Cisco IOS 防火墻配置

1、第七章 Cisco IOS 防火墻特征集防火墻配置概述：要注意的是，防火墻的具體配置方法不是千篇一律，不要說(shuō)不同品牌，就是同一品牌的不同型號(hào)也不完全一樣，所以在此也只能對(duì)一些通用防火墻配置方法作一基本介紹。同時(shí)，具體的防火墻策略配置會(huì)因具體的應(yīng)用環(huán)境不同而有較大區(qū)別。默認(rèn)情況下，所有的防火墻有兩種配置原則：拒絕所有的流量（大多數(shù)防火墻默認(rèn)方式）允許所有的流量防火墻配置概述在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角度考慮，在防火墻的配置過(guò)程中需堅(jiān)持以下三個(gè)基本原則：簡(jiǎn)單實(shí)用全面深入 內(nèi)外兼顧 防火墻配置概述1. 簡(jiǎn)單實(shí)用對(duì)防火墻環(huán)境設(shè)計(jì)來(lái)講，首要的就是越簡(jiǎn)單越好。越簡(jiǎn)單的實(shí)現(xiàn)方

2、式，越容易理解和使用、并且越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理也越可靠和簡(jiǎn)便。每種產(chǎn)品在開(kāi)發(fā)前都會(huì)有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測(cè)產(chǎn)品主要針對(duì)網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來(lái)的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測(cè)等功能，在入侵檢測(cè)上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時(shí)我們也可針對(duì)具體應(yīng)用環(huán)境進(jìn)行配置，不必要對(duì)每一功能都詳細(xì)配置，這樣一則會(huì)大大增強(qiáng)配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。 防火墻配置概述2.

3、 全面深入單一的防御措施是難以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。應(yīng)系統(tǒng)地看待整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)?？梢泽w現(xiàn)在兩個(gè)方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門(mén)邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢測(cè)、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。 防火墻配置概述3. 內(nèi)外兼顧防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來(lái)自?xún)?nèi)部，所以我們要樹(shù)立防內(nèi)的觀念，從根本上改變過(guò)去那種防外不防內(nèi)的傳統(tǒng)觀

4、念。對(duì)內(nèi)部威脅可以采取其它安全措施，比如入侵檢測(cè)、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。Cisco IOS防火墻特征集 基于Cisco IOS的防火墻特性集（FFS，F(xiàn)irewall Features Set）能夠?qū)崿F(xiàn)對(duì)Cisco路由器提供附加的安全功能，方便實(shí)現(xiàn)邊界安全部署，因此在實(shí)際應(yīng)用中很受歡迎。包括：基于上下文的訪(fǎng)問(wèn)控制(CBAC)提供基于應(yīng)用的安全過(guò)濾，支持最新的協(xié)議和常用的應(yīng)用程序。 入侵檢測(cè)實(shí)時(shí)監(jiān)控、截取并對(duì)網(wǎng)絡(luò)誤用作出響應(yīng)。 動(dòng)態(tài)的每用戶(hù)驗(yàn)證和授權(quán)，適合基于局域網(wǎng)和廣域網(wǎng)的用戶(hù)及VPN客戶(hù)。

5、端口到應(yīng)用的映射：支持對(duì)已經(jīng)應(yīng)用進(jìn)行的用戶(hù)非標(biāo)準(zhǔn)端口定義，防火墻在應(yīng)用層進(jìn)行檢查。早期的特征集不能實(shí)現(xiàn)對(duì)80端口以外的WWW服務(wù)進(jìn)行檢查，使用和CBAC相關(guān)聯(lián)的PAM可以改變這個(gè)限制等功能。7.3 配置Cisco IOS防火墻包過(guò)濾功能在Cisco IOS防火墻特征集中集成了強(qiáng)壯的防火墻功能和入侵檢測(cè)功能，本節(jié)將以Cisco IOS防火墻為示例對(duì)防火墻配置技術(shù)進(jìn)行講解和分析。在Cisco IOS防火墻中包過(guò)濾技術(shù)依賴(lài)于訪(fǎng)問(wèn)控制列表（ACL，Access Control List）。根據(jù)對(duì)數(shù)據(jù)包檢查的粒度，Cisco IOS防火墻將訪(fǎng)問(wèn)控制列表分為兩類(lèi)：標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表和擴(kuò)展訪(fǎng)問(wèn)控制列表。根據(jù)功

