Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南
4-2
思科 ASA 系列防火墙 CLI 配置指南
第 4 章 网络地址转换 (NAT)
NAT 术语
NAT 的其他功能包括:
•
安全 - 隐藏内部 IP 地址可以阻止直接攻击。
•
IP 路由解决方案 - 使用 NAT 时不会出现重叠 IP 地址。
•
灵活性 - 可以更改内部 IP 寻址方案,而不影响外部的可用公用地址;例如,对于可以访问互联
网的服务器,您可以维护供互联网使用的固定 IP 地址,但在内部,您可以更改服务器地址。
网的服务器,您可以维护供互联网使用的固定 IP 地址,但在内部,您可以更改服务器地址。
•
在 IPv4 和 IPv6 之间转换(仅路由模式)- 如果想将 IPv6 网络连接到 IPv4 网络,可以利用
NAT 在两种类型的地址之间转换。
NAT 在两种类型的地址之间转换。
注
不需要 NAT。如果不为一组给定流量配置 NAT,将不转换这些流量,但会正常应用所有安全
策略。
策略。
NAT 术语
本文档使用以下术语:
•
实际地址 / 主机 / 网络 / 接口 - 实际地址是指在主机上定义的转换前地址。在内部网络访问外
部网络时,您想转换内部网络的典型 NAT 场景中,内部网络会成为 “ 实际 ” 网络。请注意,
您可以转换任何连接到 ASA 的网络,不仅仅是内部网络。因此,如果配置 NAT 以转换外部
地址,“ 实际 ” 指的是访问内部网络时的外部网络。
部网络时,您想转换内部网络的典型 NAT 场景中,内部网络会成为 “ 实际 ” 网络。请注意,
您可以转换任何连接到 ASA 的网络,不仅仅是内部网络。因此,如果配置 NAT 以转换外部
地址,“ 实际 ” 指的是访问内部网络时的外部网络。
•
映射地址 / 主机 / 网络 / 接口 - 映射地址是指实际地址转换而成的地址。在内部网络访问外部
网络时,您想转换内部网络的典型 NAT 场景中,外部网络会成为 “ 映射 ” 网络。
网络时,您想转换内部网络的典型 NAT 场景中,外部网络会成为 “ 映射 ” 网络。
注
在地址转换过程中,不会转换驻留在 ASA 的接口上的 IP 地址。
•
双向发起 - 静态 NAT 允许双向发起连接,意味着发起到主机和从主机发起。
•
源 NAT 和目标 NAT - 对于任何给定数据包,将源 IP 地址和目标 IP 地址与 NAT 规则进行比较,
转换 / 不转换一个或两个地址。对于静态 NAT,规则是双向的,因此,请注意,整个本指南中
命令和描述中使用的 “ 源 ” 和 “ 目标 ”,即便是给定的连接,也可能源自 “ 目标 ” 地址。
转换 / 不转换一个或两个地址。对于静态 NAT,规则是双向的,因此,请注意,整个本指南中
命令和描述中使用的 “ 源 ” 和 “ 目标 ”,即便是给定的连接,也可能源自 “ 目标 ” 地址。
NAT 类型
以下主题介绍各种类型的 NAT。
•
•
•
•
•