ASA防火墙基本配置管理

　　(2)动态内部nat转换（多对多）
　　例：
　　global(outside) 1 218.106.236.247-218.106.236.249            //配置一个地址池
　　nat (inside) 1 192.168.9.0 255.255.255.0           //和上面的global配置一起使用，即把192.168.9.0 这个网段的地址转换为218.106.236.247-218.106.236.249这个网段
　　(3) pat (多对一nat)
　　当多个ip地址转换为一个ip地址时，自动在外部IP地址的后面加上大于1024的端口号，以区别不同的转换访问。
　　global(outside) 1 218.106.236.247                  //配置一个外部地址
　　nat (inside) 1 192.168.9.0 255.255.255.0          //和上面的global配置一起使用，即把192.168.9.0 这个网段的地址转换为218.106.236.247这个外部IP地址。外部人看到的是自动加了端口号的地址。
　　(4)策略nat
　　access-list extended net1 permit ip  192.168.9.0 255.255.255.0 host 209.165.200.1    //定义一个策略
　　global(outside) 1 209.165.200.100                                                    //定义一个地址
　　nat (inside) 1 access-list net1     //当192.168.9.0 网段的地址访问 209.165.200.1这台电脑时，转换为209.165.200.100这个ip地址。
　　(5)动态外部nat转换
　　当低级别的想往高级别的转换时，在后面加outside关键字即可。
　　nat (dmz) 1 192.168.7.0 255.255.255.0 outside    //把dmz接口下的地址nat 到inside接口中
　　global(inside) 1 192.168.9.10-192.168.9.20        //即dmz接口中的192.168.7.0 网段的地址访问内网时，将转换为内网地址为192.168.9.10-192.168.9.20
　　(6)nat 0 即nat 免除
　　nat 0 表示穿过防火墙而不进行nat转换。即表示地址不经过转换直接作为源地址发送穿过防火墙达到低级别安全接口。
　　nat (dmz) 0  192.168.0.9 255.255.255.255
　　注意：执行nat的顺序：
　　nat 0 (nat免除）
　　静态nat和静态pat  (即static命令）
　　策略动态 nat  (nat access-list)
　　正常的动态nat和pat (nat)
　　3、static映射命令
　　充许一个位于低安全级别接口的流量，穿过防火墙达到一个较高级别的接口。即数据流从较低安全级别接口到较高安全级别。
　　(1)常用方法：
　　static (real_ifname  mapped_ifname) {mapped_ip|interface}  real_ip  [netmask mask]
　　real_ifname :较高级别接口名   mapped_ifname:较低级别接口名
　　mapped_ip:较低级别接口ip地址  interface:较低级别接口       real_ip：较高级别ip地址
　　扩号内的顺序是：先高级别后低级别，扩号外的顺序是先低级别后高级别，正好相反。
　　例： static (inside outside)  218.107.233.234  192.167.9.1      //即把218.107.233.234这个外部地址映射到内部地址192.168.9.1上。
　　(2)静态端口映射
　　static (real_ifname  mapped_ifname) {tcp | udp}  {mapped_ip|interface} mapped_port real_ip real_port [netmask mask]
　　real_ifname :较高级别接口名   mapped_ifname:较低级别接口名
　　tcp|udp :要映射的端口协议名
　　mapped_ip:较低级别接口ip地址  interface:较低级别接口  mapped_port:端口名或端口号      real_ip：较高级别ip地址    real_port:端口名或端口号
　　注意一点很重要：并不是配置了static可以从外部访问内部了，必须要定义一个访问控制列表来实现一个通道，允许哪些服务或端口，或哪些地址可以访问。
　　例：
　　static (inside，outside) tcp interface ftp 192.168.10.4 ftp netmask 255.255.255.255  //把outside接口ip地址的ftp端口映射到192.168.10.4 内部IP的FTP端口。
　　access-list ftp extended permit tcp any interface outside eq ftp                     //定议一个访问控制列表，以允许ftp数据流通过。
　　access-group ftp in interface outside                                               //把访问控制列表应用于接口
　　4、route 命令
　　route if_name destination_ip  gateway  [metric]
　　if_name:        接口名
　　destination_ip: 目的地
　　gateway:        网关
　　metric:         跳数
　　例：route outside 0 0 218.102.33.247 1     //即默认网关为 218.102.33.247 ，只有一跳
　　route inside 192.168.9.0 255.255.255.0 192.168.10.1   //设置到目标192.168.9.0网段的网关为192.168.10.1