趣谈NAT和防火墙的对话+防火墙静态PAT的应用

前言：

很多人把防火墙的概念混为一谈，其实NAT就是NAT，它负责IP地址影射。防火墙就是防火墙，它负责数据包的过滤。但为什么会有N多人分不清楚呢？原因很简单，是因为NAT的功能有了变化。为什么要变换呢？是因为NAT碰到了问题。为什么NAT会碰到问题呢？是因为…….
通过上面NAT的来说。假设C向B发送数据的过程中，C的另外一个端口100，也想向B发送数据包，那么当这个包到达A的时候A如何处理呢？过还是不过呢？如果过了，那么从另外一个IP到达A的数据包是否也允许过呢？显然在网络安全日益受到威胁的今天，让这些包通过是危险的。所以NAT决定不让这些包通过，也就是说NAT有了包过滤功能。于是：

firewall：NAT，包过滤是我的事情，你多管什么闲事？（有没有核武器是我的事，你管得着吗？）
NAT：让这些包通过不安全，所以我必须过滤这些数据包（伊朗有核武器，是个威胁，我必须干掉它）。
firewall：那你是NAT啊你还是防火墙？（那你的主权，人权和和平自由呢？）
NAT：（咬牙状）我是有部分防火墙功能的NAT，你咋地？（我想干啥干啥，你管得找吗？）
firewall：…….（什么东西啊，整个一个杂种，还美呢）
（其实，从概念上将，并不能这么说，但是便于理解，也没有什么深究的必要，就这么着吧）
通过这个简短的对话，相信大家对NAT和防火墙的关系也就是有了一个简单地认识了吧，接下来我就给大家带来一个关于在防火墙上配置NAT的小实验。

相关知识点：

ASA上的NAT类型：
-动态NAT
-动态PAT
-静态NAT
-静态PAT

实验拓扑：

如图所示：

实验需求：

使用单一的映射地址提供HTTP和FTP服务

1.将私有地址转换为公网地址
2.client2可以访问WEB服务器server3
3.client2可以访问FTP服务器server5

地址规划：

如图所示：

实验思路及步骤：

一、配置设备IP地址及掩码

      1.配置终端设备

server2：

client2：

server3：

server5：

client3：

   2.配置ASA接口IP地址

命令如下：

asa# conf te //进入到全局视图
asa(config)# int g1//进入逻辑接口g1
asa(config-if)# nameif outside //给逻辑接口命名
asa(config-if)# security-level 0//配置安全级别为0
asa(config-if)# ip address 200.8.8.3 255.255.255.248//配置IP地址
asa(config-if)# no shutdown//开启接口
asa(config-if)# exit//退出
asa(config)# int g2//进入逻辑接口g2
asa(config-if)# nameif DMZ//给逻辑接口命名为“非军事化区域”       
asa(config-if)# security-level 50//配置安全级别为50
asa(config-if)# ip address 192.168.3.254 255.255.255.0//配置IP地址
asa(config-if)# no shutdown//开启接口
asa(config-if)# exit//退出
    3.配置server3的http服务

操作如图：

4.配置server5的ftp服务

操作如图：

二、配置静态PAT端口映射将私网地址转换为公网地址为外网提供服务
命令如下：

asa(config)# object network ob-out //
asa(config-network-object)# host 200.8.8.1

-----

asa(config)# object network dmz01 
asa(config-network-object)# host 192.168.3.100 
asa(config-network-object)# nat (dmz,outside) static ob-out service tcp 80 80

-----

asa(config)# object network dmz02 
asa(config-network-object)# host 192.168.3.101 
asa(config-network-object)# nat (dmz,outside) static ob-out service tcp 21 21 

三、配置ACL允许client2访问server3以及server5
分析：因为client2位于outside区域，安全级别比DMZ区域低，默认是不允许安全级别低的区域访问女权级别高的区域的，所以如果想要访问位于DMZ区域的server3以及server5，必须配置ACL允许client2的流量通过。

命令如下：
asa(config)#access-list out_to_dmz permit tcp host 200.8.8.5 object dmz01 eq http
asa(config)#access-list out_to_dmz permit tcp host 200.8.8.5 object dmz02 eq ftp 
asa(config)#access-group out_to_dmz in interface outside 

验证：

1.client2访问Server3的http服务

2.client2访问Server5的ftp服务

3.通过show xlat命令查看xlat表

通过此图我们可以看见，内网地址192.168.3.100的80端口转换成了公网地址200.8.8.1，实现了为外网提供hHTTP服务进行访问的目的；内网地址192.168.3.101的21端口也转换成了公网地址200.8.8.1，实现了为外网提供FTP服务进行访问的目的。

以上就是静态PAT的端口映射，它可以实现使用单一的映射地址提供http和ftp的目的，当然，还有其他三种nat也有着不同的应用环境，这里就先给大家介绍这一种，不足之处，请大家多多指点，谢谢！