本节书摘来自异步社区《Cisco防火墙》一书中的第8章，第8.4节，作者 【巴西】Alexandre M.S.P. Moraes，更多章节内容可以访问云栖社区“异步社区”公众号查看

8.4 入站NAT分析

Cisco防火墙

前面一节不仅介绍了出站NAT的具体处理方式，而且也介绍了在较低安全级别的接口上发布地址的需求。早年间，ASA算法只支持出站方向的NAT（当时该算法是通过PIX防火墙来实现的）。为了改变这种原有的模式，实现入站NAT，Cisco针对动态转换规则引入了关键字outside。本节中将要介绍的各类NAT技术均与相应的出站NAT类似。

8.4.1 入站方向的动态PAT

例8-20汇总了很多配置入站动态PAT规则的命令。在172.16.16.0/24范围内的主机在通过out接口连接到dmz接口时会被转换为地址10.10.10.126。该例同时也显示出了在nat语句之后必须输入关键字outside才能实现入站NAT的功能。

例8-20 入站方向动态PAT的配置与验证

8.4.2 入站方向的Identity NAT

例8-21所示为对属于172.16.16.128/26范围内的源主机执行Identity NAT。这类NAT总是单向的，需要独立在入向或出向上进行应用。

例8-21入站方向Identity NAT的配置与验证

8.4.3 入站方向的NAT免除技术

例8-22显示了如何在入站方向上实施NAT免除技术，以及它与出站方向类似的优先级规则。

例8-22入站方向NAT免除技术的配置与验证

8.4.4 入站方向的静态NAT

配置入站方向的静态访问不需要使用关键字outside。例8-23所示的配置为从out接口到dmz接口的static规则。

例8-23 入站方向静态NAT的配置与验证