防火墙nat豁免与控制原理讲解

nat 控制和豁免

一.nat 控制

防火墙中特别设置的nat 开关

 作用： 强制访问必须做nat 配置,增加网络安全

默认禁用nat 控制

如果需要强制要求做nat配置 打开nat 控制

命令：  nat-control

二.nat 豁免

   在nat 控制开启的情况下 允许特定网段不做nat 也能访问

   所用，支持哪些不能应用nat 的服务

 特点： nat豁免允许双向通信

命令：

  第一步， 先将需要豁免的网段做成acl 列表

   access-list abc permit ip  内网网段     host 目标主机地址

  第二步，做豁免

    nat (inside) 0 access-list abc

举例：

  access-list abc permit ip  192.168.2.0 255.255.255.0  host 202.106.0.2

 nat (inside) 0 access-list abc

三.防火墙nat 实验

 1, 内网网段配置动态pat  将内网 192.168.1.0 网段映射到防火墙外网接口上

       ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0

   ciscoasa(config)# global (outside) 1 interface

2，dmz 区域服务器做静态pat 将 两台服务器对应到一个外网接口的不同端口

       static (dmz,outside) tcp 202.106.0.150 80  172.16.0.100 80

   static (dmz,outside) tcp 202.106.0.150 23  172.16.0.200 23

   access-list abc permit ip any  host 202.106.0.150

   access-group abc in int outside

3， 开启nat 控制  

           nat-control

4， 对内网网段192.168.2.0 或豁免 能够发访问外网

     access-list bbs permit ip 192.168.2.0 255.255.255.0 host 202.106.0.2

     nat (inside) 0 access-list bbs