防火墙与NAT
防火墙与NAT的区别:
防火墙负责数据包的检查、过滤,无法防止网络内部的攻击。
NAT协议将内网主机地址转化为地址虚拟池中的一个地址,外网收到内网主机发送的数据包时显示的地址就是这个虚拟地址,可以防止外网对内网的攻击。
防火墙实验
1.只允许PC1访问PC3,不允许PC2访问PC3。
开始没有设置防火墙时,PC1与PC2均可以访问到PC3,PC3也可以访问到PC2和PC1。
路由器RT1设置:给两个g口配地址,再配置默认路由,全部丢给下一跳20.2
路由器RT2设置:给两个g口配地址,再配置默认路由,全部丢给下一跳20.1
电脑PC1,PC2,PC3设置:可以连接通。
设置防火墙之后,只有PC1可以访问到PC3,而PC2不可以访问到PC3。
设置方式为在g0/0/0口设置inbound。
此时PC1可以连接到PC3,而PC2不可以连接到PC3,PC3可以连接到PC1,不可以连接到PC2:
NAT协议实验
去掉防火墙,在RT1的g0/0/1扣制作一个NAT协议,使得内网中的地址转换为地址池里的虚拟地址。
去掉刚刚设置的防火墙:
此时,PC2可以连接到PC3,PC3也可以连接到PC2。
制作NAT协议:此时PC1可以连接PC3,PC3不可以连接PC1,PC2可以连接PC3,PC3不可以连接PC2。
可以看到,PC1的地址192.168.10.11已经转换为地址池中的虚拟地址200.1.1.1
PC2的地址192.168.10.12也已经转换为地址池中的虚拟地址200.1.1.2
因此,PC1和PC2可以连接到外网的PC3,但PC3接受到的地址是PC1与PC2对应的地址池中的虚拟地址,找不到PC1与PC2的真实地址,不可以连接到内网的PC1和PC2。ICMP就是错误信息,192.168.30.13想要接192.168.10.11和192.168.10.12接不通而报错。