Cisco IOS 防火墻配置

《Cisco IOS 防火墻配置》由會員分享，可在線閱讀，更多相關(guān)《Cisco IOS 防火墻配置（40頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、防火墻技術(shù)防火墻技術(shù) 第七章第七章 Cisco IOS 防火墻特征集防火墻特征集防火墻配置概述：要注意的是，防火墻的具體配置方法不是千篇一律，不要說不同品牌，就是同一品牌的不同型號也不完全一樣，所以在此也只能對一些通用防火墻配置方法作一基本介紹。同時，具體的防火墻策略配置會因具體的應(yīng)用環(huán)境不同而有較大區(qū)別。默認(rèn)情況下，所有的防火墻有兩種配置原則：拒絕所有的流量（大多數(shù)防火墻默認(rèn)方式）允許所有的流量防火墻技術(shù)防火墻技術(shù) 防火墻配置概述防火墻配置概述在防火墻的配置中，我們首先要遵循的原則就是安全實用，從這個角度考慮，在防火墻的配置過程中需堅持以下三個基本原則：簡單實用全面深入 內(nèi)外兼顧 防火墻技術(shù)

2、防火墻技術(shù) 防火墻配置概述防火墻配置概述1.簡單實用對防火墻環(huán)境設(shè)計來講，首要的就是越簡單越好。越簡單的實現(xiàn)方式，越容易理解和使用、并且越不容易出錯，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。每種產(chǎn)品在開發(fā)前都會有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測產(chǎn)品主要針對網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時我們也可針對具體應(yīng)用環(huán)境進(jìn)行配置，不必要對每一功能都詳細(xì)配

3、置，這樣一則會大大增強配置難度，同時還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。防火墻技術(shù)防火墻技術(shù) 防火墻配置概述防火墻配置概述2.全面深入單一的防御措施是難以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實現(xiàn)系統(tǒng)的真正安全。應(yīng)系統(tǒng)地看待整個網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強，從深層次上防護(hù)整個系統(tǒng)。可以體現(xiàn)在兩個方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機防火墻于一體的層次防御；另一方面將入侵檢測、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。防火墻技術(shù)防火墻技術(shù) 防火墻配置概

4、述防火墻配置概述3.內(nèi)外兼顧防火墻的一個特點是防外不防內(nèi)，其實在現(xiàn)實的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來自內(nèi)部，所以我們要樹立防內(nèi)的觀念，從根本上改變過去那種防外不防內(nèi)的傳統(tǒng)觀念。對內(nèi)部威脅可以采取其它安全措施，比如入侵檢測、主機防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動的機制。防火墻技術(shù)防火墻技術(shù) Cisco IOS防火墻特征集防火墻特征集 基于Cisco IOS的防火墻特性集（FFS，F(xiàn)irewall Features Set）能夠?qū)崿F(xiàn)對Cisco路由器提供附加的安全功能，方便實現(xiàn)邊界安全部署，因此在實際應(yīng)用中很受歡迎。

5、包括：基于上下文的訪問控制(CBAC)提供基于應(yīng)用的安全過濾，支持最新的協(xié)議和常用的應(yīng)用程序。入侵檢測實時監(jiān)控、截取并對網(wǎng)絡(luò)誤用作出響應(yīng)。動態(tài)的每用戶驗證和授權(quán)，適合基于局域網(wǎng)和廣域網(wǎng)的用戶及VPN客戶。1.端口到應(yīng)用的映射：支持對已經(jīng)應(yīng)用進(jìn)行的用戶非標(biāo)準(zhǔn)端口定義，防火墻在應(yīng)用層進(jìn)行檢查。早期的特征集不能實現(xiàn)對80端口以外的WWW服務(wù)進(jìn)行檢查，使用和CBAC相關(guān)聯(lián)的PAM可以改變這個限制等功能。防火墻技術(shù)防火墻技術(shù) 7.3 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾功能在Cisco IOS防火墻特征集中集成了強壯的防火墻功能和入侵檢測功能，本節(jié)將以Cisco IOS防火墻為示例對防

