详谈防火墙配置中必备的六个主要命令

核心提示： Static (inside,outside) 192.168.0.6 202.96.96.236此时，外部用户就可以利用这个202.96.96.236公网IP地址，详谈防火墙配置中必备的六个主要命令(6)，来访问企业内部的ERP系统，其实，这台服务器的IP地址是多少，如此的话，配置了这条

Static (inside,outside) 192.168.0.6 202.96.96.236

此时，外部用户就可以利用这个202.96.96.236公网IP地址，来访问企业内部的ERP系统。

其实，配置了这条命令之后，在防火墙服务器中，就有了这个一一对应的关系。当外部网络通过访问202.96.96.236这个IP地址时，在防火墙服务器中，就会把这个IP地址转换为192.268.0.6，如此就实现了外部网络访问企业的内部信息化系统。

不过，此时若不止这么一个信息化系统，现在OA系统(192.168.0.5)与ERP系统(192.168.0.6)，在家办公的人或者出差在外的人都需要能够访问这两个服务器，此时，该如何处理呢?

如企业有两个公网IP地址，那也好办，只需要把OA系统与ERP系统分别对应到一个公网IP地址即可。但是，现在的问题是，企业只有一个IP地址，此时，该如何处理呢?为此，我们可以利用static命令，实现端口的重定向。简单的说，端口重定向，允许外部的用户连接一个内部特定的IP地址与端口，并且让防火墙将这个数据流量重定向到合适的内部地址中去。

作者提醒

1、 应该有足够的全局IP地址去匹配NAT命令指定的本机IP地址。否则的话，可以结合使用PAT(根据端口对应IP地址)来解决全局地址的短缺问题。而对于绝大部分中国企业来说，基本上地址都是不够的，要采用PAT技术来解决地址短缺问题。PAT技术，最多允许64000个客户端(内部IP地址)使用同一个公网的IP地址。

2、 网络地址转换除了可以解决公网ID地址短缺问题的话，还有一个很好的副作用。就是可以把内部的主机隐藏起来，从而实现内部主机的安全性。如上面的例子中，如外面的用户需要访问企业内部的ERP服务器的话，则他们只需要知道公网地址就可以了，不需要知道到底他们访问的是内部的那台服务器，这台服务器的IP地址是多少。如此的话，就可以最大限度的保护企业内部服务器的安全。