《网络工程设计与项目实训》_09 防火墙配置.ppt

*此页为了让学员和老师对课程安排有一个大致的了解。此页列出本课程的主要培训标题，列出每章的名称即可。如果章下面的节不多，在此页可以一并列出。此页胶片仅在授课时使用，胶片＋注释中有专门的目录和标题，不需要重复使用该页面。*第*页//在路由器R2配置IP地址、默认路由、设置远程登录口令R2(config)#iprouteR2(config)#interfacef0/0R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config)#linevty04R2(config-line)#passwordabcdR2(config-line)#login*第*页完成以上配置，可通过下面的操作，对上面的配置结果进行验证。首先，从路由器R1上远程登录路由器R2。以检测网络是否可通。*第*页其次，在路由器R2上查看用户。可以看到当前有一个来自（路由器R1）的远程登录。*第*页第三，在防火墙查看转换表。可以看到当前NAT转换表为空。II．在ASA上定义全局地址池CiscoAsa(config)#global(outside)1netmarkIII．将全局地址池映射到本地地址CiscoAsa(config)#nat(inside)1请注意NAT_ID的匹配使用的。上面的global、nat命令中，都使用了数字“1”作为NAT的标识。IV．端口地址转换（PAT）验证（1）从路由器R1上远程登录路由器R2。（2）在路由器R2上查看用户。可以看到当前有一个来自的远程登录。（3）在防火墙查看转换表。可以看到当前PAT转换表的内容。由上面的转换表的内容可知，当前转换表里有一条记录，转换类型为PAT，内部网络的本地地址，端口为31729，被转换为全局地址，端口为1024。V．在路由器Router1上添加一个环回接口R1(config)#interfaceloopback0//定义一个回环接口R1(config-if)#ipaddressVI．再次进行PAT检验（1）在路由器Router1上分别以和为源地址，远程登录Router2。（2）在ASA防火墙上查看转换表从转换表中，我们可以看到，本地地址和都被转换为全局地址，这二个连接转换的全局地址虽然相同，但端口是不一样的，的原端口为14389，转换为的端口为1027；的原端口为50138，转换为的端口为1028。*第*页课程内容 防火墙的基本配置防火墙的动态地址转换防火墙的端口地址转换防火墙的静态地址转换*第*页4ASA防火墙静态地址转换（StaticNAT）主要内容ASA防火墙的静态地址转换ASA防火墙的静态地址转换的配置及案例*第*页4.1ASA防火墙的静态地址转换静态地址转换，就是将专用IP地址与公用IP地址进行固定的映射。一般当内网或DMZ区中的使用专用IP地址的服务器想让外网的人访问时，就要将服务器的专用IP地址与全局IP地址做静态地址转换，这样方便外网用户的主动访问。*第*页4.2ASA防火墙的静态地址转换配置及案例ASA防火墙的静态NAT配置，一般由以下三步组成：配置静态地址转换设置允许外网访问的策略；将策略应用到接口上。*第*页（1）配置静态地址转换命令格式：static(内网接口，外网接口)全局IP地址本地IP地址参数说明：内网接口：可以是内部网络接口或DMZ接口。外网接口：表示外网接口名称，一般为outside。全局IP地址：被映射成的全局IP地址。本地IP地址：专用IP地址，被映射的本地IP地址。*第*页（2）设置策略通过ACL设置策略，让外网的主机可以访问被静态NAT的主机。例：将DMZ区的某服务器静态映射成，要让外网的人可以访问此服务器。可设置以下的ACL。CiscoAsa(config)#access-listoutpermitipanyhost*第*页（3）将策略应用到外网接口CiscoAsa(config)#interfacee0/0CiscoAsa(config-if)#access-groupoutininterfaceoutside命令格式为：CiscoAsa(config-if)#access-groupACL列表名称ininterface外网接口名称说明：ACL列表名称