思科ASA系列防火墙NAT解析

思科ASA系列防火墙NAT解析思科ASA系列防火墙NAT解析文／白海郭代丽网络地址转换(NAT．NetworkAddressTranslation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法lP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。防火墙都运行NAT，主要原因是：公网地址不够使用：隐藏内部lP地址，增加安全性；允许外网主机访问DMZ。FW(config)#nat(inside)110.0.1.0255.255.255.0指定需要转换的源地址。其NATID为1。用于匹配glo...

思科ASA系列防火墙NAT解析文／白海郭代丽网络地址转换(NAT．NetworkAddressTranslation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法lP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。防火墙都运行NAT，主要原因是：公网地址不够使用：隐藏内部lP地址，增加安全性；允许外网主机访问DMZ。FW(config)#nat(inside)110.0.1.0255.255.255.0指定需要转换的源地址。其NATID为1。用于匹配global命令中的NATID。FW(config)#global(outside)161.136.150.10-61.13615020指定用于替代源地址的地址池。其NATID为“1”，表明内口NATID为1的地址将被替换为地址池中的地址。该方式即为动态NAT。FW(config)#global(dmz)110.0.2.20指定用于替代源地址的唯一地址。其NATID为“1”，表明内口NATID为1的地址都将被替换为同一地址(10.0.2．20)。该方式即为动态PAT。收到来自内网的lP包后，防火墙首先根据路由表确定应将包发往哪个接口，然后执行地址转换。静态NAT在图1中，为使外部用户可访问DMZ中的服务器，除适当应用ACL外，还需将服务器的lP地址(10.0.2.1)映射（静态转换）为公网地址（如61.136.1511）．静态转换命令如下：F´W(config)#static(dmz.outsiclc)61.13(´.151.110.0．1riciiiiask255.255.255.255本例中子网掩码为255.255.255.255．表示只转换一个lP地址。若参数形如“10.0.2.061.136.151.0netmask255.255255.0”，则表示要完成一个子网到另一个子网的静态转换。静态PAT在图1中，欲完成10021：8080(TCP)到61.1361521：80(TCP)的静态映射．命令如下：FW(corlfig)#:slatic(dmz.outsule)tcp61.136.152.1:8010.0.2.1:808011“111;Isk255./55./55.255NAT前后，源地址不变启用NAT控制后（通常NAT控制都处于启用状态），内部主机的地址必须经过NAT．方可与其他接口所连接的网络进行通信。在实践中，有时某些源地址并无改变的必要，甚至不允许改变。要求：内部子网125.221.40.0/24在NAT后．地址与真实地址相同．解决方法一：”ldentityNAT"FW(confiy）nat(insidc)(11!5.221.4L).U255.55.255.0特点：支持策略NAT（本文不涉及），仅允许内部主机主动建立连接，如图2所示。解决方法二：“StaticldentityNAT”FW(ConifiX)=static（tiIlsule.uutsiclc)115..40.0115.221.40.Olletmask155.255.255.0特点：可指定目的接口，内、外部主机均可主动建立连接，如图3所示。解决方法三：´NATexemptionFW(confing)#accss一excnlfpeillpl25.121.4.0.55.255.255.0any.特点：占用的资源较少。内，外部主机均可主动建立连接，如图3所示。NAT与DNS记录重写在图4所示场景中．DMZ中服务器的真实地址(10.02.1)已映射为外部地址(61.136.151.1)。DNS服务器位于外网，其中包含可将syr．tgcep．edu.cn解析为外部地址61136.151.1的A记录。外网用户可通过域名或外部地址正常访问www服务器。内部用户可通过真实地址(10.021)访问www服务器，但是，如果内部用户需要通过域名访问www服务器，则需要将域名解析为真实地址10.0.2.1。可以在启用防火墙的DNS检测功能（在默认情况下，该功能处于启用状态）后，通过DNS记录重写实现这一功能。欲实现DNS重写．需要在配置地址映射时，加入关键字DNS。就本例而言，相关配置如下：FW(config)#static(cImz.outsidc)6l.136.151.110.0.2.1dns内网主机通过域名访问DMZ中www服务器的过程标示于图4-2-4中：①内网主机运行浏览器，向DNS服务器发送DNS请求；②DNS服务器以地址61.136.151.1回复；③防火墙接收到回复报文后．送DNS检测引擎进行处理。检测引擎检索到NAT配置“static(dmz.outside)61．136.151.110.0.2.1dns”,将DNS回复报文中的地址61．136.151.1改写为10.0.2.1{NAT配置中的关键字DNS是必须的，否则防火墙不进行改写操作）；④将经过修改后DNS回复送内网主机；⑤内网主机向DMZ中的服务器发送HTTP请求。ASA8.3的NATASA8.3版本对NAT的语法进行了革命的改变不再支持NAT-Control，使用了更加灵活和更加易于组合object／object-group的新方式。迁移命令如下在客户升级版本后，如果不使用迁移命令，从外网的访问将不受NAT的限制，可以正常访问。（作者单位：1为三峡电力职业学院；2为三峡大学） -全文完-

                    本文档为【思科ASA系列防火墙NAT解析】，请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑，
                    图片更改请在作品中右键图片并更换，文字修改请直接点击文字进行修改，也可以新增和删除文档中的内容。 
 该文档来自用户分享，如有侵权行为请发邮件ishare@vip.sina.com联系网站客服，我们会及时删除。

                    [版权声明] 本站所有资料为用户分享产生，若发现您的权利被侵害，请联系客服邮件isharekefu@iask.cn，我们尽快处理。

                    本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权，请谨慎使用。

                    网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传，仅限个人学习分享使用，禁止用于任何广告和商用目的。
                

下载需要：免费已有0 人下载

立即下载

思科ASA系列防火墙NAT解析

你可能还喜欢