Question

思科配置动态nat，内网的安全如何保障

我用模拟器在内网连接外网的路由器上配置了动态NAT，但外网可以直接PING通内网地址，于是我配置了ACL来拒绝外网地址进入，但是这样又导致了内网无法PING通外网（初步判断是因为ACL阻止了ICMP的回显信息）。我用DEBUG IP NAT查询，内网出去时确实经过了转换，但外网却无法PING通转换后的地址，能直接PING通内网地址。我想知道，为什么外网能PING通内网？为什么不能PING通内网转换后的地址？





Answer 1

从原理上来说，有很多方法绕过NAT进入内部网络：

　　1) 象木马等方式可以使得内部网络一台机器作为攻击内部网络的跳板，微软类似这样被搞过很多次了；
　　2) 某些NAT无法阻挡源路由协议的攻击，攻击者可以由此进入内部网络(可以通过Windows下的tracert命令的-j参数进行测试， -j host-list Loose source route along host-list.)
　　3) NAT如果不加过滤，一些伪造源IP地址的包也可能侵入内部网络
　　4) 如果内部有台符合RFC标准的能够提供PASV方式的FTP服务器的话，外部用户可以通过这台FTP服务器进行FTP PASV方式的端口扫描。
　　5) more and more...

　　有太多方式可以透过NAT进入内部网络，而且还有一堆人都在研究怎么透过NAT甚至NAT+FW

　　FW在很多方面可以加强整个内部网络的安全性：
　　1) 端口过滤，端口过滤是加强安全的最基础的方式，可以防止想当一部分攻击；
　　2) 地址过滤，可以防止一些伪造源IP地址的攻击和源路由攻击
　　3) 会话过滤，好的FW可以做到会话级别的过滤
　　4) 应用过滤，能够实现应用级别的过滤是FW的比较高级的功能了，过滤颗粒比较细
　　5) more and more...

　　结论是仅仅用NAT来实现网络安全是不够的，FW有很多NAT实现不了的功能，完整的网络安全解决方案还应该包括网络防毒、IDS以及专家扫描系统等等，我认为最重要的还是管理员的水平和尽不尽职。

Answer 2

把图和show run贴上来，配置肯定有问题。

追问

图贴上了，拜托了
PC4 可以访问内网的PC2

Answer 3

怎么可能外网能够直接ping通内网呢。。你这个配置肯定有问题。。。配置先贴上来看看。

追问

图贴上了，白若了
PC4 可以访问内网的PC2

追答

你show ip nat tran 看看转换表项，按照你目前的配置，PC4是不能直接ping通192.168.1.2的。如果还有相同的问题，建议换个模拟器。