目前，管理IP地址的技術(shù)很多，主要包括（動態(tài)主機(jī)配置協(xié)議）、NAT技術(shù)（網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)）及MAC地址綁定等。其中，DHCP以BootP協(xié)議為基礎(chǔ)，并利用了BootP協(xié)議的轉(zhuǎn)發(fā)代理功能，實(shí)現(xiàn)了IP地址的動態(tài)分配。但BootP轉(zhuǎn)發(fā)代理功能一般只在較貴的路由器和第3層交換機(jī)中提供。 
相比而言，NAT技術(shù)和MAC地址綁定則更容易實(shí)現(xiàn)，因此實(shí)用性更強(qiáng)。如今年蓬勃發(fā)展的防火墻市場上就有很多產(chǎn)品運(yùn)用了這兩種技術(shù)。下面我們就以東方龍馬防火墻為例，看看如何利用防火墻有效管理IP地址。

雙向NAT技術(shù)的兩大功用
1．有效利用IP地址資源

有效的IP地址管理首先是有效的地址分配，通過運(yùn)用雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)，東方龍馬防火墻實(shí)現(xiàn)了這一功能。東方龍馬防火墻提供了“內(nèi)部網(wǎng)到外部網(wǎng)”、“外部網(wǎng)到內(nèi)部網(wǎng)”的雙向NAT功能，同時支持兩種方式的網(wǎng)絡(luò)地址轉(zhuǎn)換。一種為靜態(tài)地址映射，即外部地址和內(nèi)部地址一對一的映射，使內(nèi)部地址的主機(jī)既可以訪問外部網(wǎng)絡(luò)，也可以接受外部網(wǎng)絡(luò)提供的服務(wù)。另一種是更靈活的方式，可以支持多對一的映射，即通過轉(zhuǎn)換端口地址，使多個內(nèi)部IP地址共享一個外部IP地址，從而內(nèi)部不同的IP地址的數(shù)據(jù)包就能轉(zhuǎn)換為同一個IP地址而端口不同，多臺機(jī)器就可以通過這些端口對外部提供服務(wù)。通過這種轉(zhuǎn)換，企業(yè)可以更有效地利用IP地址資源。

2．隱藏真實(shí)地址，阻止黑客入侵

不僅如此，利用雙向網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，還可隱藏內(nèi)部真實(shí)的網(wǎng)絡(luò)地址，降低黑客入侵的成功率。東方龍馬防火墻將網(wǎng)卡標(biāo)識為兩種屬性：一種是內(nèi)部網(wǎng)卡，用于連接內(nèi)部被保護(hù)的安全網(wǎng)絡(luò)；另一種為外部網(wǎng)卡，用于連接外部公共網(wǎng)絡(luò)。在內(nèi)部網(wǎng)絡(luò)通過內(nèi)部網(wǎng)卡訪問外部網(wǎng)絡(luò)時將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過外部網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過外部網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。東方龍馬防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機(jī)中。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。

MAC地址綁定解決IP地址盜用
為解決IP地址盜用問題，東方龍馬防火墻運(yùn)用了MAC地址綁定技術(shù)。每一塊網(wǎng)卡都具有一個唯一硬件物理地址標(biāo)識號碼，即網(wǎng)卡的MAC地址，MAC地址與網(wǎng)卡一一對應(yīng)。對于為TCP/IP的兩臺設(shè)備進(jìn)行通訊時，每塊網(wǎng)卡都具有一個網(wǎng)絡(luò)IP地址，東方龍馬防火墻提供將內(nèi)部網(wǎng)卡的IP地址同它的MAC地址進(jìn)行綁定的功能，這樣在防火墻內(nèi)部就建立了網(wǎng)卡的IP地址同其MAC地址一一對應(yīng)的關(guān)系，即實(shí)現(xiàn)了網(wǎng)卡的IP地址同其硬件MAC地址的綁定。在這種情況下，即使某個用戶盜用了此網(wǎng)卡的IP地址，在通過防火墻時也會因網(wǎng)卡的MAC地址不匹配而拒絕通過。在網(wǎng)絡(luò)管理中IP地址盜用現(xiàn)象經(jīng)常發(fā)生，不僅對網(wǎng)絡(luò)的正常使用造成影響，同時由于被盜用的地址往往具有較高的權(quán)限，因而也對用戶造成了大量的經(jīng)濟(jì)上的損失和潛在的安全隱患。防火墻的IP/MAC地址綁定功能可以很好地解決這一問題，通過與硬件物理地址的綁定，使盜用的IP地址無法通過防火墻系統(tǒng)。

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，防火墻已經(jīng)成為保障網(wǎng)絡(luò)安全必不可少的工具。善用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)和MAC地址綁定，可以有效提高IP地址資源利用效率，并保證企業(yè)網(wǎng)絡(luò)的安全、防止IP地址盜用。

【相關(guān)文章】

• 中國IP地址資源自主分配能力再次晉級
  

• IP地址沖突很頭痛問題解決有絕招
  

• 讓無線通暢 解決無線使用時IP地址沖突