户访问外网（上网）

rule name trust_to_untrust
source-zone trust
destination-zone untrust
action permit

策略2：允许内网用户访问DMZ服务器

rule name trust_to_dmz
source-zone trust
destination-zone dmz
action permit

策略3：允许外网用户访问DMZ服务器（如Web、FTP）

rule name untrust_to_dmz
source-zone untrust
destination-zone dmz
action permit

策略4：禁止外网访问内网（默认已隐含，但可显式配置）

rule name deny_untrust_to_trust
source-zone untrust
destination-zone trust
action deny

策略5：禁止DMZ服务器主动访问内网（防止服务器被攻破后横向渗透）

rule name deny_dmz_to_trust
source-zone dmz
destination-zone trust
action deny

配置NAT地址池（使用外网接口IP做Easy-IP）

nat-policy
rule name trust_to_untrust_nat
source-zone trust
destination-zone untrust
source-address 192.168.100.0 mask 255.255.255.0
action source-nat easy-ip

映射Web服务（80端口）

nat server web_server protocol tcp global 203.0.113.1 80 inside 100.1.1.20 80

映射FTP服务（21端口，需配合ASPF）

nat server ftp_server protocol tcp global 203.0.113.1 21 inside 100.1.1.30 21
firewall detect ftp # 解决FTP多通道问题

验证与调试：
内网PC ping 外网IP（如8.8.8.8），检查是否通。

内网PC访问DMZ服务器（如http://100.1.1.xn--20),-yk2hsve0qjt5e./

外网用户访问公网IP（203.0.113.1的80端口），应能访问DMZ的Web服务。

外网访问内网PC（如尝试ping 192.168.100.10），应被拒绝。