如何使用Internet的IP地址来访问位于DMZ网络中的服务器呢？除了在ISA防火墙的外部接口上绑定多个IP然后做转发外，还可以使用直接在DMZ部署Internet的IP地址，然后在ISP的上游路由器上做路由指向的方式。在这篇文章中，我们就来探讨如何实现这一方案。

        其实这已经跳出了ISA防火墙的范畴，更多的是路由/子网的知识。只要网络结构良好的进行规划，部署ISA防火墙是非常容易的。

        在国外，IP地址是很容易获得的；而且，你可以一次性为你的网络申请一个完整C类网络的IP地址。但是在国内，一般客户想从ISP获得一个C类网络的IP地址无异是天方夜谭，一般都是几个IP地址。在这个试验中，我们从ISP处获得了五个Internet IP地址，地址范围是从61.139.0.8到61.139.0.12，子网掩码是255.255.255.0。我想在DMZ网络中部署Internet的IP地址，所以我就必须先对获得的Internet IP地址进行子网划分，然后给DMZ网络分配一个子网，最后在ISP的路由器上对我的DMZ子网进行路由指向。

        在此过程中，子网划分就显得特别的重要。并且在IP地址的分配过程中，ISA防火墙连接Internet和DMZ的网络适配器各需要一个IP地址，并且子网广播地址和子网网络地址将各耗去一个。所以你可以在DMZ网络中配置的Internet IP地址为你获得的Internet IP地址数减去四。

        现在，我们首先需要对获得的Internet IP地址进行子网划分：

        将IP地址转换为二进制：

        61.139.0.8 00111101 10001011 00000000 00001000

        61.139.0.9 00111101 10001011 00000000 00001001

        61.139.0.10 00111101 10001011 00000000 00001010

        61.139.0.11 00111101 10001011 00000000 00001011

        61.139.0.12 00111101 10001011 00000000 00001100

        注意看，前面四个IP地址（61.139.0.8～61.139.0.11）都是位于61.139.0.8/30子网中，所以，我们可以在DMZ网络中部署此子网，然后在ISA连接外部网络（Internet）上的网络适配器上配置61.139.0.12/24这个IP地址。

        但是在61.139.0.8/30这个子网中，61.139.0.8/30是子网网络地址，61.139.0.11/30是子网广播地址，都不能给网络中的主机进行使用。然后我们在ISA防火墙连接DMZ的接口上配置61.139.0.9/252这个IP地址，那么就只剩下61.139.0.10/30这个IP地址可以配置给DMZ网络中的服务器使用了。

        试验用的网络拓朴结构如下图所示：

 

        各计算机的TCP/IP配置情况如下，此次试验不涉及DNS解析，各计算机的DNS服务器均设置为空：

        External1：

        IP：61.139.0.1/24； DG：61.139.0.1；

        ISA 2004 Firewall：

        External接口：

        IP：61.139.0.12/24 DG：61.139.0.1； 

        DMZ接口：

        IP：61.139.0.9/30； DG：None； 

        Interna接口：

        IP：192.168.0.1/24； DG：None；

        Ftp1：

        IP：61.139.0.10/30； DG：61.139.0.9；

        Client1：

        IP：192.168.0.8/24； DG：192.168.0.1；

        在这个试验中，我们按照以下步骤进行：

        使用三向外围模板配置ISA防火墙； 修改访问规则； 测试各个网络间的连通性一； 在外部主机上配置到DMZ网络的路由； 测试各个网络间的连通性二。