6、火墻配置技術(shù)進(jìn)行講解和分析。在Cisco IOS防火墻中包過濾技術(shù)依賴于訪問控制列表（ACL，Access Control List）。根據(jù)對數(shù)據(jù)包檢查的粒度，Cisco IOS防火墻將訪問控制列表分為兩類：標(biāo)準(zhǔn)訪問控制列表和擴展訪問控制列表。根據(jù)功能和特點，訪問控制列表還可以分為：靜態(tài)訪問控制列表、動態(tài)訪問控制列表和反射訪問控制列表。防火墻技術(shù)防火墻技術(shù) 7.3 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾功能配置訪問控制列表對于Cisco IOS，配置訪問控制列表遵循兩個步驟:創(chuàng)建訪問控制列表;將訪問控制列表綁定到某個網(wǎng)絡(luò)接口。配置訪問控制列表的時候，需要為每一個訪問控制列表分配

7、一個惟一的數(shù)字以標(biāo)識這個列表。Cisco公司對基于IOS的各種訪問控制列表的編號進(jìn)行了限制和定義，見表。編號范圍標(biāo)準(zhǔn)訪問控制列表199擴展訪問控制列表100199防火墻技術(shù)防火墻技術(shù) 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾功能創(chuàng)建訪問控制列表其實就是向某個訪問控制列表中添加命令的過程，命令一般格式是：命令+訪問控制列表編號+操作+條件，見表。命令說明Router（config）#access-list access-list-numberpermit|deny測試條件創(chuàng)建了某個訪問控制列表并添加一條命令語句Router（config）#no access-list access

8、-list-number 刪除某個訪問控制列表防火墻技術(shù)防火墻技術(shù) 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾功能創(chuàng)建訪問控制列表后必須將其綁定到Cisco IOS防火墻或路由器的某個接口方能生效。Router(config-if)#protocol access-group access-list-numberin|out 將某個訪問控制列表綁定到防火墻/路由器的某個接口上。參數(shù)protocol指明了是針對哪種協(xié)議的訪問控制列表。常用的有IP、IPX等。參數(shù)in/out表明數(shù)據(jù)流進(jìn)入/流出網(wǎng)絡(luò)接口的方向。防火墻技術(shù)防火墻技術(shù) 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾

9、功能說明:可以向同一個訪問控制列表寫入多條語句。訪問控制列表的配置命令比較繁瑣，尤其是需要向一個訪問控制列表添加多條命令語句時。使用文本文件事先將命令編輯好，再復(fù)制粘帖到IOS中是一個不錯的辦法。使用“no access-list access-list-number”刪除整個訪問控制列表。注意在標(biāo)準(zhǔn)和擴展訪問控制列表中，不能夠刪除訪問控制列表中的某一條命令語句，只能一次刪除整個訪問控制列表。防火墻技術(shù)防火墻技術(shù) 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾功能翻轉(zhuǎn)掩碼在Cisco IOS中，網(wǎng)絡(luò)地址的辨別和匹配并不是通過子網(wǎng)掩碼，而是通過翻轉(zhuǎn)掩碼。與子網(wǎng)掩碼類似，翻轉(zhuǎn)掩碼是由0和1

10、組成的32位二進(jìn)制數(shù)字，分成4段。32位中的每一位正好可以和二進(jìn)制IP地址的相應(yīng)位對應(yīng)。翻轉(zhuǎn)掩碼通過將二進(jìn)制子網(wǎng)掩碼按位取反得到。十進(jìn)制網(wǎng)絡(luò)地址192.168.9.1/255.255.255.0二進(jìn)制IP地址11000000101001000000100100000001二進(jìn)制子網(wǎng)掩碼11111111111111111111111100000000二進(jìn)制翻轉(zhuǎn)掩碼00000000000000000000000011111111防火墻技術(shù)防火墻技術(shù) 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾功能在Cisco IOS中，一些翻轉(zhuǎn)掩碼可以使用縮略語替代，例如，可以使用any代替，可以在地址

