28、PIX防火墙NAT与PAT配置全解析

PIX防火墙NAT与PAT配置全解析

1. PAT原理与优势

PAT（端口地址转换）利用TCP和UDP的65,535个可用端口，能支持大量私有地址设备。通常一个外部IP地址可支持多达64,000个内部主机。对于Web服务器而言，它能通过源端口区分来自同一主机的不同请求。当服务器响应时，PIX防火墙依据端口映射关系，将响应准确发送到对应的本地IP地址和端口。

2. 地址转换的影响

IP地址转换存在一些副作用。许多协议会在数据包负载中包含IP地址信息，而非仅依赖头部。例如，安全协议IPSec与NAT不兼容，因为它会跟踪发送方地址以实现防欺骗和不可抵赖性。当接收方收到数据包时，若IP头部的源地址字段值与负载中的值不同（因头部被转换），数据包将不被接受或解密。不过，当前版本的Cisco IOS可通过UDP使用IPSec，从而与PAT兼容，但DHCP、路由协议等仍受影响。

Cisco的NAT实现对某些协议做了特殊处理，如DNS A和PTR记录及查询、Microsoft的NetMeeting和FTP。然而，它不支持帧格式可变或加密的协议，如SNMP和PPTP。在这种情况下，流量可通过PIX防火墙但不进行转换，这将在“Identity NAT”部分详细介绍。

3. NAT、PAT与安全性

IP地址转换除了有负面影响，也带来了增强安全性的积极效果，但人们往往高估了这种额外的安全性。不同类型的地址转换（静态NAT、动态NAT和PAT）提供不同级别的安全保护：
- 静态NAT ：无任何安全保护。尽管互联网骨干网没有到10.0.0.0 /8网络的路由，但入侵者可使用内部全局地址，恶意流量