6、能和特點(diǎn)，訪(fǎng)問(wèn)控制列表還可以分為：靜態(tài)訪(fǎng)問(wèn)控制列表、動(dòng)態(tài)訪(fǎng)問(wèn)控制列表和反射訪(fǎng)問(wèn)控制列表。7.3 配置Cisco IOS防火墻包過(guò)濾功能配置訪(fǎng)問(wèn)控制列表對(duì)于Cisco IOS，配置訪(fǎng)問(wèn)控制列表遵循兩個(gè)步驟: 創(chuàng)建訪(fǎng)問(wèn)控制列表;將訪(fǎng)問(wèn)控制列表綁定到某個(gè)網(wǎng)絡(luò)接口。配置訪(fǎng)問(wèn)控制列表的時(shí)候，需要為每一個(gè)訪(fǎng)問(wèn)控制列表分配一個(gè)惟一的數(shù)字以標(biāo)識(shí)這個(gè)列表。Cisco公司對(duì)基于IOS的各種訪(fǎng)問(wèn)控制列表的編號(hào)進(jìn)行了限制和定義，見(jiàn)表。編號(hào)范圍標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表199擴(kuò)展訪(fǎng)問(wèn)控制列表100199配置Cisco IOS防火墻包過(guò)濾功能創(chuàng)建訪(fǎng)問(wèn)控制列表其實(shí)就是向某個(gè)訪(fǎng)問(wèn)控制列表中添加命令的過(guò)程，命令一般格式是：命令+訪(fǎng)問(wèn)控制

7、列表編號(hào)+操作+條件，見(jiàn)表。命令說(shuō)明Router（config）#access-list access-list-numberpermit |deny測(cè)試條件創(chuàng)建了某個(gè)訪(fǎng)問(wèn)控制列表并添加一條命令語(yǔ)句Router（config）#no access-list access-list-number 刪除某個(gè)訪(fǎng)問(wèn)控制列表配置Cisco IOS防火墻包過(guò)濾功能創(chuàng)建訪(fǎng)問(wèn)控制列表后必須將其綁定到Cisco IOS防火墻或路由器的某個(gè)接口方能生效。Router(config-if) #protocol access-group access-list- numberin|out 將某個(gè)訪(fǎng)問(wèn)控制列表綁定到防火

8、墻/路由器的某個(gè)接口上。參數(shù)protocol指明了是針對(duì)哪種協(xié)議的訪(fǎng)問(wèn)控制列表。常用的有IP、IPX等。參數(shù)in/out表明數(shù)據(jù)流進(jìn)入/流出網(wǎng)絡(luò)接口的方向。配置Cisco IOS防火墻包過(guò)濾功能說(shuō)明:可以向同一個(gè)訪(fǎng)問(wèn)控制列表寫(xiě)入多條語(yǔ)句。訪(fǎng)問(wèn)控制列表的配置命令比較繁瑣，尤其是需要向一個(gè)訪(fǎng)問(wèn)控制列表添加多條命令語(yǔ)句時(shí)。使用文本文件事先將命令編輯好，再?gòu)?fù)制粘帖到IOS中是一個(gè)不錯(cuò)的辦法。使用“no access-list access-list-number”刪除整個(gè)訪(fǎng)問(wèn)控制列表。注意在標(biāo)準(zhǔn)和擴(kuò)展訪(fǎng)問(wèn)控制列表中，不能夠刪除訪(fǎng)問(wèn)控制列表中的某一條命令語(yǔ)句，只能一次刪除整個(gè)訪(fǎng)問(wèn)控制列表。配置Cisco

