Các kết nối ra ngoài (Outbound Connection) luôn được cho phép bởi chính sách bảo mật mặc định. Tuy nhiên, ta vẫn cần phải thiết lập chuyển đổi địa chỉ cho ASA/PIX Firewall đối với các kết nối kiểu này. Vì mục đích an toàn, để tránh mạng ngoài (Outside) biết được cấu trúc mạng bên trong (Inside), công nghệ chuyển đổi địa chỉ được sử dụng với ASA/PIX Firewall, giúp nó che dấu được cấu trúc mạng bên trong mà vẫn đảm bảo kết nối hoạt động tốt.Có hai kiểu chuyển đổi địa chỉ:
Chuyển đổi địa chỉ động (Dynamic Address Translation): chuyển đổi nhiều địa chỉ cục bộ (Local Address) ra một hoặc nhiều địa chỉ toàn cục (Global Address). Chuyển đổi địa chỉ động được chia làm hai loại:
− Chuyển đổi địa chỉ mạng (Network Address Translation - NAT): chuyển đổi nhiều địa chỉ cục bộ ra một dải (Pool) địa chỉ toàn cục.
− Chuyển đổi địa chỉ cổng (Port Address Translation - PAT): chuyển đổi nhiều địa chỉ cục bộ ra một hay một số địa chỉ toàn cục. Sau khi chuyển đổi, các địa chỉ toàn cục có thể giống nhau nhưng khác về số hiệu cổng. Nói cách khác, đây không đơn thuần là chuyển đổi một địa chỉ mà là chuyển đổi một cặp địa chỉ IP/số hiệu cổng (IP Address/Port).
Chuyển đổi địa chỉ tĩnh (Static Address Translation): là ánh xạ một-một giữa địa chỉ cục bộ và địa chỉ toàn cục.
Với NAT và PAT, mỗi khi có một chuyển đổi, ASA/PIX Firewall sẽ ghi nó vào bảng chuyển đổi (Xlate Table). Khi hết thời gian dành cho chuyển đổi (timeout) mà không có lưu lượng nào của chuyển đổi này đi qua thì ASA/PIX Firewall sẽ xóa nó khỏi bảng chuyển đổi. Cơ chế này ngoài việc giúp che giấu cấu trúc mạng bên trong còn tránh mạng ngoài có thể dò và tấn công ngược lại địa chỉ đã chuyển đổi bởi các chuyển đổi chỉ là tạm thời.
Để cho phép các host bên trong (Inside) truy cập ra ngoài, ta thiết lập chuyển đổi địa chỉ động với hai câu lệnh nat cho interface bên trong và Global cho interface ngoài.