文/白海 郭代麗

思科ASA系列防火墻NAT解析

文/白海1郭代麗2

網(wǎng)絡地址轉換(NAT, Network Address Translation)屬接入廣域網(wǎng)(WAN)技術，是一種將私有（保留）地址轉化為合法IP地址的轉換技術，它被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡中。防火墻都運行NAT，主要原因是：公網(wǎng)地址不夠使用；隱藏內(nèi)部IP地址，增加安全性；允許外網(wǎng)主機訪問DMZ。

動態(tài)NAT和PAT

在圖1中，內(nèi)部主機訪問外網(wǎng)和DMZ時，都需要轉換源地址，配置方法如下：

FW(config)# nat (inside) 1 10.0.1.0 255.255.255.0指定需要轉換的源地址。其NAT ID為1。用于匹配global命令中的NAT ID。

FW(config)# global (outside) 1 61.136.150.10-61.136.150.20

油菜技術組利用高產(chǎn)創(chuàng)建這個平臺，開展了品種比較、密度、免耕、夏播、煙后舊膜利用、地膜油菜、油菜-蠶豆套種、油菜-蘿卜等蔬菜間作、油菜-玉米套種、品種展示等試驗示范32組次，讓項目區(qū)農(nóng)戶看得到、學得到，提高了群眾科學種田的積極性，努力為山區(qū)農(nóng)民節(jié)本增收探索新途徑。

指定用于替代源地址的地址池。其NAT ID為“1”，表明內(nèi)口NAT ID為1的地址將被替換為地址池中的地址。該方式即為動態(tài)NAT。

FW(config)# global (dmz) 1 10.0.2.20

指定用于替代源地址的唯一地址。其NAT ID為“1”，表明內(nèi)口NAT ID為1的地址都將被替換為同一地址（10.0.2.20）。該方式即為動態(tài)PAT。

在預處理工藝試驗結果基礎上進行響應面設計，采用Design-Expert 8.0.5軟件對試驗數(shù)據(jù)進行回歸分析，并預測最佳配方。通過最小二乘法擬合二次多項方程，分析4個因素不同水平對馬鈴薯脆片綜合評價的影響。

收到來自內(nèi)網(wǎng)的IP包后，防火墻首先根據(jù)路由表確定應將包發(fā)往哪個接口，然后執(zhí)行地址轉換。

靜態(tài)NAT

在圖1中，為使外部用戶可訪問DMZ中的服務器，除適當應用ACL外，還需將服務器的IP地址（10.0.2.1）映射（靜態(tài)轉換）為公網(wǎng)地址（如61.136.151.1），靜態(tài)轉換命令如下：本例中子網(wǎng)掩碼為255.255.255.255，表示只轉換一個IP

特點：占用的資源較少。內(nèi)、外部主機均可主動建立連接，如圖3所示。

靜態(tài)PAT

在圖1中，欲完成10.0.2.1:8080（TCP）到61.136.152.1:80（TCP）的靜態(tài)映射，命令如下：

在不斷的實踐過程中，高職院校實驗課程教學團隊建設仍然存在片面認知和不夠重視的情況，其主要原因有以下幾點。

NAT前后，源地址不變

啟用NAT控制后（通常NAT控制都處于啟用狀態(tài)），內(nèi)部主機的地址必須經(jīng)過NAT，方可與其他接口所連接的網(wǎng)絡進行通信。在實踐中，有時某些源地址并無改變的必要，甚至不允許改變。

要求：內(nèi)部子網(wǎng)125.221.40.0/24在NAT后，地址與真實地址相同。

據(jù)了解，瑞豐生態(tài)投產(chǎn)應用的“碳能結晶”技術作為一款具有國際領先地位的新型肥料產(chǎn)品的生產(chǎn)工藝，目前在國內(nèi)還未廣泛應用?！疤寄芙Y晶”工藝技術利用了生物酶的催化作用，將有機酸類水溶性碳營養(yǎng)物質和無機鹽類大中微量元素養(yǎng)分反應形成復鹽結晶，通過該工藝升級的新型功能肥料產(chǎn)品的水溶性得到了進一步提高，對于土壤修護、植物碳營養(yǎng)補充也具有良好的功效。

解決方法一:“Identity NAT”

特點：支持策略NAT（本文不涉及），僅允許內(nèi)部主機主動建立連接，如圖2所示。

圖2 單向連接

內(nèi)網(wǎng)主機通過域名訪問DMZ中WWW服務器的過程標示于圖4-2-4中：①內(nèi)網(wǎng)主機運行瀏覽器，向DNS服務器發(fā)送DNS請求；②DNS服務器以地址61.136.151.1回復；③防火墻接收到回復報文后，送DNS檢測引擎進行處理。檢測引擎檢索到NAT配置“static (dmz,outside) 61.136.151.1 10.0.2.1 dns”，將DNS回復報文中的地址61.136.151.1改寫為10.0.2.1（NAT配置中的關鍵字DNS是必須的，否則防火墻不進行改寫操作）；④將經(jīng)過修改后DNS回復送內(nèi)網(wǎng)主機；⑤內(nèi)網(wǎng)主機向DMZ中的服務器發(fā)送HTTP請求。

