什么是 NAT
NAT——网络地址转换,是通过将专用网络地址(如企业内部网 Intranet)转换为公用
地址(如互联网 Internet),从而对外隐藏了内部管理的 IP 地址。这样,通过在内部使用
非注册的 IP 地址,并将它们转换为一小部分外部注册的 IP 地址,从而减少了 IP 地址注册
的费用以及节省了目前越来越缺乏的地址空间(即 IPV4)。同时,这也隐藏了内部网络结
构,从而降低了内部网络受到攻击的风险。
NAT 功能通常被集成到路由器、防火墙、单独的 NAT 设备中,当然,现在比较流行的
操作系统或其他软件(主要是代理软件,如 WINROUTE),大多也有着 NAT 的功能。NAT
设备(或软件)维护一个状态表,用来把内部网络的私有 IP 地址映射到外部网络的合法 IP
地址上去。每个包在 NAT 设备(或软件)中都被翻译成正确的 IP 地址发往下一级。与普通
路由器不同的是,NAT 设备实际上对包头进行修改,将内部网络的源地址变为 NAT 设备自
己的外部网络地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。
NAT 分为三种类型:静态 NAT(staticNAT)、NAT 池(pooledNAT)和端口 NAT(PA
T)。其中静态 NAT 将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地
址,而 NAT 池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内
部网络,端口 NAT 则是把内部地址映射到外部网络的一个 IP 地址的不同端口上。
废话说了不少,让我们转入正题,看一下如何利用 NAT 保护内部网络。
使用网络地址转换 NAT,使得外部网络对内部网络的不可视,从而降低了外部网络对
内部网络攻击的风险性。
在我们将内部网络的服务使用端口映射到 NAT 设备(或是软件)上时,NAT 设备看起
来就像一样对外提供服务器一台服务器一样(如图一)。这样对于攻击者来讲,具有一定
的难度,首先他要攻破 NAT 设备,再根据 NAT 设备连接到内部网络进行破坏。
图一
由图一我们可以看出,内部网络中的 A、B 和 C 提供相应的 MAIL、FTP 和 HTTP 服务。
我们利用 NAT 将所提供服务机器的对应的服务端口 25、110、20、21 和 80 映射到 NAT
服务器上(IP:88.88.88.88,域名:5imax.net 上,其中端口及服务对应如下:
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
说到 20,我来加一个小插曲。我们都知道 FTP 对应的端口应该是 21,为什么又冒出
来一个 20 呢?其实,我们们进行 FTP 文件传输中,客户端首先连接到 FTP 服务器的 21
端口,进行用户的认证,认证成功后,当我们要传输文件时,服务器会开一个端口为 20
来进行传输数据文件,也就是说,端口 20 才是真正传输所用到的端口,端口 21 只用于
FTP 的登陆认证。我们平常下载文件时,会遇到下载到 99%时,文件不完成,不能成功的
下载。其实是因为文件下载完毕后,还要在 21 端口再行进行用户认证,而我们下载文件
剩余11页未读,继续阅读
资源评论
