新闻资讯  快讯  焦点  财经  政策  社会
互 联 网   电商  金融  数据  计算  技巧
生活百科  科技  职场  健康  法律  汽车
手机百科  知识  软件  修理  测评  微信
软件技术  应用  系统  图像  视频  经验
硬件技术  知识  技术  测评  选购  维修
网络技术  硬件  软件  设置  安全  技术
程序开发  语言  移动  数据  开源  百科
安全防护  资讯  黑客  木马  病毒  移动
站长技术  搜索  SEO  推广  媒体  移动
财经百科  股票  知识  理财  财务  金融
教育考试  育儿  小学  高考  考研  留学
您当前的位置:首页 > IT百科 > 安全防护 > 软件

Cisco ASA 防火墙 NAT - 基本概念

时间:2019-12-02 11:58:58  来源:  作者:

Cisco 的 NAT 从来都是谜之难用,无论是 IOS 还是 ASA。在这里专门集中整理了一下 ASA NAT 的一些概念和基础配置案例,仅限于基础部分,实在是没有精力去深究。( ASA version 8.3 之前的 NAT 对于数据处理的流程完全不同,本文所有的内容均是基于 version 8.3 及以后的版本。)

基本概念

ASA 里面 NAT 的基本概念和其他的厂商类似,大致上分为:

  • Static
  • Static NAT
  • Static PAT
  • Dynamic
  • Dynamic NAT
  • Dynamic PAT
  • Policy
  • Policy NAT
  • Policy PAT
  • Identity NAT

ASA 配置 NAT 的方法有两种:

  • Auto NAT
  • Manual NAT

NAT

NAT 的概念很简单,就是做地址转换。

PAT

PAT 是在 NAT 的基础上不仅做地址转换还做了端口转换,这里的端口一般是指 Source Port。

Cisco ASA <a href=http://www.solves.com.cn/e/tags/?tagname=%E9%98%B2%E7%81%AB%E5%A2%99 target=_blank class=infotextkey>防火墙</a> NAT - 基本概念

 

Static NAT

静态的 NAT,允许双向通信。Static NAT 可以实现的映射关系有:

  • one-to-one
  • one-to-many
  • few-to-many
  • many-to-few
  • many-to-one

Cisco 只推荐使用 one-to-one 和 one-to-many,至于原因,官方只给了一句话 “might result in unintended consequences”。

Cisco ASA 防火墙 NAT - 基本概念

 

Static PAT

静态的 PAT,允许双向通信。需要注意的是在 ASA 里 Static PAT 又被称为 Port Redirection (或者叫 Port Forwarding)。这和我们家用的普通无线路由器里面的端口转发是一个概念,从外部进入内部的数据会被进行端口转发。

Cisco ASA 防火墙 NAT - 基本概念

 

Dynamic NAT

动态的从一个地址池里面按照先来先得原则进行 one-to-one 的 NAT 映射。只允许从里向外发起连接,在通信建立以后可以允许从外向里发起连接。

Cisco ASA 防火墙 NAT - 基本概念

 

Dynamic PAT

动态的将多个内部源地址 PAT 到一个单一的固定的外部源地址上。只允许从里向外发起连接,在通信建立以后可以允许从外向里发起连接。类似于 IOS 里面的 overload。

Cisco ASA 防火墙 NAT - 基本概念

 

Policy NAT / PAT

Policy NAT / PAT 的定义是 NAT 的转换需要根据配置的 Policy 来进行,配置 Policy 是通过 Manual NAT 来实现的。所以可以说 Policy NAT = Manual NAT。Policy NAT 是定义,Manual NAT 是具体实施方法。

Identity NAT

也是一种定义,即在做 NAT 的时候不进行地址转换。也是通过 Manual NAT 来进行配置。

Auto NAT

是一种配置 NAT 的方法,又称为 Network Object NAT,因为 NAT 是配置在 Network Object 里面的。一般情况下 Auto NAT 是用来做 Source NAT的,但是通过反向配置的方式我们也可以实现 Destination NAT 甚至是 Bidirectional NAT。

Manual NAT

是另一种配置 NAT 的方法,又称为 Twice NAT,这种方法需要定义一个单独的 NAT Policy从而实现了 Policy NAT。Twice 代表可以同时执行 Source 和 Destination NAT。

其他注意事项

  • Proxy ARP 在配置了 NAT 后会自动开启。
  • 配置 ACL 的时候里面的地址全部使用真正的地址。

配置 NAT 的时候还有很多其他重要的细节比如数据包的处理流程,先做路由查询还是先做 NAT 等等,由于篇幅限制就不展开讨论了。在后续的文章中我们会进行具体的案例配置来分别对上面的概念进行验证。



