8.3 入站访问的地址发布
Cisco防火墙
地址发布(Address Publishing)这个概念适用于nat-control模型的环境中,只要一个内部地址需要能够在外部网络中唯一地标识出来,这个内部地址就需要对外部网络进行发布。为了满足这一需求,就必须拥有一种双向的转换技术。这时,需要配置一条明确的permit语句来实现通过全局地址发起入站访问的需求。
8.3.1 通过static命令进行发布
静态NAT是实现地址发布的经典方式。如例8-9所示,当管理员在CLI中输入static命令时,xlate表(转换表)中就会添加一条永久的转换条目。
例8-17中汇集了很多条命令,它可以让位于172.16.16.0/24子网的外部主机访问dmz地址10.10.10.140。
例8-17使用static命令来执行地址发布
注释 常用的配置是通过一条static (dmz, out) X X命令来将dmz地址X毫无变化地发布到out接口。这也可以称为Identity Static。
注释 本章末尾的图8-6显示了一个实际的网络环境,其中不仅包含地址发布,还包含了实现入站连接的相关ACL的配置。
8.3.2 通过端口重定向进行发布
端口重定向(port redirection)是静态转换的一种特殊形式,有时也称为静态PAT,它可以在原地址和目的地址之间的映射中指定四层端口。这种方法适用的环境如下。
将多个内部服务器映射为一个全局地址的情况。
某个特定内部主机的服务端口需要以一个不同的端口进行发布的情况。
例8-18所示为管理员将dmz主机10.10.10.150的Telnet端口通过静态的方式映射到out主机172.16.16.150的TCP/10023端口。命令show xlate debug显示了这种NAT类型所包含的标记:s和r的组合。
例8-18 使用端口重定向来执行地址发布
注释 若本章使用的系统版本早于8.3版,那么在端口重定向方案中,用来放行这类访问的ACE必须包含“目的地址/映射后端口”这一对信息。
8.3.3 通过NAT免除技术进行发布
NAT免除技术是一项双向转换技术,该技术可以用来为(通过命令nat 0 access-list所定义的)源和目的地址之间的连接执行地址发布。
例8-19所示为通过NAT免除将dmz主机10.10.10.80发布到out接口的示例。如命令showconn的输出结果所示,该access-list名为OUT(定义在例8-17中),它可以放行去往目的地址10.10.10.80的连接。根据命令show nat的输出信息所示,NAT免除规则曾经出现过一次未转换的匹配项(撞击)。
例8-19使用NAT免除来执行地址发布
图8-5所示为NAT和ACL规则处理流程的简化版,该图既适用于入站访问,也适用于出站访问。当一个不属于任何现有流量的数据包,需要从安全级别为X的接口穿越防火墙,到达另一个安全级别为Y的接口时,防火墙的处理流程如图所示。