CheckPoint FireWall-1防火墙技术(6)

　　FireWall-1支持路由器的集中管理。通过一个集中的管理主控，可以配置和管理多个路由器上的访问控制列表。如果需要改变配置，只需在中央主控中改变一次，系统可自动生成访问控制列表，并自动地把ACL分布到整个企业范围内的相关路由器中。

　　7.地址翻译（NAT）

　　FireWall-1提供IP地址翻译的能力。IP翻译可以满足以下两种需求：

　　--隐藏企业内部IP地址和网络结构

　　--把内部的非法IP地址翻译成合法的IP地址

　　Internet技术是基于IP协议的，为了通过IP协议进行通信，每个参与通信的设备必须具有一个唯一的IP地址。这在不与Internet相连的内部物理网络上是较容易做到的。但是，一旦企业要接入Internet，则IP地址必须是全球唯一的，同时由于IP地址空间有限，现在要申请整段的IP地址已很困难，为了有效地利用有限的IP地址，IANA为Internet预留了三段地址空间，允许企业内部使用。总之，企业接入Internet后在IP地址方面会遇到需要对原非法的地址合法化和隐藏内部地址两个问题。

　　FireWall-1 NAT支持动态和静态地址翻译：

　　动态模式（Dynamic Mode/Hide Mode）

　　把所有要通过防火墙系统连接的内部主机IP地址全部映射到同一个合法的IP地址，对内部含非法地址的不同主机间采用动态分配的端口号进行区别。

　　因为IP地址是按动态的方式使用的，故这种方式只用于由内部主机发起的向外部的连接。

　　静态模式（Static Mode）

　　该方式分为静态源模式与静态目的模式。

　　静态源模式把非法的IP地址翻译成合法的IP地址，在具有非法地址的内部客户机发起的连接时采用该模式。源模式可以保证内部主机具有唯一的、确定的合法IP地址，常同静态目的模式一起使用。

　　静态目的模式把合法地址翻译成非法地址，用于由外部客户端发起的连接。因内部网络中的服务器采用非法的IP地址，为了保证从外部进入内部网络的数据包能正确地到达目的地，在这种情况下需采用静态目的模式。静态目的模式经常同静态源模式一起使用。