9、 IOS防火墻包過(guò)濾功能翻轉(zhuǎn)掩碼在Cisco IOS中，網(wǎng)絡(luò)地址的辨別和匹配并不是通過(guò)子網(wǎng)掩碼，而是通過(guò)翻轉(zhuǎn)掩碼。與子網(wǎng)掩碼類(lèi)似，翻轉(zhuǎn)掩碼是由0和1組成的32位二進(jìn)制數(shù)字，分成4段。32位中的每一位正好可以和二進(jìn)制IP地址的相應(yīng)位對(duì)應(yīng)。翻轉(zhuǎn)掩碼通過(guò)將二進(jìn)制子網(wǎng)掩碼按位取反得到。十進(jìn)制網(wǎng)絡(luò)地址/二進(jìn)制IP地址11000000101001000000100100000001二進(jìn)制子網(wǎng)掩碼11111111111111111111111100000000二進(jìn)制翻轉(zhuǎn)掩碼00000000000000000000000011111111配置Cisco IOS防火墻包過(guò)濾功能在Cisco IOS中，一些翻轉(zhuǎn)掩

10、碼可以使用縮略語(yǔ)替代，例如，可以使用any代替，可以在地址前使用“host”命令代表相同的意義，例如，。這些縮寫(xiě)形式，一定程度上減少了配置的復(fù)雜度，簡(jiǎn)化了配置。7.3 配置Cisco IOS防火墻包過(guò)濾功能7.3.3 配置標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表用于:允許或者禁止來(lái)自于某個(gè)網(wǎng)絡(luò)的所有數(shù)據(jù)流，或者禁止某一協(xié)議的數(shù)據(jù)流。下面我們給出了標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表配置命令，如表所示。命令說(shuō)明Router（config）#access-list access-list-numberpermit| denysource-ip wildmask創(chuàng)建標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表，注意訪(fǎng)問(wèn)控制列表編號(hào)范圍必須是199。默認(rèn)翻

11、轉(zhuǎn)掩碼是Router（config-if）#ip access-group access-list-number in|out將一個(gè)已存在的訪(fǎng)問(wèn)控制列表綁定到某個(gè)接口上，參數(shù)“in|out”指明是入棧訪(fǎng)問(wèn)控制列表還是出棧訪(fǎng)問(wèn)控制列表，默認(rèn)為出棧訪(fǎng)問(wèn)控制列表Router# show access-listaccess-list-number查看已經(jīng)存在的訪(fǎng)問(wèn)控制列表包含的命令語(yǔ)句，如果不指定ACL編號(hào)，則顯示所有的訪(fǎng)問(wèn)控制列表Router #show ip interface interface查看是否為某個(gè)接口綁定了訪(fǎng)問(wèn)控制列表。配置Cisco IOS防火墻包過(guò)濾功能注意:每一個(gè)網(wǎng)絡(luò)接口在每個(gè)

12、數(shù)據(jù)流方向上針對(duì)每一個(gè)協(xié)議只允許存在一個(gè)訪(fǎng)問(wèn)控制列表。下面我們給出一個(gè)配置實(shí)例:Router（config）Router（config）Router（config）#access-list 1 permit 55 使用檢測(cè)命令，我們可以得到相關(guān)配置的調(diào)試信息: Router#show access-list 1Standard IP access list 1 permit Permit 配置Cisco IOS防火墻包過(guò)濾功能案例一:指定特定網(wǎng)絡(luò)。任務(wù):如圖7-1所示，在防火墻/路由器上，只允許來(lái)自于網(wǎng)絡(luò)的數(shù)據(jù)包被轉(zhuǎn)發(fā)出去，其余的數(shù)據(jù)包都將被阻止。第一步，創(chuàng)建標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表，命令如下:Rou

13、ter（config）第二步，將訪(fǎng)問(wèn)控制列表綁定到E0和E1的出口上，命令如下: Router（config）#interface E0Router（config-if）#ip access-group 1 out Router（config）#interface E1Router（config-if）#ip access-group 1 out 。配置Cisco IOS防火墻包過(guò)濾功能案例二:阻止特定地址。任務(wù):在防火墻/路由器上，在E0接口阻止來(lái)自于特定地址的數(shù)據(jù)流，其他的數(shù)據(jù)流將被轉(zhuǎn)發(fā)出去，如圖7-1所示。第一步，創(chuàng)建標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表，命令如下:Router（config）Router（

