扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
highport:端口组名称,下面为其定义的端口组
SmartHammer(config)# port-group highport
SmartHammer(config-port-group)# port 1138
SmartHammer(config-port-group)# port 21
如果想要允许外部网络可以主动访问内部网络,只能通过增加特定的过滤规则一种方式,来允许特定的业务访问内部网络;
SmartHammer(config)# access-list toDMZ permit tcp any any 192.168.0.10 80
SmartHammer(config)# ip access-group ge1 ge2 toDMZ
ge1:数据入接口
ge2:数据出接口
toDMZ:策略标识(即ACL名称)
上面的意思即为容许外部的设备访问DMZ区的WWW服务器(192.168.0.10 )
允许特定主机访问防火墙设备
请不要把本地接口地址理解成loopback的IP地址,设备所有的接口都相当于本地设备,添加本地的安全策略时,可以选择任何一个接口的地址作为过滤规则使用;
access-list admin permit tcp administrator any 192.168.0.1 adminport
admin:策略(ACL名称)
administrator:管理员IP组
SmartHammer(config)# ip-group administrator
SmartHammer(config-ip-group)# address 192.168.0.10
SmartHammer(config-ip-group)# address 192.168.1.11
SmartHammer(config-ip-group)# address 192.168.2.10
adminport:管理端口组
SmartHammer(config)# port-group adminport
SmartHammer(config-port-group)# port 23
SmartHammer(config-port-group)# port 443
应用这个策略:
SmartHammer(config)# local ip access-group admin
NAT配置:
定义一个外部合法地址池:
ip nat pool SM 202.99.8.2 202.99.8.200 netmask 255.255.255.0
PAT:转换成一个单一合法地址,
ip nat pool SM 202.99.8.1 202.99.8.1 netmask 255.255.255.255
定义NAT语句:
ip nat ge1 source list 10 interface
ge1:NAT名称
interface:PAT:转换成出接口地址
或者以下面的格式,转换成外部地址池:
ip nat Outside source list 10 pool SM //将内部地址nat为外部地址池内的地址
定义符合转换条件的内部地址:
access-list 10 permit ip 192.168.0.0/16
在外部接口下启用指定的NAT:
SmartHammer(config)# interface ge1
SmartHammer(config-if)# ip nat Outside
NAT的实现与ACL的实现类似,首先可以配置几条NAT规则链,在接口上没启用规则链之前,规则链并不起作用;
SmartHammer的NAT转换和路由器的使用方式存在一些不同,SmartHammer不用象路由器那样定义inside和outside接口,SmartHammer在接口数据转发的时候,会自动进行NAT转换处理,这种在接口下直接通过NAT的名字来启用 ,方便了NAT的配置管理,比如在不同的出接口启用不同的NAT转换;
NAT只是使用ACL作为条件匹配,应该尽量避免使用deny和any的关键字,尤其是使用any,SmartHammer把所有数据报文做源地址转换,包括本设备本身发出的数据包,所有使用时应该尽量使用permit关键字对于特定的网段进行设置;
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。