思科 asa5520 防火墙,内网怎么样才能用外網IP访问内网中对应服务器
以前没有人发过独家课程,一套新版的CCNP安全 ASA防火墙培训学习完CCNP后必备的安全知识。课程每节课时很长总的大概在1400分钟。
课件1 : 虚拟环境使用时长60分56秒
课件2 : 虚拟环境使鼡补充时长5分45秒
课件5 : 环境搭建二次讲解时长75分26秒
课件11 : 防火墙工作机制时长38分8秒
课件22 : 透明防火墙时长53分25秒
课件23 : 透明防火墙策略时长73分49秒
课件26 : 接口冗余时长16分54秒
加入论坛学习组免积分下载观看全论坛课程
加载中,请稍候......
}如图:内网用户通过公网IP地址可鉯正常访问内网WEB服务器但是通过域名却无法访问,通过nslookup检查域名解析解析结果为错误的私网IP地址
既然内网可以通过公网IP地址访问内网垺务器,因此只要保证DNS Response 报文数据域中answer字段的IP地址不被ALG进程修改问题即可解决。登陆防火墙关闭ALG对DNS报文的检测,命令
通过nslookup 检查域名解析解析结果正常,在内网通过域名访问内网web服务器访问成功,故障排除
DNS属于多通道协议防火墙默认开启了ALG功能,可以检测到DNS Response报文数据域answer字段的IP地址查看是否匹配server-map表项,如果能匹配则将对应的公网IP地址转换为私网IP地址,因此在内网访问服务器直接通过私网IP地址进行訪问,不会导致访问失败的现象出现登陆防火墙查看NAT Server的配置,用户通过端口映射将出口公网IP映射了多台内网服务器防火墙ALG进程在处理DNS Response報文 answer字段IP地址时会和server-map中的表项以此匹配,如图:
对于FTP、DNS等多通道协议而言由于应用层数据域中携带了需要通告或是协商的IP地址和端口,洇此在NAT转换的时候也同时需要将数据域中的私网IP地址做相应的转换,否则会导致对端再次发起连接时是目的地址是一个不可达的IP地址和端口此案例应用场景比较特殊,由于内网没有部署DNS server导致DNS请求报文穿过防火墙转发到公网的DNS server 解析而正是ALG的特性导致了错误的IP地址转换