14、config）#access-list 1 permit any 第二步，綁定，命令如下:Router（config）#interface E0Router（config-if）#ip access-group 1 out說(shuō)明:第一個(gè)access-list命令用“deny”參數(shù)來(lái)禁止來(lái)自于這個(gè)指定主機(jī)的數(shù)據(jù)流，地址掩碼表明要檢查匹配地址中的所有的位。第二個(gè)access-list命令中，any代表“ 55”，表示允許源自任何網(wǎng)絡(luò)的數(shù)據(jù)流通過(guò)。配置Cisco IOS防火墻包過(guò)濾功能案例三:阻止特定的子網(wǎng)。任務(wù):阻止來(lái)自于特定的子網(wǎng)的數(shù)據(jù)通過(guò)E0端口，而轉(zhuǎn)發(fā)其他的數(shù)據(jù)。第一步，創(chuàng)建訪(fǎng)問(wèn)控制列表，命令

15、如下:Router（config）Router（config）#access-list 1 permit any 第二步，綁定，命令如下:Router（config）#interface E0Router（config-if）#ip access-group 1 out配置Cisco IOS防火墻包過(guò)濾功能配置擴(kuò)展訪(fǎng)問(wèn)控制列表擴(kuò)展訪(fǎng)問(wèn)控制列表對(duì)數(shù)據(jù)包的控制比標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表粒度更細(xì)，因而運(yùn)用更廣。例如，可以使用擴(kuò)展訪(fǎng)問(wèn)控制列表來(lái)實(shí)現(xiàn)允許Web數(shù)據(jù)流，而禁止FTP或Telnet數(shù)據(jù)流。擴(kuò)展訪(fǎng)問(wèn)控制列表可以檢查源地址和目標(biāo)地址、特定的協(xié)議、端口號(hào)，以及其他的參數(shù)。這些特性使得擴(kuò)展訪(fǎng)問(wèn)控制列表可以更

16、加靈活地描述數(shù)據(jù)過(guò)濾任務(wù)。在Cisco IOS中，擴(kuò)展訪(fǎng)問(wèn)控制列表使用的數(shù)字范圍是:100199，配置命令可以見(jiàn)表7-6。表76 擴(kuò)展訪(fǎng)問(wèn)控制列表配置命令命 令說(shuō) 明Router（config）#access-list access-list-numberpermit|deny protocol source source-mask operator port destination destination-maskoperator port創(chuàng)建一個(gè)擴(kuò)展訪(fǎng)問(wèn)控制列表參數(shù)說(shuō)明access-list-number:范圍100-199，用于標(biāo)識(shí)訪(fǎng)問(wèn)控制列表。Protocol:可以是IP、TCP、UD

17、P、ICMP、GRE、IGRP，指明源數(shù)據(jù)包的協(xié)議類(lèi)型 Source、Source-mask:源地址、源掩碼 Operator port:TCP/UDP協(xié)議端口號(hào)范圍，可以是lt（小于）、gt（大于）、eq（等于）、neq（不等于）某個(gè)端口號(hào)Destination、destination-mask:目的地址、目的掩碼Router（config-if）#ip access-group access-list-numberin|out綁定訪(fǎng)問(wèn)控制列表到某個(gè)網(wǎng)絡(luò)接口上Router#show access-list access-list-number顯示訪(fǎng)問(wèn)控制列表包含的命令語(yǔ)句Router#sho