特點：可指定目的接口，內(nèi)、外部主機均可主動建立連接，如圖3所示。

解決方法三：“NAT exemption”

地址。若參數(shù)形如“10.0.2.0 61.136.151.0 netmask 255.255.255.0”，則表示要完成一個子網(wǎng)到另一個子網(wǎng)的靜態(tài)轉換。

圖3 雙向連接

NAT與DNS記錄重寫

在圖4所示場景中，DMZ中服務器的真實地址（10.0.2.1）已映射為外部地址（61.136.151.1）。DNS服務器位于外網(wǎng)，其中包含可將syr.tgcep.edu.cn解析為外部地址61.136.151.1的A記錄。

外網(wǎng)用戶可通過域名或外部地址正常訪問WWW服務器。內(nèi)部用戶可通過真實地址（10.0.2.1）訪問WWW服務器，但是，如果內(nèi)部用戶需要通過域名訪問WWW服務器，則需要將域名解析為真實地址10.0.2.1。

可以在啟用防火墻的DNS檢測功能（在默認情況下，該功能處于啟用狀態(tài)）后，通過DNS記錄重寫實現(xiàn)這一功能。

致：富士通掃描儀用戶、合作伙伴

小學生思維、理解能力有限，但對新鮮事物、動態(tài)事物、鮮艷的色彩和圖案等具有強烈的好奇心和興趣。因此，教師在借助微課進行課堂教學時，應緊緊抓住學生這一特征，將晦澀難懂的抽象知識，借助微課制作軟件，以直觀、間接的動態(tài)視頻形式展示給學生，從而激發(fā)學生的探索興趣，集中學生的注意力。

在客戶升級版本后，如果不使用遷移命令,從外網(wǎng)的訪問將不受NAT的限制,可以正常訪問。

解決方法二:“Static Identity NAT”

ASA 8.3 的NAT

ASA 8.3 版本對NAT 的語法進行了革命的改變不再支持NAT-Control，使用了更加靈活和更加易于組合object /object-group的新方式。遷移命令如下,

欲實現(xiàn)DNS重寫，需要在配置地址映射時，加入關鍵字DNS。就本例而言，相關配置如下：

（作者單位：1為三峽電力職業(yè)學院；2為三峽大學）

聲明函

竭盡全力推進重點水利工程建設。加快推進長泰枋洋水利樞紐工程、蓮花水庫工程、水庫水閘除險加固工程、流域整治工程建設。

步驟3 利用式(12),對模糊一致性矩陣R′ 進行行和歸一化處理,從而求得權重向量a=(a1,a2,…,am)。

感謝廣大用戶、合作伙伴多年來對富士通掃描儀產(chǎn)品的大力支持。近期在市場上出現(xiàn)不正常價格的富士通掃描儀產(chǎn)品，這些低價產(chǎn)品包裝箱和機身的產(chǎn)品標簽被惡意篡改，更甚者掃描儀內(nèi)的序列號也被更改。以上行為嚴重影響了富士通產(chǎn)品的形象及破壞市場秩序。我們嚴厲譴責這種不道德、嚴重的侵權行為并對參與者保留一切法律追究權利。

鑒于以上情況，我司作出以下聲明：

楊川(1999-)，男，四川工商學院電子信息工程學院學生，主要研究方向為信號與通信原理。E-mail:1685058064@qq.com

1. 任何富士通掃描儀產(chǎn)品機身的標簽一旦被毀壞、改動，一律不能享受我司正常的保修、維修及備件供應服務；

2. 富士通對于侵權行為的參與者保留一切法律追究權利；

3. 如果對產(chǎn)品的真?zhèn)钨|疑，請撥打服務熱線：800 830 6790查詢。

最后，為保障閣下的利益，在選購富士通掃描儀產(chǎn)品時，務必選擇我司授權代理商?？傻卿浉皇客ㄖ袊W(wǎng)站 http://cn.fujitsu.com，查詢授權代理商資料。

余昌胤對記者說，通過優(yōu)質醫(yī)療技術的創(chuàng)新引領，醫(yī)院大批的臨床科室積極發(fā)展各類優(yōu)質醫(yī)療技術，尤其是在介入、微創(chuàng)、腔鏡以及內(nèi)鏡等技術領域取得了較大突破和進展，多項技術在貴州省乃至西南地區(qū)處于領先水平，為患者提供了更為優(yōu)質、高效、便捷、安全的醫(yī)療服務。近年來，患者滿意度不斷提升，住院患者滿意度均在90%以上，吸引了大批外地患者慕名前來醫(yī)院就診。

特此聲明！

富士通香港有限公司

2011年8月16日