防火墙允许udp（万万没想到）udp 网关，高级网络应用TCP与UDP，ACL列表防火墙NAT实验“带命令”，

1.防火墙tcp和udp

1.传输层的协议（1）TCP 和 UDP 协议tcp, 传输控制协议， 有保障的稳定的传输链接协议，需要建立双向链接保证链接双方的活跃度和正常传输数据支持的主要服务 ftp ssh telnet http 远程桌面 等。

2.防火墙允许udp端口

udp， 用户数据包协议， 即时性强，免去繁琐的验证过程没有保证的链接协议，在传输过程中不必验证对方是否存在支持的服务主要有 ntp dhcp dns 等（2）TCP 协议的数据段格式三次握手和四次挥手

3.udp防火墙设置

三次握手，即客户端与服务端进行的三次通信四次挥手，就是客户端和服务端通过四次通信释放连接，也叫连接终止协议（3）DUP协议的特点UDP协议的特点就是无连接、不可靠、面向数据报的，整个过程就像是一个寄信的过程，每次接收和发送数据均是整条进行发送。

4.网络UDP

2.ACL访问控制列表作用， 对网络访问进行具体的控制（1）ACL 的运作原理ACL 是一张配置的表（通过命令配置）ACl 这个表应用到接口的入口或者出口（2）这个表如何检查的自上而下匹配匹配到一条后就不再往下匹配

5.udp是外部网关协议吗

如果表中都没有匹配到，默认拒绝ACL 匹配的是数据包的那部分内容是 传输层端口号 和网络层地址部分的内容（3）ACL 的分类标准acl扩展acl命名acl（4）ACL 标准和扩展的配置创建标准ACL的语法如下：

6.网络端口udp

Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]创建扩展的ACL语法如下：Router(config)#access-list access-list-number {permit|deny} protocol {source souce-wildcard destination destination-wildcard} [operator operan]

7.确保您的防火墙开放UDP

3.NAT (nat address translation) 网络地址转换（1）NAT作用将私有地址转换为公有地址可以有效节省ipv4地址(主要是公有地址)（2）NAT 特点NAT允许对内部网络实行私有编址,从而维护合法注册的公有全局编址方案,并节省IP地址;

8.udp通信不会受到防火墙的拦截

NAT增强了公有网络连接的灵活性（3）NAT 分类静态nat 一对一（一个私网地址对应转换为一个公网地址）192.168.1.1 —— 202.106.0.2静态端口映射 (几个私网地址转换为一个公网地址，根据不同端口区分)

9.udp/tcp

192.168.100.100：80 —— 202.106.0.150：80192.168.100.200：23 —— 202.106.0.150：23一般用在公司内部服务器通过映射让外网可以访问动态nat 一组对一组 （实际上也是一对一 不过是随机的，每次都不同）

10.路由器udp端口攻击

一般不用pat 动态端口端口映射 （多对一 就是内网整个网络对一一个外网地址，）192.168.1.0、24 —— 202.106.0.1一般用在内网客户机访问外网的情况下（4）nat 优点有效节省IP 地址

避免地址重叠增加内网安全性增加了内网和外网链接灵活性（5）nat 缺点增加了网络延迟有些网络服务并不支持（6）NAT 配置（静态nat 动态nat pat 静态端口映射）路由器的静态natip nat inside source static 内部服务器地址 外网公网地址

静态端口映射ip nat inside source static tcp 内部服务器地址 端口号 外网公网地址 端口号pataccess-list 1 permit 内网客户端主机网段地址 子网掩码ip nat inside source list 1 int 路由器外接口编号 overload

4.ASA防火墙静态natstatic(dmz, outside) 外网公网地址 dmz 服务器地址access-list abc permit ip any host 外网公网地址access-group abc in int outside

静态patstatic(dmz, outside) tcp 外网公网地址 端口号 dmz服务器地址 端口号access-list abc permit ip any host 外网公网地址access-group abc in int outside

动态patnat(inside) 1 内网网段地址 子网掩码global(outside) 1 interface动态natnat(inside) 1 内网网段地址 子网掩码global(outside) 1 外网起始地址—外网结束地址

二.PAT和静态端口映射实验

实验要求全网通配置PAT配置静态nat删掉静态nat 配置 静态端口映射实验命令isp 路由器配置Router>enRouter#conf tRouter(config)#int f0/0Router(config-if)#ip add 202.106.0.2 255.255.255.0

Router(config-if)#no shRouter(config-if)#int f0/1Router(config-if)#ip add 201.0.0.1 255.255.255.0Router(config-if)#no sh

router0路由器配置Router>Router>enRouter(config)#int f1/0Router(config-if)#ip add 192.168.1.1 255.255.255.0

Router(config-if)#no shRouter(config-if)#int f1/1Router(config-if)#ip add 192.168.2.1 255.255.255.0Router(config-if)#no sh

Router(config-if)#int f0/1Router(config-if)#ip add 172.16.0.1 255.255.255.0Router(config-if)#no shRouter(config-if)#int f0/0

Router(config-if)#ip add 202.106.0.1 255.255.255.0Router(config-if)#no shRouter(config)#ip route 0.0.0.0 0.0.0.0 202.106.0.2

配置patRouter(config)#access-list 1 permit anyRouter(config)#ip nat inside source list 1 int f0/0 overload

Router(config)#int f0/0Router(config-if)#ip nat outsideRouter(config)#int f1/0Router(config-if)#ip nat inside

Router(config-if)#int f1/1Router(config-if)#ip nat inside配置静态natRouter(config)#ip nat inside source static 172.16.0.100 202.106.0.100

Router(config)#ip nat inside source static 172.16.0.200 202.106.0.200Router(config)#int f0/1Router(config-if)#ip nat inside

Router(config-if)#Router(config-if)#exit删掉静态nat 配置 静态端口映射Router(config)#no ip nat inside source static 172.16.0.200 202.106.0.200

Router(config)#no ip nat inside source static 172.16.0.100 202.106.0.100Router(config)#ip nat inside source static tcp 172.16.0.100 80 202.106.0.150 80

Router(config)#ip nat inside source static tcp 172.16.0.200 21 202.106.0.150 21