SmartHammerG503防火墙原理与配置(4)

　　静态地址转换 static NAT

　　ip nat Snat source static 192.168.1.10 202.99.8.10

　　ip nat Snat source static 192.168.1.11 202.99.8.11

　　另外，在一个NAT内，可以同时配置静态NAT和动态NAT

　　SHammer(config)# ip nat Snat source static 192.168.1.11 202.99.8.11 //静态的一对一转换

　　SHammer(config)# ip nat Snat source list 10 202.88.8.12 //其他符合条件的内部地址将转换成唯一的合法地址

　　最后别忘记了在端口上应用 :）

　　--------------------------------------------------------------------------------

　　netstation

　　2005-11-16, 23:56

　　基于状态的资源和连接控制基于这样的观点：

　　监视所有连接的状态，如果连接长时间没有应答，一直处于半连接状态，浪费了连接资源连接已经建立，但长时间没有数据穿过，浪费了连接资源；

　　如果有超出正常范围的大量半连接充斥设备，很可能是受到了半连接攻击，网络上流行某种协议的病毒，它也会占用宝贵的网络资源和连接资源，使正常数据无法通过设备；

　　缺省情况下，IP Inspect功能是启用的，根据网络的情况，管理员需要重新设计Inspect的配置参数。

　　资源控制的方法：

　　基于状态的资源和连接控制可以通过几种方法：

　　限定系统总的连接数目

　　限定特定协议的半连接最高警戒线；

　　限定特定协议的连接超时时间；

　　限定特定协议每分钟半连接的最高警戒线；

　　限定特定协议的连接参数；

　　限定符合条件源主机的连接数目；

　　限定符合条件目的主机的连接数目；

　　资源控制的配置：

　　ip inspect max 500000 系统总的连接数

　　ip inspect max 500000 tcp 系统总的TCP连接数

　　ip inspect max 100000 udp系统总的UDP连接数

　　ip inspect maxincomplete high 20000 tcp TCP半连接最高水位线

　　ip inspect maxincomplete low 10000 tcp TCP半连接最低水位线

　　ip inspect one-minute high 20000 tcp TCP每分钟半连接最高水位线

　　ip inspect one-minute low 10000 tcp TCP每分钟半连接最低水位线

　　ip inspect idletime 3600 tcp TCP全连接超时时间

　　简单说明，当TCP半连接达到最高水位线时，设备开始清除超过的半连接，一直清到最低水位线为止；TCP每分钟半连接也是一样的。

　　限制主机的最大连接数目：

　　网络中经常会出现一些病毒，感染的主机会自动向变换地址的目标主机发送TCP连接请求或ICMP报文，如前段时间爆发的冲击波及其变种就具有类似的特征，通过限制网络内主机的最大连接数目可以有效的达到防范效果；

　　access-list 40 permit 192.168.0.0 255.255.0.0 定义个地址范围