CiscoASA防火墙nat配置示例

1.nat-control命令解释 命令解释

pix7.0版本前默认为nat-control,并且不可以更改 并且不可以更改

no nat-control。可以类似路由器一样，直接走路由；如果启用 pix7.0版本后默认为no nat-control

nat-control，那就与pix7.0版本前同。 版本前同。 2.配置动态nat 

把内部网段：172.16.25.0/24 转换成为一个外部的地址池 转换成为一个外部的地址池 200.1.1.1-200.1.1.99 NAT配置命令 配置命令 ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 （定义地址池） （定义地址池） 注意：id必须匹配，并且大于1，这里先使用1 检测命令： 检测命令：

ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate 

ASA(config)# show connect 3.配置PAT 

把内部网段：172.16.26.0/24 转换成为一个外部的一个地址：200.1.1.149 NAT配置命令 配置命令

ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 2 200.1.1.149 （定义地址） （定义地址） ASA(config)# global (outside) 2 interface（或者直接转换为接口地址） （或者直接转换为接口地址） 注意：id必须匹配，并且大于2，这里先使用2 4.配置sta󰆟c NAT 

把内部网段：172.16.27.27/24 转换成为一个外部的一个地址：200.1.1.100 

NAT配置命令 配置命令

ASA(config)# sta󰆟c (inside,outside) 200.1.1.100 172.16.27.27 命令格式是内外对应的，红色的接口和红色的地址对应。 命令格式是内外对应的，红色的接口和红色的地址对应。 实际工作中的应用： 实际工作中的应用：

sta󰆟c主要是为内部服务器提供服务，如：web、󰅌p、telnet、mail等等。 等等。 access-list WEB permin󰆩cp any host 200.1.1.100 eq 80 access-list WEB in interface outside  应用ACL 

ASA(config)# sta󰆟c (inside,outside) tcp 200.1.1.100 80 172.16.27.27 80 ASA(config)# sta󰆟c (inside,outside) tcp interface 80 172.16.27.27 80 

5.防止DOS攻击 攻击

防止外部对172.16.27.27/24 的攻击 的攻击

ASA(config)# sta󰆟c (inside,outside) 200.1.1.100 172.16.27.27 tcp 100 1000 udp 1000 tcp 100 1000:表示正常tcp连接最大数量为100，半开连接最大的数量为1000。 udp 1000：表示正常udp连接最大的数量为1000，具体值设置为多少需要按工作中而定。 ，具体值设置为多少需要按工作中而定。 6.route配置 配置

网关：200.1.1.2 LAN的网关：172.16.25.2/24 

ASA(config)# route outside 0 0 200.1.1.2 ASA(config)# route inside 0 0 172.16.25.25.2 ASA(config)# show route ASA(config)# show run rout 7.有关NAT转换的匹配顺序 转换的匹配顺序 （1）.nat 0 

（2）.sta󰆟c (inside,outside) 

（3）.sta󰆟c (inside,outside) tcpxxx.xxx.xxx.xxx 80 xxx.xxx.xxx.xxx 80 （4）.nat 1、2、3、4、5、6…