思科ASA系列防火墙NAT解析

文/白海 郭代丽

思科ASA系列防火墙NAT解析

文/白海1郭代丽2

网络地址转换(NAT, Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。防火墙都运行NAT，主要原因是：公网地址不够使用；隐藏内部IP地址，增加安全性；允许外网主机访问DMZ。

动态NAT和PAT

在图1中，内部主机访问外网和DMZ时，都需要转换源地址，配置方法如下：

FW(config)# nat (inside) 1 10.0.1.0 255.255.255.0指定需要转换的源地址。其NAT ID为1。用于匹配global命令中的NAT ID。

FW(config)# global (outside) 1 61.136.150.10-61.136.150.20

油菜技术组利用高产创建这个平台，开展了品种比较、密度、免耕、夏播、烟后旧膜利用、地膜油菜、油菜-蚕豆套种、油菜-萝卜等蔬菜间作、油菜-玉米套种、品种展示等试验示范32组次，让项目区农户看得到、学得到，提高了群众科学种田的积极性，努力为山区农民节本增收探索新途径。

指定用于替代源地址的地址池。其NAT ID为“1”，表明内口NAT ID为1的地址将被替换为地址池中的地址。该方式即为动态NAT。

FW(config)# global (dmz) 1 10.0.2.20

指定用于替代源地址的唯一地址。其NAT ID为“1”，表明内口NAT ID为1的地址都将被替换为同一地址（10.0.2.20）。该方式即为动态PAT。

在预处理工艺试验结果基础上进行响应面设计，采用Design-Expert 8.0.5软件对试验数据进行回归分析，并预测最佳配方。通过最小二乘法拟合二次多项方程，分析4个因素不同水平对马铃薯脆片综合评价的影响。

收到来自内网的IP包后，防火墙首先根据路由表确定应将包发往哪个接口，然后执行地址转换。

静态NAT

在图1中，为使外部用户可访问DMZ中的服务器，除适当应用ACL外，还需将服务器的IP地址（10.0.2.1）映射（静态转换）为公网地址（如61.136.151.1），静态转换命令如下：本例中子网掩码为255.255.255.255，表示只转换一个IP

特点：占用的资源较少。内、外部主机均可主动建立连接，如图3所示。

静态PAT

在图1中，欲完成10.0.2.1:8080（TCP）到61.136.152.1:80（TCP）的静态映射，命令如下：

在不断的实践过程中，高职院校实验课程教学团队建设仍然存在片面认知和不够重视的情况，其主要原因有以下几点。

NAT前后，源地址不变

启用NAT控制后（通常NAT控制都处于启用状态），内部主机的地址必须经过NAT，方可与其他接口所连接的网络进行通信。在实践中，有时某些源地址并无改变的必要，甚至不允许改变。

要求：内部子网125.221.40.0/24在NAT后，地址与真实地址相同。

据了解，瑞丰生态投产应用的“碳能结晶”技术作为一款具有国际领先地位的新型肥料产品的生产工艺，目前在国内还未广泛应用。“碳能结晶”工艺技术利用了生物酶的催化作用，将有机酸类水溶性碳营养物质和无机盐类大中微量元素养分反应形成复盐结晶，通过该工艺升级的新型功能肥料产品的水溶性得到了进一步提高，对于土壤修护、植物碳营养补充也具有良好的功效。

解决方法一:“Identity NAT”

特点：支持策略NAT（本文不涉及），仅允许内部主机主动建立连接，如图2所示。

图2 单向连接

内网主机通过域名访问DMZ中WWW服务器的过程标示于图4-2-4中：①内网主机运行浏览器，向DNS服务器发送DNS请求；②DNS服务器以地址61.136.151.1回复；③防火墙接收到回复报文后，送DNS检测引擎进行处理。检测引擎检索到NAT配置“static (dmz,outside) 61.136.151.1 10.0.2.1 dns”，将DNS回复报文中的地址61.136.151.1改写为10.0.2.1（NAT配置中的关键字DNS是必须的，否则防火墙不进行改写操作）；④将经过修改后DNS回复送内网主机；⑤内网主机向DMZ中的服务器发送HTTP请求。

