PIX Firewall使用手册(4)

　　网络地址转换（NAT）的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”。这样能防止将主机地址暴露给其它网络接口。如果想了解是否要使用NAT，可以先决定是否想暴露与PIX Firewall连接的其它网络接口上的内部地址。如果选择使用NAT保护内部主机地址，应该先确定想用于转换的一组地址。

　　如果想保护的地址只访问机构内的其它网络，可以针对转换地址池使用任何一组“专用”地址。例如，当与销售部门的网络（与PIX Firewall的周边接口相连）连接时，如果想防止财务部门网络（与PIX Firewall上的外部接口相连）上的主机地址被暴露，可以借助销售部网络上的任何一组地址建立转换。这样，财务部网络上的主机就好象是销售部网络的本地地址一样。

　　如果想保护的地址需要互联网接入，可以只为转换地址池使用NIC注册的地址（为贵机构向网络信息中心注册的官方互联网地址）。例如，与互联网（通过PIX Firewall的外部接口访问）建立连接时，如果想防止销售部网络（与PIX Firewall的周边接口相连）的主机地址暴露，可以使用外部接口上的注册地址池进行转换。这样，互联网上的主机就只能看到销售部网络的互联网地址，而看不到周边接口的地址。

　　如果您正在具有主机网络注册地址的原有网络上安装PIX Firewall，您可能不想为这些主机或网络进行转换，因为转换时还需要另外一个注册地址。

　　考虑NAT时，必须要考虑是否有等量的外部主机地址。如果没有，在建立连接时，某些内部主机就无法获得网络访问。这种情况下，用户可以申请增加NIC注册地址，也可以使用端口地址转换（PAT），PAT能够用一个外部地址管理多达64,000个同时连接。

　　对于内部系统，NAT能够转换向外传输的包的源IP地址（按照RFC 1631定义）。它同时支持动态转换和静态转换。NAT允许为内部系统分配专用地址（按照RFC 1918）定义，或者保留现有的无效地址。NAT还能提高安全性，因为它能向外部网络隐藏内部系统的真实网络身份。

　　PAT使用端口重映射，它允许一个有效的IP地址支持64,000个活跃xlate对象的源IP地址转换。PAT能够减少支持专用或无效内部地址方案所需的全球有效IP地址数量。对于向内数据流与向外控制路径不同的多媒体应用，PAT不能与之配合使用。由于能够向外部网络隐藏内部网络的真实网络身份，因此，PAT能够提高安全性。