Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南
4-5
思科 ASA 系列防火墙 CLI 配置指南
第 4 章 网络地址转换 (NAT)
NAT 类型
图
4-3
带端口转换的静态
NAT
面向非标准端口的带端口转换的静态 NAT
还可以利用带端口转换的静态 NAT 将一个已知端口转换为一个非标准端口,反之亦然。例如,如
果内部网络服务器使用端口 8080,您可以允许外部用户连接到端口 80,然后取消转换到原始端
口 8080。同样,要提供额外安全性,您可以告知网络用户连接到非标准端口 6785,然后取消转
换到端口 80。
果内部网络服务器使用端口 8080,您可以允许外部用户连接到端口 80,然后取消转换到原始端
口 8080。同样,要提供额外安全性,您可以告知网络用户连接到非标准端口 6785,然后取消转
换到端口 80。
带端口转换的静态接口 NAT
可以配置静态 NAT,以将一个实际地址映射到一个接口地址 / 端口组合。例如,如果要将 ASA 外
部接口的 Telnet 访问重新定向到内部主机,可以将内部主机 IP 地址 / 端口 23 映射到 ASA 接口地
址 / 端口 23。(请注意,尽管不允许到 ASA 的 Telnet 连接到安全性最低的接口,但带接口端口
转换的静态 NAT 可以重新定向 Telnet 会话,而不是拒绝它)。
部接口的 Telnet 访问重新定向到内部主机,可以将内部主机 IP 地址 / 端口 23 映射到 ASA 接口地
址 / 端口 23。(请注意,尽管不允许到 ASA 的 Telnet 连接到安全性最低的接口,但带接口端口
转换的静态 NAT 可以重新定向 Telnet 会话,而不是拒绝它)。
一对多静态 NAT
通常,配置带一对一映射的静态 NAT。然而,在某些情况下,您可能想要将单一实际地址配置到
多个映射地址(一对多)。配置一对多静态 NAT 时,当实际主机发起流量时,它始终使用第一个
映射地址。然而,对于发起到主机的流量,您可以发起到任何映射地址的流量,并且不将它们转
换为单一实际地址。
多个映射地址(一对多)。配置一对多静态 NAT 时,当实际主机发起流量时,它始终使用第一个
映射地址。然而,对于发起到主机的流量,您可以发起到任何映射地址的流量,并且不将它们转
换为单一实际地址。
Host
Outside
Inside
Undo Translation
10.1.2.27
209.165.201.3:21
Undo Translation
10.1.2.28
209.165.201.3:80
Undo Translation
10.1.2.29
209.165.201.3:25
FTP server
10.1.2.27
HTTP server
10.1.2.28
SMTP server
10.1.2.29
1
3
00
3
1