硬件防火墙的配置过程讲解.docVIP

硬件防火墙的配置过程讲解(2) 时间：2008-06-14　来源： 作者： 10. 地址转换（NAT） 防火墙的NAT配置与路由器的NAT配置基本一样，首先也必须定义供NAT转换的内部IP地址组，接着定义内部网段。 定义供NAT转换的内部地址组的命令是nat，它的格式为：nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]]，其中if_name为接口名；nat_id参数代表内部地址组号；而local_ip为本地网络地址；netmask为子网掩码；max_conns为此接口上所允许的最大TCP连接数，默认为0，表示不限制连接；em_limit为允许从此端口发出的连接数，默认也为0，即不限制。如： nat (inside) 1 表示把所有网络地址为，子网掩码为的主机地址定义为1号NAT地址组。 随后再定义内部地址转换后可用的外部地址池，它所用的命令为global,基本命令格式为： global? [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ，各参数解释同上。如： global (outside) 1 -4 netmask 将上述nat命令所定的内部IP地址组转换成~4的外部地址池中的外部IP地址，其子网掩耳盗铃码为。 11. Port Redirection with Statics 这是静态端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口（PAT），或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器，这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。 命令格式有两种，分别适用于TCP/UDP通信和非TCP/UDP通信： （1）.? static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]] （2）. static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]] 此命令中的以上各参数解释如下： internal_if_name：内部接口名称；external_if_name：外部接口名称；{tcp|udp}：选择通信协议类型；{global_ip|interface}：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；[netmask mask]：本地子网掩码；max_conns：允许的最大TCP连接数，默认为0，即不限制；emb_limit：允许从此端口发起的连接数，默认也为0，即不限制；norandomseq：不对数据包排序，此参数通常不用选。? ? 现在我们举一个实例，实例要求如下 ●外部用户向9的主机发出Telnet请求时，重定向到。●外部用户向9的主机发出FTP请求时，重定向到。●外部用户向08的端口发出Telnet请求时，重定向到。●外部用户向防火墙的外部地址16发出Telnet请求时，重定向到。●外部用户向防火墙的外部地址16发出HTTP请求时，重定向到。●外部用户向防火墙的外部地址08的8080端口发出HTTP请求时，重定向到的80号端口。 以上重写向过程要求如图2所示，防火墙的内部端口IP地址为，外部端口地址为16。 图2 以上各项重定向要求对应的配置语句如下： static (inside,outside) tcp 9 telnet telnet netmask 55 0 0static (inside,outside) tcp 9 ftp ftp netmask 55 0 0static (inside,outside) tcp 08 telnet telnet netmask 55 0 0static (inside,outside) tcp interface telnet telnet netmask 55 0 0static (inside,outside) tcp interface www ?www netma