11、前使用“host”命令代表相同的意義，例如，。這些縮寫形式，一定程度上減少了配置的復(fù)雜度，簡化了配置。防火墻技術(shù)防火墻技術(shù) 7.3 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾功能7.3.3 配置標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表用于:允許或者禁止來自于某個網(wǎng)絡(luò)的所有數(shù)據(jù)流，或者禁止某一協(xié)議的數(shù)據(jù)流。下面我們給出了標(biāo)準(zhǔn)訪問控制列表配置命令，如表所示。命令說明Router（config）#access-list access-list-numberpermit|denysource-ip wildmask創(chuàng)建標(biāo)準(zhǔn)訪問控制列表，注意訪問控制列表編號范圍必須是199。默認(rèn)翻轉(zhuǎn)掩碼是0.0.0

12、.0Router（config-if）#ip access-group access-list-number in|out將一個已存在的訪問控制列表綁定到某個接口上，參數(shù)“in|out”指明是入棧訪問控制列表還是出棧訪問控制列表，默認(rèn)為出棧訪問控制列表Router#show access-listaccess-list-number查看已經(jīng)存在的訪問控制列表包含的命令語句，如果不指定ACL編號，則顯示所有的訪問控制列表Router#show ip interface interface查看是否為某個接口綁定了訪問控制列表。防火墻技術(shù)防火墻技術(shù) 配置配置Cisco IOS防火墻包過濾功能防火墻包

13、過濾功能注意:每一個網(wǎng)絡(luò)接口在每個數(shù)據(jù)流方向上針對每一個協(xié)議只允許存在一個訪問控制列表。下面我們給出一個配置實例:Router（config）Router（config）Router（config）#access-list 1 permit 36.0.0.0 0.255.255.255 使用檢測命令，我們可以得到相關(guān)配置的調(diào)試信息:Router#show access-list 1Standard IP access list 1 permit 191.5.34.0 Permit 128.88.0.0 防火墻技術(shù)防火墻技術(shù) 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾功能案例一:指定

14、特定網(wǎng)絡(luò)。任務(wù):如圖7-1所示，在防火墻/路由器上，只允許來自于網(wǎng)絡(luò)的數(shù)據(jù)包被轉(zhuǎn)發(fā)出去，其余的數(shù)據(jù)包都將被阻止。第一步，創(chuàng)建標(biāo)準(zhǔn)訪問控制列表，命令如下:Router（config）第二步，將訪問控制列表綁定到E0和E1的出口上，命令如下:Router（config）#interface E0Router（config-if）#ip access-group 1 out Router（config）#interface E1Router（config-if）#ip access-group 1 out。防火墻技術(shù)防火墻技術(shù) 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾功能案例二:阻止特

15、定地址。任務(wù):在防火墻/路由器上，在E0接口阻止來自于特定地址的數(shù)據(jù)流，其他的數(shù)據(jù)流將被轉(zhuǎn)發(fā)出去，如圖7-1所示。第一步，創(chuàng)建標(biāo)準(zhǔn)訪問控制列表，命令如下:Router（config）Router（config）#access-list 1 permit any 第二步，綁定，命令如下:Router（config）#interface E0Router（config-if）#ip access-group 1 out說明:第一個access-list命令用“deny”參數(shù)來禁止來自于這個指定主機的數(shù)據(jù)流，地址掩碼表明要檢查匹配地址中的所有的位。第二個access-list命令中，any代表“0.

