科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道硬件防火墙的配置过程讲解(6)

硬件防火墙的配置过程讲解(6)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

要注意的是,防火墙的具体配置方法也不是千篇一律的,同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。

作者:51CTO.COM 2007年11月6日

关键字: 配置 硬件 PIX 防火墙

  • 评论
  • 分享微博
  • 分享邮件

  nat (inside) 1 10.1.6.0 255.255.255.0

  表示把所有网络地址为10.1.6.0,子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。

  随后再定义内部地址转换后可用的外部地址池,它所用的命令为global,基本命令格式为:

  global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ,各参数解释同上。如:

  global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0

  将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址,其子网掩耳盗铃码为255.255.255.0。

  11. Port Redirection with Statics

  这是静态端口重定向命令。在Cisco PIX版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器,这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。

  命令格式有两种,分别适用于TCP/UDP通信和非TCP/UDP通信:

  (1). static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]

  (2). static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]

  此命令中的以上各参数解释如下:

  internal_if_name:内部接口名称;external_if_name:外部接口名称;{tcp|udp}:选择通信协议类型;{global_ip|interface}:重定向后的外部IP地址或共享端口;local_ip:本地IP地址;[netmask mask]:本地子网掩码;max_conns:允许的最大TCP连接数,默认为"0",即不限制;emb_limit:允许从此端口发起的连接数,默认也为"0",即不限制;norandomseq:不对数据包排序,此参数通常不用选。

  

  现在我们举一个实例,实例要求如下

  ●外部用户向172.18.124.99的主机发出Telnet请求时,重定向到10.1.1.6。

  ●外部用户向172.18.124.99的主机发出FTP请求时,重定向到10.1.1.3。

  ●外部用户向172.18.124.208的端口发出Telnet请求时,重定向到10.1.1.4。

  ●外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时,重定向到10.1.1.5。

  ●外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时,重定向到10.1.1.5。

  ●外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时,重定向到10.1.1.7的80号端口。

  以上重写向过程要求如图2所示,防火墙的内部端口IP地址为10.1.1.2,外部端口地址为172.18.124.216。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章