趣谈NAT和防火墙的对话+防火墙静态PAT的应用
2018-01-31 21:24
274 查看
前言:
很多人把防火墙的概念混为一谈,其实NAT就是NAT,它负责IP地址影射。防火墙就是防火墙,它负责数据包的过滤。但为什么会有N多人分不清楚呢?原因很简单,是因为NAT的功能有了变化。为什么要变换呢?是因为NAT碰到了问题。为什么NAT会碰到问题呢?是因为.......通过上面NAT的来说。假设C向B发送数据的过程中,C的另外一个端口100,也想向B发送数据包,那么当这个包到达A的时候A如何处理呢?过还是不过呢?如果过了,那么从另外一个IP到达A的数据包是否也允许过呢?显然在网络安全日益受到威胁的今天,让这些包通过是危险的。所以NAT决定不让这些包通过,也就是说NAT有了包过滤功能。于是:
firewall:NAT,包过滤是我的事情,你多管什么闲事?(有没有核武器是我的事,你管得着吗?)
NAT:让这些包通过不安全,所以我必须过滤这些数据包(伊朗有核武器,是个威胁,我必须干掉它)。
firewall:那你是NAT啊你还是防火墙?(那你的主权,人权和和平自由呢?)
NAT:(咬牙状)我是有部分防火墙功能的NAT,你咋地?(我想干啥干啥,你管得找吗?)
firewall:.......(什么东西啊,整个一个杂种,还美呢)
(其实,从概念上将,并不能这么说,但是便于理解,也没有什么深究的必要,就这么着吧)
通过这个简短的对话,相信大家对NAT和防火墙的关系也就是有了一个简单地认识了吧,接下来我就给大家带来一个关于在防火墙上配置NAT的小实验。
相关知识点:
ASA上的NAT类型:-动态NAT
-动态PAT
-静态NAT
-静态PAT
实验拓扑:
如图所示:![](http://i2.51cto.com/images/blog/201801/31/bc810ed9f05e3f13df848286b669b213.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
实验需求:
使用单一的映射地址提供HTTP和FTP服务
1.将私有地址转换为公网地址 2.client2可以访问WEB服务器server3 3.client2可以访问FTP服务器server5
地址规划:
如图所示:![](http://i2.51cto.com/images/blog/201801/31/c7244e4471eed4062c3fdcd4928c3baa.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
实验思路及步骤:
一、配置设备IP地址及掩码1.配置终端设备
server2:
![](http://i2.51cto.com/images/blog/201801/31/e7cd40b2968d5eaaea153610515f6ca3.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
client2:
![](http://i2.51cto.com/images/blog/201801/31/28d5c86307739a8b5ac5210976b75267.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
server3:
![](http://i2.51cto.com/images/blog/201801/31/5f22c987395260b6eded2cf000fedb21.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
server5:
![](http://i2.51cto.com/images/blog/201801/31/6a9d0434e4cdf47b08c7eebac9073468.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
client3:
![](http://i2.51cto.com/images/blog/201801/31/6ea275e2d361f0d440c5557f41e84a9f.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
2.配置ASA接口IP地址
命令如下:
asa# conf te //进入到全局视图 asa(config)# int g1//进入逻辑接口g1 asa(config-if)# nameif outside //给逻辑接口命名 asa(config-if)# security-level 0//配置安全级别为0 asa(config-if)# ip address 200.8.8.3 255.255.255.248//配置IP地址 asa(config-if)# no shutdown//开启接口 asa(config-if)# exit//退出 asa(config)# int g2//进入逻辑接口g2 asa(config-if)# nameif DMZ//给逻辑接口命名为“非军事化区域” asa(config-if)# security-level 50//配置安全级别为50 asa(config-if)# ip address 192.168.3.254 255.255.255.0//配置IP地址 asa(config-if)# no shutdown//开启接口 asa(config-if)# exit//退出 3.配置server3的http服务
操作如图:
![](http://i2.51cto.com/images/blog/201801/31/b1dbbf1c3a0932315db8ff3b5cd22ba9.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
4.配置server5的ftp服务
操作如图:
![](http://i2.51cto.com/images/blog/201801/31/777c7874f414147c6d1a11b2f90fd528.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
二、配置静态PAT端口映射将私网地址转换为公网地址为外网提供服务
命令如下:
asa(config)# object network ob-out // asa(config-network-object)# host 200.8.8.1 ----- asa(config)# object network dmz01 asa(config-network-object)# host 192.168.3.100 asa(config-network-object)# nat (dmz,outside) static ob-out service tcp 80 80 ----- asa(config)# object network dmz02 asa(config-network-object)# host 192.168.3.101 asa(config-network-object)# nat (dmz,outside) static ob-out service tcp 21 21
三、配置ACL允许client2访问server3以及server5
分析:因为client2位于outside区域,安全级别比DMZ区域低,默认是不允许安全级别低的区域访问女权级别高的区域的,所以如果想要访问位于DMZ区域的server3以及server5,必须配置ACL允许client2的流量通过。
命令如下: asa(config)#access-list out_to_dmz permit tcp host 200.8.8.5 object dmz01 eq http asa(config)#access-list out_to_dmz permit tcp host 200.8.8.5 object dmz02 eq ftp asa(config)#access-group out_to_dmz in interface outside
验证:
1.client2访问Server3的http服务![](http://i2.51cto.com/images/blog/201801/31/e8556ab9862896b04442ac63d0df3bcc.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
2.client2访问Server5的ftp服务
![](http://i2.51cto.com/images/blog/201801/31/3f05d33ff762d74458922fa1aaecb239.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
3.通过show xlat命令查看xlat表
![](http://i2.51cto.com/images/blog/201801/31/987719dbdd15676866d57036168c6948.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
通过此图我们可以看见,内网地址192.168.3.100的80端口转换成了公网地址200.8.8.1,实现了为外网提供hHTTP服务进行访问的目的;内网地址192.168.3.101的21端口也转换成了公网地址200.8.8.1,实现了为外网提供FTP服务进行访问的目的。
以上就是静态PAT的端口映射,它可以实现使用单一的映射地址提供http和ftp的目的,当然,还有其他三种nat也有着不同的应用环境,这里就先给大家介绍这一种,不足之处,请大家多多指点,谢谢!
相关文章推荐
- ASA防火墙应用配置(NAT和PAT)
- 2008R2Win7管理三十防火墙TMG2010应用
- 20个Linux防火墙应用技巧
- 2013年8月19日、静态代码|static的特点|static的应用|静态变量
- 第六周上机实践项目-项目4-静态成员应用
- 项目4-静态成员应用
- 第六周项目四-静态成员应用
- Linux下主机充当防火墙的巧妙应用之iptables! 推荐
- Linux系统下的NAT及防火墙的混合应用
- Andrdoid中实现静态的默认安装和卸载应用
- 如何在Ubuntu QML应用中设计像微信对话那样的UI
- 第六周项目4-静态成员应用
- 由于防火墙限制无法访问linux服务器上的tomcat应用
- iptables防火墙应用
- 静态NAT、动态NAT、PAT(端口多路复用)的配置
- Linux上iptables防火墙的基本应用教程
- 第五轴上机项目4静态成员应用
- 第4周项目5-静态成员应用