Network Address Translation (NAT)

　　防火墙一般包括一个不安全的区域（外网）和一个安全的区域（内网）两个网络接口。网络地址转换 (NAT)是把公网可路由的外网IP转换成内网不可路由的IP的一种协议。这使得攻击者难以连接到被防火墙保护的主机。当提供NAT的防火墙从被保护的主机收到一个请求，防火墙会从IP数据报中剥去不可路由的内网IP地址，并替换上去可以在互联网上路由的公网IP地址。所以，外部的主机无法以内网IP直接连接到构建在一个封闭式保护内的主机。

NAT with Overload (Port Address Translation)

　　当一个外网IP地址的多个不同端口被多个主机使用，NAT通常作为NAT with Overload使用。这样防火墙就可以让多个主机使用不同的端口，却只使用一个外网地址。TCP/IP支持多达64,000个端口，意味着这么多台主机可以共享这一个外网IP地址。这种情况有时也叫做Proxy Address Translation 或者 Port Address Translation。

 原文来自：http://www.inetdaemon.com/tutorials/security/devices/firewalls/network_address_translation.shtml