cisco防火墙配置nat（防火墙策略配置）-大唐2025

本篇目录：

1、答案：CISCO IOS 中的软件防火墙集成度高，成本低，维护相对简单，但同时由于用软件完成防火墙功能，对路由器的性能会有一定影响。

2、输入的地址错误：如果输入的地址有误，那么就无法进入防火墙，需要再次核对输入的地址是否正确。防火墙设置问题：防火墙本身可能设置了一些限制，导致无法输入地址进入。

3、问题1+补充：防火墙仍然会禁止从低安全级别(security level)接口到高安全级别接口的流量通过防火墙，反之则默认可以通行。可以理解为优先级别较低的接口到优先级别较高的接口，默认有一个deny一切流量的访问控制列表。

4、第一个问题，是，已做好端口映射。第二个问题，扩展acl，名字outside-inside，定义tcp流量源ip为any，目的22998，端口433(上面端口映射可是443，是打字输入错了还是本身配置错了？请检查)。

5、先把防火墙撤掉试试网络是否正常，然后单独找1台或者几台电脑连接到防火墙测试一下在局域网内ping延迟情况，如果这都丢包肯定只能是防火墙的问题了；可以把配置备份出来，然后清除下配置看看，实在不行只能联系下厂家解决了。

6、你不感觉这句话有多么的多余么？access-list outside extended permit ip host 19161112 any 如果绑在OUTSIDE口这句也多余。

外网配置ip地址，并命名为“outside”，内网设置私有ip，如19161，并命名为“inside”，最后再做网络地址转换即可。

外网访问内网一定要NAT，外网跑的都是公网地址，内网地址一定要NAT以后才能发到外网。我不知道你的具体网络架构。

你需要做 NAT，原因是你可以知道去往外面的路由，而公司交换机上的路由层面却不知道你的路由，而只是知道19160/24的网段。所以你需要把你的自定义网段转化成1段的。

正常是访问不了的，我们公司用的也是asa5520，在内网的时候，访问内网设备只能用内部局域网IP。

你要telnet到服务器的5631端口就必须改服务器的telnet端口，在注册表改，服务器的防火墙也要打开相应端口。

FTP server必须和客户端建立一个新的连接用来传送数据。 Passive模式建立控制通道和Standard模式类似，但建立连接后发送Pasv命令。

如果希望服务器被公网访问，就需要设置Xlight广域网接口IP地址（或域名）。如果你的服务器IP地址不在上面范围内，你的服务器是使用公共IP，可能服务器只是在防火墙后，你只需要打开为PASV命令使用的端口范围。

确保FTP服务正常运行，在局域网内可以正常访问FTP资源。在FTP服务器或所在局域网内安装使用nat123客户端。登录客户端添加全端口映射。配置设置好对应的内网固定FTP服务器地址和外网访问地址。

到此，以上就是小编对于防火墙策略配置的问题就介绍到这了，希望介绍的几点解答对大家有用，有任何问题和不懂的，欢迎各位老师在评论区讨论，给我留言。