16、0.0.0 255.255.255.255”，表示允許源自任何網(wǎng)絡(luò)的數(shù)據(jù)流通過。防火墻技術(shù)防火墻技術(shù) 配置配置Cisco IOS防火墻包過濾功能防火墻包過濾功能案例三:阻止特定的子網(wǎng)。任務(wù):阻止來自于特定的子網(wǎng)的數(shù)據(jù)通過E0端口，而轉(zhuǎn)發(fā)其他的數(shù)據(jù)。第一步，創(chuàng)建訪問控制列表，命令如下:Router（config）Router（config）#access-list 1 permit any 第二步，綁定，命令如下:Router（config）#interface E0Router（config-if）#ip access-group 1 out防火墻技術(shù)防火墻技術(shù) 配置配置Cisco IOS防火

17、墻包過濾功能防火墻包過濾功能配置擴展訪問控制列表擴展訪問控制列表對數(shù)據(jù)包的控制比標(biāo)準(zhǔn)訪問控制列表粒度更細(xì)，因而運用更廣。例如，可以使用擴展訪問控制列表來實現(xiàn)允許Web數(shù)據(jù)流，而禁止FTP或Telnet數(shù)據(jù)流。擴展訪問控制列表可以檢查源地址和目標(biāo)地址、特定的協(xié)議、端口號，以及其他的參數(shù)。這些特性使得擴展訪問控制列表可以更加靈活地描述數(shù)據(jù)過濾任務(wù)。在Cisco IOS中，擴展訪問控制列表使用的數(shù)字范圍是:100199，配置命令可以見表7-6。防火墻技術(shù)防火墻技術(shù) 表76 擴展訪問控制列表配置命令命 令說 明Router（config）#access-list access-list-numberp

18、ermit|deny protocol source source-mask operator port destination destination-maskoperator port創(chuàng)建一個擴展訪問控制列表參數(shù)說明access-list-number:范圍100-199，用于標(biāo)識訪問控制列表。Protocol:可以是IP、TCP、UDP、ICMP、GRE、IGRP，指明源數(shù)據(jù)包的協(xié)議類型 Source、Source-mask:源地址、源掩碼 Operator port:TCP/UDP協(xié)議端口號范圍，可以是lt（小于）、gt（大于）、eq（等于）、neq（不等于）某個端口號Destinat

19、ion、destination-mask:目的地址、目的掩碼Router（config-if）#ip access-group access-list-numberin|out綁定訪問控制列表到某個網(wǎng)絡(luò)接口上Router#show access-list access-list-number顯示訪問控制列表包含的命令語句Router#show ip interface interface查看是否為某個接口綁定了訪問控制列表防火墻技術(shù)防火墻技術(shù) 案例四:使用擴展訪問控制列表。任務(wù):要求只有主機能夠通過FTP訪問網(wǎng)絡(luò)。第一步，創(chuàng)建擴展的訪問控制列表，命令如下:Router（config）#acce

20、ss-list 100 permit TCP172.16.1.1 0.0.0.0 192.168.1.0 0.0.0.255 eq 20 第二步，將訪問控制列表綁定到E2的出口:Router（config）#interface E2 Router（config-if）#ip access-group 100 out 防火墻技術(shù)防火墻技術(shù) 案例五:使用擴展訪問控制列表。任務(wù):拒絕網(wǎng)絡(luò)通過Telnet訪問任何網(wǎng)段，允許其他所有的IP數(shù)據(jù)。第一步，創(chuàng)建擴展訪問控制列表，命令如下:Router（config）#access-list 101 deny tcp172.16.0.0 0.0.255.255

21、 any eq23Router（config）#access-list 101 permit any any第二步，綁定訪問控制列表到E1的出口上，命令如下:Router（config）#interface E1Router（config-if）#ip access-group 101 in防火墻技術(shù)防火墻技術(shù) 案例六:使用擴展訪問控制列表。任務(wù):禁止網(wǎng)絡(luò)使用ping命令訪問網(wǎng)絡(luò)，允許其他的IP數(shù)據(jù)。第一步，創(chuàng)建擴展訪問控制列表，命令如下:Router（config）#access-list 199 deny icmpRouter（config）#access-list 199 permit

