NAT 如何運作?
NAT 通過具有 防火牆 充當進入和離開受保護網路的流量的中介。入站流量被導向到面向公眾的 IP 位址,在將流量傳送到其目的地之前,該位址會被轉換為防火牆的內部 IP 位址。輸出流量的來源地址類似地從私有的內部 IP 地址更新為公用的外部 IP 位址。
該技術的工作方式與許多組織的電話系統類似。 該公司為外部呼叫者發布單一公開號碼。 一旦客戶撥打此號碼,他們會根據要求的詳細信息轉移到特定的內部電話。
NAT 的重要性
NAT 有一些不同的優點,但最重要的優點之一是它極大地提高了 IPv4 尋址方案的可擴展性。IPv4 方案擁有不到 43 億個可能的位址,但連接到網際網路的裝置超過 200 億台。
由於 IP 位址與裝置的一對一映射,IPv4 協定的可用位址池在幾年前就已耗盡,迫使其轉向 IPv6。然而,透過 NAT,許多連接互聯網的裝置可以共享相同的面向公眾的 IPv4 位址,這使得 IPv4 標準能夠擴展以滿足需求。
網路位址轉換的類型
NAT 可以通過幾種不同的方式實現,包括:
- 靜態 NAT: 靜態 NAT 將內部 IP 位址一對一對應到外部 IP 位址。 這無助於提高 IPv4 的可擴展性,但確實可以從網路外部存取系統,而不會破壞內部尋址方案。
- 動態 NAT: 透過動態 NAT,防火牆擁有一個外部 IP 位址池,可根據需要指派給內部電腦。與靜態 NAT 一樣,這會在內部和外部 IP 位址之間建立一對一對映;但是,這些對映並不是永久的。
- 連接埠位址轉換 (PAT): PAT 用於在內部和外部 IP 位址之間建立多對一對映。 防火牆對多個系統使用相同的 IP 位址,但為每個系統指派不同的 TCP 或 UDP 連接埠。由於單一 IP 位址可以有 65,535 個與之關聯的端口,因此 PAT 允許單一外部 IP 位址代表專用網路上的數千個裝置。PAT 是 NAT 的應用程序,允許擴展 IPv4 位址。
NAT 組態
NAT 的詳細信息 防火牆配置 取決於組織使用的 NAT 類型。 例如,靜態 NAT 和 PAT 可能有單一外部 IP 位址,而動態 NAT 則有多個。
對於所有 NAT 配置,組織都可以在其區域網路 (LAN) 內使用私人 IP 位址。IPv4 範圍為 10.0.0.0/8、172.16。 0.0/12 和 192.168。 0.0/16 僅供內部使用。 組織 LAN 內的裝置可以被指派這些位址之一,但這些位址在組織網路之外不可路由。
從內部私人地址轉換到外部公用地址的程序取決於所使用的 NAT 方案。 在所有情況下,流量都必須通過執行轉換的防火牆。此防火牆可根據內部查找表重寫入站和出站資料包的標頭,在 IP 位址之間進行轉換或將流量分配到共用位址上的特定連接埠。
網路位址轉換如何提高安全性?
除了提高 IPv4 的可擴展性之外,NAT 還提供了顯著的安全優勢。這些包括:
- 邊界執行: 使用 NAT,公司 LAN 內部使用的私有 IP 位址不能從外部傳遞。 這強制了網路邊界並強制流量流過網路防火牆,因為外部系統不知道要聯絡哪台計算機,即使它們有能力繞過防火牆。通過強制交通流通過 a 次世代防火牆 (NGFW),NAT 確保在路由到目的地之前,可以檢查所有輸入和輸出流量。
- 改善隱私權: NAT 使組織的內部網路結構對網路外部不透明。外部系統看到單一 IP 位址或一組經常變化的 IP 位址,因此很難建立組織內部網路的對應以供以後的攻擊使用。
Check Point NGFW 中的 NAT
NAT 可以透過強制所有流量通過網路防火牆來幫助增強組織的安全性。但是,只有當防火牆能夠偵測並阻止惡意網路流量時,這才可以提供安全優勢。要了解有關 NGFW 中需要尋找什麼的更多信息,請查看以下 buyer’s guide。
Check Point NGFW 提供高效能NAT功能以及企業級威脅防護能力。若要查看運行中的 Check Point 防火牆,歡迎您 報名參加免費示範。
反映意見