NAT伺服器

NAT伺服器

NAT英文全稱是“Network Address Translation”,中文意思是“網路地址轉換”,它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準,允許一個整體機構以一個公用IP(Internet Protocol)地址出現在Internet上。顧名思義,它是一種把內部私有網路地址(IP位址)翻譯成合法網路IP位址的技術。

基本介紹

簡單的說,NAT就是在區域網路內部網路中使用內部地址,而當內部節點要與外部網路進行通訊時,就在網關(可以理解為出口,打個比方就像院子的門一樣)處,將內部地址替換成公用地址,從而在外部公網(internet)上正常使用,NAT可以使多台計算機共享Internet連線,這一功能很好地解決了公共IP位址緊缺的問題。通過這種方法,您可以只申請一個合法IP位址,就把整個區域網路中的計算機接入Internet中。這時,NAT禁止了內部網路,所有內部網計算機對於公共網路來說是不可見的,而內部網計算機用戶通常不會意識到NAT的存在。如圖2所示。這裡提到的內部地址,是指在內部網路中分配給節點的私有IP位址,這個地址只能在內部網路中使用,不能被路由(一種網路技術,可以實現不同路徑轉發)。雖然內部地址可以隨機挑選,但是通常使用的是下面的地址:10.0.0.0~10.255.255.255,172.16.0.0~172.31.255.255,192.168.0.0~192.168.255.255。NAT將這些無法在網際網路上使用的保留IP位址翻譯成可以在網際網路上使用的合法IP位址。而全局地址,是指合法的IP位址,它是由NIC(網路信息中心)或者ISP(網路服務提供商)分配的地址,對外代表一個或多個內部局部地址,是全球統一的可定址的地址。

NAT功能通常被集成到路由器、防火牆、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經加入這一功能,網路管理員只需在路由器的IOS中設定NAT功能,就可以實現對內部網路的禁止。再比如防火牆將WEB Server的內部地址192.168.1.1映射為外部地址202.96.23.11,外部訪問202.96.23.11地址實際上就是訪問訪問192.168.1.1。另外資金有限的小型企業來說,現在通過軟體也可以實現這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。

技術類型

NAT有三種類型:靜態NAT(Static NAT)、動態地址NAT(Pooled NAT)、網路地址連線埠轉換NAPT(Port-Level NAT)。

其中靜態NAT設定起來最為簡單和最容易實現的一種,內部網路中的每個主機都被永久映射成外部網路中的某個合法的地址。而動態地址NAT則是在外部網路中定義了一系列的合法地址,採用動態分配的方法映射到內部網路。NAPT則是把內部地址映射到外部網路的一個IP位址的不同連線埠上。根據不同的需要,三種NAT方案各有利弊。

動態地址NAT只是轉換IP位址,它為每一個內部的IP位址分配一個臨時的外部IP位址,主要套用於撥號,對於頻繁的遠程聯接也可以採用動態NAT。當遠程用戶聯接上之後,動態地址NAT就會分配給他一個IP位址,用戶斷開時,這個IP位址就會被釋放而留待以後使用。

網路地址連線埠轉換NAPT(Network Address Port Translation)是人們比較熟悉的一種轉換方式。NAPT普遍套用於接入設備中,它可以將中小型的網路隱藏在一個合法的IP位址後面。NAPT與動態地址NAT不同,它將內部連線映射到外部網路中的一個單獨的IP位址上,同時在該地址上加上一個由NAT設備選定的TCP連線埠號。

在Internet中使用NAPT時,所有不同的信息流看起來好像來源於同一個IP位址。這個優點在小型辦公室內非常實用,通過從ISP處申請的一個IP位址,將多個連線通過NAPT接入Internet。實際上,許多SOHO遠程訪問設備支持基於PPP的動態IP位址。這樣,ISP甚至不需要支持NAPT,就可以做到多個內部IP位址共用一個外部IP位址上Internet,雖然這樣會導致信道的一定擁塞,但考慮到節省的ISP上網費用和易管理的特點,用NAPT還是很值得的。

套用

NAT在IPv6中的套用

大家對NAT普遍存在誤解,以至於NAT沒有出現在IPv6中被誤解為頭號安全風險。在IPv6環境中有NAT可能也不錯,但事實上,它們並不提供任何的額外的安全性。防火牆提供了安全性,而不是網路地址轉譯。

IPv6安全不能只是IPv4安全的簡單克隆,這種想法是非常危險的。我們必須安排培訓、擴大政策,以及在網路中部署新的技術來抵禦新的威脅。從同質IPv4網路過度到異構IPv4/v6網路帶來了新的流量類型以及設備,企業必須重新考慮。

此外,由於IPv6相對較新,其市場才剛剛開始,IPv6安全產品也還不夠成熟。在圍繞IPv6的安全性完善之前,在運營商讓IPv6與IPv4看齊之前,這是一個有趣的危險的時期。

相關詞條

相關搜尋

熱門詞條

聯絡我們