第三個(gè)命令：IP address

　　在防火墻管理中，要為每個(gè)啟用的防火墻接口配置IP地址。一般來(lái)說(shuō)，防火墻的IP地址支持兩種取得方式，一是通過(guò)自動(dòng)獲得，如可以通過(guò)企業(yè)內(nèi)網(wǎng)的DHCP服務(wù)器取得IP地址;二是用戶通過(guò)手工指定IP地址。

　　這個(gè)命令的具體格式為

　　Ip adress if-name IP [NETMASK]

　　若我們用上面的IF-NAME命令，給防火墻的接口配置好別名之后，則在后續(xù)的其他命令中，如這個(gè)配置IP地址的命令，則就不需要采用接口的位置名，而直接可以利用這個(gè)別名為具體的接口設(shè)置相關(guān)的參數(shù)。

　　若我們通過(guò)手工指定IP地址的時(shí)候，需要注意幾個(gè)問(wèn)題。一是若企業(yè)中還有DHCP服務(wù)器的話，則要注意這個(gè)網(wǎng)絡(luò)地址沖突的問(wèn)題。這個(gè)防火墻上的接口IP地址，在企業(yè)的整個(gè)網(wǎng)絡(luò)中，也必須保持唯一，否則的話，就會(huì)造成IP地址沖突的錯(cuò)誤。所以，若企業(yè)中還有DHCP服務(wù)器的話，則在DHCP服務(wù)器配置的時(shí)候，需要注意，這個(gè)防火墻接口所用的IP地址不應(yīng)該在DHCP服務(wù)器的自動(dòng)分配IP的地址池中，否則的話，很容易造成IP地址的沖突。

　　另外，在給他手工配置IP地址的時(shí)候，為了管理上的方便，最好能夠指定連續(xù)的IP地址。也就是說(shuō)，防火墻各個(gè)接口的IP地址為連續(xù)的。筆者在企業(yè)的IP地址規(guī)劃中，特意為防火墻的接口預(yù)留了4個(gè)IP地址。即使，現(xiàn)在沒(méi)有使用到這個(gè)接口，為了避免以后用到時(shí)，IP地址不連續(xù)，所以，在整個(gè)網(wǎng)絡(luò)的 IP地址規(guī)劃中，還是為其預(yù)留了足夠多的IP地址。

　　這里的網(wǎng)絡(luò)掩碼不是必須的。若網(wǎng)絡(luò)管理員在配置防火墻的時(shí)候，沒(méi)有配置這個(gè)網(wǎng)絡(luò)掩碼的話，則防火墻會(huì)自動(dòng)根據(jù)企業(yè)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，則防火墻會(huì)自動(dòng)給其設(shè)置一個(gè)網(wǎng)絡(luò)掩碼。所以，在一般的情況下，這個(gè)網(wǎng)絡(luò)掩碼可以不用設(shè)置，免得填寫錯(cuò)誤的話，還造成不必要的損失。

　　筆者建議

　　若是采用DHCP方式取得接口的IP地址的，則在DHCP服務(wù)器配置的時(shí)候，最好能夠給防火墻的各個(gè)接口配置連續(xù)的IP地址。如此的話，可以方便我們對(duì)防火墻的接口進(jìn)行管理。若企業(yè)的網(wǎng)絡(luò)規(guī)模比較大，安全級(jí)別比較高的話，則一般建議不要采用DHCP的方式，而需要給防火墻的各個(gè)接口手工指定IP 地址。

　　第四個(gè)命令：NAT 與GLOBAL、STATIC命令

　　使用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)命令，網(wǎng)絡(luò)管理員可以將內(nèi)部的一組IP地址轉(zhuǎn)換成為外部的公網(wǎng)地址;而global命令則用于定義用網(wǎng)絡(luò)地址轉(zhuǎn)換命令NAT轉(zhuǎn)換成的地址或者地址的范圍。簡(jiǎn)單的說(shuō)，利用NAT命令與GLOBAL命令，能夠?qū)崿F(xiàn)IP地址之間的轉(zhuǎn)換，還可以實(shí)現(xiàn)IP地址到端口的映射。