特点：可指定目的接口，内、外部主机均可主动建立连接，如图3所示。

解决方法三：“NAT exemption”

地址。若参数形如“10.0.2.0 61.136.151.0 netmask 255.255.255.0”，则表示要完成一个子网到另一个子网的静态转换。

图3 双向连接

NAT与DNS记录重写

在图4所示场景中，DMZ中服务器的真实地址（10.0.2.1）已映射为外部地址（61.136.151.1）。DNS服务器位于外网，其中包含可将syr.tgcep.edu.cn解析为外部地址61.136.151.1的A记录。

外网用户可通过域名或外部地址正常访问WWW服务器。内部用户可通过真实地址（10.0.2.1）访问WWW服务器，但是，如果内部用户需要通过域名访问WWW服务器，则需要将域名解析为真实地址10.0.2.1。

可以在启用防火墙的DNS检测功能（在默认情况下，该功能处于启用状态）后，通过DNS记录重写实现这一功能。

致：富士通扫描仪用户、合作伙伴

小学生思维、理解能力有限，但对新鲜事物、动态事物、鲜艳的色彩和图案等具有强烈的好奇心和兴趣。因此，教师在借助微课进行课堂教学时，应紧紧抓住学生这一特征，将晦涩难懂的抽象知识，借助微课制作软件，以直观、间接的动态视频形式展示给学生，从而激发学生的探索兴趣，集中学生的注意力。

在客户升级版本后，如果不使用迁移命令,从外网的访问将不受NAT的限制,可以正常访问。

解决方法二:“Static Identity NAT”

ASA 8.3 的NAT

ASA 8.3 版本对NAT 的语法进行了革命的改变不再支持NAT-Control，使用了更加灵活和更加易于组合object /object-group的新方式。迁移命令如下,

欲实现DNS重写，需要在配置地址映射时，加入关键字DNS。就本例而言，相关配置如下：

（作者单位：1为三峡电力职业学院；2为三峡大学）

声明函

竭尽全力推进重点水利工程建设。加快推进长泰枋洋水利枢纽工程、莲花水库工程、水库水闸除险加固工程、流域整治工程建设。

步骤3 利用式(12),对模糊一致性矩阵R′ 进行行和归一化处理,从而求得权重向量a=(a1,a2,…,am)。

感谢广大用户、合作伙伴多年来对富士通扫描仪产品的大力支持。近期在市场上出现不正常价格的富士通扫描仪产品，这些低价产品包装箱和机身的产品标签被恶意篡改，更甚者扫描仪内的序列号也被更改。以上行为严重影响了富士通产品的形象及破坏市场秩序。我们严厉谴责这种不道德、严重的侵权行为并对参与者保留一切法律追究权利。

鉴于以上情况，我司作出以下声明：

杨川(1999-)，男，四川工商学院电子信息工程学院学生，主要研究方向为信号与通信原理。E-mail:1685058064@qq.com

1. 任何富士通扫描仪产品机身的标签一旦被毁坏、改动，一律不能享受我司正常的保修、维修及备件供应服务；

2. 富士通对于侵权行为的参与者保留一切法律追究权利；

3. 如果对产品的真伪质疑，请拨打服务热线：800 830 6790查询。

最后，为保障阁下的利益，在选购富士通扫描仪产品时，务必选择我司授权代理商。可登录富士通中国网站 http://cn.fujitsu.com，查询授权代理商资料。

余昌胤对记者说，通过优质医疗技术的创新引领，医院大批的临床科室积极发展各类优质医疗技术，尤其是在介入、微创、腔镜以及内镜等技术领域取得了较大突破和进展，多项技术在贵州省乃至西南地区处于领先水平，为患者提供了更为优质、高效、便捷、安全的医疗服务。近年来，患者满意度不断提升，住院患者满意度均在90%以上，吸引了大批外地患者慕名前来医院就诊。

特此声明！

富士通香港有限公司

2011年8月16日