NAT

網(wǎng)絡地址轉(zhuǎn)換（Network Address Translation）簡稱為NAT，是將IP數(shù)據(jù)包包頭中的IP地址轉(zhuǎn)換為另一個IP地址。當IP數(shù)據(jù)包通過設備時，設備會把IP數(shù)據(jù)包的源IP地址和/或者目的IP地址進行轉(zhuǎn)換。在實際應用中，NAT主要用于私有網(wǎng)絡訪問外部網(wǎng)絡或外部網(wǎng)絡訪問私有網(wǎng)絡的情況。

NAT的基本轉(zhuǎn)換過程

設備執(zhí)行NAT功能時，處于公有網(wǎng)絡和私有網(wǎng)絡的連接處。下圖描述了NAT的基本轉(zhuǎn)換過程：

如上圖所示，設備處于私有網(wǎng)絡和公有網(wǎng)絡的連接處。當內(nèi)部PC（10.1.1.2）向外部服務器（202.1.1.2）發(fā)送一個IP包時，IP包將通過設備。設備查看包頭內(nèi)容，發(fā)現(xiàn)該IP包是發(fā)向公有網(wǎng)絡的，然后它將IP包1的源地址10.1.1.2換成一個可以在Internet上選路的公有地址202.1.1.1，并將該IP包發(fā)送到外部服務器，與此同時，設備還在網(wǎng)絡地址轉(zhuǎn)換表中記錄這一映射。外部服務器給內(nèi)部PC發(fā)送IP包1的應答報文（其初始目的地址為202.1.1.1），到達設備后，設備再次查看包頭內(nèi)容，然后查找當前網(wǎng)絡地址轉(zhuǎn)換表的記錄，用內(nèi)部PC的私有地址10.1.1.2替換目的地址。這個過程中，設備對PC和Server來說是透明的。對外部服務器來說，它認為內(nèi)部PC的地址就是202.1.1.1，并不知道10.1.1.2這個地址。因此，NAT“隱藏”了企業(yè)的私有網(wǎng)絡。

設備的NAT功能

設備的NAT功能將內(nèi)部網(wǎng)絡主機的IP地址和端口替換為設備外部網(wǎng)絡的地址和端口，以及將設備的外部網(wǎng)絡地址和端口轉(zhuǎn)換為內(nèi)部網(wǎng)絡主機的IP地址和端口。也就是“私有地址+端口”與“公有地址+端口”之間的轉(zhuǎn)換。

設備通過創(chuàng)建并執(zhí)行NAT規(guī)則來實現(xiàn)NAT功能。NAT規(guī)則有兩類，分別為源NAT規(guī)則（SNAT Rule）和目的NAT規(guī)則（DNAT Rule）。SNAT轉(zhuǎn)換源IP地址，從而隱藏內(nèi)部IP地址或者分享有限的IP地址；DNAT轉(zhuǎn)換目的IP地址，通常是將受設備保護的內(nèi)部服務器（如WWW服務器或者SMTP服務器）的IP地址轉(zhuǎn)換成公網(wǎng)IP地址。

結(jié)語

以上就是防火墻的NAT介紹！

感謝閱讀，歡迎在評論區(qū)中發(fā)表自己不同的觀點，若有其他問題請在評論區(qū)留言，喜歡的朋友請多多關(guān)注轉(zhuǎn)發(fā)支持一下。