目前，管理IP地址的技術很多，主要包括（動態主機配置協議）、NAT技術（網絡地址轉換技術）及MAC地址綁定等。其中，DHCP以BootP協議為基礎，并利用了BootP協議的轉發代理功能，實現了IP地址的動態分配。但BootP轉發代理功能一般只在較貴的路由器和第3層交換機中提供。 
相比而言，NAT技術和MAC地址綁定則更容易實現，因此實用性更強。如今年蓬勃發展的防火墻市場上就有很多產品運用了這兩種技術。下面我們就以東方龍馬防火墻為例，看看如何利用防火墻有效管理IP地址。

雙向NAT技術的兩大功用
1．有效利用IP地址資源

有效的IP地址管理首先是有效的地址分配，通過運用雙向網絡地址轉換（NAT）技術，東方龍馬防火墻實現了這一功能。東方龍馬防火墻提供了“內部網到外部網”、“外部網到內部網”的雙向NAT功能，同時支持兩種方式的網絡地址轉換。一種為靜態地址映射，即外部地址和內部地址一對一的映射，使內部地址的主機既可以訪問外部網絡，也可以接受外部網絡提供的服務。另一種是更靈活的方式，可以支持多對一的映射，即通過轉換端口地址，使多個內部IP地址共享一個外部IP地址，從而內部不同的IP地址的數據包就能轉換為同一個IP地址而端口不同，多臺機器就可以通過這些端口對外部提供服務。通過這種轉換，企業可以更有效地利用IP地址資源。

2．隱藏真實地址，阻止黑客入侵

不僅如此，利用雙向網絡地址轉換技術，還可隱藏內部真實的網絡地址，降低黑客入侵的成功率。東方龍馬防火墻將網卡標識為兩種屬性：一種是內部網卡，用于連接內部被保護的安全網絡；另一種為外部網卡，用于連接外部公共網絡。在內部網絡通過內部網卡訪問外部網絡時將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過外部網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過外部網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。東方龍馬防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。

MAC地址綁定解決IP地址盜用
為解決IP地址盜用問題，東方龍馬防火墻運用了MAC地址綁定技術。每一塊網卡都具有一個唯一硬件物理地址標識號碼，即網卡的MAC地址，MAC地址與網卡一一對應。對于為TCP/IP的兩臺設備進行通訊時，每塊網卡都具有一個網絡IP地址，東方龍馬防火墻提供將內部網卡的IP地址同它的MAC地址進行綁定的功能，這樣在防火墻內部就建立了網卡的IP地址同其MAC地址一一對應的關系，即實現了網卡的IP地址同其硬件MAC地址的綁定。在這種情況下，即使某個用戶盜用了此網卡的IP地址，在通過防火墻時也會因網卡的MAC地址不匹配而拒絕通過。在網絡管理中IP地址盜用現象經常發生，不僅對網絡的正常使用造成影響，同時由于被盜用的地址往往具有較高的權限，因而也對用戶造成了大量的經濟上的損失和潛在的安全隱患。防火墻的IP/MAC地址綁定功能可以很好地解決這一問題，通過與硬件物理地址的綁定，使盜用的IP地址無法通過防火墻系統。

隨著網絡應用的發展，防火墻已經成為保障網絡安全必不可少的工具。善用網絡地址轉換技術和MAC地址綁定，可以有效提高IP地址資源利用效率，并保證企業網絡的安全、防止IP地址盜用。

【相關文章】

• 中國IP地址資源自主分配能力再次晉級
  

• IP地址沖突很頭痛問題解決有絕招
  

• 讓無線通暢 解決無線使用時IP地址沖突