Cisco ASA防火墙 NAT实验:源NAT+目的NAT(Trust/Untrust双区域,无DMZ)

学习3人组2026-06-04 20:13

Cisco ASA防火墙 NAT实验:源NAT+目的NAT(Trust/Untrust双区域,无DMZ)

一、实验拓扑&规划

1.设备与IP清单

设备 接口 IP 安全区域 说明
内网PC E0 10.1.1.2/24 Trust(安全级别100) 内网主机,网关:10.1.1.1
Cisco ASA Inside 10.1.1.1/24 Trust(100) 内网口
Cisco ASA Outside 202.1.1.1/24 Untrust(0) 外网口
外网Server E0 202.1.1.2/24 Untrust(0) 外网服务器

ASA规则:Trust(100)默认可以主动访问Untrust(0),Untrust默认无法主动入Trust

实验两个目标:

1)源NAT(内网PC上网):10.1.1.2访问202.1.1.2,源IP转换成202.1.1.1

2)目的NAT(外网访问内网发布服务):外网访问202.1.1.1:80 → 映射到内网10.1.1.2:80

二、基础接口+安全域配置(ASA8.4+新版命令,现行考试/真机通用)

ios 复制代码 
!1.配置内网inside接口
interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
 no shutdown

!2.配置外网outside接口
interface GigabitEthernet0/1
 nameif outside
 security-level 0
 ip address 202.1.1.1 255.255.255.0
 no shutdown

PC配置:IP:10.1.1.2 掩码255.255.255.0 网关10.1.1.1

外网Server:IP:202.1.1.2 掩码255.255.255.0 网关202.1.1.1

三、第一部分:源NAT(内网访问外网,PAT端口复用,最常用上网NAT)

需求:内网10.1.1.0/24网段访问外网,源IP转换成外网接口公网IP202.1.1.1(PAT)

ios 复制代码 
!创建内网地址对象
object-group network IN-LAN
 network-object 10.1.1.0 255.255.255.0

!源PAT NAT:内网所有地址出外网转换成outside接口IP
nat (inside,outside) source dynamic IN-LAN interface

验证源NAT

  1. PC(10.1.1.2) ping 202.1.1.2 通
  2. ASA查看NAT转换表:show xlate

现象:转换条目源IP是202.1.1.1,目标202.1.1.2,源NAT完成

原理

源NAT:改变数据包【源IP】,内网主机出网隐藏私网地址,用公网地址和外网通信。

四、第二部分:目的NAT(端口映射/静态目的NAT,外网访问内网服务)

需求:外网Server(202.1.1.2)访问 202.1.1.1 80端口 → ASA把目的IP翻译成内网10.1.1.2 80

目的NAT=端口映射,外网通过公网IP访问内网私网服务器

ios 复制代码 
!定义内网主机对象
object network PC-INSIDE
 host 10.1.1.2

!静态目的NAT:outside访问202.1.1.1:80 目的转为10.1.1.2:80
nat (inside,outside) static interface service tcp 80 80

放行外网安全策略(关键!outside默认禁止入站)

ios 复制代码 
access-list OUT-IN permit tcp any host 10.1.1.2 eq www
access-group OUT-IN in interface outside

验证目的NAT

外网Server(202.1.1.2)访问202.1.1.1 80,实际访问到内网10.1.1.2的80服务

show xlate查看目的地址转换记录。

原理

目的NAT:改变数据包【目的IP】,外网不知道内网私网,访问公网IP由防火墙转发至内网真实服务器。

五、命令总结&考点区分

类型 修改字段 作用
源NAT(PAT) 源IP 内网上网,隐藏私网
目的NAT(端口映射) 目的IP 外网发布内网服务器

六、排错命令

ios 复制代码 
show run nat          !查看所有NAT配置
show xlate            !查看NAT转换条目
show access-list      !查看ACL命中计数
clear xlate           !清空NAT表重新测试
相关推荐
网络研究院7 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智7 天前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest7 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_7 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
2601_961845157 天前
粉笔行测题库|系统班|刷题
网络·百度·微信·微信公众平台·facebook·新浪微博
零零信安7 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
程序猿阿伟7 天前
《Chrome离线扩展安装的底层逻辑与场景落地指南》
服务器·网络·chrome
InHand云飞小白7 天前
无人值守站点网络困境?工业级路由器IR315破解连接难题
网络·物联网·4g·工业路由器·4g路由器·iiot·蜂窝路由器
森G7 天前
75、服务器源码解析---------云视频服务项目
linux·服务器·网络·c++·qt
江华森7 天前
TCP/IP 协议栈实战 — 7 个实验详解
网络·tcp/ip·智能路由器
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?03【AI】2026 年具身智能模型和世界模型总结042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析06GitHub 镜像站点07【AI总结】2026年6月 主流国内外大模型总结08AI科技热点日报 | 2026年6月1日09AI科技热点日报 | 2026年6月22日10AI一周事件 · 2026-06-03 至 2026-06-09