安全基础--8--NAT的基本工作原理

1、为何使用网络地址转换

随着TCP/IP互联网应用的广泛和深入，越来越多的计算机联入互联网，这导致IP地址的分配出现短缺和不足。而网络地址转换（NAT）技术可以让人们利用较少和有限的IP地址资源将私有的互联网接入公共互联网。

NAT网络地址转换就是为了在现阶段解决IP地址短缺和不足的问题而设计的。它允许用户使用单一的设备作为外部网（如Internet）和内部网之间的代理，利用一个或很少的几个合法的IP地址代表整个本地网上所有计算机的IP地址，达到本地网上的所有计算机通过这一个或很少的几个合法IP地址上网的目的。

2、NAT的主要技术类型

NAT的主要技术类型有3种，它们是静态NAT、动态NAT和网络地址端口转换NAPT。

1、静态NAT

在使用静态NAT之前，网络管理员需要在NAT设备中设置NAT地址映射表，该表确定了一个内部IP地址与一个全局IP地址的对应关系。NAT地址映射表中的内部地址与全局地址一一对应，只要网络管理员不重新设置,这种对应关系将一直保持。

特点：内网IP与外网IP一对一一一对应

2、动态NAT

在动态NAT方式中，网络管理员首先需要为NAT设备分配一些全局IP地址，这些全局的IP地址构成NAT地址池。

当内部主机需要访问外部网络时，NAT设备就在NAT地址池中为该主机选择一个目前未被占用的IP地址，并建立内部IP地址与全局IP地址之间的映射；当该主机本次通信结束时，NAT设备将回收该全局IP地址，并删除NAT地址映射表中对应的映射项，以便其他内部主机访问外部网络时使用。

3、网络地址端口转换NAPT

网络地址端口转换是目前最常使用的一种NAT类型，它利用TCP/UDP的端口号区分NAT地址映射表中的转换条目，可以使内部网中的多个主机共享一个（或少数几个）全局IP地址同时访问外部网络。

NAT还可以在一定程度上提高了内部网络的安全性。

例如，外部网络的主机不能主动访问内部网络中的主机。即使内部网络中主机192.168.1.67为Web服务器，这是因为这个内部网络对外只有202.113.20.25和202.113.20.26两个IP地址。