思科防火墙nat 命令配置

  • 1.ASA一对一的NAT配置
    • 分析现在内网不能PING外网有两方面原因
    • 1:在路由层面(内网的设备没有外网的路由,外网的设备没有内网路由)
    • 2:ASA防火策略层面(当外网的OUTSIDE去访问INSIDE接口时候会拒绝访问。
    • 1:ASA策略放行
      • ciscoasa(config)# access-list 100 permit  ip any any
      • ciscoasa(config)# access-group 100 in interface outside
    • 2:ASA配置静态一对一的转换
      • ciscoasa(config)# object network inside-to-outside-nat
      • ciscoasa(config-network-object)# host 2.2.2.2
      • ciscoasa(config-network-object)# nat (inside,outside) static192.168.3.100
    • 最后在内网的所有三层设备上要配置一个默认路由
    • R2
      • inside-router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
  • 2.ASA动态NAT多对一(多个公网地址)
    • ciscoasa(config)# object network outside-nat-pol 公网地址
    • ciscoasa(config-network-object)# range 192.168.3.3 192.168.3.254
    • ciscoasa(config-network-object)# exit
    • ciscoasa(config)# object network inside-network  内网地址
    • ciscoasa(config-network-object)# host 2.2.2.2
    • ciscoasa(config-network-object)# nat (inside,outside) dynamic  outside-nat-pol 内到外做动态NAT转换。
  • 3.动态PAT(动态多对一)一个公网地址
    • ciscoasa(config)# object network outside-pat-address 公网地址
    • ciscoasa(config-network-object)# host 192.168.3.3
    • ciscoasa(config-network-object)# exit
    • ciscoasa(config)# object network inside-network  内网地址
    • ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
    • ciscoasa(config-network-object)# nat (inside,outside) source dynamicinside-network  outside-pat-address 内到外的动态PAT转换。
  • 4.端口映射
    • 1:asa上做端口映射不需要配置单独内到外的上网的NAT(与路由在NAT有所区别)
    • 2:在防火墙必须开放内网服务需要发布到公网的服务
    • 3:端口映射的命令:
    • ciscoasa(config)# object network public-address :被映射内网服务器的公网地址
    • ciscoasa(config-network-object)# host 192.168.3.100
    • ciscoasa(config-network-object)# exit
    • ciscoasa(config)# object network inside-pravite-server:内网服务器的地址
    • ciscoasa(config-network-object)# host 2.2.2.2
    • ciscoasa(config-network-object)# exit
    • ciscoasa(config)# object service open-telnet:定义内网要开放的服务
    • ciscoasa(config-service-object)# service tcp source eq 23
    • ciscoasa(config)#nat(inside,outside) source static inside-pravite-server(内网服务器的地址) public-address(被映射内网服务器的公网地址)serviceopen-telnet(内网服务器的地址所开放端口号)open-telnet(被映射内网服务器的公网地址所开放端口号)
    • 以后外网用户只要访问(被映射内网服务器的公网地址)这个地址的(被映射内网服务器的公网地址所开放端口号)ASA会自动转换成((内网服务器的地址)所对应的(内网服务器的地址所开放端口号)。
  • 5.防火墙的企业布署
    • 1:这种模式保护内网和外网的安全
      • 思科防火墙nat 命令配置_第1张图片

    • 2.防火墙保护内网访问内网安全
      • 思科防火墙nat 命令配置_第2张图片

    • 3:防火墙的综合应用布署
      • 思科防火墙nat 命令配置_第3张图片

    • 路由模式布署:容易打乱现有的网络环境
    • 透明模式布署:不会打乱现有的网络环境
    • failover的条件:
    • 1、硬件型号必须相同
    • 2、系统版本必须一致
    • 3、模式必须一致
    • 4、相同的许可和许可的数量
    • ciscoasa(config)#firewall transparent
  • 6.查看命令:
    • ciscoasa# show xlate
    • ciscoasa# show nat translated interface outside
    • ciscoasa# show nat

你可能感兴趣的:(思科防火墙nat 命令配置)