22、ip any any 第二步，綁定訪問控制列表，命令如下:Router（config）#interface E1Router（config-if）#ip access-group 199 out防火墻技術(shù)防火墻技術(shù) 訪問控制列表配置要點訪問控制列表配置要點對于某個協(xié)議，可能有多個訪問控制列表。對于一個新的訪問控制列表，可以選擇不同的數(shù)字，只要其在協(xié)議數(shù)字范圍之內(nèi)。但是，一個端口的一個協(xié)議，只能夠指定一個訪問控制列表。對于某些協(xié)議，一個端口可以指定兩個訪問控制列表:一個負(fù)責(zé)收到的數(shù)據(jù)，一個負(fù)責(zé)發(fā)出的數(shù)據(jù)。而某些協(xié)議，需要把這兩個訪問控制列表組合成一個負(fù)責(zé)進(jìn)出該端口的數(shù)據(jù)。防火墻技術(shù)防火墻技術(shù) 訪

23、問控制列表配置要點訪問控制列表配置要點假如訪問控制列表負(fù)責(zé)控制接收的數(shù)據(jù)，當(dāng)路由器接收到數(shù)據(jù)包，將檢查是否滿足訪問控制列表的條件。假如這個數(shù)據(jù)包被允許，路由器繼續(xù)處理這個數(shù)據(jù)包。如果被拒絕，該數(shù)據(jù)包將被丟棄。如果訪問控制列表是負(fù)責(zé)控制發(fā)出的數(shù)據(jù)，當(dāng)接收到一個數(shù)據(jù)包，并發(fā)送到了發(fā)出端口，路由器將檢查訪問控制列表的條件是否滿足。假如數(shù)據(jù)包被允許，則傳送這個數(shù)據(jù)包，如果數(shù)據(jù)包被拒絕，將丟棄這個數(shù)據(jù)包。防火墻技術(shù)防火墻技術(shù) 訪問控制列表配置要點訪問控制列表配置要點訪問控制列表可以用于控制數(shù)據(jù)流，消除不需要的數(shù)據(jù)流。依賴于訪問控制列表放置的位置，可以減少不必要的數(shù)據(jù)流。如在遠(yuǎn)離目的端，禁止某些數(shù)據(jù)流，可

24、以減少使用到達(dá)目的端的網(wǎng)絡(luò)資源。訪問控制列表放置的規(guī)則是:盡量將擴展訪問控制列表放置在靠近被拒絕的數(shù)據(jù)源。標(biāo)準(zhǔn)訪問控制列表不能指定目標(biāo)地址，所以需要把標(biāo)準(zhǔn)訪問控制列表放置在盡量靠近目標(biāo)的地方。可以把標(biāo)準(zhǔn)或者擴展訪問控制列表放置在路由器D的E0端口，以阻止來自于路由器A的數(shù)據(jù)流。防火墻技術(shù)防火墻技術(shù) 訪問控制列表配置要點訪問控制列表配置要點防火墻路由器通常位于內(nèi)部網(wǎng)和外部網(wǎng)之間，提供了一個隔離點，使得內(nèi)部網(wǎng)結(jié)構(gòu)不會受外部網(wǎng)影響?？梢栽诜阑饓β酚善魃鲜褂迷L問控制列表，以控制流入和流出內(nèi)部網(wǎng)某個特定部分的數(shù)據(jù)流。為了使用訪問控制列表的安全特性，至少需要在邊界路由器上配置訪問控制列表。從外部網(wǎng)絡(luò)，或者

25、網(wǎng)絡(luò)的控制較少的區(qū)域進(jìn)入網(wǎng)絡(luò)中更為私有的區(qū)域，在這些邊界路由器上，可以為路由器的每一個端口的每一個協(xié)議配置訪問控制列表，使得流入或者流出的數(shù)據(jù)被過濾。防火墻技術(shù)防火墻技術(shù) 7.4 Cisco IOS防火墻防火墻NAT配置配置Internet 技術(shù)是基于IP 協(xié)議 的技術(shù)，所有的信息通信都是通過IP包來實現(xiàn)的，每一個設(shè)備需要進(jìn)行通信都必須有一個唯一的IP地址。因此，當(dāng)一個網(wǎng)絡(luò)需要接入Internet的時候，需要在Internet上進(jìn)行通信的設(shè)備就必須有一個在全球Internet網(wǎng)絡(luò)上唯一的地址。當(dāng)一個網(wǎng)絡(luò)需要接入Internet上使用時，網(wǎng)絡(luò)中的每一臺設(shè)備都有一個Internet地址，這在實行各

