本節書摘來自異步社群《cisco防火牆》一書中的第8章,第8.3節,作者 【巴西】alexandre m.s.p. moraes,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
cisco防火牆
位址釋出(address publishing)這個概念适用于nat-control模型的環境中,隻要一個内部位址需要能夠在外部網絡中唯一地辨別出來,這個内部位址就需要對外部網絡進行釋出。為了滿足這一需求,就必須擁有一種雙向的轉換技術。這時,需要配置一條明确的permit語句來實作通過全局位址發起入站通路的需求。
靜态nat是實作位址釋出的經典方式。如例8-9所示,當管理者在cli中輸入static指令時,xlate表(轉換表)中就會添加一條永久的轉換條目。
例8-17中彙集了很多條指令,它可以讓位于172.16.16.0/24子網的外部主機通路dmz位址10.10.10.140。
例8-17使用static指令來執行位址釋出
注釋 常用的配置是通過一條static (dmz, out) x x指令來将dmz位址x毫無變化地釋出到out接口。這也可以稱為identity static。
注釋 本章末尾的圖8-6顯示了一個實際的網絡環境,其中不僅包含位址釋出,還包含了實作入站連接配接的相關acl的配置。
端口重定向(port redirection)是靜态轉換的一種特殊形式,有時也稱為靜态pat,它可以在原位址和目的位址之間的映射中指定四層端口。這種方法适用的環境如下。
将多個内部伺服器映射為一個全局位址的情況。
某個特定内部主機的服務端口需要以一個不同的端口進行釋出的情況。
例8-18所示為管理者将dmz主機10.10.10.150的telnet端口通過靜态的方式映射到out主機172.16.16.150的tcp/10023端口。指令show xlate debug顯示了這種nat類型所包含的标記:s和r的組合。
例8-18 使用端口重定向來執行位址釋出
注釋 若本章使用的系統版本早于8.3版,那麼在端口重定向方案中,用來放行這類通路的ace必須包含“目的位址/映射後端口”這一對資訊。
nat免除技術是一項雙向轉換技術,該技術可以用來為(通過指令nat 0 access-list所定義的)源和目的位址之間的連接配接執行位址釋出。
例8-19所示為通過nat免除将dmz主機10.10.10.80釋出到out接口的示例。如指令showconn的輸出結果所示,該access-list名為out(定義在例8-17中),它可以放行去往目的位址10.10.10.80的連接配接。根據指令show nat的輸出資訊所示,nat免除規則曾經出現過一次未轉換的比對項(撞擊)。
例8-19使用nat免除來執行位址釋出
圖8-5所示為nat和acl規則處理流程的簡化版,該圖既适用于入站通路,也适用于出站通路。當一個不屬于任何現有流量的資料包,需要從安全級别為x的接口穿越防火牆,到達另一個安全級别為y的接口時,防火牆的處理流程如圖所示。