Với sự phát triển mạnh mẽ của mạng Internet ngày nay, số lượng địa chỉ IPv4 ngày càng trở nên khan hiếm. Một trong những cách khá dễ dàng để khắc phục tình trạng khan hiếm địa chỉ IPv4 đó là sử dụng NAT. Chức năng Hide-mode NAT cho phép ẩn một dải địa chỉ sau một địa chỉ IP có khả năng định tuyến ra ngoài mạng. Ngoài ra, CheckPoint còn hỗ trợ tính năng Static NAT, tính năng này sẽ chuyển một địa chỉ ở dải trong thành một địa chỉ dải ngoài, tác dụng của nó là cho phép thiết bị có thể truy cập được từ cả bên trong mạng và ngoài Internet.
Một lợi ích nữa của hide-mode NAT là nó giúp các thiết bị trong mạng ít có khả năng bị tấn công hơn. Mặc dù các thiết bị là ẩn so với bên ngoài, chúng vẫn có thể hoạt động trên Internet bình thường do cơ chế chuyển dịch cả địa chỉ cổng nguồn và đích của FW-1. Tường lửa sẽ duy trì một bảng dịch chuyển, và nó sẽ biết được máy nào cần kết nối từ cổng nguồn trong bảng này.
Chú ý là cần có license để có thể hỗ trợ nhiều máy trạm bằng cơ chế DHCP trước khi NAT. Và để cho các máy trạm có thể kết nối tới các thiết bị khác, cần bật tính năng IP forwarding trong tường lửa. Bước tiếp theo là cấu hình NAT tại tab Address Translation trong Check Point SmartDashboard.
Hình 4. SmartDashboard – Address Translation
Những luật trong tab này có thể được khởi tạo tự động hoặc bằng tay tùy vào mức độ của mạng. Một luật gồm 2 phần chính sau :
• Original packet • Translated packet
Khi một kết nối tới tường lửa, nó so sánh gói tin cho địa chỉ nguồn, đích và dịch vụ của gói tin. Nếu đúng với những thông tin đã lưu, tường lửa sẽ chỉnh sửa nguồn đích và dịch vụ của gói tin dựa trên các luật NAT. Cũng giống như các luật tường lửa, các luật NAT cũng được đọc theo thứ tự từ trên xuống dưới. Do đó, nên đặt các luật thường sử dụng nhất ở bên trên cùng.
Ngoài ra, người dùng cũng nên chú ý rằng tường lửa sẽ cho phép các gói tin có địa chỉ nguồn và đích sau khi NAT đi qua.