7-防火墙配置与NAT配置研讨.ppt

* NAT配置（V5） — 定义地址池 地址池是一些连续的IP 地址的集合，当内部IP包通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址 定义地址池命令： [Quidway] nat address-group group-number start-addr end-addr 举例： [Quidway] nat address-group 1 * NAT配置（V5） — 定义地址池与ACL的关联 当内部网络有数据包要发往外部网络时，首先根据该ACL判定是否是允许的数据包，然后再根据定义的关联找到与之对应的地址池，最后再把源地址转换成这个地址池中的某一个地址 定义关联命令： [Quidway-Serial0] nat outbound acl-number address-group group-number 举例： [Quidway] acl number 2000 match-order auto [Quidway-acl-basic-2000] rule permit source 55 [Quidway-acl-basic-2000] rule deny source any [Quidway] nat address-group 1 [Quidway-Serial0] nat outbound 2000 address-group 1 * NAT配置（V5） — 定义接口与ACL的关联 接口与ACL的关联又称EASY IP 特性，它是指在地址转换的过程中直接使用接口的IP 地址作为转换后的源地址 定义关联命令： [Quidway-Serial0] nat outbound acl-number 举例： [Quidway] acl 2000 match-order auto [Quidway-acl-basic-2000] rule permit source 55 [Quidway-acl-basic-2000] rule deny source any [Quidway-Serial0] nat outbound 2000 * NAT配置（V5） — 建立内部服务器映射 用户可将内部服务器的IP地址和端口号映射到NAT路由器的外部地址以及端口号上，从而实现由外部网络访问内部服务器的功能。 建立映射命令： [Quidway-Serial0] nat server protocol { protocol-number | ip | icmp | tcp | udp } global global-addr { global-port | any | domain | ftp | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop3 | smtp | telnet | www } 举例： [Quidway-Serial0] nat server protocol tcp global 2 www inside 8080 * NAT配置（V5） — 配置信息显示 查看地址转换的配置信息： [任意视图] display nat { address-group | all | outbound | server | statistics } 查看当前生效的配制NAT的命令： [任意视图] display current-configuration * NAT配置（V5） — 举例 Internet FTP 服务器 WWW 服务器1 WWW 服务器2 内部PC 00 S0 内部PC 00 SMTP 服务器 地址池： 01 ～03 网络地址转换配置要求： 内部/24 网段的PC 机可访问Internet，其它网段的PC 机不能访问Internet。 外部PC 机可以访问内部的服务器。 1 1 * 1 * 第七讲 防火墙配置与NAT配置 防火墙技术 访问控制列表 防火墙配置（V5V7） NAT技术 NAT配置（V5V7） * 防火墙技术 — 概念 防火墙（Firewall）的本义是一种建筑结构，它用来防止大火从建筑物的一部分蔓延到另一部分。 在计算机网络中，防火墙是指用于完成下述功能的软件或硬件： 对单个主机或整个计算机网络进行保护，使之能够抵抗来自外部网络的不正当访问。 * 防火墙技术 — 分类 包过滤防火墙（Packet Filter Firewall）：对IP包进行过滤，先获取包头信息，包括IP 层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等，然后和设定的规则进行比较，根据比较的结果决定数据包是否被允许