硬體防火牆的配置過程講解(2)

來源:互聯網
上載者:User

  10. 地址轉換(NAT)

  防火牆的NAT配置與路由器的NAT配置基本一樣,首先也必須定義供NAT轉換的內部IP地址組,接著定義內部網段。

  定義供NAT轉換的內部地址組的命令是nat,它的格式為:nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]],其中if_name為介面名;nat_id參數代表內部地址組號;而local_ip為本網地址;netmask為子網路遮罩;max_conns為此介面上所允許的最大TCP串連數,預設為"0",表示不限制串連;em_limit為允許從此連接埠發出的串連數,預設也為"0",即不限制。如:

  nat (inside) 1 10.1.6.0 255.255.255.0

  表示把所有網路地址為10.1.6.0,子網路遮罩為255.255.255.0的主機地址定義為1號NAT地址組。

  隨後再定義內部地址轉換後可用的外部位址集區,它所用的命令為global,基本命令格式為:

  global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ,各參數解釋同上。如:

  global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0

  將上述nat命令所定的內部IP地址群組轉換成175.1.1.3~175.1.1.64的外部位址集區中的外部IP地址,其子網掩耳盜鈴碼為255.255.255.0。

  11. Port Redirection with Statics

  這是靜態連接埠重新導向命令。在Cisco PIX版本6.0以上,增加了連接埠重新導向的功能,允許外部使用者通過一個特殊的IP地址/連接埠通過防火牆傳輸到內部指定的內部伺服器。其中重新導向後的地址可以是單一外部地址、共用的外部地址轉換連接埠(PAT),或者是共用的外部連接埠。這種功能也就是發行就緒內部WWW、FTP、Mail等伺服器,這種方式並不是直接與內部伺服器串連,而是通過連接埠重新導向串連的,所以可使內部伺服器很安全。

  命令格式有兩種,分別適用於TCP/UDP通訊和非TCP/UDP通訊:

  (1). static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]

  (2). static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]

  此命令中的以上各參數解釋如下:

  internal_if_name:內部介面名稱;external_if_name:外部介面名稱;{tcp|udp}:選擇通訊協定類型;{global_ip|interface}:重新導向後的外部IP地址或共用連接埠;local_ip:本地IP地址;[netmask mask]:本地子網路遮罩;max_conns:允許的最大TCP串連數,預設為"0",即不限制;emb_limit:允許從此連接埠發起的串連數,預設也為"0",即不限制;norandomseq:不對資料包排序,此參數通常不用選。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。