6、网络地址转换应用指南

网络地址转换应用指南

1. 引言

为保护内部网络或 DMZ 网络，可分配保留 IP 网络号中的网络或子网。这些地址范围由互联网号码分配机构（IANA）预留，用于私有寻址，可在私有网络中重复使用，但不能在互联网上路由，这样能增强网络安全性。即便未使用 IANA 预留的私有网络地址，也可利用网络地址转换（NAT）隐藏内部网络和服务器。若内部使用私有地址，则需外部可路由网络进行互联网通信。

2. 隐藏网络对象

随着互联网的快速发展，获取 IP 地址愈发困难，因此合理利用可用地址空间至关重要。隐藏模式 NAT 是一种简单有效的方法，可将整个保留地址空间范围隐藏在一个或多个可路由 IP 地址之后。

隐藏网络对象不仅能节省地址空间，还能使隐藏对象免受外部攻击和未经授权的访问。即便隐藏对象受到保护，仍可获得对互联网的完全访问权限。FireWall - 1 会对来自隐藏对象的数据包进行转换，使其看起来来自可路由地址。当外部主机响应时，防火墙会将传入数据包转换回原始保留地址。

以下是一个将办公室工作站连接到互联网的示例：
1. 为办公室工作站分配保留 IP 地址，如 10.96.1.0/24，工作站将使用 10.96.1.1 作为默认网关，并在防火墙的内部接口上配置该地址。
2. 每个工作站将被分配 10.96.1.2 到 10.96.1.254 范围内的地址（手动或通过 DHCP 服务器）。
3. 确保防火墙具有足够的主机许可证，以涵盖 DHCP 范围和任何静态分配的地址。
4. 启用防火墙的 IP 转发功能，否则数据包将无法在接口之间转发。
5. 打开 Check Point 策略编辑器，查看地址转换