- Văn bản
- Lịch sử
internal hosts, thus creating the n
internal hosts, thus creating the need for a technology that enables many-to-one
mappings. The classic solution is called Dynamic Port Address Translation
(Dynamic PAT).
■ Concealing the details of the internal network from the outside world: Dynamic
PAT not only handles the reduction of valid Internet addresses, but also makes it
possible to define unidirectional translations for hosts that should not be accessible
from external sources.
■ Interconnecting networks with overlapping addresses: Almost every company uses
private addresses for internal hosts. For organization acquisitions and mergers, conflicting addresses (that still need to access each other) might appear. NAT is a possible solution in such a scenario.
NAT involves two fundamental (and complementary) processes:
■ Replacing the original address by a virtual address and creating an entry that reflects
this mapping in a translation table. For NAT to work properly, the virtual address
should be routable on the destination network.
■ Searching the translation table to map the return packets (sent to the virtual address)
back to the original address. (This is called untranslating.)
This chapter is devoted to the analysis of the numerous NAT categories supported by
ASA and to study how the concept of connections, which were discussed in Chapter 7,
“Through ASA Without NAT,” relate with the connectivity provided by translations.
Before presenting the actual contents, this chapter deals with the NAT syntaxes used in
ASA pre-8.3 releases. The command and philosophy changes of release 8.3 are summarized in Appendix A, “NAT and ACL Changes in ASA 8.3.” Although 8.3 introduces a
new design for the NAT functionality, it does not modifies the available NAT categories.
Nat-Control Model
As studied in the previous chapter, the default NAT configuration, after release 7.0 of PIX
and ASA, is the model denominated no nat-control, meaning that traffic can flow
through the firewall with no requirement of any NAT rule. When this model is chosen,
NAT becomes an optional attribute for both outbound and inbound classes of access.
This chapter examines the model known as nat-control, which represents the single
choice of operation mode for PIX Firewalls before the new era brought by release 7.0.
Between 7.0 (first ASA release) and 8.2, nat-control is optional.
In the nat-control model, the ASA algorithm enables connectivity to be established
through the firewall only if a clear response for NAT usage is provided during configuration. This task can be accomplished in two basic ways:
■ By configuring one of the main categories of NAT (dynamic, static, policy)
■ By explicitly choosing a NAT Bypass mechanism in scenarios where NAT is not
needed (or desired)
mappings. The classic solution is called Dynamic Port Address Translation
(Dynamic PAT).
■ Concealing the details of the internal network from the outside world: Dynamic
PAT not only handles the reduction of valid Internet addresses, but also makes it
possible to define unidirectional translations for hosts that should not be accessible
from external sources.
■ Interconnecting networks with overlapping addresses: Almost every company uses
private addresses for internal hosts. For organization acquisitions and mergers, conflicting addresses (that still need to access each other) might appear. NAT is a possible solution in such a scenario.
NAT involves two fundamental (and complementary) processes:
■ Replacing the original address by a virtual address and creating an entry that reflects
this mapping in a translation table. For NAT to work properly, the virtual address
should be routable on the destination network.
■ Searching the translation table to map the return packets (sent to the virtual address)
back to the original address. (This is called untranslating.)
This chapter is devoted to the analysis of the numerous NAT categories supported by
ASA and to study how the concept of connections, which were discussed in Chapter 7,
“Through ASA Without NAT,” relate with the connectivity provided by translations.
Before presenting the actual contents, this chapter deals with the NAT syntaxes used in
ASA pre-8.3 releases. The command and philosophy changes of release 8.3 are summarized in Appendix A, “NAT and ACL Changes in ASA 8.3.” Although 8.3 introduces a
new design for the NAT functionality, it does not modifies the available NAT categories.
Nat-Control Model
As studied in the previous chapter, the default NAT configuration, after release 7.0 of PIX
and ASA, is the model denominated no nat-control, meaning that traffic can flow
through the firewall with no requirement of any NAT rule. When this model is chosen,
NAT becomes an optional attribute for both outbound and inbound classes of access.
This chapter examines the model known as nat-control, which represents the single
choice of operation mode for PIX Firewalls before the new era brought by release 7.0.
