设置好NAT地址转换网络安全更有保障

随着计算机网络的快速发展，许多企业或单位同时拥有自己的intranet和Internet网络。其实如果不想让外网用户知道自己的内网结构，可以通过NAT将内网与外网隔离，这样外部用户根本不知道通过NAT设置的内部IP地址，而内部电脑可以随时访问这两个网络中的资源。
配置NAT的重要性
当我们试图改变网络的IP地址时，要考虑它会对网络中现有的安全机制产生什么影响。比如防火墙根据IP头中包含的TCP端口号、目的地址、源地址等信息来决定是否让数据包通过。任何能让NAT认为他的连接请求被允许的淘气黑客，都可以作为授权用户访问你的网络。如果一个企业正在走向网络技术的最前沿，并且正在使用IP安全协议(IPSec)构建虚拟专用网(VPN)，NAT设备的错误放置会毁了这个计划。因此，对于这样的网络环境，有必要正确配置NAT地址转换。

定义NAT
NAT(网络地址转换)的功能，即一个网络内可以根据需要随意定制的IP地址，无需应用。在网络中，计算机通过内部IP地址相互通信。当内部计算机要与外部internet网络通信时，具有NAT功能的设备(如路由器)负责将其内部IP地址转换为合法的IP地址(即申请后的IP地址)进行通信。NAT的主要处理方法是改变UDP或TCP报文的头地址信息，实现地址转换。

NAT设置的分类
根据NAT设置的类型，大致可以分为静态地址转换、动态地址转换和复用动态地址转换。
1。静态地址转换:静态地址转换是将内部本地地址与内部合法地址一对一转换，需要指定用哪个合法地址进行转换。如果内部网络有可以提供给外部用户的服务，如电子邮件服务器或FTP服务器，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。静态地址转换的基本配置步骤:
(1)建立内部本地地址和内部法定地址之间的静态地址转换。在全局设置状态下，输入:ip nat内部源静态内部本地地址内部合法地址。
(2)。指定连接到网络的内部端口。在端口设置状态下输入:ip nat inside。
(3)。指定连接到外部网络的外部端口。在端口设置状态下输入:ip nat outside。
您可以根据实际需要定义多个内部端口和多个外部端口。我们还可以举一个例子来观察如何配置NAT设置(在Windows 2003 Server系统环境中)。

首先你需要安装两块网卡，分别配置两个网段地址(内网卡配备10 . 1 . 153 . 1；222.210.213.109的外部网卡)。请通过控制面板或管理工具转到路由和远程访问。如果配置的路由之前没有启用(如果之前已经启用了静态路由等其他功能，建议先禁用该服务)，进入配置向导，按照向导选择“Internat连接服务”→“带网络地址转换(nat)路由协议的路由器”→“使用选择的Internat连接”，下面的列表框显示两个连接(见图1左窗口，本地连接和本地连接2)。打开原生树，你会看到四个子项(见图1):路由接口、IP路由、远程访问策略和远程访问记录。