思科防火墙应用NAT

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介: 思科防火墙应用NAT

一.思科防火墙的NAT 一种有四种,

  静态NAT   将一个内网服务器映射为外网的一个地址,外网通过外网的地址访问服务器 实现安全,当然必须要做acl 允许低安全级别访问高安全级别


  动态NAT   一般是一组对一组, 一个网段对应一个外网地址段


  静态 PAT  一般用来映射服务器,将内网服务器的具体服务通过加端口号映射成为外网地址加端口号  实现安全 ,同时做acl 允许低安全级别访问高安全级别


  动态PAT   实验内网网段整个映射到外网的一个地址(通过加端口号来识别)

二.动态NAT 配置


  asa(config)#nat (inside)  1  10.1.1.0  255.255.255.0                  


//配置内网需要转换的地址段  1 表示 nat-id


  asa(config)#global(outside)  1  172.16.1.100-172.16.1.200


          //配置转换出去的公网地址段, nat-id 要和 内网地址段中的一致


  asa#show  xlate  detail                                          


          //验证测试后,可以用这个命令来查看转换过程


注意:没有做地址转换的网段也可以访问外网,所以 防火墙的nat 只是用来做安全设置 并没有 代替路由功能,所以防火墙和内网外网各路由正常配置路由

三.动态PAT配置  

 

 




  asa(config)#nat (inside)  1  10.1.1.0  255.255.255.0                  


//配置内网需要转换的地址段  1 表示 nat-id


  asa(config)#global(outside)  1  172.16.1.100


          //配置转换出去的公网地址, nat-id 要和 内网地址段中的一致


  asa#show  xlate  detail                                          


          //验证测试后,可以用这个命令来查看转换过程


四.静态NAT 配置




  asa(config)#static  (dmz,outside)  172.16.1.201  192.168.1.1                  


//配置静态nat 将 dmz 内网地址 192.168.1.1 转换为 outside 区域外部的 172.16.1.201


  asa(config)#access-list  abc  permit  ip  host  172.16.1.1  host  172.16.1.201


          //因为低安全级别的访问高安全级别的所以配置acl  允许 172.16.1.1  访问转换之后的地址 172.16.1.201


  asa(config)#access-group  abc  in  int  outside


         //将 acl 应用到 外端口的入口


  asa#show  xlate  detail                                          


          //验证测试后,可以用这个命令来查看转换过程


五.静态PAT 配置

  asa(config)#static  (dmz,outside)  tcp  172.16.1.201  80  192.168.1.1  80                


//配置静态pat 将 dmz 内网地址 192.168.1.1  80端口 转换为 outside 区域外部的 172.16.1.201  80 端口上


  asa(config)#static  (dmz,outside)  tcp  172.16.1.201  23  192.168.1.2  23                


//配置静态pat 将 dmz 内网地址 192.168.2.1  23端口 转换为 outside 区域外部的 172.16.1.201  23 端口上


  asa(config)#access-list  abc  permit  ip  host  172.16.1.1  host  172.16.1.201


          //因为低安全级别的访问高安全级别的所以配置acl  允许 172.16.1.1  访问转换之后的地址 172.16.1.201


  asa(config)#access-group  abc  in  int  outside


         //将 acl 应用到 外端口的入口


  asa#show  xlate  detail                                          


          //验证测试后,可以用这个命令来查看转换过程


六.NAT控制和 NAT 豁免

NAT 控制 是一个开关, 可以再ASA 7.0之后版本上使用


默认防火墙禁用 NAT 控制


  禁用NAT 控制时,nat 转换并不是必须的,高安全级别的做不做nat 都可以访问低安全级别的


启用 nat 命令


  asa(config)#nat-control


  启用nat 控制之后,那么nat 转换是必须的,只有配置的nat的才能访问,没有则不允许


但是有些情况下 不能使用nat 实现通信如  vpn  那么需要对nat 做豁免


 nat 豁免,意思是在 nat 控制之下,没有做nat 转换的也可以通信


nat 豁免命令


  asa(config)#access-list  nonat  extended  permit  ip  10.2.2.0  255.255.255.0   172.16.1.0  255.255.255.0


      //配置 扩展命名的acl  指定允许需要豁免的网段


  asa(config)#nat(inside)  0  access-list  nonat


      //配置 允许豁免


相关文章
|
2月前
|
供应链 安全 应用服务中间件
防火墙是什么?聊聊如何轻松缓解应用漏洞
防火墙是什么?聊聊如何轻松缓解应用漏洞
29 6
|
1月前
|
SQL 弹性计算 负载均衡
10分钟将您的Web应用接入防火墙
如果您现在拥有一个Web应用,并且有安全诉求,请阅读本文。
10分钟将您的Web应用接入防火墙
|
3月前
|
安全 网络安全
网络安全攻防技术:防火墙的实践应用
网络安全攻防技术是当今社会中最重要的话题之一。为了保护我们的个人信息和企业数据,我们需要使用各种安全工具和技术来打击网络攻击。本文将介绍防火墙的实践应用,以帮助您更好地保护您的网络安全。
|
8月前
|
运维 Shell 网络安全
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(三)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(三)
1371 0
|
8月前
|
运维 网络协议 网络安全
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(二)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(二)
232 0
|
8月前
|
运维 网络协议 Linux
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(一)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)
779 0
|
11月前
|
网络安全
《阿里云产品手册2022-2023 版》——Web 应用防火墙
《阿里云产品手册2022-2023 版》——Web 应用防火墙
102 0
|
11月前
|
SQL JSON 安全
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙
|
11月前
|
SQL 监控 安全
「网络安全」WEB 应用防火墙 是什么,部那里,如何用和为什么?
「网络安全」WEB 应用防火墙 是什么,部那里,如何用和为什么?
|
4月前
|
运维 网络协议 安全
小白带你学习linux的防火墙
小白带你学习linux的防火墙
149 1