有朋友打电话问了一些和背靠背防火墙场景中的一些问题，分享出来，供大家参考！

1、背靠背中的网络关系，此时DMZ区存在于两者之间！

A、此时，第一个防火墙的内部接口所连的网络均可以作为内部网络（第二个防火墙后的内部网络以及DMZ）。

B、此时，第二个防火墙会把此外网网卡所连接的网络看作为外部网络（第一个防火墙和DMZ）

你可以把A为NAT。B为路由。此时DMZ为私有IP

你可以把B为路由。A为NAT。此时DMZ为公有IP

2、现在有如此场影。外部---路由---防火墙-DMZ---防火墙---三层交换（VLAN）

看到后，就一种感觉，这基本上全世界最安全的网络架构啦。

现在时这样的，三层交换所连的网络为VLAN区域，共计六个。

此时与三层交换相连的ISA（防火墙）作为NAT代理（或是WEB代理，为域场景）

现在六个VLAN都以ISA防火墙的NAT代理服务器与外部网络通讯。且ISA在其中一个VLAN内。

要在其接口上设置默认路由为到所有的网络经由ISA的内网网卡IP地址。

但此时，要注意的在ISA上也要有个回指路由（这也是最关键的一点）：就是在ISA本地主机上新建路由(route add)到各个VLAN网络的路由均走三层交换ISA所在的VLAN的IP地址。

本文转自 rickyfang 51CTO博客，原文链接：http://blog.51cto.com/rickyfang/125799，如需转载请自行联系原作者