26、種Internet應(yīng)用上當(dāng)然是最理想不過的。但是，這樣也導(dǎo)致每一個設(shè)備都暴露在網(wǎng)絡(luò)上，任何人都可以對這些設(shè)備攻擊，同時由于Internet目前采用的IPV4協(xié)議在網(wǎng)絡(luò)發(fā)展到現(xiàn)在，所剩下的可用的IP地址已經(jīng)不多了，網(wǎng)絡(luò)中的每一臺設(shè)備都需要一個IP地址，這幾乎是不可能的事情。防火墻技術(shù)防火墻技術(shù) 7.4 Cisco IOS防火墻防火墻NAT配置配置NAT為解決IP地址緊缺而設(shè)計，但它也可以隱蔽內(nèi)部網(wǎng)絡(luò)，對內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用，因此為防火墻技術(shù)所采用。NAT的應(yīng)用環(huán)境：一個企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開，則外部用戶根本不知道通過NA

27、T設(shè)置的內(nèi)部IP地址。一個企業(yè)申請的合法Internet IP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多?？梢酝ㄟ^NAT功能實現(xiàn)多個用戶同時公用一個合法IP與外部Internet 進(jìn)行通信。防火墻技術(shù)防火墻技術(shù) 7.4 Cisco IOS防火墻防火墻NAT配置配置關(guān)于NAT的兩個概念：內(nèi)部本地地址（Inside local address）：分配給內(nèi)部網(wǎng)絡(luò)中的計算機的內(nèi)部IP地址。內(nèi)部合法地址（Inside global address）：對外進(jìn)入IP通信時，代表一個或多個內(nèi)部本地地址的合法IP地址。需要申請才可取得的IP地址。防火墻技術(shù)防火墻技術(shù) 7.4 Cisco IOS防火墻防火墻NAT配置配置7.4

28、.1 靜態(tài)地址轉(zhuǎn)換適用的環(huán)境靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對一的轉(zhuǎn)換，且需要指定和哪個合法地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有E-mail服務(wù)器或FTP服務(wù)器等可以為外部用戶提供的服務(wù)，這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。防火墻技術(shù)防火墻技術(shù) 7.4 Cisco IOS防火墻防火墻NAT配置配置靜態(tài)NAT配置命令（1）在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入：ipnatinsidesourcestatic內(nèi)部本地地址內(nèi)部合法地址（2）指定連接網(wǎng)絡(luò)的內(nèi)部端口在端口設(shè)置狀態(tài)下輸入：ipnatinside（3）指定連接外部網(wǎng)絡(luò)

29、的外部端口在端口設(shè)置狀態(tài)下輸入：ipnatoutside防火墻技術(shù)防火墻技術(shù) 案例九:配置靜態(tài)NAT。任務(wù):實現(xiàn)靜態(tài)IP地址翻譯。通過接口Ethernet0發(fā)往外部網(wǎng)絡(luò)的數(shù)據(jù)流，在經(jīng)過Serial0接口時，如果源地址是，源地址將被轉(zhuǎn)換成為。第一步，配置內(nèi)部局部地址使用靜態(tài)轉(zhuǎn)換:ip nat第二步，配置接口IP地址，并在接口上啟動NAT:interface Ethernet0ipip nat inside interface Serial0ipip nat outside7.4 Cisco IOS防火墻防火墻NAT配置配置防火墻技術(shù)防火墻技術(shù) 7.4 Cisco IOS防火墻防火墻NAT配置配置

