详谈防火墙配置的六个主要命令
第四个命令:NAT 与GLOBAL、STATIC命令
使用NAT(网络地址转换)命令,网络管理员可以将内部的一组IP地址转换成为外部的公网地址;而global命令则用于定义用网络地址转换命令NAT转换成的地址或者地址的范围。简单的说,利用NAT命令与GLOBAL命令,能够实现IP地址之间的转换,还可以实现IP地址到端口的映射。
这个网络地址转换命令在实际工作中非常的有用。我们都知道,现在公网IP地址非常的缺乏,基本上,一家企业只有一到两个公网地址。而对于企业来说,他们的文件服务器、OA系统、邮件服务器等等可能都需要外部访问,而如果没有NAT技术的话 ,则在公网中要进行访问的话,必须具有公网的IP地址。这就大大限制了企业内部信息化系统的外部访问,家庭办公、出差时访问企业内部网络等等,变的无法实现。而现在网络地址转换技术,就是为解决这个问题而产生的。在网络地址转换技术的帮助下,可以把企业内部的IP地址跟端口唯一的映射到外部公网的IP地址。如此的话,内网的IP地址就有了一个合法的公网IP地址,则在公司外面的员工就可以通过互联网访问企业内部的信息化系统。
在实际工作中,用的最多的就是将本地地址转换为一个担搁的全局地址,而不是一个地址范围。如公司内部的ERP服务器IP地址为192.168.0.6,此时,若我们希望,外部的员工,如在其他城市的一个销售办事处,他们能够利用202.96.96.240这个公网地址访问这台服务器。若要实现这个需求,该如何配置呢?
Static (inside,outside) 192.168.0.6 202.96.96.236
此时,外部用户就可以利用这个202.96.96.236公网IP地址,来访问企业内部的ERP系统。
其实,配置了这条命令之后,在防火墙服务器中,就有了这个一一对应的关系。当外部网络通过访问202.96.96.236这个IP地址时,在防火墙服务器中,就会把这个IP地址转换为192.268.0.6,如此就实现了外部网络访问企业的内部信息化系统。
不过,此时若不止这么一个信息化系统,现在OA系统(192.168.0.5)与ERP系统(192.168.0.6),在家办公的人或者出差在外的人都需要能够访问这两个服务器,此时,该如何处理呢?
如企业有两个公网IP地址,那也好办,只需要把OA系统与ERP系统分别对应到一个公网IP地址即可。但是,现在的问题是,企业只有一个IP地址,此时,该如何处理呢?为此,我们可以利用static命令,实现端口的重定向。简单的说,端口重定向,允许外部的用户连接一个内部特定的IP地址与端口,并且让防火墙将这个数据流量重定向到合适的内部地址中去。
作者提醒
1、 应该有足够的全局IP地址去匹配NAT命令指定的本机IP地址。否则的话,可以结合使用PAT(根据端口对应IP地址)来解决全局地址的短缺问题。而对于绝大部分中国企业来说,基本上地址都是不够的,要采用PAT技术来解决地址短缺问题。PAT技术,最多允许64000个客户端(内部IP地址)使用同一个公网的IP地址。
2、 网络地址转换除了可以解决公网ID地址短缺问题的话,还有一个很好的副作用。就是可以把内部的主机隐藏起来,从而实现内部主机的安全性。如上面的例子中,如外面的用户需要访问企业内部的ERP服务器的话,则他们只需要知道公网地址就可以了,不需要知道到底他们访问的是内部的那台服务器,这台服务器的IP地址是多少。如此的话,就可以最大限度的保护企业内部服务器的安全。