18、w ip interface interface查看是否為某個(gè)接口綁定了訪(fǎng)問(wèn)控制列表案例四:使用擴(kuò)展訪(fǎng)問(wèn)控制列表。任務(wù):要求只有主機(jī)能夠通過(guò)FTP訪(fǎng)問(wèn)網(wǎng)絡(luò)。第一步，創(chuàng)建擴(kuò)展的訪(fǎng)問(wèn)控制列表，命令如下:Router（config）#access-list 100 permit TCP 55 eq 20 第二步，將訪(fǎng)問(wèn)控制列表綁定到E2的出口: Router（config）#interface E2 Router（config-if）#ip access-group 100 out 案例五:使用擴(kuò)展訪(fǎng)問(wèn)控制列表。任務(wù):拒絕網(wǎng)絡(luò)通過(guò)Telnet訪(fǎng)問(wèn)任何網(wǎng)段，允許其他所有的IP數(shù)據(jù)。第一步，創(chuàng)建擴(kuò)展訪(fǎng)問(wèn)

19、控制列表，命令如下:Router（config）#access-list 101 deny tcp 55 any eq23Router（config）#access-list 101 permit any any第二步，綁定訪(fǎng)問(wèn)控制列表到E1的出口上，命令如下: Router（config）#interface E1Router（config-if）#ip access-group 101 in案例六:使用擴(kuò)展訪(fǎng)問(wèn)控制列表。任務(wù):禁止網(wǎng)絡(luò)使用ping命令訪(fǎng)問(wèn)網(wǎng)絡(luò)，允許其他的IP數(shù)據(jù)。第一步，創(chuàng)建擴(kuò)展訪(fǎng)問(wèn)控制列表，命令如下:Router（config）#access-list 199 deny

20、icmpRouter（config）#access-list 199 permit ip any any 第二步，綁定訪(fǎng)問(wèn)控制列表，命令如下:Router（config）#interface E1Router（config-if）#ip access-group 199 out訪(fǎng)問(wèn)控制列表配置要點(diǎn)對(duì)于某個(gè)協(xié)議，可能有多個(gè)訪(fǎng)問(wèn)控制列表。對(duì)于一個(gè)新的訪(fǎng)問(wèn)控制列表，可以選擇不同的數(shù)字，只要其在協(xié)議數(shù)字范圍之內(nèi)。但是，一個(gè)端口的一個(gè)協(xié)議，只能夠指定一個(gè)訪(fǎng)問(wèn)控制列表。對(duì)于某些協(xié)議，一個(gè)端口可以指定兩個(gè)訪(fǎng)問(wèn)控制列表:一個(gè)負(fù)責(zé)收到的數(shù)據(jù)，一個(gè)負(fù)責(zé)發(fā)出的數(shù)據(jù)。而某些協(xié)議，需要把這兩個(gè)訪(fǎng)問(wèn)控制列表組合成一個(gè)負(fù)責(zé)

21、進(jìn)出該端口的數(shù)據(jù)。 訪(fǎng)問(wèn)控制列表配置要點(diǎn)假如訪(fǎng)問(wèn)控制列表負(fù)責(zé)控制接收的數(shù)據(jù)，當(dāng)路由器接收到數(shù)據(jù)包，將檢查是否滿(mǎn)足訪(fǎng)問(wèn)控制列表的條件。假如這個(gè)數(shù)據(jù)包被允許，路由器繼續(xù)處理這個(gè)數(shù)據(jù)包。如果被拒絕，該數(shù)據(jù)包將被丟棄。如果訪(fǎng)問(wèn)控制列表是負(fù)責(zé)控制發(fā)出的數(shù)據(jù)，當(dāng)接收到一個(gè)數(shù)據(jù)包，并發(fā)送到了發(fā)出端口，路由器將檢查訪(fǎng)問(wèn)控制列表的條件是否滿(mǎn)足。假如數(shù)據(jù)包被允許，則傳送這個(gè)數(shù)據(jù)包，如果數(shù)據(jù)包被拒絕，將丟棄這個(gè)數(shù)據(jù)包。訪(fǎng)問(wèn)控制列表配置要點(diǎn)訪(fǎng)問(wèn)控制列表可以用于控制數(shù)據(jù)流，消除不需要的數(shù)據(jù)流。依賴(lài)于訪(fǎng)問(wèn)控制列表放置的位置，可以減少不必要的數(shù)據(jù)流。如在遠(yuǎn)離目的端，禁止某些數(shù)據(jù)流，可以減少使用到達(dá)目的端的網(wǎng)絡(luò)資源。訪(fǎng)問(wèn)控制

