趣談NAT和防火牆的對話+防火牆靜態PAT的應用

前言：

很多人把防火牆的概念混爲一談，其實NAT就是NAT，它負責IP地址影射。防火牆就是防火牆，它負責數據包的過濾。但爲什麼會有N多人分不清楚呢？原因很簡單，是因爲NAT的功能有了變化。爲什麼要變換呢？是因爲NAT碰到了問題。爲什麼NAT會碰到問題呢？是因爲.......
通過上面NAT的來說。假設C向B發送數據的過程中，C的另外一個端口100，也想向B發送數據包，那麼當這個包到達A的時候A如何處理呢？過還是不過呢？如果過了，那麼從另外一個IP到達A的數據包是否也允許過呢？顯然在網絡安全日益受到威脅的今天，讓這些包通過是危險的。所以NAT決定不讓這些包通過，也就是說NAT有了包過濾功能。於是：

firewall：NAT，包過濾是我的事情，你多管什麼閒事？（有沒有核武器是我的事，你管得着嗎？）
NAT：讓這些包通過不安全，所以我必須過濾這些數據包（伊朗有核武器，是個威脅，我必須幹掉它）。
firewall：那你是NAT啊你還是防火牆？（那你的主權，人權和和平自由呢？）
NAT：（咬牙狀）我是有部分防火牆功能的NAT，你咋地？（我想幹啥幹啥，你管得找嗎？）
firewall：.......（什麼東西啊，整個一個雜種，還美呢）
（其實，從概念上將，並不能這麼說，但是便於理解，也沒有什麼深究的必要，就這麼着吧）
通過這個簡短的對話，相信大家對NAT和防火牆的關係也就是有了一個簡單地認識了吧，接下來我就給大家帶來一個關於在防火牆上配置NAT的小實驗。

相關知識點：

ASA上的NAT類型：
-動態NAT
-動態PAT
-靜態NAT
-靜態PAT

實驗拓撲：

如圖所示：

實驗需求：

使用單一的映射地址提供HTTP和FTP服務

1.將私有地址轉換爲公網地址
2.client2可以訪問WEB服務器server3
3.client2可以訪問FTP服務器server5

地址規劃：

如圖所示：

實驗思路及步驟：

一、配置設備IP地址及掩碼

      1.配置終端設備

server2：

client2：

server3：

server5：

client3：

   2.配置ASA接口IP地址

命令如下：

asa# conf te //進入到全局視圖
asa(config)# int g1//進入邏輯接口g1
asa(config-if)# nameif outside //給邏輯接口命名
asa(config-if)# security-level 0//配置安全級別爲0
asa(config-if)# ip address 200.8.8.3 255.255.255.248//配置IP地址
asa(config-if)# no shutdown//開啓接口
asa(config-if)# exit//退出
asa(config)# int g2//進入邏輯接口g2
asa(config-if)# nameif DMZ//給邏輯接口命名爲“非軍事化區域”       
asa(config-if)# security-level 50//配置安全級別爲50
asa(config-if)# ip address 192.168.3.254 255.255.255.0//配置IP地址
asa(config-if)# no shutdown//開啓接口
asa(config-if)# exit//退出
    3.配置server3的http服務

操作如圖：

4.配置server5的ftp服務

操作如圖：

---

二、配置靜態PAT端口映射將私網地址轉換爲公網地址爲外網提供服務
命令如下：

asa(config)# object network ob-out //
asa(config-network-object)# host 200.8.8.1

-----

asa(config)# object network dmz01 
asa(config-network-object)# host 192.168.3.100 
asa(config-network-object)# nat (dmz,outside) static ob-out service tcp 80 80

-----

asa(config)# object network dmz02 
asa(config-network-object)# host 192.168.3.101 
asa(config-network-object)# nat (dmz,outside) static ob-out service tcp 21 21 

---

三、配置ACL允許client2訪問server3以及server5
分析：因爲client2位於outside區域，安全級別比DMZ區域低，默認是不允許安全級別低的區域訪問女權級別高的區域的，所以如果想要訪問位於DMZ區域的server3以及server5，必須配置ACL允許client2的流量通過。

命令如下：
asa(config)#access-list out_to_dmz permit tcp host 200.8.8.5 object dmz01 eq http
asa(config)#access-list out_to_dmz permit tcp host 200.8.8.5 object dmz02 eq ftp 
asa(config)#access-group out_to_dmz in interface outside 

---

驗證：

1.client2訪問Server3的http服務

---

2.client2訪問Server5的ftp服務

---

3.通過show xlat命令查看xlat表

通過此圖我們可以看見，內網地址192.168.3.100的80端口轉換成了公網地址200.8.8.1，實現了爲外網提供hHTTP服務進行訪問的目的；內網地址192.168.3.101的21端口也轉換成了公網地址200.8.8.1，實現了爲外網提供FTP服務進行訪問的目的。

以上就是靜態PAT的端口映射，它可以實現使用單一的映射地址提供http和ftp的目的，當然，還有其他三種nat也有着不同的應用環境，這裏就先給大家介紹這一種，不足之處，請大家多多指點，謝謝！