本节书摘来自异步社区《Cisco防火墙》一书中的第8章,第8.4节,作者 【巴西】Alexandre M.S.P. Moraes,更多章节内容可以访问云栖社区“异步社区”公众号查看
8.4 入站NAT分析
Cisco防火墙
前面一节不仅介绍了出站NAT的具体处理方式,而且也介绍了在较低安全级别的接口上发布地址的需求。早年间,ASA算法只支持出站方向的NAT(当时该算法是通过PIX防火墙来实现的)。为了改变这种原有的模式,实现入站NAT,Cisco针对动态转换规则引入了关键字outside。本节中将要介绍的各类NAT技术均与相应的出站NAT类似。
8.4.1 入站方向的动态PAT
例8-20汇总了很多配置入站动态PAT规则的命令。在172.16.16.0/24范围内的主机在通过out接口连接到dmz接口时会被转换为地址10.10.10.126。该例同时也显示出了在nat语句之后必须输入关键字outside才能实现入站NAT的功能。
例8-20 入站方向动态PAT的配置与验证
8.4.2 入站方向的Identity NAT
例8-21所示为对属于172.16.16.128/26范围内的源主机执行Identity NAT。这类NAT总是单向的,需要独立在入向或出向上进行应用。
例8-21入站方向Identity NAT的配置与验证
8.4.3 入站方向的NAT免除技术
例8-22显示了如何在入站方向上实施NAT免除技术,以及它与出站方向类似的优先级规则。
例8-22入站方向NAT免除技术的配置与验证
8.4.4 入站方向的静态NAT
配置入站方向的静态访问不需要使用关键字outside。例8-23所示的配置为从out接口到dmz接口的static规则。
例8-23 入站方向静态NAT的配置与验证