22、列表放置的規(guī)則是:盡量將擴(kuò)展訪(fǎng)問(wèn)控制列表放置在靠近被拒絕的數(shù)據(jù)源。標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表不能指定目標(biāo)地址，所以需要把標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表放置在盡量靠近目標(biāo)的地方?？梢园褬?biāo)準(zhǔn)或者擴(kuò)展訪(fǎng)問(wèn)控制列表放置在路由器D的E0端口，以阻止來(lái)自于路由器A的數(shù)據(jù)流。訪(fǎng)問(wèn)控制列表配置要點(diǎn)防火墻路由器通常位于內(nèi)部網(wǎng)和外部網(wǎng)之間，提供了一個(gè)隔離點(diǎn)，使得內(nèi)部網(wǎng)結(jié)構(gòu)不會(huì)受外部網(wǎng)影響?？梢栽诜阑饓β酚善魃鲜褂迷L(fǎng)問(wèn)控制列表，以控制流入和流出內(nèi)部網(wǎng)某個(gè)特定部分的數(shù)據(jù)流。為了使用訪(fǎng)問(wèn)控制列表的安全特性，至少需要在邊界路由器上配置訪(fǎng)問(wèn)控制列表。從外部網(wǎng)絡(luò)，或者網(wǎng)絡(luò)的控制較少的區(qū)域進(jìn)入網(wǎng)絡(luò)中更為私有的區(qū)域，在這些邊界路由器上，可以為路由器的每

23、一個(gè)端口的每一個(gè)協(xié)議配置訪(fǎng)問(wèn)控制列表，使得流入或者流出的數(shù)據(jù)被過(guò)濾。7.4 Cisco IOS防火墻NAT配置Internet 技術(shù)是基于IP 協(xié)議 的技術(shù)，所有的信息通信都是通過(guò)IP包來(lái)實(shí)現(xiàn)的，每一個(gè)設(shè)備需要進(jìn)行通信都必須有一個(gè)唯一的IP地址。因此，當(dāng)一個(gè)網(wǎng)絡(luò)需要接入Internet的時(shí)候，需要在Internet上進(jìn)行通信的設(shè)備就必須有一個(gè)在全球Internet網(wǎng)絡(luò)上唯一的地址。當(dāng)一個(gè)網(wǎng)絡(luò)需要接入Internet上使用時(shí)，網(wǎng)絡(luò)中的每一臺(tái)設(shè)備都有一個(gè)Internet地址，這在實(shí)行各種Internet應(yīng)用上當(dāng)然是最理想不過(guò)的。但是，這樣也導(dǎo)致每一個(gè)設(shè)備都暴露在網(wǎng)絡(luò)上，任何人都可以對(duì)這些設(shè)備攻擊，

24、同時(shí)由于Internet目前采用的IPV4協(xié)議在網(wǎng)絡(luò)發(fā)展到現(xiàn)在，所剩下的可用的IP地址已經(jīng)不多了，網(wǎng)絡(luò)中的每一臺(tái)設(shè)備都需要一個(gè)IP地址，這幾乎是不可能的事情。 7.4 Cisco IOS防火墻NAT配置NAT為解決IP地址緊缺而設(shè)計(jì)，但它也可以隱蔽內(nèi)部網(wǎng)絡(luò)，對(duì)內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用，因此為防火墻技術(shù)所采用。NAT的應(yīng)用環(huán)境：一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶(hù)知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過(guò)NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開(kāi)，則外部用戶(hù)根本不知道通過(guò)NAT設(shè)置的內(nèi)部IP地址。一個(gè)企業(yè)申請(qǐng)的合法Internet IP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶(hù)很多?？梢酝ㄟ^(guò)NAT功能實(shí)現(xiàn)多個(gè)用戶(hù)同時(shí)公用一個(gè)合法IP與