Between 7.0 (first ASA release) and 8.2, nat-control is optional.
In the nat-control model, the ASA algorithm enables connectivity to be established
through the firewall only if a clear response for NAT usage is provided during configuration. This task can be accomplished in two basic ways:
■ By configuring one of the main categories of NAT (dynamic, static, policy)
■ By explicitly choosing a NAT Bypass mechanism in scenarios where NAT is not
needed (or desired)
0/5000
máy chủ nội bộ, do đó tạo ra sự cần thiết cho một công nghệ mà cho phép một trong những nhiềuánh xạ. Các giải pháp cổ điển được gọi là Dynamic Port Address Translation(Động PAT).■ che giấu các chi tiết của mạng nội bộ từ thế giới bên ngoài: năng độngPAT không chỉ xử lý việc giảm các địa chỉ Internet hợp lệ, nhưng cũng làm cho nócó thể để xác định các bản dịch unidirectional cho máy mà không phải là có thể truy cậptừ nguồn bên ngoài.■ Interconnecting mạng với chồng chéo địa chỉ: công ty hầu hết sử dụngđịa chỉ cá nhân cho các máy chủ nội bộ. Đối với tổ chức mua lại và sáp nhập, xung đột địa chỉ (vẫn còn cần phải truy cập vào mỗi khác) có thể xuất hiện. NAT là một giải pháp có thể có trong kịch bản như vậy.NAT bao gồm hai quá trình cơ bản (và bổ sung):■ thay thế địa chỉ gốc của một địa chỉ ảo và tạo ra một cụm từ phản ánhlập bản đồ này trong bảng dịch. Cho NAT để hoạt động đúng, địa chỉ ảonên routable trên mạng đích.■ Tìm bảng dịch thuật để lập bản đồ các gói dữ liệu trở lại (gửi đến địa chỉ ảo)Quay lại địa chỉ ban đầu. (Điều này được gọi là untranslating.)Chương này được dành cho việc phân tích các loại NAT nhiều được hỗ trợ bởiASA và học như thế nào khái niệm về kết nối, mà đã được thảo luận trong chương 7,"Thông qua ASA mà không cần NAT," liên hệ với các kết nối được cung cấp bởi bản dịch.Trước khi trình bày các nội dung, chương này thoả thuận với cú NAT được sử dụng trongASA pre-8.3 bản phát hành. Thay đổi lệnh và triết lý của phiên bản 8.3 được tóm tắt trong phụ lục A, "NAT và thay đổi ACL ASA 8.3." Mặc dù 8.3 giới thiệu mộtthiết kế mới cho các chức năng NAT, nó không sửa đổi danh mục NAT có sẵn.Mô hình kiểm soát NATNhư nghiên cứu trong chương trước, cấu hình NAT mặc định, sau khi phát hành 7.0 PIXvà ASA, mô hình bằng tiền không nat-kiểm soát, có nghĩa là lưu lượng truy cập có thể chảythông qua các bức tường lửa với không có yêu cầu của bất kỳ quy tắc NAT. Khi mô hình này được chọn,NAT sẽ trở thành một thuộc tính tuỳ chọn cho các lớp học trong nước lẫn nước ngoài truy cập.Chương này sẽ kiểm tra các mô hình được biết đến như là nat-kiểm soát, đại diện cho đĩa đơnlựa chọn chế độ hoạt động cho bức tranh tường lửa trước khi thời đại mới đưa ra bởi phát hành 7.0.Giữa 7,0 (phát hành đầu tiên ASA) và 8.2, nat-kiểm soát là tùy chọn.Trong mô hình điều khiển nat, ASA thuật toán cho phép các kết nối được thành lậpthông qua tường lửa chỉ nếu một phản ứng rõ ràng cho việc sử dụng NAT được cung cấp trong khi cấu hình. Nhiệm vụ này có thể được thực hiện trong hai cách cơ bản:■ Bằng cách cấu hình một trong những thể loại chính của NAT (năng động, tĩnh, chính sách)■ Bởi rõ ràng việc lựa chọn một cơ chế NAT Bypass trong kịch bản NAT ở đâu khôngcần thiết (hoặc mong muốn)
đang được dịch, vui lòng đợi..
máy chủ nội bộ, do đó tạo ra nhu cầu cho một công nghệ cho phép nhiều-một
ánh xạ. Các giải pháp cổ điển được gọi là Port động Address Translation
(Dynamic PAT).
