思科防火墙应用NAT
♥️作者:小刘在C站
♥️每天分享云计算网络运维课堂笔记,一起努力,共赴美好人生!
♥️夕阳下,是最美的,绽放。
目录
一.思科防火墙的NAT 一种有四种,
二.动态NAT 配置
三.动态PAT配置
四.静态NAT 配置
五.静态PAT 配置
六.NAT控制和 NAT 豁免
一.思科防火墙的NAT 一种有四种,
静态NAT 将一个内网服务器映射为外网的一个地址,外网通过外网的地址访问服务器 实现安全,当然必须要做acl 允许低安全级别访问高安全级别
动态NAT 一般是一组对一组, 一个网段对应一个外网地址段
静态PAT 一般用来映射服务器,将内网服务器的具体服务通过加端口号映射成为外网地址加端口号 实现安全 ,同时做acl 允许低安全级别访问高安全级别
动态PAT 实验内网网段整个映射到外网的一个地址(通过加端口号来识别)
二.动态NAT 配置
asa(config)#nat (inside) 1 10.1.1.0 255.255.255.0
//配置内网需要转换的地址段 1 表示 nat-id
asa(config)#global(outside) 1 172.16.1.100-172.16.1.200
//配置转换出去的公网地址段, nat-id 要和 内网地址段中的一致
asa#show xlate detail
//验证测试后,可以用这个命令来查看转换过程
注意:没有做地址转换的网段也可以访问外网,所以 防火墙的nat 只是用来做安全设置 并没有 代替路由功能,所以防火墙和内网外网各路由正常配置路由
三.动态PAT配置
asa(config)#nat (inside) 1 10.1.1.0 255.255.255.0
//配置内网需要转换的地址段 1 表示 nat-id
asa(config)#global(outside) 1 172.16.1.100
//配置转换出去的公网地址, nat-id 要和 内网地址段中的一致
asa#show xlate detail
//验证测试后,可以用这个命令来查看转换过程
四.静态NAT 配置
asa(config)#static (dmz,outside) 172.16.1.201 192.168.1.1
//配置静态nat 将 dmz 内网地址 192.168.1.1 转换为 outside 区域外部的 172.16.1.201
asa(config)#access-list abc permit ip host 172.16.1.1 host 172.16.1.201
//因为低安全级别的访问高安全级别的所以配置acl 允许 172.16.1.1 访问转换之后的地址 172.16.1.201
asa(config)#access-group abc in int outside
//将 acl 应用到 外端口的入口
asa#show xlate detail
//验证测试后,可以用这个命令来查看转换过程
五.静态PAT 配置
asa(config)#static (dmz,outside) tcp 172.16.1.201 80 192.168.1.1 80
//配置静态pat 将 dmz 内网地址 192.168.1.1 80端口 转换为 outside 区域外部的 172.16.1.201 80 端口上
asa(config)#static (dmz,outside) tcp 172.16.1.201 23 192.168.1.2 23
//配置静态pat 将 dmz 内网地址 192.168.2.1 23端口 转换为 outside 区域外部的 172.16.1.201 23 端口上
asa(config)#access-list abc permit ip host 172.16.1.1 host 172.16.1.201
//因为低安全级别的访问高安全级别的所以配置acl 允许 172.16.1.1 访问转换之后的地址 172.16.1.201
asa(config)#access-group abc in int outside
//将 acl 应用到 外端口的入口
asa#show xlate detail
//验证测试后,可以用这个命令来查看转换过程
六.NAT控制和 NAT 豁免
NAT 控制 是一个开关, 可以再ASA 7.0之后版本上使用
默认防火墙禁用 NAT 控制
禁用NAT 控制时,nat 转换并不是必须的,高安全级别的做不做nat 都可以访问低安全级别的
启用 nat 命令
asa(config)#nat-control
启用nat 控制之后,那么nat 转换是必须的,只有配置的nat的才能访问,没有则不允许
但是有些情况下 不能使用nat 实现通信如 vpn 那么需要对nat 做豁免
nat 豁免,意思是在 nat 控制之下,没有做nat 转换的也可以通信
nat 豁免命令
asa(config)#access-list nonat extended permit ip 10.2.2.0 255.255.255.0 172.16.1.0 255.255.255.0
//配置 扩展命名的acl 指定允许需要豁免的网段
asa(config)#nat(inside) 0 access-list nonat
//配置 允许豁免
♥️关注,就是我创作的动力
♥️点赞,就是对我最大的认可
♥️这里是小刘,励志用心做好每一篇文章,谢谢大家
思科防火墙应用NAT相关推荐
- 思科防火墙PIX ASA精华配置总结
思科防火墙 PIX ASA 配置总结一(基础): 思科防火墙已经从PIX发展到ASA了,IOS也已经从早期的6.0发展到7.2.但总体的配置思路并没有多少变化.只是更加人性化,更加容易配置和管理了. ...