25、外部Internet 進(jìn)行通信。7.4 Cisco IOS防火墻NAT配置關(guān)于NAT的兩個(gè)概念：內(nèi)部本地地址（Inside local address）：分配給內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)的內(nèi)部IP地址。內(nèi)部合法地址（Inside global address）：對(duì)外進(jìn)入IP通信時(shí)，代表一個(gè)或多個(gè)內(nèi)部本地地址的合法IP地址。需要申請(qǐng)才可取得的IP地址。7.4 Cisco IOS防火墻NAT配置7.4.1 靜態(tài)地址轉(zhuǎn)換適用的環(huán)境靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對(duì)一的轉(zhuǎn)換，且需要指定和哪個(gè)合法地址進(jìn)行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡(luò)有E-mail服務(wù)器或FTP服務(wù)器等可以為外部用戶(hù)提供的服務(wù)，這些服務(wù)器的I

26、P地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶(hù)可以使用這些服務(wù)。7.4 Cisco IOS防火墻NAT配置靜態(tài)NAT配置命令（1）在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入：ipnatinsidesourcestatic內(nèi)部本地地址內(nèi)部合法地址（2）指定連接網(wǎng)絡(luò)的內(nèi)部端口在端口設(shè)置狀態(tài)下輸入：ipnatinside（3）指定連接外部網(wǎng)絡(luò)的外部端口在端口設(shè)置狀態(tài)下輸入：ipnatoutside案例九:配置靜態(tài)NAT。任務(wù):實(shí)現(xiàn)靜態(tài)IP地址翻譯。通過(guò)接口Ethernet0發(fā)往外部網(wǎng)絡(luò)的數(shù)據(jù)流，在經(jīng)過(guò)Serial0接口時(shí)，如果源地址是，源地址將被轉(zhuǎn)換成為。 第一步，配置內(nèi)部局部

27、地址使用靜態(tài)轉(zhuǎn)換:ip nat第二步，配置接口IP地址，并在接口上啟動(dòng)NAT: interface Ethernet0ipip nat inside interface Serial0ipip nat outside7.4 Cisco IOS防火墻NAT配置7.4 Cisco IOS防火墻NAT配置7.4.2 動(dòng)態(tài)NAT配置 動(dòng)態(tài)地址轉(zhuǎn)換也是將本地地址與內(nèi)部合法地址一對(duì)一的轉(zhuǎn)換，但是動(dòng)態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動(dòng)態(tài)地選擇一個(gè)末使用的地址對(duì)內(nèi)部本地地址進(jìn)行轉(zhuǎn)換。 配置動(dòng)態(tài)NAT相關(guān)命令：（1）在全局設(shè)置模式下，定義內(nèi)部合法地址池 ipnatpool地址池名稱(chēng)起始IP地址終止IP地址子網(wǎng)掩碼

28、其中地址池名稱(chēng)可以任意設(shè)定。7.4 Cisco IOS防火墻NAT配置（2）在全局設(shè)置模式下，定義一個(gè)標(biāo)準(zhǔn)的access-list規(guī)則以允許哪些內(nèi)部地址可以進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換。Access-list標(biāo)號(hào)permit源地址通配符 其中標(biāo)號(hào)為1-99之間的整數(shù)。（3）在全局設(shè)置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換。ipnatinsidesourcelist訪(fǎng)問(wèn)列表標(biāo)號(hào) pool 內(nèi)部合法地址池名字 7.4 Cisco IOS防火墻NAT配置（4）指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口在端口設(shè)置狀態(tài)下：ipnatinside（5）指定與外部網(wǎng)絡(luò)相連的外部端口ipnatoutside案例十:配置動(dòng)態(tài)NAT。任務(wù):實(shí)現(xiàn)動(dòng)態(tài)IP地址翻譯。第一步，為內(nèi)部網(wǎng)絡(luò)定義一個(gè)標(biāo)準(zhǔn)的IP訪(fǎng)問(wèn)控制列表: 第二步，配置地址轉(zhuǎn)換集和動(dòng)態(tài)地址轉(zhuǎn)換命令:ip nat po