思科ASA系列防火墙NAT解析.docVIP

思科ASA系列防火墙NAT解析网络地址转换(NAT, Network Address Translation)属接入广域网(WAN)技术，是一种将私有(保留)地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。防火墙都运行NAT，主要原因是：公网地址不够使用；隐藏内部IP地址，增加安全性；允许外网主机访问DMZ。 　　动态NAT和PAT 　　在图1中，内部主机访问外网和DMZ时，都需要转换源地址，配置方法如下： 　　FW(config)# nat (inside) 1 　　指定需要转换的源地址。其NAT ID为1。用于匹配global命令中的NAT ID。 　　FW(config)# global (outside) 1 0-0 　　指定用于替代源地址的地址池。其NAT ID为“1”，表明内口NAT ID为1的地址将被替换为地址池中的地址。该方式即为动态NAT。 　　FW(config)# global (dmz) 1 0 　　指定用于替代源地址的唯一地址。其NAT ID为“1”，表明内口NAT ID为1的地址都将被替换为同一地址(0)。该方式即为动态PAT。 　　收到来自内网的IP包后，防火墙首先根据路由表确定应将包发往哪个接口，然后执行地址转换。 　　静态NAT 　　在图1中，为使外部用户可访问DMZ中的服务器，除适当应用AC