30、7.4.2 動態(tài)NAT配置 動態(tài)地址轉(zhuǎn)換也是將本地地址與內(nèi)部合法地址一對一的轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個末使用的地址對內(nèi)部本地地址進(jìn)行轉(zhuǎn)換。配置動態(tài)NAT相關(guān)命令：（1）在全局設(shè)置模式下，定義內(nèi)部合法地址池 ipnatpool地址池名稱起始IP地址終止IP地址子網(wǎng)掩碼 其中地址池名稱可以任意設(shè)定。防火墻技術(shù)防火墻技術(shù) 7.4 Cisco IOS防火墻防火墻NAT配置配置（2）在全局設(shè)置模式下，定義一個標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部地址可以進(jìn)行動態(tài)地址轉(zhuǎn)換。Access-list標(biāo)號permit源地址通配符 其中標(biāo)號為1-99之間的整數(shù)。（3）在全局設(shè)

31、置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換。ipnatinsidesourcelist訪問列表標(biāo)號 pool 內(nèi)部合法地址池名字 防火墻技術(shù)防火墻技術(shù) 7.4 Cisco IOS防火墻防火墻NAT配置配置（4）指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口在端口設(shè)置狀態(tài)下：ipnatinside（5）指定與外部網(wǎng)絡(luò)相連的外部端口ipnatoutside防火墻技術(shù)防火墻技術(shù) 案例十:配置動態(tài)NAT。任務(wù):實現(xiàn)動態(tài)IP地址翻譯。第一步，為內(nèi)部網(wǎng)絡(luò)定義一個標(biāo)準(zhǔn)的IP訪問控制列表:第二步，配置地址轉(zhuǎn)換集和動態(tài)地址轉(zhuǎn)換命令:ip nat pool dyn-nat 192.16

32、8.2.1 192.168.2.254 netmaskip nat inside source source list 1 pool dyn-nat第三步，配置接口IP地址，并在接口上啟動NAT:interface Ethernet0ipip nat insideinterface Serial0ipip nat outside通過接口Ethernet0發(fā)往外部網(wǎng)絡(luò)的數(shù)據(jù)流，在經(jīng)過Serial0接口時，如果源地址在網(wǎng)絡(luò)內(nèi)，源地址將被動態(tài)轉(zhuǎn)換成為網(wǎng)絡(luò)內(nèi)的任一IP地址。防火墻技術(shù)防火墻技術(shù) Cisco IOS防火墻防火墻NAT配置配置負(fù)載均衡配置通過NAT技術(shù)，我們也可以實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡，表7-1

33、4我們給出一個負(fù)載均衡的配置命令列表。命令說明ip nat pool pool-name start-ip end-ipnetmask netmask|prefix-length prefix-lengthtype rotary配置NAT地址集，必須使用“type rotary”使其成為一個循環(huán)地址集ip nat inside destination list access-list-number pool name配置訪問控制列表和NAT地址集之間的轉(zhuǎn)換防火墻技術(shù)防火墻技術(shù) 案例十一:負(fù)載均衡。任務(wù):實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡。第一步，為虛擬主機定義一個標(biāo)準(zhǔn)的IP訪問控制列表:第二步，配置地址轉(zhuǎn)換集和

34、動態(tài)地址轉(zhuǎn)換命令，一定要使用“type rotary”參數(shù)，使它成為一個循環(huán)地址集:ip nat pool real-host10.1.1.1 10.1.1.3prefix-length 24 type rotary ip nat inside destination list 2 pool real-host 第三步，配置接口IP地址，并在接口上啟動NAT:interface Ethernet0ipip nat inside interface Serial0ipip nat outside外部主機通過Serial0接口訪問內(nèi)部虛擬服務(wù)器，Cisco IOS防火墻將動態(tài)在之間選擇一個合適的服務(wù)器進(jìn)行轉(zhuǎn)發(fā)，從而實現(xiàn)負(fù)載均衡。防火墻技術(shù)防火墻技術(shù) 網(wǎng)絡(luò)地址交迭配置。當(dāng)公司合并時往往出現(xiàn)公司內(nèi)部IP地址沖突的情況，利用NAT技術(shù)同樣可以轉(zhuǎn)換交叉地址空間的配置。Cisco IOS防火墻防火墻NAT配置配置