Cisco IOS防火墙的安全规则和配置方案(5)
4、用一个出口地址映射内部多台主机
应用于internet上的大型网站有多台主机对应同一个系统的同一个出口地址。
可以用sh ip nat translation 和debug ip nat 命令来检查NAT的状态。
二、基于上下文的访问控制(Context-based access control--CBAC)
CISCO路由器的access-list只能检查网络层或者传输层的数据包,而CBAC能够智能过滤基于应用层的(如FTP连接信息)TCP和UDP的session;CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接,同时检查内外两个方向的sessions。
