評論區(qū)的莎士比亞

作者：Three

鏈接：https://www.lofter.com/lpost/1f01bc1b_1c61e1ed6

來源：LOFTER

NAT（Network Address Translation）網(wǎng)絡(luò)地址轉(zhuǎn)換

IP地址已經(jīng)變得稀缺和昂貴（當(dāng)?shù)酵耆捎肐PV6）。So，有的人就想出了網(wǎng)絡(luò)地址轉(zhuǎn)換這樣使得網(wǎng)絡(luò)不必遵守互聯(lián)網(wǎng)的尋址方案，但是仍然能夠通過Internet進(jìn)行通信

如下的3類私有IP地址范圍：

• 10.0.0.0~10.255.255.255A類網(wǎng)絡(luò)

• 172.16.0.0~172.31.255.255 B類網(wǎng)絡(luò)

• 192.168.0.0~192.168.0.0 C類網(wǎng)絡(luò)

NAT可以說是位于一個網(wǎng)絡(luò)到互聯(lián)網(wǎng)（或者說到另一個網(wǎng)絡(luò)的網(wǎng)關(guān)）。執(zhí)行的是透明路由的選擇和地址的轉(zhuǎn)換。

NAT能帶來很大的安全利益，多數(shù)防火墻的供應(yīng)商都在它們的產(chǎn)品中實現(xiàn)了NAT。當(dāng)攻擊者要攻擊一個網(wǎng)絡(luò)時，他要盡可能要去了解這個網(wǎng)絡(luò)具體的內(nèi)容、有用的信息，如拓補(bǔ)結(jié)構(gòu)、服務(wù)和地址。有了NAT，攻擊者就無法輕易發(fā)現(xiàn)所攻擊的地址方案和拓補(bǔ)結(jié)構(gòu)，NAT就像夜總會的保鏢一樣站在網(wǎng)絡(luò)的前面，并隱藏真實地址。

通過內(nèi)部地址集中在一個設(shè)備上，NAT隱藏了內(nèi)部地址，并且任何離開網(wǎng)絡(luò)的數(shù)據(jù)幀都只有那臺（安裝了NAT的）設(shè)備的源地址，并不是發(fā)送消息的實際計算機(jī)的源地址。我們可以假設(shè)發(fā)送信息的計算機(jī)源地址為10.10.10.2的內(nèi)部計算機(jī)，消息到達(dá)NAT設(shè)備處就停止了，而NAT設(shè)備的地址為1.2.3.4（1.2.3.4這個地址是不合法的，這里只是做個例子，你懂我意思就行了）。NAT會修改數(shù)據(jù)幀的首部，從內(nèi)部計算機(jī)地址修改為NAT設(shè)備的地址1.2.3.4。當(dāng)互聯(lián)網(wǎng)上的計算機(jī)回復(fù)消息時，它回復(fù)的地址是NAT設(shè)備的地址，即1.2.3.4，NAT再講回復(fù)消息首部內(nèi)的地址改為10.10.10.2，然后提供給內(nèi)部用戶接受。

• 靜態(tài)映射：NAT軟件配置了一個公共IP地址池。每個私有地址都被靜態(tài)地映射到一個特定的公共地址上。因此，計算機(jī)A總是接收公共地址X，計算機(jī)B總是接收公共地址Y，以此類推。所以說，靜態(tài)映射是用來那種需要一直保持相同公共地址的服務(wù)器通常使用這種映射

   

• 動態(tài)映射：NAT軟件配置有一個IP地址池。但是它不將公共地址映射到特定的私有地址上。而是一種”先到先得“的方式運(yùn)行。因此，如果Mr.Three需要與互聯(lián)網(wǎng)進(jìn)行通信時那么它的系統(tǒng)就會向NAT服務(wù)器發(fā)送一個請求，NAT服務(wù)器將提取列表中的第一個IP，并將其映射為Mr.Three的私有地址，使其能夠與互聯(lián)網(wǎng)通信。動態(tài)映射可以減少公共地址的使用（公共地址有點(diǎn)貴哦），這樣就不必為每臺計算機(jī)配備一個公共地址了。

   

• 端口地址轉(zhuǎn)換（PAT Port Address Tranlation）：對于所有需要與外部網(wǎng)絡(luò)通信的系統(tǒng)來說，學(xué)校或者公司僅有一個公共IP地址。系統(tǒng)中所有的計算機(jī)如何能夠使用一個相同的IP地址呢?  是這樣的，舉個例子，NAT設(shè)備的地址為1.2.3.4。當(dāng)計算機(jī)A需要與互聯(lián)網(wǎng)上的一個系統(tǒng)通信時，NAT設(shè)備會記錄這臺計算機(jī)的私有地址和源端口號（10.10.10.2:40001）。當(dāng)計算機(jī)B也要和互聯(lián)網(wǎng)上的一個系統(tǒng)通信時，NAT設(shè)備也會記錄這臺計算機(jī)的私有地址和源端口號（10.10.10.254:40001），并將首部信息改為1.2.3.4:40005.因此，當(dāng)一個系統(tǒng)響應(yīng)計算機(jī)A時，數(shù)據(jù)包首先到達(dá)NAT設(shè)備，該設(shè)備檢查端口號為40001，以查看他是否是映射到計算機(jī)A的真實信息。于是，NAT設(shè)備將首部信息修改為地址10.10.10.2和端口40001并將數(shù)據(jù)包發(fā)送到計算機(jī)A處理

大多數(shù)NAT實現(xiàn)都是有狀態(tài)的，這意味著他們保持內(nèi)部主機(jī)和外部主機(jī)之間的通信記錄，直至?xí)捊Y(jié)束。NAT設(shè)備需要記住內(nèi)部IP地址和端口以發(fā)送回復(fù)信息。這種有狀態(tài)的特點(diǎn)與檢測防火墻想思，但是NAT不對進(jìn)來的包執(zhí)行掃描以發(fā)現(xiàn)惡意特征。相反沒NAT通常是一種在公司屏蔽子網(wǎng)內(nèi)的路由器或防火墻上執(zhí)行的服務(wù)