■ Che giấu các chi tiết của mạng nội bộ từ thế giới bên ngoài: Năng động,
PAT không chỉ xử lý việc giảm các địa chỉ trên Internet hợp lệ, nhưng cũng làm cho nó
có thể để xác định dịch một chiều cho các máy rằng không nên có thể truy cập
từ các nguồn bên ngoài.
■ mạng tham gia kết nối với địa chỉ chồng chéo: Hầu hết các công ty sử dụng
địa chỉ riêng cho máy chủ nội bộ. Đối với tổ chức mua lại và sáp nhập, mâu thuẫn địa chỉ (mà vẫn cần phải truy cập mỗi khác) có thể xuất hiện. NAT là một giải pháp có thể có trong một kịch bản như vậy.
NAT liên quan đến hai cơ bản (và bổ sung) các quá trình:
■ Thay thế địa chỉ ban đầu của một địa chỉ ảo và tạo ra một mục phản ánh
bản đồ này trong một bảng dịch. Đối với NAT để làm việc đúng cách, địa chỉ ảo
nên có khả năng định tuyến trên mạng đích.
■ Tìm kiếm các bảng dịch để ánh xạ các gói trở lại (gửi đến địa chỉ ảo)
trở lại địa chỉ cũ. (Điều này được gọi là untranslating.)
Chương này được dành để phân tích trong vô số các loại NAT hỗ trợ bởi
ASA và nghiên cứu cách khái niệm về kết nối, mà đã được thảo luận trong Chương 7,
"Thông qua ASA Nếu không có NAT," liên quan đến kết nối cung cấp theo bản dịch.
Trước khi trình bày các nội dung thực tế, chương này giao dịch với các cú pháp NAT được sử dụng trong
ASA trước 8.3 phát hành. Các lệnh và triết lý thay đổi của phiên bản 8.3 được tóm tắt trong Phụ lục A, "NAT và ACL thay đổi trong ASA 8.3." Mặc dù 8.3 giới thiệu một
thiết kế mới cho các chức năng NAT, nó không làm thay đổi các loại NAT có sẵn.
Nat-Control mẫu
Như nghiên cứu trong các chương trước, cấu hình NAT mặc định, sau khi phát hành 7.0 của PIX
và ASA, là mô hình gốc không nat-kiểm soát, có nghĩa là lưu lượng có thể chảy
qua các bức tường lửa không có yêu cầu của bất kỳ quy tắc NAT. Khi mô hình này được chọn,
NAT sẽ trở thành một thuộc tính tùy chọn cho cả bên ngoài và lớp học trong nước truy cập.
Chương này xem xét các mô hình được gọi là nat-kiểm soát, đại diện cho các đơn
lựa chọn chế độ hoạt động cho PIX Firewall trước khi kỷ nguyên mới mang lại của bản phát hành 7.0 .
giữa 7.0 (lần đầu tiên phát hành ASA) và 8.2, nat-kiểm soát là tùy chọn.
Trong mô hình nat-control, thuật toán ASA cho phép kết nối được thiết lập
thông qua các bức tường lửa chỉ khi một phản ứng rõ ràng để sử dụng NAT được cung cấp trong cấu hình. Nhiệm vụ này có thể được thực hiện theo hai cách cơ bản:
■ Bằng cách cấu hình một trong những thể loại chính của NAT (năng động, tĩnh, chính sách)
■ Bằng cách lựa chọn một cách rõ ràng cơ chế NAT Bypass trong kịch bản mà NAT được không
cần thiết (hoặc mong muốn)
ánh xạ. Các giải pháp cổ điển được gọi là Port động Address Translation
(Dynamic PAT).
■ Che giấu các chi tiết của mạng nội bộ từ thế giới bên ngoài: Năng động,
PAT không chỉ xử lý việc giảm các địa chỉ trên Internet hợp lệ, nhưng cũng làm cho nó
có thể để xác định dịch một chiều cho các máy rằng không nên có thể truy cập
từ các nguồn bên ngoài.
