防火墙基本实验.doc

防火墙基本实验 实验的拓扑 二、实验知识了解 防火墙的处理过程 1内网访问外网 2．外网访问内网 基础的知道了解 （1）在思科防火墙中穿越防火墙的连接分为两种： Outbound --------(初始流量从高安全级别的接口流向低安全级别的接口； Inbound --------(初始流量从低安全级别的接口流向高安全级别的接口； （2）防火墙的默认行为 Outbound连接默认是允许通过的；连接好后，回应流量是允许通过的；ICMP流量除 外（CICSO防火墙默认深度检测是不放通ICMP的流量的）； （3）NAT介绍：在版本7.0之前,默认情况下,NAT流量穿过防火墙是必须做的;流量只有做了NAT后才能转发出去;7.0之后,默认情况下,NAT是可选的,如果想NAT必需;只需在全局执行nat-control 命令就行 （4）PIX/ASA防火墙支持的NAT的分类 1.Static NAT 适用区域 inbound和outbound 2.Static PAT 适用区域inbound和outbound 3.Policy NAT 适用区域inbound和outbound 4.Identity NAT （一致性NAT） 适用区域 仅用于outbound 5.NAT exemption（排除NAT） 适用区域inbound和outbound 6.Dynamic-NAT 仅用于outbound 7.Dynamic-NAT 仅用于outbound Bypass NAT 如果启用了NAT control，内部主机必须匹配一个NAT规则才能访问外网，但是有可能让部分主机不去执行NAT或者该网络应用不兼容NAT，此时我们就需要使用Bypass NAT,方法有三种：identity ； static identity NAT ; NAT exemption. （5）NAT的匹配规则 我们在防火墙上配置了多种NAT，而真实的IP可能在多种NAT 1．实现内网访问外网 outbound 一般用动态PAT 动态NAT中出现；此时匹配那种NAT做转换取决于匹规则；规则如下 ：从1到6 1.排除NAT (nat 0 access-list commands) 意义：类似于一致性NAT，没有转换真实IP；但是与一致性NAT不同的是在Xlate（NAT转换表）表中没有转换表项；常应用于IPSEC/VPN网络中；在NAT中排除 掉做IPSEC的流量 2. 策略NAT:动态NAT+ACL (static access-list commands) 意义：一个出口有多个公网IP ,但是其中只有授权了一个IP 可以去访问公网的某种资源,我们就用ACL挑出来,然后进行策略NAT转换出去. 3. 静态NAT(static cmmands with port numbers) 4. 静态PAT(static commands with port numbers) 5. 一致性NAT(nat nat_id access-list commads) 意义：把真实的IP转换成原来一样的IP，相当于没有转换；只能用在outbound流 量；但Xlate表中仍有转换表项； 6.动态NAT或PAT(nat nat_id commands) 三、实验目的 1.内网访问外网，SW1访问SW3，属于outbound流量 ，所有NAT都可以用，但是我们一般用动态NAT或者动态PAT。 2.外网访问内网,SW3访问SW1, 属于inbound 流量，我们一般是用静态NAT或者PAT。 3.内网访问服务器, SW1访问SW2,属于outbound流量,所有NAT都可以用,我们一般用排除NAT 4.服务器访问内网,SW2访问SW1,属于inboud流量,我们一般用的是排除NAT,因为如果用的是一致NAT,就在会转换表中存在一条转换NAT,导致内网访问外网出问题,因为NAT的优先级中,一致性NAT是优先于动态NAT或者PAT的. 5.服务器访问外网 SW2访问SW3,属于 outbound流量,所有的NAT都可以用,介理我们一般是用静态NAT、PAT,动态NAT、PAT,如果说我们在第二步配置了静态NAT,我们就不用做NAT转换,因为直接有转换表;如果说前面做的是静态的PAT,我们就需要从新配置静态PAT. 6.外网访问服务器, SW3访问SW2,属于inbound 流量.我们需要手工放通ACL ,我们可以用到静态NAT或者静态PAT。 . 熟悉防