Tags:防火墙   点击:()  评论:()
声明:本站部分内容来自互联网,内容观点仅代表作者本人,如有任何版权侵犯请与我们联系,我们将立即删除。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
一、设备登录 登录方式:内网使用协议:telnet内网登录IP地址:192.168.201.6外网使用协议:ssh外网登录IP地址:XXX.XXX.XXX.XXX用户名:cisco密码:123456特权密码:123456 二、安全区域...【详细内容】
2020-03-19   防火墙  点击:(7)  评论:(0)  加入收藏
VeryNginx 是一个基于openrestry(其实是基于nginx的lua扩展)的开发程序,实现了高级的防火墙,可以做访问统计和其他的一些防护功能。 VeryNginx 扩展了 Nginx 本身的功能,并提供了友好的 Web 交互界面。...【详细内容】
2020-03-19   防火墙  点击:(4)  评论:(0)  加入收藏
安全区域介绍 防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为。从防火墙的定义中可以看出防火墙是基于安全区...【详细内容】
2020-03-16   防火墙  点击:(6)  评论:(0)  加入收藏
该模块由机房动力环境监控一体机提供,通过TCP/IP网络接入到防火墙,采用SNMP协议对防火墙工作状态与运行参数进行实时监测,并能远程修改设置参数、控制防火墙及故障告警。1、兼...【详细内容】
2020-03-09   防火墙  点击:(7)  评论:(0)  加入收藏
1 配置需求或说明1.1 适用的产品系列本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-WiNet、F1000-AK、F10X0等注:本案例是在F100-C-G2的Version 7...【详细内容】
2020-03-08   防火墙  点击:(25)  评论:(0)  加入收藏
1 配置需求及说明1.1 适用的产品系列本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。1.2 License介绍及注意事项Lic...【详细内容】
2020-03-08   防火墙  点击:(17)  评论:(0)  加入收藏
环境搭建及连接方式适用产品系列本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-WiNet、F1000-AK、F10X0等需要的工具及软件环境&middot; WEB登陆...【详细内容】
2020-03-08   防火墙  点击:(20)  评论:(0)  加入收藏
1 配置需求及说明1.1 适用的产品系列本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。注:本案例是在F1000-C-G2的Vers...【详细内容】
2020-03-08   防火墙  点击:(31)  评论:(0)  加入收藏
1 配置需求及说明1.1 适用的产品系列本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。注:本案例是在F100-C-G2的Versi...【详细内容】
2020-03-08   防火墙  点击:(43)  评论:(0)  加入收藏
1 配置需求或说明1.1 适用的产品系列本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-WiNet、F1000-AK、F10X0等注:本案例是在F100-C-G2的Version 7...【详细内容】
2020-03-08   防火墙  点击:(21)  评论:(0)  加入收藏
VeryNginx 是一个基于openrestry(其实是基于nginx的lua扩展)的开发程序,实现了高级的防火墙,可以做访问统计和其他的一些防护功能。 VeryNginx 扩展了 Nginx 本身的功能,并提供了...【详细内容】
2020-03-01   防火墙  点击:(18)  评论:(0)  加入收藏
测试环境ubuntu 14.04 root用户windows7 x64 user用户0x01环境准备apt-get updateapt-get -y install ruby-dev git make g++gem install bundlergit clone https://github....【详细内容】
2020-02-22   防火墙  点击:(9)  评论:(0)  加入收藏
Web 应用程序防火墙(WAF)现在已经成为许多商业 Web 网站与系统的基本保护措施,它的确在防范许多针对 Web 系统的安全攻击方面卓有成效,但是 WAF 在面对攻击方式多种多样的 SQL...【详细内容】
2020-02-17   防火墙  点击:(17)  评论:(0)  加入收藏
防火墙是网络设备中一个很重要的设备,从字面意思理解,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙主要用于保护一个网络区域免受来自另一个网络区...【详细内容】
2020-02-16   防火墙  点击:(38)  评论:(0)  加入收藏
当使用firewalld-cmd添加防火墙规则时,它实际上是将配置转换成iptables规则后,再应用到系统中。设有如下网络拓扑:内网internal (172.12.0.100)br1--Linux---br0---external(10...【详细内容】
2020-01-15   防火墙  点击:(21)  评论:(0)  加入收藏
公司的私网通常会有一些服务需要提供给公网的用户访问,但是由于网络部署时,服务器地址一般都会配置成私网地址,这样就不能实现公网的用户访问了。那么华为防火墙作为企业的出口...【详细内容】
2020-01-13   防火墙  点击:(68)  评论:(0)  加入收藏
Firewalld服务简介▶1 基本介绍firewalld是CentOS 7.0新推出的管理netfilter的工具firewalld是配置和监控防火墙规则的系统守护进程,可以实现iptables,ip6tables,ebtables的...【详细内容】
2019-12-26   防火墙  点击:(17)  评论:(0)  加入收藏
电脑自带有防火墙功能,可以保护系统安全,一些用户为阻止对方进入我们电脑,设置IP黑名单,设置方法很简单,接下去分享Win系统使用防火墙设置IP黑名单的方法。  解决方法如下:  1...【详细内容】
2019-12-24   防火墙  点击:(245)  评论:(0)  加入收藏
1.防火墙的概念和特征防火墙概念所谓“防火墙”是指一种计算机硬件和软件的结合,将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙主要由服务访问规...【详细内容】
2019-12-16   防火墙  点击:(51)  评论:(0)  加入收藏
Cisco 的 NAT 从来都是谜之难用,无论是 IOS 还是 ASA。在这里专门集中整理了一下 ASA NAT 的一些概念和基础配置案例,仅限于基础部分,实在是没有精力去深究。( ASA version 8.3...【详细内容】
2019-12-02   防火墙  点击:(54)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条