思科防火墙销售指南之应用篇(11)

思科防火墙技术功能特性

思科防火墙技术提供非常丰富的防火墙安全功能：

IP地址控制技术－内部地址的转换（Translation of Internal Addresses）

网络地址转换（NAT）的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。

• 如果想保护的地址只访问机构内的其它网络，可以针对转换地址池使用任何一组“专用”地址。例如，当与销售部门的网络（与PIX Firewall的周边接口相连）连接时，如果想防止财务部门网络（与PIX Firewall上的外部接口相连）上的主机地址被暴露，可以借助销售部网络上的任何一组地址建立转换。这样，财务部网络上的主机就好象是销售部网络的本地地址一样。
  
• 如果想保护的地址需要互联网接入，可以只为转换地址池使用NIC注册的地址。 考虑NAT时，必须要考虑是否有等量的外部主机地址。如果没有，在建立连接时，某些内部主机就无法获得网络访问。这种情况下，用户可以申请增加NIC注册地址，也可以使用端口地址转换（PAT），PAT能够用一个外部地址管理多达64,000个同时连接。

PAT使用端口重映射，它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换。PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量。由于能够向外部网络隐藏内部网络的真实网络身份，因此，PAT能够提高安全性。