- 27.思科防火墙(ASA)
防火墙分软件防火墙与硬件防火墙. v 软件防火墙:运行在IOS系统之上的一个应用,通过应用指定出入网规则. v 硬件防火墙:功能更强大,漏洞少,状态化. 状态化可以理解为当用户通过该防火墙连接,那么防 ...
- 思科防火墙ASA配置案例
思科防火墙ASA配置案例 拓扑图 要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问 一.思科模拟防火墙的使用 因为我们没有真实的设 ...
- 思科防火墙ASA5520配置
思科防火墙ASA5520配置: 目的:1.内网可以上网 2.内网可以访问DMZ区域的服务器 3.外网可以通过公网IP访问DMZ区域的服务器 要求:1.内网的网段192.168.10.0 2.DMZ的网 ...
- 思科防火墙多端口映射多端口
分公司下面有一台思科防火墙因业务需要做多端口映射多端口,没有购置网页端,故配置起来有一些问题.最终算是解决了,大概是解决了,为什么大概?因为端口是通了,但是开发那端说有跟普通的端口映射有一些区别.ma ...
- GNUGK 作为Gatekeeper穿透防火墙和NAT
2018-05-23 补充: 在 [ubuntu 16.04.04 上升级GNUGK 到4.9 ] 背景信息 由于内部使用Polycom的视频会议,在北.上.深各有办事处也用polycom ,偶 ...
- 思科路由器动态NAT配置
相关学习推荐: 优秀的网工都会NAThttps://blog.csdn.net/XMWS_IT/article/details/121508603?spm=1001.2014.3001.5502 微思 ...
- 演示:Linux工程环境应用实训(防火墙、NAT、静态路由)详细配步骤
各位童鞋注意:该实验完成可以使用GNS3与4虚拟机进行桥接,然后在一台物理计算机上完成,不虽要去拿真正的4台服务器或者交换机路由器来连成一个网络,现在大家都使用网络仿真教学与实验! Linux工程环境 ...
- 华为防火墙的NAT介绍及配置详解
一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT ...
- ASA防火墙之NAT的实例配置
ASA防火墙之NAT的实例配置 关于nat的知识点我们在讲路由器的时候已经讲述过了,具体为啥配置NAT技术这里不再讲述,本篇讲述的关于ASA防火墙的各个NAT配置实例的分析,包括static NAT. ...
最新文章
- [Oracle]如何在亿级记录表中创建索引
- swift 3.0 中使用 xib
- mongo DB for C#
- qt和python关系_Python与Qt - AlphaJay的个人空间 - OSCHINA - 中文开源技术交流社区
- 如何从Mac OS X连接 ×××
- 模拟恶劣网络环境常用的几种解决方案
- SSH密钥 - 仍然要求输入密码和密码
- linux吃鸡游戏下载,网络大逃杀2077
- delphi 剪切板变量_delphi读写剪贴板
- 程序员的寂寞,你们不懂
- 高优先权调度算法和高响应比优先调度算法
- 在 mac 上用海盗船键盘
- java计算机毕业设计O2O生鲜果蔬电商设计与实现(附源码、数据库)
- Python中函数的说明与注释
- CIO圈子里的“老行家”:太平绅士赖锡璋
- C++ 打开文件夹对话框-OPENFILENAME
- 前端学习第三章——a标签(超链接)
- 在巴塞罗那,华为挥别昨日 | MWC 2019 1
- Project 视频 来啦
- 与墨云同行 |低头有坚定的脚步,抬头是清晰的远方