PIXASA7.x启用禁用接口之间的通信.PDFVIP

PIX/ASA 7.x：启用/禁用接口之间的通信 目录 简介 先决条件 要求 使用的组件 相关产品 规则 背景信息 NAT 安全等级 ACL 配置 网络图 初始配置 DMZ 到内部 Internet 到 DMZ 内部/DMZ 到 Internet 同一安全等级上的通信 故障排除 相关信息 简介 本文档针对 ASA/PIX 安全设备上的接口之间各种形式的通信提供了一个配置示例。 先决条件 要求 尝试进行此配置之前，请确保满足以下要求： IP 地址和默认网关分配 设备之间的物理网络连接 为实施的服务标识的通信端口 # 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行软件版本 7.x 及更高版本的自适应安全设备 Windows 2003 Server Windows XP 工作站 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 相关产品 此配置也可用于以下硬件和软件版本： 运行 7.x 及更高版本的 PIX 500 系列防火墙 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 本文档概述了允许在不同接口之间进行通信所需的步骤。讨论了如下所示的各种通信形式： 1. 位于外部的主机需要访问位于 DMZ 中的资源的通信 2. 内部网络上的主机需要访问位于 DMZ 中的资源的通信 3. 内部主机和 DMZ 网络上的主机需要访问外部资源的通信 NAT 在我们的示例中，我们在配置中使用网络地址转换 (NAT) 和端口地址转换 (PAT)。地址转换使用可 在目标网络上路由的映射地址（全局）替代数据包中的实际地址（本地）。NAT 由两个步骤组成 ：将实际地址转换为映射地址的过程，以及随后对返回的数据流撤消转换的过程。在本配置指南中 我们使用两种形式的地址转换：静态和动态。 动态转换允许每台主机对后续的每次转换都使用不同的地址或端口。本地主机共享一个或多个公用 全局地址或“隐藏”在一个或多个公用全局地址后面时，可以使用动态转换。在此模式下，一个本地 地址无法永久保留一个全局地址以用于转换。相反，地址转换在多对一或多对多的基础上进行，并 且仅在需要转换条目时才创建它们。只要转换条目未在使用中，就会删除该条目并使其对其他本地 主机可用。此类型的转换对于出站连接最有用。在出站连接中，仅在进行连接时才为内部主机分配 动态地址或端口号。动态地址转换有两种形式： 动态 NAT - 将本地地址转换为池中下一个可用的全局地址。转换在一对一的基础上进行，因此 如果在指定时间有大量的本地主机需要转换，则可能会用尽全局地址池中的地址。 NAT 过载 (PAT) - 将本地地址转换为单一全局地址；将全局地址的下一个可用高位端口号指定 为连接的源时，会将每个连接都设为唯一的。转换在多对一的基础上进行，因为多个本地主机 共享一个公用全局地址。 静态转换会创建从实际地址到映射地址的固定转换。静态 NAT 配置为主机的每个连接映射同一个地 址，是一个持久性转换规则。内部或本地主机需要对每个连接都具有同一全局地址时会使用静态地 址转换。地址转换在一对一的基础上进行。可以为单个主机或一个 IP 子网中包含的所有地址定义静 态转换。 动态 NAT 和一系列静态 NAT 地址之间的主要区别是：静态 NAT 允许远程主机发起到已转换主机 的连接（如果存在允许此操作的访问列表），而动态 NAT 却不允许这样。使用静态 NAT，还需要 相同数量的映射地址。 当 NAT 规则与数据流匹配时，安全设备会转换地址。如果任何 NAT 规则都不匹配，则会继续进行 数据包处理。但启用了 NAT 控制时例外。NAT 控制要求从安全等级较高的接口（内部）流向安全 等级较低的接口（外部）的数据流与 NAT 规则匹配，否则将停止处理数据包。要查看常见配置信息 ，请参阅 PIX/ASA 7.x NAT 和 PAT 文档。要深入了解 NAT 的工作方式，请参阅 NAT 工作方式指 南。 提示 ： 建议您每当更改 NAT 配置时都清除当前的 NAT 转换。可以使用 clear xlate 命令清除转换表 。但是，执行此操作时要小心 ，因为清除转换表时会断开所有使用转换的当前连接。清除转换表的 替代方法是等待当前转换超时，但并不建议使用此方法，因为使用新规则创建新连接时可能会导致 意外行为。 安全等级