《Cisco防火墙》一8.8 总结

8.8 总结

Cisco防火墙
本章对nat-control模型提供了大量的具体信息,同时也介绍了ASA设备所支持的各类NAT技术。其中,本书着重强调了NAT优先级规则的重要性,因为这个概念很容易误解,而误解这个概念则会使网络设计出现问题,也会降低实施该网络的效率。

在学习本章的内容之后,读者应该能够:

  • 理解并配置ASA设备中定义的各类NAT;
  • 定义连接是如何依赖于转换而建立的(或nat-control模型中,有条件绕过NAT转换[conditional NAT bypass]这一可选项);
    -通过show xlate debug和show nat命令来获取重要信息;
  • 描述NAT优先级规则,并且在转换语句重叠时,能够通过分析得出相应的结果;
  • 描述并配置双向NAT;
  • 为一台使用转换语句的主机配置连接限制数;
  • 理解norandomseq参数的作用。
时间: 2024-09-20 05:45:06

《Cisco防火墙》一8.8 总结的相关文章

《Cisco防火墙》一6.5 虚拟防火墙的管理访问

6.5 虚拟防火墙的管理访问 Cisco防火墙 在学习了如何将防火墙的操作模式从单防火墙模式修改为多防火墙模式,并介绍了虚拟防火墙的一些设置之后,在下面的内容中,本书会着重介绍虚拟防火墙的管理访问. 在前面的一节中,本书已经介绍了系统分区和admin-context对于访问物理成份的重要作用.那一节也介绍了命令changeto context可以让授权用户访问admin-context以查看(并修改)所有普通虚拟防火墙的配置信息.虽然这已经可以满足大多数环境的管理需求,但是在有些情况下,直接访问

《Cisco防火墙》一2.2 防火墙服务模块的概述

2.2 防火墙服务模块的概述 Cisco防火墙 Cisco的防火墙服务模块(Firewall Service Module,FWSM)是为其Catalyst 6500系列交换机量身打造的防火墙解决方案,它可以提供Cisco ASA的状态化监控技术.FWSM与ASA防火墙系列有着共同的祖先,那就是PIX防火墙.自然而然,这三款产品(命令行界面中)的配置命令和配置思路都是非常接近的. FWSM服务模块是专用于防火墙服务的模块.这款产品可以与Catalyst 6500系列的其他服务模块(如应用控制引擎

《Cisco防火墙》一第2章Cisco防火墙系列概述2.1 ASA设备的概述

第2章Cisco防火墙系列概述 Cisco防火墙 本章包含了如下主题: ASA设备概述: 防火墙服务模块概述: 基于IOS的集成防火墙概述. 世界上最好的商品是那些容易被人掌握和理解的产品,简单易用的事物永远是最具说服力的. -笛卡尔 在本书的第 1 章中,我们介绍了防火墙设备,并阐述了其在网络安全中的重要作用.在探讨了防火墙的主要分类方法后,我们对状态化防火墙这种技术的发展历程进行了简要的说明. 本章是对第 1 章内容的补充,主要内容是对支持状态化防火墙的 Cisco 硬件平台进行介绍.为了方

《Cisco防火墙》一6.2 从数据平面说起:VLAN与VRF

6.2 从数据平面说起:VLAN与VRF Cisco防火墙 起初,有了网络.网络空虚混沌,渊面因冲突而黑暗.网络造物主的灵运行在无所不包的广播域(broadcast domain)上. 网络造物主说:"要有路由器",于是数据帧和数据包便有了希望.网络造物主看路由器是好的,就把广播域分开了,每一部分皆称为子网(subnet). 网络造物主说:"每个子网内要能扩展,以控制冲突域的边界."事就这样成了,网络造物主称扩展装置为LAN交换机1. 好了,这就是对网络之初的概述.

