Cisco IOS防火墙的安全规则和配置(2)

　　具体配置：由于实验用的是ISDN拨号上网，在internet上只能随机获得出口地址，所以NAT转换的地址池设置为BRI口上拨号所获得的地址。

　　interface FastEthernet0/0

　　ip address 172.16.18.200 255.255.255.0

　　ip nat inside the interface connected to inside world

　　!

　　interface BRI0/0

　　ip address negotiated

　　ip nat outside the interface connected to outside network

　　encapsulation ppp

　　no ip split-horizon

　　dialer string 163

　　dialer load-threshold 150 inbound

　　dialer-group 1

　　isdn switch-type basic-net3

　　ip nat inside source list 1 interface BRI0/0 overload

　　access-list 1 permit 172.16.18.0 0.0.0.255

　　3、内部地址和外部地址出现交叠

　　当内部和外部用同一个网络段地址时，在地址没有重复的情况下，可以同时对内外接口进行NAT转换使之可以正常通讯。

　　4、用一个出口地址映射内部多台主机

　　应用于internet上的大型网站有多台主机对应同一个系统的同一个出口地址。

　　可以用sh ip nat translation 和debug ip nat 命令来检查NAT的状态。

　　二、基于上下文的访问控制（Context-based access control--CBAC）

　　CISCO路由器的access- list只能检查网络层或者传输层的数据包，而CBAC能够智能过滤基于应用层的（如FTP连接信息）TCP和UDP的sessi on；CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接，同时检查内外两个方向的sessions。

　　1、工作原理

　　比如当CBAC配置于连到internet的外部接口上，一个从内部发出的TCP数据包（telnet会话）经过该接口连出，同时CBAC的配置中已经包括了t cp inspection，将会经过以下几步：

　　（1）数据包到达防火墙的外部接口（设为s0）；

　　（2）数据包由该接口outbound access-list检查是否允许通过（不通过的数据包在此被丢弃，不用经过以下步骤）；

　　（3）通过access list检查的数据包由CBAC检查来决定和记录包连接状态信息，这个信息被记录于一个新产生的状态列表中为下一个连接提供快速通道；

　　（4）如果CBAC没有定义对telnet应用的检查，数据包可以直接从该接口送出；

　　（5）基于第三步所获得的状态信息，CBAC在s0的inbound access list中插入一个临时创建的access list入口，这个临时通道的定义是为了让从外部回来的数据包能够进入；

　　（6）数据包从s0送出；