理解CiscoPIX防火墙的转换和连接(2)

　　2.3.1源及其开始UDP连接，Cisco pix防火墙接收这个连接，并将它路由到目的端。Pix应用默认规则和任何需要的转换，在状态表中创建一个会话对象，并允许连接通过外部接口

　　2.3.2任何返回流量要与绘画对象匹配，并且应用会话超时，默认的会话超时是2分钟.如果响应不匹配会话对象,或者超时,分组就会被丢弃,如果一切匹配,就会允许响应信号传送到发送请求的源端

　　2.3.3任何从一个低安全等级段到一个高安全等级段的入站的UDP会话都必须经安全策略允许,或者中断连接.

　　3.网络地址转换

　　理解RFC1918的三类地址空间:

　　10.0.0.0~10.255.255.255

　　172.16.0.0~172.16.255.255

　　192.168.0.0~192.168.255.255

　　地址转换是cisco pix防火墙为内部节点提供的使用专用IP地址访问internet的一种方法.被转换的地址称为内部地址,转换后的地址称为全局地址.

　　这里有一句话要记住:将一个接口的任何地址转换成其他任何地址接口的另外一个地址是可能的,这句话意思是如果你的网段内部地址可以转换成outside的地址,也可以转换成DMZ的地址,只要正确的使用了nat和global命令.

　　如:global (outside) 1 interface

　　global (dmz) 1 xxx.xxx.xxx.xxx

　　nat (inside) 1 192.168.6.0 255.255.255.0 0 0

　　动态地址转换涉及到NAT和PAT,静态地址也就是我们通常所说的给DMZ接口的地址作一个静态隐射,通常用于如web site和mail server等相对关键的业务.以便Internet上的用户可以通过他们的全局地址连接这些服务器.

　　NAT命令

　　pix(config)#nat inside 1 192.168.6.0 255.255.255.0

　　pix(config)#global (outside) 1 10.0.0.1~10.0.0.255 netmask 255.0.0.0

　　注意命令中的1在nat和global命令必须相同,它允许指派特定的地址进行转换.

　　在这里1不能换0,你可以换其他的数,因为nat 0在pix有特定的含义,nat 0表示在pix上用于检测不能被转换的地址,我们通常在做acl转换也应用到这个命令.