《Cisco防火墙》一8.2 出站NAT分析

8.2 出站NAT分析 Cisco防火墙在前面的章节中,本书已经反复讨论过入站访问和出站访问的概念,这一概念在本章中仍会反复使用.只不过在本章中,只要配置了 nat-control,连接就只允许通过转换(translations)的方式来建立(在ASA算法中,"转换"往往也称为xlates). 例8-2中的基本配置是参照图8-1中的拓扑执行的,同时例8-2也显示了ASA设备所支持的各类NAT. 注释 本书在第7章曾经介绍过,ICMP本质上是一个无状态协议,而(外部接口发来的)echo响

《Cisco防火墙》一2.3 集成于IOS系统的防火墙的概述

2.3 集成于IOS系统的防火墙的概述 Cisco防火墙在探讨了这么多Cisco的专用防火墙之后,接下来我们要开始对Cisco基于路由器的防火墙进行介绍. 2.3.1 集成服务路由器 在很多场合(如企业分支机构)中,工作人员考虑最多的不是设备的吞吐量,而是其他一些因素,如设备部署起来是否灵活,或者设备所支持功能是否多样化等.在这类环境中,IOS防火墙往往可以大展身手,这种软件防火墙可以通过Cisco集成服务路由器(Integrated Services Router,ISR)为网络提供一体化的解

《Cisco防火墙》一导读

序 Cisco防火墙当今网络在规模和复杂程度上,已经经历了爆炸式的成长,它已经成为了一项包罗万象的技术,实现网络安全的难度亦随之增加.核心网络的设计蓝图需要以强大的物理设备作为基础,而这可以通过在系统的核心部分集成防火墙设施来实现.现今,防火墙已经成为网络中的核心设备,成为每个网络环境中不可或缺的组成部分. Alexandre M. S. P. Moraes的这本大作旨在补充一些常常为人们所忽视的基本概念,他通过本书为读者提供了一个Cisco全系列防火墙产品的资源宝库. Alexandre使用了

《Cisco防火墙》一第6章防火墙世界中的虚拟化6.1 一些初始定义

第6章防火墙世界中的虚拟化 Cisco防火墙 6.1 一些初始定义 Cisco防火墙在对虚拟化展开讨论之前,读者必须先了解两类术语.第一类术语与网络的平面有关,而第二类术语则是对虚拟化这个词的各类解释. 网络设备处理的流量可以分为三大功能平面. 数据平面:亦称为转发平面(Forwarding Plane),这一部分的功能与穿越设备的流量有关.这个平面通常对应流经网络设备(如路由器和防火墙)的最大数据流量. 控制平面:这一类流量由直接发往网络设备的流量所组成,其主要功能包括构建路由表和拓扑表,建立

《Cisco防火墙》一6.3 VRF感知型服务

6.3 VRF感知型服务 Cisco防火墙随着虚拟化技术在网络和网络安全领域扮演的角色愈加关键,VRF在IOS系统研发中所占据的地位也日趋重要.VRF感知型(VRF-aware)这个字眼,在最新IOS特性描述文档中出现的越来越频繁,这个词的意思是该功能已经通过调整,而能够配置在特定VRF的范围内. 这一点之所以重要,是因为有时,有些业务要求某种服务只对(或者最好只对)一群特定的客户开放(在服务提供商环境中),或者只对一些特定的内部部门开放(在企业网环境中).随着VRF感知型技术的普及,用户可以让

《Cisco防火墙》一8.5 双向NAT(Dual NAT)

8.5 双向NAT(Dual NAT) Cisco防火墙在8.3版本之前,ASA是通过将入站static规则和出站static规则结合起来使用,以实现双向NAT转换的. 例8-24所示为将两条static命令结合起来使用,以实现双向NAT的效果. dmz主机10.10.10.140在out接口上发布为172.16.16.140.out主机172.16.16.200在dmz接口上显示为10.10.10.200.这个示例还进一步显示了从172.16.16.200到172.16.16.140之间的Te