SmartHammerG503防火墙原理与配置(3)

　　highport：端口组名称，下面为其定义的端口组

　　SmartHammer(config)# port-group highport

　　SmartHammer(config-port-group)# port 1138

　　SmartHammer(config-port-group)# port 21

　　如果想要允许外部网络可以主动访问内部网络，只能通过增加特定的过滤规则一种方式，来允许特定的业务访问内部网络；

　　SmartHammer(config)# access-list toDMZ permit tcp any any 192.168.0.10 80

　　SmartHammer(config)# ip access-group ge1 ge2 toDMZ

　　ge1：数据入接口

　　ge2：数据出接口

　　toDMZ：策略标识（即ACL名称）

　　上面的意思即为容许外部的设备访问DMZ区的WWW服务器（192.168.0.10 ）

　　允许特定主机访问防火墙设备

　　请不要把本地接口地址理解成loopback的IP地址，设备所有的接口都相当于本地设备，添加本地的安全策略时，可以选择任何一个接口的地址作为过滤规则使用；

　　access-list admin permit tcp administrator any 192.168.0.1 adminport

　　admin：策略（ACL名称）

　　administrator：管理员IP组

　　SmartHammer(config)# ip-group administrator

　　SmartHammer(config-ip-group)# address 192.168.0.10

　　SmartHammer(config-ip-group)# address 192.168.1.11

　　SmartHammer(config-ip-group)# address 192.168.2.10

　　adminport：管理端口组

　　SmartHammer(config)# port-group adminport

　　SmartHammer(config-port-group)# port 23

　　SmartHammer(config-port-group)# port 443

　　应用这个策略：

　　SmartHammer(config)# local ip access-group admin

　　NAT配置：

　　定义一个外部合法地址池：

　　ip nat pool SM 202.99.8.2 202.99.8.200 netmask 255.255.255.0

　　PAT：转换成一个单一合法地址，

　　ip nat pool SM 202.99.8.1 202.99.8.1 netmask 255.255.255.255

　　定义NAT语句：

　　ip nat ge1 source list 10 interface

　　ge1：NAT名称

　　interface：PAT:转换成出接口地址

　　或者以下面的格式，转换成外部地址池：

　　ip nat Outside source list 10 pool SM //将内部地址nat为外部地址池内的地址

　　定义符合转换条件的内部地址：

　　access-list 10 permit ip 192.168.0.0/16

　　在外部接口下启用指定的NAT：

　　SmartHammer(config)# interface ge1

　　SmartHammer(config-if)# ip nat Outside

　　NAT的实现与ACL的实现类似，首先可以配置几条NAT规则链，在接口上没启用规则链之前，规则链并不起作用；

　　SmartHammer的NAT转换和路由器的使用方式存在一些不同，SmartHammer不用象路由器那样定义inside和outside接口，SmartHammer在接口数据转发的时候，会自动进行NAT转换处理，这种在接口下直接通过NAT的名字来启用 ，方便了NAT的配置管理，比如在不同的出接口启用不同的NAT转换；

　　NAT只是使用ACL作为条件匹配，应该尽量避免使用deny和any的关键字，尤其是使用any，SmartHammer把所有数据报文做源地址转换，包括本设备本身发出的数据包，所有使用时应该尽量使用permit关键字对于特定的网段进行设置；