　　這個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換命令在實(shí)際工作中非常的有用。我們都知道，現(xiàn)在公網(wǎng)IP地址非常的缺乏，基本上，一家企業(yè)只有一到兩個(gè)公網(wǎng)地址。而對(duì)于企業(yè)來(lái)說(shuō)，他們的文件服務(wù)器、OA系統(tǒng)、郵件服務(wù)器等等可能都需要外部訪問(wèn)，而如果沒(méi)有NAT技術(shù)的話，則在公網(wǎng)中要進(jìn)行訪問(wèn)的話，必須具有公網(wǎng)的IP地址。這就大大限制了企業(yè)內(nèi)部信息化系統(tǒng)的外部訪問(wèn)，家庭辦公、出差時(shí)訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)等等，變的無(wú)法實(shí)現(xiàn)。而現(xiàn)在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，就是為解決這個(gè)問(wèn)題而產(chǎn)生的。在網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的幫助下，可以把企業(yè)內(nèi)部的IP地址跟端口唯一的映射到外部公網(wǎng)的IP地址。如此的話，內(nèi)網(wǎng)的IP地址就有了一個(gè)合法的公網(wǎng)IP地址，則在公司外面的員工就可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)企業(yè)內(nèi)部的信息化系統(tǒng)。

　　在實(shí)際工作中，用的最多的就是將本地地址轉(zhuǎn)換為一個(gè)擔(dān)擱的全局地址，而不是一個(gè)地址范圍。如公司內(nèi)部的ERP服務(wù)器IP地址為 192.168.0.6，此時(shí)，若我們希望，外部的員工，如在其他城市的一個(gè)銷售辦事處，他們能夠利用202.96.96.240這個(gè)公網(wǎng)地址訪問(wèn)這臺(tái)服務(wù)器。若要實(shí)現(xiàn)這個(gè)需求，該如何配置呢?

　　Static (inside,outside) 192.168.0.6 202.96.96.236

　　此時(shí)，外部用戶就可以利用這個(gè)202.96.96.236公網(wǎng)IP地址，來(lái)訪問(wèn)企業(yè)內(nèi)部的ERP系統(tǒng)。

　　其實(shí)，配置了這條命令之后，在防火墻服務(wù)器中，就有了這個(gè)一一對(duì)應(yīng)的關(guān)系。當(dāng)外部網(wǎng)絡(luò)通過(guò)訪問(wèn)202.96.96.236這個(gè)IP地址時(shí)，在防火墻服務(wù)器中，就會(huì)把這個(gè)IP地址轉(zhuǎn)換為192.268.0.6，如此就實(shí)現(xiàn)了外部網(wǎng)絡(luò)訪問(wèn)企業(yè)的內(nèi)部信息化系統(tǒng)。

　　不過(guò)，此時(shí)若不止這么一個(gè)信息化系統(tǒng)，現(xiàn)在OA系統(tǒng)(192.168.0.5)與ERP系統(tǒng)(192.168.0.6)，在家辦公的人或者出差在外的人都需要能夠訪問(wèn)這兩個(gè)服務(wù)器，此時(shí)，該如何處理呢?

　　如企業(yè)有兩個(gè)公網(wǎng)IP地址，那也好辦，只需要把OA系統(tǒng)與ERP系統(tǒng)分別對(duì)應(yīng)到一個(gè)公網(wǎng)IP地址即可。但是，現(xiàn)在的問(wèn)題是，企業(yè)只有一個(gè)IP地址，此時(shí)，該如何處理呢?為此，我們可以利用static命令，實(shí)現(xiàn)端口的重定向。簡(jiǎn)單的說(shuō)，端口重定向，允許外部的用戶連接一個(gè)內(nèi)部特定的IP地址與端口，并且讓防火墻將這個(gè)數(shù)據(jù)流量重定向到合適的內(nèi)部地址中去。

　　作者提醒

　　1、應(yīng)該有足夠的全局IP地址去匹配NAT命令指定的本機(jī)IP地址。否則的話，可以結(jié)合使用PAT(根據(jù)端口對(duì)應(yīng)IP地址)來(lái)解決全局地址的短缺問(wèn)題。而對(duì)于絕大部分中國(guó)企業(yè)來(lái)說(shuō)，基本上地址都是不夠的，要采用PAT技術(shù)來(lái)解決地址短缺問(wèn)題。PAT技術(shù)，最多允許64000個(gè)客戶端(內(nèi)部IP地址)使用同一個(gè)公網(wǎng)的IP地址。

　　2、網(wǎng)絡(luò)地址轉(zhuǎn)換除了可以解決公網(wǎng)ID地址短缺問(wèn)題的話，還有一個(gè)很好的副作用。就是可以把內(nèi)部的主機(jī)隱藏起來(lái)，從而實(shí)現(xiàn)內(nèi)部主機(jī)的安全性。如上面的例子中，如外面的用戶需要訪問(wèn)企業(yè)內(nèi)部的ERP服務(wù)器的話，則他們只需要知道公網(wǎng)地址就可以了，不需要知道到底他們?cè)L問(wèn)的是內(nèi)部的那臺(tái)服務(wù)器，這臺(tái)服務(wù)器的IP地址是多少。如此的話，就可以最大限度的保護(hù)企業(yè)內(nèi)部服務(wù)器的安全。