設置好NAT地址轉(zhuǎn)換網(wǎng)絡安全更有保障

隨著計算機網(wǎng)絡迅速發(fā)展，目前有許多的企業(yè)或單位同時擁有自己的內(nèi)部網(wǎng)和Internet網(wǎng)。其實如果不想讓外部網(wǎng)絡用戶知道自己的網(wǎng)絡內(nèi)部結構，可以通過NAT將內(nèi)部網(wǎng)絡與外部Internet 隔離開，則外部用戶根本不知道通過NAT設置的內(nèi)部IP地址，而內(nèi)部計算機卻可以隨時訪問這兩個網(wǎng)絡中的資源。
     配置NAT的重要性
     當我們嘗試著改變網(wǎng)絡的IP地址時，考慮這樣做會給網(wǎng)絡中已有的安全機制帶來什么樣的影響。比如：防火墻根據(jù)IP報頭中包含的TCP端口號、信宿地址、信源地址以及其它一些信息來決定是否讓該數(shù)據(jù)包通過。任何一個淘氣的黑客，只要他能夠使NAT誤以為他的連接請求是被允許的，都可以以一個授權用戶的身份對你的網(wǎng)絡進行訪問。如果企業(yè)正在邁向網(wǎng)絡技術的前沿，并正在使用IP安全協(xié)議（IPSec）來構造一個虛擬專用網(wǎng)（VPN）時，錯誤地放置NAT設備會毀了計劃。由此可見，對于這樣網(wǎng)絡環(huán)境，正確配置NAT地址轉(zhuǎn)換非常有必要。
     NAT定義
     NAT(Network Address Translation)的功能，就是指在一個網(wǎng)絡內(nèi)部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過申請。在網(wǎng)絡內(nèi)部，各計算機間通過內(nèi)部的IP地址進行通訊。而當內(nèi)部的計算機要與外部internet網(wǎng)絡進行通訊時，具有NAT功能的設備（比如：路由器）負責將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過申請的IP地址）進行通信。NAT主要的處理方式是通過修改UDP或TCP報文頭部地址信息實現(xiàn)地址的轉(zhuǎn)換。
     NAT設置分類
     根據(jù)NAT設置類型，大致可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復用動態(tài)地址轉(zhuǎn)換。
     一、靜態(tài)地址轉(zhuǎn)換：靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進行一對一的轉(zhuǎn)換，且需要指定和哪個合法地址進行轉(zhuǎn)換。如果內(nèi)部網(wǎng)絡有E-mail服務器或FTP服務器等可以為外部用戶提供的服務，這些服務器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務。靜態(tài)地址轉(zhuǎn)換基本配置步驟：
     （1）、在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設置狀態(tài)下輸入：ip nat inside source static 內(nèi)部本地地址 內(nèi)部合法地址。
     （2）、指定連接網(wǎng)絡的內(nèi)部端口 在端口設置狀態(tài)下輸入： ip nat inside。
     （3）、指定連接外部網(wǎng)絡的外部端口 在端口設置狀態(tài)下輸入：ip nat outside。
    可以根據(jù)實際需要,定義多個內(nèi)部端口及多個外部端口。我們也可以通過一個實例，來觀察如何配置NAT的設置（在Windows 2003 Server系統(tǒng)環(huán)境下）。
     首先需要安裝兩塊網(wǎng)卡，分別配置兩個網(wǎng)段地址(內(nèi)網(wǎng)網(wǎng)卡配10.1.153.1;外網(wǎng)網(wǎng)卡配222.210.213.109)。通過“控制面板”或者“管理工具”進入“路由和遠程訪問”。如果原先沒有啟用配置過路由(如果原先已經(jīng)啟用了靜態(tài)路由等其他功能，建議先禁用服務)訪問，進入配置向?qū)?，按照向?qū)?，選擇“Internat連接服務”→ “設置有網(wǎng)絡地址轉(zhuǎn)換(NAT)路由協(xié)議的路由器”→ “使用選擇的Internat連接”，下面的列表框里顯示了兩個連接(見圖1左窗口，本地連接和本地連接2)，選擇配置了外網(wǎng)IP的那個連接(比如配置了公網(wǎng)IP的連接)，再點擊下一步就完成了。打開本機樹，您會看到四個子項(見圖1):路由接口、IP路由選擇、遠程訪問策略、遠程訪問記錄。