■ mạng tham gia kết nối với địa chỉ chồng chéo: Hầu hết các công ty sử dụng
địa chỉ riêng cho máy chủ nội bộ. Đối với tổ chức mua lại và sáp nhập, mâu thuẫn địa chỉ (mà vẫn cần phải truy cập mỗi khác) có thể xuất hiện. NAT là một giải pháp có thể có trong một kịch bản như vậy.
NAT liên quan đến hai cơ bản (và bổ sung) các quá trình:
■ Thay thế địa chỉ ban đầu của một địa chỉ ảo và tạo ra một mục phản ánh
bản đồ này trong một bảng dịch. Đối với NAT để làm việc đúng cách, địa chỉ ảo
nên có khả năng định tuyến trên mạng đích.
■ Tìm kiếm các bảng dịch để ánh xạ các gói trở lại (gửi đến địa chỉ ảo)
trở lại địa chỉ cũ. (Điều này được gọi là untranslating.)
Chương này được dành để phân tích trong vô số các loại NAT hỗ trợ bởi
ASA và nghiên cứu cách khái niệm về kết nối, mà đã được thảo luận trong Chương 7,
"Thông qua ASA Nếu không có NAT," liên quan đến kết nối cung cấp theo bản dịch.
Trước khi trình bày các nội dung thực tế, chương này giao dịch với các cú pháp NAT được sử dụng trong
ASA trước 8.3 phát hành. Các lệnh và triết lý thay đổi của phiên bản 8.3 được tóm tắt trong Phụ lục A, "NAT và ACL thay đổi trong ASA 8.3." Mặc dù 8.3 giới thiệu một
thiết kế mới cho các chức năng NAT, nó không làm thay đổi các loại NAT có sẵn.
Nat-Control mẫu
Như nghiên cứu trong các chương trước, cấu hình NAT mặc định, sau khi phát hành 7.0 của PIX
và ASA, là mô hình gốc không nat-kiểm soát, có nghĩa là lưu lượng có thể chảy
qua các bức tường lửa không có yêu cầu của bất kỳ quy tắc NAT. Khi mô hình này được chọn,
NAT sẽ trở thành một thuộc tính tùy chọn cho cả bên ngoài và lớp học trong nước truy cập.
Chương này xem xét các mô hình được gọi là nat-kiểm soát, đại diện cho các đơn
lựa chọn chế độ hoạt động cho PIX Firewall trước khi kỷ nguyên mới mang lại của bản phát hành 7.0 .
giữa 7.0 (lần đầu tiên phát hành ASA) và 8.2, nat-kiểm soát là tùy chọn.
Trong mô hình nat-control, thuật toán ASA cho phép kết nối được thiết lập
thông qua các bức tường lửa chỉ khi một phản ứng rõ ràng để sử dụng NAT được cung cấp trong cấu hình. Nhiệm vụ này có thể được thực hiện theo hai cách cơ bản:
■ Bằng cách cấu hình một trong những thể loại chính của NAT (năng động, tĩnh, chính sách)
■ Bằng cách lựa chọn một cách rõ ràng cơ chế NAT Bypass trong kịch bản mà NAT được không
cần thiết (hoặc mong muốn)
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- The above program declares a base class,
- Finding ways to increase VGC’s revenue i
- 미쳤어
- Finding ways to increase VGC’s revenue i
- s'adapter
- perché tiamo
- Ngọc: In particular, the victims wear ha
- đồ khùng
- talk to you late
- Figure 24.3(b) shows the value of the sh
- Ngọc: In particular, the victims wear ha
- Đó là một vở diễn đặc biệt của chúng tôi
- Two important situations are documented
- Chung ta co the lam ban
- 미쳐
- chúng ta phải tướng nhớ những chiến sĩ đ
- HE'S EVIL TO THE CORE NOW
- Im not like you have not
- You are allowed scream, you are allowed
- why so seriuos
- u r good-looking
- We have little in common
- Figure 24.3(b) shows the value of the sh
- What do you do well? What do you enjoy d
