Cisco ASA發(fā)布內(nèi)網(wǎng)web 服務(wù)器解決內(nèi)網(wǎng)無DNS 問題 前天做了個項目，客戶要求通過ASA 防火墻將內(nèi)網(wǎng)中的web 服務(wù)發(fā)布到公網(wǎng)上，我在防火墻上做了靜態(tài)NAT 的配置后發(fā)現(xiàn)外網(wǎng)的用戶可以使用

Cisco ASA發(fā)布內(nèi)網(wǎng)web 服務(wù)器解決內(nèi)網(wǎng)無DNS 問題 前天做了個項目，客戶要求通過ASA 防火墻將內(nèi)網(wǎng)中的web 服務(wù)發(fā)布到公網(wǎng)上，我在防火墻上做了靜態(tài)NAT 的配置后發(fā)現(xiàn)外網(wǎng)的用戶可以使用域名和IP 地址直接訪問發(fā)布后的web 服務(wù)器，而內(nèi)網(wǎng)中的用戶不管是使用域名還是使用發(fā)布后的服務(wù)器IP 地址都不能訪問發(fā)布后的web 服務(wù)器，由于內(nèi)網(wǎng)中沒有DNS 服務(wù)器，內(nèi)網(wǎng)用戶訪問內(nèi)網(wǎng)的中的web 服務(wù)器很不方便，大多數(shù)內(nèi)網(wǎng)用戶都不會通過IP 地址訪問web 服務(wù)。我的防火墻為Cisco ASA5540,系統(tǒng)版本為8.4(3)

內(nèi)部網(wǎng)絡(luò)拓?fù)洌?/p>

最初在防火墻上的配置如下：

Asa5540(config)# object network insideweb

Asa5540 (config-network-object)# host 192.168.100.1

Asa5540 (config-network-object)# nat （inside ，outside ） static 209.165.200. 5 Asa5540(config)#access-list 101 permit tcp any host 192.168.100.1

Asa5540(config)#access-group 101 in interface outside

這樣配置后內(nèi)網(wǎng)用戶192.168.100.2使用域名http://server.example.com訪問不到服務(wù)器，而外網(wǎng)訪問正常。內(nèi)部用戶只能通過內(nèi)網(wǎng)的地址http://192.168.100.1來訪問，這樣對于內(nèi)網(wǎng)用戶很不方便。

我通過查閱思科的ASA 配置文檔后發(fā)下了，可以在配置NA T 時配置DNS rewrite來解決這個問題，就是通過在配置靜態(tài)NA T 是配置DNS rewrite可以使內(nèi)部用戶在通過域名訪問發(fā)布后的web 服務(wù)器時，防火將重寫內(nèi)部的用戶的dns ，將server.example.com 解析到了192.168.100.1的地址上，這樣內(nèi)部用戶就可以直接通過域名來輕松訪問web 服務(wù)器了。 具體配置如下：

Asa5540(config)# object network insideweb

Asa5540 (config-network-object)# host 192.168.100.1

Asa5540 (config-network-object)# nat (inside，outside ）static 209.165.200. 5 dns ##配置dns rewrite

Asa5540(config)#access-list 101 permit tcp any host 192.168.100.1

Asa5540(config)# access-list 101 permit tcp any host 209.165.200.225 eq www ##允許訪問web

Asa5540(config)#access-group 101 in interface outside

該配置來自Cisco_asa _8.4 命令行指導(dǎo)手冊

------Term1nat0r